Si vous débutez en audit, inutile de vous dire que vous devez vous accoutumer rapidement au jargon spécifique du métier. Il est certes moins “exotique“ que celui d’autres métiers, mais il comporte cependant des notions-clés qu’il est important de cerner pour mieux comprendre la méthodologie générale de l’audit et pouvoir communiquer efficacement. Cet article est le premier d’une série de trois, à travers laquelle je partage avec vous 10 notions essentielles à maîtriser dans le cadre d’un audit comptable externe ; tout en mettant en évidence les spécificités liées à l’audit interne. 4 concepts seront abordés dans ce premier article et les autres vous seront donc présentés dans les deux articles suivants.
Concept N°1 : Risque
Nous avons tous une compréhension plus ou moins précise de la notion de risque puisque nous l’employons au quotidien. Dans la vie de tous les jours le risque est une situation ou un événement futur non souhaitable, dont l’apparition est plus ou moins probable. Nous ne voulons (normalement) pas le voir se produire car il aurait alors un impact négatif sur notre santé, nos finances, celle de nos proches, en un mot, sur l’atteinte de nos objectifs de bonheur et de bien-être. La conception générale du risque en audit est exactement la même ! Il s’agit de tout événement non encore survenu qui pourrait entraver l’atteinte des objectifs de l’entreprise. Dans le cas spécifique de l’audit des états financiers, les risques à prendre en compte sont de deux ordres: Ceux qui peuvent empêcher les comptes d’être conformes aux exigences du référentiel comptable applicable. Ces exigences concernent dans la plupart des référentiels francophones, la régularité, la sincérité et l’image fidèle des comptes. Ceux qui peuvent empêcher l’auditeur d’identifier des anomalies significatives qui se trouveraient dans les comptes. Le risque occupe une place centrale dans le processus d’audit en particulier dans le cadre de l’approche par les risques. En effet, ce sont l’identification et l’évaluation des risques qui permettent à l’auditeur de déterminer les zones sur lesquels il concentrera ses travaux. Ce sont elles également qui conditionnent l’étendue des travaux d’audit à mettre en œuvre.
Concept N°2 : Élément probant ou preuve d’audit
Les éléments probants correspondent à des « informations utilisées par l’auditeur pour aboutir aux conclusions sur lesquelles il fonde son opinion d’audit. Les éléments probants comprennent des informations contenues dans les documents comptables qui sous-tendent les états financiers, ainsi que des informations provenant d’autres sources. » Norme ISA 500 – Eléments probants Quant au Cadre de Référence International des Pratiques Professionnelles de l’audit interne, il indique que « les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. » Norme 2310 – Identification des informations du CRIPP Que retenir de ces définitions? Si ces définitions académiques vous paraissent confuses, retenez simplement qu’une preuve d’audit est tout élément matériel sérieux sur lequel l’auditeur peut baser ses travaux afin d’aboutir à une opinion. Plus simple hein! Mais attention ! Comme indiqué dans les deux normes, la preuve d’audit doit répondre à certains critères : Etre appropriée : le caractère approprié fait référence à la qualité de l’information obtenue. L’information doit en effet être factuelle, fiable et pertinente compte tenu de l’objectif des travaux de l’auditeur. Ainsi les informations obtenues oralement et qui ne sont pas vérifiables, ne constituent pas une preuve d’audit appropriée car elles ne sont pas suffisamment fiables et sont trop facilement contestables. Elles peuvent toutefois permettre à l’auditeur d’établir des présomptions qu’il devra par la suite vérifier. Etre suffisante : cela implique que la quantité d’éléments probants obtenue doit être adéquate compte tenu d’une part de la qualité desdits éléments, et d’autre part de l’évaluation des risques. A titre d’exemple, pour valider une créance de plusieurs millions d’euros, il vaut mieux obtenir une seule confirmation de solde du client concerné, qu’une centaine de factures. La confirmation de solde constitue en effet une preuve de bien meilleure qualité que les factures qui sont des documents internes à l’entreprise.
