2-301. ÉVALUATION DU RISQUE ET CONTRÔLE INTERNE

[adsenseyu1]

La norme d’exercice professionnel « Procédures d’audit mises en Å“uvre par le commissaire aux comptes à l’issue de son évaluation des risques » (NEP 330) homologuée par le Garde des Sceaux a été publiée au JO du 1er août 2006 (voir Lettre DQEPP n° 32). Elle se subsitue aux normes 2-301 et 2-302 du référentiel normatif de juillet 2003 figurant ci-après.

Introduction

.01 – La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs modalités d’application relatifs à la prise de connaissance des systèmes comptable et de contrôle interne ainsi qu’à l’évaluation du risque d’audit et de ses composants : risque inhérent, risque lié au contrôle et risque de non détection.

.02 – Le commissaire aux comptes prend connaissance des systèmes comptable et de contrôle interne pour planifier sa mission et concevoir une approche d’audit efficace. Il exerce son jugement professionnel pour évaluer le risque d’audit et définir des procédures d’audit visant à le réduire à un niveau acceptable faible.

.03 – Le  » risque d’audit  » est le risque que le commissaire aux comptes exprime une opinion incorrecte du fait d’anomalies significatives contenues dans les comptes et non détectées. Il se subdivise en trois composants : le risque inhérent, le risque lié au contrôle et le risque de non détection.

.04 – Le  » risque inhérent  » est la possibilité que le solde d’un compte ou qu’une catégorie d’opérations comporte des anomalies significatives isolées ou cumulées avec des anomalies dans d’autres soldes ou catégories d’opérations, nonobstant les contrôles internes existants.

.05 – Le  » risque lié au contrôle  » est le risque qu’une anomalie dans un solde de compte ou dans une catégorie d’opérations, prise isolément ou cumulée avec des anomalies dans d’autres soldes de comptes ou d’autres catégories d’opérations, soit significative et ne soit ni prévenue, ni détectée par les systèmes comptable et de contrôle interne et donc non corrigée en temps voulu.

.06 – Le  » risque de non détection  » est le risque que les contrôles mis en oeuvre par le commissaire aux comptes ne parviennent pas à détecter une anomalie dans un solde de compte ou dans une catégorie d’opérations qui, isolée ou cumulée avec des anomalies dans d’autres soldes de comptes ou d’autres catégories d’opérations, serait significative.

.07 – Le  » système comptable  » est l’ensemble des procédures et des documents d’une entité permettant le traitement des opérations aux fins de leur enregistrement dans les comptes. Ce système identifie, rassemble, analyse, calcule, classe, enregistre, récapitule et produit des documents retraçant les opérations et autres événements intervenus au cours d’une période.

.08 – Le  » système de contrôle interne  » est l’ensemble des politiques et procédures (contrôles internes) mises en oeuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection des irrégularités et inexactitudes, l’exactitude et l’exhaustivité des enregistrements comptables et l’établissement en temps voulu d’informations financières ou comptables fiables. Le système de contrôle interne s’entend au-delà des domaines directement liés au système comptable. Il comprend :

(a) L’  » environnement général de contrôle interne  » qui est l’ensemble des comportements, degrés de sensibilisation et actions de la direction (y compris le gouvernement d’entreprise) concernant le système de contrôle interne et son importance dans l’entité. Cet environnement a une incidence sur l’efficience des procédures de contrôle interne spécifiques. Par exemple, un environnement de contrôle interne organisé comportant des contrôles budgétaires stricts et une fonction d’audit interne efficiente complète efficacement les procédures de contrôle interne spécifiques. Toutefois, un environnement de contrôle interne organisé ne constitue pas, en soi, une garantie d’efficience du système de contrôle interne. Les éléments essentiels qui le constituent sont les suivants :

– la philosophie et le style de direction ;

– la fonction du conseil d’administration et de ses comités ;

– la structure de l’entité et les méthodes de délégation de pouvoirs et de responsabilités ;

– le système de contrôle de la direction comprenant la fonction d’audit interne, les politiques et les procédures relatives au personnel ainsi que la répartition des tâches.

