ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
1
SOMMAIRE
Pages
Introduction....................................................................................................................2
Risque inhérent................................................................................................................4
Systèmes comptable et de contrôle interne .....................................................................5
Risque lié au contrôle......................................................................................................8
Lien entre l'évaluation du risque inhérent et l’évaluation du risque lié au contrôle .......12
Risque de non détection..................................................................................................12
Risque d’audit dans les petites entités.............................................................................13
Communication des déficiences relevées........................................................................14
Annexe : Illustration de la relation entre les composants du risque d’audit ..................15
Les normes d’audit transposées à partir des normes internationales d’audit publiées par
l’International Federation of Accountants (IFAC) s’appliquent à l’audit des comptes. Elles
s’appliquent également, sous réserve d’effectuer les adaptations nécessaires, à l’audit
d’autres informations.
Les normes présentent les principes fondamentaux (imprimés en caractères gras) ainsi que
leurs modalités d’application fournies sous forme d’explications et d’informations
complémentaires. Les principes fondamentaux doivent être interprétés à la lumière de ces
explications et de ces informations.
Pour comprendre et mettre en oeuvre ces principes fondamentaux, et leurs modalités
d’application, il ne faut pas tenir compte uniquement du texte en caractères gras de la norme.
Celle-ci doit être considérée dans son intégralité, avec les explications et informations qui y
sont contenues.
Dans des cas exceptionnels, l’expert-comptable, en sa qualité d’auditeur, peut estimer
nécessaire de s’écarter d’une norme afin d’atteindre plus efficacement l’objectif de l’audit. Il
doit alors être en mesure de justifier son choix.
Les normes ne s’appliquent qu’aux questions dont l’importance relative le justifie.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
2
Introduction
1. La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs
modalités d’application relatives à la prise de connaissance des systèmes comptable et de
contrôle interne ainsi qu’à l'évaluation du risque d’audit et de ses composants : risque
inhérent, risque lié au contrôle et risque de non détection.
2. L’expert-comptable prend connaissance des systèmes comptable et de contrôle
interne pour planifier sa mission et concevoir une approche d’audit efficace. Il
exerce son jugement professionnel pour évaluer le risque d’audit et définir des
procédures visant à le réduire à un niveau acceptable faible.
3. Le “ risque d’audit ” est le risque que l’expert-comptable exprime une opinion incorrecte
alors qu’il existe des anomalies significatives dans les comptes. Il se subdivise en trois
composants : le risque inhérent, le risque lié au contrôle et le risque de non-détection.
4. Le “ risque inhérent ” est la possibilité, en l’absence des contrôles internes liés, que le
solde d’un compte ou qu’une catégorie d’opérations comporte des anomalies
significatives isolées ou cumulées avec des anomalies dans d’autres soldes ou catégories
d’opérations.
5. Le “ risque lié au contrôle ” est le risque qu’une anomalie dans un solde de compte ou
dans une catégorie d’opérations, prise isolément ou cumulée avec des anomalies dans
d’autres soldes de comptes ou d’autres catégories d’opérations, soit significative et ne soit
ni prévenue, ni détectée par les systèmes comptable et de contrôle interne et donc non
corrigée en temps voulu.
6. Le “ risque de non détection ” est le risque que les contrôles mis en oeuvre par l’expertcomptable
ne parviennent pas à détecter une anomalie dans un solde de compte ou dans
une catégorie d’opérations qui, isolée ou cumulée avec des anomalies dans d’autres
soldes de comptes ou d’autres catégories d’opérations, serait significative.
7. Le “ système comptable ” est l’ensemble des procédures et des documents d’une entité
permettant le traitement des opérations aux fins de leur enregistrement dans les comptes.
Ce système identifie, rassemble, analyse, calcule, classe, enregistre, récapitule et produit
des documents retraçant les opérations et autres événements intervenus au cours d’une
période.
8. Le “ système de contrôle interne ” est l’ensemble des politiques et procédures (contrôles
internes) mises en oeuvre par la direction d’une entité en vue d’assurer, dans la mesure du
possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le
respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection
des fraudes et des erreurs, l’exactitude et l’exhaustivité des enregistrements comptables et
l'établissement en temps voulu d’informations financières ou comptables fiables. Le
système de contrôle interne s’entend au-delà des domaines directement liés au système
comptable. Il comprend :
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
3
(a) L’ « environnement général de contrôle interne » qui est l’ensemble des comportements,
degrés de sensibilisation et actions de la direction (y compris le gouvernement
d’entreprise) concernant le système de contrôle interne et son importance dans l’entité.
Cet environnement a une incidence sur l’efficience des procédures de contrôle interne
spécifiques. Par exemple, un environnement de contrôle interne organisé, comportant des
contrôles budgétaires stricts et une fonction d’audit interne efficiente, complète
efficacement les procédures de contrôle interne spécifiques. Toutefois, un environnement
de contrôle interne organisé ne constitue pas, en soi, une garantie d’efficience du système
de contrôle interne. Les éléments essentiels qui constituent l’environnement général du
contrôle interne sont les suivants :
• la philosophie et le style de direction ;
• la fonction du conseil d’administration et de ses comités ;
• la structure de l’entité et les méthodes de délégation de pouvoirs et de
responsabilités ;
• le système de contrôle de la direction comprenant la fonction d’audit interne, les
politiques et les procédures relatives au personnel ainsi que la répartition des
tâches.
(b) Les “ procédures de contrôle ”, qui désignent les politiques et procédures définies par la
direction afin d’atteindre les objectifs spécifiques de l’entité, et qui sont complémentaires
à l’environnement général de contrôle interne. Ces procédures comprennent notamment
les éléments suivants :
• l’établissement, la revue et l’approbation des rapprochements de comptes ;
• le contrôle des applications et de l’environnement informatique, par exemple en
prévoyant des contrôles sur :
- les modifications de logiciels,
- l’accès aux fichiers de données.
• la tenue régulière d’une comptabilité ;
• l’approbation et le contrôle des pièces justificatives ;
• la comparaison des données internes avec des sources externes d’information ;
• l’inventaire physique des actifs (immobilisations, stock, etc.) et la comparaison
avec les données de la comptabilité ;
• la restriction de l’accès physique aux actifs et aux documents ;
• la comparaison et l’analyse des réalisations avec les données budgétaires.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
4
9. Dans le cadre de sa mission d’audit des comptes, l’expert-comptable ne s’intéresse
qu’aux politiques et procédures concernant les systèmes comptable et de contrôle interne
ayant une incidence sur les assertions sous-tendant l’établissement de ces comptes. La
compréhension des aspects pertinents de ces systèmes comptable et de contrôle interne et
l’évaluation du risque inhérent ainsi que du risque lié au contrôle permettent à
l’expert-comptable :
(a) d’identifier les types d’anomalies significatives potentielles qui peuvent avoir une
incidence sur les comptes,
(b) de prendre en considération les facteurs qui peuvent engendrer des risques
d’anomalies significatives, et
(c) de définir des procédures d’audit appropriées.
10. En définissant l’approche d’audit, l’expert-comptable tient compte de l’évaluation
préliminaire du risque lié au contrôle (en association étroite avec l’évaluation du risque
inhérent) pour déterminer le risque de non détection acceptable ainsi que la nature, le
calendrier et l’étendue des contrôles substantifs à mettre en oeuvre.
Risque inhérent
11. Lors de l’élaboration du plan de mission, l’expert-comptable évalue le risque
inhérent au niveau des comptes pris dans leur ensemble. Dans la définition du
programme de travail, l’expert-comptable prend en considération cette évaluation
pour apprécier les assertions retenues pour chaque catégorie d’opérations et pour
les soldes de comptes significatifs, ou part du principe que ces assertions présentent
un risque inhérent élevé.
