Audit et gestion des risques

2020/2021
Fiche de lecture elaboré par :
SITAYEB Younes
 Résumé Audit

Gestion des risques d’entreprise et contrôle interne

1. Eléments clés de la réforme des normes IFAC

La norme ISA 200, «Objectif et principes généraux en matière d'audit d'états financiers
», précise que « l'auditeur doit planifier et exécuter l'audit de manière à réduire le risque d'audit
à un niveau acceptable faible conforme aux objectifs d'un audit ».

L'utilisation de « listes de contrôle », sans appréciation des raisons qui motivent les
tâches et tests de procédures particuliers exécutés par l'auditeur, est un audit exécuté sans
compréhension des risques ni, probablement, des activités et de l'entité. Il suffit de se reporter à
la procédure instituée par la norme ISA 315 pour s'en convaincre.

La norme ISA 240, « Responsabilité de l'auditeur dans la prise en considération de la

fraude dans l'audit d'états financiers », et la norme ISA 315, « Compréhension de l'entité et de
son environnement et appréciation des risques d'anomalies significatives », consacrent
plusieurs paragraphes aux obligations de l'auditeur en matière d'organisation, d'information et
d'échanges au sein de l'équipe d'audit.

Le nouveau modèle d'approche par les risques relatif à l'audit s'appuie sur le modèle de
gestion des risques d'entreprise par une entité, quelle que soit son activité ou sa taille, placée
dans un environnement de contrôle adéquat et pratiquant elle-même un minimum de veille
stratégique et documentaire.

La nouveauté du modèle résulte aussi de l'insistance des normes sur le caractère itératif
de la mission. L'approche peut conduire à la modification de la stratégie de l'audit ou du plan de
l'audit, en complétant ou en modifiant la nature, l'étendue ou le calendrier des procédures
d'audit mises en oeuvre. De plus, les contrôles ne peuvent plus se dispenser de l'approche
(identification, évaluation et réponse aux risques), en choisissant de considérer a priori que le
risque lié au contrôle est à un niveau « maximum Désormais, l'auditeur doit justifier une telle
décision par écrit dans son dossier, et indiquer les fondements de ses choix stratégiques.

2. Caractère obligatoire des normes internationales

les obligations imposées par l'IFAC à ses membres (Statements of Membership

Obligations, SMO), à partir du 1er janvier 2005, précisent que, lorsque le gouvernement, les
régulateurs (H3C) ou d'autres autorités exécutent toute fonction couverte par le SMO et,
notamment, le contrôle-qualité, les membres de l'IFAC doivent :
 a. Déployer leurs meilleurs efforts pour encourager les responsables de ces fonctions à
suivre ces SMO en les mettant en application.
b. Les aider dans cette exécution.

Selon ces SMO, les membres de l'IFAC doivent informer leurs propres membres de
toutes les normes internationales, des meilleures pratiques diffusées correspondant aux
normes, ainsi que de toute autre publication de l'IAASB (organe chargé de la normalisation au
sein de l'IFAC).

Contexte légal et réglementaire

1.1. Exercice et surveillance de la profession de commissaire aux comptes

La profession de commissaire aux comptes en France est régie par des dispositions
légales et réglementaires. Dans l'exercice de sa mission légale, le commissaire aux comptes
doit se conformer aux normes d'exercice professionnel homologuées par arrêté du garde des
Sceaux, ministre de la Justice.
Par ailleurs, le commissaire aux comptes doit prendre en considération les bonnes
pratiques professionnelles identifiées et publiées par le Haut Conseil sur son site.

1.1.1. Règles de base de l’audit en France

Le comissaire aux comptes exerce: Une mission d’audit légale définie par l’article L. 823-
9 de ce code comme la certification que les comptes annuels sont réguliers et sincères et
donnent un image fidèle du résultat des operations de l’exercice écoulé, ainsi que la situation
financiere
et du patrimoine de la société à la fin de cet exercice (formulation française de la
certification des comptes).
• Des missions liées à l'audit qui ont pour objet, soit : - La vérification de la concordance
et de la sincérité de certaines informations destinées aux actionnaires et associés des sociétés
contrôlées. - La validation du respect de certaines garanties légales particulières
et notamment d'égalité entre les actionnaires. - La révélation au Procureur de la
République de faits délictueux. • Des missions particulières relatives à la réalisation de
certaines opérations.
Les normes d'audit ne visent que la mission légale prévue par l'article L. 823-9 du Code
de commerce.

1.1.2. Autres missions liées à l'audit Deux autres types de missions liées à l'audit
concernent:

• Des opérations particulières décidées par la société (augmentation du

capital, acomptes sur dividendes, etc.).
 • Des événements se déroulant dans la société (déclenchement de la procédure d'alerte,
révélation des faits délictueux, etc.).
Ils sont réalisés dans le cadre des opérations suivantes :
. Le commissariat aux apports.
. Le commissariat à la fusion.
• La certification des comptes des partis ou groupements politiques. • L'acquisition d'un
bien appartenant à un actionnaire.
• Le retrait obligatoire.
• L'agrément des traitements automatisés pour la tenue de la comptabilité des notaires.

1.1.3. Règles d'audit et usages applicables actuellement en France

Les normes homologuées sont issues de la transposition des anciennes normes ISA
publiées par l'International Federation of Accountants (IFAC), plus particulièrement de celles
résultant du projet «Clarity et ont été « adaptées » au contexte français. Les normes du «
référentiel de la CNCC », que remplacent à partir du mai 2007 les normes homologuées
imposaient déjà une approche par les risques : le commissaire aux comptes devait identifier les
risques en s'appuyant sur le contrôle interne mis en place par l'entité pour planifier ses
vérifications en terme quantitatif. Dans la plupart des cabinets français, les pratiques restent
issues des normes françaises de 1987 pour lesquelles le contrôle exhaustif des comptes est
effectué selon la technique de révision comptable utilisée par les cabinets d'expertise
comptable dans le cadre de leur mission d'établissement des comptes. Le « Dossier de contrôle
des comptes » commercialisé par la CNCC à ce jour n'est autre qu'un dossier de « révision »
exhaustive des comptes.

