Partielo | Créer ta fiche de révision en ligne rapidement

CONTRÔLE INTERNE & ÉVALUATION DU RISQUE D’AUDIT

🔹 1. Références légales et normatives

  • Code de commerce :
  • art. L.823-9 (mission du CAC),
  • art. L.225-235 (rapport sur le contrôle interne et le gouvernement d’entreprise).
  • Normes d’exercice professionnel (NEP) :
  • NEP 200 – Objectif général du CAC et conduite d’un audit selon les normes d’audit,
  • NEP 240 – Prise en compte de la fraude,
  • NEP 260 – Communication avec les organes de gouvernance,
  • NEP 265 – Communication des déficiences du contrôle interne,
  • NEP 300 – Planification,
  • NEP 315 – Identification et évaluation des risques d’anomalies significatives,
  • NEP 330 – Réponses de l’auditeur aux risques évalués.
  • Référentiels de contrôle interne : COSO 2013 (Internal Control – Integrated Framework), AMF 2024 (Guide du gouvernement d’entreprise).
  • Doctrine H3C 2024 : approche par les risques et documentation de l’évaluation.

🔹 2. Définition du contrôle interne

Le contrôle interne est l’ensemble des dispositifs mis en œuvre par la direction d’une entité pour garantir la maîtrise de ses activités et assurer la fiabilité de l’information financière.

Selon le COSO, il vise à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

  1. Efficacité et efficience des opérations,
  2. Fiabilité de l’information financière,
  3. Conformité aux lois et règlements.

⚠️ Le contrôle interne n’élimine pas tous les risques — il en réduit la probabilité et l’impact.


🔹 3. Composantes du contrôle interne (modèle COSO)

Le contrôle interne repose sur cinq piliers essentiels :

1. Environnement de contrôle

  • Culture d’entreprise, intégrité, valeurs éthiques, compétences des collaborateurs.
  • Structure organisationnelle, rôle du conseil d’administration, délégations de pouvoirs.

2. Évaluation des risques

  • Identification, analyse et hiérarchisation des risques opérationnels et financiers.
  • Définition du risque d’audit significatif et du risque inhérent à chaque processus.

3. Activités de contrôle

  • Politiques, procédures, validations, autorisations, rapprochements, contrôles physiques.
  • Ségrégation des tâches pour éviter les fraudes ou erreurs.

4. Information et communication

  • Systèmes d’information fiables, procédures de remontée d’anomalies, reporting interne et externe.

5. Pilotage et supervision

  • Suivi permanent du dispositif de contrôle interne, audit interne, revue de conformité.

Réf. : COSO 2013 / AMF 2024.


🔹 4. Le rôle du commissaire aux comptes

Le CAC n’a pas pour mission de certifier le contrôle interne, mais il doit en apprécier l’efficacité pour déterminer son plan d’audit.

Objectifs :

  • Identifier et évaluer les risques d’anomalies significatives dans les comptes.
  • Déterminer la nature, le calendrier et l’étendue des procédures d’audit à mettre en œuvre.
  • Communiquer aux organes de gouvernance les déficiences significatives du contrôle interne (NEP 265).

Le CAC exerce une approche par les risques : il concentre ses travaux sur les zones où le risque d’anomalie est le plus élevé.


🔹 5. Typologie des risques en audit

A. Risque d’audit global

Le risque d’audit est la probabilité que le CAC exprime une opinion inappropriée alors que les comptes comportent des anomalies significatives.

Il se décompose en trois composantes (NEP 315 §18) :

Risque d’audit = Risque inhérent × Risque lié au contrôle × Risque de non-détection
  • Risque inhérent (RI) : probabilité d’erreur avant tout contrôle interne.
  • Exemple : estimation comptable, jugement, fraude possible.
  • Risque lié au contrôle (RC) : risque que le contrôle interne ne détecte pas ou ne corrige pas l’erreur.
  • Risque de non-détection (RN) : risque que les procédures d’audit ne détectent pas l’anomalie.

