L’audit d’une société de e-commerce : décryptage des principaux enjeux

Les évolutions technologiques, réglementaires et les nouvelles pratiques du secteur marchand, notamment dans le e-commerce, poussent le commissaire aux comptes à s’adapter, à faire évoluer son organisation et son approche d’audit pour mieux répondre aux nouveaux enjeux de ce secteur. Le maître-mot : innover !

La crise sanitaire et les mesures prises par le gouvernement (confinement, fermeture des magasins…) pour tenter d’enrayer la progression de la pandémie ont agi comme un accélérateur des ventes  dans le e-commerce, avec un report massif de la consommation vers la vente en ligne. Sur ce marché en pleine croissance, lequel a représenté un volume d’affaires de plus de 112 milliards d’euros en 2021 ¹, quelque 27 000 nouveaux sites de e-commerce se sont créés chaque année, portant le nombre de sites cybermarchands français à 177 000.

C’est donc assez naturellement que le commissaire aux comptes, dans sa mission de tiers de confiance indépendant au service des acteurs de l’économie, est de plus en plus confronté à ce type de commerce, qu’il soit exercé par des spécialistes de la vente en ligne (pure players), des enseignes de distribution traditionnelles « physiques » ayant lancé un site marchand (click & mortar) ou par des acteurs traditionnels de la vente par catalogue (VPC) ayant lancé un site marchand (« véadistes » traditionnels).

Selon le Code de commerce, la mission du commissaire aux comptes est d’exprimer une opinion sur les comptes annuels d’une entité en s’assurant qu’ils soient sincères, réguliers, et qu’ils donnent une image fidèle du patrimoine de la société. Il doit donc appréhender parfaitement l’environnement dans lequel il intervient afin de pouvoir réaliser pleinement sa mission.

Les sociétés de e-commerce sont par nature très spécifiques dans leur fonctionnement et leurs caractéristiques (actionnariat, croissance, financement…), ce qui induit la nécessité d’évaluer les bons facteurs de risques. Il appartient donc au commissaire aux comptes, dans un premier temps, d’analyser les principales zones de risque puis, dans un second temps, de définir la manière dont il en tirera les conséquences dans sa démarche d’audit.

Les principaux risques inhérents à une société de e-commerce

Les normes d’exercice professionnel (NEP-315) imposent au commissaire aux comptes de prendre connaissance de l’environnement de la société contrôlée, ce qui passe par la prise de connaissance du secteur d’activité et des conditions économiques générales.

Si l’environnement du e-commerce est un élément commun aux acteurs, à l’inverse, chaque entité auditée dispose de caractéristiques qui lui sont propres. Les facteurs de risque peuvent ainsi être appréhendés sur le plan du mode de financement, des compétences en systèmes d’information et de l’implication de la direction dans le contrôle interne.

Les risques les plus fréquents dans ce secteur portent sur les environnements commercial, économique, technologique et réglementaire.

L’environnement commercial. S’intéresser et comprendre le business model permet au commissaire aux comptes de mieux apprécier les processus et les schémas comptables de la société auditée. Ainsi, la création d’un site marchand génère des dépenses qui doivent faire l’objet d’une attention particulière de sa part, tant sur le plan comptable (activation ou non des dépenses, test de dépréciation…) que sur le plan fiscal. Il en est de même de l’utilisation d’une marketplace pour ce qui concerne la reconnaissance du chiffre d’affaires, les principes de séparation des exercices ou encore l’interaction des systèmes d’information entre eux, laquelle est source de risques supplémentaires.

L’environnement économique. Le risque lié au manque de profitabilité apparaît grand tant la concurrence est intense entre les acteurs du secteur. Les performances économiques des intervenants sont « plombées » par des investissements souvent colossaux pour faire face à une compétition féroce qui se traduit par une concentration lente, mais progressive du marché. Il en résulte un risque sur la continuité d’exploitation qui doit faire l’objet d’une appréciation continue de la part du commissaire aux comptes dans le cadre de ses diligences.

L’environnement technologique. Sa maîtrise constitue aussi un enjeu crucial pour le professionnel du chiffre dans le cadre de sa stratégie d’audit. Les risques inhérents sont liés à l’utilisation massive de l’informatique, avec une interaction en lien avec des systèmes d’information amont. Les principaux risques devant être couverts par les diligences du commissaire aux comptes concernent principalement la fiabilité du système d’information sur lequel reposent la traduction des flux comptables, la sécurisation des données (risques d’intrusion, politique de sauvegarde des données, etc.), et des transactions.

