Réponses aux risques de qualité

Fonctionnement

ISQM 1.27 exige que le cabinet conçoive et mette en place des réponses aux risques de qualité qui réduisent chaque risque identifié à un niveau acceptable. Ces réponses prennent deux formes : des politiques (règles écrites que le cabinet s'impose) et des procédures (les étapes opérationnelles qui appliquent ces règles).
La conception d'une réponse doit être proportionnée au risque. Un risque lié à l'indépendance (par exemple, un membre de l'équipe d'audit détenant des titres dans l'entité auditée) exige une réponse de détection immédiate (déclaration annuelle, vérification automatisée) et une réponse de prévention (politique d'investissement interdit). Un risque lié à la compétence technique (par exemple, absence de spécialiste IFRS 17 dans le cabinet) exige une réponse d'acquisition de ressources (formation, sous-traitance à un expert externe) documentée avant l'acceptation de la mission.
ISQM 1.28 précise que les réponses doivent être conçues de manière à être opérationnelles. Une politique déclarant « le cabinet s'assure de l'indépendance de ses membres » sans procédure de vérification n'est pas une réponse au sens d'ISQM 1. La réponse doit préciser qui vérifie, quand, comment, et ce qui se passe en cas de non-conformité.
Le cabinet évalue annuellement si les réponses mises en place fonctionnent comme prévu (ISQM 1.42). Si une réponse ne fonctionne pas, le cabinet doit identifier la cause et prendre des mesures correctives.

Exemple concret : Cabinet Delcourt Audit S.A.S.

Client : Cabinet d'audit français, 14 associés, 85 collaborateurs, missions de commissariat aux comptes et d'audit contractuel.
Étape 1 : Identifier le risque de qualité
Lors de l'évaluation annuelle du système de gestion de la qualité, le cabinet identifie un risque lié à la compétence technique : trois missions récentes impliquent des entités soumises à IFRS 17 (contrats d'assurance), mais aucun associé ne dispose d'une formation certifiée sur cette norme.
Note de documentation : registre des risques de qualité, ligne 12 -- risque de compétence technique IFRS 17. Évaluation : probabilité élevée, impact potentiel élevé (opinion incorrecte sur les provisions techniques).
Étape 2 : Concevoir la réponse
Le cabinet conçoit deux réponses complémentaires. Première réponse (politique) : aucune mission impliquant IFRS 17 ne peut être acceptée sans qu'un associé ou un manager ait suivi une formation IFRS 17 d'au moins 16 heures dispensée par un organisme accrédité. Deuxième réponse (procédure) : pour les missions en cours, le cabinet sous-traite la revue technique des provisions à un expert externe et documente la portée de l'intervention dans la lettre de mission.
Note de documentation : fiche de réponse R-12a (politique de formation) et R-12b (procédure de sous-traitance). Date d'entrée en vigueur, responsable désigné, critères de vérification.
Étape 3 : Mettre en place et surveiller
En janvier 2025, deux associés suivent la formation IFRS 17. Le cabinet vérifie en mars 2025 que les trois missions en cours ont bien été revues par l'expert externe et que les mémorandums de revue sont classés dans le dossier permanent.
Note de documentation : registre de suivi des formations (dates, attestations). Rapport de surveillance Q1 2025 : réponses R-12a et R-12b opérationnelles. Aucune déficience constatée.
Conclusion : Le risque de compétence IFRS 17 est réduit à un niveau acceptable par la combinaison d'une politique de formation obligatoire et d'une procédure de sous-traitance documentée. Le rapport annuel de surveillance confirme l'efficacité des réponses.

Ce que les réviseurs et les praticiens mésinterprètent

• Réponses copiées d'un modèle sans adaptation : De nombreux cabinets adoptent un modèle standard de réponses aux risques de qualité fourni par un réseau ou un éditeur de logiciel, sans l'adapter à leur propre profil de risque. ISQM 1.27 exige que les réponses soient conçues en fonction des risques identifiés par le cabinet. Un modèle générique qui ne reflète pas les missions réelles du cabinet ne satisfait pas à cette exigence.
• Absence de lien entre le risque identifié et la réponse conçue : Les inspections constatent régulièrement que les registres de risques contiennent des risques bien formulés, mais que les réponses ne correspondent pas directement au risque identifié. Un risque portant sur la rotation excessive du personnel ne peut pas être traité par une réponse portant sur la formation technique ; il faut une réponse portant sur la rétention (conditions de travail, rémunération, charge de travail).
• Absence de surveillance de l'efficacité des réponses : ISQM 1.42 exige que le cabinet évalue si les réponses fonctionnent comme prévu. Un cabinet qui conçoit des réponses en année 1 mais ne vérifie jamais si elles ont été appliquées ne satisfait pas à l'obligation de surveillance continue.
• Confusion entre réponses au niveau du cabinet et réponses au niveau de la mission : Les réponses ISQM 1 sont des politiques et procédures au niveau du cabinet. Les réponses aux risques au niveau de la mission sont régies par ISA 330. Les deux niveaux doivent être documentés séparément.

Termes associés

• Risques de qualité : Les conditions ou événements que les réponses sont conçues pour traiter.
• Objectifs de qualité : Les résultats que le système de gestion de la qualité vise à atteindre ; les risques et réponses sont évalués par rapport à ces objectifs.
• Surveillance et mesures correctives : Le processus par lequel le cabinet vérifie que les réponses fonctionnent comme prévu et corrige les déficiences.
• Revue de qualité de la mission : Une réponse spécifique au risque de qualité sur les missions à haut risque, exigeant une revue indépendante avant la signature du rapport.
• Analyse des causes profondes : La méthode utilisée pour identifier pourquoi une réponse n'a pas fonctionné comme prévu lorsqu'une déficience est constatée.