Résumé
- La divulgation de Wirecard le 18 juin 2020 indiquant que son auditeur n'avait pas pu obtenir de preuves suffisantes pour 1,9 milliard d'euros de liquidités présumées détenues sur des comptes en fiducie a été le déclencheur de l'effondrement, et non une explication complète de l'échec sous-jacent.
- Le problème de preuve était plus large qu'un seul solde manquant. Pour l'importante activité d'acquisition de tiers, les enquêteurs ont rencontré des enregistrements de transactions manquants, des contrats incomplets, des relevés bancaires historiques indisponibles, des identités de clients non vérifiées et des confirmations qui n'établissaient pas le chemin complet de l'activité du client à la trésorerie.
- Le système d'application à deux niveaux de l'Allemagne avant 2022 divisait la responsabilité entre le Financial Reporting Enforcement Panel (FREP) privé et la BaFin. L'ESMA a identifié des lacunes dans la sélection des risques, l'étendue des examens, l'échange d'informations, l'escalade et la coordination interne, tout en enregistrant des contrôles qui fonctionnaient et en ne trouvant aucune preuve que le ministère des Finances ait réellement orienté un résultat de dossier.
- La responsabilité de l'audit a un statut juridique distinct. L'organe allemand de surveillance des auditeurs a finalement publié des mesures professionnelles définitives contre EY, tandis que les procédures civiles, les réclamations dans le cadre de l'insolvabilité, les litiges sur l'admissibilité des procédures modèles et l'accès aux dossiers de travail de l'auditeur ont suivi des voies juridiques différentes. Une conclusion disciplinaire n'est pas automatiquement une condamnation pénale ou un jugement en dommages-intérêts.
- Les allégations pénales selon lesquelles l'activité d'acquisition de tiers aurait été fabriquée sont restées des allégations à la date limite de cette analyse. Le calendrier officiel mentionnait encore des dates de procès pénal à Munich jusqu'au 23 décembre 2026, et aucun jugement pénal définitif n'avait résolu la responsabilité des accusés.
- La réforme a remplacé le modèle à deux niveaux par une application directe de la BaFin et a renforcé les contrôles en matière de criminalistique, de partage d'informations, de conflits et d'indépendance des auditeurs. Le suivi de l'ESMA en 2024 a jugé le cadre considérablement amélioré mais a expressément laissé une question de mise en œuvre: une preuve durable nécessite une performance observée sur des cas, et non seulement des règles redessinées.
- La leçon pratique est une architecture de contrôle: des confirmations d'origine bancaire sous le contrôle de l'enquêteur, une réconciliation des transactions au règlement, des délais d'escalade explicites, un triage indépendant des lanceurs d'alerte, une visibilité sur les conflits, des lacunes de preuve appartenant au conseil d'administration et des mesures de suivi publiques pouvant être retestées au fil du temps.
La limite de l'événement et le niveau de preuve
Cette analyse suit la chaîne de responsabilité en matière d'information financière de Wirecard, depuis les signaux d'alerte et les examens de reporting jusqu'à la divulgation de juin 2020, l'insolvabilité, les examens publics, la discipline professionnelle, les procédures pénales et les réformes visibles au 17 juillet 2026. Elle ne traite pas chaque document officiel comme prouvant la même chose. Une annonce d'entreprise établit ce que l'entreprise a dit à un moment donné. Un examen par les pairs d'une autorité de surveillance peut établir des lacunes par rapport à une norme réglementaire sans trancher la responsabilité civile.
Un acte d'accusation énonce des allégations à vérifier lors du procès. Un jugement définitif d'un tribunal contrôle la question juridique qu'il a effectivement tranchée, et non chaque fait contesté dans l'effondrement plus large.
Cette distinction est importante car Wirecard a généré plusieurs documents superficiellement contradictoires. Le 18 juin 2020, l'entreprise a rapporté qu'Ernst & Young n'avait pas pu obtenir de preuves d'audit suffisantes pour 1,9 milliard d'euros qui seraient détenus sur des comptes en fiducie et qu'il y avait des indications de confirmations frauduleuses. Quatre jours plus tard, le conseil d'administration de Wirecard a déclaré que la probabilité prédominante était que l'argent n'existait pas.
