Comités d’audit et administrateurs : quel renforcement de leurs rôles et responsabilités en 2009 ?

Découvrez ci-dessous "La question du dirigeant" du 10 février 2009, signée par Jacques Denizeau, Anne-Marie Lavigne, Jean-Marc Truchi, Associés PwC/Landwell & Associés, Sylvie Le Damany, Avocat Associée, Landwell.

A lire dans le quotidien Les Echos,dans la rubrique Management, page 14

Comités d’audit et administrateurs : quel renforcement de leurs rôles et responsabilités en 2009 ?

Garant de la gestion des risques financiers, une gageure en temps de crise !
Et pourtant, un rôle à assumer par les comités d’audit des sociétés cotées à partir du 1er septembre 2009 … Fini le temps où il formulait un simple avis sur les comptes, les risques et le contrôle interne. L’ordonnance de transposition de la directive « Audit » ne s’est pas contentée d’imposer les bonnes pratiques de gouvernance, elle a étendu ses missions : Jugez en par vous-mêmes !

  • du contrôle sur l’information financière aux procédures d’élaboration en amont,
  • du contrôle des comptes à tous les risques susceptibles de les affecter : réglementaires, opérationnels, fraudes, environnementaux, etc. 
  • de l’existence des systèmes de contrôle interne et de gestion des risques au suivi de leur efficacité.

Nul doute, la responsabilité des membres du comité d’audit est renforcée. Reste à savoir si leur responsabilité individuelle peut être engagée. La question suscite de vifs débats, même s’ils agissent sous la responsabilité collective du conseil d’administration. En particulier le membre désigné pour ses compétences comptables ou financières risque d’être en ligne de mire en cas d’irrégularité dans les comptes ou de fraude. La jurisprudence tranchera.

De quoi faire redoubler de vigilance chaque membre de comité d’audit, de prouver la réalisation de leurs diligences et de bien définir la charte de fonctionnement.

  • Quelles sociétés doivent se doter d’un comité d’audit ? Et à partir de quand ?

L’Ordonnance du 8 décembre 2008 transposant la directive « Audit » impose la constitution d’un comité d’audit (« comité spécialisé ») aux :

  • sociétés et entités dont les titres sont admis à la négociation sur un marché réglementé,
  • établissements de crédit, à l’exception des entités affiliées ou avec agrément collectif (banques mutualistes, coopératives, etc.),
  • organismes de placement collectif (OPCVM),
  • entreprises d’assurance, à l’exception des entités liées,
  • mutuelles et aux institutions de prévoyance.

Mais certains organismes ont fait entendre leur voix au moment de la transposition de cette directive et ont obtenu des aménagements. Ainsi, ne sont pas soumises à l’obligation de créer un comité d’audit :

  • les filiales d’une entité disposant déjà d’un tel comité,
  • et les sociétés pour lesquelles le conseil d’administration ou le conseil de surveillance remplit les fonctions d’un tel comité.

Contrainte légale supplémentaire ?

  • Tout d’abord, force est de constater que le comité d’audit est une pratique déjà largement répandue en France suite aux recommandations en matière de gouvernement d’entreprises (Rapport Viénot et Bouton, rapport consolidé AFEP/MEDEF). Selon le rapport 2008 de l’AMF sur le gouvernement d’entreprise et le contrôle interne, sur un échantillon de 100 sociétés cotées, 72 % ont déjà mis en place un comité d’audit, soit la quasi-totalité des sociétés comprises dans l’échantillon « Euronext A », mais uniquement 46 % dans l’échantillon des VaMPs (Valeurs moyennes et petites);
  • Et les sociétés ne disposant pas d’un comité d’audit ont toujours la liberté de décider que leur conseil d’administration remplira le rôle de ce comité.

Néanmoins, dotée ou non d’un comité d’audit, aucune société ne pourra faire abstraction des nouvelles obligations légales !

  • Celles disposant d’un comité d’audit devront réexaminer sa composition et ses missions et les adapter le cas échéant;
  • Tandis que les autres sociétés devront soit créer un comité d’audit, soit s’assurer que le conseil d’administration remplira le rôle désormais réglementé.

Quant à la date d’application des nouvelles dispositions, elle mérite quelques éclaircissements : elle est au plus tôt le 1er septembre 2009, mais elle sera différente pour chaque société, en fonction de la date d’échéance d’au moins un mandat d’administrateur et de la date de clôture des comptes.
Plus précisément, la date d’application est « à l’expiration d’un délai de huit mois qui suit la clôture du 1er exercice ouvert à compter du 1er janvier 2008 au cours duquel un mandat au sein de l’organe d’administration ou de surveillance vient à échéance. »
En pratique, pour les sociétés clôturant leurs comptes au 31 décembre :

  • elle sera au plus tôt le 1er septembre 2009 en cas d’échéance d’au moins un mandat d’administrateur intervenu en 2008;
  • cette obligation est reportée au 1er septembre 2010 si la prochaine échéance d’un mandat d’administrateur est en 2009, etc.
  • Tout administrateur peut-il désormais être membre de Comité d’audit ?

