2051 Utilisation de rapports produits par un système
sept.-2022

Exigence relative à l’évaluation de la fiabilité des rapports

Exigences des NCA

Lorsque l’auditeur utilise des informations produites par l’entité, il doit évaluer si ces informations sont suffisamment fiables pour répondre à ses besoins et, selon que les circonstances l’exigent : (NCA 500.9)

a) obtenir des éléments probants sur l’exactitude et l’exhaustivité de ces informations;

b) apprécier si les informations sont suffisamment précises et détaillées pour répondre à ses besoins.

Directives des NCA

Pour que l’auditeur puisse obtenir des éléments probants fiables, les informations produites par l’entité et utilisées pour la mise en œuvre des procédures d’audit doivent être suffisamment exhaustives et exactes. Par exemple, l’efficacité de l’audit des produits par l’application de prix standard aux quantités inscrites comme vendues dépend de l’exactitude des informations sur les prix ainsi que de l’exhaustivité et de l’exactitude des données sur les volumes de ventes. Dans le même ordre d’idées, si l’auditeur souhaite tester certaines caractéristiques (par exemple, l’autorisation) d’une population (par exemple, les paiements), les résultats du test seront moins fiables si la population à partir de laquelle sont sélectionnés les éléments à tester n’est pas exhaustive. (NCA 500.A60)

La collecte d’éléments probants sur l’exhaustivité et l’exactitude de telles informations peut se faire en même temps que la mise en œuvre de la procédure d’audit appliquée aux informations lorsque l’obtention de ces éléments probants fait partie intégrante de la procédure d’audit elle‑même. Dans d’autres situations, l’auditeur peut avoir déjà obtenu des éléments probants sur l’exhaustivité et l’exactitude des informations en testant les contrôles sur la préparation et la mise à jour de ces informations. Il peut toutefois arriver que l’auditeur détermine que des procédures d’audit additionnelles sont nécessaires. (NCA 500.A61)

Dans certains cas, l’auditeur peut avoir l’intention d’utiliser des informations produites par l’entité pour d’autres besoins de l’audit. Par exemple, l’auditeur peut vouloir utiliser les mesures de performance de l’entité aux fins de ses procédures analytiques, ou encore se servir des informations produites par l’entité dans le cadre de ses activités de suivi, tels les rapports de la fonction d’audit interne. Le caractère approprié des éléments probants obtenus dépend alors de si l’information est suffisamment précise ou détaillée pour les besoins de l’auditeur. Par exemple, les mesures de performance utilisées par la direction peuvent ne pas être suffisamment précises pour permettre de détecter des anomalies significatives. (NCA 500.A62)

Directives du BVG

La section BVG Audit 1051 — Éléments probants suffisants et appropriés énonce les normes sur les sources des éléments probants et sur la pertinence et la fiabilité des éléments probants. La fiabilité des rapports est fonction de la fiabilité des données et des informations qu’ils contiennent. La présente section vise à fournir des directives pratiques sur l’évaluation de la fiabilité des rapports utilisés par la direction dans le cadre de ses activités de contrôle et les informations que les auditeurs utilisent comme éléments probants.

La présente section doit être interprétée à la lumière de la section BVG Audit 1051.

Compréhension de la fiabilité d’un rapport

Directives du BVG

La fiabilité d’un rapport, qui dépend de la fiabilité des données, peut avoir une incidence à la fois sur l’entité et l’auditeur. D’une part, elle a une incidence sur la qualité de la tenue des comptes, des informations fournies et des décisions d’affaires ayant trait aux activités de l’entité. Comprendre la fiabilité des rapports et des informations utilisés par l’entité peut donc être important pour évaluer la force de son cadre de contrôle interne.

D’autre part, la fiabilité peut avoir une incidence sur l’évaluation du risque d’audit et la mesure dans laquelle l’auditeur peut s’appuyer sur les rapports lors de la planification et de l’exécution de l’audit. Si l’auditeur utilise une information produite par l’entité, il doit effectuer une évaluation pour vérifier si l’information est suffisamment fiable pour ses besoins, y compris, selon les circonstances, obtenir des éléments probants sur l’exactitude et l’exhaustivité de l’information et évaluer si la précision et le détail sont suffisants pour les besoins de l’audit.

L’auditeur devra obtenir des éléments probants indiquant que les informations contenues dans le rapport sont exactes. L’évaluation de l’exactitude comporte deux éléments. Le premier élément est la vérification de l’exactitude arithmétique, par exemple, en s’assurant que les totaux du rapport ont été correctement additionnés ou que les calculs arithmétiques sont exacts. Le deuxième élément est la vérification de l’exactitude des données sous‑jacentes, par exemple, en s’assurant que les données (p. ex. montants ou dates) du rapport concordent avec les données initiales saisies dans la source. Pour évaluer l’exhaustivité du rapport, il faut notamment vérifier que toutes les données et les informations pertinentes s’y trouvent afin de réaliser les objectifs prévus du rapport. L’auditeur doit également évaluer le degré et la précision requise d’exactitude afin de pouvoir utiliser le rapport comme éléments probants aux fins prévues de l’auditeur.

Les auditeurs doivent examiner la fiabilité des rapports à toutes les étapes de l’audit (planification, élaboration de la stratégie d’audit, mise en œuvre des procédures d’audit, détermination des conclusions de l’audit et formulation des recommandations à l’intention de l’entité). Il faut évaluer la fiabilité de tous les rapports utilisés pour étayer les constatations, les conclusions ou les recommandations des missions. L’évaluation doit être appropriée aux fins de la mission particulière et les résultats de l’évaluation doivent être examinés et documentés. L’auditeur doit déterminer si la possibilité que le rapport ne soit pas suffisamment fiable constitue un risque d’audit.

Détermination des rapports pertinents pour l’audit

Directives du BVG

Il est fort probable que les auditeurs utiliseront différents types de rapports (p. ex. sommaires financiers, rapports du grand livre auxiliaire, rapports en format Excel, données extraites, etc.) comme éléments probants. Il importe que les auditeurs déterminent les rapports qu’ils examineront et évalueront dans le cadre de l’audit. Les rapports électroniques et autres outils informatiques d’utilisateurs finaux qui revêtent une importance sur le plan financier (comme les outils de présentation d’information spéciaux ou les demandes de renseignements à partir d’un entrepôt de données) génèrent des données financières qui sont utilisées dans les contrôles de la composante « activités de contrôle » ou sur lesquelles l’auditeur s’appuie pour d’autres procédures d’audit. Comme point de départ, l’auditeur doit comprendre les processus et les comptes importants qui font l’objet de son évaluation et repérer les rapports électroniques ou les autres outils informatiques d’utilisateurs finaux pertinents qui sont utilisés pour appuyer ces comptes ou ces processus.

Pour tous les processus opérationnels et les postes des états financiers importants, les auditeurs doivent recenser les rapports qui pourraient être pertinents pour l’audit. Voici des exemples de façons dont l’entité ou l’auditeur peuvent utiliser des rapports :

  • informations servant à réaliser une activité de contrôle;

  • informations de base utilisées pour établir des attentes pour la mise en œuvre de procédures analytiques de corroboration;

  • informations de base utilisées pour établir ou auditer des estimations financières;

  • résumer des données pour le prélèvement d’échantillons de données;

  • résumer des données aux fins d’information financière.

Compréhension de la nature et de la source du rapport

Directives du BVG

Une fois les rapports pertinents déterminés, l’auditeur doit établir la stratégie d’audit servant à évaluer la fiabilité des rapports lorsque ces derniers doivent faire partie des éléments probants de l’audit. Pour ce faire, il doit comprendre la nature et la source du rapport, notamment en examinant la source du rapport et la source des données. Les rapports peuvent provenir de sources internes ou externes et les données peuvent être compilées à partir de diverses sources. La source et la nature du rapport peuvent influer sur sa fiabilité, qui dépend aussi des circonstances particulières dans lesquelles celui‑ci est obtenu.

Sources des rapports (externes)

Même s’il peut exister des exceptions, la fiabilité des éléments probants est accrue lorsqu’ils sont obtenus de sources externes indépendantes de l’entité. Généralement, les éléments probants obtenus de tiers crédibles sont plus fiables que les éléments probants produits par l’entité auditée.

Voici quelques exemples de sources externes de rapports :

  • rapports produits par l’industrie ou des concurrents;

  • rapports de ministères ou d’organismes publics;

  • informations sur l’entité du domaine public (p. ex. rapports de gestion sur les résultats de l’exploitation dans l’analyse du budget annuel, webémissions et conférences téléphoniques).