(b) Les  » procédures de contrôle  » qui désignent les politiques et procédures définies par la direction afin d’atteindre les objectifs spécifiques de l’entité complémentaires à l’environnement général de contrôle interne. Ces procédures comprennent notamment les éléments suivants :

– l’établissement, la revue et l’approbation des rapprochements de comptes ;

– le contrôle des applications et de l’environnement informatique, par exemple en prévoyant des contrôles sur :

– les modifications de logiciels,

– l’accès aux fichiers de données ;

– la tenue régulière d’une comptabilité ;

– l’approbation et le contrôle des pièces justificatives ;

– la comparaison des données internes avec des sources externes d’information;

– l’inventaire physique des actifs (immobilisations, stock, etc.) et la comparaison avec les données de la comptabilité ;

– la restriction de l’accès physique aux actifs et aux documents ;

– la comparaison et l’analyse des réalisations avec les données budgétaires.

.09 – Dans le cadre de sa mission d’audit des comptes, le commissaire aux comptes ne s’intéresse qu’aux politiques et procédures concernant les systèmes comptables et de contrôle interne ayant une incidence sur les assertions sous-tendant l’établissement de ces comptes. La compréhension des aspects pertinents de ces systèmes comptable et de contrôle interne et l’évaluation du risque inhérent ainsi que du risque lié au contrôle permettent au commissaire aux comptes :

(a) d’identifier les types d’anomalies significatives potentielles qui peuvent avoir une incidence sur les comptes,

(b) de prendre en considération les facteurs qui peuvent engendrer des risques d’anomalies significatives, et

(c) de définir des procédures d’audit appropriées.

.10 – En définissant l’approche d’audit, le commissaire aux comptes tient compte de l’évaluation préliminaire du risque lié au contrôle (en association étroite avec l’évaluation du risque inhérent) pour déterminer le risque de non détection acceptable ainsi que la nature, le calendrier et l’étendue des contrôles substantifs à mettre en oeuvre.

Risque inhérent

.11 – Lors de l’élaboration du plan de mission, le commissaire aux comptes évalue le risque inhérent au niveau des comptes pris dans leur ensemble. Dans la définition du programme de travail, le commissaire aux comptes prend en considération cette évaluation pour apprécier les assertions retenues pour chaque catégorie d’opérations et pour les soldes de comptes significatifs, ou part du principe que ces assertions présentent un risque inhérent élevé.

.12 РPour ̩valuer le risque inh̩rent, le commissaire aux comptes exerce son jugement professionnel pour ̩valuer divers facteurs tels que :

Au niveau des comptes pris dans leur ensemble

– L’intégrité de la direction.

– L’expérience et les connaissances des dirigeants ainsi que les changements au sein de l’équipe de direction intervenus durant l’exercice. Le niveau d’expérience des dirigeants peut par exemple avoir des répercussions sur l’établissement des comptes de l’entité.

– Les pressions inhabituelles exercées sur la direction, notamment les circonstances qui pourraient l’inciter à présenter des comptes inexacts, telles qu’un nombre élevé de faillites dans le secteur d’activité ou une entité qui ne dispose pas de fonds propres suffisants pour poursuivre ses activités.

– La nature des activités de l’entité. Par exemple, l’obsolescence technologique potentielle de ses produits ou de ses services, la complexité dans la détention de son capital, l’importance des parties liées, le nombre de centres de production et la dispersion de leur implantation géographique.

– Ceux influençant le secteur dans lequel opère l’entité, telles que les conditions économiques et concurrentielles mises en évidence par les tendances et les ratios financiers ainsi que les innovations technologiques, l’évolution du marché et les pratiques comptables du secteur.

Au niveau du solde des comptes et des catégories d’opérations

– Les comptes pouvant comporter des anomalies, tels que ceux enregistrant des écritures de redressement au titre d’exercices antérieurs ou reposant en grande partie sur des estimations.

– La complexité des opérations sous-jacentes ou d’autres événements qui peuvent nécessiter l’intervention d’un expert.

– Le degré de jugement intervenant dans la détermination des valeurs d’inventaires.