Non, dès lors que le comité d’audit est créé en tant qu’organe émanant du conseil.
Indépendance et compétence sont deux critères essentiels à l’efficacité du comité d’audit. Ainsi, l’administrateur ne peut pas être membre du comité d’audit dès lors qu’il exerce des fonctions de direction telles que directeur général ou directeur général délégué. Le comité d’audit, dont la composition est fixée par l’organe chargé de l’administration ou de la surveillance, ne peut donc comprendre que des membres du conseil d’administration ou du conseil de surveillance, à l’exclusion de ceux exerçant des fonctions de direction.

Et ce n’est pas tout ! L’ordonnance impose qu’au moins l’un des membres du comité d’audit :
- présente des compétences particulières en matière financière ou comptable,
- et soit indépendant au regard de critères précisés et rendus publics par le conseil.

Seule souplesse : ces critères ne sont pas définis par l’ordonnance, et donc restent à l’appréciation des sociétés. Elles pourront ainsi marquer leur volonté d’appliquer les bonnes pratiques en la matière par exemple en faisant référence au rapport consolidé AFEP/MEDEF mis à jour en décembre 2008. Toutefois le législateur a pris soin de mettre un garde fou en obligeant à rendre publics ces critères d’indépendance !

Toutefois, dans les sociétés qui choisissent de confier au conseil d’administration ou au conseil de surveillance en formation plénière les fonctions de comité d’audit, tous leurs membres se retrouvent de fait, membres du « comité d’audit ».

  • Quel est le rôle désormais réglementé du Comité d’audit ?

Jusqu’à présent, le comité d’audit fonctionnait sur la base de bonnes pratiques. Désormais, le champ de sa mission est réglementé a minima, il est chargé d’assurer le suivi :
- du processus d’élaboration de l’information financière ;
- de l’efficacité des systèmes de contrôle interne et de gestion des risques ;
- du contrôle légal des comptes annuels et, le cas échéant, des comptes consolidés par les commissaires aux comptes.

Un rôle accru ?
Aujourd’hui, comme en témoigne le rapport 2008 de l’AMF sur le gouvernement de l’entreprise et le contrôle interne, la plupart des missions du comité d’audit couvrent déjà le contrôle de l’information financière, les procédures de contrôle interne et l’analyse des risques ainsi que le suivi des missions de l’audit interne. A première vue, les domaines d’intervention peuvent donc paraître similaires.

Et pourtant, des changements majeurs ont été introduits. Il serait dangereux de les sous-estimer ! Reprenons-les dans le détail :

  • Le suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques
    Un débat est ouvert sur l’interprétation.
    S’agit-il de :
    - se prononcer sur leur efficacité, impliquant ainsi de disposer d’un système d’évaluation s’appuyant sur un référentiel reconnu tels que le « Cadre de référence de l’AMF » ou « Le guide de mise en oeuvre simplifié » , le « Coso Report II » ou le « Turnbull Guidance »,
    - ou s’assurer simplement de l’existence d’une procédure d’identification des risques et de la présence de contrôles pour les couvrir ?
    Clairement ce débat n’est pas neutre sur la responsabilité du comité d’audit et de ses membres, et plus largement du conseil d’administration. Si l’avancée d’un pas ou d’un demi-pas vers un système d’évaluation de la gestion des risques n’est pas claire, force est de reconnaître que l’intention du législateur est bien de marcher dans cette direction…Cette avancée marque la volonté de continuer à renforcer la démarche vertueuse d’amélioration de l’efficacité de la gestion des risques, déjà engagée par de nombreuses sociétés cotées. 
  • Un contrôle sur l’information financière étendu aux procédures d’élaboration bien amont
    La mission n’est plus limitée à la revue des comptes, au choix des options comptables, au traitement des problématiques comptables complexes, aux jugements retenus et estimations réalisées par la direction, etc. mais bien de s’assurer de la fiabilité des processus d’élaboration des comptes. Cela implique donc en pratique un examen des procédures de contrôle interne contribuant à la fiabilité des comptes, des systèmes d’information, etc.
  • Une mission sur les risques dont le périmètre fait l’objet actuellement de débats;
    - certains estiment que les risques sont limités à l’élaboration de l’information comptable et financière,
    - alors que d’autres considèrent que le périmètre couvre l’ensemble des risques susceptibles d’avoir un impact sur l’information comptable et financière à l’instar du commissaire aux comptes, tels que certains risques opérationnels, les risques de fraude, les risques de non-conformité aux lois et règlements, risques environnementaux, etc.

