2384 Rapport sur les travaux effectués dans un CSP

juin-2018

Directives du BVG

Introduction

Le type de rapport interne qui doit être délivré dépend des travaux réalisés dans le centre de services partagés (CSP) et d’autres circonstances propres à la mission. Les résultats de l’audit du CSP sont généralement communiqués aux équipes affectées à l’audit du groupe, à l’audit des composantes et aux audits légaux sous la forme d’un rapport sur l’application de procédures déterminées (pour les tests de détail ou les tests des contrôles). Cependant, si certaines conditions préalables sont réunies, ils peuvent être présentés dans un rapport d’assurance raisonnable fondé sur la NCMC 3000 (seulement pour les tests des contrôles). L’équipe affectée à l’audit du groupe qui se sert des travaux d’un CSP détermine, en collaboration avec les équipes affectées à l’audit des composantes et aux audits légaux, le type de rapport le plus approprié pour les travaux d’audit effectués dans un CSP. L’équipe affectée à l’audit du groupe pourrait préférer un rapport sur l’application de procédures déterminées pour les travaux réalisés à l’égard des contrôles puisque l’évaluation menée par l’équipe affectée à l’audit du groupe en ce qui concerne la conception, la mise en place et l’efficacité du fonctionnement des contrôles internes sur l’information financière vise l’ensemble du groupe et non uniquement le CSP. Par conséquent, l’évaluation de l’efficacité des contrôles au niveau du CSP peut ne pas être utile pour l’audit du groupe. Il peut en être de même pour les équipes affectées à l’audit des composantes et aux audits légaux. Se reporter aux directives ci‑après pour voir les considérations détaillées associées à chaque type de rapport et les circonstances dans lesquelles les différents rapports seraient appropriés.

Le tableau suivant résume les principaux éléments et les rôles et responsabilités associés aux deux types de rapport susmentionnés :

	Rapport sur l’application de procédures déterminées	Rapport d’assurance raisonnable *
Normes pertinentes	NCA 600, NCA 220	NCA 600, NCA 220, NCMC 3000
Responsabilité de préparer une grille logique des risques et des contrôles, y compris une description des contrôles et de leurs objectifs (pour les travaux relatifs aux contrôles)	Équipe affectée à l’audit du groupe (en collaboration avec les équipes affectées à l’audit des composantes et à l’audit du CSP)	Direction du CSP
Responsabilité de préparer une déclaration sur la conception, la mise en place et l’efficacité du fonctionnement des contrôles (pour les contrôles du CSP)	s.o.	Direction du CSP
Responsabilité de déterminer si les conditions préalables à la réalisation d’une mission d’assurance sont réunies	s.o.	Équipe affectée à l’audit du CSP (en collaboration avec l’équipe affectée à l’audit du groupe)
Responsabilité de recenser les objectifs des contrôles à tester	s.o.	Équipe affectée à l’audit du groupe (en collaboration avec les équipes affectées à l’audit des composantes et à l’audit du CSP)
Responsabilité de déterminer la nature, le calendrier et l’étendue des travaux à effectuer	Équipe affectée à l’audit du groupe (en collaboration avec les équipes affectées à l’audit des composantes et à l’audit du CSP)	Équipe affectée à l’audit du CSP (en collaboration avec les équipes affectées à l’audit du groupe et à l’audit des composantes)
Responsabilité de réaliser les travaux	Équipe affectée à l’audit du CSP	Équipe affectée à l’audit du CSP
Responsabilité de diriger et de superviser les travaux	Équipe affectée à l’audit du groupe (en collaboration avec les équipes affectées à l’audit des composantes)	Équipe affectée à l’audit du groupe (en collaboration avec les équipes affectées à l’audit des composantes)
Le rapport comprend une description détaillée des contrôles et de leurs objectifs (s’il y a lieu)	Oui	Oui
Le rapport comprend une description détaillée des procédures mises en œuvre et des résultats des tests	Oui	Oui
Destinataire du rapport	Équipe affectée à l’audit du groupe	Équipe affectée à l’audit du groupe **

* Cette option s’applique uniquement dans le cas de la réalisation de tests des contrôles.

** L’auditeur du groupe sera généralement le destinataire de ce rapport. Par contre, si ce rapport est utilisé aux fins de l’audit des composantes ou de l’audit légal ou s’il constitue un rapport autonome distinct au niveau d’une composante, il faudrait envisager de modifier le destinataire du rapport.

