Dans le cadre de sa mission de certification des comptes annuels, le commissaire aux comptes adopte une approche par les risques. Il identifie, évalue et hiérarchise les risques afin de concentrer ses travaux d’audit sur les zones les plus sensibles. Cette méthode permet d’obtenir l’assurance raisonnable de l’absence d’anomalies significatives dans les comptes, sans toutefois procéder à un contrôle exhaustif de l’ensemble des écritures. L’approche par les risques en audit légal s’appuie sur l’identification des risques et l’évaluation du contrôle interne et sur la conformité aux normes d’audit, conditionnant l’ensemble de la mission dès la phase de planification.
L’approche par les risques au cœur de la mission d’audit légal
L’audit légal : une assurance raisonnable, mais non absolue pour certifier les comptes
L’approche par les risques est au cœur des principes de l’audit légal.
Dans le cadre de sa mission d’audit légal, le commissaire aux comptes (CAC) certifie que les comptes annuels (ou consolidés) sont réguliers, sincères et donnent une image fidèle de la situation de l’organisation contrôlée. Il cherche pour cela à obtenir l’assurance raisonnable que les comptes de l’entreprise ne comportent pas d’anomalies significatives.
La notion d’« anomalies significatives » désigne les informations erronées ou omises, volontairement ou non, d’un montant suffisamment important pour influencer le jugement des utilisateurs des comptes.
Le commissaire aux comptes n’a donc pas à rechercher l’exhaustivité des erreurs qui pourraient avoir été commises par l’entreprise. Au contraire, il se concentre sur celles qui, seules ou cumulées, sont de nature à avoir une incidence significative sur l’information comptable et financière produite. Cette approche ciblée répond à un double intérêt : garantir la fiabilité de l’information financière et optimiser la gestion des ressources mises en œuvre pour la mission.
De la même manière, il doit obtenir une assurance « raisonnable », c’est-à-dire élevée, de l’absence d’anomalies significatives, mais il n’a pas à rechercher une assurance absolue.
Ainsi, la méthodologie de l’audit légal constitue le fondement méthodologique du commissaire aux comptes. Elle oriente son action vers les zones les plus sensibles et assure la pertinence de son opinion.
L’approche par les risques : un audit plus ciblé sur les zones à risque
L’approche par les risques consiste à identifier les données, les cycles, processus et domaines pour lesquels les risques de fraude ou d’erreur sont les plus élevés. Ce sont ces éléments qui seront contrôlés en priorité et de manière approfondie.
Cette approche s’articule en plusieurs étapes, réparties tout au long de la mission d’audit :
- identification et évaluation du risque d’anomalies significatives ;
- planification de la mission sur la base des risques identifiés ;
- mise en œuvre de contrôles adaptés qui ciblent en particulier les zones les plus exposées au risque.
L’approche par les risques se distingue de l’approche classique (l’audit complet des comptes) qui n’est plus utilisée aujourd’hui, sauf dans certains cas spécifiques. Cet audit complet consiste en un examen minutieux de l’exactitude de l’ensemble des enregistrements comptables.
L’approche par les risques permet au contraire au commissaire aux comptes de concentrer ses efforts là où ils sont les plus utiles, tout en renforçant la pertinence de son opinion.
Elle est moins coûteuse, tant en temps qu’en moyens, car elle cible les contrôles à réaliser. Elle favorise, par ailleurs, l’anticipation des problèmes avant la clôture de l’exercice et l’adaptation des travaux aux spécificités de l’entité.
La notion d’assertion : une grille de lecture de l’information financière
Pour apprécier le risque d’anomalies significatives, le commissaire aux comptes s’appuie notamment sur les assertions d’audit. Cette notion désigne les caractéristiques attendues de l’information financière. Par exemple, les écritures comptables doivent correspondre à des opérations qui sont réelles, enregistrées de manière exhaustive et évaluées au bon montant.
Ces assertions servent d’outil tout au long de la mission d’audit : le CAC identifie les assertions les plus à risque et adapte ses travaux de contrôle de manière à vérifier la qualité de l’information financière.
Risque d’audit et seuil de signification : les fondements de l’approche
Les trois composantes du risque d’audit
Toute entreprise est susceptible de commettre des erreurs dans l’évaluation et l’enregistrement de ses opérations ou la présentation de ses comptes.
Le risque d’audit est défini comme « le risque que le commissaire aux comptes exprime une opinion différente de celle qu’il aurait émise s’il avait identifié toutes les anomalies significatives dans les comptes » (norme NEP 200).
