Ce que vous apprendrez

> - Comment restructurer vos dossiers de continuité d'exploitation selon l'approche en deux étapes de l'ISA 570 (Révisée 2024) > - Quelles procédures d'identification des risques changent sous l'ISA 315 (Révisée 2019) et ISA 240 (Révisée 2020) > - Comment l'ISQM 1 affecte la documentation qualité de vos missions individuelles > - Les dates d'application effectives et si l'adoption anticipée est autorisée

Table des matières

1. Ce qui change et pourquoi cela compte 2. ISA 570 (Révisée 2024) : la nouvelle approche de continuité d'exploitation 3. ISA 240 (Révisée 2020) et ISA 315 (Révisée 2019) : identification des risques renforcée 4. ISQM 1 (2022) : impact sur la documentation des missions 5. Exemple pratique : restructuration d'un dossier 6. Checklist de transition 7. Erreurs courantes à éviter 8. Contenus associés

Ce qui change et pourquoi cela compte

Le constat avant la norme

Les rapports d'inspection H2A des dernières campagnes pointent un schéma récurrent : la documentation qualité « cochée et tapée » sans substance, des évaluations de continuité d'exploitation où l'atténuation est intégrée dans le diagnostic, des CGTI traités comme un sujet IT à part. Les normes révisées attaquent ces trois zones. Ce n'est pas un alignement éditorial. C'est une réponse réglementaire à des constats répétés.

L'ancienne ISA 570 (2009) autorisait l'évaluation simultanée des évènements défavorables et des plans d'atténuation. L'ancienne ISA 315 (2009) restait évasive sur l'environnement informatique. L'ancienne ISA 240 (2009) traitait la fraude comme un risque significatif parmi d'autres, sans procédure dédiée.

L'ISA 570 (Révisée 2024) impose désormais une approche séquentielle : identifier d'abord tous les évènements défavorables sur une base brute, puis évaluer séparément la faisabilité des plans d'atténuation. L'ISA 315 (Révisée 2019) ajoute des exigences spécifiques sur l'environnement informatique et les contrôles généraux informatiques. L'ISA 240 (Révisée 2020) exige une évaluation distincte du risque de fraude avec des procédures dédiées.

Ce que vous devez faire concrètement

L'ISQM 1 (2022) exige que chaque associé responsable documente comment les politiques et procédures qualité du cabinet s'appliquent à sa mission. Le simple renvoi au manuel qualité ne tient plus. Vous devez documenter les mesures prises, pas seulement les politiques applicables.

L'adoption anticipée est autorisée pour toutes ces normes révisées. Mais elle doit être cohérente : pas question d'adopter l'ISA 570 (Révisée 2024) tout en conservant l'ancienne version de l'ISA 315.

Dates d'application effectives : - ISQM 1 (2022) : 15 décembre 2022 (déjà effectif) - ISA 315 (Révisée 2019) : 15 décembre 2021 (déjà effectif) - ISA 240 (Révisée 2020) : 15 décembre 2021 (déjà effectif) - ISA 570 (Révisée 2024) : 15 décembre 2026

ISA 570 (Révisée 2024) : la nouvelle approche de continuité d'exploitation

L'approche séquentielle obligatoire

L'ISA 570.18 (Révisée 2024) impose deux étapes distinctes. D'abord, l'ISA 570.18(a) exige d'identifier chaque évènement ou condition qui pourrait jeter un doute sur la capacité de l'entité à poursuivre son exploitation, avant toute considération des plans d'atténuation de la direction.

Ensuite, l'ISA 570.18(b) exige d'évaluer si les plans d'atténuation de la direction sont appropriés dans les circonstances, et s'ils sont susceptibles d'atténuer efficacement les évènements ou conditions identifiés.

Ce que la norme dit. Ce qui se passe réellement dans nos dossiers est différent. La pression du budget temps pousse à boucler la section continuité en une seule itération. L'associé reçoit le mémo de la direction qui annonce un refinancement « bouclé », et l'évaluation se construit autour de cette conclusion (le ratio dégradé devient une note de bas de page, pas un point d'attention). C'est exactement le biais que la norme vient corriger.

L'ISA 570.A43 (Révisée 2024) précise que cette approche améliore la qualité de l'évaluation en forçant l'auditeur à reconnaitre explicitement chaque indicateur défavorable avant d'évaluer les mesures correctives. Cette séparation élimine le biais de confirmation. Quand vous évaluez le problème et sa solution dans la même phrase, vous minimisez inconsciemment la gravité du problème pour justifier l'acceptabilité de la solution.

