Risque d'audit
Le risque d'audit (un concept ensembliste) est une intersection entre trois ensembles ou composantes. Ces composantes sont définies comme suit :
- risque Inhérent (RI) : lié à l'existence d'erreurs significatives dans les états financiers (audités) d'une entreprise, ces erreurs étant dues à l'environnement externe de l'entreprise (cela en supposant que les procédures de contrôle interne ne soient pas opérationnelles) ;
- risque lié au Contrôle (RLC) : lié à l'existence d'erreurs significatives dans les états financiers (audités) d'une entreprise, dues, ces erreurs, à l'environnement interne de l'entreprise : cela dit ces erreurs seraient dues aux procédures de contrôle interne inefficaces ou inexistantes ;
- risque de Non Détection (RND) : lié à l'existence d'erreurs significatives dans les états financiers (audités) d'une entreprise, dues à l'incapacité de l'auditeur à les détecter (cela en supposant que l'environnement externe et l'environnement interne de l'entreprise aient fonctionné comme il le faut pour empêcher l'insertion d'erreurs dans les états financiers).
Le risque d'audit est alors l'ensemble des erreurs pouvant exister dans les états financiers et pouvant émaner de ces trois composantes, de l'une ou de l'autre ou des trois en même temps.
La définition, généralement adoptée, de ce concept provient des normes SAS no 39, 47 et 55 de l'AICPA [2005]
- SAS : Statements on auditing Standards : Normes d'audit annotées
- AICPA : American Institute of Certified Public Accountants : Sorte d'ordre des experts comptables américains
Les mathématiques du risque d'audit
Les normes d'audit proposent la théorie de la probabilité comme formalisme adapté au concept de risque d'audit, de façon que les trois composantes soient représentées par trois probabilités d'occurrence et que leur intersection, l'ensemble risque d'audit, soit représenté par le produit de ces trois probabilités.
Mais, récemment, plusieurs chercheurs en théorie d'audit, ont contesté le fait que la théorie de la probabilité soit adaptée au concept de risque d'audit. Il s'ensuit que d'autres formalismes ont été proposés :
- si on considère ces trois composantes comme des événements : leur intersection serait considérée elle aussi un événement, dont la probabilité d'occurrence est mesurée par le produit des probabilités d'occurrence des trois événements qui la composent ;
- si on considère ces trois composantes comme des ensembles de preuves (masses d'évidences) que des erreurs existent, l'intersection devient elle aussi un ensemble de preuves. C'est la théorie de l'évidence de Shafer Glenn (1976) qui est utilisée ici pour mesurer la fonction de croyance liée au concept de risque d'audit. L'intersection est obtenue par l'application de la règle de Dempster-Shafer ;
- enfin, si on considère ces ensembles en tant qu'ensembles d'appréciations linguistiques (si on exprime le niveau du risque par, à titre d'exemple, fort, faible, moyen...), là, c'est la théorie de la logique floue qui devient la plus adaptée au concept de risque d'audit, en mesurant les composantes et leur intersection par des nombres flous.
En fait, c'est cette dernière approche, qui qualifie la probabilité d'occurrence (faible, moyenne, forte) qui semble la plus adaptée aux univers complexes et incertains: les plus proches de l'univers du risque opérationnel. En revanche, la probabilité mathématique d'occurrence peut être parfaitement adaptée lorsque l'on évolue dans des « univers connus » ou les probabilités d'occurrence d'un phénomène sont parfaitement connues (exemple: nombre de pannes/ an d'une machine-outil dans une usine).
L'approche par les risques, en audit financier
L'estimation du risque d'audit doit se faire en début de mission d'audit. Si l'entreprise à auditer est de très petite taille, l'approche par les risques devient inutile, trop coûteuse en termes d'heures de travail, par rapport aux écritures comptables, transactions et procédures de contrôle interne à vérifier. Si l'entreprise est d'une taille importante, l'approche par les risques devient efficace, puisqu'elle vise mieux les zones de risques dans l'audit d'une entreprise et permet ainsi l'économie de coûts initialement inutiles.
Normalement, le commissaire aux comptes suit les étapes suivantes :
- il commence par une prise de connaissance générale de l'entreprise à auditer ;
- il estime le risque d'audit ;
- quand le risque est estimé fort, cela veut dire que les états financiers à auditer comporteraient beaucoup d'erreurs, et vice-versa si le risque est estimé faible ;
- l'importance des travaux de vérifications en audit financier est proportionnelle à l'importance du risque d'audit : Si le risque est fort, l'auditeur doit effectuer d'importantes vérifications, et si le risque est estimé faible, l'importance des travaux de vérifications serait réduite ;
- à ce stade, l'auditeur planifie ses travaux de vérification, leur étendue, leur timing, l'équipe intervenante ;
- au fur et à mesure que ces travaux de vérification avancent, l'auditeur devrait réviser son estimation du risque d'audit, selon que les preuves qu'il trouve confortent son estimation première ou l'infirme... c'est un raisonnement par itération qui "s'installe" au cours de la réalisation des travaux de vérification ;
- l'auditeur décidera d'arrêter ses travaux de vérification, lorsqu'il aura l'intime conviction qu'une "itération" supplémentaire serait inutile et ne lui fera découvrir aucune erreur supplémentaire significative. (et c'est pour cela essentiellement que le risque d'audit s'approche de la valeur zéro, en fin de mission, mais ne lui est jamais égal)
Notes et références
Voir aussi
Articles connexes
Bibliographie
- Srivastava R.P. & Shafer G.R. (1992) " Belief function Formula for audit risk " - Accounting Review, Vol. 67 no 2, p. 249-283, touchant à la "théorie de l'évidence" appliquée au risque d'audit.
- Lesage (1999)" Évaluation du risque d'audit : proposition d'un modèle linguistique " Revue : Comptabilité, Contrôle, Audit, Tome 5, Vol. 2, , p. 107-126, touchant à la "théorie de la logique floue" appliquée au risque d'audit.
- Fendri-Kharrat et al. (2005), "Logique floue appliquée à l'inférence du risque inhérent en audit financier", Revue : RNTI : Revue des Nouvelles Technologies de l'Information, n° RNTI-E-5, (extraction des connaissances : états et perspectives), , p. 37-49, Éditions Cépaduès, touchant à l'inférence floue appliquée au risque inhérent d'audit.