CDP

Fonctionnement

Le processus d'identification et d'évaluation des risques commence dès la phase de planification et se poursuit tout au long de la mission. L'ISA 315.25 exige que le CAC obtienne une compréhension de l'entité, de son environnement et de son système de contrôle interne suffisante pour identifier les risques d'anomalies significatives.

Cette compréhension ne se limite pas à une séance d'ouverture de mission. Elle s'appuie sur quatre éléments distincts : l'analyse du secteur d'activité et du contexte économique et réglementaire, l'examen de la structure et de la gouvernance de l'entité, l'évaluation des processus comptables et du système de contrôle interne, et l'identification des procédures d'évaluation des risques existantes chez l'entité.

L'ISA 315.26 à 315.29 détaille les sources d'information que le CAC doit exploiter : entretiens avec la direction et les responsables de la gouvernance, observation et inspection des installations, examen de la documentation existante et résultats des audits précédents.

Une fois ces informations rassemblées, vous devez identifier les risques au niveau des assertions (existence, exhaustivité, exactitude, évaluation). Concrètement : pour chaque poste du bilan ou du compte de résultat, qu'est-ce qui pourrait être erroné, et par quel mécanisme ?

La documentation de ce processus est le point de friction principal. L'ISA 315.32 exige que le CAC documente sa compréhension et son processus d'identification des risques. Une documentation générique (« l'environnement économique semble stable ») ne passe pas. Vous devez expliciter le lien entre chaque observation et le risque qu'elle génère.

Exemple pratique : Métallurgie Alsacienne SARL

Client : SARL industrielle établie à Strasbourg, chiffre d'affaires 18 M EUR, IFRS PME, trois usines de transformation de métaux, direction familiale.

Étape 1 : analyse de l'entité et de son environnement

Vous rencontrez le directeur général et le responsable comptable. Vous constatez : le secteur sidérurgique connaît une volatilité des prix des matières premières (acier, aluminium) ; l'entité a récemment acquis une quatrième usine en 2024 ; la trésorerie s'est contractée de 2,1 M EUR à 1,4 M EUR en douze mois suite à cet investissement. Deux des trois auditeurs internes ont quitté l'entreprise en 2023, réduisant la capacité d'audit interne.

Note documentaire : création d'une feuille de synthèse listant les facteurs de risque. Volatilité des prix (secteur), expansion (nouveaux actifs), trésorerie resserrée, capacité d'audit interne réduite. Référence : ISA 315.25.

Étape 2 : examen du système de contrôle interne

Vous inspectez le processus d'évaluation des stocks. Chaque usine effectue un inventaire physique annuel. Les valorisations sont centralisées dans un fichier Excel. Le processus de rapprochement entre l'inventaire et la comptabilité est effectué par une seule personne au siège. Aucun contrôle compensatoire en cas d'absence de cette personne.

Note documentaire : diagramme de flux simplifié montrant les étapes, les contrôles clés (l'inventaire versus la comptabilité) et les lacunes. Référence : ISA 315.27.

Étape 3 : identification des risques au niveau des assertions

Assertion « Existence » sur les stocks : risque élevé. Avec deux usines de production en rotation et un processus d'inventaire décentralisé, il existe un risque que l'inventaire enregistré en comptabilité ne reflète pas les stocks physiquement présents. L'acquisition d'une quatrième usine aggrave ce risque parce que les processus ne sont pas encore intégrés.

Assertion « Évaluation » sur les stocks : risque significatif. L'entité valorise les stocks selon la méthode du coût moyen pondéré. Avec les fluctuations des prix des matières premières, les valorisations de couches anciennes pourraient être surévaluées relativement au coût de remplacement.

Assertion « Imputation » sur les achats et les stocks : risque modéré. Le passage de trois usines à quatre sans modification du système de rapprochement génère un risque que les achats ne soient pas imputés au bon centre de coûts.

Note documentaire : matrice risques/assertions listant chaque risque identifié, sa probabilité estimée (élevé, modéré, faible), l'assertion affectée et la source du risque. Référence : ISA 315.28.

Étape 4 : réponse aux risques identifiés

Pour le risque d'existence des stocks : vous planifiez des procédures substantives étendues. Vous programmez un comptage indépendant dans la plus grande usine à une date intermédiaire pour tester le fonctionnement du processus de rapprochement avant la clôture.

Pour le risque d'évaluation : vous planifiez un test de réduction de prix à la date de clôture pour identifier les articles dont le coût de remplacement est inférieur à la valorisation enregistrée.

Note documentaire : lien explicite entre chaque risque identifié (étape 3) et la procédure de réponse correspondante (étape 4). Cela démontre à l'associé en charge qu'une évaluation systématique du risque a guidé votre stratégie d'audit. Référence : ISA 315.33.

Le CDP n'est pas un formalisme. Il justifie le volume de travail de votre mission. Je l'avoue, quand le CDP est fait correctement, le reste de la mission s'articule presque naturellement. Quand il est bâclé, on passe la saison à colmater.

Ce que les CAC et les examinateurs ne font pas correctement

L'ISA 315.26(c) exige l'examen des changements survenus depuis l'audit précédent. Dans les dossiers que nous voyons, de nombreuses missions omettent de relier une acquisition ou une restructuration à une hausse du risque au niveau des assertions. Un nouveau directeur financier ou l'intégration d'une nouvelle filiale devrait toujours déclencher une réévaluation, pas une confirmation des risques antérieurs.

Écrire « L'environnement économique est stable » ne satisfait pas à l'ISA 315.32. La documentation doit expliciter : quel indicateur économique avez-vous examiné (taux de change, prix des matières premières, demande du secteur), comment cet indicateur affecte concrètement les flux de trésorerie ou les stocks de cette entité, et quel risque comptable en découle. Générique veut dire non documenté.

Beaucoup de missions énumèrent des risques sans démontrer une méthodologie systématique. L'ISA 315.25 suppose que vous avez une approche : vous avez examiné X, ce qui suggère le risque Y au niveau de l'assertion Z. Nous constatons que certaines équipes construisent leur matrice de risques comme une usine à gaz (vingt lignes de risques génériques copiés d'un modèle) au lieu de se concentrer sur les cinq ou six risques réels qui structurent la mission. Énumérer des risques avec des « peut-être » suggère un doute plutôt qu'une identification.

Comparaison : CDP vs réponse aux risques identifiés

La distinction est fondamentale : le CDP vous dit ce qui pourrait être erroné. La réponse aux risques vous dit comment vous testez si c'est erroné. De nombreuses équipes commencent la réponse avant d'avoir achevé le CDP, ce qui fragilise l'ensemble de la stratégie d'audit.

Termes connexes

- Risque d'anomalie significative : résultant du CDP, c'est le risque inhérent et de contrôle combinés au niveau des assertions. - ISA 330 : réponse de l'auditeur aux risques identifiés : les procédures que vous planifiez après avoir exécuté votre CDP. - Procédures d'évaluation du risque : observations, entretiens, inspections et examen documentaire utilisés pendant le CDP. - Système de contrôle interne : l'une des quatre composantes que vous évaluez pendant le CDP. - Assertion : le niveau auquel vous évaluez les risques (existence, exhaustivité, exactitude, évaluation).

Calculateur d'évaluation du risque

Utilisez le calculateur d'évaluation du risque ISA 315 pour structurer votre CDP. Cet outil guide votre identification systématique des risques et produit une matrice de risques exportable pour votre dossier de travail.

---