Fonctionnement
ISQM 1 remplace l'ancienne ISQC 1 (Contrôle de qualité pour les cabinets réalisant des audits et examens d'états financiers et autres travaux d'assurance et services connexes) et s'applique à partir du 15 décembre 2024. Contrairement à ISQC 1, qui était un ensemble d'exigences générales, ISQM 1 (paragraphes 1 à 15) exige que chaque cabinet conçoive, mette en place et maintienne un système de contrôle de qualité basé sur une évaluation des risques.
ISQM 1.A2 énumère les six domaines. Chacun d'eux comporte des exigences qui ne peuvent pas être ignorées. Vos personnes (personnel, compétences, indépendance, conflits d'intérêts) doivent être identifiées et gérées. ISQM 1.13 exige que vous documentez vos seuils de risque, ce qui signifie que vous mettez par écrit quand une personne, un engagement ou un processus déclenche une escalade. La plupart des cabinets de taille moyenne confondent « documentation » avec « avoir une politique ». Une politique énoncée sans seuils documentés échoue à l'inspection.
Le domaine de l'engagement (ISQM 1.8) s'aligne sur ISA 220 mais ajoute une exigence que la plupart des cabinets sous-estiment: vous devez évaluer si vous acceptez ou poursuivez chaque engagement. ISQM 1.8(b) l'énonce directement. Si votre dossier de proposition contient un signal d'alerte (le client refuse un audit des comptes de groupe, l'équipe de direction est instable, il y a un litige en cours), ISQM 1 exige une réponse documentée expliquant pourquoi vous continuez malgré tout.
Exemple pratique: Vos Systèmes SARL
Client: Petite holding belge, VosYstèmes SARL, 8 M EUR de chiffre d'affaires, deux filiales à l'étranger.
Étape 1: Évaluer le risque du cabinet: Vous avez cinq associés, trois en phase de retraite programmée dans trois ans. Compétence actuelle: ISA 540 faible, continuité d'exploitation acceptée mais peu documentée. Risque au niveau du cabinet: ÉLEVÉ (transition, compétence).
Note de documentation: consigner le profil de risque du cabinet dans le registre d'évaluation, indiquer que la formation ISA 540 est prévue avant le renouvellement du mandat.
Étape 2: Évaluer le risque de l'engagement: VosYstèmes a une filiale allemande acquise il y a deux ans, une filiale portugaise en redressement judiciaire. Le groupe n'a pas d'auditeur consolidé centralisé.
Note de documentation: enregistrer que ISQM 1.8(c) exige une évaluation des risques de groupe. Documentez que vous avez identifié des risques (continuité d'exploitation de la filiale portugaise, consolidation sans consolidateur externe désigné) et que vous les acceptez car le groupe finance la formation et vous utiliserez ISA 600.A4 pour les seuils de groupe.
Étape 3: Affecter les ressources: L'associé responsable des audits de groupe ne maîtrise pas ISA 540. ISQM 1.6(a) exige que les personnes ayant des responsabilités clés possèdent la compétence requise.
Note de documentation: enregistrer que la compétence en continuité d'exploitation est identifiée comme une lacune. La formation est prévue. Un pair examinateur compétent est assigné pour le domaine des risques élevés.
Conclusion: Un cabinet qui consigne simplement une politique générale d'acceptation d'engagement échouera à l'inspection. ISQM 1 exige que vous évaluiez chaque engagement dans le contexte de vos capacités réelles, que vous documentiez les risques, et que vous expliquiez comment vous les gérez. VosYstèmes requiert une documentation au-delà d'une politique: une évaluation datée, une affectation de ressources nommée et une escalade approuvée.
Ce que les auditeurs et les inspecteurs confondent
- La politique n'est pas un seuil: « Nous acceptons les engagements complexes » est une politique. « Nous acceptons la continuité d'exploitation si elle est documentée par le client selon [paragraphes 3-5 d'ISA 570.A20] » est un seuil. ISQM 1.13 exige des seuils, pas des politiques. Les inspecteurs demandent à voir où et comment les risques sont évalués par rapport à vos capacités, pas où vous avez une déclaration générale.
