Definition
Chez nos clients, nous constatons le même problème sur neuf dossiers de fraude sur dix : l'évaluation des risques bruts et l'évaluation des contrôles de la direction sont mélangées dans une seule colonne. Quand le H3C demande « quel était le risque brut avant atténuation ? », le dossier ne répond pas. C'est du tampon, pas de l'analyse. ISA 240 Révisée (entrée en vigueur le 15 décembre 2026) corrige cela en imposant une séparation structurelle.
Le coeur de la distinction
ISA 240.13 (Révisée) exige que vous évaluiez les risques de fraude d'abord en tant que risques identifiés, avant de considérer les réponses de la direction. La norme actuelle (ISA 240.A3-A12) vous autorise à évaluer les risques et les contrôles de la direction dans le même élan. Cela semble minime. Jusqu'à ce qu'une inspection vous demande d'identifier tous les risques bruts possibles, ce qui n'était pas documenté séparément dans votre dossier actuel.
La direction a toujours des plans pour atténuer les risques identifiés. Sous ISA 240 actuelle, vous pouvez conclure que le risque de fraude au niveau des assertions est faible parce que les contrôles de la direction semblent solides. Sous ISA 240 Révisée, vous documentez d'abord que le risque brut existe (par exemple, des paiements importants à des fournisseurs nouveaux sans documentation d'approbation), puis vous évaluez si les plans de la direction pour atténuer ce risque sont faisables et suffisants. Si la direction n'a aucun plan, le papier de travail le montre clairement. Si la direction a un plan qui dépend d'un contrôle à nouveau testé, cela aussi est documenté explicitement.
Tableau comparatif
| Dimension | ISA 240 Actuelle | ISA 240 Révisée |
|---|---|---|
| Identification des risques | Souvent intégrée à l'évaluation des contrôles | Documentée séparément, sur une base brute, avant atténuation |
| Évaluation des plans de la direction | Fusionnée avec l'identification des risques | Effectuée après l'identification, jugement séparé sur leur faisabilité |
| Documentation requise | Papier de travail unique couvrant risques + contrôles | Deux sections distinctes : risques bruts, puis plans d'atténuation |
| Risque sans plan d'atténuation | Peut être implicite ou moins évident dans le dossier | Doit être explicitement documenté |
| Changement de procédures d'audit | Aucun changement obligatoire avant décembre 2026 | S'applique à compter du 15 décembre 2026 |
Quand cette distinction s'impose dans une mission réelle
Imaginez une mission d'audit annuelle dans une entreprise allemande de taille moyenne : Müller Elektrotechnik GmbH, chiffre d'affaires 35 M EUR, secteur de la fabrication. Lors de votre évaluation des risques de fraude, vous identifiez que les paiements importants à de nouveaux fournisseurs (plus de 50 000 EUR) ne sont pas documentés avec un accord de prix signé, seulement une commande interne. Sous ISA 240 actuelle, vous testez les contrôles en place : le directeur financier (DAF) examine chaque paiement avant approbation. Si cet examen fonctionne bien pendant votre période de test, vous pouvez conclure que le risque est géré.
Sous ISA 240 Révisée, vous documentez d'abord le risque brut : absence de contrat signé avec le fournisseur avant le paiement. Cela existe, que les contrôles fonctionnent ou non. Vous documentez ensuite le plan de la direction : l'examen du DAF. Puis vous évaluez : ce plan est-il faisable (est-ce réellement dans les responsabilités du DAF) ? Est-il suffisant (un examen sur base de comptes rendus de facturation peut-il détecter une coloration de fraude) ? Si le plan dépend d'un contrôle que vous testez déjà (approbation avant paiement), cela est explicitement établi en croisé.
Documentation dans le papier de travail, Étape 1 : Risques identifiés (avant considération des contrôles).
Exemple d'entrée : Paiements aux nouveaux fournisseurs sans accord de prix signé, accès par le directeur commercial à l'enregistrement des fournisseurs. Risque brut : fraude au paiement / schéma de surfacturations. Évaluation : élevé.
