Manuel de la vérification annuelle
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
2222 Détermination des déficiences importantes
oct.-2012
Contenu de la présente section
Déficiences du contrôle interne
Aperçu
La présente section traite des questions suivantes :
- la détermination des déficiences du contrôle interne;
- l’évaluation des déficiences pour déterminer si elles constituent des déficiences importantes.
Exigences des NCA
L’auditeur doit déterminer si les travaux d’audit qu’il a effectués lui ont permis de relever une ou plusieurs déficiences du contrôle interne. (NCA 265.7)
Directives des NCA
Pour déterminer s’il a relevé une ou plusieurs déficiences du contrôle interne, l’auditeur peut s’entretenir avec la direction, au niveau hiérarchique approprié, des faits et circonstances pertinents qu’il a constatés. C’est l’occasion pour l’auditeur d’alerter la direction en temps opportun sur l’existence de déficiences dont elle n’était peut-être pas informée. Le niveau hiérarchique de la direction avec lequel il est approprié de s’entretenir des constatations de l’auditeur est celui où les dirigeants possèdent une bonne connaissance des aspects du contrôle interne en cause et disposent de l’autorité nécessaire pour prendre des mesures correctives à l’égard des déficiences du contrôle interne relevées. Il peut toutefois y avoir des circonstances où il n’est pas approprié que l’auditeur s’entretienne de ses constatations directement avec la direction, par exemple lorsque les constatations semblent mettre en question l’intégrité ou la compétence de la direction. (NCA 265.A1)
S’entretenir avec la direction des faits et circonstances constatés peut permettre à l’auditeur d’obtenir d’autres informations pertinentes à prendre aussi en considération, par exemple : (NCA 265.A2)
-
la compréhension que possède la direction des causes réelles ou suspectées des déficiences;
-
les écarts qui résultent de déficiences et que la direction a pu noter, par exemple des anomalies que les contrôles informatiques pertinents n’ont pas pu prévenir;
-
une indication préliminaire des mesures que la direction compte prendre en réponse aux constatations.
Directives du BVG
Il se peut que l’auditeur prenne connaissance de questions et de situations pendant le processus de délimitation de l’étendue de l’audit et d’acquisition de la compréhension de l’entité, ainsi que pendant les tests des contrôles et la corroboration d’autres éléments probants.
Conseil d’audit Pour chaque élément consigné dans le SANC et chaque proposition d’ajustement d’audit documenté par la direction, déterminer l’existence de toute déficience sous-jacente possible du contrôle interne. Utiliser cette information pour échanger des idées et des observations lors de discussions avec la direction et dans les rapports présentés aux responsables de la gouvernance. |
Directives des NCA
Les contrôles de la composante «activités de contrôle» reposent habituellement sur les mêmes concepts, quelle que soit la taille de l’entité, mais la mesure dans laquelle leur mode de fonctionnement est structuré n’est pas toujours le même. En outre, de petites entités peuvent juger que certains types de contrôles ne sont pas nécessaires en raison des contrôles exercés par la direction. Par exemple, la centralisation auprès de la direction du pouvoir d’autoriser l’octroi de crédit aux clients et d’approuver les achats importants peut tenir lieu de contrôle efficace sur certains des soldes de comptes principaux et certaines des opérations principales, réduisant ou éliminant ainsi la nécessité de contrôles plus détaillés. (NCA 265.A3)
De plus, les petites entités ont souvent un personnel réduit, ce qui limite les possibilités de séparation des tâches. Par ailleurs, dans une petite entité gérée par le propriétaire dirigeant, celui-ci peut être en mesure d’exercer une surveillance plus efficace que dans une plus grande entité. Il faut toutefois mettre en balance la surveillance plus grande exercée par la direction et la possibilité accrue de contournement des contrôles par cette dernière. (NCA 265.A4)
Exigences des NCA
Si l’auditeur a relevé une ou plusieurs déficiences du contrôle interne, il doit, en se fondant sur les travaux d’audit effectués, déterminer si, individuellement ou en association, elles constituent des déficiences importantes. (NCA 265.8)
Directives des NCA
L’importance d’une déficience ou d’une combinaison de déficiences du contrôle interne n’est pas liée uniquement au fait qu’une anomalie se soit produite ou non, mais dépend aussi de la probabilité qu’une anomalie se produise et de l’ampleur qu’elle pourrait prendre. Il peut donc exister des déficiences importantes même si l’auditeur n’a pas relevé d’anomalies au cours de l’audit. (NCA 265.A5)
Voici des exemples de points que l’auditeur peut prendre en considération pour déterminer si une déficience ou une combinaison de déficiences du contrôle interne constitue une déficience importante : (NCA 265.A6)
-
la probabilité que les déficiences aboutissent à des anomalies significatives dans les états financiers futurs;
-
la vulnérabilité à la perte ou à la fraude des actifs ou des passifs faisant l’objet du contrôle;
-
la subjectivité et la complexité inhérentes à certaines estimations comptables, telles que les estimations en juste valeur;
-
les montants des états financiers exposés à la ou aux déficiences.
