• Traiter les allégations comme de simples "informations externes" : ISA 240 Révisée crée une catégorie distincte avec des procédures obligatoires. Ne pas appliquer ISA 240.23 quand un signalement survient est une défaillance de conformité.

Table des matières

Ce qui a changé et pourquoi c'est important {#changements}

Avant vs. Après : Traitement des signalements externes


Avant ISA 240 (2009) : Les signalements de fraude externe étaient traités comme des "informations obtenues d'autres sources" sous ISA 240.17. L'auditeur pouvait exercer son jugement professionnel pour déterminer si une enquête plus approfondie était nécessaire. Aucune procédure spécifique n'était requise pour les allégations de lanceurs d'alerte.
Après ISA 240 (Révisée 2023) : ISA 240.23 établit une obligation procédurale distincte. Lorsqu'un signalement de lanceur d'alerte ou une allégation de fraude par des tiers est reçu pendant la mission, l'auditeur doit immédiatement réévaluer l'évaluation du risque de fraude, interroger la direction sur sa connaissance de l'allégation, et mettre en œuvre des procédures d'audit supplémentaires spécifiquement conçues pour traiter les risques identifiés.

Les nouvelles catégories de fraude par des tiers


ISA 240.A67 introduit trois catégories de fraude impliquant des tiers qui nécessitent une attention particulière :
Schémas de collusion avec la direction : Arrangements où des parties externes collaborent avec la direction pour contourner les contrôles internes. La norme exige maintenant de tester spécifiquement les transactions avec les parties liées au-delà des seuils habituels.
Manipulation par des intermédiaires : Fraudes perpétrées par des agents commerciaux, des distributeurs ou des consultants externes qui faussent les revenus ou les coûts. ISA 240.A68 exige d'examiner les accords avec ces intermédiaires même si les montants individuels sont inférieurs au seuil de matérialité.
Compromission de systèmes par des prestataires IT : Accès non autorisé aux systèmes comptables par des fournisseurs de services informatiques externes. La norme exige maintenant une évaluation des contrôles d'accès pour tous les prestataires ayant accès aux systèmes financiers critiques.

Ce que vous devez faire concrètement


Quatre actions nouvelles sur chaque dossier d'audit à partir de décembre 2025 :

  • Interrogation formelle sur les lanceurs d'alerte : ISA 240.23(a) exige de questionner la direction et les responsables de la gouvernance sur tous les signalements reçus au cours des 12 derniers mois, même ceux jugés non fondés.
  • Cartographie des risques tiers : Identifier tous les intermédiaires, agents et prestataires ayant accès aux systèmes ou processus financiers, indépendamment des montants transactionnels.
  • Procédures d'audit réactives : Quand une allégation survient pendant la mission, ISA 240.A69 exige de mettre en place des procédures spécifiques dans les 10 jours ouvrables.
  • Documentation étendue : La norme exige de documenter non seulement l'évaluation des allégations, mais aussi les raisons pour lesquelles certains risques de fraude par des tiers ont été jugés non significatifs.

Exemple pratique : Boulangerie Moderne S.A.S. {#exemple-pratique}

> Contexte client

Boulangerie Moderne S.A.S., Lyon. 28 M€ de chiffre d'affaires, 180 employés, réseau de 45 points de vente dans le sud-est. Exercice clos le 31 décembre. Vous êtes en phase de finalisation de l'audit de 2025 (premier exercice sous ISA 240 Révisée). Le 15 janvier 2026, le directeur financier vous appelle : un employé du service comptable a envoyé un email anonyme au conseil d'administration alléguant que le directeur commercial manipule les chiffres de vente avec l'aide du principal grossiste.

Étape 1 : Application immédiate d'ISA 240.23


Documentation : "Signalement de lanceur d'alerte reçu le 15/01/2026. Allégation de manipulation des ventes impliquant le directeur commercial et Distributeur Sud-Est S.A.R.L. Mise en œuvre immédiate des procédures ISA 240.23."
Interrogez la direction dans les 48 heures sur sa connaissance de cette allégation spécifique et sur tout signalement similaire reçu au cours des 12 derniers mois.

