Annual Audit Manual
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
2042 Considérations relatives à l’utilisation de données électroniques détaillées de l’entité dans les procédures d’audit
sept.-2022
Contenu de la présente section
Directives du BVG
L’utilisation de données électroniques détaillées de l’entité, qu’il s’agisse de données transactionnelles au niveau des comptes, des données permanentes ou d’autres données pertinentes de l’entité, peut faciliter l’audit à plusieurs égards. Pour utiliser les données de l’entité et automatiser l’audit, l’auditeur a recours à des techniques d’audit assistées par ordinateur (TAAO). La présente section traite des considérations générales applicables à l’utilisation de données électroniques détaillées de l’entité dans les procédures d’audit, avec des exemples à l’appui, mais pas des TAAO en particulier. Pour obtenir des directives détaillées sur le recours aux TAAO, se reporter à la section BVG Audit 7590.
Il faut savoir que l’utilisation de données électroniques détaillées ne permet pas toujours à elle seule d’obtenir des éléments probants suffisants et appropriés. L’auditeur doit déterminer les éléments de corroboration qui sont nécessaires pour étayer l’analyse effectuée en fonction du risque et des assertions pertinentes examinées.
Par exemple, si l’auditeur effectue des tests de corroboration sur un calcul de l’entité, il peut utiliser un outil de TAAO pour réexécuter le calcul de manière indépendante. Toutefois, il doit aussi effectuer des tests de corroboration suffisants sur chaque donnée pertinente du calcul.
De manière générale, les données électroniques détaillées peuvent servir à appuyer différents aspects et étapes de l’audit :
- compréhension de l’entité et de son environnement, évaluation des risques et établissement de la stratégie d’audit;
- réponse aux risques et collecte des éléments probants;
- communication avec la direction et les responsables de la gouvernance.
Exemples
-
Compréhension de l’entité de son environnement, y compris le système de contrôle interne de l’entité — L’analyse des attributs ou caractéristiques d’une population de données opérationnelles peut aider l’auditeur à mieux comprendre les processus de l’entité et les contrôles connexes. Par conséquent, l’analyse des données peut aider l’auditeur à concevoir une approche ciblant les opérations exposées à un risque élevé. La compréhension des fluctuations saisonnières du volume des opérations ou de l’étendue et de la fréquence de distribution de certaines valeurs opérationnelles et la détermination des opérations qui s’écartent des tendances ou de la distribution habituelles, par exemple, peuvent aider l’auditeur à évaluer les opérations ayant un risque d’anomalies significatives élevé.
-
Tests des contrôles — En détectant certaines conditions qui seraient absentes des fichiers de l’entité si la conception et la mise en place des contrôles étaient appropriées, l’auditeur peut relever des déficiences du contrôle potentielles. L’absence de ces conditions peut indiquer à l’auditeur qu’il dispose d’éléments probants qui confirment l’efficacité de la conception, de la mise en place et du fonctionnement du contrôle visé. Toutefois, des éléments probants supplémentaires doivent être obtenus pour corroborer une conclusion à l’égard de l’efficacité du contrôle.
-
Par exemple, si l’auditeur détermine, en examinant des données électroniques, qu’il n’y a aucun écart entre un bon de commande, les bons de réception et les factures reçues ou que les écarts sont sans conséquence, cela peut indiquer qu’un contrôle de rapprochement en trois points a été mis en place. Néanmoins, l’auditeur doit tester le fonctionnement du contrôle pour pouvoir tirer une conclusion à l’égard de son efficacité. Par ailleurs, les données électroniques peuvent aussi l’aider à quantifier l’erreur réelle lorsqu’un test a décelé des déficiences dans le contrôle de rapprochement en trois points.
-
-
Procédures analytiques — La disponibilité des données électroniques détaillées de l’entité peut faciliter l’élaboration de procédures analytiques efficientes et efficaces. Les données opérationnelles et financières d’une vaste population d’entités homogènes, comme les données des divers magasins d’un détaillant, par exemple, peuvent faciliter l’analyse efficiente de la performance relative de ces entités.
