1 / 149

EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT

EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT . Par Jean-Luc FLABEAU et Jean-François MALLEN. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT – SOMMAIRE (1/2). Pourquoi une approche par les risques ? L’approche par les risques en résumé

margot
Download Presentation

EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT Par Jean-Luc FLABEAU et Jean-François MALLEN

  2. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT – SOMMAIRE (1/2) • Pourquoi une approche par les risques ? • L’approche par les risques en résumé • Généralités sur le contrôle interne • Définitions du C.I • 5 composantes du CI • Environnement du C.I • Objectifs de l’audit et du C.I

  3. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT – SOMMAIRE (2/2) • Prise de connaissance de l’entité et de son environnement et réponse aux risques identifiés. • Identifier et évaluer le risque d’anomalies significatives au niveau des assertions. • Techniques de contrôle et documentation. • Elaboration du plan de mission et du programme de travail. • NEP 265 – Communication à la Direction des faiblesses du C.I. • Travaux lors de l’audit des exercices suivants.

  4. POURQUOI UNE APPROCHE PAR LES RISQUES ? • L’audit financier limité à un contrôle direct des comptes sans évaluation des risques et du contrôle interne ne répond pas à tous les besoins de l’auditeur. • Ceci est d’autant plus vrai dans des environnements complexes. • Mais aussi nécessaire dans les mandats PME. • Afin de bien utiliser le temps dont il dispose, le CAC effectue un contrôle approfondi des zones de risque et allège les contrôles sur les autres points.

  5. L’APPROCHE PAR LES RISQUES EN RESUME • L’approche par les risques est intégrée, et comprend 2 phases : • Prise de connaissance incluant le contrôle interne et l’évaluation des risques ; • Puis procédures d’audit en réponse à cette évaluation. • L’analyse du contrôle interne est désormais systématique même pour les PME.

  6. L’APPROCHE PAR LES RISQUES EN RESUME • Identification du risque • Impact du risque • Poids du risque • Contrôle interne nécessaire à la réduction du risque • Evaluation du contrôle interne • Risque résiduel • Diligences à mettre en œuvre

  7. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT - SOMMAIRE • Généralités sur le contrôle interne - Définitions du C.I - Les grandes notions du contrôle interne et ses 5composantes

  8. LES DEFINITIONS DU CONTRÔLE INTERNE (1/3) • OEC : « Le C.I est l’ensemble des sécurités , contribuant à la maitrise de l’entreprise. Il a pour but d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information ». • Institut Canadien des comptables agréés : « constituent le C.I la structure administrative de l’entreprise et de tous les systèmes coordonnés que la Direction met en place en vue d’assurer, dans la mesure du possible, la conduite ordonnée et efficace de ses affaires, notamment la protection de ses biens, la fiabilité de ses livres et documents comptables et la prompte préparation d’une information financière fiable ». • Commission Treadway: « un contrôle interne est un processus mis en œuvre par le C.A, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable de la réalisation des objectifs suivants : optimisation des opérations, fiabilité des informations financières, conformité aux lois et règlements ».

  9. LES DEFINITIONS DU CONTRÔLE INTERNE (2/3) Le contrôle interne se définit comme : • Un dispositif mis en œuvre par la Direction pour apporter l’assurance raisonnable de l’atteinte des objectifs suivants : - Fiabilité des informations et de la communication financière (notamment les publications à caractère légal) ; - Efficacité et efficience des opérations (réalisation des objectifs de performance et de résultat de l’organisation, protection des actifs) et de l’application des instructions et des orientations fixées par la Direction ; - Respect des lois et des réglementations en vigueur. • Ainsi il contribue à la maîtrise des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

  10. LES DEFINITIONS DU CONTRÔLE INTERNE (3/3) Le contrôle interne se caractérise par certains principes : • Le contrôle interne est un ensemble de moyens mis en place dans une structure et fait partie intégrante de son organisation • L’ensemble des directions et services de l’entité est responsable de la définition, de la mise en œuvre et de la supervision de ces moyens pour atteindre les objectifs du contrôle interne ; • Le contrôle interne est l’affaire de tous, et en tout premier lieu des opérationnels eux-mêmes, et ce dans tous les processus (Exemple: budget, RH …).