Par ailleurs, les technologies récentes telles que le big data, le cloud computing, la réalité augmentée, l’intelligence artificielle ou encore la blockchain sont des facteurs clés pour le développement et l’attractivité des sociétés. Les budgets financiers associés à ces projets de R&D (projets internes ou à destination commerciale) sont souvent significatifs et nécessitent de la part du commissaire aux comptes un regard attentif compte tenu des enjeux comptables, souvent complexes.

L’environnement réglementaire. Le commissaire aux comptes a un devoir de vigilance sur le respect des dispositions légales et réglementaires par l’entité auditée, qu’il s’agisse (i) du cadre juridique avec le Code de la consommation encadrant les relations BtoC dans le contexte des ventes à distance, et plus encore la réglementation relative à l’informatique et aux libertés, notamment celle ayant trait à la collecte des données personnelles dont le référentiel fixé par le Règlement général sur la protection des données (RGPD) peut se révéler assez contraignant à mettre en place pour les entreprises, (ii) du régime fiscal, avec par exemple les particularités propres au traitement de la TVA concernant les ventes à distance, ou encore (iii) du cadre social.

L’analyse des risques inhérents constitue le fondement de la démarche d’audit et permet d’apprécier les conséquences possibles au niveau de la fraude, du respect des textes légaux et réglementaires et de la continuité de l’exploitation.

Ainsi, et plus particulièrement dans le secteur du e-commerce, le professionnel sera notamment vigilant à l’application des NEP-240 (prise en considération de la possibilité de fraudes lors de l’audit des comptes), NEP-250 (prise en compte du risque d’anomalies significatives dans les comptes résultant du non-respect des textes légaux et réglementaires) et NEP-570 (continuité d’exploitation) tout au long de sa mission.

La vigilance face au risque de fraude dans le e-commerce

En France, comme partout dans le monde, la crise de la Covid-19 a été un catalyseur du risque de fraude et de cybercriminalité dans les entreprises. En 2021, on estime ² que près de deux entreprises sur trois ont subi au moins une tentative de fraude. Dans ce contexte, le secteur du e-commerce est particulièrement exposé à ce risque compte tenu de la nature des flux et de la croissance continue des transactions commerciales, créant des opportunités multiples pour les fraudeurs. Pour faire face à ce risque, les entreprises ont renforcé leur dispositif de sécurité, poussées aussi, il est vrai, par un renforcement de la réglementation. Ainsi, plus de 95 % des e-commerçants français font désormais appel à une demande d’authentification forte du payeur pour l’initiation d’un paiement électronique ³ en application de la Directive européenne sur les Services de paiement (DSP2) entrée en vigueur le 13 janvier 2018.

Le cadre normatif contraint aujourd’hui le commissaire aux comptes à un certain nombre de diligences en lien avec la fraude. Il est tenu d’apprécier le risque de fraude lors de la planification de la mission et de la réalisation de son audit en application de la NEP-240.

Les risques de fraude dans le secteur du e-commerce sont pluriels : les risques exogènes, largement favorisés par l’environnement actuel, mais aussi les risques liés à des actes intentionnels induits par des facteurs tels que la forte intensité concurrentielle existant entre les entreprises de e-commerce, la pression sur les marges commerciales, l’endettement significatif ou encore une situation financière fragile.

Ces facteurs de risques peuvent conduire à des malversations comptables ayant pour conséquence une présentation infidèle et insincère des états financiers susceptible de remettre en cause la certification pure et simple des comptes par le commissaire aux comptes.

Sans paranoïa, mais avec professionnalisme, le commissaire aux comptes a non seulement un devoir de vigilance sur l’existence de fraudes potentielles, mais aussi celui de diligenter des travaux spécifiques en lien avec ce risque.

C’est ainsi que s’agissant de la réalité du chiffre d’affaires, il doit considérer de manière systématique qu’il existe une présomption de risques d’anomalies significatives résultant de fraudes. Les transactions dans une société de e-commerce se caractérisent par leur multiplicité, avec comme conséquence la difficulté de traçabilité de ces flux, mais aussi leur diversité. De manière non exhaustive, la réalité du chiffre d’affaires doit être appréciée en considérant les problématiques comptables inhérentes aux spécificités du e-commerce comme les ventes réalisées via la marketplace (statut de mandat vs statut de commissionnaire), les programmes de fidélisation, les paiements fractionnés garantis, les réclamations/retours, les ventes de fichiers clients, etc.

S’agissant des moyens de paiement, l’utilisation de monnaies électroniques (bitcoin par exemple), bien qu’encore rare dans le e-commerce généraliste, constitue aussi un exemple de sujet d’attention nouveau pour le commissaire aux comptes en raison des risques de fraude et de blanchiment qui sont associés à l’utilisation de ce type de « monnaies ».

