3073 Points à considérer pour la direction, la supervision et la revue lors de l’utilisation de solutions technologiques
déc.-2023

Aperçu

La présente section traite des questions suivantes :

  • la direction, la supervision et la revue lors de l’utilisation de solutions technologiques;

  • les autres points à considérer pour assurer la direction, la supervision et la revue des travaux lors de l’utilisation d’une visualisation;

  • les points à considérer pour assurer la direction, la supervision et la revue des travaux lors de l’utilisation d’un outil approuvé.

Directives du BVG

Lorsque l’auditeur utilise des solutions technologiques dans le cadre d’un audit, il doit tenir compte de deux secteurs d’intérêt :

  • les normes sur la documentation : le caractère suffisant de la documentation d’audit jointe aux documents de travail afin de satisfaire aux exigences de la NCA 230;

  • la direction, la supervision et la revue des travaux : la documentation requise pour aider le responsable de la revue des travaux à s’acquitter de ses responsabilités en matière de supervision et de revue dans le cadre du déroulement normal de l’audit.

La direction de l’équipe de mission lors de l’utilisation de solutions technologiques

Lorsqu’il est prévu d’utiliser une solution technologique, le gestionnaire d’équipe dirige de manière appropriée le ou les membres de l’équipe de mission qui utiliseront la solution technologique, notamment en discutant des questions suivantes :

  • le caractère approprié de l’utilisation de la solution technologique pour une procédure d’audit en particulier;

  • la nature précise de la procédure ou de l’activité qui sera effectuée au moyen de la solution technologique et la contribution de la solution à la procédure d’audit afférente;

  • la compréhension des fonctions ou des fonctionnalités pertinentes de la solution technologique et la détermination d’un niveau de maîtrise suffisant par les membres de l’équipe de mission pour permettre l’utilisation de la solution technologique;

  • la question de savoir si la solution technologique est un outil approuvé;

  • les responsabilités précises de l’équipe de mission lors de l’utilisation de solutions technologiques (p. ex. les données d’entrée de tests, l’évaluation de la fiabilité de la solution en obtenant une compréhension du code ou de la logique, et le test de l’exhaustivité et de l’exactitude des données de sortie);

  • le besoin d’utiliser les directives et les outils afférents (p. ex. des procédures) pour documenter leur utilisation de la solution technologique.

La supervision et la revue lors de l’utilisation de solutions technologiques

Le responsable de la revue des travaux est chargé d’évaluer les résultats générés par une solution technologique dans le contexte des procédures d’audit mises en œuvre. Il doit aussi examiner toutes les saisies de données, y compris vérifier si des données sources et des paramètres adéquats (p. ex. période de temps) ont été utilisés. Par ailleurs, il doit revoir les procédures mises en œuvre pour évaluer l’exhaustivité et l’exactitude des données sources. Il incombe aussi au responsable de la revue de comprendre l’objectif des procédures et la façon dont la solution technologique appuie cet objectif. La façon dont il s’acquitte de ces responsabilités peut varier selon l’utilisation qui a été faite de la solution technologique dans le cadre de l’audit, la complexité de cette solution et les éléments probants sous-jacents disponibles.

Par exemple, lorsqu’un auditeur effectue une analyse de corroboration de la charge d’intérêts à l’aide d’Excel, le responsable de la revue peut revoir les formules du classeur Excel conservées dans les feuilles de travail ou recalculer certaines des formules clés indépendamment, soit dans Excel, soit à l’aide d’un autre outil technologique ou d’une calculatrice. Lorsqu’un auditeur conçoit un projet IDEA ou une solution d’automatisation robotisée de processus (ARP) pour mettre en œuvre la même procédure analytique de corroboration, le responsable de la revue peut ouvrir le flux de travail dans le script ou projet IDEA, ou l’automatisation dans le logiciel d’ARP et passer en revue le flux de travail avec l’auteur. Si ce dernier a inclus des zones de texte pour expliquer chaque fonction, le responsable de la revue peut alors être en mesure de revoir cette documentation pour comprendre les fonctions exécutées. Il peut procéder à la réexécution de certaines des fonctions indépendamment, soit dans IDEA, Excel ou avec une calculatrice.

