Points clés

  • La surveillance est une activité permanente de la direction, distincte d'une évaluation ponctuelle
  • Les défaillances détectées doivent être documentées avec les actions correctives associées
  • L'absence de mécanismes de surveillance formels est un constat d'inspection récurrent

Fonctionnement

La surveillance des contrôles s'inscrit dans le cycle continu de la direction pour maintenir l'efficacité des contrôles. L'ISA 315.21(e) stipule que la direction met en place des activités de surveillance pour évaluer l'efficacité de ces contrôles au fil du temps. Contrairement à une revue d'efficacité réalisée une fois par an, la surveillance est intégrée aux processus opérationnels : un contrôleur de gestion qui rapproche mensuellement les soldes comptables, un responsable des stocks qui valide les ajustements d'inventaire, un trésorier qui approuve les paiements au-delà d'un seuil.
L'ISA 330.8 oblige l'auditeur à évaluer si ces activités de surveillance ont permis à la direction d'identifier et de corriger les défaillances. Si la direction n'a pas mis en place de surveillance, ou si les activités existantes ne couvrent pas les risques identifiés, c'est une faiblesse de contrôle interne que l'auditeur doit qualifier et communiquer.
La documentation est déterminante : ce qui a été surveillé, par qui, quand, et comment les défaillances détectées ont été traitées. Une surveillance sans action corrective n'est que du reporting.

Exemple pratique : Alpes Électronique S.A.R.L.

Client : fabricant français de composants électroniques, basé à Chambéry, 58 M EUR de chiffre d'affaires, normes IFRS.
Étape 1 : Identifier les activités de surveillance existantes.
La direction a documenté trois activités de surveillance.
Étape 2 : Vérifier la couverture par rapport aux risques significatifs identifiés à la planification.
À la planification, l'équipe a identifié quatre risques significatifs : les erreurs de trésorerie (soldes mal rapprochés, impact direct sur les actifs courants), les ajustements d'inventaire non autorisés (impact sur le coût des ventes), les provisions mal évaluées (ISA 540), et le risque de fraude en paie. La surveillance couvre les trois premières zones. Le risque de fraude en paie n'a pas d'activité de surveillance assignée. Le directeur de mission documente cela : « Constat : aucune surveillance des approbations de paie au-delà de 5 000 EUR. À documenter dans le mémo de synthèse de contrôle interne ».
Étape 3 : Tester si la surveillance a fonctionné en pratique.
Pour chaque activité de surveillance, l'équipe d'audit sélectionne un mois et vérifie que l'activité s'est réellement déroulée. Le rapprochement de trésorerie : trouvé pour septembre, pas trouvé pour juillet (documentation manquante). L'équipe demande à la responsable comptabilité : « Avez-vous fait le rapprochement en juillet ? » Réponse : « Oui, mais je ne l'ai pas gardé parce que nous n'avions pas eu d'écarts. » Documentation : défaillance de surveillance en juillet = non-exécution documentée d'une activité de surveillance programmée, ISA 330.8(b) : manque de preuve que le contrôle a opéré.
Étape 4 : Vérifier si les défaillances détectées par la surveillance ont été traitées.
Dans le rapport d'inventaire d'août, le responsable d'entrepôt a noté un écart de -2 300 EUR entre le système et l'inventaire physique. A-t-il escaladé ? A-t-on ajusté ? Le responsable dit oui, mais aucun document n'existe. Documentation : élément probant manquant que la défaillance a été corrigée, ISA 330.8(c) : la surveillance doit inclure la documentation des mesures correctives.
Conclusion
Alpes Électronique a documenté ses activités de surveillance mais n'a pas maintenu de preuve systématique de leur exécution, en particulier quand aucun écart n'était détecté. Cela affaiblit la conclusion de l'auditeur sur l'efficacité des contrôles internes. L'équipe doit étendre les tests de surveillance, augmenter la taille de l'échantillon, et potentiellement réduire la confiance accordée à ce contrôle pour réduire la population d'anomalies attendues.

  • Rapprochement mensuel des comptes de trésorerie par la responsable comptabilité (documents d'appui conservés dans le classeur « Trésorerie » du système comptable).
  • Revue mensuelle des écarts de variation de stocks par le responsable d'entrepôt (rapport d'inventaire rapproché avec la compta chaque mois).
  • Approbation trimestrielle des écarts de provisions en fin de période par le directeur financier (tableau de suivi conservé dans Excel, signé et daté).

Ce que les réviseurs et les praticiens mésinterprètent

  • Constat d'inspection (AFM, 2023) : plusieurs dossiers confondaient la surveillance des contrôles (activité continue de la direction) avec une revue annuelle informelle ou ad hoc du contrôle interne. La documentation était absente pour les périodes où aucun écart n'était survenu. Les entreprises tendaient à documenter seulement quand quelque chose d'anormal s'était produit, ce qui ne satisfait pas l'exigence de surveillance continue.
  • Erreur courante ISA 330.8 : l'équipe d'audit évaluait uniquement les activités de surveillance formelles désignées, sans considérer les contrôles opérationnels implicites (ex. : un trésorier qui approuve les virements sans une procédure écrite). L'ISA 315.21(e) exige que la direction évalue l'efficacité, pas seulement qu'elle crée des activités nommées.
  • Lacune de pratique documentée : l'absence de lien clair entre les défaillances détectées par la surveillance et les actions correctives. La plupart des entités avaient des rapports de surveillance mais pas de preuve que les défaillances avaient été traitées. Cela rend la surveillance inefficace selon l'ISA 330.8(c).
  • Confusion entre surveillance de la direction et tests des contrôles de l'auditeur : la surveillance est une responsabilité de la direction. Les tests des contrôles sont une procédure d'audit. L'auditeur teste si la surveillance a fonctionné ; il ne la réalise pas à la place de la direction.

Surveillance des contrôles vs. tests des contrôles (audit)

La surveillance est une responsabilité de la direction. Les tests des contrôles sont une procédure d'audit. Ce qui les distingue, c'est l'acteur et le moment.
| Dimension | Surveillance des contrôles | Tests des contrôles (audit) |
|---|---|---|
| Qui exécute | Direction, audit interne, opérationnels | Auditeur externe |
| Fréquence | Continue, intégrée aux opérations | Ponctuel, dans le cadre de la mission |
| Objectif | Maintenir l'efficacité opérationnelle | Fonder le jugement sur l'efficacité |
| Documentation | Rapports, approbations, notes du responsable | Papiers de travail d'audit, mémos de test |
| Action corrective | Immédiate (responsabilité de la direction) | Rapportée à la gouvernance (responsabilité de l'auditeur) |

Quand cette distinction compte dans une mission

Une petite banque coopérative française avait mis en place une surveillance de ses contrôles : le responsable des crédits revoyait chaque semaine les approbations de prêt au-delà d'un montant seuil. L'auditeur a testé cette surveillance et constaté qu'elle était exécutée. La direction avait corrigé deux dépassements de pouvoir au cours de l'année. L'auditeur a conclu que la surveillance était effective et a réduit les tests de contrôle.
Toutefois, l'auditeur n'a pas vérifié si le responsable avait lui-même l'autorité pour approuver les dépassements, ou s'il aurait dû les escalader davantage. La surveillance avait détecté le problème, mais l'action corrective n'avait pas adressé la cause racine : une définition insuffisante des pouvoirs de signature. Selon l'ISA 330.8, la surveillance doit non seulement identifier les défaillances mais conduire à des corrections efficaces. Une surveillance sans escalade appropriée n'est que du reporting superficiel.

Termes associés

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.