L’auditeur ne peut pas éliminer le risque, mais il le ramène à un niveau acceptable.


🔹 6. Évaluation du contrôle interne et documentation

A. Étapes de l’évaluation (NEP 315)

  1. Prise de connaissance de l’entité et de son environnement.
  2. Identification des processus significatifs (ventes, achats, trésorerie, paie, stocks…).
  3. Revue du contrôle interne existant sur chaque processus.
  4. Tests de conception : le dispositif est-il pertinent et bien conçu ?
  5. Tests d’efficacité : le dispositif fonctionne-t-il réellement ?
  6. Identification et évaluation des risques d’anomalies significatives.
  7. Documentation dans le dossier permanent et courant d’audit.

B. Outils utilisés

  • Cartographie des processus.
  • Matrice de risques (risque – contrôle – responsable).
  • Questionnaires de contrôle interne.
  • Walkthrough tests (revue de bout en bout d’un flux).

🔹 7. Réponse du CAC aux risques identifiés

Selon la NEP 330, l’auditeur doit concevoir et mettre en œuvre des procédures d’audit complémentaires adaptées au niveau de risque identifié.

A. Si le contrôle interne est jugé fiable :

  • Réduction du volume des tests substantifs.
  • Accent sur les tests de conformité.

B. Si le contrôle interne est faible ou absent :

  • Extension des tests substantifs.
  • Vérifications analytiques approfondies.
  • Observation physique, confirmation externe, circularisation.

C. Suivi des anomalies détectées

Toute anomalie doit être :

  • quantifiée,
  • analysée (erreur, fraude, biais de jugement),
  • et documentée dans la note de synthèse d’audit.

🔹 8. Communication des déficiences du contrôle interne

A. Principe (NEP 265)

Le CAC doit porter à la connaissance des organes de gouvernance (direction, conseil, comité d’audit) les déficiences significatives qu’il a relevées.

B. Contenu du rapport

  • Description de la déficience.
  • Conséquences potentielles sur les comptes.
  • Recommandations d’amélioration.
  • Mention du suivi des points antérieurs.

Ces communications sont formalisées dans une lettre au président ou un rapport spécifique, et doivent être tracées dans le dossier d’audit.


🔹 9. Articulation avec le contrôle interne comptable et financier (CICF)

Les sociétés cotées (et certaines grandes entités) doivent publier dans leur rapport sur le gouvernement d’entreprise une description du dispositif de contrôle interne et du contrôle des risques (C. com. art. L.225-235).

Le CAC doit vérifier la cohérence de ces informations avec sa propre évaluation du contrôle interne, sans en certifier l’efficacité.


🔹 10. Points de vigilance DEC 2025

  • Le contrôle interne n’est pas une fin, mais un moyen de fiabilisation des comptes.
  • Le CAC n’émet pas une opinion sur le contrôle interne, sauf mission contractuelle spécifique.
  • Le risque d’audit doit être documenté et justifié dans le dossier (NEP 230).
  • En cas de déficience majeure non corrigée, le CAC peut être amené à modifier son opinion (réserve, refus).
  • Le contrôle interne extra-financier (RSE / ESG) devient une exigence CSRD 2025 : l’auditeur devra élargir son évaluation à ces informations.

🧠 À RETENIR POUR L’ÉPREUVE DEC

Le contrôle interne vise la maîtrise des risques, la fiabilité de l’information et la conformité.
Le commissaire aux comptes l’évalue pour adapter son plan d’audit et réduire le risque d’audit à un niveau acceptable.
L’approche repose sur :
  • la connaissance des processus,
  • l’identification des risques significatifs,
  • l’évaluation du dispositif de contrôle,
  • et la communication des déficiences.
L’audit moderne est une approche par les risques : comprendre l’organisation, évaluer les faiblesses, ajuster les tests et garantir la fiabilité des comptes.



