Académique Documents
Professionnel Documents
Culture Documents
2020/2021
Fiche de lecture elaboré par :
SITAYEB Younes
Résumé Audit
La norme ISA 200, «Objectif et principes généraux en matière d'audit d'états financiers
», précise que « l'auditeur doit planifier et exécuter l'audit de manière à réduire le risque d'audit
à un niveau acceptable faible conforme aux objectifs d'un audit ».
L'utilisation de « listes de contrôle », sans appréciation des raisons qui motivent les
tâches et tests de procédures particuliers exécutés par l'auditeur, est un audit exécuté sans
compréhension des risques ni, probablement, des activités et de l'entité. Il suffit de se reporter à
la procédure instituée par la norme ISA 315 pour s'en convaincre.
Le nouveau modèle d'approche par les risques relatif à l'audit s'appuie sur le modèle de
gestion des risques d'entreprise par une entité, quelle que soit son activité ou sa taille, placée
dans un environnement de contrôle adéquat et pratiquant elle-même un minimum de veille
stratégique et documentaire.
La nouveauté du modèle résulte aussi de l'insistance des normes sur le caractère itératif
de la mission. L'approche peut conduire à la modification de la stratégie de l'audit ou du plan de
l'audit, en complétant ou en modifiant la nature, l'étendue ou le calendrier des procédures
d'audit mises en oeuvre. De plus, les contrôles ne peuvent plus se dispenser de l'approche
(identification, évaluation et réponse aux risques), en choisissant de considérer a priori que le
risque lié au contrôle est à un niveau « maximum Désormais, l'auditeur doit justifier une telle
décision par écrit dans son dossier, et indiquer les fondements de ses choix stratégiques.
Selon ces SMO, les membres de l'IFAC doivent informer leurs propres membres de
toutes les normes internationales, des meilleures pratiques diffusées correspondant aux
normes, ainsi que de toute autre publication de l'IAASB (organe chargé de la normalisation au
sein de l'IFAC).
La profession de commissaire aux comptes en France est régie par des dispositions
légales et réglementaires. Dans l'exercice de sa mission légale, le commissaire aux comptes
doit se conformer aux normes d'exercice professionnel homologuées par arrêté du garde des
Sceaux, ministre de la Justice.
Par ailleurs, le commissaire aux comptes doit prendre en considération les bonnes
pratiques professionnelles identifiées et publiées par le Haut Conseil sur son site.
Le comissaire aux comptes exerce: Une mission d’audit légale définie par l’article L. 823-
9 de ce code comme la certification que les comptes annuels sont réguliers et sincères et
donnent un image fidèle du résultat des operations de l’exercice écoulé, ainsi que la situation
financiere
et du patrimoine de la société à la fin de cet exercice (formulation française de la
certification des comptes).
• Des missions liées à l'audit qui ont pour objet, soit : - La vérification de la concordance
et de la sincérité de certaines informations destinées aux actionnaires et associés des sociétés
contrôlées. - La validation du respect de certaines garanties légales particulières
et notamment d'égalité entre les actionnaires. - La révélation au Procureur de la
République de faits délictueux. • Des missions particulières relatives à la réalisation de
certaines opérations.
Les normes d'audit ne visent que la mission légale prévue par l'article L. 823-9 du Code
de commerce.
1.1.2. Autres missions liées à l'audit Deux autres types de missions liées à l'audit
concernent:
Les normes homologuées sont issues de la transposition des anciennes normes ISA
publiées par l'International Federation of Accountants (IFAC), plus particulièrement de celles
résultant du projet «Clarity et ont été « adaptées » au contexte français. Les normes du «
référentiel de la CNCC », que remplacent à partir du mai 2007 les normes homologuées
imposaient déjà une approche par les risques : le commissaire aux comptes devait identifier les
risques en s'appuyant sur le contrôle interne mis en place par l'entité pour planifier ses
vérifications en terme quantitatif. Dans la plupart des cabinets français, les pratiques restent
issues des normes françaises de 1987 pour lesquelles le contrôle exhaustif des comptes est
effectué selon la technique de révision comptable utilisée par les cabinets d'expertise
comptable dans le cadre de leur mission d'établissement des comptes. Le « Dossier de contrôle
des comptes » commercialisé par la CNCC à ce jour n'est autre qu'un dossier de « révision »
exhaustive des comptes.
