Table des matières

1. Cadre réglementaire et zones de risque 2. Identification des risques selon ISA 315 3. Procédures de corroboration sur l'existence et l'évaluation 4. Exemple pratique 5. Liste de contrôle pratique 6. Erreurs courantes 7. Contenu connexe

Cadre réglementaire et zones de risque

Le problème n'est pas que l'ISA 315 serait muette sur les crypto-actifs. Le problème est que l'architecture de portefeuilles d'un client crypto est souvent une usine à gaz. Six adresses publiques, trois wallets matériels, deux comptes sur plateformes centralisées, un contrat de staking, et aucune cartographie à jour. ISA 315.13 demande de comprendre l'entité et son environnement. Vous commencez par reconstruire ce qui aurait dû exister dès la planification.

Classification comptable et conséquences sur l'audit

Chez nos clients, les crypto-actifs tombent presque toujours sous IAS 38 (Immobilisations incorporelles) ou IAS 2 (Stocks) selon l'usage. Le choix détermine les risques prioritaires.

Pour les entités qui détiennent à long terme, IAS 38 au coût historique simplifie l'audit initial. Si le modèle de réévaluation est retenu, ISA 540.08 s'active et les tests de dépréciation IAS 36 prennent le dessus.

Pour les entités qui négocient activement, IAS 2 s'applique avec évaluation à la juste valeur moins coûts de vente. L'estimation devient complexe. ISA 540.13 exige d'apprécier si la direction dispose de l'expertise nécessaire, et c'est rarement évident à trancher.

Environnement de contrôle informatique

ISA 315.26 demande d'évaluer les contrôles informatiques généraux. Pour les crypto-actifs, cela recouvre les contrôles d'accès aux portefeuilles (cold storage versus hot storage), la ségrégation des fonctions entre initiation et enregistrement des transactions, les sauvegardes et procédures de récupération des clés privées, et la surveillance des sorties non autorisées. L'absence de contrôles efficaces peut constituer une déficience significative au sens de ISA 265.

Identification des risques selon ISA 315

ISA 315.25 impose d'identifier les risques d'anomalies significatives au niveau des assertions. Les crypto-actifs dessinent des profils qu'un CAC habitué aux actifs financiers classiques ne reconnaît pas immédiatement.

Existence : l'assertion qui tue

La détention d'une clé privée vaut propriété. Un collaborateur avec accès au hot storage transfère les actifs en trente secondes, vers n'importe quelle adresse, sans contrôle dual. C'est le domaine où personne n'est à l'aise. Le senior ne connaît pas la blockchain. L'associé ne la connaît pas non plus. Le dossier sort pourtant.

Les facteurs aggravants se répètent d'un dossier à l'autre : portefeuilles multi-signatures mal paramétrés, clés privées stockées sur machines connectées, fonctions de garde et de transaction exercées par la même personne. La réponse ISA 330 est mécanique : corroboration étendue, confirmation directe sur la blockchain, réconciliation complète des mouvements.

Évaluation

Le risque varie selon la méthode comptable retenue. Au coût historique, il se concentre sur la dépréciation. À la juste valeur, la volatilité et la liquidité fragmentée créent une incertitude d'estimation que ISA 540.A78 vous demande de documenter. Les plateformes affichent des écarts de prix réels sur les actifs moins liquides, et prendre naïvement le cours d'une seule source est le genre de raccourci qui rend le dossier trop léger en revue de qualité.

Exhaustivité

Les entités répartissent leurs avoirs sur plusieurs adresses pour des raisons de sécurité. Le risque d'omission, involontaire ou non, est réel. Certains crypto-actifs génèrent automatiquement du revenu (staking, yield farming). Nous voyons régulièrement ces flux oubliés de la comptabilisation, avec une régularisation d'ouverture en fin de mission qui n'arrange personne.

Procédures de corroboration sur l'existence et l'évaluation

ISA 330.08 exige que les procédures soient rattachées aux risques identifiés. Tester la propriété d'une clé privée n'est pas un exercice de conformité. C'est un pari technique, et il faut le reconnaître comme tel avant d'ouvrir la section.

Confirmation de l'existence sur la blockchain

Obtenez auprès de la direction la liste complète des adresses publiques. Vérifiez chaque solde directement sur l'explorateur de chaîne approprié (Etherscan pour Ethereum, mempool.space ou Blockchain.com pour Bitcoin). Conservez l'horodatage.