Concept N°3 : Assertion
Les assertions sont des « affirmations de la direction, explicites ou non, qui sous-tendent les états financiers et auxquelles se réfère l’auditeur pour examiner les différents types d’anomalies susceptibles de se produire ». Norme ISA 315 Que retenir de cette définition? Afin de mieux comprendre la notion d’assertion, et son rôle dans la démarche d’audit, nous allons faire une analogie avec… un légume bio. Pour qu’un légume soit reconnu bio il doit répondre à certains critères (interdiction de pesticides, d’herbicides et de fertilisants de synthèse, semences non-issues d’OGM, etc.). Lorsque ces critères sont vérifiés alors le légume est certifié bio… Et vous pouvez donc prendre du plaisir à le consommer. Si les états financiers étaient un légume, la certification bio correspondrait alors à la conformité au référentiel comptable et les assertions seraient les critères de conformité. Si les assertions sont vérifiées, alors les états financiers sont bio, c’est-à dire conformes au référentiel comptable applicable ! Prise en compte des assertions lors de l’audit Votre rôle en tant qu’auditeur consiste donc à tester la validité des assertions applicables à chaque poste des états financiers. Lorsque toutes les assertions sont vérifiées, c’est-à-dire si l’auditeur n’a pas identifié d’anomalies significatives, alors il émet une opinion non-modifiée. Dans le cas contraire, l’auditeur évalue l’incidence des anomalies et, suivant son jugement professionnel, émet une opinion modifiée. A chaque catégorie d’informations des états financiers correspondent des assertions spécifiques à tester, comme détaillées ci-après: Opérations et événements de la période auditée: les assertions à prendre en compte comprennent la réalité, l’exhaustivité, l’exactitude, la séparation des exercices, le classement. Soldes de comptes en fin de période : les assertions correspondantes comprennent l’existence, les droits et obligations, l’exhaustivité, l’évaluation et l’imputation. Présentation et informations fournies : les assertions pertinentes sont la réalité, les droits et obligations, l’exhaustivité, le classement et l’intelligibilité, l’exactitude et l’évaluation. Pour résumer : Assertions valides = Comptes correctes = Etats financiers bio
Concept N°4 : Seuil d’audit
Vous entendrez souvent parler des seuils d’audit, particulièrement en audit externe. Il n’existe pas de règle unanimement retenue pour leur détermination, qui relève donc avant tout du jugement professionnel de l’auditeur. L’auditeur définit les seuils d’audit au cours de la phase de planification. On distingue : Le seuil de planification qui permet d’évaluer le caractère significatif des risques d’anomalies significatives lors de la phase de planification. Il détermine également la nature, le calendrier et l’étendue des procédures d’audit à mettre en œuvre par la suite. Le seuil de planification est obligatoirement inférieur au seuil de signification. Le seuil de signification correspondant selon la NEP 320 au « montant au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont susceptibles d’être influencés ». L’auditeur fixe un seuil de signification pour les états financiers pris dans leur ensemble. Il peut par ailleurs définir des seuils spécifiques pour certaines catégories de transactions, soldes de comptes ou informations. Le seuil de signification permet d’évaluer le caractère significatif des anomalies et omissions identifiées au cours des travaux d’audit. Le seuil de remontée qui est le montant en deçà duquel les anomalies non-corrigées, prises individuellement ou cumulativement, seront toujours considérées comme non significatives. Les seuils d’audit peuvent être modifiés en cours d’audit.