12. Pour évaluer le risque inhérent, l’expert-comptable exerce son jugement professionnel
pour évaluer divers facteurs tels que :
Au niveau des comptes pris dans leur ensemble
• l'intégrité de la direction ;
• l’expérience et les connaissances des dirigeants ainsi que les changements au sein de
l’équipe de direction intervenus durant l’exercice. Le niveau d’expérience des
dirigeants peut par exemple avoir des répercussions sur l'établissement des comptes de
l’entité ;
• les pressions inhabituelles exercées sur la direction, notamment les circonstances qui
pourraient l’inciter à présenter des comptes inexacts, telles qu'un nombre élevé de
faillites dans le secteur d’activité ou une entité qui ne dispose pas de fonds propres
suffisants pour poursuivre ses activités ;
• la nature des activités de l’entité. Par exemple, l’obsolescence technologique
potentielle de ses produits ou de ses services, la complexité dans la détention de son
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
5
capital, l’importance des parties liées, le nombre de centres de production et la
dispersion de leur implantation géographique ;
• ceux influençant le secteur dans lequel opère l’entité, telles que les conditions
économiques et concurrentielles mises en évidence par les tendances et les ratios
financiers ainsi que les innovations technologiques, l’évolution du marché et les
pratiques comptables du secteur.
Au niveau du solde des comptes et des catégories d’opérations.
• les comptes pouvant comporter des anomalies, tels que ceux enregistrant des écritures
de redressement au titre d’exercices antérieurs ou reposant en grande partie sur des
estimations ;
• la complexité des opérations sous-jacentes ou d’autres événements qui peuvent
nécessiter l’intervention d’un expert ;
• le degré de jugement intervenant dans la détermination des valeurs d’inventaires ;
• la vulnérabilité des actifs aux pertes ou aux détournements, par exemple des actifs
attractifs ou faciles à détourner tels que la trésorerie ;
• l'enregistrement d'opérations inhabituelles ou complexes, notamment à la clôture de
l’exercice ou à une date proche ;
• des opérations non soumises aux traitements habituels.
Systèmes comptable et de contrôle interne
13. Les contrôles internes relatifs au système comptable permettent de remplir les objectifs
suivants :
• les opérations ne peuvent être effectuées qu'avec une autorisation générale ou
particulière de la direction ;
• toutes les opérations et les événements sont enregistrés rapidement dans la période
comptable correspondante afin de permettre la préparation des comptes conformément
à un référentiel comptable identifié ;
• l’accès aux actifs et aux documents comptables n'est possible que sur autorisation de la
direction ;
• les actifs enregistrés sont comparés aux actifs physiques existants à des intervalles
réguliers et des mesures appropriées sont prises en cas d’écarts constatés.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
6
Limites inhérentes aux contrôles internes
14. Les systèmes comptable et de contrôle interne ne donnent pas à la direction la certitude
que les objectifs fixés sont atteints, et ce en raison des limites inhérentes au
fonctionnement de tout système. Ces limites sont les suivantes :
• le coût d’un contrôle interne ne doit pas excéder les avantages escomptés de ce
contrôle ;
• la plupart des contrôles internes portent sur des opérations répétitives et non sur des
opérations non récurrentes ;
• le risque d’erreur humaine due à la négligence, à la distraction, aux erreurs de
jugement ou à la mauvaise compréhension des instructions ne peut être totalement
éliminé ;
• la possibilité d’échapper aux contrôles internes par la collusion d’un membre de la
direction ou d’un employé avec d’autres personnes internes ou externes à l’entité ;
• l’éventualité qu’une personne chargée de réaliser un contrôle interne abuse de ses
prérogatives, par exemple un membre de la direction passant outre le contrôle ;
• la possibilité que les procédures ne soient plus adaptées en raison de l’évolution de la
situation, et donc que les procédures ne soient plus appliquées.
Compréhension des systèmes comptable et de contrôle interne
15. Lors de la prise de connaissance des systèmes comptable et de contrôle interne en vue de
planifier l’audit, l’expert-comptable acquiert la connaissance de la conception et du
fonctionnement de ces systèmes, par exemple, en effectuant un “ test de conformité ”
permettant de suivre certaines opérations dans le système comptable. Lorsque les
opérations sélectionnées sont représentatives de celles traitées par le système, cette
procédure peut être intégrée aux « tests de procédures ». La nature et l’étendue des tests
de conformité effectués par l’expert-comptable sont telles qu’elles ne suffisent cependant
pas à elles seules à réunir suffisamment d’éléments probants pour étayer une évaluation
du risque lié au contrôle à un niveau faible ou moyen.
16. La nature, le calendrier et l’étendue des procédures mises en oeuvre par l’expertcomptable
pour comprendre les systèmes comptable et de contrôle interne varient en
fonction, notamment, des critères suivants :
• taille et complexité de l’entité et de son système informatique ;
• seuil de signification ;
• types de contrôles internes conc ernés ;
• nature de la documentation de l’entité en matière de contrôles internes spécifiques ;
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
7
• évaluation par l’expert-comptable du risque inhérent.
17. En règle générale, pour comprendre les systèmes comptable et de contrôle interne
affectant sa mission, l’expert-comptable s’appuie sur son expérience antérieure de l’entité
et a recours à :
(a) des entretiens avec les dirigeants, les cadres et le personnel des différents échelons
hiérarchiques de l’entité et à la documentation existante (manuels de procédures,
description des postes, organigrammes, etc.),
(b) la vérification des documents et des informations issus des systèmes comptable et de
contrôle interne, et,
(c) l’observation des activités et des opérations de l’entité, y compris l’orga nisation du
système informatique, le personnel d’encadrement et la nature des traitements
informatisés, etc.
Système comptable
18. L’expert-comptable prend connaissance du système comptable pour identifier et
comprendre :
(a) les principales catégories d’opérations résultant des activités de l’entité,
(b) la source de ces opérations,
(c) l’organisation de la comptabilité dans les domaines significatifs, la nature des
documents justificatifs et le contenu des postes et des rubriques des comptes,
(d) l’origine des opérations et événements significatifs jusqu’à leur enregistrement
dans les comptes, et,
(e) le processus d’établissement des comptes ou documents comptables et financiers
de synthèse.
Environnement général de contrôle interne
19. L’expert-comptable prend connaissance de l’environnement général de contrôle
interne pour évaluer les comportements, degrés de sensibilisation et actions de la
direction (y compris le gouvernement d’entreprise) concernant les contrôles internes
et leur importance dans l’entité.
Procédures de contrôle
20. L’expert-comptable prend connaissance des procédures de contrôle pour élaborer le
plan de mission. Pour ce faire, il détermine l’existence ou l’absence de procédures de
contrôle en analysant l’environnement général de contrôle interne et le système
comptable afin de décider s’il convient d’approfondir sa compréhension des procédures
de contrôle. Celles-ci étant liées à l’environnement général de contrôle interne et au
système comptable, l’expert-comptable se familiarise en même temps avec les procédures
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
8
de contrôle ; par exemple, en analysant le fonctionnement du système comptable
concernant la trésorerie, l’expert-comptable sera à même de déterminer si les
rapprochements bancaires sont effectués. En règle générale, il n’est pas nécessaire, pour
élaborer le plan d’audit, de connaître toutes les procédures de contrôle relatives à chacune
des assertions sous-tendant chaque solde de compte ou catégorie d’opérations.
Risque lié au contrôle
Evaluation préliminaire du risque lié au contrôle
21. L’évaluation préliminaire du risque lié au contrôle consiste à apprécier l’efficacité des
systèmes comptable et de contrôle interne de l’entité en termes de prévention ou de
détection et de correction des anomalies significatives. Le risque lié au contrôle ne peut
toutefois pas être entièrement éliminé en raison des limites inhérentes à tout système
comptable et de contrôle interne.
22. Après avoir pris connaissance des systèmes comptable et de contrôle interne,
l’expert-comptable procède à une évaluation préliminaire du risque lié au contrôle,
au niveau des assertions sous-tendant chaque solde de compte ou catégorie
d’opérations significatif.
23. L’expert-comptable fixe en général un niveau de risque lié de contrôle élevé pour
certaines ou pour toutes les assertions lorsque :
(a) les systèmes comptable et de contrôle interne ne sont pas appliqués effectivement ;
ou,
(b) l'évaluation du fonctionnement effectif des systèmes comptable et de contrôle interne
de l’entité ne constituerait pas une démarche d’audit efficace.
