Table des matières

1. Ce qu'est une mission de procédures convenues selon ISRS 4400 2. Conditions préalables et acceptation de la mission 3. Planification et définition des procédures 4. Exécution des procédures convenues 5. Rapport de procédures convenues 6. Exemple pratique : Mission chez Dubois Industries SARL 7. Checklist pratique pour missions ISRS 4400 8. Erreurs courantes à éviter 9. Ressources connexes

Ce qu'est une mission de procédures convenues selon ISRS 4400

Ce qu'une mission AUP n'est pas, avant ce qu'elle est

Une mission de procédures convenues n'est pas un mini-audit. Elle n'est pas non plus un examen limité bon marché. Elle n'autorise aucune conclusion sur la régularité, la sincérité ou la fidélité des informations financières. Le praticien exécute les procédures listées dans la lettre de mission. Il consigne ce qu'il a vu. Point.

C'est la distinction qu'ISRS 4400.12 grave dans le texte : le praticien rapporte les résultats factuels obtenus, rien d'autre. Et c'est aussi pourquoi nous parlons couramment de "tampon" dans les cabinets quand un mandat AUP est mal cadré : la caricature dit que le praticien exécute mécaniquement la liste fournie par le tiers, sans valeur ajoutée d'audit. La caricature est injuste mais elle pointe une vérité structurelle. La nature même du mandat est procédurale, et c'est exactement ce qui le rend dangereux quand le rédacteur du rapport oublie cette frontière.

Contrairement à un audit (assurance raisonnable) ou à un examen limité (assurance modérée), une mission AUP ne nécessite pas d'évaluation des risques au sens d'ISA 315, ni de compréhension du contrôle interne, ni de collecte d'éléments probants suffisants pour étayer une conclusion. ISRS 4400.13 est explicite sur ce point : la suffisance et le caractère approprié des procédures relèvent de la responsabilité des utilisateurs prévus, pas du praticien.

Les trois parties impliquées

ISRS 4400.09 exige un accord entre trois parties : le praticien, l'entité (ou la partie responsable) et les utilisateurs prévus. Chaque partie a un rôle distinct.

Le praticien exécute les procédures et rapporte les résultats sans interprétation. L'entité fournit l'accès aux informations et aux personnes nécessaires. Les utilisateurs prévus définissent les procédures qu'ils considèrent comme appropriées à leurs besoins et assument la responsabilité de la suffisance de ces procédures.

Cette répartition protège le praticien, mais à une condition : qu'elle soit documentée par écrit, signée par les trois parties, avant le démarrage des travaux. Un accord oral avec le banquier, confirmé par e-mail à l'entité, ne suffit pas. Nous voyons régulièrement des dossiers où l'utilisateur prévu n'a jamais signé la définition des procédures. Le dossier est trop léger pour défendre la qualification AUP en cas de contentieux.

Conditions préalables et acceptation de la mission

Évaluation de l'acceptabilité selon ISRS 4400.15

Avant d'accepter une mission, ISRS 4400.15 vous oblige à vérifier que les procédures à exécuter sont clairement définies et ne risquent pas d'être mal interprétées.

Une demande comme "vérifier la situation financière" est insuffisante. "Recalculer le ratio d'endettement au 31 décembre 2024 selon les définitions contractuelles spécifiées à l'annexe A" répond au critère. La différence entre les deux n'est pas cosmétique. La première formulation laisse entendre une assurance ; la seconde décrit une opération mécanique vérifiable.

Ce qui se passe réellement sur le terrain : le client appelle, demande "un coup d'œil sur les comptes pour la banque", et le directeur de mission rédige une lettre de mission AUP avec des procédures définies au doigt mouillé. Trois mois plus tard, la banque utilise le rapport pour justifier un refus de crédit, et l'entité reproche au CAC d'avoir omis une procédure. Si la liste n'a pas été co-définie et signée par la banque elle-même, le périmètre n'est pas opposable.

Les utilisateurs prévus doivent être identifiés et avoir participé à la définition des procédures, ou les avoir expressément approuvées. Un rapport destiné "à qui de droit" ne satisfait pas cette exigence. L'identification précise des utilisateurs (une banque nommée, un acquéreur potentiel spécifique) et leur accord documenté sont obligatoires.

Vous devez également avoir la compétence nécessaire pour exécuter les procédures demandées. Si les procédures incluent l'évaluation d'instruments financiers complexes et que vos collaborateurs manquent de cette expertise, ISRS 4400.16 permet le recours à un expert. Vous restez responsable de l'intégration de ses travaux.

