Definition
Chez nos clients, le problème n'est presque jamais l'absence de réponses aux risques de qualité. Les registres existent, les fiches sont remplies, les politiques sont écrites. Le problème, c'est que personne ne vérifie si ces réponses fonctionnent. L'ISQM 1.26 exige que le cabinet conçoive et mette en place des politiques et procédures qui réduisent chaque risque de qualité identifié à un niveau acceptable. Une réponse qui existe sur le papier mais qui n'est pas suivie en pratique ne satisfait pas à cette exigence.
Fonctionnement
ISQM 1.26 impose une séquence. Le cabinet fixe des objectifs de qualité (ISQM 1.23-24), identifie les risques qui menacent ces objectifs, puis conçoit des réponses qui réduisent ces risques à un niveau acceptable. Une réponse peut être une politique (le cabinet exige que tous les associés responsables effectuent une vérification de conflit d'intérêts avant l'acceptation), une procédure (l'équipe de mission utilise un outil de calcul de la matérialité en phase de planification), ou les deux.
ISQM 1.27 ajoute une exigence de proportionnalité. Un CAC exerçant seul avec douze mandats statutaires n'a pas besoin du même dispositif qu'un cabinet de 200 personnes. Les réponses doivent être proportionnées à la nature et aux circonstances du cabinet, y compris les types de missions qu'il réalise et la manière dont il est organisé. C'est là que beaucoup de cabinets dérapent. Les dossiers que nous voyons montrent deux erreurs symétriques : soit le cabinet copie les modèles Big 4 (c'est du tampon, personne ne lit ces fiches), soit il traite les réponses comme un exercice de cases à cocher sans lien avec les risques identifiés.
Le lien avec la surveillance et les mesures correctives est direct. ISQM 1.40 exige que le cabinet vérifie si ses réponses fonctionnent comme prévu. Une réponse qui existe sur le papier mais qui n'est pas appliquée en pratique ne satisfait pas à ISQM 1.26. C'est exactement comme si le cabinet n'avait pas de réponse du tout.
Exemple concret : Cabinet Delcourt Audit S.A.S.
Client : cabinet d'audit français, 14 associés, 85 collaborateurs, missions de commissariat aux comptes et d'audit contractuel. Chiffre d'affaires 12 M EUR, siège à Nantes.
Étape 1 : identifier le risque de qualité
Lors de l'évaluation annuelle du système de gestion de la qualité, le cabinet identifie un risque lié à la compétence technique : trois missions récentes impliquent des entités soumises à IFRS 17 (contrats d'assurance), mais aucun associé ne dispose d'une formation certifiée sur cette norme. Le risque menace l'objectif de qualité relatif à la performance des missions (ISQM 1.25).
Note de documentation : registre des risques de qualité, ligne 12. Risque de compétence technique IFRS 17. Évaluation : probabilité élevée, impact potentiel élevé (opinion incorrecte sur les provisions techniques).
Étape 2 : concevoir la réponse
Le cabinet conçoit deux réponses complémentaires. Première réponse (politique) : aucune mission impliquant IFRS 17 ne peut être acceptée sans qu'un associé ou un manager ait suivi une formation IFRS 17 d'au moins 16 heures dispensée par un organisme accrédité. Deuxième réponse (procédure) : pour les missions en cours, le cabinet sous-traite la revue technique des provisions à un expert externe et documente la portée de l'intervention dans la lettre de mission.
Note de documentation : fiche de réponse R-12a (politique de formation) et R-12b (procédure de sous-traitance). Date d'entrée en vigueur, responsable désigné, critères de vérification.
Étape 3 : mettre en place et surveiller
En janvier 2025, deux associés suivent la formation IFRS 17. Le cabinet vérifie en mars 2025 que les trois missions en cours ont bien été revues par l'expert externe et que les mémorandums de revue sont classés dans le dossier permanent.
Note de documentation : registre de suivi des formations (dates, attestations). Rapport de surveillance Q1 2025 : réponses R-12a et R-12b opérationnelles. Aucune déficience constatée.
