Fonctionnement

Le risque inhérent et le risque lié au contrôle sont deux filtres distincts qui réduisent ensemble votre risque de non-détection acceptable.
Risque inhérent : C'est votre évaluation de la probabilité qu'une assertion soit fausse en l'absence de tout contrôle interne. Certaines assertions ont un risque inhérent plus élevé par nature. Un crédit impôt à la recherche basé sur une interprétation complexe d'une législation fiscale nouvelle aura un risque inhérent élevé, qu'il existe des contrôles ou non. Selon l'ISA 315.25(b), vous évaluez le risque inhérent en tenant compte de facteurs liés à l'entité, à l'environnement et au secteur, ainsi que de la nature et du solde de l'assertion elle-même. Une évaluation du risque inhérent ne dit rien sur la capacité des contrôles à les détecter.
Risque lié au contrôle : C'est votre évaluation de la probabilité que les contrôles internes échouent à prévenir ou détecter une anomalie. Un contrôle peut ne pas exister. Un contrôle peut exister mais être mal conçu (un seuil d'approbation inadapté, une fréquence insuffisante). Un contrôle peut être bien conçu mais mal appliqué (les approbations existent mais personne ne les examine réellement). Selon l'ISA 330.7, si vous testez l'efficacité opérationnelle d'un contrôle, vous pouvez compter sur lui pour réduire le risque lié au contrôle. Si vous ne testez pas, ou si vos tests échouent, vous procédez à des tests de détail substantifs complets.
La distinction compte parce que votre risque de non-détection diminue avec chaque couche. Si vous évaluez le risque inhérent à moyen et le risque lié au contrôle à moyen, votre risque de non-détection acceptable est plus élevé que si les deux sont élevés. ISA 320.9 gouverne cette relation mathématique : risque de non-détection = risque d'audit acceptable ÷ (risque inhérent × risque lié au contrôle).

Exemple pratique : Établissements Mécaniques Genève S.à.r.l.

Client : Société de tuyauterie industrielle suisse, FY2024, chiffre d'affaires CHF 28 M, rapportage IFRS.
Assertion : Créances clients au bilan : CHF 6,8 M.
Étape 1 : Évaluer le risque inhérent.
La base de clients comprend 180 clients, dont cinq représentent 60 % du solde. Trois clients opèrent dans le secteur de la construction (cyclique, défaillances fréquentes). Deux clients ont retardé les paiements l'année dernière. L'entité n'a pas de système d'évaluation de solvabilité formalisé. Le secteur du bâtiment a enregistré six insolvabilités majeures dans la région au cours des deux derniers trimestres.
Documentation : Évaluation du risque inhérent : moyen-élevé. Justification : concentration de clients, secteur cyclique avec volatilité de solvabilité élevée. L'absence d'outil d'analyse de solvabilité augmente le risque inhérent sur l'exhaustivité et l'évaluation des créances douteuses.
Étape 2 : Identifier et tester les contrôles sur les créances clients.
Vous identifiez trois contrôles clés :
Vous testez l'efficacité de ces contrôles. Le rapprochement existe mais aucune exception n'a été documentée au cours des 12 derniers mois (suspicion de test sans rigueur). Le rapport de vieillissement existe mais l'examen par le directeur financier n'est pas documenté (signatures, commentaires, actions correctives). L'approbation préalable s'applique à deux des cinq plus gros clients seulement ; les trois autres dépassent le seuil sans approbation documentée.
Documentation : Résultats des tests de contrôle internes. Risque lié au contrôle : élevé. Justification : un contrôle ne fonctionne que s'il y a preuve d'exécution. Le rapprochement n'a pas d'exceptions documentées (preuve d'examen insuffisante). L'examen du vieillissement n'est pas documenté (pas de preuve d'exécution). L'approbation préalable ne s'applique que partiellement (conception inadéquate).
Étape 3 : Ajuster votre stratégie de test de détail substantif.
Vous avez déjà un risque inhérent moyen-élevé (client concentré, secteur volatile). Vous avez maintenant un risque lié au contrôle élevé (contrôles faibles ou mal appliqués). Cela signifie que vous ne pouvez pas réduire votre test de détail substantif en invoquant l'efficacité des contrôles. Vous testez directement le résultat.
Pour chaque client en retard, vous demandez une confirmation externe directe. Pour les trois gros clients sans approbation préalable, vous examinez les contrats, les bons de livraison et l'historique de paiement. Pour la provision pour créances douteuses, vous recalculez l'allocation au lieu de vous fier au rapport de vieillissement seul.
Documentation : Stratégie de tests de détail substantifs. ISA 330 exige que vous ajustiez l'étendue et la nature de vos tests substantifs si le risque lié au contrôle est élevé. Risque inhérent moyen-élevé + risque lié au contrôle élevé = aucune réduction du risque de non-détection acceptable. Procédures renforcées justifiées.
Conclusion : Une évaluation du risque inhérent élevé seul ne vous oblige pas à tester les contrôles. Une évaluation du risque lié au contrôle élevé signifie que les contrôles existants ne vous aideront pas : vous testez l'assertion directement. La distinction change votre engagement, pas votre conclusion sur l'existence d'une anomalie.

  • Rapprochement mensuel des comptes clients avec le grand livre (contrôle des détails).
  • Rapport mensuel de vieillissement des créances examiné par le directeur financier (contrôle analytique).
  • Approbation préalable de chaque vente supérieure à CHF 250 000 par le responsable crédit (contrôle préventif).