Lettre de mission selon ISRS 4400.18

ISRS 4400.18 exige une lettre de mission écrite. Elle documente l'objectif et l'étendue de la mission, en précisant qu'aucune assurance ne sera fournie. Elle décrit chaque procédure à exécuter, suffisamment précisément pour éviter toute ambiguïté. Elle identifie les utilisateurs prévus et la restriction de distribution du rapport. Elle reconnaît que les utilisateurs prévus sont responsables de la suffisance des procédures. Elle définit la forme du rapport AUP final.

Une opinion qui mérite d'être dite. Sur les missions AUP à honoraires modestes (le forfait classique de 1 500 à 3 500 EUR pour un mandat ponctuel), la tentation est forte de réutiliser une lettre type sans personnaliser les procédures. C'est une erreur, parce que la lettre type renvoie à un périmètre standard qui ne correspond presque jamais à la demande réelle de l'utilisateur prévu, et l'écart entre les deux est exactement ce qui finit en commentaire d'inspection ou en litige client.

Planification et définition des procédures

Types de procédures autorisées

ISRS 4400.A15 fournit des exemples de procédures courantes.

Procédures d'inspection : examen de documents, de registres ou d'actifs tangibles. "Inspecter les factures de vente pour la période du 1er au 31 décembre 2024" est une procédure d'inspection claire.

Procédures d'observation : observation de processus exécutés par d'autres. "Observer le processus d'inventaire physique le 31 décembre 2024 dans l'entrepôt principal" définit une procédure d'observation.

Procédures de confirmation externe : obtention d'informations directement auprès de tiers. "Envoyer des demandes de confirmation aux banques listées à l'annexe B pour les soldes au 31 décembre 2024" spécifie une procédure de confirmation.

Procédures de recalcul : vérification de l'exactitude mathématique des calculs. "Recalculer les amortissements des immobilisations selon la méthode linéaire pour l'exercice 2024" est une procédure de recalcul précise.

Procédures analytiques : comparaisons et analyses de relations entre données. "Comparer les charges mensuelles de personnel 2024 avec celles de 2023 et identifier les variations supérieures à 15 %" définit une procédure analytique.

Limites des procédures

ISRS 4400.20 interdit l'exécution de procédures si générales qu'elles pourraient être mal interprétées comme fournissant une assurance. Des termes comme "révision générale", "vérification limitée" ou "contrôle de cohérence" créent une ambiguïté sur le niveau d'assurance.

Les procédures doivent rester factuelles et objectives. Elles ne peuvent pas inclure l'expression d'opinions professionnelles sur l'adéquation des méthodes comptables ou l'évaluation du caractère raisonnable des estimations. Ces éléments relèvent de missions d'assurance.

Voici la zone grise que les normes ne tranchent pas clairement. Sur une procédure d'inspection de factures, un confrère expérimenté détecte une anomalie évidente (factures sans bon de livraison, signatures identiques sur plusieurs documents, dates incohérentes). Faut-il l'élargir au-delà du périmètre AUP ? Un associé répondrait : non, vous rapportez le fait observé et c'est aux utilisateurs prévus de réagir, parce que sortir du mandat reconfigure le rapport en mission d'assurance non assumée. Un autre associé répondrait : oui, votre devoir d'alerte LCB-FT (article L. 561-15 du Code monétaire et financier) prime sur le périmètre contractuel, parce que le risque pénal du praticien ne s'arrête pas à la lettre de mission. Les deux positions sont défendables ; aucune n'est confortable.

Exécution des procédures convenues

Principe fondamental : exécuter uniquement les procédures convenues

ISRS 4400.23 établit que vous devez exécuter les procédures telles que convenues, sans modification, addition ou omission non autorisée. Si une procédure ne peut pas être exécutée, ISRS 4400.24 vous oblige à contacter les utilisateurs prévus pour discuter de la situation, à obtenir leur accord sur une procédure alternative ou à accepter la limitation, puis à modifier la lettre de mission si nécessaire pour refléter le changement convenu.

Vous ne pouvez pas décider unilatéralement de remplacer une procédure par une autre, même si vous la jugez plus appropriée ou efficace. C'est ici que la pression budgétaire devient une incitation perverse. Sur un forfait fixe, ajouter une procédure non prévue coûte au cabinet sans augmenter les honoraires. En retirer une économise du temps mais expose le rapport à l'attaque "procédure manquante". Le budget temps pousse vers l'omission silencieuse. La rigueur méthodologique pousse vers la renégociation explicite. Le bon réflexe est toujours la renégociation, parce que l'omission silencieuse devient un faux en écriture quand le rapport décrit l'exécution intégrale du mandat.

Documentation des travaux selon ISRS 4400.25

ISRS 4400.25 exige une documentation qui inclut les procédures exécutées et leur calendrier d'exécution, les résultats factuels obtenus pour chaque procédure, les exceptions ou anomalies identifiées, et les communications avec l'entité et les utilisateurs prévus concernant les limitations ou modifications.