-
Tests de détail — L’accès électronique à une population de données que l’auditeur souhaite tester peut améliorer les techniques de sélection, car il peut ainsi mieux cibler ses travaux en fonction des risques ou même tester la population en entier.
-
Tests des écritures de journal — L’accès électronique aux données sur les écritures de journal peut aider l’auditeur à améliorer sa compréhension de la population d’écritures de journal et sa capacité de faire des tests ciblés sur des sous-populations ou des échantillons qui présentent un risque de fraude plus élevé.
-
Communications avec l’entité — L’analyse de données électroniques détaillées de l’entité peut procurer des données empiriques précieuses, que ce soit pour étayer les constatations ou pour fournir des recommandations à valeur ajoutée.
Directives du BVG
Le tableau ci-après donne un aperçu du processus d’utilisation de données électroniques détaillées de l’entité qui permet d’améliorer l’efficacité et l’efficience de l’audit. La section suivante rattache les considérations ci‑après aux étapes d’audit.
Considérations |
Activités clés |
---|---|
Évaluation de la qualité et de la disponibilité des données |
Évaluer si des données de qualité sont disponibles dans un format utilisable et s’il est facile d’y accéder pour les utiliser de manière efficiente. |
Obtention de données électroniques détaillées de l’entité et vérification de leur exhaustivité et de leur exactitude |
Obtenir les données des systèmes de l’entité et les importer dans tout outil du BVG (ou outil standard) qui servira à en faire l’analyse. Mettre en œuvre des procédures visant à évaluer l’exhaustivité et l’exactitude des données et, lorsqu’il est possible de le faire, les lier à d’autres documents source soumis à des procédures d’audit différentes, notamment la balance de vérification. |
Structure, classement, analyse et décomposition des données, et échantillonnage en fonction de leur utilisation |
Produire des rapports et exécuter des requêtes en fonction de l’utilisation prévue des données. Décomposer les opérations d’après leur source et les mettre en correspondance avec les processus et les systèmes de l’entité. Produire les rapports pertinents afin de détecter les conditions susceptibles d’indiquer des déficiences possibles du contrôle. |
Évaluation des risques et établissement d’une stratégie d’audit |
Utiliser des rapports contenant des données de source et mettre en œuvre des procédures analytiques supplémentaires d’évaluation des risques pour mieux déterminer les secteurs exposés à un risque élevé. Élaborer une stratégie d’audit fondée sur la compréhension de l’entité et de son contrôle interne, et sur l’évaluation des risques. |
Réponse aux risques et collecte des éléments probants |
Utiliser les données électroniques détaillées de l’entité pour étayer :
|
Communication avec la direction et les responsables de la gouvernance |
Utiliser les données électroniques détaillées de l’entité pour améliorer les communications nécessaires avec la direction et les responsables de la gouvernance et formuler des commentaires à valeur ajoutée. |
Documentation de l’utilisation des données électroniques de l’entité dans le dossier d’audit |
L’auditeur doit déterminer que la documentation dans le dossier d’audit respecte les exigences établies à la section BVG Audit 1100. La documentation de l’utilisation de données électroniques de l’entité dans le cadre de l’audit doit comprendre les procédures mises en œuvre pour obtenir les données, la validation des données recueillies, les tests effectués et les éléments probants obtenus pour vérifier les données électroniques (p. ex. le rapprochement des données liées aux opérations génératrices de produits avec les commandes ou les contrats des clients pour une entreprise de fabrication) et les conclusions tirées. |
Directives du BVG
Le tableau ci-après présente d’autres considérations et directives d’ordre général sur la façon et le moment d’utiliser les données électroniques détaillées de l’entité dans les procédures d’audit, selon les différentes étapes d’audit.
