Definition
Une filiale britannique d'un groupe coté français se fait inspecter par la Financial Reporting Council. L'inspecteur sort un constat de "déficience majeure" sur l'évaluation du risque de fraude. Trois mois plus tard, le constat remonte au CAC français du groupe consolidé, qui doit expliquer au comité d'audit pourquoi la composante britannique vient de se faire taper sur les doigts. Dans les dossiers que nous voyons passer, c'est la séquence la plus fréquente : le CAC français découvre la FRC par ricochet, jamais par le manuel.
Le constat qui revient toujours
Avant de regarder ce que dit ISA (UK), regardons ce que la FRC trouve. Dans ses rapports d'inspection annuels publics, le motif dominant n'est pas "l'auditeur s'est trompé sur la matérialité" ou "le rapport était faux". C'est : le dossier ne démontre pas que la procédure a eu lieu. C'est du tampon. Le papier de travail existe, signé, mais il ne prouve pas grand-chose au lecteur tiers.
Nous voyons exactement le même phénomène dans nos missions avec les filiales britanniques de groupes français. Le team britannique a fait le travail, sincèrement, mais le dossier est trop léger : il manque la trace du raisonnement, la justification du seuil retenu, la documentation de la discussion d'équipe sur la fraude. La FRC ne dit pas "vous n'avez pas audité". Elle dit "vous ne pouvez pas démontrer que vous avez audité dans les règles".
ISA (UK) 240.27 exige une discussion d'équipe documentée sur les risques de fraude. ISA (UK) 315.32 exige une compréhension documentée des contrôles pertinents pour chaque risque significatif. Ces deux paragraphes constituent l'épine dorsale de presque tous les constats publics de la FRC sur les petits et moyens cabinets.
Ce qui se passe réellement
Un CAC français qui prend en charge la composante UK d'un groupe applique souvent ses réflexes Norme d'exercice professionnel (NEP). Logique : il a été formé à la NEP, il documente comme on documente en France, il s'attend à ce que la justification du jugement professionnel suffise. Sauf que la FRC a une exigence implicite que la H2A formule différemment : le dossier doit pouvoir être lu de manière autonome par un inspecteur qui n'a jamais rencontré l'équipe.
Je l'avoue : les premières fois où nous avons coordonné une composante UK pour un groupe français, nous avons sous-estimé cet écart culturel. Le team britannique nous renvoyait des papiers de travail que nous trouvions corrects sur le fond. La FRC, sur l'inspection suivante, a mis le doigt sur l'absence de traces du "professional skepticism" attendu à chaque étape de la planification. Pas le jugement. La trace du jugement.
C'est le décalage que tout CAC français devrait intégrer avant d'auditer une filiale britannique : la NEP française admet que le jugement professionnel se présume du dossier global ; ISA (UK), telle que la FRC la lit en inspection, exige que le jugement professionnel laisse une empreinte écrite à chaque point de décision.
Exemple pratique : un constat d'inspection FRC sur un dossier qui semblait propre
Prenons Martin & Collins LLP, un petit cabinet basé à Bristol, spécialisé dans les sociétés non cotées. Effectif de 4 auditeurs, chiffre d'affaires de 8 M GBP. En 2023, la FRC inspecte un dossier d'audit chez Martin & Collins : la mission Wessex Manufacturing Ltd (chiffre d'affaires de 22 M GBP, reporting IFRS).
À première lecture, le dossier était propre. Le manuel d'audit du cabinet était à jour, les checklists étaient signées, l'évaluation du risque de fraude figurait dans les papiers de travail à la date attendue. L'associé responsable nous a confié plus tard avoir été surpris du constat : "nous étions persuadés d'avoir un dossier complet". L'inspecteur FRC a tiré un fil que l'équipe n'avait pas anticipé.
Étape 1 : Évaluation du risque de fraude ISA (UK) 240.27 demande une discussion d'équipe documentée. Le dossier de Martin & Collins contenait bien une discussion, datée, signée par les quatre auditeurs. Mais le contenu listait des risques génériques : détournement d'actifs, comptabilisation impropre des produits. Aucune trace de discussion sur le secteur manufacturier, sur la pression budgétaire spécifique à Wessex, sur la rotation du directeur financier intervenue six mois avant la clôture. L'inspecteur a posé une question simple : "qu'est-ce qui distingue cette discussion d'une discussion type sur n'importe quel autre client ?". Personne n'a su répondre dans le dossier.
Étape 2 : Procédures sur le contrôle interne ISA (UK) 315.32 exige une compréhension des contrôles pertinents pour chaque risque significatif identifié. Pour le cycle stocks (poste à risque chez Wessex), Martin & Collins avait documenté un walkthrough achats-paiements, mais rien sur la comptabilisation des stocks elle-même. Le walkthrough était daté, signé, complet sur sa propre cible. La cible était simplement la mauvaise.
Étape 3 : Constatation et rapport d'inspection La FRC a classé le dossier en "déficience de cause majeure" (root cause), pas en déficience mineure. La conclusion : Martin & Collins ne s'est pas conformé à ISA (UK) 240 et 315 sur la conception de l'approche, indépendamment de la qualité d'exécution sur d'autres parties du dossier. Conséquence : mise à jour obligatoire du manuel d'audit, formation interne sur l'évaluation du risque de fraude, inspection de suivi en 2024.
Ce que ce cas illustre : un dossier qui paraît complet à un confrère français peut tomber sur un constat FRC parce que la grille de lecture diffère. Pas le travail. La grille.
Ce que les examinateurs et les praticiens oublient
- Tier 1, le constat d'inspection FRC : les inspections constatent régulièrement la confusion entre évaluation du risque de fraude (ISA (UK) 240) et évaluation du risque d'anomalie significative (ISA (UK) 315). La FRC attend deux évaluations distinctes, documentées séparément, avec des procédures de réponse conçues indépendamment.
