Ce qui échoue en pratique

Dans les synthèses H2A récentes, trois constats reviennent sur l'ISA 240.

Le premier : l'évaluation des risques de fraude est présentée comme un extrait du manuel cabinet, sans personnalisation. Les trois mêmes facteurs apparaissent d'un dossier à l'autre. L'entité auditée change, la matrice ne change pas. C'est la définition du tampon. Un confrère expérimenté reconnaît ce pattern en trente secondes : même phrase d'introduction, même conclusion, même tableau.

Le deuxième : la présomption sur les produits est réfutée sans coût. "La comptabilisation du chiffre d'affaires ne présente pas de risque de fraude significatif compte tenu de la simplicité du cycle." Une ligne. La norme ISA 240.28 exige une documentation substantielle. Une ligne ne suffit pas, et refuser d'appliquer la présomption oblige à justifier pourquoi les trois catégories d'incitations-opportunités-rationalisations sont absentes simultanément. En pratique, quand nous creusons, il est presque toujours plus rapide de retenir le risque que de le réfuter proprement.

Le troisième : le test des écritures de journal est calé sur le seuil de signification, pas sur les facteurs de risque. L'équipe sélectionne les écritures supérieures à 50 K EUR, les teste, clôt la procédure. L'ISA 240.A51 liste cinq critères de sélection dont aucun n'est le seuil de signification. Les écritures passées hors heures de bureau, par des utilisateurs inhabituels, avec des libellés vagues, sur des comptes sensibles — ce sont ces critères-là qui comptent.

Ce que la norme dit vraiment

Le triangle et la présomption

L'ISA 240.A1 structure l'identification autour de trois conditions : incitations ou pressions, opportunités, attitudes ou rationalisations. Ce n'est pas une liste à cocher. C'est un cadre de raisonnement qui doit produire, pour chaque entité, une évaluation spécifique.

Les incitations (ISA 240.A5 à A7) couvrent les pressions externes — attentes des analystes, covenants bancaires, objectifs communiqués au marché — et internes — rémunération variable indexée sur des objectifs non atteignables, pression hiérarchique sur les arrêtés trimestriels. Les opportunités (ISA 240.A8 à A10) couvrent les failles de contrôle interne, les transactions complexes, les estimations comptables à fort jugement.

L'ISA 240.27 pose la présomption la plus débattue de la norme : il existe un risque de fraude significatif sur la comptabilisation des produits. Cette présomption est réfutable, mais seulement quand l'auditeur détermine que le risque n'est pas applicable ou est négligeable. L'ISA 240.28 impose alors une documentation qui ne peut se limiter à une affirmation. Elle doit démontrer, par les caractéristiques de l'entité, de son secteur, de ses transactions, que la fraude sur les produits est structurellement improbable.

Où se situe le désaccord légitime

Deux positions se défendent chez les praticiens expérimentés.

La première : la présomption doit être réfutée chaque fois qu'elle peut l'être, pour concentrer les procédures fraude sur les zones à vrai risque. Cette position soutient que systématiser la présomption dilue le jugement professionnel et réduit la fraude à un exercice de conformité.

La seconde : la présomption doit être retenue par défaut, sauf cas exceptionnel, parce que le coût de la documentation de réfutation dépasse celui des procédures ciblées, et parce que la fraude sur les produits est la catégorie la plus fréquente dans les affaires sanctionnées par le H2A et les équivalents européens. C'est notre position de pratique. Les dossiers où la présomption a été réfutée sans substance sont, d'expérience, les premiers à générer un constat d'insuffisance.

Exemple pratique : Dubois Technologies S.A.S.

Contexte : Dubois Technologies S.A.S., société française de logiciels B2B, 28 M EUR de chiffre d'affaires, 185 collaborateurs, cotée sur Euronext Growth depuis 2019.