– La vulnérabilité des actifs aux pertes ou aux détournements, par exemple des actifs attractifs ou faciles à détourner tels que la trésorerie.

– L’enregistrement d’opérations inhabituelles ou complexes, notamment à la clôture de l’exercice ou à une date proche.

РDes op̩rations non soumises aux traitements habituels.

Systèmes comptable et de contrôle interne

.13 РLes contr̫les internes relatifs au syst̬me comptable permettent de remplir les objectifs suivants :

– les opérations ne peuvent être effectuées qu’avec une autorisation générale ou particulière de la direction ;

– toutes les opérations et les événements sont enregistrés rapidement dans la période comptable correspondante afin de permettre la préparation des comptes conformément à un référentiel comptable identifié ;

– l’accès aux actifs et aux documents comptables n’est possible que sur autorisation de la direction ;

– les actifs enregistrés sont comparés aux actifs physiques existants à des intervalles réguliers et des mesures appropriées sont prises en cas d’écarts constatés.

Limites inhérentes aux contrôles internes

.14 – Les systèmes comptable et de contrôle interne ne donnent pas à la direction la certitude que les objectifs fixés sont atteints, et ce en raison des limites inhérentes au fonctionnement de tout système. Ces limites sont les suivantes :

– le coût d’un contrôle interne ne doit pas excéder les avantages escomptés de ce contrôle,

Рla plupart des contr̫les internes portent sur des op̩rations r̩p̩titives et non sur des op̩rations non r̩currentes,

– le risque d’erreur humaine due à la négligence, à la distraction, aux erreurs de jugement ou à la mauvaise compréhension des instructions ne peut être totalement éliminé,

– la possibilité d’échapper aux contrôles internes par la collusion d’un membre de la direction ou d’un employé avec d’autres personnes internes ou externes à l’entité,

– l’éventualité qu’une personne chargée de réaliser un contrôle interne abuse de ses prérogatives, par exemple un membre de la direction passant outre le contrôle,

– la possibilité que les procédures ne soient plus adaptées en raison de l’évolution de la situation, et donc que les procédures ne soient plus appliquées.

Compréhension des systèmes comptable et de contrôle interne

.15 – Lors de la prise de connaissance des systèmes comptables et de contrôle interne en vue de planifier l’audit, le commissaire aux comptes acquiert la connaissance de la conception et du fonctionnement de ces systèmes, par exemple, en effectuant un  » test de conformité  » permettant de suivre certaines opérations dans le système comptable. Lorsque les opérations sélectionnées sont représentatives de celles traitées par le système, cette procédure peut être intégrée aux  » tests de procédures « . La nature et l’étendue des tests de conformité effectués par le commissaire aux comptes sont telles qu’elles ne suffisent cependant pas à elles seules à réunir suffisamment d’éléments probants pour étayer une évaluation du risque lié au contrôle à un niveau faible ou moyen.

.16 – La nature, le calendrier et l’étendue des procédures mises en oeuvre par le commissaire aux comptes pour comprendre les systèmes comptable et de contrôle interne varient en fonction, notamment, des critères suivants :

– taille et complexité de l’entité et de son système informatique,

– seuil de signification,

Рtypes de contr̫les internes concern̩s,

– nature de la documentation de l’entité en matière de contrôles internes spécifiques,

Р̩valuation par le commissaire aux comptes du risque inh̩rent.

.17 – En règle générale, pour comprendre les systèmes comptable et de contrôle interne affectant sa mission, le commissaire aux comptes s’appuie sur son expérience antérieure de l’entité et a recours à :

(a) des entretiens avec les dirigeants, les cadres et le personnel des différents échelons hiérarchiques de l’entité et à la documentation existante (manuels de procédures, description des postes, organigrammes, etc.),

(b) la vérification des documents et des informations issus des systèmes comptable et de contrôle interne, et

(c) l’observation des activités et des opérations de l’entité, y compris l’organisation du système informatique, le personnel d’encadrement et la nature des traitements informatisés, etc.

