Table des matières
- Le cadre réglementaire ISA 240 - Procédures d'audit spécifiques aux risques de fraude - Exemple pratique structuré - Checklist de réponse aux indicateurs - Erreurs fréquentes à éviter - Ressources connexes
Le cadre réglementaire isa 240
Ce que l'échec ressemble dans un dossier inspecté
Commençons par ce qui ne marche pas. Nous avons vu des dossiers où le commissaire aux comptes (CAC) identifie un risque significatif de fraude dans la note de planification, puis exécute les mêmes tests analytiques et les mêmes tests de détail qu'il aurait menés sans indicateur particulier. L'échantillon passe de 25 à 35 pièces. Le seuil ne bouge pas. La procédure reste prévisible, annoncée, reproductible d'une année sur l'autre. C'est ce que nous appelons entre nous « SALY avec de meilleurs narratifs » : le dossier raconte une histoire différente en tête de section, mais les papiers de travail sont ceux de l'an passé.
L'ISA 240.35 n'exige pas de refaire les mêmes tests en plus gros. Elle exige une réponse qui se distingue de la réponse aux risques d'anomalies non intentionnelles. Trois paramètres peuvent être modifiés. La nature des procédures (l'ISA 240.A38 évoque des techniques plus imprévisibles), le calendrier (tests inattendus, visites non annoncées), et l'étendue (échantillons élargis, périodes prolongées). Nous préférons travailler sur au moins deux leviers simultanément, parce qu'un seul paramètre modifié permet rarement de démontrer que la nature même de la procédure a changé.
En théorie, le CAC choisit les paramètres qu'il adapte en fonction du risque. En pratique, dans les dossiers que nous voyons, aucun des trois n'a bougé et seule la fiche de synthèse mentionne un « ajustement ciblé ». Le test que l'inspecteur applique est brutal : si vous retirez la mention du risque fraude du dossier, la procédure aurait-elle été la même ? Si la réponse est oui, la réponse à l'indicateur n'existe pas.
Les obligations de documentation selon l'ISA 240.44
L'ISA 240.44 exige une documentation qui dépasse les attentes générales de l'ISA 230. La consignation couvre les communications importantes avec la direction, les responsables de la gouvernance et les régulateurs concernant les sujets de fraude. Elle couvre aussi la nature, le calendrier et l'étendue des procédures mises en œuvre en réponse au risque significatif identifié.
La norme dit que les conclusions sur chaque risque identifié doivent être explicites. Ce qui se passe vraiment, c'est que les dossiers contiennent des formulations génériques du type « aucune anomalie significative résultant de fraude n'a été identifiée », sans lien avec les procédures exécutées. Nous considérons ce style de documentation comme le plus exposé en inspection, parce qu'il ne fait aucune différence entre un dossier où l'équipe a réellement cherché et un dossier où elle n'a rien fait de spécifique.
Procédures d'audit spécifiques aux risques de fraude
Adapter la nature des procédures
Le CAC qui découvre un indicateur de fraude en fin de mission a rarement le temps d'inventer une nouvelle procédure. Il reprend celle du dossier précédent. C'est humain, c'est dicté par le budget temps, et c'est exactement le motif que l'ISA 240.A37 dénonce. Les procédures prévisibles peuvent être anticipées et contournées par une direction qui sait manipuler ses comptes au doigt mouillé.
L'ISA 240.A38 liste des exemples concrets de modification. Remplacer l'observation d'inventaire annoncée par un comptage surprise. Substituer à la circularisation standard une demande sur mesure portant sur les conditions contractuelles particulières (remises rétroactives, clauses de retour, rabais de fin d'année). Augmenter la part des tests de détail au détriment des procédures analytiques. Sélectionner les échantillons selon des méthodes non prévisibles, tester des comptes qui ne le sont habituellement pas, intervenir sur plusieurs sites simultanément.
La norme dit que l'imprévisibilité est un outil d'audit. Ce qui se passe vraiment, c'est que l'imprévisibilité coûte du temps que le forfait ne prévoit pas, et c'est là que le dossier se creuse. Je l'avoue, même chez les cabinets que nous accompagnons, c'est la première chose qui saute quand le budget temps déborde.
