La thèse : le risque de fraude est une question de jugement, pas de procédure
La NEP 240 (ISA 240 transposée) impose au CAC d'identifier et d'évaluer les risques d'anomalies significatives résultant de fraudes au niveau des assertions. Le paragraphe 32 de l'ISA 240 est explicite. Le paragraphe A29 rappelle que la direction peut contourner les contrôles qu'elle a elle-même conçus. Le paragraphe 12 exige un scepticisme professionnel maintenu tout au long de la mission.
Tout cela, vous le savez. Ce que les enforcement actions montrent, c'est que la conformité formelle à ces paragraphes n'a pas empêché les détections manquées. Le problème n'est pas dans le texte de la norme. Il est dans l'écart entre ce que la NEP 240 décrit comme un travail de jugement et ce qui se passe réellement dans le dossier sous pression de budget temps.
Trois failles structurelles reviennent dans les sanctions que nous voyons.
Faille 1 : l'évaluation du risque est faite au doigt mouillé
L'ISA 240.A1 énumère les facteurs de risque (incitations, opportunités, rationalisations). La norme n'exige pas une formule. Elle exige un jugement étayé. Dans la majorité des dossiers H2A sanctionnés, l'évaluation se résume à trois cases cochées et une phrase générique : « risque modéré, procédures planifiées conformément à la NEP 240 ».
Ce que la norme dit. Le paragraphe 25 demande une évaluation distincte des risques de fraude par catégorie d'opérations, soldes de comptes et informations à fournir. Au niveau des assertions. Pas au niveau de l'entité.
Ce qui se passe vraiment. Sur les missions de PME que nous voyons, l'évaluation au niveau des assertions est rarement faite. Elle est consolidée en un tableau unique « zones à risque » qui couvre les revenus et les estimations, et c'est tout. La case est cochée parce que le système de gestion de mission l'exige. La substance est ailleurs.
Une entreprise qui rate ses objectifs de croissance de 2 % ne présente pas le même profil qu'une entreprise à 0,1 point de violer ses covenants bancaires. Si le directeur général a des stock-options qui expirent dans six mois et que l'action doit gagner 40 % pour qu'elles soient dans la monnaie, ce n'est pas une « pression modérée ». C'est un incitant financier direct à manipuler les résultats. Cette quantification ne figure presque jamais dans les évaluations de risque que nous lisons en revue qualité.
Faille 2 : les contrôles de la direction sont évalués comme s'ils étaient infaillibles
L'ISA 240.A29 est sans ambiguïté : la direction peut contourner les contrôles. Cette capacité de contournement est le mécanisme principal des fraudes impliquant la direction. Pas une exception. Le mécanisme principal.
Ce que la norme dit. Le paragraphe 32(c) exige que le CAC traite ce risque de contournement comme un risque significatif sur toutes les missions. Tous les risques significatifs déclenchent des procédures spécifiques.
Ce qui se passe vraiment. Le risque de contournement est documenté en deux phrases standard reproduites d'un dossier à l'autre. Les procédures associées sont les tests d'écritures de journal (JEC) prévus par le paragraphe 32(c)(i). Et c'est tout. Sur la revue des estimations comptables (paragraphe 32(c)(ii)) et l'examen des transactions importantes inhabituelles (paragraphe 32(c)(iii)), c'est le tampon. Un paragraphe générique. Une conclusion en boucle.
Quand un directeur financier explique une variation inhabituelle par « un ajustement comptable de fin d'année », l'équipe accepte souvent sans creuser. Le scepticisme professionnel exigé par le paragraphe 12 demande de remettre en question les explications, même cohérentes. Sur le terrain, le budget temps a déjà mangé deux jours sur l'estimation des stocks, et le manager n'a pas envie de rouvrir la discussion à H-3 du dépôt.
Faille 3 : les tests JEC sont faits, mais sur le mauvais périmètre
C'est la faille la plus visible dans les enforcement actions. Le test des écritures de journal est une exigence non négociable du paragraphe 32(c)(i). Sur le papier, presque tous les dossiers en font. En pratique, la qualité varie énormément.
Ce que la norme dit. Le paragraphe A43 et A44 listent les caractéristiques d'écritures à cibler : écritures non standard, écritures passées par des utilisateurs non habituels, écritures à des dates inhabituelles, écritures sur des comptes rarement utilisés, écritures avec un libellé vague ou rond, écritures de fin d'exercice. Le test doit cibler ces caractéristiques de manière combinatoire.