CONTRÔLE INTERNE & ÉVALUATION DU RISQUE D’AUDIT

🔹 1. Références légales et normatives

  • Code de commerce :
  • art. L.823-9 (mission du CAC),
  • art. L.225-235 (rapport sur le contrôle interne et le gouvernement d’entreprise).
  • Normes d’exercice professionnel (NEP) :
  • NEP 200 – Objectif général du CAC et conduite d’un audit selon les normes d’audit,
  • NEP 240 – Prise en compte de la fraude,
  • NEP 260 – Communication avec les organes de gouvernance,
  • NEP 265 – Communication des déficiences du contrôle interne,
  • NEP 300 – Planification,
  • NEP 315 – Identification et évaluation des risques d’anomalies significatives,
  • NEP 330 – Réponses de l’auditeur aux risques évalués.
  • Référentiels de contrôle interne : COSO 2013 (Internal Control – Integrated Framework), AMF 2024 (Guide du gouvernement d’entreprise).
  • Doctrine H3C 2024 : approche par les risques et documentation de l’évaluation.

🔹 2. Définition du contrôle interne

Le contrôle interne est l’ensemble des dispositifs mis en œuvre par la direction d’une entité pour garantir la maîtrise de ses activités et assurer la fiabilité de l’information financière.

Selon le COSO, il vise à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

  1. Efficacité et efficience des opérations,
  2. Fiabilité de l’information financière,
  3. Conformité aux lois et règlements.

⚠️ Le contrôle interne n’élimine pas tous les risques — il en réduit la probabilité et l’impact.


🔹 3. Composantes du contrôle interne (modèle COSO)

Le contrôle interne repose sur cinq piliers essentiels :

1. Environnement de contrôle

  • Culture d’entreprise, intégrité, valeurs éthiques, compétences des collaborateurs.
  • Structure organisationnelle, rôle du conseil d’administration, délégations de pouvoirs.

2. Évaluation des risques

  • Identification, analyse et hiérarchisation des risques opérationnels et financiers.
  • Définition du risque d’audit significatif et du risque inhérent à chaque processus.

3. Activités de contrôle

  • Politiques, procédures, validations, autorisations, rapprochements, contrôles physiques.
  • Ségrégation des tâches pour éviter les fraudes ou erreurs.

4. Information et communication

  • Systèmes d’information fiables, procédures de remontée d’anomalies, reporting interne et externe.

5. Pilotage et supervision

  • Suivi permanent du dispositif de contrôle interne, audit interne, revue de conformité.

Réf. : COSO 2013 / AMF 2024.


🔹 4. Le rôle du commissaire aux comptes

Le CAC n’a pas pour mission de certifier le contrôle interne, mais il doit en apprécier l’efficacité pour déterminer son plan d’audit.

Objectifs :

  • Identifier et évaluer les risques d’anomalies significatives dans les comptes.
  • Déterminer la nature, le calendrier et l’étendue des procédures d’audit à mettre en œuvre.
  • Communiquer aux organes de gouvernance les déficiences significatives du contrôle interne (NEP 265).

Le CAC exerce une approche par les risques : il concentre ses travaux sur les zones où le risque d’anomalie est le plus élevé.


🔹 5. Typologie des risques en audit

A. Risque d’audit global

Le risque d’audit est la probabilité que le CAC exprime une opinion inappropriée alors que les comptes comportent des anomalies significatives.

Il se décompose en trois composantes (NEP 315 §18) :

Risque d’audit = Risque inhérent × Risque lié au contrôle × Risque de non-détection
  • Risque inhérent (RI) : probabilité d’erreur avant tout contrôle interne.
  • Exemple : estimation comptable, jugement, fraude possible.
  • Risque lié au contrôle (RC) : risque que le contrôle interne ne détecte pas ou ne corrige pas l’erreur.
  • Risque de non-détection (RN) : risque que les procédures d’audit ne détectent pas l’anomalie.

