Sommaire

- Pourquoi la discussion échoue, et ce que la norme exige réellement - Qui participe, et quand tenir la réunion - Les cinq zones de questionnement - Exemple pratique : Mercure Distribution S.A.S. - Documentation selon l'ISA 240.30 - Désaccord entre associés : le cas du "management override" - Liste de contrôle pratique

Pourquoi la discussion échoue, et ce que la norme exige réellement

Commençons par l'échec. Dans les dossiers que nous voyons, la discussion ISA 240.29 est budgétée à la ligne "team discussion", souvent 30 à 45 minutes, parfois 0,5 h par collaborateur. Les participants arrivent avec leur café. Le chef de mission ouvre le modèle Word de l'an dernier. Quelqu'un lit à voix haute les trois risques précédents. Personne ne les conteste. La réunion se termine avant que le café ait refroidi.

Ce n'est pas un accident. C'est une incitation structurelle. Soulever un risque réellement spécifique, cette année, sur ce mandat, force l'équipe à concevoir une procédure spécifique. Cette procédure n'était pas dans le forfait. Elle coûte du temps que personne n'a prévu. Le silence de la réunion n'est pas un oubli : c'est une réponse rationnelle à un budget contraint.

L'ISA 240.29 dit autre chose. La norme exige que l'associé responsable de la mission et les membres clés de l'équipe discutent de la vulnérabilité de l'entité aux anomalies significatives résultant de fraudes, y compris les facteurs de risque propres à l'entité et la façon dont les réponses d'audit vont s'adapter. L'ISA 240.A11 ajoute que cette discussion peut être combinée avec celle de l'ISA 315, à condition de documenter séparément les conclusions sur la fraude.

Ce que ça signifie en pratique : la norme n'accepte pas un procès-verbal recyclé de l'exercice précédent. Un risque reconduit tel quel sans analyse nouvelle n'est pas un risque identifié. C'est un risque copié. L'ISA 240.A11 le formule en creux quand elle parle d'"entity-specific factors" : si les facteurs sont les mêmes chaque année, soit l'entité est strictement identique (ce qui n'arrive pas), soit la discussion n'a pas eu lieu.

Le contre-argument existe, et nous l'entendons régulièrement. "Sur une PME stable, avec la même direction, le même secteur, les mêmes contrôles, les risques de fraude sont effectivement stables." C'est à moitié vrai. Le profil structurel de risque peut être stable. Les événements qui activent un risque ne le sont jamais : une renégociation de covenant, un départ de responsable comptable, une acquisition, un changement de politique commerciale en Q4. Le brainstorming n'a pas à réinventer le profil chaque année. Il doit détecter ce qui a changé dans l'environnement de cette entité depuis douze mois. Si rien n'a changé, dites-le, documentez-le, et reprenez. Mais "rien n'a changé" est une conclusion, pas un point de départ.

Qui participe, et quand tenir la réunion

L'ISA 240.29 parle d'"associé responsable et membres clés de l'équipe". Cette phrase a produit plus de confusion qu'elle n'aurait dû. Le critère pratique est celui-ci : est dans la salle toute personne qui prendra une décision d'audit significative sur ce mandat.

Pour la plupart des missions, cela couvre :

- l'associé signataire (et l'associé EQR si le mandat est EIP ou coté) - le directeur de mission ou manager - le chef de mission senior - le spécialiste IT si des contrôles automatisés matériels interviennent dans le périmètre - l'expert sectoriel, s'il y en a un, avant qu'il parte sur ses travaux

Le junior qui teste les rapprochements bancaires n'a pas besoin d'y être, sauf si la zone de test contient un risque de fraude inhabituel qui requiert son input. Le cliché du "toute l'équipe autour de la table" n'est pas ce que la norme demande et c'est du tampon s'il sert à gonfler la ligne de temps.

Pour le moment : après la mise à jour de la compréhension de l'entité (ISA 315) et avant la finalisation de la stratégie d'audit (ISA 300). Vous avez besoin d'avoir relu les états financiers intermédiaires, d'avoir parlé à la direction sur les événements de l'exercice, et d'avoir repassé les points d'attention de la revue EQR précédente. Sans ces trois éléments, la discussion est spéculative. Avec eux, elle devient concrète.