Données financières : - Chiffre d'affaires 2024 : 28,2 M EUR (vs 24,8 M EUR en 2023) - Résultat net : 1,8 M EUR (vs 2,4 M EUR en 2023) - Prévisions communiquées au marché : 30 M EUR pour 2024 - Ratio d'endettement : 0,67 (covenant bancaire : maximum 0,70)

Étape 1 — Identification des facteurs

Nous identifions quatre facteurs ISA 240.A4 qui se renforcent mutuellement :

- Écart négatif par rapport aux prévisions publiques (28,2 contre 30 M EUR annoncés) - Proximité du covenant (0,67 contre 0,70) - Rémunération variable du directeur commercial indexée sur le CA - Contrats pluriannuels complexes (licence + maintenance + formation)

Cette combinaison n'est pas neutre. Une pression externe plus une pression interne plus une complexité technique plus une proximité de covenant créent un alignement qu'aucune des quatre conditions ne produirait isolément. Je l'avoue, sur un dossier comme celui-ci, l'évaluation "risque modéré" est la sortie facile. C'est aussi celle qui tient le moins bien en revue.

Documentation : matrice spécifique Dubois, pas extrait de manuel. Justification qualitative pour chaque facteur avec données 2024.

Étape 2 — Évaluation de la présomption ISA 240.27

Nous examinons si la présomption peut être réfutée :

- Contrats de licence à composantes multiples (licence, maintenance, formation) - IFRS 15 applicable, plusieurs obligations de performance - 15 % du CA annuel sur des contrats signés en décembre 2024

La conclusion s'impose : la présomption ne peut pas être réfutée proprement. Nous retenons un risque significatif sur la reconnaissance des produits, particulièrement sur les contrats pluriannuels et sur les ventes de fin d'exercice.

La complication qui arrive toujours. Mi-audit, le DAF nous présente un nouveau contrat signé le 29 décembre 2024 avec un client stratégique : 2,4 M EUR, licence pluriannuelle sur cinq ans, paiement fractionné. Le revenu reconnu en 2024 selon le traitement proposé par le client : 1,8 M EUR (soit exactement l'écart restant pour atteindre les prévisions publiques). Il n'existe aucune preuve de fraude. L'analyse technique IFRS 15 soutient une reconnaissance partielle. Mais l'alignement entre le montant reconnu et l'écart de prévision est le type de coïncidence que nous ne laissons pas passer sans procédures renforcées.

Documentation : mémo IFRS 15 complet, confirmation directe auprès du client, analyse des obligations de performance transaction par transaction.

Étape 3 — Procédures de réponse

L'ISA 240.30 exige des procédures spécifiques aux risques identifiés :

- Circularisation des clients pour tous les contrats > 100 K EUR signés au Q4 2024 - Test de coupure renforcé sur deux semaines avant et deux semaines après la clôture - Examen de toutes les notes de crédit émises entre janvier et mars 2025 - Analyse des marges par type de contrat comparée aux trois exercices précédents

Ces quatre procédures sont reliées à des facteurs de risque nommés. Ce n'est pas la même chose que "tester les ventes". C'est la différence entre un programme d'audit ISA 240 et un programme d'audit généraliste.

Test des écritures de journal (ISA 240.31)

Critères de sélection qui comptent

L'ISA 240.31 impose de tester l'adéquation des écritures de journal et autres ajustements. La norme couvre les écritures manuelles comme les ajustements automatisés pouvant être manipulés. L'ISA 240.A51 énumère cinq critères de sélection :

- Écritures passées hors cycle normal (week-ends, nuits, jours fériés) - Écritures saisies par des utilisateurs inhabituels ou avec autorisations temporaires - Écritures affectant des comptes sensibles (produits, provisions, estimations) - Écritures avec libellés vagues ou absents - Écritures d'ajustement de clôture significatives

Le seuil de signification n'apparaît pas dans la liste. Quand un dossier présente "sélection sur écritures > 50 K EUR" comme unique critère, la procédure ne répond pas à l'ISA 240.31. Elle répond à l'ISA 330.

