Fonctionnement

Les tests de conformité sont au cœur de la stratégie d'audit basée sur les risques. L'ISA 330.7 vous oblige à identifier les risques d'anomalies significatives et d'évaluer si les contrôles internes de l'entité réduisent suffisamment ce risque. Si vous concluez que oui, vous ne testez pas les détails complets du solde. Vous testez plutôt si le contrôle fonctionne réellement comme prévu.
Un contrôle présenté comme « la directrice financière approuve tous les achats supérieurs à 50 k EUR » n'existe que s'il est appliqué systématiquement. L'ISA 330.8 exige que vous obteniez des éléments probants suffisants et appropriés que le contrôle fonctionnait de cette manière pendant toute la période auditée. Cela signifie examiner les approvals, vérifier qu'elles sont datées, tracées à la directrice financière, et qu'aucun achat supérieur à 50 k EUR n'a contourné le processus.
La taille de l'échantillon dépend directement du jugement sur le risque. Un contrôle sur lequel vous avez une confiance élevée exige moins de tests. ISA 330.A15 l'énonce explicitement : plus la confiance est élevée, moins nombreux les éléments à vérifier. L'inverse aussi : si le contrôle est nouveau, non documenté ou s'il a échoué dans le passé, vous testez davantage.

Exemple pratique : Société Mercier & Co., distributeur français

Contexte : Distributeur de pièces automobiles, chiffre d'affaires 18 M EUR, IFRS reporter, 6 sites régionaux. Exercice clos 31 décembre 2024.
Contrôle identifié : Réconciliation mensuels des comptes clients par le responsable crédit auprès des relevés de tiers.
Étape 1 : Dimensionner l'échantillon
Le responsable crédit a 15 ans d'ancienneté. Les réconciliations sont documentées dans le fichier partagé de la finance, datées et signées. Aucun écart significatif n'a été détecté dans les audits précédents. Vous classez le risque de non-fonctionnement comme faible. ISA 330.A15 suggère un volume initial de 6 à 8 mois minimum.
Note de documentation : classement du risque inhérent élevé en raison du volume de transactions ; risque de contrôle faible basé sur l'historique ; volume d'audit retenu = 7 mois sur 12.
Étape 2 : Sélectionner les mois
Pour éviter le biais d'une sélection prévisible, vous testez janvier, mars, mai, juillet, septembre, novembre et décembre (distribution tout au long de l'année). Janvier teste le premier mois après la clôture de l'année précédente. Décembre teste la période finale.
Note de documentation : sélection non systématique des mois testés pour éviter que le responsable crédit connaisse le calendrier d'audit.
Étape 3 : Examiner l'exécution du contrôle
Pour chaque mois sélectionné, vous localisez le fichier de réconciliation. Vous vérifiez que le document existe (il ne manque aucun mois). Vous comparez trois éléments : la date de la réconciliation, le nom du responsable crédit, le solde du grand livre et le solde du relevé de tiers. Vous vérifiez mathématiquement que les différences identifiées correspondent aux éléments en attente documentés (factures non reçues par le tiers, paiements en transit).
Note de documentation : pour le mois de juillet, solde grand livre 2 847 k EUR, relevé tiers 2 851 k EUR, différence 4 k EUR identifiée comme facture en cours du 25 juillet (facture 47821, 4,2 k EUR, reçue par le tiers le 2 août – vérifiée sur l'extrait d'août). Réconciliation datée 3 juillet 2024, signée responsable crédit (L. Darmon). Contrôle fonctionnaire.
Étape 4 : Documenter les exceptions
Sur les 7 mois testés, 6 réconciliations étaient correctes. En février, la réconciliation était datée du 15 février mais le responsable crédit a laissé un poste en attente sans explication. Solde en attente de 82 k EUR, jamais réconcilié. Vous enquêtez : il s'agissait d'une facture client contestée (dossier 19470) en litige. Le responsable crédit a mentalement exclu cette facture des travaux de rapprochement mais ne l'a pas documentée. Le litige a été résolu en avril (paiement reçu le 12 avril). Il n'y avait donc pas d'exception au contrôle lui-même (le responsable fait cela pour gérer les litiges connus), mais le contrôle ne formalisait pas cette approche.
Note de documentation : exception identifiée février. Solde en attente 82 k EUR, facture client 19470, litige non résolu à cette date. Contrôle fonctionnaire (traitement intentionnel des litiges). Recommandation : documenter la politique de gestion des montants en litige dans les procédures de réconciliation.
Conclusion :
Sur la base de 7 mois d'audit, le responsable crédit a exécuté le contrôle de réconciliation de manière systématique 6 mois sur 7. La défaillance partielle de février représentait une pratique informelle documentée nulle part. Les 7 mois testés soutiennent une conclusion que le contrôle fonctionne de manière suffisamment fiable pour réduire le risque d'anomalies significatives non détectées dans les comptes clients. Vous prévoyez donc un volume de tests de détail réduit sur ce compte (6 confirmations positives au lieu de 15) et vous classez le risque de détection comme moyen.