Même lorsque les informations à utiliser comme éléments probants ont été obtenues de sources externes à l’entité, certaines circonstances peuvent affecter leur fiabilité. Par exemple, des informations obtenues d’une source externe indépendante peuvent ne pas être fiables si la source n’est pas bien informée, ou s’il existe un parti pris. Le rapport peut être moins fiable si la source des données sous‑jacentes du rapport externes était originalement l’entité auditée (p. ex. bases de données partagées ou informations circulaires).

L’auditeur peut se servir des rapports obtenus de sources indépendantes comme éléments probants de deux façons. Les rapports peuvent être utilisés comme éléments probants directs ou peuvent être utilisés indirectement pour corroborer des informations internes.

Sources des rapports (internes)

Les rapports internes peuvent être produits par différents types de systèmes et les informations peuvent être obtenues de diverses sources, notamment :

  • rapports de progiciels standards;

  • rapports régulièrement produits par des systèmes de comptabilité générale programmés ou configurés qui utilisent des opérations en temps réel et des fichiers de données permanentes;

  • rapports produits au moyen d’outils informatiques d’utilisateurs finaux, tels que des feuilles de calcul ou des interrogations/scripts spéciaux exécutés par des utilisateurs finaux;

  • rapports provenant d’autres sources :

    • informations opérationnelles générées par des systèmes non financiers;

    • journal des pistes d’audit provenant d’un système informatique;

    • rapports de demande spéciale;

    • scripts sur les paramètres de sécurité informatique pour appuyer la surveillance des accès restreints;

    • nombre d’employés

La source des informations (p. ex. le système qui produit le rapport et la base de données à l’origine des données sous‑jacentes) peut avoir une incidence sur le risque que celles‑ci soient incomplètes ou inexactes. C’est pourquoi l’auditeur examine ce risque au moment d’élaborer la stratégie d’audit. La section ci‑après présente quelques considérations en la matière.

Rapports de progiciels standards

Un progiciel standard est un logiciel acheté auprès d’un vendeur tiers et installé et utilisé avec un soutien informatique limité. Si l’entité peut modifier le progiciel (p. ex. ajouter, modifier ou supprimer des codes sous‑jacents), le système pourrait ne pas correspondre à la définition de « progiciel standard ». Il faut également vérifier s’il s’agit d’un progiciel digne de confiance en déterminant qui est le fournisseur, si son progiciel est bien établi et s’il est utilisé à grande échelle. Généralement, ces progiciels standards produisent des rapports standards qui ont été intégrés à la fonction du logiciel. Ces types de rapports sont parfois appelés des rapports « prédéfinis » (par opposition à « modifiés », s’ils sont modifiables) ou considérés comme étant créés par un « générateur de rapports ». Ils produiront par exemple des balances de vérification, des rapports du grand livre auxiliaires des fournisseurs, des rapports de rapprochement bancaire et des rapports budgétaires mensuels.

Les rapports produits par les progiciels standards représentent souvent un risque plus faible, car ils ont été programmés par une source indépendante, l’accès restreint au code source empêche les entités de les modifier, ces rapports sont généralement moins complexes, les données que peuvent entrer les utilisateurs ou les actions qu’ils peuvent effectuer sont limitées, et ces rapports sont généralement soumis à des tests de contrôle qualité indépendants.

Les rapports « prédéfinis » produits par des progiciels standards qui permettent la modification de ceux‑ci pourraient présenter un risque plus élevé. L’auditeur peut évaluer ce risque au moyen de demandes d’informations et de tests de cheminement.

Informations courantes générées par des systèmes de comptabilité générale programmés ou configurés qui utilisent des opérations en temps réel et des fichiers de données permanentes

Tout comme pour les rapports des progiciels standards, l’entité peut avoir programmé ou configuré son système de manière à produire des rapports. La différence est que ces rapports sont programmés en interne par l’entité, mais tout comme les rapports des progiciels standards, ces rapports, après avoir été configurés, n’exigent que peu d’intervention de la part des utilisateurs pour être générés. Les rapports pouvant être configurés par l’entité peuvent comprendre notamment le classement chronologique des comptes clients, des rapports d’écarts, des rapports sur les opérations rejetées et les listes d’opérations répondant à des critères préétablis.

Les rapports programmés ou configurés en interne représentent un risque plus élevé que les rapports produits par des progiciels standards. Parmi les risques à évaluer, il faut mentionner le niveau de compétence du personnel qui programme les rapports, la séparation des tâches, le contrôle qualité des tests mis en œuvre sur les rapports et la capacité de modifier les programmes.

Rapports produits par des outils informatiques d’utilisateurs finaux

  • Feuilles de calcul — Les feuilles de calcul peuvent varier en complexité, mais en règle générale, l’utilisateur a accès au code et aux formules sous‑jacents, et les données sont entrées manuellement. Il peut s’agir d’une application développée sur Excel ou Lotus par le personnel de la trésorerie pour préparer un tableau d’amortissement ou encore pour calculer l’intérêt couru à partir de données saisies manuellement. D’autres exemples peuvent comprendre les rapports produits par un système qui sont exportés dans un outil informatique d’utilisateurs finaux. Les feuilles de calcul sont généralement élaborées par les utilisateurs (en dehors de tout cadre officiel) et hébergées sur le réseau local ou sur le disque dur plutôt que dans un environnement informatique contrôlé. Il y a un risque accru que les contrôles exercés sur les feuilles de calcul électroniques soient inefficaces ou qu’ils ne puissent pas être utilisés aux fins de l’audit. L’auditeur doit examiner la conception et, s’il y a lieu, tester les contrôles à l’intérieur des feuilles de calcul ainsi que les contrôles similaires aux contrôles généraux informatiques qui aident à maintenir l’intégrité continue de ces contrôles intégrés.

  • Interrogations/scripts spéciaux exécutés par les utilisateurs finaux — Les interrogations/scripts spéciaux peuvent se faire à partir d’un système d’information de gestion sur un ordinateur de bureau. Ces interrogations reposent sur des critères saisis manuellement et développés ponctuellement au gré des besoins de la direction. L’extrant est souvent une série de données qui peut être importée dans une feuille de calcul électronique pour en faciliter la manipulation et l’analyse. Il peut s’agir d’un extrait d’opérations de trésorerie répondant à des critères précis ou d’un extrait de données sur des mesures de performance clés servant à effectuer un contrôle pertinent.

Nature des feuilles de calcul électroniques

En raison de la nature des feuilles de calcul électroniques (p. ex. libre accès, entrée manuelle de données, vulnérabilité à l’erreur) et de la nature de l’environnement dans lequel elles sont généralement élaborées et mises en place (c.‑à‑d. élaborées de façon non officielle par les utilisateurs, hébergées sur un réseau local ou un lecteur de disque local plutôt que dans un environnement informatique contrôlé), il y a un risque accru que les contrôles exercés sur les feuilles de calcul électroniques soient inefficaces ou encore que ces contrôles ne puissent pas être utilisés aux fins d’audit. L’auditeur doit examiner la conception et, s’il y a lieu, tester les contrôles à l’intérieur des feuilles de calcul électroniques ainsi que les contrôles similaires aux contrôles informatiques généraux qui aident à maintenir l’intégrité continue de ces contrôles intégrés.

Il faut éviter la tendance à chercher des contrôles similaires aux contrôles généraux informatiques (CGI) liés aux feuilles de calcul électroniques simples, puisque ces contrôles n’existent généralement pas ou ne sont pas conçus pour être aussi efficaces que les contrôles traditionnels effectués par l’utilisateur ou les contrôles de surveillance de l’entrée ou de la sortie de données et de l’exactitude des calculs. Les feuilles de calcul électroniques complexes peuvent justifier le recours à des contrôles complexes similaires à des CGI. Le même raisonnement peut s’appliquer à d’autres applications informatiques d’utilisateurs finaux qui sont importantes pour les audits (p. ex. les demandes de renseignements par la direction dans un entrepôt de données pour appuyer une écriture comptable).

Risques associés aux feuilles de calcul électroniques et aux autres outils informatiques d’utilisateurs finaux

Pour déterminer les feuilles de calcul électroniques ou les outils informatiques d’utilisateurs finaux qu’il doit comprendre, l’auditeur identifie :

  • si l’information de ces outils est à la base d’un contrôle sur lequel il compte s’appuyer ou d’une autre procédure d’audit, et

  • le risque d’anomalies significatives qu’elle comporte.

Ce risque peut être influencé par :

  • la nature et l’importance du compte ou du processus sur lequel porte la feuille de calcul électronique ou l’outil informatique d’utilisateurs finaux;

  • la complexité de la feuille de calcul électronique ou de l’outil informatique d’utilisateurs finaux.