24. L’évaluation préliminaire du risque lié au contrôle pour une assertion sous-tendant
l’établissement des comptes est fixée à un niveau élevé, sauf si l’expert-comptable :
(a) parvient à identifier des contrôles internes appliqués à cette assertion et
susceptibles de prévenir ou détecter et corriger une anomalie significative, et,
(b) envisage de réaliser des tests de procédures pour conforter son évaluation.
Documentation de la prise de connaissance et de l’évaluation du risque lié au contrôle
25. L’expert-comptable réunit dans ses dossiers de travail une documentation relative
à :
(a) son analyse des systèmes comptable et de contrôle interne de l’entité, et,
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
9
(b) son évaluation du risque lié au contrôle. En cas d’évaluation d’un risque de niveau
inférieur à un risque élevé, l’expert-comptable documente également les éléments sur
lesquels se fondent ses conclusions.
26. Différentes techniques peuvent être utilisées pour documenter l'analyse des systèmes
comptable et de contrôle interne. L’expert-comptable est libre d’opter pour la technique
de son choix. Parmi celles les plus couramment utilisées, seules ou combinées, on
relèvera les descriptions narratives, les questionnaires, les listes de contrôle et les
diagrammes. La forme et l’étendue de la documentation dépendent de la taille et de la
complexité de l’entité ainsi que de la nature de ses systèmes comptable et de contrôle
interne. En général, plus les systèmes sont complexes, plus les procédures d’analyse
seront étendues et la documentation développée.
Tests de procédures
27. Les tests de procédures sont effectués afin d’obtenir des éléments probants sur
l’efficacité :
(a) de la conception des systèmes comptable et de contrôle interne, afin de déterminer si
leur conception permet de prévenir ou de détecter et de corriger les anomalies
significatives, et,
(b) du fonctionnement des contrôles internes durant l’exercice.
28. Il est possible que certaines des procédures mises en oeuvre afin d’ana lyser les systèmes
comptable et de contrôle interne n’aient pas été spécifiquement conçues à l’origine en
tant que tests de procédures. Elles peuvent néanmoins fournir des éléments probants sur
l’efficacité de la conception et du fonctionnement des contrôles internes concernant
certaines assertions et serviront alors de tests de procédures. Par exemple, pour analyser
le fonctionnement du système comptable et de contrôle interne relatif à la fonction
trésorerie, l’expert-comptable peut avoir rassemblé des éléments probants sur l’efficacité
du processus de préparation des rapprochements bancaires au moyen de demandes
d’informations et d’observations.
29. Lorsque l’expert-comptable constate que les tests de conformité réalisés lors de la prise
de connaissance des systèmes comptable et de contrôle interne fournissent également des
éléments probants sur l’efficacité de la conception et du fonctionnement des politiques et
des procédures appliquées à une assertion particulière sous-tendant l’établissement des
comptes, il peut les utiliser, à condition toutefois qu’ils soient suffisants pour justifier une
évaluation du risque lié au contrôle de niveau inférieur à un risque élevé.
30. Les tests de procédures peuvent comprendre :
• l'examen des documents justifiant les opérations et d’autres procédures visant à
rassembler des éléments probants sur le bon fonctionnement des contrôles internes, par
exemple la vérification qu’une opération donnée a été autorisée ;
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
10
• des demandes d’informations et l’observation des contrôles internes qui ne laissent
aucune trace matérielle, par exemple pour déterminer précisément qui effectue chaque
tâche, et pas simplement la personne qui est censée l’effectuer ;
• une vérification des contrôles internes, par exemple des rapprochements bancaires,
afin de s’assurer qu’ils ont été correctement réalisés.
31. L’expert-comptable réunit des éléments probants au moyen de tests de procédures
pour justifier d’une évaluation du risque lié au contrôle à un niveau inférieur à un
niveau élevé. Plus le risque lié au contrôle est évalué à un niveau faible, plus
l’expert-comptable devra réunir d’éléments probants montrant que les systèmes
comptable et de contrôle interne sont correctement conçus et fonctionnent
efficacement.
32. Pour réunir des éléments probants sur le bon fonctionnement des contrôles internes,
l’expert-comptable examine comment ces contrôles ont été réalisés et la permanence de
leur application, durant la période, et identifie la personne qui les a effectués. Le bon
fonctionnement n’exclut pas certaines déviations par rapport aux contrôles prescrits.
Celles-ci peuvent être imputées à certains événements, tels qu’un changement intervenu
dans le personnel occupant des postes clés, des fluctuations saisonnières significatives en
terme de volume d’opérations ou une erreur humaine. Lorsque des déviations sont
détectées, l’expert-comptable procède à des investigations spécifiques concernant leur
cause, par exemple le moment où sont intervenus les changements du personnel chargé
des fonctions de contrôle interne. Il s’assure ensuite que les tests de procédures couvrent
la période des changements ou de fluctuations en question.
33. L’objectif des tests de procédures dans un environnement informatique est le même que
dans un environnement manuel. Toutefois, certaines procédures d’audit peuvent différer.
L’expert-comptable peut juger nécessaire ou préférer utiliser des techniques d’audit
assistées par ordinateur. L’emploi de telles techniques, par exemple des programmes
d’interrogation de fichiers ou des programmes d’audit tests, peuvent s’avérer utiles
lorsque les systèmes comptable et de contrôle interne ne fournissent aucun élément
visible pour prouver la performance effective des contrôles internes programmés dans un
système informatisé.
34. En fonction des résultats des tests de procédures, l’expert-comptable détermine si
les contrôles internes sont conçus et fonctionnent conformément à son évaluation
préliminaire du risque lié au contrôle. L’examen des déviations peut le conduire à
réviser le niveau de risque lié au contrôle. Dans ce cas, l’expert-comptable modifie la
nature, le calendrier et l’étendue des contrôles substantifs prévus.
Qualité et date d’obtention des éléments probants
35. Certains types d’éléments probants sont plus fiables que d’autres. En général, ceux issus
des observations de l’expert-comptable sont plus fiables que ceux provenant des
demandes d’informations. Par exemple, l’expert-comptable peut se procurer des éléments
probants sur la séparation des tâches en observant les personnes appliquant une procédure
de contrôle ou en demandant des informations au personnel concerné. Toutefois, les
éléments probants obtenus par certains tests de procédures, tels que l’observation, n’ont
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
11
de valeur qu’au moment précis où le contrôle a été effectué. L’expert-comptable peut par
conséquent décider de compléter ces contrôles par d’autres tests de procédures permettant
de recueillir des éléments probants sur d’autres périodes de l’exercice.
36. Pour déterminer les éléments probants nécessaires pour étayer une conclusion relative au
risque lié au contrôle, l’expert-comptable peut tenir compte des éléments probants réunis
au titre des exercices précédents. En général, l’expert-comptable ayant une connaissance
des systèmes comptable et de contrôle interne grâce aux travaux précédemment effectués,
il actualise sa connaissance et considère la nécessité de compléter les éléments probants
précédemment obtenus par d’autres, relatifs aux modifications intervenues. En
conséquence, avant de s'appuyer sur le résultat des procédures mises en oeuvre au
titre des exercices précédents, l’expert-comptable réunit des éléments probants
justifiant que ceux-ci restent valables. Ces éléments peuvent concerner la nature, le
calendrier et l’étendue des modifications intervenues dans les systèmes comptable et de
contrôle interne depuis la réalisation de la mission précédente. L’expert-comptable évalue
alors leur incidence sur la fiabilité du système sur lequel il estime pouvoir s’appuyer. Plus
la mise en oeuvre de ces procédures est ancienne, moins l’assurance qui en découle est
grande.
37. L’expert-comptable détermine si les mêmes contrôles internes ont été appliqués tout
au long de la période. Si des contrôles de nature différente ont été appliqués à différents
moments de la période, l’expert-comptable les considère individuellement. Une
interruption dans la continuité des contrôles internes durant une période spécifique
requiert une étude séparée de la nature, du calendrier et de l’étendue des procédures
d’audit à appliquer aux opérations et aux autres événements de cette période.
