L'ESMA, le régulateur européen, a publié le 21e extrait de sa base de données sur les décisions prises par les régulateurs nationaux européens quant à l'application des IFRS. À l'occasion de ses recommandations pour la clôture 2017, l'AMF a sélectionné certains cas particulièrement intéressants, complexes ou non traités par les IFRS (ESMA, 21st Extract from the EECS's Database of Enforcement, 31 october 2017 ; conférence Ima-France du 7 novembre 2017, présentation par Marie Seiller, directrice des affaires comptables de l'AMF).

La loi de finances pour 2018 a modifié le champ de l'obligation de certification ou d'attestation des « logiciels et systèmes de caisse » (loi de finances pour 2018, art. 105 ; voir aussi notre dossier « Du nouveau sur les logiciels et systèmes de caisse », RF Comptable 453, octobre 2017).Nous indiquons aux entreprises et à leurs conseils la liste des critères à analyser pour savoir si elles sont concernées.

En quelques années, la technologie de la blockchain a su s'imposer dans le paysage des technologies qui permettent de stocker et de transmettre des informations de manière sécurisée sans intermédiaire. Sa démocratisation au sein la société civile et son exploitation dans un cadre professionnel nécessitent une prise de connaissance de ses caractéristiques intrinsèques et de ses éventuels impacts sur la mission du CAC. Lors d'une conférence récente, organisée par la CRCC de Paris, près d'une centaine de commissaires aux comptes sont venus s'initier aux problématiques issues de l'utilisation de cette technologie (CRCC Paris, Matinale Blockchain et cryptomonnaies, 6 décembre 2017).

Dans le rapport de certification des comptes annuels et des comptes consolidés d'une entité d'intérêt public (EIP), la partie distincte « justification des appréciations » subit des modifications majeures. Ces dernières s'inscrivent dans le cadre de la refonte du rapport d'audit et font suite à la transposition de la réforme européenne de l'audit (REA). Les risques d'anomalies significatives jugés les plus importants par le CAC, qui sont décrits dans cette partie, sont qualifiés de « points clés de l'audit » ou « Key audit matters » (KAM). Une conférence récente a fait le point sur ce sujet, à la veille de l'émission des premiers rapports d'audit « nouvelle version » pour les comptes des EIP clôturant avec l'année civile (IMA France du 12 décembre 2017, extrait du support de présentation du Forum EIP de la CNCC, « Le nouveau rapport d'audit » du 27 juin 2017).

La PME a besoin d'un tableau de bord qui lui signale en permanence les points critiques ou de vigilance de sa gestion et les aspects qu'elle doit améliorer. La simplicité et la cohérence du tableau de bord financier imposent un nombre restreint d'indicateurs pertinents couvrant les différentes dimensions de l'entreprise.Notre démarche en quatre temps débouche sur sept indicateurs clés. Nous développons chaque étape avec, pour chaque indicateur, son mode de calcul et son interprétation en cohérence avec les autres. Un dossier complet dédié au diagnostic financier des entreprises de plus grande taille est disponible dans le numéro 22 de la revue Convergence de la CCEF de novembre 2017.

L'audit informatique se substitue à l'audit traditionnel. Dans ce cadre, la mission du CAC 2.0 évolue vers un traitement des informations financières de plus en plus pointu et important en termes de volumétrie.

Lors d'une mission d'audit des comptes en milieu informatisé, le respect de certaines normes d'exercice professionnel (NEP) s'impose au CAC. Par ailleurs, dans cet environnement, le CAC doit procéder à une analyse des données qui, pour être pertinente, nécessite des outils et une méthodologie spécifiques.

Le CAC contrôle l'anticipation et la maîtrise des impacts liés à la transformation numérique ainsi que la réalisation des investissements nécessaires par l'entreprise auditée. Il s'assure par là de la continuité d'exploitation de l'entreprise.

L'alignement des systèmes d'information avec les objectifs, l'organisation et les process de l'entreprise ainsi que leur bonne exploitation sont les garants de la fiabilité de l'information comptable et financière. L'audit de l'exploitation des SI permet également d'évaluer les mesures de sécurité prises. Le CAC contrôle par ailleurs que les SI permettent aux contribuables de satisfaire à leurs obligations fiscales en constante évolution. Relevons que sous ce thème trois fiches du guide sont reprises « La gouvernance des SI », « L'exploitation des SI » et « La législation fiscale et SI ».

En moyenne, 30 % du budget d'une entreprise est consacré à des projets. Le CAC contrôle particulièrement les projets SI qui ont très souvent un impact direct ou indirect sur les états financiers, à la fois dans leur pilotage, leur bonne exécution jusqu'à la réalisation et leur traitement comptable.

Les accès et leur contrôle constituent des éléments du dispositif de contrôle interne de l'entité auditée auxquels le CAC prête une attention particulière. Il en est de même pour la séparation des tâches et le risque de fraude en lien avec les accès octroyés.

Le CAC analyse le risque de non-conformité aux nouvelles obligations contenues dans le Règlement général sur la protection des données (RGPD) (règlt UE 2016/679 du 27 avril 2016) qui est d'application immédiate le 25 mai 2018 et qui s'accompagne de sanctions très lourdes en cas de manquements aggravés.

Le CAC vérifie la prise en compte des risques de cybercriminalité par l'entité et analyse les moyens de lutte employés par l'entreprise auditée.

Le CAC contrôle le plan de continuité d'activité mis en place. Sa démarche s'organise en cinq étapes qui correspondent aux cinq étapes d'élaboration du plan de continuité d'activité. Par ces contrôles, le CAC s'assure de la continuité d'exploitation de l'entité auditée.

Notre entreprise, négociant en produits sidérurgiques, exerce accessoirement (0,1 % de notre chiffre d'affaires) d'une activité d'enlèvement où les particuliers peuvent acheter directement à notre dépôt. L'ensemble de nos recettes est enregistré dans un logiciel de chaîne commerciale global. Devons-nous obtenir l'attestation de la part de notre éditeur de logiciel ?

Notre client, une association fiscalisée, voit son activité de location de livres scolaires remise en cause et elle va se limiter à leur revente. Doit-elle reclasser ces livres d'immobilisations corporelles en stocks et quel serait, le cas échéant, l'impact sur la CVAE ?