À ce titre, il est rappelé que sous le contrôle du Haut Conseil du commissariat aux comptes (H3C), le professionnel est assujetti aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCBFT), en application de l’article L. 561-2 12° bis du Code monétaire et financier, ce qui doit le conduire à déclarer à Tracfin ⁴ toute opération suspecte qu’il identifierait dans le cadre de ses fonctions.

Des méthodes innovantes pour répondre aux risques d’audit et aux besoins d’un secteur en évolution

La revue des procédures et l’audit informatique, clés de voûte de l’audit d’une société de e-commerce

La prise de connaissance des éléments de contrôle interne pertinents pour l’audit permet au commissaire aux comptes de compléter son évaluation du risque d’anomalies significatives dans les comptes. Le système d’information est l’élément central du fonctionnement du e-commerce puisque c’est en son sein que transitent les flux commerciaux, comptables et financiers.

La compréhension du fonctionnement des systèmes d’information est un enjeu majeur pour l’auditeur. Cela nécessite de sa part une prise de connaissance et une évaluation du système d’information dans sa démarche de mesure du risque.

Cette évaluation se base dans un premier temps sur une revue des ITGC (IT General Controls) comprenant notamment l’établissement d’une cartographie applicative, l’analyse de l’organisation et de la gouvernance de la fonction informatique et l’évaluation de la sécurité et de la maintenance. Si l’efficacité opérationnelle des ITGC se révèle satisfaisante, il peut dans un second temps tester les ITAC (IT Application Controls), c’est-à-dire les contrôles clés embarqués dans les systèmes d’information.

Eu égard à la volumétrie et à la complexité des flux (logistiques, financiers…) dans le e-commerce, il apparaît difficilement envisageable pour un professionnel de l’audit, et plus encore dans le contexte actuel de l’évolution du cadre normatif, de ne pas réaliser cette revue informatique qui constitue par ailleurs une attente assez légitime de la part des sociétés auditées.

L’innovation au service du commissaire aux comptes

Le e-commerce est un secteur d’activité très évolutif et la maîtrise de l’environnement, notamment technologique, peut représenter une difficulté pour le professionnel du chiffre lorsqu’il s’agit de comprendre et de traduire les transactions en données comptables et financières. C’est pourquoi l’intervention d’experts informatiques, en appui de l’équipe d’audit financier, se révèle de plus en plus incontournable pour lui permettre de mener à bien sa mission légale.

Si l’environnement technologique des entreprises du secteur du e-commerce ne cesse d’évoluer, le métier du commissaire aux comptes n’est pas en reste et s’adapte progressivement et rapidement pour répondre à une demande croissante du marché.

Ainsi se développent de plus en plus, et notamment pour ce secteur d’activité, des techniques d’audit reposant sur des travaux de data & analytics consistant à capter tout ou partie des données comptables et/ou de gestion de la société auditée pour en extraire des analyses de cohérence, réduire les tests de substance et, in fine, être plus pertinent dans l’approche d’audit.

Outre la réduction des tests de substance, les objectifs recherchés par l’auditeur sont d’analyser des tendances sur la base de l’historique des flux, afin de prévoir ces flux tels qu’ils devraient être pour la période auditée puis de les comparer avec ceux réellement observés, d’augmenter l’efficacité de l’audit en automatisant les analyses et les contrôles grâce à la robotisation, et d’identifier les anomalies et les atypies grâce à l’intelligence artificielle. À titre d’illustration, certains outils de marché, après une phase de machine learning, sont aujourd’hui en mesure d’apprendre et de comprendre les modèles en vue d’isoler les transactions « anormales » au sein d’une population, sur lesquelles l’essentiel des efforts des auditeurs sera consacré.

Grâce aux nouveaux outils informatiques à sa disposition, la captation de l’intégralité des flux comptables par le commissaire aux comptes est aujourd’hui une réalité, quelle que soit la volumétrie, ce qui lui permet de réaliser des tests étendus lui donnant un confort supplémentaire par rapport aux sondages d’audit classiques réalisés par voie d’échantillonnage. Cette approche nouvelle est particulièrement opportune dans un secteur comme le e-commerce où il devient possible, à titre d’exemple, de réconcilier chaque transaction de vente avec son encaissement. Elle peut aussi être mise au service de l’audit des flux logistiques qui constituent un enjeu essentiel pour les entreprises de e-commerce, s’agissant par exemple de la validation des stocks en quantité et en valeur. Outre les gains pour le commissaire aux comptes en matière de renforcement des diligences, mais aussi d’efficacité et de productivité, les résultats qui en découlent contribuent largement à valoriser l’intervention du commissaire aux comptes et à réduire le fameux expectation gap entre l’auditeur et son client.