Ordonnance de la FINMA sur l’audit prudentiel

(Ordonnance FINMA sur l’audit prudentiel)

du 31 octobre 2024 (État le 4 avril 2025)

L’Autorité fédérale de surveillance des marchés financiers (FINMA),

vu les art. 3, al. 1, 5, al. 5, 10, al. 1, et art. 12, de l’ordonnance du 5 novembre 2014
sur les audits des marchés financiers (OA-FINMA)¹,

arrête:

Chapitre 1 Objet

Art. 1

La présente ordonnance régit la façon dont les sociétés d’audit selon l’art. 24, al. 1, let. a, de la loi du 22 juin 2007 sur la surveillance des marchés financiers (LFINMA)²doivent auditer les assujettis. Elle règle à cette fin:

1. les domaines à auditer pour chaque domaine de surveillance dans le cadre de l’audit de base;
2. la détermination des risques qui résultent des activités de l’assujetti;
3. la périodicité de l’audit et l’étendue d’audit pour les domaines à auditer;
4. les détails des principes d’audit;
5. les exigences relatives au rapport d’audit et les délais d’envoi.

Chapitre 2 Dispositions communes pour l’audit prudentiel dans tous les domaines de surveillance

Section 1 Domaines d’audit

Art. 2

1. Pour chaque domaine de surveillance, la FINMA indique le ou les domaines d’audit, parmi ceux indiqués ci‑après, devant faire l’objet de l’audit prudentiel:
   1. organisation interne et gouvernance d’entreprise;
   2. exigences en matière de capitaux et de fonds propres;
   3. gestion des risques et concentration de risques;
   4. exigences en matière de liquidité;
   5. règles de comportement.
2. Elle indique en outre les champs d’audit devant faire l’objet de l’audit prudentiel au sein d’un domaine d’audit.

Section 2 Analyse des risques

Art. 3 Principe

1. La société d’audit doit réaliser une analyse des risques au début de chaque audit prudentiel.
2. Elle détermine à cet effet les risques qui résultent de l’activité de l’assujetti (risques inhérents).
3. Elle détermine les risques de contrôle.
4. Elle détermine le risque net sur la base des risques inhérents et des risques de contrôle.
5. Elle classe les risques inhérents et les risques nets par ordre de priorité.
6. Pour les entreprises d’assurance mentionnées à l’art. 47, seul l’al. 1 est applicable.

Art. 4 Établissement de l’analyse des risques

1. Quand elle établit l’analyse des risques, la société d’audit tient en particulier compte des développements et nouveautés significatifs intervenus chez l’assujetti et dans son environnement.
2. Elle peut aussi s’appuyer sur les travaux de la révision interne de l’assujetti.

Art. 5 Envoi de l’analyse des risques

1. L’analyse des risques doit être remise à la FINMA et portée à la connaissance de l’assujetti.
2. Les délais d’envoi sont définis au chapitre 3.

Art. 6 Détermination du risque inhérent, du risque de contrôle et du risque net

1. Le niveau du risque inhérent est déterminé conformément à l’annexe 1, sur la base:
   1. de l’ampleur du dommage causé si l’événement de risque survient, et
   2. de la probabilité de survenance de l’événement de risque.
2. Le niveau du risque de contrôle est déterminé conformément aux critères fixés à l’annexe 2, tels que les mesures éventuellement prises par l’assujetti pour réduire le risque inhérent et l’efficacité de celles-ci.
3. Le niveau du risque net est défini conformément à l’annexe 3.
4. Pour les entreprises d’assurance mentionnées à l’art. 47, les al. 2 et 3 ne sont pas applicables.

Art. 7 Détermination du risque de contrôle en cas de changement de mandat

1. Lors d’un changement de mandat d’audit, la nouvelle société d’audit peut tenir compte des résultats de l’audit réalisé par son prédécesseur lorsqu’il s’agit d’établir le risque de contrôle à condition qu’elle examine ces résultats de façon critique.
2. Pour les entreprises d’assurance selon l’art 47, l’al. 1 n’est pas applicable.

Art. 8 Modèles pour l’établissement de l’analyse des risques

1. Pour l’analyse des risques, il convient d’utiliser les modèles de la FINMA.
2. Si la FINMA procède à des adaptations significatives des modèles, elle consulte au préalable les parties concernées.

Section 3 Stratégie d’audit spécifique à l’établissement

Art. 9

Les travaux d’audit doivent être réalisés sur la base d’une stratégie d’audit spécifique à l’établissement. Celle-ci est établie conformément au chapitre 3.