Le réferentiel francais couvre exclusivement les normes d’audit qui pourraient etre
classées dans la figure ci dessous
Les normes homologuées sont issues de la transposition des anciennes normes ISA
publiées par l'International Federation of Accountants (IFAC), plus particulièrement de celles
résultant du projet «Clarity >>
Le gouvernement d'entreprise peut être défini comme un système dont les structures
relèvent en partie du droit des sociétés (organisation en conseil de surveillance ou en conseil
d'administration) et en partie d'un ensemble d'autres droits pratiques (code de conduite et
structures de marché).
1.2.3. Personnes composant le gouvernement d'entreprise en France
Cette directive a pour objet la 2e ligne de défense et clarifie les missions des contrôleurs
légaux européens, les règles d'indépendance et le code d'éthique. Elle définit:
• Une obligation d'assurance qualité.
• Un contrôle public rigoureux de la profession
• La lutte contre la fraude et les irrégularités dans les sociétés auditées.
• L'amélioration de la coopération entre les organes de surveillance de l’union européene
1.3.2. Utilisation des normes internationales d'audit (ISA) dans tous les contrôles légaux
réalisés dans l'UE à partir de juin 2008
1.4. Concepts sous-jacents aux normes ISA de l'IFAC rendues obligatoires par l'Union
européenne
ces normes de qualité doivent répondre à l'intérêt public européen. Afin d'éviter que les
États membres n'imposent de nouvelles exigences ou des exigences de contrôle dépassant les
procédures prévues dans les normes ISA, l'article 26, paragraphe 3, de la 8e directive dispose
que les États membres ne peuvent imposer de procédures de contrôles complémentaires que si
celles-ci découlent d'exigences spécifiques liées à l'objet du contrôle légal.
Le risque est un concept selon lequel la direction exprime ses inquiétudes concernant
les effets probables d'un événement sur les objectifs de l'entité dans un environnement
incertain. Dans la mesure où l'avenir est imprevisible, la direction doit tenir compte d'une
gamme d'événements possibles qui pourraient intervenir dans un univers incertain. Chacun de
ces événements pourrait avoir une conséquence significative sur l'entité et sur ses objectifs
2.1.2.3. Réunion d'éléments probants concernant le traitement de ses risques par l'entité
Le paragraphe 19 de la norme ISA 500, «Eléments probants précise qu'« afin de tirer des
conclusions raisonnables sur lesquelles il pourra fonder son opinion, l'auditeur réunit des
éléments probants en mettant en oeuvre des procédures d'audit visant à lui permettre :
a. D'acquérir une compréhension de l'entité et de son environnement.
b. De tester, lorsque c'est nécessaire ou lorsque l'auditeur juge bon de le faire, l'efficacité
du fonctionnement des contrôles visant à prévenir, ou à détecter et corriger, les anomalies
significatives au niveau des assertions dans les normes ISA par l'expression tests des
contrôles).
c. D'étayer les assertions ou de détecter les anomalies significatives au niveau des
assertions.
La première réponse est globale et se situe au niveau général du risque qui peut affecter
les états financiers. L'auditeur évalue la connaissance, la compétence et les capacités de
l'équipe d'audit qui exerce des responsabilités significatives. Il peut choisir d'y ajouter des
experts, s'il le juge nécessaire. Il surveille alors de près le déroulement de la mission, ainsi que
les événements ou les conditions pouvant ébranler la capacité de l'entité à poursuivre son
activité.
2.1.3. Procédure d'évaluation des risques et sources d'information sur l'entité et son
environnement (ISA 315)
L'évaluation des risques d'anomalies significatives effectuée par l'auditeur s'opère sur
tous les éléments internes et externes de l'entité, tels qu'ils sont définis au paragraphe 20 de la
norme ISA 315 et représentés dans la figure 2.2. Par ailleurs, la norme ISA 240, relative aux
fraudes, et la norme ISA 250, relative au respect des textes légaux et réglementaires, exigent
que l'auditeur comprenne l'entité et évalue que les risques de fraude ou de non-respect des lois
et règlements ne conduisent pas à des anomalies significatives dans les états financiers.