Concept N°5 : Anomalie
Qu’est-ce qu’une anomalie ? Une anomalie est un « écart entre le montant enregistré, le classement, la présentation ou l’information fournie dans les états financiers pour un élément, et le montant, le classement, la présentation ou l’information à fournir, exigés pour ce même élément selon le référentiel comptable applicable. Les anomalies peuvent résulter d’erreurs ou provenir de fraudes ». ISA 450 Et en Français facile ? L’anomalie correspond simplement à une transaction ou une information qui n’apparaît pas dans les comptes telle qu’elle le devrait, compte tenu des règles comptables applicables. Différents types d’anomalies Dans le cadre d’un audit d’états financiers, on distingue 4 types d’anomalies, au sens de la norme ISA 450 : Les ajustements : il s’agit des anomalies portant sur le montant comptabilisé (par ex. achat doublement comptabilisé ou comptabilisé pour un montant autre que celui de la facture). Les reclassements ou anomalies liées au classement : ces anomalies correspondent à l’utilisation d’un compte inapproprié pour l’enregistrement d’une transaction. Leur correction consiste donc à transférer (reclasser) la transaction sur le compte approprié (enregistrement d’une dette fournisseur dans un compte de dettes fiscales par ex.). Les anomalies liées à la présentation : elles sont relatives au non-respect des prescriptions du référentiel comptable applicable, concernant la présentation des états financiers (Inscription d’une dette à court terme dans les dettes financières ou d’un crédit de trésorerie à l’actif du bilan par ex.). Les anomalies liées aux informations : elles correspondent à la fourniture d’informations inadéquates ou incomplètes compte tenu des objectifs d’information imposés par le référentiel comptable. Elles comprennent aussi les cas d’omission d’une information à fournir nécessaire pour que les états financiers soient présentés sincèrement, au-delà de celles expressément exigées par le référentiel. L’omission dans les notes annexes de l’information relative à un changement de méthode comptable ou à une réévaluation des actifs constitue ainsi une anomalie liée aux informations. L’évaluation du caractère significatif ou non des anomalies est fait au regard d’une part de leur nature et d’autre part du seuil de signification. Les anomalies identifiées au cours de l’audit doivent être communiquées à la Direction pour correction, avant l’émission du rapport d’audit.
Concept N°6 : Limitation
Les limitations ne constituent pas des anomalies au sens de la norme ISA 450. Elles correspondent à des situations dans lesquels l’auditeur n’est pas en mesure de recueillir des éléments probants suffisants et appropriés pour aboutir à sa conclusion. Pour la validation des charges de personnel par exemple, vous pourrez conclure à une limitation: Si vous n’obtenez pas les états de salaires ou les livres de paie nécessaires à la mise en œuvre de vos travaux, ou Si ces éléments vous sont fournis mais que vous identifiez des incohérences avec les montants comptabilisés, qui ne sont pas expliquées de manière appropriée. La formulation d’une limitation suppose toutefois que : Les informations aient été demandées de manière formelle et n’aient pas été obtenues. L’auditeur ait demandé sans succès à la direction de lever cette limitation L’auditeur ait envisagé la possibilité de mettre en œuvre des procédures alternatives pour recueillir d’autres éléments probants suffisants et appropriés L’auditeur en ait informé les personnes constituant le gouvernement d’entreprise. La troisième condition est particulièrement importante car la limitation ne doit en aucun cas constituer une solution de facilité. Il faut que vous ayez épuisé toutes les possibilités et envisagé toutes les procédures alternatives réalisables, avant de conclure à une limitation. Le caractère significatif des limitations s’apprécie également au regard du seuil de signification.
