Risques-clés devant figurer systématiquement dans chaque dossier d’audit

7 novembre 2014

Est-ce que l’ICCI peut donner un avis clair sur la situation mentionnée ci-dessous ?

Dans le cadre de l'application des normes ISA dans les travaux d'audit, on saurait gré de bien vouloir préciser quels sont les risques clefs minimum devant figurer systématiquement dans chaque dossier.

En effet, suivant l’analyse, deux risques clefs doivent figurer systématiquement dans chaque dossier : Revenue recognition et Management override of controls.

 

Il semblerait que l'Institut des Réviseurs d'Entreprises mette en avant la sélection d'au minimum trois risques clefs.

---

Tout d’abord, l’ICCI souhaite préciser que la notion de « risque-clé » ne figure pas comme telle dans les normes ISA. En revanche, les normes ISA précisent les éléments suivants :

• Le risque d’audit (« audit risk ») : Risque que l’auditeur exprime une opinion inappropriée alors que les états financiers comportent des anomalies significatives. Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non-détection. (ISA 200, par. 13 (c)) ;
• Le risque de non-détection (« detection risk ») : Risque que les procédures mises en œuvre par l’auditeur pour réduire le risque d’audit à un niveau suffisamment faible pour être acceptable ne détectent pas une anomalie qui existe et qui pourrait être significative, qu’elle soit prise individuellement ou cumulée avec d’autres anomalies. (ISA 200, par.13 (e)) ;
• Le risque important (« significant risk ») : risque identifié et évalué d'anomalies significatives qui, selon le jugement du commissaire, requiert une attention particulière au cours de l'audit. (ISA 315, par. 4 (e)) ; et
• Le risque d’anomalies significatives (« risk of material misstatement ») : risque que les comptes annuels, avant audit, contiennent des anomalies significatives. Ce risque comprend deux composantes, définies comme suit au niveau des assertions : (i) le risque inhérent et (ii) le risque lié au contrôle interne (ISA 200, par. 13 (n)).

Par ailleurs, en application de la norme ISA 315, le commissaire doit identifier et évaluer les risques d’anomalies significatives provenant de fraudes tant au niveau des comptes annuels qu’au niveau des assertions retenues pour les flux d’opérations, les soldes de comptes et les informations fournies dans les comptes annuels.

 

En vertu du paragraphe 26 de la norme ISA 240, le risque de fraude dans la comptabilisation des produits (« revenue recognition ») est présumé et le commissaire doit préciser, dans sa documentation, si cette présomption est fondée ou non dans le cadre de sa mission et qu’en conséquence, il a identifié ou non la comptabilisation des produits comme étant un domaine de risques d’anomalies significatives provenant de fraudes.

 

Les risques d’anomalies significatives au niveau des comptes annuels se réfèrent aux risques qui affectent de façon diffuse les comptes annuels pris dans leur ensemble et qui peuvent potentiellement affecter plusieurs assertions. Les risques de cette nature ne sont pas nécessairement identifiables au niveau des flux d’opérations, des soldes de compte ou des informations fournies dans les comptes annuels. Ils sont plutôt le résultat de circonstances qui augmentent les risques d’anomalies significatives au niveau des assertions, par exemple à cause du contournement du contrôle interne par la direction (« management override of controls »). Les risques au niveau des états financiers peuvent être particulièrement pertinents dans la prise en compte par l’auditeur des risques d’anomalies significatives provenant de fraudes.

 

Concernant la sélection éventuelle de deux (ou trois) risques d’audit auxquels vous faites allusion dans votre question, nous pouvons vous confirmer que l’IRE n’a donné aucune directive ni indication dans ce sens.

 

En revanche, le Livre 2 des Guides de contrôle de qualité (« Mandat – Informations-clés ») à l’intention des inspecteurs reprend les mentions suivantes:

 

« Le contrôle de qualité mettra l'accent sur le contrôle des risques d'audit identifiés par le réviseur contrôlé. Veuillez préciser les domaines/rubriques considéré(e)s comme étant des risques d'audit importants (minimum 3) (p.ex. domaines/rubriques difficiles, significatives, complexes ou présentant un risque et ceux/celles étant les plus important(e)s en ce qui concerne l'expression d'un jugement). Veuillez indiquer pour chaque risque d'audit identifié et/ou compte significatif le cycle de contrôle interne concerné, ainsi que les rubriques des comptes annuels (comptes de bilan et comptes de résultat) impactés. En tant qu'inspecteur il y aura lieu de prendre en compte les risques d'audit identifiés et ainsi répondre aux questions reprises dans la feuille de travail « Mandat – contrôle » en vérifiant les travaux d'audit effectués par rapport à ces mêmes risques d'audit. ».

(…)

« Si vous n'avez pas retenu « la reconnaissance des revenus » et le « contournement des contrôles internes par la direction » (management override of controls) comme un risque d'audit, veuillez motiver cette absence de risque au sein de l'entité contrôlée. ».

 

Ces mentions ont pour but exclusif d’assister les inspecteurs dans leur travail de contrôle de qualité et ne constituent pas une guidance officielle de la part de l’IRE. La référence à trois risques d’audit importants vise exclusivement à inciter les inspecteurs à examiner au moins ce nombre de risques d’audit au cours de leur contrôle de qualité et ne signifie nullement que le commissaire n’aurait que trois risques à examiner dans son audit. Il pourrait être utile que les Guides de contrôle de qualité apportent cette précision.