Étapes de l’audit | Procédures d’audit | Autres facteurs à considérer et directives |
---|---|---|
Identification et évaluation des risques d’anomalies significatives |
Générales |
Évaluation de la qualité et de la disponibilité des données — Avant d’utiliser des données, il faut d’abord évaluer si des données de qualité sont disponibles dans un format utilisable, et s’il est facile d’y accéder pour les utiliser de manière efficiente. Les considérations connexes sont les suivantes.
Se reporter à la section BVG Audit 7592 pour obtenir d’autres informations sur l’extraction de données détaillées. Se reporter également à la section BVG Audit 7033.1, qui traite de la nécessité d’évaluer la fiabilité des données. |
Générales |
Obtention de données et vérification de leur exhaustivité et de leur exactitude — Il existe plusieurs techniques pour obtenir les données électroniques détaillées de l’entité, selon les systèmes utilisés. Un spécialiste en analyse de données peut aider l’auditeur dans son choix. Le calendrier de collecte des données sera différent selon qu’il s’agit de la première année d’utilisation des données électroniques détaillées de l’entité ou d’une année subséquente. S’il s’agit (entre autres) d’une première année, l’auditeur devra probablement effectuer certaines des étapes ci‑après, ou toutes celles-ci, afin de déterminer les données qui sont disponibles et nécessaires pour appuyer les procédures d’audit. L’obtention des données peut se faire par étapes, à mesure que l’auditeur détermine les données dont il a besoin. Dans certaines circonstances, une demande de données portant sur des comptes et des opérations, en vue de réaliser un examen analytique et d’étayer la compréhension des activités de l’entité, pourrait ultérieurement servir à justifier des demandes précises liées à des tests de corroboration. Au cours des exercices subséquents, l’auditeur saura peut-être d’entrée de jeu de quelles données il aura besoin et il pourra les demander à l’entité dès le début du processus (après avoir confirmé qu’aucun changement majeur n’a été apporté au processus ou aux systèmes). Il est recommandé de commencer par des ensembles de données petits et faciles à gérer, puis d’élargir les ensembles, si cela est plausible. Il pourrait être utile d’obtenir les données du grand livre général, des grands livres auxiliaires des créances, des immobilisations corporelles et des créditeurs, et les données au niveau des opérations. Selon la nature des activités de l’entité et les secteurs de risque connus, les données d’autres grands livres pourraient être utiles, par exemple celles sur les stocks. Dans certains cas, les données trimestrielles historiques des deux exercices précédents et/ou les données trimestrielles cumulées depuis le début de l’exercice considéré pourraient également servir. Une fois les données obtenues auprès de l’entité, l’auditeur doit vérifier l’exhaustivité et l’exactitude des données extraites. Certaines TAAO peuvent servir à vérifier l’intégrité des données, mais l’auditeur devra probablement faire des vérifications supplémentaires de l’exhaustivité et de l’exactitude des données. L’auditeur doit à tout le moins vérifier si les données concordent avec la balance de vérification. Si l’auditeur extrait des données non financières (p. ex. un fichier comportant toutes les modifications aux données permanentes pour une période donnée), il doit aussi mettre en œuvre et documenter des procédures à l’égard de l’exactitude et de l’exhaustivité des données. Se reporter à la section BVG Audit 7592 pour obtenir des informations sur l’extraction de données détaillées. De plus, consulter la section BVG Audit 4028.4 pour des exemples de tests de rapports avec ou sans appui sur les CGI. L’auditeur évalue l’exhaustivité et l’exactitude de la source des données (pour vérifier que les données saisies dans le système sont complètes et exactes) ainsi que l’exhaustivité et l’exactitude du rapport (pour vérifier que la logique du rapport représente de manière exhaustive et exacte les données saisies dans le système). Note : Étant donné qu’il faut posséder des connaissances techniques pour accéder aux données et les analyser, ces procédures sont normalement mises en œuvre par les spécialistes en analyse de données. Il serait donc avisé de les consulter lorsqu’il est prévu d’avoir recours aux TAAO pour mettre en œuvre des procédures d’audit. Voir aussi la section BVG Audit 3102, « Participation de l’audit des TI ». Ce sera sans doute ces spécialistes qui effectueront l’extraction des données, la première année, mais l’équipe de base pourra s’en charger les années subséquentes, avec l’aide des spécialistes de l’audit informatique ou de l’analyses de données si aucun changement important n’est apporté aux processus ou aux systèmes de l’entité. |
