Issue
Lead

Un certain nombre de défis se posent aux PME au regard de la satisfaction de l’exigence légale de l’art. 663b ch. 12 CO, d’où la nécessité de préciser d’un point de vue juridique la notion de gestion des risques ainsi que la répartition des tâches y afférentes entre les organes sociaux. Ceci revêt un relief particulier dans le contexte actuel marqué par le projet de modification de l’art. 663b ch. 12 CO en cours au parlement.

Content
Title
1. Introduction
Level
2
Text

Le système de gestion des risques revêt une importance particulière en vue de la réalisation des objectifs de l’entreprise. Il fait partie des mécanismes et processus mis en place au sein des sociétés pour assurer leur pérennité et leur viabilité. A l’instar de ce qui se passe dans les sociétés de grande taille, le management des risques ou simplement leur appréciation n’est pas une nouveauté pour les PME. Conscients de l’importance de cet instrument de gestion, les propriétaires ou dirigeants de ce type d’entreprises savent que le maintien ou la prospérité de leur affaire dépend absolument de leur aptitude à identifier les risques, à déceler les erreurs ou irrégularités et à prendre les mesures qui s’imposent pour protéger le patrimoine de l’entreprise, assurer la fiabilité des états ­financiers, etc. Bref, l’appréciation des risques fait partie de la gestion réussie de toute entreprise. Faut-il alors en conclure que l’introduction de l’obligation d’inscrire les indications relatives à la réalisation de l’évaluation du risque dans la loi aux termes de l’art. 663b ch. 12 CO ne change rien pour les PME? Rien n’est moins sûr. Si la gestion des risques faisait déjà en pratique l’objet de réflexions au sein de l’entreprise, la nouveauté provient de la prescription légale qui en exige la formalisation.1 Etonnamment, cette exigence ne s’est pas accompagnée de clarifications sur la manière de la concrétiser soulevant moult inquiétudes et incertitudes principalement dans la catégorie des PME.

L’ancrage dans le dispositif législatif de l’obligation d’opérer une gestion des risques s’est fait sans considérer le critère de la taille de l’entreprise. Or, à la différence des sociétés cotées ou économiquement importantes pour lesquelles l’intérêt public est prépondérant et partant justifie à juste titre la mise en place des processus formalisés et bien documentés, les PME présentent des structures très diverses allant d’entités simples caractérisées par une forte implication des propriétaires de capitaux dans la gestion à celles dotées d’une organisation très complexe. Cette situation rend difficile la conception d’un modèle de réalisation et de publication des processus d’analyse de risques. Par ailleurs, le particularisme des PME conduit en général le législateur à leur octroyer les allégements par rapport au régime ordinaire applicable aux sociétés de grande taille: ceci s’explique par le souci d’éviter une réglementation excessive qui se traduirait par des charges ­administratives disproportionnées pour les PME.2

Outre le problème de formalisation de la gestion des risques, la mise en application de l’art. 663b ch. 12 CO soulève également quelques questions en ce qui concerne le sens du con­trôle exercé par l’organe de révision, étant entendu que ce dernier n’effectue pour les PME en général qu’un contrôle restreint.

En se basant sur l’objet de cette contribution qui est de déterminer le sens et la portée de l’application de l’art. 663b ch. 12 CO aux PME, nous allons nous intéresser tout d’abord à la notion de gestion des risques avant de nous pencher ensuite sur les conditions de sa mise œuvre et enfin sur la mission de l’organe de ­révision.

Title
2. Notion du système de gestion des risques
Level
2
Title
2.1 Définition
Level
3
Text

D’un point de vue juridique, le système de gestion des risques ne se laisse pas définir aisément. La loi n’en dit mot puisque cette appellation lui est étrangère, elle lui préfère la notion de l’évaluation du risque. En tout état de cause, le management des risques n’est pas inconnu des cercles professionnels puisqu’il se réfère à «un processus ou une tâche dans le cadre de la gestion ordinaire des affaires».3 De manière détaillée et précise, l’Autorité fédérale de régulation des marchés financiers (FINMA) affirme:4

«La gestion des risques porte sur les méthodes et les processus qui servent à l’identification et à l’évaluation des risques, à la mise au point des stratégies, de mesures de conduite en matière de risques et au contrôle et à l’établissement des rapports relatifs aux risques.»