Ce qui se passe vraiment sur ce point : beaucoup d'équipes combinent la réunion ISA 240.29 et la réunion ISA 315 parce que les collaborateurs sont dispersés sur plusieurs mandats en période de bourre et qu'on ne les a qu'une fois. C'est acceptable, et l'ISA 240.A11 l'autorise. Ce qui ne l'est pas, c'est de fusionner les deux conclusions dans un seul paragraphe qui traite du risque de fraude en une ligne. Les deux sections doivent rester séparables dans la documentation.

Les cinq zones de questionnement

Une discussion utile traite cinq zones, dans cet ordre. Chacune nourrit la suivante.

Zone 1 : facteurs de risque spécifiques à l'entité

L'ISA 240.A1 liste les trois catégories classiques : pressions, opportunités, attitudes/rationalisations. Le piège est de cocher les cases du tableau sans interroger le client réel.

Les questions qui doivent être posées à voix haute, par quelqu'un, dans la salle :

- Quelles pressions la direction affronte-t-elle cette année ? Covenants serrés ? Bonus indexés sur l'EBITDA ? Tour de table en préparation ? Liquidités tendues ? La question n'est pas "la direction a-t-elle des pressions" (réponse : toujours oui) mais "lesquelles, à quel montant, avec quelle latitude comptable pour les absorber". - Où les contrôles sont-ils les plus faibles, en 2025, pas en 2024 ? Une démission de responsable comptable en septembre change le profil. Un nouvel ERP déployé en juillet change le profil. Si rien n'a changé, la réponse est "rien n'a changé" et vous passez. - La direction a-t-elle, par le passé, poussé une position comptable agressive ? Pas "est-elle honnête" (question moraliste inutile) mais "a-t-elle, dans notre expérience sur ce mandat, contesté un ajustement d'écarts d'inventaire, négocié une dépréciation à la baisse, repoussé une provision" ?

Zone 2 : zones des états financiers les plus exposées

L'ISA 240.A29 oriente vers la comptabilisation des produits, les estimations de la direction, les parties liées. La norme ne dit pas que ces zones sont toujours risquées. Elle dit qu'elles le sont souvent, et que vous devez justifier si vous concluez qu'elles ne le sont pas ici.

Pour ce client, cette année :

- quels soldes concentrent le plus de jugement de la direction, et à quel montant par rapport au seuil - quelles transactions de fin d'exercice pourraient déplacer un ratio clé si elles étaient retimées

Zone 3 : détournement d'actifs

L'ISA 240.A33 couvre cette partie, et c'est souvent la section la plus mal traitée. Les équipes traitent le détournement comme un sujet de petite entreprise ou de caisse. Or un détournement peut porter sur des actifs d'inventaire, des virements fractionnés, des remboursements de notes de frais, des avoirs clients fictifs.

Questions utiles : où les liquidités sont-elles les plus exposées ? Quels actifs non monétaires circulent sans inventaire physique fréquent ? Qui a accès simultané aux actifs et aux écritures ?

Zone 4 : réponses d'audit spécifiques

C'est là que la plupart des discussions s'effondrent. Les équipes listent des procédures standard en face de risques non standard, et le dossier signale immédiatement le décalage. Pour chaque risque des zones 1 à 3, trois questions doivent être tranchées : quelle procédure va détecter ce risque précis, en quoi cette procédure diffère de ce qu'on aurait fait sans l'identification du risque, et quel niveau de scepticisme professionnel est attendu sur cette zone.

L'ISA 240.A38 à A41 fournit des exemples. Ce sont des exemples, pas un menu.

Zone 5 : communication et supervision

La discussion doit couvrir deux points : comment l'équipe remonte les signaux faibles pendant la mission, et qui revoit les écritures de journal et les ajustements de dernière minute. C'est souvent la partie que la H2A cite dans ses constats : écritures manuelles non revues, remontées non formalisées, absence de trace de qui a vu quoi.

Exemple pratique : Mercure Distribution S.A.S.

Contexte. Mercure Distribution S.A.S., distributeur automobile, 45 M€ de CA, 85 collaborateurs, covenant DSCR à 1,25x, ratio actuel 1,28x. L'équipe : Marie Dubois (associée signataire), Paul Martin (directeur de mission), Sophie Laurent (chef de mission senior), Julien Sow (IT auditor, présent pour la partie systèmes).