Section 4 Périodicité de l’audit et étendue d’audit

Art. 10

1. La périodicité de l’audit et l’étendue d’audit sont définies au chapitre 2.
2. Si l’étendue d’audit «audit» est exigée, l’audit prudentiel doit être réalisé de sorte à remettre une attestation d’audit sans équivoque concernant le respect des dispositions prudentielles (positive assurance ).
3. Si l’étendue d’audit «revue critique» est exigée, l’audit prudentiel doit être réalisé de sorte à indiquer s’il existe, dans le cadre des travaux d’audit effectués, des éléments susceptibles de conclure que les dispositions prudentielles ne seraient pas respectées (negative assurance ).

Section 5 Principes d’audit

Art. 11 Procédure générale

1. La société d’audit doit préparer et exécuter l’audit prudentiel avec un esprit critique. Ce faisant, elle doit veiller à l’objectivité des évaluations.
2. Elle doit tenir compte des possibles répercussions des développements prudentiels actuels sur l’assujetti ainsi que sur l’environnement de celui-ci, notamment à l’égard du futur respect des dispositions prudentielles.
3. Si, au cours de l’audit prudentiel, une infraction à des prescriptions, légales ou autres, des statuts, des règlements ou des directives est constatée, il faut évaluer si cela remet en question l’intégrité de la direction de l’entreprise ou de ses collaborateurs.

Art. 12 Assurance de la qualité

1. La société d’audit doit fixer des principes de l’assurance de la qualité de l’audit prudentiel et veiller à ce qu’elle les respecte durablement.
2. Elle doit prendre les mesures qui s’imposent pour chaque audit prudentiel afin d’assurer le respect de ces principes.
3. Elle fait appel à des spécialistes si elle estime que l’audit prudentiel l’exige.

Art. 13 Justificatifs d’audit

1. Des justificatifs d’audit suffisants et appropriés doivent être obtenus dans le cadre de l’audit prudentiel. Les conclusions qui en découlent constituent la base des confirmations d’audit et des rapports.
2. Les justificatifs d’audit sont obtenus au moyen de tests de procédures, de contrôles au cas par cas portant sur des assertions (contrôles par sondages) et de contrôles analytiques portant sur des assertions.
3. Si des documents établis par l’assujetti sont utilisés en tant que justificatifs d’audit, il faut vérifier de façon critique qu’ils ont été correctement établis.
4. Si des événements pertinents sont identifiés après l’audit prudentiel et avant la remise du rapport d’audit pour l’audit prudentiel, il convient d’effectuer des travaux d’audit suffisants et d’obtenir des justificatifs d’audit appropriés à leur égard également. Les conclusions doivent être intégrées au rapport d’audit.

Art. 14 Contrôles par sondages

1. Si des justificatifs d’audit sont obtenus au moyen de contrôles par sondages, les échantillons doivent être sélectionnés de façon à:
   1. offrir une base suffisante pour que des conclusions puissent être tirées sur l’état de fait à auditer, et
   2. réduire à un niveau raisonnable le risque que l’interprétation d’un échantillon conduise à une conclusion erronée (risque lié à l’échantillon).
2. Lors de la sélection des contrôles par sondages, il convient de tenir compte du but des travaux d’audit, de la pertinence du domaine d’audit et du champ d’audit concernés ainsi que des caractéristiques de l’ensemble. L’échantillon doit être choisi selon une approche orientée sur les risques conformément à l’art. 24, al. 2, LFINMA³.
3. Si le contrôle par sondage révèle des insuffisances chez l’assujetti, il convient d’évaluer le type et la cause de celles-ci ainsi que les répercussions qu’elles pourraient avoir sur d’autres domaines. Dans la mesure du possible, les insuffisances doivent être extrapolées sur l’ensemble.

Art. 15 Contrôles subséquents

Si la société d’audit a fixé à l’assujetti un délai pour la régularisation de sa situation conformément à l’art. 27, al. 2, LFINMA⁴, elle vérifie dans un laps de temps approprié après l’expiration du délai imparti si la situation a été régularisée (contrôle subséquent).

Art. 16 Points d’audit

La FINMA peut prescrire des travaux d’audit (points d’audit).

