Fonctionnement

Le risque de contrôle décrit la faiblesse inhérente aux contrôles internes d'une entité. C'est votre évaluation de la capacité des mécanismes de contrôle à capturer ou empêcher une anomalie avant qu'elle ne se retrouve dans les états financiers.
L'ISA 330.4 exige que vous évaluiez le risque de contrôle pour chaque assertion relative à chaque compte significatif. Cette évaluation est fondée sur vos procédures de compréhension et de test des contrôles. Vous ne pouvez pas vous fier à un seul entretien avec la direction. Vous devez observer un contrôle en cours d'exécution, tester des enregistrements pour vérifier qu'il fonctionne, ou effectuer d'autres procédures pour confirmer son efficacité.
L'ISA 330.7 précise que si vous évaluez le risque d'anomalie significative à un niveau élevé pour une assertion, le risque de contrôle doit être supposé élevé, sauf si vous testez effectivement les contrôles et trouvez des preuves de leur efficacité. Beaucoup de dossiers omettent cette étape. Ils identifient un risque élevé (par exemple, pour l'existence des stocks), puis appliquent le risque de contrôle élevé par défaut sans jamais tester si les contrôles de détail réduisent réellement ce risque. C'est l'évaluation du risque de contrôle qui justifie l'étendue de vos procédures substantives. Si vous la surévaluez, vos tests seront trop étendus. Si vous la sous-évaluez, vos tests seront insuffisants.

Exemple pratique : Maison Dubois S.A.R.L.

Client : Entreprise de négoce textile française, exercice 2024, chiffre d'affaires 28 M EUR, rapportage selon les normes comptables françaises (PCG 2014) avec consolidation en IFRS pour le groupe.
Étape 1 : Identifier l'assertion et le contexte
Vous testez l'assertion « existence » pour les comptes fournisseurs au 31 décembre 2024. Le solde au bilan est 8,2 M EUR. La direction affirme que tous les fournisseurs enregistrés ont livré des biens ou services.
Note de documentation : PT 23.1: Assertion testée : existence des comptes fournisseurs. Assertion significative en raison du solde matériel et du risque inhérent lié à l'enregistrement de factures fictives.
Étape 2 : Évaluer le risque d'anomalie significative au niveau de l'assertion
L'analyse de risque identifie un risque élevé d'anomalie significative pour cette assertion. La raison : la direction a la motivation et la capacité de surestimer les comptes fournisseurs pour gonfler les achats (ce qui réduit le coût des ventes et augmente le résultat d'exploitation). Deux contrôles potentiels pourraient atténuer ce risque.
Note de documentation : PT 22.5: Risque d'anomalie significative au niveau de l'assertion : élevé. Justification : motivation potentielle de management override via la surestimation des comptes fournisseurs pour améliorer le résultat net.
Étape 3 : Tester le contrôle clé de détail
Le contrôle clé est : chaque facture fournisseur reçue est appairée avec un bon de livraison numéroté et une demande d'achat avant enregistrement en comptabilité. Le contrôleur de gestion effectue cet appairage mensuellement et documente tout écart.
Vous testez ce contrôle. Vous prélevez 40 factures d'une population mensuelle de 520 factures (échantillonnage par pas) et vérifiez que chaque facture a un bon de livraison et une demande d'achat correspondants dans le dossier. Vous trouvez 39 sur 40 avec une appairage complet. Une facture d'achat (réf. fournisseur EX-12457) n'a pas de bon de livraison assorti. seule la demande d'achat était présente. L'achat avait un montant de 47 000 EUR pour du tissu spécialisé. La direction confirme que la livraison a été effectuée, mais le bon avait été égaré.
Note de documentation : PT 23.4: Contrôle de détail : appairage facture/BL/DA. Population : 520 factures mensuelles. Échantillon : 40 factures (taux de déviation : 2,5 %). Résultat : une facture sans BL assorti (EX-12457, 47 k EUR). Anomalie : lacune de documentation. Contrôle considéré comme opérant avec défaillance mineure.
Étape 4 : Évaluer l'efficacité du contrôle et ajuster le risque de contrôle
Le contrôle s'est avéré opérant dans 97,5 % des cas. La défaillance unique était une lacune administrative, pas une fraude. Le contrôle détecterait une facture fictive (puisqu'elle n'aurait pas de BL ni de DA associée). Vous concluez que le contrôle réduit effectivement le risque d'anomalie significative pour l'existence des comptes fournisseurs.
Votre évaluation du risque de contrôle pour l'assertion « existence » : modéré. Justification : bien que le risque d'anomalie significative soit élevé, le contrôle testé fonctionne et réduit ce risque. Vous pouvez vous y fier partiellement, ce qui justifie une approche de test des détails moins étendue que si le risque de contrôle était resté élevé.
Note de documentation : PT 23.6: Évaluation du risque de contrôle pour « existence » des comptes fournisseurs : modéré. Fondement : appairage facture/BL/DA opérant à 97,5 %. Défaillance isolée sans impact sur l'efficacité globale. Conclusion : le contrôle réduit le risque ; reliance partielle justifiée.
Étape 5 : Adapter vos procédures substantives
Parce que le risque de contrôle est modéré (et non élevé), vous ne testez pas la totalité des 120 factures du solde de 8,2 M EUR. À la place, vous en testez 32 à l'aide d'un échantillonnage MUS, avec une anomalie tolerable de 150 000 EUR. Si le risque de contrôle était resté élevé, vous auriez dû tester 70 à 80 factures ou utiliser une approche de 100 %.
Note de documentation : PT 24.1: Procédures substantives : MUS appliqué à 32 factures sur 120 (taux : 26,7 %). Facteur de risque de contrôle : modéré = justification d'une étendue réduite. Anomalie tolerable : 150 k EUR. Seuil de projection d'anomalies : 200 k EUR.
Conclusion
L'évaluation du risque de contrôle pour l'assertion « existence » des comptes fournisseurs a commencé par un risque d'anomalie significative élevé (motivation du management). Un test du contrôle clé de détail (appairage) a montré que le contrôle était opérant et réduisait effectivement le risque d'anomalie. Cela a justifié un abaissement du risque de contrôle à modéré et une réduction proportionnelle de l'étendue des procédures substantives. Sans ce test du contrôle, vos procédures auraient dû être considérablement plus étendues.

