Definition
Sur un dossier de 28 M EUR, le budget temps alloué à l'évaluation du risque tourne autour de 40 à 60 heures. Chez nos clients, c'est la phase la plus souvent sacrifiée quand le planning glisse : on récupère une note de synthèse de l'an dernier, on change les chiffres, et on passe aux procédures de fond. Le contrôle qualité du H3C repère ce raccourci en moins de dix minutes quand il ouvre le classeur.
Fonctionnement
L'ISA 315.5 exige que vous effectuiez des procédures d'évaluation du risque pour obtenir une compréhension de l'entité. Cette compréhension n'est pas théorique. Elle doit être suffisamment détaillée pour que vous puissiez identifier les domaines où une anomalie significative est probable.
Les procédures d'évaluation du risque se divisent en quatre catégories. Les demandes d'informations (ISA 315.7(a)) consistent à poser des questions à la direction, à l'audit interne et au personnel opérationnel. L'observation (ISA 315.7(b)) signifie que vous regardez le processus en action : comment les rapprochements sont-ils effectués, qui approuve les factures de vente, comment le trésorier réconcilie-t-il les comptes bancaires. L'inspection documentaire (ISA 315.7(c)) comprend la lecture des politiques comptables, des manuels de procédures, des rapports de gestion interne, des contrats significatifs et des résolutions du conseil d'administration. L'analyse comparative (ISA 315.7(d)) consiste à comparer les données financières et opérationnelles d'une période à l'autre, ou à comparer les résultats réels aux budgets ou aux données de secteur.
Aucune catégorie seule ne suffit. Une direction peut vous dire qu'un processus de contrôle existe (demande d'information), mais l'observation peut révéler que personne ne suit réellement le processus. Un manuel de procédures peut décrire un processus, mais les factures inspectées peuvent montrer que personne ne le suit. La combinaison de ces quatre catégories produit une compréhension plus fiable que n'importe laquelle seule.
Les procédures d'évaluation du risque sont des procédures de fond, pas des procédures de conformité. Elles visent à comprendre, pas à tester. Si vous deviez tester la conformité à un contrôle, ce ne serait pas une procédure d'évaluation du risque ; ce serait une procédure d'efficacité du contrôle (qui appartient au stade d'examen détaillé de l'audit).
Nous voyons surtout des cotations de risque posées au doigt mouillé, sans trace du raisonnement qui relie l'observation à la conclusion. Je l'avoue, c'est souvent sous la pression du budget temps que le commissaire aux comptes (CAC) coche "risque modéré" par défaut, parce qu'il sait que personne ne relira la case avant la revue de dossier finale.
Exemple pratique : Martin & Associés SAS
Client : Entreprise de négoce de matériaux de construction, exercice clôturant le 31 décembre 2024, chiffre d'affaires 28 M EUR, entité française moyenne.
Étape 1 : Demandes d'informations relatives au processus de vente Vous demandez au responsable commercial : « Combien de clients principaux avez-vous ? » La direction répond : « Environ 15. » Vous posez ensuite : « Quel est votre processus pour valider les commandes ? » Elle explique que les clients téléphonent, envoient un bon de commande ou utilisent le portail en ligne, que la vente est enregistrée dans le logiciel, puis que la marchandise est prélevée du stock. Documentation du papier de travail : description du cycle de vente, acteurs clés nommés, flux documentaire énuméré.
Étape 2 : Observation du processus Vous vous rendez à l'entrepôt et observez comment un bon de commande passe de la réception à l'expédition. Vous voyez une file d'attente d'articles à prélever. Vous notez que personne ne scanne les codes-barres avant d'emballer. Le responsable vous dit : « Nous faisons confiance à nos caristes. » Ce qui semblait être un processus automatisé est en réalité un processus manuel fondé sur la connaissance. Documentation du papier de travail : observation datée, heure, ce qui a été vu et non vu, divergence par rapport à la description du manuel.
Étape 3 : Inspection documentaire Vous consultez le manuel de procédures de vente de l'entreprise. Il décrit un scannage des codes-barres à chaque étape. Vous consultez les rapports de contrôle de qualité de la semaine précédente. Aucun rapport de décalage stock n'a été généré. Documentation du papier de travail : copie du manuel, date de sa dernière révision, état des rapports de contrôle sur trois mois.
Étape 4 : Analyse comparative Vous comparez les retours clients de cette année (0,8 % du chiffre d'affaires) aux années précédentes (0,3 % et 0,4 %). Vous vérifiez les écarts stock mensuels (actuellement 0,2 % du stock). Aucun des deux n'est alarmant, mais combinés à ce que vous avez observé, ils suggèrent que le risque lié à l'exactitude des prélèvements existe, sans avoir encore produit d'anomalies significatives. Documentation du papier de travail : tableau comparatif, source des données, calculs.
