NEP 600 homologuée : piloter l’audit des comptes de groupe avec les travaux des auditeurs des composants

Contexte et portée de la NEP 600 homologuée

L’homologation de la NEP 600 « Audit des comptes de groupe (y compris l’utilisation des travaux des auditeurs des composants) – aspects particuliers » constitue une évolution structurante pour les missions d’audit de groupe en France. Cette norme d’exercice professionnel encadre l’intervention de l’auditeur de groupe lorsqu’il s’appuie sur les travaux d’auditeurs de composants (filiales, coentreprises, entités mises en équivalence, succursales, véhicules ad hoc), avec un accent renforcé sur la planification fondée sur les risques, la direction et la supervision des travaux délégués, la communication inter-firmes et l’évaluation critique de la suffisance et de l’appropriation des éléments probants.

Pour les compliance officers, responsables de contrôle interne et d’audit interne, la NEP 600 a des impacts opérationnels immédiats : articulation des responsabilités entre l’auditeur de groupe et les auditeurs des composants, exigences documentaires accrues, alignement avec les référentiels prudentiels (EBA/ESMA) et les attentes de place sur la gouvernance, la qualité d’audit et la gestion des risques de fraude et de continuité d’exploitation au niveau consolidé.

Périmètre et définitions clés

La NEP 600 s’applique aux audits des comptes consolidés ou combinés lorsqu’un auditeur de groupe s’appuie, pour tout ou partie, sur les travaux d’auditeurs des composants. Un « composant » désigne une entité ou une activité faisant partie du périmètre de consolidation et susceptible d’être significative par sa taille, sa nature ou son risque. L’« auditeur de groupe » demeure seul responsable de l’opinion sur les comptes du groupe et ne peut se décharger de cette responsabilité sur les auditeurs des composants. L’« auditeur des composants » réalise des travaux qui contribuent aux objectifs d’audit du groupe selon des instructions précises et une supervision effective.

Gouvernance de mission et responsabilité de l’auditeur de groupe

La norme renforce les attentes en matière de gouvernance de mission :

• Acceptation et maintien de mission au regard de la structure du groupe, de la complexité opérationnelle, des contraintes d’accès à l’information et des risques d’indépendance.
• Planification basée sur l’évaluation du risque d’anomalies significatives au niveau des états financiers consolidés et des assertions pertinentes par cycles.
• Détermination de la matérialité groupe, des matérialités de performance et des seuils propres aux composants, avec justification et suivi des révisions.
• Direction, supervision et revue des travaux, incluant la qualification des auditeurs des composants, l’évaluation de leur indépendance et de leurs ressources.

Approche par les risques et détermination de la portée

L’auditeur de groupe segmente les composants selon la significativité et le profil de risques. La portée combine :

• Composants « significatifs » par leur taille ou leur risque spécifique, couverts par des travaux complets ou ciblés.
• Composants non significatifs, couverts par des procédures analytiques au niveau groupe et des tests ciblés sur des domaines à risque élevé.
• Couverture cumulée permettant d’obtenir une assurance suffisante et appropriée sur les agrégats clés, incluant les entités à faible matérialité mais à risque de fraude ou d’estimations complexes.

Instructions au composant et coordination inter-firmes

La NEP 600 insiste sur des instructions écrites, complètes et traçables : objectifs d’audit, seuils de matérialité, risques identifiés par l’auditeur de groupe, domaines nécessitant une réponse spécifique (transactions intra-groupe, éliminations, instruments financiers, avantages post‑emploi, tests d’impairment, fiscalité, reconnaissance du revenu, provisions et engagements, estimations comptables sensibles). Les instructions cadrent les attentes sur l’éthique, l’indépendance, la documentation, les délais et le format de reporting. La communication bidirectionnelle doit être continue, structurée, et permettre des ajustements de portée en cours de mission.

Qualité d’audit, supervision et revue des dossiers

La direction et la supervision par l’auditeur de groupe comportent :

• Évaluation de la compétence et de l’indépendance des auditeurs des composants.
• Revues ciblées des dossiers des composants à risque élevé.
• Organisation de réunions de cadrage et de clôture, points d’avancement, et inspection des documentation critiques.
• Recours proportionné aux revues indépendantes de qualité (EQCR) selon la complexité et la criticité des jugements.

Lorsque des restrictions d’accès existent (juridictions, secret professionnel, embargos), l’auditeur de groupe met en place des mesures de contournement conformes à la déontologie (revue sur site sécurisé, data rooms, affidavits, procédures supplémentaires) et évalue l’incidence sur l’opinion.

Éléments probants et évaluation de suffisance

L’auditeur de groupe demeure responsable d’apprécier si les éléments probants collectés via les composants sont suffisants et appropriés. La norme encourage l’usage d’analyses de données, de tests substantifs ciblés sur les zones de risque et de tests de contrôles lorsque c’est efficient au regard de l’environnement de contrôle interne. Les anomalies identifiées localement doivent être agrégées et évaluées au regard de la matérialité groupe, avec attention particulière aux corrections proposées et aux anomalies non corrigées.

