Comment cela fonctionne

L'ISA 200.13 définit le risque d'audit comme le risque que l'auditeur exprime une opinion d'audit incorrecte. Concrètement, cela signifie que vous travaillez avec trois composantes distinctes que vous devez identifier, évaluer et documenter séparément, puis combiner.
Le risque inhérent (ISA 200.A56) est la vulnérabilité de l'assertion à une anomalie significative, indépendamment de tout contrôle. Une transaction complexe en devises a un risque inhérent plus élevé qu'une transaction en monnaie locale simple. Un secteur volatile a un risque inhérent plus élevé qu'un secteur stable. L'auditeur ne fixe pas le risque inhérent ; c'est la nature de l'entité qui le détermine.
Le risque de contrôle (ISA 200.A57) est le risque que le contrôle interne de l'entité ne prévienne ou ne détecte pas une anomalie. Vous l'évaluez en testant les contrôles de l'entité. Si les contrôles fonctionnent, vous le réduisez. S'ils ne fonctionnent pas, il reste élevé.
Le risque de détection (ISA 200.A58) est le risque que vos procédures de détection n'identifient pas une anomalie présente dans l'assertion. C'est le seul risque que vous contrôlez entièrement. Plus vos procédures de détection sont rigoureuses, plus bas est le risque de détection.
L'ISA 320.A1 explique comment ces trois éléments se combinent : vous dimensionnez vos procédures de détection en fonction de votre évaluation du risque inhérent et du risque de contrôle. Si le risque inhérent est élevé et le risque de contrôle est élevé, vous avez peu de latitude. Vous devez compenser par un risque de détection très faible, ce qui signifie des procédures très étendues. Si le risque inhérent est faible et le risque de contrôle est faible, vous pouvez accepter un risque de détection plus élevé et une approche moins étendue.
Le risque d'audit global représente le point de passage/échec final : avez-vous effectué suffisamment de travail pour que votre risque résiduel (la probabilité réelle qu'une anomalie significative vous échappe) soit acceptable ? C'est le jugement professionnel clé qui différencie une mission bien documentée d'une mission qui génère un constat d'inspection.

Exemple concret : Société Manufrance SARL

Client : entreprise française de fabrication de pièces de rechange automobiles, chiffre d'affaires 28 M EUR, reportage IFRS, exercice clos 31 décembre 2024.
Étape 1 : Évaluer le risque inhérent par assertion
Vous avez identifié que le stock de produits finis représente 6,2 M EUR (22 % du total des actifs). L'entité fabrique sur commande, mais maintient aussi du stock spéculatif basé sur les prévisions de demande des clients. Les prévisions se sont avérées inexactes trois fois au cours des quatre derniers exercices, entraînant une dépréciation de 420 K EUR en 2023 et 310 K EUR en 2022. L'ISA 315.27(a) exige que vous évaluiez le risque inhérent pour chaque assertion. Pour l'assertion « Valorisation » du stock, vous évaluez le risque inhérent comme élevé (dû à la nature spéculative du stock).
Note de documentation : dans le papier de travail de planification, enregistrez « Risque inhérent. Valorisation du stock : ÉLEVÉ. Raison : historique de dépréciation substantielle ; prévisions de demande imprévisibles. »
Étape 2 : Évaluer le risque de contrôle
Vous testez le contrôle clé de Manufrance : un processus mensuel de révision du stock par le responsable de la production, où les articles lents à la rotation sont identifiés et flaggés pour examen. En testant ce contrôle sur six mois, vous découvrez que le responsable a saisi le processus en trois des six mois, mais les deux derniers mois (novembre et décembre) n'ont pas eu lieu (congés sans remplacement). Vous ne pouvez donc pas vous fier à ce contrôle pour réduire le risque de contrôle.
Note de documentation : « Risque de contrôle. Valorisation du stock : ÉLEVÉ. Contrôle clé testés sur six périodes : trois fonctionnement, trois non effectuées. Pas assez fiable. Procédures substantives étendues requises. »
Étape 3 : Dimensionner le risque de détection
Vous avez un risque inhérent élevé et un risque de contrôle élevé. L'ISA 330.5 vous dit de concevoir des procédures substantives pour faire face à ce risque évalué. Vous ne pouvez pas accepter un risque de détection élevé. Vous devez accepter un risque de détection très faible.
En pratique, cela signifie :
Note de documentation : « Approche de risque de détection : TRÈS FAIBLE. Procédures substantives : test de détail 45 articles (28 sélectionnés au hasard, 17 sélectionnés selon un critère de risque) ; examen des factures de vente subséquentes pour les cinq mois suivant la fin de l'exercice ; observation du contrôle physique ; examen des preuves de dépréciation pour chaque article testé. »
Conclusion
Manufrance avait un risque d'audit inacceptable au départ (risque inhérent élevé + contrôle faible = détection très faible requise). Vous l'avez reconnu à la planification, documenté, et élargi vos procédures en conséquence. Si une anomalie était présente dans le stock valorisé, votre approche avait un chance raisonnablement bonne de la détecter. C'est ce qu'une mission bien documentée ressemble.