- Tier 2, application de la norme : ISA (UK) 240.A1 demande une "questioning mind" documentée pendant toute la phase de planification. Pas un formulaire coché. Chaque collaborateur doit laisser trace de son évaluation des zones où une fraude pourrait se produire, avec justification, avant validation du papier de travail.
- Tier 3, lacune de pratique courante : beaucoup de cabinets mid-tier figent l'évaluation du risque de fraude à la planification et n'y reviennent plus. ISA (UK) 240.28 exige une réévaluation continue au cours de la mission, à chaque réunion d'équipe et avant chaque test significatif. Cette réévaluation doit laisser une trace écrite.
Pourquoi la FRC insiste autant sur la documentation
Question légitime : pourquoi le régulateur britannique se concentre-t-il sur la profondeur documentaire plus que sur la pertinence du jugement d'audit ? Notre lecture, et c'est une opinion : parce qu'un régime d'inspection a besoin de constats reproductibles d'un inspecteur à l'autre, parce que la profondeur documentaire est mesurable alors que la qualité du jugement professionnel se discute, parce que les volumes d'inspection imposés à la FRC par le législateur britannique l'obligent à des grilles standardisées. Un inspecteur qui doit produire un constat défendable dans un délai contraint regarde d'abord ce qui se compte : présence de la trace, exhaustivité des sections, signatures aux bons endroits. La substance du jugement vient ensuite.
Cela ne veut pas dire que la FRC se trompe. Cela veut dire qu'un régime d'inspection construit autour de la comparabilité produit mécaniquement une pression sur la documentation, indépendamment de la qualité réelle de l'audit. Ce qui est, en soi, un sujet d'audit interne intéressant : nous formons les équipes UK à laisser des traces parce que la FRC va les chercher, et la trace finit parfois par devenir l'objectif. Usine à gaz documentaire.
Le débat : suivre ISA (UK) à la lettre ou aligner sur la NEP du groupe
Question récurrente sur les missions de groupe franco-britanniques. Deux positions raisonnables coexistent.
Position A : la composante UK doit suivre ISA (UK) telle que la FRC la lit. Le team local connaît son régulateur, anticipe ses constats, calibre son dossier en conséquence. L'argument tient debout parce que la composante sera inspectée localement, pas par la H2A, et le coût d'un constat FRC retombe d'abord sur le cabinet britannique.
Position B : la composante doit aligner ses livrables sur les NEP françaises et la pratique du CAC du groupe pour la cohérence du dossier consolidé. L'argument tient aussi parce que le CAC du groupe doit pouvoir relire la composante avec sa propre grille, sans avoir à traduire un référentiel documentaire qu'il ne maîtrise pas, et parce que la H2A peut un jour inspecter le dossier consolidé.
Notre position dans nos mandats : la composante suit ISA (UK) sur la forme documentaire (la FRC tranche localement), mais le CAC du groupe impose un format de rapportage de composante calé sur les attentes NEP, parce que c'est la seule manière de faire tenir une revue de groupe qui ne se transforme pas en exercice de double traduction. Compromis imparfait. Le seul qui survit dans la durée.
Comparaison : FRC vs autres régulateurs
| Aspect | FRC (Royaume-Uni) | H2A (France) | AFM (Pays-Bas) | PCAOB (États-Unis) |
|---|---|---|---|---|
| Standard de référence | ISA (UK) | NEP (basées sur ISA) | ISA (Pays-Bas) | PCAOB Standards |
| Champ d'application | Cabinets reconnus pour EIP UK et petits cabinets | CAC inscrits, EIP françaises | Auditeurs néerlandais | Cabinets auditant des entités cotées US |
| Fréquence d'inspection | Annuelle ou bisannuelle pour cabinets EIP | Cycle aligné sur la réglementation européenne | Annuelle ou triennale | 1-3 ans pour les Bigs, 5-7 ans pour autres |
| Type de constat courant | Profondeur documentaire de l'évaluation des risques | Documentation de la démarche d'audit, indépendance | Précision des procédures analytiques | Documentation de l'évaluation du risque de fraude |
| Pouvoir d'application | Avertissement, conditions, retrait de reconnaissance | Sanctions disciplinaires via H3C historique puis H2A | Amendes, restrictions, retrait de licence | Censure, révocation du statut d'auditeur agréé |
Termes connexes
- ISA (UK) : version britannique des normes ISA internationales, avec suppléments propres au droit anglais et à la régulation des marchés financiers britanniques. - Audit d'intérêt public : catégorie de mission définie par la FRC, qui couvre les sociétés cotées, les établissements de crédit, les assurances. Exigences d'inspection et de qualité renforcées. - Qualité de mission : programme d'inspection de la FRC évaluant la conformité d'un dossier d'audit aux normes ISA (UK) et aux politiques internes du cabinet. - Risque de fraude : évaluation requise par ISA (UK) 240 des zones où la direction pourrait contourner les contrôles ou comptabiliser des opérations de manière impropre. - IAASB : International Auditing and Assurance Standards Board, qui publie les normes ISA internationales que la FRC adapte pour le Royaume-Uni.
Ressources connexes
- Matérialité en audit : comment la FRC évalue l'application de la matérialité dans les inspections de dossiers. - Risque d'anomalie significative : composante de l'évaluation du risque que la FRC contrôle régulièrement en inspection. - Procédures analytiques : la précision insuffisante des procédures analytiques reste un constat récurrent de la FRC.
Calculatrice ou outil
Pas d'outil propre à la FRC. La Checklist d'évaluation du risque de fraude (ISA 240) propose une approche systématique compatible avec ISA (UK) 240, utile pour les composantes UK des groupes français.
---