38. L’expert-comptable peut décider d’effectuer des tests de procédures en cours d’année.
Toutefois, il ne peut se contenter des seuls résultats de ces tests et rassemble d’autres
éléments pour le reste de l’exercice. Les facteurs déterminants à prendre en considération
pour décider de contrôles complémentaires sont les suivants :
• résultats des tests intercalaires ;
• durée de la période restant à courir jusqu’à la fin de l’exercice ;
• modifications intervenues dans les systèmes comptable et de contrôle interne durant la
période restante ;
• nature et montant des opérations, des autres événements et des soldes des comptes
concernés ;
• environnement général de contrôle interne, en particulier contrôles aux différents
niveaux hiérarchiques ;
• contrôles substantifs que l’expert-comptable souhaite mettre en oeuvre.
Evaluation finale du risque lié au contrôle
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
12
39. Avant de tirer les conclusions de sa mission, basées sur le résultat des contrôles
substantifs et des autres éléments probants collectés durant l’audit, l’expertcomptable
détermine si son évaluation du risque lié au contrôle est confirmée.
Lien entre l'évaluation du risque inhérent et l’évaluation du risque lié au contrôle
40. Pour réduire le risque inhérent, la direction d’une entité est amenée à mettre en place des
systèmes comptable et de contrôle interne afin de prévenir, ou détecter et corriger, les
anomalies. Aussi, dans de nombreux cas, le risque inhérent et celui lié au contrôle sont-ils
étroitement liés. Dans ce cas, si l’expert-comptable tente d’évaluer séparément le risque
inhérent et le risque lié au contrôle, son évaluation risque d’être incorrecte. Il est donc
préférable d’évaluer le risque d’audit en évaluant ensemble ces deux composants.
Risque de non détection
41. Le niveau du risque de non détection dépend directement des contrôles substantifs
réalisés. L’évaluation du risque lié au contrôle et du risque inhérent effectuée par
l’expert-comptable conditionne la nature, le calendrier et l’étendue des contrôles
substantifs à mettre en oeuvre pour réduire le risque de non détection et, par conséquent,
le risque d’audit, à un niveau acceptable faible. Il est toutefois impossible d’éliminer tout
risque de non détection, même en examinant les soldes de comptes ou les catégories
d’opérations de façon exhaustive, car la plupart des éléments probants collectés
conduisent davantage à des déductions qu'à des certitudes.
42. L’expert-comptable tient compte de l’évaluation du niveau du risque inhérent et de
celui du risque lié au contrôle pour déterminer la nature, le calendrier et l’étendue
des contrôles substantifs nécessaires pour réduire le risque d’audit à un niveau
acceptable faible. A cette fin, il considère :
(a) la nature des contrôles substantifs à effectuer, en utilisant, par exemple, des contrôles
visant à obtenir des confirmations directes de tiers indépendants à l’entité plutôt que
des contrôles visant à obtenir de la documentation interne, ou des contrôles détaillés
permettant de répondre à un objectif d’audit donné en complément de procédures
analytiques,
(b) le calendrier de la mise en oeuvre des contrôles substantifs, par exemple en les
exécutant à la fin de l’exercice plutôt qu’à une date intercalaire, et,
(c) l’étendue des contrôles substantifs à effectuer, par exemple en utilisant un
échantillon plus large.
43. Il existe une relation inverse entre d’une part, le risque de non détection et, d’autre part, le
risque inhérent et le risque lié au contrôle. Par exemple, lorsque le risque inhérent et celui
lié au contrôle sont élevés, il convient de fixer un niveau de risque de non détection
faible, afin de réduire le risque d’audit à un niveau acceptable faible. Inversement,
lorsque le risque inhérent et celui lié au contrôle sont faibles, on peut accepter un niveau
de risque de non détection plus élevé tout en réduisant le risque d’audit à un niveau
acceptable faible. L’annexe explicite la relation entre les différents composants du risque
d’audit.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
13
44. Bien que les tests de procédures et les contrôles substantifs se distinguent de par leur
objet, les résultats qui en découlent peuvent les uns et les autres répondre aux objectifs de
chacun d’eux. Les anomalies découvertes lors des contrôles substantifs peuvent inciter
l’expert-comptable à revoir son évaluation du risque lié au contrôle. Il convient de se
reporter à l’annexe qui explique la relation entre les différents composants du risque
d’audit.
45. Une évaluation même à un niveau faible du risque inhérent et du risque lié au contrôle
n’élimine pas la nécessité d’effectuer des contrôles substantifs. Quelle que soit
l’évaluation du niveau du risque inhérent et du risque lié au contrôle, l’expertcomptable
met en oeuvre des contrôles substantifs pour les catégories d’opérations et
les soldes de comptes significatifs.
46. L’évaluation faite des composants du risque d’audit peut évoluer en cours de mission. Par
exemple, il est possible que l’expert-comptable découvre au cours des contrôles
substantifs des informations très différentes de celles sur la base desquelles ces risques
avaient été évalués à l’origine. Dans ce cas, il modifie ses contrôles substantifs en
fonction de la nouvelle évaluation du risque inhérent et de celui lié au contrôle.
47. Plus le risque inhérent et le risque lié au contrôle sont évalués à un niveau élevé,
plus l’expert-comptable réunit d’éléments probants provenant de contrôles
substantifs. Lorsque ces risques sont évalués à un niveau élevé, l’expert-comptable
détermine si les contrôles substantifs fournissent des éléments probants suffisants pour
réduire le risque de non détection, et donc le risque d’audit à un niveau acceptable faible.
Lorsqu’il constate que le risque de non-détection concernant une assertion soustendant
l’évaluation d’un solde de compte ou d’une catégorie d’opérations
significatif ne peut être réduit à un niveau acceptable faible, l’expert-comptable
exprime dans son rapport une opinion avec réserve ou un refus d’exprimer une
opinion pour cause d’impossibilité résultant d’une limitation dans l’étendue de ses
travaux.
Risque d’audit dans les petites entités
48. Le niveau d’assurance auquel parvient l’expert-comptable, pour exprimer une opinion
sans réserve sur les comptes, est le même quelle que soit la taille de l’entité. Toutefois, il
n’est pas possible de mettre en oeuvre, dans les petites entités, les mêmes contrôles
internes que dans les grandes. Par exemple, dans une petite entité, les procédures
comptables sont souvent appliquées par un nombre restreint de personnes chargées à la
fois de responsabilités opérationnelles et de contrôle, et la séparation des tâches fait alors
défaut ou est très limitée. Parfois, l’insuffisance de séparation des tâches est compensée
par un système de contrôle de gestion efficiente dans lequel des contrôles sont effectués
par le propriétaire/dirigeant qui s’appuie sur sa connaissance personnelle de l’entité et sa
participation active à l’exploitation. Si la séparation des tâches est limitée et si l’expertcomptable
ne parvient pas à établir l’existence de contrôles internes aux différents
niveaux hiérarchiques, les éléments probants permettant de fonder son opinion sur les
comptes seront alors obtenus exclusivement au moyen de contrôles substantifs.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
14
Communication des déficiences relevées
49. Dans le cadre de sa prise de connaissance des systèmes comptable et de contrôle interne
et des tests de procédures, l’expert-comptable peut relever des déficiences dans le
fonctionnement de ces systèmes. L’expert-comptable communique à la direction,
dans les meilleurs délais et dans les formes qu’il juge utiles, celles des déficiences
relevées dans la conception ou le fonctionnement des systèmes comptable et de
contrôle interne qu’il considère importantes. La communication des déficiences à la
direction s’effectue en général par écrit. Toutefois, si l’expert-comptable estime qu’une
communication orale suffit, cette dernière sera documentée dans les dossiers de travail. Il
est important d’indiquer dans la communication faite que seules les déficiences relevées
dans le cadre de la mission sont signalées et que l’examen effectué ne visait pas à
déterminer l’adéquation des contrôles internes aux objectifs fixés par la direction.
50. Outre la communication ainsi faite à la direction, l’expert-comptable apprécie s’il
convient de porter à la connaissance des personnes chargées du gouvernement
d’entreprise les déficiences majeures relevées.