Ce que cela change dans votre documentation

L'ancienne approche documentait souvent : « Ratio de liquidité de 0,8, mais la direction prévoit un refinancement bancaire, donc pas de doute substantiel sur la continuité d'exploitation. » Une phrase. Diagnostic et traitement collés.

La nouvelle approche exige deux blocs. Étape 1 : « Ratio de liquidité de 0,8, échéances de dette à 6 mois pour 2,3 M EUR, trésorerie actuelle de 450 K EUR. Ces conditions jettent un doute sur la continuité d'exploitation. » Étape 2 (séparée, datée, sourcée) : « Évaluation du plan de refinancement bancaire de la direction... »

À mon avis, le plus gros piège n'est pas la séquence elle-même. C'est le retour silencieux à la fusion sous pression du budget temps : vous écrivez les deux étapes, et entre elles vous glissez « ces évènements sont atténués par le plan ci-dessous » dans la conclusion de l'étape 1. Le H2A lira ça comme une fusion déguisée parce que c'est ce que c'est.

ISA 240 (Révisée 2020) et ISA 315 (Révisée 2019) : identification des risques renforcée

ISA 240 : le risque de fraude comme catégorie distincte

L'ISA 240.26 (Révisée 2020) exige d'identifier et d'évaluer les risques d'anomalies significatives dues à la fraude comme une catégorie de risques distincte, pas comme un sous-ensemble des risques significatifs généraux.

L'ISA 240.A59 précise que cette évaluation doit tenir compte des incitations, des pressions et des opportunités spécifiques à la fraude. Le triangle de la fraude devient un outil d'évaluation obligatoire, pas seulement conceptuel.

Sur le papier, c'est une exigence claire. Dans nos dossiers, voilà ce qui se passe : les équipes recopient le triangle de la fraude depuis le modèle cabinet, cochent les trois cases (incitation, pression, opportunité) avec des phrases génériques sur la pression budgétaire de la direction, et passent au test des écritures de journal. La case est cochée. Le risque n'est pas évalué. Le H2A pose toujours la même question en revue : « Sur quels éléments propres à cette entité avez-vous appuyé l'évaluation ? »

ISA 315 : l'environnement informatique au centre

L'ISA 315.26 (Révisée 2019) ajoute des exigences spécifiques sur la compréhension de l'environnement informatique de l'entité, en particulier les contrôles généraux informatiques (CGTI). Pour les entités dépendant fortement de l'informatique, vous devez comprendre l'architecture des systèmes, les accès et autorisations, les processus de sauvegarde et de récupération, ainsi que la chaine d'interfaces entre modules.

L'ISA 315.A130 précise que cette compréhension est nécessaire même si vous n'avez pas l'intention de tester les CGTI. Sans cette compréhension, vous ne pouvez pas évaluer correctement les risques liés aux processus automatisés.

Voilà où le débat existe vraiment entre confrères. L'associé A considère que sur une PME industrielle de 30 M EUR de chiffre d'affaires avec un ERP standard, une cartographie d'une page et trois tests de chemin suffisent : la norme demande la compréhension, pas une mission ISAE 3402. L'associé B répond que le H2A a sanctionné des cabinets sur exactement ce profil parce que la cartographie ne couvrait pas les interfaces avec le module paie. Les deux ont raison sur leur partie. Le bon arbitrage tient au profil de risque IT spécifique de l'entité, pas à un seuil de chiffre d'affaires.

ISQM 1 (2022) : impact sur la documentation des missions

De la référence à l'application

L'ISQM 1.34 exige que chaque associé responsable documente comment il a appliqué les politiques et procédures qualité du cabinet à sa mission spécifique. Le paragraphe A69 précise que cette documentation doit démontrer que les mesures appropriées ont été prises, pas seulement que les politiques existent.

Au lieu de documenter « Politique d'indépendance du cabinet appliquée », vous devez documenter « Évaluation d'indépendance effectuée le [date], aucune menace identifiée, confirmation écrite obtenue de tous les membres de l'équipe le [date]. »

Et c'est là que ça coince dans nos dossiers. Personne n'aime cette procédure. Elle ajoute du temps qui ne se facture pas, sur des sujets que tout le monde considère comme déjà traités au niveau cabinet. C'est aussi le constat le plus fréquent en revue H2A sur la qualité, parce que c'est le plus facile à vérifier : ouvrir le dossier, chercher les dates, comparer aux dates de mission. Pas de date, pas de preuve, constat.

Impact sur la revue qualité des missions

L'ISQM 1.35 modifie les exigences de revue qualité des missions. L'associé chargé de la revue doit documenter que la revue a été achevée à la date du rapport d'audit ou avant cette date. L'ISA 220.37 (Révisée) aligne cette exigence sur les missions individuelles.

