|
La place de l'environnement de l'entreprise dans l'approche par les risques du Commissaire aux comptes( Télécharger le fichier original )par Dayashanker POTA IAE de la Réunion - Maîtrise de Sciences et Techniques comptables et financières 2006 |
Chapitre 2 : L'approche par les risques dans la mission d'audit légalLes nouvelles normes d'audit émises par l'Internatonal Federation of Accountants (IFAC) placent l'approche par les risques au centre des obligations des commissaires aux comptes. L'objectif de ce chapitre est de décrire l'approche par les risques et son évolution afin de mieux comprendre la manière dont le commissaire aux comptes doit intégrer l'analyse de l'environnement dans sa démarche. Avant d'étudier le modèle d'approche par les risques et l'intégration de l'environnement de l'entreprise dans cette approche, il semble opportun de préciser le contexte dans lequel elle prend place. A. Le contexte de l'approche par les risques Faisant partie intégrante de la démarche d'audit, l'approche par les risques s'insère dans un cadre légal. La législation va, aujourd'hui, fixer les règles à suivre dans la démarche de l'audit et l'objectif de l'approche par les risques qui est la limitation du risque d'audit. Le cadre législatif est initialement définit par le code de commerce et la loi de 1966 sur les sociétés commerciales. L'article L.225-235 de ce code définie la mission d'audit légal comme « la certification que les comptes annuels sont réguliers, sincères et donnent une image fidèle du résultat des opérations de l'exercice écoulé, ainsi que de la situation financière et du patrimoine de la société ». Cette mission comprend aussi des missions particulières relatives à la vérification et la certification de certaines opérations ou à la révélations d'évènements se déroulant dans la société comme les faits délictueux ou susceptibles de mettre en cause la continuité de l'exploitation. En certifiant les états financiers, l'auditeur va être le garant d'informations susceptibles de motiver de nombreuses décisions des destinataires de l'information financières que sont les parties prenantes de l'entreprise. La mission légale des commissaires aux comptes était guidée, jusqu'à l'application de la 8e directive européenne, par un ensemble de normes d'exercice professionnel et par un code de déontologie. Ces normes étaient publiées dans un « référentiel normatif et déontologique de la CNCC ». Elles étaient issues des anciennes normes ISA de l'IFAC et avaient été adaptées au contexte français. Elles imposaient déjà une approche par les risques qui était dominée par l'identification des risques qui découlaient du contrôle interne. En outre, le commissaire aux comptes devait également s'informer sur les risques propres à l'entreprise et à son secteur d'activité pour l'acceptation et la planification de la mission. Par ailleurs, la loi sur la sécurité financière de 2003 a soumis la profession et ses instances à la surveillance d'un Haut Conseil du Commissariat aux Comptes. Ce dernier a pour mission la surveillance de la profession avec le concours de la CNCC et veiller au respect de la déontologie et de l'indépendance des commissaires aux comptes. Pour ce faire, il dispose de multiples prérogatives dont l'identification et la promotion des bonnes pratiques professionnelles. Il pourra donc valider certaines pratiques d'organismes internationaux et les faire homologuer auprès du ministère de la justice. Cette prérogative prend tout son sens avec l'adoption en septembre 2005 de la 8e directive européenne qui confère aux nouvelles normes ISA un caractère obligatoire. Le H3C a en effet précisé qu'« en vertu des lois françaises et européennes, toutes les normes de l'IFAC sont normatives et quasi législatives, sans distinction entre les obligations de différents niveaux ». Ces normes, qui consacrent l'approche par les risques, devront donc être appliquées par tous les commissaires aux comptes. Il est donc important de définir l'objectif principal de cette approche qui est la limitation du risque d'audit. 