Il comprend trois composantes :
- le risque inhérent : c’est le risque qu’une anomalie significative se produise dans les comptes du fait de la nature des opérations de l’entité, de son activité ou de son environnement, indépendamment du contrôle interne ;
- le risque lié au contrôle : c’est le risque qu’une anomalie significative ne soit pas prévenue ou détectée par le contrôle interne de l’entreprise et ne soit donc pas corrigée ;
- le risque de non-détection : c’est le risque que le commissaire aux comptes ne détecte pas une anomalie significative.
Le risque inhérent et le risque lié au contrôle sont les deux sous-composantes du risque d’anomalies significatives.
Le commissaire aux comptes cherche à réduire son risque de non-détection. Il conçoit pour cela ses procédures d’audit en fonction de son évaluation du risque d’anomalies significatives. Son objectif est de limiter le risque d’audit à un niveau suffisamment faible pour obtenir l’assurance raisonnable dont il a besoin pour certifier ses comptes.
Le seuil de signification : un repère pour apprécier les anomalies
Pour appliquer l’approche par les risques, le commissaire aux comptes détermine un seuil de signification. Il s’agit du montant au-delà duquel l’anomalie est jugée significative. Plus précisément, il est défini comme le « montant au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont susceptibles d’être influencés » (NEP 320).
Pour déterminer ce seuil de signification, le commissaire aux comptes se base à la fois sur des éléments quantitatifs (chiffre d’affaires de l’entité, résultat courant, montant de ses capitaux propres) et sur son jugement professionnel.
Ce seuil joue notamment un rôle fondamental dans l’identification des cycles et des comptes à fort enjeu lors de la planification de la mission.
L’impact de l’approche par les risques durant la mission d’audit
L’approche par les risques intervient dès le début de la mission d’audit, puis tout au long de l’exécution des travaux.
La prise de connaissance et l’évaluation du risque inhérent
Durant la phase d’intérim (avant la clôture des comptes), le CAC commence par procéder à une prise de connaissance de l’entreprise, de ses particularités, et de son environnement. Il identifie ainsi les éléments susceptibles d’avoir une incidence significative sur les comptes, ainsi que les zones les plus à risque.
L’appréciation du contrôle interne pour adapter l’étendue des travaux d’audit
Le CAC apprécie également le contrôle interne de l’entité, c’est-à-dire les dispositifs de gestion et de conformité mis en place par l’organisation sont efficaces.
Il identifie si l’entreprise a introduit des procédures pertinentes et effectivement appliquées pour garantir, par exemple, que :
- les opérations sont enregistrées de manière exhaustive et pour leur montant exact ;
- la séparation des pouvoirs est respectée (la personne chargée de réaliser une opération n’est pas celle qui la valide ou contrôle son exécution) ;
- des contrôles sont mis en place aux étapes clés des processus (validations, rapprochements, autorisations, etc.) ;
- les tâches et les contrôles réalisés sont traçables et documentés afin de permettre leur suivi.
Le commissaire aux comptes détermine si le contrôle interne mis en place est de nature à réduire le risque d’anomalies significatives dans les comptes. S’il considère que les contrôles mis en place par l’entité sont pertinents, il peut alors adapter l’étendue de ses propres contrôles.
La planification de la mission ciblée sur les risques identifiés
Le commissaire aux comptes planifie la mission d’audit, à partir de son appréciation des risques et du contrôle interne.
Il établit un plan d’audit qui comprend notamment le calendrier d’intervention et les procédures de contrôle à mettre en œuvre. Il cible en particulier les cycles, les assertions et les opérations qui doivent faire l’objet de contrôles approfondis.
Travaux d’audit : des tests adaptés au niveau de risque
Après la clôture, le commissaire aux comptes, avec son équipe, procède à l’exécution des travaux d’audit. Ils réalisent notamment deux types de contrôles :
- des tests de procédure (tests de contrôle interne) ;
- des contrôles de substance (contrôle des pièces justificatives, observation physique, analyse des variations significatives…).
La nature et l’intensité des tests sont directement liées au niveau de risque évalué. Par exemple, si le contrôle interne a été jugé faible, le CAC privilégie les contrôles de substance.
Si besoin, le CAC réévalue le risque d’audit au cours de sa mission, en fonction des informations collectées. Cette réévaluation lui permet de modifier son plan de mission en conséquence, en ciblant davantage les zones sensibles ou en ajustant les moyens employés. Il peut, par exemple, faire appel à des collaborateurs plus expérimentés pour renforcer l’équipe d’audit.
En résumé, l’approche par les risques est centrale dans la méthodologie d’audit. Elle permet une meilleure allocation des ressources et assure une plus grande efficacité dans la détection des anomalies potentielles. Elle permet à l’auditeur d’adapter ses travaux d’audit aux spécificités de chaque entité contrôlée, afin de formuler une opinion pertinente sur la fiabilité des comptes.
