BOFiP

Factures sécurisées au moyen de contrôles établissant une piste d'audit fiable

Texte Intégral

1

La mise en place par l'assujetti de contrôles établissant une piste d’audit fiable entre la facture émise ou reçue et la livraison de biens ou la prestation de service qui en est le fondement, est un des procédés permettant, en application du 1° du VII de l’article 289 du code général des impôts (CGI), d'assurer l’authenticité de l'origine, l’intégrité du contenu et la lisibilité des factures.

10

Un des objectifs poursuivis par la directive 2010/45/UE du 13 juillet 2010 est d'encourager le recours à la facturation électronique. Les assujettis peuvent désormais utiliser tout moyen technique permettant la transmission dématérialisée des factures.

Toutefois, afin de prévenir tout risque de fraude pesant sur la taxe sur la valeur ajoutée et de sécuriser davantage le dispositif de facturation, le moyen utilisé doit être accompagné de la mise en œuvre de contrôles établissant une piste d'audit fiable entre les factures émises et reçues et la livraison de biens ou prestation de services qui en est le fondement.

20

La directive 2010/45/UE du 13 juillet 2010 vise également à assurer une égalité de traitement entre les factures papier et électroniques.

Ainsi, les dispositions relatives aux contrôles mis en place par l'assujetti et établissant une piste d'audit fiable s'appliquent à l'ensemble des factures quelle que soit leur forme, papier ou électronique.

30

Afin de garantir l'authenticité de l'origine, l'intégrité du contenu et la lisibilité des factures, ces contrôles doivent notamment être mis en place :

- par les assujettis qui émettent et/ou reçoivent des factures papier qu'elles soient ou non numérisées en vue de leur conservation ;

- par les assujettis qui émettent et/ou reçoivent des factures électroniques transmises par tout autre procédé technique que ceux prévus aux 2° et 3° du VII de l'article 289 du CGI (par exemple : envoi des factures en pièce jointe de courriel ou mise à disposition par le biais d'un réseau sécurisé etc.) ;

- par les assujettis qui émettent et/ou reçoivent des factures électroniques au moyen d'une signature électronique (ou cachet serveur) ne remplissant pas les conditions prévues à l'article 96 F de l'annexe III au CGI ou non conforme au RGS de niveau deux ou trois étoiles (exemple : utilisation d'une signature électronique avancée au sens de l'article 2, point 2), de la directive 1999/93/CE du 13 décembre 1999) ;

- par les assujettis qui émettent et/ou reçoivent des factures électroniques par l'utilisation de l'échange de données informatisé (EDI) ne respectant pas toutes les spécifications propres à ce système prévues au CGI (absence de fichier des partenaires et de liste récapitulative) ;

- par les assujettis qui émettent et/ou reçoivent des factures électroniques par l'utilisation de l'échange de données informatisé (EDI) ne respectant pas toutes les spécifications propres à ce système prévues au CGI et assorties d'une signature électronique (ou d'un cachet serveur) ne remplissant pas les conditions prévues à l'article 96 F de l'annexe III au CGI ou au référentiel général de sécurité (RGS) de niveau deux ou trois étoiles.

40

Seuls les assujettis ayant recours à la signature électronique (ou cachet serveur) "qualifiée" ou admise par l'administration comme équivalente à une signature "qualifiée" ou à l'EDI respectant toutes les spécifications propres à ce système prévues au code général des impôts, tels qu'ils sont définis aux BOI-TVA-DECLA-30-20-30-30 et BOI-TVA-DECLA-30-20-30-40, ne sont pas tenus de mettre en place des contrôles établissant une piste d'audit fiable entre les factures émises et reçues et la livraison de biens ou la prestation de services qui en est le fondement.

I. Nature et modalités des contrôles mis en place par les assujettis

50

Il appartient à chaque assujetti de déterminer, en fonction de sa propre organisation, l'ampleur et les moyens des contrôles qu'il doit mettre en place pour garantir l'authenticité de l'origine, l'intégrité du contenu et la lisibilité des factures émises et reçues.

La taille de l'entreprise, la nature de son activité, ses systèmes d'informations, la volumétrie des factures qu'elle émet et qu'elle reçoit sont des paramètres à prendre en compte pour déterminer le niveau adéquat de contrôles. D'autres paramètres peuvent également être pris en considération.

Les contrôles mis en place par une très petite entreprise ou une moyenne entreprise seront naturellement différents de ceux mis en place par une grande entreprise.

60

Les contrôles mentionnés aux II-A § 90 à 120 peuvent être intégrés au système d'information et prendre la forme de traitements informatiques.

Ils peuvent également être réalisés sur papier ou manuellement.