1.1.4. Contenu du “ référentiel” d’audit francais

Le réferentiel francais couvre exclusivement les normes d’audit qui pourraient etre
classées dans la figure ci dessous
 Les normes homologuées sont issues de la transposition des anciennes normes ISA
publiées par l'International Federation of Accountants (IFAC), plus particulièrement de celles
résultant du projet «Clarity >>

1.1.5. Démarche normalisée par les normes homologuées d'audit françaises

L'article 14 du Code de déontologie exige du commissaire aux comptes qu'il accomplisse

sa mission en respectant les normes d'exercice professionnel homologuées par le garde des
Sceaux, ministre de la Justice et qu'il prenne en considération les bonnes pratiques
professionnelles identifiées par le Haut Conseil du commissariat aux comptes et publiées.
La figure 1.4 schématise l'approche d'audit reflétant le modèle d'audit par les risques,
adapté à partir des normes ISA de l'IFAC.
1.1.6. Surveillance politique de la profession de commissaire aux comptes

1.1.6.1.Les bonnes pratiques

1.2. Rôles respectifs de la gouvernance et de l'auditeur en matière de contrôle interne

La qualité de l’information financière depend :

Du role de l’entité et de sa gouvernance en matière de controle interne qui consitue la
première ligne de defense
Des verifications effectuées par l’auditeur. Ce dernier s’assure que les controles internes
mis en place par la gouvernance permettent de prévenir les risques d’anomalies significatives,
de les détecter et de les corriger

1.2.1. le gouvernement d’entreprise en France

corporate governance » est utilisée en France depuis peu. Le « gouvernement

d'entreprise » (gouvernement des sociétés) a provoqué une importante réflexion sur l'équilibre
des pouvoirs dans les sociétés cotées. Au centre du débat se situe l'omnipotence du président-
directeur général et la nécessité d'établir un contre-pouvoir au sein même du conseil, avec des
« administrateurs indépendants ».

1.2.2. Définition du gouvernement d’entreprise

Le gouvernement d'entreprise peut être défini comme un système dont les structures
relèvent en partie du droit des sociétés (organisation en conseil de surveillance ou en conseil
d'administration) et en partie d'un ensemble d'autres droits pratiques (code de conduite et
structures de marché).
1.2.3. Personnes composant le gouvernement d'entreprise en France

La figure 1.9 représente les différentes définitions de la gouvernance en France selon le

statut juridique de l'entité
La structure du gouvernement d'entreprise varie en France selon la forme juridique des
entités. Par exemple, dans les sociétés anonymes, deux organes distincts assurent les
fonctions de surveillance et de direction: un conseil de surveillance (avec des fonctions
entièrement ou principalement non exécutives) et un directoire (charge de l'exécutif).

1.2.4. Le comité d'audit

Le comité d'audit permet de renforcer le suivi indépendant du processus d'élaboration

des informations financières et du contrôle légal. Cet organisme vise à empêcher toute
influence anormale potentielle de la part de la direction exécutive. Le comité d'audit doit
comprendre des membres non exécutifs (dirigeants non opérationnels), des organes
d'administration ou des membres du conseil de surveillance de l'entité vérifiée. L'un au moins
des membres indépendants doit être compétent dans le domaine de la comptabilité et/ou de
l'audit financier.
 Selon le projet de la directive européenne, le comité d'audit devait assurer :
• Le suivi du processus d'élaboration de l'information financière. • Le contrôle de
l'efficacité des systèmes de contrôle interne, de l'audit
interne le cas échéant, et de la gestion des risques de la société. • La surveillance du
contrôle légal, y compris l'indépendance du
contrôleur légal ou du cabinet d'audit.

1.2.5. La gouvernance dans les petites entités

Dans les petites entreprises, le propriétaire-directeur13 » conçoit et exécute des

contrôles dont les objectifs sont, généralement, la rentabilité et l'exhaustivité (fonction qui n'est
d'ailleurs pas souvent formalisée). Son principal souci est de savoir comment gagner plus
d'argent » La présentation de comptes réguliers, sincères, et donnant une image fidèle apparaît
alors comme secondaire.

1.3. Réforme de la 8e directive européenne

1.3.1. Objectifs de la réforme

Cette directive a pour objet la 2e ligne de défense et clarifie les missions des contrôleurs
légaux européens, les règles d'indépendance et le code d'éthique. Elle définit:
• Une obligation d'assurance qualité.
• Un contrôle public rigoureux de la profession
• La lutte contre la fraude et les irrégularités dans les sociétés auditées.
• L'amélioration de la coopération entre les organes de surveillance de l’union européene

1.3.2. Utilisation des normes internationales d'audit (ISA) dans tous les contrôles légaux
réalisés dans l'UE à partir de juin 2008

La 89 directive imposera l'utilisation de normes d'audit communes pour parvenir à un

niveau de qualité d'audit uniformément élevé dans toute l'Union. Depuis 1999, le Comité de
l'audit (européen) prépare l'utilisa tion des normes ISA dans l'UE en comparant les exigences
en la matière de chacun des États membres.

1.4. Concepts sous-jacents aux normes ISA de l'IFAC rendues obligatoires par l'Union
européenne

ces normes de qualité doivent répondre à l'intérêt public européen. Afin d'éviter que les
États membres n'imposent de nouvelles exigences ou des exigences de contrôle dépassant les
procédures prévues dans les normes ISA, l'article 26, paragraphe 3, de la 8e directive dispose
que les États membres ne peuvent imposer de procédures de contrôles complémentaires que si
celles-ci découlent d'exigences spécifiques liées à l'objet du contrôle légal.

1.4.1. Le nouveau modèle d'audit par les risques

 La profonde réforme des normes d'audit émises par l'IFAC, achevée en décembre 2003,
a élaboré un modèle d'audit dans lequel l'identification des risques se trouve au centre des
diligences des auditeurs.

1.4.2. Identification et évaluation des risques par l'entité

Le risque est un concept selon lequel la direction exprime ses inquiétudes concernant
les effets probables d'un événement sur les objectifs de l'entité dans un environnement
incertain. Dans la mesure où l'avenir est imprevisible, la direction doit tenir compte d'une
gamme d'événements possibles qui pourraient intervenir dans un univers incertain. Chacun de
ces événements pourrait avoir une conséquence significative sur l'entité et sur ses objectifs

2.1. Réforme des normes internationals d'audit de l'IAASB (IFAC)

L'Audit Risk Mode (modèle d'approche de l'audit par les risques), dont les normes
charnières ont été publiées en octobre 2003, est issu d'un projet mené conjointement par
l'IFAC, l'AICPA (États-Unis) et l'Auditing Standards Board (Royaume-Uni). Le principe
fondamental de ce nouveau modèle oblige l'auditeur à ramener le risque d'audit à un niveau
acceptable faible (chapitre 5).