Ce que les examinateurs et praticiens confondent souvent

  • Tier 1 (Constat de régulateur) : Les inspecteurs de la FRC ont observé que les équipes évaluent le risque de contrôle sans effectuer de test réel des contrôles. L'ISA 330.7 l'interdit : si vous évaluez le risque d'anomalie significative comme élevé, vous devez tester les contrôles pour justifier une évaluation plus basse. Beaucoup de dossiers contiennent l'évaluation sans la preuve. La FRC note que cela est particulièrement courant dans les environnements technologiques où le contrôle est un rapport systématisé.
  • Tier 2 (Erreur standard référencée) : L'ISA 330.4 et 330.7 demandent une évaluation au niveau de l'assertion, pas au niveau de l'entité. Certains auditeurs évaluent un « risque de contrôle faible » global pour l'entité, puis supposent que tous les contrôles fonctionnent pour toutes les assertions. Une entité peut avoir des contrôles forts pour la séparation des tâches (atténuant le risque d'autorisations incorrectes) mais des contrôles faibles pour la complétude de l'enregistrement (autorisant des transactions à être omises).
  • Tier 3 (Lacune de pratique documentée) : Les dossiers omettent fréquemment de documenter le lien causal entre le résultat du test du contrôle et l'ajustement du risque de contrôle. Une équipe teste un contrôle, trouve une défaillance de 10 %, puis continue à évaluer le risque de contrôle comme « faible » sans expliquer pourquoi la défaillance ne justifie pas une évaluation plus élevée. L'absence de cette justification rend le dossier vulnérable à la critique des examinateurs.

Lien avec les procédures substantives

Le risque de contrôle détermine directement l'étendue de vos procédures substantives. L'ISA 330.6 exige que vous conceviez des procédures substantives pour réduire le risque d'anomalie significative au niveau acceptable convenu. Plus le risque de contrôle est élevé, plus vos procédures substantives doivent être étendues. Un risque de contrôle élevé n'exclut jamais les procédures substantives ; il augmente plutôt leur étendue et leur profondeur.
Élevé : vous testez 80-100 % de la population ou utilisez des procédures analytiques très étendues.
Modéré : vous testez 30-60 % de la population avec un échantillonnage ciblé.
Faible : vous testez 5-25 % de la population ou utilisez des procédures analytiques comme élément principal.
Cette relation est doctrines, mais sa mise en pratique est souvent incohérente. Les équipes testent le même nombre de transactions peu importe l'évaluation du risque de contrôle. L'ISA 330.6 l'interdit implicitement : votre conception doit être réactive au risque.

Termes connexes

  • Risque d'anomalie significative : le risque composite que l'information financière contienne une anomalie significative avant l'audit. Le risque de contrôle en est une composante.
  • Risque inhérent : le risque qu'une assertion soit exposée à une anomalie potentielle, indépendamment des contrôles.
  • Test des contrôles : procédures d'audit destinées à évaluer l'efficacité des contrôles internes.
  • Procédures substantives : procédures d'audit destinées à détecter directement les anomalies significatives dans les soldes de comptes ou les assertions.
  • Séparation des tâches : contrôle interne qui empêche une seule personne d'accomplir toutes les étapes d'une transaction.
  • Appairage de documents : contrôle de détail qui confirme que deux ou plusieurs documents d'appui correspondent avant l'enregistrement.

Calculatrice d'évaluation du risque de contrôle

Utilisez le calculateur d'évaluation du risque ISA 330 pour documenter votre évaluation du risque de contrôle par assertion et adapter vos procédures substantives en fonction.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.