Plan d'audit

Fonctionnement

Ouvrez n'importe quel dossier H2A inspecté en 2024 et regardez la date du fichier nommé « plan d'audit ». Dans une bonne moitié des dossiers que nous voyons, cette date est postérieure à la première procédure substantive du programme. Le « plan » a été écrit deux semaines après le démarrage du dossier, à partir des procédures déjà exécutées. C'est ce que les confrères appellent reconstruire au doigt mouillé.

Ce n'est pas ce que demande l'ISA 300.

L'ISA 300.8 exige que le CAC « prépare un plan d'audit qui évalue de manière stratégique l'engagement » et que ce plan soit établi avant le début des procédures de détermination des risques. Ce qui change avec un vrai plan, ce n'est pas le contenu (les mêmes procédures finiront par être exécutées dans les deux cas). Ce qui change, c'est la séquence et donc le statut de la pièce. Un plan rédigé en amont oriente. Un plan rédigé en aval justifie. Le H2A reconnaît la différence à la lecture.

La structure attendue est lisible dans l'ISA 300.A3 : pour chaque risque identifié à l'ISA 315, le plan énonce le risque au niveau de l'assertion concernée, puis décrit la procédure prévue, puis attribue cette procédure à un membre de l'équipe avec une date de fin. Trois colonnes. Pas une narration littéraire. Une matrice qu'un manager doit pouvoir lire en cinq minutes en arrivant sur le dossier.

Le plan se distingue du programme. Le plan dit pourquoi. Le programme dit comment. Sur un mandat de 15 M EUR de chiffre d'affaires, le plan tient en deux pages structurées. Le programme peut faire vingt pages de checklist procédurale. Les deux existent et ne se confondent pas.

Exemple pratique : Énergie et Solutions B.V.

Client : entité néerlandaise, énergie renouvelable, chiffre d'affaires 28 M EUR (2024), reporting IFRS, premier mandat sur un cycle de six ans.

Étape 1 — Identification des risques à l'ISA 315 (15 janvier). L'entité exploite des panneaux solaires pour le compte de clients institutionnels. Trois risques d'anomalie significative émergent : (1) complétude des produits sur les contrats d'exploitation à long terme (certains identifiés uniquement dans des emails, pas dans le CRM) ; (2) évaluation des contrats de service (estimations de coûts de maintenance future sur 10 à 15 ans) ; (3) passif d'impôt différé lié à l'évolution des tarifs de subventions. Chaque risque est cartographié dans le fichier de risque ISA 315 avec son assertion (complétude, évaluation, exhaustivité).

Étape 2 — Allocation des procédures (cible : 17 janvier). Pour chaque risque, une procédure est prévue avec sa source d'évidence.

Risque 1 (complétude des produits) : extraction des emails clients du dernier trimestre via le connecteur Microsoft Exchange, analyse des conversations contractuelles, comparaison avec les produits comptabilisés. Procédure analytique de second niveau : évolution du nombre de contrats actifs en N et N-1. Responsable : analyste senior. Fin prévue : 5 février.

Risque 2 (évaluation des contrats de service) : examen des trois contrats individuellement supérieurs à 1 M EUR, recoupement des hypothèses de coût avec les données historiques 2022-2023, recalcul du passif de service avec le modèle Excel du cabinet. Entretien avec le responsable maintenance client le 18 février pour valider les hypothèses. Responsable : manager. Fin : 14 février.

Risque 3 (impôt différé) : demande à la direction de la liste des tarifs de subventions applicables, recoupement avec les avis officiels du ministère de l'Économie, recalcul du passif au taux applicable au 31 décembre. Responsable : manager. Fin : 18 février.

Étape 3 — Complication apparue le 20 janvier. Lors d'un échange préliminaire, le directeur financier mentionne que l'entité a signé en décembre un contrat de cession d'actifs portant sur deux centrales (3,2 M EUR) qui n'apparaît pas dans le fichier de risque initial. Le risque change de nature : ce n'est plus seulement la complétude qui est en jeu, c'est aussi le rattachement de la cession à l'exercice 2024 et la décomptabilisation des actifs concernés (IFRS 9 et IAS 16).

Que faut-il faire du plan ? Deux positions sont défendables.

L'associé A (formé chez les Bigs) refait tourner la matrice de risque à l'ISA 315, met à jour le plan d'audit, redaté le document du jour et garde la version v1 en archive avec un commentaire de versionnement. Pour lui, le plan est un document vivant : la traçabilité des révisions est elle-même un élément probant. La H2A ne reproche jamais une mise à jour datée et justifiée. Elle reproche une absence de mise à jour quand un risque nouveau est apparu.

L'associé B (cabinet indépendant, mandat depuis sept ans) ajoute une note de risque additionnel directement dans la matrice ISA 315 et écrit un mémo séparé daté du 21 janvier qui décrit la procédure additionnelle (revue du contrat de cession, recoupement avec les flux de trésorerie de décembre). Pour lui, refaire le plan complet dilue la lisibilité ; le mémo daté est plus rapide à produire et tout aussi traçable. Sur le plan de la conformité ISA 300.A6 (« le plan est révisé selon les besoins »), les deux approches tiennent. C'est une question de méthodologie de cabinet.

