Le rôle de l’organe de révision dans le système de contrôle interne (SCI) : est-il satisfaisant ?

(1)

Master

Reference

Le rôle de l'organe de révision dans le système de contrôle interne (SCI) : est-il satisfaisant ?

PAULI, Noémie

Abstract

Mon mémoire porte sur le rôle de l'organe de révision dans le système de contrôle interne.

J'ai étudié les directives édictées par les professionnels de l'audit, notamment les Normes d'audit suisse (NAS), afin de les comparer aux avis de la doctrine. J'ai également comparé l'obligation en matière de révision aux Etats-Unis avec celle en droit suisse. Ces recherches m'ont permis de nourrir mes réflexions et formuler différentes propositions d'amélioration législatives là où les solutions actuelles me paraissent insatisfaisantes.

PAULI, Noémie. Le rôle de l'organe de révision dans le système de contrôle interne (SCI) : est-il satisfaisant ?. Master : Univ. Genève, 2016

Available at:

http://archive-ouverte.unige.ch/unige:96358

Disclaimer: layout of this document may differ from the published version.

(2)

automne 2016

Le rôle de l’organe de révision dans le système de contrôle interne (SCI) : est-

il satisfaisant ?

PAULI Noémie

24 novembre 2016

(3)

Table des matières

I. Introduction ... 3

II. Définition du système de contrôle interne ... 3

III. Modèles de système de contrôle interne ... 5

A. Internal Control – Integrated Framework (COSO) 5 B. Code suisse de bonnes pratiques pour le gouvernement d’entreprise (CSBP) d’ECONOMIESUISSE 6 C. ISO 9000 6 IV. Cadre légal ... 6

V. Vérification de l’existence du système de contrôle interne par l’organe de révision ... 8

A. Existence ou fonctionnement 8 B.Objet et étendue du contrôle 10 C. Procédure de contrôle 10 1. Examen indépendant ... 10

2. Procédure d’audit applicable selon la Norme d’audit suisse 890 sur la vérification de l’existence du SCI (NAS 890) ... 11

D. Moment du contrôle 13 VI. Prise en compte du système de contrôle interne par l’organe de révision lors de l’exécution du contrôle et de la détermination de son étendue ... 14

VII. Le rapport de l’organe de révision sur le système de contrôle interne à l’intention du conseil d’administration ... 14

1. Forme ... 14

2. Contenu ... 15

VIII.Le rapport de l’organe de révision sur le système de contrôle interne à l’intention de l’assemblée générale ... 19

1. Forme ... 19

2. Contenu ... 19

IX. Conclusion ... 23

Lois, Ordonnances, Messages, Circulaires, NAS ... 25

Lois étrangères ... 26

Arrêt cité ... 26

Bibliographie ... 26

(4)

I. Introduction

L’obligation de révision en droit des sociétés a été revue par une modification du Code des obligations entrée en vigueur le 1^er janvier 2008. Le conseil d’administration doit mettre en place un système de contrôle interne (ci-après : SCI). L’organe de révision doit vérifier son existence, rendre des constatations relatives à celui-ci dans un rapport à l’intention du conseil d’administration et rendre un avis sur le résultat du contrôle à l’assemblée générale.

Ce travail s’interroge sur la portée et l’étendue du contrôle effectué par l’organe de révision, ainsi que le contenu et les limites du rapport qu’il doit rendre au conseil d’administration et à l’assemblée générale, afin de savoir si son rôle est satisfaisant.

Son regard sera critique et quelques propositions d’améliorations législatives seront formulées.

On commencera par définir la notion de SCI (II) et en présenter quelques modèles (III).

Puis, on exposera le cadre légal dans lequel il s’inscrit (IV). On s’interrogera ensuite sur la vérification de son existence (V) et sa prise en compte lors de l’exécution du contrôle et de la détermination de son étendue (VI). On présentera enfin le rapport que doit rendre l’organe de révision sur le SCI au conseil d’administration (VII) et à l’assemblée générale (VIII), avant de passer à la conclusion (IX).

II. Définition du système de contrôle interne

Le système de contrôle interne est l’une des composantes du « gouvernement d’entreprise » (ou « gouvernance »), qui tire son origine de la pratique anglo-saxonne de corporate governance ayant pour but d’améliorer la gestion des entreprises¹. Dans son Message, le Conseil fédéral explique qu’« un contrôle interne efficace doit permettre d’éviter, dans une large mesure, les égarements économiques des entreprises, dans l’intérêt général de l’économie »².

Ni le Code des obligations (CO), ni la loi Sarbanes-Oxley, applicable aux Etats-Unis, ne définissent le SCI. L’Autorité fédérale de surveillance des marchés financiers (FINMA) explique dans son projet de circulaire 2016/xx « Gouvernance d’entreprise – banques » que le SCI « comporte les processus, les méthodes et les mesures définis au sein de l’établissement et qui servent à garantir une sécurité adéquate concernant l’efficacité des processus d’activité, la fiabilité du rapport financier, la réduction des risques et le respect des lois et des prescriptions »³. La Chambre fiduciaire, appelée

« EXPERTSUISSE » depuis le 1^er avril 2015, donne la définition suivante : « Dans son acceptation générale, le SCI comprend tous les actes, méthodes et mesures ordonnés par le conseil d’administration, la direction et les autres cadres dirigeants, dans le but de garantir la bonne marche de l’entreprise et d’en protéger le patrimoine »⁴. Selon la Norme d’audit suisse sur la vérification de l’existence du SCI (NAS 890), ce dernier se

1 BLANC, p. 64 et Message du Conseil fédéral concernant la révision du code des obligations (CO), 21 décembre 2007, FF 2007 p. 1407 ss, p. 1425.

2 FF 2007 p. 1425.

3 Projet de Circ.-FINMA 16/xx « Gouvernance d’entreprise – banques », N 7. Il remplacera la Circ.- FINMA 08/24 « Surveillance et contrôle interne – banques » du 20 novembre 2008.

4 EXPERTSUISSE, Prise de position en matière de SCI, p. 555.

(5)

compose (i) d’un environnement de contrôle, (ii) d’un processus d’évaluation des risques de l’entreprise, (iii) des systèmes d’information importants en matière de présentation des comptes (y compris les processus de l’entreprise y relatifs) ainsi que de la communication, (iv) des activités de contrôle et (v) de la surveillance des contrôles⁵. Les mots « processus », « méthodes » et « mesures » ressortent de ces définitions. Il faut en conclure que le SCI n’est pas un organe de la société, mais une méthode ou un processus⁶.

La doctrine distingue le SCI au sens large (« im weiteren Sinne »⁷) du SCI au sens étroit (« im engeren Sinne »⁸).

