SECTION I- LES DIFFÉRENTS TYPES DE RISQUE D'AUDIT :

Avant de présenter les différents risques étudiés dans cette approche d'audit, il est nécessaire de présenter une définition bien spécifique sur la notion du risque.

Ainsi, la recommandation international n° 25, « Importance relative et risque d'audit », de l'International Fédération of Accountants (IFAC), définit le risque d'audit de façon suivante (paragraphe9) :

« Le risque d'audit est le risque qu'un auditeur puisse exprimer une opinion inappropriée sur une information financière comportant des inexactitudes significatives ».

Pascal Simon définit le risque d'audit comme suit :

⁴ - Danièlle BATUDE, « l'audit comptable et financière », Ed Nathan, Paris 1997, p 31.

« Le risque d'audit peut être défini, à mon sens, comme le risque que des erreurs ou irrégularités n'aient pas été détectés après l'accomplissement de l'audit et que ces erreurs ou irrégularités affectent de manière significative les comptes certifiés »⁵.

Certes, lors de la planification de l'audit, l'auditeur doit évaluer le risque qu'une fraude ou qu'une erreur conduit à des anomalies significatives dans les états financières et doit interroger la direction sur toute fraude ou erreur significative qui aurait été détecté. 6

Ajoutant que la norme I.S.A 240 définit la fraude comme « un acte volontaire commis par une ou plusieurs personnes faisant partie de la direction ou des employés, ou par des tiers, qui aboutit à des états financières erronés ».

L'erreur, selon l'I.S.A 240, est définie comme une inexactitude involontaire contenue dans les états financières telle que :

o Une erreur mathématique dans les documents et les donnés comptables. o L'omission ou l'interprétation incorrecte de faits.

o L'application incorrecte de politique d'arrêter des comptes.

De manière générale, s'il existe de très nombreux risques d'erreurs, ils n'ont pas tous la même probabilité de se réaliser. On distingue généralement :

o Les risques potentiels : ces risques sont théoriquement susceptibles de se produire si aucun contrôle n'est exercé pour les empêcher ou détecter et corriger les erreurs qui pourraient en résulter, ces risques sont communs à toutes les entreprises.

o Les risques possibles : ces sont les risques potentiels contre lesquels une entreprise donnée ne s'est pas dotée de moyens pour les limiter. Il existe alors une forte probabilité que des erreurs se produisent et ne soient ni détectées, ni corrigées par l'entreprise. Ce sont ces risques possibles que l'auditeur va s'efforcer de recherche tout au long de sa mission⁷.

DANIELLE BATUDE propose les différentes origines possibles de risque ; Ainsi il suggère :

o Qu'ils peuvent être liés au secteur d'activité dans lequel l'entreprise exerce son activité.

o Qu'ils peuvent être attachés à l'entreprise elle même.

⁵ - Pascal SIMONS : « Audit financier », les éditions d'organisation 1987, p 27.

⁶ - La norme ISA 240.

⁷ - Jacques POTDEVIN, op, cit, pp 7, 8.

o Enfin, qu'ils peuvent dépendre de la nature des opérations traitées par l'entreprise. 8

L'I.FAC distingue trois composantes du risque d'Audit à savoir : o le risque inhérent.

o Le risque de non contrôle.

o Le risque de non détection 9

I - Le risque inhérent (Inhérent risk) :

On peut définir le risque inhérent comme étant « le risque qu'un solde de compte ou une catégorie d'opérations puisse renfermer une inexactitude qui, seule ou ajouté à des inexactitudes présentes dans d'autre soldes ou catégorie, pourrait être significative à supposer qu'il n'y ait pas de contrôles internes s'y rapportant. Ce risque est lié aux activités de l'entité, à son environnement et à la nature du solde de compte ou de la catégorie d'opérations concernée » ¹⁰. Certes, ce risque peut être décomposé en deux risques à savoir :

o les risques généraux liés à l'entreprise.

o Les risques liés à la nature des opérations traités. 1 - Risque généraux liés à l'entreprise :

Il s'agit des risques qui sont de nature à influencer l'ensemble des opérations de l'entreprise.

Chaque entreprise, selon le secteur dans lequel elle opère, sa structure et son organisation, possède des caractéristiques qui lui sont propres et qui rendent plus ou moins probables la concrétisation de ces risques potentiels. Pour contrôler une entreprise, l'auditeur doit donc identifier les risques qui la distinguent des autres. Ainsi, l'auditeur va se documenter sur

⁸ - Danielle BATUDE, op, cit, p 35.

⁹ - OULDKHATTARY Mohamed, mémoire IHEC Carthage ; « l'approche par le risque en matière d'audit », 1993 ; p35.

¹⁰ - La norme n° 25 de l'I.F.A.C. (paragraphe 13).

l'activité de l'entreprise et sur son secteur d'activités. Il devra également se renseigner sur l'organisation et la structure de l'entreprise. 11

2 - Risques liés à la nature des opérations traitées

Ce risque représente la possibilité qu'un compte ou un flux de transaction d'être erroné de façon significative.

