Risque d'audit

Comment cela fonctionne

L'ISA 200.13 definit le risque d'audit comme le risque que l'auditeur exprime une opinion d'audit incorrecte. Concretement, cela signifie que vous travaillez avec trois composantes distinctes que vous devez identifier, evaluer, documenter separement, puis combiner.

Le risque inherent (ISA 200.A56) est la vulnerabilite de l'assertion a une anomalie significative, independamment de tout controle. Une transaction complexe en devises a un risque inherent plus eleve qu'une transaction en monnaie locale simple. Un secteur volatile a un risque inherent plus eleve qu'un secteur stable. L'auditeur ne fixe pas le risque inherent ; c'est la nature de l'entite qui le determine.

Le risque de controle (ISA 200.A57) est le risque que le controle interne de l'entite ne previenne ou ne detecte pas une anomalie. Vous l'evaluez en testant les controles de l'entite. Si les controles fonctionnent, vous le reduisez. Sinon, il reste eleve.

Le risque de detection (ISA 200.A58) est le risque que vos procedures de detection n'identifient pas une anomalie presente dans l'assertion. C'est le seul risque que vous controlez entierement. Plus vos procedures de detection sont rigoureuses, plus bas est le risque de detection.

L'ISA 320.A1 explique comment ces elements se combinent : vous dimensionnez vos procedures de detection en fonction de votre evaluation du risque inherent et du risque de controle. Si le risque inherent est eleve et le risque de controle est eleve, vous avez peu de latitude. Vous devez compenser par un risque de detection tres faible, ce qui signifie des procedures tres etendues. Si le risque inherent est faible et le risque de controle est faible, vous pouvez accepter un risque de detection plus eleve et une approche moins etendue.

Le risque d'audit global represente le point de passage/echec final : avez-vous effectue suffisamment de travail pour que votre risque residuel (la probabilite reelle qu'une anomalie significative vous echappe) soit acceptable ? C'est le jugement professionnel cle qui differencie une mission bien documentee d'une mission qui genere un constat d'inspection.

Exemple concret : Societe Manufrance SARL

Client : entreprise francaise de fabrication de pieces de rechange automobiles, chiffre d'affaires 28 M EUR, reporting IFRS, exercice clos 31 decembre 2024. Commissaire aux comptes (CAC) en deuxieme annee de mandat.

Etape 1 : Evaluer le risque inherent par assertion

Vous avez identifie que le stock de produits finis represente 6,2 M EUR (22 % du total des actifs). L'entite fabrique sur commande, mais maintient aussi du stock speculatif base sur les previsions de demande des clients. Les previsions se sont averees inexactes trois fois au cours des quatre derniers exercices, entrainant une depreciation de 420 K EUR en 2023 et 310 K EUR en 2022. L'ISA 315.27(a) exige que vous evaluiez le risque inherent pour chaque assertion. Pour l'assertion « Valorisation » du stock, vous evaluez le risque inherent comme eleve (du a la nature speculative du stock).

Note de documentation : dans le papier de travail de planification, enregistrez « Risque inherent. Valorisation du stock : ELEVE. Raison : historique de depreciation substantielle ; previsions de demande imprevisibles. »

Etape 2 : Evaluer le risque de controle

Vous testez le controle cle de Manufrance : un processus mensuel de revision du stock par le responsable de la production, ou les articles lents a la rotation sont identifies et flagges pour examen. En testant ce controle sur six mois, vous decouvrez que le responsable a saisi le processus en trois des six mois, mais les deux derniers mois (novembre et decembre) n'ont pas eu lieu (conges sans remplacement). Vous ne pouvez donc pas vous fier a ce controle pour reduire le risque de controle.

Note de documentation : « Risque de controle. Valorisation du stock : ELEVE. Controle cle teste sur six periodes : trois fonctionnement, trois non effectuees. Pas assez fiable. Procedures substantives etendues requises. »

Etape 3 : Dimensionner le risque de detection

Vous avez un risque inherent eleve et un risque de controle eleve. L'ISA 330.5 vous dit de concevoir des procedures substantives pour faire face a ce risque evalue. Vous ne pouvez pas accepter un risque de detection eleve. Vous devez accepter un risque de detection tres faible.

