Manuel de la vérification annuelle
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
11012 Identification et évaluation des risques de non-conformité aux autorisations législatives
juin-2019
Contenu de la présente section
Risque de non-conformité et risque de mission
Identification et évaluation des risques de non-conformité
Aperçu
La présente section traite des questions suivantes :
- le risque de non-conformité aux autorisations et le risque de mission connexe;
- l’évaluation des risques de non-conformité aux autorisations;
- les procédures et la documentation de l’évaluation des risques dans le dossier d’audit;
- la politique du BVG au sujet de l’évaluation des risques de non-conformité.
Directives du BVG
Lors de la mise en œuvre des procédures d’évaluation des risques exigées par la NCA 315 et présentées à la section BVG Audit 5000, l’auditeur doit tenir compte de l’objectif et du mandat élargi dont est chargé le vérificateur général, c’est-à-dire signaler toute question qui, à son avis, est importante et mérite d’être portée à l’attention du Parlement. Donc, tout cas de non-conformité importante aux autorisations doit être communiqué.
Nous effectuons des travaux sur la conformité pour contrer le risque que l’entité ne se soit pas conformée aux autorisations qui régissent ses activités. Le risque du Bureau, en tant qu’auditeur législatif, est de ne pas signaler les cas de non-conformité importante aux principales autorisations législatives lorsque l’importance et l’incidence de tels cas lui imposeraient d’en informer le Parlement au moyen du rapport de l’auditeur.
Les autorisations gouvernant les entités fédérales auditées par le Bureau sont diverses et proviennent de différentes sources :
-
les autorisations législatives sont des autorisations globales adoptées par le Parlement qui gouvernent les entités du secteur public;
-
les autorisations en matière de finances et de gestion qui régissent les questions courantes de gestion et de contrôle au sein des entités du secteur public.
Pour auditer de manière efficace et efficiente la conformité aux autorisations législatives, l’auditeur devra axer ses efforts sur les principales autorisations et obligations :
-
pour une société d’État, la partie X de la Loi sur la gestion des finances publiques et ses règlements, la loi constitutive de la société, ses règlements administratifs et les instructions données en vertu de l’article 89 de la Loi sur la gestion des finances publiques. Le mandat d’audit annuel du Bureau lui impose de formuler une opinion sur la conformité à ces autorisations;
-
pour d’autres entités (organismes, établissement publics, conseils, commissions, etc.), toute loi habilitante ou tout règlement administratif;
-
dans le cas des Comptes publics, principalement la Loi sur la gestion des finances publiques et ses règlements, et les aspects pertinents de la loi habilitante des entités, des lois régissant leurs programmes et de leurs règlements connexes.
Il est essentiel que l’auditeur comprenne bien le cadre des autorisations régissant l’entité, le mandat d’audit et les opérations visées par l’audit, sinon, les procédures d’audit risquent de ne pas être adaptées aux exigences précises de l’audit de la conformité aux autorisations ou de ne pas être mises en œuvre de façon appropriée.
Exigences des NCA
L'auditeur doit concevoir et mettre en œuvre des procédures d'évaluation des risques lui permettant d'obtenir des éléments probants qui lui fourniront une base appropriée pour : (NCA 315.13)
- l'identification et l'évaluation des risques d'anomalies significatives, que celles-ci résultent de fraudes ou d'erreurs, au niveau des états financiers et au niveau des assertions;
- la conception, conformément à la NCA 330, de procédures d'audit complémentaires.
L'auditeur doit concevoir et mettre en œuvre les procédures d'évaluation des risques en évitant tout parti pris qui favoriserait l'obtention d'éléments probants corroborant ou l'exclusion d'éléments probants contradictoires.
