2041 Audit des données (utilisation des données électroniques détaillées de l’entité et des outils d’analyse des données dans les procédures d’audit)
sept.-2022

Introduction

Directives du BVG

L’audit des données peut être utile pour procéder à une analyse des volumes importants de données électroniques détaillées de l’entité, qui serait difficile à réaliser au moyen de procédures manuelles.

Il existe divers outils qui optimisent l’utilisation des données de l’entité lors de la mise en œuvre de procédures d’audit. Ces outils ont plusieurs fonctions, notamment :

  • extraire des données du système de l’entité;
  • exécuter des routines de validation des données;
  • classer les données en fonction de caractéristiques;
  • réexécuter des calculs;
  • produire des visualisations et des analyses de données.

L’utilisation des données électroniques détaillées de l’entité dans les procédures d’audit peut améliorer l’efficacité et l’efficience de l’audit si les données sont faciles à obtenir et propices à une analyse électronique efficiente. L’utilisation de données électroniques détaillées peut aussi s’avérer très avantageuse lorsque le système exécute des calculs qui présentent un risque d’audit élevé ou qui sont reconnus comme étant sujets à des erreurs, ou encore lorsque les calculs sont effectués par un système nouvellement mis en œuvre. Elle peut aussi être utile lorsque les fonctionnalités des systèmes sont largement en interaction avec d’autres systèmes.

Lors de la planification de la mission, l’équipe de mission doit tenir compte de la disponibilité des données électroniques détaillées et de leur utilisation pour l’ensemble du processus d’audit.

Contexte et pertinence

Directives du BVG

Au cours des dix dernières années, l’environnement des entités s’est rapidement numérisé. Grâce au perfectionnement à la fois des logiciels et du matériel technologique, il est de plus en plus facile et efficient d’obtenir des données électroniques détaillées et de les analyser. Les supports de données massifs, à prix abordables, et les protocoles communs de données, comme Extended Business Reporting Language (XBRL), ont augmenté encore davantage la disponibilité des données électroniques détaillées et leur utilisation. Il convient donc de trouver des moyens de faire un usage intelligent de ces données lors des procédures d’audit.

La disponibilité et l’analyse des données électroniques détaillées de l’entité peuvent aider l’équipe de mission à approfondir, au cours de l’étape de planification, sa compréhension des processus de l’entité, de ses opérations et des risques, en plus de faciliter la collecte d’éléments probants. Cela peut aussi améliorer la qualité de l’audit, car l’équipe peut se faire une meilleure idée des risques inhérents d’anomalies dans les soldes des comptes et dans les opérations, ou encore améliorer l’efficacité et l’efficience de certaines procédures d’audit.

L’éventail des données électroniques détaillées de l’entité qui peuvent être utiles pour l’audit est vaste. Il peut s’agir des données détaillées du grand livre général, des grands livres auxiliaires, des balances de vérification, des écritures de journal, des tableaux de données permanentes, de l’historique des opérations, etc. Le recours aux données électroniques détaillées de l’entité dans les procédures d’audit variera en fonction des circonstances propres à l’entité et de l’objectif fixé (p. ex. si les données sont une cible ou au contraire une source d’éléments probants pour une procédure d’audit donnée). La qualité et la disponibilité des données, la capacité de l’auditeur d’y accéder et de les analyser, de même que le travail qu’il faut effectuer pour déterminer leur fiabilité sont autant de facteurs pertinents dont l’auditeur doit tenir compte pour évaluer s’il convient d’utiliser les données électroniques détaillées de l’entité de préférence à d’autres sources de données ou d’éléments probants ou pour compléter ces sources.

Lorsque l’auditeur a recours à la fois à des données électroniques détaillées et à des outils d’analyse, il doit comprendre à la fois les données et l’outil utilisé ainsi que leur incidence sur la stratégie et le plan d’audit. Par exemple, il doit déterminer si l’outil l’aide à acquérir une compréhension de l’entité ou à mettre en œuvre des procédures d’évaluation des risques (p. ex. grâce à l’analyse des données, y compris des visualisations) ou si l’outil appuie la réalisation de tests des contrôles ou de procédures de corroboration.

