Definition
L'audit continu n'est pas une nouvelle norme. C'est une approche technologique pour mettre en œuvre les procédures substantives décrites dans l'ISA 330. Au lieu de tester un échantillon de transactions après la fin de la période, vous configurez un système informatisé pour tester chaque transaction (ou chaque transaction dépassant un seuil spécifique) au moment où elle est enregistrée.
Fonctionnement
L'audit continu n'est pas une nouvelle norme. C'est une approche technologique pour mettre en œuvre les procédures substantives décrites dans l'ISA 330. Au lieu de tester un échantillon de transactions après la fin de la période, vous configurez un système informatisé pour tester chaque transaction (ou chaque transaction dépassant un seuil spécifique) au moment où elle est enregistrée.
L'ISA 315.33(a) exige que vous compreniez le système d'information de l'entité, y compris les capacités de contrôle. Si le système de l'entité permet un audit continu, vous pouvez l'utiliser pour réduire le travail manuel à la clôture. L'ISA 330.29 autorise également les tests continus comme moyen satisfaire les exigences de procédures substantives.
Le processus est simple en théorie: vous définissez des règles (seuils de montant, codes comptables interdits, délais de rapprochement, écarts inhabituels par rapport au profil client), le système les applique à chaque transaction enregistrée, et toutes les anomalies sont capturées dans un rapport. Vous testez ensuite le rapport, pas le grand livre.
Exemple pratique : Société Méridionale Logistique SARL
Client: Distributeur français basé à Marseille, chiffre d'affaires 28 M EUR, comptes établis selon IFRS, exercice 2024.
Étape 1: Identifier la classe de transactions à surveiller
Après comprendre les risques (l'ISA 315 exige cette compréhension), l'équipe a choisi les factures de vente. Raison: volume élevé (3 200 factures par mois), faible valeur unitaire moyenne (8 800 EUR), mais un risque identifié de reconnaissance de chiffre d'affaires anticipée en fin d'année.
Note de documentation: papier de travail de planification ISA 330, section "Procédures substantives", mention des seuils de test continu et de la raison du choix de cette classe.
Étape 2: Configurer les règles d'audit continu
L'équipe a configuré quatre contrôles automatisés dans le système de facturation:
Note de documentation: copie des paramètres configurés dans le système, signée par le gestionnaire informatique et l'auditeur responsable. Approuvée par l'associé responsable.
Étape 3: Laisser le système collecter les données
De janvier à décembre 2024, le système a exécuté ces règles chaque jour de la semaine. Un total de 247 transactions ont déclenché au moins une règle au cours de l'année. Ces transactions ont été capturées dans un rapport Excel généré automatiquement tous les vendredis.
Note de documentation: rapport de synthèse du système pour la période complète, joint au dossier permanent sous "Audit continu. Factures de vente: 2024".
Étape 4: Évaluer les anomalies signalées
L'équipe a examiné les 247 transactions. Résultats:
Note de documentation: matrice d'exception, listant chaque transaction déclenchée, le motif, la procédure substantive appliquée, le résultat, et la conclusion.
Étape 5: Intégrer dans la documentation d'audit
Les trois factures annulées (21 000 EUR total) ont été enregistrées comme anomalies identifiées et rapportées à la direction. Aucune n'était significative au niveau quantitatif (0,07 % du chiffre d'affaires). Mais leur identification reposait sur la procédure d'audit continu, pas sur le jugement ex post facto. L'ISA 330 était satisfait.
Conclusion
L'audit continu a identifié une anomalie que l'échantillonnage classique aurait probablement manquée. Les trois factures non authentifiées auraient pu passer inaperçues dans un test d'échantillon de 50 transactions post-clôture. Plus important encore, le système a documenté que chaque classe de transactions avait été testée de manière cohérente tout au long de la période, pas seulement à la clôture, ce qui répond directement à l'exigence d'évaluation du risque de l'ISA 315.