Système comptable

.18 РLe commissaire aux comptes prend connaissance du syst̬me comptable pour identifier et comprendre :

(a) les principales catégories d’opérations résultant des activités de l’entité,

(b) la source de ces opérations,

(c) l’organisation de la comptabilité dans les domaines significatifs, la nature des documents justificatifs et le contenu des postes et des rubriques des comptes,

(d) l’origine des opérations et événements significatifs jusqu’à leur enregistrement dans les comptes, et

(e) le processus d’établissement des comptes ou documents comptables et financiers de synthèse.

Environnement général de contrôle interne

.19 – Le commissaire aux comptes prend connaissance de l’environnement général de contrôle interne pour évaluer les comportements, degrés de sensibilisation et actions de la direction (y compris le gouvernement d’entreprise) concernant les contrôles internes et leur importance dans l’entité.

Procédures de contrôle

.20 – Le commissaire aux comptes prend connaissance des procédures de contrôle pour élaborer le plan de mission. Pour ce faire, il détermine l’existence ou l’absence de procédures de contrôle en analysant l’environnement général de contrôle interne et le système comptable afin de décider s’il convient d’approfondir sa compréhension des procédures de contrôle. Celles-ci étant liées à l’environnement général de contrôle interne et au système comptable, le commissaire aux comptes se familiarise en même temps avec les procédures de contrôle ; par exemple, en analysant le fonctionnement du système comptable concernant la trésorerie, le commissaire aux comptes sera à même de déterminer si les rapprochements bancaires sont effectués. En règle générale, il n’est pas nécessaire, pour élaborer le plan d’audit, de connaître toutes les procédures de contrôle relatives à chacune des assertions sous-tendant chaque solde de compte ou catégorie d’opérations.

Risque lié au contrôle

Évaluation préliminaire du risque lié au contrôle

.21 – L’évaluation préliminaire du risque lié au contrôle consiste à apprécier l’efficacité des systèmes comptable et de contrôle interne de l’entité en termes de prévention ou de détection et de correction des anomalies significatives. Le risque lié au contrôle ne peut toutefois pas être entièrement éliminé en raison des limites inhérentes à tout système comptable et de contrôle interne.

.22 – Après avoir pris connaissance des systèmes comptable et de contrôle interne, le commissaire aux comptes procède à une évaluation préliminaire du risque lié au contrôle, au niveau des assertions sous-tendant chaque solde de compte ou catégorie d’opérations significatifs.

.23 РLe commissaire aux comptes fixe en g̩n̩ral un niveau de risque li̩ au contr̫le ̩lev̩ pour certaines ou pour toutes les assertions lorsque :

(a) les systèmes comptable et de contrôle interne ne sont pas appliqués effectivement, ou

(b) l’évaluation du fonctionnement effectif des systèmes comptable et de contrôle interne de l’entité ne constituerait pas une démarche d’audit efficace.

.24 – L’évaluation préliminaire du risque lié au contrôle pour une assertion sous-tendant l’établissement des comptes est fixée à un niveau élevé, sauf si le commissaire aux comptes :

(a) parvient à identifier des contrôles internes appliqués à cette assertion et susceptibles de prévenir ou détecter et corriger une anomalie significative, et

(b) envisage de réaliser des tests de procédures pour conforter son évaluation.

Documentation de la prise de connaissance et de l’évaluation du risque lié au contrôle

.25 – Le commissaire aux comptes réunit dans ses dossiers de travail une documentation relative à :

(a) son analyse des systèmes comptable et de contrôle interne de l’entité, et

(b) son évaluation du risque lié au contrôle. En cas de risque de niveau inférieur à un risque élevé, le commissaire aux comptes documente également les éléments sur lesquels se fondent ses conclusions.

.26 – Différentes techniques peuvent être utilisées pour documenter l’analyse des systèmes comptable et de contrôle interne. Le commissaire aux comptes est libre d’opter pour la technique de son choix. Parmi celles les plus couramment utilisées, seules ou combinées, on relèvera les descriptions narratives, les questionnaires, les listes de contrôle et les diagrammes. La forme et l’étendue de la documentation dépendent de la taille et de la complexité de l’entité ainsi que de la nature de ses systèmes comptables et de contrôle interne. En général, plus les systèmes sont complexes, plus les procédures d’analyse seront étendues et la documentation développée.

