Gouvernance et contrôle interne

L’Ordonnance du 8 décembre 2008 transposant la directive « Audit » impose la constitution d’un comité d’audit (« comité spécialisé ») aux :
- sociétés et entités dont les titres sont admis à la négociation sur un marché réglementé,
- établissements de crédit, à l’exception des entités affiliées ou avec agrément collectif (banques mutualistes, coopératives, etc.),
- organismes de placement collectif (OPCVM),
- entreprises d’assurance, à l’exception des entités liées,
- mutuelles et aux institutions de prévoyance.

Mais certains organismes ont fait entendre leur voix au moment de la transposition de cette directive et ont obtenu des aménagements. Ainsi, ne sont pas soumises à l’obligation de créer un comité d’audit :
- les filiales d’une entité disposant déjà d’un tel comité,
- et les sociétés pour lesquelles le conseil d’administration ou le conseil de surveillance remplit les fonctions d’un tel comité.

Contrainte légale supplémentaire ?
- Tout d’abord, force est de constater que le comité d’audit est une pratique déjà largement répandue en France suite aux recommandations en matière de gouvernement d’entreprises (Rapport Viénot et Bouton, rapport consolidé AFEP/MEDEF). Selon le rapport 2008 de l’AMF sur le gouvernement d’entreprise et le contrôle interne, sur un échantillon de 100 sociétés cotées, 72 % ont déjà mis en place un comité d’audit, soit la quasi-totalité des sociétés comprises dans l’échantillon « Euronext A », mais uniquement 46 % dans l’échantillon des VaMPs (Valeurs moyennes et petites) ;
- Et les sociétés ne disposant pas d’un comité d’audit ont toujours la liberté de décider que leur conseil d’administration remplira le rôle de ce comité.

Néanmoins, dotée ou non d’un comité d’audit, aucune société ne pourra faire abstraction des nouvelles obligations légales !
- Celles disposant d’un comité d’audit devront réexaminer sa composition et ses missions et les adapter le cas échéant ;
- Tandis que les autres sociétés devront soit créer un comité d’audit, soit s’assurer que le conseil d’administration remplira le rôle désormais réglementé.

Quant à la date d’application des nouvelles dispositions, elle mérite quelques éclaircissements : elle est au plus tôt le 1er septembre 2009, mais elle sera différente pour chaque société, en fonction de la date d’échéance d’au moins un mandat d’administrateur et de la date de clôture des comptes.
Plus précisément, la date d’application est « à l’expiration d’un délai de huit mois qui suit la clôture du 1er exercice ouvert à compter du 1er janvier 2008 au cours duquel un mandat au sein de l’organe d’administration ou de surveillance vient à échéance. »
En pratique, pour les sociétés clôturant leurs comptes au 31 décembre :
- elle sera au plus tôt le 1er septembre 2009 en cas d’échéance d’au moins un mandat d’administrateur intervenu en 2008 ;
- cette obligation est reportée au 1er septembre 2010 si la prochaine échéance d’un mandat d’administrateur est en 2009, etc.

Non, dès lors que le comité d’audit est créé en tant qu’organe émanant du conseil.
Indépendance et compétence sont deux critères essentiels à l’efficacité du comité d’audit. Ainsi, l’administrateur ne peut pas être membre du comité d’audit dès lors qu’il exerce des fonctions de direction telles que directeur général ou directeur général délégué. Le comité d’audit, dont la composition est fixée par l’organe chargé de l’administration ou de la surveillance, ne peut donc comprendre que des membres du conseil d’administration ou du conseil de surveillance, à l’exclusion de ceux exerçant des fonctions de direction.

Et ce n’est pas tout ! L’ordonnance impose qu’au moins l’un des membres du comité d’audit :
- présente des compétences particulières en matière financière ou comptable,
- et soit indépendant au regard de critères précisés et rendus publics par le conseil.

Seule souplesse : ces critères ne sont pas définis par l’ordonnance, et donc restent à l’appréciation des sociétés. Elles pourront ainsi marquer leur volonté d’appliquer les bonnes pratiques en la matière par exemple en faisant référence au rapport consolidé AFEP/MEDEF mis à jour en décembre 2008. Toutefois le législateur a pris soin de mettre un garde fou en obligeant à rendre publics ces critères d’indépendance !

Toutefois, dans les sociétés qui choisissent de confier au conseil d’administration ou au conseil de surveillance en formation plénière les fonctions de comité d’audit, tous leurs membres se retrouvent de fait, membres du « comité d’audit ».

Un chapitre épineux… surtout en période de crise, de plus grande exposition aux risques, de pression sur les performances des entreprises, de pression sur les objectifs individuels…

Et en plus cette question suscite également de vifs débats. Deux avis s’opposent :
- Pour certains, la responsabilité des administrateurs est inchangée. En effet, la responsabilité propre du comité d’audit ne peut être engagée, le comité n’ayant pas d’existence juridique. Il agit, comme précisé par l’ordonnance, sous la responsabilité exclusive et collective des membres de l’organe chargé de l’administration ou de l’organe de surveillance.
- Pour d’autres, au contraire, seule la responsabilité individuelle des administrateurs peut être engagée.La notion de responsabilité collective n’existe pas au niveau du conseil d’administration, celui-ci n’étant pas doté d’une personnalité morale.
En conséquence, comment ne pas considérer comme accrue la responsabilité tant solidaire qu’individuelle des administrateurs, notamment du membre désigné ayant les compétences comptables ou financières, en cas d’irrégularité dans les comptes, de survenance d’une fraude significative… ? Il serait fort dommage que la jurisprudence tranche sur ces questions aux dépends de certains membres de comités d’audit…

En tout état de cause, que la responsabilité soit solidaire pour une décision prise collégialement ou individuelle, il est impossible de ne pas considérer comme accrue la responsabilité des membres du comité d’audit par les missions désormais réglementées (confère question précédente). Ils ne donnent plus un simple avis au conseil, ils doivent assurer le suivi, pour le conseil et vis-à-vis des tiers, de l’efficacité des procédures de gestion des risques. En cas d’irrégularités dans les comptes, de fraudes, de risques opérationnels majeurs, les administrateurs pourront voir leur responsabilité engagée avec une plus forte exposition des membres du comité d’audit, sauf à considérer que c’est le conseil qui endossera la responsabilité du comité d’audit (celui-ci agirait sous la seule responsabilité du conseil.)
En cas d’action judiciaire engagée contre les membres du conseil, des non membres du comité d’audit pourraient être tentés de se tourner vers les membres dudit comité spécialisé pour n’avoir pas fait les diligences attendues et nécessaires.