  11. LES GRANDES NOTIONS DU CONTRÔLE INTERNE Adapté à la structure de l’entreprise Processus englobant actions, moyens procédures Fournit une assurance raisonnable à la Direction Contrôle interne Impulsé par la Direction

  12. LES 5 COMPOSANTES DU CONTRÔLE INTERNE • Le contrôle interne est constitué des éléments suivants : • Environnement de contrôle ; • Processus évaluation des risques de l’entité ; • Activités de contrôle ; • Système d ’information (y compris les processus opérationnels relatifs à l’information financière) ; • Suivi des contrôles (pilotage). • Cette subdivision du CI en 5 composantes fournit à l’auditeur un cadre utile lui permettant de déterminer la façon dont les différents éléments du CI d’une entité peuvent avoir une incidence sur sa mission d’audit.

  13. LES 5 COMPOSANTES DU CONTRÔLE INTERNE EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT

  14. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT - SOMMAIRE • Environnement du contrôle interne • Processus évaluation des risques de l’entité • Activités de contrôle • Système d’information • Suivi des contrôles

  15. 1ere COMPOSANTE DU C.I : ENVIRONNEMENT DE CONTRÔLE (1/4) • Prérequis indispensable L’ENVIRONNEMENT DE CONTRÔLE EST LA CULTURE DU CONTRÔLE INTERNE AU SEIN D’UNE ORGANISATION IL CONSTITUE LE FONDEMENT DE TOUS LES AUTRES ELEMENTS DU CONTRÔLE INTERNE

  16. 1ere COMPOSANTE DU C.I : ENVIRONNEMENT DE CONTROLE (2/4) • L’auditeur doit acquérir la connaissance de l’environnement de contrôle. • L’environnement de contrôle constitue le cadre et la structure nécessaire à la réalisation des objectifs clés du système de C.I. • Il s’évalue notamment au regard des éléments suivants : • Intégrité et valeurs éthiques (et leurs diffusions dans l’entreprise, etc.) ; • Philosophie et style de Direction (exemplarité, implication, etc.) ; • Structure organisationnelle (organigramme, fonctions, etc.) ; • Attribution des pouvoirs et responsabilités (délégations pouvoirs, signatures, etc.) ; • Politiques et pratiques relatives aux R.H ; • Exigence de compétences du personnel ; • S.I(adéquation des systèmes aux besoins de l’entité).

  17. 1ere COMPOSANTE DU C.I : ENVIRONNEMENT DE CONTRÔLE (3/4) • Les facteurs d’attention liés à l’évaluation du C.I • Les changements dans l’environnement opérationnel • Les nouveaux arrivants • Les nouveaux S.I ou leur reconfiguration • Les situations de développement • Les restructurations de l’organisation

  18. 1ere COMPOSANTE DU C.I : ENVIRONNEMENT DE CONTRÔLE (4/4) • Environnement de contrôle dans les PME : ces entités peuvent mettre en place un environnement de contrôle différent des grandes entités. • Les PME peuvent ne pas disposer d’un code de bonne conduite écrit mais développer une culture qui souligne l’importance de l’intégrité et du comportement moral au travers l’exemple donné par la Direction. • La domination de la Direction par une seule personne ne signifie pas que le CI présente des faiblesses ou qu’il n ’existe pas. L’engagement d’un propriétaire dirigeant compétent dans les opérations quotidiennes peut en effet constituer une importante force de l’environnement de contrôle. • Mais la volonté pour la Direction d’outrepasser le CI peut exister. Ce risque peut être réduit par la mise en place de simples politiques de contrôle de fraudes.

