Comment ils fonctionnent

Un contrôle d'application fonctionne au moment où une transaction entre dans le système ou en sort. C'est différent d'un contrôle général informatique, qui gouverne l'accès au système, ou d'une procédure analytique, qui détecte les erreurs après coup en comparant les agrégats.
L'ISA 315.27 exige que vous identifiez à la fois les contrôles d'application et les lacunes potentielles. ISA 315.A74 précise que ces contrôles incluent les validations de données (une facture de vente ne peut pas dépasser le crédit autorisé du client), les rapprochements automatisés (le total des lignes de commande doit égaler l'en-tête de la facture) et les calculs intégrés (le prix unitaire multiplié par la quantité est calculé automatiquement, pas saisi manuellement).
Le point critique : ces contrôles existent pour prévenir, détecter ou corriger les erreurs au niveau de la transaction individuelle. Un contrôle d'application qui échoue 10 fois sur 1 000 transactions signifie que 10 erreurs potentiellement significatives ont traversé le système sans correction. ISA 330.7 exige que vous testiez l'efficacité de ces contrôles avant de vous fier à eux dans votre stratégie d'audit.

Exemple pratique : Talleres García Mecánica S.L.

Cliente : atelier de réparation automobile basé à Madrid, chiffre d'affaires 8,5 M EUR (2024), rapportage en normes comptables espagnoles avec conformité IFRS pour les montants significatifs.
Étape 1 : Identifier les contrôles d'application
Talleres García utilise un système de gestion des ateliers (logiciel personnalisé) pour traiter les commandes de réparation. Un client appelle, un technicien crée une commande de travail. Le système invalide automatiquement toute commande si : (a) le montant total dépasse 50 000 EUR sans approbation préalable du directeur, (b) le code de prestation n'existe pas dans le plan comptable (rejet avec message d'erreur), ou (c) le client n'a pas de TVA valide enregistrée (le système stoppe le traitement jusqu'à correction).
Documentation : l'équipe d'audit crée une matrice des contrôles d'application listant chaque validation, le moment où elle s'exécute (avant ou après saisie de données critiques), et la condition d'arrêt. Référence : ISA 315.A74.
Étape 2 : Tester l'efficacité du contrôle avant de vous y fier
L'auditeur senior extrait un échantillon de 60 commandes de travail du 1er janvier au 30 juin 2024 (périodes de fort trafic et de trafic réduit). Pour chaque commande, elle vérifie :
Documentation : tableau d'audit montrant, pour chaque transaction testée, le résultat du test (conforme ou écart). L'écart (10 approbations manquantes) est évalué au regard de la matérialité de performance et de la base de données complète. Référence : ISA 330.7.
Étape 3 : Évaluer si les écarts sont significatifs
L'auditeur évalue : 10 commandes sans approbation = expositions combinées de 180 000 EUR. La matérialité de performance (établie à 200 000 EUR) n'est pas dépassée, mais l'écart révèle un risque que le contrôle n'existe pas ou n'est pas exécuté de manière cohérente. Elle recommande à la direction une correction : configuration du système pour interdire la facturation jusqu'à ce que l'approbation soit enregistrée (activer la validation logicielle) ou formation du personnel sur le workflow existant.
Conclusion
Le contrôle d'application de montant maximal fonctionne: 50 transactions sur 50 >= 50 000 EUR ont été rejetées ou ont reçu une approbation documentée. Le contrôle de code de prestation fonctionne: 0 erreurs détectées. Le contrôle d'approbation échoue partiellement: 10 écarts révèlent une exécution défaillante du processus, pas une lacune du système. Cette conclusion justifie une approche d'audit combinée : accepter la première validation comme fortement fiable, réduire les tests des codes de prestation, augmenter les tests d'approbation et réduire la matérialité de performance pour ce flux si la correction n'est pas mise en œuvre avant la clôture de l'audit.

  • Le montant déclaré sur la facture correspond-il au montant saisi dans le système ? (l'absence de modification manuelle après saisie confirme que le système est intact)
  • Le code de prestation saisi existe-t-il dans le plan comptable ? (elle relève le code, le cross-référence au grand livre)
  • Existe-t-il des commandes en suspens (state = "pending approval") qui n'ont jamais été approuvées ? (10 cas trouvés ; cela révèle un écart dans l'exécution du contrôle)