-
le volume réel ou potentiel des mouvements concernant le solde de compte ou la catégorie d’opérations exposé à la ou aux déficiences;
-
l’importance des contrôles par rapport au processus d’information financière :
- contrôles généraux de suivi (tels ceux liés à la surveillance exercée sur la direction),
- contrôles de prévention et de détection des fraudes,
- contrôles portant sur le choix et l’application des principales méthodes comptables,
- contrôles portant sur les opérations importantes avec des parties liées,
- contrôles portant sur les opérations importantes qui sont réalisées hors du cadre normal des activités de l’entité,
- contrôles portant sur le processus d’information financière de fin de période (tels ceux portant sur les écritures non récurrentes);
-
la cause et la fréquence des écarts détectés qui résultent des déficiences des contrôles;
-
l’interaction de la déficience avec d’autres déficiences du contrôle interne.
Voici des exemples d’indices de déficiences importantes du contrôle interne : (NCA 265.A7)
-
des éléments qui indiquent que certains aspects de l’environnement de contrôle sont inefficaces, par exemple :
- que des opérations importantes auxquelles la direction est financièrement intéressée n’ont pas été examinées aussi soigneusement qu’elles le devraient par les responsables de la gouvernance,
- que le contrôle interne de l’entité n’a pas pu prévenir qu’une fraude, significative ou non, soit commise par la direction,
- que la direction n’a pas mis en œuvre les mesures correctives qui s’imposaient à l’égard de déficiences importantes communiquées antérieurement;
-
l’absence de processus d’évaluation des risques là où on s’attendrait normalement à ce qu’il y en ait un;
-
des éléments qui indiquent que le processus d’évaluation des risques par l’entité est inefficace, par exemple un risque d’anomalie significative qui n’a pas été identifié par la direction alors que l’auditeur se serait attendu à ce que le processus d’évaluation des risques permette d’identifier ce risque;
-
des éléments qui indiquent une réponse inadéquate à un risque important qui a été identifié (par exemple, l’absence de contrôles portant sur ce risque);
-
la détection, au moyen des procédures mises en œuvre par l’auditeur, d’anomalies que le contrôle interne de l’entité n’a pas permis de prévenir, ou de détecter et corriger;
-
le retraitement d’états financiers antérieurs pour refléter la correction d’une anomalie significative résultant d’une erreur ou d’une fraude;
-
des éléments qui indiquent l’incapacité de la direction d’exercer une surveillance sur la préparation des états financiers.
Un contrôle peut être conçu pour assurer soit individuellement, soit en association avec d’autres contrôles, la prévention, ou la détection et la correction, des anomalies. Par exemple, les contrôles sur les créances peuvent être constitués tant de contrôles automatisés que de contrôles manuels, tous ces contrôles étant conçus pour fonctionner en association afin de prévenir, ou de détecter et corriger, les anomalies dans le solde de compte en question. Une déficience du contrôle interne n’est pas nécessairement à elle seule suffisamment grave pour constituer une déficience importante. Cependant, une combinaison de déficiences touchant un même solde de compte, une même information à fournir, une même assertion ou une même composante du système de contrôle interne de l’entité peut accroître les risques d’anomalies au point de constituer une déficience importante. (NCA 265.A8)
Il se peut que, dans certains pays, les textes légaux ou réglementaires aient établi l’obligation pour l’auditeur (particulièrement dans le cas des audits d’entités cotées) de communiquer aux responsables de la gouvernance ou à d’autres parties intéressées (telles que des autorités de réglementation) les déficiences du contrôle interne d’un ou de plusieurs types particuliers, qu’il relève au cours de l’audit. Si les textes légaux ou réglementaires ont recours à des termes et à des définitions spécifiques pour ces types de déficiences, et exigent que l’auditeur emploie ces termes et ces définitions dans sa communication, ce sont eux que l’auditeur utilise pour communiquer conformément aux exigences légales ou réglementaires. (NCA 265.A9)
Dans les pays où des termes spécifiques ont été établis pour désigner les types de déficiences du contrôle interne à communiquer, mais où ces termes ne sont pas définis, il se peut que l’auditeur ait à recourir à son jugement pour déterminer quels sont les points à communiquer suivant les exigences légales ou réglementaires. Pour ce faire, l’auditeur peut juger bon de prendre en considération les exigences et les indications de la présente NCA. Par exemple, si les exigences légales ou réglementaires ont pour but d’attirer l’attention des responsables de la gouvernance sur des problèmes de contrôle interne dont ils devraient être informés, il convient peut-être de considérer que ces problèmes correspondent de manière générale aux déficiences importantes dont la présente NCA exige la communication aux responsables de la gouvernance. (NCA 265.A10)
Les exigences de la présente NCA continuent de s’appliquer même si les textes légaux ou réglementaires exigent de l’auditeur l’emploi de termes particuliers ou de définitions particulières. (NCA 265.A11)
Directives du BVG
L’auditeur peut communiquer ses constatations de différentes façons. Habituellement, il le fait par écrit dans le Rapport au Comité de vérification – Résultats de l’audit annuel et dans la lettre de recommandations, mais il peut aussi le faire de vive voix, selon l’importance de la constatation et les exigences des NCA.
