Manuel de la vérification annuelle
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
4025 Calendrier relatif à l’acquisition d’une compréhension et à l’évaluation des contrôles internes
sept.-2022
Contenu de la présente section
Étendue de la compréhension et évaluation des contrôles internes avant la documentation de l’évaluation des risques et de l’approbation de la planification
Directives du BVG
Avant d’établir le degré prévu d’appui sur les contrôles, il faut acquérir une compréhension suffisante des composantes du système de contrôle interne de l’entité (y compris l’incidence du recours à l’informatique) pour déterminer si le degré choisi est approprié et pour préciser l’étendue des autres procédures d’audit des contrôles qui seront jugées nécessaires.
Le degré d’appui prévu sur les contrôles indique le niveau d’éléments probants (exprimé comme élevé, partiel ou nul) que l’auditeur compte obtenir en réalisant des tests des contrôles internes du client, y compris, le cas échéant, les éléments probants relatifs aux contrôles obtenus dans des audits précédents. Le jugement à cet égard prend en compte l’évaluation préliminaire du risque lié au contrôle effectuée par l’auditeur et sa perception de l’efficacité des tests des contrôles pour obtenir des éléments probants comparativement aux tests de corroboration.
Le logiciel pour les feuilles de travail d’audit permet de consigner des éléments de la compréhension de l’auditeur et de son évaluation du contrôle interne (c.-à-d considérations de planification) conjointement avec les procédures de collecte des éléments probants une fois que l’auditeur a documenté son évaluation des risques et les raisons de le faire s’il prévoit s’appuyer sur les procédures de collecte des éléments probants pour documenter sa compréhension et son évaluation des contrôles de la composante des activités de contrôle. Les procédures d’audit représentent les tâches qu’effectue l’auditeur pour recueillir des éléments probants afin d’évaluer le risque ou d’y répondre, ou pour exécuter les étapes de la mission qui sont nécessaires aux fins du respect des exigences. La réalisation des activités de collecte des éléments probants (aussi appelées étapes) permet à l’auditeur, quand on considère ces étapes collectivement, de se conformer aux normes, de tirer des conclusions et d’étayer l’opinion d’audit.
Considération |
Incidence possible sur le degré d’appui prévu sur les contrôles |
---|---|
Les conclusions des audits précédents qui comportaient des tests de l’efficacité du fonctionnement des contrôles, notamment la nature des déficiences relevées et les mesures prises par la direction pour y remédier. | Si l’efficacité du fonctionnement des contrôles a été testée pendant l’audit précédent et que les conclusions étaient insatisfaisantes, il faut alors examiner la mesure dans laquelle la direction a corrigé les déficiences. Si les déficiences relevées n’ont pas été adéquatement comblées, la confiance que l’auditeur pourra accorder à l’efficacité du fonctionnement de ces contrôles en est d’autant diminuée; il faut alors déterminer l’incidence sur l’évaluation du risque d’audit et sur le plan des tests de corroboration pour l’exercice en cours. Si les conclusions des tests des contrôles effectués lors des périodes précédentes étaient satisfaisantes, il est alors possible de s’appuyer de nouveau sur ces contrôles sans les tester tous – se reporter à la section BVG Audit 6056. |
Les conclusions tirées de la compréhension et de l’évaluation faite pour l’exercice en cours de l’environnement de contrôle, du processus d’évaluation des risques de l’entité et du processus de suivi du système de contrôle interne par l’entité. Plus la compréhension de l’efficacité des contrôles de la direction dans ces secteurs est approfondie, meilleure sera la capacité de l’auditeur d’évaluer les risques, de repérer les contrôles directs ou indirects au niveau de l’entité sur lesquels il peut s’appuyer, et de déterminer la stratégie la plus efficace. |
L’environnement de contrôle englobe les attitudes, le degré de sensibilisation et les actions de la direction et des responsables de la gouvernance à l’égard du contrôle interne et de son importance dans l’entité. L’efficacité des contrôles est tributaire de l’intégrité et des valeurs d’éthique des personnes qui les créent, les gèrent et les supervisent. Donc, s’il existe des doutes concernant le « ton donné par la haute direction », la confiance que l’auditeur pourra accorder aux contrôles plus bas dans la hiérarchie de l’organisation est diminuée; il faut alors en déterminer l’incidence sur l’évaluation du risque d’audit et sur le plan des tests de corroboration pour l’exercice en cours. Le processus d’évaluation des risques adopté par l’entité constitue la base à partir de laquelle la direction détermine les risques à gérer pour raisons d’affaires. Lorsque ce processus est approprié aux circonstances, y compris à la nature, à la taille et à la complexité de l’entité, il aide l’auditeur à détecter les risques d’anomalies significatives pertinents dans le cadre de l’audit. L’évaluation des risques faite par la direction a également une incidence sur la nature des contrôles que l’entité met en œuvre pour atténuer les risques, laquelle à son tour influence l’efficacité des contrôles. La