Nathalie Malicet (CNCC) : « ce n’est pas parce que c’est automatique que c’est juste »

Pouvez-vous nous expliquer ce qu’est la Compagnie Nationale des Commissaires aux Comptes (CNCC) ?

La Compagnie Nationale des Commissaires aux Comptes (CNCC) est l’institution chargée de promouvoir, représenter et défendre la profession de commissaire aux comptes. Il s’agit d’une profession réglementée, au même titre que les avocats ou les médecins. La CNCC a également un rôle disciplinaire partagé avec un régulateur, la Haute Autorité de l’Audit.

Quel est le rôle du Commissaire aux Comptes et ses attentes vis-à-vis de l’informatique ?

Nous réalisons l’audit des entreprises et émettons une opinion sur leur situation financière. Nous nous assurons que leurs comptes sont sincères, complets et loyaux. A partir de 2025, nous aurons aussi un rôle sur la certification du reporting extra-financier (RSE).

Bien entendu, le commissaire aux comptes ne peut pas vérifier ligne à ligne les innombrables écritures comptables d’une entreprise. Nous travaillons donc par sondage. Avec la numérisation de la production financière, nous nous intéressons de plus en plus à la data.

D’abord, nous voulons bien connaître les entrées. Les ERP sont alimentés par de multiples systèmes et des saisies de personnes. Nous devons nous assurer de la qualité de ces données, même celles renseignées par les magasiniers.

Ensuite, nous étudions la qualité des traitements qui vont transformer les données en information financière. Nous nous assurons que les traitements sont transparents, sincères et loyaux. Dans les faits, nous n’allons pas contrôler les lignes de code de l’ERP mais nous pouvons auditer son fonctionnement et recourir, le cas échéant, à un expert informatique. Nous pouvons vérifier par des tests certains processus, par exemple l’entrée d’une facture d’achat, y compris au niveau de l’OCR, pour contrôler que ce sont les bonnes lignes comptables qui sont générées, notamment la bonne affectation en termes de fournisseur, de nature d’achat, etc. Quand il y a une sortie de stock, par exemple pour une vente, il faut aussi vérifier que ce sont les bonnes écritures, les bons montants, les bonnes dates, etc. Il s’agit, en fait, de s’assurer d’une absence d’erreur et de fraude.

L’informatique, ce n’est pas parce que c’est automatique que c’est juste.

La réforme en cours de la facturation électronique obligatoire est-elle un sujet pour vous ?

Nous avons en effet un groupe de travail sur le sujet. Contrairement à ce que Bercy proclame, ce n’est pas qu’un sujet fiscal. La facture est l’aboutissement d’un processus. Et c’est ce processus tout entier qui est à prendre en compte.

Le retard pris par la réforme donne du temps aux entreprises pour revoir leurs processus, contrôler comment la conformité va être garantie. Cette réforme a une incidence profonde sur l’organisation interne des entreprises. Grâce au recul du calendrier, les entreprises gagnent en sérénité pour évoluer mais il ne faut pas perdre ce temps gagné en procrastinant.

Cette réforme constitue une vraie opportunité pour optimiser les processus et revoir l’organisation. Elle ne doit surtout pas se résumer, pour les entreprises, à choisir un outil de télétransmission ou une PDP (Plate-forme de Dématérialisation Partenaire). Il y a, notamment, une réelle nouveauté procédurale : l’émetteur d’une facture a désormais l’obligation de s’assurer que la facture est bien conforme et a été correctement reçue.

Comment les commissaires aux comptes appréhendent-ils le sujet de la cybersécurité ?

Comme vous le savez, selon les études des assureurs notamment, les cybermenaces constituent le premier péril pour les entreprises.

La CNCC a développé en 2018 un outil de cyber-audit pour ses membres. Il s’agit d’un outil de diagnostic qui permet de mesurer l’exposition d’une entreprise, mesurer la maturité de celle-ci et mesurer les conséquences financières d’une attaque selon divers scénarios. Au final, il permet de calculer le coût potentiel d’une cyber-attaque. Il est le plus souvent difficile de réduire l’exposition mais, par contre, on peut travailler sa maturité et ainsi accroître sa cyber-résilience.

Le diagnostic, c’est souvent que les moyens accordés à la cybersécurité sont insuffisants. Même si, trop souvent, les entreprises considèrent que la cybersécurité est un problème technologique auquel la réponse est nécessairement technologique. Mesurer le coût d’une cyber-attaque a, cela dit, un effet intéressant : cela permet de relativiser le coût des investissements réclamés par le RSSI.

Il faut toujours qu’une entreprise soit en mesure de détecter une attaque, la stopper et repartir.

Mardi 27 février, lors de la Journée Confiance Numérique, nous avons d’ailleurs pu écouter le retour d’expérience d’un hébergeur sur une cyber-attaque qu’il a subi.

Autre sujet du moment : l’IA. Qu’est ce que l’émergence de celle-ci change pour vous ?

L’IA constitue un ensemble d’outils qui va permettre plus de rapprochements, plus de contrôles, plus d’analyses de flux et de processus… plus systématiquement et donc détecter davantage de fraudes ou d’erreurs.

Si je regarde l’IA avec intérêt, je le fais aussi avec méfiance. Il ne faut pas oublier que, dans ses réponses, ChatGPT a plus d’un tiers de taux d’erreur. L’IA ne fera pas disparaître des métiers comme les nôtres mais va les augmenter. L’auditeur (comme le médecin) va émettre un jugement professionnel contextualisé mais l’IA peut évidemment aider.

Et puis il ne faut pas oublier que l’IA ne génère pas d’information. Il faut donc bien s’interroger sur la qualité de la data qui lui est soumise.

Enfin, nous devons nous intéresser à l’emploi de l’IA par les entreprises auditées. Si elles mettent en œuvre une IA pour calculer des provisions sur des impayés, il faut vérifier que les règles appliquées sont correctes.

Quels sont vos défis en relation avec le numérique pour 2024 ?

Les commissaires aux comptes exercent leur profession, approximativement, de 30 à 70 ans. Il ne faut pas faire de jeunisme mais, depuis quelques années, nous devons embarquer tous nos membres. Nous les aidons à bien appréhender le digital. Cela reste un défi en 2024.

Le commissaire aux comptes est un acteur de la confiance, y compris de la confiance numérique. Il faut toujours se rappeler que le capital informationnel contribue fortement à la valeur de l’entreprise. Et la conformité réglementaire (RGPD, règles fiscales…) est un vrai enjeu financier. Avec NIS2, la non-conformité aux règles de cybersécurité pourra être financièrement sanctionnée et cette directive constitue donc un gros enjeu pour de nombreuses entreprises. Un dirigeant d’entreprise ne peut plus ne pas s’intéresser au numérique, à la cyber-résilience, à l’IA… Nous devons les accompagner sur ces sujets, les aider à comprendre ces évolutions et leurs conséquences.

Enfin, le reporting RSE constitue un réel défi. La collecte des données nécessaires est bien plus complexe que pour les reportings financiers.