- La documentation centralisée ne remplace pas la documentation d'engagement: Un cabinet peut avoir un manuel ISQM 1 de 40 pages stocké sur le serveur. Mais si un dossier ne contient pas de preuve que l'associé responsable a évalué le risque de cet engagement spécifique, l'inspection retient un constat. ISQM 1 demande que la documentation soit « appropriée aux circonstances » (ISQM 1.14), ce qui signifie que chaque engagement doit montrer que vous avez pensé au risque.
- ISQM 1 ne remplace pas ISA 220: ISA 220 gouverne le contrôle de qualité au niveau de l'engagement. ISQM 1 gouverne le système au niveau du cabinet. Les deux s'appliquent. Un dossier peut avoir un contrôle de qualité ISA 220 exemplaire (examen par un pair attentif, résolution de tous les désaccords) mais toujours échouer ISQM 1 si le cabinet n'a pas d'évaluation de risque documentée au niveau du système. Les inspecteurs examinent d'abord ISQM 1 (le système), puis ISA 220 (l'exécution sur le dossier).
Évaluation ISQM 1 vs ISA 220
| Dimension | ISQM 1 | ISA 220 |
|---|---|---|
| Portée | Système pour tous les audits et services connexes du cabinet | Contrôle de qualité pour cet audit spécifique |
| Responsabilité | Associé responsable de la qualité, approuvé par la gouvernance | Associé responsable et chef de mission |
| Évaluation | Continu, documenté au niveau du cabinet | Avant l'opinion, documenté dans le dossier |
| Seuils | Établis au niveau du cabinet par risque (continuité d'exploitation, fraude, nouvelles normes) | Appliqués à cet engagement par le chef de mission |
| Suivi | Examen annuel de la qualité, inspections internes | Examen des éléments probants et désaccords avant signature |
Quand la distinction importe dans votre cabinet
Un cabinet de taille moyenne a accepté un client dans le secteur de la construction. Six mois après le début, l'équipe de direction change. Le nouveau directeur financier a un antécédent de litiges comptables. ISQM 1.8(c) exige que le cabinet évalue si les circonstances de continuation de l'engagement changent le risque. Si le risque s'élève, ISQM 1.13 exige une réponse: poursuivre avec une escalade (augmentation des examens par les pairs), ou ne pas renouveler. ISA 220 s'applique au dossier actuel (le contrôle de qualité de cet audit), mais c'est ISQM 1 qui gouverne le choix de continuer ou de refuser le renouvellement. Un cabinet sans ISQM 1 documenté peut avoir mis en place un bon ISA 220 sur ce dossier mais ne pas avoir la gouvernance pour expliquer pourquoi il a continué malgré le signal d'alerte.
Termes connexes
ISA 220 (Norme relative au contrôle de qualité pour un audit d'états financiers) - gouverne le contrôle de qualité au niveau de l'engagement, examen par les pairs, résolution des désaccords. ISQM 1 le complète au niveau du cabinet.
ISQM 2 (Gestion de la qualité pour les cabinets réalisant des audits ou des examens d'autres informations financières et d'autres travaux d'assurance et services connexes) - appliquée aux cabinets sans audits d'états financiers. Moins rigoureux qu'ISQM 1, mais même structure de risque.
Contrôle de qualité au niveau de l'engagement - examen par les pairs d'ISA 220. ISQM 1 s'applique au cabinet entier; ISA 220 à chaque dossier.
Évaluation du risque du cabinet - exigence centrale d'ISQM 1. Chaque cabinet doit identifier les risques (compétence en personnel, continuité d'exploitation, fraude, nouvelles normes, stabilité du client) et documenter comment il les gère.
Gouvernance et responsabilité - ISQM 1.3 exige que la gouvernance du cabinet assume la responsabilité du système de contrôle de qualité. Les inspecteurs commencent par la gouvernance, pas par les dossiers individuels.
Liens connexes
ISA 220 (Norme relative au contrôle de qualité pour un audit d'états financiers) - comprendre comment ISQM 1 s'applique à chaque engagement spécifique.
Continuité d'exploitation - domaine clé couvert par l'évaluation des risques du cabinet en vertu d'ISQM 1.
Fraude et responsabilité de l'auditeur - l'une des six dimensions du système de contrôle de qualité ISQM 1.
---