Risques liés à la qualité de l'audit

Fonctionnement

ISQM 1.24 exige que le cabinet identifie et évalue les risques de qualité comme base de la conception de son système de gestion de la qualité. Ce processus se déroule en deux phases : l'identification (quels risques existent ?) et l'évaluation (quelle est la probabilité et quel est l'impact de chaque risque ?).
Les risques de qualité se répartissent en plusieurs domaines définis par ISQM 1.28 : gouvernance et leadership, exigences déontologiques, acceptation et maintien des missions, réalisation des missions, ressources, et information et communication. Pour chaque domaine, le cabinet doit identifier les conditions spécifiques qui pourraient empêcher l'atteinte de l'objectif de qualité correspondant.
L'évaluation tient compte de deux dimensions : la probabilité que le risque se concrétise et la gravité de l'impact si le risque se concrétise. Un risque à probabilité faible mais à impact élevé (par exemple, un conflit d'intérêts non détecté sur une mission d'entité d'intérêt public) peut justifier une réponse aussi rigoureuse qu'un risque à probabilité élevée mais à impact modéré (par exemple, un retard récurrent dans la revue des dossiers).
ISQM 1.A4 reconnaît que les cabinets de taille réduite peuvent documenter leur évaluation des risques de façon moins formalisée, mais le processus intellectuel d'identification et d'évaluation reste obligatoire.

Exemple concret : Société Bernard et Fils SARL

Entreprise : Fabricant français de pièces automobiles, chiffre d'affaires 18 M EUR, IFRS.
Mission : Audit 2024, équipe de trois auditeurs, dossier complexe comprenant une évaluation d'actifs incorporels.
Étape 1 : Identification des risques liés à la qualité
L'associé responsable identifie lors de la réunion de clôture que l'évaluation de l'écart d'acquisition (acquis lors d'une fusion en 2023) repose sur une analyse de flux de trésorerie préparée par le contrôle de gestion interne. Le junior auditeur n'a pas testé les hypothèses de croissance.
Note de documentation : Dossier, onglet Risques de qualité, ligne 1 -- Risque identifié : évaluation de survaleur insuffisamment testée, ISA 540.13(a) applicable.
Étape 2 : Exécution des procédures de contrôle
La personne en charge de la revue d'assurance qualité (un auditeur senior externe au dossier) demande des papiers de travail supplémentaires : comparaison des hypothèses de flux de trésorerie aux données de marché, justification de la fourchette d'hypothèses de taux de croissance, analyse de sensibilité.
Note de documentation : E-mail du réviseur d'assurance qualité daté du 15 janvier 2025, demandes de documentation supplémentaire notées sur la feuille de revue, paragraphes 1 à 5.
Étape 3 : Résolution et signature
Le junior auditeur complète les procédures en deux jours. L'écart d'acquisition est réduit de 2,3 M EUR après analyse plus détaillée des hypothèses de croissance. La revue d'assurance qualité approuve la documentation révisée et cosigne le rapport d'audit le 17 janvier 2025.
Conclusion : Le processus de contrôle de qualité a capté une insuffisance d'éléments probants avant la signature. Sans cette revue d'assurance qualité par une personne indépendante, le dossier aurait contenu une opinion fondée sur une évaluation insuffisamment testée.

Ce que les réviseurs et les praticiens mésinterprètent

• Constats d'inspection récents : Les constats d'inspection montrent qu'environ un tiers des dossiers examinés présentaient un contrôle de qualité insuffisant au niveau du dossier. La majorité de ces constats concernait une revue d'assurance qualité formelle menée par l'associé responsable lui-même, violant ISA 220.13(c) qui exige que cette revue soit confiée à une personne autre que l'associé responsable.
• Confusion entre contrôle de qualité de dossier et contrôle de qualité du cabinet : Les équipes confondent souvent le processus de contrôle de qualité au niveau du dossier (ISA 220.13) et les exigences de contrôle de qualité au niveau du cabinet (ISQM 1). Le premier doit être documenté sur chaque mission avant la signature du rapport. Le second est un ensemble de politiques et procédures au niveau du cabinet. Ignorer le premier en pensant que le second suffit est l'erreur la plus fréquente.
• Sous-documentation des décisions de revue : Beaucoup de cabinets mènent une revue d'assurance qualité mais ne documentent pas les points examinés, les demandes de documentation, les réponses, ou la date d'approbation finale. ISA 220.A49 exige que le cabinet obtienne des éléments probants montrant que le processus de revue s'est déroulé adéquatement.
• Évaluation statique des risques : ISQM 1.54 exige une surveillance continue. Les risques de qualité évoluent avec les changements de personnel, les nouveaux types de missions, les modifications réglementaires. Un registre de risques de qualité figé depuis l'année d'adoption d'ISQM 1 ne satisfait pas à cette obligation.

Termes associés

• Objectifs de qualité : Les résultats que le système de gestion de la qualité vise à atteindre ; les risques sont identifiés par rapport à ces objectifs.
• Réponses aux risques de qualité : Les politiques et procédures conçues pour traiter chaque risque de qualité identifié.
• Revue de qualité de la mission : Une procédure de contrôle spécifique qui constitue une réponse à certains risques de qualité sur les missions à haut risque.
• Surveillance et mesures correctives : Le processus continu par lequel le cabinet vérifie si les réponses fonctionnent et corrige les déficiences.
• Analyse des causes profondes : La méthode utilisée pour comprendre pourquoi un risque de qualité s'est concrétisé malgré les réponses mises en place.