2.1.1. Schéma général du modèle d'approche de l'audit par les risques

2.1.2. Philosophie du modèle d'approche de l'audit par les risques

 Les nouvelles normes exigent désormais que l'auditeur acquiere une connaissance plus
large et approfondie de l'entité et de son environnement, y compris du contrôle interne.
L'auditeur devra utiliser les sources et les moyens indiqués par les normes pour accéder au
niveau de compréhension exigé. Il devra notamment obtenir une compréhension des risques
d'entreprise pertinents pour l'audit des états financiers (chapitres 3 et 4) et notamment les
risques découlant de facteurs externes ou internes qui pourraient avoir une incidence négative
sur la capacité de l'entité à atteindre ses objectifs et à appliquer sa stratégie.

2.1.2.1. Éléments que l'auditeur doit comprendre

Dans la démarche antérieure, l'auditeur pouvait s'exonérer de l'analyse des risques, en

considérant le risque comme a priori e maximal. Désormais, selon la norme ISA 315, l'auditeur
doit obtenir une compréhension suffisante de l'entité et de son environnement, y compris de son
contrôle interne, afin d'identifier et d'évaluer les risques d'anomalies significatives dans les états
financier.

2.1.2.2. Elargissement de la compréhension de la gestion par l'entité de ses risques

d'entreprise
(Audit Risk Management)

La liste des éléments dont l'auditeur doit impérativement obtenir la compréhension

comprend les objectifs, les stratégies et la gestion des risques d'entreprise. Quelle que soit son
activité ou son importance et même si elle ne le formalise pas, une entité définit ou se voit
imposer des objectifs, met en ceuvre des stratégies pour les réaliser et établit une stratégie de
maitrise des risques inhérents qui pourraient entraver la réalisation de ces objectifs.

2.1.2.3. Réunion d'éléments probants concernant le traitement de ses risques par l'entité

Le paragraphe 19 de la norme ISA 500, «Eléments probants précise qu'« afin de tirer des
conclusions raisonnables sur lesquelles il pourra fonder son opinion, l'auditeur réunit des
éléments probants en mettant en oeuvre des procédures d'audit visant à lui permettre :
a. D'acquérir une compréhension de l'entité et de son environnement.
b. De tester, lorsque c'est nécessaire ou lorsque l'auditeur juge bon de le faire, l'efficacité
du fonctionnement des contrôles visant à prévenir, ou à détecter et corriger, les anomalies
significatives au niveau des assertions dans les normes ISA par l'expression tests des
contrôles).
c. D'étayer les assertions ou de détecter les anomalies significatives au niveau des
assertions.

2.1.2.4. Réponses données par l'auditeur aux risques évalués

La première réponse est globale et se situe au niveau général du risque qui peut affecter
les états financiers. L'auditeur évalue la connaissance, la compétence et les capacités de
l'équipe d'audit qui exerce des responsabilités significatives. Il peut choisir d'y ajouter des
experts, s'il le juge nécessaire. Il surveille alors de près le déroulement de la mission, ainsi que
les événements ou les conditions pouvant ébranler la capacité de l'entité à poursuivre son
activité.

2.1.3. Procédure d'évaluation des risques et sources d'information sur l'entité et son
environnement (ISA 315)

L'évaluation des risques d'anomalies significatives effectuée par l'auditeur s'opère sur
tous les éléments internes et externes de l'entité, tels qu'ils sont définis au paragraphe 20 de la
norme ISA 315 et représentés dans la figure 2.2. Par ailleurs, la norme ISA 240, relative aux
fraudes, et la norme ISA 250, relative au respect des textes légaux et réglementaires, exigent
que l'auditeur comprenne l'entité et évalue que les risques de fraude ou de non-respect des lois
et règlements ne conduisent pas à des anomalies significatives dans les états financiers.

2.1.3.1. Compréhension du secteur d'activité

La compréhension du secteur d'activité est l'un des éléments fondamentaux de

l'évaluation des risques d'anomalies significatives.
Cette compréhension ne nécessite pas de développements plus pour un exemple de
feuille de travail d'aide à cette compréhension).

2.1.3.2. Compréhension de l'environnement légal et réglementaire

L'environnement réglementaire est un autre élément que l'auditeur doit comprendre pour
évaluer les risques d'anomalies significatives.
La norme ISA 250,- Prise en compte des lois et règlements dans un audit des états
financiers », précise les conditions additionnelles liées au référentiel légal et réglementaire
applicable à l'entité et à son activité.

2.1.3.3. Compréhension des objectifs, de la stratégie de l'entité et de sa gestion des

risques d'entreprise

L'auditeur doit tenir compte de la gestion des risques d'entreprise par l'entité et acquérir
une compréhension de ces risques d'entreprise qui peuvent affecter les états financiers

2.1.3.4. Compréhension de l'existence possible de frauds

La direction, sous la surveillance du gouvernement d'entreprise, est chargée de donner

le ton qui convient pour créer et maintenir une culture d'honnêteté et de valeurs morales
élevées et de mettre en place les contrôles appropriés pour prévenir et détecter les fraudes.

2.1.3.5. Compréhension du contrôle interne mis en place par l'entité

 La direction est responsable du contrôle inteme relatif à l'information financière de l'entité.
Son rôle consiste notamment à concevoir et à mettre en place des contrôles qui préviennent et
détectent les fraudes. La direction et la gouvernance (comme le comité d'audit, par exemple)
doivent créer un environnement de contrôle qui
• Donne le ton qui convient.
• Etablisse et préserve une culture d'honnêteté et de valeurs éthiques
élevées
• Mette en place les contrôles appropriés en vue de prévenir et de détecter les fraudes.

2.1.3.6. Compréhension de la nature de l'entité

Selon le paragraphe 25 de la norme ISA 315, l'auditeur doit acquérir une compréhension
de la nature de l'entité, pour comprendre les catégories d'opérations, les soldes de comptes et
les informations susceptibles d'être données dans les états financiers.

