Pour identifier les risques inhérents, l'auditeur devra procéder à des entretiens (direction, autres personnes clés), effectuer une revue analytique préliminaire et revoir les informations collectées (procès-verbaux, étude sectorielle, organigrammes, rapports d'activité, manuel de procédures…).
La prise de connaissance de l'entité permet au commissaire aux comptes de constituer un cadre de référence dans lequel il planifie son audit et exerce son jugement professionnel pour évaluer le risque d'anomalies significatives dans les comptes et répondre à ce risque tout au long de son audit.
Pour identifier et évaluer le risque, l'équipe d'audit doit aussi comprendre les contrôles internes pertinents pour l'objet considéré. Cette compréhension aide l'auditeur à identifier les facteurs qui peuvent atténuer le risque et à concevoir des procédures.
les risques naturels : avalanche, feu de forêt, inondation, mouvement de terrain, cyclone, tempête, séisme et éruption volcanique. les risques technologiques : d'origine anthropique, ils regroupent les risques industriels, nucléaires, biologiques, rupture de barrage…
Les risques sont classés en fonction de leur gravité, de leur probabilité d'occurrence et du nombre potentiel de salariés affectés. L'EvRP vise aussi la mise en place d'actions de prévention. Ces actions ne dispensent pas l'entreprise de mettre également en œuvre des mesures correctives immédiates.
Globalement il existe 6 assertions : exhaustivité, réalité, propriété, correcte évaluation, séparation des exercices, correcte imputation. Pour valider ces assertions, l'auditeur va mettre en œuvre des procédures d'audit. Il va ensuite consigner tous ses travaux dans un dossier de travail.
Le programme de travail – Evaluation du contrôle interne proposé dans le guide d'audit est un outil pour assister l'auditeur dans sa démarche méthodologique. Il propose une méthodologie et un ensemble d'outils (questionnaire des séparations des fonctions, questionnaires par cycle, méthode d'évaluation des risques …).
Les méthodes les plus connues sont l'APR (Analyse Préliminaire des Risques), l'AMDE (l'Analyse des Modes de Défaillances et de leurs Effets) et l'AMDEC (Analyse des Modes de Défaillances et des Criticités). Les méthodes a postériori permettent une recherche des causes après des incidents ou des accidents.
Le risque d'audit est composé de 3 types de risques : le risque inhérent, le risque lié au contrôle et le risque de non-détection.
La piste d'audit s'apparente à un test de cheminement. Elle est utilisée dans le cadre des audits financiers pour remonter à l'origine d'une opération, de l'enregistrement dans les états financiers à l'acte de gestion.
Le contrôle interne est un processus interne à l'entreprise et continu, mis en place au sein de toutes les activités d'une entreprise. Il ne s'agit pas d'un service ou d'une activité à part entière. L'audit interne en revanche est une activité qui a lieu à postériori et de façon ponctuelle.
Il existe trois types d'audits principaux: Première partie (réalisé en interne), Deuxième partie (par un consultant, un client) et tierce partie (organisme de certification ou accrédité, indépendant).
Seuil de signification : montant au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont susceptibles d'être influencés.
Pour l'identification des risques, deux méthodes sont principalement pratiquées : l'Analyse Préliminaire des Risques (APR) et la Méthode Organisée Systémique d'Analyse des Risques (MOSAR).
On évalue la criticité, parfois appelée IPR (Indice de Priorité du Risque), par le produit : C = F × G × D. Plus C est grand, plus le mode de défaillance est critique. Lorsque les indices sont notés sur 10, les entreprises fixent généralement une criticité maximale (sans action corrective) autour de 100.
Il existe deux familles de risques majeurs : risques naturels (inondation, séisme, tempête, cyclone, mouvement de terrain, avalanche, feu de forêt, volcanisme) et risques technologiques (accident industriel, accident nucléaire, transport de matière dangereuse, rupture de barrage).