En pratique, cela signifie : - Au lieu d'un test de detail sur 15 articles, vous testez 45 articles (ou effectuez un test de 100 % selon l'ISA 330.A35 pour les zones a haut risque) - Au lieu d'une seule procedure analytique (comparaison des ratios de rotation), vous effectuez l'analytique ET un test de detail sur facture - Au lieu de vous fier a la liste des stocks fournie par le client, vous effectuez un controle physique supervise - Au lieu d'un echantillonnage aleatoire seul, vous combinez selection aleatoire et selection fondee sur le risque

Note de documentation : « Approche de risque de detection : TRES FAIBLE. Procedures substantives : test de detail 45 articles (28 selectionnes au hasard, 17 selectionnes selon un critere de risque) ; examen des factures de vente subsequentes pour les cinq mois suivant la fin de l'exercice ; observation du controle physique ; examen des preuves de depreciation pour chaque article teste. »

Conclusion

Manufrance avait un risque d'audit inacceptable au depart (risque inherent eleve + controle faible = detection tres faible requise). Vous l'avez reconnu a la planification, documente, et elargi vos procedures en consequence. Si une anomalie etait presente dans le stock valorise, votre approche avait une chance raisonnablement bonne de la detecter. Voila a quoi ressemble une mission bien documentee.

Ce que les reviseurs et les praticiens oublient

Tier 1 : Constat de regulateur. Les inspections H2A en France et de l'AFM aux Pays-Bas montrent que le plus grand probleme est l'absence d'evaluation du risque inherent au niveau des assertions. Chez nos clients, l'evaluation est souvent fixee au doigt mouille au niveau de l'entite, sans appliquer l'ISA 315.27(a) a chaque assertion significative (Existence, Valorisation, Presentation pour les elements cles). Une mission qui documente « Risque inherent : Moyen » pour l'ensemble du stock genere un constat. Une mission qui documente « Existence : Faible, Valorisation : Elevee, Presentation : Faible » passe. C'est le constat d'inspection qui genere le plus de commentaires de revue, et il n'y a aucun moyen elegant de le rattraper en phase de cloture : le dossier est trop leger a la planification, et toute la chaine de travail qui en decoule porte la meme faille.

Tier 2 : Erreur standard-referencee. L'ISA 200.A58 explique que le risque de detection ne peut pas etre reduit a zero. Pourtant, beaucoup d'auditeurs traitent le risque de detection comme quelque chose a laisser vague, sans calcul. L'ISA 330.6 exige que vous conceviez les procedures substantives pour traiter le risque d'anomalie significative evalue. Si vous n'avez pas explicitement relie votre risque evalue a la conception de votre procedure (« Nous avons effectue X parce que le risque inherent etait eleve »), vous n'avez pas applique l'ISA 330.

Tier 3 : Ecart de pratique documente. Beaucoup de dossiers contiennent une matrice de risque d'audit, mais elle est completee en tant que liste de controle plutot que comme une evaluation fondee sur des preuves. Une entree « Risque inherent : Eleve » sans description de ce qui le rend eleve n'aide pas le reviseur a evaluer le jugement. L'ISA 315.A66 demande a l'auditeur de « documenter les risques identifies » ; la documentation doit contenir le raisonnement, pas juste la classification.

Termes connexes

Risque inherent - La vulnerabilite d'une assertion avant tout controle.

Risque de controle - La probabilite que les controles internes ne previennent ou ne detectent pas une anomalie.

Risque de detection - Le risque que les procedures d'audit n'identifient pas une anomalie.

Anomalie significative - Une erreur ou omission qui pourrait influencer les decisions economiques des utilisateurs.

Assertion - Une declaration explicite ou implicite de l'entite sur la presentation de ses etats financiers.

Procedures substantives - Les procedures d'audit concues pour detecter les anomalies significatives au niveau des assertions.