Art. 17 Documentation d’audit

1. La société d’audit doit documenter l’audit prudentiel en temps utile, de manière complète et avec l’étendue suffisante.
2. La documentation d’audit doit être compréhensible et vérifiable par des tiers compétents et contenir les éléments suivants:
   1. des informations sur la planification et l’exécution de l’audit prudentiel;
   2. le type, le moment et l’ampleur des travaux d’audit effectués;
   3. les justifications et conclusions au sujet des faits examinés;
   4. les attestations d’audit figurant dans le rapport d’audit.
3. Si des documents établis par l’assujetti sont utilisés dans la documentation d’audit, ils doivent être signalés comme tels; il faut mentionner que leur établissement correct a été examiné de façon critique.
4. La société d’audit doit clôturer la documentation d’audit dans un délai approprié après la remise du rapport d’audit. La documentation d’audit ne doit plus pouvoir être modifiée après son archivage.
5. La société d’audit doit s’assurer que la documentation d’audit est conservée de manière sûre et séparément des documents relatifs à l’audit comptable.
6. La documentation d’audit doit être conservée de façon à garantir la confidentialité.

Art. 18 Séparation entre l’audit prudentiel et l’audit comptable

Exceptionnellement, la FINMA peut exiger que l’audit prudentiel ne soit pas effectué par l’auditeur responsable et l’équipe d’audit qui réalisent l’audit comptable.

Art. 19 Recours aux travaux de la révision interne

1. Si la société d’audit, dans le cadre de ses contrôles d’audit, s’appuie sur des travaux de la révision interne, il faut indiquer dans le rapport d’audit:
   1. dans quel domaine d’audit ou champ d’audit et dans quelle ampleur la révision interne a effectué les travaux sur lesquels la société d’audit s’appuie, et
   2. la conclusion à laquelle la révision interne est parvenue dans le cadre de ses travaux.
2. Si les travaux de la révision interne ne répondent pas aux exigences visées à l’art. 5, al. 3, OA-FINMA, la société d’audit ne peut s’appuyer sur ces travaux que si elle procède à des travaux d’audit complémentaires.

Art. 20 Audit prudentiel de groupes et conglomérats financiers actifs à l’étranger

1. La société d’audit peut effectuer elle-même l’audit prudentiel de sociétés établies à l’étranger d’un groupe ou d’un conglomérat financier à mener dans le cadre d’un audit de groupe, ou le faire réaliser par une société d’audit appartenant au même réseau.
2. Si l’audit prudentiel est effectué par une société liée à la société d’audit, la société d’audit doit:
   1. instruire la société d’audit liée et surveiller ses travaux d’audit;
   2. soumettre périodiquement la documentation d’audit établie par la société d’audit liée à un contrôle de qualité;
   3. évaluer les travaux réalisés par la société d’audit liée.
3. Si, dans le cadre de l’audit prudentiel, il est constaté que des dispositions prudentielles suisses ne peuvent être respectées en raison d’une incompatibilité avec le droit étranger, la société d’audit doit le consigner dans le rapport d’audit.

Art. 21 Travaux d’audit dans le cadre d’une procédure d’autorisation

Les principes d’audit s’appliquent par analogie aux travaux d’audit effectués dans le cadre d’une procédure d’autorisation au sens de l’art. 2, al. 2, OA-FINMA.

Section 6 Établissement des rapports

Art. 22 Principe

1. Le rapport d’audit se concentre sur la présentation des faiblesses de l’assujetti et du potentiel d’amélioration.
2. Quand elle établit son rapport, la société d’audit tient compte, en outre, de l’environnement déterminant pour l’assujetti et des développements en cours et prévisibles dans un avenir proche.

Art. 23 Contenu minimal

1. Le rapport d’audit doit au minimum contenir les informations et documents suivants:
   1. vue d’ensemble des conditions générales de l’audit prudentiel;
   2. confirmation de l’indépendance de la société d’audit;
   3. informations sur d’éventuels autres mandats de la société d’audit chez l’assujetti;
   4. pour les domaines d’audit ou champs d’audit couverts:
   1. récapitulatif des travaux d’audit effectués, 2. attestations d’audit; e. éventuelles irrégularités et recommandations (art. 11 OA-FINMA); f. éventuelles faiblesses importantes indiquées par des tiers; g. éventuels changements importants chez l’assujetti et indications des enjeux futurs pour l’assujetti; h. confirmation du respect des exigences de la FINMA par l’assujetti; i. pièces jointes demandées par la FINMA dans les modèles pour l’établissement du rapport.
2. Pour les entreprises d’assurance selon l’art. 47, il n’est pas nécessaire que le rapport d’audit contienne les indications et documents visés à l’al. 1, let. d et h.