Catégories de constatations
Afin de fournir un cadre permettant de classer les constatations d’un audit d’états financiers en fonction du risque qu’elles représentent pour l’audit et pour l’entité, et dans le but d’uniformiser les rapports présentés à la direction et aux responsables de la gouvernance, les constatations d’audit sont classées selon les trois catégories suivantes :
Catégorie A
1) les questions qui doivent obligatoirement être communiquées en vertu des NCA ou des politiques du Bureau, quelle que soit leur importance;
2) les questions qui sont urgentes, car elles représentent un risque d’entreprise ou un risque financier important pour l’audit ou l’entité auditée, y compris les risques liés à l’information financière et les risques importants de non-conformité aux lois applicables. L’évaluation doit tenir compte de la probabilité que le risque se matérialise et de ses conséquences, le cas échéant.
Catégorie B
Les questions qui représentent un risque d’entreprise ou un risque financier modéré pour l’audit ou l’entité auditée, y compris les risques liés à l’information financière, ou les questions qui ont été portées à l’attention de la direction dans le passé, mais qui n’ont pas été réglées de manière satisfaisante. Ces constatations comprennent les questions qui pourraient avoir des conséquences importantes, mais qui risquent peu de se matérialiser.
Catégorie C
Les questions de procédure ou les lacunes administratives mineures. Ces constatations comprennent les problèmes de comptabilité mineurs ou les défaillances relativement isolées des contrôles qui doivent être portés à l’attention de la direction, ainsi que les questions de non-conformité aux lois, si elles ne sont pas significatives.
Rapport à la direction
Toutes les constatations des catégories A et B doivent être signalées à la direction, au niveau hiérarchique approprié, de vive voix d’abord puis par écrit, conformément aux exigences des NCA, s’il y a lieu. L’auditeur le fait habituellement par écrit dans une lettre de recommandations, ou d’une manière qu’il estime plus appropriée. Il doit faire preuve de jugement si la question est délicate et ne peut pas ou ne doit pas être communiquée par écrit.
Les constatations de la catégorie C doivent être communiquées à la direction, verbalement ou par écrit, dans une lettre de recommandations.
La détermination du niveau hiérarchique approprié de la direction avec lequel il est approprié de s’entretenir des constatations dépend de la structure de la direction de l’entité et repose sur le jugement professionnel. Il est normalement préférable de communiquer les constatations des catégories A et B aux échelons les plus élevés de la hiérarchie (premier dirigeant ou directeur financier). Les constatations de la catégorie C seront quant à elles communiquées aux personnes responsables du secteur fonctionnel concerné (habituellement, le directeur financier ou un membre de la direction qui relève du directeur financier, y compris les personnes responsables des différentes fonctions de l’entité et des systèmes informatiques).
Rapport aux responsables de la gouvernance
Les constatations des catégories A et B doivent à tout le moins être signalées par écrit aux responsables de la gouvernance, conformément aux exigences des NCA, dans un rapport au comité d’audit ou par un moyen plus approprié, par exemple un entretien téléphonique privé avec le président du comité d’audit s’il s’agit d’une question de fraude. L’auditeur doit faire preuve de jugement si la question est délicate et ne peut pas ou ne devrait pas être communiquée par écrit.
Les modèles fournis pour l’audit d’états financiers respectent toutes les exigences des NCA en matière de communication et doivent servir dans les communications avec les responsables de la gouvernance, à moins qu’il n’en ait été décidé autrement.
Le fait de communiquer les problèmes et les risques potentiels dès que possible à la direction et aux responsables de la gouvernance permet d’éviter les surprises et d’intervenir en temps opportun.
Forme et calendrier
Les constatations de l’audit doivent idéalement être communiquées avant la fin de l’exercice, mais cela variera en fonction des pratiques au sein de l’entité. L’auditeur devrait communiquer en temps opportun les questions soulevées au cours de l’audit des états financiers. Pour déterminer à quoi correspond le « temps opportun », l’auditeur se fonde sur le caractère significatif de l’élément constaté et sur son évaluation de l’urgence de la situation.
L’auditeur peut communiquer verbalement et dès que possible aux responsables de la gouvernance les déficiences importantes du contrôle interne qu’il a relevées, avant de les communiquer par écrit comme l’exige la NCA 265. Sauf en cas de circonstances inhabituelles, les communications écrites avec la direction et les responsables de la gouvernance doivent avoir lieu dans un délai d’au plus 60 jours à compter de la date du rapport.