2. L'objectif de limitation du risque d'audit Les modifications apportées par l'application des normes internationales sur l'approche par les risques, n'en ont pas changé l'objectif et les caractéristiques principales qui lui assignent comme objectif la limitation du risque d'audit. Le risque d'audit est défini comme « le risque que le commissaire aux compte exprime une opinion incorrecte du fait d'anomalies significatives contenues dans les comptes et non détectées. » C'est le risque d'émettre une opinion erronée sur les états financiers. Il comprend trois composantes : - Le risque inhérent (ou risque général de l'entreprise) : C'est le risque qu'une erreur significative se produise dans les comptes, compte tenu des particularités de la société, de ses activités, de son environnement, de la nature de ses comptes et de ses opérations. Les caractéristiques propres de l'entreprise vont générer des risques potentiels de nature à influencer l'ensemble des opérations de l'entreprise. - Le risque lié au contrôle : C'est le risque que les systèmes de contrôles mis en place par la société n'assurent pas la prévention ou la correction des erreurs dans les comptes. Ce risque va dépendre de l'efficacité avec laquelle fonctionne le contrôle interne. - Le risque de non-détection : C'est le risque que les procédures de vérification de l'auditeur ne lui permettent pas de détecter des erreurs significatives. Ce risque est lié à l'importance du programme de contrôle mis en place par l'auditeur. Le risque inhérent et le risque lié au contrôle correspondent au risque que les états financiers contiennent des anomalies significatives avant la réalisation de l'audit et le risque de non-détection est le risque que l'auditeur ne détecte pas ces anomalies. L'appréciation de l'importance relative de ces risques va déterminer le risque d'audit qui devra être limitée dans le cadre d'une démarche structurée. B. Le modèle d'approche par les risques La récente adoption des nouvelles normes de l'IFAC par le H3C a fait évoluer le modèle français d'approche par les risques. Etant dans une période transitoire entre l'application de ces nouvelles normes et l'ancienne codification, cette partie décrira l'approche par les risques selon les anciennes normes professionnelles de la CNCC et fera une présentation détaillée des modifications apportées par l'adoption de la 8e directive européenne sur le contrôle légal. L'approche par les risques « traditionnelle » va progressivement être remplacée par une nouvelle approche qui privilégie une compréhension plus approfondie de l'entité contrôlée et de son environnement. 1. L'approche par les risques dans le modèle français L'approche par les risques repose sur une réflexion approfondie et préalable sur les risques qui peuvent affecter les états financiers de l'entreprise. Comme il a été vu précédemment, des risques de différentes natures pourront être la cause d'anomalies significatives dans les comptes. L'évaluation de ces risques va conditionner la structure des travaux d'audit permettant au commissaire aux comptes de fonder son opinion. L'approche par les risques s'inscrit dans la phase de planification et d'orientation de la mission d'audit. Cette phase comprend trois étapes que sont, la prise de connaissance générale de l'entreprise, la détermination des domaines et systèmes significatifs et la rédaction du plan d'audit ou plan de mission. La prise de connaissance de l'entreprise a pour but de comprendre le contexte dans lequel elle évolue et de la situer dans son environnement. Elle aboutit à l'approche par les risques car elle permet d'identifier les risques généraux et les domaines et systèmes significatifs. De cette identification, découle l'étape de détermination des domaines et systèmes significatifs qui conduit à déterminer les seuils de signification et apprécier l'importance relative qu'une erreur soit susceptible de fausser la lecture des états financiers. Ensuite, le plan de mission élabore le programme général de travail qui va intégrer les éléments dus aux risques et aux systèmes significatifs et définir la stratégie de contrôle ainsi que les moyens qui y seront affectés. L'approche par les risques s'insère donc dans l'étape de prise de connaissance de l'entité qui a pour but principal d'établir un cadre de référence pour le commissaire aux comptes. Dans cet objectif de fixation d'un référentiel, le commissaire aux comptes doit identifier et comprendre les évènements, les opérations et les pratiques qui peuvent avoir une importance significative sur les états financiers, la mission d'audit et son opinion. Pour ce faire, il devra tenir compte de l'environnement de l'entreprise qui peut agir sur ces facteurs. Ce sont les facteurs de risques qui peuvent engendrer des anomalies significatives dans les états financiers. L'approche par les risques peut se résumer à l'équation suivante : Risque d'audit = Risque inhérent + Risque lié au contrôle + Risque de non-détection Le risque inhérent et le risque lié au contrôle sont les risques propres à la société contrôlée alors que le risque de