Tests of Controls

Fonctionnement

Le test de conformité ne consiste pas à valider que la procédure existe. Il consiste à montrer qu'elle a été appliquée pendant toute la période. Cette distinction paraît évidente sur le papier ; dans les dossiers que nous traitons, c'est précisément là que la majorité des constats H2A se forment. Une fois la NEP 330 retraduite en gestes concrets, le test devient une chaîne de preuves traçables, datées, reliées au fait générateur du contrôle.

L'ISA 330.7 (NEP 330.7) vous oblige à identifier les risques d'anomalies significatives et à évaluer si les contrôles internes de l'entité réduisent suffisamment ce risque. Si vous concluez que oui, vous ne testez pas les détails complets du solde. Vous testez plutôt si le contrôle fonctionne réellement comme prévu. Ce que la norme ne dit pas, et que les équipes apprennent par la H2A : un dossier qui ne montre pas la logique d'échantillonnage perd la fiabilité revendiquée, même si le contrôle, en réalité, fonctionnait parfaitement.

Un contrôle présenté comme « la directrice financière approuve tous les achats supérieurs à 50 k EUR » n'existe que s'il est appliqué systématiquement. L'ISA 330.8 exige que vous obteniez des éléments probants suffisants et appropriés que le contrôle fonctionnait de cette manière pendant toute la période auditée. En pratique, cela signifie examiner les approbations, vérifier qu'elles sont datées, qu'elles sont rattachées à la directrice financière, et qu'aucun achat supérieur à 50 k EUR n'a contourné le processus. Sans cette traçabilité, le test bascule du tampon : on signe parce qu'on a déjà signé l'an dernier.

La taille de l'échantillon dépend directement du jugement sur le risque. Un contrôle sur lequel vous avez une confiance élevée exige moins de tests. ISA 330.A15 l'énonce explicitement : plus la confiance est élevée, moins nombreux les éléments à vérifier. L'inverse aussi. Si le contrôle est nouveau, non documenté, ou s'il a échoué dans le passé, vous testez davantage. Nous voyons régulièrement des équipes appliquer un volume forfaitaire (« on teste toujours 6 mois ») parce que le budget temps ne permet pas de débattre du dimensionnement à chaque mission. C'est compréhensible. Ce n'est pas défendable devant un inspecteur H2A.

Exemple pratique : Société Mercier & Co., distributeur français

Contexte : Distributeur de pièces automobiles, chiffre d'affaires 18 M EUR, IFRS reporter, 6 sites régionaux. Exercice clos 31 décembre 2024.

Contrôle identifié : Réconciliation mensuelle des comptes clients par le responsable crédit auprès des relevés de tiers.

Étape 1 : Dimensionner l'échantillon Le responsable crédit a 15 ans d'ancienneté. Les réconciliations sont documentées dans le fichier partagé de la finance, datées et signées. Aucun écart significatif n'a été détecté dans les audits précédents. Vous classez le risque de non-fonctionnement comme faible. ISA 330.A15 suggère un volume initial de 6 à 8 mois minimum. Note de documentation : classement du risque inhérent élevé en raison du volume de transactions ; risque de contrôle faible basé sur l'historique ; volume d'audit retenu = 7 mois sur 12.

Étape 2 : Sélectionner les mois Pour éviter le biais d'une sélection prévisible, vous testez janvier, mars, mai, juillet, septembre, novembre et décembre. Janvier teste le premier mois après la clôture de l'année précédente. Décembre teste la période finale. Note de documentation : sélection non systématique des mois testés pour éviter que le responsable crédit connaisse le calendrier d'audit.

Étape 3 : Examiner l'exécution du contrôle Pour chaque mois sélectionné, vous localisez le fichier de réconciliation. Vous vérifiez que le document existe (il ne manque aucun mois). Vous comparez la date de la réconciliation, le nom du responsable crédit, et la concordance entre solde du grand livre et solde du relevé de tiers. Vous vérifiez mathématiquement que les différences identifiées correspondent aux éléments en attente documentés (factures non reçues par le tiers, paiements en transit). Note de documentation : pour le mois de juillet, solde grand livre 2 847 k EUR, relevé tiers 2 851 k EUR, différence 4 k EUR identifiée comme facture en cours du 25 juillet (facture 47821, 4,2 k EUR, reçue par le tiers le 2 août, vérifiée sur l'extrait d'août). Réconciliation datée 3 juillet 2024, signée responsable crédit (L. Darmon). Contrôle fonctionnel.