Cette documentation doit permettre à un praticien expérimenté de comprendre la nature, le calendrier et l'étendue des procédures exécutées, ainsi que leurs résultats. Le test pratique : remettez le classeur à un confrère qui n'a pas participé à la mission, et demandez-lui de reproduire chaque conclusion en une heure. S'il ne peut pas, le dossier est trop léger.

Gestion des exceptions et anomalies

Lorsque vous identifiez des exceptions ou des résultats inattendus, ISRS 4400.26 ne vous oblige pas à enquêter davantage ou à obtenir des explications, sauf si cela fait partie des procédures convenues. Vous rapportez les faits observés sans interprétation.

Par exemple, si une procédure de confirmation révèle un écart entre le solde comptable et la confirmation bancaire, vous rapportez l'écart comme un fait. Vous n'enquêtez pas sur les causes ; vous n'évaluez pas l'impact sur les états financiers, sauf instruction contraire des utilisateurs prévus.

Rapport de procédures convenues

Structure obligatoire selon ISRS 4400.27

ISRS 4400.27 spécifie le contenu minimal du rapport. Un titre indiquant qu'il s'agit d'un rapport de procédures convenues. L'identification des destinataires (utilisateurs prévus uniquement). L'identification des informations financières ou autres informations qui ont fait l'objet des procédures. Une déclaration que la mission a été exécutée selon ISRS 4400. Une déclaration que les procédures exécutées étaient celles convenues avec les utilisateurs prévus. Une déclaration que les utilisateurs prévus sont responsables de la suffisance des procédures. Une déclaration que le rapport est restreint aux utilisateurs prévus. Une déclaration qu'aucune assurance n'est fournie. La description des procédures exécutées et de leurs résultats.

Formulation du rapport

Le rapport doit utiliser une formulation factuelle et éviter tout langage pouvant être interprété comme fournissant une assurance. Au lieu d'écrire "les comptes clients paraissent corrects", rédigez "aucune exception n'a été notée lors du rapprochement de l'échantillon de 25 factures avec les enregistrements comptables correspondants".

Insight de second ordre que les manuels ne disent jamais : le rapport AUP que la banque va relire trois fois est moins le vôtre que celui de l'utilisateur prévu, parce que c'est l'utilisateur qui interprète les résultats factuels et qui en tire ses propres conclusions de financement. Si votre formulation laisse une marge d'interprétation, c'est l'utilisateur qui choisira la lecture la plus favorable à sa décision, et c'est vous qui porterez la responsabilité d'une lecture que vous n'avez pas écrite. Un rapport AUP qui se lit comme un audit produit des décisions qui se prennent comme si un audit avait eu lieu. Cette dérive vous rattrape toujours, parce que les utilisateurs prévus mémorisent l'effet utile, pas le disclaimer en bas de page.

ISRS 4400.A36 précise que le rapport doit être suffisamment détaillé pour permettre aux utilisateurs prévus de comprendre les procédures exécutées et de tirer leurs propres conclusions des résultats.

Exemple pratique : Mission chez Dubois Industries SARL

> Contexte de la mission > > Dubois Industries SARL, entreprise de fabrication de composants automobiles basée à Lyon, sollicite une mission AUP pour sa demande de crédit bancaire. La Banque Populaire Auvergne Rhône Alpes a défini trois procédures spécifiques pour évaluer la demande de financement de 2,5 millions d'euros. Chiffre d'affaires 2024 : 18,3 millions d'euros. Effectif : 87 salariés.

Définition des procédures convenues

La banque exige trois procédures : 1. Confirmation directe des soldes bancaires au 31 décembre 2024 2. Recalcul du ratio d'endettement selon la définition contractuelle 3. Vérification de l'exhaustivité des cautions données selon le registre tenu par l'entité

Note de documentation : chaque procédure est définie précisément dans la lettre de mission référence DI-2024-PC-001, signée par Dubois Industries et la Banque Populaire le 15 janvier 2025.

Exécution de la procédure 1 - Confirmations bancaires

Envoi de demandes de confirmation aux trois banques de l'entité : Banque Populaire, Crédit Agricole Centre-Est et BNP Paribas. Les confirmations reçues indiquent des soldes respectifs de 245 000 EUR, 89 000 EUR et 167 000 EUR au 31 décembre 2024.

Note de documentation : les confirmations originales sont classées dans le dossier DI-2024-PC-001, section C. Toutes les confirmations ont été reçues directement des banques.

Exécution de la procédure 2 - Recalcul du ratio d'endettement

Calcul du ratio selon la formule contractuelle : (Emprunts à long terme + Emprunts à court terme) / Capitaux propres. Montants extraits des comptes annuels 2024 : emprunts long terme 3 200 000 EUR, emprunts court terme 890 000 EUR, capitaux propres 5 100 000 EUR. Ratio calculé : 80,2 %.