2.1.3.7. Mesure et examen des performances de l'entité

L'auditeur doit obtenir une compréhension de la mesure et de l'examen de la
performance financière de l'entité, sans toutefois s'immiscer dans sa gestion
Sa compréhension des mesures d'exécution des activités et de leur contrôle lui indique
comment ces mesures d'exécution (externes ou internes) peuvent créer des pressions sur
l'entité et motiver la direction à améliorer la mesure de la performance, en établissant des états
financiers erronés.

2.1.3.8. Informations résultant de la discussion entre les membres de l'équipe d'audit

Le paragraphe 14 de la norme ISA 315 exige que les membres de l'équipe d'audit
discutent entre eux de la propension des états financiers de l'entité à contenir des anomalies
significatives.
Imposée par la norme ISA 240 révisée, «Responsabilité de l'auditeur dans la prise en
compte de la fraude dans un audit d'états financiers

2.1.4. Communication au gouvernement d'entreprise et à la direction des sujets relatifs

au contrôle interne

Lorsque l'auditeur identifie des risques d'anomalies significatives pour lesquels l'entité
n'a pas mis en oeuvre de controles, ou pour lesquels les contrôles ne sont pas pertinents, ou
sont pertinents mais incorrectement appliqués selon le jugement de l'auditeur, il mentionne les
faiblesses du contrôle interne dans sa communication des questions qui touchent à l'audit avec
les personnes constituant le gouvernement d'entreprise (norme ISA 260)

2.1.5. Dossier de travail de l'auditeur

 Désormais, les auditeurs doivent mentionner très précisément dans leurs dossiers leur
évaluation des risques et doivent consigner :
• Les relevés des discussions au sein de l'équipe chargée de l'audit.
• Les risques identifiés et évalués d'anomalies significatives au niveau des états
financiers et des assertions.
• Les risques identifiés et les contrôles liés qui ont été évalués.
• La nature, le calendrier d'application et l'étendue des procédures
appliqués par l'auditeur.
• Les liens qui existent entre les risques évalués et les résultats des procédures d'audit.

2.2. Évaluation par l'auditeur des risques d'anomalies significatives

La compréhension par l'auditeur de l'entité et de son environnement, y compris de son

contrôle interne, a pour objectif d'identifier les risques que cette entité échoue dans la
réalisation de ses objectifs. S'ils se concrétisent, ces risques peuvent engendrer des anomalies
importantes dans les états financiers.

2.2.1. Cadre de référence pour l'évaluation des risques d'anomalies significatives dans
les états financiers

L'obtention d'une compréhension de l'entité et de son environnement, décrite

sommairement ci-dessus, est l'un des aspects essentiels d'exécution de l'audit, conformément
aux normes ISA de l'IFAC. Elle permet d'établir un cadre de référence dans lequel l'auditeur
élaborera le plan de l'audit et exercera son jugement professionnel quant aux risques
d'anomalies significatives dans les états financiers et à la façon d'y répondre tout au long de
l'audit.

2.2.2. Caractère itératif de la démarche

Comme l'indique la norme ISA 500, les procédures d'audit mises en oeuvre pour obtenir
une compréhension de l'entité et de son environnement, y compris de son contrôle interne, sont
qualifiées des procédures d'évaluation des risques».
En exécutant ces procédures, l'auditeur peut obtenir des éléments probants concernant
l'efficacité des contrôles des catégories d'opérations, des soldes de comptes, des informations
ou éléments connexes tels que les assertions, même si ces procédures d'audit n'ont pas été
spécifiquement prévues comme des procédures substantives (de corroboration) ou des tests de
contrôles.

2.2.3. Procédures d'audit à mettre en oeuvre

Le paragraphe 7 de la norme ISA 315 précise que pour obtenir une compréhension de
l'entité et de son environnement, y compris de son contrôle interne, l'auditeur doit mettre en
oeuvre les procédures d'évaluation des risques suivantes :
• Prises de renseignements auprès de la direction et d'autres personnes
 dans l'entité.
• Procédures analytiques.
• Observation et inspection.

2.2.3.1. Prise de renseignements

En prenant des renseignements auprès de la direction et des responsables de

l'établissement des états financiers, l'auditeur recueille une grande partie de l'information qui lui
est nécessaire.
Il peut utilement interroger d'autres membres du personnel (responsables de la
production et de l'audit interne) et des employés, à différents niveaux d'autorité, dont la vision
différente lui permettra d'identifier les risques d'anomalies significatives.
Grâce à ces demandes de renseignement, l'auditeur détermine quelle information
pourrait l'aider à identifier des risques d'anomalies significatives :
• Les renseignements pris auprès du gouvernement d'entreprise peuvent aider l'auditeur
à comprendre l'environnement dans lequel les états financiers ont été préparés.
• Les renseignements prises auprès du service d'audit interne peuvent concerner les
activités relatives à la conception du système et à l'efficacité du contrôle interne de l'entité et
montrer dans quelle mesure la direction a donné suite d'une manière satisfaisante aux
constatations découlant de ces activités.
Les renseignements pris auprès des employés qui lancent, traitent ou enregistrent les
opérations complexes ou inhabituelles peuvent aider l'auditeur à évaluer la pertinence des choix
et l'application de certalnes pratiques comptables.
Les renseignements pris auprès des services juridiques internes peuvent avoir pour objet
les litiges, la conformité aux lois et règlements, la connaissance de la fraude ou la fraude
suspectée affectant l'entité,
L'inspection des documents (plans, stratégies d'affaires)
Les rapports établis par la direction (rapports trimestriels de la direction, états financiers
intermédiaires) 
Les visites des locaux de l'entité et de ses équipements
Le suivi des opérations à travers le système d'information concernant les enregistrements
comptables (parcours).

2.2.3.2. Procédure analytique 

Ce type de procédure permet:

 • De faire des comparaisons entre les données qui résultent des comptes annuels et des
données antérieures, postérieures et prévisionnelles de l'entreprise, ou des données
d'entreprises similaires, et d'établir des relations entre elles. 
• D'analyser les fluctuations et les tendances. 
. D'étudier et d'analyser les éléments inhabituels resultant de ces comparaisons.