Tests de procédures

.27 – Les tests de procédures sont effectués afin d’obtenir des éléments probants sur l’efficacité :

(a) de la conception des systèmes comptables et de contrôle interne, afin de déterminer si leur conception permet de prévenir ou de détecter et de corriger les anomalies significatives, et

(b) du fonctionnement des contrôles internes durant l’exercice.

.28 – Il est possible que certaines des procédures mises en oeuvre afin d’analyser les systèmes comptable et de contrôle interne n’aient pas été spécifiquement conçues à l’origine en tant que tests de procédures. Elles peuvent néanmoins fournir des éléments probants sur l’efficacité de la conception et du fonctionnement des contrôles internes concernant certaines assertions et serviront alors de tests de procédures. Par exemple, pour analyser le fonctionnement du système comptable et de contrôle interne relatif à la fonction trésorerie, le commissaire aux comptes peut avoir rassemblé des éléments probants sur l’efficacité du processus de préparation des rapprochements bancaires au moyen de demandes d’informations et d’observations.

.29 – Lorsque le commissaire aux comptes constate que les tests de conformité réalisés lors de la prise de connaissance des systèmes comptables et de contrôle interne fournissent également des éléments probants sur l’efficacité de la conception et du fonctionnement des politiques et des procédures appliquées à une assertion particulière sous-tendant l’établissement des comptes, il peut les utiliser, à condition toutefois qu’ils soient suffisants pour justifier une évaluation du risque lié au contrôle de niveau inférieur à un risque élevé.

.30 РLes tests de proc̩dures peuvent comprendre :

– l’examen des documents justifiant les opérations et d’autres procédures visant à rassembler des éléments probants sur le bon fonctionnement des contrôles internes, par exemple la vérification qu’une opération donnée a été autorisée ;

– des demandes d’informations et l’observation des contrôles internes qui ne laissent aucune trace matérielle, par exemple pour déterminer précisément qui effectue chaque tâche et pas simplement la personne qui est censée l’effectuer ;

– une vérification des contrôles internes, par exemple des rapprochements bancaires, afin de s’assurer qu’ils ont été correctement réalisés.

.31 – Le commissaire aux comptes réunit des éléments probants au moyen de tests de procédures pour justifier d’une évaluation du risque lié au contrôle à un niveau inférieur à un niveau élevé. Plus le risque lié au contrôle est évalué à un niveau faible, plus le commissaire aux comptes devra réunir d’éléments probants montrant que les systèmes comptable et de contrôle interne sont correctement conçus et fonctionnent efficacement.

.32 – Pour réunir des éléments probants sur le bon fonctionnement des contrôles internes, le commissaire aux comptes examine comment ces contrôles ont été réalisés et la permanence de leur application durant la période, et identifie la personne qui les a effectués. Le bon fonctionnement n’exclut pas certaines déviations par rapport aux contrôles prescrits. Celles-ci peuvent être imputées à certains événements, tels qu’un changement intervenu dans le personnel occupant des postes clés, des fluctuations saisonnières significatives en termes de volume d’opérations, ou une erreur humaine. Lorsque des déviations sont détectées, le commissaire aux comptes procède à des investigations spécifiques concernant leur cause, par exemple le moment où sont intervenus les changements du personnel chargé des fonctions de contrôle interne. Il s’assure ensuite que les tests de procédures couvrent la période des changements ou de fluctuations en question.

.33 – L’objectif des tests de procédures dans un environnement informatique est le même que dans un environnement manuel. Toutefois, certaines procédures d’audit peuvent différer. Le commissaire aux comptes peut juger nécessaire ou préférer utiliser des techniques d’audit assistées par ordinateur. L’emploi de telles techniques, par exemple des programmes d’interrogation de fichiers ou des programmes d’audit tests, peuvent s’avérer utiles lorsque les systèmes comptable et de contrôle interne ne fournissent aucun élément visible pour prouver la performance effective des contrôles internes programmés dans un système informatisé.

