Modèle de risque d'audit

Fonctionnement

Regardons d'abord ce qui ne marche pas. Vous ouvrez un dossier, vous arrivez à la matrice de risque, et vous lisez : « Risque inhérent : Moyen. Risque lié aux contrôles : Moyen. Risque de non-détection : Moyen. » Trois cases cochées. Aucune phrase qui explique pourquoi. Aucun fait sous-jacent. C'est le pattern que le H2A signale dans 57 % des dossiers EIP inspectés en 2024 : « insuffisance de la documentation du jugement professionnel sur l'évaluation des risques ». La matrice est remplie, le raisonnement est invisible.

Le modèle de risque d'audit n'est pas le tableau. C'est ce qui devrait se trouver derrière chaque case du tableau.

L'ISA 200.A53 pose la relation : le risque d'audit acceptable est fonction du risque inhérent, du risque lié aux contrôles et du risque de non-détection. Sur le papier, c'est une équation. En pratique, c'est un cadre de jugement qui vous oblige à évaluer trois choses avant de savoir combien de procédures vous devez exécuter. Le modèle ne donne pas la réponse. Il structure la question.

Le risque inhérent. C'est le risque qu'une assertion contienne une anomalie significative indépendamment de l'efficacité des contrôles. Certains comptes sont nativement plus risqués : les estimations comptables (provisions, juste valeur), les transactions hors cours normal, les domaines à fort jugement managérial. Évaluer le risque inhérent, c'est nommer précisément quel risque concret pourrait affecter ce compte. Pas « il y a du risque sur les stocks ». Mais « le risque que la complétude soit incorrecte parce que les retours de marchandise transitent par une boîte mail non rapprochée du SAP ». Le degré de précision change tout.

Le risque lié aux contrôles. C'est le risque que le système de contrôle interne ne prévienne ou ne détecte pas une anomalie significative. Un contrôle qui existe sur le papier ne réduit pas ce risque. Seuls les contrôles que vous avez testés et qui fonctionnent le réduisent. Un processus documenté sans test ne compte pas. C'est ce que les confrères appellent du tampon : la formalisation existe, l'efficacité n'est pas démontrée.

Le risque de non-détection. C'est le risque que vos procédures substantives ne détectent pas une anomalie significative. C'est le seul facteur que vous contrôlez directement. Étendue de l'échantillon, sélection des items clés, profondeur de l'examen des pièces justificatives — tout cela module le risque de non-détection.

La logique du modèle : un risque inhérent élevé ou un risque lié aux contrôles élevé exige un risque de non-détection plus faible, donc plus de travail substantif. L'inverse s'applique aussi. Si vous démontrez (par des tests d'efficacité opérationnelle, pas par confiance déclarée) que les deux composantes amont sont faibles, vous pouvez accepter un risque de non-détection plus élevé et réduire l'étendue des procédures.

Le piège, c'est de raisonner dans l'autre sens : partir du temps disponible (le forfait, le budget temps), en déduire l'étendue des procédures réalisables, et caler les évaluations de risque pour que la matrice « tienne ». Tout le monde dans la profession sait que ça arrive. La H2A le sait aussi.

Exemple pratique : Société Menard SARL

Client : entreprise française de transport routier, exercice 2024, chiffre d'affaires 18 M EUR, comptabilité IFRS pour PME, deuxième année du mandat.

Étape 1 — Évaluation du risque inhérent sur le compte créances clients. Menard a deux clients qui représentent à eux seuls 58 % des créances. L'un d'eux a contesté une facture de 340 K EUR le mois dernier en affirmant que les prestations n'étaient pas conformes au bon de commande. Le jugement de la direction est central : Menard décide à quel moment comptabiliser le chiffre d'affaires en fonction du moment où elle considère les prestations « accomplies ». Concentration client + jugement managérial sur le rattachement = risque inhérent évalué à élevé.

Documentation : note de risque datée du 14 février, citant les deux factors (concentration et timing), avec référence au litige du mois précédent.

Étape 2 — Évaluation du risque lié aux contrôles sur le même compte. Menard a un contrôle documenté : le responsable des ventes approuve chaque facture avant envoi. Vous l'interrogez et vous examinez dix factures du mois dernier. Neuf portent la signature d'approbation. Une est partie sans signature. Vous ne testez pas l'efficacité opérationnelle sur un échantillon plus large parce que le contrôle ne vous semble pas fiable. Risque lié aux contrôles évalué à élevé.

Documentation : sélection des dix factures listée par numéro, résultat du test, conclusion sur l'absence de fiabilité opérationnelle.

Étape 3 — Détermination du risque de non-détection acceptable. Avec un risque inhérent élevé et un risque lié aux contrôles élevé, le risque de non-détection que vous pouvez accepter est très faible (5 %). Cela exige : examen d'une proportion plus large des créances que ce que la table d'échantillonnage standard donnerait, examen des pièces justificatives détaillées (contrats, bons de livraison, emails de confirmation client), confirmation directe écrite avec les deux gros clients sur le solde au 31 décembre.