2.2.3.3. Observation et inspection

  L'observation et l'inspection peuvent venir étayer la prise de renseignements auprès de
la direction ainsi que d'autres personnes, et fournir également des informations sur l'entité et
son environnement.

2.2.3.4. Controle interne effectué conjointement avec l’audit des etats financiers

À ce niveau, la procédure de compréhension de l'entité permet d'identifier et d'évaluer les

risques pour l'ensemble des contrôles mis en place par l'entité et utiles à l'auditeur. Elle est
utilisée pour atteindre la compréhension de l'activité de contrôle, dans le cadre de:

• La mission d'audit des états financiers, qui nécessite essentiellement une évaluation de
l'effet des contrôles correctifs sur les risques résiduels au niveau de l'assertion 
. L'établissement d'un rapport sur l'évaluation du contrôle interne, pour déterminer
l'efficacité globale du contrôle interne lorsqu'une déficience du contrôle ou une combinaison de
déficiences constitue une faiblesse importante.

2.2.3.5. Assurance raisonnable 

Le concept d'assurance raisonnable concerne la collecte des éléments probants

nécessaires à l'auditeur pour conclure qu'il n'existe aucune anomalie significative dans les états
financiers pris dans leur ensemble due à des erreurs ou à des fraudes. L'assurance raisonnable
concerne la procédure d'audit dans son ensemble.

2.2.3.6. Seuil de signification 

Dans une appreciation du contrôle interne pertinent pour l'information financière,

l'auditeur doit appliquer la notion d'importance relative au niveau des états financiers et des
soldes de comptes pris isolément.

2.2.4. Planification de l'audit, y compris des procédures relatives au contrôle interne

 La première étape de la démarche de l'auditeur dans une mission d'audit des comptes
annuels ou consolidés consiste à planifier l'exécution de ses travaux de façon à réaliser sa
mission dans le respect des normes ISA et avec le meilleur rapport coûts/efficacité possible.

2.2.4.1. Détermination d'une stratégie d'audit

La détermination d'une stratégie globale de l'audit des comptes et la planification de cet

audit conditionnent le bon déroulement des étapes suivantes de la mission.
Il pourra ainsi déterminer: 
L'étendue de la mission, 
Le calendrier de la mission;
L'approche de l'audit.
2.2.4.2. Documentation de la stratégie globale d'audit

L'auditeur doit consigner dans son dossier la stratégie globale de l'audit et le plan de
l'audit, y compris tout changement significatif apporté à ceux-ci au cours de la mission d'audit. Il
doit notamment consigner dans un mémorandum les décisions importantes, par exemple:
• Les décisions relatives à l'étendue de l'audit (étendue matérielle et
géographique).
• Les décisions relatives au calendrier et à l'exécution d'ensemble de
l'audit.
• Les facteurs importants nécessaires à la planification et à la communication des
questions importantes à l'équipe chargée de l'audit (par exemple, caractère significatif et seuils
de significations, secteurs à risques, établissement d'un budget, etc.).

2.2.4.3. Élaboration d'un plan de l'audit

Après avoir établi une stratégie globale d'audit, l'auditeur est en mesure d'élaborer un
plan de l'audit détaillé pour aborder les divers éléments mis en lumière dans cette stratégie, en
tenant compte de la nécessité d'atteindre les objectifs d'audit par l'utilisation efficiente de ses
ressources.
La stratégie globale d'audit est élaborée avant le plan détaillé et ces deux activités de
planification sont étroitement liées, dans la mesure où les changements apportés à la stratégie
globale peuvent entraîner des modifications du plan et vice-versa.

2.2.4.4. Contenu du plan de l'audit Le plan de l'audit comprend :

• La description de la nature, du calendrier et de l'étendue des procédures d'évaluation

des risques prévues et jugées suffisantes pour pouvoir apprécier les risques d'anomalies
significatives, tels qu'ils sont déterminés par la norme ISA 315, « Compréhension de l'entité et
de son environnement et évaluation des risques d'anomalies signifi
catives ».
• La description de la nature, du calendrier et de l'étendue des autres procédures d'audit
prévues au niveau des assertions.

Comment l'entité gère-t-elle ses risques et son contrôle interne?

Ce chapitre étudie les caractéristiques générales de la gestion des risques d'entreprise
en liaison avec le contrôle interne, dont il est une composante. Il s'appuie sur un exemple de
modélisation des objectifs et stratégies d'une entité et des activités de contrôle qui peuvent être
mises en place pour maîtriser les risques d'entreprise.
La gestion des risques d'entreprise est à la base de tout contrôle interne et l'auditeur doit
comprendre le processus existant dans l'entité pour s'assurer que celle-ci a bien pris en compte
les risques potentiels d'anomalies dans les comptes. De plus, il identifie lui-même, le cas
échéant, d'autres risques pouvant affecter les états financiers audités.
3.1. Liens entre la gestion des risques d'entreprise

Le contrôle interne d'une entité est une composante de la gestion des risques
d'entreprise et l'auditeur, lorsqu'il met en ceuvre la procédure pour obtenir la compréhension de
l'entité et de son environnement, y compris de son contrôle interne, étudie à la fois la façon dont
l'entité gère ses risques et le contrôle interne qu'elle a mis en place pour maîtriser ces risques.

3.1.1. Définition de la gestion des risques d'entreprise

selon le COSO Dans son référentiel, le COSO définit la gestion des risques d'entreprise
comme un processus conçu et exécuté par le conseil d'administration d'une entité, sa direction
et tout autre personnel dans le cadre de la mise en oeuvre de la stratégie de l'ensemble de
l'entité, pour identifier les événements potentiels qui peuvent l'affecter et pour gérer les risques,
conformément au «risque d'appétit >>, en fournissant une assurance raisonnable quant à la
réalisation des objectifs de l'entité.

3.1.2. Définition du contrôle intern

selon le COSO Le COSO définit le contrôle interne dans son référentiel intitulé Internal
Control - Integrated Framework comme un processus mis en place par le conseil
d'administration, les dirigeants et le personnel de l'entité, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
. La réalisation et l'optimisation des opérations. • La fiabilité des informations
financières. . La conformité aux lois et aux réglementations en vigueur ».

