Fonctionnement

L'ISA 315.30 exige que vous identifiiez les risques d'anomalie significative au niveau des assertions (assertivité relative aux soldes comptables et transactions), et non au niveau global de l'entité. C'est une distinction critique. Un risque au niveau de l'entité (par exemple, « gestion faible » ou « environnement de contrôle peu fiable ») ne remplace pas l'évaluation au niveau des assertions. Ces évaluations globales éclairent votre jugement sur les risques d'assertions, mais ce que vous documentez sont les risques d'anomalie significative qui s'attachent à chaque solde ou transaction évalué.
L'évaluation combine deux éléments : le risque inhérent (la susceptibilité d'une assertion à une anomalie avant toute considération des contrôles) et le risque de contrôle (la probabilité que le système de contrôle interne ne prévienne, ne détecte ou ne corrige une anomalie à temps). ISA 315.32 vous exige d'évaluer ces risques séparément. Cela signifie que vous documentez explicitement votre conclusion sur la probabilité qu'une anomalie survienne, et votre conclusion séparée sur la probabilité que les contrôles la détectent.
La matérialité joue un rôle pivot dans cette évaluation. Un risque d'anomalie significative se mesure par rapport à la matérialité que vous avez fixée à la planification. Une anomalie qui représenterait 2 % de la matérialité n'est pas un risque significatif. Une anomalie projetée qui représenterait 80 % de la matérialité l'est.

Exemple pratique : Fabrique Textile Lyonnaise S.A.R.L.

Client : Entreprise française de fabrication de textiles, exercice clos le 31 décembre 2024, chiffre d'affaires de 28 M EUR, rapportant en normes IFRS, matérialité fixée à 750 k EUR.
Étape 1 : Identification du cycle et de l'assertion. L'auditeur examine le cycle de vente et d'encaissement. L'assertion évaluée : l'existence et l'intégrité des créances clients. Le solde de clôture du compte clients : 6,2 M EUR, dont 4,8 M EUR concentré auprès de trois clients.
Note de documentation : « Risque d'anomalie significative : risque inhérent élevé relatif à l'exhaustivité des créances clients en raison de la concentration client. Estimé à 75 % (0,56 M EUR de risque potentiel). Contrôles internes : le système de facturation est intégré, les factures sont générées automatiquement. Risque de contrôle : évalué à moyen (50 %). Combinaison : risque d'anomalie significative = élevé. »
Étape 2 : Évaluation du risque inhérent. L'auditeur examine la susceptibilité de cette assertion à une anomalie avant les contrôles. Les trois clients majeurs représentent 77 % du solde. Une anomalie (facturation erronée, créance fictive, retour client non enregistré) sur l'un d'eux produirait rapidement une anomalie de plus de 250 k EUR. Risque inhérent : élevé. L'auditeur documente le paragraphe ISA 315.32(a) : facteurs de risque inhérent (concentration, complexité client, implication de la direction).
Note de documentation : « Risque inhérent élevé. Facteurs : concentration client de 77 %, existence de trois contrats de vente personnalisés avec clauses de retour flexibles non normalisées, historique d'une réclamation client réglée un mois après clôture (créance retournée partiellement). »
Étape 3 : Évaluation du risque de contrôle. Le système de facturation automatisé est fiable, mais les trois clients majeurs génèrent des transactions non standard. Un client utilise un protocole d'échange de données informatisées qui crée des écarts de timing. Un autre a des retours de marchandises traités manuellement. L'auditeur examine les contrôles clés : rapprochement client mensuel (effectué le 15 de chaque mois, mais l'arréage de clients au 31/12 est rarement documenté), révision de tout crédit supérieur à 100 k EUR (effectué, mais sans trace écrite de l'approbation). Risque de contrôle : moyen à élevé.
Note de documentation : « Risque de contrôle moyen-élevé (50 %). Contrôles clés : système de facturation intégré (fiable pour transactions standard), rapprochement client mensuel (effectué mais documentation insuffisante de la résolution des écarts), approbation de crédits non standard (effectuée oralement, sans documentation systématique). Écarts de timing EDI sur client majeur créent un risque de coupure (arréage fin décembre / janvier). »
Étape 4 : Combinaison et documentation du risque d'anomalie significative. Risque inhérent élevé + risque de contrôle moyen-élevé = risque d'anomalie significative élevé au niveau de l'assertion « existence et intégrité des créances clients ». Cela dépasse la matérialité de performance établie à 600 k EUR.
Note de documentation : « Risque d'anomalie significative : élevé. Évaluation combinée : risque inhérent 80 % + risque de contrôle 50 % = 40 % de probabilité d'une anomalie significative si aucune procédure substantive n'est effectuée. Matérialité de performance : 600 k EUR. Procédures substantives planifiées : audit détaillé de 100 % des trois clients majeurs ; confirmation externe pour chaque créance > 200 k EUR ; analyse des arréages de clients pour les 30 jours suivant la clôture ; procédures de coupure pour l'EDI. »
Conclusion. L'évaluation du risque d'anomalie significative détermine l'étendue et la nature des procédures substantives. Ici, le risque élevé justifie un audit détaillé plutôt qu'un échantillonnage. Si l'auditeur avait évalué le risque comme faible, un échantillonnage de 20 à 30 factures aurait pu suffire. C'est cette traçabilité qui se cherche sur les dossiers.