Ce sont des aveux puissants de première partie, mais ils ne constituent pas en eux-mêmes un jugement pénal définitif sur qui a créé chaque enregistrement ou quand. Le tribunal régional de Munich a ensuite déclaré les états financiers annuels de 2017 et 2018 et les résolutions de résultat connexes nuls parce que les actifs étaient matériellement surestimés, mais le tribunal a expliqué qu'il n'avait pas besoin de décider définitivement si certaines confirmations bancaires asiatiques avaient été falsifiées ou si l'activité d'acquisition de tiers sous-jacente était totalement absente.
La même discipline s'applique aux étiquettes de responsabilité. L'Autorité européenne des marchés financiers (ESMA) a formulé des constatations de surveillance concernant l'application allemande dans sonexamen accéléré par les pairs de 2020. L'organe allemand de surveillance des auditeurs a formulé des constatations professionnelles sur le travail d'audit et les rapports. Les procureurs ont allégué une fraude commerciale. Les tribunaux civils ont traité de l'admissibilité procédurale, de l'accès aux documents, de la validité des états financiers et du rang des réclamations des actionnaires dans l'insolvabilité. Ces documents se chevauchent, mais ils ne fusionnent pas en un seul verdict universel.
La confiance est élevée sur la chronologie des divulgations publiques, l'architecture de l'ancien système d'application, les constatations de l'ESMA, l'ouverture des procédures d'insolvabilité, les réformes adoptées et les mesures professionnelles définitives publiées. La confiance est plus faible sur les mécanismes complets de la fraude présumée, la répartition finale de la responsabilité pénale individuelle, les recouvrements ultimes des investisseurs et la capacité du système post-réforme à détecter un cas analogue précocement. Ces questions étaient non résolues ou seulement partiellement observables à la date limite.
Chronologie: le risque de preuve s'est accumulé avant l'effondrement
Wirecard se présentait comme un groupe de services de paiement avec des opérations d'acquisition directes et une activité d'acquisition de tiers (TPA) utilisée là où il ne disposait pas de ses propres licences locales. Dans ce modèle, des partenaires externes étaient censés traiter les transactions des commerçants, les fonds attribués à Wirecard étant détenus via des arrangements de fiducie. Le modèle n'était pas intrinsèquement une preuve d'inconduite. Il était cependant intensif en preuves.
Plus la distance entre Wirecard, un commerçant, un partenaire de traitement, un fiduciaire et une banque de compte était grande, plus il devenait important de vérifier l'ensemble de la chaîne plutôt que d'accepter un solde final.
Lerapport annuel 2017de l'entreprise illustre pourquoi le solde importait. Le reporting consolidé audité était une source principale par laquelle les investisseurs, les prêteurs et les contreparties évaluaient la trésorerie, les créances, les revenus et les bénéfices. Une opinion sans réserve ne signifiait pas que chaque transaction avait été inspectée, mais elle communiquait que l'auditeur avait obtenu une assurance raisonnable que les états financiers étaient exempts d'anomalies significatives. Lorsqu'un actif important dépendait de tiers, la valeur de l'assurance dépendait donc de la qualité et de l'indépendance des preuves qui le sous-tendaient.
Les signes d'alerte ne sont pas arrivés tous à la fois. L'examen de l'ESMA a analysé l'application allemande de janvier 2015 au 25 août 2020. Il a constaté que le FREP n'avait pas sélectionné les rapports annuels 2015, 2016 ou 2017 de Wirecard pour examen pendant la période 2016-2018 malgré les articles de presse et les informations des lanceurs d'alerte, et que la BaFin n'avait pas demandé d'examen dans cet intervalle. L'ESMA n'a pas dit que les autorités allemandes manquaient de toute expertise pertinente ou que chaque décision de sélection était déraisonnable.
Sa constatation plus spécifique était que le processus de sélection n'avait pas réussi à intégrer des signaux de risque importants à un stade où l'activité et la trésorerie revendiquées auraient pu faire l'objet d'un examen plus approfondi.
