Table des matières

Ce qui a changé et pourquoi c'est important

La révision 2024 de l'ISA 240 restructure fondamentalement l'approche des procédures de contournement de la direction. Effective pour les périodes commençant le 15 décembre 2024 ou après.

Avant vs. Après


Avant (ISA 240 2009) :
Trois procédures standard obligatoires pour tous les audits. Examiner les écritures de journal de fin d'exercice. Revoir les estimations comptables pour identifier les biais. Comprendre la justification commerciale des opérations significatives. Même approche pour une PME familiale et un groupe coté.
Après (ISA 240 révisée 2024) :
Procédures conçues sur mesure basées sur votre évaluation du risque de fraude spécifique à l'entité sous ISA 240.25-31. L'ISA 240.32 exige que chaque procédure réponde à un mode de contournement identifié. Si votre évaluation révèle un risque élevé de manipulation des provisions, vos procédures doivent cibler spécifiquement ce risque.

Ce que vous devez faire concrètement


L'adoption anticipée est autorisée. Les cabinets peuvent appliquer la norme révisée avant décembre 2024 s'ils le souhaitent.

  • Évaluer d'abord, concevoir ensuite. L'ISA 240.25 exige d'identifier les modes de contournement possibles avant de sélectionner vos procédures.
  • Stratifier vos procédures. L'ISA 240.33 distingue trois niveaux : procédures générales (toujours requises), procédures spécifiques au risque identifié, procédures supplémentaires si l'évaluation change.
  • Documenter votre réflexion. L'ISA 240.44 exige la documentation du lien entre chaque procédure et le risque spécifique qu'elle adresse.

L'approche stratifiée : évaluation puis conception

Étape 1 : Identification des modes de contournement (ISA 240.25-26)


L'ISA 240.25 vous oblige à identifier comment la direction pourrait contourner les contrôles dans cette entité spécifique. Pas une liste générique de risques de fraude. Les vulnérabilités réelles de ce client.
Quatre angles d'analyse obligatoires selon l'ISA 240.A45 :

Étape 2 : Conception des procédures spécifiques (ISA 240.32-33)


Chaque procédure doit répondre à un mode de contournement identifié. L'ISA 240.A50 donne des exemples :
Si le risque identifié = manipulation des écritures de journal :
Si le risque identifié = biais dans les estimations :

Étape 3 : Documentation du lien risque-procédure (ISA 240.44)


L'ISA 240.44 exige de documenter pourquoi chaque procédure a été sélectionnée. "Nous avons testé les écritures de journal" ne suffit plus. Il faut : "Nous avons testé les écritures de journal passées par les utilisateurs avec droits d'administrateur parce que notre évaluation a révélé que trois personnes peuvent contourner le workflow d'approbation standard."

  • Accès privilégié : Qui peut modifier des écritures sans approbation ? Quels systèmes n'ont pas de séparation des tâches ?
  • Pression temporelle : Quels objectifs financiers créent une incitation à manipuler ? Clauses de covenant, objectifs de bonus, attentes d'investisseurs.
  • Estimations sensibles : Quelles estimations comptables ont le plus grand impact sur le résultat et la plus grande subjectivité ?
  • Opérations complexes : Quelles structures juridiques ou transactions permettraient de dissimuler des montants ?
  • Examiner les écritures passées par des utilisateurs privilégiés
  • Tester les écritures avec des comptes inhabituels ou des montants ronds
  • Vérifier les écritures passées en dehors des heures normales
  • Analyser l'évolution des hypothèses d'une période à l'autre
  • Comparer les estimations antérieures aux réalisations
  • Tester la sensibilité aux changements d'hypothèses clés

Exemple pratique : Dumont Équipements S.A.S.

Contexte : Dumont Équipements S.A.S., distributeur d'équipements industriels basé à Lyon. Chiffre d'affaires 2023 : 28 M€. Direction familiale, trois fils du fondateur dans des postes clés.

Évaluation des modes de contournement (ISA 240.25)


Analyse des accès privilégiés :
Le directeur financier (un des fils) a des droits d'administrateur complets sur le système ERP. Il peut passer des écritures dans tous les modules sans approbation. Le système ne maintient pas de log d'audit des modifications.
Documentation : "Le DF peut contourner tous les contrôles d'approbation via ses droits administrateur ERP. Risque identifié : écritures de journal non autorisées pour manipuler les résultats."
Analyse des pressions temporelles :
Covenant bancaire : ratio d'endettement < 0,6. Au 31/12/2023, le ratio calculé est 0,58. Une dégradation de 50 000€ du résultat ferait dépasser le seuil.
Documentation : "Pression immédiate pour maintenir le ratio de covenant. Incitation à surévaluer les revenus ou sous-évaluer les charges en fin d'exercice."

