a. Risque inhérent
Il s’agit du risque qu’une erreur significative se produise compte tenu des particularités de l’entreprise auditée, de ses activités, de son environnement, de la nature de ses comptes et de ses opérations.
Le risque inhérent est plus important dans certaines activités ou entreprises que dans d’autres; ce risque augmente dans le cas d’entreprises liées, de contrats ou d’opérations complexes, de réglementations compliquées, etc.
Il est important de noter qu’à l’heure d’estimer ce risque l’auditeur ne considère pas l’existence de procédures de contrôle interne permettant de détecter l’erreur. D’autre part, l’auditeur n’a aucun pouvoir pour changer le niveau de risques inhérents: il doit s’y adapter en le prenant en compte lors
de l’organisation de son travail.
Ces risques sont détectés en général dans la phase de préparation de l’audit.
Exemples:
– Pour une entreprise ayant des filiales dans différents pays, ceci introduit un risque (inhérent) relatifs à la variété des devises manipulées dans les comptes.
– Dans une entreprise en difficulté il y a un plus grand risque d’irrégularités comptables (pour masquer ses difficultés).
b. Risque de contrôle
Il s’agit du «risque qu’une erreur puisse survenir sans avoir été détectée et corrigée en temps voulu
par une procédure de contrôle interne de l’entreprise » (Norme ISA 200). Ce risque dépend de l’efficacité du contrôle interne en ce qui concerne aussi bien sa conception que sa mise en œuvre.
L’auditeur ne peut pas changer le niveau de ce risque mais il peut avoir une influence sur le système de contrôle interne en faisant des recommandations pour son amélioration. Il doit de même prendre en compte le niveau du risque de contrôle à l’heure d’organiser son travail.
Ce risque est analysé lors de la phase de préparation mais aussi, et surtout, lors de la phase d’évaluation du contrôle interne qui est l’une des phases les plus importantes de l’audit comptable et financier.
Exemple :
– La séparation des tâches, comme mécanisme de contrôle interne, permet, si elle est effectivement mise en œuvre, de limiter le risque de certaines anomalies, dont celles dues à la collusion et à la fraude.
c. Risque de non-détection
C’est «le risque que les travaux mis en œuvre par l’auditeur ne détectent pas une erreur dans un solde de compte ou une catégorie de transactions alors que cette erreur isolée ou cumulée avec d’autres erreurs serait significative».
Au contraire des deux catégories de risques précédentes, le risque de non-détection est contrôlable par l’auditeur à travers les travaux d’audit mis en œuvre. Il revient à l’auditeur de minimiser ce risque (pour être efficace) tout en maintenant un coût raisonnable de la mission d’audit (pour être, aussi, efficient). Ceci passe par une adaptation des travaux mis en œuvre par l’auditeur aux niveaux des risques inhérent et de contrôle. En effet si ces deux risques sont élevés, et vu que l’auditeur ne peut changer leurs niveaux, celui-ci doit ajuster les travaux de vérifications pour réduire le risque de non détection: c’est sa responsabilité.
Seuil de signification
En plus de l’identification et qualification des risques, pour orienter les travaux à mener dans le cadre de la mission d’audit, l’auditeur a recours à la définition de «seuils de signification» («limite» ou «frontière» qui sépare ce qui est significatif de ce qui ne l’est pas).
Ainsi l’auditeur détermine (selon le Guide Pratique d’Audit):
– Globalement, un seuil de signification qui aidera à orienter son opinion,
– Et spécifiquement, des seuils pour les reclassements (ce sont des corrections sans impact sur le résultat global) et les ajustements (qu’il s’agisse d’erreur, inexactitude ou omission)
Pour les reclassements il est courant de fixer un seuil de signification de 10% du poste concerné, alors que pour les ajustements il est admis, par exemple, un seuil de 5 à 10% du résultat courant, 1 à 2% de la marge brute, 0,5 à 2 % du total du bilan, 1 à 5% des capitaux propres, 0,5 à 1% du chiffre d’affaires.
Il est important de souligner que c’est à partir du jugement de l’auditeur, basé sur la combinaison de divers critères et sur la connaissance de l’entreprise et son secteur d’activité, que celui-ci (l’auditeur) détermine les seuils de signification (il n’y pas de modèle mathématique pour les déterminer)..