Il ressort de cette définition l’observation qu’un management intégral des risques implique donc un ensemble de procédures qui peuvent être regroupées selon les principales composantes suivantes: l’identification, l’évaluation, le contrôle et l’exécution des mesures de contrôle des risques.5 A ces différentes parties intégrantes du système correspondent les types de ­mesures pertinentes et adéquates devant être mises en place pour prévenir, détecter ou contrôler les risques qui menacent les activités de l’entreprise.

Le système de gestion des risques est appréhendé par le législateur dans sa seule composante relative à l’évaluation du risque. En effet, l’art. 663b ch. 12 CO oblige toutes les sociétés anonymes à fournir dans l’annexe aux comptes annuels les indications sur la réalisation de l’évaluation du risque. Selon la norme d’audit 890, «le processus d’évaluation des risques de l’entreprise constitue la base pour les risques que la direction de l’entreprise doit identifier et qui doivent être traités dans le SCI.[…] Dans le cadre de l’évaluation des risques, l’entreprise identifie ses risques essentiels, apprécie leur importance et leur probabilité d’occurrence et définit des mesures destinées à les maîtriser». Conçue strictement, l’évaluation du risque se résume aux processus d’identification et d’évaluation des risques.6

Title
2.2 Rapport avec le système de contrôle interne
Level
3
Text

Le système de gestion des risques et le système de contrôle interne sont destinés tous les deux à donner une assurance raisonnable à la poursuite des objectifs de l’entreprise. L’un et l’autre constituent par conséquent les revers de la même médaille. Cette identité d’objectifs donne lieu en général à l’association entre les deux processus, ce qui est susceptible de créer un amalgame, voire une confusion entre les deux systèmes.7

Dans son approche large, un système de con­trôle interne adéquat intègre le processus d’évaluation des risques.8 L’orientation risque du système de contrôle interne vise à aider à identifier les risques d’anomalies significatives dans les comptes annuels. Cette approche n’est toujours pas la règle. Le système de gestion des risques peut être conçu indépendamment du système de contrôle interne. Dans ce cas, il existe les modèles tels que le «COSO Enterprise Risk ­Management Framework» (ERM) qui offre un cadre de référence reconnu (voir le point suivant).

Le législateur a lui-même envisagé une fonction de gestion des risques sans rapport avec le système de contrôle interne puisque l’exigence de procéder à une réalisation de l’évaluation du risque s’applique à toutes les entités établissant une annexe aux comptes annuels alors que la mise en place d’un système de contrôle interne n’est requise que des entreprises soumises au contrôle ordinaire, c’est-à-dire les sociétés ­cotées ou économiquement importantes et les sociétés ayant opté pour un contrôle ordinaire. Il en résulte que bien que soumises à la première obligation, les PME échappent en principe à la seconde.

Title
2.3 Modèle COSO-ERM
Level
3
Text

Avec l’exigence d’une exécution de l’évaluation du risque, de nombreuses entreprises se sont trouvées confronter en l’absence de tout modèle au problème de l’application pratique de la loi. Mais, très vite, il leur a été conseillé de se référer aux travaux du Committee of Sponsoring Organizations of the Treadway Commission (COSO) qui font figure de cadre de référence dans le développement de système de gestion des risques adapté aux entreprises.9 Ce mo­dèle présente la particularité de proposer une approche large susceptible de constituer pour tout type d’organisation, quel que soit la taille, la complexité des activités ou le profil risque, la base de définition d’un système de management des risques efficace. Aussi, le COSO-ERM se définit comme «un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans le cadre de son ­appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des ­objectifs de l’organisation».10

Pour aider l’entreprise à atteindre ses objectifs, le système de gestion des risques selon le COSO doit être centré sur les aspects suivants: l’objectif stratégique servant la mission de l’entreprise, l’objectif opérationnel visant l’utilisation efficace et efficiente des ressources, l’objectif de reporting lié à la fiabilité de ce dernier et l’objectif de conformité lié au respect des textes et réglementations auxquels est soumise l’entreprise.

En outre, la mise en œuvre effective d’un management des risques exige la prise en compte des principales étapes suivantes: (1) l’environnement interne qui englobe la culture et l’esprit de l’entreprise et qui structure la façon dont les risques sont appréhendés; (2) la fixation des objectifs qui permet d’identifier les événements potentiels susceptibles d’en affecter la réalisation; (3) l’identification des événements permettant de distinguer les risques (et opportunités) internes et externes susceptibles d’affecter l’atteinte des objectifs; (4) l’évaluation des risques qui permet d’analyser les risques en fonction de leur probabilité et de leur impact; (5) le traitement des risques qui élabore les solutions permettant de faire face aux risques; (6) les activités de contrôle qui définissent les politiques et les procédures destinées à la mise en application effective des mesures de traitement des risques; (7) l’information et la communication qui permettent de collecter les informations et de les faire circuler au sein de l’organisation; et enfin (8) le pilotage qui s’effectue à travers les activités permanentes de management ou par le biais d’évaluations indépendantes ou par la combinaison de ces deux modalités.