  19. 2eme COMPOSANTE DU C.I : PROCESSUS EVALUATION DES RISQUES DE L’ENTITE • L’auditeur doit acquérir la connaissance : • Du processus suivi par l’entité pour identifier les risques liés à l’activité en rapport avec les objectifs du l’information financière ; • Des résultats obtenus. • Lorsque le processus d’évaluation des risques de l’entité est approprié, l’auditeur peut s’appuyer dessus pour identifier le risque d’anomalies significatives.

  20. 3ème COMPOSANTE DU C.I : ACTIVITES DE CONTRÔLE (1/3) • Définition : correspondent aux politiques et procédures qui permettent de s’assurer que les instructions de la Direction sont mises en œuvre. • Exemples d’activités de contrôle (qui sont appliquées à différents niveaux organisationnels et fonctionnels) : • Autorisation ; • Evaluation des performances ; • Traitement de l’information ; • Contrôles physiques ; • Séparation des tâches et fonctions ; • Etc.

  21. 3ème COMPOSANTE DU C.I : ACTIVITES DE CONTRÔLE (2/3) • Activités de contrôle dans un milieu informatisé : • L’utilisation de systèmes informatiques a une incidence sur la manière dont les activités de contrôle sont mises en application. • Le CAC détermine si l’entité a répondu de manière adéquate aux risques résultant du système informatique en mettant en place des contrôles efficaces relatifs à ce système et aux applications. • Ces contrôles relatifs aux systèmes informatiques sont efficaces quand ils assurent l’intégrité du traitement de l’information et la sécurité des données traitées.

  22. 3ème COMPOSANTE DU C.I : ACTIVITES DE CONTRÔLE (3/3) • Activités de contrôle dans les PME : - Concepts fondamentaux de contrôle au sein de P.E globalement semblables à ceux des plus grandes entreprises. • Mais formalisme qui varie. • Certains types de contrôles ne sont pas appropriés dans la PME en raison des contrôles effectués par la Direction. Exemples : la centralisation par la Direction du pouvoir d’autoriser des délais de règlement, difficultés de séparer les tâches dans une PME, etc.

  23. 4ème COMPOSANTE DU C.I : SYSTEME D’INFORMATION • Définition : est constitué des procédures et des documents destinés à initier, enregistrer, traiter et présenter les opérations de l’entité et à suivre les actifs, les passifs et les fonds propres correspondants. • L’auditeur doit acquérir la connaissance du système d’information et des processus opérationnels y afférents qui ont un rapport avec l’élaboration de l’information financière. • Cela concerne notamment : • Les flux d’opérations dans les activités de l’entité ayant un caractère significatif pour les états financiers ; • Les enregistrements comptables y afférents étayant l’information ; • La façon dont le système d’information saisit des évènements autres que des flux d’opérations normaux.

  24. 5ème COMPOSANTE DU C.I : SUIVI DES CONTROLES • Définition : processus destiné à évaluer l’efficacité de la performance du C.I au fil du temps. • Les activités de suivi continues sont souvent intégrées aux activités récurrentes normales d’une entité : activités d’encadrement et de supervision. • L’auditeur doit acquérir la connaissance des principaux types de moyens que l’entité utilise pour assurer le suivi du C.I. relatif à l’élaboration de l’information financière. • Y compris ceux relatifs aux activités de contrôle pertinentes pour l’audit.

  25. 5ème COMPOSANTE DU C.I : SUIVI DES CONTROLES • Suivi des contrôles dans les PME : • Les activités de suivi continu dans les PME sont engénéral informelles (surtout dans les PE) et souvent menées directement par la Direction. • L’implication étroite de la Direction sert souvent à identifier les écarts significatifs par rapport aux attentes et les anomalies dans les données financières.