Par exemple, un classeur très complexe utilisé pour effectuer la comptabilité de consolidation comporterait un plus grand risque d’anomalies significatives qu’une simple feuille de calcul électronique qui génère des totaux aux fins de vérification d’une écriture concernant un rapprochement. Plus le risque d’anomalies significatives augmente, plus l’étendue des contrôles à comprendre ou à vérifier à l’égard des feuilles de calcul électroniques augmente.

Voici certains facteurs à examiner au moment d’évaluer la complexité d’une feuille de calcul ou d’une base de données :

  • la vulnérabilité à l’erreur (p. ex. erreur de saisie ou erreur de logique);
  • la méthode de création de la feuille de calcul électronique (p. ex. extraction automatique/créée manuellement);
  • l’utilisation de macros ou de feuilles de calcul et de bases de données liées;
  • l’utilisation de renvois, de calculs ou de tableaux croisés dynamiques compliqués;
  • le nombre de requêtes, de rapports ou de jointures utilisés;
  • le nombre d’indices, de champs, de dossiers de données, de colonnes, de rangées ou de classeurs utilisés;
  • l’utilisation des sorties informatiques;
  • le nombre d’utilisateurs de la feuille de calcul électronique ou de la base de données;
  • la fréquence et l’étendue des modifications à la feuille de calcul électronique ou à la base de données.

La complexité des feuilles de calcul électroniques ou des outils informatiques d’utilisateurs finaux peut être faible, modérée ou élevée. Par exemple :

  • FAIBLE — Une application d’enregistrement électronique et de repérage de données, comme les listes de réclamations non réglées, de factures impayées ou d’autres renseignements qui auraient auparavant été consignés dans des dossiers papier.

  • MODÉRÉE — Les feuilles de calcul électroniques ou les outils informatiques d’utilisateurs finaux qui effectuent des calculs simples, comme l’application de formules pour calculer le total de certains champs ou pour calculer de nouvelles valeurs en multipliant deux cellules. Ces feuilles de calcul électroniques ou ces outils informatiques d’utilisateurs finaux peuvent être utilisés pour convertir des données ou pour en modifier le format, souvent aux fins d’un examen analytique ou d’une analyse, pour enregistrer des écritures de journal ou pour présenter une information dans les états financiers.

  • ÉLEVÉE — Les feuilles de calcul électroniques ou les outils informatiques d’utilisateurs finaux qui appuient des calculs, des évaluations ou des outils de modélisation complexes. Ces feuilles de calcul électroniques ou ces outils informatiques d’utilisateurs finaux contiennent généralement des macros ou des feuilles de calcul à fins multiples qui sont liés aux cellules, aux valeurs et aux feuilles de calcul électroniques individuelles. Ils peuvent être considérés comme de véritables « applications » (c.‑à‑d. des logiciels). On y a souvent recours pour établir les montants des transactions, comme outil de base pour inscrire les écritures dans le grand livre ou pour présenter de l’information dans les états financiers.

L’importance de l’intégrité et de la fiabilité de l’information générée par les feuilles de calcul électroniques ou les outils informatiques d’utilisateurs finaux augmente parallèlement à la complexité, qui passe de faible à élevée, et parallélement à l’importance de l’utilisation.

Rapports provenant d’autres sources

Les rapports internes produits à partir de systèmes et de documents qui sont séparés et distincts des documents comptables ou qui ne font pas l’objet de manipulations par des personnes en mesure d’influencer les activités comptables sont généralement considérés comme plus fiables que les données comptables internes.

Mentionnons, à titre d’exemple, les rapports provenant des systèmes des stocks qui sont distincts et séparés des systèmes d’information financière, ou les informations provenant des services du personnel, qui sont tenues dans un système distinct réservé aux ressources humaines. Les journaux des pistes d’audit provenant d’un système d’exploitation ou les scripts basé sur les paramètres de sécurité informatique pour appuyer la surveillance des accès restreints figurent également au nombre des exemples de rapports non financiers,

Il existe un risque inhérent associé aux rapports de ce type, car ils sont produits en interne par l’entité et sont donc une source moins fiable qu’un rapport externe. Cependant, les données provenant de ces systèmes sont généralement gérées et tenues par des employés dont les tâches sont séparées et distinctes de celles du service des Finances, ce qui accroît la fiabilité de l’information aux fins de l’audit. Il faut toujours porter attention à la façon dont ces rapports sont produits, car les facteurs de risque mentionnés précédemment relativement aux outils informatiques d’utilisateurs finaux pourraient toujours s’appliquer.

Source de données

La source des données est tout aussi importante que la source du rapport et peut avoir une incidence sur la fiabilité du rapport. Dans le cadre du processus d’évaluation des risques (BVG Audit 5030 — Compréhension du système de contrôle interne de l’entité, y compris l’environnement informatique), l’auditeur doit acquérir une compréhension des activités de contrôle pertinentes et évaluer la conception et la mise en place de ces contrôles. Il s’agit notamment des activités de contrôle pertinentes exercées sur le flux des opérations entraînant la saisie de données dans le système afin de recenser et d’évaluer les facteurs de risque liés à la saisie de ces données. Ensuite, les données saisies peuvent être conservées dans le système et directement extraites en fonction de la configuration du rapport.

Dans l’environnement informatique complexe d’aujourd’hui, souvent, les données ne sont pas toujours extraites directement du système dans lequel elles ont été saisies. Les données peuvent être conservées dans une base de données distincte ou un autre système. L’auditeur doit alors comprendre les activités de contrôle pertinentes ayant trait au transfert ou à l’extraction de données. Il faut tenir compte des facteurs suivants :

  • interfaces automatisées entre les systèmes;

  • contrôles conçus et mis en place efficacement afin que les données transmises entre les systèmes soient complètes et exactes;

  • nature de ces contrôles, qu’ils soient entièrement automatisés ou comportent un élément manuel (p. ex. une personne fait le rapprochement des informations ou examine les rapports d’erreur).

La source des données sous-jacentes n’est pas toujours évidente pour l’auditeur. L’auditeur devrait demander à la personne responsable du rapport et des données sous‑jacentes (c.‑à‑d. l’auteur du rapport ou le responsable des données) de déterminer la source de ces données. Cette personne n’est pas nécessairement l’utilisateur final du rapport et, lorsqu’un rapport a été établi depuis très longtemps, il peut être difficile de savoir qui est responsable en bout du compte. Une attribution nébuleuse des comptes à rendre et des responsabilités peut indiquer un environnement de contrôle interne faible, ce qui a une incidence sur l’intégrité des données et peut accroître le risque que le rapport ne soit pas exhaustif ni exact.

Compréhension de la façon dont l’entité utilise le rapport

Directives du BVG

But du rapport

La pertinence du rapport et le degré et la précision requise d’exactitude dépendent de l’utilisation que l’entité en fait.

L’auditeur doit comprendre la façon dont la direction utilise un rapport, car l’importance de l’intégrité et de la fiabilité des rapports augmente parallèlement à l’utilisation et à l’importance du compte ou du processus. Chez de nombreuses entités, une grande partie de l’information utilisée pour le suivi des contrôles et les activités de contrôle, comme les évaluations des performances de l’entité, est générée par le système d’information. Si la direction utilise son évaluation des performances comme contrôle pertinent pour détecter les anomalies significatives, tout rapport utilisé pour élaborer cette évaluation ainsi que le rapport définitif deviennent pertinents pour l’auditeur. Si la direction accorde une grande confiance à ce contrôle, l’intégrité du rapport devient plus importante, car une erreur ou une anomalie importante dans le rapport peut avoir une incidence significative sur le processus d’information financière. Si la direction met en place ce même contrôle, mais y accorde moins de confiance et s’appuie sur d’autres contrôles pertinents du processus opérationnel, le degré de précision nécessaire pour le rapport diminue.

Tout au long de l’audit, l’entité peut aussi fournir à l’auditeur des éléments probants qu’elle a préparés soit dans le cours normal de ses activités, soit à la demande de l’auditeur. Les rapports pourraient comprendre des données analytiques que l’auditeur pourrait utiliser pour réaliser ses activités d’évaluation des risques, de mise en œuvre des procédures de corroboration ou de procédures analytiques de conclusion générale. Les rapports pourraient servir à vérifier la composition du ou des soldes financiers importants, considérés individuellement ou collectivement (selon le type d’opération, la période de temps, la source, etc.).

