Par Jean-François Defudes, responsable de l’animation du pôle national Fiscal IT. Fidal
L’évolution des pratiques des administrations?: vers une dématérialisation de leurs contrôles
L’évolution des pratiques des administrations françaises conduit ces dernières à utiliser de plus en plus les données générées par les systèmes d’information des entreprises dans le cadre de leurs contrôles (DGFIP/Urssaf/DGCCRF/etc.). Cette situation impose de maîtriser (i) son système d’information au regard des différentes réglementation applicable et (ii) les éléments transmis aux différents services de contrôle.
Les systèmes d’information ont pris, depuis de nombreuses années, une importance significative au sein des entreprises. En effet, aucune organisation ne peut imaginer aujourd’hui assurer son développement sans s’appuyer sur des systèmes retraçant ses différentes fonctions.
Les administrations l’ont bien compris et ont fait évoluer leur propre système d’information qui se traduit généralement par de nouvelles offres de service auprès des usagers (ensemble des télé-services offerts ou rendus obligatoires). En parallèle, les services de contrôle de l’État ont également identifié un intérêt particulier pour les données disponibles au sein des entreprises, dont l’utilisation est généralisée, voire systématisée, dans le cadre des opérations de contrôles.
Une évolution réglementaire déjà engagée
Pour faire face à cette évolution, les administrations en charge des contrôles (DGFIP/Urssaf par exemple) se sont dotées à la fois d’outils dédiés (principalement des logiciels d’analyse de données disponibles sur le marché ou développés en interne), de moyens humains par la mise en place de services spécifiques en charge des contrôles en milieu informatisé spécifiquement formés à l’audit des systèmes d’information mais surtout d’un cadre légal dédié permettant à ces derniers d’accéder à l’ensemble des données des systèmes d’information utilisés par les entreprises, qu’il s’agisse des données de gestion ou des données comptables.
La réglementation qui a ainsi évolué peut présenter des similitudes entre des administrations différentes. À titre d’exemple, bien que rédigés différemment, on trouve de nombreux points communs entre l’article L 47 A II du Livre des procédures fiscales et l’article R 243-59-1 du Code de la sécurité sociale qui décrivent, respectivement, les modalités d’intervention des inspecteurs de la Direction générale des Finances publiques et de l’Urssaf ou bien encore sur le périmètre d’investigation autorisé à contrôle qui est similaire (Article L 13 du Livre des procédures fiscales et Charte du cotisant vérifié).
En d’autres termes, les administrations ont bien compris que les systèmes d’information utilisés par les organisations reflétaient strictement l’activité économique de ces dernières et constituaient une source d’information pertinente pour mener leur contrôle de manière exhaustive et surtout leur permettaient de gagner en rentabilité.
Une nécessaire adaptation des entreprises
Pour faire face à ces évolutions, les entreprises doivent nécessairement s’adapter, principalement sur deux points.
Le premier concerne l’aspect technique. En effet, les administrations, dans l’évolution de leurs pratiques, ont tendance à imposer aux entreprises des formats de données particuliers, des fichiers présentant des caractéristiques clairement définies par la réglementation, associées à des pénalités plus ou moins importantes en cas de non-respect.
Prenons l’exemple que toutes les entreprises ont rencontré depuis un an et demi, le fichier des écritures comptables. Ce fichier, que toute société doit communiquer de manière systématique en cas de contrôle fiscal, doit répondre à des exigences extrêmement fortes imposées par le Livre des procédures fiscales. L’objectif poursuivi par l’administration fiscale est d’uniformiser le format du fichier et des données le composant. Ainsi, qu’il s’agisse d’une TPE ou d’une multinationale, le fichier est identique et permet à l’administration d’automatiser son analyse. Il est à noter que le non-respect de ces exigences permet à l’administration fiscale d’appliquer des pénalités qui peuvent prendre des proportions importantes.
Mais ne nous y trompons pas, les administrations n’ont pas vocation à vérifier la capacité des entreprises à produire les données telles qu’elles sont attendues mais souhaitent réaliser leur contrôle de manière automatique sur des données qu’elles sont capables de lire. En conséquence, au-delà du format, l’enjeu principal pour les sociétés est de maîtriser le contenu des fichiers communiqués aux différentes administrations et d’être en mesure de justifier les points soulevés à la lecture des données transmises.
Le parallèle pourrait être fait entre un document papier et une base de données. Quelle que soit l’autorité de contrôle, peut-on imaginer transmettre un document papier sans l’avoir au préalable lu, validé et avoir anticipé les éventuelles questions qui pourraient être posées ? Il en est de même pour les bases de données transmises au service vérificateur.
Bien entendu, la difficulté pour analyser les fichiers demandés en cas de contrôle peut être importante compte tenu des formats de données, de la volumétrie des fichiers ou de la nature des informations demandées. Mais, quelle que soit l’administration à l’origine du contrôle, il ne peut être envisagé de transmettre un volume d’information significatif, retraçant généralement l’activité économique de la société sans avoir répondu à deux questions essentielles :
- Est-ce que je réponds exactement à la demande formulée ?
- Quelles sont les points qui pourraient être soulevés et qu’elle est ma capacité à les justifier ?
Et concrètement ?
La validation des données à transmettre aux différentes administrations entre dans un contexte plus général de maîtrise du système d’information utilisé par les entreprises. Cette maîtrise repose nécessairement et à minima sur deux aspects :
- La transposition des règles juridiques au sein du système d’information, en d’autres termes le paramétrage. En effet, un défaut de paramétrage peut entraîner des conséquences financières importantes en cas de contrôle ;
- Les conditions d’utilisation du système d’information et les contrôles ou sécurités associées.