L'environnement réglementaire est un autre élément que l'auditeur doit comprendre pour
évaluer les risques d'anomalies significatives.
La norme ISA 250,- Prise en compte des lois et règlements dans un audit des états
financiers », précise les conditions additionnelles liées au référentiel légal et réglementaire
applicable à l'entité et à son activité.
L'auditeur doit tenir compte de la gestion des risques d'entreprise par l'entité et acquérir
une compréhension de ces risques d'entreprise qui peuvent affecter les états financiers
Selon le paragraphe 25 de la norme ISA 315, l'auditeur doit acquérir une compréhension
de la nature de l'entité, pour comprendre les catégories d'opérations, les soldes de comptes et
les informations susceptibles d'être données dans les états financiers.
Le paragraphe 14 de la norme ISA 315 exige que les membres de l'équipe d'audit
discutent entre eux de la propension des états financiers de l'entité à contenir des anomalies
significatives.
Imposée par la norme ISA 240 révisée, «Responsabilité de l'auditeur dans la prise en
compte de la fraude dans un audit d'états financiers
Lorsque l'auditeur identifie des risques d'anomalies significatives pour lesquels l'entité
n'a pas mis en oeuvre de controles, ou pour lesquels les contrôles ne sont pas pertinents, ou
sont pertinents mais incorrectement appliqués selon le jugement de l'auditeur, il mentionne les
faiblesses du contrôle interne dans sa communication des questions qui touchent à l'audit avec
les personnes constituant le gouvernement d'entreprise (norme ISA 260)
2.2.1. Cadre de référence pour l'évaluation des risques d'anomalies significatives dans
les états financiers
Comme l'indique la norme ISA 500, les procédures d'audit mises en oeuvre pour obtenir
une compréhension de l'entité et de son environnement, y compris de son contrôle interne, sont
qualifiées des procédures d'évaluation des risques».
En exécutant ces procédures, l'auditeur peut obtenir des éléments probants concernant
l'efficacité des contrôles des catégories d'opérations, des soldes de comptes, des informations
ou éléments connexes tels que les assertions, même si ces procédures d'audit n'ont pas été
spécifiquement prévues comme des procédures substantives (de corroboration) ou des tests de
contrôles.
Le paragraphe 7 de la norme ISA 315 précise que pour obtenir une compréhension de
l'entité et de son environnement, y compris de son contrôle interne, l'auditeur doit mettre en
oeuvre les procédures d'évaluation des risques suivantes :
• Prises de renseignements auprès de la direction et d'autres personnes
dans l'entité.
• Procédures analytiques.
• Observation et inspection.
2.2.3.4. Controle interne effectué conjointement avec l’audit des etats financiers
• La mission d'audit des états financiers, qui nécessite essentiellement une évaluation de
l'effet des contrôles correctifs sur les risques résiduels au niveau de l'assertion
. L'établissement d'un rapport sur l'évaluation du contrôle interne, pour déterminer
l'efficacité globale du contrôle interne lorsqu'une déficience du contrôle ou une combinaison de
déficiences constitue une faiblesse importante.
La première étape de la démarche de l'auditeur dans une mission d'audit des comptes
annuels ou consolidés consiste à planifier l'exécution de ses travaux de façon à réaliser sa
mission dans le respect des normes ISA et avec le meilleur rapport coûts/efficacité possible.
L'auditeur doit consigner dans son dossier la stratégie globale de l'audit et le plan de
l'audit, y compris tout changement significatif apporté à ceux-ci au cours de la mission d'audit. Il
doit notamment consigner dans un mémorandum les décisions importantes, par exemple:
• Les décisions relatives à l'étendue de l'audit (étendue matérielle et
géographique).
• Les décisions relatives au calendrier et à l'exécution d'ensemble de
l'audit.
• Les facteurs importants nécessaires à la planification et à la communication des
questions importantes à l'équipe chargée de l'audit (par exemple, caractère significatif et seuils
de significations, secteurs à risques, établissement d'un budget, etc.).
Après avoir établi une stratégie globale d'audit, l'auditeur est en mesure d'élaborer un
plan de l'audit détaillé pour aborder les divers éléments mis en lumière dans cette stratégie, en
tenant compte de la nécessité d'atteindre les objectifs d'audit par l'utilisation efficiente de ses
ressources.