Étape 4 : tester l'efficacité opérationnelle
Six mois après la mise en place, la fonction de surveillance du cabinet examine un échantillon de quatre nouvelles acceptations de missions. Une mission impliquant IFRS 17 a été acceptée sans la vérification de formation requise. Le cabinet enregistre la déficience et exige une validation rétroactive dans les dix jours.
Note de documentation : le rapport de surveillance note la déficience, identifie la cause (processus de vérification manuel sans alerte automatique) et met en place une action corrective (alerte automatique dans le logiciel de gestion des missions).
Ce que les CAC et les praticiens mésinterprètent
Beaucoup de cabinets adoptent un modèle standard de réponses aux risques de qualité fourni par un réseau ou un éditeur de logiciel, sans l'adapter à leur propre profil de risque. ISQM 1.27 exige que les réponses soient conçues en fonction des risques identifiés par le cabinet. Un modèle générique qui ne reflète pas les missions réelles du cabinet ne satisfait pas à cette exigence. Les dossiers que nous voyons contiennent parfois 40 réponses modèles alors que le cabinet n'a documenté que 15 risques. La chaîne est cassée.
Les registres de risques contiennent des risques bien formulés, mais les réponses ne correspondent pas directement au risque identifié. Un risque portant sur la rotation excessive du personnel ne peut pas être traité par une réponse portant sur la formation technique. Il faut une réponse portant sur la rétention (conditions de travail, charge de travail, rémunération, perspective de carrière).
ISQM 1.42 exige que le cabinet évalue si les réponses fonctionnent comme prévu. Un cabinet qui conçoit des réponses en année 1 mais ne vérifie jamais si elles ont été appliquées ne satisfait pas à l'obligation de surveillance continue. Je l'avoue : c'est la déficience la plus frustrante à constater parce qu'elle rend l'ensemble du système de qualité théorique.
Il y a aussi la confusion entre réponses au niveau du cabinet et réponses au niveau de la mission. Les réponses ISQM 1 sont des politiques et procédures au niveau du cabinet. Les réponses aux risques au niveau de la mission sont régies par ISA 330. Les deux niveaux doivent être documentés séparément.
Réponses aux risques de qualité vs. risques de qualité
| Dimension | Réponses aux risques de qualité | Risques de qualité |
|---|---|---|
| Définition | Politiques et procédures que le cabinet conçoit pour traiter les risques de qualité (ISQM 1.26) | Conditions ayant une possibilité raisonnable d'affecter un objectif de qualité (ISQM 1.25) |
| Séquence | Viennent après l'identification des risques. Impossible de concevoir une réponse sans risque à traiter | Viennent après la définition des objectifs de qualité. Identifiés avant la conception des réponses |
| Proportionnalité | Doivent être proportionnées à la taille du cabinet et à son portefeuille de missions (ISQM 1.27) | Doivent refléter les conditions réelles du cabinet, pas une liste de risques génériques |
| Surveillance | Le cabinet vérifie si la réponse fonctionne comme prévu (ISQM 1.40) | Le cabinet vérifie si les risques ont changé ou si de nouveaux risques sont apparus (ISQM 1.39) |
| Constat d'inspection | Les réponses existent sur le papier mais ne sont pas suivies | Les risques sont listés de manière générique sans analyse propre au cabinet |
La distinction compte parce que les inspecteurs évaluent la chaîne complète : objectif vers risque vers réponse. Un cabinet qui documente 40 réponses mais seulement 15 risques de qualité a une chaîne cassée. Les réponses excédentaires sont des contrôles non traçables qui ajoutent du coût sans satisfaire ISQM 1. C'est l'usine à gaz dans sa forme la plus pure.
Termes connexes
- Risques de qualité : les conditions ou événements que les réponses sont conçues pour traiter. - Objectifs de qualité : les résultats que le système de gestion de la qualité vise à atteindre. Les risques et réponses sont évalués par rapport à ces objectifs. - Surveillance et mesures correctives : le processus par lequel le cabinet vérifie que les réponses fonctionnent comme prévu et corrige les déficiences. - Revue de qualité de la mission : une réponse spécifique au risque de qualité sur les missions à haut risque, exigeant une revue indépendante avant la signature du rapport. - Analyse des causes profondes : la méthode utilisée pour identifier pourquoi une réponse n'a pas fonctionné comme prévu lorsqu'une déficience est constatée.
---