Definition
Dans les dossiers que nous revoyons, un même constat revient : l'auditeur a identifié le risque de fraude au niveau de la direction, documenté « risque identifié », et appliqué les procédures standards. Le H3C demande pourquoi la procédure a été réduite. L'auditeur ne peut pas répondre parce que son dossier ne trace aucun jugement sur la probabilité. C'est le problème que la révision de 2019 de l'ISA 315 cherche à résoudre. La version révisée exige désormais que les auditeurs évaluent les risques selon un spectre de probabilité (et non selon une classification binaire) puis documentent cette évaluation avant de concevoir leur réponse. ISA 315.A24 (révisée 2019) formalise ce changement. (Voir ISA 315 révisée paragraphes 24 à 26 pour les critères d'évaluation du risque.)
Tableau comparatif : approche version d'origine vs approche révisée
| Dimension | Version d'origine (avant 2019) | ISA 315 Révisée (2019+) |
|---|---|---|
| Classification du risque | Binaire : risque identifié ou non identifié | Spectre : probable / possible / improbable + amplitude |
| Évaluation de la probabilité | Implicite dans le jugement professionnel | Explicite : documenté dans la matrice des risques |
| Cadre d'évaluation de l'impact | Basé sur l'importance relative seule | Probabilité × amplitude potentielle |
| Documentation requise | Narrative simple par risque | Tableau à trois colonnes : risque / probabilité / amplitude / contrôles de réponse |
| Risques non identifiés | « Risques par défaut » énumérés | Justification pour chaque absence de risque notée |
| Environnement de contrôle | Évalué une fois au début | Réévalué selon les changements opérationnels/réglementaires identifiés |
Quand cette distinction compte vraiment sur une mission
L'ISA 315 révisée exige que vous tentiez de quantifier votre évaluation du risque avant de concevoir les procédures de réponse. Si vous concluez qu'une fraude au niveau de la direction est « possible mais improbable », vous devez documenter pourquoi vous pensez que la probabilité est basse, et comment vous calibrez votre réponse en fonction de cette probabilité. La version d'origine vous permettait d'énoncer « risque de fraude au niveau de la direction identifié » et de passer à la procédure standard.
Chez nos clients, c'est à l'inspection que cette distinction se révèle. Si vous avez documenté un risque comme « improbable, amplitude élevée, mais nous avons conclu qu'aucune procédure supplémentaire n'était requise au-delà des procédures standard », votre dossier tiendra plus facilement que si vous déclarez « risque évalué et procédures standards jugées suffisantes ». ISA 315.27 et ISA 330.5 exigent tous deux une justification claire de votre réponse au risque. La version révisée oblige cette justification à être tracée directement à partir de votre évaluation.
Exemple pratique : Fabrique Ledoux SARL, Provence
Fabrique Ledoux fabrique des pièces de moteurs pour le secteur agricole. Chiffre d'affaires : 8,2 M EUR. Employés : 32. La direction comprend le fondateur (55 ans), une comptable salariée (8 ans dans le poste) et un responsable opérationnel (ancien comptable du groupe mère, recruté l'année dernière).
Sous l'approche version d'origine
Le dossier ressemblerait à ceci : « Environnement de contrôle : évalué à faible risque. Fraude au niveau de la direction : risque identifié. Raison : toute entité pourrait présenter un risque de fraude au niveau de la direction. Procédures : audit analytique au niveau des comptes, évaluation des ajustements de clôture, examen des écritures inusitées. »
Pas de documentation du jugement sur la probabilité. Pas de quantification. Pas de distinction entre « fraude probable » et « fraude possible mais peu probable ». C'est du tampon.
Sous l'approche ISA 315 révisée
Ici la documentation suit trois étapes distinctes.
