Ce billet aborde le mode de sécurisation des factures émises et reçues correspondant à la « piste d’audit fiable », instauré par la troisième loi de finances rectificatives pour 2012 et commenté par l’administration au BOFiP…

Cet article constitue la seconde partie du billet consacré à la transmission électronique des factures et aux règles d’émission et de réception.

Contrôles exigibles par l’administration pour établir une « piste d’audit fiable »

Il s’agit, pour l’assujetti, de mettre en place un ou plusieurs contrôles établissant une piste d’audit fiable entre une facture et la livraison des biens et des services qui en est le fondement. Les précisions de l’administration sur la modalité de sécurisation, reprises ci-dessous, concernent, sur un pied d’égalité, les factures papier et les factures électroniques.

Qui est concerné ?

Seuls ne sont pas tenus de mettre en place une piste d’audit fiable, les assujettis qui recourent :

  • soit à la signature électronique (ou cachet serveur) avancée, fondée sur un certificat qualifié, créée par un dispositif sécurisé de création de signature ou admise comme « qualifié » par l’administration,
  • soit à l’EDI défini par la CGI.

A contrario, la piste d’audit fiable est exigée des assujettis émettant et/ou recevant :

  • des factures papier,
  • des factures électroniques transmises par tout autre procédé que les modalités détaillées ci-dessus, tel que l’envoi en pièce jointe d’un courriel ou la mise à disposition par le biais d’un réseau sécurisé,
  • des factures électroniques avec signature électronique non conforme aux exigences du CGI ou non conforme au RGS de niveau 2 ou 3 étoiles,
  • des factures électroniques transmises par EDI non conforme aux exigence de la CGI, par exemple sans fichier des partenaires ni de liste récapitulative,
  • des factures électroniques par EDI non conforme aux exigences du CGI avec signature électronique non conforme aux règles du CGI.

Modulation selon l’organisation et la taille

Ces contrôles sont choisis par l’entreprise et mis en place sous sa responsabilité. Chaque assujetti détermine, selon son organisation, sa taille, son activité, ses systèmes d’information et le volume de ses factures et les moyens des contrôles à mettre en place. Ainsi, les contrôles mis en place par une TPE ou une moyenne entreprise seront différents de ceux mis en place par une grande entreprise.

L’administration précise que dans une TPE, une comparaison manuelle des factures avec les documents commerciaux (devis, bons de commande, bons de livraison, justificatifs de paiement) peut constituer un contrôle suffisant, à condition que chacun des éléments suivants soit conservé et tracé :

  • le devis qui devient le bon de commande, par la suite validé,
  • le bon de livraison avec l’impact des retours éventuels,
  • la facturation, avec l’impact des avoirs éventuels.

Les contrôles établissant la piste d’audit doivent permettre de s’assurer que le passage de l’un à l’autre de ces documents est traçable dans les deux sens.

Mise en place des contrôles

Tant chez l’émetteur que chez le récepteur de la facture, les contrôles doivent garantir la réalité des opérations et permettre à l’assujetti qui les a mis en place de s’assurer, notamment que :

  • les données relatives à la facture sont complètes et exactes et elles n’ont pas été modifiées,
  • la facture est adressée à la bonne personne et au bon moment,
  • elle n’a pas été traitée ou enregistrée deux fois,
  • elle correspond à une opération économique, comptable et financière réelle et toutes les transactions ont été prise en compte dans l’ordre,
  • les risques significatifs opérationnels (défaillance du système informatique qui émet des factures avec mentions inexactes) ou financiers (factures d’un montant erroné) sont identifiés ou maîtrisés.

Les contrôles mis en place lors du processus d’émission et de réception de facturation électronique doivent également permettre :

  • de protéger les fichiers de factures de tout dommage potentiel et d’informer l’assujetti si une difficulté se produit,
  • de démontrer que l’assujetti peut parer à une panne du système ou à une perte des données,.

En outre, les contrôles de l’émetteur doivent permettre de :

  • veiller à ne pas envoyer accidentellement des duplicatas de factures,
  • conserver un chemin d’audit entre le(s) système(s) générant les factures et les applications interne permettant de les transmettre.

Il est rappelé que les contrôles doivent être mis en place dès qu’un processus de facturation existe et être mis à jour à chaque changement dans l’organisation des contrôles.

Piste d’audit

La piste d’audit doit permettre :

  • de reconstituer dans un ordre chronologique tout le processus de facturation, depuis l’origine jusqu’au document facture (bons de commande, bons de livraison, extraits de compte…),
  • de garantir le lien entre la facture et la livraison des biens ou des prestations correspondantes,
  • et de justifier toute opération par une pièce d’origine d’où l’on remonte de façon ininterrompue  à la facture et réciproquement (traçabilité dans les deux sens).

La piste d’audit, qui justifie l’opération facturée, à un périmètre plus large que le chemin de révision comptable qui justifie l’écriture, mais les documents constitutifs peuvent être les mêmes.

Documentation des contrôles

L’administration précise que les contrôles ne requièrent pas le même degré de formalisation que le contrôle interne, mais que la documentation doit les décrire, les présenter et les expliquer pour que l’administration les appréhende facilement lors d’un contrôle.

La documentation, à élaborer lors de la mise en place de l’audit, doit préciser les acteurs des contrôles et leurs tâches respectives. Elle doit retracer les étapes du processus de facturation.

Différents niveaux d’exigence de la description des contrôles sont requis selon la taille des entreprises et la volumétrie des factures émises ou reçues et des moyens employés (humains et financiers) :

  • pour les PME, documentation synthétique,
  • pour les TPE où les contrôles sont effectués par un seul acteur, présentation orale aux agents de l’administration assortie d’une démonstration concrète, consistant en un recoupement manuel des factures avec les documents commerciaux,
  • pour les grandes entreprises où les contrôles sont dématérialisés, présentation de la cartographie des applications informatiques impliquées dans la facturation et des habilitations de sécurité, des structures de fichiers, des tables de codification et du paramétrage, des schémas de circulation et de validation des informations, des modalités d’injection dans la comptabilité et des contrôles de cohérence, ainsi que la liste des anomalies et des processus de corrections des erreurs.

Présentation des contrôles à l’administration

Les contrôles dématérialisés sont à présenter à l’administration sous cette forme, mais les agents peuvent en prendre copie sur tout support et, à leur demande, ils peuvent être présentés sur papier.

Sur la transmission électronique des factures par lots

L’administration considère que l’intérêt de la transmission par lots est plus réduit désormais avec la création électronique qui évite les ressaisies, d’une part, et la possibilité de facturation périodique, d’autre part.

Toutefois, en cas de transmission électronique de factures par lots, les règles sont les suivantes :

  • les règles de transmissions électronique doivent être respectées,
  • les factures d’un même lot doivent concerner des opérations entre le même fournisseur et le même client. Ainsi , lorsque l’établissement matériel des factures est confié à un tiers, un même lot ne peut pas contenir des factures émises pour le compte de plusieurs mandants ou plusieurs clients d’un même mandant. La transmission du lot excède le différé général de facturation prévu, les factures ainsi émises doivent respecter les règles applicables aux factures récapitulatives. Par exemple, la facture d’une opération de TVA devient exigible au cours d’un mois civil donné doit être transmise avant la fin dudit mois,
  • lorsque les factures d’un lot n’indiquent qu’une fois les mentions communes à ces factures et sont sécurisées par signature électronique, c’est le lot qu’il faut signer et non chaque facture de manière distincte.