Évaluation par l’entité de la fiabilité du rapport

Lors de l’application de la section BVG Audit 5030 — Compréhension du système de contrôle interne de l’entité, y compris l’environnement informatique, l’auditeur doit évaluer comment la direction obtient des éléments probants attestant que le rapport est suffisamment fiable pour l’utilisation qui en est faite. La direction doit s’assurer que la conception et la mise en place des contrôles pertinents permettent d’obtenir l’assurance raisonnable que les objectifs opérationnels et de contrôle seront atteints. L’intégrité du rapport peut influer sur la capacité de la direction d’atteindre ses objectifs; elle doit donc être examinée dans le cadre du processus opérationnel. Souvent, la direction établit un cadre de contrôle interne pour assurer la fiabilité du rapport, en particulier les rapports jugés les plus utiles ou pertinents pour l’entité et ses objectifs.

Lors de l’évaluation du cadre de contrôle interne mis en place par la direction pour assurer la fiabilité des rapports, l’auditeur peut examiner les facteurs suivants :

  • la nature des rapports (p. ex. rapports externes ou internes);

  • la source des rapports (p. ex. système et/ou données);

  • le but du rapport (p. ex. pourquoi, quand et où les rapports sont utilisés);

  • l’engagement de la direction (p. ex. la force de l’environnement de contrôle lié à la fiabilité des rapports);

  • la façon dont les rapports sont créés, tenus à jour ou modifiés;

  • les méthodes d’évaluation de la fiabilité des rapports et sa fréquence;

  • les ressources affectées à l’évaluation et à la surveillance de l’efficacité des contrôles sur la fiabilité des rapports.

Les procédures d’audit que l’auditeur finit par concevoir pour recueillir des éléments probants suffisants pour étayer la fiabilité du rapport dépendent de la façon dont la direction a obtenu l’assurance que le rapport et l’information sous‑jacente sont exhaustifs et exacts.

En pratique, il est possible que les entités n’aient pas élaboré suffisamment d’activités de contrôle pour évaluer l’intégrité du rapport. La direction pourrait présumer que le rapport est exact et exhaustif sans avoir de fondement pour cette supposition. Par conséquent, il est possible que des erreurs ou des omissions affectent le rapport, rendant ainsi les évaluations des performances de l’entité ou les contrôles manuels inefficaces, ou toute estimation ou tout solde financier fondés sur ces données inexactes. Souvent, la direction se fie à son jugement et à sa confiance dans le système pour évaluer l’exactitude et l’exhaustivité des rapports. L’auditeur ne devrait pas négliger cette approche informelle, mais y voir l’indice de la nécessité de poser des questions additionnelles.

Les questions suivantes peuvent être utiles pour déterminer la force des évaluations de la direction :

  • Quel est le niveau d’expertise et de connaissance du rapport et des données sous‑jacentes de la direction?

  • Pourquoi la direction est-elle satisfaite du rapport?

  • La direction s’appuie-t-elle sur son expérience passée?

  • Quelle est l’expérience passée de la direction?

  • La direction peut-elle corroborer le rapport grâce aux connaissances qu’elle a acquises d’autres sources (p. ex. les gestionnaires des opérations, autres activités qu’elle réalise)?

  • La direction regarde-t-elle intrinsèquement les relations clés ou l’analyse des données?

  • La direction vérifie-t-elle de façon aléatoire les formules de certaines feuilles de calcul électroniques?

  • La direction vérifie-t-elle si les données correspondent à ses attentes?

  • Si elle relève une erreur dans le rapport, la direction réévalue‑t‑elle le reste des informations ou considère‑t‑elle l’erreur comme un cas d’exception ne nécessitant aucun suivi?

  • La direction cherche-t-elle les opérations clés pour s’assurer qu’elles figurent comme il se doit dans le rapport?

  • Comment la direction déterminerait-elle les informations manquantes?

  • La direction examine-t-elle la source du rapport et les compétences de la personne ou l’intégrité du système qui l’a créé?

Souvent, le personnel possède une quantité importante de connaissances et, même si le processus n’est pas toujours bien documenté, l’auditeur peut obtenir un certain niveau d’assurance. L’auditeur devrait exercer son jugement professionnel pour évaluer l’intégrité du rapport et tenir compte des facteurs suivants dans son évaluation.

Facteurs de confiance

Facteurs de non-confiance

  • Des systèmes ou des processus ont été conçus par des personnes ayant une bonne compréhension de l’intégrité des données et des rapports

  • Le système n’est pas documenté
  • Des procédures et des contrôles efficaces liés à l’intégrité des rapports sont importants pour la direction de l’entité
  • Les rapports sont généralement acceptés sans poser des questions
  • L’intégrité des rapports est très importante pour les utilisateurs
  • Le rapport et les données proviennent de la même personne
  • Des éléments probants indiquent que l’entité modifierait ses processus ou ses procédures si des problèmes étaient signalés
  • L’examen et l’approbation sont inadéquats
  • L’intégrité du rapport a été évaluée à l’aide de bons principes de sondage
  • Des données anciennes provenant de périodes antérieures sont utilisées
  • Il existe une bonne stratégie cohérente de gestion des données sur une longue période (années)
  • Il y a des rapports non standards qui ne sont pas documentés ou des rapports produits par un outil informatique d’utilisateurs finaux
  • Le rapport provient d’un produit d’un fournisseur reconnu
  • Il y a des rapports très complexes ou nécessitant la manipulation de données
  • Le personnel de l’entité est bien informé (il connaît notamment la façon dont les données sont utilisées et par qui) et expérimenté
  • Il y a absence de contrôles de validité adéquats
  • Il existe des éléments probants indiquant que l’entité dispose de procédures et de contrôles adéquats
  • Les formules peuvent entraîner des erreurs
  • Le rapport est examiné et approuvé
  • Il y a une Incapacité de s’appuyer sur une analyse des tendances ou des modèles
Élaboration de la stratégie d’audit

Directives du BVG

L’approche choisie pour tester les rapports est semblable à l’approche utilisée par l’auditeur pour élaborer la stratégie générale d’audit. Se reporter à la section BVG Audit 4024 — Élaboration de la stratégie de test.

L’auditeur doit concevoir et mettre en œuvre des procédures d’audit complémentaires dont la nature, le calendrier et l’étendue sont fonction de son évaluation des risques d’anomalies significatives. Pour concevoir les procédures d’audit complémentaires à mettre en œuvre, l’auditeur doit tenir compte de la probabilité d’anomalies significatives compte tenu des caractéristiques particulières des rapports et des données sous jacentes (c’est‑à‑dire le risque inhérent) et de la présence possible de contrôles pertinents (c’est‑à‑dire le risque lié au contrôle), leur prise en compte exigeant l’obtention d’éléments probants lui permettant de déterminer si les contrôles fonctionnent efficacement.

Quelle que soit la rigueur avec laquelle l’entité prépare son rapport ou en évalue l’intégrité, l’auditeur ne peut pas accepter ce rapport comme source d’éléments probants sans avoir mené une évaluation indépendante de l’intégrité. Les conclusions d’audit sont fondées sur le jugement professionnel posé par l’auditeur pour déterminer la quantité et la qualité des éléments probants nécessaires pour étayer ces conclusions. Lorsque l’auditeur teste un rapport, il doit garder cela en tête et se souvenir que plus le risque d’audit est grand, plus la quantité et la qualité des éléments probants requis pour maîtriser ce risque augmentent.

Nature et étendue des tests des contrôles

L’évaluation des risques faite par l’auditeur peut influer sur les types de procédures d’audit à mettre en œuvre. Par exemple, lorsqu’il évalue le risque à un niveau élevé (voir les facteurs de confiance mentionnés précédemment), l’auditeur devra obtenir des éléments probants de plus grande qualité. Il peut donc être nécessaire que l’auditeur se fasse confirmer les informations du rapport par une source indépendante ou réalise des tests ciblés. Si un risque est évalué comme étant faible en raison de la nature et de la source particulières du rapport, indépendamment des contrôles le concernant, l’auditeur peut alors décider que la mise en œuvre de procédures analytiques de corroboration est suffisante pour obtenir des éléments probants suffisants et appropriés.

Par ailleurs, certaines procédures d’audit peuvent convenir davantage à certaines assertions qu’à d’autres. Ainsi, des tests des contrôles peuvent représenter la réponse la plus adaptée à l’évaluation d’un risque d’anomalies concernant une assertion sur l’exhaustivité, tandis que des procédures de corroboration peuvent être plus adaptées à l’évaluation d’un risque d’anomalies concernant une assertion sur l’exactitude. Pour déterminer l’étendue d’une procédure d’audit jugée nécessaire, l’auditeur tient compte du seuil de signification, de son évaluation du risque et du niveau d’assurance qu’il souhaite obtenir. Lorsqu’il doit obtenir un niveau d’assurance supérieur ou si le risque d’anomalies significatives est plus élevé, l’auditeur peut chercher un plus grand nombre d’éléments probants ou obtenir des éléments probants qui sont plus pertinents ou plus fiables.