L’auditeur ne peut pas éliminer le risque, mais il le ramène à un niveau acceptable.


🔹 6. Évaluation du contrôle interne et documentation

A. Étapes de l’évaluation (NEP 315)

  1. Prise de connaissance de l’entité et de son environnement.
  2. Identification des processus significatifs (ventes, achats, trésorerie, paie, stocks…).
  3. Revue du contrôle interne existant sur chaque processus.
  4. Tests de conception : le dispositif est-il pertinent et bien conçu ?
  5. Tests d’efficacité : le dispositif fonctionne-t-il réellement ?
  6. Identification et évaluation des risques d’anomalies significatives.
  7. Documentation dans le dossier permanent et courant d’audit.

B. Outils utilisés

  • Cartographie des processus.
  • Matrice de risques (risque – contrôle – responsable).
  • Questionnaires de contrôle interne.
  • Walkthrough tests (revue de bout en bout d’un flux).

🔹 7. Réponse du CAC aux risques identifiés

Selon la NEP 330, l’auditeur doit concevoir et mettre en œuvre des procédures d’audit complémentaires adaptées au niveau de risque identifié.

A. Si le contrôle interne est jugé fiable :

  • Réduction du volume des tests substantifs.
  • Accent sur les tests de conformité.

B. Si le contrôle interne est faible ou absent :

  • Extension des tests substantifs.
  • Vérifications analytiques approfondies.
  • Observation physique, confirmation externe, circularisation.

C. Suivi des anomalies détectées

Toute anomalie doit être :

  • quantifiée,
  • analysée (erreur, fraude, biais de jugement),
  • et documentée dans la note de synthèse d’audit.

🔹 8. Communication des déficiences du contrôle interne

A. Principe (NEP 265)

Le CAC doit porter à la connaissance des organes de gouvernance (direction, conseil, comité d’audit) les déficiences significatives qu’il a relevées.

B. Contenu du rapport

  • Description de la déficience.
  • Conséquences potentielles sur les comptes.
  • Recommandations d’amélioration.
  • Mention du suivi des points antérieurs.

Ces communications sont formalisées dans une lettre au président ou un rapport spécifique, et doivent être tracées dans le dossier d’audit.


🔹 9. Articulation avec le contrôle interne comptable et financier (CICF)

Les sociétés cotées (et certaines grandes entités) doivent publier dans leur rapport sur le gouvernement d’entreprise une description du dispositif de contrôle interne et du contrôle des risques (C. com. art. L.225-235).

Le CAC doit vérifier la cohérence de ces informations avec sa propre évaluation du contrôle interne, sans en certifier l’efficacité.


🔹 10. Points de vigilance DEC 2025

  • Le contrôle interne n’est pas une fin, mais un moyen de fiabilisation des comptes.
  • Le CAC n’émet pas une opinion sur le contrôle interne, sauf mission contractuelle spécifique.
  • Le risque d’audit doit être documenté et justifié dans le dossier (NEP 230).
  • En cas de déficience majeure non corrigée, le CAC peut être amené à modifier son opinion (réserve, refus).
  • Le contrôle interne extra-financier (RSE / ESG) devient une exigence CSRD 2025 : l’auditeur devra élargir son évaluation à ces informations.

🧠 À RETENIR POUR L’ÉPREUVE DEC

Le contrôle interne vise la maîtrise des risques, la fiabilité de l’information et la conformité.
Le commissaire aux comptes l’évalue pour adapter son plan d’audit et réduire le risque d’audit à un niveau acceptable.
L’approche repose sur :
  • la connaissance des processus,
  • l’identification des risques significatifs,
  • l’évaluation du dispositif de contrôle,
  • et la communication des déficiences.
L’audit moderne est une approche par les risques : comprendre l’organisation, évaluer les faiblesses, ajuster les tests et garantir la fiabilité des comptes.