Table des matières

1. Exigences de base de l'ISA 315 2. Les cinq éléments à documenter 3. Exemple pratique complet 4. Checklist de documentation 5. Erreurs courantes 6. Contenu connexe

Exigences de base de l'ISA 315

L'ISA 315.18 oblige l'auditeur à acquérir une compréhension des contrôles internes pertinents pour l'audit. Cela ne vise pas tous les contrôles de l'entité. Seuls ceux qui se rattachent aux risques d'anomalie significative identifiés entrent dans le périmètre.

L'ISA 315.19 précise que cette compréhension doit couvrir la conception du contrôle et sa mise en place. La conception répond à la question : ce contrôle peut-il prévenir, détecter ou corriger des anomalies significatives ? La mise en place répond à : ce contrôle existe-t-il réellement et fonctionne-t-il comme décrit ?

Pourquoi ces exigences existent

Les contrôles internes influencent directement l'évaluation des risques et la nature des procédures d'audit complémentaires. Un contrôle bien conçu et correctement mis en place permet de réduire l'étendue des tests de détail. Un contrôle défaillant augmente le risque résiduel.

Sans documentation appropriée, nous ne pouvons pas démontrer que la stratégie d'audit s'appuie sur une compréhension suffisante des contrôles. L'ISA 315.32 exige de documenter cette compréhension pour permettre à un confrère de reprendre le dossier et d'en suivre le raisonnement.

Les cinq éléments à documenter

Chaque contrôle pertinent nécessite une documentation en cinq parties selon l'ISA 315 :

1. Description du contrôle

Décrivez ce que fait le contrôle, qui l'exécute, quand et comment. Une description générale du type "contrôle d'approbation des achats" ne suffit pas. L'ISA 315.A95 précise que la description doit permettre de comprendre comment le contrôle répond au risque identifié.

Exemple approprié : "Le directeur financier approuve électroniquement tous les bons de commande supérieurs à 5 000 EUR dans le système SAP avant transmission au fournisseur. L'approbation nécessite la saisie de son code personnel et génère automatiquement un email de notification."

2. Lien avec les risques et assertions

Documentez explicitement le lien entre le contrôle et les risques d'anomalie significative au niveau des assertions. L'ISA 315.25 exige d'évaluer si les contrôles sont conçus efficacement pour répondre aux risques évalués.

Cette section établit pourquoi ce contrôle particulier mérite d'être testé. Si le lien ne peut pas être exprimé clairement, le contrôle n'est probablement pas pertinent pour l'audit.

3. Test de conception

Décrivez les procédures mises en œuvre pour déterminer si le contrôle est approprié pour traiter le risque identifié. L'ISA 315.A105 suggère l'enquête auprès du personnel de l'entité, l'observation de l'application du contrôle et l'inspection de documents.

Documentez la méthode utilisée et la conclusion. "Contrôle bien conçu" n'est pas une conclusion suffisante selon l'ISA 315.A106.

4. Test de mise en place

Documentez les procédures permettant de vérifier que le contrôle a été mis en place. L'ISA 315.A107 précise que cela revient à déterminer si le contrôle existe et si l'entité l'utilise.

Cette section doit démontrer que le contrôle décrit fonctionne réellement dans l'environnement de l'entité, pas seulement sur le papier.

5. Conclusion et impact sur l'approche d'audit

Concluez sur l'efficacité de la conception et de la mise en place. Documentez l'impact sur l'évaluation du risque de contrôle et sur les procédures d'audit complémentaires.

Cette conclusion alimente directement la stratégie d'audit pour les assertions concernées.

Exemple pratique complet

Contexte : Dubois Informatique S.A.S., société de services informatiques avec 15 M EUR de chiffre d'affaires, basée à Lyon. Risque identifié : reconnaissance prématurée du chiffre d'affaires sur les contrats de maintenance (assertion : séparation des exercices).

Étape 1 : Description du contrôle

Le contrôleur de gestion révise mensuellement tous les contrats de maintenance pour vérifier l'étalement du chiffre d'affaires. Il utilise un tableur Excel qui liste chaque contrat avec les dates de début/fin et calcule automatiquement la répartition mensuelle. Tout écart supérieur à 1 000 EUR nécessite une justification écrite du responsable commercial avant comptabilisation.

