Linkedin
Contactez-nous

Tout comprendre sur les risques d’anomalies significatives (RMM)

audicia-tout-comprendre-sur-les-risques-anomalies-significatives-rmm-01

Tout comprendre sur les risques d’anomalies significatives (RMM)

1. Qu’est-ce qu’un RMM (Risk of Material Misstatement) (Risque d’anomalie significative)  ?

Lors d’un audit, l’objectif est de vérifier si les comptes annuels reflètent correctement la situation de l’entreprise. Mais certains événements ou transactions peuvent fausser les chiffres : ce sont les risques d’anomalies significatives (RMM).

Ces anomalies peuvent être dues à :

  • une erreur (mauvais calcul, estimation approximative, oubli),
  • ou une fraude (intention de manipuler l’information financière).

 

Identifier et évaluer ces risques permet aux auditeurs de concentrer leur travail là où il est vraiment utile.

Ce risque se compose de 2 sous risques : IR et IC.

 

2. Qu’est ce que le CRA (Combined risk assessment) ? 

Le CRA est l’évaluation combinée des risques pour chaque assertion pertinente  concernant chaque compte significatif.

3. Quels sont les types de risques analysés par les auditeurs ?

Il existe trois grandes catégories de risques :

 

Le risque d’audit (AR)

Lorsqu’un auditeur réalise un audit, il existe toujours un risque d’audit : c’est le risque qu’il exprime une opinion positive sur des comptes annuels qui comportent pourtant des erreurs importantes.

AR (Risque d’Audit) = IR * IC {CRA} * NDR

Le risque d’audit est un risque combiné dans une rubrique comptable.

L’auditeur peut agir sur le NDR.

C’est l’équilibre entre ces 3 risque qui détermine la stratégie et la profondeur des travaux d’audit.

Lorsque l’auditeur estime que le risque inhérent et/ou le risque de contrôle sont élevés, le risque de non-détection doit être maintenu à un niveau bas. Cela oblige à réaliser des travaux d’audit plus approfondis, par exemple en utilisant des échantillons plus importants.
À l’inverse, si le risque inhérent et le risque de contrôle sont considérés comme faibles, le risque de non-détection peut être plus élevé.

Le risque inhérent (IR) (ISA 200 §4) (ISA 315 § 31 et §5)

C’est le risque qu’une erreur importante existe avant tout contrôle interne.

Les risques inhérents seront évalués en tenant compte de deux critères : d’une part, la probabilité qu’ils se produisent, et d’autre part, l’importance des conséquences qu’ils pourraient avoir.

Les risques inhérents peuvent concerner soit un compte ou une assertion spécifique, soit l’ensemble des comptes annuels, pour évaluer où des erreurs importantes pourraient se produire (exemples : pression inhabituelle de la direction (objectif de bénéfices), conditions économiques et concurrentielles, présence de risque de fraude, entité multiplie les acquisitions…).

L’auditeur doit comprendre de l’environnement de l’entité dans lequel l’entreprise (Secteur d’activité, environnement juridique et réglementaire, activités de l’entité, règles comptables spécifiques, règles comptables spécifiques, flux interco’s (relation de propriété et parties liées), rôle de l’informatique (structure et complexité de l’environnement informatique (centralisé, décentralisé) , …)  pour évaluer les IR.

Exemples de IR relatif à un compte ou des assertions spécifiques :

  • une estimation comptable très complexe (assertion : exactitude),
  • des transactions inhabituelles,
  • des stocks rapidement obsolètes à cause de l’innovation technologique (assertion : évaluation).

Le référentiel applicable est traité distinctement car les risques peuvent provenir de la manière où le référentiel comptable est interprété et mis en œuvre et de l’expérience de ceux qui appliquent :

  • les normes,
  • les principes comptables,
  • les pratiques spécifiques au secteur,
  • la reconnaissance du chiffre d’affaire.

Nous évaluons si un risque inhérent global se révèle plus important pour certaines assertions.

Les IR sont classés comme élevés (probabilité plus forte d’un RMM en l’absence de IC) ou faibles.

Le risque lié au contrôle interne (ICR) (ISA 200 §4)

C’est le risque qu’une anomalie significative ne soit pas détectée ou corrigée à temps par le contrôle interne de l’entreprise.

Nous évaluons l’ICR pour chaque assertion comme « ne pas s’appuyer sur le contrôle » lorsque :

– contrôle non conçu de manière appropriée ;

– contrôles n’ont pas été mis en œuvre ;

– nous identifions des tests de substance qui fournissent des éléments probants.

