Juridique

Contrôle fiscal : rôle central et responsabilité élevée pour le DSI

Marc Lamort de Gail est expert-comptable associé du cabinet Incivo, spécialisé dans l'assistance au contrôle fiscal des comptabilités informatisées.

Retrouvez cet article dans le CIO FOCUS n°102 !

Le rôle central des DSI même là où on ne l'attend pas

Partout, l'informatique est partout ! Et cela a une conséquence souvent négligée : le DSI est de ce fait lui aussi partout impliqué. Même aux endroits les plus inattendus. Ainsi, par exemple, combien de DSI sont conscients de leur rôle central dans un bon déroulement de contrôle fiscal ? Pourtant,...

Découvrir

Contrairement à ce que, sans doute, il pourrait croire au premier abord, le DSI a un rôle essentiel dans la préparation et la réalisation d'un contrôle fiscal dans son entreprise. Et les difficultés demeurent aujourd'hui importantes, entraînant des risques financiers majeurs.

Publicité« Oui, il y a des contrôles fiscaux qui se passent mal pour des raisons informatiques » martèle l'expert-comptable spécialisé Marc Lamort de Gail. Animateur de deux groupes de travail au sein de l'Académie des Sciences et Techniques Comptables et Financières, il soupire : « les DSI ne s'en préoccupent que s'ils sont confrontés au problème, donc trop tard, alors que les risques juridiques et financiers sont importants pour les entreprises. »

Le sujet du contrôle fiscal est, contrairement à ce que l'on pourrait croire au premier abord, très transversal. Bien entendu, les premiers concernés sont tout de même les directeurs financiers (DAF), les responsables comptables, le responsable fiscalité, etc. D'autres directions, parce qu'elles fournissent les éléments permettant d'établir les comptes et donc les bases d'imposition, sont également concernées : DRH, Direction Commerciale... Et puis des experts techniques sont également nécessairement impliqués : la direction juridique, parfois la direction qualité... et la DSI. Marc Lamort de Gail souligne : « la vraie difficulté est que chacun comprenne les autres, un exemple de problème étant le sens différent donné au mot archive par un DSI et par un directeur juridique. »

Que vient faire le DSI dans cette galère ?

Mais en quoi le DSI est-il donc spécifiquement concerné ? « Le contrôleur peut demander à accéder à toutes les données justifiant directement ou indirectement les résultats comptables et fiscaux, donc pas seulement à la comptabilité » explique Marc Lamort de Gail. De ce fait, le contrôleur doit comprendre le système d'information et il faut donc lui présenter. Il peut être amené à examiner la GRC, la gestion des stocks, la gestion des tarifs, la paye... Les données purement marketing ne sont normalement pas concernées, sauf exception, par exemple lorsque ces données permettent de comprendre pourquoi tel tarif a été appliqué à Untel.
Si le PGI est évidemment la première cible du contrôleur, la vérification peut intégrer des fichiers de tableur ou du décisionnel. En effet, ces outils peuvent permettre de comprendre la logique tarifaire et de vérifier que le profit déclaré est bien le profit réel. « Il faut être capable de récupérer les données sur le chemin d'audit sur tous les exercices concernés » insiste Marc Lamort de Gail.
Et comme le contrôle porte sur un minimum de trois ans mais peut être étendu dans certains cas à des données pouvant dater de six à dix ans, il faut être capable de présenter les évolutions du système d'information. Ces évolutions doivent donc être documentées. Depuis 2014, les obligations afférentes ont été renforcées.
Marc Lamort de Gail relève : « être prêt pour un contrôle fiscal permet aussi de simplifier le contrôle interne continu qui est, au fond, une démarche similaire au contrôle fiscal. » Le contrôle interne continu va ainsi permettre de détecter les erreurs d'imputation et les fraudes internes.
En cas de contrôle inopiné, en général ciblé suite à un soupçon, un contrôleur peut arriver dans l'entreprise, demander à accéder à ce qu'il désire, le copier et l'emporter. Encore faut-il que cela soit techniquement possible...