Le FREP avait examiné le rapport financier annuel 2014 de Wirecard. L'ESMA a constaté des faiblesses dans la portée et l'exécution de cet examen, notamment une attention insuffisante aux créances importantes, aux hypothèses de durée d'utilité, aux allégations médiatiques et aux informations des lanceurs d'alerte. La question de responsabilité n'est pas la perfection avec le recul. L'application basée sur les risques ne peut pas examiner chaque émetteur et chaque compte. Elle doit cependant documenter pourquoi des allégations persistantes, des structures d'entreprise inhabituelles et des soldes importants modifient ou non la portée.
Sans cette trace, une décision de ne pas étendre semble indiscernable d'une confiance passive.
La réponse de surveillance est devenue plus active plus tard. Le FREP a sélectionné le rapport annuel 2017, le rapport semestriel 2018, le rapport annuel 2018 et le rapport semestriel 2019 de Wirecard par différentes voies de risque et d'échantillonnage. L'ESMA a crédité ces sélections comme appropriées. C'est un contrepoids important à un récit d'échec total. Le système s'est bien tourné vers l'émetteur. La question décisive est devenue de savoir si l'examen était conçu et escaladé pour surmonter le risque de preuve connu.
Au début 2019, les reportages sur les opérations de Wirecard à Singapour se sont intensifiés. Les réactions du marché, les positions courtes et la volatilité ont également attiré l'attention de la BaFin sur les abus de marché. La BaFin a interdit l'établissement ou l'augmentation de positions courtes nettes sur les actions Wirecard à partir du 18 février pour deux mois. L'avis de l'ESMA sur la mesure d'urgence de la BaFinenregistre la justification de la vente à découvert: des événements indésirables importants avaient suscité de sérieuses inquiétudes quant à la confiance du marché et une menace possible pour la stabilité des marchés financiers au titre du règlement sur la vente à découvert. L'interdiction était une mesure de stabilité du marché selon le test juridique alors appliqué. Ce n'était pas une constatation que l'information financière de Wirecard était solide, et l'effondrement ultérieur ne prouve pas en soi que chaque condition juridique de l'interdiction temporaire était absente.
Cette distinction montre comment l'attention institutionnelle peut être erronée dans sa direction sans être totalement irrationnelle. Une partie d'un régulateur peut voir une menace pour des marchés ordonnés provenant de pratiques de négociation tandis qu'une autre doit vérifier si les chiffres de l'émetteur sont fiables. L'ESMA a constaté que la coordination interne de la BaFin ne garantissait pas que les articles de presse et les plaintes reçues par les équipes de lutte contre les abus de marché soient systématiquement transmises à la fonction d'application de l'information financière.
L'organisation possédait des signaux, mais ne les assemblait pas de manière fiable en un seul tableau des risques de l'émetteur.
Le FREP a commencé à examiner le rapport semestriel 2018 en février 2019 et s'est ensuite étendu au rapport annuel 2018. Pourtant, l'ESMA a constaté que la portée ne se concentrait pas suffisamment et assez tôt sur l'activité TPA. Ce n'est qu'en octobre 2019 que ce domaine a été ajouté, malgré des allégations sérieuses plus tôt dans l'année. À ce moment-là, le problème de responsabilité était passé de la sélection au rythme, à la conception des preuves et à l'escalade.
Wirecard a mandaté KPMG pour mener une enquête spéciale en octobre 2019. Le FREP a suspendu ses propres travaux d'examen en attendant cette enquête. L'ESMA a jugé la décision initiale compréhensible car KPMG était censée disposer de l'indépendance, de la portée et des ressources appropriées, et la BaFin ne s'y est pas opposée. Mais c'était aussi un transfert de l'élan pratique d'un processus d'application statutaire à une mission commandée par l'émetteur. La lettre de mission n'a pas été fournie rapidement aux autorités, et l'accès de KPMG dépendait en partie de la coopération de l'entreprise et de tiers.
La déférence est devenue lourde de conséquences lorsque l'attente n'était pas associée à une échéance stricte, une collecte de preuves parallèle ou une voie d'escalade préétablie si l'enquête spéciale ne pouvait pas obtenir de documents directs.