Ce qui se passe vraiment. L'équipe extrait le grand livre, applique deux ou trois critères dans Excel (souvent : montant supérieur au seuil et date au 31 décembre), tire 25 écritures, vérifie les pièces, conclut. Les écritures à libellé rond ou passées par un utilisateur non habituel ne sont pas testées. Les sanctions H2A sur ce point sont claires : un test JEC qui n'utilise pas plusieurs caractéristiques de risque combinées n'est pas un test JEC.
Le contre-argument : « plus de procédures ne détecteront pas plus de fraudes »
C'est l'objection que nous entendons systématiquement quand nous présentons ce constat à des associés en revue qualité. Et l'objection a du fond. La fraude impliquant la direction est, par construction, conçue pour échapper aux procédures d'audit. Les commandes fictives chez Wirecard ont survécu à dix années d'audit EY. Les pertes cachées chez Carillion ont passé KPMG. Si les Big 4 avec leurs équipes spécialisées en investigation ratent ces dossiers, demander à un cabinet de 20 personnes d'en faire plus relève de l'incantation.
Nous comprenons l'argument. Nous le rejetons.
D'abord parce que les enforcement actions ne sanctionnent pas la non-détection de la fraude. La NEP 240 ne crée pas une obligation de résultat. Elle crée une obligation de moyens. La H2A et le CSR sanctionnent l'absence des procédures requises, pas l'absence de découverte. La défense « personne n'aurait détecté cette fraude » n'efface pas le fait que le test JEC était limité à deux critères, ou que l'évaluation du risque de fraude tenait en trois lignes.
Ensuite parce que les fraudes sanctionnées ne sont pas, en majorité, des montages sophistiqués à la Wirecard. Ce sont des manipulations classiques. Des commandes datées du 31 décembre. Des stocks gonflés. Des charges reclassées. Le type de fraude que la NEP 240 a précisément été écrite pour détecter. Quand l'inspection trouve que ces fraudes ont passé l'audit, le problème n'est pas la sophistication. Le problème est l'application machinale de la norme.
Verdict. Le coût d'une mission CAC moyenne en France ne permet pas d'investiguer une fraude. C'est un fait structurel. Mais le coût permet largement d'évaluer le risque de fraude correctement, de documenter cette évaluation en termes spécifiques à l'entité, et de calibrer les tests JEC sur plusieurs critères combinés. Ces trois choses ne dépendent pas du budget. Elles dépendent du jugement appliqué à la planification.
Le désaccord légitime : jusqu'où aller quand le budget est cuit
Sur ce point, deux associés expérimentés peuvent raisonnablement diverger. Et ils divergent.
L'associé A considère que dès qu'un signal de fraude apparaît en cours de mission, l'équipe doit étendre les procédures, quel que soit l'état du budget. Sa logique : la responsabilité du CAC en cas de fraude non détectée est personnelle et engage l'inscription au tableau. Le coût de l'extension est toujours inférieur au coût d'une procédure disciplinaire H2A. Quand le directeur financier insiste pour assister à tous les entretiens du personnel comptable, c'est un signal. On creuse, on documente, et on facture le complément en honoraires de mission ou on le passe en perte sur l'exercice.
L'associé B considère que le périmètre des procédures est arrêté à la planification, sur la base de l'évaluation des risques documentée à ce moment-là. Sa logique : étendre les procédures à chaque signal observé pendant la mission revient à transformer chaque mission en investigation, ce qui n'est ni le mandat ni le tarif d'un CAC. Le scepticisme professionnel exige de noter le signal, d'évaluer s'il modifie l'évaluation des risques, et d'agir en conséquence, ce qui peut signifier ne rien étendre si l'élément peut être expliqué autrement.
Les deux positions sont défendables. La nôtre, dans les revues qualité, penche vers A pour les signaux qui touchent les zones de risque significatif déjà identifiées (revenus, estimations, transactions liées). Elle penche vers B pour les signaux comportementaux isolés sur des zones non significatives. Mais le débat est réel, et tout cabinet qui prétend avoir une règle claire sur ce point ment ou n'a pas vraiment réfléchi à la question.
L'incitation perverse : le forfait
Pourquoi tant de dossiers présentent le même profil de défaillance NEP 240 ? Pas parce que les CAC sont incompétents. Parce que la structure économique du marché de l'audit français pousse mécaniquement à cette défaillance.