|
Compréhension de l’entité et de son environnement, y compris son système de contrôle interne |
Données désagrégées — Pour approfondir la compréhension de l’entité et de son environnement, les opérations peuvent être décomposées selon la source des écritures (p. ex. ventes, achats, salaires, écritures d’ajustement) en liant les sources aux applications qui ont servi à les traiter. Le caractère approprié des sources utilisées doit être évalué et être mis en correspondance avec la compréhension des processus et systèmes de l’entité. Comme il est indiqué à la section BVG Audit 5034, pour acquérir une compréhension des composantes « système d’information » et « communication » du contrôle interne, il faut déterminer comment l’information financière est générée, y compris la mise en correspondance des processus importants et des états financiers. Les considérations connexes comprennent notamment les suivantes :
Des rapports produits par l’entité peuvent aider l’auditeur à mieux comprendre les activités de l’entité. Par exemple, un rapport standard qui est souvent utilisé présente le détail des comptes du grand livre par sources. Ces sources fournissent des éléments probants étayant l’origine des écritures enregistrées et peuvent servir en partie de base à la compréhension des processus et des systèmes de l’entité. Les écritures de source inconnue de même que la répartition entre les écritures manuelles et électroniques revêtent d’ailleurs un intérêt particulier. La présence d’un grand nombre d’écritures manuelles peut indiquer que les processus ne sont pas conventionnels. Des rapports peuvent aussi être produits à l’égard de certains comptes et donner une indication préliminaire du caractère adéquat des contrôles en place dans l’optique de l’appui sur les contrôles en ce qui concerne l’exécution de l’audit. Par exemple, un rapport présentant des paiements pour des biens et services auxquels ne correspond aucune facture peut être une indication que les contrôles ne fonctionnent pas de manière efficace, ce qui nécessite donc un examen supplémentaire. De même, si l’entité dispose d’un contrôle selon lequel la préparation et l’approbation des écritures de journal manuelles doivent être effectuées par des personnes différentes, mais qu’un résumé détaillé des écritures de journal manuelles enregistrées montre que la préparation et l’approbation ont été effectuées par la même personne, cela indique probablement que le contrôle n’a pas été conçu ou ne fonctionne pas efficacement, ce qui nécessite un examen supplémentaire. L’auditeur peut élaborer un plan d’audit plus efficace et plus efficient s’il peut détecter de tels risques tôt dans sa planification. Dans l’exemple qui précède, l’auditeur éviterait d’exécuter des tests sur des contrôles dont l’inefficacité de la conception ou du fonctionnement a déjà été confirmée et planifierait plutôt des procédures de corroboration adaptées à son évaluation du risque. Se reporter aux sections BVG Audit 5034 et BVG Audit 5035.4 pour obtenir des directives complémentaires sur la façon de déterminer comment l’information financière est générée, y compris la mise en correspondance des processus importants avec les états financiers et les assertions. |
|
Procédures analytiques d’évaluation des risques |
Mise en œuvre de procédures analytiques d’évaluation des risques et évaluation des rapports en vue de déceler les anomalies À ce stade, afin de mieux comprendre les risques d’audit, l’auditeur peut, à partir des données disponibles, mettre en œuvre des procédures analytiques supplémentaires d’évaluation des risques à l’aide d’un ou plusieurs des cinq types d’analyse (analyse des tendances, analyse des ratios, analyse de vraisemblance, analyse de régression et analyse par balayage). Dans certaines circonstances, les données peuvent également servir à effectuer des procédures analytiques de corroboration. |
