Audit du chiffre d’affaires déterminé par une entité tierce : les précautions à prendre
Face à la montée en puissance des transactions commerciales dématérialisées pour lesquelles la relation client-fournisseur n’est plus directe mais passe par l’intermédiaire d’une entité tierce, les entreprises utilisant ces services digitalisés d’intermédiation perdent peu à peu le contrôle sur la détermination de leur chiffre d’affaires. Une récente publication du comité des normes professionnelles de la CNCC1 apporte des réponses aux problématiques rencontrées par les commissaires aux comptes lors de l’audit des comptes de revenus des sociétés qui dépendent de prestataires externes.
Une externalisation qui recoupe plusieurs cas de figure
Afin de sérier les problématiques que le commissaire aux comptes est susceptible de rencontrer, il est nécessaire de définir le cadre de cette externalisation. Contrairement au recours à un centre de services partagés, à l’initiative le plus souvent d’une société mère d’un groupe – qui a d’ailleurs fait l’objet d’une note d’information à l’usage des commissaires aux comptes2 – l’externalisation visée résulte de situations imposées qui se sont développées en raison de l’intermédiation croissante de plateformes dématérialisées dans le processus de vente.
Dans ce contexte, se pose la question des diligences du commissaire aux comptes pour asseoir les assertions sur le chiffre d’affaires lorsque celui-ci est déterminé en totalité ou partiellement par une source externe à l’entité auditée.
Exemples :
- Utilisation de « market place » (de type Amazon, Cdiscount, eBay…) pour la vente de produits.
- Utilisation d’une plateforme de réservation de nuitées dans l’hôtellerie.
- Vente sur site spécifique (« corner » de marques) dans des enseignes de grande distribution pour lesquelles les ventes sont enregistrées directement par les caisses enregistreuses des grands magasins.
- Information des diffuseurs de contenu auprès des éditeurs de contenus rémunérés en fonction du nombre de diffusions.
- Plateforme de jeux vidéo (de type Steam, Epicgame…) proposant des jeux de différents éditeurs.
La démarche d’audit
Si la direction d’une entité est responsable du contenu de ses états financiers et de l’environnement de contrôle interne qui participe à leur établissement, le commissaire aux comptes doit, à l’issue de ses travaux, obtenir une assurance raisonnable que les comptes pris dans leur ensemble ne comportent pas d’anomalies significatives.
Pour ce faire, le commissaire aux comptes ne peut s’abstenir de prendre en compte la particularité qui consiste à comptabiliser le chiffre d’affaires à partir des éléments fournis par un tiers. En particulier, dans le cadre de la prise de connaissance de l’organisation de l’entité et de son environnement, le commissaire aux comptes s’enquerra, entre autres, de la nature des prestations fournies par l’entité « source » et de leur importance pour l’entité auditée (simple relai entre le fournisseur et le client ou gestion étendue de la relation client). Il appréciera également la capacité de l’entité auditée à mettre en œuvre des procédures de contrôle sur les informations fournies par l’entité « source ».
Remarque :
L’analyse du contrat liant les deux parties est indispensable pour apprécier le risque pesant sur le chiffre d’affaires : processus de vente (de la commande au paiement client) plus au moins informatisé ; fait générateur de la comptabilisation du chiffre d’affaires en conformité avec le référentiel comptable applicable ; fréquence du reporting fourni par l’entité « source », existence d’une clause d’audit sur l’entité « source », etc.
Si les demandes d’affirmation sont des procédures habituelles pour les commissaires aux comptes, signalons également la possibilité de demander à l’entité « source », lorsqu’il existe, le rapport attestant de l’efficacité opérationnelle des contrôles en place, établi conformément à la norme ISAE 34023. En ayant évalué le dispositif de contrôle interne de l’entité « source » par un tiers indépendant, le commissaire aux comptes de l’entité auditée pourra s’appuyer sur ce rapport pour apprécier le risque d’anomalies significatives sur les informations données par l’entité « source ».
