Risque de non-détection

Comment ça fonctionne

Commençons par l'échec courant : un dossier où le risque inhérent est noté élevé sur les stocks, le risque lié au contrôle n'est pas testé (donc présumé élevé), et le RND est néanmoins coché « faible » dans la matrice. Quand on regarde le programme de travail, on trouve un test de détail sur 12 % de la population et une seule procédure analytique. Le dossier est trop léger. La case « faible » n'est pas justifiée par les procédures qu'elle prétend résumer.

Ce que la norme dit. ISA 330.4 (et NEP 330.6 dans la transposition française) exige que le CAC conçoive des procédures dont la nature, le calendrier et l'étendue répondent aux risques évalués au niveau des assertions. ISA 330.A1 précise que le RND accepté est fixé lors de la conception des procédures, en fonction des autres composantes du modèle. La logique est inverse de celle qu'on lit souvent dans les dossiers : on n'« accepte » pas un RND faible pour ensuite décider quelles procédures faire ; on conçoit les procédures, et le RND est ce qui reste.

Ce qui se passe réellement. Le budget temps écrase souvent cette logique. L'équipe sait combien d'heures sont allouées au cycle stocks. À partir de là, elle dimensionne les tests à ce que le forfait permet, puis remplit la matrice à rebours pour que les cases s'accordent. Je l'avoue, dans nos premières missions, on cochait « faible » par défaut sur le RND parce que c'était la valeur que le logiciel proposait au démarrage. Personne n'avait formellement choisi.

La zone grise. Le RND s'applique-t-il au niveau de l'assertion ou au niveau du dossier global ? ISA 330 raisonne assertion par assertion. Mais beaucoup de dossiers documentent un RND unique pour l'ensemble de la mission, ce qui est défendable quand le profil de risque est homogène, mais cesse de l'être dès qu'une assertion (la valorisation des stocks de bois, par exemple) porte un risque sensiblement différent du reste.

Exemple pratique : Groupe Forestier Atlantique

Client : société française, FY2024, chiffre d'affaires 78 M EUR, états financiers en IFRS, secteur exploitation forestière.

Assertion auditée : évaluation des stocks de bois en fin d'exercice (relevé de la croissance des peuplements forestiers, coûts d'exploitation alloués).

Risque inhérent : élevé (l'évaluation requiert du jugement, les données externes sont volatiles, le marché du bois fluctue). Risque lié au contrôle : initialement modéré sur le papier (système de suivi des inventaires en place), réévalué à élevé en cours de mission (cf. complication ci-dessous).

Note de documentation : RI documenté dans le PT de planification, avec référence aux conditions de marché du trimestre de clôture (prix du bois affichés par les indices publics PEFC).

Étape 1 : évaluation initiale des composantes. À partir d'une combinaison RI élevé / RC modéré, l'équipe établit un RND accepté de 17 % (arrondi à 15 %). Calcul : Risque d'audit cible (5 %) = RI (60 %) × RC (50 %) × RND. Résolution : RND = 5 % / (60 % × 50 %) = 17 %.

Étape 2 : conception des procédures pour atteindre ce RND. Tests de détail sur 45 % de la population (environ 35 M EUR sur 78 M EUR de stocks), procédure analytique substantive (comparaison des volumes récoltés par peuplement à la croissance estimée selon les données de croissance de l'essence forestière), examen des coûts d'exploitation alloués aux lots.

Note de documentation : programme de contrôle des stocks. Référence ISA 330.5(c) / NEP 330 : nature, étendue et calendrier des procédures substantives établis pour réduire le RND au niveau accepté.

Complication. À mi-mission, l'équipe découvre que le contrôle de revue des allocations de coûts par la direction n'a pas fonctionné sur trois mois sur douze (rotation de personnel, intérimaire non formé). Le RC ne peut plus être tenu à modéré — il devient élevé. Mécaniquement, le RND accepté tombe à 8 %. Le forfait, lui, ne bouge pas.

Au doigt mouillé, on aurait gardé le programme initial et coché « RND faible » dans la matrice finale. Nous ne l'avons pas fait. L'équipe a décidé d'étendre les tests de détail à 65 % de la population sur la zone sud (la plus exposée au défaut de contrôle) et d'ajouter un recoupement contradictoire sur les coûts unitaires avec les bons de commande des trois mois concernés. Le budget tempo a tenu parce que l'équipe a redéployé des heures depuis le cycle achats (où le RC était finalement plus solide qu'anticipé). C'est ce type d'arbitrage que la matrice de risque doit refléter, pas dissimuler.

Étape 3 : exécution et résultats. Les tests détectent des anomalies sur trois lots (allocation de coûts incorrecte pour la zone sud), totalisant 1,2 M EUR (inférieur à la matérialité de performance de 2,5 M EUR). La procédure analytique confirme les volumes.