Il faut savoir que pour les deux options de rapport susmentionnées, il incombe aux équipes affectées à l’audit du groupe et à l’audit des composantes d’évaluer le caractère suffisant des travaux d’audit effectués dans le CSP en vue d’établir le rapport d’audit sur le groupe, s’il y a lieu, conformément aux exigences et aux directives de la NCA 600 (en tenant compte du seuil de signification, des assertions visées et d’autres facteurs pertinents). Les équipes affectées à l’audit des composantes et aux audits légaux doivent déterminer si la population utilisée par l’équipe affectée à l’audit du CSP pour tester les contrôles et l’étendue des tests réalisés sont suffisantes en vue d’établir les rapports d’audit des composantes et les rapports exigés par la loi. Il est important que les équipes affectées à l’audit du groupe, à l’audit des composantes et à l’audit du CSP communiquent entre elles à l’étape de la planification afin de convenir des procédures à mettre en œuvre au CSP pour déterminer si les procédures prévues seront suffisantes et appropriées en vue d’établir le rapport d’audit du groupe, les rapports d’audit des composantes et les rapports exigés par la loi.

Le Bureau ne s’attend généralement pas à ce que d’autres types de rapport soient utilisés pour communiquer les travaux d’audit effectués dans un CSP. En cas de doute sur le rapport qui est le plus approprié, les auditeurs doivent consulter les Services d’audit.

Procédures déterminées

Le modèle pertinent de rapport sur l’application de procédures déterminées est appelé le « Protocole d’entente relatif aux procédures déterminées pour un audit d’un centre de services partagés ». Voir le modèle présenté à titre d’exemple sur INTRAnet. Le rapport documentera les procédures mises en œuvre (ou renverra aux instructions de l’auditeur du groupe qui décrivent les procédures), les résultats découlant de l’application de ces procédures et les restrictions relatives à l’utilisation du rapport. Le « Protocole d’entente relatif aux procédures déterminées pour un audit d’un centre de services partagés » affiché sur l’INTRAnet peut être utilisé pour résumer les travaux effectués et étayer le rapport sur l’application de procédures déterminées.

Que ce soit par renvoi aux procédures déterminées qui sont décrites dans les instructions sur l’audit (ou dans une communication distincte émise par l’équipe du CSP) ou par l’énumération directe des procédures mises en œuvre, le rapport doit fournir une information suffisante pour permettre à toutes les équipes de bien comprendre l’étendue et les résultats des travaux effectués dans un CSP, lors des tests des contrôles ou des procédures de corroboration, et de tirer une conclusion sur la conception, la mise en place et l’efficacité du fonctionnement des contrôles testés, le cas échéant. Le rapport devrait rendre compte de ce qui suit :

1. les objectifs des contrôles particuliers qui ont été pris en compte lors de l’évaluation et des tests des contrôles, y compris la nature, le calendrier et l’étendue des travaux visant les contrôles. Si le lien entre les assertions des états financiers et les objectifs de contrôle escomptés est décrit dans les documents sur la planification et la délimitation de l’étendue de l’audit, il est possible d’utiliser le modèle fourni sur INTRAnet;

2. les tests de détail (de corroboration) effectués, y compris la nature, le calendrier et l’étendue des tests;

3. le niveau de confiance accordé aux travaux d’audit interne et aux procédures exécutées pour justifier ce niveau;

4. les divergences, en indiquant le test effectué et l’information détaillée sur la divergence, y compris la population testée et la méthode d’échantillonnage.

Il incombe à l’équipe affectée à l’audit du CSP de vérifier si l’information à inclure dans le rapport se trouve facilement dans les feuilles de travail de l’audit. Le rapport fournira une information détaillée suffisante pour que l’utilisateur du rapport puisse comprendre la nature, le calendrier, l’étendue, les résultats des travaux réalisés. Le fait de fournir une information détaillée dans un rapport qui peut être joint aux dossiers de travail transmis au bureau de destination évitera à l’auditeur du groupe, d’une composante ou d’une entité créée par une loi de produire en double la documentation préparée par l’équipe affectée à l’audit du CSP. Les gains en efficience obtenus en partageant les éléments probants entre les diverses composantes auxquelles le CSP fournit des services devraient plus que compenser les heures additionnelles qu’a demandées la préparation du rapport. Cela permettrait également d’éviter le risque que diverses composantes créent une documentation incohérente et que les documents de travail détaillés établis par l’équipe affectée à l’audit du CSP soient communiqués.

Lorsque l’auditeur présente un rapport à un auditeur ou à un cabinet externe, ou lorsqu’il reçoit un rapport de ceux‑ci, il doit penser au fait que les instructions et les informations seront généralement différentes pour les rapports intragroupe. L’auditeur peut par exemple déterminer qu’il est approprié d’utiliser le modèle sur l’INTRAnet. (Dans un tel cas, les instructions et les modèles de rapport doivent être préparés dans un format approprié aux circonstances.) Lorsque le BVG n’est pas l’auditeur légal et qu’un auditeur ou un cabinet d’audit externe prévoit s’appuyer sur les travaux de l’équipe affectée à l’audit du CSP, il faudra réaliser un audit des procédures convenues conformément à la NCSC 4400.