Étape 4 : Documenter les exceptions, et le jugement qui suit C'est ici que la mission s'est compliquée. Sur les 7 mois testés, 6 réconciliations étaient correctes. En février, la réconciliation était datée du 15 février, mais le responsable crédit avait laissé un poste en attente de 82 k EUR sans aucune explication écrite. Première réaction de l'équipe : exception, défaillance, recadrage du risque de contrôle vers moyen. Avant de basculer la conclusion, le senior a demandé des entretiens. Il s'agissait d'une facture client contestée (dossier 19470) en litige actif. Le responsable crédit avait mentalement exclu cette facture des travaux de rapprochement, mais sans le documenter. Le litige a été résolu en avril (paiement reçu le 12 avril).

Pour moi, le vrai sujet n'est plus l'écart de 82 k EUR. C'est que le contrôle, tel qu'écrit dans la procédure, ne prévoit aucun traitement des litiges. La pratique réelle existe ; elle vit dans la tête d'une seule personne. Si le responsable crédit part en arrêt long, le successeur n'a aucun document pour reprendre le geste. Nous avons donc retenu une conclusion intermédiaire : contrôle fonctionnel, mais avec une recommandation formelle à inscrire en lettre de recommandations, parce que la robustesse du contrôle dépend d'une connaissance non transférable. Note de documentation : exception identifiée février. Solde en attente 82 k EUR, facture client 19470, litige non résolu à cette date. Contrôle jugé fonctionnel (traitement intentionnel des litiges, validé par entretiens). Recommandation : documenter la politique de gestion des montants en litige dans les procédures de réconciliation. Risque de continuité opérationnelle du contrôle signalé en LR.

Conclusion : Sur la base de 7 mois d'audit, le contrôle a fonctionné de manière suffisamment fiable pour réduire le risque d'anomalies significatives non détectées dans les comptes clients. Volume de tests de détail réduit sur ce compte (6 confirmations positives au lieu de 15). Risque de détection classé moyen.

Ce que les réviseurs et les cabinets se trompent

Constat d'inspection de niveau 1 : Le H2A relève année après année que les tests de conformité insuffisamment documentés représentent l'un des constats les plus récurrents sur les missions EIP. L'AFM aux Pays-Bas et la FRC au Royaume-Uni publient des taux similaires (FRC 2023 : 31 % des dossiers concernés). L'équipe d'audit avait conclu que le contrôle fonctionnait, mais la documentation ne montrait pas comment cette conclusion avait été atteinte. Pas d'échantillon clairement défini. Pas de calendrier de sélection. Pas de notes expliquant ce qui avait été vérifié sur chaque élément. Ce que ça signifie en pratique : le CAC a signé, mais quand on ouvre le classeur, il n'y a pas de chemin de preuve. Le test existe dans le mémo de conclusion ; il n'existe pas dans le papier de travail.

Erreur pratique de niveau 2 : Tester la conception du contrôle et l'étiqueter comme un test de conformité. La NEP 330.8 distingue clairement les deux. Un test de conception consiste à poser des questions, à observer un processus une fois, à examiner la politique écrite. Un test de conformité consiste à vérifier que le contrôle a été appliqué de manière systématique pendant toute la période. Beaucoup de cabinets posent une question à la directrice financière en septembre (« Approuvez-vous tous les achats supérieurs à 50 k EUR ? »), obtiennent une réponse affirmative, et considèrent cela comme un test de conformité sur 12 mois. C'est une conception testée, pas une conformité testée. Et c'est un constat à peu près garanti en revue.