De telles situations délicates peuvent être évitées. Comment ? En apportant une attention particulière à la formalisation des travaux et des conclusions.
Selon notre expérience, les situations les plus risquées pour les administrateurs sont celles où il existe des rapports et des cartographies mettant en exergue l’existence de faiblesses, d’anomalies, assorties de recommandations mais qui n’ont pas été suivies des actions qui s’imposaient.

La démarche générale du comité d’audit devrait reposer :
- sur l’identification des risques auxquels la société est exposée ; Ainsi, un examen régulier s’impose de la cartographie des risques susceptibles d’avoir un impact financier : risques fiscaux, juridiques et pénaux, environnementaux, voire même opérationnels, etc.
- sur la revue du dispositif de pilotage des risques et de son adéquation par rapport à la stratégie de gestion des risques définie par la direction : organisation au sein du groupe du suivi des risques, rôle du Risk manager, (ou Compliance Officer), existence de procédures adaptées de contrôle et de suivi des risques,
- sur l’examen d’indicateurs montrant le bon fonctionnement de ce dispositif de pilotage.

En pratique, pour suivre l’efficacité des systèmes de contrôle interne et de gestion des risques, le comité d’audit peut notamment s’appuyer sur :
- les procédures de contrôle interne : revue de l’existence d’un manuel de procédures de contrôle interne, analyse de l’adéquation des contrôles pour couvrir les risques, revue de l’évaluation de la direction sur l’efficacité des contrôles, analyse de la réalité de la culture de contrôle ;
- les travaux de l’audit interne : l’examen de l’organisation et de la compétence de l’audit interne, la revue de la définition et de l’étendue des travaux au regard des risques significatifs et problématiques complexes, la prise de connaissance des conclusions des rapports d’audit interne et le suivi par la direction des recommandations pour couvrir des faiblesses constatées le cas échéant ;
- les travaux et conclusions des auditeurs externes et des conseils externes qui peuvent être directement mandatés par le comité d’audit sur des risques non couverts par la société ;
- les procédures pour couvrir des risques liés à des opérations non récurrentes ; telles que les opérations de croissance externe ou de cession, de restructuration, etc.
- l’application de codes de gouvernement d’entreprise comme celui de l’AFEP/MEDEF,
- l’existence et l’application de code de bonne conduite et d’éthique.

Une attention particulière est à porter sur la formalisation des travaux et des conclusions. Bien plus qu’une formalité, la documentation constitue le moyen de justifier que le comité a bien rempli sa mission vis-à-vis du conseil. La formalisation est d’autant plus importante que ses diligences reposent en partie sur les travaux d’acteurs majeurs au sein de l’entreprise en matière de contrôle interne et de gestion des risques (audit interne, directeur des risques / Risk manager, etc.) .

La périodicité et la forme des comptes rendus d’activité sont à définir avec le conseil. Ils peuvent notamment comprendre :
- des procès verbaux des réunions du comité d’audit,
- des rapports sur les missions réglementées et sur les travaux spécifiques demandés par le conseil, décrivant les diligences réalisées, les conclusions, les mesures proposées pour couvrir les anomalies identifiées,
- un suivi des plans d’actions décidés par le conseil sur les anomalies relevées.

S’agissant des rapports écrits mettant en exergue des anomalies ou dysfonctionnements, il est primordial qu’il y ait une information rapide du conseil et surtout que des mesures appropriées soient prises au plus vite. Le comité doit informer et agir en conséquence, à défaut il expose le conseil et les membres du comité eux-mêmes à des actions en responsabilité. La connaissance comme l’ignorance, au même titre que le défaut de diligence peuvent générer des responsabilités, civiles voire pénales dans des cas exceptionnels, dont l’étendue variera en fonction de la gravité de la faute commise.

Interlocuteur privilégié du comité d’audit déjà en pratique, le commissaire aux comptes a vu son rôle confirmé et précisé.

Ainsi, les commissaires aux comptes doivent :
- rapporter au comité les faiblesses significatives de contrôle interne relatives aux procédures d’élaboration des comptes,
- communiquer au comité les éléments portés jusqu’à présent à la connaissance du conseil tels que le programme général de travail, les sondages effectués, les modifications qui paraissent devoir être apportées aux comptes à arrêter, les observations sur les méthodes d’évaluation utilisées pour leur établissement, les irrégularités et inexactitudes découvertes dans le cadre de leur mission, etc.,
- examiner avec le comité les risques pesant sur son indépendance et les mesures de sauvegarde prises,
- et communiquer au comité chaque année, une déclaration d’indépendance, une actualisation des informations sur les prestations du réseau jusqu’à présent fournies à l’attention des actionnaires, ainsi que les prestations accomplies au titre des diligences liées à sa mission.

Un dialogue régulier entre les commissaires aux comptes et le comité d’audit ne peut que renforcer la qualité des contrôles de l’information comptable et financière.

• Envoyer
• Imprimer