Démarche d’audit adaptée aux zones de risques de l’entreprise auditée
3. Développement d’une démarche d’audit adaptée aux zones de risques de l’entreprise auditée
Lors de l’exécution de la mission, le commissaire aux comptes doit développer et maintenir une politique de rigueur crédible. En effet, une démarche structurée lui permettant d’identifier les risques et d’apprécier leurs impacts sur la qualité des comptes s’avère essentielle.
D’après une grille de compétences comportementales et techniques inspirée des travaux du congrès de l’ordre des experts comptables de France en 2002, le commissaire aux comptes est appelé à développer une démarche méthodologique appropriée, repérer les zones de risques, les domaines significatifs et les points sensibles de l’entreprise; et, mettre en œuvre les procédures de contrôle spécifiques (Yaich, 2003, p 101).
L’approche d’audit par les risques, basée sur l’étude des transactions de l’entreprise cède progressivement la place à une nouvelle approche d’audit basée sur le risque d’affaire (Business Risk ».
Selon cette approche, appelée « approche d’audit stratégique », l’auditeur doit planifier et effectuer l’audit pour réduire le risque d’audit à un niveau faible acceptable (ISA 200, § 24).
Le risque d’audit est fonction du risque d’anomalies significatives contenues dans les états financiers et du risque que l’auditeur ne détecte pas de telles anomalies. « L’auditeur met en œuvre des procédures d’audit pour évaluer le risque d’anomalies significatives et tente de limiter le risque de non détection en réalisant des procédures d’audit complémentaires sur la base d’une telle évaluation » (ISA 200, § 25). A ce niveau les travaux d’audit passent par trois phases :
- Identification des risques
- Evaluation du risque d’anomalies significatives
- Procédure d’audit complémentaire
3-1 : Identification des risques
Dès le début de la mission, le commissaire aux comptes s’occupe d’identifier les dysfonctionnements qui peuvent exister au sein de l’entreprise. Ces dysfonctionnements sont des indicateurs d’anomalies qualifiés de « zones de risques ».
Selon ISA 315 (§ 4), l’auditeur doit acquérir une compréhension suffisante de l’entité et de son environnement, y compris de son contrôle interne, pour pouvoir identifier et évaluer le risque que les états financiers contiennent des anomalies significatives par suite de fraudes ou d’erreurs, et pour concevoir et mettre en œuvre une démarche d’audit appropriée.
La compréhension de l’entité et de son environnement implique notamment la compréhension des objectifs, stratégies et risques liés à l’activité21.
21 Les risques résultant de l’activité résultent de faits, de conditions de circonstances ou d’évènements qui peuvent empêcher l’entité d’atteindre ses objectifs et de mettre en œuvre ses stratégies.
La connaissance des risques liés à l’activité par l’auditeur augmente la possibilité d’identifier des risques d’anomalies significatives. Néanmoins, il n’est pas tenu d’identifier tous les risques liés à l’activité, il s’intéressera à ceux qui auront des conséquences financières et par la suite auront une incidence sur les états financiers.
Selon l’ISA 315 § 76, l’auditeur doit acquérir la connaissance, d’une part, du processus suivi par l’entité, pour identifier les risques liés à l’activité en rapport avec les objectifs de l’information financière et afin de décider des mesures adéquates à mettre en œuvre pour gérer ces risques; et d’autre part, des résultats de ce processus « processus d’évaluation des risques par l’entité ».
Ce processus permet à l’auditeur de comprendre la manière dont la direction identifie les risques, évalue la probabilité de leur existence, estime le caractère significatif de ces risques et les mesures à prendre pour les gérer.
Lorsque le processus d’évaluation des risques par l’entité est approprié à la situation de celle-ci, l’auditeur peut s’appuyer dessus pour identifier le risque d’anomalies significatives.
En revanche, l’auditeur pourrait identifier un risque d’anomalies significatives non couverts par les processus d’évaluation des risques de l’entité. Pour ces risques non recensés par la direction, appelés « risques résiduels » l’auditeur fixera des procédures d’audit complémentaires.
L’auditeur peut identifier aussi certaines zones de risques, à travers l’analyse des relations d’agence existantes et l’identification du tissu contractuel au sein de l’entreprise.
D’une façon générale les utilisateurs de l’information financière ont des intérêts différents voire contradictoires avec les intérêts de la direction qui prépare les états financiers.
En conséquence, pour garder son propre intérêt la direction à tendance à divulguer les bonnes informations et à dissimuler les mauvaises en biaisant ainsi les états financiers.
Selon Chemingui et Pigé (2004), la relation d’agence peut être conflictuelle ou non conflictuelle. Lorsqu’il existe un conflit d’intérêt entre deux acteurs A et B, cette relation s’avère essentielle en termes de risque d’audit et nécessite la mise en œuvre d’un certain nombre de techniques de contrôle.