Dans son sens étroit, le SCI doit être différencié de l’audit interne (1), de la gestion des risques (2), du controlling (3) et de la compliance (4) :

1) L’audit interne (dit aussi « révision interne ») est un outil (parmi d’autres) qui sert à évaluer l’efficacité du SCI, sans en faire partie⁹. Il agit comme un service de contrôle au sein d’une entreprise qui a pour objectif d’améliorer les processus de celle-ci en lui apportant des conseils¹⁰. Le Code des obligations (CO) n’oblige pas les entreprises à effectuer un audit. En revanche, il peut être requis par une loi spéciale (par exemple dans le domaine bancaire) ou par les statuts¹¹. Le conseil d’administration peut aussi décider d’en mettre un en place, conformément aux recommandations du Code suisse de bonnes pratiques pour le gouvernement d’entreprise (CSBP)¹².

2) Bien que les processus dépendent des risques identifiés par l’entreprise, il ne faut pas confondre le SCI avec la fonction de gestion des risques (risk management) qui doit être intégrée dans les procédures managériales existantes¹³.

3) Le controlling est une fonction de gestion courante qui assiste la direction, contrairement au SCI qui est indépendant de celle-ci¹⁴.

4) La compliance est une fonction qui « vise à assurer la conformité aux lois et règlements applicables à l’entreprise, soit l’un des objectifs principaux du SCI au sens large »¹⁵.

Dans son sens large, le SCI, mis en place par le conseil d’administration, englobe tous ces aspects¹⁶.

5 EXPERTSUISSE, NAS 890, p. 794.

6 BLANC, p. 66 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 26 et n. 17 ; PETER, p. 307 et n. 5.

7 BÖCKLI, § 15 N 267.

8 BÖCKLI, § 15 N 274.

9 CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 27 ; BLANC, p. 66 ; BASTIAN, p. 105 ; PETER, p. 307.

10 GERHARD,p. 118et n. 21 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 27.

11 PETER, p. 307.

12 ECONOMIESUISSE, art. 20 CSBP : « (…) La société institue une révision interne. Celle-ci fait rapport au comité de contrôle (« audit committee »), et, le cas échéant, au président du conseil d’administration ».

13 GERHARD,p. 119.

14 BLANC, p. 67.

15 GERHARD, p. 120 et n. 28.

16 Voir PETER, p. 311 et BÖCKLI/HUGUENIN/DESSEMONTET, p. 100.

(6)

III. Modèles de système de contrôle interne

Les sociétés suisses ne sont pas obligées d’adopter un modèle reconnu de SCI. Celui- ci dépend de la situation de l’entreprise, de sa taille, de ses activités et de ses besoins¹⁷. Il existe plusieurs modèles de SCI. Contrairement au référentiel comptable, qui doit être entièrement respecté quand il a été choisi, il est possible de ne mettre que partiellement en place un modèle de SCI¹⁸.

A. Internal Control – Integrated Framework (COSO)

Il existe plusieurs modèles de SCI. Le plus connu et le plus utilisé mondialement est le « Internal Control – Integrated Framework » défini par le « Committee of Sponsoring Organisations of the Treadway Commission » (COSO). Ce modèle a été révisé en 2013 et remplace ceux de 1992 et 2006.

Selon ce modèle, le contrôle interne porte sur « l’efficacité et l’efficience des opérations, la fiabilité de l’information financière et le respect des lois et règlements applicables »¹⁹ (soit operations, reporting et compliance). Il repose sur cinq éléments²⁰^:

1. l’environnement de contrôle (control environment), qui contient « l’intégrité, les valeurs éthiques et les compétences techniques au sein de l’entreprise »²¹ ; 2. l’évaluation des risques (risk assessment) ;

3. les activités de contrôle (control activities), qui sont les procédures qui servent à contrôler que les moyens pris pour éviter les risques identifiés sont adéquatement appliqués²² ;

4. l’information et la communication (information & communication) ;

5. les activités de surveillance (monitoring activities), qui examinent l’efficacité du SCI²³.

24

17 BLANC, p. 67 et 69.

18 CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 31 ; PETER, p. 308.

19 BUCHELER, p. 382.

20 GRAHAM, p. 3 et 4.

21 CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 33.

24 http://intreis.com/wp-content/uploads/2014/12/coso-cube.png

(7)

B. Code suisse de bonnes pratiques pour le gouvernement d’entreprise (CSBP) d’ECONOMIESUISSE

L’art. 20 CSBP recommande que le SCI soit « adapté à la taille, à la complexité et au profil de risque de la société ». Il ajoute que le SCI comprend aussi, selon les spécificités de la société, la gestion des risques et que la société doit instituer une révision interne²⁵.

C. ISO 9000

ISO 9000 est un ensemble de normes élaborées par l’Organisation internationale de normalisation (ISO) que les entreprises appliquent pour certifier un système de management de la qualité²⁶. Elles ne créent pas, en tant que telles, un modèle de SCI car leur objectif est différent : le but des processus dans le cadre du SCI est d’éviter les erreurs dans les comptes, alors que les normes ISO se focalisent sur la qualité des prestations de l’entreprise²⁷.

IV. Cadre légal

Le conseil d’administration a les devoirs intransmissibles et inaliénables de fixer les principes de la comptabilité et du contrôle financier (art. 716a al. 1 ch. 3 CO) et d’exercer la haute surveillance des dirigeants pour s’assurer qu’ils respectent la loi, les statuts, les règlements et les instructions données (art. 716a al. 1 ch. 5 CO). Les devoirs de fixer les principes de la comptabilité et du contrôle financier et d’exercer la haute surveillance l’obligent à mettre en place un SCI et à s’assurer de son bon fonctionnement et de son efficacité²⁸. La doctrine parle du processus mis en place par le conseil d’administration comme d’un SCI au sens large²⁹. Comme ces devoirs sont intransmissibles et inaliénables, la responsabilité incombe en premier lieu au conseil d’administration³⁰. La direction, qui est responsable de la mise en place de la politique d’affaires, peut devoir mettre concrètement le SCI en place³¹. Elle en est dans ce cas responsable, dans le sens où elle répond de l’exécution des mesures décidées par le conseil d’administration³².

La loi oblige les sociétés ouvertes au public et celles d’une certaine importance économique à se soumettre à un contrôle ordinaire d’un organe de révision (art. 727

25 ECONOMIESUISSE, art. 20 CSBP.

26 PETER, p. 310 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 35.

27 CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 35 ; PETER, p. 310.

28 Message du Conseil fédéral concernant la modification du code des obligations (obligation de révision dans le droit des sociétés) et la loi fédérale sur l’agrément et la surveillance des réviseurs, 23 juin 2004, FF 2004 p. 3745 ss, p. 3798 ; CR CO II-PETER/CAVADINI, CO 716a N 25 ; MEIER- HAYOZ/FORSTMOSER, p. 622 ; BLANC, p. 70 à 72 ; GERHARD, p. 121 ; EXPERTSUISSE, NAS 890, p. 792.