Date d’application
51. La présente norme d’audit est applicable à partir du 1er janvier 2002.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
15
Recommandations
1
SOMMAIRE
Pages
Introduction....................................................................................................................2
Risque inhérent................................................................................................................4
Systèmes comptable et de contrôle interne .....................................................................5
Risque lié au contrôle......................................................................................................8
Lien entre l'évaluation du risque inhérent et l’évaluation du risque lié au contrôle .......12
Risque de non détection..................................................................................................12
Risque d’audit dans les petites entités.............................................................................13
Communication des déficiences relevées........................................................................14
Annexe : Illustration de la relation entre les composants du risque d’audit ..................15
Les normes d’audit transposées à partir des normes internationales d’audit publiées par
l’International Federation of Accountants (IFAC) s’appliquent à l’audit des comptes. Elles
s’appliquent également, sous réserve d’effectuer les adaptations nécessaires, à l’audit
d’autres informations.
Les normes présentent les principes fondamentaux (imprimés en caractères gras) ainsi que
leurs modalités d’application fournies sous forme d’explications et d’informations
complémentaires. Les principes fondamentaux doivent être interprétés à la lumière de ces
explications et de ces informations.
Pour comprendre et mettre en oeuvre ces principes fondamentaux, et leurs modalités
d’application, il ne faut pas tenir compte uniquement du texte en caractères gras de la norme.
Celle-ci doit être considérée dans son intégralité, avec les explications et informations qui y
sont contenues.
Dans des cas exceptionnels, l’expert-comptable, en sa qualité d’auditeur, peut estimer
nécessaire de s’écarter d’une norme afin d’atteindre plus efficacement l’objectif de l’audit. Il
doit alors être en mesure de justifier son choix.
Les normes ne s’appliquent qu’aux questions dont l’importance relative le justifie.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
2
Introduction
1. La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs
modalités d’application relatives à la prise de connaissance des systèmes comptable et de
contrôle interne ainsi qu’à l'évaluation du risque d’audit et de ses composants : risque
inhérent, risque lié au contrôle et risque de non détection.
2. L’expert-comptable prend connaissance des systèmes comptable et de contrôle
interne pour planifier sa mission et concevoir une approche d’audit efficace. Il
exerce son jugement professionnel pour évaluer le risque d’audit et définir des
procédures visant à le réduire à un niveau acceptable faible.
3. Le “ risque d’audit ” est le risque que l’expert-comptable exprime une opinion incorrecte
alors qu’il existe des anomalies significatives dans les comptes. Il se subdivise en trois
composants : le risque inhérent, le risque lié au contrôle et le risque de non-détection.
4. Le “ risque inhérent ” est la possibilité, en l’absence des contrôles internes liés, que le
solde d’un compte ou qu’une catégorie d’opérations comporte des anomalies
significatives isolées ou cumulées avec des anomalies dans d’autres soldes ou catégories
d’opérations.
5. Le “ risque lié au contrôle ” est le risque qu’une anomalie dans un solde de compte ou
dans une catégorie d’opérations, prise isolément ou cumulée avec des anomalies dans
d’autres soldes de comptes ou d’autres catégories d’opérations, soit significative et ne soit
ni prévenue, ni détectée par les systèmes comptable et de contrôle interne et donc non
corrigée en temps voulu.
6. Le “ risque de non détection ” est le risque que les contrôles mis en oeuvre par l’expertcomptable
ne parviennent pas à détecter une anomalie dans un solde de compte ou dans
une catégorie d’opérations qui, isolée ou cumulée avec des anomalies dans d’autres
soldes de comptes ou d’autres catégories d’opérations, serait significative.
7. Le “ système comptable ” est l’ensemble des procédures et des documents d’une entité
permettant le traitement des opérations aux fins de leur enregistrement dans les comptes.
Ce système identifie, rassemble, analyse, calcule, classe, enregistre, récapitule et produit
des documents retraçant les opérations et autres événements intervenus au cours d’une
période.
8. Le “ système de contrôle interne ” est l’ensemble des politiques et procédures (contrôles
internes) mises en oeuvre par la direction d’une entité en vue d’assurer, dans la mesure du
possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le
respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection
des fraudes et des erreurs, l’exactitude et l’exhaustivité des enregistrements comptables et
l'établissement en temps voulu d’informations financières ou comptables fiables. Le
système de contrôle interne s’entend au-delà des domaines directement liés au système
comptable. Il comprend :
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
3
(a) L’ « environnement général de contrôle interne » qui est l’ensemble des comportements,
degrés de sensibilisation et actions de la direction (y compris le gouvernement
d’entreprise) concernant le système de contrôle interne et son importance dans l’entité.
Cet environnement a une incidence sur l’efficience des procédures de contrôle interne
spécifiques. Par exemple, un environnement de contrôle interne organisé, comportant des
contrôles budgétaires stricts et une fonction d’audit interne efficiente, complète
efficacement les procédures de contrôle interne spécifiques. Toutefois, un environnement
de contrôle interne organisé ne constitue pas, en soi, une garantie d’efficience du système
de contrôle interne. Les éléments essentiels qui constituent l’environnement général du
contrôle interne sont les suivants :
• la philosophie et le style de direction ;
• la fonction du conseil d’administration et de ses comités ;
• la structure de l’entité et les méthodes de délégation de pouvoirs et de
responsabilités ;
• le système de contrôle de la direction comprenant la fonction d’audit interne, les
politiques et les procédures relatives au personnel ainsi que la répartition des
tâches.
(b) Les “ procédures de contrôle ”, qui désignent les politiques et procédures définies par la
direction afin d’atteindre les objectifs spécifiques de l’entité, et qui sont complémentaires
à l’environnement général de contrôle interne. Ces procédures comprennent notamment
les éléments suivants :
• l’établissement, la revue et l’approbation des rapprochements de comptes ;
• le contrôle des applications et de l’environnement informatique, par exemple en
prévoyant des contrôles sur :
- les modifications de logiciels,
- l’accès aux fichiers de données.
• la tenue régulière d’une comptabilité ;
• l’approbation et le contrôle des pièces justificatives ;
• la comparaison des données internes avec des sources externes d’information ;
• l’inventaire physique des actifs (immobilisations, stock, etc.) et la comparaison
avec les données de la comptabilité ;
• la restriction de l’accès physique aux actifs et aux documents ;
• la comparaison et l’analyse des réalisations avec les données budgétaires.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
4
9. Dans le cadre de sa mission d’audit des comptes, l’expert-comptable ne s’intéresse
qu’aux politiques et procédures concernant les systèmes comptable et de contrôle interne
ayant une incidence sur les assertions sous-tendant l’établissement de ces comptes. La
compréhension des aspects pertinents de ces systèmes comptable et de contrôle interne et
l’évaluation du risque inhérent ainsi que du risque lié au contrôle permettent à
l’expert-comptable :
(a) d’identifier les types d’anomalies significatives potentielles qui peuvent avoir une
incidence sur les comptes,
(b) de prendre en considération les facteurs qui peuvent engendrer des risques
d’anomalies significatives, et
(c) de définir des procédures d’audit appropriées.
10. En définissant l’approche d’audit, l’expert-comptable tient compte de l’évaluation
préliminaire du risque lié au contrôle (en association étroite avec l’évaluation du risque
inhérent) pour déterminer le risque de non détection acceptable ainsi que la nature, le
calendrier et l’étendue des contrôles substantifs à mettre en oeuvre.
Risque inhérent
11. Lors de l’élaboration du plan de mission, l’expert-comptable évalue le risque
inhérent au niveau des comptes pris dans leur ensemble. Dans la définition du
programme de travail, l’expert-comptable prend en considération cette évaluation
pour apprécier les assertions retenues pour chaque catégorie d’opérations et pour
les soldes de comptes significatifs, ou part du principe que ces assertions présentent
un risque inhérent élevé.