On peut distinguer les données saisies en comptabilités en trois catégories. Chacune est porteuse de risques particuliers :

o Les données répétitives : elles résultent de l'activité habituelle de

l'entreprise ; achats, ventes, salaires.... Elles sont traitées de manière uniforme en fonction des systèmes mis en place. Les risques sont donc liés à la fiabilité de ces systèmes.

o Les données ponctuelles : elles sont complémentaires de procédures

mais, saisies à des intervalles de temps plus au moins réguliers : inventaire physiques, évolutions de fin d'exercice.... Elles sont porteuses de risque significatif lorsque leur saisie n'est pas organisée de façon fiable et il est donc important de les connaître à l'avance pour décider des contrôles qui devront être effectués.

o Les données exceptionnelles : ces sont des opérations ou des décisions

qui sortent du domaine de l'activité courante : réévaluation, fusion, restructuration .... L'entreprise ne disposent pas des critères préalables, d'élément comparatifs, de personnel expérimenté pour ce type d'opération, les risques que des erreurs se produisent et ne soient pas détectées sont plus importants 12

II - le risque de non contrôle :

Le risque de non contrôle appelé encore risque lié au contrôle interne représente la possibilité que les défaillances intrinsèques du système d'informations de l'entreprise ne lui permettent pas de produire des comptes fiables. 13

¹¹ - Jacques POTDEVIN, op, cit, pp 7,8.

¹² - Jacques POTDEVIN, op, cit, p10.

¹³ - Olivier HERRBACH, Thèse de doctorat : « Le comportement au travail des collaborateurs de cabinets d'audit financier : une approche par le contrat psychologique », Toulouse, 2000, p 25.

Ainsi, ce type de risque consiste en la possibilité que le système de contrôle interne ne permette pas de détecter une erreur dans les états financiers ou ne prévienne pour la réalisation d'erreurs dans un compte ou un flux de transactions.

Peu importe que le risque inhérent (risque général lié à l'entreprise et risque lié aux opérations comptables) soit élevé si le système de contrôle interne a été bien conçu et si son application est correctement effectuée, cela vient en effet réduire considérablement l'apparition des erreurs.

III - Le risque de non détection :

Le risque de non détection est le risque que les procédures mises en oeuvre par l'auditeur ne lui permettent pas de détecter une inexactitude présente dans un solde de compte ou une catégorie d'opération, qui, seule ou ajoutée aux autres inexactitude présentés dans d'autre soldes ou catégories d'opérations, pourrait être significative. 14

C'est donc le risque que les contrôles mis en oeuvres par le réviseur ne détectent pas les erreurs dans un compte ou un flux de transaction. Ils ont pour conséquence de pouvoir faire émettre au réviseur une opinion inappropriée sur les états financiers.

Ainsi, le choix par l'auditeur des procédures mises en oeuvre, de leur étendue et de la date liée à ses interventions entraîne obligatoirement un certain niveau de risque que le commissaire aux comptes doit s'efforcer de minimiser. Il n'est en effet pas possible, notamment pour des raisons de coût et d'efficacité, d'obtenir une assurance absolue que les comptes annuels ne contiennent pas d'erreurs, quels que soient les systèmes mis en place par l'entreprise ou les contrôles de détection mis en oeuvre par l'auditeur¹⁵.

Jacques POTDE VIN ajoute que le risque d'audit est le risque que les erreurs significatives subsistent dans les comptes annuels et que l'auditeur, ne les ayant pas détectées, formule une opinion erronée.

En outre, sur ce risque, la norme ISA 240 de l'IFAC indique que : « tout audit est soumis au risque inévitable de non détection d'anomalies significatives dans les états financières, même s'il a été correctement planifié et effectué. Sauf preuve contraire, l'auditeur est fondé à considérer les déclarations qu'il reçoit comme exactes et les enregistrements comptables et les

¹⁴ - Norme n° 25 de L'I.F.A.C « Importance relative et risque d'audit ».

¹⁵ - Jacques POTDEVIN, op, cit, p 12.

documents comme authentiques ». Il précise également que : «même un système comptable et de contrôle interne performant risque de ne pas détecter une fraude impliquant la collusion d'employés ou une fraude commise par la direction ». 16

Le risque d'audit est quantifiable par l'intermédiaire de la notion de « seuil de signification » ou « seuil de matérialité ».

Certes, le seuil de signification est généralement défini comme « la limite à partir de laquelle une inexactitude ou un ensemble d'inexactitudes contenues dans un élément donné sont de nature à influencer la décision des utilisateurs de cet élément. C'est aussi la limite à partir de laquelle un élément cesse d'être considéré comme fiable ».¹⁷

Cette notion reflète le fait que les comptes de chaque entreprise recèlent nécessairement des erreurs et des inexactitudes, car ils sont le résultat d'un processus comptable forcément imparfait et que, en outre, se base sur des hypothèses et des estimations subjectives.

L'objectif à atteindre n'est donc pas de dire que les comptes sont exacts, mais de faire en sorte que le montant des erreurs soit inférieur à un seuil défini. Dans ce contexte, le risque d'audit devient le fait que le montant cumulé des erreurs soit supérieur au seuil de matérialité c'est-à-dire qu'il ait un impact considéré comme significatif sur les comptes certifiés. 18