Art. 24 Irrégularités et recommandations

1. Les irrégularités et les recommandations doivent être classifiées.
2. Si l’assujetti n’est pas d’accord avec une irrégularité ou une recommandation, il faut l’indiquer dans le rapport d’audit.
3. Si une irrégularité ou une recommandation récurrente est constatée, il faut l’indiquer dans le rapport d’audit.

Art. 25 Classification des irrégularités

1. Une irrégularité doit être classifiée comme élevée si au moins un des critères suivants est rempli:
   1. la violation des dispositions prudentielles constitue un événement devant faire l’objet d’une annonce au sens de l’art. 27, al. 3, LFINMA⁵;
   2. les éléments relatifs à l’organisation, aux fonctions, aux processus ou aux contrôles, requis par le droit de la surveillance, les statuts, les règlements et directives, ne sont majoritairement pas présents ou leur efficacité est gravement compromise;
   3. la violation des dispositions prudentielles entraîne une aggravation sensible du risque inhérent ou du risque de contrôle (situation en matière de risques);
   4. l’irrégularité révèle une violation systématique des dispositions prudentielles.
2. Une irrégularité doit être classifiée comme moyenne si au moins un des critères suivants est rempli:
   1. les éléments relatifs à l’organisation, aux fonctions, aux processus ou aux contrôles, requis par le droit de la surveillance, les statuts, les règlements et directives, ne sont en partie pas présents ou leur efficacité est compromise;
   2. la violation des dispositions prudentielles entraîne une aggravation modérée de la situation en matière de risques.
3. Une irrégularité doit être classifiée comme faible si au moins un des critères suivants est rempli:
   1. les éléments relatifs à l’organisation, aux fonctions, aux processus ou aux contrôles, requis par le droit de la surveillance, les statuts, les règlements et directives, ne sont pas suffisamment documentés ou ne sont pas approuvés de manière formelle, sans que cela ne compromette leur efficacité;.
   2. la violation des dispositions prudentielles n’a pas d’impact sur la situation en matière de risques.

Art. 26 Classification des recommandations

1. Une recommandation doit être classifiée comme élevée si au moins un des critères suivants est rempli:
   1. il existe un risque d’aggravation sensible de la situation en matière de risques ou d’infraction grave aux prescriptions prudentielles;
   2. la recommandation doit être mise en œuvre immédiatement.
2. Une recommandation doit être classifiée comme moyenne si au moins un des critères suivants est rempli:
   1. il existe un risque d’aggravation de la situation en matière de risques ou d’une infraction aux prescriptions prudentielles;
   2. la recommandation doit être mise en œuvre au cours de la prochaine période d’audit.
3. Une recommandation doit être classifiée comme faible si au moins un des critères suivants est rempli:
   1. il est possible que des prescriptions prudentielles ne soient plus respectées à moyen ou long terme, et cette adaptation ne doit pas être mise en œuvre d’urgence;
   2. il est possible que l’organisation ou les processus soient améliorés, et cette amélioration ne doit pas être mise en œuvre d’urgence.

Art. 27 Établissement des rapports de groupes et conglomérats financiers soumis à une surveillance consolidée

Pour les groupes et les conglomérats financiers soumis à une surveillance consolidée selon les art. 3b à 3g de la loi du 8 novembre 1934 sur les banques (LB)⁶ou 65 et 73 de la loi du 17 décembre 2004 sur la surveillance des assurances⁷, un rapport d’audit doit être établi pour chaque établissement individuel autorisé par la FINMA et un rapport d’audit pour le groupe ou le conglomérat financier.

Art. 28 Modèles pour l’établissement du rapport d’audit

1. Pour l’établissement des rapports, il convient d’utiliser les modèles de la FINMA.
2. Si la FINMA procède à des adaptations significatives des modèles, elle consulte au préalable les parties concernées.

Chapitre 3 Exigences particulières pour l’audit prudentiel dans certains domaines de surveillance

Section 1 Banques, maisons de titres, centrales d’émission de lettres de gage, infrastructures des marchés financiers et personnes selon l’art. 1b LB

Art. 29 Champ d’application

La présente section s’applique à l’audit prudentiel des:

1. banques;
2. maisons de titres;
3. centrales d’émission de lettres de gage;
4. infrastructures des marchés financiers;
5. personnes selon l’art. 1b LB⁸.