|
Identification des risques pertinents pour l’audit, qu’ils soient attribuables à des fraudes ou à des erreurs |
L’analyse de données peut aider l’auditeur cibler les opérations inhabituelles. Grâce à l’expérience acquise lors d’audits antérieurs et à sa connaissance des activités et des processus opérationnels de l’entité, l’auditeur peut définir les opérations courantes comme étant celles qui découlent normalement d’un cheminement précis. L’auditeur considère les opérations qui suivent le cheminement habituel comme étant « attendues ». Il doit se fier à sa compréhension des activités et des processus opérationnels de l’entité pour établir les critères selon lesquels une opération est « attendue ». Lorsqu’une opération ne satisfait pas à ces critères, elle est considérée comme une opération inattendue. L’auditeur doit ensuite exercer son jugement pour choisir une réponse appropriée et, s’il y a lieu, les procédures de corroboration nécessaires pour déterminer si l’opération comporte une anomalie significative. Par exemple, les produits sont normalement comptabilisés seulement lorsque le bon de commande du client et un document d’expédition sont enregistrés dans le système de l’entité. L’analyse des données peut aider l’auditeur à repérer les opérations enregistrées de manière non conventionnelle, en fonction de critères prédéfinis comme la date de l’opération, sa source, son type, son mode d’enregistrement (manuel ou automatisé), l’indication de circonstances inhabituelles, etc. Dans l’exemple qui précède, si les produits ont été comptabilisés sans qu’un bon de commande du client soit enregistré dans le système, il s’agirait d’une opération inattendue qui pourrait nécessiter un examen supplémentaire. Directives connexes BVG Audit 7032 – Pertinence des procédures analytiques BVG Audit 5012.2 – Procédures analytiques d’évaluation des risques BVG Audit 7591 – Utilisation de techniques d’audit assistées par ordinateur (TAAO) |
|
Établissement de la stratégie d’audit |
Utilisation des données électroniques détaillées de l’entité pour faciliter l’évaluation des risques et l’établissement de la stratégie d’audit L’utilisation des données électroniques détaillées de l’entité peut aider l’auditeur de multiples façons à élaborer la stratégie d’audit. S’il utilise des procédures analytiques d’évaluation des risques plus efficaces pour détecter les opérations inhabituelles ou non courantes, l’auditeur peut repérer tôt dans le processus d’audit les comptes pour lesquels les risques sont importants, ce qui lui permet de planifier dès le départ en fonction de ces risques. Par exemple, l’examen analytique de données décomposées en fonction de la source de l’écriture de journal peut révéler un nombre élevé et inattendu d’opérations non courantes. En outre, l’examen analytique de données décomposées peut fournir des informations sur les sources des comptes dont le montant est inférieur au seuil de signification et qui nécessitent peu de procédures d’audit ou aucune. Les éléments probants attestant des déficiences possibles dans la conception ou le fonctionnement des contrôles peuvent avoir une incidence sur le niveau d’appui prévu sur les contrôles. Par exemple, si les données indiquent qu’il peut y avoir des déficiences dans les contrôles à l’égard de l’autorisation des écritures de journal manuelles, il faut peut-être ajouter des procédures de corroboration au plan d’audit afin d’obtenir des éléments probants suffisants et appropriés. En établissant ce fait au cours de l’étape de la planification, il est peut-être possible d’accroître l’efficacité et même d’élaborer un plan d’audit plus efficient. Directives connexes Se reporter à la section BVG Audit 2043, qui traite de la façon d’utiliser des données pour acquérir une compréhension des processus de l’entité et des risques auxquels elle est exposée. |
|
Réponse aux risques et collecte des éléments probants |
Tests des contrôles |
Test des contrôles — L’utilisation des données électroniques détaillées de l’entité peut faciliter les tests des contrôles dans plusieurs cas, y compris les suivants :
Directives connexes Se reporter à la section BVG Audit 7591 sur l’utilisation de techniques d’audit assistées par ordinateur (TAAO). |