29 GERHARD, p. 120 ss ; PETER, p. 310 ss.

30 PETER, p. 311 et n. 15.

32 STENZ/CSIBI, p. 192.

(8)

CO), élu par l’assemblée générale (art. 698 al. 2 ch. 2 CO). Il s’agit de la révision externe. Le but du contrôle est que l’organe de révision détecte « les anomalies significatives, tant s’agissant des états financiers que des flux de transactions, des soldes des comptes, des informations fournies dans les états financiers et des affirmations faites par le management les concernant (techniquement ces affirmations sont dites des « assertions ») »³³. Il doit vérifier s’il existe un SCI (art. 728a al. 1 ch. 3 CO) et en tenir compte lors de l’exécution et de la détermination de l’étendue du contrôle des comptes annuels (art. 728a al. 2 CO). L’organe de révision établit ensuite à l’intention du conseil d’administration un rapport détaillé qui contient des constatations relatives au SCI (art. 728b al. 1 CO) et un rapport à l’intention de l’assemblée générale qui résume le résultat de la révision et contient un avis sur le résultat des comptes (art. 728b al. 2 ch. 1 CO). Lors de l’exécution de ces tâches, il encourt une responsabilité conformément à l’art. 755 al. 1 CO (« Toutes les personnes qui s’occupent de la vérification des comptes annuels et des comptes de groupe (…) répondent à l’égard de la société, de même qu’envers chaque actionnaire ou créancier social, du dommage qu’elles leur causent en manquant intentionnellement ou par négligence à leurs devoirs »)³⁴.

L’organe de révision « doit recourir à des procédures d’audit qui, prises dans leur ensemble, sont de nature à lui donner une assurance raisonnable qu’il n’existe pas d’anomalie significative »³⁵. Il n’existe pas une seule méthode en matière de révision externe. Les professionnels de la branche ont ainsi adopté des directives dans le cadre de l’audit, mais qui ne sont pas légalement obligatoires. On peut citer les Normes d’audit suisses (NAS), les Recommandations d’audit (RA) et le Manuel suisse d’audit (MSA) d’EXPERTSUISSE. Les NAS ont d’ailleurs été reconnues par l’Autorité fédérale de surveillance en matière de révision (ASR) dans son Ordonnance du 17 mars 2008 sur la surveillance des entreprises de révision (OSur-ASR ; RS 221.302.33) et dans sa Circulaire 1/2008 du 17 mars 2008 concernant la reconnaissance des normes de révision (Circ. 1/2008). Les entreprises de révision soumises à la surveillance de l’Etat sont obligées de s’y conformer lorsqu’elles fournissent des prestations en matière de révision à des sociétés d’intérêt public (art. 16a de la loi fédérale du 16 décembre 2005 sur l’agrément et la surveillance des réviseurs (Loi sur la surveillance de la révision, LSR ; RS 221.302) ; art. 2 ss OSur-ASR).

Même si l’organe de révision peut soumettre au conseil d’administration à la suite de son examen des propositions concrètes pour améliorer l’extension et la mise en œuvre du SCI³⁶, leurs rôles restent différents : « Le conseil d’administration assume l’entière responsabilité de la définition des principes, de la mise en application et du maintien du SCI, alors que l’organe de révision vérifie une fois par an si ce SCI, défini par le conseil d’administration et mis en place par la direction, existe réellement »³⁷. L’organe de révision n’exerce aucune tâche en lien avec la mise en œuvre ou l’application du SCI³⁸.

33 CR CO II-PETER/CAVADINI/DUNANT, CO 728b N 47.

34 BSK OR II-GERICKE/WALLER, CO 755 N 6.

36 EXPERTSUISSE, NAS 890 N 43, p. 804 ; BLANC, p. 76.

37 EXPERTSUISSE, NAS 890 N 43, p. 804.

38 BLANC, p. 67.

(9)

V. Vérification de l’existence du système de contrôle interne par l’organe de révision

L’organe de révision, lorsqu’il procède à la révision externe, doit vérifier « s’il existe un système de contrôle interne » (art. 728a al. 1 ch. 3 CO). L’objet, l’étendue et la portée du contrôle sont controversés en doctrine.

A. Existence ou fonctionnement

Selon la jurisprudence, « la loi s'interprète en premier lieu selon sa lettre (…) il n'y a lieu de déroger au sens littéral d'un texte clair par voie d'interprétation que lorsque des raisons objectives permettent de penser que ce texte ne restitue pas le sens véritable de la disposition en cause. De tels motifs peuvent découler des travaux préparatoires, du but et du sens de la disposition, ainsi que de la systématique de la loi »³⁹.

À vrai dire, le projet initial du Conseil fédéral prévoyait que l’organe de révision vérifie

« s’il existe un système de contrôle interne qui fonctionne »⁴⁰. Le législateur, craignant que l’organe de révision soit automatiquement responsable des dommages subis par les créanciers en cas de dysfonctionnement du SCI, a cependant décidé de biffer ces deux derniers mots au cours des débats parlementaires⁴¹. Dans son Message de 2004, le Conseil fédéral explique que « la vérification du système de contrôle interne ne constitue pas en soi une attribution nouvelle ; le projet de modification mentionne explicitement cet élément, ce que ne fait pas la loi actuelle »⁴².

On en arrive à la conclusion que la suppression du mot « qui fonctionne » a pour conséquence que l’organe de révision doit se limiter à la vérification de l’existence du SCI⁴³.

En comparaison, la loi Sarbanes-Oxley oblige l’auditeur à vérifier et attester de l’efficacité de la structure du SCI en matière d’établissement des états financiers (art.

404). Son devoir va donc plus loin qu’en droit suisse.

Cette disposition, qui ne sert qu’à rappeler à l’entreprise qu’elle doit mettre en place un SCI⁴⁴, est très critiquée par la doctrine. Certains auteurs remarquent qu’elle n’est rien de plus qu’une formule vide de sens (« Leerformel »⁴⁵ ; « Leerklausel »⁴⁶). On peut comprendre la volonté du législateur de ne pas vouloir que l’organe de révision soit responsable en cas de défaillance du SCI. Pour préserver son indépendance dans la surveillance du SCI, l’organe de révision ne doit assumer aucune responsabilité directe en rapport avec sa mise en place et sa conception⁴⁷. Cependant, dans la mesure où il

39 ATF 131 I 394, consid. 3.2.

40 Projet de modification du code des obligations, FF 2004 p. 3889 ss, p. 3892 ; FF 2004 p. 3798.

41 BO 2005 E 987, intervention de M. Christoph BLOCHER.

42 FF 2004 p. 3798.

43 BO 2005 E 626, intervention de M. Hansheiri INDERKUM ;PEYER, p. 166 ; BSK OR II- PFIFFNER/WATTER, CO 728a N 51 ; BERTSCHINGER, p. 581 à 582.

