Fonctionnement
L'ISA 200.A53 pose le fondement: le risque d'audit acceptable est fonction du risque inhérent, du risque lié aux contrôles et du risque de non-détection. Sur le papier, c'est une équation. Dans la pratique, c'est un cadre de jugement professionnel qui vous oblige à évaluer trois choses avant de savoir combien de procédures vous devez performer.
Le risque inhérent est le risque qu'une assertion contienne une anomalie significative indépendamment de l'efficacité des contrôles de l'entité. Certains comptes sont simplement plus risqués: les estimations comptables (provisions, juste valeur), les transactions hors du cours normal des affaires, les domaines où le jugement managérial s'exerce largement. Évaluer le risque inhérent vous force à identifier précisément quel risque matériel pourrait affecter ce compte.
Le risque lié aux contrôles est le risque que le système de contrôle interne de l'entité ne prévienne ou ne détecte pas une anomalie significative. Cela n'équivaut pas à « les contrôles existent ». Cela signifie: « Avons-nous testé ou pouvons-nous faire confiance aux contrôles qui abordentt ce risque inhérent? » Un processus documenté sans test ne réduit pas le risque lié aux contrôles pour vos fins d'audit.
Le risque de non-détection est le risque que vos procédures substantives ne détectent pas une anomalie significative. C'est le seul facteur que vous contrôlez directement. Étendue de l'échantillon, sélection des items clés, profondeur de l'examen des pièces justificatives. tout cela affecte le risque de non-détection.
Le modèle dit: un risque inhérent élevé ou un risque lié aux contrôles élevé exige un risque de non-détection plus faible. Cela se traduit par davantage de travail de votre part. L'inverse s'applique aussi: si vous pouvez démontrer que le risque inhérent et le risque lié aux contrôles sont faibles, vous pouvez accepter un risque de non-détection plus élevé et limiter vos procédures.
Exemple concret: Société Menard SARL
Client: Entreprise française de transport routier, exercice 2024, chiffre d'affaires de 18 M EUR, comptabilité IFRS pour les PME.
Étape 1: Évaluer le risque inhérent sur le compte créances clients
Menard a deux clients majeurs qui représentent 58 % des créances clients. Un client a contesté l'une de trois factures le mois dernier, affirmant que les travaux n'avaient pas été achevés selon la commande. Le jugement managérial est élevé: Menard doit décider à quel moment comptabiliser le chiffre d'affaires en fonction du moment où les prestations ont été « accomplies ».
Note de documentation: Risque inhérent évalué à élevé. Concentration client + jugement sur le moment de comptabilisation.
Étape 2: Évaluer le risque lié aux contrôles sur ce même compte
Menard a un contrôle documenté: le responsable des ventes approuve chaque facture avant envoi. Vous interrogez le responsable des ventes et examinez dix factures du mois dernier. Neuf ont été approuvées. Une n'avait pas de signature et a quand même été envoyée. Vous documentez l'absence de test formel du contrôle d'approbation.
Note de documentation: Risque lié aux contrôles évalué à élevé. Le contrôle documenté n'a pas fonctionné de manière constante. Pas de test d'efficacité effectué.
Étape 3: Déterminer le risque de non-détection acceptable
Avec un risque inhérent élevé (concentration client + jugement) et un risque lié aux contrôles élevé (contrôle défaillant), vous devez accepter un risque de non-détection très faible. Cela signifie: examiner une proportion plus large de la population des créances, examiner les pièces justificatives détaillées (contrats, bons de livraison, e-mails de confirmation), et effectuer un test analogue procédure complémentaire pour l'une des deux transactions principales.
Note de documentation: Risque de non-détection établi à très faible (accepté à 5 %). Cela exige des procédures substantives étendues sur ce compte.