Ce que les réviseurs et les cabinets se trompent

Constat d'inspection de niveau 1 : La FRC (Royaume-Uni) a publié en 2023 un rapport d'inspection montrant que 31 % des dossiers comportaient des tests de conformité insuffisamment documentés. L'équipe d'audit avait conclu que le contrôle fonctionnait, mais la documentation ne montrait pas comment cette conclusion avait été atteinte. Absence d'échantillon clairement défini, absence de calendrier de sélection des éléments testés, absence de notes expliquant ce qui avait été vérifié sur chaque élément.
Erreur pratique de niveau 2 : Tester la conception du contrôle et l'étiqueter comme un test de conformité. L'ISA 330.8 distingue clairement les deux. Un test de conception consiste à poser des questions, à observer un processus une fois, à examiner la politique écrite. Un test de conformité consiste à vérifier que le contrôle a été appliqué de manière systématique pendant toute la période. Beaucoup de cabinets posent une question à la directrice financière en septembre ("Approuvez-vous tous les achats supérieurs à 50 k EUR ?"), obtiennent une réponse affirmatrice, et considèrent cela comme un test de conformité sur 12 mois. C'est une conception testée, pas une conformité testée.
Écart de pratique de niveau 3 : Tester les contrôles sans évaluer le contexte du risque de non-fonctionnement. L'ISA 330.A15 exige que la taille et la nature de l'échantillon soient fonction du jugement sur le risque. Un contrôle nouveau (première année d'existence) exige un volume de tests plus important qu'un contrôle stable depuis 10 ans. Un contrôle effectué par une personne en fin de carrière connaissant le système par cœur exige potentiellement moins de tests qu'un contrôle effectué par un nouvel agent dans un rôle critique. De nombreux cabinets appliquent une taille d'échantillon uniforme (« nous testons toujours 6 mois ») sans la justifier selon le risque. La documentation résultante ne soutient pas la suffisance de l'audit.

Contrôles manuels vs contrôles informatisés

Les contrôles manuels exigent une documentation visible à chaque exécution (signature, approbation, justification). Les contrôles informatisés s'exécutent sans intervention humaine (par exemple, le système génère automatiquement un rapport de divergence de prix lorsqu'une facture fournisseur s'écarte de plus de 10 % du bon de commande). Les deux doivent être testés, mais le volume et la nature du test diffèrent.
Pour un contrôle manuel, vous examinez les preuves de chaque exécution dans un échantillon. Pour un contrôle informatisé, vous testez généralement une seule fois (logique correcte, paratres correctes, comptes corrects) puis, si vous faites confiance au contrôle d'accès et aux journaux de modification, vous concluez que le contrôle continue de fonctionner tout au long de la période. ISA 330.A13 reconnaît cette approche dans le contexte de la technologie d'information.

Termes associés

Contrôle interne: cadre global des processus et politiques qu'une entité utilise pour gérer les risques et assurer l'exactitude financière.
Tests de détail: procédures visant à détecter les anomalies dans les soldes de comptes et les transactions, distincts des tests de conformité.
Risque de détection: risque que l'auditeur ne détecte pas une anomalie significative en exécutant ses procédures d'audit.
ISA 330 - Réaction face aux risques évalués: norme gouvernant la manière dont l'auditeur répond aux risques d'anomalies significatives identifiés.
Évaluation des risques (ISA 315): processus d'identification et d'analyse des risques d'anomalies significatives avant la conception des tests.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.