L'évaluation de la probabilité d'abord : vous examinez les facteurs de risque de fraude selon ISA 315.A77 à A87 (pression sur les bénéfices, opportunité technique, rationalisation). Vous trouvez qu'aucune pression financière n'est visible (bénéfices stables, pas de prêts excessifs), la comptable a 8 ans d'expérience chez le client (contrôle des tâches suffisant), le nouveau responsable opérationnel n'a pas accès au logiciel comptable. Documentation : « Facteurs de fraude au niveau de la direction : probabilité POSSIBLE. Aucune pression visible, mais risque d'override de contrôles par le fondateur non éliminé. »
L'évaluation de l'amplitude potentielle ensuite : si le fondateur contournait les contrôles pour augmenter les revenus de 5 %, quel serait l'impact ? Pour une entité de 8,2 M EUR, cela représenterait environ 410 K EUR. Les charges critiques (matières premières 3,2 M EUR, personnel 1,1 M EUR) sont peu discernables comme cibles de fraude. Les clients sont trois clients stables depuis 10+ ans (pas de chiffre d'affaires fictif évident). Documentation : « Amplitude potentielle : FAIBLE. Si override de contrôle survient, les objectifs probables seraient les charges ou les ajustements de clôture, limités par la composition analytique des charges. »
La conception de la réponse au risque enfin : probabilité possible + amplitude faible = réponse standard (procédures analytiques et évaluation des écritures inusitées), MAIS avec une documentation spécifique concernant l'override du contrôle par le fondateur. Vous testez 100 % des écritures saisies par le fondateur de novembre à janvier (fin d'année). Documentation : « Probabilité possible + amplitude faible = procédures standard ajoutées d'un contrôle 100 % des écritures du fondateur en fin de période. Justification : bien que l'amplitude soit faible, le fondateur a les moyens techniques d'un override. »
La version révisée vous oblige à tracer un jugement rationnel depuis l'évaluation de la probabilité jusqu'à la conception des procédures. Si l'inspection demande « Pourquoi n'avez-vous testé que ces trois mois du fondateur ? », vous pouvez répondre « Parce que nous avions évalué la probabilité de fraude au niveau de la direction comme possible mais l'amplitude comme faible, et nous avons concentré nos ressources sur la période de clôture où les pressions d'ajustement sont les plus élevées. » C'est une réponse que la version révisée exige que vous soyez capable de formuler. La version d'origine ne vous y obligeait pas.
Ce que les inspecteurs et auditeurs confondent
Un risque probable ne signifie pas automatiquement un test exhaustif. ISA 330.6 exige que vous conceviez des procédures correspondant au risque identifié ET à l'amplitude estimée. Une fraude probable d'amplitude très faible pourrait justifier un test substantif échantillonné, pas un test exhaustif. Les inspecteurs vérifient que vous avez rationalisé votre approche sur la base de l'amplitude estimée.
La version révisée exige aussi que vous réévaluiez les risques à mesure que vous apprenez de nouvelles informations. Si vous identifiez en audit un nouveau client de grande taille (septembre 2024), le profil de risque de fraude change : l'amplitude potentielle passe de faible à modérée. ISA 315.35 requiert cette réévaluation en cours de mission, mais dans les dossiers que nous voyons, beaucoup documentent juste la réévaluation initiale.
Je l'avoue, c'est le troisième point qui nous pose le plus de difficultés en revue. L'ISA 315 révisée sépare l'évaluation du risque (paragraphes 24-28) et la conception de la réponse (paragraphes 29-36). Beaucoup d'auditeurs fusionnent les deux dans une seule section narrative. L'inspecteur ne peut alors pas vérifier que l'évaluation a vraiment précédé la conception des procédures. Soyons directs : un dossier qui mélange évaluation et réponse dans le même paragraphe donne l'impression que les procédures ont été décidées d'abord et la justification construite ensuite. Même si ce n'est pas le cas, l'inspecteur lira le dossier dans cet ordre. Et franchement, pour certains dossiers, nous savons tous que l'usine à gaz de la version révisée peut décourager une documentation structurée. Mais c'est précisément le point où la rigueur paie.
Termes liés
Risque d'anomalie significative : concept central dans la version révisée, exigeant que vous distinguiez entre risques au niveau de l'entité et risques au niveau de l'assertion.
Facteurs de risque de fraude : ISA 315.A77 à A87 fournissent le cadre spécifique pour évaluer la probabilité que la direction commette une fraude.
Environnement de contrôle : évalué une seule fois au début sous la version d'origine, mais réévalué tout au long de la mission sous la version révisée.
ISA 330 (Procédures d'audit) : la norme jumelle qui exige que votre réponse au risque soit proportionnée à votre évaluation ISA 315.
Assertion au niveau des comptes : catégories de risques que la version révisée exige que vous évaluiez individuellement.
Contrôles de l'entité : devenus une catégorie explicite et formelle dans la version révisée. Avant, ils étaient souvent fusionnés avec d'autres types de contrôles.
Description de la mise à jour effective
La version révisée de l'ISA 315 (émise en décembre 2019) était applicable aux audits des états financiers pour les périodes commençant à partir du 15 décembre 2019. En pratique, les cabinets mid-tier n'ont pas commencé à l'appliquer avant le début 2020 pour les missions avec clôture 2019 (audits déposés en 2020). Les audits avec clôture 2021 et ultérieures utilisent la version révisée. Depuis janvier 2022, la version d'origine est obsolète dans les juridictions qui adoptent les ISA sans modification.
---