Ces formes de contrôle peuvent d'ailleurs coexister au sein d'une même entreprise.

70

Dans une très petite entreprise, une comparaison manuelle des factures avec les documents commerciaux (devis, bons de commande, bons de livraison, justificatifs de paiement) peut constituer un contrôle suffisant mis en place par l'assujetti.

Ainsi, chacun des éléments suivants doit être conservé et traçé : le devis qui devient le bon de commande, par la suite validé, le bon de livraison (avec l'impact des retours éventuels) et enfin la facturation (également avec l'impact des avoirs éventuels).

Les contrôles établissant la piste d'audit doivent permettre de s'assurer que le passage de l'un à l'autre des documents précité est traçable dans les deux sens.

80

Conformément à l'article L. 13 D du livre des procédures fiscales (LPF) et à l'article L. 80 F du LPF, si les contrôles sont effectués sous forme dématérialisée, les contribuables sont tenus de les présenter à l'administration sous cette forme.

Les agents de l'administration peuvent prendre copie des informations ou documents de ces contrôles et de leur documentation par tout moyen et sur tout support.

Ces éléments peuvent être présentés à l'administration, à sa demande, sous format papier.

II. Objectifs des contrôles établissant une piste d'audit fiable et caractéristiques de la piste d'audit fiable

A. Objectifs des contrôles établissant une piste d'audit fiable

90

Les contrôles établissant la piste d'audit sont organisés et permanents. Ils sont choisis par l'entreprise et mis en œuvre sous sa responsabilité :

- pour garantir les conditions d'authenticité, d'intégrité et de lisibilité des factures ;

- pour maîtriser le fonctionnement de son système d'émission, de transmission et de réception des factures ;

- pour garantir que les factures émises et reçues correspondent à la réalisation d'une livraison de biens ou d'une prestation de services effectivement réalisée.

Les contrôles doivent permettre à l’assujetti de vérifier si la substance de la facture est correcte c’est-à-dire si la prestation rendue ou le bien livré est bien conforme à la présentation qui en est faite sur la facture (en quantité et en qualité) et si l’émetteur de cette dernière dispose dès lors d’un droit à paiement.

Autrement dit, ils permettent d'établir le lien entre une facture, justificatif comptable et fiscal, et la réalité de l'opération facturée.

Par ailleurs, ils doivent être mis en place dès lors qu'un processus de facturation existe dans l'entreprise et être mis à jour à chaque changement dans l'organisation des contrôles.

100

Tant chez l'émetteur que chez le récepteur de la facture, les contrôles doivent garantir la réalité des opérations et permettre à l'assujetti qui les a mis en place de s’assurer :

- que les données relatives à la facture sont complètes et exactes et qu'elles n'ont pas été modifiées ;

- que la facture est adressée à la bonne personne et au bon moment ;

- que la facture ne fait pas l'objet d'un double traitement ou enregistrement ;

- que les mentions obligatoires figurent sur la facture ;

- que la facture correspond à une opération économique, comptable et financière réelle et que l'ensemble des transactions a été pris en compte dans l'ordre chronologique ;

- que les opérations sont traitées dans le respect de la législation en vigueur ;

- que les risques significatifs, qu'ils soient opérationnels (défaillance du système informatique de facturation qui émet des factures dont les mentions sont inexactes) ou financiers (système informatique de facturation générant des factures d'un montant erroné), sont pris en compte c'est-à-dire identifiés et maîtrisés.

110

Les contrôles mis en place lors du processus d'émission et de réception de facturation électronique doivent également permettre :

- de protéger les fichiers de factures de tout dommage potentiel et d’informer l'assujetti si une difficulté se produit ;

- d’être en mesure de démontrer que l'assujetti possède une solution pour faire face à une panne du système ou à une perte des données.

120

Les contrôles mis en place par l'émetteur des factures doivent, en outre, permettre de :

- veiller à ne pas envoyer accidentellement des duplicatas de factures ;

- conserver un chemin d'audit entre le ou les systèmes générant les factures et les applications internes permettant de les transmettre.

B. La piste d'audit fiable

1. Objectifs de la piste d'audit

130

La piste d'audit doit permettre :

- de reconstituer, dans un ordre chronologique la totalité du processus de facturation, depuis son origine (par exemple, le bon de commande) jusqu'au document facture c'est-à-dire de reconstituer le processus documenté (bons de commande, bons de livraisons, extraits de compte...) d'une opération et de relier les différents documents de ce processus ;

- de garantir que la facture émise ou reçue reflète l'opération qui a eu lieu, en permettant d'établir un lien entre la facture et la livraison de biens ou la prestation de services qui la fonde ;

- de justifier toute opération par une pièce d’origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu à la facture et réciproquement.