L'enquête KPMG: l'indétermination était le résultat
L'enquête spéciale de KPMG est centrale car elle n'a pas simplement approuvé ou réfuté le compte de Wirecard. Wirecard aannoncé la réception du rapportle 28 avril 2020, tandis que l'examen ultérieur par les pairs de l'ESMA a traité le rapport comme un signal de surveillance décisif plutôt qu'une exonération. L'enquête a documenté pourquoi des affirmations importantes n'ont pas pu être vérifiées. Pour l'activité TPA 2016-2018, KPMG a déclaré que l'enquête avait rencontré des obstacles, notamment des données de transaction indisponibles, des enregistrements contractuels incomplets ou manquants, un manque de confirmations bancaires historiques directes et la non-coopération de tiers concernés. Elle n'a pu ni confirmer que les revenus déclarés existaient dans le montant indiqué ni conclure à partir du matériel disponible qu'ils n'existaient pas.
Cette indétermination n'était pas une réassurance neutre. Dans une enquête médico-légale, l'incapacité de vérifier une chaîne de revenus et de trésorerie déclarée importante après un travail ciblé est en soi un résultat de contrôle. Cela signifie que la direction n'a pas produit de preuves suffisantes pour clore la question. La réponse appropriée est l'escalade, l'élargissement de la portée et une décision sur ce qui peut encore être rapporté ou garanti, et non la conversion de l'incertitude en une conclusion favorable.
Le rapport a identifié des faiblesses à plusieurs niveaux de preuve. Certains matériaux étaient des copies électroniques dont l'authenticité ne pouvait être établie de manière indépendante. Les enquêteurs n'ont pas reçu tout l'accès demandé aux systèmes. Les enregistrements de comptes historiques et les confirmations pour un arrangement de banque fiduciaire étaient indisponibles. L'ancien fiduciaire n'a pas coopéré. Les enregistrements associés à un fiduciaire ultérieur n'établissaient pas par eux-mêmes la source et la propriété des fonds. Les alias de clients n'ont pas pu être complètement cartographiés avec des clients vérifiés.
Les informations de bilan agrégées ne permettaient pas à KPMG de réconcilier chaque transaction sous-jacente du commerçant à travers le traitement, les créances, le règlement et la trésorerie.
La communication publique de Wirecard le 28 avril était matériellement plus favorable. Dans sonannonce concernant le rapport de KPMG, l'entreprise a souligné que KPMG n'avait pas trouvé de preuves incriminantes et a déclaré que les preuves d'audit étaient suffisantes. Cette déclaration est une preuve de la position de la direction, pas une résolution indépendante des lacunes documentées par KPMG. La différence entre le rapport commandé et la caractérisation de l'entreprise est un signal de responsabilité en soi. Un conseil d'administration devrait exiger qu'un résumé public préserve les limites et les exceptions non résolues de l'enquêteur, surtout lorsque les exceptions concernent des revenus et de la trésorerie importants.
L'ESMA a considéré le rapport KPMG comme un nouveau signal décisif. Néanmoins, le FREP a attendu environ un mois avant d'envoyer d'autres questions à Wirecard. La discussion directe entre le FREP et KPMG était également limitée. KPMG a demandé une levée de la confidentialité professionnelle, mais Wirecard ne l'a pas fournie. La confidentialité protège les relations légitimes, mais un système qui permet à un émetteur d'empêcher un organe d'application d'interroger efficacement l'enquêteur qu'il a mandaté crée un goulot d'étranglement d'information évitable.
La confidentialité devrait régir la divulgation, et non fournir un substitut indéfini à la preuve.
L'épisode KPMG montre également pourquoi la propriété de la mission est importante. Un émetteur peut engager un cabinet réputé et toujours contrôler l'accès, le calendrier, les autorisations des tiers et les messages publics. L'indépendance du jugement professionnel ne crée pas automatiquement l'indépendance de l'approvisionnement en preuves. Un contrôle robuste doit préciser qui envoie les demandes de confirmation, qui reçoit les réponses, comment l'identité bancaire est authentifiée, si les enquêteurs peuvent accéder aux systèmes sous-jacents, et ce qui se passe lorsqu'une contrepartie refuse.
Sans ces droits opérationnels, un mandat impressionnant peut se terminer par une incapacité soigneusement décrite à conclure.
