F.5 Évaluation des contrôles internes

  1. L’évaluation du système de contrôle interne devrait procurer une assurance raisonnable, et non pas absolue, que ses éléments de base sont suffisants pour atténuer les risques et contribuer à la réalisation des objectifs de la direction. L’étude et l’évaluation devraient être consignées adéquatement et étayées par les résultats des tests, des observations et des demandes d’informations.

  2. Les contrôles internes sont identifiés et évalués tout au long de l’étape de l’examen de l’audit. L’examen vise à :

    1. évaluer le caractère adéquat de la conception des contrôles par rapport aux risques identifiés afin d’élaborer les tests qui viendront confirmer le caractère adéquat de la conception des contrôles et l’efficacité de leur fonctionnement;

    2. relever les contrôles déficients ou manquants afin de concevoir des tests visant à évaluer les effets potentiels ou réels de toute déficience qui justifieront l’amélioration suggérée pour la corriger, dans la mesure où l’amélioration est appropriée au regard du coût et du risque visé;

    3. relever les secteurs où il y a lieu de recueillir de l’information supplémentaire pour réaliser l’une ou l’autre des étapes précédentes.

  3. L’auditeur interne devrait s’appuyer sur les lignes directrices relatives aux contrôles du Manuel d’audit annuel du Bureau du vérificateur du Canada (le Bureau) pour aider le personnel attitré à exécuter ce volet des travaux d’audit. Généralement, les lignes directrices sont intégrées dans un programme d’audit sous la forme de caractéristiques de contrôle interne souhaitables, de questionnaires sur le contrôle interne, de listes de vérification et de tests et procédures d’audit. Bien que les lignes directrices d’audit écrites (programmes) soient des outils d’une aide inestimable, l’auditeur interne doit connaître l’étendue et les objectifs de l’examen des contrôles internes.

  4. L’examen du système de contrôle interne se fait en discutant avec la direction des procédures et des méthodes de contrôle adoptées, et de l’organigramme de l’organisation. Pour déterminer les procédures et méthodes de contrôle adoptées ainsi que l’organigramme, l’auditeur interne pourra utiliser des questionnaires ou des listes de vérification sur le contrôle interne ainsi que des descriptions narratives écrites, des graphiques d’acheminement, des tests de cheminement et toute autre technique applicable. Ces techniques sont à privilégier du fait qu’elles fournissent une documentation adéquate. En plus de discuter avec la direction, l’auditeur interne fera des demandes d’informations au sujet du système de contrôle interne et observera sa mise en application. Ces demandes et ces observations, de même que les constatations et les conclusions qui en résultent, sont aussi consignées dans les feuilles de travail. Cette documentation comprend l’identification des forces et des faiblesses du contrôle et leur mise en correspondance avec les risques visés et les tests et les procédures de corroboration.

  5. Pour évaluer le système de contrôle interne, l’auditeur devrait tenir compte des éléments suivants :

    1. les types d’erreurs et d’irrégularités qui pourraient se produire;

    2. le risque de réduire la probabilité que les objectifs de la direction se réalisent;

    3. les procédures de contrôle pour prévenir ou détecter les erreurs ou les irrégularités;

    4. la question de savoir si des procédures de contrôle ont été adoptées et appliquées de manière satisfaisante;

    5. les faiblesses qui feraient que les erreurs et les irrégularités passent les barrières des procédures de contrôle existantes;

    6. l’effet de ces faiblesses sur la nature, le calendrier et l’étendue des procédures d’audit à appliquer.

  6. L’étude et l’évaluation des contrôles internes existants se font à l’aide des méthodes d’audit suivantes :

    1. Questionnaire sur les contrôles internes — Questions à poser aux gestionnaires responsables au sujet des contrôles internes spécifiques ou généraux. Les questionnaires sont normalement conçus de telle manière qu’une réponse négative indique une déficience potentielle du contrôle interne. Une réponse négative amènera l’auditeur à déterminer si des contrôles compensatoires en place pourraient neutraliser la réponse négative.

    2. Description narrative — Description du système de contrôle interne sous forme de texte.

    3. Graphique d’acheminement — Représentation visuelle des processus conçus ou voulus à des fins de contrôle. Un graphique d’acheminement donne à l’auditeur une bonne compréhension du processus qu’il doit évaluer. Les normes de documentation d’un graphique d’acheminement de l’Équipe de la revue des pratiques et de l’audit interne (RPAI) sont énoncées dans la procédure D‑8.

    4. Matrice des contrôles — Tableau élaboré ou adapté qui fait le lien entre les risques, les contrôles, les tests, les résultats et les recommandations d’amélioration.

  7. La documentation vient étayer la compréhension qu’a l’auditeur interne des contrôles internes. Les feuilles de travail permettent à l’auditeur interne de consigner les conclusions de l’étude et de l’évaluation des contrôles internes. Seules les activités de contrôle interne jugées essentielles ou importantes par rapport aux objectifs et aux risques connexes de la direction devraient être testées et évaluées. Les feuilles de travail devraient servir à souligner les attributs de contrôle interne des processus évalués.