Rapport d’assurance raisonnable selon la NCMC 3000

Pour les travaux relatifs aux contrôles, l’équipe affectée à l’audit du CSP peut envisager de délivrer un rapport d’assurance raisonnable interne qui présente ses conclusions à l’égard de la conception, de la mise en place et de l’efficacité du fonctionnement des contrôles au CSP. Voici des exemples de circonstances dans lesquelles un rapport d’assurance raisonnable selon la NCMC peut être plus efficient :

• les travaux d’audit réalisés par l’équipe affectée à l’audit du CSP serviront surtout à un grand nombre d’audits légaux, plutôt qu’à l’audit des états financiers du groupe;

• un grand nombre de contrôles internes fonctionnent de manière centralisée au CSP et un grand nombre d’équipes affectées à l’audit de composantes ou à des audits légaux utiliseront les travaux réalisés par l’équipe affectée à l’audit du CSP pour obtenir des éléments probants sur la conception, la mise en place et l’efficacité du fonctionnement des contrôles.

Il convient d’avoir recours à un rapport d’assurance raisonnable établi selon la NCMC 3000 uniquement si les conditions préalables à la réalisation d’une mission de certification prévues au paragraphe 24 de la NCMC 3000 sont réunies. Si l’auditeur prévoit utiliser un rapport d’assurance raisonnable établi selon la NCMC 3000, la direction du CSP devra assumer la responsabilité de préparer la grille logique des risques et des contrôles, ce qui comprend les objectifs du contrôle. Elle devra aussi formuler une déclaration concernant la conception, la mise en place et l’efficacité du fonctionnement des contrôles. Le tout devra être présenté clairement dans le rapport. Si la direction du CSP n’est pas en mesure de rédiger de déclaration explicite sur l’efficacité des contrôles internes, cela pourrait empêcher le recours à un rapport d’assurance raisonnable. Il incombe à l’équipe affectée à l’audit du CSP de déterminer si elle dispose d’un fondement suffisant pour établir un rapport d’assurance raisonnable selon la NCMC 3000.

Pour que les équipes affectées à l’audit du groupe et à l’audit des composantes puissent se servir des travaux d’audit du CSP, le rapport doit être suffisamment détaillé pour leur permettre de comprendre l’étendue et les résultats des travaux d’audit effectués et les restrictions touchant l’utilisation du rapport. Le rapport doit comprendre ce qui suit :

1. la grille logique des contrôles, décrivant les objectifs de contrôle précis qui ont constitué le fondement de l’évaluation réalisée par l’équipe affectée à l’audit du CSP et des tests de conception, de la mise en place et de l’efficacité du fonctionnement des contrôles internes;

2. la nature, le calendrier et l’étendue des travaux sur les contrôles et les résultats détaillés des travaux réalisés;

3. une présentation claire des écarts qui décrit les tests réalisés et les écarts en détail, y compris la population soumise aux tests et la méthode d’échantillonnage.

Comme il a été expliqué ci-dessus, il incombe aux équipes affectées à l’audit du groupe et à l’audit des composantes d’évaluer le caractère suffisant des travaux d’audit effectués dans un CSP aux fins de la production de rapports, s’il y a lieu, conformément aux exigences et aux directives de la NCA 600 (en tenant compte du seuil de signification, des assertions visées et d’autres facteurs pertinents). Les équipes affectées à un audit légal d’une composante doivent évaluer si la population utilisée par l’équipe affectée à l’audit du CSP pour tester les contrôles et si l’étendue de ces tests sont suffisantes pour produire les rapports exigés par la loi. En outre, comme il a été expliqué précédemment, l’évaluation de la conception, de la mise en place et de l’efficacité du fonctionnement des contrôles internes doit être prise en compte au niveau des états financiers dans leur ensemble. Par conséquent, la conclusion des équipes affectées à l’audit du groupe, à l’audit des composantes ou aux audits légaux concernant la conception, la mise en place et l’efficacité du fonctionnement des contrôles internes dans leur ensemble ne reposera généralement pas uniquement sur le rapport de l’équipe affectée à l’audit du CSP.

Le recours à un rapport d’assurance raisonnable interne ne convient pas lorsque l’auditeur présente un rapport à un auditeur ou à un cabinet externe ou qu’il reçoit un rapport de ceux-ci. S’il doit présenter un rapport à un auditeur ou à un cabinet externe concernant des travaux réalisés sur les contrôles, l’auditeur peut se servir d’un rapport sur l’application de procédures déterminées, d’un rapport sur les procédures convenues établi selon la NCSC 4400, ou s’il y a lieu, d’un rapport d’assurance sur les contrôles d’une société de services établi selon la NCMC 3416.