Réunion tenue le 15 octobre 2025, 90 minutes, combinée avec la session ISA 315 (sections séparables dans le papier de travail PT-240-01).

Zone 1 (facteurs de risque). L'équipe identifie la pression du covenant : une baisse d'EBITDA de 50 k€ suffit à le faire sauter. C'est le risque "évident", repris de 2024. Sophie Laurent pousse plus loin : en 2025, deux éléments ont changé. Le responsable comptable a démissionné en juin, son remplaçant est en poste depuis août. Et le concessionnaire a modifié sa politique de "véhicules en dépôt" chez les revendeurs tiers au T3.

Zone 2 et complication. Pendant la zone 2, Paul Martin soulève la comptabilisation des produits. Dans le dossier 2024, le risque "revenu comptabilisé prématurément" figurait, noté SALY, avec la procédure standard de cutoff (test sur 25 livraisons de décembre). Sophie Laurent intervient : elle a demandé à la direction un extract des conditions commerciales de novembre et décembre 2025. Résultat, la politique a été assouplie au T4. Les véhicules peuvent désormais être facturés à la sortie de l'entrepôt central, même si le transfert de propriété au concessionnaire final intervient sur janvier.

Le risque "revenu comptabilisé prématurément" n'est plus un risque SALY à traiter par un test de cutoff standard. Il devient un risque spécifique qui exige une procédure spécifique : confirmation directe auprès de 100 % des concessionnaires du statut des véhicules facturés en décembre, recalcul de la marge sur les ventes T4 vs T1-T3, et revue des écritures de correction passées en janvier 2026.

Ce qui se passe vraiment ici : le "risque reconduit tel quel" se désagrège en trois minutes dès qu'un membre de l'équipe ouvre un document extérieur au dossier. La réunion ISA 240.29 ne fonctionne que si quelqu'un arrive avec un élément que les autres n'ont pas vu.

Zone 3 (détournement). Stock de 280 véhicules sur 3 sites, contrôles physiques limités à un inventaire tournant. Virements autorisés et comptabilisés par le même responsable comptable pour les montants inférieurs à 10 k€. Risque maintenu, mais requalifié en "risque significatif" au sens de l'ISA 240.26.

Zone 4 (réponses d'audit). - Comptabilisation des produits : confirmation 100 % des concessionnaires, recalcul de marge T4 vs T1-T3, revue des OD de janvier 2026. Budget additionnel : 18 heures senior, 6 heures manager. - Provisions de garantie : comparaison aux taux sectoriels (données FFC), test de cohérence avec l'historique de retour, revue du calcul 2025 ligne par ligne. - Détournement d'actifs : confirmation directe de 100 % des virements > 5 k€ sur la période septembre-décembre 2025 (avant et après changement de responsable comptable), échantillonnage MUS sur les virements < 5 k€.

Zone 5 (communication). Sophie Laurent remonte directement à Paul Martin toute anomalie cutoff. Paul Martin revoit toutes les écritures de journal > 5 k€ et tous les OD passés après le 31/12. Écritures manuelles : export ERP complet, filtrage des écritures hors-cycle, revue signée en PT-240-05.

Conclusion. Risques identifiés : 1 risque significatif spécifique (revenu T4), 1 risque significatif reconduit mais requalifié (détournement d'actifs, périmètre élargi post-changement RC), 1 risque de jugement (provisions garantie). Procédures ajustées et budgétées en conséquence. Discussion documentée en PT-240-01, durée effective 90 minutes, décisions tracées avec horodatage.

Documentation selon l'ISA 240.30

L'ISA 240.30 exige la documentation des communications entre membres de l'équipe sur les risques de fraude. L'ISA 230 s'applique par-dessus : la documentation doit permettre à un auditeur expérimenté, qui n'a pas participé à la mission, de comprendre la nature, le calendrier et l'étendue de la discussion.