Lorsque l’auditeur utilise des outils pour obtenir des éléments probants, il doit mettre en œuvre des procédures pour valider la fiabilité des données sous-jacentes. Se reporter à BVG Audit 4028.4 pour des exemples de tests de rapports avec ou sans un appui sur les contrôles généraux informatiques.

L’analyse des données électroniques détaillées de l’entité peut être utile dans le cadre de diverses procédures d’audit effectuées au cours des étapes suivantes de l’audit :

  • Identification et évaluation des risques d’anomalies significatives :

    • compréhension de l’entité et de son environnement, et le référentiel d’information financière applicable et le système de contrôle interne de l’entité;
    • procédures analytiques d’évaluation des risques;
    • identification et évaluation des risques d’anomalies significatives.
  • Réponse aux risques et collecte des éléments probants :

    • test des écritures de journal;
    • test de corroboration (TAAO);
    • test des contrôles;
    • détection de fraudes.
  • Communication avec la direction ou les responsables de la gouvernance :

    • communication des constatations découlant de l’audit;
    • communications à valeur ajoutée.

Se reporter à la section BVG Audit 2042 pour obtenir des renseignements complémentaires sur l’utilisation des données électroniques détaillées de l’entité pour chacune de ces étapes d’audit et pour voir des exemples.

Les sections ci-après expliquent plus en détail comment l’utilisation de données électroniques détaillées aide l’auditeur à respecter les exigences connexes des NCA de manière plus efficiente, et résument les principales considérations propres aux différentes phases de l’audit.

Compréhension des activités, évaluation des risques et établissement de la stratégie d’audit

Objectifs des NCA

L’objectif de l’auditeur est d’identifier et d’évaluer les risques d’anomalies significatives, que celles-ci résultent de fraudes ou d’erreurs, au niveau des états financiers et au niveau des assertions, et de disposer ainsi d’une base pour concevoir et mettre en œuvre des réponses à son évaluation des risques d’anomalies significatives. (NCA 315.11)

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du système d’information et des communications de l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.25)

a)   comprendre les activités de traitement de l’information de l’entité, notamment en ce qui concerne ses données et ses informations, les ressources devant servir à mener ces activités et les politiques qui définissent, pour les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes :

i) le cheminement des informations dans le système d’information de l’entité, y compris :

a.   comment les opérations sont déclenchées et comment les informations les concernant sont enregistrées, traitées, corrigées (au besoin), incorporées dans le grand livre général et communiquées dans les états financiers,

b.   comment les informations sur les événements et les situations, autres que les opérations, sont saisies, traitées et fournies dans les états financiers,

ii)   les documents comptables, les comptes spécifiques contenus dans les états financiers et les autres documents justificatifs qui concernent le cheminement des informations dans le système d’information,

iii)   le processus d’information financière utilisé pour préparer les états financiers de l’entité, y compris les informations à fournir,

iv)   les ressources de l’entité, y compris son environnement informatique, qui sont pertinentes au regard des sous-alinéas i) à iii) ci-dessus;

b)   comprendre comment s’effectue la communication des questions qui sont importantes pour la préparation des états financiers et pour les responsabilités connexes en matière d’information financière dans le système d’information et les autres composantes du système de contrôle interne entre :

i)   les personnes au sein de l’entité, y compris la communication des rôles et des responsabilités en matière d’information financière,

ii)   la direction et les responsables de la gouvernance,

iii)   l’entité et les parties externes, par exemple les autorités de réglementation;

c)   évaluer si le système d’information et les communications de l’entité contribuent adéquatement à la préparation des états financiers de l’entité conformément au référentiel d’information financière applicable.