- Règle 1: Chaque facture datée dans les 10 jours suivant la clôture de la période mais enregistrée avant la clôture (risque de cut-off ISA 330.A55).
- Règle 2: Chaque facture d'un client nouvellement créé dans le dernier trimestre de l'année (clients fictifs).
- Règle 3: Chaque facture de plus de 100 000 EUR (anomalies significatives potentielles).
- Règle 4: Toute facture annulée puis rééditée dans les 5 jours avec un autre numéro client (risque de fraude par contournement de l'autorisation, ISA 240.A24).
- 156 factures tombaient dans la "zone dangereuse" ISA 940 mais correspondaient à des livraisons légitimes datées avant la clôture (confirmé par bons de livraison). Aucune anomalie.
- 68 factures provenaient de clients nouvellement créés. Neuf n'avaient pas de contrats de vente en dossier (anomalie). L'équipe a demandé à la direction de présenter les contrats. Six contrats ont été fournis. Trois factures (21 000 EUR total) ont été identifiées comme non authentifiées. Elles ont été ajustées.
- 23 factures de plus de 100 000 EUR. Aucune anomalie documentée.
Ce que les réviseurs et les praticiens se trompent
Confondre l'audit continu avec la surveillance des contrôles de gestion. L'audit continu teste les transactions. La surveillance des contrôles de gestion teste si les contrôles fonctionnent. Ce sont deux activités différentes. Un rapport d'exception d'audit continu qui montre 200 factures avec des délais tardifs n'est pas une conclusion que le contrôle "fonctionne bien". C'est une indication que 200 transactions justifient un examen plus approfondi. L'ISA 330.29 exige une procédure substantive, pas une assurance de fonctionnement du contrôle.
Accepter le rapport d'exception sans vérification. L'ISA 315.33(a) exige que vous compreniez comment le système d'information génère les chiffres. Si vous configurez un audit continu sans valider les règles, les seuils ou la collecte de données sous-jacente, vous testez un processus que vous ne comprenez pas. Une équipe a récemment mis en place une règle "écarts de prix" et a supposé que toutes les anomalies signalées étaient justifiées. Aucune n'avait été validée. Quand un test de validation a été effectué, 40 % des exceptions étaient du bruit (variations normales de prix acceptées par la direction). Le rapport lui-même était fiable. Les règles n'étaient pas documentées.
Utiliser l'audit continu comme remplacement de la compréhension du risque. L'audit continu fonctionne mieux quand vous avez d'abord identifié le risque spécifique. Si vous configurez l'audit continu simplement parce que la technologie existe, sans lier les règles à l'évaluation des risques de l'ISA 315, vos tests manquent de ciblage. L'équipe d'une autre mission a configuré un audit continu pour " détecter les anomalies " sans définir quelles anomalies étaient probables. Le résultat a été 1 200 exceptions signalées en six mois. Aucune n'a été déterminée comme significative. L'équipe a passé quatre semaines à évaluer du bruit. La prochaine fois, les risques ont été d'abord cartographiés, puis les règles ont été configurées. 87 exceptions ont été signalées. Significativement plus exploitable.
Termes connexes
---
- Monitoring continu : surveillance permanente exercée par la direction sur ses propres contrôles, à distinguer de l'audit continu réalisé par l'auditeur externe.
- Tests de contrôles vs procédures substantives : la distinction qui détermine comment classer un test continu — l'ISA 330 le catégorise généralement comme procédure substantive.
- Procédures d'évaluation des risques (ISA 315) : exigences pour comprendre l'entité et ses systèmes d'information, fondement de la conception des règles d'audit continu.
- Anomalie tolérable : les seuils configurés dans un audit continu doivent être liés à l'anomalie tolérable fixée à la planification (ISA 320).
- Contrôles généraux informatiques : la fiabilité d'un audit continu dépend des contrôles généraux informatiques de l'entité audité — accès, gestion du changement, intégrité des données.