Beaucoup d’encre a d’ores et déjà coulé pour décrire ces nouvelles dispositions (outre les différents liens mentionnés plus loin, voir par exemple les commentaires de Landwell ou cet article de la RDBF) qui résultent de l’article L.823-19 du code de commerce introduit par l’Ordonnance du 8 décembre 2008. Cette réglementation est prise en application de la fameuse 8ème Directive européenne du 17 mai 2006 qui fait obligation à toute entreprise cotée de se doter d’un comité d’audit.

Depuis la parution de cette directive (et de la Recommandation de la Commission européenne en date du 15 février 2005), de nombreux comités de réflexions ont été réunis en France pour faire l’exégèse de ce texte et en identifier les conséquences pratiques. C’est ainsi que l’Institut Français des Administrateurs a réuni deux commissions : l’une sur les rapports entre le comité d’audit et les commissaires aux comptes et l’autre sur la responsabilité des membres des comités. L’IFA a également conduit des travaux en partenariat avec l’IFACI et l’AMRAE sur l’audit interne pour le premier et la maîtrise des risques pour le second. Le Club des Juristes a lui aussi pris position dans un rapport datant de juin 2009.

C’est probablement la multiplicité des commentaires qui a conduit l’AMF à réunir son propre groupe de réflexion afin de fixer quelques lignes claires qui pourraient non seulement inspirer les entreprises mais aussi les tribunaux. En effet, un certain nombre d’experts regrettaient la profusion de ces textes, la légère tendance à la surenchère de bonnes pratiques qu’ils véhiculaient et les conséquences juridiques qui pourraient en découler devant les juges.

Un recadrage de la part d’une autorité comme l’AMF était souhaitable pour éviter des pratiques hétérogènes et peut être des interprétations trop ambitieuses. Le rapport du groupe de travail affiche donc clairement que l’objectif de l’AMF est de « souligner les points saillants des missions confiées au comité d’audit, d’apporter un éclairage sur son périmètre d’intervention et de proposer une démarche concrète de mise en œuvre, permettant ainsi de poser les fondamentaux et d’éviter des pratiques à géométrie variable ». Cette initiative lui permet aussi de « rappeler que les comités d’audit étaient au cœur de ses préoccupations » (la qualité de l’information financière est centrale dans sa tâche de protection des investisseurs et faisaient partie des nouveaux enjeux de régulation).

En vertu de la recommandation de l’AMF, les sociétés cotées devront se référer au rapport du groupe de travail dans le rapport du Président sur le contrôle interne et la gestion des risques, et, dans la logique habituelle du « comply or explain », en cas d’application partielle, elles devront clairement identifier les recommandations qu’elles ont appliquées et la raison pour laquelle elles n’appliquent pas les autres.

Ce rapport comporte quatre idées essentielles :

• Le champ d’action ducomité d’audit est strictement encadré et subordonné

• Il s’agit d’un comité purement technique qui surveille le processus de gestion des risques

• La responsabilité de ses membres est conforme au droit commun

• L’organisation du comité est exclusivement définie par le conseil (d’administration ou de surveillance)

1. Le positionnement du comité au sein des organes sociaux est très précis.

Il s’inscrit dans une sorte de hiérarchie implicite qui veut que la direction générale de l’entreprise (qui apparaît en première position dans le déroulement du texte) soit responsable de la conception, de la mise en œuvre, de la surveillance continue et de l’amélioration des systèmes de contrôle interne. C’est de la direction que vient l’information appropriée qui doit être communiquée « en temps voulu » au conseil et au comité.

Vient ensuite le conseil d’administration (ou de surveillance) qui doit avoir une compréhension globale des procédures de contrôle interne et de gestion des risques pour s’assurer de la fiabilité de l’information financière. Il doit rendre compte des risques dans le rapport de gestion, en vertu de l’article L. 225-100 du Code de Commerce. Il peut certes, en tant que de besoin, « faire usage de ses pouvoirs généraux pour faire procéder aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estimerait appropriée en la matière », mais l’impression générale qui ressort de ce texte est que le conseil est dans une fonction de contrôle de l’existence d’un système, la direction générale étant pleinement responsable à la fois de l’aspect opérationnel des choses, ce qui est normal, mais aussi de la stratégie de gestion du risque.