Ce que les réviseurs et les praticiens se trompent

L'erreur la plus courante dans les dossiers d'audit est la fusion entre le risque au niveau de l'entité et le risque au niveau des assertions. Un auditeur écrit : « Environnement de contrôle faible = risque d'anomalie significative élevé sur tous les soldes » et s'arrête là. ISA 315.32 exige d'aller plus loin : évaluer le risque inhérent et le risque de contrôle spécifiquement pour chaque assertion. Un environnement de contrôle faible peut élever le risque inhérent, mais cela ne suffit pas. Vous devez ensuite considérer les contrôles spécifiques attachés à cette assertion (un contrôle détaillé au niveau de la transaction peut compenser un environnement global plus faible).
Une deuxième erreur fréquente : documenter des risques sans documentation du lien entre le risque et la procédure substantive. La documentation dit : « Risque d'anomalie significative élevé sur l'existence des créances » mais ne dit pas comment cette évaluation a déterminé la nature, l'étendue ou le timing des procédures. ISA 330.5 exige que vous mettre en place des procédures substantives dont la nature et l'étendue sont déterminées par votre évaluation du risque. Si le risque est élevé, l'échantillonnage de 10 articles n'est pas défendable. Si le risque est faible, l'audit détaillé de 100 % des transactions n'est pas proportionné.
Une troisième erreur : utiliser le même niveau de risque pour toutes les assertions d'un solde. Une créance client peut présenter un risque élevé sur l'existence (concentration client, histoire de défaut) et un risque faible sur la valorisation (pas d'ajustement de valeur sur ces clients sains). Ces deux assertions doivent être évaluées séparément et documentées séparément.

Termes connexes

Risque inhérent: la composante du risque d'anomalie significative liée à la susceptibilité d'une assertion à une anomalie avant tout contrôle interne.
Risque de contrôle: la composante du risque d'anomalie significative liée à la probabilité que le système de contrôle interne ne prévienne, ne détecte ou ne corrige une anomalie à temps.
Matérialité: le seuil de l'audit qui détermine si une anomalie est significative. L'évaluation du risque d'anomalie significative dépend directement de la matérialité fixée.
Matérialité de performance: le seuil appliqué à l'évaluation des risques au niveau des assertions, généralement fixé entre 50 % et 75 % de la matérialité globale.
Assertion: la catégorie spécifique du solde ou de la transaction examinée (existence, intégrité, valorisation, présentation). Vous évaluez les risques au niveau de l'assertion, pas au niveau du solde.
Évaluation des risques: le processus global d'identification et d'évaluation des risques, qui comprend l'identification des risques d'anomalie significative.
Procédures substantives: les procédures d'audit effectuées en réaction à votre évaluation du risque d'anomalie significative.
Contrôles internes: les politiques et procédures de l'entité conçues pour prévenir, détecter ou corriger les anomalies. L'évaluation du risque de contrôle dépend de l'efficacité de ces contrôles.

Références et ressources

L'ISA 315 (révisée 2019) établit l'approche basée sur une continuum de risque, par opposition à une classification rigide en trois catégories. Cela signifie que le risque n'est pas soit « faible », soit « élevé », mais peut être évalué sur une échelle plus nuancée. Cette approche s'applique aussi aux ISA 320 (matérialité) et ISA 330 (réponse au risque). Pour les praticiens qui travaillent avec des entités complexes ou des environnements de contrôle faibles, cette granularité est essentielle.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.