Definition

Lors d'une revue de dossier l'an dernier, nous avons trouvé un contrôle d'approbation des journaux comptables parfaitement documenté : seuil, signataires, fréquence de vérification. Chaque case était cochée. Le problème, c'est que la direction elle-même avait ordonné l'écriture que le contrôle était censé empêcher. Le contrôle n'avait pas échoué. Il avait fonctionné exactement comme prévu, puis la direction l'avait contourné. C'est du tampon : le contrôle existe sur papier, la signature est là, mais la réalité économique sous-jacente a été fabriquée.

Comment cela fonctionne

Un comptable qui omet d'enregistrer une facture viole un contrôle. La direction qui ordonne délibérément à ce comptable de ne pas enregistrer une facture pour éviter de déclarer une obligation dépasse ce contrôle. La différence est l'intention et le pouvoir hiérarchique. ISA 240.25 reconnaît explicitement que « même les systèmes de contrôle interne bien conçus et opérant efficacement peuvent être contournés par la direction ».

Ce risque existe quel que soit le secteur d'activité ou la taille de l'entité. Les cabinets d'audit découvrent régulièrement que des instances de dépassement ont eu lieu sous la supervision directe ou avec l'approbation de la direction financière. Les formes sont variées : modifications non autorisées de journaux comptables, enregistrements de produits fictifs, suppression de charges documentées, représentations trompeuses à l'auditeur.

ISA 240.A55 énumère les catégories courantes : manipulation des enregistrements comptables, falsification ou destruction de documents, omission intentionnelle d'enregistrements ou de communications, et utilisation abusive de l'accès aux systèmes informatiques. Chacune a une signature documentaire différente et exige une approche d'audit spécifique.

ISA 240.33 exige que le risque de dépassement soit considéré comme une catégorie distincte du risque d'anomalie significative lié aux assertions concernées. Nous ne pouvons pas l'englober dans un risque générique « intégrité de la direction ». Nous devons l'identifier, l'évaluer et concevoir des procédures qui le testent.

Exemple pratique : Société Lefevre EIRL

Client : Holding de sociétés de services, établie en Île-de-France, chiffre d'affaires consolidé 18,5 M EUR, deux filiales avec structures de gouvernance minimalistes, IFRS en comptabilité consolidée.

Évaluation du risque

L'associé responsable a examiné la structure d'autorisation des journaux comptables (tous les ordres de journaux > 50 000 EUR nécessitent l'approbation du DAF). Le test de conception montre que le contrôle existe et que la direction l'a documenté. Aucune indication évidente de risque élevé de fraude au niveau entité.

Note de documentation : Processus d'autorisation testé. Aucune exception identifiée lors de la vérification des 47 journaux manuels pour le mois de janvier.

Tests spécifiques de dépassement

Au lieu de s'arrêter à la vérification du contrôle, l'équipe a conçu une procédure ISA 240.A67 : recalculer les montants comptabilisés en ventes directement à partir des contrats de service signés et des feuilles de temps horodatées, puis les comparer aux montants dans le grand livre général. Cette approche contourne le contrôle d'approbation des journaux et examine si la réalité économique a été fidèlement enregistrée.

Note de documentation : Sélection des trois plus grands clients (58 % des ventes annuelles). Reconstitution des ventes attendues par contrat et heures. Comparaison avec les montants comptabilisés. Travail revu par le superviseur.

Découverte d'un dépassement

Au cours de ce test, l'équipe a identifié qu'un journal comptable de 75 000 EUR enregistrant une vente au client principal n'avait aucun contrat ou feuille de temps de support datant d'avant la date d'enregistrement. Le DAF a confirmé que la direction avait ordonné l'enregistrement pour atteindre le budget de chiffre d'affaires du trimestre. Il s'agissait d'une vente fictive enregistrée avec intention.

Note de documentation : Communication avec le DAF et l'associé responsable. Classement comme anomalie significative directement liée au dépassement de contrôles par la direction. Jugement professionnel documenté quant à l'impact sur le jugement d'audit.