question de savoir si le processus d’évaluation des risques suivi par l’entité est approprié aux circonstances relève du jugement. Le processus de suivi du système de contrôle interne par l’entité est un processus qui vise à évaluer l’efficacité du fonctionnement des contrôles internes au fil du temps. Il consiste à évaluer l’efficacité des contrôles en temps opportun et à prendre les mesures correctives nécessaires. La direction effectue le suivi de l’efficacité des contrôles par des activités continues, des évaluations ponctuelles ou une combinaison des deux. Lorsque la direction est capable de démontrer qu’elle a bel et bien mis en œuvre un processus pour assurer le suivi des contrôles, ainsi que démontrer l’étendue de cette mise en œuvre, la confiance que l’auditeur peut accorder à ces contrôles est alors accrue. Lorsque les contrôles au niveau de l’entité visent à assurer la surveillance de l’efficacité d’autres contrôles et qu’ils sont destinés à repérer des défaillances possibles de contrôles à des échelons inférieurs, ces contrôles ont une incidence sur le risque d’anomalies significatives sans être directement reliés à une quelconque assertion. Leur fonctionnement ne peut, en soi, permettre de déterminer qu’il existe un risque d’anomalies significatives relatives aux assertions des états financiers. Les revues et les évaluations effectuées par l’équipe d’audit interne d’une entité sont un exemple d’une telle situation. La décision que prend l’auditeur de tester les contrôles indirects au niveau de l’entité, même si ces tests ne sont ni requis ni prévus, dépend de son appréciation de l’importance des contrôles indirects au niveau de l’entité à l’égard du fonctionnement efficace d’autres contrôles (p. ex. au niveau des opérations) et de la mesure dans laquelle ces procédures pourront être associées aux assertions. La mesure de l’incidence qu’ont les tests des contrôles indirects au niveau de l’entité sur l’étendue d’autres procédures d’audit (c.-à-d. une diminution) est question de jugement professionnel. |
La connaissance des processus opérationnels et du système d’information et des communications connexes de l’entité. Il s’agit notamment du système comptable et de l’environnement des TI qui lui est associé. L’auditeur obtient de l’information auprès de la direction concernant les changements apportés à l’entité, à ses activités, à ses processus opérationnels importants et aux contrôles connexes (y compris tout changement dans les systèmes et les contrôles liés aux TI). |
La compréhension des systèmes de comptabilité et d’établissement des rapports financiers de l’entité est essentielle à l’évaluation des risques par l’auditeur et à la conception d’autres procédures d’audit. L’auditeur cherche à établir un appui élevé sur les contrôles lorsque l’entité est dotée de systèmes et de processus et que l’expérience indique que la direction se sent nettement rassurée dans le cadre du processus quotidien de prise de décisions en raison de la fiabilité de l’information produite par les systèmes et les processus. Des changements aux processus opérationnels importants pourraient avoir une incidence sur l’appui que l’auditeur peut établir, et ce, de différentes façons. Il faut tenir compte de ce qui suit :
Selon les circonstances propres à l’entité, l’auditeur peut mettre en œuvre des procédures liées aux contrôles généraux des technologies de l'information (CGI) si, en fonction de sa compréhension des composantes du contrôle interne, des processus opérationnels importants et des contrôles indirects au niveau de l’entité sur les TI, il détermine qu’il serait approprié d’adopter une stratégie axée sur les contrôles pour certains postes des états financiers. En effet, si l’auditeur détermine que les CGI ne fonctionnent pas avec efficacité, il doit examiner dans quelle mesure les déficiences repérées limiteront sa capacité de s’appuyer sur les contrôles que les CGI étaient censés étayer. Cette considération serait d’autant plus importante si c’est la première année que le Bureau effectue cet audit. |
Activités de contrôle | L’étendue et le détail de la compréhension des contrôles de la composante des activités de contrôle, ainsi que le calendrier des travaux connexes, tiennent compte de ce que l’auditeur a appris, à savoir si la compréhension des autres composantes du contrôle interne et les autres connaissances acquises pendant le processus de planification de l’audit ont révélé l’existence ou l’absence de contrôles. |
Quand vient le moment de déterminer la stratégie, l’auditeur n’aura pas nécessairement obtenu une compréhension détaillée de la conception des contrôles ni déterminé si des contrôles ont été mis en place. Cependant, il faut qu’il ait recueilli suffisamment d’informations pour comprendre l’incidence que les changements qui sont peut-être survenus au sein de l’entité auraient sur sa capacité en tant qu’auditeur de s’appuyer sur le fonctionnement efficace des contrôles, l’efficacité d’une telle stratégie et l’incidence, du moins en termes généraux, sur le plan des tests de corroboration.
Lorsque le Bureau effectue un premier audit de l’entité et que l’auditeur ne peut donc pas s’appuyer sur l’expérience acquise lors d’audits précédents, la compréhension initiale à acquérir sera alors probablement plus détaillée.