3.1.3. Liens entre gestion des risques d'entreprise et contrôle interne

La définition de la gestion des risques d'entreprise donnée par le COSO dans son
référentiel présente le contrôle interne comme un sous-ensemble de la gestion des risques
d'entreprise.
3.1.4. Limites du contrôle interne
Le contrôle interne n'est pas forcément efficace ni apte à identifier tous les risques. En
effet, il présente souvent des lacunes qui exposent l'entité à des risques inutiles, telles que : •
L'élaboration de différentes procédures de contrôle par cycle sans tenir suffisamment compte
des objectifs, des stratégies et des risques
associés.
• Des procédures insuffisamment documentées ou communiquées aux
personnels.
• La méconnaissance de certains contrôles automatisés qui facilitent la
supervision des contrôles.
• L'application inconstante des contrôles intégrés dans les procédures.

3.2. Des bonnes pratiques en matière de gestion des risques

d'entreprise
 Des référentiels existent en matière de gestion des risques d'entreprise. Mais en France,
les lois et les règlements n'obligent pas à l'application d'un référentiel déterminé, et encore
moins à l'application des référentiels du COSO relatifs à ce type de gestion.

3.2.1. Traitement de la menace contre les objectifs de l'entité

La gestion des risques d'entreprise et le contrôle interne doivent permettre de maitriser le

risque qu'une entité n'atteigne pas ses objectifs. Cette maîtrise concerne tous les dirigeants et
ce risque est inhérent à la gestion même des entreprises, des organismes à but non lucratif et
des établissements publics, quelle que soit leur taille.

3.2.2. Cerner les objectifs et stratégies et les risques d'activités correspondants

Le paragraphe 30 de la norme ISA 315 impose à l'auditeur d'obtenir une compréhension

des objectifs et stratégies de l'entité, ainsi que des risques d'entreprise correspondants qui
peuvent engendrer des anomalies significatives dans les états financiers.

3.2.2.1. Définition des objectifs et strategies

Les objectifs et stratégies au niveau de l'activité et au niveau fonctionnel découlent

directement des objectifs et stratégies fixés au niveau de l'entité. Interdépendants, ils
constituent le but que s'est fixé l'entité et les moyens qu'elle envisage d'utiliser pour l'atteindre
La fixation des objectifs est un préalable à toute identification d'événements de nature à
constituer un risque.

3.2.2.2. Exemple de modélisation des objectifs pour identifier des risques d'entreprise

En général, les entités se fixent des objectifs en fonction de leurs activités, de la pression
de leur environnement (voir figure 3.4) ou de la mission qui leur a été assignée. Par exemple,
une association à caractère social aura notamment pour objectif de satisfaire une demande
d'assistance, alors qu'un établissement public administratif aura pour objectif de satisfaire un
service public particulier.

3.2.3. Analyse des objectifs présentés dans un exemple

Les développements qui suivent vont analyser les seuls objectifs ayant un lien direct
avec les objectifs de l'audit (pris isolément à partir de la figure 3.5) et dans lesquels les risques
que l'objectif ne soit pas atteint peuvent entraîner directement un risque d'anomalie dans les
comptes (voir section 5.1 du chapitre 5).
L'objectif de maîtrise des activités ou des actions, relatif à la protection des ressources, à
la rotation des stocks, à l'utilisation des capacités et fonds de roulement, n'a pas, en principe,
d'incidence directe sur l'audit. L'auditeur légal ne lui accorde donc pas d'attention particulière,
sauf lorsqu'il cherche à connaître et à comprendre l'entité et qu'il étudie la prise en compte de
cet objectif par la direction. En effet, les risques susceptibles d'affecter cet objectif peuvent avoir
une incidence sur la continuité de l'exploitation et conduire l'auditeur légal, en France, à lancer
une mission liée à l'audit, appelée « procédure d'alerte >>

3.2.3.1. Conformité au cadre réglementaire

La conformité aux textes légaux et réglementaires est l'un des objectifs sur lequel
s'accordent toutes les définitions du contrôle interne.
Le paragraphe 22 de la norme ISA 315 précise que l'auditeur doit obtenir une
compréhension du secteur d'activité dont relève l'entité, de la réglementation et des autres
facteurs externes incluant le référentiel comptable applicable. La norme renvoie à la norme ISA
250, < Prise en compte des textes législatifs et réglementaires dans l'audit des états financiers
», pour des conditions additionnelles liées au référentiel légal et réglementaire applicable à
l'entité et à l'activité (voir figure 3.5).

3.2.3.2. Information financière fiable

Le paragraphe 22 de la norme ISA 315 précise que l'auditeur doit obtenir une
compréhension de la réglementation relative au référentiel comptable applicable en matière
d'information financière.
Bien qu'il s'agisse souvent de règles prévues par des textes législatifs et réglementaires,
l'auditeur leur accorde une attention particulière dans le cadre de l'audit légal, puisque
l'information financière est l'objectif principal de l'audit.

La figure 3.8 présente l'objectif d'une information financière fiable.

Les textes législatifs et réglementaires déterminent souvent le référentiel comptable
applicable par la direction pour la production des états fianciers de l’entité. Dans la plupart des
cas, le référentiel comptable applicable est celui de l’Etat dans lequel l’entité est enregistré ou
opère, et dans lequel l’auditeur est installé.

3.3. Comment l'entité évalue les risques que les objectifs soient affectés
 Les facteurs internes et externes décrits dans la figure 3.3 déterminent quels situations
ou événements survenus ou pouvant survenir peuvent contrarier potentiellement la réalisation
des objectifs.
Dans le cadre de sa procédure d'évaluation des risques d'anomalies, l'auditeur comprend
la façon dont la direction prend en compte lorsqu'elle évalue les risques, de tels situations ou
événements concernant l'entité, et ses activités, pour identifier les risques potentiels.

3.3.1. Risques liés à l'environnement de l'entité et pouvant affecter la réalisation de ses

objectifs
3.3.1.1. Risques liés à l'environnement interne

Les situations ou les événements générateurs de risques, qui nuisent aux objectifs de
l'entité et que l'auditeur doit prendre en compte, peuvent provenir de l'environnement interne,
notamment: . D'une organisation inadéquate. . D'une culture d'« entreprise >> insuffisante ou
inexistante, et surtout
d'une activité de veille stratégique défaillante. D'une activité exercée dans un secteur
protégé ou dans une niche. De ce fait, l'entité n'a pas acquis de culture de concurrence ni de
recher
che systématique d'avantages compétitifs.
• D'une communication interne inefficace, d'une absence de documen
tation.
• De l'absence ou de l'insuffisance de formation du personnel tout au
long de la vie.
• De l'absence de contrôle interne efficace. • Etc.

