2386 Indépendance, normes d’audit généralement reconnues (NAGR) applicables, et accès

juin-2018

Directives du BVG

Certaines questions ne sont pas liées de manière directe à la méthode de planification et d’exécution d’un audit, mais elles sont propres à l’environnement d’un centre de services partagés (CSP). Il faut donc en tenir compte :

Suivi de la charge de travail — L’équipe affectée à l’audit du groupe doit surveiller les demandes de travaux soumises à l’équipe affectée au CSP par les équipes affectées aux composantes pour déterminer si ces demandes n’entraînent pas une augmentation inutile de la charge de travail totale. Il faut encourager les communications régulières entre toutes les équipes en ce qui concerne l’état d’avancement des travaux par rapport aux heures budgétisées, afin d’éviter les « surprises » à la fin des travaux.

Indépendance et compétence — Pour certaines composantes, les NAGR et des dispositions réglementaires peuvent exiger que l’équipe affectée à l’audit du CSP fournisse aux équipes affectées à l’audit du groupe, à l’audit des composantes ou aux audits légaux des confirmations en ce qui concerne son indépendance et sa compétence (se reporter à la section BVG Audit 2328). Pour accélérer ce processus, l’équipe affectée à l’audit du CSP demandera, durant la phase de planification, quels sont les éléments à confirmer.

Le CSP coordonnera la préparation de la liste complète des confirmations à obtenir et assignera à un adjoint administratif la responsabilité d’effectuer de manière adéquate la collecte, le suivi et la diffusion des renseignements demandés au sujet des membres de l’équipe affectée à l’audit du CSP. Tout problème éventuel de non-conformité doit être communiqué immédiatement à l’équipe visée et faire l’objet d’une discussion.

L’équipe affectée à l’audit du groupe doit désigner toutes les équipes affectées à l’audit d’un CSP qui participeront à l’audit du groupe, y compris celles qui ne relèvent pas directement d’elle. Elle doit également déterminer si les équipes affectées à l’audit d’un CSP se conforment aux exigences de l’audit de groupe en matière d’indépendance.

Exigences des NAGR applicables — Il est recommandé qu’une entente soit conclue et explicitement documentée durant la phase de planification, concernant les normes d’audit applicables que l’équipe affectée à l’audit d’un CSP devra appliquer durant l’exécution des travaux. Dans la plupart des cas, les travaux seront menés conformément aux Normes canadiennes d’audit (NCA) ou aux NAGR applicables, mais s’il existe des exigences supplémentaires d’ordre professionnelles ou légales, elles devront être indiquées à la phase de planification.

Utilisation d’une lettre de mission et des lettres d’affirmation de la direction — Une lettre de mission signée par l’équipe affectée à l’audit du groupe peut suffire pour l’affectation d’une équipe à l’audit d’un CSP, si la direction du CSP n’est pas responsable de l’information financière.

De la même manière que la procédure relative à la lettre de mission ne devrait pas être modifiée pour l’audit d’un CSP, il n’est généralement pas nécessaire de modifier l’approche quant aux lettres d’affirmation de la direction, à moins que l’équipe de mission juge nécessaire d’obtenir une lettre d’affirmation distincte de la direction du CSP. Il faut savoir que si l’équipe affectée à l’audit du CSP utilise un rapport d’assurance raisonnable interne établi selon la NCMC 3000 pour présenter les résultats de ses tests des contrôles, la direction du CSP devra assumer la responsabilité de la préparation de la grille logique des risques et des contrôles, qui décrit notamment les objectifs des contrôles. Dans ces cas de figure, il faudrait généralement obtenir une déclaration particulière de la direction du CSP sur sa responsabilité à l’égard de la conception et de la mise en place des contrôles internes pertinents et l’efficacité de leur fonctionnement.

Accès aux dossiers de travail — Un auditeur qui reçoit un rapport doit déterminer s’il peut avoir accès aux dossiers de travail de l’équipe responsable de ce rapport, s’il estime que c’est nécessaire (p. ex. dans le cadre d’un audit de groupe, de l’audit d’une composante ou d’un audit légal, ou lorsque les équipes d’audit reçoivent un mémoire sur l’examen de l’équipe affectée au CSP). Dans l’hypothèse où les travaux sur le CSP sont effectués de manière appropriée et que le rapport est suffisamment détaillé et clair, les demandes d’accès aux dossiers de travail seront rarement nécessaires.

Bonnes pratiques

De nombreuses équipes possèdent déjà plusieurs années d’expérience dans l’audit d’un CSP et ont réglé les nombreux problèmes typiques de ce genre de mission. Voici une liste de bonnes pratiques à retenir pour l’exécution de travaux dans un environnement de CSP. Ces questions doivent être abordées durant la planification de l’audit du CSP.

• Planification et délimitation de l’étendue — Pour réussir l’échange des éléments probants dans un environnement de services partagés, toutes les parties doivent participer au processus de délimitation de l’étendue des travaux d’audit. De plus, ce qui découle de ce processus doit être suffisamment détaillé pour faciliter l’exécution des travaux sur place. Comme pour tout travail d’audit, la planification détaillée permettra d’éviter les malentendus de même que les pratiques non efficientes, et d’obtenir des éléments probants suffisants. Le temps consacré dans une année à délimiter en détail l’étendue des travaux sur les contrôles et les tests de détails pourra largement être mis à profit au cours des années suivantes.