Ce que nous faisons vraiment

L'ISA 240.A52 suggère d'examiner les écritures passées à la fin de la période de reporting. Nous appliquons systématiquement une extraction sur les trois derniers jours de l'exercice plus les dix premiers jours de l'exercice suivant. C'est le moment où les pressions de performance sont maximales et où les contrôles automatiques peuvent être contournés manuellement.

Pour chaque écriture sélectionnée : vérification de l'autorisation, examen de la justification documentée, rapprochement aux pièces justificatives, évaluation de la plausibilité commerciale de la transaction sous-jacente. Cette dernière étape est la plus souvent négligée, et c'est celle qui révèle les schémas les moins visibles.

Test du contournement des contrôles par la direction

Ce qu'exige l'ISA 240.32

L'ISA 240.32 reconnaît que la direction peut contourner des contrôles qui fonctionnent pour d'autres types de fraudes. Cette reconnaissance impose des procédures spécifiques, indépendamment de l'évaluation générale du contrôle interne. Autrement dit : un contrôle interne évalué comme efficace n'exonère pas de la procédure de contournement. C'est exactement à ce stade que les dossiers sautent l'étape.

Les procédures exigées couvrent : - L'examen des estimations comptables pour détecter un biais - La revue de la justification commerciale des transactions significatives hors cours normal des affaires - L'évaluation de l'autorisation des transactions importantes

Où le biais se cache

Pour les estimations comptables, l'ISA 240.A54 nous demande si les jugements de la direction indiquent un biais possible. Notre pratique :

- Comparaison des hypothèses d'une période à l'autre (stabilité ou dérive ?) - Écart entre estimations antérieures et résultats effectifs (calibration) - Plausibilité des hypothèses clés au regard des conditions économiques - Sélection des méthodes comptables par la direction quand plusieurs sont permises

Le pattern le plus parlant est le quatrième. Quand la direction change de méthode d'estimation d'un exercice à l'autre dans un sens qui améliore systématiquement le résultat, c'est rarement un hasard méthodologique.

Checklist opérationnelle ISA 240

1. Documenter l'évaluation des 47 facteurs de l'ISA 240.A4 de manière spécifique à l'entité, pas par copie de manuel. Justifier brièvement chaque facteur retenu ou écarté.

2. Traiter explicitement la présomption sur les produits. Soit identifier un risque significatif, soit documenter la réfutation avec substance — deux ou trois paragraphes, pas une ligne.

3. Concevoir des procédures substantives ciblées liées aux facteurs de risque identifiés. Chaque procédure doit répondre à un facteur nommé dans la matrice.

4. Tester les écritures de journal sur critères ISA 240.A51 (hors cycle, utilisateurs inhabituels, comptes sensibles, libellés vagues, écritures de clôture), pas sur seuil de signification.

5. Appliquer la procédure de contournement même si le contrôle interne est évalué efficace. L'ISA 240.32 n'admet pas d'exception.

6. Pour chaque estimation clé, tracer la comparaison aux exercices antérieurs et noter tout changement de méthode favorable à la direction.

La pression qui explique les dossiers faibles

Un mot honnête sur ce qui produit les constats H2A. Le test fraude est perçu, dans les cabinets que nous voyons, comme une procédure à faible valeur ajoutée pour le client et à fort coût horaire. L'équipe junior ne le maîtrise pas toujours. L'équipe senior n'a pas le temps de superviser en détail. Le résultat : une section ISA 240 standardisée qui coche les cases sans raisonner.

Cette économie est mauvaise. Un constat de carence sur l'ISA 240 coûte plus cher, en temps de remédiation et en réputation, qu'une semaine de travail supplémentaire bien ciblée en phase de planification. C'est une règle que nous répétons en formation interne et que nous vérifions en revue qualité.

Erreurs courantes

Contenu connexe

- Évaluation des risques et contrôles internes (ISA 315) - Calculateur d'échantillonnage par attributs - ISA 500 : Éléments probants et procédures d'audit

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.