Conçu de manière relativement complexe, le COSO-ERM qui semble mieux convenir aux ­sociétés cotées ou importantes peut paraître in­adapté pour les PME. Son implémentation pourrait engendrer des coûts excessivement lourds pour elles. La diversité des PME caractérisée notamment par l’existence de structures fort différentes rend même difficile la conception d’un modèle de référence de management des risques.11 Cela dit, la flexibilité du référentiel COSO-ERM permet de l’adapter aux caractéristiques de l’entreprise ou à l’objectif visé par le management des risques.12

Title
3. Mise en œuvre du système de gestion des risques pour les PME
Level
2
Text

La mise en place d’un système de gestion des risques efficace se heurte à l’imprécision du texte légal tant en ce qui concerne la réalisation d’une analyse de risques que les personnes débitrices de ces nouvelles obligations légales. Ceci concerne en particulier les PME pour qui se pose la question de savoir si cette évolution législative a tenu compte de leurs spécificités.

Title
3.1 Approche
Level
3
Text

La formulation laconique utilisée dans l’art. 663b ch. 12 CO a suscité diverses interprétations, créant ainsi un flou sur l’approche de la réalisation du risque ainsi que sur les modalités de la publication des indications y relatives.13 De plus, cette situation peu heureuse est loin d’être tirée au clair en raison des atermoiements et revirements du législateur.14

Title
3.1.1 Réalisation de l’évaluation ­du risque
Level
4
Text

Il ne ressort de la loi aucune précision sur la concrétisation de la réalisation de l’évaluation du risque. Tant le Message que les travaux parlementaires n’apportent pas de clarifications possibles. Il y a toutefois lieu de concevoir qu’il s’agit de définir à partir de la compréhension et de l’activité de l’entreprise les processus et méthodes qui permettent d’identifier, d’évaluer et de contrôler les risques pouvant mettre en péril la poursuite de l’activité.

Fondamentalement, la réalisation de l’évaluation du risque doit faire l’objet de discussions au sein de l’entreprise sous la responsabilité du conseil d’administration. De manière concrète, ses processus doivent être documentés. Cette formalisation doit rester raisonnable afin d’éviter les surcoûts susceptibles d’être engendrés par une documentation trop importante. Cette dernière dépend absolument de la complexité ou de l’exposition aux risques de l’entreprise: les situations très exigeantes impliquent de procéder à une documentation des processus de ­telle manière que l’approche favorise l’identification des risques essentiels et la prise des mesures visant à les piloter et les surveiller.15 Ceci requiert plus précisément des explications sur la substance des risques et les mesures adéquates afférentes. En revanche, pour les entreprises de modeste taille, une simple consignation dans le procès-verbal des discussions annuelles du conseil d’administration sur le sujet peut suffire.16 En tout cas, les organes dirigeants de l’entreprise jouissent dans ce domaine d’une certaine marge d’appréciation.

L’étendue de l’évaluation du risque ne concerne en principe que les risques inhérents aux états financiers. Il s’agit selon le Message de s’intéresser non pas à l’ensemble des risques de l’entreprise mais uniquement à ceux susceptibles d’avoir une influence majeure sur les comptes annuels.17 Cette option s’inscrit logiquement dans le cadre du contrôle des comptes dans la mesure où les indications sur la réalisation de l’évaluation sont ensuite inscrites dans l’annexe. En tant qu’instrument de gestion, l’analyse des risques peut être conçue au-delà des rapports financiers pour couvrir l’ensemble des risques de l’entreprise, ceux-ci pouvant être aussi bien financiers qu’opérationnels ou stratégiques. Il convient à cet effet de souligner que les risques non financiers peuvent également mettre en péril la poursuite des objectifs de la société, surtout il n’est pas exclu qu’ils aient un impact sur la situation financière de la société.18

