Obligation légale

Fonctionnement

L'ISA 250 (Révisée 2024) divise les obligations légales en deux catégories selon leur impact financier direct.

La première catégorie regroupe les obligations dont le respect ou le non-respect détermine directement un montant ou une information dans les états financiers. L'impôt sur les sociétés en est l'exemple le plus courant : c'est une obligation légale dont le calcul alimente directement le passif. Les cotisations de sécurité sociale, les pénalités de retard sur les versements et la conformité aux clauses d'un contrat de prêt (quand le contrat s'appuie sur la loi) relèvent de la même logique. Ces obligations exigent des procédures substantives : on teste le calcul, la complétude et l'enregistrement.

La seconde catégorie regroupe tout le reste : les lois de protection des données, les lois environnementales, les lois de concurrence et les codes du travail. Le non-respect peut causer du tort (amende, perte de licence), mais l'impact financier ne découle pas d'une exigence comptable directe. L'ISA 250.13 demande d'évaluer si un non-respect s'est produit et d'en déterminer l'impact. On ne teste pas chaque loi applicable. On teste les risques significatifs et on documente le jugement sur les risques non testés.

L'ISA 250.13(a) précise que l'auditeur « obtient une compréhension générale du cadre réglementaire et légal applicable ». Pas une connaissance complète de chaque loi. Une compréhension générale qui permet d'identifier les lois qui pourraient être significatives pour le dossier. Nous voyons régulièrement des confrères qui interprètent cette exigence comme « remplir le questionnaire standard ». C'est du tampon. Une compréhension générale suppose d'avoir réfléchi aux lois propres au secteur, à la taille et à la géographie de l'entité.

Exemple pratique : Confiserie Petit Duc S.A.R.L.

Client : entreprise française de transformation alimentaire, chiffre d'affaires 8,5 M EUR, IFRS, FY2024.

Étape 1 — Identifier le cadre légal applicable

Petit Duc opère sous le droit français, la directive UE sur les aliments et le droit du travail français. Étape initiale : consulter le questionnaire d'évaluation des risques ISA 250, vérifier les licences requises (agrément sanitaire), les exigences de traçabilité (droit alimentaire), les obligations fiscales (TVA, impôt sur les sociétés, contribution sociale) et les obligations environnementales (gestion des déchets, émissions).

Note de documentation : tableau « Cadre légal et réglementaire » dans le papier de travail de planification. Marquer les lois jugées potentiellement significatives avec un « M ». Les autres avec un « NM ».

Étape 2 — Évaluer l'impact financier direct

Petit Duc doit payer une TVA calculée selon la loi française. Impact direct sur les états financiers : oui, la TVA affecte directement le passif et la trésorerie. C'est une obligation de la première catégorie. Procédures substantives requises : recalculer la TVA mensuelle, vérifier son enregistrement au passif, confirmer les paiements.

Petit Duc doit respecter la directive UE sur le bien-être animal si elle élève des animaux. Elle ne le fait pas. Impact financier direct si elle violait cette loi : aucun, sauf si une amende était imposée et devait être provisionnée (IAS 37). Le risque de violation lui-même ne justifie pas de test substantif. À la place : évaluation du risque et documentation du jugement.

Note de documentation : « Directive bien-être animal : non applicable à Petit Duc (aucun élevage). Aucune procédure requise. »

Étape 3 — Réaliser les procédures adaptées

Pour l'impôt sur les sociétés (obligation légale, impact financier direct) : recalculer la provision d'impôt en fonction du bénéfice comptable déclaré et du taux d'imposition français de 25 % (taux standard 2024). Vérifier les déclarations fiscales déposées. Documenter les éléments temporaires et permanents identifiés.

Pour les risques de non-conformité (obligations légales, aucun impact financier direct) : poser des questions à la direction sur les violations connues ou soupçonnées, examiner la correspondance avec l'administration fiscale et les organismes de contrôle, passer en revue les procès-verbaux du conseil pour tout commentaire sur les violations ou les amendes imposées.

Note de documentation : « ISA 250.13 : aucune violation identifiée au cours de nos procédures. Direction certifie la conformité aux obligations de la première catégorie (TVA, impôt). »

Le résultat pour Petit Duc : les obligations légales applicables sont documentées et les procédures adaptées au risque et à l'impact financier de chacune. La direction a fourni une déclaration sur la conformité légale. Les preuves soutiennent la conclusion qu'aucune violation non déclarée n'affecte les états financiers de manière significative.

Ce que les examinateurs manquent

Constat de la H3C (2023) : dans 5 dossiers sur 14 examinés, l'équipe d'audit n'avait pas documenté les obligations légales potentiellement significatives au-delà des obligations fiscales évidentes. Une PME manufacturière était soumise aux dispositions du Code du travail sur la santé et la sécurité ; le dossier ne contenait aucune référence à ces articles ou à leur impact sur les provisions liées aux accidents du travail. La H3C a noté que sans cette analyse, le jugement du risque de non-conformité était insuffisamment étayé.

L'ISA 250.13(a) demande une « compréhension générale » du cadre légal. La plupart des équipes interprètent cela comme remplir un questionnaire de conformité à la planification. Mais une compréhension générale signifie que l'on a considéré les lois applicables au secteur, à la taille et à la géographie de l'entité. Une entité d'import-export doit considérer les douanes et les réglementations commerciales. Une entreprise opérant avec des données personnelles doit considérer le RGPD. Omettre l'une de ces analyses signifie que l'on n'a pas de « compréhension générale » : on a une liste générique d'obligations.

Je l'avoue, c'est la lacune qui nous frustre le plus dans les dossiers que nous revoyons : de nombreux mandats documentent les obligations légales au stade de la planification, puis ne les revisitent jamais. L'ISA 250 Révisée (effective décembre 2026) renforce cette exigence. L'auditeur doit considérer les obligations légales tout au long de l'audit, pas seulement en planification. Si une nouvelle loi ou une modification législative survient au cours de l'exercice audité, il faut l'identifier et l'évaluer. Traiter la conformité légale comme une case à cocher en début de mandat, c'est exactement ce que les inspecteurs sanctionnent.

Termes connexes

Conformité réglementaire — l'obligation plus large de respecter toutes les règles qui régissent un secteur et une juridiction.

Non-respect d'une loi ou d'un règlement — l'acte ou l'omission qui viole une obligation légale et comment l'auditeur l'évalue.

Événement postérieur — une loi nouvelle adoptée après la date de clôture mais avant la signature du rapport peut être un événement postérieur qui requiert une divulgation.

Obligation conditionnelle — une amende ou une pénalité résultant du non-respect d'une obligation légale est souvent enregistrée comme une provision ou divulguée comme une obligation conditionnelle.

Jugement professionnel — l'évaluation du risque de non-respect exige un jugement sur les obligations à tester de manière substantive et celles à évaluer qualitativement.

ISA 250 Révisée — la version 2024 augmente les exigences de considération tout au long de l'audit et clarifie la distinction entre les deux catégories.

Calculateur de risque de non-conformité légale

L'outil Ciferi Évaluateur de risques ISA 250 aide à documenter la compréhension générale du cadre légal applicable, à classifier les obligations selon leur impact financier et à assigner des procédures adaptées au risque. On choisit le secteur, la juridiction et la taille de l'entité ; l'outil génère un graphique des obligations applicables présumées et permet de marquer celles qui ont été testées ou jugées non significatives.

---