Modifier le calendrier et l'étendue
Sur le papier, l'ISA 240.A39 autorise des tests de détail plus étendus quand le risque de fraude est élevé. L'extension porte sur la taille de l'échantillon ou sur la période couverte. Les tests de coupure passent d'une journée à plusieurs jours de part et d'autre de la clôture.
Dans les dossiers que nous voyons, le calendrier est le paramètre le plus souvent oublié. Les tests exécutés près de la fin de période détectent les manipulations de dernière minute. Les visites inopinées perturbent les tentatives de dissimulation. La coordination entre sites empêche les transferts d'actifs destinés à masquer des détournements. Ces quatre leviers coûtent peu en procédure, beaucoup en logistique.
Nous observons ici une divergence légitime entre associés. L'associé A privilégiera l'extension d'échantillon sur la période, parce que le signal d'anomalie quantitative est, pour lui, la voie la plus défendable en inspection H2A. L'associé B privilégiera les tests inopinés, parce que, d'après son expérience des dossiers de fraude, la dissimulation est plus souvent chronologique que quantitative. Les deux positions sont tenables. Le dossier doit justifier le choix, pas appliquer une recette.
C'est précisément parce que la NEP 240 laisse le CAC arbitrer entre ces paramètres que le jugement professionnel est testable en inspection. Un dossier qui n'explique pas pourquoi l'étendue plutôt que le calendrier (ou l'inverse) ne défend rien. Il liste.
Exemple pratique structuré
Client fictif : Logistique Méditerranéenne S.A.S., société de transport routier basée à Marseille, chiffre d'affaires de 18 M EUR.
Situation : L'équipe identifie des écritures de journal inhabituelles dans les comptes de charges, des factures fournisseurs sans documentation justificative appropriée, et des réticences de la direction à fournir des explications. L'évaluation préliminaire identifie un risque significatif de détournement d'actifs par falsification d'écritures comptables.
Étape 1 : Conception des procédures spécifiques Le CAC conçoit des procédures ciblées selon l'ISA 240.35. Tests étendus sur les écritures de journal : sélection de toutes les écritures supérieures à 5 000 EUR passées en dehors des heures normales de bureau durant les six derniers mois. Confirmation directe avec les fournisseurs concernés par les factures suspectes. Rapprochements détaillés entre les bons de livraison et les factures fournisseurs.
Documentation : « Procédures spécifiques conçues en réponse au risque significatif identifié selon ISA 240.35. Nature modifiée : tests de détail étendus. Calendrier modifié : tests inattendus. Étendue accrue : période de six mois au lieu de deux mois standard. »
Étape 2 : Mise en œuvre des procédures Visite surprise au siège social un samedi pour examiner la documentation physique. Test de 100 % des écritures de journal passées par le directeur financier durant la période. Circularisation directe de 15 fournisseurs principaux avec demandes de confirmation détaillées des soldes et conditions contractuelles.
Documentation : « Procédures exécutées le [date]. Échantillon : 47 écritures de journal totalisant 234 000 EUR. Confirmations envoyées à 15 fournisseurs représentant 68 % des achats annuels. »
Étape 3 : Évaluation des résultats et la complication Les tests révèlent 12 factures fournisseurs sans bon de commande correspondant, totalisant 89 000 EUR. Trois confirmations de fournisseurs indiquent des montants inférieurs aux soldes comptabilisés, pour un écart cumulé de 23 000 EUR. Et c'est ici que le dossier devient difficile. La direction fournit une explication partielle (les factures sans bon de commande correspondent, selon elle, à un changement de procédure interne en mi-exercice), mais aucune preuve documentaire n'étaye cette explication. L'écart de circularisation reste, lui, sans réponse après deux demandes. Un quatrième fournisseur envoie une confirmation tardive qui, si elle est intégrée, modifie le total d'écart et pourrait transformer 23 000 EUR en 11 000 EUR.
