Fonctionnement

L'ISA 315.29 vous oblige à obtenir une compréhension des contrôles pertinents relatifs à chaque assertion significative. L'ISA 330.7 exige ensuite que vous testiez l'efficacité opérationnelle de ces contrôles si vous envisagez de vous fier à eux pour réduire vos procédures de détail.
La distinction critique : comprendre qu'un contrôle existe et tester qu'il fonctionne sont deux étapes différentes. Beaucoup d'équipes documentent la conception du contrôle (« le directeur financier approuve les factures de plus de 50 000 EUR ») mais omettent de tester si cette approbation s'est réellement produite, avec quelle régularité et selon quels critères.
Vous évaluez le contrôle interne en trois étapes. D'abord, vous identifiez les risques au niveau de l'assertion (ISA 315.15 à 315.27). Deuxièmement, vous cartographiez les contrôles qui adressent chaque risque. Troisièmement, vous décidez si ces contrôles sont assez efficaces pour que vous réduisiez vos tests de détail (ISA 330.7). Si un contrôle n'existe pas ou ne fonctionne pas, vous testerez le compte ou l'assertion en détail. Si le contrôle fonctionne, vous pouvez accepter un niveau de preuve plus faible.
L'efficacité du contrôle dépend de quatre facteurs. Le contrôle doit être conçu pour adresser un risque spécifique. Il doit fonctionner comme conçu. Il doit fonctionner de façon cohérente sur la période auditée. Et il doit être exercé au niveau d'autorité approprié (par quelqu'un qui comprend ce qu'il teste).

Exemple pratique : Stelco Manufacturing S.A.R.L.

Client: Fabricant luxembourgeois de pièces usinées, exercice 2024, chiffre d'affaires 38 M EUR, rapportage en normes IFRS.
Étape 1 : Identifier le risque à l'assertion
Stelco vend à six clients majeurs représentant 78 % du chiffre d'affaires. Un client unique (Automation Benelux) représente 34 % des ventes. Le risque d'anomalie significative au niveau de l'assertion "Réalité des produits vendus" est élevé : une facture erronée, une livraison non réalisée, ou un prix incorrect dans ce volume pourrait dépasser la matérialité de performance.
Note de documentation: Évaluation du risque d'anomalie significative (EADS) au niveau de l'assertion = risque élevé. Client de concentration. ISA 315.15, tableau d'évaluation du risque du dossier.
Étape 2 : Identifier le contrôle
Stelco applique le contrôle suivant : chaque facture de vente supérieure à 150 000 EUR doit être approuvée par le directeur général avant émission. Aucune facture dépassant ce seuil n'est envoyée au client sans cette approbation. Les factures inférieures à 150 000 EUR sont émises sous l'autorité du responsable des ventes, sur la base d'un bon de commande.
Note de documentation: Contrôle clé identifié. Conception du contrôle documentée. Performant sur l'assertion "Réalité des produits vendus". Seuil de 150 000 EUR basé sur la matérialité de performance (410 000 EUR). ISA 315.29.
Étape 3 : Tester l'efficacité opérationnelle
Vous testez le contrôle en sélectionnant un échantillon de 15 factures supérieures à 150 000 EUR émises entre janvier et décembre 2024. Pour chacune, vous vérifiez:
Résultat : les 15 factures ont une approbation signée, datée avant émission, et le montant approuvé correspond à la facture. Aucune exception.
Note de documentation: Test d'efficacité opérationnelle du contrôle d'approbation. Échantillon : 15/18 factures > 150 000 EUR (les trois autres sont postérieures à la date de clôture des comptes). Population testée : 18 factures, chiffre d'affaires 3,2 M EUR sur le montant total de 38 M EUR. Taux d'exception : 0/15. Contrôle fonctionne de façon cohérente. ISA 330.7, programme de test.
Étape 4 : Réduire vos tests de détail
Parce que le contrôle fonctionne, vous pouvez réduire vos tests de détail sur les factures de plus de 150 000 EUR à un examen analytique (par exemple, comparer les marges par client et par mois à vos attentes précédentes) plutôt qu'à une nouvelle sélection exhaustive de factures. Pour les factures de moins de 150 000 EUR, le risque est moins concentré, et vous pouvez utiliser un taux d'erreur attendu plus faible dans votre calcul MUS.
Note de documentation: Évaluation mise à jour du risque d'anomalie significative (EADS) au niveau de l'assertion = risque modéré (réduit du risque élevé initial). Contrôle efficace réduit le risque inhérent. Procédures de détail adaptées: examen analytique pour factures > 150 000 EUR, MUS avec taux d'erreur attendu 2 % pour factures 5 000-150 000 EUR. ISA 330.5.
Conclusion : Stelco dispose d'un contrôle d'approbation qui fonctionne de façon cohérente et adresse le risque de concentration client. Ce contrôle vous permet de réduire substantiellement vos tests de détail sur la majorité des ventes. Sans ce contrôle (ou s'il avait échoué au test), vous auriez testé un échantillon beaucoup plus grand de factures individuelles, augmentant les heures de mission d'au moins 15 heures.