Concept N°7 : Scepticisme professionnel
Encore appelé “esprit critique“, il correspond à « une attitude qui implique de faire preuve de scepticisme, d’être attentif aux états de fait pouvant éventuellement dénoter des anomalies, que celles-ci résultent de fraudes ou d’erreurs, et de n’accepter aucun élément probant sans s’interroger d’abord sur sa valeur » . ISA 200 Le scepticisme professionnel est indispensable à l’atteinte des objectifs de l’audit car il permet : D’apprécier la fiabilité des éléments probants obtenus et de ne pas prendre pour parole d’évangile les informations obtenues dans le cadre de l’audit. Le scepticisme vous incite donc à vérifier les éléments probants obtenus avant toute utilisation, et ceci, quelle que soit leur source. Ainsi, si la société auditée vous communique un fichier Excel pour justifier le chiffre d’affaires, votre scepticisme professionnel doit vous pousser à en vérifier la fiabilité et l’intégrité avant toute utilisation dans vos travaux, même si ce fichier provient du Directeur Général. D’identifier les incohérences éventuelles dans les comptes et entre informations provenant de sources différentes. Sans scepticisme professionnel, l’audit reviendrait à accepter sans les vérifier, les informations fournies par les audités. Il perdrait alors toute sa valeur et n’aurait par conséquent aucune utilité. L’idée n’est cependant pas non plus que l’auditeur se montre suspicieux, ni qu’il se mue en gendarme et fasse passer des interrogatoires aux audités. Il ne s’agit pas non plus de les traiter de menteurs … car l’audit risquerait alors de prendre fin de manière prématurée ! Le scepticisme doit rester PROFESSIONNEL et l’auditeur se doit donc de demeurer courtois et ouvert d’esprit, tout en n’hésitant pas à obtenir des précisions, documents complémentaires ou tout autre élément pouvant lui permettre de valider les informations obtenues.
Concept N°8 : Opinion
Si vous débutez en audit, il est peu probable que vous ayez à émettre une opinion ! � Il est toutefois important que vous compreniez la notion d’opinion et son lien avec le reste de la démarche d’audit. L’opinion en audit externe En audit externe, l’opinion est le but ultime de la mission de l’auditeur. Elle consiste à évaluer les conclusions tirées des éléments probants obtenus au cours des travaux, afin de se prononcer sur les comptes audités. Dans le cas de l’audit financier externe, et conformément aux normes ISA 700 et 705, on distingue : L’opinion non-modifiée : lorsque l’auditeur conclut que les états financiers ont été préparés, dans tous leurs aspects significatifs, conformément au référentiel comptable applicable. L’opinion modifiée qui correspond soit à une opinion avec réserves, soit à une opinion défavorable ou encore à l’impossibilité d’exprimer une opinion. L’auditeur exprime une opinion modifiée lorsqu’il a identifié des anomalies significatives dans les comptes et que ces dernières n’ont pas été corrigées OU que les limitations à l’étendue de ses travaux sont telles qu’il n’est pas en mesure d’aboutir à une conclusion sur les états financiers. L’opinion en audit interne En audit interne, il n’existe pas de formalisme particulier pour l’expression de l’opinion. Toutefois, le glossaire des normes internationales d’audit interne distingue l’opinion relative à une mission, de l’opinion globale. L’opinion relative à une mission correspond en effet, à la conclusion des travaux d’une mission d’audit interne spécifique. L’auditeur se prononce alors uniquement sur les éléments rentrant dans le cadre des objectifs et du périmètre précis de la mission. L’opinion globale résulte quant à elle des opinions relatives aux missions effectuées au cours d’une période de temps définie. L’auditeur se prononce alors sur l’ensemble des processus concernés par l’audit interne (gouvernance, gestion des risques, contrôle), au titre de la période couverte par l’opinion globale. Dans tous les cas (audit externe et interne), l’opinion de l’auditeur doit être clairement formulée par écrit dans un rapport d’audit.
Concept N°9 : Contrôle interne
1. Définition Le contrôle interne est un ensemble de processus permettant à l’organisation de garantir: La maîtrise des risques liés à son activité La fiabilité de son information financière L’efficacité et l’efficience de ses opérations Le respect des textes légaux et réglementaires applicables. Le COSO est l’un des référentiels de contrôle interne les plus connus. Il définit 5 composantes du contrôle interne à savoir l’environnement de contrôle, le processus d’évaluation des risques, les activités de contrôle, l’information et la communication, le monitoring et 17 principes en lien avec ces composantes.