L'auditeur doit mettre en œuvre des procédures d'évaluation des risques afin d'acquérir une compréhension :(NCA 315.19)
- des aspects suivants de l'entité et de son environnement:
- la structure organisationnelle de l'entité, sa structure de propriété et sa structure de gouvernance ainsi que son modèle d'entreprise, dont la mesure dans laquelle le recours à l'informatique y est intégré;
- les facteurs sectoriels, les facteurs réglementaires et les autres facteurs externes pertinents;
- les mesures qui sont utilisées par l'entité ou par des parties externes aux fins de l'évaluation de la performance financière de l'entité.
Directives des NCA
Les facteurs réglementaires pertinents comprennent l'environnement réglementaire, qui englobe entre autres le référentiel d'information financière applicable ainsi que l'environnement juridique et politique, et tout changement les concernant. Voici des exemples d'éléments que l'auditeur peut prendre en considération : (NCA 315.A70)
-
le cadre réglementant un secteur, tel que les exigences prudentielles, y compris les obligations d'information y afférentes;
-
les textes légaux et réglementaires ayant une incidence importante sur l'exploitation de l'entité, comme ceux qui concernent les normes du travail;
-
les textes légaux et réglementaires en matière de fiscalité;
-
les politiques gouvernementales ayant actuellement une incidence sur les activités de l'entité, notamment les politiques monétaires, y compris le contrôle des changes, les politiques budgétaires, les politiques sur les incitations financières (par exemple, les programmes d'aide gouvernementale) ainsi que les politiques sur les tarifs douaniers et les barrières commerciales;
-
les exigences environnementales ayant une incidence sur le secteur d'activité et les affaires de l'entité.
La NCA 250 contient des exigences portant spécifiquement sur le cadre légal et réglementaire applicable à l'entité et à son secteur d'activité. (NCA 315.A71)
Lorsque l'audit porte sur une entité du secteur public, il peut y avoir des textes légaux ou réglementaires particuliers qui ont une incidence sur le fonctionnement de l'entité. Il peut être essentiel d'en tenir compte lors de l'acquisition d'une compréhension de l'entité et de son environnement. (NCA 315.A72)
Lorsqu'il exerce son jugement professionnel pour évaluer les risques d'anomalies significatives, l'auditeur d'une entité du secteur public peut tenir compte de la complexité des textes réglementaires et des directives ainsi que des risques de non-conformité aux autorisations. (NCA 315.A217)
Directives du BVG
Comptes publics du Canada
Chaque année, l’« équipe centrale », c’est-à-dire l’équipe de mission du BVG chargée d’auditer les états financiers sommaires du gouvernement du Canada (Comptes publics), évalue les risques de non-conformité aux autorisations à l’échelle du gouvernement et détermine quelles sont les autorisations importantes sur lesquelles les équipes d’audit des ministères devraient se concentrer. L’équipe centrale donne ses instructions annuelles dans deux documents :
- Comptes publics – Instructions à l’équipe d’audit de la composante
- Comptes publics – Directives sur les procédures d’audit spécifiques
Il revient à chaque équipe affectée à l’audit d’une entité (équipe d’audit du BVG chargée d’auditer un ministère ou une autre entité) d’établir sa propre liste des facteurs de risque associés aux autorisations financières, en fonction de la loi habilitante et des règlements connexes applicables à l’entité. Le responsable de la mission d’audit d’une entité doit déterminer les risques qu’il juge importants pour son entité. Ce processus comporte une analyse des risques et une évaluation du potentiel de non-conformité. À partir de ce travail, le responsable de l’audit de l’entité choisit les autorisations supplémentaires à examiner par rotation.
L’équipe chargée d’auditer une entité doit également examiner les résultats de tous les travaux d’audit effectués par le service d’audit interne en ce qui a trait à la conformité aux autorisations. Elle doit ensuite élaborer un programme d’audit détaillé et, après en avoir discuté avec l’équipe centrale, effectuer les travaux d’audit nécessaires et préparer un rapport sur les résultats obtenus.