Présomption de fraude sur les produits !
Il est bon de rappeler que la NEP 240 instaure une présomption de risque d’anomalies significatives résultant de fraudes dans la comptabilisation des produits. Le commissaire aux comptes s’attachera à déterminer si ce risque peut s’accroître ou diminuer dans le contexte particulier d’une externalisation des données sur le chiffre d’affaires.
L’analyse des risques : les bonnes questions
Quelle que soit l’activité exercée par l’entité auditée, l’analyse des conventions qui lient cette entité à celle qui détient l’information sur le chiffre d’affaires doit permettre d’apprécier le contrôle (ou la perte de contrôle) sur la donnée relative au chiffre d’affaires. À ce titre, les questions suivantes pourront être posées.
| Questionnaire de points clés (liste non exhaustive) – source CNP 2021-04 |
| Quelles sont les modalités de prises de commande et par qui sont-elles prises ? |
| Qui facture le client (l’entité auditée ou l’entité source de l’information (ex : plateforme) ? |
| Quelles sont les modalités de rémunération de l’entité « source » (la commission de l’entité « source » est-elle prélevée par elle directement sur le montant facturé aux clients et l’entité auditée perçoit-elle le montant net du chiffre d’affaires ou bien la commission de l’entité « source » fait-elle l’objet d’une facturation distincte à l’entité auditée qui perçoit le montant brut du chiffre d’affaires) ? |
| Qui a la charge de la gestion du stock ? (ex : stock détenu dans un dépôt de la plateforme ? ) |
| Qui reçoit en premier lieu les règlements des clients ? (entité source ou fournisseur ?) et qui gère les comptes bancaires correspondants ? |
| Qui collecte et assure la mise à jour des données relatives aux clients (coordonnées, etc.) ? |
| Envers qui le client peut-il intenter un recours en cas de désaccord sur le montant facturé et/ou les produits livrés ou prestations rendues ? |
| Qui décide de l’émission d’un avoir ? |
| Qui procède au remboursement du client en cas d’émission d’un avoir ? |
| En cas de non-paiement de la facture, qui procède à la relance ? |
Les procédures pertinentes
À l’issue de son évaluation des risques, le commissaire aux comptes met en place des procédures complémentaires telles que des tests de procédures sur les contrôles effectués par l’entité auditée, voire sur ceux de l’entité « source » lorsque cette possibilité est envisagée, notamment par une clause d’audit figurant dans le contrat liant les deux parties (voir supra).
À ce titre, le commissaire aux comptes peut circulariser l’entité « source » afin d’obtenir le détail du chiffre d’affaires réalisé sur l’exercice, du stock en sa possession (par exemple, dans le cas d’une utilisation d’une « marketplace »). Le commissaire aux comptes peut aussi effectuer des contrôles de substance par la mise en œuvre de tests de détail et mener des procédures analytiques.
Exemple
Dans le cas d’une centrale de réservation en ligne de nuits d’hôtel avec paiement en ligne du client, l’hôtelier peut faire une corrélation entre les nuitées effectivement passées dans son hôtel en fonction des tarifs pratiqués et les chiffres d’affaires communiqués par la centrale de réservation.
Enfin, au-delà des diligences exposées ci-avant, la finalité des travaux est de porter une opinion sur les comptes de l’entité auditée (dont l’annexe). Lorsque le chiffre d’affaires de l’entité auditée est en majorité déterminé par une source externe, le commissaire aux comptes s’assurera qu’une mention de ce fait figure dans l’annexe en tant qu’information significative, avec une indication des modalités de reconnaissance du chiffre d’affaires.
1 CNCC, CNP 2021-04, octobre 2022.
2 CNCC, NI XIX « Le commissaire aux comptes et l’audit d’une entité ayant recours aux services d’un CSP au sein d’un groupe », septembre 2018.
3 Norme ISAE 3402 « Rapport d’assurance sur le contrôle interne des sociétés de services », rapport de type 2.