Ce que les réviseurs et praticiens oublient

  • Constat de révision courant (Tier 1) : L'absence de documentation formelle des contrôles d'application est le constat d'inspection le plus fréquent. Les directions considèrent souvent que parce qu'une procédure manuelle existe, le contrôle est établi. ISA 315.27 exige une identification des contrôles pertinents ; ISA 330.7 exige un test de cette efficacité avant de s'y fier. Un audit qui accepte les affirmations de la direction sans tester le contrôle lui-même ne satisfait pas cette exigence.
  • Erreur pratique standard (Tier 2) : Les auditeurs testent le contrôle d'application trop tard dans le processus. Ils acceptent les données du client, les importent dans leur outil d'analyse, puis découvrent que le montant total est erroné ou qu'un code de transaction manque. À ce moment, le contrôle a échoué, mais l'audit ne l'a jamais testé quand il avait le plus de valeur (au moment de la saisie). ISA 315.A79 précise que les contrôles opèrent à des points spécifiques du cycle de transaction. L'absence de test à ces points spécifiques signifie que vous testez après qu'une correction manuelle ait masqué l'écart d'origine.
  • Lacune documentée (Tier 3) : Beaucoup de cabinets affirment tester les contrôles d'application, mais leur documentation de test est insuffisante pour confirmer l'efficacité. Un modèle courant : « J'ai examiné 10 transactions. Aucun problème détecté. » Cela ne dit pas quand le contrôle a été testé (avant ou après la saisie ?), quel risque le contrôle adresse-t-il, ou si le test a réellement permis au contrôle d'échouer (c'est-à-dire, avez-vous soumis une transaction invalide pour voir si le système l'a rejetée ?). ISA 330.8 exige une évaluation de la conception et de l'exécution du contrôle.

Contrôles d'application vs contrôles généraux informatiques

| Dimension | Contrôles d'application | Contrôles généraux informatiques |
|---|---|---|
| Niveau d'application | Opèrent sur des transactions individuelles lors de leur saisie ou traitement | Régissent l'accès au système, la sauvegarde et la maintenance du système dans son ensemble |
| Exemple | Le système rejette une facture si le client n'a pas de crédit enregistré | Seuls les employés autorisés peuvent accéder au module de facturation ; les modifications de code sont sauvegardées avec historique |
| Quand le tester | Avant de vous fier aux données pour les assertions du flux transactionnel | Avant de tester les contrôles d'application (les contrôles généraux sont une condition préalable) |
| Risque d'écart | Une transaction erronée traverse le système sans détection | Tout le système peut être compromise par un accès non autorisé ou une modification de code non documentée |
| Remédiation typique | Renforcer la validation du système ou former le personnel au processus manuel existant | Limiter l'accès, implémenter des droits d'audit, améliorer la sauvegarde |

Quand cette distinction importe sur une mission

Vous testez les contrôles d'application d'une entreprise de distribution (code d'article, quantité commandée, prix unitaire) et vous découvrez que deux commandes sur 50 testées contiennent des quantités qui n'ont pas été validées en fonction du stock disponible. Avant de conclure que le contrôle d'application est défaillant, vérifiez d'abord si un contrôle général informatique existe : seules les personnes autorisées à créer des commandes peuvent-elles le faire ? Si oui, et si ces deux utilisateurs non autorisés ont créé les commandes, le problème est un contrôle général (accès non limité), pas un contrôle d'application (validation de quantité manquante). Les remédiationes sont différentes. Si l'utilisateur était autorisé mais le système n'a pas validé la quantité, c'est un contrôle d'application.

Exemple pratique : deux concepts sur une mission

Entreprise : Distribuciones Ibéricas S.A., basée à Valencia, chiffre d'affaires 22 M EUR (2024).
Contrôle d'application identifié : le système refuse les commandes si la quantité commandée dépasse le stock disponible.
Contrôle général informatique identifié : seul le responsable du commerce électronique peut accéder au module de gestion des commandes.
L'auditeur teste les deux. Pour le contrôle d'application, elle crée une commande test avec une quantité supérieure au stock enregistré et vérifie que le système la rejette. Documentation : capture d'écran du rejet. Pour le contrôle général informatique, elle demande un rapport d'accès et vérifie que seules trois personnes (le responsable du commerce électronique et deux superviseurs) se sont connectées au module au cours des trois derniers mois. Documentation : rapport d'accès enregistré. Tous deux fonctionnent. Elle réduit ses tests substantifs des erreurs de quantité car le risque est mitigé par deux contrôles (l'un prévenant une quantité invalide d'être saisie, l'autre limitant qui peut saisir des commandes).
Conclusion : les deux contrôles fonctionnent ; le risque d'erreur de quantité est bas.

Termes connexes

Contrôles généraux informatiques: Gouvernent l'accès au système, la maintenance du code et la sauvegarde des données au niveau de l'entité. Sont une condition préalable au test des contrôles d'application.
Procédures analytiques: Détectent les erreurs après coup en comparant les agrégats ou en cherchant des tendances. Complètent, ne remplacent pas, les contrôles d'application.
Matérialité de performance: Seuil établi à la planification pour évaluer si les écarts des contrôles d'application sont significatifs au regard du risque d'audit.
Tests de contrôle: Procédures appliquées pour évaluer si un contrôle fonctionne comme prévu avant de s'y fier dans la stratégie d'audit.
ISA 315 (Révisée): Norme révisée définissant comment identifier et évaluer les risques au niveau de l'assertion, y compris l'identification des contrôles d'application pertinents.
ISA 330: Norme qui gouverne le test de l'efficacité des contrôles pour réduire le risque d'audit à un niveau acceptable.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.