.34 – En fonction des résultats des tests de procédures, le commissaire aux comptes détermine si les contrôles internes sont conçus et fonctionnent conformément à son évaluation préliminaire du risque lié au contrôle. L’examen des déviations peut le conduire à réviser le niveau de risque lié au contrôle. Dans ce cas, le commissaire aux comptes modifie la nature, le calendrier et l’étendue des contrôles substantifs prévus.

Qualité et date d’obtention des éléments probants

.35 – Certains types d’éléments probants sont plus fiables que d’autres. En général, ceux issus des observations du commissaire aux comptes sont plus fiables que ceux provenant des demandes d’informations. Par exemple, le commissaire aux comptes peut se procurer des éléments probants sur la séparation des tâches en observant les personnes appliquant une procédure de contrôle ou en demandant des informations au personnel concerné. Toutefois, les éléments probants obtenus par certains tests de procédures, tels que l’observation, n’ont de valeur qu’au moment précis où le contrôle a été effectué. Le commissaire aux comptes peut par conséquent décider de compléter ces contrôles par d’autres tests de procédures permettant de recueillir des éléments probants sur d’autres périodes de l’exercice.

.36 – Pour déterminer les éléments probants nécessaires pour étayer une conclusion relative au risque lié au contrôle, le commissaire aux comptes peut tenir compte des éléments probants réunis au titre des exercices précédents. En général, le commissaire aux comptes ayant une connaissance des systèmes comptables et de contrôle interne grâce aux travaux précédemment effectués, il actualise sa connaissance et considère la nécessité de compléter les éléments probants précédemment obtenus par d’autres relatifs aux modifications intervenues. En conséquence, avant de s’appuyer sur le résultat des procédures mises en oeuvre au titre des exercices précédents, le commissaire aux comptes réunit des éléments probants justifiant que ceux-ci restent valables. Ces éléments peuvent concerner la nature, le calendrier et l’étendue des modifications intervenues dans les systèmes comptables et de contrôle interne depuis la réalisation de la mission précédente. Le commissaire aux comptes évalue alors leur incidence sur la fiabilité du système sur lequel il estime pouvoir s’appuyer. Plus la mise en oeuvre de ces procédures est ancienne, moins l’assurance qui en découle est grande.

.37 – Le commissaire aux comptes détermine si les mêmes contrôles internes ont été appliqués tout au long de la période. Si des contrôles de nature différente ont été appliqués à différents moments de la période, le commissaire aux comptes les considère individuellement. Une interruption dans la continuité des contrôles internes durant une période spécifique requiert une étude séparée de la nature, du calendrier et de l’étendue des procédures d’audit à appliquer aux opérations et aux autres événements de cette période.

.38 – Le commissaire aux comptes peut décider d’effectuer des tests de procédures en cours d’année. Toutefois, il ne peut se contenter des seuls résultats de ces tests et rassemble d’autres éléments pour le reste de l’exercice. Les facteurs déterminants à prendre en considération pour décider de contrôles complémentaires sont les suivants :

Рr̩sultats des tests intercalaires ;

– durée de la période restant à courir jusqu’à la fin de l’exercice ;

Рmodifications intervenues dans les syst̬mes comptable et de contr̫le interne durant la p̩riode restante ;

Рnature et montant des op̩rations, des autres ̩v̩nements et des soldes des comptes concern̩s ;

Рenvironnement g̩n̩ral de contr̫le interne, en particulier contr̫les aux diff̩rents niveaux hi̩rarchiques ;

Рcontr̫les substantifs que le commissaire aux comptes souhaite mettre en oeuvre.

Évaluation finale du risque lié au contrôle

.39 – Avant de tirer les conclusions de sa mission, basées sur le résultat des contrôles substantifs et des autres éléments probants collectés durant l’audit, le commissaire aux comptes détermine si son évaluation du risque lié au contrôle est confirmée.