Art. 30 Périodicité de l’audit et étendue d’audit

La périodicité et l’étendue d’audit sont déterminées comme suit:

Risque net	Périodicité de l’audit	Étendue d’audit
Très élevé	Annuelle	«Audit»
Élevé	Tous les trois ans	Alternance des étendues «audit» et «revue critique»
Moyen	Tous les six ans	«Audit»
Faible	Aucun audit prudentiel

Art. 31 Cadence d’audit réduite

1. Sur demande de l’organe responsable de la haute surveillance d’un assujetti appartenant à la catégorie de surveillance 4 ou 5, la FINMA peut accepter une cadence d’audit réduite si elle n’observe pas de risques élevés ou de faiblesses importantes chez l’assujetti.
2. En cas de cadence d’audit réduite, les travaux d’audit sont reportés:
   1. de deux ans pour les assujettis de la catégorie de surveillance 4;
   2. de trois ans au maximum pour les assujettis de la catégorie de surveillance 5.
3. Il n’est pas nécessaire, lors des années intermédiaires, d’établir et de remettre une stratégie d’audit spécifique à l’établissement, de réaliser un audit prudentiel ni de remettre un rapport d’audit. L’audit prudentiel et les éventuels contrôles subséquents doivent être réalisés dans le cadre des prochains travaux d’audit.

Art. 32 Établissement de la stratégie d’audit spécifique à l’établissement

1. Pour les assujettis des catégories de surveillance 1 et 2, la stratégie d’audit spécifique à l’établissement est établie par la FINMA de concert avec la société d’audit.
2. Pour les assujettis des catégories de surveillance 3 à 5, la stratégie d’audit spécifique à l’établissement est établie par la société d’audit. La FINMA prescrit une stratégie d’audit standard; il convient d’utiliser le modèle applicable.
3. Si la société d’audit considère que la stratégie d’audit standard est insuffisante pour le contrôle d’un assujetti, elle propose à la FINMA de s’en écarter et motive sa proposition.
4. Sur la base de son évaluation des risques, la FINMA peut décider dans la stratégie d’audit standard, pour certains domaines d’audit ou champs d’audit:
   1. une périodicité ou une étendue d’audit différente de celle prévue à l’art. 30;
   2. la couverture sur plusieurs années de certains éléments d’un domaine d’audit ou d’un champ d’audit (couverture graduelle).
5. Si la FINMA procède à des adaptations significatives des modèles, elle consulte au préalable les parties concernées.

Art. 33 Envoi de la stratégie d’audit spécifique à l’établissement

1. La stratégie d’audit spécifique à l’établissement doit être remise à la FINMA et portée à la connaissance de l’assujetti.
2. Une estimation des coûts des travaux d’audit prévus doit être fournie en même temps que la stratégie d’audit.
3. Si la société d’audit adapte la stratégie d’audit après sa remise, elle doit la transmettre de nouveau à la FINMA.

Art. 34 Délais applicables à l’analyse des risques, à la stratégie d’audit et au rapport d’audit

1. L’analyse des risques doit être remise à la FINMA dans un délai de quatre mois après le début de l’exercice.
2. La stratégie d’audit doit être remise dans les délais suivants:
   1. pour les assujettis des catégories de surveillance 1 et 2: dans les six mois qui suivent le début de l’exercice;
   2. pour les assujettis des catégories de surveillance 3 à 5: dans les quatre mois qui suivent le début de l’exercice.
3. Les rapports d’audit doivent être remis à la FINMA dans un délai de quatre mois après le bouclement de l’exercice.

Art. 35 Approbation de la stratégie d’audit spécifique à l’établissement

1. La stratégie d’audit spécifique à l’établissement pour les assujettis des catégories de surveillance 3 à 5 requiert l’approbation de la FINMA. Elle est réputée approuvée si la FINMA ne demande pas d’adaptation dans les deux mois suivant sa remise.
2. La FINMA peut exiger une adaptation de la stratégie d’audit spécifique à l’établissement approuvée.

Art. 36 Audit comptable de banques, de maisons de titres, de centrales d’émission de lettres de gage et d’infrastructures des marchés financiers

1. Lors de l’audit comptable de banques, de maisons de titres, de centrales d’émission de lettres de gage et d’infrastructures des marchés financiers, la société d’audit doit respecter les prescriptions de l’Autorité fédérale de surveillance en matière de révision (ASR) relatives à l’établissement des rapports de révision détaillés selon l’art. 728b du code des obligations (CO)⁹et fournir les indications complémentaires exigées par la FINMA.
2. Elle doit remettre chaque année à la FINMA le rapport de révision détaillé selonl’art. 728b CO, même en cas de cadence d’audit réduite.
3. Le rapport de révision détaillé doit également être établi pour les entités suivantes:
   1. les assujettis qui ne sont pas organisés sous la forme d’une société anonyme;
   2. les succursales d’entités étrangères;
   3. les groupes et conglomérats financiers soumis à ce titre à la surveillance consolidée de la FINMA.

