Table des matières
1. Les trois étapes de l'évaluation des risques 2. Comprendre l'entité et son environnement 3. Identifier et évaluer les risques 4. Évaluer les contrôles internes 5. Exemple pratique complet 6. Liste de vérification pratique 7. Erreurs courantes 8. Contenu associé
Les trois étapes de l'évaluation des risques
ISA 315 (Révisée 2019) restructure l'approche. L'ancienne version permettait une démarche intégrée où l'équipe évaluait risques et contrôles en parallèle. La version révisée impose une séquence stricte.
Première étape : compréhension de l'entité
ISA 315.19 à ISA 315.25 définissent six domaines obligatoires de compréhension. Nous documentons chacun de ces domaines avant de passer à l'identification des risques. Les facteurs sectoriels, réglementaires et externes sont couverts par ISA 315.A59 à A76, la nature de l'entité par ISA 315.A77 à A94, les objectifs et stratégies par ISA 315.A95 à A108.
Cette étape produit la base factuelle pour l'identification des risques. Sans une compréhension documentée et suffisante, l'identification reste générique.
Deuxième étape : identification et évaluation des risques
ISA 315.25 exige d'identifier les risques d'anomalies significatives au niveau des assertions. Cette identification s'appuie directement sur la compréhension obtenue à l'étape 1. Le paragraphe ISA 315.A130 précise que l'évaluation doit tenir compte de la probabilité et de l'ampleur potentielle de l'anomalie.
La norme introduit une présomption réfutable. Tous les risques liés aux produits comptables inhabituels ou complexes sont présumés significatifs (ISA 315.A144). L'équipe doit accepter cette présomption ou documenter pourquoi elle ne s'applique pas.
Troisième étape : contrôles internes pertinents
ISA 315.26 définit les contrôles à comprendre. Pas tous les contrôles de l'entité. Uniquement ceux pertinents pour l'audit : les contrôles qui traitent les risques significatifs, et les contrôles sur lesquels l'équipe prévoit de s'appuyer.
Comprendre l'entité et son environnement
Les six domaines obligatoires
ISA 315.19 liste six domaines spécifiques. Chaque domaine doit être documenté avec suffisamment de détail pour soutenir l'identification des risques qui suivra.
Facteurs sectoriels et réglementaires (ISA 315.19(a)) : les conditions économiques du secteur, la réglementation applicable, les évolutions technologiques. Pour un fabricant de composants électroniques, cela inclut les cycles de remplacement des produits, les normes environnementales, et l'impact des tensions géopolitiques sur les chaînes d'approvisionnement.
Nature de l'entité (ISA 315.19(b)) : la structure juridique, les activités opérationnelles, la gouvernance. Un groupe avec plusieurs filiales nécessite une compréhension de la consolidation, des transactions intercompagnies, et de la répartition des responsabilités de contrôle.
Sélection et application des méthodes comptables (ISA 315.19(c)) : les choix comptables structurants et leur application. ISA 315.A103 précise que nous devons comprendre pourquoi la direction a choisi ces méthodes et comment elles s'appliquent aux transactions inhabituelles.
Procédures de demande d'informations
ISA 315.A55 détaille les demandes d'informations obligatoires. Nous interrogeons la direction sur les risques d'anomalies significatives qu'elle a identifiés et les contrôles mis en place. Les réponses de la direction ne constituent pas des éléments probants suffisants, mais elles orientent les procédures complémentaires.
La demande d'informations auprès des personnes responsables de la gouvernance (ISA 315.A56) doit couvrir leur surveillance du processus d'évaluation des risques de la direction.
Identifier et évaluer les risques
Critères d'identification des risques significatifs
ISA 315.Annexe 2 fournit des exemples de circonstances qui peuvent indiquer l'existence de risques significatifs. Cette annexe n'est pas exhaustive, mais elle donne des indicateurs concrets.
Risques de fraude : les risques liés à la comptabilisation des produits restent présumés significatifs selon ISA 240.26, sauf justification contraire documentée.
Transactions avec des parties liées : ISA 315.A142 précise que les transactions importantes avec des parties liées hors du cours normal des affaires génèrent, dans les dossiers que nous voyons, des risques significatifs.
Estimations comptables complexes : les estimations qui impliquent un degré élevé d'incertitude ou de subjectivité (ISA 315.A143). Pour une provision de garantie, l'historique des réclamations, les changements de produit et l'évolution réglementaire créent plusieurs sources d'incertitude qui se combinent.
Évaluation au niveau des assertions
ISA 315.25 exige une évaluation au niveau des assertions pour chaque risque identifié. Une approche générale au niveau des comptes ne suffit plus.
Pour les créances clients d'un distributeur informatique, nous évaluons séparément l'existence (les créances représentent-elles des ventes réelles) et l'évaluation (les provisions pour créances douteuses sont-elles suffisantes). Nous documentons aussi la présentation (les créances sont-elles correctement classées entre courantes et non courantes). C'est le type d'analyse que la revue interne attaque en premier quand elle veut tester la profondeur du dossier.