Procédures analytiques de corroboration |
L’utilisation des TAAO pour traiter les données électroniques détaillées de l’entité peut faciliter les procédures analytiques de corroboration ou les tests de détail en automatisant certains aspects des tests ou des procédures afin de rendre l’audit plus efficace et efficient. Par exemple : Les événements postérieurs à la clôture peuvent être testés par une sorte d’analyse par balayage du dossier des créditeurs, en effectuant un filtre, un tri et une stratification des opérations afin de recenser les éléments nécessitant un suivi. Directives connexes La section BVG Audit 7591 donne plus de détails sur l’utilisation des TAAO, y compris des exemples des utilisations les plus courantes des TAAO au cours des tests de corroboration. |
|
Tests de détail |
Les TAAO peuvent être très utiles à la réalisation de tests de détail. Elles permettent d’automatiser le processus, ce qui peut produire des gains d’efficience. L’efficacité des tests peut aussi être améliorée en permettant la réalisation d’une gamme plus variée de tests qu’il ne serait pas pratique de réaliser manuellement, et ce, en tenant compte d’un plus vaste ensemble d’opérations. L’utilisation des TAAO à elle seule ne permet pas généralement d’obtenir des éléments probants suffisants et appropriés. L’auditeur doit tester les données sous-jacentes en les rapprochant avec des éléments probants d’un tiers (p. ex. le contrat du client) et recueillir d’autres éléments probants pour étayer les conclusions de l’audit. Test des écritures de journal — Les TAAO peuvent servir à générer la liste des écritures de journal répondant aux critères prédéfinis de risque de fraude qui doivent être testés (éléments de corroboration pour les écritures de journal à obtenir), par exemple, des écritures de journal avec des combinaisons de comptes inattendues ou des écritures de journal faites par des utilisateurs inattendus. Recherche de passifs non comptabilisés — Par exemple, les TAAO peuvent être utilisées pour produire une liste des factures saisies dans le système de l’entité après la clôture de la période pour lesquelles la date de la facture et la date inscrite dans le grand livre général correspondent à des périodes différentes. Grâce à cette analyse, l’auditeur peut axer ses tests de l’exhaustivité sur ces éléments lors de sa recherche de passifs non comptabilisés. En plus d’effectuer ce test de corroboration, l’équipe de mission peut aussi utiliser ces données lors du test des contrôles de l’entité portant sur l’exhaustivité des créditeurs. Directives connexes Se reporter à la section BVG Audit 5509 pour obtenir des directives sur les tests des écritures de journal. Aide à la détection des fraudes — Dans le cadre des tests de détail, les TAAO peuvent aussi être utiles pour détecter la fraude en permettant à l’auditeur de trier de larges volumes de données, d’utiliser des techniques d’analyse statistique poussées et de chercher ou de comparer des données de sources différentes afin de détecter des combinaisons inhabituelles. Par exemple : L’auditeur peut appliquer des TAAO à des volumes inhabituellement élevés d’opérations effectuées juste avant la fin de la période, ce qui pourrait indiquer que les produits comptabilisés ont été manipulés (p. ex. des ventes comptabilisées dans la mauvaise période comptable dans le but d’atteindre certains objectifs). Une analyse statistique (p. ex. une analyse selon la loi de Benford) peut aider à détecter les opérations frauduleuses. Des transferts des comptes de résultats aux comptes du bilan vulnérables à la manipulation, comme les stocks et les créances, peuvent également être un indice d’activités frauduleuses. Directives connexes Se reporter à la section BVG Audit 5514 pour voir d’autres exemples de façons d’utiliser les TAAO pour détecter des cas de fraude. |
|
Communication des résultats |
Communication avec la direction et les responsables de la gouvernance |
L’auditeur doit communiquer ses constatations à la direction et aux responsables de la gouvernance, selon le cas. Il pourrait être utile d’utiliser des données électroniques détaillées de l’entité pour étayer les constatations de l’audit, car l’auditeur peut ainsi quantifier clairement la nature et l’étendue des problèmes relevés. |