Documentation : Copie d'écran du tableur et procédure écrite du processus de révision.

Étape 2 : Lien risque-assertion

Ce contrôle répond directement au risque de reconnaissance prématurée identifié lors de l'évaluation des risques. Il vise l'assertion "séparation des exercices" pour les produits sur contrats pluriannuels. Sans ce contrôle, la pression commerciale pourrait conduire à comptabiliser l'intégralité de contrats de 12 mois dès la signature.

Documentation : Référence au risque RAS-03 dans la matrice d'évaluation des risques.

Étape 3 : Test de conception

Procédures mises en œuvre : entretien avec le contrôleur de gestion, inspection de trois tableurs de révision mensuelle, examen de la procédure écrite.

Conclusion : Le contrôle est approprié. La révision systématique avec seuil d'investigation peut détecter les erreurs de répartition. Le calcul automatisé réduit le risque d'erreur manuelle.

Documentation : Notes d'entretien du 15 mars 2024 et copie des tableurs janvier-mars 2024.

Étape 4 : Test de mise en place

Procédures : vérification de l'exécution de la révision pour les trois derniers mois, contrôle de la cohérence entre les tableurs et les écritures comptables, confirmation avec la comptable que les justifications d'écarts sont systématiquement demandées.

Conclusion : Le contrôle fonctionne comme décrit. Les trois révisions mensuelles consultées montrent une application cohérente. Un écart de 1 200 EUR identifié en février a fait l'objet d'une justification documentée.

Documentation : Tableurs consultés, justification d'écart de février, confirmation verbale de la comptable.

Étape 5 : Conclusion et impact

Le contrôle est efficacement conçu et mis en place. Nous pouvons nous appuyer sur ce contrôle pour réduire l'étendue des tests de détail sur la séparation des exercices. Au lieu de tester tous les contrats en cours, nous testerons un échantillon réduit concentré sur les contrats signés en fin d'exercice.

Documentation : Mise à jour du programme d'audit pour l'assertion "séparation des exercices", réduction de la taille d'échantillon de 25 à 15 éléments.

Cette documentation satisfait aux exigences de l'ISA 315.32 et permet à un confrère reviewer de reprendre notre raisonnement.

Checklist de documentation pratique

Utilisez cette checklist sur votre mission actuelle :

1. Description complète : Qui fait quoi, quand, comment et avec quels outils (ISA 315.A95). Évitez les descriptions génériques tirées du manuel qualité. Je l'avoue, sur mes premières missions, je recopiais le manuel du client sans regarder ce que les collaborateurs faisaient vraiment au quotidien. C'est la première chose qu'un reviewer repère.

2. Lien explicite : Chaque contrôle documenté se rattache à un risque d'anomalie significative spécifique au niveau des assertions (ISA 315.25). Si le lien n'est pas évident, le contrôle n'est peut-être pas pertinent.

3. Tests réalisés : Procédures de conception et de mise en place décrites avec les éléments probants consultés (ISA 315.A105-A107). "Entretien satisfaisant" n'est pas une description suffisante.

4. Conclusions explicites : Chaque contrôle fait l'objet d'une conclusion claire sur sa conception et sa mise en place (ISA 315.A106). Ces conclusions alimentent l'évaluation du risque de contrôle.

5. Impact sur l'audit : Documentez comment ces contrôles influencent les procédures complémentaires (ISA 315.28). Cette section démontre que la compréhension des contrôles se traduit par une stratégie d'audit adaptée.

6. Traçabilité : Un reviewer peut suivre le lien entre risques identifiés, contrôles testés et approche d'audit retenue (ISA 315.32). C'est ce qui permet au classeur de passer une revue H2A ou H3C sans rebond.

Erreurs courantes

Contenu connexe

- Évaluation des risques d'anomalie significative - Comprendre le lien entre identification des risques et sélection des contrôles - Matrice de contrôles internes - Modèle de documentation structurée pour l'ISA 315 - Stratégie d'audit et plan d'audit - Comment intégrer la compréhension des contrôles dans la planification

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.