Fraude, continuité d’exploitation et risques transverses

La NEP 600 met l’accent sur :

• La présomption de risques de fraude liés à la reconnaissance du chiffre d’affaires et à la gestion des estimations complexes.
• La prise en compte d’indicateurs de stress de liquidité, de covenant debt, d’évènements postérieurs à la clôture et de plans de financement du groupe pour la continuité d’exploitation.
• Les risques de conformité multi‑juridictionnels (sanctions, LCB‑FT, export control) pouvant impacter la présentation des comptes, les passifs éventuels et les disclosures.

Transactions intra-groupe, éliminations et consolidation

Les procédures doivent couvrir la fiabilité des éliminations intra-groupe, la cohérence des politiques comptables, la conversion des devises et la qualité des rapprochements entre le reporting des composants et le référentiel consolidé. Une attention particulière est attendue sur les flux complexes (prix de transfert, instruments financiers intragroupe, garanties croisées, cash‑pooling), ainsi que sur la qualité des contrôles du process de consolidation.

Technologies, données et composant distant

La coordination avec des auditeurs de composants situés dans d’autres juridictions repose sur des plateformes sécurisées, des protocoles d’échange de fichiers, et des règles de protection des données. L’auditeur de groupe veille à la traçabilité des jeux de données utilisés, à la gouvernance des modèles et à la gestion des accès. Les limitations technologiques ou réglementaires (data residency) doivent être identifiées en amont et adressées dans la stratégie d’audit.

Implications pour la conformité et le contrôle interne

Pour les fonctions conformité et contrôle interne, la norme appelle à renforcer :

• La cartographie des risques consolidée et la documentation des contrôles clés au niveau des composants significatifs.
• La cohérence des politiques groupe (éthique, anti‑corruption, LCB‑FT, sanctions internationales, data privacy) et leur traduction opérationnelle locale.
• Les dispositifs de supervision des troisième lignes, avec une coordination fluide entre audit interne, contrôle interne et auditeurs externes.

Rapports, communications au gouvernance et opinion

La communication aux organes de gouvernance couvre la portée retenue, les principaux risques, les observations significatives au niveau des composants et les impacts agrégés. En présence de limitations d’étendue, d’incertitudes majeures ou de désaccords, l’auditeur de groupe évalue l’effet sur l’opinion (modifications, paragraphes d’observation, impossibilité de conclure) et documente les bases factuelles.

Points d’attention sectoriels

Finance, assurance, industrie, santé, énergie et services digitaux présentent des schémas de risques spécifiques : valorisation d’instruments complexes, provisions techniques, tests d’impairment industriels, risques réglementaires santé, exposition carbone et engagements ESG, dépendance à des plateformes technologiques et à des données personnelles. La NEP 600 invite à une couverture ajustée par secteur et à un dialogue renforcé avec les fonctions risques et conformité.

Articulation avec les référentiels européens (EBA, ESMA) et exigences françaises

L’homologation de la NEP 600 s’inscrit dans une convergence avec les attentes prudentielles et de marché publiées par l’EBA et l’ESMA, notamment sur la gouvernance des modèles, la transparence des estimations comptables, la gestion des risques de crédit et de marché, et la fiabilité de l’information financière publiée. Les entités régulées doivent veiller à l’alignement entre leurs exigences internes et les attentes des autorités nationales (AMF, ACPR) en matière de qualité de l’information financière et de contrôle interne.

Documentation et traçabilité

La norme renforce la nécessité d’une documentation claire : matérialités, rationales de portée, instructions aux composants, communications, conclusions et bases de jugements clés. La traçabilité doit permettre une revue ex‑post par la gouvernance, les autorités ou des inspections de qualité, y compris sur les échanges entre firmes et les arbitrages réalisés.

Conséquences pratiques pour les groupes complexes et internationaux

Les groupes multi‑juridictionnels devront investir dans :

• Des calendriers d’audit intégrés, consolidant les jalons locaux et groupe.
• Des taxonomies de risques communes et des matrices de contrôles harmonisées.
• Des référentiels de données homogènes et des mécanismes d’accès sécurisés.
• Des programmes de formation et d’alignement méthodologique pour les auditeurs des composants.

Conclusion : une norme pivot pour la qualité d’audit et la convergence des pratiques

L’homologation de la NEP 600 clarifie le partage des rôles, élève les exigences de planification, de supervision et d’évaluation des éléments probants, et renforce la création de valeur pour la gouvernance des groupes. Pour les fonctions conformité et risques, elle offre un cadre d’articulation plus robuste avec l’audit externe et une opportunité d’améliorer la fiabilité de l’information consolidée.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Mettre à jour votre cartographie des risques consolidée et aligner les matérialités composants/groupe.
• Formaliser un kit d’instructions standard aux composants (éthique, indépendance, risques, livrables).
• Renforcer la gouvernance des données de consolidation et les contrôles d’élimination intra‑groupe.
• Planifier des revues croisées ciblées des dossiers des composants à risque élevé.
• Outiller la communication auditeur groupe/composants via une plateforme sécurisée avec journalisation.