Afin de s’assurer de la maîtrise de son système, il convient en pratique (i) de connaître et maîtriser l’environnement informatique utilisé ainsi que le contrôle interne associé et (ii) procéder à l’analyse des données, qu’il s’agisse du domaine de gestion ou du domaine comptable.
C’est à ces conditions que les sociétés maîtriseront les contrôles auxquels elles seront soumises demain.
Les systèmes d’information ont pris, depuis de nombreuses années, une importance significative au sein des entreprises. En effet, aucune organisation ne peut imaginer aujourd’hui assurer son développement sans s’appuyer sur des systèmes retraçant ses différentes fonctions.
Les administrations l’ont bien compris et ont fait évoluer leur propre système d’information qui se traduit généralement par de nouvelles offres de service auprès des usagers (ensemble des télé-services offerts ou rendus obligatoires). En parallèle, les services de contrôle de l’État ont également identifié un intérêt particulier pour les données disponibles au sein des entreprises, dont l’utilisation est généralisée, voire systématisée, dans le cadre des opérations de contrôles.
Une évolution réglementaire déjà engagée
Pour faire face à cette évolution, les administrations en charge des contrôles (DGFIP/Urssaf par exemple) se sont dotées à la fois d’outils dédiés (principalement des logiciels d’analyse de données disponibles sur le marché ou développés en interne), de moyens humains par la mise en place de services spécifiques en charge des contrôles en milieu informatisé spécifiquement formés à l’audit des systèmes d’information mais surtout d’un cadre légal dédié permettant à ces derniers d’accéder à l’ensemble des données des systèmes d’information utilisés par les entreprises, qu’il s’agisse des données de gestion ou des données comptables.
La réglementation qui a ainsi évolué peut présenter des similitudes entre des administrations différentes. À titre d’exemple, bien que rédigés différemment, on trouve de nombreux points communs entre l’article L 47 A II du Livre des procédures fiscales et l’article R 243-59-1 du Code de la sécurité sociale qui décrivent, respectivement, les modalités d’intervention des inspecteurs de la Direction générale des Finances publiques et de l’Urssaf ou bien encore sur le périmètre d’investigation autorisé à contrôle qui est similaire (Article L 13 du Livre des procédures fiscales et Charte du cotisant vérifié).
En d’autres termes, les administrations ont bien compris que les systèmes d’information utilisés par les organisations reflétaient strictement l’activité économique de ces dernières et constituaient une source d’information pertinente pour mener leur contrôle de manière exhaustive et surtout leur permettaient de gagner en rentabilité.
Une nécessaire adaptation des entreprises
Pour faire face à ces évolutions, les entreprises doivent nécessairement s’adapter, principalement sur deux points.
Le premier concerne l’aspect technique. En effet, les administrations, dans l’évolution de leurs pratiques, ont tendance à imposer aux entreprises des formats de données particuliers, des fichiers présentant des caractéristiques clairement définies par la réglementation, associées à des pénalités plus ou moins importantes en cas de non-respect.
Prenons l’exemple que toutes les entreprises ont rencontré depuis un an et demi, le fichier des écritures comptables. Ce fichier, que toute société doit communiquer de manière systématique en cas de contrôle fiscal, doit répondre à des exigences extrêmement fortes imposées par le Livre des procédures fiscales. L’objectif poursuivi par l’administration fiscale est d’uniformiser le format du fichier et des données le composant. Ainsi, qu’il s’agisse d’une TPE ou d’une multinationale, le fichier est identique et permet à l’administration d’automatiser son analyse. Il est à noter que le non-respect de ces exigences permet à l’administration fiscale d’appliquer des pénalités qui peuvent prendre des proportions importantes.
Mais ne nous y trompons pas, les administrations n’ont pas vocation à vérifier la capacité des entreprises à produire les données telles qu’elles sont attendues mais souhaitent réaliser leur contrôle de manière automatique sur des données qu’elles sont capables de lire. En conséquence, au-delà du format, l’enjeu principal pour les sociétés est de maîtriser le contenu des fichiers communiqués aux différentes administrations et d’être en mesure de justifier les points soulevés à la lecture des données transmises.
Le parallèle pourrait être fait entre un document papier et une base de données. Quelle que soit l’autorité de contrôle, peut-on imaginer transmettre un document papier sans l’avoir au préalable lu, validé et avoir anticipé les éventuelles questions qui pourraient être posées ? Il en est de même pour les bases de données transmises au service vérificateur.
Bien entendu, la difficulté pour analyser les fichiers demandés en cas de contrôle peut être importante compte tenu des formats de données, de la volumétrie des fichiers ou de la nature des informations demandées. Mais, quelle que soit l’administration à l’origine du contrôle, il ne peut être envisagé de transmettre un volume d’information significatif, retraçant généralement l’activité économique de la société sans avoir répondu à deux questions essentielles :
- Est-ce que je réponds exactement à la demande formulée ?
- Quelles sont les points qui pourraient être soulevés et qu’elle est ma capacité à les justifier ?
Et concrètement ?
La validation des données à transmettre aux différentes administrations entre dans un contexte plus général de maîtrise du système d’information utilisé par les entreprises. Cette maîtrise repose nécessairement et à minima sur deux aspects :
- La transposition des règles juridiques au sein du système d’information, en d’autres termes le paramétrage. En effet, un défaut de paramétrage peut entraîner des conséquences financières importantes en cas de contrôle ;
- Les conditions d’utilisation du système d’information et les contrôles ou sécurités associées.
Afin de s’assurer de la maîtrise de son système, il convient en pratique (i) de connaître et maîtriser l’environnement informatique utilisé ainsi que le contrôle interne associé et (ii) procéder à l’analyse des données, qu’il s’agisse du domaine de gestion ou du domaine comptable.
C’est à ces conditions que les sociétés maîtriseront les contrôles auxquels elles seront soumises demain.