Le forfait. La majorité des missions de CAC pour des PME et ETI sont facturées à honoraires fixes négociés à l'avance. Le budget temps est calculé pour que la marge tienne sur un dossier « normal », sans complication. Toute extension de procédure au-delà du planifié sort du budget. Sur un mandat reconductible, l'associé sait qu'augmenter les honoraires l'année N+1 met le mandat en risque de mise en concurrence. La pression économique pousse donc à exécuter le programme planifié, à documenter conformément, et à clôturer.
Le test JEC qui ne croise pas plusieurs critères de risque, ce n'est pas un manque de connaissance de la NEP 240. C'est une équipe de trois personnes en pleine période de bourre, qui doit boucler douze missions avant le 30 avril, et qui sait que la sortie d'une trentaine d'écritures avec deux filtres dans Excel passera la revue interne. La sortie en quinze critères croisés prend un jour et demi de plus. Le jour et demi n'est pas dans le budget.
C'est l'incitation perverse que la norme ne peut pas changer. Elle peut être nommée, et c'est déjà beaucoup.
Exemple pratique : Automatismes Lyonnais SAS
Contexte. Fabricant d'équipements industriels, chiffre d'affaires de 45 millions d'euros, 180 collaborateurs. Baisse de 18 % du chiffre d'affaires sur les deux derniers exercices. Covenants bancaires exigeant un ratio de couverture des charges financières supérieur à 2,5. Honoraires CAC de 38 000 euros, équipe de deux collaborateurs et un manager, budget temps planifié à 280 heures.
Évaluation du risque de fraude (planification)
L'équipe identifie les facteurs de risque NEP 240.A1 : pression financière sur l'entité, rémunération variable des dirigeants liée aux résultats, secteur en difficulté. Conclusion : risque de fraude évalué « modéré ». Procédures supplémentaires planifiées : test JEC avec deux critères (date de fin d'exercice, montant > 50 % de la matérialité), revue des estimations significatives, examen des transactions inhabituelles.
C'est exactement ce que l'on attend d'un dossier moyen. Et c'est exactement ce qui sera cité comme insuffisant en cas d'inspection.
La complication
À mi-mission, le directeur financier insiste pour être présent lors de tous les entretiens avec le personnel comptable. Les écritures d'inventaire de fin d'année sont toutes passées par un seul utilisateur (le directeur financier lui-même). Plusieurs commandes importantes sont enregistrées dans les cinq derniers jours de l'exercice, vers un client client unique représentant 8 % du chiffre d'affaires. La marge brute consolidée s'améliore de 1,7 point sans explication évidente, alors que l'industrie reste sous pression.
À ce stade, le manager note les observations. Le budget est consommé à 80 % alors qu'il reste l'inventaire physique et la note de synthèse. La discussion en équipe : faut-il étendre les procédures ?
Le manager hésite. Étendre, c'est trois jours de plus. C'est dépasser le forfait. C'est une discussion désagréable avec l'associé. Et chaque observation prise isolément peut s'expliquer : un directeur financier protecteur, des écritures d'inventaire centralisées pour cohérence, des commandes de fin d'année dans une activité B2B. Rien de définitif.
Le jugement. Aucune des trois observations prise seule ne déclenche d'extension. Mais leur combinaison touche deux des zones de risque significatif identifiées en planification (revenus, estimations d'inventaire) et concerne la personne avec accès au contournement des contrôles. C'est précisément la configuration que l'ISA 240.A29 et A43 décrivent comme déclenchant une réponse renforcée.
Ce que l'équipe aurait dû faire
Étendre le test JEC sur les écritures d'inventaire passées par le directeur financier, sur la totalité, pas par échantillon. Effectuer un test de coupure étendu sur les commandes des dix derniers jours de l'exercice, en remontant jusqu'aux bons de livraison et confirmations clients indépendantes. Conduire un entretien individuel avec deux comptables sans présence du directeur financier (le paragraphe A24 le permet explicitement quand des indicateurs de pression existent).
Coût estimé : trois à quatre jours, soit environ 4 500 euros en valeur de temps. À mettre en regard du coût d'une procédure disciplinaire H2A, qui se chiffre en dizaines de milliers d'euros et en mois de temps associé.