En revanche, lorsque la relation entre ces deux acteurs est non conflictuelle, elle peut engendrer des risques extérieurs à cette relation qui peuvent être dommageable pour les autres acteurs et partenaires.
« Les deux premiers acteurs, se mettant d’accord sur des objectifs communs, vont constituer une coalition cherchant à maximiser son utilité même au détriment des autres parties » (Chemingui et Pigé, 2004, p 14).
A ce titre, « le partage ou la distribution d’une partie de la richesse de l’entreprise entre les deux parties complaisantes et le degré de vraisemblance des informations divulguées par l’une des parties à l’extérieur de la coalition constitueront des zones de risques prioritaires pour l’auditeur » (Chemingui et Pigé, 2004, p 15).
3-2 : Evaluation du risque d’anomalie significative
Au terme du § 100 de l’ISA 315, le commissaire aux comptes doit identifier et évaluer le risque d’anomalies significatives au niveau des états financiers et au niveau des assertions pour les flux d’opérations, des soldes de comptes et des informations fournies dans les états financiers. Pour évaluer ce risque, l’auditeur :
- relève les risques en prenant en considération les catégories d’opérations, les soldes de comptes et les informations fournies dans les états financiers,
- établit le lien entre les risques identifiés et les problèmes constatés au niveau des assertions,
- se demande si l’ampleur des risques pourrait engendrer des anomalies significatives dans les états financiers,
- détermine la probabilité que les risques puissent conduire à des anomalies significatives dans les états financiers.
Dans le cadre de l’évaluation des risques, le vérificateur doit déterminer parmi les risques relevés lesquels, à son avis, constituent des risques significatifs qui exigent une attention particulière dans le cadre de la mission. La détermination de ces risques relève du jugement professionnel du commissaire aux comptes.
Pour qu’il puisse apprécier le risque identifié, l’auditeur se sert des informations réunies lors de la connaissance de l’entreprise, et, des éléments probants obtenues lors de l’évaluation des procédures de contrôle interne.
Selon ISA 315, certains risques peuvent découler d’un environnement de contrôle inadéquat. Lorsqu’elles sont non significatives, ces faiblesses peuvent n’avoir aucune incidence sur les soldes de comptes et sur les états financiers. Cependant, des faiblesses telles qu’un manque d’intégrité et de compétence au sein
de la direction sont susceptibles d’avoir une incidence plus significative sur les états financiers et elles nécessitent la mise en œuvre par le vérificateur de procédés de contrôle particuliers.
L’auditeur se sert ensuite de son appréciation des risques pour déterminer la nature, le calendrier et l’étendue des autres procédés de vérifications à mettre en œuvre. En fait, le plan d’audit doit être conçu pour que l’auditeur et son équipe se concentrent avec esprit critique et scepticisme professionnel, sur les risques significatifs.
Les nouvelles normes ISA soulignent également le caractère itératif de la mission et proposent de réévaluer la stratégie et le plan d’audit lorsque des éléments probants complémentaires sont recueillis au cours de l’audit.
3-3 : Procédures d’audit complémentaire et établissement des rapports
Au cours de cette dernière phase, l’auditeur doit définir des réponses globales en fonction des risques identifiés au niveau des états financiers et concevoir et mettre en œuvre des procédures d’audit complémentaires en fonction des risques identifiés au niveau des assertions.
Dans le cadre de la définition de réponses globales, l’auditeur peut modifier la nature, le calendrier et l’étendue des procédures d’audit.
Il peut également affecter du personnel plus expérimentés et possédant des compétences particulières, et, renforcer la supervision ou introduire un degré supplémentaire « d’imprévisibilité » lors du choix des procédures d’audit complémentaires.
Pour la définition de ces procédures, l’auditeur prend en considération les éléments suivant : (ISA 330, § 7)
- le caractère significatif du risque,
- la probabilité qu’une anomalie significative se présente,
- les caractéristiques du flux d’opérations du solde de compte, ou de l’information concernée fournie dans les états financiers,
- la nature des contrôles spécifiques effectués par l’entité et, en particulier, s’ils sont manuels ou automatisés,
- le fait qu’il s’attend ou non à recueillir des éléments probants lui permettant de déterminer si les contrôles de l’entité sont efficaces dans la prévention, ou dans la détection et la correction, d’anomalies significatives.
La dernière phase de l’audit est l’expression d’une opinion sur les états financiers et l’établissement des rapports d’audit.
En effet, pour fonder son opinion, l’auditeur évalue les conclusions tirées des éléments probants recueillis, pour déterminer s’il existe une assurance raisonnable que les états financiers dans leur ensemble ne comportent pas d’anomalies significatives.