Pas de doute les travaux du comité d’audit renforceront la teneur des informations requises par la loi du 3 juillet 2008 dans le rapport du Président sur la gouvernance, le contrôle interne et la gestion des risques, désormais approuvé par le conseil, et en particulier sur la gestion des risques et les modalités d’application ou non d’un code de gouvernement d’entreprise.
Cela étant, il est important de rappeler qu’en matière de gestion des risques, c’est la direction générale qui en conserve la responsabilité première. Néanmoins le comité d’audit est en charge du suivi de l’efficacité des systèmes de gestion des risques et des actions prises en cas de défaillance.

Par ailleurs, le comité d’audit est chargé du suivi de l’indépendance des commissaires aux comptes, et d’émettre une recommandation relative à la nomination des commissaires aux comptes.

Et enfin dernière obligation, mais pas la moindre, le comité d’audit doit régulièrement rendre compte à l’organe collégial chargé de l’administration ou à l’organe de surveillance de l’exercice de ses missions et l’informe sans délai de toute difficulté rencontrée.
Là encore, en pratique, les sociétés devront définir dans leur charte de fonctionnement du comité d’audit, le contenu (plan d’action, conclusions, recommandation, etc.) et la périodicité des rapports à transmettre au conseil. PwC/Landwell & Associés a développé un exemple de charte de fonctionnement disponible sur www.pwc.fr.

Même si ces missions ne sont pas considérées comme nouvelles pour certaines sociétés, le fait de les réglementer garantit un niveau minimum de contrôle aux investisseurs et aux tiers partenaires de l’entreprise.

  • La responsabilité des membres du Comité d’audit est-elle accrue ?

Un chapitre épineux… surtout en période de crise, de plus grande exposition aux risques, de pression sur les performances des entreprises, de pression sur les objectifs individuels…

Et en plus cette question suscite également de vifs débats. Deux avis s’opposent :
- Pour certains, la responsabilité des administrateurs est inchangée. En effet, la responsabilité propre du comité d’audit ne peut être engagée, le comité n’ayant pas d’existence juridique. Il agit, comme précisé par l’ordonnance, sous la responsabilité exclusive et collective des membres de l’organe chargé de l’administration ou de l’organe de surveillance.
- Pour d’autres, au contraire, seule la responsabilité individuelle des administrateurs peut être engagée.La notion de responsabilité collective n’existe pas au niveau du conseil d’administration, celui-ci n’étant pas doté d’une personnalité morale.
En conséquence, comment ne pas considérer comme accrue la responsabilité tant solidaire qu’individuelle des administrateurs, notamment du membre désigné ayant les compétences comptables ou financières, en cas d’irrégularité dans les comptes, de survenance d’une fraude significative… ? Il serait fort dommage que la jurisprudence tranche sur ces questions aux dépends de certains membres de comités d’audit…

En tout état de cause, que la responsabilité soit solidaire pour une décision prise collégialement ou individuelle, il est impossible de ne pas considérer comme accrue la responsabilité des membres du comité d’audit par les missions désormais réglementées (confère question précédente). Ils ne donnent plus un simple avis au conseil, ils doivent assurer le suivi, pour le conseil et vis-à-vis des tiers, de l’efficacité des procédures de gestion des risques. En cas d’irrégularités dans les comptes, de fraudes, de risques opérationnels majeurs, les administrateurs pourront voir leur responsabilité engagée avec une plus forte exposition des membres du comité d’audit, sauf à considérer que c’est le conseil qui endossera la responsabilité du comité d’audit (celui-ci agirait sous la seule responsabilité du conseil.)
En cas d’action judiciaire engagée contre les membres du conseil, des non membres du comité d’audit pourraient être tentés de se tourner vers les membres dudit comité spécialisé pour n’avoir pas fait les diligences attendues et nécessaires.

De telles situations délicates peuvent être évitées. Comment ? En apportant une attention particulière à la formalisation des travaux et des conclusions.
Selon notre expérience, les situations les plus risquées pour les administrateurs sont celles où il existe des rapports et des cartographies mettant en exergue l’existence de faiblesses, d’anomalies, assorties de recommandations mais qui n’ont pas été suivies des actions qui s’imposaient.

  • Comment le Comité d’audit peut-il « suivre l’efficacité des systèmes de contrôle interne et de gestion des risques » ?