Documentation : « Anomalies identifiées : 89 000 EUR de factures sans justificatif approprié. Écart de confirmation : 23 000 EUR non expliqué. Explication partielle de la direction sur le changement de procédure interne non corroborée par preuve documentaire. Communications : courriels du [date] et [date], réunion du [date]. Réponses considérées insuffisantes selon ISA 240.36. »
Le dossier illustre une difficulté réelle. L'explication de la direction n'est pas absurde. Elle est seulement non vérifiable, ce qui n'est pas la même chose. C'est exactement la zone grise où la NEP 240 laisse le jugement au CAC. Pour nous, l'absence de preuve corroborante après relance bascule le dossier du côté du risque de fraude non atténué, parce que le protocole d'audit ne peut pas reposer sur la bonne foi seule. Un confrère d'un autre cabinet pourrait défendre l'inverse au motif que la confirmation tardive crée un doute raisonnable sur le caractère significatif de l'écart. Les deux lectures sont documentables. C'est le jugement qui tranche, pas une règle mécanique.
Conclusion : Le CAC conclut à l'existence probable d'une fraude significative. Communication immédiate aux responsables de la gouvernance selon l'ISA 240.38. Évaluation de l'impact sur l'opinion d'audit selon l'ISA 240.40.
Checklist de réponse aux indicateurs
1. Évaluer la significativité du risque identifié — Appliquer l'ISA 240.26 pour déterminer si le risque atteint le seuil de significativité. Documenter les facteurs quantitatifs et qualitatifs ayant conduit à cette conclusion.
2. Concevoir des procédures spécifiques selon l'ISA 240.35 — Modifier la nature (techniques imprévisibles), le calendrier (tests inattendus) et l'étendue (échantillons élargis). Chaque modification doit répondre directement aux caractéristiques du risque identifié.
3. Obtenir des preuves d'audit additionnelles — Circularisations directes, inspections physiques, reperformance de calculs. L'ISA 240.A40 exige des preuves plus convaincantes que pour les risques ordinaires.
4. Documenter selon l'ISA 240.44 — Nature, calendrier et étendue des procédures. Communications avec la direction et la gouvernance. Conclusions spécifiques sur chaque risque identifié.
5. Communiquer au bon niveau — Direction : ISA 240.37. Responsables de la gouvernance : ISA 240.38. Autorités compétentes si requis : ISA 240.41.
6. Le point fondamental — Si vous identifiez un risque significatif de fraude, vos procédures d'audit standard ne suffisent plus. L'ISA 240.35 exige une réponse spécifique et documentée.
Erreurs fréquentes à éviter
• Procédures insuffisamment adaptées — L'ISA 240.A37 avertit contre l'utilisation de procédures d'audit standard pour répondre aux risques de fraude. Les techniques prévisibles peuvent être contournées par une direction malhonnête.
• Documentation incomplète — Les dossiers inspectés montrent souvent une documentation générique qui ne démontre pas comment les procédures ont été spécifiquement conçues pour répondre aux risques identifiés. Chez nos clients, c'est la faille la plus tenace, parce qu'elle coûte en temps de rédaction ce que personne n'a prévu au forfait.
• Communication tardive — L'ISA 240.38 exige une communication avec les responsables de la gouvernance « dès que possible ». Nous sommes la profession de la confiance, et le retard sur ces communications fait peser un doute existentiel sur l'utilité du mandat. Les cordonniers sont toujours les plus mal chaussés : les équipes qui forment les clients à communiquer vite reportent elles-mêmes la communication à la date de la réunion d'approbation.
Ressources connexes
- Évaluation du risque de fraude sous ISA 240 — Guide complet pour identifier et évaluer les facteurs de risque de fraude selon l'ISA 240.26 - Calculateur de matérialité — Outil pour déterminer les seuils appropriés lors de l'évaluation de l'impact financier des fraudes identifiées - Communication avec les responsables de la gouvernance — Procédures détaillées pour communiquer les questions de fraude selon l'ISA 260