Un dossier d’audit contient bien plus que des chiffres et leur justification. Entre autres, sous l’effet de l’introduction des normes ISA (les ‘International Standards on Auditing’), l’audit commence toujours par une analyse des risques préalable à l’examen des chiffres proprement dits.
Dans le cadre de cette analyse des risques, la question suivante est posée à un moment donné de l’analyse: «What Can Go Wrong?» (WCGW).
Dossier d’audit
Une analyse des risques est toujours réalisée préalablement à l’audit des chiffres de fin d’année. L’analyse commence par l’acquisition d’une certaine compréhension des activités de l’entreprise et de son environnement de contrôle. Une entreprise de construction, par exemple, présente un autre profil de risque qu’une entreprise active dans le secteur tertiaire, et l’audit financier doit également être adapté à cette réalité.
L’auditeur contrôle ensuite, globalement et pour chaque rubrique des comptes annuels, quel est le risque d’anomalie significative pour l’entreprise. Est considérée comme significative toute anomalie concernant une information dont l’omission ou la retranscription inexacte dans les comptes annuels est susceptible d’influencer les décisions que les utilisateurs prennent sur la base des comptes annuels.
L’importance d’un risque est déterminée sur la base de l’impact que l’anomalie peut avoir sur les comptes annuels et de la probabilité que l’anomalie puisse se présenter.
What can go wrong?
Concernant les rubriques des comptes annuels auxquelles un risque a été associé, l’équipe d’audit pose ensuite la question suivante: «What Can Go Wrong?». WCGW, une méthode qui consiste pour l’auditeur à contrôler ce qui peut mal tourner au niveau des processus d’une entreprise. Pour la rubrique chiffre d’affaires, par exemple, ce qui peut poser problème lors de l’initiation de la facture de vente est contrôlé. Un WCGW pourrait être que toutes les ventes n’ont pas été enregistrées sur la bonne période.
Après avoir déterminé ce qui peut mal tourner pour chaque transaction, l’auditeur doit également contrôler quelles procédures de contrôle interne ont été mises en place afin d’éviter ces risques. À cet égard, il examine si les contrôles internes sont suffisamment développés et s’ils sont efficaces. Le résultat de cette analyse peut déboucher sur une lettre de recommandations dans laquelle les manquements et points d’amélioration concernant les processus de contrôle interne sont communiqués en termes clairs à l’entreprise.
Pour ce faire, les experts en audit peuvent appliquer une ou plusieurs méthodes:
- observation: l’auditeur suit l’encodage d’un document (à l’écran)
- contrôle: l’auditeur teste les procédures en réalisant (en faisant réaliser) un audit IT (en comparant des listes) ou contrôle par échantillonnage si les documents ont été correctement traités
- recalculs: l’auditeur refait les comptes
- l’auditeur a recours à des contrôles internes, ou
- d’autres contrôles externes.
Plus les procédures internes sont de qualité, plus les chiffres de l’entreprise sont fiables. L’équipe d’audit adapte le nombre de contrôles à exécuter en fonction de la qualité des procédures internes.
Conclusion
L’analyse du ‘What can go wrong’ oblige l’auditeur et l’entreprise à contrôler quels processus peuvent donner lieu à des anomalies et quels processus de contrôle ont été mis en œuvre.
L’auditeur améliore sa compréhension des activités de l’entreprise et de l’environnement de contrôle afin de pouvoir élaborer un plan d’audit spécifiquement axé sur les caractéristiques des processus de l’entreprise.
