Fonctionnement

L'ISA 315.5 exige que vous effectuiez des procédures d'évaluation du risque pour obtenir une compréhension de l'entité. Cette compréhension n'est pas théorique. Elle doit être suffisamment détaillée pour que vous puissiez identifier les domaines où une anomalie significative est probable.
Les procédures d'évaluation du risque se divisent en quatre catégories. Les demandes d'informations (ISA 315.7(a)) consistent à poser des questions à la direction, à l'audit interne et au personnel opérationnel. L'observation (ISA 315.7(b)) signifie que vous regardez le processus en action : comment les rapprochements sont-ils effectués, qui approuve les factures de vente, comment le trésorier réconcilie-t-il les comptes bancaires. L'inspection documentaire (ISA 315.7(c)) comprend la lecture des politiques comptables, des manuels de procédures, des rapports de gestion interne, des contrats significatifs et des résolutions du conseil d'administration. L'analyse comparative (ISA 315.7(d)) consiste à comparer les données financières et opérationnelles d'une période à l'autre, ou à comparer les résultats réels aux budgets ou aux données de secteur.
Aucune seule catégorie de procédures ne suffit. Une direction peut vous dire qu'un processus de contrôle existe (demande d'information), mais l'observation peut révéler que personne ne suit réellement le processus. Un manuel de procédures peut décrire un processus, mais les factures inspectées peuvent montrer que personne ne le suit. La combinaison de ces quatre catégories produit une compréhension plus fiable que n'importe laquelle seule.
Les procédures d'évaluation du risque sont des procédures de fond, pas des procédures de conformité. Elles visent à comprendre, pas à tester. Si vous deviez tester la conformité à un contrôle, ce ne serait pas une procédure d'évaluation du risque ; ce serait une procédure d'efficacité du contrôle (qui appartient au stade d'examen détaillé de l'audit).

Exemple pratique : Martin & Associés SAS

Client : Entreprise de négoce de matériaux de construction, exercice clôturant le 31 décembre 2024, chiffre d'affaires 28 M EUR, entité française moyenne.
Étape 1 : Demandes d'informations relatives au processus de vente
Vous demandez au responsable commercial : « Combien de clients principaux avez-vous ? » La direction répond : « Environ 15. » Vous posez ensuite : « Quel est votre processus pour valider les commandes ? » Elle explique que les clients téléphonent, envoient un bon de commande ou utilisent le portail en ligne, que la vente est enregistrée dans le logiciel, puis que la marchandise est prélevée du stock. Documentation du papier de travail : description du cycle de vente, acteurs clés nommés, flux documentaire énuméré.
Étape 2 : Observation du processus
Vous vous rendez à l'entrepôt et observez comment un bon de commande passe de la réception à l'expédition. Vous voyez une file d'attente d'articles à prélever. Vous notez que personne ne scanne les codes-barres avant d'emballer. Le responsable vous dit : « Nous faisons confiance à nos caristes. » Ce qui semblait être un processus automatisé est en réalité un processus manuel fondé sur la connaissance. Documentation du papier de travail : observation datée, heure, ce qui a été vu et non vu, divergence par rapport à la description du manuel.
Étape 3 : Inspection documentaire
Vous consultez le manuel de procédures de vente de l'entreprise. Il décrit un scannage des codes-barres à chaque étape. Vous consultez les rapports de contrôle de qualité de la semaine précédente. Aucun rapport de décalage stock n'a été généré. Documentation du papier de travail : copie du manuel, date de sa dernière révision, état des rapports de contrôle sur trois mois.
Étape 4 : Analyse comparative
Vous comparez les retours clients de cette année (0,8 % du chiffre d'affaires) aux années précédentes (0,3 % et 0,4 %). Vous vérifiez les écarts stock mensuels (actuellement 0,2 % du stock). Aucun des deux n'est alarmant, mais combinés à ce que vous avez observé, ils suggèrent que le risque lié à l'exactitude des prélèvements existe mais que le risque n'a pas encore produit d'anomalies significatives. Documentation du papier de travail : tableau comparatif, source des données, calculs.
Conclusion
Vous identifiez un risque d'anomalie significative au niveau de l'assertion d'intégrité pour les ventes : le processus de prélèvement repose sur la connaissance, pas sur un processus automatisé. Pas d'anomalie significative détectée à ce jour, mais le contrôle de la compréhension doit être formalisé, et la direction doit soit implémenter un scannage, soit documenter et évaluer le risque accepté. Ce qui semblait être un processus standard s'est avéré être un point de risque.