Degré d’assurance

Le degré d’assurance que l’auditeur doit obtenir sera fonction du but du rapport et de son importance comme source d’éléments probants. Si, par exemple, le rapport est l’unique source d’éléments probants pour une estimation très complexe et importante sur le plan financier, le degré d’assurance requis sera plus élevé.

L’équipe de mission doit faire appel à son jugement pour décider du caractère suffisant et approprié des éléments probants, en mettant en balance, d’une part, le seuil de signification et les facteurs de risque et, d’autre part, la qualité des éléments probants obtenus, la rigueur des tests effectués et les résultats de tous les travaux. Lorsqu’il prend ce genre de décisions, l’auditeur tient compte du fait que certaines procédures d’audit peuvent être plus appropriées pour certaines assertions que pour d’autres. Le degré d’assurance requis sera influencé par le but que la direction ou l’auditeur recherche en utilisant le rapport.

L’auditeur peut réaliser les activités suivantes lors de l’élaboration de la stratégie d’audit :

  • Résumer les rapports qui peuvent être utilisés dans le processus d’information financière pour les postes importants des états financiers ou les informations importantes à fournir.

  • Examiner l’évaluation du cadre de contrôle interne de l’entité par rapport au rapport résumé.

  • Examiner les risques d’anomalies significatives identifiés et documentés.

  • Évaluer les attentes possibles par rapport à la confiance à accorder au fonctionnement efficace des contrôles et, par conséquent, aux éléments probants que l’on prévoit recueillir grâce aux tests de corroboration (qui collectivement peuvent être décrits comme la stratégie de test).

  • Déterminer l’incidence des technologies de l’information sur les procédures d’audit, y compris la disponibilité des données et l’utilisation prévue de techniques d’audit assistées par ordinateur (TAAO).

  • Déterminer si l’équipe prévoit utiliser des travaux d’audit interne, des travaux de sociétés de services ou des éléments probants obtenus lors d’audits antérieurs.

Élaboration des procédures d’audit

Il existe diverses techniques de collecte d’éléments probants suffisants et appropriés. Selon les informations recueillies, l’auditeur exerce son jugement professionnel pour déterminer la stratégie la plus efficace en vue d’obtenir le niveau souhaité d’éléments probants.

  • Tests des contrôles :

    • Contrôles manuels (peut comprendre les contrôles relatifs aux outils informatiques d’utilisateurs finaux ou les contrôles de gestion).

    • Contrôles automatisés ou contrôles manuels dépendant des TI (comprend l’évaluation des contrôles des applications et des contrôles généraux informatiques (CGI)).

  • Procédures de corroboration :

    • Effectuer des tests de corroboration sur le rapport à l’aide de documents sources fiables.

    • Utiliser la technologie pour effectuer des tests.

    • Effectuer une analyse des données ou des tendances.

    • Exécuter des tests acceptation-rejet.

Élaboration de procédures d’audit au moyen de tests des contrôles

Les contrôles testés dans le cadre de l’audit et l’étendue des tests doivent être pris en compte dans chaque cas en fonction de la nature des contrôles sur l’information sous‑jacente. Le test des contrôles peut être une excellente source d’éléments probants. Lorsque ces contrôles sont efficaces, l’auditeur accorde généralement une plus grande confiance à la fiabilité du rapport. Les directives ci‑dessous portent sur l’intégrité du rapport proprement dit. L’auditeur doit toutefois examiner séparément l’intégrité des données sous‑jacentes et les activités de contrôle ayant trait aux données réelles saisies.

Test des contrôles manuels de l’entité

L’auditeur peut s’appuyer sur les procédures mises en œuvre par l’entité pour évaluer l’intégrité du rapport s’il est convaincu de l’efficacité de la conception et du fonctionnement des contrôles. Il doit acquérir une compréhension de la façon dont l’entité évalue la fiabilité du rapport, si l’entité utilise un processus suffisamment rigoureux et si la conception est jugée efficace, obtenir des éléments probants sur la façon dont l’entité :

  • compare le rapport à des sources fiables provenant de l’extérieur de l’entité;

  • compare le rapport à des données internes fiables et vérifiables;

  • s’appuie sur les corroborations fournies par des personnes qui possèdent les connaissances, l’expérience et les compétences analytiques appropriées et qui ne participent pas aux processus et n’utilisent pas les systèmes qui génèrent l’information sous‑jacente.

Exemples :

  • La gestionnaire des comptes fournisseurs vérifie l’exactitude de la liste des comptes fournisseurs en prélevant un petit échantillon de paiements prévus (au hasard ou en fonction du risque) et en comparant le fournisseur et le montant à la documentation source. Elle évalue l’exhaustivité du rapport en examinant les opérations importantes pour lesquelles elle a autorisé le paiement (p. ex. elle a signé la facture) plus tôt dans la semaine. Elle signe la liste des comptes fournisseurs afin d’en autoriser le paiement et estime que cette signature démontre qu’elle a évalué l’exhaustivité et l’exactitude du rapport.

  • Le directeur des ventes d’une société de produits emballés pour la vente au détail peut exécuter une évaluation des performances de l’entreprise relativement aux ventes enregistrées au moyen de rapports de ventes des clients importants, puis corroborer les résultats avec l’information et les connaissances acquises lors de réunions du personnel des ventes et de visites de clients, en plus de ses connaissances générales des prix.

  • La chef de l’exploitation d’une société de transport maritime peut exécuter une évaluation des performances de l’entreprise chaque semaine relativement au prix du carburant. Pour ce faire, elle utilise les indices de coûts externes du carburant et un rapport hebdomadaire de consommation de carburant pour chaque navire qu’elle peut corroborer avec ses propres connaissances du rendement opérationnel de chacun des navires.

L’auditeur documente la compréhension du contrôle et les procédures mises en œuvre par la direction pour corroborer les informations sous‑jacentes, ainsi que la nature, le calendrier et l’étendue de la procédure d’audit effectuée.

L’efficacité du fonctionnement des contrôles sur les rapports et les informations non financières peut souvent être testée dans le cadre de la mise en œuvre d’autres tests des contrôles. Par exemple, lorsqu’elle met en place des contrôles sur le traitement des factures de vente, l’entité peut y intégrer des contrôles sur l’enregistrement des unités vendues. En pareil cas, l’auditeur peut tester l’efficacité du fonctionnement des contrôles sur l’enregistrement des unités vendues lorsqu’il teste l’efficacité du fonctionnement des contrôles sur le traitement des factures de vente. Par ailleurs, si le responsable du contrôle évalue l’intégrité du rapport dans le cadre de son activité de contrôle, cela fait partie de la conception du contrôle et peut donc être examiné en même temps. Par exemple, si un gestionnaire examine l’évaluation des performances de l’entité et, ce faisant, détermine les relations clés et les opérations significatives, teste l’exactitude arithmétique ou peut relever des erreurs affectant l’exactitude arithmétique en fonction des relations clés, le rapport peut être jugé fiable si le contrôle est jugé efficace.

Tests des contrôles des applications, des contrôles des outils informatiques d’utilisateurs finaux et des contrôles généraux informatiques (CGI) pertinents

Il importe que l’auditeur comprenne la nature et la source du rapport pour déterminer si les contrôles généraux informatiques (CGI) ou les contrôles des applications sont pertinents pour recueillir des éléments probants relatifs au rapport. Les contrôles conçus pour les progiciels standards et les rapports produits par le système diffèrent des contrôles conçus pour les feuilles de calcul électroniques et les outils informatiques d’utilisateurs finaux. Les feuilles de calcul électroniques plus complexes peuvent justifier le recours à des contrôles plus complexes similaires à des CGI. Le même raisonnement peut s’appliquer à d’autres applications informatiques d’utilisateurs finaux importantes pour l’audit (p. ex. les demandes de renseignements par la direction dans un dépôt de données pour appuyer une écriture comptable).

Il ne faut pas céder à la tendance de chercher des contrôles similaires aux contrôles généraux informatiques pour des feuilles de calcul électroniques simples, puisque ces contrôles n’existent généralement pas ou ne sont pas conçus pour être aussi efficaces que les contrôles plus traditionnels effectués par l’utilisateur ou les contrôles de surveillance de l’entrée ou de la sortie des données et de l’exactitude des calculs. Les feuilles de calcul plus complexes peuvent justifier le recours à des contrôles plus complexes similaires à des contrôles généraux informatiques. Le même raisonnement peut s’appliquer à d’autres outils informatiques d’utilisateurs finaux importants pour l’audit.

Information courante générée par des progiciels standards ou par des systèmes de comptabilité générale programmés.