Cette vision plutôt passive est très éloignée de ce qui se fait outre-manche où l’un des rôle du conseil est de déterminer le « risk appetite » de l’entreprise, définition éminemment stratégique qui vient nécessairement en amont des responsabilités opérationnelles de la direction générale. C’est ainsi que le UK Corporate Governance Code prévoit que « The board is responsible for determining the nature and extent of the significant risks it is willing to take in achieving its strategic objectives. The board should maintain sound risk management and internal control systems ».

Puis, enfin, vient le comité d’audit qui est positionné comme une instance de préparation des travaux du conseil (d’administration ou de surveillance) agissant sous sa responsabilité et dont les règles de fonctionnement sont strictement définies par le règlement intérieur. Cette subordination est confortée par le fait que le comité doit faire des comptes rendus réguliers au conseil (a minima à chaque arrêté) comportant une synthèse de ses travaux, ses avis et des recommandations. Ces comptes-rendus sont formalisés par écrit dans le procès verbal du Conseil. En vertu de la loi, le comité doit faire part sans délai de toute difficulté qu’il pourrait rencontrer dans l’exécution de ses missions. Enfin, le conseil procède à l’évaluation annuelle du comité (à l’occasion de sa propre procédure d’évaluation).

2. Le comité d’audit est avant tout un comité technique dont la fonction essentielle est de surveiller les processus de gestion des risques.

Il est chargé par la loi de suivre les questions relatives à l’élaboration et au contrôle des informations comptables et financières et notamment (ce qui veut dire qu’il s’agit du minimum attribué par la loi) le « suivi » :

• Du processus d’élaboration de l ‘information comptable et financière. Il s’agit de suivre un « processus » et non « s’interroger sur le fond, la raison stratégique ou la substance d’une opération ou de juger de sa pertinence ». Par ailleurs, le fait que l’on qualifie l’information comptable et financière signifie que le comité doit aussi suivre des processus non purement comptables pour autant qu’ils donnent naissance à de l’information diffusée auprès des actionnaires. Il s’agit par exemple des modalités de construction des plans d’affaires permettant l’évaluation des actifs dans le cadre des tests annuels de dépréciation.

• De l’efficacité des systèmes de contrôle interne et de gestion des risques. Ces systèmes doivent reposer sur un référentiel. A cet égard, le groupe de travail a procédé au « toilettage » du référentiel de l’AMF qui est l’un de ceux auquel les entreprises françaises peuvent se référer. De manière logique, le rapport préconise que le comité d’audit soit appelé à formuler des observations sur le rapport du Président pour ce qui concerne ses compétences. En particulier il doit veiller à ce que le rapport mentionne les faiblesses significatives si celles-ci constituent des déficiences majeures (la détermination de cette qualité relevant apparemment de la responsabilité du conseil).

• Du contrôle légal des comptes annuels et consolidés. Là encore, il s’agit de travailler avec les commissaires aux comptes avec un prisme de gestion des risques, puisque l’objectif du comité est de « prendre connaissance des principales zones de risques ou d’incertitudes ». Il nous semble que cette approche est particulièrement restrictive. Le rapport Viénot en 1995 avait une vision plus ambitieuse des missions du conseil à l’occasion de l’arrêté des comptes (« le contrôle de la gestion et la vérification de la fiabilité et de la clarté des informations fournies aux actionnaires » ) et du rôle des comités (la préparation de la délibération du conseil pour « garantir la diligence et l’objectivité qu’impliquent ces missions»). Les nouvelles dispositions ne visent que la fiabilité. L’implication du comité sur la préparation du contrôle de la gestion et de la vérification de la clarté des informations a disparu.

• De l’indépendance des commissaires aux comptes. Là encore, mais la formulation de la loi est très claire, la mission est marquée par le sceau de la gestion des risques puisqu’il s’agit d’examiner les « risques pesant sur leur indépendance ».

Le groupe de travail a passé beaucoup de temps à définir ce qu’il faut entendre par le terme « suivi » appliqué aux quatre domaines précités. A l’inverse de la direction générale qui exerce « une surveillance continue », la surveillance du comité doit être « active » dans les domaines qui relèvent de sa compétence, mais « n’implique pas une action en continu ». Le rapport insiste sur le fait que le comité ne peut se substituer à la direction pour intervenir directement s’il a connaissance d’un dysfonctionnement (on voit d’ailleurs mal ce qu’un comité pourrait faire s’il souhaitait s’impliquer lui même). On attend du comité qu’il agisse avec « recul » en s’appuyant sur « des informations synthétiques ». On l’a compris, il s’agit d’éviter toute immixtion du comité dans la gestion opérationnelle, en l’enfermant dans un rôle de prise de connaissance, éventuellement de questionnement, en vue d’informer le conseil sur la fiabilité des processus de gestion des risques.