La stratégie globale d'audit est élaborée avant le plan détaillé et ces deux activités de
planification sont étroitement liées, dans la mesure où les changements apportés à la stratégie
globale peuvent entraîner des modifications du plan et vice-versa.
Le contrôle interne d'une entité est une composante de la gestion des risques
d'entreprise et l'auditeur, lorsqu'il met en ceuvre la procédure pour obtenir la compréhension de
l'entité et de son environnement, y compris de son contrôle interne, étudie à la fois la façon dont
l'entité gère ses risques et le contrôle interne qu'elle a mis en place pour maîtriser ces risques.
selon le COSO Dans son référentiel, le COSO définit la gestion des risques d'entreprise
comme un processus conçu et exécuté par le conseil d'administration d'une entité, sa direction
et tout autre personnel dans le cadre de la mise en oeuvre de la stratégie de l'ensemble de
l'entité, pour identifier les événements potentiels qui peuvent l'affecter et pour gérer les risques,
conformément au «risque d'appétit >>, en fournissant une assurance raisonnable quant à la
réalisation des objectifs de l'entité.
selon le COSO Le COSO définit le contrôle interne dans son référentiel intitulé Internal
Control - Integrated Framework comme un processus mis en place par le conseil
d'administration, les dirigeants et le personnel de l'entité, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
. La réalisation et l'optimisation des opérations. • La fiabilité des informations
financières. . La conformité aux lois et aux réglementations en vigueur ».
La définition de la gestion des risques d'entreprise donnée par le COSO dans son
référentiel présente le contrôle interne comme un sous-ensemble de la gestion des risques
d'entreprise.
3.1.4. Limites du contrôle interne
Le contrôle interne n'est pas forcément efficace ni apte à identifier tous les risques. En
effet, il présente souvent des lacunes qui exposent l'entité à des risques inutiles, telles que : •
L'élaboration de différentes procédures de contrôle par cycle sans tenir suffisamment compte
des objectifs, des stratégies et des risques
associés.
• Des procédures insuffisamment documentées ou communiquées aux
personnels.
• La méconnaissance de certains contrôles automatisés qui facilitent la
supervision des contrôles.
• L'application inconstante des contrôles intégrés dans les procédures.
3.2.2.2. Exemple de modélisation des objectifs pour identifier des risques d'entreprise
En général, les entités se fixent des objectifs en fonction de leurs activités, de la pression
de leur environnement (voir figure 3.4) ou de la mission qui leur a été assignée. Par exemple,
une association à caractère social aura notamment pour objectif de satisfaire une demande
d'assistance, alors qu'un établissement public administratif aura pour objectif de satisfaire un
service public particulier.
Les développements qui suivent vont analyser les seuls objectifs ayant un lien direct
avec les objectifs de l'audit (pris isolément à partir de la figure 3.5) et dans lesquels les risques
que l'objectif ne soit pas atteint peuvent entraîner directement un risque d'anomalie dans les
comptes (voir section 5.1 du chapitre 5).
L'objectif de maîtrise des activités ou des actions, relatif à la protection des ressources, à
la rotation des stocks, à l'utilisation des capacités et fonds de roulement, n'a pas, en principe,
d'incidence directe sur l'audit. L'auditeur légal ne lui accorde donc pas d'attention particulière,
sauf lorsqu'il cherche à connaître et à comprendre l'entité et qu'il étudie la prise en compte de
cet objectif par la direction. En effet, les risques susceptibles d'affecter cet objectif peuvent avoir
une incidence sur la continuité de l'exploitation et conduire l'auditeur légal, en France, à lancer
une mission liée à l'audit, appelée « procédure d'alerte >>
La conformité aux textes légaux et réglementaires est l'un des objectifs sur lequel
s'accordent toutes les définitions du contrôle interne.
Le paragraphe 22 de la norme ISA 315 précise que l'auditeur doit obtenir une
compréhension du secteur d'activité dont relève l'entité, de la réglementation et des autres
facteurs externes incluant le référentiel comptable applicable. La norme renvoie à la norme ISA
250, < Prise en compte des textes législatifs et réglementaires dans l'audit des états financiers
», pour des conditions additionnelles liées au référentiel légal et réglementaire applicable à
l'entité et à l'activité (voir figure 3.5).