  26. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT - SOMMAIRE • Principaux objectifs du C.I et de l’audit : • Objectifs C.I • Contrôle interne = outil de maitrise des risques • Objectif de l’audit • Cadre normatif du CAC • Le risque d’anomalies significatives

  27. PRINCIPAUX OBJECTIFS DU CONTRÔLE INTERNE • Protection du patrimoine de l’entreprise ; • Qualité de l’information, et en particulier l’information financière ; • L’amélioration des performances ; • L’application des instructions de la Direction. Rq : la Commission Treadway introduit la notion importante d’ « assurance raisonnable » signifiant que le C.I ne peut constituer une garantie totale.

  28. La démarche « contrôle interne » = outil de maîtrise des risques

  29. OBJECTIF DE L’AUDIT (1/3) • L’objectif de l’audit est de permettre au CAC de formuler une opinion sur les comptes. • NEP 200 § 7 : « la formulation, par le CAC, de son opinion sur les comptes nécessite qu’il obtienne l’assurance que les comptes, pris dans leur ensemble, ne comportent pas d’anomalies significatives ». • Cette assurance, élevée mais non absolue du fait des limites de l’audit est qualifiée « d’assurance raisonnable ».

  30. OBJECTIF DE L’AUDIT (2/3) • NEP 200 § 8 : « les limites de l’audit résultent notamment de techniques de sondages, des limites inhérentes au contrôle interne, et du fait que la plupart des éléments collectés au cours de la mission conduisent davantage à des présomptions qu’à des certitudes ». • La formulation de l’opinion dans le rapport du CAC rappelle au préalable ce qu’est un audit et son objectif.

  31. OBJECTIF DE L’AUDIT (3/3) • L’objectif de l’audit implique la réalisation de 3 étapes fondamentales: • Une étape d’évaluation des risques d’anomalies significatives dans les états financiers ; • Une étape de conception et d’exécution des procédures d’audit complémentaires qui répondent aux risques estimés et réduisent les risques d’anomalies significatives ; • Une étape de rédaction appropriée du rapport d’audit, basée sur les résultats du travail d’audit.

  32. CADRE NORMATIF DU CAC

  33. LES COMPOSANTES DU RISQUE D’AUDIT • Le risque d’une mission d’audit est le risque que le professionnel exprime une opinion inappropriée alors que les éléments financiers comportent des anomalies significatives. • Ce risque comprend : • le risque que l’information soit affectée par des anomalies significatives. Risque sous 2 formes : - risque inhérent • risque lié au contrôle • le risque de non-détection qui est le risque que le professionnel ne détecte pas un anomalie matérielle qui existe.

  34. LE RISQUE D’ANIMALIES SIGNIFICATIVES (1/2) • Le risque d’anomalies significatives est défini dans la NEP 200 § 10 : «Le risque d’anomalies significatives dans les comptes est propre à l’entité ; il existe indépendamment de l’audit des comptes. Il se subdivise en risque inhérent et risque lié au contrôle. • Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui pourrait exister dans l’entité, une anomalie significative se produise dans les comptes. • Le risque lié au contrôle correspond au risque qu’une anomalie significative ne soit ni prévenue ni détectée par le contrôle interne de l’entité et donc non corrigée en temps voulu ».

  35. LE RISQUE D’ANOMALIES SIGNIFICATIVES (2/2) • NEP 200 §1 12 L’auditeur doit planifier et effectuer l’audit pour réduire le risque d’audit à un niveau faible acceptable répondant aux objectifs de l’audit. « A cette fin, il évalue le risque d’anomalies significatives et conçoit les procédures à mettre en œuvre en réponse à cette évaluation, conformément aux principes définis dans les NEP. Plus le CAC évalue le risque d’anomalies significatives à un niveau élevé, plus il met en œuvre de procédures d’audit complémentaires afin de réduire le risque de non détection ».