non-détection est le risque propre de l'auditeur. L'auditeur va évaluer les risques propres à l'entité, pour ensuite tenter de limiter le risque de non-détection, en mettant en oeuvre des procédures d'audit sur la base de son évaluation. Selon la norme 2-301 de la CNCC, le risque inhérent doit être évalué au niveau des comptes pris dans leur ensemble et au niveau de la nature et du montant des opérations traitées. Pour le niveau de risque des comptes pris dans leur ensemble, il doit tenir compte des facteurs influençant la situation économique de l'entreprise, des risques liés à l'organisation générale de la société ou encore de l'attitude de la direction et les pressions exercées sur cette dernière. C'est dans ce cadre qu'il va analyser l'environnement de l'entreprise. Pour les risques liés à la nature et au montant des opérations, il va prendre en considération les opérations inhabituelles, la vulnérabilité des actifs aux pertes ou aux détournements, la complexité de certaines opérations ou encore le degré de jugement pour la détermination des valeurs d'inventaires. L'évaluation du contrôle interne s'effectue en plusieurs étapes. L'auditeur va prendre une connaissance détaillée du système de contrôle interne, s'il existe, avant d'identifier quels sont les contrôles dont la défaillance induirait une erreur dans les comptes et enfin de tester les contrôles de manière à apprécier leur efficacité. Cette approche par les risques segmente le risque d'audit et est essentiellement basée sur les flux d'informations. Elle met en avant l'évaluation des contrôles mis en place par l'entreprise qui occupe une place importante dans la détermination du risque d'audit. Cette notion de prédominance des contrôles de l'entreprise dans la détection des risques conduit à considérer un risque maximum pour les entités n'effectuant pas ou peu de contrôles, ce qui peut entraîner l'exécution d'un audit exhaustif des comptes qui parfois est inutile. Le modèle d'approche par les risques mise en place par l'IFAC a pour ambition d'effacer ces quelques limites. 2. Les apports des nouvelles normes de l'IFAC à l'approche par les risques Avant de présenter les modifications liées à l'adoption des nouvelles normes de l'IFAC, il convient de préciser que ces normes accordent la place centrale à l'approche par les risques pour la réalisation du contrôle légal des comptes. Aussi, la réforme interdit à l'auditeur de considérer a priori que les risques sont à un niveau maximal et que la direction ne met pas en place de contrôles satisfaisants pour s'affranchir de l'analyse des risques et planifier directement les procédures de vérifications des comptes, et ce, quelles que soient l'activité et l'importance de l'entité contrôlée. L'auditeur devra impérativement identifier, évaluer et donner la priorité aux risques d'anomalies significatives dans les états financiers afin que l'effort le plus important soit axé en priorité sur les secteurs à risques les plus significatifs. Si les nouvelles normes n'ont pas modifié les objectifs et les caractéristiques de l'approche par les risques, l'auditeur doit avoir une compréhension plus approfondie de l'entreprise, de son environnement et de son contrôle interne, pour pouvoir exécuter sa mission en se conformant au nouveau modèle. Ce changement de perception est caractérisé par la norme ISA 315 qui est entièrement consacrée à la prise de connaissance de l'entité et de son environnement y compris de son contrôle interne. Cette compréhension porte essentiellement sur les risques identifiés et évalués par l'entité elle-même et les contrôles qu'elle a mis en place pour atteindre ses objectifs. L'auditeur va se concentrer sur les objectifs les plus importants et les plus pertinents pour l'audit et évaluer les risques qui s'y rapportent. Ce nouveau modèle peut être synthétisé par le schéma suivant : Compréhension de l'entreprise, de son environnement et de son contrôle interne Prise en considération du risque de fraude Liens entre les objectifs de l'entreprise, les risques s'y rapportant et les contrôles mis en place Identification des risques pertinents pour l'audit