Ce que les examinateurs et praticiens ne font pas correctement

Manque de documentation du processus appris. La plupart des dossiers d'audit contiennent un paragraphe du type : « Nous avons effectué des procédures d'évaluation du risque et compris le processus. » Sans détail. Les examinateurs des chambres consulaires cherchent à voir ce que vous avez réellement compris : qui valide la facture d'achat, quels sont les délais d'approbation, quel est le contrôle sur les variations de prix. Une documentation vague signale que la compréhension elle-même était vague.
Absence de lien explicite entre la procédure et le risque identifié. Vous avez posé des questions, observé, examiné des documents, comparé les chiffres. Mais avez-vous alors énoncé le risque identifié en fonction de ce que vous avez appris ? La plupart des dossiers contiennent un paragraphe d'évaluation des risques qui pourrait s'appliquer à n'importe quelle entité du même secteur. L'ISA 315.34 exige que le risque soit spécifique à l'entité que vous auditez. Ce client-ci, cette année-ci, ce processus-ci.
Réalisation de procédures d'évaluation du risque au stade du travail de détail. Les procédures d'évaluation du risque doivent être effectuées avant d'effectuer les procédures d'audit de substance. Beaucoup de cabinets les incorporent dans le travail de détail : vous effectuez un entretien sur le contrôle des ventes en septembre, puis six semaines plus tard vous testez la conformité au contrôle, et vous commencez seulement alors à documenter ce que vous avez compris en juin. Le calendrier signale une compréhension insuffisante à la phase d'évaluation du risque.

Résumé comparatif : Procédures d'évaluation du risque vs Procédures de conformité aux contrôles

| Dimension | Procédures d'évaluation du risque | Procédures de conformité aux contrôles |
|---|---|---|
| Objectif | Comprendre l'entité et ses processus | Tester si un contrôle fonctionne réellement |
| Timing | Avant la phase de détail | Après l'identification du risque |
| Types de procédures | Demandes, observation, inspection, analyse | Test d'échantillon, re-exécution, inspection |
| Résultat documenté | Description du processus et risques identifiés | Conclusion sur l'efficacité du contrôle |
| Risque si mal fait | Vous identifiez les mauvais risques et vous testez les mauvais domaines | Vous testez un contrôle qui ne prévient ou ne détecte pas l'anomalie que vous pensez qu'il prévient |

Contexte de matérialité et procédures d'évaluation du risque

L'ISA 320.A3 exige que vous établissiez une matérialité globale avant d'effectuer des procédures d'évaluation du risque. Cette matérialité influence la nature et l'étendue des procédures d'évaluation du risque que vous devez effectuer. Pour une entité de 5 M EUR avec une matérialité de 150 k EUR, vous effectuerez une inspection documentaire plus détaillée et une analyse comparative plus étendue qu'une entité de 500 k EUR avec une matérialité de 15 k EUR. Le seuil influence la profondeur.

Termes associés

Instruments d'audit connexes

Utilisez l'Calculatrice d'évaluation des risques ISA 315 pour documenter les procédures d'évaluation du risque effectuées par domaine de processus. L'outil crée une liste de vérification adaptée aux processus que vous avez identifiés et génère un résumé du risque pour la réunion de planification.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.