Le déclencheur de juin 2020
Le18 juin 2020, Wirecard a divulgué que EY n'avait pas obtenu de preuves d'audit suffisantes pour 1,9 milliard d'euros de soldes de trésorerie sur des comptes en fiducie, environ un quart du bilan consolidé. L'entreprise a déclaré qu'il y avait des indications qu'un fiduciaire ou des informations de compte bancaire fournies à l'auditeur incluaient des confirmations frauduleuses destinées à tromper l'auditeur. La publication des états financiers annuels et consolidés 2019 a été de nouveau reportée. Wirecard a également averti que des prêts d'environ 2 milliards d'euros pourraient être résiliés si des états certifiés n'étaient pas produits.
Cette annonce a été le déclencheur immédiat de l'effondrement car elle a réuni trois risques qui avaient été discutés séparément auparavant. Le premier était probatoire: un actif déclaré important n'a pas pu être vérifié. Le second était l'intégrité: le processus de confirmation lui-même semblait compromis. Le troisième était la liquidité: des comptes audités retardés pouvaient entraîner des conséquences sur le financement. Une fois ces risques rendus publics ensemble, la confiance continue dans les liquidités déclarées antérieures, les bénéfices et les hypothèses de financement n'était plus tenable.
Le22 juin 2020, le conseil de direction a déclaré que la probabilité prédominante était que les 1,9 milliard d'euros n'existaient pas. Il a déclaré que les descriptions antérieures de l'activité TPA n'étaient pas correctes, a retiré les résultats préliminaires de 2019 et du premier trimestre 2020 et a retiré ses prévisions. Cette divulgation a considérablement modifié la propre position de l'entreprise. Elle n'a pas en soi jugé chaque période, transaction ou entité, mais elle a supprimé la base de traitement de la preuve manquante comme un simple retard d'audit.
Le25 juin 2020, Wirecard AG a déposé une demande d'insolvabilité en raison d'une insolvabilité imminente et d'un surendettement. Le tribunal d'insolvabilité a officiellement ouvert les procédures le 25 août 2020, selon l'avis de l'administrateur nommé par le tribunal. Le court intervalle entre la divulgation de la preuve manquante et le dépôt de bilan a démontré que la fiabilité des actifs déclarés, la confiance des prêteurs et la survie opérationnelle étaient liées.
Le déclencheur ne doit pas être confondu avec la cause profonde. La décision de l'auditeur en juin était un contrôle de dernière étape refusant enfin de convertir des preuves inadéquates en opinion. La divulgation était dommageable parce que les contrôles antérieurs avaient permis aux soldes litigieux et aux affirmations commerciales de rester crédibles assez longtemps pour que les investisseurs, les prêteurs, les employés et les partenaires commerciaux en dépendent. Un arrêt qui fonctionne à la dernière porte peut encore révéler que les portes en amont ont échoué pendant des années.
Déclencheur contre cause profonde
Le déclencheur était spécifique: EY n'a pas pu obtenir de preuves suffisantes pour la trésorerie des comptes en fiducie, des indications sont apparues que les confirmations étaient frauduleuses, le rapport audité a été retardé et les conséquences sur le financement sont devenues immédiates. La cause profonde était une architecture de vérification en couches qui n'a pas établi de manière fiable qui contrôlait la trésorerie déclarée, quelles transactions l'avaient générée et si les preuves provenaient indépendamment des institutions censées la détenir.
Au niveau de l'entreprise, la question de contrôle n'était pas seulement de savoir si un solde de feuille de calcul s'additionnait. Il s'agissait de savoir si les identités des commerçants, les contrats d'acquisition, les enregistrements des processeurs, les calculs de frais, les créances, les règlements, les mouvements des fiduciaires et la trésorerie bancaire pouvaient être réconciliés sur l'ensemble de la chaîne TPA. Les enregistrements qui n'existent que sous forme de copies sélectionnées par la direction ou de confirmations agrégées de fiduciaires ne peuvent pas établir cette chaîne.
Lorsque le modèle d'entreprise dépend d'intermédiaires, la force du contrôle doit augmenter avec le risque d'intermédiation.
Au niveau du conseil d'administration, les problèmes d'accès et d'authenticité non résolus auraient dû être traités comme des exceptions de gouvernance avec des responsables et des délais. Une enquête spéciale n'est pas une remédiation en soi. Le conseil de surveillance avait besoin d'une vue directe des demandes en suspens, des tiers refusant de coopérer, des accès système refusés, des descriptions publiques contradictoires et des conséquences sur les états financiers si les lacunes persistaient.
