Definition

Chez nos clients, nous voyons régulièrement le même schéma : l'équipe d'audit documente qu'un contrôle existe (le directeur financier approuve les factures de plus de 50 000 EUR), coche la case dans le programme de travail, et passe au compte suivant. Personne n'a vérifié si l'approbation a réellement eu lieu, ni avec quelle régularité. C'est du tampon. Le dossier donne l'impression d'une évaluation du contrôle interne, mais il n'y en a pas eu.

Fonctionnement

ISA 315.29 vous oblige à obtenir une compréhension des contrôles pertinents relatifs à chaque assertion significative. ISA 330.7 exige ensuite que vous testiez l'efficacité opérationnelle de ces contrôles si vous envisagez de vous fier à eux pour réduire vos procédures de détail.

La distinction qui compte : comprendre qu'un contrôle existe et tester qu'il fonctionne sont deux étapes différentes. Beaucoup d'équipes documentent la conception du contrôle ("le directeur financier approuve les factures de plus de 50 000 EUR") mais omettent de tester si cette approbation s'est réellement produite, avec quelle régularité et selon quels critères.

Vous évaluez le contrôle interne en quatre temps. Vous identifiez les risques au niveau de l'assertion (ISA 315.15 à 315.27). Vous cartographiez les contrôles qui adressent chaque risque. Vous décidez si ces contrôles sont assez efficaces pour réduire vos tests de détail (ISA 330.7). Et vous documentez votre conclusion avec les preuves obtenues. Si un contrôle n'existe pas ou ne fonctionne pas, vous testerez le compte ou l'assertion en détail. Si le contrôle fonctionne, vous pouvez accepter un niveau de preuve plus faible.

L'efficacité du contrôle repose sur des conditions précises. Le contrôle doit être conçu pour adresser un risque spécifique et fonctionner comme conçu. Il doit fonctionner de façon cohérente sur la période auditée. Il doit être exercé au niveau d'autorité approprié, par quelqu'un qui comprend ce qu'il teste. Quand l'une de ces conditions manque, le contrôle n'a aucune valeur pour votre dossier, même s'il existe sur le papier.

Exemple pratique : Stelco Manufacturing S.A.R.L.

Client: Fabricant luxembourgeois de pièces usinées, exercice 2024, chiffre d'affaires 38 M EUR, rapportage en normes IFRS.

Stelco vend à six clients majeurs représentant 78 % du chiffre d'affaires. Un client unique (Automation Benelux) représente 34 % des ventes. Le risque d'anomalie significative au niveau de l'assertion "Réalité des produits vendus" est élevé : une facture erronée, une livraison non réalisée ou un prix incorrect dans ce volume pourrait dépasser la matérialité de performance.

Note de documentation: Évaluation du risque d'anomalie significative (EADS) au niveau de l'assertion = risque élevé. Client de concentration. ISA 315.15, tableau d'évaluation du risque du dossier.

Stelco applique le contrôle suivant : chaque facture de vente supérieure à 150 000 EUR doit être approuvée par le directeur général avant émission. Aucune facture dépassant ce seuil n'est envoyée au client sans cette approbation. Les factures inférieures à 150 000 EUR sont émises sous l'autorité du responsable des ventes, sur la base d'un bon de commande.

Note de documentation: Contrôle clé identifié. Conception du contrôle documentée. Performant sur l'assertion "Réalité des produits vendus". Seuil de 150 000 EUR basé sur la matérialité de performance (410 000 EUR). ISA 315.29.

Vous testez le contrôle en sélectionnant un échantillon de 15 factures supérieures à 150 000 EUR émises entre janvier et décembre 2024. Pour chacune, vous vérifiez que le bon de commande signé du client existe et correspond au montant facturé, que le directeur général a signé l'approbation (ou approuvé par email avec trace), que la date de l'approbation est antérieure à la date d'émission et que le montant approuvé correspond au montant facturé.

Résultat : les 15 factures ont une approbation signée, datée avant émission, et le montant approuvé correspond à la facture. Aucune exception.

Note de documentation: Test d'efficacité opérationnelle du contrôle d'approbation. Échantillon : 15/18 factures > 150 000 EUR (les trois autres sont postérieures à la date de clôture des comptes). Population testée : 18 factures, chiffre d'affaires 3,2 M EUR sur le montant total de 38 M EUR. Taux d'exception : 0/15. Contrôle fonctionne de façon cohérente. ISA 330.7, programme de test.