La démarche générale du comité d’audit devrait reposer :

  • sur l’identification des risques auxquels la société est exposée; Ainsi, un examen régulier s’impose de la cartographie des risques susceptibles d’avoir un impact financier : risques fiscaux, juridiques et pénaux, environnementaux, voire même opérationnels, etc.
  • sur la revue du dispositif de pilotage des risques et de son adéquation par rapport à la stratégie de gestion des risques définie par la direction : organisation au sein du groupe du suivi des risques, rôle du Risk manager, (ou Compliance Officer), existence de procédures adaptées de contrôle et de suivi des risques,
  • sur l’examen d’indicateurs montrant le bon fonctionnement de ce dispositif de pilotage.

En pratique, pour suivre l’efficacité des systèmes de contrôle interne et de gestion des risques, le comité d’audit peut notamment s’appuyer sur :

  • les procédures de contrôle interne : revue de l’existence d’un manuel de procédures de contrôle interne, analyse de l’adéquation des contrôles pour couvrir les risques, revue de l’évaluation de la direction sur l’efficacité des contrôles, analyse de la réalité de la culture de contrôle ;
  • les travaux de l’audit interne : l’examen de l’organisation et de la compétence de l’audit interne, la revue de la définition et de l’étendue des travaux au regard des risques significatifs et problématiques complexes, la prise de connaissance des conclusions des rapports d’audit interne et le suivi par la direction des recommandations pour couvrir des faiblesses constatées le cas échéant ;
  • les travaux et conclusions des auditeurs externes et des conseils externes qui peuvent être directement mandatés par le comité d’audit sur des risques non couverts par la société ;
  • les procédures pour couvrir des risques liés à des opérations non récurrentes ; telles que les opérations de croissance externe ou de cession, de restructuration, etc.
  • l’application de codes de gouvernement d’entreprise comme celui de l’AFEP/MEDEF,
  • l’existence et l’application de code de bonne conduite et d’éthique.
  • Comment le Comité d’audit peut-il « justifier régulièrement de la réalisation de ses missions auprès du Conseil d’administration ou de surveillance et l’informer des difficultés sans délai » ?

Une attention particulière est à porter sur la formalisation des travaux et des conclusions. Bien plus qu’une formalité, la documentation constitue le moyen de justifier que le comité a bien rempli sa mission vis-à-vis du conseil. La formalisation est d’autant plus importante que ses diligences reposent en partie sur les travaux d’acteurs majeurs au sein de l’entreprise en matière de contrôle interne et de gestion des risques (audit interne, directeur des risques / Risk manager, etc.) .

La périodicité et la forme des comptes rendus d’activité sont à définir avec le conseil. Ils peuvent notamment comprendre :
- des procès verbaux des réunions du comité d’audit,
- des rapports sur les missions réglementées et sur les travaux spécifiques demandés par le conseil, décrivant les diligences réalisées, les conclusions, les mesures proposées pour couvrir les anomalies identifiées,
- un suivi des plans d’actions décidés par le conseil sur les anomalies relevées.

S’agissant des rapports écrits mettant en exergue des anomalies ou dysfonctionnements, il est primordial qu’il y ait une information rapide du conseil et surtout que des mesures appropriées soient prises au plus vite. Le comité doit informer et agir en conséquence, à défaut il expose le conseil et les membres du comité eux-mêmes à des actions en responsabilité. La connaissance comme l’ignorance, au même titre que le défaut de diligence peuvent générer des responsabilités, civiles voire pénales dans des cas exceptionnels, dont l’étendue variera en fonction de la gravité de la faute commise.

  • Quelles sont les nouvelles relations légales entre les Commissaires aux comptes et le Comité d’audit ?

Interlocuteur privilégié du comité d’audit déjà en pratique, le commissaire aux comptes a vu son rôle confirmé et précisé.

Ainsi, les commissaires aux comptes doivent :
- rapporter au comité les faiblesses significatives de contrôle interne relatives aux procédures d’élaboration des comptes,
- communiquer au comité les éléments portés jusqu’à présent à la connaissance du conseil tels que le programme général de travail, les sondages effectués, les modifications qui paraissent devoir être apportées aux comptes à arrêter, les observations sur les méthodes d’évaluation utilisées pour leur établissement, les irrégularités et inexactitudes découvertes dans le cadre de leur mission, etc.,
- examiner avec le comité les risques pesant sur son indépendance et les mesures de sauvegarde prises,
- et communiquer au comité chaque année, une déclaration d’indépendance, une actualisation des informations sur les prestations du réseau jusqu’à présent fournies à l’attention des actionnaires, ainsi que les prestations accomplies au titre des diligences liées à sa mission.

Un dialogue régulier entre les commissaires aux comptes et le comité d’audit ne peut que renforcer la qualité des contrôles de l’information comptable et financière.


Feedback

Landwell & Associés

Tél. : +33 1 56 57 56 57
Fax : +33 1 56 57 56 58

Nous contacter par mail
Nos Bureaux en France