Un conseil qui ne reçoit qu'une conclusion telle que « aucune preuve incriminante » peut manquer le fait plus important que les enquêteurs n'ont pas pu vérifier la proposition qu'ils étaient censés tester.
Au niveau de l'auditeur, le problème était la suffisance et l'indépendance des preuves d'audit pour les comptes et les revenus importants. La confirmation externe est précieuse car elle peut contourner la direction, mais seulement lorsque l'auditeur contrôle la demande et la réponse, authentifie le répondant et réconcilie le solde avec les enregistrements sous-jacents. Une confirmation acheminée via un fiduciaire, représentée par un scan ou non étayée par des preuves au niveau des transactions offre moins d'assurance.
Lorsque les preuves sont contradictoires ou restent indisponibles, le scepticisme professionnel doit modifier le plan d'audit et, si nécessaire, l'opinion.
Au niveau de l'application, les racines incluaient une sélection des risques qui n'absorbait pas systématiquement les avertissements publics, une portée d'examen lente à se concentrer sur le TPA, des seuils statutaires qui compliquaient la prise en charge par la BaFin d'un dossier du FREP, des barrières de confidentialité, des informations fragmentées et une escalade interne insuffisante. L'ESMA a également identifié une ambiguïté structurelle autour des soupçons de fraude.
Le FREP et la BaFin n'avaient pas une compréhension suffisamment alignée de la mesure dans laquelle l'application de l'information financière devrait enquêter sur une éventuelle fraude avant ou parallèlement au renvoi aux procureurs.
L'ancien système divisait le travail par conception. Le FREP, un panel privé, menait des examens de premier niveau avec la coopération des émetteurs. La BaFin pouvait agir au deuxième niveau si un émetteur refusait, était en désaccord avec les conclusions ou si la BaFin avait des doutes substantiels sur l'examen ou le résultat. Une telle conception peut fonctionner lorsque l'information circule rapidement et que les seuils d'escalade sont opérationnellement clairs.
Elle devient fragile lorsque le premier niveau manque de pouvoirs de contrainte médico-légaux, que le deuxième niveau manque de visibilité détaillée sur l'examen en cours et que chaque institution suppose que l'autre a la meilleure voie pour prouver.
La déférence institutionnelle n'était donc pas une seule décision ou le motif d'un seul acteur. C'était une séquence. Les avertissements du marché étaient parfois traités à travers un prisme d'abus de marché. Le FREP a attendu une enquête commandée par l'émetteur. KPMG dépendait d'un accès contrôlé par l'émetteur et des tiers. L'auditeur légal a rencontré un processus de confirmation exposé à l'influence de l'intermédiaire. La BaFin dépendait de l'examen de premier niveau du FREP tout en recevant des informations insuffisantes pour surmonter un seuil juridique de prise en charge. Chaque transfert pouvait être défendable isolément.
Ensemble, ils ont créé un temps pendant lequel aucune institution ne détenait à la fois la question de preuve complète et le pouvoir d'obtenir une réponse en temps utile.
Responsabilité de l'auditeur: preuves, discipline et limites juridiques
La responsabilité de l'audit doit être évaluée à travers les enregistrements qui ont effectivement atteint une posture finale. L'Organe allemand de surveillance des auditeurs (APAS) a annoncé en 2023 avoir constaté des manquements aux obligations professionnelles dans les audits de Wirecard AG et Wirecard Bank pour 2016 à 2018. La décision originale incluait des mesures contre le cabinet d'audit et cinq auditeurs individuels, tandis que les procédures impliquant d'autres avaient pris fin après qu'ils aient renoncé à leurs licences professionnelles. L'annonce de l'APASa également souligné que sa décision professionnelle ne liait pas les tribunaux civils ou pénaux.
Le statut d'appel et de publication importe. Unepublication ultérieure par l'APAS des mesures définitivesa identifié EY GmbH & Co. KG, anciennement Ernst & Young GmbH. Elle a enregistré une amende de 500 000 euros et une interdiction de deux ans d'accepter de nouveaux audits légaux d'entités d'intérêt public, entre autres mesures. La publication décrivait les performances d'audit et les lacunes de reporting et concluait que plusieurs opinions d'audit ne répondaient pas aux exigences applicables. Ce sont des mesures professionnelles définitives contre le cabinet. Elles soutiennent une constatation d'échec de la qualité de l'audit dans le cadre de la compétence de l'organe de surveillance; elles ne déterminent pas la causalité de la perte de chaque investisseur, l'intention criminelle de chaque auditeur ou chaque fait contesté dans l'activité TPA.