La première étape de la nouvelle démarche est donc la compréhension de l'entité, de ses objectifs, de sa gestion des risques et des contrôles qu'elle met en place pour y faire face. L'auditeur devra utiliser les sources et les moyens indiqués par les normes pour accéder au niveau de compréhension exigée. Il devra notamment obtenir une compréhension des « risques d'entreprise » pertinents pour l'audit des états financiers. De plus, il devra aussi identifier et comprendre les risques découlant de facteurs externes ou internes qui pourraient avoir une incidence négative sur la capacité de l'entreprise à atteindre ses objectifs et à appliquer sa stratégie. En effet, quelle que soit son activité et même si elle ne le formalise pas, une entreprise définit ou se voit imposer des objectifs. Elle va mettre ne oeuvre des stratégies pour les réaliser et établir une stratégie de maîtrise des risques inhérents qui pourraient entraver la réalisation de ses objectifs. Ces stratégies auront des répercussions sur les états financiers et il est important de les comprendre afin de déterminer les risques d'anomalies significatives sur ces états. La deuxième étape concerne le risque de fraude et la compréhension par l'auditeur des contrôles préventifs et de détection mis en place par la société pour limiter ce risque. L'auditeur devra, lors de la troisième étape, établir les liens entre les objectifs de l'entité, les risques correspondants et les contrôles qui seront pertinents pour l'audit. Il va exercer un jugement pour déterminer quel risque a un lien avec ses propres objectifs d'audit, parmi tous ceux qui menacent les objectifs de l'entreprise et les contrôles mis en place pour les prévenir. Ensuite il va identifier et évaluer le lien entre les risques identifiés par l'entité et les risques d'anomalies significatives dans les états financiers. Comme dans l'ancienne approche par les risques, l'auditeur va planifier et réaliser la vérification de manière à ramener le risque d'audit à un niveau suffisamment faible. La limitation du risque d'audit passe toujours par l'évaluation de ses trois composantes mais maintenant l'auditeur doit procéder à une évaluation combinée des risques inhérents et des risques liés aux contrôles. Cette évaluation combinée constitue alors le risque d'anomalie significative. L'auditeur va évaluer tous les risques inhérents afin de savoir si les risques significatifs font l'objet de contrôles et si ces contrôles sont efficaces pour déterminer le risque inhérent résiduel pertinent pour l'audit. Ce risque n'aura pas été identifié par l'entreprise et ne fait donc pas l'objet de contrôle. C'est sur cette catégorie de risques que l'auditeur devra porter toute son attention. Au travers de cette démarche l'auditeur aura évalué le contrôle interne puisqu'il a testé les procédures pour chaque risque inhérent significatif. Il faudra néanmoins compléter cette évaluation du contrôle interne par une évaluation plus globale pour les besoins de l'appréciation de l'auditeur du rapport du président concernant le contrôle interne. L'évaluation combinée des risques inhérents et de contrôles internes est justifiée par le fait que certains risques d'entreprises, comme ceux dus à des circonstances extérieures, peuvent avoir une incidence sur le risque inhérent et sur le risque lié au contrôle. Néanmoins, le commissaire aux comptes peut faire une évaluation séparée des risques inhérents et des risques liés au contrôle interne correspondant à l'approche antérieure. Enfin, l'auditeur va apporter une réponse globale aux risques évalués en mettant en place le plan d'audit qui permettra d'exécuter des procédures afin de ramener le risque d'audit à un niveau acceptable faible. Cette approche dynamique est aussi illustrée par le fait que les normes attribuent désormais un caractère itératif à la mission d'audit. La compréhension de l'entité va être un processus continu qui permettra de recueillir, d'actualiser et d'analyser les risques tout au long du déroulement de l'audit. Au cours de la mission, l'auditeur pourra, plus librement qu'auparavant modifier sa stratégie d'audit. Les nouveautés apportées par l'application des normes internationales ne touchent pas tant à la démarche d'audit par les risques en elle-même mais plutôt à l'esprit de l'ancienne approche par les risques. En centrant la démarche sur les risques d'entreprises, son environnement va y jouer un rôle plus important puisqu'il peut être à l'origine de ces risques. Le commissaire aux comptes va non seulement analyser l'environnement pour mieux comprendre l'entité contrôlée, mais aussi pour évaluer directement des risques pertinents pour l'audit. C. La place de l'environnement de l'entreprise dans le modèle de l'IFAC La principale innovation apportée par l'application des nouvelles normes de l'ISA réside dans le fait que l'auditeur, au travers de sa compréhension qu'il aura acquis de l'entité et de son environnement, devra établir des liens entre les objectifs de l'entité et les risques correspondants pour évaluer les risques d'anomalies significatives dans les états financiers. Pour ce faire, il devra comprendre comment l'entreprise gère ses risques avant d'en dégager les risques pertinents pour l'audit. L'analyse de cette démarche permettra d'y situer l'environnement qui est un facteur de risque pour l'entreprise avant d'en dégager les risques pertinents pour l'audit s'y rapportant. 