45BERTSCHINGER,p. 582.

46 RUUD/PFISTER, p. 29.

47 Même avis s’agissant de l’audit interne : PETER, p. 307.

(10)

doit tenir compte du SCI lors de l’exécution de son contrôle (art. 728a al. 2 CO) et rendre des constatations relatives à celui-ci dans le rapport à l’intention du conseil d’administration (art. 728b al. 1 CO), il semble évident que l’organe de révision ait analysé, au moins indirectement, l’efficacité du SCI⁴⁸.

Une solution pour pallier à la disposition insatisfaisante de l’art. 728a al. 1 ch. 3 CO pourrait être de modifier la loi de la manière suivante : le conseil d’administration pourrait se voir attribuer le devoir de mettre en place un SCI sur la base d’un modèle reconnu et il incomberait à l’organe de révision de vérifier si ce cadre de référence est respecté.

Le Code des obligations pourrait être amendé comme suit : Art. 716a, al. 1

8. mettre en place un système de contrôle interne qui soit conforme à un cadre de référence choisi.

Art. 728a, al. 1 ch. 3

s’il existe un système de contrôle interne qui est conforme au cadre de référence choisi.

Actuellement, le Code des obligations n’oblige pas les sociétés à mettre en place un SCI notoire⁴⁹. EXPERTSUISSE, dans sa prise de position en mars 2016, trouve qu’il faudrait appliquer un cadre de référence internationalement reconnu : « En raison de l’implication des entreprises suisses dans l’économie mondiale, il serait judicieux que le SCI soit, en termes de contenu, exploitable et compréhensible au niveau international. D’une part, les entreprises ont besoin de prescriptions sur le SCI uniformes ou reconnues dans le monde entier, de l’autre, il faut que les réviseurs, suisses ou étrangers, puissent effectuer leurs contrôles, puis donner leur aval sur la base des mêmes critères. C’est là la seule façon de parvenir à des directives de contrôle uniformes et compréhensibles par les autres réviseurs, dans les grands groupes. Pour les grandes entreprises, notamment celles développant des activités internationales, il semble donc, dans ces conditions, qu’il conviendrait d’appliquer un cadre de référence internationalement reconnu »⁵⁰. Il ne précise cependant pas lequel.

De même qu’il existe différents modèles de SCI, il existe différents référentiels comptables (Swiss GAAP RPC, IFRS, IFRS for SMEs, US GAPP, IPSAS) qui ont été reconnus par le Conseil fédéral dans son Ordonnance du 21 novembre 2012 sur les normes comptables reconnues (ONCR ; RS 221.432). Il est admis que, si la société a opté pour l’un de ces référentiels comptables, l’organe de révision doit contrôler qu’il ait été scrupuleusement respecté afin d’éviter que la société ne s’y conforme que sélectivement⁵¹. Il faudrait que ce soit également le cas en matière de référentiel SCI.

48 Même avis : PETER, p. 316 et CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 36 : « L’activité de contrôle de l’organe de révision, notamment l’étendue de celui-ci, doit, partant, être adaptée au SCI existant, ce qui suppose que l’organe de révision ait analysé et évalué son efficacité. Il en découle que, si ce n’est directement du moins indirectement, l’organe de révision doit s’intéresser également au fonctionnement effectif du SCI ».

49 Cf. supra III.

51 FF 2004 p. 3797.

(11)

B. Objet et étendue du contrôle

La doctrine déduit du Message⁵² et des travaux parlementaires⁵³ que l’organe de révision doit se limiter aux éléments qui sont importants pour la comptabilité et l’établissement des comptes, et donc uniquement contrôler la composante financière du SCI⁵⁴. Cette interprétation est confirmée par la NAS 890 : « La présente norme n’utilise pas le terme « système de contrôle interne » dans son acceptation habituelle car elle en limite fortement le contenu. Le SCI au sens de la présente norme comprend uniquement les processus et les mesures dans une entreprise qui garantissent une tenue régulière de la comptabilité et un rapport financier adéquat »⁵⁵. Les domaines comme la gestion, le système d’information interne à l’entreprise ou la compliance ne sont pas pris en compte dans le SCI aussi longtemps qu’ils n’ont pas d’effets sur l’établissement régulier des comptes⁵⁶. L’organe de révision ne se prononce que sur la conception du SCI au sens étroit⁵⁷.

L’organe de révision ne peut pas se contenter de donner un avis « négatif » en constatant simplement que, comme aucun indice ne montre qu’il n’existe pas de SCI, il en déduit qu’il y en a un⁵⁸.

C. Procédure de contrôle 1. Examen indépendant

Les travaux préparatoires et le Message du Conseil fédéral n’indiquent pas si la vérification de l’existence du SCI doit faire l’objet d’une vérification indépendante (« eigenständiger Prüfungsgegenstand ») de celle des comptes annuels (art. 728a al.

1 ch. 1 CO) et de celle la proposition du conseil d’administration à l’assemblée générale concernant l’emploi du bénéfice (art. 728a al. 1 ch. 2 CO).

Selon la doctrine majoritaire, tel est le cas⁵⁹. Son raisonnement est le suivant. Elle examine l’ancien art. 728 al. 1 CO (« L’organe de révision vérifie si la comptabilité, les comptes annuels et la proposition concernant l’emploi du bénéfice résultant du bilan sont conformes à la loi et aux statuts. »⁶⁰) et remarque que l’art. 728a al. 1 CO reprend la même énumération des objets de la vérification⁶¹. La construction de l’art. 728a al.

1 ch. 1 à 3 CO ne permet pas de déduire que seuls les deux premiers points feraient l’objet d’une vérification indépendante, mais pas le troisième⁶². Il en est de même avec la note marginale de l’art. 728a CO « objet et étendue du contrôle »⁶³. Selon l’art. 728b

52 FF 2004 p. 3798.

54 PEYER, p. 168 ; BÖCKLI, § 15 N 279 et n. 623 ; BSK OR II-PFIFFNER/WATTER, CO 728a N 54 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 37 ; PETER, p. 314.

56 PEYER, p. 168 et n. 870.

57 PETER, p. 314 ; BÖCKLI, § 15 N 272 ss.

58 PEYER, p. 169.

59 PEYER, p. 166 et n. 860.

60 État le 1^er mai 2007.