Conclusion Vous identifiez un risque d'anomalie significative au niveau de l'assertion d'intégrité pour les ventes : le processus de prélèvement repose sur la connaissance, pas sur un processus automatisé. Pas d'anomalie significative détectée à ce jour, mais le contrôle de la compréhension doit être formalisé, et la direction doit soit implémenter un scannage, soit documenter et évaluer le risque accepté.
Ce que les examinateurs et praticiens ne font pas correctement
Manque de documentation du processus appris. La plupart des dossiers d'audit contiennent un paragraphe du type : « Nous avons effectué des procédures d'évaluation du risque et compris le processus. » Sans détail. Les examinateurs de la Compagnie nationale des commissaires aux comptes (CNCC) et du Haut conseil du commissariat aux comptes (H3C) cherchent à voir ce que vous avez réellement compris : qui valide la facture d'achat, quels sont les délais d'approbation, quel est le contrôle sur les variations de prix. Une documentation vague signale que la compréhension elle-même était vague. Cela reste l'un des motifs les plus durs à lire dans un rapport de contrôle qualité, parce qu'il touche à la rigueur professionnelle du CAC et non à une erreur technique isolée.
Absence de lien explicite entre la procédure et le risque identifié. Vous avez posé des questions, observé, examiné des documents, comparé les chiffres. Mais avez-vous alors énoncé le risque identifié en fonction de ce que vous avez appris ? La plupart des dossiers contiennent un paragraphe d'évaluation des risques qui pourrait s'appliquer à n'importe quelle entité du même secteur. L'ISA 315.34 exige que le risque soit spécifique à l'entité que vous auditez. Ce client-ci, cette année-ci, ce processus-ci.
Réalisation de procédures d'évaluation du risque au stade du travail de détail. Les procédures d'évaluation du risque doivent être effectuées avant d'effectuer les procédures d'audit de substance. Beaucoup de cabinets les incorporent dans le travail de détail : vous effectuez un entretien sur le contrôle des ventes en septembre, puis six semaines plus tard vous testez la conformité au contrôle, et vous commencez seulement alors à documenter ce que vous avez compris en juin. Le calendrier signale une compréhension insuffisante à la phase d'évaluation du risque.
Résumé comparatif : Procédures d'évaluation du risque vs Procédures de conformité aux contrôles
| Dimension | Procédures d'évaluation du risque | Procédures de conformité aux contrôles |
|---|---|---|
| Objectif | Comprendre l'entité et ses processus | Tester si un contrôle fonctionne réellement |
| Timing | Avant la phase de détail | Après l'identification du risque |
| Types de procédures | Demandes, observation, inspection, analyse | Test d'échantillon, re-exécution, inspection |
| Résultat documenté | Description du processus et risques identifiés | Conclusion sur l'efficacité du contrôle |
| Risque si mal fait | Vous identifiez les mauvais risques et vous testez les mauvais domaines | Vous testez un contrôle qui ne prévient ou ne détecte pas l'anomalie que vous pensez qu'il prévient |
Contexte de matérialité et procédures d'évaluation du risque
L'ISA 320.A3 exige que vous établissiez une matérialité globale avant d'effectuer des procédures d'évaluation du risque. Cette matérialité influence la nature et l'étendue des procédures d'évaluation du risque que vous devez effectuer. Pour une entité de 5 M EUR avec une matérialité de 150 k EUR, vous effectuerez une inspection documentaire plus détaillée et une analyse comparative plus étendue qu'une entité de 500 k EUR avec une matérialité de 15 k EUR. Le seuil influence la profondeur.
Termes associés
- Évaluation des risques d'anomalie significative : le jugement que vous portez après avoir effectué les procédures d'évaluation du risque - Facteurs de risque de fraude : types spécifiques de risques que l'ISA 240 (Révisée 2024) exige que vous envisagiez - Contrôles internes de l'entité : système que vous évaluez par le biais des procédures d'évaluation du risque - Domaines de complexité particulière : domaines nécessitant une compréhension plus approfondie des procédures - ISA 315 (Révisée 2019) : norme d'audit qui gouverne l'évaluation des risques - Matérialité : seuil qui influence la profondeur des procédures d'évaluation du risque
Instruments d'audit connexes
Utilisez la Calculatrice d'évaluation des risques ISA 315 pour documenter les procédures d'évaluation du risque effectuées par domaine de processus. L'outil crée une liste de vérification adaptée aux processus que vous avez identifiés et génère un résumé du risque pour la réunion de planification.
---