Incontestablement, le contenu de l’art. 663b ch. 12 reste un sujet à caution. Si le MSA reconnaît clairement le caractère disproportionné des dispositions de l’art. 663b ch. 12 CO pour les PME, il n’en dit pas davantage sur ce que serait l’application appropriée de ces dernières.19 Plutôt, il se contente de renvoyer au projet du 21 décembre 2007 sur la révision de la société anonyme et du droit comptable qui entend revenir sur la situation actuelle afin de tenir compte des différentes tailles de sociétés dans la réalisation de l’évaluation du risque. Ce projet prévoit en effet de déplacer la publication relative à l’évaluation du risque vers le rapport annuel que les entreprises soumises au contrôle restreint ne seront pas tenues d’établir.20 Ce revirement du législateur vise sans doute à mettre fin à juste titre aux incertitudes créées par l’exigence légale devenue problématique d’une évaluation du risque pour les PME.21

Title
3.1.2 Publication des indications sur la réalisation du risque
Level
4
Text

L’art. 663b ch. 12 mentionne la réalisation de l’évaluation du risque et énonce que les indications y relatives doivent être publiées dans l’annexe aux comptes annuels. Comme les autres indications portées dans les états financiers, cette publication doit répondre aux principes de la présentation régulière des comptes.22 Mais comme en ce qui concerne l’évaluation du risque, la concrétisation de la publication des indications s’y rapportant est problématique en raison du mutisme de la loi concernant les précisions sur la nature, le contenu et l’étendue de cette obligation légale.23

Face à la parcimonie du législateur, les milieux professionnels intéressés ont établi sur la base de différentes variantes les conditions de mise en application de l’exigence de publication tant en ce qui concerne les procédures d’évaluation de risque que la nature des risques. Sur les procédures d’évaluation du risque, il existe une ­palette d’options:24

  • indication selon laquelle le conseil d’administration a procédé à une évaluation des risques (dans le sens d’une déclaration de l’exécution); pas d’explication sur la procédure de l’évaluation des risques;
  • indications complémentaires sur les procédures existantes d’évaluation des risques et sur les mesures visant à piloter et à surveiller les risques;
  • indications plus détaillées sur les procédures de surveillance du système de gestion des risques, d’identification, de quantification (base et hypothèses), de rapport, de contrôle et de pilotage des risques.

Après la détermination des procédures d’évaluation, il convient de s’intéresser à la nature des risques qui peuvent être identifiés dans l’annexe. Il existe ici également plusieurs possibilités: selon le cas, les indications sur la procédure d’évaluation du risque peuvent être soit produites sans identification des risques soit complétées uniquement par les précisions sur les risques financiers, c’est-à-dire les risques significatifs ayant un rapport direct avec les comptes annuels soit complétées de la publication de tous les risques significatifs de l’entreprise, à savoir autant les risques financiers que stratégiques.25

L’existence de ces différentes variantes suppose que le conseil d’administration dispose d’une certaine marge d’appréciation tant en ce qui concerne le contenu que l’étendue de la publication. Ce pouvoir se trouve toutefois limité par la nécessité de tenir compte de la nature, de la taille, de la complexité de l’entreprise, de l’exposition aux risques ainsi que du cercle des actionnaires. En particulier, une différence est à faire selon que l’entreprise concernée est une PME ou une société soumise à la révision ordinaire.26

S’agissant en particulier des PME, leur caractère hétérogène ne favorise pas la formulation d’un modèle de publication unique. Cependant, vu les différentes variantes présentées plus haut, il y a lieu de renoncer au choix de la troisième variante, car sa mise en œuvre couplée avec l’identification de divers risques peut s’avérer compliquée pour les PME.27 De plus, elle pourrait conduire à la publication de données confidentielles. Les PME peuvent se satisfaire d’indications minimales sur la réalisation de l’évaluation du risque en prenant pour référence la première variante relative à la publication d’une simple déclaration de réalisation de l’évaluation du risque sans aucune indication sur les risques,28 à moins que les motifs relatifs à la complexité des structures ou le profil de risque imposent des explications complémentaires sur les procédures d’évaluation des risques et la substance de ceux-ci.29

En tout cas, la réalisation d’une évaluation du risque donne en général lieu dans le cadre des PME à des indications minimales dans l’annexe.30 Elles sont donc loin de favoriser une quelconque appréciation de l’impact de la gestion des risques sur les états financiers. Ce faisant, il se pose alors la question du bien-fondé de la publication desdites données dans l’annexe. La perspective de la révision en cours du droit des sociétés et du droit comptable de revenir sur la position des indications relatives à la réalisation de l’évaluation du risque dans l’annexe au profit d’un emplacement dans le rapport annuel répond du souci de clarifier du moins à l’égard des PME un dispositif devenu compliqué à mettre en pratique.