Conclusion
Sans le modèle d'audit documenté, vous auriez pu effectuer le test standard sur les créances clients et supposer que c'était suffisant. Avec le modèle documenté, vous reconnaissez que les deux facteurs de risque (inhérent et lié aux contrôles) vous obligent à faire plus. La formule n'est pas mathématique. C'est un cadre pour montrer que votre effort de travail est proportionné aux risques réels du dossier.
Ce que les réviseurs et les praticiens ne font pas bien
- Évaluation documentée du risque lié aux contrôles par asservation. Beaucoup de dossiers évaluent le risque lié aux contrôles au niveau de l'entité (« Les contrôles informatiques sont forts ») plutôt qu'au niveau de l'assertion (« Le contrôle qui détecte les créances fictives a été testé et fonctionnait »). L'ISA 330.7(a) exige une évaluation par assertion. Une évaluation au niveau de l'entité seule ne satisfait pas à cette exigence.
- Documentation implicite du jugement. Les dossiers affichent souvent une matrice de risque remplie (Risque inhérent: Moyen, Risque lié aux contrôles: Moyen, Risque de non-détection: Moyen) sans montrer comment ces évaluations ont été obtenues. Un examininateur externe ne peut pas voir les faits qui sous-tendent le jugement. L'ISA 200.A53 exige une évaluation. Cela signifie: documenter le fondement du jugement.
- Confusion entre l'acceptabilité du risque d'audit et la réduction du risque d'audit. Certains praticiens traitent le modèle comme une formule d'optimisation: « Si le risque lié aux contrôles est élevé, nos procédures substantives peuvent être moins extensives parce que nous acceptons simplement un risque de non-détection plus élevé. » Ce n'est pas correct. Accepter un risque de non-détection plus élevé signifie faire moins de travail. Mais vous ne pouvez accepter un risque plus élevé que si le résultat (le risque d'audit global) reste à votre niveau de tolérance. Si vous avez établi que le risque d'audit acceptable est faible (par exemple, une entité d'intérêt public ou un dossier sensible), vous ne pouvez pas accepter un risque de non-détection plus élevé simplement parce que le contrôle interne est faible.
Modèle de risque d'audit vs. hiérarchie des procédures substantives
Ces deux concepts sont différents mais liés. Le modèle d'audit est le cadre d'évaluation du risque. La hiérarchie des procédures substantives (ISA 330.18 à 330.22) est la façon dont vous réagissez à cette évaluation.
| Aspect | Modèle de risque d'audit | Hiérarchie des procédures substantives |
|---|---|---|
| Objectif | Évaluer le risque inhérent, le risque lié aux contrôles et le risque de non-détection | Décider quel type de procédures substantives performer en fonction de l'efficacité des contrôles |
| Intrant | Évaluations du risque pour chaque assertion | Évaluation du risque lié aux contrôles (réduit ou non réduit) |
| Résultat | Un niveau de risque de non-détection acceptable qui détermine l'étendue du travail | Une combinaison de procédures: tests de détails, procédures analytiques substantives, procédures d'observation |
| Applicabilité | S'applique à tous les comptes et assertions | S'applique spécifiquement au domaine du risque identifié |
| Documentation | Base de la stratégie d'audit générale | Base du plan de procédures par assertion |
La hiérarchie répond à la question: « Comment vais-je réduire le risque de non-détection au niveau acceptable? » Le modèle d'audit répond à la question antérieure: « Quel niveau de risque de non-détection dois-je accepter en premier lieu? »
Termes connexes
---
- Risque inhérent: Le risque qu'une assertion soit inexacte indépendamment des contrôles
- Risque lié aux contrôles: Le risque que les contrôles internes n'empêchent ou ne détectent pas les anomalies
- Risque de non-détection: Le risque que vos procédures substantives ne trouvent pas ce qui existe réellement
- Évaluation du risque d'audit: Le processus global d'identification et d'évaluation des risques au niveau de l'entité et de l'assertion
- ISA 200: Norme d'audit fondamentale qui établit les objectifs et les principes généraux
- ISA 330: La norme sur la réaction aux risques identifiés et évalués