2. Prise en compte du contrôle interne en audit externe
Quels contrôles regarder lors d’un audit externe ? «L’auditeur doit acquérir une compréhension des aspects du contrôle interne pertinents pour l’audit. » Norme ISA 315 Cela implique que ce ne sont pas tous les aspects du contrôle interne qu’il faut évaluer dans le cadre d’un audit externe, mais seulement ceux qui sont pertinents pour l’audit. Comment savoir si un contrôle est pertinent pour l’audit ? Dans la pratique le contrôle interne est considéré pertinent pour l’audit lorsqu’il a un impact sur l’information financière. Par exemple, les procédures administratives d’une organisation prévoient l’attribution d’une référence chronologique aux courriers sortants, leur signature par le DG et leur inscription par l’assistante administrative dans un registre afin d’assurer leur traçabilité. Ce contrôle est important du point de vue de l’administration mais n’a aucune incidence “directe“ sur l’information financière. Dans le cadre d’un audit externe, vous n’avez donc pas à vous attarder sur sa vérification car il ne s’agit pas d’un contrôle pertinent. En revanche, les procédures de la même organisation prévoient la validation systématique des écritures comptables de régularisation par le DAF. Ce contrôle est pertinent pour l’audit externe car en cas de défaillance, des transactions erronées ou frauduleuses pourraient être enregistrées et biaiser ainsi l’information financière. Vous devrez donc procéder à son évaluation dans le cadre de vos travaux d’audit externe. Quand et Comment procéder à l’évaluation ? La compréhension du contrôle interne en audit externe intervient au cours de la phase de planification de l’audit et implique de : Prendre connaissance de chacune des composantes du contrôle interne en place au sein de l’organisation Déterminer les activités de contrôles pertinentes destinées à couvrir les risques importants identifiés au cours des phases précédentes de l’audit Evaluer la conception de ces contrôles c’est-à-dire s’assurer qu’ils sont, seuls ou en association avec d’autres, efficaces pour prévenir ou détecter et corriger, les anomalies significatives Vérifier l’implémentation effective des contrôles qui sont correctement conçus, c’est-à-dire s’assurer qu’ils existent et que l’organisation les utilise. Tester l’efficacité du fonctionnement des contrôles sur la durée lorsque l’auditeur l’estime nécessaire. L’évaluation de l’implémentation et le cas échéant du fonctionnement du contrôle interne permet à l’auditeur de déterminer l’étendue des tests corroboratifs qu’il effectuera par la suite. Les déficiences du contrôle interne doivent, lorsqu’elles sont significatives, être communiquées par écrit à la Direction et aux responsables de la gouvernance. 3. Prise en compte du contrôle interne en audit interne « L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité ainsi que son efficience et en encourageant son amélioration continue. » Norme 2130 – Contrôle du CRIPP L’évaluation ne se limite donc pas, en audit interne, au contrôle interne pertinent pour l’information financière. Il s’étend à tous les aspects du contrôle qui sont pertinents compte tenu des risques significatifs identifiés à l’échelle de l’organisation, que ces derniers aient ou non une incidence sur les états financiers. L’évaluation porte ainsi sur les aspects suivants : L’atteinte des objectifs stratégiques de l’organisation ; La fiabilité et l’intégrité des informations financières et opérationnelles ; L’efficacité et l’efficience des opérations et des programmes ; La protection des actifs ; Le respect des lois, règlements, règles, procédures et contrats. En outre et contrairement à l’audit externe qui procède à l’évaluation du contrôle interne dans le seul but de déterminer l’étendue des tests substantifs à réaliser par la suite, le but ultime de l’évaluation du contrôle interne mise en œuvre en audit interne est de formuler des recommandations pour l’amélioration du dispositif de contrôle interne de l’organisation.
Concept N°10 : Fraude
1. Définition La fraude est un « acte intentionnel commis par un ou plusieurs membres de la direction, personnes constituant le gouvernement d’entreprise, membres du personnel ou tiers, impliquant des manœuvres dolosives dans le but d’obtenir un avantage indu ou illégal ». Norme ISA 240 La fraude correspond à « tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et des organisations afin d’obtenir de l’argent, des biens ou des services, ou de s’assurer un avantage personnel ou lié à leur activité. » Glossaire des normes internationales d’audit interne L’existence d’une fraude est favorisée par la présence de trois “ingrédients“ qui constituent le “triangle de la fraude“. Il s’agit de la tentation ou besoin, de l’opportunité et de la rationalisation. La fraude se distingue de l’erreur par le caractère intentionnel. Enregistrer deux fois le même achat par mégarde constitue une erreur. L’enregistrer deux fois intentionnellement dans le but d’encaisser le paiement supplémentaire constitue une fraude.