Une procédure de conception ordinaire (vérifier la signature du DAF sur l'ordre de journal) n'aurait pas détecté ce dépassement. La procédure qui teste la réalité économique indépendamment du processus d'approbation l'a détecté. C'est le cœur de la distinction ISA 240 : la direction peut autoriser un contrôle tout en ignorant l'événement économique sous-jacent.

Ce que les contrôleurs et les praticiens confondent

La première confusion porte sur la solidité du contrôle. Un journal comptable bien approuvé est un contrôle bien conçu. Mais la direction qui en ordonne l'enregistrement ne viole pas le contrôle : elle l'outrepasse. ISA 240.25 énonce clairement que les contrôles conçus pour fonctionner ne sont pas une garantie contre le dépassement. Les observations d'audit montrent que les petits cabinets supposent fréquemment qu'une approbation du DAF signe le contrôle comme « testé » sans creuser la question de savoir si l'opération sous-jacente a vraiment eu lieu. Le résultat est frustrant : un dossier qui coche chaque case de la NEP et qui, pourtant, ne détecte rien.

La deuxième confusion concerne la documentation. ISA 240.33 n'exige pas seulement une évaluation du risque ; elle exige une documentation du mode de test de ce risque. Dire « le contrôle d'approbation fonctionne » n'y répond pas. Dire « nous avons échantillonné 25 journaux comptables supérieurs à 50 000 EUR et reconstitué indépendamment le montant attendu à partir de la documentation commerciale originale » répond à ISA 240.33(c). La différence entre ces deux phrases, c'est la différence entre un dossier trop léger et un dossier défendable devant le H3C.

La troisième confusion porte sur le périmètre. ISA 240.A55 couvre tout agent de la direction avec le pouvoir d'outrepasser les contrôles, y compris le contrôleur de gestion ou le responsable informatique (accès au système pour modifier les enregistrements). Les collaborateurs opérationnels qui ordonnent la comptabilisation de ventes non autorisées sont aussi concernés. La couche la plus accessible pour le test n'est pas toujours au niveau du DAF.

Procédures d'audit recommandées

La réaction standard (vérifier que les contrôles fonctionnent) ne couvre pas le risque ISA 240.25. Nous avons besoin de procédures qui testent l'intention économique indépendamment de l'approbation administrative.

La reconstitution des montants attendus est la première ligne de test. À partir des contrats signés, des bons de livraison et des heures enregistrées, nous calculons le montant attendu en comptabilité. Nous le comparons au montant réel. Si la direction a comptabilisé 100 000 EUR de ventes quand le contrat ne couvrait que 75 000 EUR, l'écart est visible, indépendamment de qui a signé l'ordre de journal.

Les tests de transactions inverses partent d'un enregistrement comptable et travaillent à rebours jusqu'à la documentation commerciale. La direction a-t-elle enregistré des charges qui ne correspondent à aucun reçu fournisseur ? Des produits comptabilisés sans bon de livraison ?

La comparaison des calendriers peut aussi révéler un dépassement. Les enregistrements comptables ont-ils une date significativement postérieure à la date économique du contrat ou de la transaction ? Les directions qui manipulent la période comptable laissent souvent un délai visible entre quand l'opération s'est produite et quand elle a été enregistrée.

Le test de l'accès aux systèmes et des journaux d'audit informatiques complète ces procédures. ISA 240.A55 cite « l'utilisation abusive de l'accès aux systèmes informatiques » comme vecteur courant. Qui a créé, modifié ou supprimé cet enregistrement comptable, et à quelle date ? La piste d'audit du système peut montrer si la modification a été effectuée hors processus normal.

Termes connexes

- Fraude en audit : le cadre général au sein duquel le dépassement de contrôles par la direction est une catégorie spécifique de risque. - Risque d'anomalie significative : le dépassement de contrôles constitue un risque RAS distinct qui exige une réaction d'audit séparée. - Procédures analytiques : souvent le moyen le plus fiable de détecter un dépassement, car elles testent la réalité économique indépendamment de l'approbation administrative. - Évaluation du contrôle interne : le risque de dépassement existe même dans les environnements de contrôle bien notés. - Intégrité de la direction : l'évaluation globale qui déclenche la considération du risque ISA 240.

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.