12. Pour évaluer le risque inhérent, l’expert-comptable exerce son jugement professionnel
pour évaluer divers facteurs tels que :
Au niveau des comptes pris dans leur ensemble
• l'intégrité de la direction ;
• l’expérience et les connaissances des dirigeants ainsi que les changements au sein de
l’équipe de direction intervenus durant l’exercice. Le niveau d’expérience des
dirigeants peut par exemple avoir des répercussions sur l'établissement des comptes de
l’entité ;
• les pressions inhabituelles exercées sur la direction, notamment les circonstances qui
pourraient l’inciter à présenter des comptes inexacts, telles qu'un nombre élevé de
faillites dans le secteur d’activité ou une entité qui ne dispose pas de fonds propres
suffisants pour poursuivre ses activités ;
• la nature des activités de l’entité. Par exemple, l’obsolescence technologique
potentielle de ses produits ou de ses services, la complexité dans la détention de son
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
5
capital, l’importance des parties liées, le nombre de centres de production et la
dispersion de leur implantation géographique ;
• ceux influençant le secteur dans lequel opère l’entité, telles que les conditions
économiques et concurrentielles mises en évidence par les tendances et les ratios
financiers ainsi que les innovations technologiques, l’évolution du marché et les
pratiques comptables du secteur.
Au niveau du solde des comptes et des catégories d’opérations.
• les comptes pouvant comporter des anomalies, tels que ceux enregistrant des écritures
de redressement au titre d’exercices antérieurs ou reposant en grande partie sur des
estimations ;
• la complexité des opérations sous-jacentes ou d’autres événements qui peuvent
nécessiter l’intervention d’un expert ;
• le degré de jugement intervenant dans la détermination des valeurs d’inventaires ;
• la vulnérabilité des actifs aux pertes ou aux détournements, par exemple des actifs
attractifs ou faciles à détourner tels que la trésorerie ;
• l'enregistrement d'opérations inhabituelles ou complexes, notamment à la clôture de
l’exercice ou à une date proche ;
• des opérations non soumises aux traitements habituels.
Systèmes comptable et de contrôle interne
13. Les contrôles internes relatifs au système comptable permettent de remplir les objectifs
suivants :
• les opérations ne peuvent être effectuées qu'avec une autorisation générale ou
particulière de la direction ;
• toutes les opérations et les événements sont enregistrés rapidement dans la période
comptable correspondante afin de permettre la préparation des comptes conformément
à un référentiel comptable identifié ;
• l’accès aux actifs et aux documents comptables n'est possible que sur autorisation de la
direction ;
• les actifs enregistrés sont comparés aux actifs physiques existants à des intervalles
réguliers et des mesures appropriées sont prises en cas d’écarts constatés.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
6
Limites inhérentes aux contrôles internes
14. Les systèmes comptable et de contrôle interne ne donnent pas à la direction la certitude
que les objectifs fixés sont atteints, et ce en raison des limites inhérentes au
fonctionnement de tout système. Ces limites sont les suivantes :
• le coût d’un contrôle interne ne doit pas excéder les avantages escomptés de ce
contrôle ;
• la plupart des contrôles internes portent sur des opérations répétitives et non sur des
opérations non récurrentes ;
• le risque d’erreur humaine due à la négligence, à la distraction, aux erreurs de
jugement ou à la mauvaise compréhension des instructions ne peut être totalement
éliminé ;
• la possibilité d’échapper aux contrôles internes par la collusion d’un membre de la
direction ou d’un employé avec d’autres personnes internes ou externes à l’entité ;
• l’éventualité qu’une personne chargée de réaliser un contrôle interne abuse de ses
prérogatives, par exemple un membre de la direction passant outre le contrôle ;
• la possibilité que les procédures ne soient plus adaptées en raison de l’évolution de la
situation, et donc que les procédures ne soient plus appliquées.
Compréhension des systèmes comptable et de contrôle interne
15. Lors de la prise de connaissance des systèmes comptable et de contrôle interne en vue de
planifier l’audit, l’expert-comptable acquiert la connaissance de la conception et du
fonctionnement de ces systèmes, par exemple, en effectuant un “ test de conformité ”
permettant de suivre certaines opérations dans le système comptable. Lorsque les
opérations sélectionnées sont représentatives de celles traitées par le système, cette
procédure peut être intégrée aux « tests de procédures ». La nature et l’étendue des tests
de conformité effectués par l’expert-comptable sont telles qu’elles ne suffisent cependant
pas à elles seules à réunir suffisamment d’éléments probants pour étayer une évaluation
du risque lié au contrôle à un niveau faible ou moyen.
16. La nature, le calendrier et l’étendue des procédures mises en oeuvre par l’expertcomptable
pour comprendre les systèmes comptable et de contrôle interne varient en
fonction, notamment, des critères suivants :
• taille et complexité de l’entité et de son système informatique ;
• seuil de signification ;
• types de contrôles internes conc ernés ;
• nature de la documentation de l’entité en matière de contrôles internes spécifiques ;
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
7
• évaluation par l’expert-comptable du risque inhérent.
17. En règle générale, pour comprendre les systèmes comptable et de contrôle interne
affectant sa mission, l’expert-comptable s’appuie sur son expérience antérieure de l’entité
et a recours à :
(a) des entretiens avec les dirigeants, les cadres et le personnel des différents échelons
hiérarchiques de l’entité et à la documentation existante (manuels de procédures,
description des postes, organigrammes, etc.),
(b) la vérification des documents et des informations issus des systèmes comptable et de
contrôle interne, et,
(c) l’observation des activités et des opérations de l’entité, y compris l’orga nisation du
système informatique, le personnel d’encadrement et la nature des traitements
informatisés, etc.
Système comptable
18. L’expert-comptable prend connaissance du système comptable pour identifier et
comprendre :
(a) les principales catégories d’opérations résultant des activités de l’entité,
(b) la source de ces opérations,
(c) l’organisation de la comptabilité dans les domaines significatifs, la nature des
documents justificatifs et le contenu des postes et des rubriques des comptes,
(d) l’origine des opérations et événements significatifs jusqu’à leur enregistrement
dans les comptes, et,
(e) le processus d’établissement des comptes ou documents comptables et financiers
de synthèse.
Environnement général de contrôle interne
19. L’expert-comptable prend connaissance de l’environnement général de contrôle
interne pour évaluer les comportements, degrés de sensibilisation et actions de la
direction (y compris le gouvernement d’entreprise) concernant les contrôles internes
et leur importance dans l’entité.
Procédures de contrôle
20. L’expert-comptable prend connaissance des procédures de contrôle pour élaborer le
plan de mission. Pour ce faire, il détermine l’existence ou l’absence de procédures de
contrôle en analysant l’environnement général de contrôle interne et le système
comptable afin de décider s’il convient d’approfondir sa compréhension des procédures
de contrôle. Celles-ci étant liées à l’environnement général de contrôle interne et au
système comptable, l’expert-comptable se familiarise en même temps avec les procédures
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
8
de contrôle ; par exemple, en analysant le fonctionnement du système comptable
concernant la trésorerie, l’expert-comptable sera à même de déterminer si les
rapprochements bancaires sont effectués. En règle générale, il n’est pas nécessaire, pour
élaborer le plan d’audit, de connaître toutes les procédures de contrôle relatives à chacune
des assertions sous-tendant chaque solde de compte ou catégorie d’opérations.
Risque lié au contrôle
Evaluation préliminaire du risque lié au contrôle
21. L’évaluation préliminaire du risque lié au contrôle consiste à apprécier l’efficacité des
systèmes comptable et de contrôle interne de l’entité en termes de prévention ou de
détection et de correction des anomalies significatives. Le risque lié au contrôle ne peut
toutefois pas être entièrement éliminé en raison des limites inhérentes à tout système
comptable et de contrôle interne.
22. Après avoir pris connaissance des systèmes comptable et de contrôle interne,
l’expert-comptable procède à une évaluation préliminaire du risque lié au contrôle,
au niveau des assertions sous-tendant chaque solde de compte ou catégorie
d’opérations significatif.
23. L’expert-comptable fixe en général un niveau de risque lié de contrôle élevé pour
certaines ou pour toutes les assertions lorsque :
(a) les systèmes comptable et de contrôle interne ne sont pas appliqués effectivement ;
ou,
(b) l'évaluation du fonctionnement effectif des systèmes comptable et de contrôle interne
de l’entité ne constituerait pas une démarche d’audit efficace.