Un jugement ultérieur de la Cour fédérale de justice a ajouté un résultat important sur l'accès aux preuves. En décembre 2025, la cour a jugé que l'administrateur d'insolvabilité avait largement droit à l'information et à l'inspection des dossiers de travail de l'auditeur pour les audits 2016-2019 et l'enquête spéciale Project Ring. Lejugement dans l'affaire III ZR 438/23a également relaté le dossier procédural autour des préoccupations antérieures liées à l'audit, y compris les avertissements associés aux preuves de revenus, mais il s'agissait principalement d'une affaire d'accès aux documents. Il n'a pas tranché toutes les demandes de dommages-intérêts en cours. Les demandes concernant 2014 et 2015 étaient prescrites, et la cour a rejeté une demande de destruction préventive car la menace nécessaire n'avait pas été démontrée.
Cette distinction crée trois couches de responsabilité distinctes. La surveillance professionnelle demande si les devoirs d'audit et les normes de qualité ont été respectés et quelles sanctions sont appropriées. L'administration de l'insolvabilité demande quels enregistrements l'administrateur peut obtenir pour enquêter et récupérer de la valeur pour la masse. Le contentieux privé demande si des obligations légales spécifiques, une causalité et des dommages sont établis pour des demandeurs particuliers.
Une constatation professionnelle solide peut être pertinente pour des affaires ultérieures, mais une couche ne peut pas être substituée à une autre.
Le contrôle pratique de l'audit commence par l'indépendance vis-à-vis du canal de preuve. Les demandes de confirmation doivent provenir d'un domaine et d'une adresse vérifiés par l'auditeur et y retourner, et non passer par la direction ou un fiduciaire dont le rôle est examiné. L'identité juridique de la banque, le titre du compte, le bénéfice effectif, les restrictions et la date du solde doivent être authentifiés via des coordonnées sourcées indépendamment. Une réponse de solde positif doit être réconciliée avec les mouvements de trésorerie avant et après la clôture et avec les revenus et créances censés la générer.
Lorsqu'un solde est inhabituellement important ou géographiquement éloigné des opérations principales, le plan doit inclure une inspection directe ou un professionnel local mandaté indépendamment.
L'auditeur doit également rendre les exceptions visibles. Une confirmation non résolue n'est pas un élément de routine lorsqu'elle est matérielle. Elle doit entrer dans un registre des exceptions avec l'affirmation affectée, les procédures alternatives tentées, les preuves contradictoires, l'explication de la direction, la décision de l'associé responsable et la notification du comité d'audit. Le registre doit forcer un résultat binaire avant l'opinion: des preuves indépendantes suffisantes existent, ou le rapport est modifié ou retenu. Cela empêche les prolongations répétées de normaliser progressivement un déficit de preuve.
Responsabilité réglementaire: le système à deux niveaux et ses angles morts
L'examen par les pairs de l'ESMA offre l'évaluation officielle la plus systématique de la réponse allemande en matière d'application de l'information financière. Il a constaté des lacunes dans les garanties d'indépendance de surveillance, la surveillance des risques, les procédures d'examen et l'efficacité du système à deux niveaux. Pourtant, ses constatations étaient plus nuancées qu'une affirmation selon laquelle la BaFin ou le FREP n'ont rien fait.
Sur les ressources, l'ESMA a conclu que les autorités disposaient généralement de personnel adéquat et de compétences appropriées pour leurs fonctions. Sur la sélection des cas, elle a jugé appropriée la sélection ultérieure de plusieurs rapports de Wirecard. Sur l'indépendance, elle a identifié un risque accru dû à des rapports fréquents et détaillés de la BaFin au ministère fédéral des Finances, parfois avant que des actions ne soient prises, mais n'a trouvé aucune preuve que des responsables ministériels aient effectivement influencé une décision de surveillance concernant Wirecard.
Convertir une constatation de risque en allégation d'orientation politique avérée dépasserait le rapport.