Art. 37 Audit comptable de personnes selon l’art. 1b LB

1. Lors de l’audit comptable de personnes selon l’art. 1b LB¹⁰, la société d’audit doit respecter les prescriptions de l’ASR relatives à l’établissement des rapports de révision selon le CO¹¹et fournir les indications complémentaires demandées par la FINMA.
2. Elle doit remettre chaque année le rapport de révision à la FINMA même en cas de cadence d’audit réduite.
3. Le rapport de révision doit également être établi pour les entités suivantes:
   1. les assujettis qui ne sont pas organisés sous la forme d’une société anonyme;
   2. les succursales d’entités étrangères;
   3. les groupes et conglomérats financiers soumis à la surveillance de la FINMA.

Section 2 Directions de fonds, gestionnaires de fortune collective, SICAV, SCPC, SICAF, banques dépositaires et représentants de placements collectifs étrangers

Art. 38 Champ d’application

Cette section s’applique à l’audit prudentiel des:

1. directions de fonds;
2. gestionnaires de fortune collective;
3. sociétés d’investissement à capital variable (SICAV);
4. sociétés en commandite de placements collectifs (SCPC);
5. sociétés d’investissement à capital fixe (SICAF);
6. banques dépositaires;
7. représentants de placements collectifs étrangers.

Art. 39 Établissement de l’analyse des risques

Lors de la détermination des risques dans le cadre de l’analyse des risques, il convient de prendre en compte les placements collectifs de capitaux gérés par les titulaires d’autorisation au sens de la loi fédérale du 15 juin 2018 sur les établissements financiers¹²et de la loi du 23 juin 2006 sur les placements collectifs¹³.

Art. 40 Périodicité de l’audit et étendue d’audit

La périodicité et l’étendue d’audit sont déterminées comme suit:

Risque net	Périodicité de l’audit	Étendue d’audit
Très élevé	Annuelle	«Audit»
Élevé	Tous les deux ans	Alternance des étendues «audit» et «revue critique»
Moyen	Tous les quatre ans	Alternance des étendues «audit» et «revue critique»
Faible	Tous les six ans	«Revue critique»

Art. 41 Cadence d’audit réduite

1. Sur demande de l’organe responsable de la haute surveillance d’un assujetti appartenant à la catégorie de surveillance 5, la FINMA peut accepter une cadence d’audit réduite si l’assujetti n’est pas exposé à des risques élevés et ne présente pas de faiblesses importantes.
2. Si la cadence d’audit est réduite, les travaux d’audit sont reportés de deux ans.
3. Il n’est pas nécessaire, lors des années intermédiaires, d’établir et de remettre une analyse des risques et une stratégie d’audit spécifique à l’établissement, ni de réaliser un audit prudentiel et de remettre un rapport d’audit. L’audit prudentiel et les éventuels contrôles subséquents doivent être réalisés dans le cadre des prochains travaux d’audit.

Art. 42 Établissement de la stratégie d’audit spécifique à l’établissement

1. Pour les assujettis des catégories de surveillance 3 et 4, la stratégie d’audit spécifique à l’établissement est établie par la FINMA de concert avec la société d’audit.
2. Pour les assujettis de la catégorie de surveillance 5, la stratégie d’audit spécifique à l’établissement est établie par la société d’audit. La FINMA prescrit une stratégie d’audit standard; il convient d’utiliser le modèle applicable.
3. Si la société d’audit considère que la stratégie d’audit standard est insuffisante pour le contrôle d’un assujetti, elle propose à la FINMA de s’en écarter et motive sa proposition.
4. Sur la base de son évaluation des risques, la FINMA peut décider dans la stratégie d’audit standard, pour certains domaines d’audit ou champs d’audit:
   1. une périodicité ou une étendue d’audit différente de celle prévue à l’art. 40;
   2. la couverture sur plusieurs années de certains éléments d’un domaine d’audit ou d’un champ d’audit (couverture graduelle).
5. Si la FINMA procède à des adaptations significatives des modèles, elle consulte au préalable les parties concernées.

Art. 43 Envoi de la stratégie d’audit spécifique à l’établissement

1. La stratégie d’audit spécifique à l’établissement doit être remise à la FINMA et portée à la connaissance de l’assujetti.
2. Une estimation des coûts des travaux d’audit prévus doit être fournie en même temps que la stratégie d’audit.
3. Si la société d’audit adapte la stratégie d’audit après sa remise, elle doit la transmettre de nouveau à la FINMA.