  • Lorsque l’auditeur compte s’appuyer sur les contrôles généraux informatiques et les contrôles des applications, il met en œuvre toutes les procédures suivantes :

    • Évaluer la fiabilité des données sources. Pour ce faire, il faut souvent évaluer l’efficacité des contrôles manuels et automatisés pertinents conçus pour assurer l’exhaustivité, l’exactitude et la validité des données sources.

    • Déterminer si le programme ou la routine du système fonctionnent comme prévu et utilisent des sources de données appropriées et fiables.

  • Voici des exemples de procédures :

    • Évaluer l’efficacité des CGI pertinents conçus pour appuyer l’intégrité et la fiabilité continues du ou des systèmes et des données sources, puis valider de nouveau la logique du programme automatisé chaque fois qu’il est modifié.

    • Dans le cas des progiciels standards largement distribués, des rapports usuels peuvent être considérés comme étant exacts si l’auditeur obtient suffisamment d’éléments probants appropriés attestant l’incapacité du client d’accéder ou de modifier les codes sources fournisseurs applicables (p. ex. au moyen d’une combinaison de demandes de renseignements précises adressées à des employés des services informatiques du client et des éléments probants fondés sur le système, comme la date de modification marquée avec un timbre dateur, ou en discutant avec un spécialiste en audit informatique, qui possède les connaissances et le savoir‑faire concernant le progiciel). La justification touchant la dépendance à l’égard d’un progiciel standard et les éléments probants obtenus doivent être consignés au dossier.

Feuilles de calculs issues d’outils informatiques d’utilisateurs finaux – Considérations relatives aux contrôles

  • Les feuilles de calcul électroniques peuvent facilement être modifiées et certaines activités de contrôle peuvent être absentes, ce qui augmente le risque inhérent et la vulnérabilité à l’erreur :

    • Erreurs de saisie : erreurs qui surviennent en raison d’une saisie de données erronées, de renvois inexacts ou d’autres fonctions simples de copier‑coller;

    • Erreurs de logique : erreurs qui surviennent en raison de la création de formules inappropriées qui génèrent de mauvais résultats;

    • Erreurs liées à l’interface : erreurs qui surviennent à la suite de l’importation ou de l’exportation de données avec d’autres systèmes;

    • Autres erreurs : erreurs qui surviennent à la suite d’une définition inappropriée de la plage de cellules, de renvois inappropriés de cellules ou de liens inadéquats avec d’autres feuilles de calculs électroniques.

  • Les contrôles relatifs aux feuilles de calcul peuvent comprendre un ou plusieurs des éléments suivants :

    • les contrôles similaires aux contrôles généraux informatiques sur les feuilles de calcul électroniques;

    • les contrôles intégrés aux feuilles de calcul électroniques (semblables à un contrôle des applications automatisé);

    • les contrôles manuels de la saisie ou de la sortie des données dans les feuilles de calcul électroniques.

  • À l’instar d’autres applications, la préservation de l’intégrité des contrôles et des calculs intégrés dans les feuilles de calcul électroniques est tributaire de l’efficacité continue du fonctionnement des contrôles similaires aux contrôles généraux informatiques sur les feuilles de calcul électroniques. Si la protection des contrôles intégrés dans les feuilles de calcul électroniques est importante, les contrôles similaires aux contrôles informatiques généraux que l’auditeur s’attend à voir relativement à ces feuilles de calcul électroniques doivent être semblables à ceux exercés sur d’autres applications utilisées par l’entité. Voir l’annexe A pour des exemples détaillés des contrôles appropriés relatifs aux feuilles de calcul électroniques.

  • Le niveau des contrôles mis en place dépend de l’utilisation, de la complexité et de la fiabilité requise de l’information contenue dans la feuille de calcul électronique. Pour ce qui est de montants plus importants et/ou de feuilles de calcul électroniques très complexes, il peut être très difficile d’atteindre un niveau de contrôle adéquat sans que ces fonctions migrent vers un système d’application doté d’un environnement de contrôle informatique plus officiel.

  • Il est probable que l’entité n’ait mis en place aucun contrôle « solide » similaire aux CGI sur les feuilles de calcul électroniques qu’il est possible de tester. Dans la majorité des cas, l’entité traite les feuilles de calcul électroniques essentiellement comme un contrôle manuel. Par conséquent, il faut se concentrer sur les contrôles manuels sur la saisie de données dans les feuilles de calcul électroniques et sur les sorties de données calculées par les feuilles de calcul électroniques.

  • Lorsque les feuilles de calcul électroniques sont pertinentes à l’audit, l’auditeur doit évaluer la conception et la mise en application des contrôles sur la saisie et la sortie de données (et, s’il souhaite se fier à ces contrôles, en tester l’efficacité opérationnelle) qui visent à atteindre les objectifs en matière de traitement de l’information.

  • Bon nombre des contrôles sur les feuilles de calcul électroniques peuvent être similaires aux CGI typiques. Il faut prendre en compte la participation d’un spécialiste en audit informatique pour comprendre et tester ces contrôles.

Élaboration de procédures d’audit au moyen de tests de corroboration

L’auditeur peut conclure qu’il est approprié d’évaluer la fiabilité de l’information sous‑jacente en effectuant des tests de corroboration. Dans ce cas, il doit examiner les résultats des procédures qu’il a exécutées pour acquérir une compréhension du contrôle interne en vue de planifier l’audit. Pour acquérir cette compréhension, il faut examiner l’utilisation de l’informatique par une entité pour déclencher, enregistrer et traiter des opérations ou d’autres données financières et pour produire un rapport sur celles‑ci. S’il obtient des éléments probants qui remettent en question la fiabilité attendue de l’information sous‑jacente, les tests de corroboration ne peuvent pas à eux seuls constituer une approche efficace, puisque la nature, le calendrier et l’étendue des tests requis pour évaluer l’information sous‑jacente seraient vraisemblablement inabordables.

Les tests de corroboration peuvent comprendre des procédures comme établir le lien entre les détails du rapport et les documents sources ou effectuer un rapprochement des détails du rapport et des sources indépendantes et fiables (par exemple, vérifier l’exactitude d’un rapport de classement chronologique en le comparant avec les factures).

Procédures analytiques de corroboration

L’utilisation de procédures analytiques de corroboration peut être une façon efficiente et efficace de tester la fiabilité des rapports et des données. Les procédures analytiques de corroboration consistent à évaluer l’information financière par une analyse des relations plausibles entre les données financières et non financières. Elles englobent également les investigations nécessaires portant sur les variations ou les corrélations relevées qui sont incohérentes avec d’autres informations pertinentes ou qui s’écartent de façon importante des valeurs attendues.

Lorsque l’auditeur met en œuvre des procédures analytiques de corroboration pour tester la fiabilité des rapports et des données, il doit envisager d’utiliser les informations déjà auditées ou des informations de tiers. S’il doit utiliser des rapports ou des données non audités pour établir ses attentes ou analyser une relation plausible, l’auditeur doit aussi évaluer la fiabilité de ces rapports ou données avant de s’y fier.

Les procédures analytiques visant à tester la fiabilité des rapports et des données doivent être mises en œuvre conformément à la section BVG Audit 7030.

Tests ciblés

Les tests ciblés consistent à sélectionner des éléments à tester en fonction de certaines caractéristiques. Le Bureau privilégie cette méthode pour les tests de détail, car elle nécessite le recours à beaucoup de jugement à l’égard du choix des éléments devant faire l’objet de tests. On peut appliquer un test ciblé à une partie précise ou à l’ensemble des données. Les résultats obtenus au moyen des tests ciblés ne sont pas extrapolés aux éléments non testés d’une population. Voir la section BVG Audit 7042. L’auditeur doit comprendre le but du rapport et la façon dont la direction et l’auditeur l’utiliseront afin de déterminer les caractéristiques appropriées pour les tests.

Utilisation de la technologie pour effectuer des tests de corroboration

L’utilisation de technologie pour vérifier l’exhaustivité et l’exactitude de rapports complexes ou volumineux peut être une stratégie d’audit efficiente. L’équipe d’audit peut nécessiter l’aide d’un spécialiste en audit informatique selon la nature du test. L’intervention d’un spécialiste en audit informatique devrait être documentée dans le Mémoire sur la planification de l’audit des TI dans le dossier d’audit. Si l’équipe d’audit teste le rapport en collaboration avec un spécialiste en audit informatique, les rôles et responsabilités de chacun doivent être clairement documentés dans le Mémoire sur la planification de l’audit des TI.