PublicitéLe double piège de l'archivage et de la traçabilité

L'archivage des données, même s'il est coûteux, doit être garanti. Une collaboration transverse entre les différentes directions -notamment DAF, Direction juridique et DSI- est nécessaire pour définir la profondeur et la durée des archives. Autrement dit : qu'archive-t-on et pour combien de temps ? Dans le cas d'un PGI, c'est quasiment la totalité du système qui est à archiver !
Or l'archive, au sens fiscal et juridique, n'est pas une archive au sens informatique. Pour le juriste et le fiscaliste, il s'agit de disposer des données dans un format normalisé (et donc non-propriétaire) avec preuve de non-modification et date certaine. Et cette archive doit contenir tous les éléments nécessaires !
Certaines obligations pèsent plus spécifiquement sur les créateurs du système d'information, éditeur ou intégrateur notamment. Ainsi, la documentation des logiciels doit être disponible et elle doit explicitement présenter les évolutions du système. Par exemple, cette documentation doit permettre de démontrer qu'à aucun moment la suppression d'un enregistrement du système de caisse ou d'une écriture comptable n'est possible. En cas de manquement, l'éditeur et/ou l'intégrateur peuvent ainsi se voir infliger une amende administrative pouvant atteindre 15% de leur chiffre d'affaires ou 1500 euros par licence de logiciel vendue.

Le FEC n'est pas une mince affaire

Lorsque le contrôleur fiscal arrive dans l'entreprise, il va demander en tout premier lieu, normalement et en dehors de cas particuliers de contrôles pré-ciblés (par exemple sur le Crédit Impôt Recherche), le FEC (Fichier des Ecritures Comptables). Quoi de plus simple ? Contrairement à ce que beaucoup d'informaticiens peuvent croire, cela n'a, justement, rien de simple car la fourniture du FEC est précisément l'un des premiers écueils lors d'un contrôle des comptabilités informatisées.
Le FEC doit être disponible lorsque le contrôleur le demande dans un délai très bref (le premier jour en principe). C'est un fichier texte dans un format normalisé comportant, selon les pays et les régimes fiscaux, de 18 à 23 champs par ligne. L'OCDE pousse une évolution de la norme pouvant comporter jusqu'à 1000 champs par ligne, adoptée à ce jour par certains pays comme le Portugal.
Le FEC contient, sans aucune compilation ou regroupement, la totalité des opérations de comptabilité générale. Lorsque la comptabilité comporte des millions de lignes, les volumes peuvent atteindre plusieurs giga-octets de données (voire, dans certains rares cas, tera-octets).
Parfois, même fournir un FEC répondant aux normes est impossible. « Les plus grandes difficultés surviennent avec des groupes étrangers implantés en France dont le PGI est centralisé dans un autre pays, éventuellement en SaaS, et dont les responsables sont incapables de fournir un FEC au bon format voire ne comprennent même pas l'importance de pouvoir le faire » observe Marc Lamort de Gail.
Or une non-présentation d'un FEC conforme peut être sanctionnée par une amende dont le montant minimum est de 5000 euros par exercice, ou 10% des redressements effectués, si ceux-ci sont supérieurs. Parmi les erreurs à éviter, notons la modification pour « rendre présentable » le FEC, surtout sous Excel qui a la fâcheuse tendance à transformer les séparateurs de façon non-conforme. Le FEC ne doit jamais être modifié faute de quoi il devient de ce seul fait non-conforme.