Ce que les réviseurs et les praticiens confondent

  • Tier 1 : Les inspections de l'AFM ont identifié que de nombreux dossiers évaluent le risque inhérent et le risque lié au contrôle comme un concept unique (« risque de compte »), sans distinguer les facteurs inhérents aux assertions de ceux relatifs à la conception des contrôles. Cela conduit à une documentation circulaire : « le risque inhérent est élevé parce que les contrôles sont faibles », ce qui confond la cause et l'effet et masque les défaillances réelles de contrôle.
  • Tier 2 : L'ISA 315.32 exige une évaluation du risque lié au contrôle sur la base des contrôles que la direction a réellement conçus et mis en œuvre. Beaucoup d'équipes évaluent le risque lié au contrôle en supposant que les contrôles énumérés dans la documentation de la direction existent et fonctionnent, sans tester cette hypothèse avant l'évaluation initiale. L'évaluation préalable devrait reposer sur une compréhension obtenue par des questions, des observations et une inspection des preuves, selon l'ISA 315.8.
  • Tier 3 : Une lacune documentaire courante : l'absence de lien explicite entre le risque lié au contrôle et la stratégie de test de détail substantif. Si vous évaluez le risque lié au contrôle à élevé, votre papier de travail de test de détail substantif doit énoncer comment cette évaluation a affecté l'étendue, la nature et le calendrier de vos procédures. Beaucoup de dossiers contiennent une évaluation de risque à élevé mais des tests de détail substantif inchangés (même population, même seuil, même sélection de tests analytiques).

Risque inhérent versus risque lié au contrôle

| Dimension | Risque inhérent | Risque lié au contrôle |
|---|---|---|
| Cause | La nature de l'assertion, du secteur, de l'entité | Conception et exécution des contrôles internes |
| Gouvernance | ISA 315.25(b) : les facteurs de l'entité et de l'assertion | ISA 315.32 : les contrôles mis en place par la direction |
| Exemple d'évaluation élevée | Créances clients avec clients concentrés et douteux, évaluations comptables complexes, opérations transfrontalières | Absence de contrôle préventif, ou contrôle existant sans preuve d'exécution, ou seuil d'approbation inadapté |
| Votre réaction | Augmenter l'étendue des tests substantifs sur l'assertion. Modifier le seuil de sélection ou la composition de l'échantillon. | Réduire votre confiance dans les contrôles existants. Procéder à des tests de détail substantif complets sans suppression. |
| Test du contrôle nécessaire | Non. L'évaluation du risque inhérent n'exige pas de test du contrôle. | Oui, si vous avez l'intention de compter sur le contrôle pour réduire le risque de non-détection. Sinon, non. |
| Conséquence si vous vous trompez | Sous-estimation : vous ratez une anomalie. Surestimation : travail inutile. | Sous-estimation : vous testez insuffisamment. Surestimation : vous testez davantage sans raison. ISA 330 exige la cohérence. |

Quand la distinction compte dans votre engagement

Vous pilotez une mission d'audit de fin d'exercice et procédez à l'évaluation du risque. Vous avez identifié une classe d'opérations hautement complexe : les contrats de location selon l'IFRS 16. L'entité n'a jamais appliqué l'IFRS 16 auparavant (risque inhérent élevé par nature). Vous découvrez également que le responsable du traitement de la location a suivi une formation IFRS 16 en interne et que chaque contrat est examiné par le contrôleur de gestion avant la comptabilisation (contrôles existants suggérant un risque lié au contrôle moyen à faible).
Vous testez l'efficacité opérationnelle du contrôle d'examen. Vous examinez cinq contrats et constatez que le contrôleur de gestion a documenté son examen, posé des questions sur les termes d'option de rachat et réservé son approbation jusqu'à clarification. L'une des questions a conduit le responsable de la location à reclasser un contrat d'une location-financement en location simple, réduisant un actif de droit d'utilisation de CHF 400 000.
Conclusion : risque inhérent élevé (IFRS 16 complexe, première application). Mais risque lié au contrôle faible à moyen (le contrôle d'examen fonctionne réellement ; vous avez observé une correction substantielle basée sur ce contrôle). Vous pouvez donc réduire votre risque de non-détection acceptable et ajuster votre stratégie de test de détail substantif en conséquence. Vous testez toujours les contrats, mais vous pouvez vous fier au contrôle pour certains éléments (par exemple, vérifier que les conditions de chaque contrat sont correctement documentées) et consacrer davantage de ressources à d'autres (évaluer si les reclassifications dues aux options de rachat ont été capturées de manière complète).
La distinction transforme votre réponse au risque de manière concrète et traçable.

Termes connexes

---

  • Risque d'audit : Le risque ultime que vous exprimez une opinion incorrecte. C'est la destination ; le risque inhérent et le risque lié au contrôle sont les chemins vers cette destination.
  • Risque de non-détection : Le risque que vos procédures substantives ne détectent pas une anomalie existante. C'est le levier que vous ajustez en augmentant l'étendue, la nature ou le calendrier de vos tests.
  • Évaluation du risque : Le processus global d'identification et d'évaluation du risque inhérent et du risque lié au contrôle sur toutes les assertions. ISA 315 en gouverne la procédure.
  • Contrôles clés : Les contrôles spécifiques que vous identifiez comme directement pertinents pour les assertions où le risque inhérent est élevé. Ce sont les contrôles que vous décidez de tester.
  • Risque significatif : Une assertion où le risque inhérent est si élevé que vous appliquez automatiquement une approche substantive renforcée, quel que soit le risque lié au contrôle.
  • Résultat probants : Les éléments probants que vous rassemblez pour soutenir votre évaluation du risque inhérent et votre test de l'efficacité du contrôle lié au contrôle.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.