61 PEYER, p. 166.

62 PEYER, p. 166 à 167.

63 PEYER, p. 167 et n. 862.

(12)

al. 1 CO, l’organe de révision doit établir un rapport au conseil d’administration contenant des constatations relatives au système de contrôle interne. Si la vérification de l’existence du SCI ne devait pas faire l’objet d’un examen indépendant, elle serait exclue du rapport⁶⁴. L’avis contraire nierait que la suppression du mot « qui fonctionne » puisse réduire l’objet de l’examen à un but instrumental⁶⁵. Si le Parlement avait totalement incorporé la vérification de l’existence du SCI dans l’art. 728a al. 2 CO, alors il aurait laissé tomber la disposition de l’art. 728a al. 1 ch. 3 CO, qui serait superflue⁶⁶. De plus, le législateur a introduit l’art. 728a al. 1 ch. 3 CO car il veut que l’entreprise se rappelle de son obligation de mettre en place un SCI⁶⁷. Il admet que la vérification de l’existence d’un SCI déploie des effets indirects sur une société soumise à un contrôle ordinaire, bien que cette disposition s’adresse avant tout à l’organe de révision⁶⁸.

Une doctrine minoritaire soutient au contraire que l’existence d’un SCI ne doit pas faire l’objet d’une vérification indépendante (« nicht Gegenstand eines eigenständigen Prüfungsauftrages »)⁶⁹. Son raisonnement est le suivant. Le devoir de tenir compte du SCI lors de l’exécution de son contrôle et de la détermination de son étendue (art.

728a al. 2 CO) conduit à ce que l’organe de révision constate s’il existe un SCI et, si tel est le cas, si celui-ci est observé, soit s’il fonctionne⁷⁰. Si la vérification de l’existence d’un SCI faisait l’objet d’un examen indépendant, l’inexistence ou l’existence insuffisante d’un SCI devraient être constatées dans le rapport de révision, nonobstant les effets sur les comptes annuels⁷¹. De plus, cela conduirait probablement à une restriction de la recommandation à soumettre à l’assemblée générale⁷².

Ces derniers arguments ne sont pas convaincants. L’obligation de tenir compte du SCI à l’art. 728a al. 2 CO n’est pas identique avec celle de vérifier l’existence du SCI à l’art.

728a al. 1 ch. 3 CO, puisque le législateur a utilisé dans le même article la même notion avec deux nuances différentes⁷³. Pour cette raison, on suivra l’avis de la doctrine majoritaire.

2. Procédure d’audit applicable selon la Norme d’audit suisse 890 sur la vérification de l’existence du SCI (NAS 890)

L’organe de révision, quand il procède au contrôle ordinaire, doit repérer d’éventuelles anomalies en relation avec les états financiers ou les informations fournies les concernant⁷⁴. Pour ce faire, il recourt à des procédures d’audit afin de s’assurer qu’il n’y a pas d’anomalie signifiante⁷⁵.

64 PEYER, p. 167.

65 PEYER, p. 167 et n. 863.

66 PEYER, p. 167 et n. 864.

67 BO 2005 E 988, intervention de M. Christoph BLOCHER ; PEYER, p. 167.

68 PEYER, p. 167.

69 VOGT/FISCHER, p. 125.

73 BÖCKLI, § 15 N 273 ; Cf. infra VI.

74 PETER, p. 317.

75 PETER, p. 317.

(13)

Selon la Norme d’audit suisse 890 sur la vérification de l’existence du SCI (NAS 890), le SCI doit être concrétisé et vérifiable (c’est-à-dire documenté), adapté aux risques et à l’activité commerciale et appliqué ; il doit aussi être connu des collaborateurs responsables et il doit également exister une sensibilité au contrôle dans l’entreprise⁷⁶. La doctrine est unanime sur le fait que le SCI doit être documenté⁷⁷. De même, il est incontestable que l’organe de révision doit examiner si des mesures particulières et des processus ont été pris pour assurer des rapports financiers clairs et fiables au regard de la grandeur et de la complexité de l’entreprise⁷⁸. Selon la doctrine, si l’organe de révision constate qu’il existe un SCI « sur le papier », mais qu’il n’est pas appliqué, il doit en effet conclure qu’il n’existe pas de SCI⁷⁹. Il parait évident de considérer qu’un SCI qui n’est, dans les faits, pas mis en œuvre n’existe pas. Concernant les deux derniers points, la doctrine est partagée. Pour que le SCI ait un sens et puisse être efficace, il semble logique qu’il doit être un minimum connu dans l’entreprise, du moins des collaborateurs responsables. Rappelons que les entreprises soumises à la surveillance de l’Etat doivent se conformer aux Normes d’audit suisses lorsqu’elles fournissent des prestations en matière de révision à des sociétés d’intérêt public (art.

16a LSR) et que l’auditeur doit notamment appliquer la NAS 890⁸⁰. Ces deux éléments plaident en faveur d’une interprétation conforme à celle d’EXPERTSUISSE⁸¹.

Selon la NAS 890, l’auditeur peut utiliser les procédures de contrôle suivantes pour vérifier l’existence du SCI :

- « examen de la documentation relative à la définition et la mise en place - audition

- observation - vérification

- test de cheminement (« Walk-through test ») »⁸².

Pour procéder au sondage d’une procédure (test de cheminement), l’auditeur choisit des échantillons représentatifs de transactions effectuées par l’entreprise et les analyse⁸³. Plus précisément, les tests de cheminement sont définis comme « des méthodes qui permettent de retracer des opérations du début à la fin, y compris la documentation de l’exécution des contrôles-clés y relative »⁸⁴. Par exemple, il est possible d’« illustrer le processus de vente à partir de la commande d'un client donné, puis par la livraison de cette commande (bon de livraison), sa facturation (facture) et enfin la réception du paiement (justificatif bancaire) »⁸⁵. Selon la NAS 890, les tests de cheminement servent à évaluer la mise en œuvre du SCI, mais ne permettent pas de vérifier son efficacité⁸⁶. À la vue de leur résultat, l’auditeur détermine s’il est nécessaire

76 EXPERTSUISSE, NAS 890, p. 798 ; EXPERTSUISSE, Prise de position en matière de SCI, p. 558.

77 PEYER, p. 170 et n. 876.

78 BSK OR II-PFIFFNER/WATTER, CO 728a N 59 et références citées.

79 BSK OR II-PFIFFNER/WATTER, CO 728a N 59 ; HOFSTETTER/JEGER, p. 358 ; PFIFFNER, N 1890, PEYER, p. 172, BÖCKLI, § 15 N 286 ; ASR,Rapport d’activité 2006-2007, p. 22.