Une attention spéciale doit être apportée aux difficultés entourant la conception et la documentation de la stratégie d’audit pour une première mission d’audit chez un client ou un CSP. Une plus grande intervention de l’équipe affectée à l’audit du groupe peut s’avérer nécessaire durant la phase de planification.

• Communications au sein de l’équipe de mission — Les entretiens, la correspondance et les documents préliminaires doivent définir clairement les responsabilités et les exigences pour toutes les parties. Durant la phase de mise en place de l’audit du CSP, les équipes pourraient organiser des ateliers de travail avec les représentants des équipes affectées à l’audit du groupe, à l’audit des composantes et à l’audit du CSP, pour suivre les progrès et mettre efficacement à profit les résultats des travaux exécutés centralement dans le CSP.

• Préparation du client — Il est tout aussi important de préparer et d’informer le client que les autres équipes du BVG. Au moment où les clients s’orientent vers une structure centralisée de traitement et de comptabilité, il faut que les équipes de mission établissent le dialogue en temps opportun, afin de bien comprendre le calendrier de migration des opérations vers le CSP. Cela permettra aux équipes de mission de planifier efficacement leur propre méthode de travail et d’atténuer les risques de malentendus avec le client plus tard au cours de l’audit.

• Qualité de la documentation — Étant donné le nombre d’utilisateurs finals, la qualité de la documentation des travaux fournis par l’équipe affectée à l’audit du CSP est importante. Envisager de faire participer en temps réel les équipes affectées à l’audit du groupe, des composantes et du CSP (possiblement par téléconférence, pour examiner les résultats des tests) afin d’évaluer l’avancement des travaux.

• Coordination entre les spécialistes en audit informatique et l’équipe affectée à l’audit d’attestation — Il s’agit d’un autre élément important non seulement dans un environnement de services partagés, mais pour tous les travaux d’audit. Toutefois, pour déterminer la stratégie d’audit dans un environnement de services partagés, il importe de connaître les plans du client relativement à la migration des systèmes informatiques existants ou à la mise en œuvre de nouveaux systèmes, et de déterminer l’effet de ces plans sur la stratégie d’audit.

• Évaluation des constatations — Les résultats des tests peuvent avoir une incidence différente pour une équipe affectée à l’audit du groupe et une équipe affectée à une composante, selon le seuil de signification de leurs audits respectifs. Il est recommandé que l’équipe affectée à l’audit du CSP fournisse suffisamment de détails sur ses constatations (p. ex. l’importance des erreurs, l’existence et le degré de précision de tout contrôle compensatoire et les résultats des tests sur ce contrôle) et les facteurs d’atténuation pour que toutes les équipes puissent bien interpréter et évaluer les résultats en fonction de leurs propres besoins.

• Compréhension des arrangements budgétaires — Les arrangements budgétaires doivent être clairement communiqués et acceptés durant la phase de planification initiale de la mission. Ces arrangements peuvent également faire l’objet d’une discussion plus tôt, afin de s’assurer que toutes les parties ont une bonne compréhension des travaux à exécuter, des éléments probants escomptés tant pour les audits consolidés que pour les audits légaux, et de la corrélation entre les efforts et les coûts engagés.

• Procédures analytiques — Lorsque les équipes affectées à l’audit du groupe, à l’audit des composantes, aux audits légaux ou à l’audit d’un CSP mettent en œuvre des procédures analytiques portant sur de l’information traitée dans un CSP, il est utile d’établir quelles sont les personnes-ressources, et d’en préparer une liste centrale qui sera distribuée aux équipes de mission. De plus, il est possible que l’équipe affectée à l’audit du CSP doive exécuter des procédures analytiques, selon que la direction du CSP est responsable ou non des assertions contenues dans les états financiers. Lorsqu’elle évalue le caractère raisonnable des procédures analytiques de corroboration mises en œuvre sur les informations financières du client, l’équipe affectée à l’audit du CSP doit exercer son jugement en se fondant sur ses connaissances du secteur et de l’environnement économique du client et en corroborant l’information provenant d’autres processus ou du personnel, etc. Or, si elle ne fait pas connaître le fondement de son jugement et des conclusions qu’elle a tirées sur le caractère raisonnable des mouvements des comptes et des soldes, il est difficile pour les équipes affectées à l’audit du groupe, à l’audit des composantes et aux audits légaux d’évaluer les résultats des tests réalisés dans le CSP. C’est donc dire que le fondement de la conclusion tirée par l’équipe affectée à l’audit du CSP sur le caractère raisonnable des mouvements doit, dans la mesure du possible, être documenté dans les feuilles de travail de cette équipe et communiqué aux équipes concernées aussi. La décision de confier la mise en œuvre des procédures analytique de corroboration à l’équipe affectée à l’audit du CSP ou à l’équipe affectée à l’audit du groupe ou d’une composante sera généralement déterminée par la structure organisationnelle du client. Plus particulièrement, les procédures seraient généralement mises en œuvre à l’endroit où l’analyste opérationnel (ou une autre personne) responsable des rapports et de l’analyse des résultats travaille. Cela peut être au CSP ou à l’administration centrale ou dans un bureau local. Dans le cadre de la planification générale des travaux, l’auditeur doit acquérir une compréhension de la structure de l’entité et de la répartition des responsabilités.