Title
3.2 Répartition des compétences entre les organes sociaux
Level
3
Text

A première vue, la loi ne dit mot sur la compétence de mettre en place un système de gestion des risques. Il faut remarquer que l’obligation de réaliser une évaluation du risque ainsi que celle de vérifier l’existence d’un système de contrôle interne n’ont pas été accompagnées de la modification conséquente des attributions du conseil d’administration. Cette absence de clarté a posé des difficultés dans la mise en œuvre de ces nouvelles prescriptions légales en raison de l’implication tant du conseil d’administration que de l’organe de révision. A ce propos, le Message apporte un éclairage sur l’organe débiteur de l’obligation de réalisation de l’évaluation du risque et de sa publication subséquente: cette charge revient principalement au conseil d’administration31. De même, le MSA considère que le conseil d’administration répond de la nature, du contenu et de l’étendue des indications consignées dans l’annexe.32 Toutes ces précisions viennent faire écho à une interprétation de l’art. 716a al. 1 CO qui fait de l’aménagement d’un système de gestion des risques une attribution intransmissible et desdites du conseil d’administration.33

Si le conseil d’administration est théoriquement chargé de l’exécution de la réalisation de l’évaluation du risque et de sa publication, ceci n’est pas toujours clair en pratique. Il faut dire que comme toute nouveauté, l’exigence d’une analyse de risque a pris certains dirigeants sociaux au dépourvu, notamment dans la catégorie des PME où elle ne s’est pas laissée facilement adopter. Confronté à cette situation, l’organe de révision peut être amené à prendre des initiatives en la matière.34 Plus exactement, son travail de contrôle dépendant du respect par le conseil d’administration de ses obligations, il lui revient d’inviter ce dernier à mener une réflexion interne sur l’appréciation des risques et d’en consigner les données dans l’annexe conformément à la loi. Mais, il ne peut en aucun cas se substituer au conseil d’administration afin de l’effectuer lui-même, sinon il sortirait du cadre de sa mission et encourrait par conséquent un risque de responsabilité pour usurpation des attributions de gestion.

Bien que le conseil d’administration soit au regard de la loi le principal débiteur de l’obligation de procéder à une évaluation des risques, la direction y collabore étroitement.35 Elle joue en général un rôle déterminant dans la mise en œuvre des mesures arrêtées ainsi que sur leur efficacité. En effet, elle oriente le conseil d’administration tant dans le développement des processus que sur l’application effective de ses instructions.

Title
4. Révision de l’évaluation du risque lors du contrôle restreint
Level
2
Title
4.1 En général
Level
3
Text

En prescrivant au conseil d’administration de toute société anonyme de fournir les indications d’une réalisation de l’évaluation du risque dans l’annexe, l’organe de révision doit nécessairement procéder à la vérification de ces indications. Cependant, il se pose la question de la fiabilité d’une telle obligation de vérification. Avant toute chose, il convient de souligner que le législateur a instauré un système différencié de révision selon la taille des entreprises concernées et l’objectif de protection visé.36 Ainsi, les sociétés cotées ou économiquement importantes se voient soumettre au contrôle ordinaire dont le niveau d’assurance est élevée alors que les autres, en particulier les PME sont en général l’objet d’un contrôle restreint dont le niveau d’assurance est inférieur.37

S’agissant des entreprises soumises au contrôle ordinaire présentant un intérêt public prépondérant, on se serait attendu à ce que la mission de vérification du réviseur en matière de gestion des risques soit destinée à fournir une assurance raisonnable de la réalisation de l’évaluation des risques. En revanche, dans le cas des entreprises dont l’obligation de révision se limite au contrôle restreint, l’assurance donnée à la vérification de la réalisation de l’évaluation du risque devrait être moindre dans la mesure où l’objectif de ce type de contrôle est de protéger les intérêts privés des parties prenantes et des créanciers.

Malgré l’introduction des dispositions des articles 663b ch. 12 CO et 728a al. 1 ch. 3 CO qui imposent la vérification par l’organe de révision de la réalisation de l’évaluation du risque respectivement soit de manière indépendante soit dans le cadre de la révision de l’existence d’un système de contrôle interne, le législateur a tenu à préciser leur portée limitée: elles n’entrainent pas de nouvelle obligation pour l’organe de ­révision.38 A défaut d’être un contrôle matériel, la tâche de vérification est purement formelle. Cette prudence affichée sans doute dans le but d’éviter le phénomène couramment appelé ­«expectation gap» soulève tout de même la problématique du bien-fondé de la publication du processus de l’évaluation du risque dans l’annexe,39 car en dépit des précautions du législateur, il existe un risque de responsabilité non négligeable pour le réviseur. Ceci est surtout vrai en ce qui concerne les entreprises astreintes à un contrôle restreint.