Écart de pratique de niveau 3 : Tester les contrôles sans évaluer le contexte du risque de non-fonctionnement. ISA 330.A15 (NEP 330.A15) exige que la taille et la nature de l'échantillon soient fonction du jugement sur le risque. Un contrôle nouveau (première année d'existence) exige un volume de tests plus important qu'un contrôle stable depuis 10 ans. Un contrôle effectué par une personne en fin de carrière connaissant le système par cœur exige potentiellement moins de tests qu'un contrôle effectué par un nouvel agent dans un rôle critique. De nombreux cabinets appliquent une taille d'échantillon uniforme (« nous testons toujours 6 mois ») sans la justifier selon le risque. La documentation résultante ne soutient pas la suffisance de l'audit.

Voici ce que ces trois constats ont en commun, et que peu de revues nomment explicitement : le test de conformité est l'endroit où le budget temps mord le plus fort dans la qualité. Vingt minutes de plus pour documenter la logique d'échantillonnage paraissent négligeables au senior pris dans la clôture. Multipliées par cinquante contrôles et par un cabinet entier, elles deviennent un poste budgétaire. La pression économique ne pousse pas les équipes à mal travailler ; elle les pousse à ne pas écrire ce qu'elles ont fait. Le résultat lu par l'inspecteur est le même.

Là où deux praticiens raisonnables divergent

Sur le cas Mercier, deux CAC expérimentés peuvent légitimement diverger sur la conclusion. Le premier dira : la pratique informelle de gestion des litiges est une exception au contrôle tel que défini, donc le contrôle ne fonctionne pas comme décrit, et le risque de contrôle doit être reclassé à moyen. Le second dira : la substance du contrôle (rapprocher les soldes en isolant les éléments connus) a été respectée chaque mois, l'absence de documentation est un défaut de procédure et non un défaut de fonctionnement, donc le contrôle fonctionne avec une recommandation. Les deux lectures s'appuient sur ISA 330.A20. Aucune n'est paresseuse. Le choix dépend de la lecture qu'on fait du mot « exécuté comme prévu » : prévu par la procédure écrite, ou prévu par l'intention du contrôle ? Je l'avoue, dans nos dossiers, nous penchons plus souvent vers la seconde lecture, parce que la première force à reclasser des contrôles qui, dans les faits, font le travail. Un confrère raisonnable peut soutenir l'inverse.

Contrôles manuels vs contrôles informatisés

Les contrôles manuels exigent une documentation visible à chaque exécution (signature, approbation, justification). Les contrôles informatisés s'exécutent sans intervention humaine : par exemple, le système génère automatiquement un rapport de divergence de prix lorsqu'une facture fournisseur s'écarte de plus de 10 % du bon de commande. Les deux doivent être testés, mais le volume et la nature du test diffèrent.

Pour un contrôle manuel, vous examinez les preuves de chaque exécution dans un échantillon. Pour un contrôle informatisé, vous testez généralement une seule fois (logique correcte, paramètres corrects, comptes corrects), puis, si vous faites confiance au contrôle d'accès et aux journaux de modification, vous concluez que le contrôle continue de fonctionner tout au long de la période. ISA 330.A13 reconnaît cette approche dans le contexte de la technologie d'information. Une nuance que la norme ne formule pas : le contrôle informatisé déplace le test, il ne le supprime pas. Les ITGC (contrôles d'accès, gestion du change, sauvegardes) deviennent le vrai sujet, et c'est souvent là que le dossier se fragilise.

Termes associés

Contrôle interne : cadre global des processus et politiques qu'une entité utilise pour gérer les risques et assurer l'exactitude financière.

Tests de détail : procédures visant à détecter les anomalies dans les soldes de comptes et les transactions, distincts des tests de conformité.

Risque de détection : risque que l'auditeur ne détecte pas une anomalie significative en exécutant ses procédures d'audit.

ISA 330 - Réaction face aux risques évalués : norme gouvernant la manière dont l'auditeur répond aux risques d'anomalies significatives identifiés.

Évaluation des risques (ISA 315) : processus d'identification et d'analyse des risques d'anomalies significatives avant la conception des tests.

---