Évaluer les contrôles internes
Contrôles pertinents pour l'audit
ISA 315.26 limite l'évaluation aux contrôles pertinents pour l'audit. Deux catégories :
Contrôles qui traitent les risques significatifs : pour chaque risque significatif identifié, nous comprenons les contrôles que la direction a mis en place. Cette compréhension n'exige pas de tester l'efficacité opérationnelle, mais la conception du contrôle doit être documentée.
Contrôles sur lesquels nous prévoyons de nous appuyer : si la stratégie d'audit prévoit de tester l'efficacité opérationnelle de certains contrôles, nous devons d'abord comprendre leur conception et leur mise en place.
Documentation des contrôles
ISA 315.32 précise les éléments de documentation requis. La compréhension des contrôles doit être documentée avec suffisamment de détail pour permettre une revue. Les diagrammes de flux, les narratifs détaillés ou les questionnaires complétés constituent des méthodes acceptables.
La documentation doit montrer comment la compréhension a été obtenue. Les demandes d'informations seules ne suffisent pas. Nous corroborons par l'observation, l'inspection de documents ou le re-calcul selon ISA 315.A57. Personne n'aime ce niveau de détail, mais c'est précisément ce qui fait qu'un dossier tient en inspection H2A.
Exemple pratique complet
Client : Méridien Technologies SARL, société de développement de logiciels B2B basée à Lyon, 45 employés, chiffre d'affaires 8,2 M€, exercice clos au 31 décembre.
Compréhension de l'entité
Facteurs sectoriels : Le marché du logiciel B2B connaît une consolidation accélérée. Les cycles de développement s'allongent avec les exigences de cybersécurité. La réglementation RGPD impose des coûts de conformité non négligeables.
Documentation : Interview directeur général 15 minutes, revue de la presse sectorielle, analyse des comptes sectoriels.
Nature de l'entité : SARL détenue à 60% par le fondateur, 40% par un fonds de capital-risque. Trois lignes de produits : logiciel de gestion des ressources humaines (52% du CA), logiciel de comptabilité PME (31%), services de maintenance et support (17%).
Documentation : Statuts, procès-verbaux d'assemblée, organigramme opérationnel.
Identification des risques
Risque significatif identifié : Comptabilisation des produits sur les contrats de développement sur mesure. Ces contrats représentent 1,8 M€ (22% du CA) avec des jalons de facturation complexes.
Évaluation au niveau des assertions : - Existence : Risque élevé - les jalons peuvent être subjectifs - Rattachement : Risque élevé - l'avancement peut être surestimé - Évaluation : Risque modéré - les coûts restant à engager sont estimés - Présentation : Risque modéré - la séparation produits/encours est sensible
Documentation : Matrice des risques par assertion, analyse de 3 contrats représentatifs.
Contrôles pertinents
Contrôle identifié : Revue mensuelle par le directeur technique des jalons atteints sur chaque projet de développement. Validation croisée avec les feuilles de temps développeurs et les livrables client.
Conception du contrôle : Le directeur technique reçoit un rapport mensuel détaillant l'avancement par projet. Il compare avec sa connaissance technique des développements en cours. Les écarts supérieurs à 10% font l'objet d'une enquête documentée.
Documentation : Procédure écrite obtenue, interview directeur technique 20 minutes, inspection de 2 revues mensuelles.
Liste de vérification pratique
1. Documenter la compréhension dans les six domaines d'ISA 315.19 avant d'identifier le premier risque. Cette séquence est obligatoire selon la norme révisée.
2. Interroger la direction sur sa propre évaluation des risques selon ISA 315.A55. Même si ses réponses ne constituent pas des éléments probants, elles orientent les procédures.
3. Évaluer chaque risque au niveau des assertions selon ISA 315.25. Une évaluation au niveau des comptes ne respecte plus les exigences de la norme.
4. Appliquer la présomption de risque significatif pour les transactions inhabituelles selon ISA 315.A144, sauf justification contraire documentée.
5. Limiter l'évaluation des contrôles aux contrôles pertinents selon ISA 315.26 : ceux qui traitent des risques significatifs et ceux sur lesquels l'équipe compte s'appuyer.
6. Documenter comment la compréhension a été obtenue selon ISA 315.A57. Les demandes d'informations doivent être corroborées par d'autres procédures.
Erreurs courantes
Contenu associé
- Calculateur de seuil de signification - Pour déterminer les seuils quantitatifs d'évaluation des risques selon ISA 320 - Guide ISA 330 : Procédures d'audit en réponse aux risques évalués - La suite logique après l'évaluation des risques - Définition : Risque d'audit - Les concepts fondamentaux du modèle de risque d'audit