Definition
Lors d'une inspection H3C récente, un cabinet a reçu une observation formelle parce que son papier de travail de planification contenait une seule ligne : « Aucun facteur de risque de fraude identifié. » Le client, une PME industrielle, venait pourtant de perdre son DAF sans remplacement depuis huit mois, et le DG approuvait seul toutes les écritures de provisions. Le dossier était trop léger, et l'inspecteur l'a relevé.
Fonctionnement
L'ISA 240 organise les facteurs de risque de fraude en catégories : les motivations et pressions, les opportunités, l'attitude et la rationalisation. La recherche en criminologie montre depuis des décennies que la fraude survient généralement lorsque ces éléments convergent.
Les motivations et pressions incluent les difficultés financières, la pression de réaliser des cibles de performance ou de maintenir une image financière positive quand la réalité est dégradée. Le commissaire aux comptes examine les situations où une entité (ou ses dirigeants) fait face à une pression financière externe ou interne suffisamment forte pour justifier le risque légal et professionnel d'une fraude.
L'opportunité existe quand les contrôles internes sont faibles, quand un individu clé a accès à des actifs ou des données sans surveillance suffisante, ou quand les systèmes d'information permettent la manipulation sans trace. L'ISA 240.A7 cite spécifiquement l'absence de ségrégation des tâches et le manque de supervision comme facteurs d'opportunité courants.
L'attitude ou la rationalisation est la plus difficile à détecter. Elle concerne la propension personnelle d'un individu à contourner l'éthique : une histoire de conflit avec la direction, une conviction que les règles ne s'appliquent pas à lui, ou une vision que la fraude est un emprunt temporaire qui sera remboursé. L'ISA 240.A6 pointe l'absence d'un environnement de contrôle solide (un leadership affirmant clairement que l'intégrité n'est pas négociable) comme facteur facilitant la rationalisation.
Ce qui rend l'évaluation des facteurs de risque difficile en pratique : ces catégories ne s'observent pas directement. Vous ne pouvez pas voir la « rationalisation » ou la « pression ». Vous observez des comportements, des structures organisationnelles et des circonstances qui en augmentent la probabilité. L'évaluation exige du jugement professionnel, pas une case cochée au doigt mouillé.
Exemple pratique : Société Gérard & Fils SARL
Client : Fabricant français de composants électroniques, chiffre d'affaires 18 M EUR, référentiel IFRS (filiale d'un groupe coté).
L'auditeur procède à son évaluation des facteurs de risque de fraude lors de la phase de planification.
Évaluation des pressions et motivations
La société a enregistré trois années consécutives de marges déclinantes (passage de 12 % à 8 % à 4 % du résultat opérationnel sur trois ans). Le contrat de gestion avec le groupe parent lie le salaire du directeur général et une part substantielle de sa prime annuelle à l'atteinte d'une marge minimale de 6 %. Cet exercice, la projection était de 3,8 %, ce qui aurait déclenché une réduction de bonus de 40 %.
Note de documentation : Identifier cette pression financière. Vérifier auprès du groupe parent les termes du contrat de gestion. Évaluer si cette pression crée un mobile pour présenter des chiffres artificiellement plus favorables.
Évaluation de l'opportunité
L'examen de l'organisation révèle que le DG cumule les fonctions de directeur des opérations et de DAF par intérim (suite à un départ non remplacé). Il approuve seul toutes les factures d'achats supérieures à 50 000 EUR. Le responsable comptabilité, qui a 15 ans d'ancienneté mais qui rapporte directement au DG, effectue la saisie et le rapprochement des écritures d'amortissement et de provisions. Un audit informatique datant de trois ans signalait qu'aucune piste d'accès aux transactions non approuvées n'était automatiquement journalisée.
Note de documentation : Absence de ségrégation des tâches au niveau du DAF. Cumul de responsabilités opérationnelles et financières. Système d'information sans piste d'audit formelle. Absence de revue indépendante des provisions et amortissements. Opportunité manifeste.
Évaluation de l'attitude et de la rationalisation
Lors de l'entretien avec le DG, celui-ci exprime un ressentiment marqué vis-à-vis du groupe parent. Il décrit les exigences de marge comme « déraisonnables au vu des conditions du marché » et affirme que « d'autres directeurs gonflent leurs chiffres pour atteindre les cibles. C'est la façon dont les choses se font. » Aucune communication formelle de la part du groupe parent ou du conseil ne réaffirme les attentes éthiques explicites ou l'intolérance à la fraude.
Note de documentation : Résistance observée à la gouvernance du groupe. Conviction qu'une adaptation des chiffres est une pratique de marché. Absence de message éthique fort du leadership. Rationalisation détectable.