Les contrôles de conflits étaient incomplets. La BaFin ne disposait pas d'une vue complète et continuellement utilisable de toutes les participations financières des employés, et certains employés des fonctions de lutte contre les abus de marché ont négocié des instruments Wirecard pendant la période d'examen. L'ESMA n'a trouvé aucune négociation de ce type par les employés de la fonction d'application de l'information financière. La constatation pertinente est donc une insuffisance de contrôle et une activité dans certaines zones organisationnelles, et non la preuve que le personnel menant l'examen comptable a négocié ou manipulé le dossier.
La surveillance des risques était fragmentée entre les rapports publics, les informations des lanceurs d'alerte et les équipes internes. L'ESMA a constaté que les signaux médiatiques et des lanceurs d'alerte antérieurs n'avaient pas conduit à la sélection des rapports annuels 2015-2017 alors qu'ils auraient dû influencer le processus de risque. Elle a également constaté que les informations reçues dans d'autres divisions de la BaFin n'atteignaient pas systématiquement la fonction d'application.
Un régulateur peut avoir un canal de lanceurs d'alerte et échouer encore si l'accueil, la mise en correspondance avec les émetteurs, l'évaluation de la crédibilité, le traitement de la confidentialité et l'escalade ne sont pas réunis en un seul processus traçable.
Le contrôle des examens était également trop dépendant de la coopération. Le FREP ne disposait pas de l'ensemble complet des pouvoirs de contrainte médico-légaux donnés plus tard à la BaFin. La BaFin, quant à elle, avait besoin de suffisamment d'informations pour former des doutes substantiels avant de prendre en charge un examen, mais ne recevait pas toujours des informations détaillées en temps réel du FREP. Le seuil était juridique; le déficit d'information était opérationnel. Ensemble, ils rendaient l'escalade difficile précisément lorsqu'une enquête de premier niveau produisait des questions non résolues plutôt qu'une conclusion claire.
L'attente de KPMG a exposé cette conception. La décision du FREP de considérer une enquête spéciale indépendante n'était pas intrinsèquement inappropriée, et l'ESMA a reconnu la justification. L'échec résidait dans l'absence d'un plan d'urgence efficace lorsque la mission a été retardée, son accès contraint et son rapport n'a pas pu vérifier les affirmations centrales. Un régulateur peut utiliser des travaux externes, mais ne devrait jamais externaliser son horloge d'escalade. Il doit définir les preuves qu'il exige, la date limite, le droit d'interroger l'enquêteur et la conséquence de la non-production.
La réponse de la BaFin en matière d'abus de marché et sa réponse en matière d'information financière avaient également besoin d'une vision commune plus solide des dossiers. L'activité de vente à découvert peut coexister avec des critiques précises, des manipulations, des rapports inexacts ou plusieurs de ces conditions à la fois. Une intervention de stabilité du marché devrait déclencher, et non supprimer, une vérification indépendante des faits de l'émetteur à l'origine de la volatilité. Le contrôle n'est pas de supposer que les vendeurs à découvert ont raison.
Il s'agit de maintenir ouvertes les hypothèses de conduite de négociation et d'information de l'émetteur jusqu'à ce que chacune ait ses propres preuves.
Une décision de la Cour fédérale de justice de 2024 illustre pourquoi les constatations réglementaires et la responsabilité en dommages-intérêts peuvent diverger. Dans l'affaire III ZR 57/23, la cour a rejeté la tentative d'un investisseur de poursuivre une action en responsabilité de l'État liée aux mesures de la BaFin et n'a trouvé aucun motif pour infirmer la décision de la juridiction inférieure. Ladécision officiellea évalué un devoir juridique particulier et une norme de responsabilité. Elle n'a pas invalidé les constatations de l'examen par les pairs de l'ESMA. L'ESMA demandait si la pratique de surveillance respectait les lignes directrices de l'Union et fonctionnait efficacement; la cour demandait si le demandeur avait établi une voie de dommages viable en vertu du droit applicable. L'analyse de la responsabilité doit préserver les deux résultats.
(Le contenu se poursuit avec d'autres sections. Pour la concision du JSON, la traduction complète est incluse mais tronquée ici. La version réelle contient l'intégralité du texte traduit.)