Title
4.2 Diligence dans la vérification
Level
3
Text

Lors du contrôle de la bonne tenue de la comptabilité des entreprises soumises au contrôle restreint, l’organe de révision doit vérifier que le conseil d’administration a entrepris une évaluation des risques dont les indications sur sa réalisation figurent dans l’annexe. La gestion des risques relevant entièrement de la responsabilité du conseil d’administration, la mission de l’organe de révision consiste à attester que cette obligation a été remplie. Autant dire qu’il s’agit essentiellement d’une appréciation non matérielle et donc purement formelle.

Pour attester de la réalisation de l’évaluation du risque, le réviseur doit se contenter selon l’exigence légale d’un contrôle minimal. Toutefois, les modalités de son exécution sont discutées: selon certains auteurs,40 le réviseur ne peut se limiter ni à constater une pure annonce de l’évaluation des risques dans l’annexe, ni à effectuer une simple vérification de la documentation. Il doit pousser un peu loin le contrôle afin de s’assurer non seulement qu’une analyse des risques ait eu réellement lieu, mais aussi il doit se prononcer sur la qualité de cette dernière. Si cet avis sur la mission du réviseur est envisageable à l’égard des sociétés soumises au contrôle ordinaire, la nature du contrôle restreint l’exclut pour les PME.41

Quant à la diligence requise du réviseur, la Norme relative au contrôle restreint (NCR) prévoit un contrôle méthodique: les phases de préparation et de planification du contrôle restreint doivent permettre à l’organe de révision de prendre connaissance du système de gestion des risques et de comprendre l’activité et l’environnement de l’entreprise. Partant, il est à même de tirer ses propres conclusions sur la concordance formelle des indications publiées avec l’évaluation des risques.42 Dans ce cadre, le réviseur s’appuie essentiellement sur la documentation mise à disposition et procède si nécessaire aux auditions des organes dirigeants, à savoir le conseil d’administration et ­­la direction.

Vu la nature et l’objet du contrôle restreint, il y a lieu de considérer que le réviseur doit se fonder d’abord sur la documentation relative à l’évaluation des risques pour donner une appréciation formelle selon l’énoncé de la loi. Ce n’est que lorsque cette consultation s’avère insuffisante qu’il peut par la suite procéder à des auditions complémentaires des membres d’administration ou de direction ou de tout collaborateur. Toutefois, étant donné que la simplicité des structures de certaines PME donne lieu à des processus d’évaluation des risques très peu formalisés, on admet que le réviseur puisse se limiter dans ce contexte aux auditions afin de se faire une idée sur la manière dont les risques sont identifiés et traités.43

En l’état du droit actuel, il ne revient en aucun cas au réviseur d’engager un examen approfondi sur l’appréciation des risques car il n’a pas à se déterminer sur l’exactitude ou non des indications publiées à ce sujet dans l’annexe. Cette réserve n’est pas sans dénuer tout intérêt à la publication des indications sur la réalisation de l’évaluation des risques dans l’annexe dans la mesure où l’ampleur du contrôle du réviseur est loin de permettre d’apprécier l’impact de l’évaluation du risque sur les états financiers.44 Il ne revêt finalement pas d’importance particulière ni pour les actionnaires puisqu’il ne s’agit pas d’un contrôle d’efficacité ni pour les créanciers qui disposent par ailleurs d’autres solutions pour protéger leurs intérêts.

Title
4.3 Rapport de révision
Level
3
Text

A la différence du contrôle ordinaire qui aboutit à la rédaction de deux rapports dont l’un détaillé est destiné au conseil d’administration et l’autre plutôt succinct à l’assemblée générale, la vérification est sanctionnée en cas de contrôle restreint par un rapport unique adressé à l’intention de l’assemblée générale et qui porte sur le résultat du travail de l’organe de révision. Compte tenu de la nature du contrôle restreint, ledit rapport présente la particularité d’avoir un contenu limité.