Documentation : note d'arbitrage datée, citant l'évaluation des deux composantes amont et justifiant l'étendue retenue par référence à l'ISA 530.

Étape 4 — La complication apparaît à l'exécution. Vous lancez les confirmations. Le premier client renvoie une confirmation conforme. Le deuxième ne répond pas après deux relances. Question : que faire ? La table d'échantillonnage ne couvre pas ce cas, et le forfait ne paie pas trois semaines de procédures alternatives.

Deux positions sont défendables.

L'associé A considère que l'absence de réponse sur 35 % des créances client (poids du gros client non-répondeur) ne peut pas être compensée par procédures alternatives sans modifier l'opinion. Pour lui, la non-réponse de confirmation sur une concentration de cette ampleur est une limitation de portée au sens de l'ISA 705. Il propose une opinion avec réserve.

L'associé B considère que les procédures alternatives (examen des règlements postérieurs au 31 décembre, examen des contrats sous-jacents, recoupement avec les bordereaux de livraison) couvrent le risque assertionnel et permettent de conclure sans réserve. Pour lui, l'ISA 505.A19 prévoit explicitement les procédures alternatives, et l'opinion modifiée doit être réservée aux cas où aucune procédure alternative ne fournit d'évidence suffisante.

Les deux positions sont normativement défendables. Le H2A ne tranche pas entre elles dans l'absolu — il vérifie que le raisonnement de l'associé qui signe est documenté, daté, et que la conclusion est cohérente avec l'évaluation des risques amont. C'est là que vit le jugement professionnel : pas dans la cellule « Inhérent : Élevé », mais dans la phrase qui explique pourquoi la combinaison Élevé/Élevé/Très faible débouche sur cette opinion-ci plutôt que sur cette autre.

Étape 5 — Conclusion. Sans le modèle de risque documenté, vous auriez probablement appliqué le test standard de créances clients et signé. Avec le modèle documenté, vous reconnaissez que la combinaison des deux facteurs amont vous oblige à arbitrer, à tracer cet arbitrage, et à défendre votre choix. Le modèle n'est pas mathématique. C'est l'ossature du raisonnement qui rend votre dossier défendable devant un inspecteur.

Ce que les confrères ne font pas bien

Évaluation du risque lié aux contrôles au niveau de l'entité plutôt qu'à l'assertion. Beaucoup de dossiers concluent : « Les contrôles informatiques généraux sont forts, donc risque lié aux contrôles : Faible. » Ce raccourci viole l'ISA 330.7(a), qui exige une évaluation au niveau de l'assertion. Une évaluation entité ne vous dit pas si le contrôle qui détecte les créances fictives a été testé et fonctionnait. Sur les inspections H2A 2024, 41 % des dossiers EIP sont sanctionnés sur ce point.

Documentation implicite du jugement. La matrice est remplie, mais aucune phrase n'explique sur quels faits l'évaluation repose. Un inspecteur externe (ou un manager qui reprend le dossier l'année suivante) ne peut pas reconstruire le raisonnement. L'ISA 200.A53 exige une évaluation. Une évaluation n'est pas une case cochée. C'est un argument écrit, traçable, qui tient sur un paragraphe minimum.

Pourquoi cela arrive-t-il ? Parce que le forfait alloue trois à quatre heures à la matrice de risque, alors qu'un raisonnement documenté en demande six à huit. La différence est absorbée par le silence : la case est cochée, le raisonnement reste dans la tête de l'associé. Et c'est exactement ce qui ne tient pas en inspection.

Confusion entre « accepter un risque » et « réduire un risque ». Certains praticiens lisent le modèle comme une formule d'optimisation : « Si le risque lié aux contrôles est élevé, je peux accepter un risque de non-détection plus élevé et faire moins de procédures. » C'est faux dans tous les cas. La logique est inverse : un risque amont élevé exige un risque de non-détection plus faible, donc plus de procédures, pas moins. L'erreur vient d'une lecture inversée de la formule. Le modèle ne vous autorise jamais à compenser un contrôle défaillant par moins de substantif.

Modèle de risque d'audit vs hiérarchie des procédures substantives

Ces deux concepts sont distincts mais reliés. Le modèle évalue. La hiérarchie répond.

Le modèle répond à la question : « Quel niveau de risque de non-détection puis-je accepter ? ». La hiérarchie répond à la question suivante : « Comment vais-je atteindre ce niveau ? ».

Termes connexes

- Risque inhérent : Risque qu'une assertion soit erronée indépendamment des contrôles - Risque lié aux contrôles : Risque que les contrôles n'empêchent ni ne détectent les anomalies - Risque de non-détection : Risque que les procédures substantives ne trouvent pas ce qui existe - Évaluation du risque d'audit : Processus global d'identification et d'évaluation au niveau entité et assertion - ISA 200 : Norme fondamentale qui établit objectifs et principes - ISA 330 : Réponse du CAC aux risques identifiés et évalués

---