140

Dans tous les cas, le point de départ de la piste d'audit fiable doit correspondre au point de départ du processus de facturation.

La piste d'audit peut être constituée de documents établis par l'entreprise elle-même (devis, bon de commande) ou par des tiers (extraits de compte).

2. Fiabilité de la piste d'audit

150

La piste d'audit doit correspondre aux processus qui ont réellement eu lieu. Par exemple, le bon de commande doit correspondre à une commande effectivement passée.

Elle est considérée comme fiable lorsque l'administration peut établir le lien entre les pièces justificatives, et entre celles-ci et les opérations réalisées. 

3. Piste d'audit et chemin de révision

160

Le chemin de révision est défini par l'article 410-3 du plan comptable général (PCG) disponible sur le site www.anc.gouv.fr à la rubrique Normes françaises/ Règlementation sectorielle / Plan comptable général. Ce dernier prévoit que l'organisation des comptabilités informatisées doit permettre de reconstituer à partir des pièces justificatives appuyant des données entrées (écritures comptables), les éléments des comptes, états et renseignements soumis à la vérification, ou de retrouver ces données et pièces justificatives, à partir de ces comptes, états et renseignements.

Il s'agit d'une obligation comptable à laquelle sont soumises les entreprises astreintes à tenir une comptabilité.

Le chemin de révision permet d'établir un lien entre les écritures comptables et les pièces justificatives.

170

En matière de facturation, la piste d'audit permet d'établir un lien vérifiable entre la facture et une livraison de biens ou prestation de services afin de permettre de contrôler si la facture correspond à une opération qui a été effectivement réalisée.

Elle doit également permettre de garantir l'authenticité de l'origine, l'intégrité du contenu et la lisibilité des factures.

Le chemin de révision et la piste d'audit n'ont donc pas le même objectif : justification de l'écriture comptable pour le chemin de révision et justification de l'opération facturée pour la piste d'audit.

Le périmètre de la piste d'audit est donc plus large que celui du chemin de révision.

Toutefois, les documents constitutifs de l'un et de l'autre peuvent être identiques (devis, bon de commande, extrait de compte...).

III. Documentation des contrôles mis en place par les assujettis

180

Les contrôles visés au 1° du VII de l'article 289 du CGI ne requièrent pas le même degré de formalisation que le contrôle interne.

Toutefois, ces contrôles doivent être documentés c'est-à-dire être décrits, présentés et expliqués par l'entreprise. L'objectif de la documentation est de montrer que les contrôles mis en place par l'entreprise sont effectifs et réels, et de permettre à l'administration de les appréhender facilement lors d'un contrôle.

Le ou les documents doivent expliciter les acteurs des contrôles ainsi que leurs tâches respectives (qui contrôle les documents et données, à quel moment et selon quelles modalités ?).

190

Ces documents relatifs aux contrôles doivent être élaborés au moment de la mise en place de la piste d'audit par l'entreprise et doivent retracer toutes les étapes du processus de facturation.

La documentation doit présenter toutes les instances du circuit de l'information depuis l'événement qui est à l'origine du processus de facturation jusqu'à la facture émise ou reçue.

Les agents de l'administration peuvent en prendre copie lors de la réalisation des contrôles.

200

L'exigence de l'administration quant à la description de ces contrôles dépend de la taille des entreprises (chiffre d'affaires réalisé, nombre de salariés...), de la volumétrie des factures émises et reçues et des moyens employés (humains et financiers) dans la réalisation de ces contrôles.

Ainsi, une documentation synthétique pourra être jugée suffisante dans les petites et moyennes entreprises (PME) tandis qu'une documentation plus détaillée sera attendue des très grandes entreprises.

210

Exemple : une présentation orale assortie d'une démonstration concrète suffira à la description des contrôles mis en place par une très petite entreprise (TPE) et réalisés par un seul acteur, consistant en un recoupement manuel des factures avec les documents commerciaux.

220

Lorsque les contrôles sont réalisés sous forme dématérialisée, les documents suivants doivent être présentés à l'administration, notamment dans une grande entreprise :

- la cartographie des applications informatiques impliquées dans le processus de facturation et les habilitations de sécurité y afférentes ;

- les structures des fichiers utilisés et leur mode d'alimentation ;

- les tables de codification des données et les paramétrages utilisés ;

- les modalités de stockage et d'archivage des données ;

- le schéma de circulation des informations et les modalités d'échange et de validation des informations avec les tiers ;

- les modalités d'injection des informations dans la comptabilité et les contrôles effectués pour s'assurer de leur cohérence (périodicité, étendue et nature) ;

- la liste des anomalies et les processus de correction des erreurs.