Un décisionnel particulier, premier outil du contrôleur

Une fois que le contrôleur fiscal dispose du FEC, il va pouvoir l'analyser avec des outils qui ressemblent à du décisionnel classique. En France, les contrôleurs disposent du logiciel Alto 2 sur leurs ordinateurs portables. Celui-ci comprend un certain nombre de requêtes et d'analyses pré-paramétrées qui vont permettre au contrôleur de repérer des anomalies. L'idée est de pouvoir rapidement cibler des points à contrôler plus particulièrement.
Des éditeurs ont développé des outils dédiés à l'analyse des données natives du système d'informations comprenant des progiciels courants du marché (Oracle Business Suite, SAP, etc.). Les principaux sont deux éditeurs canadiens : Idea et ACL. Au départ, ces outils étaient dédiés à l'audit et le fisc s'en est dotés dans la plupart des pays. Ces logiciels sont une sorte de décisionnel assurant une traçabilité des opérations et comportant une interface de programmation.
Ce n'est qu'après cette étape d'analyse du FEC que le véritable contrôle fiscal commence, une fois les pistes d'audit identifiées. Le but de cette démarche en deux temps est d'augmenter la productivité des contrôleurs.
Dès lors, le contrôleur va pouvoir demander à accéder aux justificatifs de chaque opération, donc en particulier aux données du système d'information ayant concouru directement ou indirectement à l'établissement de la comptabilité. L'entreprise peut procéder elle-même aux extractions demandées ou recourir à un prestataire spécialisé comme la société de Marc Lamort de Gail. Celui-ci insiste : « à tout moment, il faut être capable d'extraire ce qui est demandé, les traitements particuliers pouvant être fournis en général sous quinze jours. »

Le désastre peut être total pour des raisons informatiques

La situation peut parfois tourner à la vraie catastrophe pour des raisons purement informatiques. Le fisc peut en effet juger que la comptabilité est non-probante, notamment si l'intégrité des données ne peut pas être garantie ou si la traçabilité est insuffisante. Dans ce cas, la comptabilité présentée est simplement rejetée et le fisc va définir par lui-même la base imposable. En général, le calcul fait par le fisc est moins favorable à l'entreprise que celui présenté par celle-ci... qui ne peut pas rétorquer en présentant une comptabilité qui a déjà été rejetée au départ !
Marc Lamort de Gail se souvient : « mon pire cauchemar a été une entreprise où je devais dialoguer avec des interlocuteurs changeant sans cesse au sein d'une DSI, d'une DAF et d'un infogérant avec des équipes en Inde parlant mal anglais et ne comprenant pas les enjeux. »
Dans le pire des cas, en général lorsqu'il y a une forte suspicion de fraude, le fisc peut engager une procédure judiciaire aboutissant à la pose de scellés ou à la copie (éventuellement intégrale) du système d'information. Les systèmes de caisse sont les plus sensibles et les plus porteurs de risques : ils ne doivent en aucun cas permettre l'effacement de données. En cas d'effacement de données (réel, supposé ou simplement possible), l'entreprise et ses dirigeants sont soumis à un risque pénal.

En savoir plus

- L'Académie des Sciences et Techniques Comptables et Financières, initiative de l'Ordre des Experts Comptables, compte 65000 membres (dont 25000 à l'étranger et 20000 experts-comptables): DAF, auditeurs, contrôleurs de gestion, juristes, professionnels du chiffre (experts-comptables...), etc. Elle a consacré son Cahier numéro 20 au sujet du contrôle fiscal informatisé (accès libre - PDF).

- Marc Lamort de Gail est expert-comptable associé du cabinet Incivo, spécialisé dans l'assistance au contrôle fiscal des comptabilités informatisées. Au sein de l'Académie des Sciences et Techniques Comptables et Financières, il anime deux groupes de travail, l'un sur la préparation du contrôle fiscal des comptabilités informatisées, l'autre sur la mise en conformité à la nouvelle norme de l'OCDE sur les fichiers d'audit fiscal.

- Lors du Congrès de l'Ordre des Experts Comptables, qui a lieu au Palais des Congrès à Paris, Marc Lamort de Gail animera deux conférences sur le sujet du contrôle fiscal des comptabilités informatisées : le 30 septembre et le 1er octobre 2015 à 17h30 les deux fois. Site web de l'événement