Fonctionnement

L'ISA 300.8 exige que l'auditeur « prépare un plan d'audit qui évalue de manière stratégique l'engagement ». Cela signifie que le document n'est pas une simple liste de procédures, mais une stratégie. Vous commencez par les risques qu'ISA 315 vous a permis d'identifier : chaque classe de transactions, chaque solde de compte, chaque présentation. Pour chacun, vous énoncez le risque spécifique, puis vous décrivez comment vous allez le tester. L'ordre des procédures dans le plan reflète généralement un parcours logique à travers les états financiers, pas un ordre alphabétique ni par service.
Le plan d'audit doit être suffisamment détaillé pour que quelqu'un d'autre dans le cabinet puisse le lire et comprendre non seulement ce qui va être fait, mais pourquoi. ISA 300.A3 le formule ainsi : le plan fournit « une orientation et une gestion efficaces de l'engagement ». Un plan qui dit « tester les produits » n'atteint pas cet objectif. Un plan qui dit « tester la complétude des produits en utilisant la méthode MUS, car le risque identifié est que les contrats de licence ne sont pas reconnus en produit en fin de période » y parvient.
Le plan d'audit se distingue du programme d'audit. Le plan décrit la stratégie. Le programme décrit les procédures pas à pas. Sur un engagement de 15 millions d'euros de produits, le plan peut comporter 3 paragraphes. Le programme peut comporter 20 pages de détail. Les deux existent. Le plan doit être achevé avant de commencer le programme.

Exemple pratique : Énergie et Solutions B.V.

Client : entreprise néerlandaise, secteur énergie renouvelable, chiffre d'affaires 28 M EUR (2024), rapportage IFRS.
Étape 1 : Identification des risques lors de ISA 315
L'entité exploite des panneaux solaires pour le compte de clients institutionnels. Les risques identifiés incluent : (1) complétude des produits (contrats d'exploitation à long terme, certains non documentés dans le CRM), (2) évaluation des contrats de service (prévisions de maintenance future), (3) passif d'impôt différé (tarifs de subventions changeants). Note de documentation : Cartographie des risques complétée dans le fichier de risque ISA 315 au 15 janvier.
Étape 2 : Allocation des procédures à chaque risque
Étape 3 : Calendrier et responsabilités
Procédures analytiques : 18-22 janvier (analyste junior, supervisé par manager). Examen de complétude des produits : 23 janvier-5 février (manager). Évaluation des contrats de service : 6-14 février (expert technique du cabinet). Impôt différé : 15-18 février (manager). Résumé des résultats pour revue d'associé : 19 février.
Conclusion
Ce plan décrit une stratégie cohérente : les trois risques majeurs sont adressés via des procédures qui correspondent au risque. Chaque procédure cite sa source d'évidence (e-mails, contrats, données officielles). Chaque étape a une date de fin. Un manager rejoignant le dossier le 23 janvier comprendrait immédiatement ce qui doit être fait et pourquoi.

  • Risque 1 (complétude) : examen de l'ensemble des e-mails avec clients du dernier trimestre, évaluation de la nature des conversations (contrats identifiés), comparaison avec les produits comptabilisés. Procédure analytique : analyse de l'évolution du nombre de contrats d'une année sur l'autre. Note : Les e-mails seront extraits via le connecteur Microsoft Exchange et analysés avec le script Python du fichier PT-Rev-01. Résultats attendus : alignement ou identification de contrats manquants.
  • Risque 2 (évaluation) : examen des trois contrats majeurs (>1 M EUR chacun), vérification des estimations de coût de maintenance contre les contrats et les données historiques de 2022-2023, recalcul du passif de service avec le modèle Excel du cabinet. Note : L'équipe technique (responsable maintenance client) sera interviewée le 18 février pour valider les hypothèses de coût.
  • Risque 3 (impôt) : demande à la direction de la liste des tarifs de subventions applicables, vérification contre les avis officiels du ministère de l'Économie, recalcul du passif au taux applicable au 31 décembre. Note : Source : site officiel du ministère de l'Économie (adresse consultée).

Ce que les auditeurs confondent ou manquent

Les trois erreurs les plus signalées lors des constats d'inspection :
Erreur 1 : Le plan décrit les procédures, pas les risques. Un plan qui énumère « tester les stocks », « tester les créances », « tester les immobilisations » sans lier chacun à un risque spécifique viole ISA 300.8(a). Le risque lié aux stocks n'est pas « il y a des stocks ». C'est : « le risque que la complétude soit incorrecte du fait que la base de données de gestion n'enregistre pas les retraits manuels » ou « le risque d'évaluation du fait que l'obsolescence n'est pas testée ». ISA 315.30 exige cette identification au niveau de l'assertion. Le plan doit la montrer.
Erreur 2 : Le plan est préparé après le début des procédures substantives. ISA 300.8 exige que le plan soit « préparé avant le début de l'exécution des procédures de détermination des risques ». Sur certains dossiers, on observe que le plan écrit trois semaines dans le dossier ne décrit que ce qui a déjà été fait, avec des dates de début antérieures à sa date de rédaction. C'est une reconstruction, pas un plan. Le plan doit guider. S'il ne guide pas, il n'a pas rempli son rôle.
Erreur 3 : Le plan ne lie pas les procédures d'évaluation des risques aux procédures additionnelles. ISA 300.A5 précise que le plan doit décrire les procédures de détermination des risques (ISA 315), puis comment les risques évalués seront adressés (procédures substantives). Un plan qui décrit l'ISA 315 puis s'arrête n'est pas complet. La matrice de risque qui ressort de l'ISA 315 (chaque risque, sa nature, son amplitude, son assertion associée) doit se projeter dans le plan d'audit en tant que guide des procédures.

Moment où cette distinction compte sur un engagement

Vous êtes dans la phase de planification. Vous avez terminé l'ISA 315, vous avez identifié cinq risques d'anomalie significative. Vous divisez le dossier entre deux managers. Sans plan d'audit, chaque manager interprétera les risques différemment. L'un testera la complétude des produits via une procédure analytique. L'autre la testera via un sondage de contrats. Sans document unifié, vous manquez la cohérence que l'ISA 300.8 exige. Un manager qui relit le plan le 20 janvier et voit que la procédure a été assignée, qu'elle a une date de fin, et comment elle s'articule avec la compréhension du risque ne posera pas de questions la semaine précédente. Ça s'appelle la « gestion efficace de l'engagement ». ISA 300.A3.

Termes associés

  • Programme d'audit : Le détail procédural qui sort du plan. Le plan décrit la stratégie, le programme décrit chaque étape.
  • Risque d'anomalie significative : Le risque que le plan adresse. ISA 315 l'identifie. Le plan d'audit le teste.
  • Stratégie d'audit générale : La vue d'ensemble de l'engagement (budget, délais, équipe, points clés). Le plan d'audit rentre dedans.
  • Matrice de risque : L'artefact que l'ISA 315 produit et que le plan d'audit utilise comme source pour concevoir les procédures.
  • ISA 315 : L'étape de compréhension qui alimente le plan d'audit.
  • Planification de l'engagement : La phase entière dont le plan d'audit est un élément clé.

Références normatives

---

  • ISA 300.8, ISA 300.A3 à A5 : Nature, contenu et calendrier du plan d'audit
  • ISA 315 : Source de l'identification des risques qui alimente le plan
  • ISA 330 : Comment les procédures du plan testent les risques identifiés

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.