Voici des exemples de tests de corroboration qui peut être effectués à l’aide de technologie :

  • Reproduire le rapport en effectuant sa propre interrogation indépendante ou en utilisant ses propres programmes sur les données sources réelles (c.‑à‑d. réexécution du rapport);

  • Évaluer la logique du rapport programmé ou de la requête spéciale comme suit :

    • examiner les paramètres de configuration du système d’application;

    • examiner la documentation du système des fournisseurs;

    • interroger les développeurs de programme (en général, cela ne suffit pas comme unique procédure).

  • Effectuer des transactions types (jeux d’essai) dans le programme ou le système de requête, puis comparer les données aux résultats attendus :

    • La façon la plus efficace d’évaluer l’exactitude arithmétique de rapports volumineux, comme le registre de classement chronologique détaillé des comptes clients, consiste à obtenir la version électronique du rapport et à utiliser Excel, IDEA, Access ou d’autres logiciels qui calculent le total des totaux partiels et/ou le total général du rapport. Lorsque l’auditeur demande d’obtenir un rapport électronique du client, il importe de connaître le nombre approximatif de dossiers (p. ex. des factures) contenus dans le rapport.

Tests acceptation-rejet

Avant d’effectuer un test acceptation‑rejet, il faut déterminer s’il s’agit du test approprié compte tenu des circonstances. Les tests des contrôles, les procédures analytiques de corroboration et les tests ciblés devraient être envisagés avant d’avoir recours au test acceptation‑rejet.

L’objectif du test acceptation-rejet, appelé aussi test des attributs, est d’obtenir des éléments probants suffisants pour être en mesure d’accepter ou de rejeter une caractéristique pertinente. Il ne comporte pas d’extrapolation d’une anomalie monétaire dans un compte ou une population; par conséquent, le test acceptation‑rejet ne doit être utilisé que si l’auditeur s’intéresse à un attribut ou à une caractéristique en particulier, et non à un solde monétaire. Au moment de tester les données sous‑jacentes d’un rapport, l’auditeur peut appliquer les tests acceptation‑rejet expressément pour tester l’exactitude et l’exhaustivité des données du rapport. Si le nombre d’écarts repérés est supérieur à celui qui est acceptable, le test est rejeté, car il ne fournit pas les éléments probants souhaités. La section BVG Audit 7043 — présente des directives supplémentaires et d’autres exemples de situations où les tests acceptation‑rejet peuvent être ou ne pas être appropriés. La sous‑section BVG Audit 7043.1 — décrit une méthode en cinq étapes pour effectuer un test acceptation‑rejet.

Lorsqu’il n’est pas possible d’évaluer l’exactitude arithmétique du rapport de façon électronique, l’auditeur peut sélectionner les totaux partiels des pages ou les totaux partiels des soldes du client et procéder à un test acceptation‑rejet (voir les exemples des procédures dans la section L‘étendue des tests), conformément aux directives présentées à la section BVG Audit 7043. Comme le test a pour objectif de s’assurer de l’exactitude du rapport, on ne peut tolérer aucun écart. Si aucune erreur n’est décelée, on peut accepter le test et conclure que les totaux du rapport ont été calculés avec exactitude. En revanche, si une erreur arithmétique est trouvée, l’auditeur doit généralement rejeter l’exactitude du rapport, demander au client de recalculer le total du rapport, puis effectuer à nouveau le test.

L’étendue des tests

Procédures de corroboration

L’auditeur doit évaluer attentivement l’étendue des tests lorsqu’il utilise des procédures de corroboration pour tester la fiabilité des rapports et des données. Étant donné que ces tests de corroboration fournissent une assurance uniquement pour le rapport ou les données en l’occurrence, l’auditeur doit refaire ces tests pour chaque nouvelle occurrence. Par exemple, si le rapport XYZ sert à tester un contrôle et que le contrôle est testé cinq fois, chaque occurrence de ce rapport doit être testée. Ensuite, pour chaque occurrence du rapport testé, l’auditeur doit tester un nombre suffisant d’éléments en fonction des procédures de corroboration choisies. Pour déterminer l’étendue des tests pour chaque occurrence, l’auditeur doit se reporter aux sections appropriées du chapitre BVG Audit 7000 — portant sur les procédures de corroboration retenues.

Confiance accordée aux contrôles

Lorsque l’auditeur s’appuie sur des tests des contrôles pour évaluer la fiabilité des rapports et des données, il doit se reporter aux sections appropriées du chapitre BVG Audit 6000 — portant sur le type de test des contrôles effectué pour déterminer l’étendue des tests. Ensuite, une fois que le rapport ou les données ont été testés, si aucune erreur n’a été décelée lors du test des contrôles, l’auditeur peut s’appuyer sur ce rapport ou ces données et les utiliser pour toutes les occurrences où ils sont utilisés dans le cadre de l’audit.

Tests par rotation

Lorsque l’auditeur s’appuie sur les contrôles et les contrôles généraux informatiques (CGI) pour tester la fiabilité des rapports et des données, il peut parfois réaliser des tests par rotation de rapports et de données. Il est permis de faire des tests par rotation seulement si le rapport et les données sont assujettis à un risque normal, le test des contrôles n’a pas relevé d’erreurs au cours des exercices antérieurs et le processus ou la méthode de production de rapports ou de données n’ont pas changé. Les tests par rotation permettent à l’auditeur de tester un échantillon de rapports et de données annuellement pourvu que tous les rapports et toutes les données soient testés au moins tous les trois ans.

Données sources utilisées par des experts

Directives du BVG

Lorsque les travaux d’un expert présentent un intérêt pour un audit, la fiabilité des données sources fournies à l’expert devrait être évaluée. Il y aurait lieu d’exécuter des procédures conçues pour vérifier que tous les rapports pertinents pour l’audit ont été recensés. Par conséquent, lorsqu’un expert choisi par l’auditeur a été engagé, l’auditeur devrait être directement concerné et connaître les données sources et les autres informations fournies à l’expert. Si c’est l’entité même qui engage un expert, les données sources et les autres informations dont ce dernier a besoin pour faire son travail seront souvent fournies sans que l’auditeur intervienne ou en ait connaissance, Ainsi, lorsqu’il utilise les travaux de l’expert que la direction de l’entité a engagé, l’auditeur devrait mettre en œuvre des procédures supplémentaires pour recenser tous les rapports et les sources de données d’intérêt.

Par exemple, lorsque l’auditeur prévoit utiliser les travaux d’un actuaire engagé par la direction de l’entité, il devrait demander des renseignements auprès de la direction et de l’actuaire pour connaître toutes les sources de données et les informations que cet expert utilise et, s’il y a lieu, en tester l’exhaustivité et l’exactitude. Par exemple, les fichiers des données du recensement utilisés par l’actuaire sont généralement produits par les systèmes d’information sur la paie ou sur le personnel de l’entité; c’est pourquoi il est nécessaire de tester l’exhaustivité et l’exactitude du rapport pour évaluer la fiabilité des données sources.

Directives connexes

Pour obtenir des directives complémentaires sur l’évaluation des données sources utilisées par l’expert de l’auditeur et celui de la direction, se reporter aux sections suivantes :

BVG Audit 3096 — Évaluation du caractère adéquat des travaux de l’expert choisi par l’auditeur

BVG Audit 3111 — Experts choisis par la direction

Annexe A : Exemples de contrôles relatifs aux feuilles de calcul produites par des outils informatiques d’utilisateurs finaux

L’auditeur peut examiner un ensemble des contrôles ci‑dessous relatifs aux outils et aux feuilles de calcul produits par des outils informatiques d’utilisateurs finaux :

  • Contrôle des modifications (p. ex. protection des mots de passe) — Maintenir un processus contrôlé pour soumettre des demandes de modifications à une feuille de calcul électronique, pour apporter des modifications et ensuite tester la feuille de calcul électronique, et pour obtenir une approbation en bonne et due forme d’une personne indépendante attestant que la modification fonctionne comme prévu.

  • Contrôle de la version — Créer des règles d’affectation des noms et des structures de répertoire pour la version approuvée en cours des feuilles de calcul électroniques ou des bases de données.

  • Contrôle des accès — Restreindre l’accès au niveau du fichier aux feuilles de calcul électroniques et aux bases de données sur un serveur central et attribuer des privilèges d’accès appropriés (p. ex. créer, lire, modifier, supprimer). L’accès à des feuilles de calcul électroniques et à des bases de données peut également être limité au moyen d’un mot de passe.

  • Sécurité et intégrité des données — Mettre en place un processus pour assurer que les données intégrées dans les feuilles de calcul électroniques et les bases de données sont à jour et protégées. Pour ce faire, on peut « bloquer » ou protéger les cellules de façon à empêcher que des modifications accidentelles ou intentionnelles ne soient apportées aux données permanentes. En outre, les feuilles de calcul électroniques et les bases de données elles-mêmes doivent être conservées dans des répertoires protégés.