Directives du BVG

Les états financiers sont le résultat des activités et des opérations d’une entité qui s’inscrivent dans des processus opérationnels. L’entité met en place des contrôles en vue d’atténuer les risques propres à ces processus, et sa direction utilise certains de ces contrôles pour assurer la surveillance des activités. L’utilisation de données électroniques peut faciliter les procédures analytiques d’évaluation des risques, dans le cadre des procédures d’évaluation des risques. (NCA 315.14b) et A27-31)

Lorsque l’auditeur évalue le système d’information et de communication de l’entité, les données électroniques détaillées peuvent le renseigner sur le système d’information de l’entité pertinent pour l’information financière, tel que requis au paragraphe 25 de la NCA 315.

L’analyse des données électroniques détaillées de l’entité peut contribuer à corroborer la compréhension des systèmes d’information de l’entité ou à détecter les attributs des données qui sont anormaux.

Les écritures de journal sont le produit final des opérations et processus financiers. La comptabilité en partie double fait en sorte que les écritures s’équilibrent. C’est la base d’une approche descendante qui permet de comprendre la relation entre les écritures de journal et les opérations financières détaillées. Une analyse des données relatives à cette relation peut aider l’auditeur à mieux comprendre les processus de l’entité et, par conséquent, les contrôles correspondants. Se reporter à la section BVG Audit 2042 pour obtenir des renseignements complémentaires.

Les résultats des procédures d’évaluation des risques et des activités connexes donnent une idée d’ensemble des risques d’anomalies significatives cernés et de leur évaluation (NCA 315.38). L’élaboration d’une stratégie d’audit et d’un plan d’audit vise à atténuer ces risques, et l’auditeur doit exercer son jugement professionnel lors de la sélection de procédures d’audit appropriées, y compris la décision de s’appuyer sur les contrôles internes et d’effectuer des procédures de corroboration ou non. Cette décision dépend de l’efficacité et de l’efficience des procédures. Par conséquent, la disponibilité des données électroniques détaillées peut avoir une incidence sur la nature et l’étendue des procédures d’audit complémentaires, comme on peut le voir plus loin et tel qu’il est précisé dans la section BVG Audit 2042.

Enfin, l’utilisation de données électroniques peut permettre à l’auditeur de mettre en œuvre des procédures de corroboration efficientes en même temps que des procédures d’évaluation des risques parce qu’il juge efficient de procéder ainsi. (NCA 315.A19)

Réponse aux risques et collecte des éléments probants

Directives des NCA

L’utilisation de techniques d’audit assistées par ordinateur peut permettre des tests de plus grande ampleur des opérations automatisées et des fichiers comptables, ce qui peut être utile lorsque l’auditeur décide de modifier l’étendue des tests, par exemple en réponse aux risques d’anomalies significatives résultant de fraudes. Ces techniques peuvent être utilisées pour sélectionner des échantillons d’opérations dans des fichiers électroniques clés, trier des opérations dotées de certaines caractéristiques particulières ou tester une population entière plutôt qu’un échantillon. (NCA 330.A16)

Directives du BVG

Comme il est expliqué à la section BVG Audit 7591, les techniques d’audit assistées par ordinateur (TAAO) peuvent être utilisées pour rendre l’exécution d’un audit plus efficace et plus efficiente en permettant :

  • l’automatisation d’un test qui serait autrement exécuté manuellement, comme la vérification de l’exactitude arithmétique d’un rapport;

  • l’exécution de tests impossibles à faire manuellement, par exemple l’examen des opérations de vente d’un nombre élevé d’articles ou d’articles inhabituels pour une grande entité, dans le cadre duquel le nombre élevé d’opérations serait trop long à examiner manuellement.

Les TAAO permettent aux auditeurs d’examiner toutes les opérations de manière non seulement efficiente, mais qui peut être aussi efficace. Des études ont d’ailleurs démontré que les TAAO peuvent générer des économies importantes sur une période de plusieurs années par rapport à l’exécution manuelle des mêmes tests.