80 ASR, Circ. 1/2008, N 3.

81 Auteurs allant dans notre sens : PEYER, p. 170 ; ZK OR-EBERLE/LENGAUER, CO 728a N 203 ; PFAFF/RUUD, p. 57.

83 EXPERTSUISSE, Prise de position en matière de SCI, p. 558 ; BUCHELER, p. 382.

85 STENZ/CSIBI, p. 193.

(14)

de procéder à des contrôles supplémentaires⁸⁷. Pour constater l’observation du SCI, il est en effet aussi possible de contrôler le « respect des règles imposées par le système par le biais des réconciliations générales » (test de conformité)⁸⁸.

C’est ici que les avis divergent. Une partie de la doctrine suit l’avis des professionnels de la branche et considère que les tests de cheminement et les tests de conformité ne servent pas à vérifier le fonctionnement du SCI, mais qu’ils doivent être exécutés pour pouvoir confirmer qu’il existe un SCI⁸⁹. La doctrine opposée considère au contraire qu’un tel système de contrôle n’est alors pas seulement existant, mais également fonctionnel, ce qui contredit la volonté du législateur qui a supprimé le devoir de vérifier le fonctionnement du SCI⁹⁰.

Dans la mesure où les professionnels de la branche estiment que tel n’est pas le cas, il semble plus opportun de se fier à leur jugement. Ce test devrait au moins être effectué pour pouvoir tenir compte du SCI lors de l’exécution du contrôle (art. 728a al.

2 CO) et il devrait en être rendu compte dans le rapport établi à l’intention du conseil d’administration (art. 728b al. 1 CO).

D. Moment du contrôle

La loi ne précise pas si le contrôle porte sur toute la durée de l’exercice social ou uniquement à la date du bilan. La loi Sarbanes-Oxley indique à son art. 404 que le rapport sur l’efficacité de la structure du contrôle interne et des procédures de communication financière se fait à la date de la clôture des comptes, soit à la date du bilan.

Certains auteurs considèrent qu’il serait préférable que l’organe de révision se prononce sur toute la durée de l’exercice social, dès lors qu’il découle de l’art. 728c al.

1 CO une obligation de signaler les manquements significatifs en matière de SCI au conseil d’administration (« Si l’organe de révision constate des violations de la loi, des statuts ou du règlement d’organisation, il en avertit par écrit le conseil d’administration »)⁹¹. Selon la NAS 890, l’auditeur choisit le moment des opérations d’audit, mais, si celles-ci sont faites avant la date du bilan, il doit s’assurer que les modifications fondamentales du modèle d’affaires et du SCI intervenues entre temps soient prises en compte de manière appropriée dans son appréciation⁹². Dans la mesure où l’auditeur doit intégrer les changements survenus entre les opérations d’audit et la date du bilan, il serait en effet préférable qu’il se prononce sur toute la durée de l’exercice social.

87 BUCHELER, p. 382.

89 ZK OR-EBERLE/LENGAUER, CO 728a N 204 ; MÜLLER/LIPP/PLÜSS, p. 604 ; STENZ/CSIBI, p. 193.

90 PFIFFNER, N 1887 ; BSK OR II-PFIFFNER/WATTER, CO 728a N 57.

91 PETER, p. 316 et 317 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728a N 38 ; GERHARD, p. 134 ; CHAPUIS/PERRIN, p. 635.

(15)

VI. Prise en compte du système de contrôle interne par l’organe de révision lors de l’exécution du contrôle et de la détermination de son étendue

L’organe de révision doit vérifier les comptes annuels et la proposition du conseil d’administration à l’assemblée générale concernant l’emploi du bénéfice, en plus de l’existence d’un SCI (art. 728a al. 1 ch. 1 et 2 CO). L’art. 728a al. 2 CO dispose que

« l’organe de révision tient compte du système de contrôle interne lors de l’exécution du contrôle et de la détermination de son étendue ». Le législateur ne précise pas quelle est l’étendue de la prise en compte. En tenant compte du but et du sens de l’art.

728a al. 2 CO, on peut penser qu’il n’a pas voulu limiter la compréhension du SCI⁹³ et qu’il s’agit alors du sens large de sa conception⁹⁴. Le législateur a en effet utilisé dans le même article la même notion avec deux nuances différentes (SCI au sens étroit à l’art. 728a al. 1 ch. 3 CO et SCI au sens large à l’art. 728a al. 2 CO)⁹⁵. L’organe de révision doit s’intéresser, au moins de manière indirecte, au fonctionnement du SCI mis en place par le conseil d’administration⁹⁶.

D’après le Message du Conseil fédéral de 2004, « si l’organe de révision constate que le système de contrôle interne est défaillant, il doit s’y substituer en procédant lui- même à des contrôles »⁹⁷.

VII. Le rapport de l’organe de révision sur le système de contrôle interne à l’intention du conseil d’administration

Selon l’art. 728b al. 1 CO, « l’organe de révision établit à l’intention du conseil d’administration un rapport détaillé contenant des constatations relatives à l’établissement des comptes, au système de contrôle interne ainsi qu’à l’exécution et au résultat du contrôle ».

1. Forme

La loi ne mentionne pas quelle est la forme du rapport que l’organe de révision doit rendre au conseil d’administration. En revanche, elle précise à l’art. 728b al. 2 CO que le rapport de l’organe de révision à l’intention de l’assemblée générale doit revêtir la forme écrite. Il convient donc d’en déduire que tel doit également être le cas du rapport à l’intention du conseil d’administration⁹⁸. La deuxième exigence est que le rapport soit signé par la personne qui a dirigé la révision (art. 728b al. 3 CO). Selon le Message du Conseil fédéral, il s’agit des « personnes physiques qui ont été élues comme organe

93 PEYER, p. 160 et n. 833.

94 BÖCKLI, § 15 N 271 et n. 607.

95 BÖCKLI, § 15 N 273.

97 FF 2004 p. 3798 ; voir aussi : BO 2005 E 988, intervention de M. Christoph BLOCHER ; SANWALD/BEHR, p. 595.

(16)

de révision ou qui sont responsables du mandat de révision au sein d’une entreprise de révision »⁹⁹.

Lors d’une révision, il serait préférable que la condition de forme écrite du rapport à l’intention du conseil d’administration soit expressément mentionnée. D’un point de vue systématique, cette condition devrait être ajoutée à l’exigence de la signature à l’art. 728b al. 3 CO et il faudrait biffer le mot « écrit » à l’al. 2 :

Art. 728b

2 L’organe de révision établit à l’intention de l’assemblée générale un rapport écrit qui résume le résultat de la révision. (…)

3 Les deux rapports doivent revêtir la forme écrite et être signés par la personne qui a dirigé la révision.

2. Contenu

L’organe de révision doit établir un rapport détaillé contenant des constatations relatives au SCI. L’auditeur applique les Normes d’audit suisses 260 (communication avec les personnes constituant le gouvernement d’entreprise), 265 (communication des faiblesses du contrôle interne aux personnes constituant le gouvernement d’entreprise et à la direction) et 890 (vérification de l’existence du SCI).