Art. 44 Délais applicables à l’analyse des risques, à la stratégie d’audit et au rapport d’audit

1. L’analyse des risques doit être remise à la FINMA dans un délai de six mois après le début de l’exercice. Pour les banques dépositaires, elle doit être remise dans un délai de quatre mois après le début de l’exercice de la banque. Pour les établissements nouvellement autorisés, elle doit être remise dans un délai de trois mois après l’entrée en force de l’autorisation.
2. La stratégie d’audit doit être remise à la FINMA dans un délai de six mois après le début de l’exercice. Pour les banques dépositaires, elle doit être remise dans un délai de quatre mois après le début de l’exercice de la banque. Pour les établissements nouvellement autorisés, elle doit être remise dans un délai de trois mois après l’entrée en force de l’autorisation.
3. Les rapports d’audit doivent être remis à la FINMA dans un délai de six mois après le bouclement de l’exercice. Pour les banques dépositaires, ils doivent être remis dans un délai de quatre mois après le bouclement de l’exercice de la banque.

Art. 45 Approbation de la stratégie d’audit spécifique à l’établissement

1. La stratégie d’audit spécifique à l’établissement pour la catégorie de surveillance 5 requiert l’approbation de la FINMA. Elle est réputée approuvée si la FINMA ne demande pas d’adaptation dans les trois mois suivant sa remise.
2. La FINMA peut exiger une adaptation de la stratégie d’audit spécifique à l’établissement approuvée.

Art. 46 Audit comptable

1. Lors de l’audit comptable, la société d’audit doit respecter les prescriptions de l’ASR relatives à l’établissement des rapports de révision détaillés selon l’art. 728b CO¹⁴et fournir les indications complémentaires demandées par la FINMA.
2. Pour les SICAV et les SCPC, la société d’audit doit remettre chaque année à la FINMA le rapport de révision détaillé selon l’art. 728b CO, même en cas de cadence d’audit réduite.
3. Les directions de fonds et les gestionnaires de fortune collective doivent remettre chaque année à la FINMA le rapport de révision détaillé selon l’art. 728b CO, même en cas de cadence d’audit réduite.

Section 3 Entreprises d’assurance

Art. 47 Champ d’application

Cette section s’applique à l’audit prudentiel des entreprises d’assurance conformément à la loi du 17 décembre 2004 sur la surveillance des assurances¹⁵.

Art. 48 Établissement de l’analyse des risques

1. Lors de l’établissement de l’analyse des risques, la société d’audit décrit également, pour les risques identifiés, les mesures fonctionnantes et propres à réduire le risque qui ont été prises par l’entreprise d’assurance, le groupe d’assurance ou le conglomérat d’assurance. Les mesures qui seront prises avec certitude au cours des six prochains mois sont également prises en considération.
2. L’absence de mesures propres à réduire les risques prises pour les risques identifiés doit être mentionnée dans l’analyse des risques.
3. La FINMA peut délier la société d’audit de l’obligation de réaliser l’analyse des risques ou accorder des dérogations lorsque l’évaluation des risques faite par la FINMA le permet.

Art. 49 Établissement de la stratégie d’audit spécifique à l’établissement

La stratégie d’audit spécifique à l’établissement est établie par la FINMA.

Art. 50 Délais applicables à l’analyse des risques et au rapport d’audit

1. L’analyse des risques doit être remise à la FINMA dans un délai de quatre mois après le début de l’exercice.
2. Les rapports d’audit doivent être remis à la FINMA dans un délai de quatre mois après le bouclement de l’exercice.

Art. 51 Audit comptable

1. Lors de l’audit comptable, la société d’audit doit respecter les prescriptions de l’ASR relatives à l’établissement des rapports de révision détaillés selon l’art. 728b CO¹⁶et fournir les indications complémentaires demandées par la FINMA.
2. Pour les succursales d’entreprises d’assurance étrangères soumises à la surveillance de la FINMA, la société d’audit doit fournir les indications complémentaires demandées par la FINMA. Elle doit:
   1. contrôler les comptes annuels conformément aux principes de révision ordinaire selon l’art. 727 CO, et
   2. établir un rapport récapitulatif sur le contrôle des comptes annuels.

Chapitre 4 Entrée en vigueur

Art. 52

La présente ordonnance entre en vigueur le 1^erjanvier 2025.