Le paragraphe 22 de la norme ISA 315 précise que l'auditeur doit obtenir une
compréhension de la réglementation relative au référentiel comptable applicable en matière
d'information financière.
Bien qu'il s'agisse souvent de règles prévues par des textes législatifs et réglementaires,
l'auditeur leur accorde une attention particulière dans le cadre de l'audit légal, puisque
l'information financière est l'objectif principal de l'audit.
3.3. Comment l'entité évalue les risques que les objectifs soient affectés
Les facteurs internes et externes décrits dans la figure 3.3 déterminent quels situations
ou événements survenus ou pouvant survenir peuvent contrarier potentiellement la réalisation
des objectifs.
Dans le cadre de sa procédure d'évaluation des risques d'anomalies, l'auditeur comprend
la façon dont la direction prend en compte lorsqu'elle évalue les risques, de tels situations ou
événements concernant l'entité, et ses activités, pour identifier les risques potentiels.
Les situations ou les événements générateurs de risques, qui nuisent aux objectifs de
l'entité et que l'auditeur doit prendre en compte, peuvent provenir de l'environnement interne,
notamment: . D'une organisation inadéquate. . D'une culture d'« entreprise >> insuffisante ou
inexistante, et surtout
d'une activité de veille stratégique défaillante. D'une activité exercée dans un secteur
protégé ou dans une niche. De ce fait, l'entité n'a pas acquis de culture de concurrence ni de
recher
che systématique d'avantages compétitifs.
• D'une communication interne inefficace, d'une absence de documen
tation.
• De l'absence ou de l'insuffisance de formation du personnel tout au
long de la vie.
• De l'absence de contrôle interne efficace. • Etc.
L'auditeur doit s'informer et obtenir une compréhension de la façon dont l'entité évalue
les risques d'entreprise et notamment, de la façon dont elle détermine le caractère significatif
des risques, la probabilité de leur occur rence et les actions à mener pour les contrôler.
3.3.2.1. Identification et évaluation des risques par l'entité
dans l'environnement de l'entité Inhérents à la conduite des activités, les risques de non-
réalisation des objectifs peuvent resulter soit des décisions prises par la direction pour atteindre
les objectifs prédéterminés, soit des changements dans l'environnement externe à l'entité et
concernant l'environnement réglementaire ou le fonctionnement.
Les nouveaux risques résultant de changements peuvent notamment apparaître à
l'occasion:
• De l'intégration des évolutions technologiques dans le processus de fabrication ou dans
le système d'information.
• Des modifications ou des changements des textes légaux et réglementaires (par
exemple, application dans certaines entités, pour la première fois, de normes comptables
internationales, IAS/IFRS).
• De la progression rapide de la taille de l'entité, susceptible d'entrainer une perte de la
maîtrise des activités et des contrôles par des dirigeants dépassés.
• Du changement par les dirigeants de leurs manières de conduire les
activités ou de l'adoption de nouvelles assertions sous-tendant l'établissement des
comptes (changement de méthode, par exemple).
3.3.2.3. Risques liés au comportement des dirigeants
Pour répondre à une attente toujours pressante des « tiers liés » et pour atteindre leurs
objectifs d'activités, les entités doivent évoluer en innovant dans leur mode de gestion, dans la
conquête de nouveaux secteurs d'activité et dans l'adoption de nouvelles technologies.
Les risques qu'une entité n'atteigne pas ses objectifs n'émanent pas seulement des
risques extérieurs défavorables, mais peuvent également provenir des comportements de
dirigeants qui n'ont pas identifié ou exploité des débouchés (erreur de gestion, notamment)
d'une façon adéquate.