Les mêmes concepts s’appliquent pour passer en revue une visualisation. Par exemple, lorsqu’il passe en revue un graphique à barres dans IDEA qui illustre la valeur en dollars des écritures de journal saisies par une personne, où l’axe des Y représente la valeur en dollars et l’axe des X représente les personnes, le responsable de la revue peut ouvrir le dossier de la visualisation et cliquer sur la barre de chaque personne pour voir le nombre d’écritures saisies par chacune de ces personnes et le montant exact en dollars. Il pourra ainsi vérifier la concordance entre un échantillon d’éléments et les données sources.

Le responsable de la revue n’évalue pas si les fonctionnalités sous-jacentes de la solution technologique sont exécutées correctement (p. ex. l’auditeur ne teste pas si le codage ou la logique des outils commerciaux, comme IDEA, permet de réaliser des fonctions de base, comme le cumul ou le filtrage, de manière appropriée). Il évalue plutôt la manière dont le membre de l’équipe de mission a appliqué la fonctionnalité, si celle-ci était adéquate pour atteindre l’objectif visé et si elle a été appliquée à la bonne population. Par exemple, si une équipe crée un tableau croisé dynamique dans Excel pour résumer les différents flux de rentrées assujettis à des tests, le responsable de la revue vérifierait sûrement : 1) si les bons filtres ont été appliqués dans le tableau; 2) si la fonction appropriée a été utilisée (p. ex. additionner ou faire la moyenne des montants appropriés); et 3) si la population entière a été intégrée dans le tableau. Ces mêmes points seraient pertinents lorsqu’une fonction similaire est exécutée dans IDEA ou une autre solution technologique.

Lorsqu’il passe en revue une solution technologique plus complexe, le responsable de la revue peut se fier aux résultats d’un examen des documents justificatifs effectué lors du processus d’élaboration, notamment un document de conception et un plan de tests et les résultats connexes, pour obtenir des éléments probants démontrant le bon fonctionnement et l’application adéquate de la solution technologique. Prenons par exemple le cas où une équipe de mission effectue des tests des contrôles des droits d’accès à 15 moments différents au cours d’une même mission. L’équipe décide de développer un robot à l’aide d’un outil d’ARP dans le but de tester si les droits d’accès des employés licenciés ont été supprimés rapidement. L’équipe de l’Analyse des données et des méthodes de recherche définit les objectifs du test, programme le robot et réalise des tests sur le robot pour s’assurer qu’il fonctionne comme prévu. L’équipe de l’Analyse des données et des méthodes de recherche lancerait le robot sur chacune des populations (15 fois dans le cas de figure). Dans le présent exemple, la documentation concernant la stratégie d’élaboration du robot, la conception du robot et sa mise à l’essai ainsi que les résultats des tests sur le robot seraient conservés centralement dans le dossier d’audit et des renvois seraient inclus dans les feuilles de travail sur laquelle le robot a été lancé. Lorsqu’il passe en revue les tests exécutés, le responsable de la revue des travaux de l’équipe de mission comprendrait les objectifs et les fonctions de l’outil d’ARP ainsi que les tests exécutés pour confirmer si le robot a fonctionné comme prévu.

Se reporter à la section BVG Audit 3101 au moment de superviser et de passer en revue une solution technologique appliquée par un spécialiste de la comptabilité ou de l’audit.

Autres points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’une visualisation

La conception des visualisations doit permettre de communiquer efficacement les informations voulues et le message prévu. Par exemple, l’interprétation d’un graphique par un utilisateur peut être influencée par l’échelle employée pour l’axe vertical ou horizontal. La longueur relative des barres dans un graphique à barres peut être utilisée pour indiquer l’importance des écarts entre les variables. Toutefois, la perception de l’importance peut être influencée par l’échelle des axes et d’autres aspects du graphique. Si un graphique est mal conçu, l’auditeur pourrait ne pas relever une question importante qui nécessite une attention supplémentaire. À l’inverse, il pourrait aussi désigner comme question à suivre un élément qui ne nécessite aucun travail additionnel. À titre d’exemple, les deux graphiques ci-après donnent une impression considérablement différente des écarts des ventes entre différentes régions, même s’ils ont tous les deux été créés à partir des mêmes données.

