Comment cela fonctionne

ISA 265.7 énonce clairement le rôle de l'auditeur. L'auditeur identifie les défaillances de contrôles – c'est-à-dire, soit un contrôle ne fonctionnait pas comme prévu, soit un contrôle qui devrait exister ne l'est pas. Une défaillance de contrôle significative (ISA 265.5) est une défaillance ou un ensemble de défaillances qui modifient la probabilité qu'une anomalie non détectée et non corrigée d'une importance relative soit produite.
La communication à la direction se fait par écrit (ISA 265.8). Cette communication survient avant la signature de l'opinion. Elle documente quels contrôles n'ont pas fonctionné, pourquoi cela s'est produit, et quel risque en a résulté. La direction formule alors un plan d'action.
Le ré-test intervient une fois que la direction a affirmé avoir mis en œuvre des corrections. L'auditeur retourne alors au contrôle, teste les corrections, et documente formellement soit que la correction fonctionne désormais, soit qu'elle ne fonctionne pas. Cela dépend du calendrier de l'audit. Certaines corrections peuvent être testées au cours de la même mission. D'autres – en particulier celles qui dépendent de changements de politique ou de technologie – peuvent être testées lors de l'audit suivant si le risque ne le justifie pas avant la signature.

Exemple pratique : Fabricas Textiles del Sur S.L.

Client : Société textile espagnole, exercice 2024, chiffre d'affaires 28 M EUR, rapportage en normes comptables espagnoles (PGC).
Étape 1 : Identification d'une défaillance de contrôle
Durant l'audit des stocks, l'équipe identifie que le contrôle prévu en matière de révision mensuelle des articles obsolètes n'a pas été exécuté de janvier à août 2024. La direction avait assigné cette responsabilité à un responsable qui a quitté l'entreprise en janvier sans remplacement jusqu'à septembre.
Note de documentation : PT8.4. Défaillance de contrôle identifiée. Contrôle prévu : révision mensuelle des articles obsolètes. Période de non-exécution : janvier à août. Impact : aucune obsolescence identifiée durant la période, mais trois articles n'ont pas été ré-évalués. Pas de provision modifiée.
Étape 2 : Évaluation de l'importance relative
L'équipe recalcule les trois articles : la réduction combinée de valeur serait 45 k EUR contre une matérialité globale de 850 k EUR. Défaillance de contrôle significative en vertu de la norme ISA 265.5.
Note de documentation : PT8.5. Impact sur les stocks bruts : 45 k EUR. Matérialité globale : 850 k EUR. Matérialité des stocks : 170 k EUR (20 % de matérialité globale). Le risque qualifie cette défaillance de significative.
Étape 3 : Communication écrite à la direction
Une lettre formelle énumère la défaillance, son étendue, la période concernée, et le risque résultant. La direction convient de réaffecter la responsabilité à titre permanent et de faire immédiatement un tri d'obsolescence.
Note de documentation : PT8.6. Lettre de défaillance de contrôle significative envoyée le 15 novembre 2024. Réponse de la direction reçue le 18 novembre. Plan d'action : nouvelle nomination du responsable contrôle de gestion pour cette fonction ; tri d'obsolescence complété le 20 novembre.
Étape 4 : Ré-test de la correction
L'équipe revient le 25 novembre, observe le tri d'obsolescence documenté, reteste le contrôle en janvier 2025 sur deux cycles mensuels (novembre et décembre 2024), et documente que la révision mensuelle est maintenant exécutée.
Note de documentation : PT8.7. Ré-test du contrôle : exécuté. Cycles testés : novembre et décembre 2024. Résultat : contrôle fonctionne correctement. Opération de tri d'obsolescence documentée. Pas d'articles à reclasser. Pas d'anomalies de provision.
Conclusion
La défaillance de contrôle a été identifiée, communiquée, testée pour correction, et documentée comme résorbée avant la signature de l'opinion. ISA 265.7 et 265.8 satisfaits.

Ce que les examinateurs et praticiens oublient

  • Tier 1 – Constat d'inspection : L'AFM (Pays-Bas) et la FRC (Royaume-Uni) ont tous deux publié des constats d'inspection indiquant que les défaillances de contrôles de matérialité n'ont pas été testées pour correction avant la signature de l'opinion. Le ré-test était documenté dans un email ou une note de papier de travail, mais pas dans un protocole formel de ré-test lié à la défaillance initiale. ISA 265.8 exige une communication écrite et tracée. Une conversation n'en tient pas lieu.
  • Tier 2 – Erreur courante liée à la norme : Les équipes confondent souvent « correction documentée par la direction » avec « correction testée par l'auditeur ». ISA 265.9 impose à l'auditeur de re-tester. Si la direction affirme « nous avons désormais nommé un responsable », cela n'est pas un ré-test. Le ré-test consiste à observer ce responsable exécuter le contrôle sur au moins un cycle complet avant la conclusion d'audit.
  • Tier 3 – Écart de pratique documenté : Nombreux sont les dossiers qui ré-testent les défaillances mineures uniquement en année suivante d'audit sans justification du délai. ISA 265 ne fixe pas un délai absolu, mais il établit que la communication écrite précède la signature. Si la correction n'a pas pu être testée avant la signature, cela doit être documenté explicitement : raison du report, évaluation du risque au jour de la signature, et calendrier du ré-test prévu.

Correction vs contrôle compensatoire

Une correction modifie le processus ou la personne responsable pour que le contrôle fonctionne désormais. Un contrôle compensatoire est un contrôle existant, ailleurs dans le processus, qui détecte ou prévient la même catégorie d'erreur.
Si la direction met en place un contrôle compensatoire (plutôt que de corriger le contrôle défaillant), l'auditeur ré-teste ce contrôle compensatoire. ISA 265.9 s'applique toujours : le ré-test précède la conclusion d'audit ou le délai est justifié. Un contrôle compensatoire ne supprime pas l'obligation de communication de la défaillance sous-jacente.

Termes associés

  • Défaillance de contrôle significative – Une défaillance ou un ensemble de défaillances de contrôles qui modifient la probabilité qu'une anomalie non détectée et non corrigée d'une importance relative soit produite (ISA 265.5)
  • Défaillance de contrôle – Un contrôle qui n'a pas fonctionné ou qui n'existe pas
  • Communication écrite – Notification formelle à la direction et au comité d'audit, documentée dans le dossier d'audit
  • Ré-test – Procédure d'audit ultérieure pour vérifier qu'une correction fonctionne
  • Plan d'action – Réponse écrite de la direction énonçant les corrections envisagées et le calendrier
  • Matrice de défaillances de contrôles – Document matriciel reliant chaque défaillance, son risque sous-jacent, le plan d'action de la direction, la date du ré-test, et le résultat

Liens internes associés

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.