Nous effectuons une première évaluation après avoir réalisé des tests de cheminement (walkthrougs).

Beaucoup d’auditeurs attribuent un niveau élevé au risque de contrôle après avoir mené leurs procédures d’évaluation des risques, afin d’éviter d’avoir à tester les contrôles.

Lorsqu’aucun contrôle n’est mis en place, qu’un contrôle ne fonctionne pas correctement ou que la stratégie d’audit ne prévoit pas de tests de contrôle, le risque de contrôle est considéré comme élevé.

Le risque de non détection (NDR) :  

Probabilité que l’auditeur ne détecte pas  des inexactitudes significatives après la sélection de techniques de révision.

Le risque d’entreprise

C’est le risque que l’activité elle-même soit fragilisée : restructuration, perte de clients majeurs, cyberattaques, pression réglementaire…

Il s’agit d’une étape préalable pour repérer les RMM potentiels.

Ces événements peuvent finir par avoir un impact direct sur les états financiers.

4. Comment les auditeurs détectent-ils les RMM ?

Les auditeurs ne se contentent pas de lire les comptes : ils observent aussi l’environnement global de l’entreprise.

Pour identifier les RMM, ils :

  • analysent l’entité et son secteur d’activité,
  • étudient les contrôles internes,
  • examinent les cycles opérationnels,
  • effectuent des analyses comparatives et préliminaires (Outils analytiques de données d’audit).

Exemples de signaux d’alerte (RMM significatifs)

  • forte instabilité économique,
  • contraintes de trésorerie,
  • changements majeurs dans l’organisation,
  • transactions avec parties liées,
  • litiges en cours,
  • risque de fraude,
  • évolutions économiques, comptables,
  • complexité des transactions,
  • incertitude d’estimation.

 

5. Que se passe-t-il une fois les risques identifiés ?

L’équipe d’audit organise une réunion de planification appelée Team Planning Event (TPE).

Objectif : discuter de chaque risque et décider s’il est :

  • confirmé comme un RMM,
  • jugé significatif (donc prioritaire dans l’audit),
  • ou écarté (mais documenté avec justification).

-> Un risque est qualifié de significatif s’il implique par exemple une fraude potentielle, une transaction inhabituelle, une estimation très incertaine ou une opération avec les parties liées.

6. Comment les auditeurs classent-ils les risques ?

Chaque RMM est rattaché à une partie précise des états financiers (FSA =Financial Statement Area) et aux assertions qui pourraient être concernées si le risque se matérialisait.

Deux niveaux de gravité sont retenus :

  • Normal : aucun risque majeur détecté.
  • Significatif (ISA 315.27) : risque critique nécessitant des vérifications approfondies.

Les RMM au niveau de la mission affectent les comptes annuels de manière globale.

L’auditeur doit s’assurer de la cohérence entre l’évaluation des risques et les procédures d’audit.

 

7. Quel est l’effet du CRA sur les procédure de substance ?

Un CRA plus élevé exige des éléments probants plus puissants : nous intensifions alors nos procédures de substance pour sécuriser notre audit, limiter le risque et soutenir des conclusions claires et fondées.

8. Quelle est la suite après l’évaluation ?

 Une fois les risques évalués, l’équipe définit un plan d’audit sur mesure :

  • quels tests réaliser,
  • quand les réaliser,
  • et avec quelle intensité.

⚠️ L’audit est un processus vivant : si de nouveaux éléments apparaissent, le plan est réajusté en conséquence.

Si CRA :

  • minimum : procédures analytiques et procédures de substance très limitées ;
  • modéré : procédures de substance : conçues pour détecter les anomalies significatives qui n’auraient pas été détectées par les contrôles ;
  • élevé : procédures de substance étendues afin de réduire les RND.

 

9. Pourquoi est-ce si important ?

 Se concentrer sur les RMM permet à l’auditeur de :

  • gagner en efficacité (moins de tests inutiles),
  • mieux cibler les zones à risque,
  • garantir une opinion d’audit fiable.

Pour l’entreprise, c’est aussi un gage de sérieux : les comptes présentés aux investisseurs, actionnaires ou partenaires inspirent plus de confiance.

 

10. En résumé

  • Les RMM sont les risques d’erreurs ou de fraudes qui peuvent rendre les états financiers trompeurs.
  • Ils peuvent être inhérents, liés au contrôle interne ou liés aux risques d’entreprise.
  • Le TPE est une étape clé où l’équipe d’audit décide de la gravité des risques et adapte la stratégie d’audit.
  • Seule une bonne identification et une bonne évaluation des RMM garantissent un audit de qualité.

Catégories

Derniers articles