Une partie de la doctrine estime que, même si le rapport doit être détaillé, il doit se limiter à l’objet de la vérification, soit aux éléments qui sont importants pour l’établissement des comptes¹⁰⁰. L’autre partie de la doctrine trouve au contraire qu’une limitation au sens étroit du SCI ne fait pas sens, sinon le résultat de la vérification devrait être exclu du rapport à l’intention du conseil d’administration¹⁰¹. Dans la mesure où l’organe de révision s’intéresse au fonctionnement du SCI au sens large lors de l’exécution du contrôle¹⁰², il semble logique qu’il n’ait pas à se limiter dans son rapport à de simples constatations sur l’existence du SCI, mais puisse aller au-delà.

Pour comparaison, la Directive 2013/34 du Parlement européen et du Conseil, du 26 juin 2013, relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises, modifiant la directive 2006/43/CE du Parlement européen et du Conseil et abrogeant les directives 78/660/CEE et 83/349/CEE du Conseil, prévoit à son art. 20 que le rapport de gestion doit inclure une déclaration sur le gouvernement d’entreprise. Celle-ci doit contenir

« une description des principales caractéristiques des systèmes de contrôle interne et de gestion des risques de l’entreprise dans le cadre du processus d’établissement de l’information financière » (art. 20 al. 1 lit. c de la directive 2013/34). Il s’agit plutôt de rapporter sur le SCI au sens large.

Selon la NAS 265, le rapporteur doit expliciter que « l’audit comprend la prise en considération du contrôle interne relatif à l’établissement des états financiers en vue de permettre de définir des procédures d’audit qu’il considère appropriées en la

99 FF 2004 p. 3799.

100 BÖCKLI, § 15 N 331 et n. 730.

101 PEYER, p. 192 et n. 987.

102 Cf. supra VI.

(17)

circonstance, mais non dans le but d’exprimer une opinion sur l’efficacité du contrôle interne »¹⁰³. En effet, la vérification de l’existence au sens de l’art. 728a al. 1 ch. 3 CO ne nécessite pas le contrôle du fonctionnement durable et sans défaut du SCI (« Operational Effectiveness »)¹⁰⁴. Le droit suisse se distingue en ce sens de la loi Sarbanes-Oxley, qui exige que le rapport contienne une évaluation de l’efficacité du SCI (art. 404).

Dans sa Circulaire 1/2009 du 19 juin 2009 concernant le rapport de révision détaillé à l’intention du conseil d’administration (Circ. 1/09), l’ASR explique que les constatations relatives au SCI doivent contenir un résumé du résultat du contrôle et surtout des explications sur le degré de développement et de documentation du SCI¹⁰⁵. Selon la NAS 890, « le rapport détaillé établi à l’intention du conseil d’administration peut contenir les points suivants : présentation des priorités de contrôle fixées pour l’année en cours en matière de SCI et d’éventuels contrôles de processus effectués par roulement ; constatations et propositions d’amélioration liées à la définition du SCI du point de vue de l’auditeur ; constatations et propositions d’améliorations relatives à la mise en place des prescriptions du conseil d’administration dans les affaires quotidiennes ; élimination de faiblesses constatées antérieurement dans le SCI »¹⁰⁶. Selon le courant doctrinal suivi, le rapport doit rendre compte de l’état et des effets du SCI¹⁰⁷. Cette interprétation est conforme à la volonté du législateur qui souhaite que l’organe de révision, s’il est d’avis que le SCI ne fonctionne pas, le dise¹⁰⁸. L’organe de révision doit en effet à travers la planification, la mise en œuvre et la définition de l’étendue du contrôle, se faire une image de la manière dont est établi le SCI dans la société, de son adéquation et de sa fiabilité¹⁰⁹. La NAS 890 le confirme : « Même si la vérification de l’existence n’est pas un audit complet (constitution de priorités en fonction des risques et du caractère significatif et travaux de contrôle par roulement, et absence de vérification de l’efficacité permanente), elle n’en exige pas moins une observation complète du SCI par le biais du rapport financier qui n’est pas exigée dans le cadre de l’audit des états financiers »¹¹⁰. L’organe de révision doit donc constater dans son rapport si le SCI est mis en œuvre et adapté aux particularités de l’entreprise¹¹¹ et formuler des propositions d’amélioration¹¹².

Il faut également rappeler que, même si l’organe de révision doit dire dans son rapport s’il pense que le SCI ne fonctionne pas, la manière dont le conseil d’administration dirige la société n’est pas soumise à son contrôle (art. 728a al. 3 CO). L’auditeur n’a donc pas à rendre compte là-dessus. En effet, selon les travaux préparatoires « die Revisionsstelle hat nicht zu sagen : Nein, das sollte man ganz anders machen – mit EDV oder nicht mit EDV. Das ist nicht Sache der Revision. (…) Bei einem Unternehmen, das ein sehr gutes Kontrollsystem hat, kann nicht ein Revisor kommen und ein ganz anderes Kontrollsystem vorschreiben. (…) Nur das Unternehmen kann

105 ASR, Circ. 1/09, N 9.

106 EXPERTSUISSE, NAS 890 N 53, p. 805 à 806.

107 BSK OR II-PFIFFNER/WATTER, CO 728b N 12.

109 BÖCKLI,§ 15 N 333 ; BSK OR II-PFIFFNER/WATTER, CO 728b N 12.

111 BÖCKLI, § 15 N 334.

112 BSK OR II-PFIFFNER/WATTER, CO 728b N 12 ; EXPERTSUISSE, NAS 890 N 53, p. 806.

(18)

sagen, wie es die Risiken für die Zukunft beurteilt ; das kann eine Revisionsstelle nicht tun. (…) Die Risikobeurteilung ist Aufgabe des Verwaltungsrates. Aus diesem Grund hat sich die Revisionsstelle inhaltich nicht zu äussern. (…) Es wird auch keine Revisionsstelle zur Rechenschaft gezogen, wenn ein Verwaltungsrat das Risiko falsch beurteilt wird »¹¹³.

De plus, selon EXPERTSUISSE et la doctrine, le rapport à l’intention du conseil d’administration doit également mentionner les carences ou les défaillances majeures du SCI susceptibles d’avoir des conséquences sur les comptes annuels¹¹⁴. La NAS 890 va même plus loin puisqu’elle oblige à informer également l’assemblée générale lorsque l’existence du SCI n’est pas confirmée ou ne l’est qu’avec réserve¹¹⁵. Si l’organe de révision omet dans son rapport à l’intention du conseil d’administration de signaler les carences du SCI ou que les informations ne sont pas assez claires, alors il encourt un risque élevé au niveau de sa responsabilité¹¹⁶.

