Ce que la norme exige, ce que le dossier livre

L'ISA 700 (Révisée), applicable depuis décembre 2016, a inversé la structure historique du rapport. L'opinion arrive en tête. La section sur les questions clés d'audit (KAM) suit, obligatoire pour les entités d'intérêt public (EIP). Vient ensuite la description étendue des responsabilités, et la déclaration d'indépendance. L'ISA 701.8 définit les KAM comme « les questions qui, selon le jugement professionnel de l'auditeur, ont eu la plus grande importance dans l'audit des états financiers de la période considérée ».

En théorie, ce paragraphe oblige le CAC à classer ses risques, à en retenir trois ou quatre, et à expliquer pourquoi ceux-là plutôt que d'autres. Ce qui se passe en réalité : la sélection des KAM est faite au doigt mouillé, à partir du rapport de l'an dernier, ajustée à la marge en fonction de ce que l'associé a vu lors du comité d'audit de septembre. Le jugement est rétroactif. La justification est rédigée pour défendre une décision déjà prise.

L'ISA 701.13 exige pourtant trois éléments par KAM : pourquoi la question a été retenue, comment elle a été traitée dans l'audit, et la référence aux notes de l'annexe. Ce qui se passe en réalité : le « pourquoi » est générique (« en raison du caractère hautement subjectif des estimations »), le « comment » liste des procédures sans dire ce qu'elles ont produit, et la référence à l'annexe pointe vers une note de quinze pages qui ne répond pas spécifiquement au risque évoqué.

Pourquoi le dossier est trop léger

Il ne s'agit pas de blâmer les confrères. Il s'agit de reconnaître la pression structurelle. Le KAM différenciant prend du temps à écrire. Il prend encore plus de temps à défendre devant l'associé qui doit signer. Le KAM standard, lui, passe la revue en deux relectures parce qu'il ressemble à ce que tout le monde fait. À budget d'heures contraint, le calcul est vite fait.

Sur les dossiers que nous voyons, le KAM moyen sur la dépréciation du goodwill (ISA 701.A28) cite la même hypothèse de taux d'actualisation, le même horizon de projection à cinq ans, et la même conclusion (« nos travaux n'ont pas conduit à des observations »). Le confrère qui rédige sait que le management de son client lit le rapport. Il sait que tout écart par rapport au gabarit sectoriel sera lu comme un signal. Le copier-coller n'est pas une paresse. C'est une stratégie de minimisation du risque relationnel et juridique.

Je l'avoue : sur deux mandats EIP que j'ai supervisés en 2023, nous avons recyclé un KAM de l'année précédente avec des modifications mineures, parce que la nouvelle équipe n'avait pas le temps de refaire la cartographie des risques en profondeur. Le dossier était trop léger pour soutenir une formulation différente. Le rapport est passé sans commentaire.

Le débat dans le cabinet : Associé A et Associé B

Sur la même mission cotée Euronext Paris, deux associés expérimentés ne sont pas d'accord sur la sélection des KAM.

L'associé A, formé dans un Big, soutient que les KAM doivent rester proches du standard sectoriel, parce que le rapport est lu par des analystes qui comparent les émetteurs entre eux. Un KAM atypique brouille la comparabilité et invite l'investisseur à poser des questions auxquelles le CAC n'est pas obligé de répondre publiquement. Position défendable : le rapport n'est pas un document pédagogique, c'est une certification.

L'associé B, qui a fait toute sa carrière hors des Bigs, considère que le KAM standardisé trahit l'intention de l'ISA 701. Si trois auditeurs différents auraient écrit le même paragraphe sur la même société, le KAM ne révèle aucun jugement professionnel particulier. Il existe pour cocher la case. Position défendable aussi : le rapport est censé documenter ce qui a été spécifiquement difficile dans cette mission, pas reproduire un état de l'art sectoriel.

Les deux ont raison sur le plan déontologique. Le désaccord est culturel, pas technique. Et il ne sera pas tranché par la norme.

Exemple : Technologie Avancée Européenne S.A.

Société cotée Euronext Paris. Chiffre d'affaires 85 M€. Solutions logicielles industrielles.

Le rapport pré-2016 faisait 200 mots : étendue, opinion, signature. Le rapport actuel selon l'ISA 700 (Révisée) fait 1 200 mots, soit six fois plus. Trois KAM sont retenus :

- évaluation des revenus de licences logicielles complexes (ISA 701.A31) - dépréciation potentielle du goodwill (ISA 701.A28) - validation des provisions pour garanties logicielles (ISA 701.A33)

La complication arrive en mars 2024. Trois semaines avant la signature, le client annonce qu'un de ses cinq plus gros contrats de licence (8 M€ étalés sur trois ans) est en renégociation suite à un litige client. Le revenu de l'exercice 2023 inclut déjà 2,4 M€ liés à ce contrat. Le KAM rédigé en janvier ne couvre pas cette situation. Faut-il le réécrire ? Ajouter un quatrième KAM ? Élargir le KAM existant ? L'ISA 701.A31 ne tranche pas.

Le confrère a deux options. Élargir le KAM revenu pour intégrer une mention spécifique au litige (visible, traçable, mais qui expose le client à des questions d'analystes). Ou maintenir le KAM générique et traiter le litige uniquement dans la communication ISA 260 avec le comité d'audit (conforme, plus discret, mais qui prive le lecteur du rapport d'une information utile). Sur ce dossier, nous avons choisi la première option. Le client n'a pas apprécié. Le KAM a tenu.

Technologie, ESG, communication continue

Les outils d'analyse de données permettent de tester 100 % d'une population plutôt qu'un échantillon. La blockchain rend certaines transactions immuables et déplace l'audit vers la validation des contrôles d'accès. L'ESMA a publié plusieurs études sur l'efficacité des KAM et leur impact sur les décisions d'investisseurs. Les résultats convergent : les utilisateurs valorisent les informations supplémentaires, mais réclament plus de spécificité sur les procédures et leurs conclusions.

Sur le papier, la technologie va transformer le rapport. Dans la pratique, ce qui transformera le rapport, c'est la décision du CAC d'écrire ce qu'il pense vraiment du dossier, pas ce que son confrère a écrit l'an dernier sur le même secteur. La communication en temps réel, la visualisation des données testées, l'extension de l'assurance vers l'ESG et la cybersécurité : ces évolutions ne changeront rien si le KAM continue d'être du tampon.

L'avenir du rapport d'audit ne dépend pas de l'IA ni de la blockchain. Il dépend de la décision collective de la profession d'accepter que deux KAM différents sur deux sociétés différentes du même secteur soient un signe de qualité, pas un risque de contentieux.

Checklist pratique

1. Documentez les KAM dès la planification (ISA 701.9 exige une identification précoce des domaines de risque élevé) 2. Pour chaque KAM, vérifiez que la formulation ne pourrait pas s'appliquer telle quelle au mandat de votre confrère sur une autre société du même secteur 3. Liez explicitement chaque KAM à la communication ISA 260 (ISA 701.15) 4. Tenez un registre des KAM rejetés et de la raison du rejet (le jugement de sélection compte autant que le KAM retenu) 5. Surveillez les évolutions ESMA et H2A sur les attentes en matière de spécificité

Erreurs courantes

Contenu connexe

- Glossaire : Questions clés d'audit - Définition complète et exigences de l'ISA 701 - Outil : Générateur de rapports d'audit - Template pour structurer les rapports étendus conformément à l'ISA 700 (Révisée) - Article : Communication avec la gouvernance selon l'ISA 260 - Lien entre communication interne et rapport public

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.