000000000000

Diagramme grandeur réelle

Description de l’image

Cet exemple montre deux diagrammes à barres créés à l’aide des mêmes données, mais selon des échelles différentes. Les données utilisées pour créer les diagrammes sont les ventes dans différentes régions. L’échelle du premier diagramme commence à 0 $ et chaque échelon représente une hausse de 25 $. L’échelle du deuxième diagramme commence à 90 $ et chaque échelon représente une hausse de 10 $. Même si les montants sont les mêmes dans les deux diagrammes, les barres du premier diagramme sont plus élevées que les barres du deuxième diagramme, ce qui donne l’impression que les ventes sont plus faibles dans le deuxième diagramme.

Le responsable de la revue d’une visualisation détermine si le graphique a été conçu de telle manière qu’il est difficile à comprendre, s’il présente une image incomplète ou inexacte du risque d’audit traité ou s’il dépeint un sujet d’une manière inexacte en raison de critères erronés (p. ex. utilisation de données inappropriées pour définir l’axe des X et/ou des Y).

Les filtres qui sont appliqués lors de la création d’une visualisation dans un outil logiciel tel qu’IDEA peuvent également modifier la manière dont un utilisateur interprétera probablement les données représentées. Donc, le responsable de la revue doit aussi comprendre la manière dont les filtres sont utilisés dans la visualisation et évaluer si cela est approprié.

Points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’un outil approuvé

Même si l’équipe de mission se sert d’une solution technologique qui a été approuvée par le Bureau, il incombe au responsable de la revue de comprendre l’étendue et les objectifs de l’utilisation de l’outil dans le cadre de la mission, d’évaluer le caractère adéquat de l’outil pour la procédure dans laquelle il est utilisé, d’examiner les résultats dans le contexte de la procédure d’audit mise en œuvre et d’apprécier le caractère approprié et la fiabilité de toutes les données saisies dans l’outil. Toutefois, conformément à la section BVG Audit 3072 sur les responsabilités d’une équipe de mission lors de l’utilisation d’un outil technologique approuvé, l’équipe de mission n’est pas tenue de tester ni de documenter la fiabilité de l’outil même (y compris son codage et sa logique). Elle n’a pas non plus à évaluer l’exhaustivité et l’exactitude des résultats de l’outil. Il incombe, toutefois, à l’équipe de mission de mettre en œuvre des procédures d’audit à l’égard des résultats, y compris prendre les mesures de suivi qui pourraient être nécessaires à la suite de la mise en œuvre de ces procédures.

Par exemple, lorsque les spécialistes de l’analyse des données et des méthodes de recherche utilisent un outil approuvé pour évaluer les paramètres configurables, les contrôles automatisés, les droits d’accès des utilisateurs et les incompatibilités dans la séparation des tâches connexes d’une solution PRE précise pour une mission de certification, il incombe à l’équipe de mission de comprendre et de documenter l’étendue et l’objectif des travaux exécutés, notamment les environnements de solution PRE et les codes d’entreprise qui sont assujettis à l’outil; les procédures d’audit qui sont appuyées par l’outil; et si l’outil est adéquat pour ces procédures. Il incombe aussi à l’équipe de mettre en œuvre des procédures d’audit à l’égard des résultats, notamment pour vérifier si des utilisateurs se sont vu confier un attribut de superutilisateur. Toutefois, la vérification de la fiabilité de la fonction ainsi que de l’exhaustivité et de l’exactitude des résultats de l’outil aura été faite dans le cadre du processus d’approbation du Bureau et n’incomberait donc pas à l’équipe de mission.