  8. L’auditeur interne devrait aussi se montrer attentif aux possibilités d’améliorer l’efficience des processus par l’élimination de contrôles donnant lieu à des dédoublements et lorsque les niveaux de risque ne justifient pas tel ou tel contrôle.

  9. Le sondage statistique permet à l’auditeur de spécifier, à un niveau de confiance donné, la condition d’une grande population après avoir examiné un pourcentage de l’ensemble des éléments. L’auditeur interne a le choix entre plusieurs techniques de sondage :

    1. le sondage d’attribut, qui est utilisé lorsque l’auditeur a défini la fréquence d’occurrence attendue d’un événement;

    2. le sondage de variable, qui est utilisé lorsque l’auditeur sonde les valeurs dans une population, qui varient d’un élément à l’autre;

    3. le sondage discrétionnaire, qui est utilisé lorsqu’il n’est pas essentiel d’arriver une détermination précise de la condition probable de l’univers, ou lorsqu’il n’est pas possible, faisable ou nécessaire d’utiliser le sondage statistique.

  10. Les techniques d’audit assisté par ordinateur (TAAO) sont parfois très efficaces pour trouver des événements dans une population. Les techniques d’analyse de données font généralement appel à des logiciels de TAAO pour tester une population entière quant à l’occurrence d’événements particuliers (p. ex. comparer les adresses des employés de la base de données des Ressources humaines aux adresses de fournisseurs de la base de données des créditeurs). Dans de nombreux cas, l’analyse de données est préférable au sondage en raison de la justesse et de la fiabilité des résultats. Elle permet de procéder à des tests de grande portée qu’il n’aurait pas été possible d’effectuer en raison de l’insuffisance des ressources en audit.

  11. Les tests de conformité permettent d’obtenir suffisamment d’éléments probants sur le fait que le système fonctionne selon la compréhension que l’auditeur interne en a acquise par l’examen qu’il a effectué. Ces tests sont effectués pour les procédures ou les méthodes de contrôle sur lesquelles l’auditeur a décidé de s’appuyer. À l’inverse, lorsque l’auditeur détermine qu’il ne peut s’appuyer sur certains contrôles, il n’effectue pas de tests de conformité de ces contrôles en général. Il effectue plutôt des tests pour évaluer l’effet réel ou potentiel des faiblesses afin de recommander des améliorations s’il y a lieu, en fonction des coûts et des risques.

  12. La nature, le calendrier et l’étendue des tests de conformité sont étroitement liés aux procédures et aux méthodes de contrôle étudiées par l’auditeur interne. De plus, l’auditeur interne doit tenir compte de l’accessibilité des éléments probants et de l’ampleur des travaux à effectuer pour tester la conformité. À cet égard, l’auditeur évalue si le fait d’exclure certains tests de conformité réduira la fiabilité des contrôles et des procédures et si une baisse de la fiabilité risque d’affecter de manière significative les tests et les procédures d’audit qui suivront.

  13. Le calendrier des tests de conformité est agencé aux cycles des opérations pendant toute la période visée par l’audit.

  14. Le directeur principal de l’audit interne (DPAI) ou le directeur doit approuver la nature, l’étendue et le calendrier des tests de conformité après avoir examiné les questionnaires de contrôle interne, les listes de vérification, les descriptions narratives écrites et les graphiques d’acheminement. De plus, les tests et procédures d’audit doivent comporter des renvois appropriés à l’examen et à l’évaluation préliminaire des forces et des faiblesses du contrôle interne.

  15. Les tests de conformité sont appliqués avant ou après la fin de la période visée. S’ils sont appliqués avant la fin de la période, l’auditeur interne détermine si les procédures de contrôle sont appliquées en continu jusqu’à la fin de la période d’audit. Pour ce faire, il peut procéder à des demandes d’informations, des observations ou des tests supplémentaires. À moins qu’il le juge nécessaire, l’auditeur interne n’est pas tenu d’effectuer des tests de conformité supplémentaires.

  16. En résumé, la procédure à suivre pour l’étude et l’évaluation du contrôle interne englobe ce qui suit :

    1. Étude préliminaire — Acquérir une connaissance à l’interne de l’organisation générale de la direction et de ses activités, objectifs, risques et systèmes de contrôle.

    2. Analyse de l’application.

    3. Détermination des faits — Vérifier par analyse et demande d’informations quels contrôles ont été établis. Rédiger une première version des organigrammes, des graphiques d’acheminement et des notes de procédures.

    4. Test de cheminement — Suivre des opérations choisies tout au long du système pour déterminer si celui-ci fonctionne de la façon décrite.

    5. Documentation — Terminer les organigrammes, les graphiques d’acheminement et les notes de procédure.

    6. Évaluation — Faire une première évaluation de l’efficacité du contrôle interne.

    7. Test et réévaluation — Confirmer, modifier ou rejeter la première évaluation du contrôle interne à l’aide de tests par sondage ou de techniques d’analyse de données. Consigner les résultats des tests et les conclusions quant à l’efficacité du contrôle interne.

Mise à jour :
2018-04-10