3.3.1.2. Risques liés à l'environnement externe local et general

Les risques d'entreprise liés à l'environnement local se rapportent au marché, à la

possibilité de trouver des salariés compétents, aux relations avec les associés et les tiers
intéressés >>, tels que les salariés, les actionnaires locaux, et aux progrès technologiques.
Les risques liés à la mondialisation de l'économie affectent surtout la continuité
d'exploitation et peuvent résulter: 
Du non-respect par des entités étrangères des règles mondiales en matière de
commerce, de monnaie et de finance (octroi de subventions prohibées, par exemple)
D'entités exerçant leur activité dans des pays qui possèdent ou contrôlent des ressources
importantes de matières premières. 
D'entités ayant des avantages culturels.

3.3.2. Comment l'entité évalue les risques

L'auditeur doit s'informer et obtenir une compréhension de la façon dont l'entité évalue
les risques d'entreprise et notamment, de la façon dont elle détermine le caractère significatif
des risques, la probabilité de leur occur rence et les actions à mener pour les contrôler.
3.3.2.1. Identification et évaluation des risques par l'entité

En général, la responsabilité première de la direction et du gouvernement d'entreprise est

d'identifier et d'évaluer les risques pouvant empêcher la réalisation des objectifs de l'entité.
L'exposition à un risque est la vulnérabilité d'une catégorie d'opérations, des soldes de
comptes ou des assertions correspondantes, à la survenance d'un événement négatif. Leur
caractère significatif les rend prioritaires lors de l'établissement de la procédure d'évaluation des
risques par l'entité. Les techniques de gestion des risques visent à limiter leur exposition (voir
feuille de travail « SIR>> au chapitre 7).
La tolérance aux risques est le niveau acceptable que l'entité peut accepter quant à la
différence de réalisation d'un objectif.

3.3.2.2. Risques liés aux changements

dans l'environnement de l'entité Inhérents à la conduite des activités, les risques de non-
réalisation des objectifs peuvent resulter soit des décisions prises par la direction pour atteindre
les objectifs prédéterminés, soit des changements dans l'environnement externe à l'entité et
concernant l'environnement réglementaire ou le fonctionnement.
Les nouveaux risques résultant de changements peuvent notamment apparaître à
l'occasion:
• De l'intégration des évolutions technologiques dans le processus de fabrication ou dans
le système d'information.
• Des modifications ou des changements des textes légaux et réglementaires (par
exemple, application dans certaines entités, pour la première fois, de normes comptables
internationales, IAS/IFRS).
• De la progression rapide de la taille de l'entité, susceptible d'entrainer une perte de la
maîtrise des activités et des contrôles par des dirigeants dépassés.
• Du changement par les dirigeants de leurs manières de conduire les
activités ou de l'adoption de nouvelles assertions sous-tendant l'établissement des
comptes (changement de méthode, par exemple).
3.3.2.3. Risques liés au comportement des dirigeants
Pour répondre à une attente toujours pressante des « tiers liés » et pour atteindre leurs
objectifs d'activités, les entités doivent évoluer en innovant dans leur mode de gestion, dans la
conquête de nouveaux secteurs d'activité et dans l'adoption de nouvelles technologies.
Les risques qu'une entité n'atteigne pas ses objectifs n'émanent pas seulement des
risques extérieurs défavorables, mais peuvent également provenir des comportements de
dirigeants qui n'ont pas identifié ou exploité des débouchés (erreur de gestion, notamment)
d'une façon adéquate.

3.4. Les bonnes pratiques en matière de contrôle interne

Comme nous le verrons à la section 3.4.2, le contrôle interne est constitué des
comportements des dirigeants et des personnels de l'entité. Il ne peut être figé dans « un
référentiel >> applicable à toutes les entités, quelle que soit leur taille. L'auditeur, face au
nombre élevé et à la diversité des définitions et des référentiels, choisit la définition la plus
adaptée à la conduite de sa mission et plus particulièrement celle donnée par la norme ISA 315.

3.4.1. Composantes du contrôle interne

selon le référentiel COSO Le COSO Report, publié en quatre volumes aux États-Unis, en
septembre 1992, et intitulé Internal Control - Integrated Framework, donne, en plus de la
definition (voir 3.1.2), une description du controle interne qui constitue un référentiel auquel les
entités, quelles que soient leur taille et leur activité, punliques ou non, à but lucratif ou non,
peuvent se référer pour évaluer les controles qu’elles ont mis en place.

3.4.2. Composantes du contrôle interne relatives aux activités de contrôle et de pilotage

des contrôles

Le gouvernement de l'entreprise, conseil d'administration, conseil de surveillance,

gérant, ou autre selon la forme juridique de l'entité, détermine les objectifs et en contrôle la
réalisation.

La figure 3.13 représente une base pratique pour la gestion des activités,' répartie en
fixation des objectifs à atteindre, détermination d'une stratégie de contrôle, planification,
organisation, acquisition, mise en place, distribution des ressources et enfin, pilotage ou
surveillance des contrôles (voir feuille de travail référencée « PIL » pour la mise en ceuvre
pratique sur le site www.pearsoned.fr).
Le paragraphe 13 de l'annexe 2 de la norme ISA 315 précise que les activités de contrôle
sont les politiques et les procédures qui aident à s'assurer que les directives de direction sont
exécutées: par exemple, les actions nécessaires prises pour identifier les risques qui menacent
la réalisation des objectifs de l'entité.

Environnement de contrôle et lutte contre la fraude

Le paragraphe 2 de la norme ISA 315 précise que « l'auditeur doit obtenir une
compréhension suffisante de l'entité et de son environnement, y compris de son contrôle
interne, afin d'identifier et d'évaluer les risques d'anomalies significatives dans les états
financiers, qu'ils soient dus à la fraude ou à l'erreur [...) Les obligations et les orientations
professionnelles de cette norme ISA (315) doivent être appliquées en même temps que celles
d'autres normes ISA. En particulier, la norme ISA 240, « Responsabilité de l'auditeur dans la
prise en considération de la fraude et erreurs dans un audit des états financiers >> donne
d'autres orientations professionnelles concernant la responsabilité de l'auditeur dans
l'évaluation des risques d'anomalies significatives dus à la fraude».