Ce qui s'est passé en réalité
L'équipe note les observations comme « particularités de gestion ». Les procédures planifiées sont exécutées sans extension. Le rapport est signé sans réserve. Huit mois plus tard, une enquête interne révèle 3,2 millions d'euros de manipulation : fausses commandes (1,8 M€), évaluations d'inventaire gonflées (900 K€), reports de charges (500 K€). Le montant représente 7 % du chiffre d'affaires. Cette manipulation suffit à respecter les covenants et à déclencher les bonus.
Le rapport d'inspection ultérieur ne reproche pas au CAC de ne pas avoir détecté la fraude. Il reproche que le test JEC n'ait pas été étendu aux écritures du directeur financier malgré le signal observé, et que l'évaluation du risque de fraude n'ait pas été mise à jour en cours de mission alors que les paragraphes 32 et A24 l'imposaient. La sanction est une mesure d'interdiction temporaire pour le signataire, plus une amende cabinet.
L'approche formelle de la NEP 240 était respectée. Son esprit ne l'était pas.
Liste de contrôle pour une approche renforcée
1. Quantifier les pressions financières en termes spécifiques. Pas « difficultés économiques ». L'écart en points de marge à la violation des covenants. Le pourcentage de variation nécessaire pour que les stock-options atteignent la monnaie. Le delta entre la performance actuelle et le seuil de bonus. Ces chiffres figurent dans le dossier ou ils n'y figurent pas.
2. Cartographier le contournement réel pour chaque contrôle clé. Qui peut le contourner, comment, et sans quelle trace. La NEP 240.31 ne demande pas une évaluation théorique. Elle demande une évaluation concrète, par contrôle, par personne avec accès.
3. Calibrer le test JEC sur au moins quatre caractéristiques de risque combinées. Date, utilisateur, libellé, compte. Pas seulement date et montant. Le paragraphe A43 énumère les caractéristiques. Les utiliser de manière combinatoire est ce qui distingue un test JEC de la sortie d'un échantillon.
4. Réévaluer le risque de fraude en cours de mission, pas seulement à la planification. Le paragraphe 32 exige une évaluation continue. Quand un signal apparaît, le documenter, évaluer s'il modifie le risque, agir en conséquence. La trace écrite de cette réévaluation est ce que l'inspection cherche en premier.
5. Tenir au moins un entretien individuel sans présence de la direction. Le paragraphe A24 l'autorise quand des indicateurs de pression existent. Cette procédure simple révèle souvent ce qui ne sortira jamais en présence du directeur financier.
6. Documenter les non-tests. Si un signal est observé mais ne déclenche pas d'extension, expliquer pourquoi. Pas en deux lignes génériques. En termes spécifiques au signal et à l'entité. C'est le contraire du tampon. C'est ce qui sépare le jugement professionnel exercé du jugement professionnel allégué.
Erreurs courantes observées en revue qualité
L'évaluation du risque de fraude tient en trois lignes génériques. Quand l'inspection demande à voir comment le risque a été évalué pour les revenus séparément des estimations, la réponse manque.
Les explications de la direction sont acceptées sans corroboration. Le scepticisme professionnel n'est pas un état d'esprit qu'on déclare dans la note de planification. Il est ce qui produit, dans le dossier, des questions documentées et des éléments probants qui ne viennent pas de la direction elle-même.
Les signaux comportementaux sont traités isolément. Pris séparément, chaque signal a une explication. Pris ensemble, ils dessinent le profil que la NEP 240 a été conçue pour détecter. C'est l'accumulation que l'inspection sait lire et que l'équipe sous pression de budget tend à manquer.
L'insight que vous ne trouverez pas dans le texte de la NEP 240 : la fraude n'échappe pas aux CAC parce que les CAC ignorent la norme. Elle échappe parce que la structure économique du forfait rend l'application complète de la norme non rentable sur la marge moyenne d'un dossier de PME, et que la pression de la période de bourre fait que personne, dans l'équipe, n'a le temps ni l'envie de rouvrir une discussion qui sort du budget. Tant que cette équation économique n'est pas posée explicitement, aucune révision normative ne corrigera le problème.
Ressources connexes
- Calculateur d'évaluation des risques de fraude ISA 240 : Outil pour quantifier les facteurs de risque et adapter les procédures d'audit en conséquence - Matérialité d'audit : Comprendre comment les risques de fraude influencent la détermination et l'application de la matérialité - Guide complet ISA 315 : Identification des risques : Méthodes pour identifier les risques d'anomalies significatives, y compris ceux liés à la fraude