Conception des procédures spécifiques (ISA 240.32)


Procédure 1 : Écritures du directeur financier
Obtenir tous les journaux où l'utilisateur "DFINANCE" apparaît comme créateur d'écriture entre le 1er décembre 2023 et le 15 janvier 2024. Examiner toute écriture > 5 000€ ou touchant les comptes de produits (comptes 70-75).
Documentation : "Cette procédure répond au risque de contournement via les droits administrateur du DF."
Procédure 2 : Évaluations d'inventaire en fin d'exercice
Analyser les ajustements d'inventaire des deux dernières semaines de décembre. Comparer les taux de dépréciation appliqués en 2023 vs. 2022 par catégorie d'équipement.
Documentation : "Cette procédure répond au risque de sous-évaluation des provisions pour inventaire obsolète pour améliorer artificiellement le résultat."
Procédure 3 : Reconnaissance de chiffre d'affaires de décembre
Examiner toutes les factures émises entre le 26 et 31 décembre > 10 000€. Vérifier les bons de livraison correspondants et s'assurer que les marchandises ont quitté l'entrepôt avant le 31/12.
Documentation : "Cette procédure répond au risque de reconnaissance anticipée de chiffre d'affaires pour améliorer le ratio de covenant."

Résultats obtenus


L'examen révèle 23 écritures passées par le DF en décembre, dont une écriture de 15 000€ le 30 décembre reclassant des charges d'exploitation en charges exceptionnelles. L'écriture n'a pas d'approbation documentée et améliore l'EBITDA utilisé pour le calcul du covenant.
Conclusion : Anomalie significative identifiée. Retraitement proposé et accepté par la direction. Le processus d'évaluation spécifique a détecté ce que les procédures standard de l'ancienne ISA 240 auraient probablement manqué.

Checklist pratique pour l'ISA 240 révisée

  • Identifier les modes de contournement spécifiques (ISA 240.25)
  • Cartographier les accès privilégiés dans les systèmes comptables
  • Analyser les pressions financières actuelles (covenants, objectifs, bonus)
  • Identifier les estimations comptables à fort impact et haute subjectivité
  • Examiner les opérations complexes ou inhabituelles de la période
  • Concevoir des procédures sur mesure (ISA 240.32)
  • Chaque procédure doit répondre à un risque spécifique identifié
  • Adapter l'étendue et le calendrier aux vulnérabilités de l'entité
  • Ne pas se limiter aux trois procédures standard de l'ancienne norme
  • Documenter le lien risque-procédure (ISA 240.44)
  • Expliquer pourquoi chaque procédure a été sélectionnée
  • Faire référence au mode de contournement spécifique qu'elle adresse
  • Documenter les résultats et les conclusions pour chaque procédure
  • Évaluer continuellement (ISA 240.35)
  • Revoir l'évaluation si de nouveaux facteurs de risque émergent
  • Ajuster les procédures si l'évaluation du risque change
  • Documenter toute modification de l'approche initiale
  • Coordonner avec l'équipe (ISA 240.15)
  • Communiquer les risques identifiés à tous les membres de l'équipe
  • S'assurer que les procédures d'audit dans chaque cycle reflètent l'évaluation
  • Maintenir le scepticisme professionnel tout au long de la mission
  • La réflexion stratifiée est la clé : évaluation des risques spécifiques d'abord, conception des procédures ensuite, documentation du lien entre les deux tout au long du processus.

Erreurs courantes observées

  • Procédures génériques appliquées uniformément. Utiliser la même liste de contrôles pour tous les clients ignore l'exigence de l'ISA 240.32 de concevoir des procédures spécifiques aux risques identifiés.
  • Documentation insuffisante du processus d'évaluation. Lister les facteurs de risque généraux sans identifier les modes de contournement spécifiques possibles dans cette entité ne satisfait pas l'ISA 240.44.
  • Séparation incomplète entre évaluation et procédures. Concevoir les procédures avant de terminer l'évaluation du risque contredit la logique séquentielle de la norme révisée.

Ressources connexes

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.