2383 Exécution des travaux sur place

juin-2018

Directives du BVG

Les travaux d’audit liés aux tests des contrôles, aux procédures analytiques de corroboration et aux tests de détails (de corroboration) doivent être exécutés conformément au Manuel d’audit annuel du BVG.

Pour réaliser un audit dans un environnement de services partagés, il importe de bien définir la « population » à vérifier et la sélection des éléments de l’échantillon à tester. À l’égard de ces questions, il y a une nette distinction à faire entre les tests visant les contrôles et les tests de détails exécutés par l’auditeur du CSP. Les équipes doivent suivre les instructions du Manuel d’audit annuel du BVG en tenant compte également des éléments suivants.

Tests visant les contrôles

Comme il est indiqué dans l’exemple figurant à la section BVG Audit 6053, pour décider du nombre d’éléments à tester, il faut déterminer si la population à tester est suffisamment homogène pour être considérée comme telle et, par conséquent, pour que les résultats des tests soient extrapolables.

Lorsqu’un CSP assure le traitement des opérations pour divers emplacements géographiques ou diverses entités en suivant plus ou moins les mêmes procédures à l’aide d’une application comptable informatisée commune, il est souvent approprié de définir la population à tester comme étant l’ensemble des opérations pour les entités ou les emplacements géographiques qui sont traités au CSP.

Par contre, lorsque le CSP suit différentes procédures ou traite différentes opérations à l’aide de différents systèmes, il serait généralement inapproprié de combiner les populations d’opérations pour le choix des éléments de l’échantillon à tester.

Il n’est pas nécessaire d’inclure des opérations particulières qui se rapportent à des entités données lors des tests des contrôles, puisque cela créerait un écart par rapport à ce qui constitue une population homogène. Par ailleurs, le nombre d’entités sur lesquelles le contrôle a une incidence n’a aucune importance. L’homogénéité est plutôt une fonction qui se rattache aux modalités de mise en œuvre d’un processus (c’est-à-dire, le respect des mêmes instructions, dans le même environnement TI, etc.).

Le fait que différents examinateurs exécutent la même occurrence de certains contrôles ne vient pas nécessairement infirmer l’existence d’une population homogène, sauf si les connaissances acquises lors du processus d’acquisition d’une compréhension et d’évaluation des contrôles semblent indiquer que certains examinateurs des contrôles en question appliquent un processus différent. S’il y a une fonction centralisée de surveillance ou d’examen, il pourrait être possible de traiter les contrôles exécutés par des personnes différentes comme une même population. Toutefois, dans ce cas, en plus de tester le contrôle lui-même, l’auditeur doit tester séparément les processus d’examen de supervision et d’approbation en vue d’étayer sa conclusion, à savoir que les contrôles peuvent être traités comme une population homogène unique. L’étendue de ce test dépend principalement de la fréquence du contrôle de supervision.

Tests de corroboration

L’équipe affectée à l’audit du CSP peut effectuer des tests de corroboration pour fournir les éléments probants à l’équipe affectée à l’audit du groupe ou aux équipes affectées à l’audit des composantes. Toutefois, pour les tests de détails, l’équipe affectée à l’audit du CSP devra généralement définir des populations distinctes d’opérations et de soldes associés à chaque composante, et tester un échantillon complet tiré de chaque population pour répondre aux besoins de chaque équipe de mission. C’est notamment le cas lorsque le déclenchement des opérations est effectué à l’emplacement de l’entité où se trouvent aussi les contrôles et les documents sources respectifs, ce qui exige la définition de populations distinctes pour les tests de corroboration. C’est aussi le cas lorsque les équipes affectées à l’audit d’une composante ont besoin d’éléments probants fondés sur l’importance relative de la composante et sur le risque pour l’audit des informations financières à chaque emplacement important, ou en particulier lorsqu’il faut effectuer un audit légal visant certaines composantes ou l’ensemble de celles-ci. Par exemple, si un CSP gère les comptes clients d’un certain nombre de composantes, il sera peut-être plus efficient que les demandes de confirmation soient effectuées par l’équipe affectée à l’audit du CSP. Toutefois, ces tests devraient être conçus en tenant compte des besoins de l’équipe affectée à l’audit du groupe et de chacune des équipes affectées à l’audit d’une composante. Dans chaque cas, le test doit fournir à l’équipe affectée à l’audit d’une composante les éléments probants appropriés et suffisants correspondant aux risques d’anomalies significatives définis pour sa composante ou lui permettre de déterminer s’il existe des populations homogènes au regard du déclenchement des opérations à l’emplacement de l’entité et de l’endroit où se trouvent les documents sources.