3. Une responsabilité conforme au droit commun.

Naturellement, il n’appartient pas à l’AMF de préciser le régime de responsabilité des administrateurs membres de comité spécialisé ou non. Mais compte tenu des incertitudes qui ont pu être relevées par différents spécialistes, l’AMF propose dans sa recommandation une interprétation du texte de loi compatible avec l’état du droit positif :

• Il n’existe pas de responsabilité collective du conseil d’administration, même si l’article L 823-19 précise que le comité agit « sous la responsabilité exclusive et collective » du conseil

• Les administrateurs sont responsables soit individuellement, soit solidairement (auquel cas il est nécessaire qu’une faute personnelle de chacun soit bien identifiée)

• Si la Cour de Cassation a récemment considéré que la faute de l’administrateur est présumée, l’exonération individuelle est toujours possible lorsque l’administrateur s’est comporté de manière diligente et prudente, par exemple en faisant part à ses collègues de son opposition et en faisant consigner son désaccord au procès verbal du Conseil.

• Le rapport affirme que la responsabilité « exclusive » du conseil signifie que les membres du comité d’audit ont pas une responsabilité spécifique eu égard à leurs fonctions. Cette interprétation est habituellement retenue, mais on peut soupçonner qu’un juge sera plus exigeant à l’égard d’un membre de comité d’audit car sa compétence financière et ses tâches de suivi lui permettent, en théorie, de mieux comprendre les problématiques de l’entreprise.

• L’existence d’un comité ne saurait cependant décharger le reste du conseil de ses responsabilités dans les domaines confiés au comité.

• Une action récursoire est toujours possible en cas de défaillance grave de la part d’un membre du comité (comme par exemple l’omission d’une information clé qui aurait dû être portée à la connaissance du conseil, ou bien l’affirmation fausse qu’une diligence essentielle a bien été conduite, ou bien l’omission).

4. L’organisation du Comité est librement définie par le conseil en vertu de la loi.

Dans la lignée des recommandations de l’Union Européenne, l’AMF considère qu’il faudrait que les comités comportent au moins trois membres. Pour les Valeurs Moyennes et Petites (Vamps) ayant décidé de se doter d’un comité (elles ont la possibilité de réunir leur conseil pour exercer le rôle du comité d’audit), ce nombre est porté à deux.

La loi impose cependant aux entreprises que les membres du comité soient :

• Des administrateurs : il s’agit là d’une restriction pour les conseils d’administration qui ne peuvent plus accueillir de personnes non administrateurs (comme un censeur) au sein d’un comité. Cette faculté n’existait pas pour les conseils de surveillance.

• Des administrateurs qui n’exercent pas de fonctions au sein de la direction, exigence déjà imposée par le code de gouvernement AFEP-MEDEF qui rajoute qu’au moins les 2/3 soient indépendants.

• Qu’au moins un membre du comité ait des compétences particulières en matière financière et comptable et soit indépendant. La compétence s’apprécie au regard de l’expérience professionnelle (ce qui fait des anciens auditeurs ou des directeurs financiers des candidats idéals), de la formation académique, des connaissances spécifiques utiles aux travaux du comité. L’AMF considère que tous les membres du comité doivent cependant disposer de « compétences minimales en matière financière et comptable à défaut d’expertise ». Fort logiquement, l’AMF ajoute qu’une « attention particulière pourra être portée sur une compétence en matière de contrôle interne ». Les critères d’indépendance sont ceux habituellement retenus dans le code précité. Ces critères de compétence et d’indépendance sont rendus publics par le Conseil.