Note de documentation : les montants sont extraits du bilan au 31 décembre 2024, lignes 16 et 17 pour les emprunts, ligne 10 pour les capitaux propres. Calcul vérifié par recalcul indépendant.

Exécution de la procédure 3 - Vérification des cautions

Examen du registre des cautions tenu par le service financier. Le registre liste quatre cautions au 31 décembre 2024 : caution bancaire Crédit Agricole 150 000 EUR, caution OSEO 300 000 EUR, caution douanière 45 000 EUR, caution marché public 120 000 EUR. Total : 615 000 EUR.

Complication : un écart inattendu

Lors de l'exécution de la procédure 3, le service achats nous adresse un courrier mentionnant une cinquième caution de 80 000 EUR émise le 28 décembre 2024 au profit d'un nouveau fournisseur, non encore enregistrée dans le logiciel Sage X3 au 31 décembre. Le registre formel ne la contient pas. L'engagement existe pourtant en substance.

Que rapporter ? La procédure dit "vérifier l'exhaustivité des cautions selon le registre tenu par l'entité". Le registre, à la date convenue, ne contient pas cette caution. Nous rapportons donc le total du registre (615 000 EUR) et, dans la section des constatations factuelles, l'existence d'un courrier reçu de l'entité mentionnant une caution supplémentaire de 80 000 EUR non enregistrée au registre à la date du 31 décembre 2024. Pas d'interprétation. Pas d'évaluation de l'impact sur la décision de crédit. Le fait, et seulement le fait. La banque dispose alors de l'information pour ajuster sa propre analyse.

Note de documentation : le registre est tenu dans le logiciel de gestion Sage X3, module engagements hors bilan. Impression du registre au 31/12/2024 et courrier du service achats du 8 janvier 2025 classés dans le dossier DI-2024-PC-001, section E.

Conclusion des travaux

Les trois procédures ont été exécutées intégralement selon les termes convenus. Les résultats factuels sont consignés dans le rapport AUP référence DI-2024-PC-R001 remis à la Banque Populaire et à Dubois Industries le 28 janvier 2025.

Checklist pratique pour missions ISRS 4400

1. Vérifier l'accord tripartite avant acceptation : les utilisateurs prévus sont-ils identifiés et ont-ils défini ou approuvé les procédures selon ISRS 4400.15 ?

2. Documenter la restriction d'utilisation : la lettre de mission précise-t-elle que le rapport ne peut être utilisé que par les utilisateurs prévus selon ISRS 4400.18 ?

3. Définir chaque procédure avec précision : chaque procédure est-elle décrite de manière à éviter toute ambiguïté d'exécution ou d'interprétation ?

4. Exécuter uniquement les procédures convenues : aucune procédure supplémentaire n'a-t-elle été exécutée sans accord préalable des utilisateurs prévus selon ISRS 4400.23 ?

5. Rapporter les faits sans interprétation : le rapport évite-t-il tout langage pouvant être perçu comme fournissant une assurance selon ISRS 4400.27 ?

6. Point essentiel : les utilisateurs prévus comprennent-ils clairement qu'ils sont responsables de l'évaluation de la suffisance des procédures pour leurs besoins et qu'aucune assurance ne leur est fournie ?

Erreurs courantes à éviter

Dépassement du mandat : ajouter des procédures "par prudence professionnelle" transforme la mission en mission d'assurance non intentionnelle et expose le praticien à des responsabilités non convenues. Nous voyons ce piège surtout chez les CAC habitués à l'audit légal qui transposent leurs réflexes vers l'AUP.

Langage d'assurance dans le rapport : utiliser des termes comme "opinion", "conclusion", "assurance raisonnable" ou "rien n'est porté à notre attention" contredit la nature de la mission selon ISRS 4400. Sur ce point, les Bigs ne se trompent presque plus parce qu'ils ont des templates verrouillés ; les TPE/PME en cabinet indépendant sont les premières victimes.

Utilisateurs prévus non identifiés : accepter une mission destinée "à tous utilisateurs légitimes" ou "à qui de droit" viole l'exigence d'identification précise des utilisateurs selon ISRS 4400.09.

Ressources connexes

Modèles de lettres de mission ISRS 4400 : Lettres de mission types pour différents secteurs avec clauses de limitation et identification des utilisateurs prévus.

Calculateur de ratios financiers : Outil de recalcul automatisé pour les procédures de vérification de ratios financiers dans les missions de procédures convenues.

Guide ISAE 3000 missions d'assurance : Comparaison entre missions d'assurance et procédures convenues pour choisir le bon type de mission selon les besoins du client.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.