  36. LE RISQUE D’ANOMALIES SIGNIFICATIVES ET RISQUES INHERENTS • Identification des risques inhérents • Le risque inhérent se situe en amont du C.I mis en place par l’entreprise. • Il est lié à son activité, à son environnement, à ses choix stratégiques ou structurels. • Composantes du risque inhérent qui peuvent être classées en risques exogènes ou risques endogènes (ou propres à l’entité). • Détermination des risques inhérents • Elle est opérée par l’auditeur dans la phase de conception de la mission (questionnaire approche risques). NEP 315 • Cette approche est ensuite complétée lors de la mise en œuvre des contrôles . NEP 330

  37. LE RISQUE D’ANOMALIES SIGNIFICATIVES ET RISQUES LIES AU CONTROLE • Une 1ere approche du risque lié au contrôle doit être opérée par l’auditeur lors de la phase de prise de connaissance. • Mais c’est essentiellement dans la phase d’évaluation du C.I que l’auditeur apprécie définitivement les risques liés au C.I. • Les limites inhérentes au C.I font partie des limites de l’audit, dont la conséquence fondamentale est que l’assurance délivrée par l’auditeur et raisonnable mais non absolue.

  38. APPROCHE AUDIT PAR LES RISQUES ET CONTRÔLE INTERNE • L’approche par les risques requiert de la part de l’auditeur de prendre connaissance d’abord de l’entité, y compris son contrôle interne et de procéder par la suite à une identification en évaluation des risques d’anomalies significatives dans les états financiers. • Cette connaissance de l’entité et de son environnement, y compris du C.I, est énoncée dans la NEP 315.

  39. EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D’AUDIT - SOMMAIRE • Prise de connaissance de l’entité et de son environnement et réponse aux risques identifiés • Présentation des NEP 315, 320 et 330 • NEP 315 et éléments du C.I • Evaluation de l’environnement de contrôle • Environnement de contrôle et procédures du CAC • Procédures de C.I et procédures du CAC • Prise de connaissance et risque anomalies significatives • NEP 315 et risques d’anomalies significatives résultant de fraudes • NEP 315 et risques d’anomalies significatives résultant du non-respect des textes • NEP 315 et risques d’anomalies significatives résultant des relations et transactions avec les parties liées.

  40. PRESENTATION NEP 315, 320, 330, • La méthodologie de l’approche par les risques nécessite : • La définition des critères de références que sont les assertions ; • L’identification des risques de nature à remettre en cause les assertions ; • La réponse de l’auditeur sous forme de diligences adaptées, face aux risques identifiés. • D’où la nécessité d’aborder le contenu des NEP 315, 320, 330, 450, 500, 501 et 550.

  41. LES ELEMENTS FONDAMENTAUX DES NEP 315 ET 330 : OBJECTIFS

  42. NEP 315 – CONNAISSANCE DE L’ENTITE ET DE SON ENVIRONNEMENT ET EVALUATION DU RISQUE D’ANOMALIES SIGNIFICATIVES • La prise de connaissance de l’entité et de son environnement, y compris le C.I, par le CAC, n’est pas un objectif en soi mais a pour but l’identification et l’évaluation du risque d’anomalies significatives dans les comptes. • La prise de connaissance de l’entité porte sur les éléments suivants : • Les facteurs externes tels que le secteur d’activité, l’environnement réglementaire et les conditions économiques générales ; • Les caractéristiques de l’entité (composition du capital, politique investissement, organisation et financement, etc.) ; • Les objectifs et stratégies de l’entité ; • La mesure et l’analyse des indicateurs de performance financière de l’entité ; • Les éléments de contrôle interne pour l’audit.

  43. NEP 315 ET ELEMENTS DE CONTRÔLE INTERNE • La NEP 315 impose de prendre connaissance des éléments de contrôle interne pertinents pour l’audit. • Ces éléments sont les suivants : • Environnement de contrôle ; • Moyens mis en place pour identifier les risques et y répondre (processus évaluation des risques par l’entité) ; • Système d’information relatif à l’élaboration de l’information financière et communication interne ; • Procédures de contrôle interne ; • Moyens mis en place pour s’assurer du bon fonctionnement du contrôle interne (pilotage). • La prise de connaissance de l’ensemble des 5 composantes du contrôle interne ci-dessus est obligatoire, que le CAC souhaite ou non s’appuyer sur le contrôle interne, mais seulement pour leurs éléments pertinents pour l’audit (ISA 315. 12 et A60 à 64).