Les modalités de fonctionnement du comité sont fixées par le conseil dans le Règlement intérieur qui doit rappeler les missions imposées par la loi au comité et préciser les éventuelles missions spécifiques que le conseil lui attribue. Le règlement fixe également les conditions dans lesquelles le comité se réunit (nombre de réunion, fréquence, fixation de l’ordre du jour…), l’existence d’un programme de travail annuel, les modalités d’information des membres du comité, et d’une manière plus générale les moyens dont il dispose. Pour faciliter les travaux, et représenter le comité auprès du conseil, un Président doit être nommé. Le rapport de l’AMF ne mentionne pas les conditions dans lesquelles cette nomination doit intervenir. On peut penser que là encore, le conseil est libre de la formule. Il n’est pas fait mention du secrétaire du comité dont l’existence nous semble indispensable compte tenu de cette nouvelle réglementation. Si le secrétaire du conseil ne joue pas ce rôle, un membre du comité devra être désigné pour le remplir.

Naturellement, la qualité des travaux du comité dépend avant tout des conditions dans lesquelles celui-ci est informé. Le rapport traite de cette question à plusieurs reprises. Conscient que le comité ne se réunit qu’épisodiquement et que la fonction d’administrateur n’est qu’intermittente, le rapport insiste sur le fait que l’information doit être avant tout transmise par la direction générale dans un format « synthétique » pour lui permettre de prendre le recul nécessaire.

A cet égard, son interlocuteur privilégié est le directeur financier. Mais le comité ne doit pas se contenter de recevoir passivement cette information. Il a la possibilité de rencontrer tous les acteurs de l’entreprise utile à son édification, et s’il le juge nécessaire, en dehors de la présence de la Direction générale ou du directeur financier : (responsables des fonctions comptables, trésorerie, audit interne, contrôle de gestion, gestion des risques, juridique, fiscal, les responsables des directions opérationnelles). Enfin, après avoir informé le président du conseil ou le conseil lui même, le comité d’audit peut recourir à des experts extérieurs lorsque « la situation l’exige ».

A l’issue de cette description, force est de constater que le comité d’audit porte bien son nom ! En latin, « auditus » veut dire « entendu ». La vision est extraordinairement passive. En se focalisant sur le contrôle des risques, on s’est insensiblement éloigné de la conception de « comité des comptes » préconisée par le rapport Viénot il y a quinze ans. Compte tenu des enjeux financiers de nos entreprises, des attentes des actionnaires (et en particulier des plus sophistiqués d’entre eux), le comité d’audit peut-il rester un simple organe de vérification de l’existence de processus de contrôle ?

Il est déjà prévu dans le rapport de l’AMF qu’il puisse se saisir de toute question qu’il juge utile ou nécessaire dans le cadre de l’exercice de ses missions, d’autant que la liste des tâches prévues dans la loi apparait clairement non exhaustive. Si d’aventure il venait à découvrir un risque non identifié par la direction générale, il devrait en envisager l’impact potentiel sur les comptes. Mais surtout, il est bien clair que les missions de suivi qui lui sont explicitement confiées par la loi peuvent être complétées par les missions supplémentaires que lui confierait le conseil. Est expressément évoqué dans le rapport le suivi des autres risques que ceux ayant une incidence sur les comptes tant il semble difficile de parcelliser l’analyse de risques par nature protéiformes. De même, le conseil peut décider de soumettre les communiqués de presse au comité pour qu’il puisse s’assurer de leur cohérence par rapport aux comptes ou encore de demander son avis sur le contenu de tout rapport ou document officiel de la société.

Mais on peut se demander s’il ne faut pas aller au-delà pour répondre aux attentes des actionnaires et probablement à celles de beaucoup d’administrateurs. En effet, qui, mieux qu’un comité spécialisé, peut analyser la dynamique et la stratégie financières de l’entreprise, les attentes des investisseurs, la capacité de l’entreprise à y répondre, le caractère approprié et adapté de la communication financière ?

Il ne s’agit pas de donner un pouvoir spécifique au comité d’audit, mais de tirer parti des compétences qu’il réunit pour éclairer les discussions et les décisions du conseil. Les enjeux de contrôle de risque liés aux comptes sont importants, mais il y a des défis financiers plus considérables encore aux dimensions techniques et stratégiques particulièrement complexes. Il est illusoire d’espérer que la stratégie financière ou la gestion du risque actionnarial puissent être traitées efficacement par le conseil sans qu’une préparation « technique » ait été faite préalablement afin d’éclairer cette discussion. L’élargissement des compétences du comité d’audit à la stratégie financière serait un réel progrès dans la gouvernance de l’entreprise.

Il faudrait alors peut-être lui trouver un autre nom ?

Cet article est publié conjointement sur le Blog de la DFCG

A lire aussi