Pour la documentation, une capture d'écran seule est fragile. Utilisez les API des explorateurs pour obtenir des exports JSON datés, et archivez-les dans le dossier électronique. Vérifiez aussi que vous consultez la bonne chaîne, en particulier pour les cryptomonnaies qui ont subi un fork (Bitcoin Cash, Ethereum Classic).

Tests de propriété des clés privées

Posséder une adresse ne prouve pas le contrôle de la clé privée correspondante. Trois approches existent.

La signature de message demande à la direction de signer un message spécifique avec la clé privée. La signature est vérifiable publiquement sans révéler la clé. Simple, peu coûteux, concluant sur le contrôle au moment du test.

La transaction de test consiste à demander un transfert symbolique (0,001 ETH par exemple) vers une adresse que vous spécifiez, suivi d'un retour immédiat. Coûteux, mais définitif.

L'attestation tiers s'applique aux actifs détenus chez un dépositaire qualifié. Vous obtenez alors une confirmation externe au titre de ISA 505.

Évaluation et dépréciation

Pour la juste valeur, utilisez plusieurs sources de prix et documentez les écarts. CoinMarketCap, CoinGecko et les API des principales plateformes fournissent des séries historiques exploitables.

Pour les tests de dépréciation IAS 36, comparez le cours de clôture au coût d'acquisition. Si la baisse est marquée, appréciez sa durabilité selon les critères IAS 36.11. Pour les positions importantes, vérifiez que les volumes quotidiens permettraient une sortie sans impact majeur sur le prix.

Exemple pratique

Contexte : Fintech Solutions S.A.S.

Fintech Solutions S.A.S., société de services financiers lyonnaise, détient au 31 décembre 2024 un portefeuille crypto de 12,4 M€. La société investit en Bitcoin (8,1 M€) et Ethereum (4,3 M€) au titre de la diversification de trésorerie.

La structure de détention se répartit entre 60 % en cold storage (coffres-forts physiques), 30 % sur Binance Institutional, 10 % sur Kraken Pro. Comptabilisation en immobilisations incorporelles selon IAS 38, au coût historique.

Procédures appliquées

Inventaire des portefeuilles. Obtention de la liste complète des adresses publiques et des comptes sur plateformes, signée par le directeur financier. Documentation : tableau récapitulatif avec adresses, plateformes, soldes au 31/12.

Confirmation directe sur blockchain. Vérification des soldes Bitcoin sur mempool.space et Ethereum sur Etherscan au 31 décembre à 23h59 UTC. Documentation : export JSON des API, horodaté.

Test du contrôle des clés privées. Pour les portefeuilles en cold storage (7,44 M€), demande de signature du message « Audit Fintech Solutions 2024-12-31 ». Documentation : message signé, vérification de signature via outil public, preuve de validité.

Confirmations externes. Demandes envoyées à Binance Institutional et Kraken Pro selon ISA 505. Documentation : réponses directes des plateformes, réconciliation avec relevés internes.

Tests de dépréciation. Bitcoin acquis à 52 000 € en moyenne, cours de clôture 41 000 €. Test déclenché. Documentation : analyse de tendance de marché, appréciation de la durabilité de la baisse selon IAS 36.

Les procédures ont confirmé l'existence de 12,4 M€ d'actifs numériques et identifié une dépréciation de 1,7 M€ sur Bitcoin à comptabiliser. Le contrôle des clés privées est effectif, les plateformes ont confirmé les soldes, et la documentation satisfait ISA 230.

Liste de contrôle pratique

1. Obtenez l'inventaire complet des adresses et comptes sur plateformes, signé par la direction avec date d'arrêté. 2. Vérifiez l'existence sur la blockchain en consultant directement les explorateurs pour chaque adresse. 3. Testez le contrôle des clés privées par signature de message ou transaction de test pour les montants significatifs. 4. Envoyez des confirmations externes à tous les dépositaires et plateformes selon ISA 505.08. 5. Documentez les contrôles informatiques : accès aux portefeuilles, ségrégation des tâches, sauvegarde des clés. 6. Appréciez les risques de cybersécurité et leur effet possible sur l'existence des actifs selon ISA 315.A130. 7. Conservez les exports bruts issus des API blockchain, pas seulement les captures d'écran. 8. Documentez le jugement sur la durabilité des baisses de cours au sens de IAS 36.11.

Erreurs courantes

Contenu connexe

- Calculateur de matérialité : seuils de signification pour vos tests sur crypto-actifs - Guide ISA 540 : estimations comptables : principes d'audit des justes valeurs appliqués aux actifs numériques - Contrôles informatiques ISA 315 : environnements de contrôle numériques

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.