Table des matières

Les trois étapes de l'évaluation des risques

ISA 315 (Révisée 2019) restructure complètement l'approche d'évaluation des risques. L'ancienne version permettait une approche intégrée où vous pouviez évaluer les risques et les contrôles simultanément. La version révisée impose une séquence stricte.

Première étape : Compréhension de l'entité


ISA 315.19 à ISA 315.25 définissent six domaines obligatoires de compréhension. Vous devez documenter la compréhension dans chaque domaine avant de passer à l'identification des risques. Les facteurs de risques sectoriels, réglementaires et autres facteurs externes selon ISA 315.A59 à A76. La nature de l'entité selon ISA 315.A77 à A94. Les objectifs et stratégies selon ISA 315.A95 à A108.
Cette étape produit la base factuelle pour l'identification des risques. Sans une compréhension documentée et suffisante, l'identification des risques devient générique.

Deuxième étape : Identification et évaluation des risques


ISA 315.25 exige d'identifier les risques d'anomalies significatives au niveau des assertions. Cette identification se base directement sur la compréhension obtenue à l'étape 1. Le paragraphe ISA 315.A130 précise que l'évaluation doit considérer la probabilité et l'ampleur potentielle de l'anomalie.
La norme introduit une présomption réfutable : tous les risques liés aux produits comptables inhabituels ou complexes sont présumés significatifs (ISA 315.A144). Vous devez soit accepter cette présomption, soit documenter pourquoi elle ne s'applique pas.

Troisième étape : Contrôles internes pertinents


ISA 315.26 définit les contrôles que vous devez comprendre. Pas tous les contrôles de l'entité. Seulement ceux pertinents pour l'audit : les contrôles qui traitent les risques significatifs et les contrôles sur lesquels vous prévoyez de vous appuyer.

Comprendre l'entité et son environnement

Les six domaines obligatoires


ISA 315.19 liste six domaines spécifiques. Chaque domaine doit être documenté avec suffisamment de détails pour soutenir l'identification des risques qui suivra.
Facteurs sectoriels et réglementaires (ISA 315.19(a)) : les conditions économiques du secteur, la réglementation applicable, les évolutions technologiques. Pour un fabricant de composants électroniques, cela inclut les cycles de remplacement des produits, les normes environnementales, et l'impact des tensions géopolitiques sur les chaînes d'approvisionnement.
Nature de l'entité (ISA 315.19(b)) : la structure juridique, les activités opérationnelles, la gouvernance. Un groupe avec plusieurs filiales nécessite une compréhension de la consolidation, des transactions intercompagnies, et de la répartition des responsabilités de contrôle.
Sélection et application des méthodes comptables (ISA 315.19(c)) : les choix comptables significatifs et leur application. ISA 315.A103 précise que vous devez comprendre pourquoi la direction a choisi ces méthodes et comment elles s'appliquent aux transactions inhabituelles.

Procédures de demande d'informations


ISA 315.A55 détaille les demandes d'informations obligatoires. Vous devez interroger la direction sur les risques d'anomalies significatives qu'elle a identifiés et les contrôles mis en place. Les réponses de la direction ne constituent pas des éléments probants suffisants, mais elles orientent vos procédures complémentaires.
La demande d'informations auprès des personnes responsables de la gouvernance (ISA 315.A56) doit couvrir leur surveillance des processus d'évaluation des risques de la direction.

Identifier et évaluer les risques

Critères d'identification des risques significatifs


ISA 315.Annexe 2 fournit des exemples de circonstances qui peuvent indiquer l'existence de risques significatifs. Cette annexe n'est pas exhaustive, mais elle donne des indicateurs concrets.
Risques de fraude : les risques liés à la comptabilisation des produits restent présumés significatifs selon ISA 240.26, sauf justification contraire documentée.
Transactions significatives avec des parties liées : ISA 315.A142 précise que les transactions importantes avec des parties liées hors du cours normal des affaires génèrent généralement des risques significatifs.
Estimations comptables complexes : les estimations qui impliquent un degré élevé d'incertitude ou de subjectivité (ISA 315.A143). Pour une provision de garantie, l'historique des réclamations, les changements de produit, et l'évolution réglementaire créent des sources multiples d'incertitude.

Évaluation au niveau des assertions


ISA 315.25 exige une évaluation au niveau des assertions pour tous les risques identifiés. Une approche générale au niveau des comptes ne suffit plus.
Pour les créances clients d'un distributeur informatique, vous évaluez séparément l'existence (les créances représentent-elles des ventes réelles), l'évaluation (les provisions pour créances douteuses sont-elles suffisantes), et la présentation (les créances sont-elles correctement classées entre courantes et non courantes).