Note de documentation : PT de stocks avec synthèse des résultats. Le RND réel (après exécution) a été inférieur au RND accepté car les procédures ont détecté les anomalies prévues dans la zone à risque réévaluée.

Conclusion : les procédures, dimensionnées au RND recalculé après réévaluation du RC, ont produit une base solide pour l'opinion sur l'assertion d'évaluation des stocks.

Ce que les réviseurs et les praticiens oublient

- Constat d'inspection courant. Les dossiers qui fixent un RND accepté sans justifier le lien entre celui-ci et la conception des procédures substantives. ISA 330.5(c) exige que la nature, l'étendue et le calendrier réduisent le RND au niveau accepté. Un RND coché à 5 % suivi de tests couvrant 10 % de la population crée un décalage documenté, régulièrement soulevé par le H2A. Pour moi, c'est l'écart le plus facile à corriger en revue de dossier (et le plus pénalisant si on ne le corrige pas).

- Erreur pratique fréquente. Confondre le RND accepté établi lors de la planification avec le RND réel après exécution, puis appliquer le modèle de risque rétrospectivement pour justifier des procédures insuffisantes. ISA 330.A1 établit que le RND accepté est fixé avant la conception, pas après. Une fois les procédures exécutées, vous pouvez évaluer si le RND réel était supérieur ou inférieur, mais cette évaluation rétroactive ne justifie pas des procédures moins étendues qu'initialement prévues.

- Pratique documentaire défaillante. Établir un RND accepté sans documenter les facteurs qui ont justifié ce niveau spécifique (niveau du RI, efficacité des contrôles observée lors de l'évaluation du RC, matérialité de performance, ou combinaison). Les réviseurs externes attendent un commentaire qui répond à la question simple : pourquoi 15 % et non 25 % ?

Désaccord légitime entre confrères

Tous les praticiens ne raisonnent pas le RND de la même manière, et la NEP 200 laisse de la place à deux lectures.

Position A (le RND comme levier de planification). Pour certains associés, le RND est bien une variable que l'on fixe en amont — un objectif assigné à l'équipe d'audit, qui guide ensuite la conception des procédures. La logique : sans cible chiffrée, l'équipe ne sait pas quand arrêter d'étendre les tests. Le RND accepté donne un point d'arrivée.

Position B (le RND comme résidu). Pour d'autres associés, dont nous faisons partie chez nos clients, le RND est un résidu : il ne peut être inféré qu'après que l'équipe a décidé de la nature, du calendrier et de l'étendue des procédures, parce que c'est ce trio qui le détermine — pas l'inverse. Le coucher dans la matrice avant le travail revient à faire la conclusion avant le raisonnement.

La différence n'est pas cosmétique. Elle change ce qu'on documente en premier dans le dossier, et donc ce qu'un inspecteur verra en haut de la pile.

Risque de non-détection vs risque lié au contrôle

Ces deux composantes du modèle d'audit agissent conjointement, mais elles mesurent des choses différentes et sont documentées séparément.

Le lien pratique. Un RC élevé (contrôles jugés peu efficaces) force un RND accepté plus faible. Un RC faible (contrôles jugés efficaces et testés) permet un RND plus élevé. Inverser cette logique — accepter un RND élevé malgré un RC élevé — augmente le risque d'audit global au-delà du seuil acceptable.

Le second-ordre : pourquoi le RND est mal calibré en pratique

La cause structurelle n'est pas un défaut de compétence. C'est la conjonction du budget temps et du paramétrage par défaut du logiciel d'audit. Quand le forfait est serré et que la matrice s'ouvre avec « RND : faible » pré-coché, l'auditeur ne choisit pas le RND. Le workflow le choisit pour lui, et la documentation suit. C'est cette mécanique-là que les inspecteurs du H2A repèrent en moins de dix minutes dans un dossier — et c'est elle qu'il faut casser en commençant la matrice par les procédures, pas par la case résultat.

Termes connexes

- Risque d'audit : le risque global que le CAC exprime une opinion incorrecte. Le RND en est une composante. - Risque inhérent : la probabilité qu'une assertion soit inexacte avant tout contrôle. Établit le « plafond » du RND que vous pouvez accepter. - Risque lié au contrôle : la probabilité que les contrôles internes de l'entité ne détectent pas une anomalie. Agit conjointement avec le RI pour déterminer le RND acceptable. - Procédures substantives : les procédures d'audit conçues pour ramener le RND au niveau accepté. - Matérialité de performance : le seuil établi pour les procédures substantives, qui influence indirectement leur étendue et donc le RND. - Modèle d'audit : le cadre conceptuel reliant RI, RC et RND pour définir le risque d'audit acceptable.

---