Parce que le contrôle fonctionne, vous pouvez réduire vos tests de détail sur les factures de plus de 150 000 EUR à un examen analytique (comparer les marges par client et par mois à vos attentes précédentes) plutôt qu'à une nouvelle sélection exhaustive de factures. Pour les factures de moins de 150 000 EUR, le risque est moins concentré, et vous pouvez utiliser un taux d'erreur attendu plus faible dans votre calcul MUS.

Note de documentation: Évaluation mise à jour du risque d'anomalie significative (EADS) au niveau de l'assertion = risque modéré (réduit du risque élevé initial). Contrôle efficace réduit le risque inhérent. Procédures de détail adaptées: examen analytique pour factures > 150 000 EUR, MUS avec taux d'erreur attendu 2 % pour factures 5 000-150 000 EUR. ISA 330.5.

Stelco dispose d'un contrôle d'approbation qui fonctionne de façon cohérente et adresse le risque de concentration client. Ce contrôle vous permet de réduire substantiellement vos tests de détail sur la majorité des ventes. Sans ce contrôle (ou s'il avait échoué au test), vous auriez testé un échantillon beaucoup plus grand de factures individuelles, augmentant les heures de mission d'au moins 15 heures.

Ce que les réviseurs et les professionnels se trompent

Confondre "le contrôle existe" avec "le contrôle fonctionne" reste la violation la plus fréquente d'ISA 330.7. Un dossier peut décrire : "Le responsable approuve tous les bons de commande supérieurs à 50 000 EUR." Mais l'approuveur approuve-t-il réellement chaque bon ? L'approuve-t-il avant ou après l'engagement ? Comprend-il ce qu'il approuve ? Une approbation manuscrite en janvier, puis l'absence d'approbation visible pendant quatre mois consécutifs, puis une reprise en octobre signale que le contrôle ne fonctionne pas de façon cohérente. ISA 330.7 exige une "efficacité opérationnelle" : preuve que le contrôle a fonctionné, pas simplement qu'il a été conçu.

Un contrôle est seulement aussi fiable que la personne qui l'exerce. Un contrôle d'approbation exercé par un stagiaire qui ne comprend pas les critères d'approbation ne réduit pas le risque. ISA 315.A104 précise que l'autorité et la compétence du personnel qui exerce le contrôle sont pertinentes. Avant de conclure qu'un contrôle fonctionne, vérifiez que la personne qui l'exerce a le niveau de connaissances requis. Un directeur général approuvant les bons de commande supérieurs à 50 000 EUR a l'autorité. Un assistant administratif approuvant au même seuil sans vérifier les conditions commerciales n'a pas la compétence.

Beaucoup d'équipes testent un contrôle sur deux ou trois transactions, puis concluent "le contrôle fonctionne". ISA 330.8 exige que vous obteniez une "assurance suffisante" quant à l'efficacité opérationnelle. Deux transactions ne produisent pas une assurance suffisante. Un échantillon statistique ou un jugé d'au moins 10 à 15 transactions (selon la population totale) est attendu. Je l'avoue, quand nous voyons un échantillon de deux ou trois items pour un contrôle clé, la conclusion est déjà compromise. Si vous trouvez une exception dans un petit échantillon, le taux d'exception réel dans la population entière pourrait être beaucoup plus élevé. Nous constatons que certaines équipes construisent une véritable usine à gaz de contrôles documentés sans jamais en tester un seul de manière rigoureuse.

Termes connexes

Risque d'anomalie significative: le risque que l'entité déclare une anomalie significative avant que l'auditeur ne la détecte. L'ECI réduit ce risque.

Procédures de validation (test de contrôle): le processus spécifique par lequel vous vérifiez qu'un contrôle a fonctionné. Régie par ISA 330.

Matérialité de performance: le seuil que vous utilisez pour concevoir vos procédures de détail. Les contrôles efficaces permettent un seuil de performance moins conservateur.

Évaluation des risques: le processus global d'identification des risques d'anomalie significative. L'ECI est la deuxième phase de ce processus.

ISA 330 Procédures de validation: la norme qui régit comment vous testez les contrôles et concluez sur leur efficacité.

Risque inhérent: le risque qu'une assertion contienne une anomalie avant tout contrôle. Une ECI rigoureuse réduit le risque combiné.

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.