Pour assurer une évaluation adéquate de la conformité selon la portée et l’étendue des crédits, il faut également inclure une composante autorisation dans l’audit des opérations de dépense, d’emprunt ou de recettes sélectionnées pour les tests de corroboration afin de déterminer si l’opération répond au but de l’autorisation sous-jacente. Lorsque l’auditeur a l’intention de se fier aux contrôles financiers internes aux fins de l’audit, les tests des contrôles pertinents doivent inclure les composantes traitant de la conformité aux autorisations.
Sociétés d’État et autres entités
Pour élaborer l’orientation stratégique, il y aurait lieu d’évaluer le risque de non-conformité importante aux autorisations directrices identifiées. Pour cette évaluation, il faut tenir compte de plusieurs facteurs tels que la connaissance de l’entité, l’expérience acquise des audits antérieurs et l’attitude de la direction face à la conformité. La contribution des membres les plus expérimentés de l’équipe de mission à cet égard est importante. Dans le cas des autorisations nouvelles ou modifiées, le responsable de la mission doit consulter la direction de l’entité pour bien comprendre les répercussions pour l’entité et, donc, pour la stratégie d’audit.
L’auditeur doit tenir compte des aspects de l’audit qui se rapportent à la conformité aux autorisations à chaque étape de l’audit. Ainsi, il doit prendre en considération l’incidence, sur l’audit de la conformité, d’activités comme la collecte de données sur les systèmes de comptabilité et d’information du client, l’évaluation de l’environnement de contrôle, l’élaboration de programmes d’audit détaillés et l’évaluation des résultats d’audit. Les procédures d’évaluation de la conformité aux autorisations doivent, dans la mesure du possible, être intégrées aux procédures d’audit des éléments des états financiers connexes ou des postes des états financiers.
Certaines exigences législatives de la Loi sur la gestion des finances publiques et d’autres autorisations n’ont pas nécessairement de lien avec des postes déterminés des états financiers. Ainsi, les dispositions exigeant la préparation de plans d’entreprise et de budgets et la mise en place d’une fonction d’audit interne, entre autres, n’ont pas d’incidence directe sur les états financiers. Il peut s’avérer nécessaire de mettre en œuvre des procédures d’audit précises pour ce qui est de l’audit de ces aspects de la conformité aux autorisations.
Il ne faut pas négliger le fait que l’importance ou le risque liés à une autorisation particulière ou les deux peuvent différer considérablement de l’importance du risque liée à une ou plusieurs assertions connexes au niveau des états financiers pour le même élément. Les autorisations peuvent donc exiger plus ou moins de tests que les assertions au niveau des états financiers. Ainsi, le programme de placements à court terme d’une entité peut être considéré comme un programme à faible risque aux fins de la préparation des états financiers, mais on pourrait craindre que le règlement administratif de la société régissant les activités de placement ne soit pas respecté.
Directives du BVG
Les procédures d’évaluation des risques associés à la conformité aux autorisations sont intégrées dans les procédures d’évaluation des risques d’anomalies significatives dans les états financiers et comprennent :
- les demandes d’informations auprès de la direction et d’autres personnes au sein de l’entité;
- les procédures analytiques;
- les observations physiques et les inspections.
Par conséquent, l’auditeur devrait toujours examiner les aspects liés aux autorisations lorsqu’il fait des demandes d’informations auprès de la direction et d’autres personnes au sein de l’entité, mettre en œuvre des procédures analytiques (p. ex. comparaison entre le budget approuvé, les crédits parlementaires et les prévisions de dépenses) et inspecter les documents (p. ex. plan d’entreprise, prévision des dépenses, comptes rendus de réunion du conseil).
De plus, lors de la mise en œuvre des procédures d’évaluation des risques, l’auditeur doit :
-
comprendre l’ensemble des autorisations régissant l’entité et les opérations visées par l’audit;
-
recenser les textes d’autorisation nouveaux ou modifiés depuis le dernier audit, et plus particulièrement, les autorisations législatives nouvelles ou modifiées. Dans certains cas, il sera nécessaire de discuter avec la direction et les services juridiques de l’entité, ainsi que ceux du Bureau pour s’assurer de bien comprendre l’incidence des autorisations nouvelles ou modifiées et leur application dans le contexte de l’entité auditée, ainsi que l’incidence sur la stratégie d’audit.