  44. NEP 315 ET ELEMENTS DE CONTRÔLE INTERNE • Les contrôles pertinents pour l’audit sont ceux qui contribuent à prévenir le risque d’anomalies significatives dans les comptes, pris dans leur ensemble et au niveau des assertions. • Au sein des 5 composantes, il relève du jugement professionnel du CAC de déterminer si un contrôle, individuellement ou en association avec d’autres, est pertinent pour l’audit. • Par exemple, selon les composantes du C.I concernées, le CAC peut rechercher - Si la Direction a une culture d’honnêteté et un comportement éthique ; • Les moyens mis en place par l’entité pour identifier les risques liés à son activité ayant une incidence éventuelle sur les comptes, estimer le caractère significatif de ces risques, etc. ; • Si l’entité dispose d’un audit interne et, si c’est le cas, les travaux menés par la fonction contrôle interne, etc.

  45. ENVIRONNEMENT DE L’ENTITE • Pour prendre connaissance de l’environnement de l’entité et évaluer le risque d’anomalies significatives, le CAC appréhende : • Des éléments exogènes à l’entité : secteur activité, contexte économique général, facteurs réglementaires (comptable, fiscal, juridique), etc. • Des éléments endogènes à l’entité : complexité de la structure, stratégie, organisation de la gouvernance entreprise et actionnariat, système analyse de la performance, nombre et complexité des opérations, implantation dans des pays à risque, vulnérabilité des actifs aux pertes et détournements, etc.

  46. ENVIRONNEMENT DE L’ENTITE – ELEMENTS EXOGENES

  47. ENVIRONNEMENT DE L’ENTITE – ELEMENTS ENDOGENES

  48. AUTRES TYPES DE RISQUES INHERENTS OU SPECIFIQUES DANS LES ENTREPRISES • Exemples de risques « spécifiques » et « plus nouveaux » peuvent exercer une forte influence sur une entreprises : • De nouvelles lois ; • L’évolution technologique, la réduction du cycle de vie des propres produits de l’entreprise ; • Le risque de l’environnement et de sa réglementation ; • Les risques menaçant la réputation de l’entreprise (ex : diffamation, etc.) ; • Crises dans le domaine du personnel (ex : réactions négatives en cas de licenciement, etc.). • Ce sont tous des risques inhérents.

  49. EVALUATION DE LA CONCEPTION ET DE LA MISE EN ŒUVRE DE L’ENVIRONNEMENT DE CONTROLE • Rappel texte : NEP 315 «  Le CAC prend notamment connaissance des éléments suivants : • l’environnement de contrôle qui se traduit par le comportement des organes mentionnés à l’art. L 823-16 du Code de Commerce et de la direction, leur degré de sensibilité et les actions qu’ils mènent en matière de C.I… ». • L’environnement de contrôle est très influant dans une organisation, en sensibilisant les employés à la nécessité des contrôles (ISA 315).

  50. EVALUATION DE LA CONCEPTION ET DE LA MISE EN ŒUVRE DE L’ENVIRONNEMENT DE CONTROLE • Eléments de l’environnement de contrôle qui peuvent être pertinents pour l’audit : • La communication et le développement de valeurs d’intégrité et d’éthique ; • -exigences de compétence ; • La participation des personnes constituant la gouvernance ; • Le style et les caractéristiques de la Direction ; • La structure organisationnelle ; • La délégation des pouvoirs et des responsabilités ; • La politique R.H. • Spécificités Petites Entités : dirigeant unique, documentation, communication, etc.

More Related