Lien entre l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle

.40 – Pour réduire le risque inhérent, la direction d’une entité est amenée à mettre en place des systèmes comptables et de contrôle interne pour prévenir ou détecter et corriger les anomalies. Aussi, dans de nombreux cas, le risque inhérent et celui lié au contrôle sont-ils étroitement liés. Dans ce cas, si le commissaire aux comptes tente d’évaluer séparément le risque inhérent et le risque lié au contrôle, son évaluation risque d’être incorrecte. Il est donc préférable d’évaluer le risque d’audit en évaluant ensemble ces deux composants.

Risque de non détection

.41 – Le niveau du risque de non détection dépend directement des contrôles substantifs réalisés. L’évaluation du risque lié au contrôle et du risque inhérent effectuée par le commissaire aux comptes conditionne la nature, le calendrier et l’étendue des contrôles substantifs à mettre en oeuvre pour réduire le risque de non détection et, par conséquent, le risque d’audit, à un niveau acceptable faible. Il est toutefois impossible d’éliminer tout risque de non détection, même en examinant les soldes de comptes ou les catégories d’opérations de façon exhaustive, car la plupart des éléments probants collectés conduisent davantage à des déductions qu’à des certitudes.

.42 – Le commissaire aux comptes tient compte de l’évaluation du niveau du risque inhérent et de celui du risque lié au contrôle pour déterminer la nature, le calendrier et l’étendue des contrôles substantifs nécessaires pour réduire le risque d’audit à un niveau acceptable faible. A cette fin, il considère :

(a) la nature des contrôles substantifs à effectuer, en utilisant, par exemple, des contrôles visant à obtenir des confirmations directes de tiers indépendants à l’entité plutôt que des contrôles visant à obtenir de la documentation interne, ou des contrôles détaillés permettant de répondre à un objectif d’audit donné en complément de procédures analytiques,

(b) le calendrier de la mise en oeuvre des contrôles substantifs, par exemple en les exécutant à la fin de l’exercice plutôt qu’à une date intercalaire, et

(c) l’étendue des contrôles substantifs à effectuer, par exemple en utilisant un échantillon plus large.

.43 – Il existe une relation inverse entre d’une part, le risque de non détection et, d’autre part, le risque inhérent et le risque lié au contrôle. Par exemple, lorsque le risque inhérent et celui lié au contrôle sont élevés, il convient de fixer un niveau de risque de non détection faible, afin de réduire le risque d’audit à un niveau acceptable faible. Inversement, lorsque le risque inhérent et celui lié au contrôle sont faibles, on peut accepter un niveau de risque de non détection plus élevé tout en réduisant le risque d’audit à un niveau acceptable faible. L’annexe explicite la relation entre les différents composants du risque d’audit.

.44 – Bien que les tests de procédures et les contrôles substantifs se distinguent de par leur objet, les résultats qui en découlent peuvent les uns et les autres répondre aux objectifs de chacun d’eux. Les anomalies découvertes lors des contrôles substantifs peuvent inciter le commissaire aux comptes à revoir son évaluation du risque lié au contrôle. Il convient de se reporter à l’annexe qui explique la relation entre les différents composants du risque d’audit.

.45 – Une évaluation même à un niveau faible du risque inhérent et du risque lié au contrôle n’élimine pas la nécessité d’effectuer des contrôles substantifs. Quelle que soit l’évaluation du niveau du risque inhérent et du risque lié au contrôle, le commissaire aux comptes met en oeuvre des contrôles substantifs pour les catégories d’opérations et les soldes de comptes significatifs.

.46 – L’évaluation faite des composants du risque d’audit peut évoluer en cours de mission. Par exemple, il est possible que le commissaire aux comptes découvre au cours des contrôles substantifs des informations très différentes de celles sur la base desquelles ces risques avaient été évalués à l’origine. Dans ce cas, il modifie ses contrôles substantifs en fonction de la nouvelle évaluation du risque inhérent et de celui lié au contrôle.

