Definition

Sur les dossiers que la H2A inspecte chaque année, près de deux constats sur trois pointent la même faiblesse : un risque d'anomalie significative (RAS) documenté au niveau de l'entité, jamais redescendu au niveau des assertions. Le commissaire aux comptes (CAC) écrit « environnement de contrôle faible » en page de garde et considère le travail fait. La NEP-315 ne lit pas les choses ainsi.

Fonctionnement

L'ISA 315.30 exige que vous identifiiez les RAS au niveau des assertions (assertivité relative aux soldes comptables et transactions), pas au niveau global de l'entité. C'est une distinction critique. Un risque au niveau de l'entité (par exemple, « gestion faible » ou « environnement de contrôle peu fiable ») ne remplace pas l'évaluation au niveau des assertions. Ces évaluations globales éclairent votre jugement sur les risques d'assertions, mais ce que vous documentez sont les RAS qui s'attachent à chaque solde ou transaction évalué.

L'évaluation combine deux éléments : le risque inhérent (la susceptibilité d'une assertion à une anomalie avant toute considération des contrôles) et le risque de contrôle (la probabilité que le système de contrôle interne ne prévienne, ne détecte ou ne corrige une anomalie à temps). L'ISA 315.32 vous exige d'évaluer ces risques séparément. Cela signifie que vous documentez explicitement votre conclusion sur la probabilité qu'une anomalie survienne, puis votre conclusion séparée sur la probabilité que les contrôles la détectent.

La matérialité joue un rôle central dans cette évaluation. Un RAS se mesure par rapport à la matérialité que vous avez fixée à la planification. Une anomalie qui représenterait 2 % de la matérialité n'est pas un risque significatif. Une anomalie projetée qui représenterait 80 % de la matérialité l'est.

Nous voyons trop d'équipes, quand le budget temps se resserre fin janvier, coter les assertions au doigt mouillé. Un chiffre posé sans traçabilité au dossier ne tient pas trois questions en inspection. Je l'avoue, il m'est arrivé en début de carrière de faire pareil sur un cycle ventes, et ce sont les deux heures que j'aurais dû passer à étayer la cotation qui m'ont manqué au moment du contrôle qualité.

Exemple pratique : Fabrique Textile Lyonnaise S.A.R.L.

Client : Entreprise française de fabrication de textiles, exercice clos le 31 décembre 2024, chiffre d'affaires de 28 M EUR, rapportant en normes IFRS, matérialité fixée à 750 k EUR.

Étape 1 : Identification du cycle et de l'assertion. Le CAC examine le cycle de vente et d'encaissement. L'assertion évaluée porte sur l'existence et l'intégrité des créances clients. Le solde de clôture du compte clients s'élève à 6,2 M EUR, dont 4,8 M EUR concentré auprès de trois clients.

Note de documentation : « RAS : risque inhérent élevé relatif à l'exhaustivité des créances clients en raison de la concentration client. Estimé à 75 % (0,56 M EUR de risque potentiel). Contrôles internes : le système de facturation est intégré, les factures sont générées automatiquement. Risque de contrôle : évalué à moyen (50 %). Combinaison : RAS = élevé. »

Étape 2 : Évaluation du risque inhérent. Le CAC examine la susceptibilité de cette assertion à une anomalie avant les contrôles. Les trois clients majeurs représentent 77 % du solde. Une anomalie (facturation erronée, créance fictive, retour client non enregistré) sur l'un d'eux produirait rapidement une anomalie de plus de 250 k EUR. Risque inhérent : élevé. L'auditeur documente le paragraphe ISA 315.32(a) sur les facteurs de risque inhérent (concentration, complexité client, implication de la direction).

Note de documentation : « Risque inhérent élevé. Facteurs : concentration client de 77 %, existence de trois contrats de vente personnalisés avec clauses de retour flexibles non normalisées, historique d'une réclamation client réglée un mois après clôture (créance retournée partiellement). »

Étape 3 : Évaluation du risque de contrôle. Le système de facturation automatisé est fiable, mais les trois clients majeurs génèrent des transactions non standard. Un client utilise un protocole d'échange de données informatisées qui crée des écarts de timing. Un autre a des retours de marchandises traités manuellement. Le CAC examine les contrôles clés : rapprochement client mensuel (effectué le 15 de chaque mois, mais l'arréage de clients au 31/12 est rarement documenté), révision de tout crédit supérieur à 100 k EUR (effectué, mais sans trace écrite de l'approbation). Risque de contrôle : moyen à élevé.

Note de documentation : « Risque de contrôle moyen-élevé (50 %). Contrôles clés : système de facturation intégré (fiable pour transactions standard), rapprochement client mensuel (effectué mais documentation insuffisante de la résolution des écarts), approbation de crédits non standard (effectuée oralement, sans documentation systématique). Écarts de timing EDI sur client majeur créent un risque de coupure (arréage fin décembre / janvier). »

Étape 4 : Combinaison et documentation du RAS. Risque inhérent élevé + risque de contrôle moyen-élevé = RAS élevé au niveau de l'assertion « existence et intégrité des créances clients ». Cela dépasse la matérialité de performance établie à 600 k EUR.