Annexe 1

(art. 6, al. 1)

Détermination du niveau du risque inhérent

1. Risque inhérent très élevé

Dans les cas suivants, le risque inhérent est jugé très élevé:

Ampleur du dommage causé si l’événement de risque survient	Probabilité de survenance de l’événement de risque
Très élevée	Très élevée
Très élevée	Élevée

2. Risque inhérent élevé

Dans les cas suivants, le risque inhérent est jugé élevé:

Ampleur du dommage causé si l’événement de risque survient	Probabilité de survenance de l’événement de risque
Très élevée	Moyenne
Très élevée	Faible
Élevée	Très élevée
Élevée	Élevée

3. Risque inhérent moyen

Dans les cas suivants, le risque inhérent est jugé moyen:

Ampleur du dommage causé si l’événement de risque survient	Probabilité de survenance de l’événement de risque
Élevée	Moyenne
Élevée	Faible
Moyenne	Très élevée
Moyenne	Élevée
Moyenne	Moyenne

4. Risque inhérent faible

Dans les cas suivants, le risque inhérent est jugé faible:

Ampleur du dommage causé si l’événement de risque survient	Probabilité de survenance de l’événement de risque
Moyenne	Faible
Faible	Très élevée
Faible	Élevée
Faible	Moyenne
Faible	Faible

Annexe 2

(art. 6, al. 2)

Détermination du niveau du risque de contrôle

1. Risque de contrôle élevé

Le risque de contrôle est jugé élevé si au moins l’un des critères suivants est rempli: – la société d’audit n’a pas effectué de travaux d’audit quant à l’existence et à l’efficacité de mesures de contrôle propres à réduire le risque; – la société d’audit n’est pas au clair quant à l’existence de mesures de contrôle propres à réduire le risque; – la société d’audit a la certitude qu’il n’existe aucune mesure de contrôle propre à réduire le risque; – la société d’audit a jugé inefficaces les mesures de contrôle propres à réduire le risque en place; – il existe des indices selon lesquels les mesures de contrôle propres à réduire le risque ont subi des adaptations significatives depuis le dernier audit prudentiel.

2. Risque de contrôle moyen

Le risque de contrôle est jugé moyen si les critères suivants sont remplis: – la société d’audit a constaté lors des travaux d’audit effectués au cours des trois dernières années sous la forme d’une revue critique que des mesures de contrôle propres à réduire le risque existent; – il n’existe aucune indice selon lequel les mesures de contrôle propres à réduire le risque ne seraient pas efficaces ou qu’elles auraient subi des adaptations significatives depuis le dernier audit prudentiel.

3. Risque de contrôle faible

Le risque de contrôle est jugé faible si les critères suivants sont remplis: – la société d’audit a constaté lors des travaux d’audit effectués au cours des trois dernières années sous la forme d’un audit que des mesures de contrôle propres à réduire le risque existent et sont efficaces; – les mesures de contrôle propres à réduire le risque n’ont pas subi d’adaptations significatives depuis le dernier audit prudentiel.

Annexe 3

(art. 6, al. 3)

Détermination du niveau du risque net

1. Risque net très élevé

Dans les cas suivants, le risque net est jugé très élevé:

Niveau du risque inhérent	Niveau du risque de contrôle
Très élevé	Élevé
Très élevé	Moyen

2. Risque net élevé

Dans les cas suivants, le risque net est jugé élevé:

Niveau du risque inhérent	Niveau du risque de contrôle
Très élevé	Faible
Élevé	Élevé

3. Risque net moyen

Dans les cas suivants, le risque net est jugé moyen:

Niveau du risque inhérent	Niveau du risque de contrôle
Élevé	Moyen
Élevé	Faible
Moyen	Élevé
Moyen	Moyen

4. Risque net faible

Dans les cas suivants, le risque net est jugé faible:

Niveau du risque inhérent	Niveau du risque de contrôle
Moyen	Faible
Faible	Élevé
Faible	Moyen
Faible	Faible

Footnotes

1. RS 956.161 ↩

2. RS 956.1 ↩

3. RS 956.1 ↩

4. RS 956.1 ↩

5. RS 956.1 ↩

6. RS 952.0 ↩

7. RS 961.01 ↩

8. RS 952.0 ↩

9. RS 220 ↩

10. RS 952.0 ↩

11. RS 220 ↩

12. RS 954.1 ↩

13. RS 951.31 ↩

14. RS 220 ↩

15. RS 961.01 ↩

16. RS 220 ↩