1. Le processus d'identification des risques pertinent pour l'audit La gestion des risques par l'entreprise est définie en fonction de ses objectifs. Après la compréhension des objectifs par l'auditeur, celui-ci va déterminer les risques pouvant entraîner des anomalies significatives dans les états financiers qui se rapportent à la réalisation de ces objectifs. L'auditeur doit donc comprendre la façon dont l'entreprise gère ses risques afin d'établir les liens entre les objectifs de l'entité et les risques pertinents pour l'audit. Par ailleurs il identifie lui-même d'autres risques pouvant affecter les comptes Ces nouvelles obligations sont définies dans la norme ISA 315 qui donne les éléments que l'auditeur doit comprendre dans le cadre de la gestion des risques d'entreprise. Il devra tenir compte : § Du secteur d'activité, la réglementation du secteur et les autres facteurs externes y compris le référentiel comptable applicable. § De la nature de l'entité et ses choix en matière de pratique comptable. § Des objectifs, des stratégies et des risques d'entreprises qui en résultent. § De la mesure et l'examen des performances financières de l'entreprise. § Du contrôle interne de l'entreprise Nous retrouvons ici plusieurs facteurs en relation avec l'environnement de l'entreprise. La compréhension du contrôle interne de l'entreprise se fait en même temps que la compréhension de la gestion des risques. En effet, le contrôle interne d'une entreprise est une composante de la gestion des risques d'entreprise et l'auditeur lorsqu'il va étudier l'entreprise et son environnement, étudie à la fois la façon dont l'entreprise gère ses risques et le contrôle interne qu'elle a mis en place pour maîtriser ces risques. L'environnement devient donc une composante directe de l'évaluation du contrôle interne. La gestion des risques d'entreprise aide l'entreprise à atteindre les objectifs avec efficacité et constitue une prévention contre les pertes. Elle est en liaison avec l'objectif de fournir une information financière fiable qui sert de support décisionnel et celui de la conformité de l'entreprise aux lois et règlements en vigueur puisqu'elle doit éviter à l'entreprise des conséquences qui lui seront préjudiciables. Ces objectifs sont à rapprocher avec les risques dus à l'environnement évoqués dans le premier chapitre de cette partie. L'identification des objectifs va donc précéder l'identification d'évènements de nature à constituer un risque. L'auditeur va analyser plus particulièrement les objectifs ayant un lien direct avec les objectifs de l'audit et pour lesquels les risques que l'objectif ne soit pas atteint entraîne un risque d'erreur dans les comptes. Selon la norme ISA 315, ces objectifs sont principalement la conformité au cadre règlementaire, la fiabilité de l'information financière ou la mesure et vérification de la performance. Au travers de sa compréhension de l'entreprise et de son environnement ainsi que de sa gestion des risques l'auditeur va analyser les risques potentiels d'anomalies significatives dans les états financiers. Il devra ensuite établir un lien entre les objectifs de l'entité et les risques correspondants qui peuvent l'intéresser pour son audit. Tout d'abord l'auditeur appréciera les risques pertinents pour l'audit au niveau de l'entité dans son ensemble qui incluent les risques applicables à toutes les entités, les risques résultant de choix stratégiques fait par la direction et les risques du secteur dans lequel opère l'entité. Au niveau de l'entreprise l'auditeur va plus précisément évaluer les risques relatifs aux objectifs de conformité aux lois et aux règlements, à la fiabilité de l'information financière, à la maîtrise des « affaires » et à la performance financière. Par ailleurs, compte tenu de l'extension des utilisateurs des états financiers, l'auditeur devra aussi tenir compte des risques pouvant affecter les objectifs d'intérêt général, notamment sur la pertinence des informations qui sont donnée à ces utilisateurs. Le processus d'identification des risques pertinent pour l'audit liés à l'environnement peut être résumé par le schéma suivant : Conformité aux lois et règlements Maîtrise des affaires ou des actions Risques pertinents pour l'audit Risques encourus par toutes les entités Risques résultant des choix stratégiques Risques résultant du secteur d'activité