4.1. Application de la norme ISA 240 relative à la fraude dans les états financiers

La norme ISA 240, plusieurs fois modifiée, traite de la responsabilité de l'auditeur en

matière de prise en compte du risque de comptes affectés par la fraude. Elle demande
essentiellement à ce que l'auditeur fasse preuve d'esprit critique afin d'identifier les fraudes
potentielles pouvant être commises par les dirigeants, les salariés ou d'autres tiers.
La norme ISA 200, « Objectif et principes généraux en matière d'audit d'états financiers
», impose que l'auditeur exerce un « scepticisme professionnel ».

4.1.1. Notion de fraude en matière d'établissement d'états financiers

La prise en compte de la fraude par l'auditeur, lors de l'audit des états financiers,
s'intègre dans la démarche générale d'audit et vient en complément des normes ISA 315,
«Compréhension de l'entité et de son environnement et évaluation du risque d'anomales
significatives , et ISA 330, < Procédures mises en cuvre par l'auditeur en réponse aux risques
évalués >>
Il existe deux sources d'anomalies dans les états financiers: la fraude ou l'erreur. La
distinction entre fraude et erreur réside dans le fait que l'action fondamentale générant
l'anomalie des états financiers est intentionnelle, ou pas.
Le paragraphe 6 de la norme ISA 240, « Responsabilité de l'auditeur dans la prise en
considération de la fraude dans un état financier », précise que le terme « erreur qualifie une
anomalie involontaire dans les états financiers, et notamment l'omission d'un montant ou d'une
information, telle que:
 • Une erreur dans la centralisation ou le traitement des données à par
tir desquelles les états financiers sont préparés.
• Une estimation comptable incorrecte résultant de la survenance ou
de la fausse interprétation des faits.
• Une erreur dans l'application des règles comptables concernant la mesure,
l'identification, la classification, la présentation de l'information donnée.

4.1.2. Discussion avec l'équipe de la mission d'audit (équipe d'audit)

Les normes ISA accordent une importance particulière au rôle de l'équipe dans l'efficacité
des contrôles. En effet, le paragraphe 14 de la norme ISA 315 exige que « les membres de
l'équipe d'audit [discutent) entre eux du degré auquel les états financiers de l'entité sont
susceptibles de présenter des anomalies significatives >>
Le paragraphe 16 de la même norme précise que cette « discussion permet aux
membres les plus expérimentés de l'équipe d'audit, y compris à l'auditeur lui-même, de partager
leur connaissance de l'entité fondée sur leur perspicacité et d'échanger entre eux des
informations sur les risques du secteur d'activité dans lequel opère l'entité.

4.2. Prise en considération de la fraude dans l'audit des états financiers

La fraude est sous-tendue par un certain nombre de situations ou de comportements qui

different selon qu'il s'agit de l'établissement d'états financiers frauduleux ou de détournements.

4.2.1. Établissement d'états financiers frauduleux

La fraude en matière comptable et financière presuppose l'existence de plusieurs

éléments:

4.2.1.1. Motivation des auteurs de la fraude

Des pressions exercées sur un dirigeant ou des incitations conduisant progressivement à

l'établissement d'états financiers frauduleux peuvent être à l'origine d'un comportement
frauduleux.
Une telle situation se produit quand, en raison des pressions pour répondre aux attentes
du marché ou du désir de maximaliser les avantages obtenus grâce aux performances, la
direction prend intentionnellement des positions qui mènent à des états financiers frauduleux
comportant des anomalies significatives.

4.2.1.2. Incitation ou pression pour commettre la fraude

La fraude implique l'existence :

D'une occasion pour la commettre.
De la rationalisation de l'acte.
D'une incitation ou d'une pression.
4.2.1.3. Moyens pouvant être utilizes

Dans l'établissement d'états financiers frauduleux, les anomalies intentionnelles se

caractérisent par l'omission de montants ou la divul gation d'informations susceptibles de
tromper les utilisateurs de ces états financiers.

4.2.2. Détournements d'actifs

Selon la norme ISA 240, le détournement d'actifs implique la soustrac tion frauduleuse
d'actifs appartenant à l'entité. Lorsqu'il est perpétré par les employés, ce détournement est
souvent commis pour des mon tants relativement faibles et non significatifs.
Lorsque la direction est en cause, il est plus difficile à détecter.

4.3. Rôle de la direction, des personnes chargées du gouvernement d'entreprise et de

l'auditeur legal

Le paragraphe 15 de la norme ISA 240 précise qu'e [ijl est de la responsabilité des
personnes chargées du gouvernement d'entreprise de l'entité de s'assurer, par la surveillance
de la direction, que l'entité conçoit et maintient un contrôle interne pour fournir l'assurance
raisonnable en ce qui concerne la fiabilité des états financiers, de l'efficacité et de l'efficience
des opérations et de la conformité avec des lois et des règlements applicables. La surveillance
active assurée par les per sonnes chargées du gouvernement d'entreprise peut aider à
renforcer l'engagement de direction à la création d'une culture d'honnêteté et de comportement
conforme à l'éthique. En exerçant leur responsabilité de surveillance, les personnes chargées
du gouvernement d'entreprise

4.3.1. Environnement de contrôle, activités de contrôle et de surveillance en matière de

fraude

Selon le paragraphe 16 de la norme ISA 240, la direction, sous la surveillance des

personnes chargées du gouvernement d'entreprise, a la responsabilité de créer un
environnement de contrôle et de maintenir des politiques et des procédures pour assurer,
autant que possible, la conduite ordonnée et efficace des activités de l'entité, et notamment les
objectifs : . De préparation d'états financiers donnant une image fidèle et confor
mes au référentiel comptable applicable. • De maitrise des risques d'entreprise qui
peuvent provoquer des anomalies significatives dans ces états financiers (voir chapitre 3).
La procédure d'évaluation des risques en matière de fraude est identique à celle décrite
dans la norme ISA 315 et requiert, de la part de l'auditeur, la compréhension de l'entité et de
son environnement, y compris de son contrôle interne.