Selon une partie de la doctrine, l’organe de révision ne doit pas rechercher lors de son contrôle les lacunes importantes (« significant deficiencies ») et les faiblesses significatives (« material weaknesses ») du SCI¹¹⁷. Ce qui intéresse le conseil d’administration est que l’organe de révision explique la manière dont il a dû effectuer son contrôle et son étendue pour vérifier l’existence du SCI¹¹⁸. Selon la doctrine opposée, l’auditeur a le devoir de découvrir lors de son contrôle les faiblesses du SCI pour qu’il soit possible de répondre à ce déficit¹¹⁹. Ce rôle de l’auditeur est confirmé par la NAS 265 : « l’objectif de l’auditeur est de communiquer de façon appropriée aux personnes constituant le gouvernement d’entreprise et à la direction les faiblesses du contrôle interne qu’il a relevées au cours de l’audit et qui, selon son propre jugement professionnel, sont suffisamment importantes pour mériter leur attention respective »¹²⁰. La divergence porte ici sur l’étendue du rôle de l’organe de révision par rapport au conseil d’administration. Le but du rapport, selon la NAS 890, est de

« présenter au conseil d’administration des possibilités d’amélioration du SCI, ceci dans l’optique de l’organe de révision, ou de souligner certaines déficiences dans la mise en place constatées dans le cadre de l’audit des états financiers ou de la

113 BO 2005 E 987 et BO 2005 E 988, intervention de M. Christoph BLOCHER. Traduction : « L’organe de révision ne peut pas dire : Non, il faut faire tout autrement – avec ou sans un traitement électronique des données. Ce n’est pas l’affaire de la révision (…) Un réviseur ne peut pas intervenir au sein d’une entreprise qui a un très bon SCI et en imposer un autre complètement différent. (…) Seule une entreprise peut juger des risques pour le futur ; l’organe de révision ne peut pas le faire.

(…) La gestion des risques est un devoir qui appartient au conseil d’administration. Pour cette raison, l’organe de révision n’a pas à s’exprimer là-dessus. (…) L’organe de révision n’assume aucune responsabilité si le conseil d’administration a mal jugé un risque ».

114 EXPERTSUISSE, Prise de position en matière de SCI, p. 559 ; GERHARD, p. 138 ; PETER, p. 319 ; CR CO II-PETER/CAVADINI/DUNANT, CO 728b N 9 ; voir aussi BÖCKLI, § 15 N 335 et 339 et ZK OR- EBERLE/LENGAUER, CO 728a N 206 qui pensent que l’organe de révision doit informer le conseil d’administration dans le rapport des défauts (« Mängel ») du SCI.

115 EXPERTSUISSE, NAS 890 N 54, p. 806 ; voir aussi EXPERTSUISSE,Prise de position en matière de SCI, p. 559.

116 BSK OR II-PFIFFNER/WATTER, CO 728b N 12 ; PFIFFNER, N 1952.

117 BSK OR II-PFIFFNER/WATTER, CO 728b N 12 ; PFIFFNER, N 1952 et n. 6521 ; PEYER, p. 193 ; BÖCKLI, § 15 N 337 ; ZK OR-EBERLE/LENGAUER, CO 728b N 39.

118 BSK OR II-PFIFFNER/WATTER, CO 728b N 12 et référence citée.

119 HOFSTETTER/JEGER, p. 359.

(19)

vérification de l’existence du SCI »¹²¹. En raison de l’objectif du rapport, je me rallierai à ce courant.

Au niveau des modalités, il faut différencier dans le rapport le cas où le SCI n’est pas adéquat de celui où la mise en œuvre ou la documentation relative au contrôle est déficiente¹²².

La NAS 265 traite de l’obligation de communication des déficiences dans le SCI de la part de l’auditeur envers les personnes constituant le gouvernement d’entreprise et la direction. Au niveau de la procédure, l’auditeur doit déterminer s’il a relevé lors de ses travaux une ou plusieurs faiblesses du contrôle interne¹²³. Il doit ensuite déterminer s’il s’agit de faiblesses significatives¹²⁴, soit de faiblesses qui, selon son jugement professionnel, « sont suffisamment importantes pour mériter l’attention des personnes constituant le gouvernement d’entreprise »¹²⁵. Si tel est le cas, il doit les leur communiquer par écrit en temps opportun¹²⁶. La communication écrite des faiblesses significatives doit comprendre une description de celles-ci et de leurs effets potentiels¹²⁷. La NAS 260 fournit encore quelques éléments s’agissant du moment de la communication : « Il peut être approprié de communiquer une difficulté importante rencontrée au cours de l’audit dès que possible si les personnes constituant le gouvernement d’entreprise sont en mesure d’aider l’auditeur à résoudre cette difficulté, ou s’il est probable que celle-ci conduise à une opinion modifiée. De la même façon l’auditeur peut communiquer de façon orale aux personnes constituant le gouvernement d’entreprise dès que possible les faiblesses significatives du contrôle interne qu’il a identifiées, avant de les communiquer par écrit tel que requis par la NAS 265 »¹²⁸. Si les carences constatées dans le SCI violent la loi, les statuts ou le règlement d’organisation (art. 728c al. 1 CO), alors l’organe de révision doit aviser par écrit le conseil d’administration sans délai (« ohne Verzug »)¹²⁹.

S’agissant de la date du rapport et du moment de sa délivrance, la NAS 260 dispose que « les informations qui sont généralement incluses dans le rapport détaillé sont, à remettre au conseil d’administration avant l’approbation des états financiers par ce dernier, afin qu’il puisse prendre sa décision en tenant compte des résultats de la révision. La date de délivrance du rapport détaillé dépendra des circonstances particulières de chaque cas »¹³⁰.

Enfin, il est important de relever que les recommandations faites dans le rapport de l’organe de révision ne lient pas le conseil d’administration, qui les examinera et jugera si elles sont adéquates pour décider de leur éventuelle mise en œuvre¹³¹.

125 EXPERTSUISSE, NAS 265 N 6b, p. 227.

127 EXPERTSUISSE, NAS 265 N 11a, p. 227.

128 EXPERTSUISSE, NAS 260 N A40, p. 219.

129 BÖCKLI, § 15 N 335 ; ZK OR-EBERLE/LENGAUER, CO 728a N 206.

130 EXPERTSUISSE, NAS 260 N A33-6, p. 217.

131 PEYER, p. 194.