-
Examiner les exemplaires des instruments d’autorisation pertinents pour identifier les dispositions importantes. Une disposition sera jugée importante selon son incidence sur les opérations de l’entité ainsi que sur le risque que celle-ci ne puisse pas satisfaire aux exigences qui en découlent.
Voici les facteurs à examiner pour déterminer l’importance d’une disposition :
-
l’importance monétaire relative de l’opération – sensiblement supérieure ou inférieure au seuil de signification.
-
s’il s’agit d’un point sensible aux yeux du public ou des parlementaires – par exemple la rémunération et les frais de voyage et d’accueil des dirigeants et des membres de conseil d’administration;
-
le champ d’application de l’exigence – exigence générale ou exigence applicable à l’entité seulement;
-
la situation hiérarchique de l’exigence – affaires internes au gouvernement ou à l’entité (p.ex., politique du Conseil du Trésor, règlement administratif) ou exigence de la loi;
-
l’incidence possible de la non-conformité sur le rendement de l’entité – mineure ou majeure;
-
la généralisation de la non-conformité – cas isolés ou problème systémique;
-
l’attitude de l’entité – encourage-t-elle la conformité aux autorisations et prend-elle des mesures correctives le cas échéant, ou estime-elle au contraire qu’il n’y a pas de problème?
-
l’aspect bien défini de la non-conformité – y a-t-il place à l’interprétation ou la non-conformité est-elle bien définie?
-
les effets sur l’ensemble du gouvernement – à savoir si la non-conformité touche seulement une entité ou plusieurs, des organismes centraux ou le Parlement (possibilité d’une « autre question ») et, en particulier, si la non-conformité est liée à une érosion des contrôles parlementaires.
Ces facteurs sont également utilisés pour évaluer l’importance d’un cas de non-conformité identifiée et pour prendre la décision de la signaler ou non.
Les auditeurs des sociétés d’État pourront se servir des modèles suivants joints à la procédure « Conformité aux autorisations » pour relever les dispositions importantes ou les problèmes relatifs aux autorisations et documenter l’évaluation des risques de non-conformité :
-
Loi sur la gestion des finances publiques et règlements d’application
-
Loi canadienne sur les sociétés par actions
-
autorisations spécifiques ou autres instruments d’autorisation clés pour la société : loi habilitante, règlements et règlements administratifs
Les auditeurs doivent consigner en dossier l’évaluation des risques de non-conformité aux autorisations dans la procédure « Conformité aux autorisations ».
Les risques importants sont inscrits dans le Modèle de la planification de l’audit et des procédures d’audit appropriées sont conçues en réponse aux risques identifiés.
Politique du BVG
Le responsable de la mission doit s’assurer que l’équipe d’audit conçoive une stratégie d’audit efficace et efficiente de la conformité aux autorisations et à ce que cette stratégie soit fondée sur une évaluation du caractère significatif et du risque. [oct.-2012]
Directives du BVG
À la lumière des données recueillies au cours de l’évaluation des risques de mission, le responsable de la mission doit veiller à ce que :
-
les exigences des autorisations pertinentes soient recensées;
-
les exigences des autorisations soient examinées et les risques importants soient identifiés;
-
la stratégie d’audit, y compris les procédures particulières jugées nécessaires pour obtenir des éléments probants suffisants et appropriés en ce qui a trait à ces autorisations importantes, soit incluse dans les programmes d’audit adaptés en fonction des éléments pertinents pour les questions relatives à la conformité aux autorisations.
Directives connexes
Activités de planification — BVG Audit 4000
Identification et évaluation des risques d’audit d’anomalies significatives — BVG Audit 5000
Fraude — BVG Audit 5500