Situation en Ukraine –
Quelle incidence pour les comptes de vos entreprises ?
Les opérations militaires en Ukraine, qui ont commencé le 24 février 2022 et les sanctions prises contre la Russie par de nombreux États, ont des conséquences majeures et terribles pour les populations des deux pays. Ces deux dynamiques de l’affrontement auront aussi des incidences sur l’activité de nombreux groupes internationaux, et sur l’économie mondiale.
Face à cette situation, la Compagnie Nationale des Commissaires aux Comptes a publié début mars un avis portant sur les éléments suivants :
- Points de vigilance liés à cette situation du point de vue des entreprises et des professionnels de l’audit.
- Des incidences de ce conflit sur l’arrêté des comptes de l’exercice 2021 et des rapports du commissaire aux comptes.
- Des incidences en matière de communication et publications financières des entreprises cotées.
Nous développons ci-après les deux premiers éléments, l’avis portant sur les incidences en matière de communication et publications financières des entreprises cotées sera commenté dans une prochaine newsletter.
Points de vigilance
Le communiqué du Haut conseil du commissariat aux comptes (H3C), autorité de régulation de la profession de commissaires aux comptes en France, attire notamment l’attention des commissaires aux comptes sur le gel des avoirs et les restrictions applicables dans certains secteurs d’activité, tels que le secteur financier ainsi que dans les secteurs de l’aéronautique, du spatial et de l’énergie.
La situation actuelle engendre des incidences sur l’activité économique :
- La situation en Ukraine et les restrictions peuvent créer des difficultés pour les activités de production et de distribution et avoir des incidences sur les ventes, les approvisionnements (hausse des cours des matières premières et du prix de l’énergie), la chaîne de production (non-disponibilité de certaines matières ou composants) et la valeur de certains actifs soit directement, soit par l’intermédiaire de filiales en Ukraine ;
- Par ailleurs, en matière de financement, la situation des banques russes et ukrainiennes pourrait entraîner un risque de liquidité pour certaines entités ;
- Dans le cas des prestataires de services financiers et en particulier des services de crédit et d’assurance, les risques directs liés aux expositions en Ukraine et en Russie mais également indirectes du fait des répercussions de ce conflit sur les autres clients de ces institutions sont susceptibles d’augmenter.
Certaines entités pourraient être confrontées, du fait de cette situation, à des difficultés en matière de continuité d’exploitation.
Enfin, les risques en matière de cybersécurité sont accrus : l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) a émis des recommandations en la matière que nous vous invitons à partager rapidement au sein de vos équipes.
cf encart ci-après « Bonnes pratiques »
Incidences de ce conflit sur l’arrêté des comptes de l’exercice 2021 et des rapports du commissaire aux comptes.
Qu’il s’agisse des comptes établis en application des principes comptables français ou IFRS, cette situation est un évènement survenu en 2022. Ainsi, aucune incidence n’est à constater dans les comptes d’un exercice clos à une date antérieure à l’action militaire en Ukraine (i.e. 24 février 2022), notamment, dans les comptes au 31 décembre 2021, que ce soit en matière d’évaluation d’actifs, de provisions ou d’appréciation du contrôle sur les entités incluses dans le périmètre de consolidation, hormis, le cas échéant, les informations à fournir en annexe au titre des événements postérieurs à la clôture de l’exercice.
Par analogie avec la communication réalisée en 2020 sur l’incidence du Covid 19 dès l’arrêté des comptes de l’exercice 2019, les recommandations dans le cadre de vos arrêtés de comptes 2021 peuvent être résumées comme suit :
S’agissant d’un évènement 2022, l’information doit être donnée au titre des évènements postérieurs à la clôture de l’exercice.
⇒ Si les comptes et le rapport de gestion ont déjà été arrêtés
Dans ce cas, il n’y a aucune obligation pour l’entité d’arrêter de nouveaux comptes et/ou un nouveau rapport de gestion. Les sociétés qui seraient particulièrement exposées et dont les comptes sont déjà arrêtés pourraient néanmoins décider d’un nouvel arrêté, afin de compléter les annexes / rapport de gestion sur ces sujets.
⇒ Dans le cas où les comptes ne sont pas encore arrêtés
Il conviendra d’apprécier si l’incidence de cet évènement est significative et prévoir une mention en annexe.
Parmi les impacts observés, on peut citer :
- Un gel des avoirs et des restrictions applicables dans certains secteurs d’activité, tels que le secteur financier ainsi que dans les secteurs de l’aéronautique, du spatial et de l’énergie.
- Des incidences sur l’activité économique (détaillées plus haut).
Dans ce cas, cet évènement doit être mentionné au titre des évènements postérieurs à la clôture dans les notes annexes et le rapport de gestion.
En présence d’une telle information dans l’annexe, le commissaire aux comptes peut souhaiter y faire référence au titre d’une observation pour attirer l’attention du lecteur.
En l’absence d’une telle information dans les notes annexes et le rapport de gestion, si elle est significative, le commissaire aux comptes en tire les conséquences sur son opinion et / ou sur les conclusions au titre de ses vérifications spécifiques.
Enfin, et si la situation est de nature à créer une incertitude significative sur la continuité d’exploitation, le commissaire aux comptes mettra en œuvre ses obligations au regard de la procédure d’alerte.
Bonnes pratiques en matière de cybersécurité
- Généraliser la MFA pour les accès distants (l’authentification multifacteurs, dite MFA, est une méthode d’authentification qui exige que l’utilisateur fournisse deux facteurs de vérification ou plus pour accéder à une ressource telle qu’une application, un compte en ligne ou un VPN) et refuser l’accès aux utilisateurs non équipés de MFA.
- Demander à vos collaborateurs de ne plus utiliser les ports USB des PC, fixes ou portables, de votre structure pendant une durée indéterminée, afin d’interdire la connexion des supports de stockage « amovibles » (clés USB par exemple) et ainsi éviter toute intrusion d’un virus ou malware (l’accès aux clés USB pouvant se faire sous forme d’exception et sur validation du RSSI lorsque nécessaire).
- Renforcer la supervision des systèmes en la passant temporairement en 24/7 – si ce n’est pas déjà le cas (en s’appuyant sur un prestataire si nécessaire) et des ordinateurs portables, en rappelant à cette occasion (si nécessaire) que conformément à votre charte informatique et / ou à votre politique de sécurité des systèmes d’information, les collaborateurs NE SONT PAS autorisés à télécharger (ou installer) des logiciels (ou des programmes) qui ne sont pas explicitement validés par les équipes de sécurité.
- Augmenter la fréquence de vos sauvegardes au maximum (l’idéal n’est pas de ce monde, mais une fois par jour serait un objectif à envisager) en prenant soin qu’elles soient déconnectées du système d’information et stockées dans un autre lieu que le SI.
- Ne pas cliquer sur les liens Internet présents dans un message si vous n’avez pas la certitude que celui-ci est légitime.
- Ne pas cliquer sur les pièces jointes présentes dans un message si vous n’avez pas la certitude que celui-ci est légitime.
- Ne jamais saisir les identifiants / mot de passe de l’entreprise sur des sites externes.
- Etre TRÈS prudent lorsque vous surfez sur des sites Internet. Assurez-vous que le site est légitime et qu’il est sécurisé (présence du petit verrou et l’adresse doit commencer par https).
En cas d’interrogation sur les éléments à retenir pour vos entreprises,
n’hésitez pas à vous rapprocher de vos experts-comptables et auditeurs.
Pour aller plus loin : https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf