Comment ça fonctionne
Le modèle d'audit combine trois composantes : le risque inhérent (la probabilité qu'une assertion soit inexacte avant tout contrôle), le risque lié au contrôle (la probabilité que les contrôles de l'entité ne préviennent ou ne détectent pas l'anomalie), et le risque de détection (la probabilité que vos procédures d'audit ne la détectent pas). ISA 330.4 énonce que le risque de détection doit être établi de façon à réduire le risque d'audit à un niveau faible acceptable.
En pratique, cela signifie que plus votre évaluation du risque inhérent et du risque lié au contrôle est élevée, plus le risque de détection que vous acceptez doit être faible. Inversement, si vous évaluez ces risques comme faibles, vous pouvez accepter un risque de détection plus élevé et donc exécuter des procédures moins étendues.
Le piège courant : les praticiens confondent « risque de détection accepté » (le risque que vous êtes prêt à assumer avant de concevoir les procédures) avec « risque de détection réel » (le risque que vos procédures ne détectent réellement pas l'anomalie après exécution). ISA 330.A1 clarifie que le praticien établit le risque de détection accepté lors de la conception des procédures. Le risque réel ne peut être connu qu'après exécution, et même alors, il ne peut être estimé que rétrospectivement en fonction des résultats observés.
Exemple pratique : Groupe Forestier Atlantique
Client : Société française, FY2024, chiffre d'affaires 78 M EUR, états financiers en IFRS, secteur exploitation forestière.
Assertion auditée : L'évaluation des stocks de bois en fin d'exercice (relevé de la croissance des peuplements forestiers, coûts d'exploitation alloués).
Risque inhérent : Élevé (évaluation requiert du jugement, données externes volatiles, marché du bois fluctuant)
Risque lié au contrôle : Modéré (système de suivi des inventaires en place, mais relevés physiques annuels seulement)
Note de documentation : Risque inhérent documenté dans le PT de planification, avec référence aux conditions de marché du trimestre de clôture (prix du bois affichés par les indices publics PEFC).
Étape 1 : Évaluation du risque inhérent et du risque lié au contrôle.
À partir de cette évaluation combinée (élevé + modéré = risque modéré à élevé au niveau de l'assertion), l'équipe établit un risque de détection accepté de 15 % (ce qui correspond à un risque d'audit global acceptable de 5 % après application du modèle d'audit).
Note de documentation : Matrice d'évaluation des risques complétée dans le PT d'évaluation des risques, avec la formule : Risque d'audit cible (5 %) = Risque inhérent (60 %) × Risque lié au contrôle (50 %) × Risque de détection accepté. Résolution : Risque de détection accepté = 5 % / (60 % × 50 %) = 17 % (arrondi à 15 %).
Étape 2 : Conception des procédures substantives pour atteindre ce risque de détection accepté.
À partir d'un risque de détection accepté de 15 %, l'équipe conçoit des procédures : tests de détail sur 45 % de la population (environ 35 M EUR sur 78 M EUR de stocks), procédure analytique substantive (comparaison des volumes récoltés par peuplement à la croissance estimée selon les données de croissance de l'essence forestière), examen des coûts d'exploitation alloués aux lots.
Note de documentation : Programme de contrôle des stocks. Référence ISA 330.5(c) : nature, étendue et calendrier des procédures substantives établis pour réduire le risque de détection au niveau accepté.
Étape 3 : Exécution et résultats observés.
Les tests de détail détectent des anomalies sur trois lots (allocation de coûts incorrecte pour la zone sud). La procédure analytique confirme les volumes. Les anomalies détectées totalisant 1,2 M EUR (inférieur à la matérialité de performance de 2,5 M EUR), l'équipe les documente, les analyse et conclut.
Note de documentation : PT de stocks avec synthèse des résultats. Le risque de détection réel (après exécution) a été inférieur au risque accepté car les procédures ont détecté les anomalies prévues. Conclusion : « Le risque que nos procédures n'aient pas détecté une anomalie significative supplémentaire en cette matière est acceptablement faible compte tenu des résultats des tests et de l'étendue des procédures analytiques exécutées. »
Conclusion : Les procédures d'une étendue proportionnée au risque de détection accepté (15 %) ont produit une base solide pour l'opinion. Aucune anomalie supplémentaire détectée lors de la revue finale.
Ce que les réviseurs et les praticiens oublient
- Constat d'inspection courant : Les dossiers d'audit qui fixent un risque de détection accepté sans justifier le lien entre celui-ci et la conception des procédures substantives. L'ISA 330.5(c) exige que la nature, l'étendue et le calendrier des procédures réduisent le risque de détection au niveau accepté. Un risque de détection accepté de 5 % suivi de tests couvrant 10 % de la population crée un décalage documenté, régulièrement soulevé lors des inspections de dossiers.
- Erreur pratique fréquente : Confondre le risque de détection accepté établi lors de la planification avec le risque de détection réel après exécution, puis appliquer le modèle d'audit rétrospectivement pour justifier des procédures insuffisantes. ISA 330.A1 établit que le risque de détection accepté est établi avant la conception, pas après. Une fois les procédures exécutées, vous pouvez évaluer si le risque de détection réel était supérieur ou inférieur à celui accepté, mais cette évaluation rétroactive ne justifie pas des procédures moins étendues qu'initialement prévues.
- Pratique documentaire défaillante : Établir un risque de détection accepté sans documenter les facteurs qui ont justifié ce niveau spécifique (niveau du risque inhérent, efficacité des contrôles observée lors de l'évaluation du risque lié au contrôle, matérialité de performance, ou combinaison de ces facteurs). Les réviseurs externes et les pairs s'attendent à trouver un commentaire ou un document établissant le raisonnement : pourquoi 15 % et non 25 % ?
Risque de détection vs risque lié au contrôle
Ces deux éléments du modèle d'audit agissent conjointement, mais ils mesurent des choses différentes et sont documentés séparément.
| Dimension | Risque lié au contrôle | Risque de détection |
|---|---|---|
| Que mesure-t-il ? | La probabilité que les contrôles de l'entité ne préviennent ou ne détectent pas une anomalie. | La probabilité que vos procédures d'audit ne détectent pas une anomalie. |
| Qui le contrôle ? | La direction et les responsables du contrôle interne. | L'équipe d'audit. |
| Quand l'évaluez-vous ? | Lors de l'évaluation des risques (ISA 315). | Lors de la conception des procédures d'audit (ISA 330). |
| Comment le réduisez-vous ? | En exécutant des tests de contrôles et en observant le fonctionnement du système de contrôle interne. | En exécutant des procédures substantives plus étendues ou plus spécifiques. |
| Documentation courante ? | Questionnaire d'évaluation du contrôle interne, observations de tests de contrôles. | Matrice d'évaluation des risques établissant le lien entre le risque d'audit cible, le risque inhérent, le risque lié au contrôle, et le risque de détection accepté. |
Le lien pratique : un risque lié au contrôle élevé (contrôles jugés peu efficaces) force un risque de détection accepté plus faible. Un risque lié au contrôle faible (contrôles jugés efficaces) permet un risque de détection accepté plus élevé. Inverser cette logique (accepter un risque de détection élevé malgré un risque lié au contrôle élevé) augmente le risque d'audit global de manière inacceptable.
Termes connexes
---
- Risque d'audit : Le risque global que l'auditeur exprime une opinion incorrecte. Le risque de détection en est une composante.
- Risque inhérent : La probabilité qu'une assertion soit inexacte avant tout contrôle. Établit le « plafond » du risque de détection que vous pouvez accepter.
- Risque lié au contrôle : La probabilité que les contrôles internes de l'entité ne détectent pas une anomalie. Agit conjointement avec le risque inhérent pour déterminer le risque de détection acceptable.
- Procédures substantives : Les procédures d'audit que vous concevez pour réduire le risque de détection au niveau accepté.
- Matérialité de performance : Le seuil établi pour les procédures substantives, qui influence indirectement l'étendue des procédures et donc le risque de détection.
- Modèle d'audit : Le cadre conceptuel reliant le risque inhérent, le risque lié au contrôle et le risque de détection pour définir le risque d'audit acceptable.