Si les composantes pour lesquelles une opinion est exprimée dans le cadre d’un audit légal distinct utilisent un CSP, les tests de corroboration effectués au CSP qui seront utilisés comme éléments probants dans les audits légaux doivent être conçus de façon à répondre aux besoins de ce type d’audit. À cette fin, les tests doivent être conçus :

• de manière à constituer une réponse appropriée à la nature et à l’ampleur des risques d’anomalies significatives tels qu’ils ont été définis et évalués du point de vue de la composante, et à la possibilité que ces risques se concrétisent;

• en tenant compte des seuils de signification des travaux d’audit des états financiers assujettis à un audit légal.

Dans le cadre des audits légaux, il sera généralement nécessaire de séparer les opérations et les soldes par composante en vue de la sélection des éléments des échantillons.

Toutefois, lorsque le CSP traite des données pour des composantes non assujetties à un audit légal, il peut être approprié et efficace de combiner les populations et d’effectuer un test de corroboration sur un seul échantillon afin de tirer des conclusions pour un ensemble d’opérations ou des soldes de comptes traités au CSP pour divers emplacements. Par exemple, il est possible de constituer un échantillon d’audit pour lequel il est approprié d’extrapoler les résultats pour une population complète ou d’utiliser un test d’acceptation-rejet pour accepter ou rejeter certaines caractéristiques de la population complète. Cette façon de faire peut se révéler efficace par exemple pour le décompte de l’inventaire lorsque le CSP gère les stocks d’un certain nombre de composantes. Toutefois, le test doit alors être conçu pour fournir des éléments probants appropriés aux circonstances dans lesquelles il sera utilisé, en fonction du seuil de signification, le cas échéant. Ainsi, lorsqu’il est prévu que les résultats des tests serviront dans le cadre de l’audit légal d’une composante, le seuil de signification doit être établi à un niveau qui est pertinent pour la composante. Lorsque les résultats des tests serviront uniquement pour l’audit du groupe, l’équipe affectée à cet audit détermine un seuil de signification approprié pour les tests visant la population dans son ensemble. Des considérations similaires s’appliquent aux tests ciblés.

Documentation et accessibilité des feuilles de travail

Vu le nombre d’utilisateurs finaux, la qualité de la documentation des travaux réalisés par l’équipe affectée à l’audit du CSP est particulièrement importante. Pour documenter et utiliser des travaux réalisés de manière centralisée, il vaut mieux adopter une approche fortement axée sur les faits. Cette approche fera appel au jugement de l’équipe de mission. L’auditeur doit tenir compte des circonstances propres à la mission pour déterminer la meilleure approche, notamment l’accès approprié aux documents de travail connexes, les exigences relatives à la confidentialité et à l’archivage sécurisé de la documentation des missions qui sont pertinentes, etc.

Au moment de déterminer son approche pour documenter les travaux d’audit d’un CSP, l’auditeur doit tenir compte de toutes les exigences en vigueur, notamment les règlements locaux relatifs à la conservation, à la confidentialité et à l’archivage sécurisé de la documentation de l’audit qui pourraient s’appliquer aux audits légaux des composantes. Plus particulièrement, il doit tenir compte des problèmes de confidentialité qui pourraient surgir si la base de données de l’audit du CSP reflète des travaux liés à diverses composantes du groupe.

Il peut être obligatoire, aux termes de règlements locaux, de recueillir des documents ou des communications supplémentaires auprès des équipes affectées à l’audit du groupe, à l’audit du CSP ou à l’audit des composantes, par exemple des renonciations à la confidentialité, des confirmations que l’équipe affectée à l’audit du groupe prend l’entière responsabilité de la direction et de la supervision des travaux d’audit du CSP. De tels documents et communications sont fournis conformément aux exigences applicables, s’il y a lieu. Les équipes affectées à l'audit du groupe, à l’audit des composantes ou à l’audit du CSP doivent examiner ces exigences lors de la planification de l’audit afin de faciliter la communication et la documentation de l’information en temps opportun. L’auditeur doit envisager de consulter les Services d’audit lorsque des documents ou des communications supplémentaires sont demandés.

Comme l’explique la section BVG Audit 2384, l’auditeur s’attend généralement à ce que le rapport de l’équipe affectée à l’audit du CSP soit suffisamment détaillé pour qu’il comprenne la nature, le calendrier et l’étendue des travaux effectués. Cela contribuera à éviter la production de documents de travail en double par les auditeurs du groupe et des composantes. De plus, ceux-ci n’auront pas besoin non plus de consulter les documents de travail détaillés de l’équipe affectée à l’audit du CSP. Si les travaux d’audit du CSP sont réalisés correctement et si l’auditeur affecté à cet audit produit un rapport clair et détaillé, il ne sera généralement pas nécessaire d’avoir accès aux documents de travail de l’audit du CSP.