Les TAAO peuvent aussi être utiles pour la collecte d’éléments probants. Par exemple :

  • L’analyse électronique de populations entières de données plutôt que d’un simple échantillon augmente la probabilité que les opérations ou événements anormaux résultant d’une défaillance dans les contrôles soient détectés grâce aux procédures d’audit. Si une déficience du contrôle venait à donner un accès non autorisé à certains modules du système, il est probable qu’un examen analytique des données permettrait de déterminer si des opérations non autorisées ont effectivement eu lieu.

  • L’analyse des données peut également servir à tester et à vérifier des rapports ou des données d’importance dont se sert la direction (p. ex. classement chronologique des créances, classement chronologique et taux de rotation des stocks, rapports sur la marge brute).

Communication avec la direction et les responsables de la gouvernance

Exigences des NCA

L’auditeur doit communiquer aux responsables de la gouvernance : (NCA 260.16)

  • son point de vue sur des aspects qualitatifs importants des pratiques comptables de l’entité, en ce qui concerne entre autres les méthodes comptables, les estimations comptables et les informations fournies dans les états financiers. Le cas échéant, l’auditeur doit expliquer aux responsables de la gouvernance pourquoi il juge qu’une pratique comptable importante, qui est par ailleurs acceptable selon le référentiel d’information financière applicable, n’est pas la plus appropriée aux circonstances particulières de l’entité;

  • les difficultés importantes rencontrées au cours de l’audit, s’il y en a;

  • à moins que tous les responsables de la gouvernance ne participent à la gestion de l’entité :

    • le cas échéant, les questions importantes apparues au cours de l’audit et ayant fait l’objet d’échanges ou d’une correspondance avec la direction;

    • les déclarations écrites demandées par l’auditeur;

  • le cas échéant, les circonstances ayant une incidence sur la forme et le contenu du rapport de l’auditeur;

  • toute autre question importante apparue au cours de l’audit qui, selon son jugement professionnel, est pertinente pour la surveillance du processus d’information financière.

L’auditeur doit aussi communiquer en temps opportun à la direction, au niveau hiérarchique approprié : (NCA 265.10)

  • par écrit, les déficiences importantes du contrôle interne qu’il a communiquées ou qu’il entend communiquer aux responsables de la gouvernance, à moins qu’il ne soit pas approprié, dans les circonstances, de communiquer directement avec la direction;

  • les autres déficiences du contrôle interne relevées au cours de l’audit qui n’ont pas déjà été communiquées à la direction par d’autres parties et qui, selon le jugement professionnel de l’auditeur, sont suffisamment préoccupantes pour nécessiter l’attention de la direction.

Directives du BVG

Les constatations faites par l’auditeur à partir des données électroniques détaillées de l’entité aident à respecter les exigences des NCA, mais aussi à améliorer la proposition de valeur faite aux entités. Cela peut venir du fait que ces données permettent d’améliorer la compréhension de l’incidence des constatations d’audit importantes, ainsi que d’autres observations résultant de l’analyse des données effectuée durant le processus d’audit.

En outre, les observations sont plus convaincantes lorsqu’elles sont étayées par des données solides. Par exemple, l’importance d’une déficience du contrôle visant à empêcher les utilisateurs de traiter les écritures de journal manuelles sans avoir obtenu les approbations appropriées attire davantage l’attention si l’auditeur précise également que 25 % des écritures de journal manuelles effectuées au cours de la période n’ont pas été approuvées de manière appropriée.

Utilisation des outils disponibles et participation de spécialistes

Directives du BVG

L’outil d’analyse de données suivant est présentement offert aux équipes de mission :

  • TAAO pour les écritures de journal

Il peut exister d’autres outils d’analyse de données spécifiques dont l’auditeur aurait avantage à tirer parti lorsqu’il utilise des données au cours de l’audit. Il serait avisé de consulter les membres de la section d’analyse des données, car ils pourraient connaître de tels outils et être une aide précieuse pour l’utilisation des données, ce qui permettra d’accroître l’efficacité ou l’efficience de l’audit.