Comme nous le verrons à la section 3.4.2, le contrôle interne est constitué des
comportements des dirigeants et des personnels de l'entité. Il ne peut être figé dans « un
référentiel >> applicable à toutes les entités, quelle que soit leur taille. L'auditeur, face au
nombre élevé et à la diversité des définitions et des référentiels, choisit la définition la plus
adaptée à la conduite de sa mission et plus particulièrement celle donnée par la norme ISA 315.
selon le référentiel COSO Le COSO Report, publié en quatre volumes aux États-Unis, en
septembre 1992, et intitulé Internal Control - Integrated Framework, donne, en plus de la
definition (voir 3.1.2), une description du controle interne qui constitue un référentiel auquel les
entités, quelles que soient leur taille et leur activité, punliques ou non, à but lucratif ou non,
peuvent se référer pour évaluer les controles qu’elles ont mis en place.
La figure 3.13 représente une base pratique pour la gestion des activités,' répartie en
fixation des objectifs à atteindre, détermination d'une stratégie de contrôle, planification,
organisation, acquisition, mise en place, distribution des ressources et enfin, pilotage ou
surveillance des contrôles (voir feuille de travail référencée « PIL » pour la mise en ceuvre
pratique sur le site www.pearsoned.fr).
Le paragraphe 13 de l'annexe 2 de la norme ISA 315 précise que les activités de contrôle
sont les politiques et les procédures qui aident à s'assurer que les directives de direction sont
exécutées: par exemple, les actions nécessaires prises pour identifier les risques qui menacent
la réalisation des objectifs de l'entité.
4.1. Application de la norme ISA 240 relative à la fraude dans les états financiers
La prise en compte de la fraude par l'auditeur, lors de l'audit des états financiers,
s'intègre dans la démarche générale d'audit et vient en complément des normes ISA 315,
«Compréhension de l'entité et de son environnement et évaluation du risque d'anomales
significatives , et ISA 330, < Procédures mises en cuvre par l'auditeur en réponse aux risques
évalués >>
Il existe deux sources d'anomalies dans les états financiers: la fraude ou l'erreur. La
distinction entre fraude et erreur réside dans le fait que l'action fondamentale générant
l'anomalie des états financiers est intentionnelle, ou pas.
Le paragraphe 6 de la norme ISA 240, « Responsabilité de l'auditeur dans la prise en
considération de la fraude dans un état financier », précise que le terme « erreur qualifie une
anomalie involontaire dans les états financiers, et notamment l'omission d'un montant ou d'une
information, telle que:
• Une erreur dans la centralisation ou le traitement des données à par
tir desquelles les états financiers sont préparés.
• Une estimation comptable incorrecte résultant de la survenance ou
de la fausse interprétation des faits.
• Une erreur dans l'application des règles comptables concernant la mesure,
l'identification, la classification, la présentation de l'information donnée.
Les normes ISA accordent une importance particulière au rôle de l'équipe dans l'efficacité
des contrôles. En effet, le paragraphe 14 de la norme ISA 315 exige que « les membres de
l'équipe d'audit [discutent) entre eux du degré auquel les états financiers de l'entité sont
susceptibles de présenter des anomalies significatives >>
Le paragraphe 16 de la même norme précise que cette « discussion permet aux
membres les plus expérimentés de l'équipe d'audit, y compris à l'auditeur lui-même, de partager
leur connaissance de l'entité fondée sur leur perspicacité et d'échanger entre eux des
informations sur les risques du secteur d'activité dans lequel opère l'entité.
Selon la norme ISA 240, le détournement d'actifs implique la soustrac tion frauduleuse
d'actifs appartenant à l'entité. Lorsqu'il est perpétré par les employés, ce détournement est
souvent commis pour des mon tants relativement faibles et non significatifs.
Lorsque la direction est en cause, il est plus difficile à détecter.
Le paragraphe 15 de la norme ISA 240 précise qu'e [ijl est de la responsabilité des
personnes chargées du gouvernement d'entreprise de l'entité de s'assurer, par la surveillance
de la direction, que l'entité conçoit et maintient un contrôle interne pour fournir l'assurance
raisonnable en ce qui concerne la fiabilité des états financiers, de l'efficacité et de l'efficience
des opérations et de la conformité avec des lois et des règlements applicables. La surveillance
active assurée par les per sonnes chargées du gouvernement d'entreprise peut aider à
renforcer l'engagement de direction à la création d'une culture d'honnêteté et de comportement
conforme à l'éthique. En exerçant leur responsabilité de surveillance, les personnes chargées
du gouvernement d'entreprise