24. L’évaluation préliminaire du risque lié au contrôle pour une assertion sous-tendant
l’établissement des comptes est fixée à un niveau élevé, sauf si l’expert-comptable :
(a) parvient à identifier des contrôles internes appliqués à cette assertion et
susceptibles de prévenir ou détecter et corriger une anomalie significative, et,
(b) envisage de réaliser des tests de procédures pour conforter son évaluation.
Documentation de la prise de connaissance et de l’évaluation du risque lié au contrôle
25. L’expert-comptable réunit dans ses dossiers de travail une documentation relative
à :
(a) son analyse des systèmes comptable et de contrôle interne de l’entité, et,
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
9
(b) son évaluation du risque lié au contrôle. En cas d’évaluation d’un risque de niveau
inférieur à un risque élevé, l’expert-comptable documente également les éléments sur
lesquels se fondent ses conclusions.
26. Différentes techniques peuvent être utilisées pour documenter l'analyse des systèmes
comptable et de contrôle interne. L’expert-comptable est libre d’opter pour la technique
de son choix. Parmi celles les plus couramment utilisées, seules ou combinées, on
relèvera les descriptions narratives, les questionnaires, les listes de contrôle et les
diagrammes. La forme et l’étendue de la documentation dépendent de la taille et de la
complexité de l’entité ainsi que de la nature de ses systèmes comptable et de contrôle
interne. En général, plus les systèmes sont complexes, plus les procédures d’analyse
seront étendues et la documentation développée.
Tests de procédures
27. Les tests de procédures sont effectués afin d’obtenir des éléments probants sur
l’efficacité :
(a) de la conception des systèmes comptable et de contrôle interne, afin de déterminer si
leur conception permet de prévenir ou de détecter et de corriger les anomalies
significatives, et,
(b) du fonctionnement des contrôles internes durant l’exercice.
28. Il est possible que certaines des procédures mises en oeuvre afin d’ana lyser les systèmes
comptable et de contrôle interne n’aient pas été spécifiquement conçues à l’origine en
tant que tests de procédures. Elles peuvent néanmoins fournir des éléments probants sur
l’efficacité de la conception et du fonctionnement des contrôles internes concernant
certaines assertions et serviront alors de tests de procédures. Par exemple, pour analyser
le fonctionnement du système comptable et de contrôle interne relatif à la fonction
trésorerie, l’expert-comptable peut avoir rassemblé des éléments probants sur l’efficacité
du processus de préparation des rapprochements bancaires au moyen de demandes
d’informations et d’observations.
29. Lorsque l’expert-comptable constate que les tests de conformité réalisés lors de la prise
de connaissance des systèmes comptable et de contrôle interne fournissent également des
éléments probants sur l’efficacité de la conception et du fonctionnement des politiques et
des procédures appliquées à une assertion particulière sous-tendant l’établissement des
comptes, il peut les utiliser, à condition toutefois qu’ils soient suffisants pour justifier une
évaluation du risque lié au contrôle de niveau inférieur à un risque élevé.
30. Les tests de procédures peuvent comprendre :
• l'examen des documents justifiant les opérations et d’autres procédures visant à
rassembler des éléments probants sur le bon fonctionnement des contrôles internes, par
exemple la vérification qu’une opération donnée a été autorisée ;
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
10
• des demandes d’informations et l’observation des contrôles internes qui ne laissent
aucune trace matérielle, par exemple pour déterminer précisément qui effectue chaque
tâche, et pas simplement la personne qui est censée l’effectuer ;
• une vérification des contrôles internes, par exemple des rapprochements bancaires,
afin de s’assurer qu’ils ont été correctement réalisés.
31. L’expert-comptable réunit des éléments probants au moyen de tests de procédures
pour justifier d’une évaluation du risque lié au contrôle à un niveau inférieur à un
niveau élevé. Plus le risque lié au contrôle est évalué à un niveau faible, plus
l’expert-comptable devra réunir d’éléments probants montrant que les systèmes
comptable et de contrôle interne sont correctement conçus et fonctionnent
efficacement.
32. Pour réunir des éléments probants sur le bon fonctionnement des contrôles internes,
l’expert-comptable examine comment ces contrôles ont été réalisés et la permanence de
leur application, durant la période, et identifie la personne qui les a effectués. Le bon
fonctionnement n’exclut pas certaines déviations par rapport aux contrôles prescrits.
Celles-ci peuvent être imputées à certains événements, tels qu’un changement intervenu
dans le personnel occupant des postes clés, des fluctuations saisonnières significatives en
terme de volume d’opérations ou une erreur humaine. Lorsque des déviations sont
détectées, l’expert-comptable procède à des investigations spécifiques concernant leur
cause, par exemple le moment où sont intervenus les changements du personnel chargé
des fonctions de contrôle interne. Il s’assure ensuite que les tests de procédures couvrent
la période des changements ou de fluctuations en question.
33. L’objectif des tests de procédures dans un environnement informatique est le même que
dans un environnement manuel. Toutefois, certaines procédures d’audit peuvent différer.
L’expert-comptable peut juger nécessaire ou préférer utiliser des techniques d’audit
assistées par ordinateur. L’emploi de telles techniques, par exemple des programmes
d’interrogation de fichiers ou des programmes d’audit tests, peuvent s’avérer utiles
lorsque les systèmes comptable et de contrôle interne ne fournissent aucun élément
visible pour prouver la performance effective des contrôles internes programmés dans un
système informatisé.
34. En fonction des résultats des tests de procédures, l’expert-comptable détermine si
les contrôles internes sont conçus et fonctionnent conformément à son évaluation
préliminaire du risque lié au contrôle. L’examen des déviations peut le conduire à
réviser le niveau de risque lié au contrôle. Dans ce cas, l’expert-comptable modifie la
nature, le calendrier et l’étendue des contrôles substantifs prévus.
Qualité et date d’obtention des éléments probants
35. Certains types d’éléments probants sont plus fiables que d’autres. En général, ceux issus
des observations de l’expert-comptable sont plus fiables que ceux provenant des
demandes d’informations. Par exemple, l’expert-comptable peut se procurer des éléments
probants sur la séparation des tâches en observant les personnes appliquant une procédure
de contrôle ou en demandant des informations au personnel concerné. Toutefois, les
éléments probants obtenus par certains tests de procédures, tels que l’observation, n’ont
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
11
de valeur qu’au moment précis où le contrôle a été effectué. L’expert-comptable peut par
conséquent décider de compléter ces contrôles par d’autres tests de procédures permettant
de recueillir des éléments probants sur d’autres périodes de l’exercice.
36. Pour déterminer les éléments probants nécessaires pour étayer une conclusion relative au
risque lié au contrôle, l’expert-comptable peut tenir compte des éléments probants réunis
au titre des exercices précédents. En général, l’expert-comptable ayant une connaissance
des systèmes comptable et de contrôle interne grâce aux travaux précédemment effectués,
il actualise sa connaissance et considère la nécessité de compléter les éléments probants
précédemment obtenus par d’autres, relatifs aux modifications intervenues. En
conséquence, avant de s'appuyer sur le résultat des procédures mises en oeuvre au
titre des exercices précédents, l’expert-comptable réunit des éléments probants
justifiant que ceux-ci restent valables. Ces éléments peuvent concerner la nature, le
calendrier et l’étendue des modifications intervenues dans les systèmes comptable et de
contrôle interne depuis la réalisation de la mission précédente. L’expert-comptable évalue
alors leur incidence sur la fiabilité du système sur lequel il estime pouvoir s’appuyer. Plus
la mise en oeuvre de ces procédures est ancienne, moins l’assurance qui en découle est
grande.
37. L’expert-comptable détermine si les mêmes contrôles internes ont été appliqués tout
au long de la période. Si des contrôles de nature différente ont été appliqués à différents
moments de la période, l’expert-comptable les considère individuellement. Une
interruption dans la continuité des contrôles internes durant une période spécifique
requiert une étude séparée de la nature, du calendrier et de l’étendue des procédures
d’audit à appliquer aux opérations et aux autres événements de cette période.