Synthèse de l'évaluation
L'auditeur a identifié la convergence de facteurs de risque de fraude significatifs : motivation forte (prime liée à la marge), opportunité structurelle (absence de contrôles) et attitude favorable à la rationalisation (résistance à la gouvernance). L'évaluation exige une réponse d'audit renforcée. Concrètement : supervision accrue des enregistrements de provisions et d'amortissements, rapprochement indépendant des transactions d'achats significatives approuvées par le DG, vérification ciblée de l'assertion relative à la complétude et à l'exactitude du chiffre d'affaires, et documentation de la justification de chaque procédure additionnelle.
Ce que les commissaires aux comptes et les inspecteurs repèrent comme erreur
Lors des inspections H3C et CNCC, les inspecteurs relèvent régulièrement que les auditeurs documentent l'absence de facteurs de risque visibles sans avoir procédé à une évaluation structurée des catégories de l'ISA 240.25. Formulation typique relevée : « Aucun facteur de risque de fraude identifié. » Sans détails sur la manière dont cette conclusion a été atteinte, quels éléments ont été examinés, ou pourquoi chaque catégorie a été rejetée.
Un grand nombre d'auditeurs appliquent une liste de vérification générique de facteurs de risque sans adapter cette évaluation au contexte de la mission. L'ISA 240.25 exige une évaluation de la probabilité et de la magnitude des fraudes potentielles spécifiques à cette entité, ce secteur d'activité et cette équipe de direction. Une évaluation standard, sans référence à ces spécificités, ne satisfait pas au standard.
Je l'avoue : même lorsqu'une évaluation structurée des facteurs de risque est menée, la documentation demeure faible dans la majorité des dossiers que nous revoyons. Elle énumère les facteurs sans expliciter la réponse d'audit (procédures additionnelles, domaines d'attention renforcée, ajustements du plan global d'audit). Cette lacune rend l'évaluation intraçable et inachevée sur le plan de l'impact sur le programme d'audit.
Comparaison : facteurs de risque de fraude vs. signaux d'alerte (red flags)
Ces termes sont parfois utilisés de manière interchangeable, mais la distinction importe sur le plan documentaire.
| Dimension | Facteurs de risque de fraude (ISA 240) | Signaux d'alerte spécifiques |
|---|---|---|
| Définition | Catégories de conditions (motivation, opportunité, attitude) qui augmentent la probabilité générale de fraude | Observations concrètes durant l'audit (écritures inhabituelles, approbations contournées, demandes d'amortissement tardif) |
| Scope | Évaluation initiale, lors de la planification et avant le démarrage du travail | Identifiés au cours du travail de détail ou lors de tests de contrôles |
| Réponse | Influencent la conception du plan d'audit global et l'allocation des ressources | Déclenchent une enquête immédiate ou une extension des procédures dans ce domaine spécifique |
| Documentation | Papier de travail de planification distinct | Notes dans les papiers de travail des domaines affectés ou procédures de suivi |
Sur une mission réelle, vous commencez par l'évaluation des facteurs de risque de fraude. Celle-ci informe votre conception des procédures. Au cours du travail, vous cherchez des signaux d'alerte spécifiques : si vous les trouvez, la réponse est immédiate et documentée dans le dossier thématique affecté.
Termes associés
- Risque d'anomalie significative due à la fraude : le jugement de l'auditeur sur la probabilité qu'une fraude significative se produise, basé sur son évaluation des facteurs de risque - Environnement de contrôle : la base culturelle et organisationnelle qui réduit ou augmente l'opportunité de fraude - Matérialité de l'audit : le seuil en-dessous duquel une fraude ne modifierait pas les décisions économiques des utilisateurs ; ne modifie pas l'évaluation des facteurs de risque, mais affecte la portée des procédures de détection de fraude - Surveillance continue : activités conçues pour détecter et prévenir les fraudes en cours, distinctes de l'évaluation des facteurs de risque à la planification - Responsabilité de la direction pour la prévention et la détection des fraudes : obligation définie à l'ISA 240.26 ; distinction à inclure dans la lettre de mission
Outils Ciferi
Le Diagnostic d'évaluation des risques de fraude ISA 240 guide votre évaluation structurée des catégories de facteurs de risque, avec documentation intégrée et génération d'un rapport d'évaluation pour votre papier de travail de planification. Cet outil supprime les omissions courantes d'évaluation et force la traçabilité du jugement.
Liens internes supplémentaires
- Risque d'anomalie significative : comment les facteurs de risque de fraude alimentent votre évaluation globale du risque - Procédures d'audit tenant compte de la fraude : les procédures spécifiques conçues en réponse aux facteurs de risque identifiés - Lettre de mission et responsabilités de direction : où énoncer clairement la responsabilité de la direction en matière de prévention de fraude
---