  • Au lieu d'un test de détail sur 15 articles, vous testiez 45 articles (ou effectuez un test de 100 % selon l'ISA 330.A35 pour les zones à haut risque)
  • Au lieu d'une procédure analytique (comparaison des ratios de rotation), vous effectuez à la fois l'analytique et un test de détail sur facture
  • Au lieu de vous fier à la liste des stocks fournie par le client, vous effectuez un contrôle physique supervisé

Ce que les réviseurs et les praticiens oublient

Tier 1 : Constat de régulateur - Les inspections H2A en France et de l'AFM aux Pays-Bas montrent que le plus grand problème est l'absence d'évaluation du risque inhérent au niveau des assertions. Les auditeurs évaluent souvent le risque « au niveau de l'entité » sans appliquer l'ISA 315.27(a) à chaque assertion significative (Existence, Valorisation, Présentation pour les éléments clés). Une mission qui documente « Risque inhérent : Moyen » pour l'ensemble du stock génère un constat. Une mission qui documente « Existence : Faible, Valorisation : Élevée, Présentation : Faible » passe.
Tier 2 : Erreur standard-référencée - L'ISA 200.A58 explique que le risque de détection ne peut pas être réduit à zéro. Pourtant, beaucoup d'auditeurs traitent le risque de détection comme quelque chose à laisser vague, sans calcul. L'ISA 330.6 exige que vous conceviez les procédures substantives pour traiter le risque d'anomalie significative évalué. Si vous n'avez pas explicitement relié votre risque évalué à la conception de votre procédure (« Nous avons effectué X parce que le risque inhérent était élevé »), vous n'avez pas appliqué l'ISA 330.
Tier 3 : Écart de pratique documenté - Beaucoup de dossiers contiennent une matrice de risque d'audit, mais elle est complétée en tant que liste de contrôle plutôt que comme une évaluation fondée sur des preuves. Une entrée « Risque inhérent : Élevé » sans description de ce qui le rend élevé n'aide pas le réviseur à évaluer le jugement. L'ISA 315.A66 demande à l'auditeur de « documenter les risques identifiés » ; la documentation doit contenir le raisonnement, pas juste la classification.

Termes connexes

Risque inhérent - La vulnérabilité d'une assertion avant tout contrôle.
Risque de contrôle - La probabilité que les contrôles internes ne préviennent ou ne détectent pas une anomalie.
Risque de détection - Le risque que les procédures d'audit n'identifient pas une anomalie.
Anomalie significative - Une erreur ou omission qui pourrait influencer les décisions économiques des utilisateurs.
Assertion - Une déclaration explicite ou implicite de l'entité sur la présentation de ses états financiers.
Procédures substantives - Les procédures d'audit conçues pour détecter les anomalies significatives au niveau des assertions.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.