Décision à l’égard de M. Laurent Ganem et de la société Messine Audit : enseignements clés pour les fonctions Compliance

Contexte et portée de la décision

La décision « Décision à l’égard de M. Laurent Ganem et la société Messine Audit », publiée par la Haute Autorité de l’Audit (H2A), constitue un signal fort adressé à l’ensemble des professionnels de l’audit et des fonctions de conformité évoluant dans l’écosystème financier et extra-financier en France. Elle rappelle le caractère impératif des exigences en matière d’indépendance, de qualité d’audit, de documentation des diligences, de supervision des travaux, ainsi que le respect strict des normes d’exercice professionnel et des règles déontologiques applicables aux commissaires aux comptes et aux cabinets d’audit impliqués dans des missions d’assurance ou d’audit réglementé.

Cette publication intéresse directement les compliance officers, responsables du contrôle interne, responsables qualité d’audit et directions des risques, qui doivent s’assurer de la conformité du dispositif interne, de la gouvernance et du pilotage des missions sensibles. L’affaire illustre les zones de fragilité récurrentes : gestion des mandats et des liens d’intérêts, séparation des activités d’audit et de conseil, maîtrise des procédures de revue indépendante, traçabilité des tests, et robustesse du dispositif de contrôle qualité interne (ISQM 1/ISQM 2).

Cadre réglementaire et déontologique applicable

Les obligations pertinentes s’articulent autour :

- Des normes internationales de gestion de la qualité ISQM 1 (système de gestion de la qualité des cabinets) et ISQM 2 (revue qualité des missions), transposées et attendues dans les dispositifs des cabinets d’audit.

- Des normes d’exercice professionnel relatives à l’audit des comptes et aux missions d’assurance, incluant l’exigence de documentation suffisante et appropriée, de supervision, de revue et de conclusion fondée sur des éléments probants pertinents.

- Des exigences d’indépendance et d’éthique (prévention des menaces, mesures de sauvegarde, interdictions de services non audit incompatibles, rotation et gestion des relations d’affaires) telles qu’attendues du corpus déontologique des commissaires aux comptes et des cabinets d’audit.

- Des obligations de contrôle interne et de contrôle qualité interne, y compris les revues indépendantes, les inspections périodiques et la remédiation rapide en cas d’écarts.

Pour les fonctions Compliance, ces normes imposent un rôle actif de deuxième ligne dans l’animation, le monitoring et le reporting des risques d’inadéquation du système de qualité, avec une capacité à déclencher des mesures correctrices et, le cas échéant, à escalader au niveau de la gouvernance.

Constats typiques relevés par l’autorité en cas de manquements

Dans ce type de décision, l’autorité pointe généralement :

- Une documentation insuffisante des diligences (tests incomplets, absence de preuves probantes, absence de justification des jugements clés).

- Des faiblesses d’indépendance (liens d’affaires, honoraires non conformes, cumul de missions de conseil et d’audit incompatibles, insuffisance de sauvegardes).

- Un dispositif ISQM incomplet ou insuffisamment opérationnel : cartographie des risques qualité lacunaire, réponses inadaptées, absence d’indicateurs et de seuils d’alerte, formation et supervision déficientes, revue qualité des missions non déclenchée ou imprécise.

- Une gouvernance et une culture de conformité trop faibles pour prévenir, détecter et corriger les écarts en temps utile.

Impacts pour les cabinets et les émetteurs audités

Les conséquences d’une décision de ce type dépassent la sanction elle-même : elles affectent la réputation, l’aptitude à répondre aux appels d’offres, les relations avec les comités d’audit et les organes de surveillance, et peuvent générer des révisions de rapports, des obligations de remédiation, voire des réorganisations internes. Les émetteurs audités sont également exposés à un risque de défiance des marchés et des parties prenantes en cas d’audit fragilisé.

Bonnes pratiques attendues des fonctions Compliance et Qualité

- Mettre en œuvre un ISQM 1 fondé sur une appréciation robuste des risques de qualité, avec des réponses calibrées, documentées et testées.

- Déployer ISQM 2 avec une revue qualité des missions fondée sur des critères objectifs (caractère public d’intérêt, risques élevés, jugements significatifs) et une indépendance réelle du reviewer.

- Opérer un registre des menaces à l’indépendance, des sauvegardes et des décisions, avec traçabilité des analyses et validations par la Compliance.

- Assurer la séparation stricte entre audit et conseil lorsque non autorisés, et formaliser les analyses de compatibilité service par service.

- Renforcer la formation continue, les revues froides et l’inspection interne, avec plans de remédiation pilotés et suivis.

- Assurer une communication claire avec les comités d’audit sur la qualité, l’indépendance et les conclusions significatives.

Checklist opérationnelle : prévention des écarts

- Matrice d’indépendance et d’incompatibilités à jour.

- Workflow d’acceptation et de maintien de mission avec contrôles de deuxième ligne.

- Dossier de documentation standardisé, avec exigences minimales de preuves.

- Programme d’inspection interne annuel aligné sur les risques.

- Tableau de bord qualité avec indicateurs menant à des actions correctrices.

Conclusion

La décision à l’égard de M. Laurent Ganem et Messine Audit, publiée par la H2A, rappelle l’exigence de rigueur qui pèse sur la profession : indépendance, qualité des diligences, gouvernance et dispositif ISQM effectif. Les fonctions Compliance doivent se positionner comme architectes et vigies du système de qualité, en assurant la traçabilité de chaque choix, la séparation des rôles et une remédiation rapide et documentée.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

- Cartographier les risques qualité et d’indépendance, définir des seuils d’alerte et mettre en place des contrôles ex ante et ex post.

- Mettre à niveau ISQM 1/2 : critères de revue, sélection des reviewers, calendrier, reporting à la gouvernance.

- Industrialiser la documentation : modèles de mémos, checklists probatoires, revues croisées, clôtures intermédiaires.

- Séparer et tracer audit vs. conseil : registres, décisions documentées, formations ciblées, tests de conformité.

- Instaurer un comité Qualité/Compliance trimestriel avec suivi des remédiations et décisions d’indépendance.