Definition

ISA 265.8 impose à l'auditeur de communiquer par écrit aux personnes en charge de la gouvernance les déficiences significatives identifiées dans le contrôle interne au cours de la mission. La CDP est le canal formel de cette communication, documentant les déficiences dans la conception ou le fonctionnement des contrôles que l'auditeur a jugés significatifs pour la révision.

Fonctionnement

Le processus d'identification et d'évaluation des risques commence dès la phase de planification et se poursuit tout au long de la mission. L'ISA 315.25 exige que l'auditeur obtienne une compréhension de l'entité, de son environnement et de son système de contrôle interne suffisante pour identifier les risques d'anomalies significatives.
Cette compréhension ne se limite pas à une séance d'ouverture de mission. Elle s'appuie sur quatre éléments distincts : premièrement, l'analyse du secteur d'activité, du contexte économique et réglementaire ; deuxièmement, l'examen de la structure et de la gouvernance de l'entité ; troisièmement, l'évaluation des processus comptables et du système de contrôle interne ; quatrièmement, l'identification des procédures d'évaluation des risques existantes chez l'entité.
L'ISA 315.26 à 315.29 détaille les sources d'information que l'auditeur doit exploiter : entretiens avec la direction et les responsables de la gouvernance, observation et inspection des installations, examen de la documentation existante, résultats des audits précédents.
Une fois ces informations rassemblées, l'auditeur doit identifier les risques au niveau des assertions (existence, exhaustivité, exactitude, évaluation, présentation et imputation). Cela signifie concrètement : pour chaque poste du bilan ou du compte de résultat, qu'est-ce qui pourrait être erroné, et par quel mécanisme ?
La documentation de ce processus est critique. L'ISA 315.32 exige que l'auditeur documente sa compréhension et son processus d'identification des risques. Une documentation générique (« l'environnement économique semble stable ») n'est pas suffisante. Il faut expliciter le lien entre chaque observation et le risque qu'elle génère.

Exemple pratique : Métallurgie Alsacienne SARL

Client : SARL industrielle établie à Strasbourg, chiffre d'affaires 18 M EUR, IFRS PME, trois usines de transformation de métaux, direction famille.
Étape 1 : Analyse de l'entité et de son environnement
Vous rencontrez le directeur général et le responsable comptable. Vous constatez : le secteur sidérurgique connaît une volatilité des prix des matières premières (acier, aluminium) ; l'entité a récemment acquis une quatrième usine en 2024 ; la trésorerie s'est contractée de 2,1 M EUR à 1,4 M EUR en douze mois suite à cet investissement. Vous vérifiez que deux des trois auditeurs internes ont quitté l'entreprise en 2023, réduisant la capacité d'audit interne.
Note documentaire : création d'une feuille de synthèse listant les facteurs de risque : volatilité des prix (secteur), expansion (nouveaux actifs), trésorerie resserrée, capacité d'audit interne réduite. Référence : ISA 315.25.
Étape 2 : Examen du système de contrôle interne
Vous inspectez le processus d'évaluation des stocks. Actuellement : chaque usine effectue un inventaire physique annuel ; les valorisations sont centralisées dans un fichier Excel ; le processus de rapprochement entre l'inventaire et la comptabilité est effectué par une seule personne au siège.
Note documentaire : diagramme de flux simplifié montrant les étapes, les contrôles clés (l'inventaire versus la comptabilité) et les lacunes (absence de contrôle compensatoire en cas d'absence). Référence : ISA 315.27.
Étape 3 : Identification des risques au niveau des assertions
Assertion « Existence » sur les stocks : risque élevé. Avec deux usines de production en rotation et un processus d'inventaire décentralisé, il existe un risque que l'inventaire enregistré en comptabilité ne reflète pas les stocks physiquement présents. L'acquisition d'une quatrième usine aggrave ce risque car les processus ne sont pas encore intégrés.
Assertion « Évaluation » sur les stocks : risque significatif. L'entité valorise les stocks selon la méthode du coût moyen pondéré. Avec les fluctuations des prix des matières premières, les valorisations de couches anciennes pourraient être surévaluées relativement au coût de remplacement.
Assertion « Imputation » sur les achats et les stocks : risque modéré. Le passage du processus d'inventaire à trois usines à quatre usines sans modification du système de rapprochement génère un risque que les achats ne soient pas imputés au bon centre de coûts ou à la bonne usine.
Note documentaire : matrice risques/assertions listant chaque risque identifié, sa probabilité estimée (élevé/modéré/faible), l'assertion affectée, et la source du risque (volatilité des prix, expansion, lacune de contrôle). Référence : ISA 315.28.
Étape 4 : Réponse aux risques identifiés
Pour le risque d'existence des stocks : vous planifiez une sélection étendue dans le processus d'audit (procédures de substantive auditing étendues) ; vous programmez un comptage indépendant dans la plus grande usine à une date intermédiaire pour tester le fonctionnement du processus de rapprochement avant la clôture.
Pour le risque d'évaluation : vous planifiez un test de réduction de prix à la date de clôture pour identifier les articles dont le coût de remplacement est inférieur à la valorisation enregistrée.
Note documentaire : lien explicite entre chaque risque identifié (étape 3) et la procédure de réponse correspondante (étape 4). Cela démontre à l'associé en charge qu'une évaluation systématique du risque a guidé votre stratégie d'audit. Référence : ISA 315.33.
Conclusion : le processus d'identification et d'évaluation des risques n'est pas un formalisme. Il justifie le volume de travail de votre mission et démontre que vous n'avez pas audité par habitude ou par routine, mais que vous avez adapté votre approche aux risques spécifiques de cette entité.

