L'approche par les risques permet au commissaire aux comptes de définir les domaines où les contrôles seront approfondis, d'identifier les cycles d'activité significatifs, de planifier des interventions intercalaires pour la réalisation de certains contrôles ou le suivi de certains éléments (situation de trésorerie, ...
L'approche par les risques définition
La norme ISO 9001 : 2015 nécessite l'engagement d'une approche systématique pour les risques afin qu'ils soient identifiés, pris en compte et maitrisés tout au long de la mise en œuvre du SMQ et des processus de conception et de réalisation.
Il s'agit principalement de : L'approche d'audit par cycle (ou module) ; L'approche d'audit par fonction ; L'approche d'audit par systéme.
Approche d'audit par les risques: L'approche par les risques requiert de la part de l'auditeur de prendre connaissance d'abord de l'entité, y compris son contrôle interne et de procéder par la suite, à une identification et une évaluation des risques d'anomalies significatives dans les états financiers.
Le risque d'audit est composé de 3 types de risques : le risque inhérent, le risque lié au contrôle et le risque de non-détection.
Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-détection de ces anomalies par le commissaire aux comptes.
L'identification des risques. L'évaluation des risques. Le traitement des risques.
définir les critères d'analyse. identifier les dangers. analyser les risques. évaluer l'acceptabilité des risques.
Le risque stratégique se définit comme le risque lié aux choix stratégiques d'une entreprise dans le but de s'adapter à son environnement concurrentiel.
Il existe trois types d'audits principaux: Première partie (réalisé en interne), Deuxième partie (par un consultant, un client) et tierce partie (organisme de certification ou accrédité, indépendant).
Pour identifier les risques inhérents, l'auditeur devra procéder à des entretiens (direction, autres personnes clés), effectuer une revue analytique préliminaire et revoir les informations collectées (procès-verbaux, étude sectorielle, organigrammes, rapports d'activité, manuel de procédures…).
Globalement il existe 6 assertions : exhaustivité, réalité, propriété, correcte évaluation, séparation des exercices, correcte imputation. Pour valider ces assertions, l'auditeur va mettre en œuvre des procédures d'audit. Il va ensuite consigner tous ses travaux dans un dossier de travail.
L'approche processus est une méthode permettant à un organisme de décrire ses activités. Aussi elle a pour objectif de décrire l'organisation en identifiant les processus.
La présente Norme internationale permet à un organisme d'utiliser l'approche processus, associée au cycle PDCA et à une approche par les risques, pour aligner ou intégrer son propre système de management de la qualité avec les exigences d'autres normes de système de management.
Un risque, comme le définit la norme ISO 9000, est un effet de l'incertitude, c'est-à-dire un écart positif ou négatif par rapport à une attente, par exemple, de résultats. Une direction doit proposer une vision à cinq ou dix ans qui s'exprimera, entre autres, en termes de résultats à atteindre.
Il existe deux familles de risques majeurs : risques naturels (inondation, séisme, tempête, cyclone, mouvement de terrain, avalanche, feu de forêt, volcanisme) et risques technologiques (accident industriel, accident nucléaire, transport de matière dangereuse, rupture de barrage).
En principe, l'identification du risque commence par une analyse des points forts et faibles, c'est-à-dire une analyse SWOT (Strenghts = forces, Weaknesses = faiblesses, Opportunities = opportunités, Threats = dangers).
Qui est responsable de l'analyse de risques ? L'analyse de risques incombe à l'employeur et à la ligne hiérarchique, assistés par les services interne et externe pour la prévention et la protection au travail. Les conseillers en prévention de ces services ont un rôle de conseil et de coordination.
Seuil de signification : montant au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont susceptibles d'être influencés.
Les critères d'audit correspondent aux normes auxquelles l'entité auditée doit satisfaire. Ils jouent un rôle fondamental dans la solidité d'un audit et son impact potentiel. Les procédures d'audit s'attachent à établir si ces critères sont remplis ou non.
Un risque significatif est un risque d'une importance telle qu'il [...] exige une attention particulière de la part du vérificateur.