2. Prise en compte de la fraude en audit externe
En audit externe, l’auditeur s’intéressera essentiellement à 2 formes de fraude : Le détournement d’actifs qui concerne le vol ou l’échange de biens appartenant à la société. Il est généralement commis par des membres du personnel agissant seuls ou en “bande organisée“. Il est souvent dissimulé grâce à des enregistrements comptables falsifiés, de faux documents, etc. La présentation d’états financiers mensongers : des anomalies sont glissées intentionnellement dans les comptes en vue de falsifier les comptes et d’induire en erreur les utilisateurs des états financiers. C’est le cas par exemple lorsque la Direction manipule les chiffres dans le but de donner une fausse image de la performance de l’entreprise, de sa rentabilité ou de sa situation patrimoniale. Le légendaire Cas Enron illustre bien ce type de fraude, à un niveau plus élaboré. La présentation d’états financiers mensongers implique généralement un contournement des contrôles par la Direction. Elle est plus difficile à détecter que les détournements d’actifs. Dans le cadre d’un audit externe des états financiers, la fraude doit faire l’objet : De discussion entre les membres de l’équipe affectée à la mission d’audit De procédures destinées à évaluer le risque d’anomalies significatives provenant de fraudes et de travaux spécifiques compte tenu des risques identifiés D’une évaluation des cas de fraude éventuels identifiés et de leur incidence sur l’opinion. D’une communication à la direction et aux personnes constituant le gouvernement d’entreprise D’une mention spécifique dans la lettre d’affirmation D’une communication aux autorités de régulation et de contrôle lorsque la législation applicable l’exige. 3. Prise en compte de la fraude en audit interne Les aspects spécifiques liés à la fraude en audit interne, sont abordés dans ce précédent article que je vous invite à lire.
Concept bonus : Jugement professionnel
1. Définition La notion de jugement de l’auditeur revient souvent en audit (interne et externe) et s’applique à toutes les étapes de la mission (planification, exécution, rapports). La norme ISA 200 définit le jugement professionnel comme « la mise en œuvre par l’auditeur des aspects pertinents de sa formation, de ses connaissances et de son expérience, dans le cadre fixé par les normes d’audit, les normes comptables et les normes de déontologie, pour prendre des décisions éclairées sur les actions appropriées à effectuer dans le contexte de la mission d’audit en cours ». Le jugement professionnel correspond donc à l’appréciation par l’auditeur des éléments (preuves d’audit, circonstances, environnement, etc.) disponibles, pour fonder sa conviction sur un sujet donné et prendre des décisions. 2. Implications pratiques L’auditeur forge son jugement professionnel à partir de: Ses connaissances techniques, Son expérience (missions similaires effectuées) La connaissance qu’il a acquise de l’entité et de son environnement. Les éléments factuels (preuves d’audit) disponibles et Les circonstances de l’audit. Deux auditeurs peuvent donc, sur une même question, aboutir à des conclusions différentes compte tenu de leur jugement professionnel. Cela dit et conformément à la norme ISA 200, le jugement de l’auditeur doit être expliqué et documenté de sorte que tout auditeur expérimenté n’ayant pas participé à la mission, puisse comprendre les jugements professionnels importants qui ont sous-tendu les travaux et conclusions de l’audit. Retenons pour conclure que « le jugement professionnel ne peut servir à justifier des décisions qui, par ailleurs, ne sont pas étayées par les faits et les circonstances relevés au cours de la mission ni par des éléments probants suffisants et appropriés. » Norme ISA 200