Documentation dans le papier de travail, Étape 2 : Plans de la direction.
Exemple d'entrée : Le DAF examine chaque paiement > 50 000 EUR avant approbation. Faisabilité : oui, c'est dans ses responsabilités. Suffisance : partiellement, car l'examen ne couvre que les chiffres, pas la validité du fournisseur. Plan modifié : ajout d'une approbation du directeur commercial pour tous les nouveaux fournisseurs.
Conclusion : le risque de fraude au paiement pour les nouveaux fournisseurs passe de élevé (brut) à moyen (après plans de la direction) parce que deux contrôles sont en place.
Où les auditeurs et les réviseurs se trompent
Dans les dossiers que nous voyons, beaucoup de cabinets mélangent les deux approches dans la même matrice. Ils identifient un risque brut, notent le contrôle de la direction à côté, évaluent le risque de fraude résiduel une seule fois, considèrent le papier de travail complet. Cette approche fonctionne sous ISA 240 actuelle. Elle ne fonctionnera pas sous ISA 240 Révisée parce qu'un régulateur examinera le dossier et demandera : « Quel était le risque brut que vous aviez identifié avant de considérer les contrôles de la direction ? » Si cette réponse n'est pas claire dans le dossier, c'est un constat. Le dossier est trop léger.
Un second problème : supposer que la séparation des risques bruts des plans d'atténuation signifie ajouter deux lignes supplémentaires à votre matrice actuelle. Ce n'est pas le cas. C'est une refonte de la structure du papier de travail. Beaucoup de cabinets utilisent actuellement une approche « colonne de contrôle » où le risque est évalué après la mise en place du contrôle. ISA 240 Révisée vous oblige à d'abord évaluer le risque sans supposer aucun contrôle, puis à ajouter une section distincte : « Réponses de la direction : faisabilité et suffisance. »
Je l'avoue, le troisième problème est celui qui nous inquiète le plus. Certains cabinets documentent qu'ils ont identifié un risque brut, puis supposent automatiquement que les contrôles existants l'atténuent. ISA 240.13(b) (Révisée) dit que vous devez évaluer si les plans de la direction sont faisables et suffisants pour répondre au risque identifié. Faisable signifie : est-ce que ce contrôle peut réellement être exécuté avec les ressources et responsabilités actuelles ? Suffisant signifie : est-ce que ce contrôle réduit le risque à un niveau que vous jugez acceptable ? Ces deux questions doivent être documentées en tant que conclusions distinctes. Pas comme une remarque entre parenthèses.
Outil de transition disponible
Ciferi propose une matrice de structure ISA 240 Révisée qui reformate automatiquement vos papiers de travail existants de l'approche fusionnée (ISA 240 actuelle) à la structure en deux étapes requise par ISA 240 Révisée. Cela vous permet de tester vos processus actuels et de voir exactement où les lacunes documentaires se trouvent avant décembre 2026.
Termes connexes
L'évaluation des risques de fraude couvre le processus complet d'identification des zones dans lesquelles la direction pourrait potentiellement commettre une fraude. ISA 240 (Révisée et actuelle) la gouverne, mais l'ordre des étapes diffère.
ISA 240 actuelle est la version de la norme en vigueur jusqu'au 15 décembre 2026. Elle définit les procédures générales pour identifier les risques de fraude.
La fraude par assertion est une catégorie de risque où la fraude se manifeste à travers une assertion erronée. ISA 240 Révisée exige de documenter cette catégorisation séparément du jugement concernant les contrôles.
Les plans d'atténuation de la direction sont les actions que la direction a mises en place pour réduire un risque de fraude identifié. ISA 240 Révisée exige une évaluation explicite de leur faisabilité et suffisance.
Le risque résiduel de fraude est le risque de fraude qui persiste après que la direction a appliqué ses plans d'atténuation. ISA 240 Révisée vous oblige à l'estimer après l'étape 2.
ISA 315 Révisée, également entrée en vigueur le 15 décembre 2024, redéfinit l'identification des risques au niveau de l'assertion d'une manière qui s'aligne sur la logique ISA 240 Révisée.
---