« Avec les nouvelles technologies, les clients s’attendent aujourd’hui à ce que nous fournissions une certification de nature quasiment absolue. Les textes ne disent pas cela mais il convient d’être extrêmement attentifs à cette remontée de curseur qui se fait et à ce qu’elle peut induire à la fois dans les attentes de nos parties prenantes et dans nos propres procédures ». Philippe Vincent, président de la CNCC, a relancé avant-hier, lors d’un colloque de la commission des sanctions de la H2A, le sujet du niveau d’assurance fourni par le commissaire aux comptes en tout cas pour l’audit légal des comptes — rappelons que l’assurance exigée pour le reporting de durabilité issu de la CSRD est limitée et non pas raisonnable.
« Chaque fois qu’il y a une fraude non détectée, le client s’étonne en nous demandant «mais comment se fait-il que vous ne l’avez pas vue ?», illustre-t-il. Et on voit maintenant, par exemple sur les attestations émises pour qu’une entité bénéficie d’une subvention, des remises en cause de certaines autorités de l’État nous disant «nous, on a refait les contrôles et sur les 2000 factures qui étaient en sous-jacent à l’attestation, on en a trouvé une pour laquelle il y avait une erreur matérielle de saisie que le commissaire aux comptes n’a pas vue. Donc il n’a pas fait son travail, ce qui est inacceptable» », rapporte-t-il. Avant d’ajouter : « Le principe d’une attestation est basé lui-aussi sur le travail par sondage. On ne repointe pas chaque facture. On s’attache à comprendre le process qui a permis l’élaboration du document sous-jacent et on ne va pas revalider toutes les factures une par une », analyse Philippe Vincent
Sans surprise, Blandine Gardey de Soos, rapporteure générale de la H2A, a rappelé, lors de cet évènement, « s’agissant du niveau d’assurance à atteindre par le commissaire aux comptes, que le régulateur n’a pas d’autres exigences que celles prévues par la loi et le règlement ». On peut se référer à 
la Nep 200 relative aux Principes applicables à l’audit des comptes mis en oeuvre dans le cadre de la certification des comptes et notamment au paragraphe 8 qui prévoit que «la formulation, par le commissaire aux comptes, de son opinon sur les comptes nécessite qu’il obtienne l’assurance que les comptes pris dans leur ensemble ne comportent pas d’anomalies significatives. Cette assurance élevée, mais non absolue du fait des limites de l’audit, est qualifiée par convention d’assurance raisonnable». Ainsi, conformément aux dispositions réglementaires que je viens de citer, le régulateur ne s’attend pas à ce que le dossier d’audit documente une assurance absolue quant à l’absence d’anomalies significatives sur les comptes mais une assurance élevée qualifiée par convention d’assurance raisonnable. En revanche, le régulateur ne peut pas accepter une assurance modérée ».
Le débat sur le périmètre des contrôles à des fins comptables n’est pas nouveau. Il y a quelques mois, Matthieu Carrée, commissaire aux comptes, l’avait abordé dans nos colonnes dans le cadre de la réforme de la facture électronique. « [Elle] devrait conduire à une amélioration globale de la qualité et de la fiabilité des données comptables, grâce à la standardisation des formats et à la traçabilité des flux », estimait-t-il. Les cabinets pourront ainsi exploiter des données exhaustives, recourir à des procédures d’audit automatisées et développer des analyses de données massives, en remplaçant progressivement le contrôle par sondage par des tests de cohérence sur des populations entières », avançait-t-il.
En 2022, une étude de l’institut Messine, un think tank soutenu par la CNCC, montrait plutôt que l’audit exhaustif des données relèvait davantage du mirage que du miracle. « Bien sûr, nous possédons tous des outils extracteurs de données qui nous permettent de faire émerger des points de contrôle et de détecter d’éventuelles anomalies sur des bases de données importantes, illustrait à l’époque Nathalie Malicet. Or, quand surgissent des anomalies, que la liste soit courte ou longue, se posera toujours la question de savoir si l’on tente de traiter une par une chacune de ces anomalies ou si, au contraire, l’on essaie de déterminer des sous-groupes et de rechercher des indications au travers de sondages réalisés sur ces sous-ensembles. Dans ce cas précis, la data va nous apporter un soutien inestimable. Toujours est-il que l’auditeur ne peut pas s’affranchir des normes qui encadrent strictement son métier, tout comme des contraintes de temps et de budget qui pèsent sur lui. C’est pourquoi nous faisons, in fine, le choix de travailler par sondage, résumait-t-elle. Il ne faut pas perdre de vue que les tests réalisés par sondages, et non sur une population globale, sont aujourd’hui au cœur de la démarche d’audit dictée par les normes d’exercice professionnel ».
Autre problème soulevé à l’époque, la présence de données fausses que le contrôle dit exhaustif ne permettrait pas forcément de détecter. « Nous devons auditer également tout ce qui se situe autour de l’entreprise si l’on veut apporter une «vérité vraie». On ne peut, en effet, estimer la qualité des données recueillies que si l’on se pose la question d’auditer aussi la matérialité des éléments qu’elles décrivent », argumentait Nathalie Malicet. Un sujet d’ailleurs d’actualité avec la facture électronique. Bien que cette réforme puisse améliorer la lutte contre la fraude, elle n’apporte en elle-même aucun progrès en matière de vérification de la matérialité des biens et/ou services qui figurent sur une facture.
Et en fin d’année dernière, Philippe Vincent livrait dans nos colonnes que « pour avoir une assurance absolue, il faudrait maîtriser l’ensemble des transactions comptables enregistrées et toutes les transactions qui ne sont pas enregistrées. L’assurance absolue reste une utopie », résumait-il. Mais aujourd’hui, il met en exergue la volonté des entités auditées que le Cac délivre une assurance de nature quasiment absolue.