La norme ISA 315 impose aussi à l'auditeur de déterminer des risques qui exigent une prise en compte spéciale d'audit. Ce sont des risques dits « significatifs » qui peuvent entraîner des anomalies. L'auditeur va examiner un certain nombre d'éléments, comme la possibilité de fraude, les évolutions de l'environnement ou encore le degré de complexité des opérations pour déterminer si le risque exige une attention particulière. D'après les nouvelles normes, l'audit des états financiers requiert donc une compréhension plus approfondie de l'entreprise et de son environnement afin d'identifier et d'évaluer les risques qui peuvent entraîner des anomalies significatives dans les états financiers. Les caractéristiques de l'entreprise étant liées à celles de son environnement, il conviendrait de préciser les risques s'y rapportant. 2. Les risques liés à l'environnement pertinents pour l'audit Comme nous l'avons vu dans le premier chapitre, l'environnement est facteur de risque pour l'entreprise. Il s'agira alors, pour le commissaire aux comptes d'identifier et d'évaluer les risques d'anomalies significatives dans les états financiers liés aux éléments externes de l'entreprise. Tout d'abord, il est important de cerner les risques liés au secteur d'activité dans lequel opère l'entreprise. Il peut générer des risques spécifiques résultant de la nature des activités ou encore du degré de règlementation. L'auditeur devra obtenir une connaissance appropriée du secteur d'activité afin de déterminer un cadre de référence pour les états financiers. Le secteur d'activité peut être porteur de réglementations qui lui sont propres. Le commissaire aux comptes devra les connaître afin de savoir si elles sont appliquées par l'entreprise. L'environnement règlementaire est un autre facteur de risque important dont doit tenir compte l'auditeur. Le non respect de certains textes législatifs peut remettre en cause la continuité d'exploitation de l'entreprise. Par exemple, une entreprise ne respectant pas les obligations relatives à une licence d'exploitation devrait cesser son activité. De plus, ce sont les lois ou règlements qui sont pris en compte pour l'élaboration des états financiers. Ils peuvent concerner les modes d'évaluations et de présentations des états financiers ou la façon de comptabiliser certaines opérations. L'auditeur devra aussi comprendre comment l'entreprise a choisi ses pratiques comptables et déterminer si cela est conforme au référentiel comptable applicable au secteur d'activité. Le non respect de la loi peut être volontaire et conduire à la fraude. Certaines activités sont propices à la fraude. En outre les contraintes imposées par l'environnement à l'entreprise peuvent encourager ces derniers à frauder. Des pressions exercées par les organismes financiers sur les dirigeants ou une augmentation des prélèvements fiscaux peuvent conduire à l'établissement d'états financiers frauduleux. L'auditeur doit apprécier la présence éventuelle d'un ou plusieurs facteurs de risques de fraude. Les risques liés à la conjoncture économique vont avoir un impact sur les flux financiers de l'entreprise. Ils pourront remettre en cause la continuité de l'exploitation et l'auditeur devra vérifier si l'entreprise en a conscience. Par ailleurs l'environnement économique va créer des pressions importantes sur l'entreprise, qui peuvent inciter les dirigeants à agir sur la mesure des performances en vue d'améliorer faussement les résultats et les états financiers. La connaissance des tendances économiques peut éveiller les soupçons de l'auditeur sur un résultat qui ne serait pas en adéquation avec ces dernières. Le premier chapitre de cette partie a bien montré que l'environnement de l'entreprise pouvait conduire à une gestion des résultats avec la théorie politico-contractuelle de la comptabilité. Les risques que des anomalies puissent apparaître dans les comptes de l'entité contrôlée peuvent donc aussi bien provenir d'évènements imposés à l'entreprise par les circonstances ou l'environnement que par les choix que peut faire la direction. Ces risques peuvent concerner toutes les entreprises y compris les plus petites et l'auditeur devra en tenir compte s'il veut rendre plus pertinente son approche. Il apparaît dès lors intéressant d'étudier le degré d'importance de l'analyse de l'environnement de l'entreprise dans l'approche par les risques. |
|