.47 – Plus le risque inhérent et le risque lié au contrôle sont évalués à un niveau élevé, plus le commissaire aux comptes réunit d’éléments probants provenant de contrôles substantifs. Lorsque ces risques sont évalués à un niveau élevé, le commissaire aux comptes détermine si les contrôles substantifs fournissent des éléments probants suffisants pour réduire le risque de non détection, et donc le risque d’audit à un niveau acceptable faible. Lorsqu’il constate que le risque de non détection concernant une assertion sous-tendant l’évaluation d’un solde de compte ou d’une catégorie d’opérations significatif ne peut être réduit à un niveau acceptable faible, le commissaire aux comptes exprime dans son rapport un opinion avec réserve ou un refus de certifier pour limitation.

Risque d’audit dans les petites entités

.48 – Le niveau d’assurance auquel parvient le commissaire aux comptes pour exprimer une opinion sans réserve sur les comptes est le même, quelle que soit la taille de l’entité. Toutefois, il n’est pas possible de mettre en oeuvre, dans les petites entités, les mêmes contrôles internes que dans les grandes. Par exemple, dans une petite entité, les procédures comptables sont souvent appliquées par un nombre restreint de personnes chargées à la fois de responsabilités opérationnelles et de contrôle, et la séparation des tâches fait alors défaut ou est très limitée. Parfois, l’insuffisance de séparation des tâches est compensée par un système de contrôle de gestion efficient dans lequel des contrôles sont effectués par le propriétaire/dirigeant qui s’appuie sur sa connaissance personnelle de l’entité et sa participation active à l’exploitation. Si la séparation des tâches est limitée et si le commissaire aux comptes ne parvient pas à établir l’existence de contrôles internes aux différents niveaux hiérarchiques, les éléments probants permettant de fonder son opinion sur les comptes seront alors obtenus exclusivement au moyen de contrôles substantifs.

Communication des déficiences relevées

.49 – Dans le cadre de sa prise de connaissance des systèmes comptable et de contrôle interne et des tests de procédures, le commissaire aux comptes peut relever des déficiences dans le fonctionnement de ces systèmes. Le commissaire aux comptes communique à la direction, dans les meilleurs délais et dans les formes qu’il juge utiles, celles des déficiences relevées dans la conception ou le fonctionnement des systèmes comptables et de contrôle interne qu’il considère importantes. La communication des déficiences à la direction s’effectue en général par écrit. Toutefois, si le commissaire aux comptes estime qu’une communication orale suffit, cette dernière sera documentée dans les dossiers de travail. Il est important d’indiquer dans la communication faite que seules les déficiences relevées dans le cadre de la mission sont signalées et que l’examen effectué ne visait pas à déterminer l’adéquation des contrôles internes aux objectifs fixés par la direction.

.50 – Outre la communication ainsi faite à la direction, le commissaire aux comptes apprécie s’il convient de porter à la connaissance des personnes chargées du gouvernement d’entreprise, du conseil d’administration dans le cadre des dispositions de l’article L. 823-16 du Code de commerce, les déficiences majeures relevées.

Annexe : Illustration de la relation entre les composants du risque d’audit

Le tableau ci-après indique comment le risque de non détection peut varier en fonction de l’évaluation du risque inhérent et du risque lié au contrôle.

Evaluation du commissaire aux comptes du risque lié au contrôle
Elevé Moyen Faible
Evaluation par le commissaire aux comptes du risque inhérent Elevé Minimum Faible Moyen
Moyen Faible Moyen Elevé
Faible Moyen Elevé Maximum

Evaluation par le commissaire aux comptes du risque inhérent.

Les zones grisées dans ce tableau correspondent au risque de non détection. Plus le niveau de ce risque est faible, plus les contrôles à mettre en oeuvre par le commissaire aux comptes sont importants.

Il existe une relation inverse entre d’une part, le risque de non détection et, d’autre part, le risque inhérent et le risque lié au contrôle. Par exemple, lorsque le risque inhérent et celui lié au contrôle sont élevés, il convient de fixer un niveau de risque de non détection faible, afin de réduire le risque d’audit à un niveau acceptable faible. Inversement, lorsque le risque inhérent et celui lié au contrôle sont faibles, on peut accepter un niveau de risque de non détection plus élevé tout en réduisant le risque d’audit à un niveau acceptable faible.