  • Séparation des tâches — Définir et mettre en place les rôles, les pouvoirs et les responsabilités, et définir et mettre en œuvre des procédures relativement à la propriété, à l’approbation finale, à la séparation des tâches et à l’usage.

  • Cycle de développement — Utiliser un cycle chronologique de l’élaboration des logiciels standard pour le processus d’élaboration des feuilles de calcul électroniques et des bases de données plus importantes et complexes. Le processus comprend généralement la définition des exigences, la conception, la mise en place, les tests et la maintenance. L’exécution de tests est un contrôle essentiel pour assurer que les feuilles de calcul électroniques produisent des résultats exacts et exhaustifs.

  • Copies de sauvegarde — Mettre en place un processus visant à assurer qu’une copie de sauvegarde des feuilles de calcul électroniques et des bases de données est enregistrée régulièrement de façon à ce que des données exactes et exhaustives puissent être utilisées aux fins de présentation de l’information financière.

  • Archivage — Conserver des feuilles de calcul électroniques et des bases de données historiques (et un lien aux sources des données) qui ne peuvent plus être modifiées sur un lecteur distinct et en limiter l’accès à « lecture seule ».

  • Documentation — Maintenir et mettre à jour de la documentation des feuilles de calcul électroniques et des bases de données à un niveau approprié et décrire les objectifs opérationnels et les fonctions précises de ces feuilles de calcul électroniques et de ces bases de données.

  • Inspection logique — Examiner la logique qui sous‑tend les feuilles de calcul électroniques et les bases de données très importantes par quelqu’un d’autre que l’utilisateur ou que le créateur de la feuille de calcul ou de la base de données. Cet examen doit être consigné officiellement.

  • Contrôle sur les entrées — Comprendre que les rapprochements sont effectués pour assurer que les données sont saisies de façon exhaustive et exacte. Les données peuvent être entrées dans les feuilles de calcul électroniques manuellement ou automatiquement au moyen de téléchargements.

  • Analyses générales — Il peut être utile de procéder à des analyses à titre de contrôle de détection pour déceler des erreurs dans les feuilles de calcul électroniques et les bases de données utilisées aux fins des calculs. Les analyses à elles seules ne représentent pas un contrôle suffisant pour répondre entièrement au risque inhérent aux montants générés par les feuilles de calcul électroniques et les bases de données.

  • Analyses détaillées — Effectuer de nouveau manuellement les calculs inclus dans les grilles utilisées par les feuilles de calcul électroniques, et les comparer aux valeurs enregistrées. Les rapports de bases de données clés peuvent faire l’objet de nouveaux calculs au moyen de techniques d’audit assistées par ordinateur, comme IDEA.

Exemples de contrôles sur les feuilles de calcul électroniques

Une feuille de calcul électronique complexe est utilisée pour calculer le passif mensuel associé aux réclamations au titre de la garantie. La feuille de calcul électronique comprend de multiples feuilles de calcul électroniques liées, des macros et des entrées générées par des formules. Voici des exemples des contrôles qui pourraient être effectués :

  • La feuille de calcul électronique est conservée dans un réseau local séparé accessible seulement au personnel responsable des calculs et des examens des réclamations au titre de la garantie.

  • Des contrôles sont effectués sur les données permanentes, notamment pour protéger les cellules contre des modifications apportées par inadvertance ou non autorisées (c.‑à‑d. au moyen de mots de passe ou du verrouillage de formules).

  • L’accès pour modifier les mots de passe ou les formules est réservé à un développeur indépendant.

  • La saisie manuelle de données et le rapprochement des entrées aux données sources sont assurés par le comptable responsable des réclamations.

  • Les analyses préétablies sont intégrées dans la feuille de calcul électronique et évaluent les résultats obtenus par rapport aux résultats attendus.

  • Les sorties de données sont examinées par un contrôleur qui enquête sur tout résultat inusité des analyses.

  • L’utilisation des feuilles de calcul électroniques et les principales saisies de données sont documentées.

  • Une convention sur les noms standards à donner aux fichiers assure l’utilisation des versions à jour des feuilles de calcul électroniques.

  • Les copies de sauvegarde des feuilles de calcul électroniques sont conservées en vue d’une récupération éventuelle de données.

  • Toutes les modifications apportées aux formules le sont selon une méthodologie approuvée de contrôle des modifications au programme.

La saisie manuelle de données dans les feuilles de calcul électroniques expose les formules et les codes à un accès direct et comporte un risque que les formules puissent être modifiées à la suite d’une manipulation intentionnelle ou accidentelle. Des contrôles permettant de bloquer les cellules peuvent facilement être annulés, à moins que l’accès ne soit limité aux utilisateurs d’un autre service, comme le service des TI.

Les contrôles décrits plus haut peuvent ne pas suffire à atténuer les risques; l’auditeur peut suggérer que l’entité migre ces calculs vers un système de production officiel.

Si les contrôles suivants étaient mis en place relativement à la feuille de calcul électronique qui sert au calcul du passif des réclamations au titre de la garantie, les contrôles similaires aux contrôles généraux informatiques permettraient à l’auditeur de se fier davantage aux contrôles des feuilles de calcul électroniques et de tester les contrôles automatisés ou les calculs qu’elles comportent :

  • les données sont entrées manuellement dans un programme de saisie et la feuille de calcul électronique extrayait l’information à partir de ce programme;

  • l’accès à la feuille de calcul électronique est limité à la routine informatique automatisée qui extrait de l’information à partir du programme de saisie, et au service des TI;

  • un logiciel d’audit a été implanté pour enregistrer toutes les modifications apportées aux formules dans les feuilles de calcul électroniques et est utilisé pour restreindre l’accès à la feuille de calcul électronique.

L’auditeur pourrait se fier à l’efficacité continue du fonctionnement des contrôles si les CGI ont été exécutés efficacement au cours de toute la période visée.

Si la complexité et le risque associés à la feuille de calcul électronique étaient moins importants, comme c’est le cas pour une feuille de calcul électronique comportant des formules simples qui calculent le total des factures et les attribuent aux fournisseurs en fonction de leur numéro d’identification, les exemples de contrôles présentés ci‑dessus suffiraient vraisemblablement à atténuer le risque d’anomalies significatives.

Annexe B : Exemples de stratégies de test de rapports

Exactitude et exhaustivité : Les directives énoncées ci‑après décrivent les procédures effectuées à l’égard des rapports les plus communs (rapport sur les créances et rapport sur les stocks) sur lesquels devrait s’appuyer l’équipe de mission et les procédures que l’auditeur peut exécuter pour s’assurer que les rapports sont exacts et exhaustifs. L’entité et l’auditeur peuvent utiliser d’autres rapports et s’y fier, et des tests similaires sur ces rapports seraient alors exécutés. Il faut noter que cette liste de procédures n’est pas exhaustive et qu’il faut déterminer si des procédures additionnelles sont nécessaires pour que l’équipe de mission puisse s’appuyer sur les rapports de l’entité.

Rapport chronologique sur les créances (comptes clients)

  • Effectuer un test d’acceptation‑rejet à l’égard de la date et du montant des opérations individuelles en examinant les pièces justificatives (factures et, s’il y a lieu, documents de livraison) de façon à assurer l’exactitude du rapport. [Pour assurer l’exactitude du rapport sur les comptes clients et du classement chronologique.]

  • Comparer le solde du compte par rapport au grand livre pour s’assurer qu’il ne manque aucun élément. En cas de divergence entre le rapport et le livre comptable, tester le rapprochement du rapport et du livre comptable. [Pour assurer l’exhaustivité du rapport sur les comptes clients.]

Les procédures ci-dessus permettent à l’auditeur d’utiliser le rapport pour certaines procédures d’audit détaillées en ce qui a trait au classement chronologique. Toutefois, si un rapport supplémentaire est produit à partir de l’auxiliaire des comptes clients aux fins du calcul de la provision pour créances douteuses, un test approprié à l’égard de ce rapport serait également effectué.

Rapport sur les stocks

  • Comparer la quantité inscrite au rapport à l’inventaire physique pour un échantillon d’éléments. [Pour assurer l’exactitude du rapport sur les stocks.]

  • Tester les calculs du montant des stocks (la quantité multipliée par le coût unitaire) d’un échantillon d’éléments (test acceptation‑rejet) dans le rapport. [Pour assurer l’exactitude du rapport sur les stocks.]

L’auditeur doit comparer le solde du rapport au livre comptable pour s’assurer qu’il ne manque aucun élément. S’il manque des éléments entre le rapport et le livre comptable, il doit tester le rapprochement du rapport et du livre comptable [Pour assurer l’exhaustivité du rapport sur les stocks.]