Ce qui se passe en pratique : la revue est conduite, mais sa documentation est complétée le lendemain ou la semaine suivante, après émission du rapport. La date sur la fiche de revue est antérieure au rapport. La date de signature électronique trahit la séquence réelle. C'est l'écart que les inspecteurs cherchent en priorité.

Exemple pratique : restructuration d'un dossier

> Entreprise : Métallurgie Française S.A.S. > Secteur : Transformation de métaux > Chiffre d'affaires : 28 M EUR > Effectifs : 145 employés > Période d'audit : Exercice clos le 31/12/2025 > Application des normes révisées : ISA 570 (Révisée 2024) applicable

Ancien dossier (approche fusionnée)

Section continuité d'exploitation : Ratio actuel de 0,85, dettes bancaires échéant dans 8 mois pour 3,2 M EUR, trésorerie de 680 K EUR. La direction a obtenu un accord de principe de refinancement de la banque principale pour 4 M EUR sur 5 ans. Base d'évaluation en continuité d'exploitation appropriée.

Documentation : une page avec évaluation globale.

Nouveau dossier (approche séquentielle)

Étape 1 : identification des évènements défavorables - Ratio de liquidité : 0,85 (seuil contractuel : 1,0) - Échéances de dette : 3,2 M EUR dans 8 mois - Trésorerie disponible : 680 K EUR - Découvert autorisé utilisé à 85 %

Documentation : liste exhaustive des indicateurs, ISA 570.A3 à A6 utilisée comme checklist.

Étape 2 : évaluation des plans d'atténuation - Accord de principe bancaire examiné : lettre datée du 15/01/2025 - Conditions préalables au refinancement vérifiées - Calendrier de finalisation cohérent avec les échéances

Documentation : évaluation séparée de chaque mesure corrective, avec éléments probants à l'appui.

La complication

Trois jours avant l'émission du rapport, le directeur financier nous transmet une mise à jour : la banque principale conditionne désormais le refinancement à un apport en compte courant de l'actionnaire pour 800 K EUR, somme non confirmée par écrit. L'ancienne approche (fusionnée) aurait probablement intégré cet élément en annotation et conclu sur la continuité. La séquence en deux étapes oblige à rouvrir l'étape 2 : la mesure corrective n'est plus complète, l'incertitude sur l'apport actionnaire devient un élément à documenter, et le rapport doit décider s'il y a une incertitude significative à mentionner. Pas de réponse formulaire. C'est exactement la zone grise que la nouvelle ISA 570 expose au lieu de la masquer.

Conclusion

L'approche séquentielle a révélé trois indicateurs défavorables supplémentaires qui auraient été minimisés dans l'approche fusionnée. La documentation finale fait 4 pages au lieu d'une, mais capture mieux les risques réels.

Checklist de transition

1. Inventaire des modèles de dossiers actuels. Identifiez tous les modèles utilisés par votre équipe et vérifiez leur conformité avec les normes révisées.

2. Restructuration des sections continuité d'exploitation. Modifiez vos modèles pour séparer l'identification des évènements (ISA 570.18a) de l'évaluation des plans d'atténuation (ISA 570.18b).

3. Ajout des procédures environnement informatique. Intégrez les nouvelles exigences ISA 315.26 sur la compréhension des systèmes informatiques dans vos programmes de travail.

4. Mise à jour de la documentation qualité. Remplacez les renvois aux politiques cabinet par la documentation des mesures prises conformément à l'ISQM 1.34.

5. Formation des équipes. Organisez des sessions sur l'approche séquentielle de continuité d'exploitation et les nouvelles procédures d'identification des risques de fraude.

6. Test des nouveaux modèles. Appliquez les modèles révisés sur une mission pilote avant le déploiement général.

Erreurs courantes à éviter

- Adoption partielle. Vous ne pouvez pas adopter seulement certains aspects d'une norme révisée. L'ISA 570 (Révisée 2024) doit être appliquée intégralement ou pas du tout.

- Documentation qualité insuffisante. Écrire « ISQM 1 appliqué » ne suffit plus. Vous devez documenter les mesures spécifiques prises sur la mission.

- Mélange des approches. L'évaluation simultanée des évènements défavorables et des plans d'atténuation ne respecte plus l'ISA 570 (Révisée 2024). La séquence est obligatoire, et toute conclusion intermédiaire qui anticipe l'atténuation rouvre la même faille.

Contenus associés

- Évaluation de la continuité d'exploitation sous ISA 570 : définition complète et procédures étape par étape - Calculateur de ratios financiers ISA 520 : outil pour analyser les indicateurs de continuité d'exploitation - Guide d'identification des risques de fraude ISA 240 : méthodes pratiques d'évaluation du triangle de la fraude

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.