Ce que les auditeurs et les examinateurs ne font pas correctement

  • Évaluation insuffisante des risques liés aux changements majeurs. L'ISA 315.26(c) exige l'examen des changements survenus depuis l'audit précédent. De nombreuses missions omettent de relier une acquisition, une restructuration ou une modification majeure de direction à une hausse du risque au niveau des assertions. Un nouvel directeur financier ou l'intégration d'une nouvelle filiale devrait toujours déclencher une réévaluation, pas une confirmation des risques antérieurs.
  • Documentation générique du contexte économique. Écrire « L'environnement économique est stable » ou « Le secteur connaît une croissance modérée » ne satisfait pas à l'ISA 315.32. La documentation doit expliciter : quel indicateur économique avez-vous examiné (taux de change, prix des matières premières, demande du secteur) ; comment cet indicateur affecte-t-il concrètement les flux de trésorerie ou les stocks de cette entité ; et quel risque comptable en découle ? Générique = non documenté.
  • Processus d'identification des risques non structuré. Beaucoup de missions énumèrent des risques sans démontrer une méthodologie systématique. L'ISA 315.25 suppose que vous avez une approche : vous avez examiné X, ce qui suggère le risque Y au niveau de l'assertion Z. Énumérer des risques avec des « peut-être » ou des « il convient de considérer » suggère un doute plutôt qu'une identification.
  • Absence de lien entre le risque identifié et la réponse d'audit. L'ISA 315.33 exige que chaque risque identifié soit relié à une procédure d'audit spécifique dans le programme de travail. De nombreuses missions documentent une matrice de risques détaillée mais ne démontrent pas comment chaque risque a influencé la nature, le calendrier et l'étendue des procédures de l'ISA 330. Sans cette traçabilité, l'inspecteur ne peut pas vérifier que l'évaluation des risques a effectivement guidé la stratégie d'audit.

Comparaison : Processus d'identification et d'évaluation des risques (CDP) vs Réponse aux risques identifiés

| Dimension | CDP (ISA 315) | Réponse aux risques (ISA 330) |
|---|---|---|
| Moment | Planification et phase préalable de détail | Exécution de la mission après CDP |
| Objectif | Identifier quels risques existent | Concevoir des procédures pour adresser les risques identifiés |
| Responsabilité | L'équipe d'audit doit comprendre l'entité | L'équipe d'audit doit exécuter les procédures planifiées |
| Niveau de détail | Compréhension globale, risques au niveau des assertions | Procédures précises, sélection de transactions, seuils de test |
| Documentation clé | Matrice risques/assertions, synthèse de l'environnement | Programme d'audit détaillé, résultats de test, feuilles de travail |
La distinction est critique : le CDP vous dit ce qui pourrait être erroné. La réponse aux risques vous dit comment vous testez si c'est erroné. De nombreuses équipes commencent la réponse avant d'avoir achevé le CDP, ce qui génère un doute sur la suffisance de l'évaluation initiale.

Termes connexes

  • Risque d'anomalie significative : résultant du CDP, c'est le risque inhérent et de contrôle combinés au niveau des assertions
  • ISA 330 : Réponse de l'auditeur aux risques identifiés : les procédures que vous planifiez après avoir exécuté votre CDP
  • Procédures d'évaluation du risque : observations, entretiens, inspections, examen documentaire utilisées pendant le CDP
  • Système de contrôle interne : l'une des quatre composantes que vous évaluez pendant le CDP
  • Assertion : le niveau auquel vous évaluez les risques (existence, exhaustivité, exactitude, évaluation, présentation, imputation)

Calculateur d'évaluation du risque

Utilisez le calculateur d'évaluation du risque ISA 315 pour structurer votre CDP. Cet outil guide votre identification systématique des risques et produit une matrice de risques exportable pour votre dossier de travail.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.