Étape 4 — Conclusion de planification. Le plan révisé (ou le plan + mémo, selon la position retenue) couvre les quatre risques. Chaque procédure cite sa source d'évidence. Chaque ligne porte une date de fin et un responsable. Un manager qui rejoint le dossier le 23 janvier comprend en quinze minutes ce qui doit être fait, pour quel risque, et quand.

Ce que les inspections H2A signalent le plus souvent

Trois constats reviennent dans la synthèse 2024 du H2A sur les missions non-EIP.

Constat 1 — Le plan décrit les procédures, pas les risques. Un plan qui énumère « tester les stocks », « tester les créances », « tester les immobilisations » sans rattacher chaque ligne à un risque évalué à l'ISA 315 viole l'ISA 300.8(a). Le risque n'est pas « il y a des stocks ». C'est « le risque que la complétude soit incorrecte parce que la base de données ne capte pas les retraits manuels » ou « le risque d'évaluation parce que l'obsolescence n'est pas testée ». L'ISA 315.30 exige cette identification au niveau de l'assertion. Le plan doit la rendre visible. Sinon, du point de vue d'un inspecteur, c'est du tampon.

Ce qui se passe en pratique : sous pression du forfait, les équipes recyclent le plan de l'an dernier en remplaçant les chiffres. La matrice de risque suit le même chemin. Au bout de trois ans, plus personne ne sait pourquoi telle procédure est faite. C'est précisément ce que le H2A repère.

Constat 2 — Le plan est rédigé après le démarrage des procédures substantives. L'ISA 300.8 exige que le plan soit « préparé avant le début de l'exécution des procédures de détermination des risques ». Sur certains dossiers, le fichier nommé « plan d'audit » porte une date postérieure à la première procédure du programme. Quand le H2A voit ça, le constat tombe : ce n'est pas un plan, c'est une justification a posteriori. La sanction n'est pas immédiate, mais la mention apparaît dans le rapport d'inspection et déclenche un suivi sur le mandat suivant.

Pourquoi cela arrive-t-il ? Parce que le budget temps alloué à la planification dans la plupart des forfaits PME est de quatre à six heures, alors que la planification réelle d'un dossier de 15 M EUR demande quinze à vingt heures pour être faite correctement. La différence est absorbée en exécution, et le plan se reconstitue au fil de l'eau. Ce n'est pas un échec individuel des équipes. C'est un problème structurel de pricing.

Constat 3 — Le plan ne lie pas les procédures d'évaluation des risques aux procédures additionnelles. L'ISA 300.A5 précise que le plan doit décrire les procédures de détermination des risques (ISA 315) puis comment les risques évalués seront adressés (ISA 330). Un plan qui décrit l'ISA 315 puis s'arrête est incomplet. La matrice de risque doit se projeter dans les procédures additionnelles. Sans cette projection, le dossier ne raconte pas une histoire — il juxtapose des morceaux.

Le moment où la distinction compte sur un engagement

Vous êtes en planification, l'ISA 315 est terminée, cinq risques d'anomalie significative sont identifiés. Vous divisez le dossier entre deux managers. Sans plan d'audit écrit en amont, chacun interprétera les risques différemment. L'un testera la complétude des produits par procédure analytique, l'autre par sondage de contrats. Sans document unifié qui dit pourquoi telle procédure est associée à tel risque, vous perdez la cohérence que l'ISA 300.8 exige.

Le manager qui relit le plan le 20 janvier et voit que la procédure est assignée, datée, et rattachée à la compréhension du risque ne posera pas la question la semaine suivante. C'est exactement ce que l'ISA 300.A3 appelle « gestion efficace de l'engagement ». Pas une formule, une fonction.

Une dernière chose qui n'est nulle part dans la norme mais qui décide de la qualité réelle d'un plan : le plan doit être rédigé par la personne qui dirigera l'exécution, pas par un junior à qui on délègue la rédaction parce que le partner n'a pas le temps. Un plan rédigé par quelqu'un qui n'exécutera pas n'est pas un plan, c'est un livrable méthodologique. La différence se voit dans les choix de procédures : un plan rédigé par l'exécutant arbitre les compromis temps/risque. Un plan rédigé par le méthodologue les ignore.

Termes associés

- Programme d'audit : Le détail procédural qui découle du plan. Le plan décrit la stratégie, le programme décrit chaque étape. - Risque d'anomalie significative : Le risque que le plan adresse. L'ISA 315 l'identifie, le plan le teste. - Stratégie d'audit générale : La vue d'ensemble de l'engagement (budget, délais, équipe, points clés). Le plan d'audit s'inscrit dedans. - Matrice de risque : L'artefact de l'ISA 315 que le plan d'audit utilise comme source pour concevoir les procédures. - ISA 315 : L'étape de compréhension qui alimente le plan d'audit. - Planification de l'engagement : La phase entière dont le plan d'audit est la pièce centrale.

Références normatives

- ISA 300.8, ISA 300.A3 à A6 : Nature, contenu, calendrier et révision du plan d'audit - ISA 315 : Identification des risques qui alimentent le plan - ISA 330 : Réponse aux risques évalués (procédures additionnelles)

---