L'ISA 330.6 exige que l'auditeur conçoive et mette en œuvre des procédures d'audit complémentaires dont la nature, le calendrier et l'étendue sont fondés sur l'évaluation des risques d'anomalies significatives au niveau des assertions et qui y répondent. Ce n'est pas une suggestion.
Table des matières
- Le framework de construction d'un programme
- Étape 1 : Cartographier vos risques identifiés
- Étape 2 : Concevoir les procédures de corroboration
- Étape 3 : Définir la nature, le calendrier et l'étendue
- Étape 4 : Documenter la stratégie globale
- Exemple pratique complet
- Checklist de validation
- Erreurs courantes
- Contenus associés
Le framework de construction d'un programme
L'ISA 330.6 exige que l'auditeur conçoive et mette en œuvre des procédures d'audit complémentaires dont la nature, le calendrier et l'étendue sont fondés sur l'évaluation des risques d'anomalies significatives au niveau des assertions et qui y répondent. Ce n'est pas une suggestion. C'est une exigence séquentielle avec quatre composantes distinctes.
Chaque composante doit être documentée. L'ISA 330.28 exige la documentation du lien entre les procédures et l'évaluation des risques. Pas de raccourcis. Si un risque significatif a été identifié en phase de planification, il doit apparaître dans le programme avec une procédure spécifiquement conçue pour y répondre.
La construction commence toujours par l'évaluation des risques ISA 315. Vous ne pouvez pas concevoir un programme efficace sans connaître exactement quels risques vous ciblez. L'ISA 330.7 précise que les procédures d'audit complémentaires doivent inclure des procédures de corroboration pour chaque catégorie d'opérations, solde de compte et information fournie dans les états financiers significatifs.
Étape 1 : Cartographier vos risques identifiés
Votre point de départ est le document d'évaluation des risques ISA 315. Chaque risque identifié à un niveau supérieur au risque faible doit figurer dans votre matrice de risques. L'ISA 315.25 exige d'identifier et d'évaluer les risques au niveau des assertions pour chaque catégorie d'opérations, solde de compte et information fournie significatifs.
Créez un tableau avec quatre colonnes : catégorie d'opérations/solde de compte, assertion concernée, description du risque, et niveau de risque évalué. Chaque ligne de ce tableau générera au moins une procédure dans votre programme final.
Pour les risques significatifs (ISA 315.4(e)), ajoutez une cinquième colonne marquant leur statut spécial. L'ISA 330.21 impose des procédures de corroboration spécifiquement conçues pour répondre à ces risques, indépendamment de l'efficacité supposée des contrôles.
Vérifiez que votre cartographie couvre tous les soldes et catégories significatifs. L'ISA 330.18 exige des procédures de corroboration pour chaque catégorie d'opérations, solde de compte et information fournie significatifs, quel que soit l'évaluation des risques. Si les ventes représentent 40 % du chiffre d'affaires, elles doivent figurer dans votre matrice même si aucun risque spécifique n'a été identifié.
Étape 2 : Concevoir les procédures de corroboration
Chaque risque cartographié nécessite une réponse procédurale spécifique. L'ISA 330.A16 précise que la nature des procédures est l'aspect le plus important. Une procédure générique ("réviser les écritures de vente") ne répond à aucun risque précis.
Commencez par l'assertion affectée. Si le risque concerne l'assertion d'existence des créances clients, votre procédure doit produire des éléments probants sur l'existence. Les demandes de confirmation externes (ISA 505) s'attaquent directement à l'existence. L'examen des encaissements postérieurs aussi. L'analyse de l'évolution du DSO ne le fait pas.
Pour les risques significatifs, l'ISA 330.21 exige que les procédures soient spécifiquement adaptées à ces risques. Vous ne pouvez pas utiliser une procédure analytique générale pour répondre à un risque significatif de comptabilisation des revenus. Il faut des procédures détaillées : examen des contrats, test des écritures d'ajustement, validation des critères de reconnaissance selon IFRS 15.
Documentez le lien explicite entre chaque procédure et le risque qu'elle vise. L'ISA 330.28(a) l'exige. "Circulariser les clients" ne suffit pas. "Circulariser les clients pour obtenir des éléments probants sur l'existence des créances au 31 décembre (risque ISA 315 : surévaluation des créances due à la pression sur les résultats de fin d'exercice)" répond à l'exigence.
Étape 3 : Définir la nature, le calendrier et l'étendue
Chaque procédure a trois dimensions que vous devez déterminer explicitement selon l'ISA 330.A16 à A30.
Nature signifie le type de procédure. Inspection de documents, observation, demande d'informations, recalcul, réexécution, procédure analytique de corroboration. Choisissez selon l'assertion et la fiabilité des éléments probants requis. L'ISA 500 établit la hiérarchie : les éléments externes sont plus fiables que les internes, l'inspection directe plus fiable que les demandes d'informations.
Calendrier détermine quand vous exécutez la procédure. L'ISA 330.A26 permet d'effectuer des procédures avant la fin d'exercice si vous couvrez la période intermédiaire restante. Pour les risques significatifs, l'ISA 330.22 impose généralement de tester au plus près de la fin d'exercice.
Étendue fixe le volume de tests. Plus le risque évalué est élevé, plus l'étendue doit être importante (ISA 330.A17). Mais l'étendue dépend aussi de l'efficacité de la procédure. Une confirmation externe ciblée peut être plus probante qu'un échantillonnage étendu de documents internes.