  • Le bon de commande signé du client existe et correspond au montant facturé
  • Le directeur général a signé l'approbation de facture (ou approuvé par email avec trace)
  • La date de l'approbation est antérieure à la date d'émission de la facture
  • Le montant approuvé correspond au montant facturé

Ce que les réviseurs et les professionnels se trompent

Confondre "le contrôle existe" avec "le contrôle fonctionne"
La violation la plus fréquente d'ISA 330.7 consiste à documenter qu'un contrôle a été conçu sans tester qu'il a fonctionné. Un dossier peut décrire : « Le responsable approuve tous les bons de commande supérieurs à 50 000 EUR. » Mais l'approuveur approuve-t-il réellement chaque bon ? L'approuve-t-il avant ou après l'engagement ? Comprend-il ce qu'il approuve ? Une approbation manuscrite le mois de janvier, puis l'absence d'approbation visible pour quatre mois consécutifs, puis une reprise en octobre signale que le contrôle ne fonctionne pas de façon cohérente. ISA 330.7 exige une « efficacité opérationnelle » : preuve que le contrôle a fonctionné, pas simplement qu'il a été conçu.
Accepter un contrôle sans tester qui l'exerce
Un contrôle est seulement aussi fiable que la personne qui l'exerce. Un contrôle d'approbation exercé par un stagiaire qui ne comprend pas les critères d'approbation ne réduit pas le risque. ISA 315.A104 souligne que l'autorité et la compétence du personnel qui exerce le contrôle sont pertinentes. Avant de conclure qu'un contrôle fonctionne, vérifiez que la personne qui l'exerce a le niveau de connaissances requis. Un directeur général approuvant les bons de commande supérieurs à 50 000 EUR a l'autorité. Un assistant administratif approuvant au même seuil sans vérifier les conditions commerciales n'a pas la compétence.
Tester un contrôle sur une population trop réduite
Beaucoup d'équipes testent un contrôle sur deux ou trois transactions, puis concluent « le contrôle fonctionne ». ISA 330.8 exige que vous obteniez une « assurance suffisante » quant à l'efficacité opérationnelle. Deux transactions ne produisent pas une assurance suffisante. Un échantillon statistique ou un jugé d'au moins 10-15 transactions (selon la population totale) est attendu. Si vous trouvez une exception dans un petit échantillon, le taux d'exception réel dans la population entière pourrait être beaucoup plus élevé.

Termes connexes

Risque d'anomalie significative: le risque que l'entité déclare une anomalie significative avant que l'auditeur ne la détecte. L'évaluation du contrôle interne réduit ce risque.
Procédures de validation (test de contrôle): le processus spécifique par lequel vous vérifiez qu'un contrôle a fonctionné. Régie par ISA 330.
Matérialité de performance: le seuil que vous utilisez pour concevoir vos procédures de détail. Les contrôles efficaces permettent un seuil de performance moins conservateur.
Évaluation des risques: le processus global d'identification des risques d'anomalie significative. L'évaluation du contrôle interne est la deuxième phase de ce processus.
ISA 330 Procédures de validation: la norme qui régit comment vous testez les contrôles et concluez sur leur efficacité.
Risque inhérent: le risque qu'une assertion contienne une anomalie avant tout contrôle. Une évaluation forte du contrôle interne réduit le risque inhérent.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.