38. L’expert-comptable peut décider d’effectuer des tests de procédures en cours d’année.
Toutefois, il ne peut se contenter des seuls résultats de ces tests et rassemble d’autres
éléments pour le reste de l’exercice. Les facteurs déterminants à prendre en considération
pour décider de contrôles complémentaires sont les suivants :
• résultats des tests intercalaires ;
• durée de la période restant à courir jusqu’à la fin de l’exercice ;
• modifications intervenues dans les systèmes comptable et de contrôle interne durant la
période restante ;
• nature et montant des opérations, des autres événements et des soldes des comptes
concernés ;
• environnement général de contrôle interne, en particulier contrôles aux différents
niveaux hiérarchiques ;
• contrôles substantifs que l’expert-comptable souhaite mettre en oeuvre.
Evaluation finale du risque lié au contrôle
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
12
39. Avant de tirer les conclusions de sa mission, basées sur le résultat des contrôles
substantifs et des autres éléments probants collectés durant l’audit, l’expertcomptable
détermine si son évaluation du risque lié au contrôle est confirmée.
Lien entre l'évaluation du risque inhérent et l’évaluation du risque lié au contrôle
40. Pour réduire le risque inhérent, la direction d’une entité est amenée à mettre en place des
systèmes comptable et de contrôle interne afin de prévenir, ou détecter et corriger, les
anomalies. Aussi, dans de nombreux cas, le risque inhérent et celui lié au contrôle sont-ils
étroitement liés. Dans ce cas, si l’expert-comptable tente d’évaluer séparément le risque
inhérent et le risque lié au contrôle, son évaluation risque d’être incorrecte. Il est donc
préférable d’évaluer le risque d’audit en évaluant ensemble ces deux composants.
Risque de non détection
41. Le niveau du risque de non détection dépend directement des contrôles substantifs
réalisés. L’évaluation du risque lié au contrôle et du risque inhérent effectuée par
l’expert-comptable conditionne la nature, le calendrier et l’étendue des contrôles
substantifs à mettre en oeuvre pour réduire le risque de non détection et, par conséquent,
le risque d’audit, à un niveau acceptable faible. Il est toutefois impossible d’éliminer tout
risque de non détection, même en examinant les soldes de comptes ou les catégories
d’opérations de façon exhaustive, car la plupart des éléments probants collectés
conduisent davantage à des déductions qu'à des certitudes.
42. L’expert-comptable tient compte de l’évaluation du niveau du risque inhérent et de
celui du risque lié au contrôle pour déterminer la nature, le calendrier et l’étendue
des contrôles substantifs nécessaires pour réduire le risque d’audit à un niveau
acceptable faible. A cette fin, il considère :
(a) la nature des contrôles substantifs à effectuer, en utilisant, par exemple, des contrôles
visant à obtenir des confirmations directes de tiers indépendants à l’entité plutôt que
des contrôles visant à obtenir de la documentation interne, ou des contrôles détaillés
permettant de répondre à un objectif d’audit donné en complément de procédures
analytiques,
(b) le calendrier de la mise en oeuvre des contrôles substantifs, par exemple en les
exécutant à la fin de l’exercice plutôt qu’à une date intercalaire, et,
(c) l’étendue des contrôles substantifs à effectuer, par exemple en utilisant un
échantillon plus large.
43. Il existe une relation inverse entre d’une part, le risque de non détection et, d’autre part, le
risque inhérent et le risque lié au contrôle. Par exemple, lorsque le risque inhérent et celui
lié au contrôle sont élevés, il convient de fixer un niveau de risque de non détection
faible, afin de réduire le risque d’audit à un niveau acceptable faible. Inversement,
lorsque le risque inhérent et celui lié au contrôle sont faibles, on peut accepter un niveau
de risque de non détection plus élevé tout en réduisant le risque d’audit à un niveau
acceptable faible. L’annexe explicite la relation entre les différents composants du risque
d’audit.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
13
44. Bien que les tests de procédures et les contrôles substantifs se distinguent de par leur
objet, les résultats qui en découlent peuvent les uns et les autres répondre aux objectifs de
chacun d’eux. Les anomalies découvertes lors des contrôles substantifs peuvent inciter
l’expert-comptable à revoir son évaluation du risque lié au contrôle. Il convient de se
reporter à l’annexe qui explique la relation entre les différents composants du risque
d’audit.
45. Une évaluation même à un niveau faible du risque inhérent et du risque lié au contrôle
n’élimine pas la nécessité d’effectuer des contrôles substantifs. Quelle que soit
l’évaluation du niveau du risque inhérent et du risque lié au contrôle, l’expertcomptable
met en oeuvre des contrôles substantifs pour les catégories d’opérations et
les soldes de comptes significatifs.
46. L’évaluation faite des composants du risque d’audit peut évoluer en cours de mission. Par
exemple, il est possible que l’expert-comptable découvre au cours des contrôles
substantifs des informations très différentes de celles sur la base desquelles ces risques
avaient été évalués à l’origine. Dans ce cas, il modifie ses contrôles substantifs en
fonction de la nouvelle évaluation du risque inhérent et de celui lié au contrôle.
47. Plus le risque inhérent et le risque lié au contrôle sont évalués à un niveau élevé,
plus l’expert-comptable réunit d’éléments probants provenant de contrôles
substantifs. Lorsque ces risques sont évalués à un niveau élevé, l’expert-comptable
détermine si les contrôles substantifs fournissent des éléments probants suffisants pour
réduire le risque de non détection, et donc le risque d’audit à un niveau acceptable faible.
Lorsqu’il constate que le risque de non-détection concernant une assertion soustendant
l’évaluation d’un solde de compte ou d’une catégorie d’opérations
significatif ne peut être réduit à un niveau acceptable faible, l’expert-comptable
exprime dans son rapport une opinion avec réserve ou un refus d’exprimer une
opinion pour cause d’impossibilité résultant d’une limitation dans l’étendue de ses
travaux.
Risque d’audit dans les petites entités
48. Le niveau d’assurance auquel parvient l’expert-comptable, pour exprimer une opinion
sans réserve sur les comptes, est le même quelle que soit la taille de l’entité. Toutefois, il
n’est pas possible de mettre en oeuvre, dans les petites entités, les mêmes contrôles
internes que dans les grandes. Par exemple, dans une petite entité, les procédures
comptables sont souvent appliquées par un nombre restreint de personnes chargées à la
fois de responsabilités opérationnelles et de contrôle, et la séparation des tâches fait alors
défaut ou est très limitée. Parfois, l’insuffisance de séparation des tâches est compensée
par un système de contrôle de gestion efficiente dans lequel des contrôles sont effectués
par le propriétaire/dirigeant qui s’appuie sur sa connaissance personnelle de l’entité et sa
participation active à l’exploitation. Si la séparation des tâches est limitée et si l’expertcomptable
ne parvient pas à établir l’existence de contrôles internes aux différents
niveaux hiérarchiques, les éléments probants permettant de fonder son opinion sur les
comptes seront alors obtenus exclusivement au moyen de contrôles substantifs.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
14
Communication des déficiences relevées
49. Dans le cadre de sa prise de connaissance des systèmes comptable et de contrôle interne
et des tests de procédures, l’expert-comptable peut relever des déficiences dans le
fonctionnement de ces systèmes. L’expert-comptable communique à la direction,
dans les meilleurs délais et dans les formes qu’il juge utiles, celles des déficiences
relevées dans la conception ou le fonctionnement des systèmes comptable et de
contrôle interne qu’il considère importantes. La communication des déficiences à la
direction s’effectue en général par écrit. Toutefois, si l’expert-comptable estime qu’une
communication orale suffit, cette dernière sera documentée dans les dossiers de travail. Il
est important d’indiquer dans la communication faite que seules les déficiences relevées
dans le cadre de la mission sont signalées et que l’examen effectué ne visait pas à
déterminer l’adéquation des contrôles internes aux objectifs fixés par la direction.
50. Outre la communication ainsi faite à la direction, l’expert-comptable apprécie s’il
convient de porter à la connaissance des personnes chargées du gouvernement
d’entreprise les déficiences majeures relevées.
Date d’application
51. La présente norme d’audit est applicable à partir du 1er janvier 2002.
ISA 400 : EVALUATION DU RISQUE ET CONTROLE INTERNE
15
Recommandations