Note de documentation : « RAS : élevé. Évaluation combinée : risque inhérent 80 % + risque de contrôle 50 % = 40 % de probabilité d'une anomalie significative si aucune procédure substantive n'est effectuée. Matérialité de performance : 600 k EUR. Procédures substantives planifiées : audit détaillé de 100 % des trois clients majeurs ; confirmation externe pour chaque créance > 200 k EUR ; analyse des arréages de clients pour les 30 jours suivant la clôture ; procédures de coupure pour l'EDI. »

Conclusion. L'évaluation du RAS détermine l'étendue et la nature des procédures substantives. Ici, le risque élevé justifie un audit détaillé plutôt qu'un échantillonnage. Si le CAC avait évalué le risque comme faible, un échantillonnage de 20 à 30 factures aurait pu suffire. C'est cette traçabilité qui se cherche sur les dossiers.

Ce que les réviseurs et les praticiens se trompent

L'erreur la plus courante dans les dossiers d'audit est la fusion entre le risque au niveau de l'entité et le risque au niveau des assertions. Un CAC écrit : « Environnement de contrôle faible = RAS élevé sur tous les soldes » et s'arrête là. L'ISA 315.32 exige d'aller plus loin et demande d'évaluer le risque inhérent et le risque de contrôle spécifiquement pour chaque assertion. Un environnement de contrôle faible peut élever le risque inhérent, mais cela ne suffit pas. Vous devez ensuite considérer les contrôles spécifiques attachés à cette assertion (un contrôle détaillé au niveau de la transaction peut compenser un environnement global plus faible).

Une deuxième erreur fréquente consiste à documenter des risques sans établir le lien entre le risque et la procédure substantive. La documentation dit : « RAS élevé sur l'existence des créances » mais ne dit pas comment cette évaluation a déterminé la nature, l'étendue ou le timing des procédures. L'ISA 330.5 exige que vous mettre en place des procédures substantives dont la nature et l'étendue sont déterminées par votre évaluation du risque. Si le risque est élevé, l'échantillonnage de 10 articles n'est pas défendable. Si le risque est faible, l'audit détaillé de 100 % des transactions n'est pas proportionné.

Une troisième erreur revient à utiliser le même niveau de risque pour toutes les assertions d'un solde. Une créance client peut présenter un risque élevé sur l'existence (concentration client, histoire de défaut) et un risque faible sur la valorisation (pas d'ajustement de valeur sur ces clients sains). Ces deux assertions doivent être évaluées séparément et documentées séparément.

Termes connexes

Risque inhérent: la composante du RAS liée à la susceptibilité d'une assertion à une anomalie avant tout contrôle interne.

Risque de contrôle: la composante du RAS liée à la probabilité que le système de contrôle interne ne prévienne, ne détecte ou ne corrige une anomalie à temps.

Matérialité: le seuil de l'audit qui détermine si une anomalie est significative. L'évaluation du RAS dépend directement de la matérialité fixée.

Matérialité de performance: le seuil appliqué à l'évaluation des risques au niveau des assertions, fixé entre 50 % et 75 % de la matérialité globale.

Assertion: la catégorie spécifique du solde ou de la transaction examinée (existence, intégrité, valorisation, présentation). Vous évaluez les risques au niveau de l'assertion, pas au niveau du solde.

Évaluation des risques: le processus global d'identification et d'évaluation des risques, qui comprend l'identification des RAS.

Procédures substantives: les procédures d'audit effectuées en réaction à votre évaluation du RAS.

Contrôles internes: les politiques et procédures de l'entité conçues pour prévenir, détecter ou corriger les anomalies. L'évaluation du risque de contrôle dépend de l'efficacité de ces contrôles.

Références et ressources

L'ISA 315 (révisée 2019) établit l'approche basée sur un continuum de risque, par opposition à une classification rigide en trois catégories. Cela signifie que le risque n'est pas soit « faible », soit « élevé », mais peut être évalué sur une échelle plus nuancée. Cette approche s'applique aussi aux ISA 320 (matérialité) et ISA 330 (réponse au risque). Pour les praticiens qui travaillent avec des entités complexes (ETI cotées) ou des environnements de contrôle faibles (TPE/PME familiales), cette granularité change tout au moment de l'inspection CNCC.

---

Libellés UI

- `glossaryTitle`: Risque d'anomalie significative - `governedBy`: Régi par - `keyTakeaways`: Points clés - `howItWorks`: Fonctionnement - `workedExample`: Exemple pratique - `whatReviewersGetWrong`: Ce que les réviseurs et les praticiens se trompent - `relatedTerms`: Termes connexes - `relatedGlossaryLink`: Glossaire conexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.