Évaluer les contrôles internes

Contrôles pertinents pour l'audit


ISA 315.26 limite votre évaluation aux contrôles pertinents pour l'audit. Deux catégories principales :
Contrôles qui traitent les risques significatifs : pour chaque risque significatif identifié, vous devez comprendre les contrôles que la direction a mis en place. Cette compréhension ne nécessite pas de tester l'efficacité opérationnelle, mais vous devez documenter la conception du contrôle.
Contrôles sur lesquels vous prévoyez de vous appuyer : si votre stratégie d'audit prévoit de tester l'efficacité opérationnelle de certains contrôles, vous devez d'abord comprendre leur conception et leur mise en place.

Documentation des contrôles


ISA 315.32 précise les éléments de documentation requis. Vous devez documenter votre compréhension des contrôles avec suffisamment de détails pour permettre une revue. Les diagrammes de flux, les narratifs détaillés, ou les questionnaires complétés constituent des méthodes acceptables.
La documentation doit montrer comment vous avez obtenu la compréhension. Les demandes d'informations seules ne suffisent pas. Vous devez corroborer par l'observation, l'inspection de documents, ou le re-calcul selon ISA 315.A57.

Exemple pratique complet

Client : Méridien Technologies SARL, société de développement de logiciels B2B basée à Lyon, 45 employés, chiffre d'affaires 8,2 M€, exercice clos au 31 décembre.

Étape 1 : Compréhension de l'entité


Facteurs sectoriels : Le marché du logiciel B2B connaît une consolidation accélérée. Les cycles de développement s'allongent avec les exigences de cybersécurité. La réglementation RGPD impose des coûts de conformité significatifs.
Documentation : Interview directeur général 15 minutes, revue de la presse sectorielle, analyse des comptes sectoriels.
Nature de l'entité : SARL détenue à 60% par le fondateur, 40% par un fonds de capital-risque. Trois lignes de produits : logiciel de gestion des ressources humaines (52% du CA), logiciel de comptabilité PME (31%), services de maintenance et support (17%).
Documentation : Statuts, procès-verbaux d'assemblée, organigramme opérationnel.

Étape 2 : Identification des risques


Risque significatif identifié : Comptabilisation des produits sur les contrats de développement sur mesure. Ces contrats représentent 1,8 M€ (22% du CA) avec des jalons de facturation complexes.
Évaluation au niveau des assertions :
Documentation : Matrice des risques par assertion, analyse de 3 contrats représentatifs.

Étape 3 : Contrôles pertinents


Contrôle identifié : Revue mensuelle par le directeur technique des jalons atteints sur chaque projet de développement. Validation croisée avec les feuilles de temps développeurs et les livrables client.
Conception du contrôle : Le directeur technique reçoit un rapport mensuel détaillant l'avancement par projet. Il compare avec sa connaissance technique des développements en cours. Les écarts supérieurs à 10% font l'objet d'une enquête documentée.
Documentation : Procédure écrite obtenue, interview directeur technique 20 minutes, inspection de 2 revues mensuelles.
  • Existence : Risque élevé - les jalons peuvent être subjectifs
  • Rattachement : Risque élevé - l'avancement peut être surestimé
  • Évaluation : Risque modéré - les coûts restant à engager sont estimés

Liste de vérification pratique

  • Documenter la compréhension dans les six domaines d'ISA 315.19 avant d'identifier le premier risque. Cette séquence est obligatoire selon la norme révisée.
  • Interroger la direction sur leur propre évaluation des risques selon ISA 315.A55. Même si leurs réponses ne constituent pas des éléments probants, elles orientent vos procédures.
  • Évaluer chaque risque au niveau des assertions selon ISA 315.25. Une évaluation au niveau des comptes ne respecte plus les exigences de la norme.
  • Appliquer la présomption de risque significatif pour les transactions inhabituelles selon ISA 315.A144, sauf justification contraire documentée.
  • Limiter l'évaluation des contrôles aux contrôles pertinents selon ISA 315.26 : ceux qui traitent des risques significatifs et ceux sur lesquels vous comptez vous appuyer.
  • Documenter comment vous avez obtenu la compréhension selon ISA 315.A57. Les demandes d'informations doivent être corroborées par d'autres procédures.

Erreurs courantes

  • Évaluation simultanée des risques et des contrôles : la norme révisée impose une séquence. Vous ne pouvez pas évaluer l'efficacité des contrôles avant d'avoir identifié les risques qu'ils sont censés traiter.
  • Documentation générique de la compréhension de l'entité : copier-coller les mêmes sections d'une année sur l'autre sans mise à jour spécifique aux évolutions de l'entité ou du secteur.
  • Identification des risques au niveau des comptes uniquement : ISA 315.25 exige une évaluation au niveau des assertions. Cette granularité est nécessaire pour concevoir des procédures d'audit appropriées.

Contenu associé

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.