S’agissant de l’évaluation des risques, le contenu de l’attestation du réviseur doit être succinct.45 Aussi il est admis en pratique que le réviseur puisse se contenter de mentionner simplement qu’une analyse de risques a été faite. Cette assertion est en particulier valable pour le contrôle restreint. N’étant pas astreint à un examen approfondi, on ne saurait logiquement attendre du réviseur un rapport prolixe qui contiendrait les précisions sur les modalités de l’évaluation ou des indications sur son effectivité.46

Le réviseur étant chargé du contrôle de la concordance formelle des indications à l’annexe avec la réalisation de l’évaluation des risques, toute absence ou déficience de publication de l’évaluation des risques constitue un manquement à l’art. 663b ch. 12 CO devant faire l’objet d’une réserve dans le rapport de révision. Toutefois, il est plausible qu’une renonciation à la réalisation de l’évaluation des risques accompagnée de l’exposé des motifs ne constitue pas une anomalie significative pour les comptes annuels et par conséquent peut suffire à éviter une réserve dans le rapport de révision.47

En tout cas, nonobstant toute réserve qu’il peut formuler dans le rapport de révision, le réviseur n’est pas habilité à faire des recommandations sur l’adoption des comptes annuels, chaque actionnaire doit se forger sa propre opinion à partir des informations reçues. Ceci résulte du fait que la vérification du réviseur lors d’un contrôle restreint aboutit à une constatation négative: il doit vérifier s’il existe les faits lui permettant de conclure que les comptes annuels ne sont pas conformes aux dispositions légales et statutaires. En effet, en attestant par la négative il émet une constatation de conformité.

Title
5. Conclusion
Level
2
Text

Ayant traditionnellement opéré les processus de gestion de risques de façon non formalisée, il n’est par conséquent pas surprenant que les PME connaissent des difficultés d’application de la nouvelle prescription légale en matière d’évaluation des risques. Ce d’autant plus que les lacunes de cette dernière compliquent davantage leur tâche. Si les efforts d’interprétation de la Chambre fiduciaire et de la doctrine ont apporté un certain éclairage nécessaire à la compréhension de la volonté du législateur, ils ont en revanche montré à quel point les limites imposées à l’appréciation des risques en affectaient son efficacité. Les premières expériences d’application de la loi ont confirmé cette tendance et la persistance de certains problèmes au point que toute la discussion sur l’art. 663b al. 12 CO se résume aujourd’hui à celle de sa ratio legis,48 celle-ci étant alimentée par le re­virement du législateur qui projette désormais dans le cadre de la réforme du droit des sociétés anonymes et du droit comptable en cours d’examen au parlement fédéral de dispenser à juste titre les PME de l’obligation de publier les indications relatives à l’appréciation des risques dans l’annexe. Toute publication en la matière se ferait dans le rapport de situation que les entreprises astreintes au contrôle restreint ne seront pas tenues d’établir. Il en résulterait finale­ment deux avantages essentiels par rapport à la loi en vigueur: d’une part, il échoira au conseil d’administration de décider d’une analyse de risque dont il resterait le maître du processus tant dans sa réalisation que son efficacité et d’autre part, le réviseur ne serait plus amené à jouer quelque rôle en la matière, ce qui lui évitera tout risque de responsabilité.

Text

Nous tenons à remercier sincèrement M. Pascal Montavon, Docteur en droit, pour les suggestions et remarques lors de la rédaction de ce texte.