Contenu minimal :

- date, durée, lieu (ou mode si à distance) - participants (noms et rôles) - risques de fraude identifiés, spécifiques à l'entité - facteurs retenus comme significatifs, avec la raison - réponses d'audit prévues pour chaque risque, avec renvoi à la stratégie d'audit globale - écart par rapport à l'exercice précédent, s'il y en a un (et il y en a toujours un, sinon relire la section 1)

Ce que la norme n'exige pas : un verbatim de la discussion. Une liste des participants qui n'ont rien dit. Un procès-verbal en quinze pages. La sur-documentation est aussi un signal de faiblesse : elle sert souvent à masquer l'absence de contenu substantiel.

Désaccord entre associés : le cas du "management override"

Un désaccord légitime existe entre praticiens sur le traitement du risque "management override of controls" de l'ISA 240.31. La norme le classe comme un risque présumé qui doit être traité sur chaque mission. Pas optionnel.

Position A (associé A). Parce que la norme le présume, les procédures spécifiques (tests d'écritures de journal manuelles, revue des estimations comptables pour biais, évaluation des transactions significatives hors de la normale) doivent être exécutées chaque année, intégralement, sur chaque mandat, sans possibilité de substitution. Sa raison : la présomption est non réfutable au niveau du risque (vous ne pouvez pas conclure qu'il n'existe pas), donc les procédures en découlent sans alternative.

Position B (associé B). La présomption porte sur le risque, pas sur les procédures. L'ISA 240.32 parle de "procédures que l'auditeur doit effectuer", mais leur étendue et leur nature sont ajustables selon le contexte de contrôle. Un ITGC robuste documenté (au sens SOC 1 ou ISAE 3402) sur un ERP correctement paramétré, combiné à un test substantif sur un échantillon réduit d'écritures manuelles, peut suffire dans certains mandats. Sa raison : appliquer la procédure standard sans ajustement sur un mandat où les contrôles informatiques sont testés ailleurs produit du travail redondant sans valeur probante additionnelle.

Dans notre expérience, les deux positions se défendent. Le H2A a cité dans plusieurs synthèses récentes des cas où la procédure standard avait été cochée sans test substantif réel des écritures : c'est l'usine à gaz qui ne produit rien. À l'inverse, sur un mandat où les ITGC ont été vraiment testés dans le cadre d'une ISAE 3402 parallèle, reprendre l'intégralité du programme standard est du tampon. La ligne de partage est la qualité du test ITGC alternatif, pas l'existence de la présomption.

Notre position : la procédure ISA 240.32 doit être exécutée dans sa substance chaque année. Son étendue peut être ajustée si et seulement si un travail de contrôle alternatif documenté (pas déclaré, documenté) couvre le même objectif.

Liste de contrôle pratique

Avant de clore la section ISA 240 du dossier :

1. Un risque nouveau au moins. Le dossier 2025 identifie-t-il au moins un facteur de risque de fraude qui n'apparaissait pas en 2024, ou explique-t-il pourquoi aucun nouveau facteur ne ressort ? 2. Participants réels. Les noms en PT-240-01 correspondent-ils aux personnes effectivement présentes ? (Un associé listé mais absent est un constat H2A classique.) 3. Procédures spécifiques. Chaque risque identifié a-t-il une procédure qui diffère de la procédure standard ? Si la procédure est strictement la même que sur un mandat comparable, justifier pourquoi. 4. Écritures manuelles. Le périmètre d'extraction est-il documenté (cycles inclus/exclus, filtres, seuils) et la justification du seuil est-elle autre chose qu'au doigt mouillé ? 5. Remontée. Le protocole de remontée des signaux faibles est-il nommé et daté, pas seulement mentionné ?

L'ISA 240.29 exige le brainstorming pour une raison que le texte de la norme ne dit pas explicitement : le jugement individuel de l'associé est précisément ce que la fraude exploite. Une discussion forcée plusieurs voix autour d'une table existe parce qu'un collaborateur voit souvent ce que l'associé ne veut pas nommer. Si votre réunion se termine avec les trois mêmes risques que l'an dernier, le mécanisme que la norme cherche à activer n'a pas fonctionné. Peu importe ce que dit le procès-verbal.

Contenu connexe

- Calculateur de seuil de signification - Calculez les seuils pour les tests de détail dans les zones à risque de fraude accru - Facteurs de risque de fraude - Guide complet des indicateurs ISA 240.A1 par catégorie - Kit d'évaluation du risque de fraude ISA 240 - Papiers de travail structurés pour documenter votre discussion et évaluation des risques

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.