Étape 2 : Réévaluation du risque de fraude


Documentation : "Réévaluation du risque de fraude suite à allégation externe. Focus sur les transactions avec Distributeur Sud-Est S.A.R.L., représentant 8,2 M€ (29% du CA total)."
Distributeur Sud-Est représente 8,2 M€ de ventes annuelles. Même si vos procédures d'audit initiales étaient appropriées pour ce montant, ISA 240.A68 exige maintenant d'étendre les tests au-delà des seuils habituels.

Étape 3 : Procédures d'audit supplémentaires


Documentation : "Circularisation directe des 12 principaux clients finaux de Distributeur Sud-Est. Tests de coupure étendus sur janvier-février 2026. Vérification des ajustements manuels sur les ventes T4 2025."
Tests spécifiques requis par ISA 240.A69 : circularisation directe des clients finaux du distributeur, pas seulement du distributeur lui-même. Revue des ajustements de vente des trois derniers mois de l'exercice. Recalcul des commissions du directeur commercial.

Étape 4 : Évaluation et conclusion


Documentation : "Aucune anomalie détectée dans les tests étendus. Procédures additionnelles satisfaisantes. Allégation non corroborée par les éléments probants. Communication formelle au conseil d'administration requise selon ISA 240.24."
Les tests n'ont révélé aucune anomalie. Mais ISA 240.24 exige une communication formelle au conseil d'administration sur les procédures mises en œuvre et leurs résultats, même quand l'allégation s'avère non fondée.
Résultat : Dossier documenté selon les nouvelles exigences, procédures réactives mises en œuvre dans les délais, communication appropriée avec la gouvernance. Un contrôleur qualité verrait une réponse complète et proportionnée à un signalement de lanceur d'alerte.

Liste de contrôle pratique {#liste-controle}

  • Questionnaire lanceurs d'alerte obligatoire : Lors de chaque audit, questionner formellement la direction et le conseil sur tous les signalements reçus dans les 12 derniers mois (ISA 240.23(a)). Documenter même les réponses "aucun signalement".
  • Cartographie des intermédiaires à risque : Identifier tous les agents, distributeurs et prestataires IT ayant accès aux systèmes comptables. Tester les contrôles d'accès même pour les montants inférieurs au seuil de matérialité (ISA 240.A67).
  • Procédures réactives en 10 jours : Si une allégation survient pendant la mission, mettre en place des procédures d'audit spécifiques dans les 10 jours ouvrables. Pas de délai de réflexion autorisé (ISA 240.A69).
  • Communication formelle obligatoire : Informer le conseil d'administration de toute allégation reçue et des procédures mises en œuvre, même si l'allégation s'avère non fondée (ISA 240.24).
  • Documentation étendue : Documenter l'évaluation des risques de fraude par des tiers, même ceux jugés non significatifs. La norme exige une justification écrite pour chaque catégorie de risque écartée.
  • Point critique : Les signalements de lanceurs d'alerte ne sont plus du "jugement professionnel". ISA 240.23 en fait une obligation procédurale avec des délais et des actions spécifiques.

Erreurs courantes {#erreurs-courantes}

Traiter les allégations comme de simples "informations externes" : ISA 240 Révisée crée une catégorie distincte avec des procédures obligatoires. Ne pas appliquer ISA 240.23 quand un signalement survient est une défaillance de conformité.
Limiter l'évaluation aux montants significatifs : La norme exige maintenant d'évaluer les risques de fraude par des tiers indépendamment des seuils de matérialité. Un prestataire IT avec un contrat de 50 000 € peut représenter un risque de fraude plus élevé qu'une transaction de 500 000 €.
Reporter l'enquête à l'exercice suivant : ISA 240.A69 impose un délai de 10 jours ouvrables pour les procédures réactives. Même si l'allégation arrive en fin de mission, les procédures doivent être complétées avant la signature.

Contenu associé {#contenu-associe}

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.