Documentez votre raisonnement pour chaque dimension. Pourquoi 25 confirmations et pas 15 ? Pourquoi tester au 15 décembre et pas au 31 ? L'ISA 330.28(b) exige cette documentation.
Étape 4 : Documenter la stratégie globale
Votre programme n'est pas seulement une liste de procédures. C'est une stratégie coordonnée pour obtenir une assurance suffisante et appropriée selon l'ISA 330.6.
Rédigez un mémorandum de stratégie qui explique votre approche globale. Comment les procédures interagissent-elles ? Certaines procédures dépendent-elles des résultats d'autres ? Votre stratégie privilégie-t-elle les tests de détail ou les procédures analytiques de corroboration ?
L'ISA 330.5 impose de déterminer si des tests de l'efficacité du fonctionnement des contrôles sont nécessaires. Si vous comptez sur les contrôles pour réduire l'étendue des procédures de corroboration, documentez cette dépendance et les tests correspondants.
Incluez votre évaluation de la suffisance globale. L'ISA 330.26 exige que l'auditeur évalue si les procédures d'audit fournissent une assurance raisonnable. Cette évaluation doit être documentée avant l'exécution, pas après.
Exemple pratique complet
> Contexte : Dubois Manufacturing S.A.S., entreprise familiale de 85 salariés spécialisée dans les équipements industriels. Chiffre d'affaires 2024 : 24 M€. Première mission d'audit. Matérialité fixée à 240 000 €.
> Risques identifiés lors de l'évaluation ISA 315 :
1. Risque significatif sur la reconnaissance du chiffre d'affaires (assertion : réalité) - contrats clients complexes avec composantes multiples
2. Risque élevé sur l'évaluation des stocks (assertion : évaluation) - méthode de coûts standards non révisée depuis 2022
3. Risque modéré sur les provisions pour garanties (assertion : exhaustivité) - historique de réclamations clients
> Programme conçu :
> 1. Chiffre d'affaires (risque significatif)
Nature : Inspection détaillée de 20 contrats représentant 60% du CA, analyse des critères IFRS 15
Calendrier : Tests effectués en janvier 2025 sur les ventes de novembre-décembre 2024
Étendue : 100% des contrats > 500 000€, échantillonnage statistique pour le reste
Documentation : "Examiner chaque obligation de performance, critères de transfert du contrôle, documentation du timing de reconnaissance selon IFRS 15.31-38"
> 2. Stocks
Nature : Réexécution du calcul des coûts standards + test de dépréciation par comparaison aux prix de vente nets
Calendrier : Inventaire physique au 31/12, tests de valorisation en janvier
Étendue : 15 références représentant 70% de la valeur stock
Documentation : "Revalider les taux horaires, coûts matières et frais généraux intégrés aux standards. Comparer valeur nette comptable vs prix de vente moins coûts estimés de finalisation"
> 3. Provisions garanties
Nature : Analyse analytique des taux historiques de réclamations + inspection de la correspondance clients récente
Calendrier : Revue sur 36 mois glissants, mise à jour au 31/12
Étendue : Exhaustif sur les réclamations > 10 000€, échantillonnage pour le reste
Documentation : "Analyser les tendances de réclamations par famille de produits, valider le calcul actuariel des provisions selon IAS 37"
> Stratégie globale : Approche mixte privilégiant les tests de détail pour les risques significatifs, procédures analytiques de corroboration pour les autres postes. Aucune dépendance sur les contrôles internes compte tenu de la taille de l'entité et de la première mission.
Checklist de validation
- Chaque risque ISA 315 a-t-il sa procédure correspondante ? Vérifiez ligne par ligne votre matrice de risques.
- Les risques significatifs ont-ils des procédures spécifiquement conçues ? L'ISA 330.21 interdit les procédures génériques.
- Chaque catégorie/solde significatif est-il couvert ? L'ISA 330.18 l'exige indépendamment des risques identifiés.
- Le lien risque-procédure est-il documenté explicitement ? L'ISA 330.28(a) contrôle ce point en priorité.
- Nature, calendrier et étendue sont-ils justifiés pour chaque procédure ? Documentez votre raisonnement.
- La stratégie globale est-elle cohérente ? Vos procédures se renforcent-elles mutuellement pour une assurance suffisante ?
Erreurs courantes
• Copier-coller d'un programme existant sans adaptation aux risques spécifiques de la mission. Chaque programme doit être sur mesure selon l'évaluation ISA 315.
• Procédures génériques pour les risques significatifs. L'ISA 330.21 exige des procédures spécifiquement conçues, pas des tests standards.
• Documentation insuffisante du lien entre risques et procédures. Les contrôleurs qualité vérifient systématiquement cette correspondance selon l'ISA 330.28(a).
• Étendue de test non ajustée aux résultats intermédiaires. L'ISA 330.A23 prévoit que l'auditeur ajuste la nature, le calendrier ou l'étendue des procédures si les éléments probants obtenus en cours de mission modifient l'évaluation du risque. Un programme figé ne répond plus aux risques réels si le contexte évolue.
Contenus associés
- Glossaire : Procédures de corroboration - Définition complète et applications pratiques selon l'ISA 330
- Calculateur de taille d'échantillon - Déterminez l'étendue optimale de vos procédures de tests de détail
- Guide : Évaluation des risques ISA 315 - La base indispensable avant de construire votre programme