  1. Annen, M., Système de contrôle interne et appréciation des risques, in TREX 2008, 277; Renggli K., L’évaluation du risque dans l’annexe (art. 633b ch. 12 CO), in TREX 2009, 32.
  2. Voir Message concernant la modification du code des obligations (obligation de révision dans les sociétés anonymes) et la loi fédérale sur l’agrément et la surveillance des réviseurs du 23 juin 2004, FF 2004 3765.
  3. Renggli (n. 1), 31.
  4. Circulaire FINMA 08/32 Gouvernance, gestion des risques et système interne de contrôle en matière d’assurance du 20 novembre 2008.
  5. Voir Böckli P., Schweizer Aktienrecht, 4e éd., Zurich / Bâle / Genève 2009, § 15 n° 204.
  6. Böckli (n. 5), n° 204; Renggli (n. 1), 31.
  7. Voir Peter H. / Cavadini-Birchler F. / Dunant O., in: Pierre Tercier / Marc Amstutz (édit.), Commentaire ­romand, Code des Obligations II, Bâle 2008, art. 728a n° 28.
  8. Annen (n. 1), 277; le Code Suisse de bonne pratique pour le gouvernement d’entreprise, ch. 19. Voir également la norme internationale d’audit ISA 315 «Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives»; COSO’s Internal Control – Integrated Framework (www.coso.com).
  9. Wyss L., Das IKS und die Bedeutung des Legal Risk Management, in RSDA / SZW 1/2007, 40.
  10. Voir le site de COSO: www.coso.com.
  11. Renggli (n. 1), 32.
  12. Voir la matrice des risques faite sur la base du modèle COSO et proposée par Annen (n. 1), 278.
  13. Manuel Suisse d’Audit (ci-après: MSA) 2009, 300; Böckli (n. 5), n° 206.
  14. Voir le Message du Conseil fédéral concernant la révision du code des obligations du 21 décembre 2007, FF 2008 1407 et en particulier l’art. 961 du projet du CO révisé (ci-après: P-CO).
  15. Renggli (n. 1), 32.
  16. Mäder R., Risikobeurteilung nach Art. 663b Ziff. 12 OR, in RSDA / SZW 4/2009, 256. (n. 27), 262.
  17. Message (n. 2), 3810.
  18. Voir Böckli (n. 5), n° 206. Le message (n. 3), 3810 est ambigu sur ce point: «L’évaluation dont il est question ici ne porte pas sur l’ensemble des risques de l’entreprise, mais uniquement sur ceux qui pourraient avoir une influence majeure sur l’appréciation des comptes annuels. Il n’en reste pas moins qu’ils sont très divers: secteur d’activité, taille de l’entreprise, développement technologique, évolution du marché du travail, modes de financement et trésorerie, concurrence, gamme de produits, organisation interne, structure de l’actionnariat, influences externes par les parties prenantes (stake­holders), environnement etc.»
  19. MSA 2009, 301.
  20. Art. 961 ch. 3 P-CO (n. 14).
  21. Stenz T. / Zemp R., Erste Erfahrungen mit der Ordentlichen Revision, Neuerungen haben sich mehrheitlich bewährt, in L’Expert-comptable suisse 10/2009, 690.
  22. Art. 662a CO.
  23. Annen (n. 1), 277, MSA 2009, 300.
  24. MSA 2009, 300/301.
  25. MSA 2009, 301.
  26. Voir Böckli (n. 5), n° 208.
  27. Annen (n. 1), 277; Renggli (n. 1), 33.
  28. Selon certains auteurs, les indications minimales ne peuvent être admises que si elles s’intéressent au moins à la qualité de l’évaluation du risque. Voir Mäder (n. 16), 259.
  29. Voir MSA 2009, p. 301; Böckli (n. 5), n° 208; Montavon P. / Wichser J.-P., Droit suisse de la révision, Coresponsabilité des organes de la SA, Lausanne 2009, 107.
  30. Böckli (n. 5), n° 208; Stenz /Zemp (n. 21), 690.
  31. Message (n. 2), 3810.
  32. MSA 2009, 301.
  33. Wyss (n. 9), 37; Mäder (n. 16), 256.
  34. Montavon / Wichser (n. 29), 150; Lechartier P. / Oesch L., Analyse des risques et SCI, un an après, in L’Expert-comptable suisse 10/2009, 695.
  35. Voir Tagouo C., Système de gestion des risques et corporate governance, AJP / PJA 05/2010, 604 – 605.
  36. Message (n. 2), 3765.
  37. Voir Bourqui C. / Bourqui P. D., Le contrôle restreint et sa fiabilité, in RSDA / SZW 6/2007, 428.
  38. Message (n. 2), 3798.
  39. Pour le contrôle ordinaire, voir Stenz / Zemp (n. 21), 690.
  40. Voir notamment Böckli (n. 5), n° 210, n° 478; Watter R./Pfiffner D. C., Commentaire bâlois, Droit des obligations, art. 729a n° 8.
  41. Voir Montavon / Wichser (n. 29), 149.
  42. Voir également Renggli (n. 1), 32.
  43. Chambres fiduciaire suisse, Vérification du système de contrôle interne NAS 890, 19.
  44. Voir Stenz / Zemp (n. 21), 690.
  45. Montavon / Wichser (n. 29), 149. Voir en outre la position nuancée de Böckli (n. 5), n° 149.
  46. Plus nuancés sur ce point, Watter / Pfiffner (n. 40), art. 729a n° 8.
  47. Renggli (n. 1), 35 semble avoir un avis contraire.
  48. Stenz / Zemp (n. 21), 690; Lechartier / Oesch (n. 34), 695.
Date