Le cœur de la distinction

ISA 240.13 (Révisée) exige que vous évaluiez les risques de fraude d'abord en tant que risques identifiés, avant de considérer les réponses de la direction. La norme actuelle (ISA 240.A3-A12) vous autorise à évaluer les risques et les contrôles de la direction dans le même élan. Cela semble minime jusqu'à ce que vous découvriez qu'une inspection vous demande d'identifier tous les risques bruts possibles, ce qui n'était pas documenté séparément dans votre dossier actuel.
La direction a toujours des plans pour atténuer les risques identifiés. Sous ISA 240 actuelle, vous pouvez conclure que le risque de fraude au niveau des assertions est faible parce que les contrôles de la direction semblent solides. Sous ISA 240 Révisée, vous documentez d'abord que le risque brut existe (par exemple, des paiements importants à des fournisseurs nouveaux sans documentation d'approbation), puis vous évaluez si les plans de la direction pour atténuer ce risque sont faisables et suffisants. Si la direction n'a aucun plan, le papier de travail le montre clairement. Si la direction a un plan qui dépend d'un contrôle à nouveau testé, cela aussi est documenté explicitement.

Tableau comparatif

| Dimension | ISA 240 Actuelle | ISA 240 Révisée |
|---|---|---|
| Identification des risques | Souvent intégrée à l'évaluation des contrôles | Documentée séparément, sur une base brute, avant atténuation |
| Évaluation des plans de la direction | Fusionnée avec l'identification des risques | Effectuée après l'identification, jugement séparé sur leur faisabilité |
| Documentation requise | Papier de travail unique couvrant risques + contrôles | Deux sections distinctes : risques bruts, puis plans d'atténuation |
| Risque sans plan d'atténuation | Peut être implicite ou moins évident dans le dossier | Doit être explicitement documenté |
| Changement de procédures d'audit | Aucun changement obligatoire avant décembre 2026 | S'applique à compter du 15 décembre 2026 ; date limite pour la transition |

Quand cette distinction s'impose dans une mission réelle

Imaginez une mission d'audit annuelle dans une entreprise allemande de taille moyenne : Müller Elektrotechnik GmbH, chiffre d'affaires 35 M EUR, secteur de la fabrication. Lors de votre évaluation des risques de fraude, vous identifiez que les paiements importants à de nouveaux fournisseurs (plus de 50 000 EUR) ne sont pas documentés avec un accord de prix signé, seulement une commande interne. Sous ISA 240 actuelle, vous testez les contrôles en place : le directeur financier examine chaque paiement avant approbation. Si cet examen fonctionne bien pendant votre période de test, vous pouvez conclure que le risque est géré.
Sous ISA 240 Révisée, vous documentez d'abord le risque brut : absence de contrat signé avec le fournisseur avant le paiement. Cela existe, que les contrôles fonctionnent ou non. Ensuite, vous documentez le plan de la direction : l'examen du directeur financier. Puis vous évaluez : ce plan est-il faisable (est-ce réellement dans les responsabilités du directeur financier) ? Est-il suffisant (un examen sur base de comptes rendus de facturation peut-il détecter une coloration de fraude) ? Si le plan dépend d'un contrôle que vous testez déjà (approbation avant paiement), cela est explicitement établi en croisé.
Documentation dans le papier de travail, Étape 1 : Risques identifiés (avant considération des contrôles).
Exemple d'entrée : Paiements aux nouveaux fournisseurs sans accord de prix signé, accès par le directeur commercial à l'enregistrement des fournisseurs. Risque brut : fraude au paiement / schéma de surfacturations. Évaluation : élevé.
Documentation dans le papier de travail, Étape 2 : Plans de la direction.
Exemple d'entrée : Le directeur financier examine chaque paiement > 50 000 EUR avant approbation. Faisabilité : oui, c'est dans ses responsabilités. Suffisance : partiellement, car l'examen ne couvre que les chiffres, pas la validité du fournisseur. Plan modifié : ajout d'une approbation du directeur commercial pour tous les nouveaux fournisseurs.
Conclusion : le risque de fraude au paiement pour les nouveaux fournisseurs passe de élevé (brut) à moyen (après plans de la direction) parce que deux contrôles jouent maintenant un rôle.

Où les auditeurs et les réviseurs se trompent

Beaucoup de cabinets mélangent les deux approches dans la même matrice. Ils identifient un risque brut, notent le contrôle de la direction à côté, évaluent le risque de fraude résiduel une seule fois, et considèrent le papier de travail complet. Cette approche fonctionne sous ISA 240 actuelle. Elle ne fonctionnera pas sous ISA 240 Révisée parce qu'un régulateur examinera le dossier et demandera : "Quel était le risque brut que vous aviez identifié avant de considérer les contrôles de la direction ?" Si cette réponse n'est pas claire dans le dossier, c'est un constat.
Un second écueil : supposer que la sépération des risques bruts des plans d'atténuation signifie ajouter deux lignes supplémentaires à votre matrice actuelle. Ce n'est pas vrai. C'est une refonte de la structure du papier de travail. Beaucoup de cabinets utilisent actuellement une approche "colonne de contrôle" où le risque est évalué après la mise en place du contrôle. ISA 240 Révisée vous oblige à d'abord évaluer le risque sans supposer aucun contrôle, puis à ajouter une section distincte : "Réponses de la direction : faisabilité et suffisance."
Un troisième écueil : documenter que vous avez identifié un risque brut, puis supposer automatiquement que les contrôles existants l'atténuent. ISA 240.13(b) (Révisée) dit que vous devez évaluer si les plans de la direction sont faisables et suffisants pour répondre au risque identifié. Faisable signifie : est-ce que ce contrôle peut réellement être exécuté avec les ressources et responsabilités actuelles ? Suffisant signifie : est-ce que ce contrôle réduit le risque à un niveau que vous jugez acceptable ? Ces deux questions doivent être documentées en tant que conclusions distinctes, pas comme une remarque entre parenthèses.

Outil de transition disponible

Ciferi propose une matrice de structure ISA 240 Révisée qui reformate automatiquement vos papiers de travail existants de l'approche fusionnée (ISA 240 actuelle) à la structure en deux étapes requise par ISA 240 Révisée. Cela vous permet de tester vos processus actuels et de voir exactement où les lacunes documentaires se trouvent avant décembre 2026.

Termes connexes

Évaluation des risques de fraude: Le processus complet d'identification des zones dans lesquelles la direction pourrait potentiellement commettre une fraude. ISA 240 (Révisée et actuelle) la gouverne, mais l'ordre des étapes diffère.
ISA 240 actuelle: La version de la norme actuellement en vigueur jusqu'au 15 décembre 2026. Définit les procédures générales pour identifier les risques de fraude.
Fraude par assertion: Une catégorie de risque où la fraude se manifeste à travers une assertion erronée. ISA 240 Révisée exige de documenter cette catégorisation séparément du jugement concernant les contrôles.
Plans d'atténuation de la direction: Les actions que la direction a mises en place pour réduire un risque de fraude identifié. ISA 240 Révisée exige une évaluation explicite de leur faisabilité et suffisance.
Risque résiduel de fraude: Le risque de fraude qui persiste après que la direction a appliqué ses plans d'atténuation. ISA 240 Révisée vous oblige à l'estimer après l'étape 2.
ISA 315 Révisée: Également entrée en vigueur le 15 décembre 2024, elle redéfinit l'identification des risques au niveau de l'assertion d'une manière qui s'aligne sur la logique ISA 240 Révisée.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.