Étendue de la compréhension et de l’évaluation des contrôles internes avant l’approbation de la planification
Directives du BVG
Comme il est expliqué dans la section BVG Audit 4041, avant l’approbation de la planification, l’auditeur devrait normalement acquérir une compréhension suffisante du système de contrôle interne de l’entité pour concevoir des procédures d’audit complémentaires. Cette compréhension doit être suffisante pour déterminer la stratégie et le plan d’audit, mais ne nécessiterait pas forcément un test de cheminement de bout en bout ou des procédures semblables pour chaque processus opérationnel important.
Dans certaines circonstances, l’auditeur peut obtenir une compréhension suffisante du contrôle interne avant l’approbation de la planification, mais aussi prévoir effectuer d’autres procédures d’évaluation du contrôle interne en plus des demandes d’informations après l’approbation de la planification. Par exemple, au cours de la phase de planification, il peut procéder à des demandes d’informations combinées à des inspections de rapports de gestion, ce qui serait jugé suffisant aux fins de l’approbation de la planification, puis prévoir mettre en œuvre des procédures complémentaires (p. ex., tests de cheminement ou procédures complémentaires en vue de l’atteinte des mêmes objectifs, comme l’observation et la réexécution des contrôles) après l’approbation de la planification. Cette approche peut être appropriée dans des situations où une seule visite d’audit est prévue à la fin de l’exercice et qu’il n’est pas pratique d’effectuer une autre visite uniquement dans le but d’évaluer les contrôles internes.
Le fait d’effectuer l’approbation de la planification suffisamment tôt permettra à l’auditeur de faciliter l’élaboration en temps opportun de procédures d’audit complémentaires. Par conséquent, il doit déterminer s’il a obtenu une compréhension suffisante des contrôles internes pour être en mesure d’approuver la planification, afin de pouvoir aller de l’avant de façon efficace et efficiente avec la mission. Toutefois, lorsqu’il prévoit exécuter d’autres procédures d’évaluation du contrôle interne après l’approbation de la planification, il doit rester conscient de la probabilité accrue de devoir modifier le plan d’audit à la suite de la finalisation des procédures d’évaluation du contrôle interne.
Les facteurs suivants peuvent indiquer qu’il est approprié de mettre en œuvre les procédures d’évaluation du contrôle interne en plus des demandes d’informations après l’approbation de la planification :
-
Les conclusions des missions précédentes ont révélé peu ou pas de déficiences de contrôles, et la direction a toujours pris les mesures appropriées pour corriger les déficiences relevées.
-
Les premières demandes d’informations effectuées auprès de la direction au cours de la période considérée ont indiqué qu’il n’y a pas eu de changements importants apportés à l’entité ni au système de contrôle interne de l’entité (notamment les processus opérationnels importants, les systèmes d’information et les communications et les contrôles connexes [y compris les systèmes et les contrôles liés aux TI ou aux personnes chargées du fonctionnement du contrôle concernées]) pendant la période considérée, et qu’aucun changement n’est actuellement prévu avant la fin de la période.
-
Les conclusions de l’auditeur tirées de la compréhension et de l’évaluation faite pour l’exercice considéré de l’environnement de contrôle, du processus d’évaluation des risques de l’entité et du processus de suivi du système de contrôle interne par l’entité n’ont révélé aucune déficience des contrôles importante.
-
L’auditeur détermine qu’il sera en mesure de traiter adéquatement tout changement potentiel à la stratégie et au plan d’audit requis au titre des conclusions des procédures d’évaluation du contrôle interne après l’approbation de la planification.
Le tableau suivant illustre les facteurs ci-dessus et résume les situations où il peut être approprié de mettre en œuvre les procédures d’évaluation du contrôle interne après l’approbation de la planification :
La décision de mettre en œuvre des procédures d’évaluation du contrôle interne après l’approbation de la planification est une décision importante sur la stratégie d’audit qui doit être prise pour chacun des processus opérationnels pertinents en fonction des circonstances propres à chacune des missions. L’auditeur doit discuter de la décision avec le responsable de mission, l’approuver de façon conjointe avec lui, et la consigner dans la documentation de planification. De plus, le responsable de mission et le gestionnaire d’équipe devront avoir un plan approprié pour l’exécution des procédures après l’approbation de la planification. Ce plan décrirait généralement les procédures qui devraient être mises en œuvre après l’approbation de la planification et le moment prévu de leur achèvement.
La documentation pertinente peut être fournie dans la procédure « Compréhension et évaluation des composantes du système de contrôle interne de l’entité », la procédure « Compréhension et évaluation des composantes du système de contrôle interne de l’entité – Activités de contrôle », la procédure « Détermination de la stratégie et du plan d’audit » ou d’autres documents de travail qui sont jugés appropriés et qui peuvent également être mentionnés dans la procédure « Approbation par le responsable de la mission et le gestionnaire d’équipe – Planification ». Il ne serait généralement pas nécessaire d’indiquer que la procédure d’approbation de la planification a été revue de nouveau, une fois que les procédures ont été mises en œuvre. Toutefois, le responsable de mission et/ou le gestionnaire d’équipe peuvent considérer qu’il est approprié de revoir la procédure « Approbation par le responsable de la mission et le gestionnaire d’équipe – Planification », p. ex., dans les situations où des changements importants sont apportés à la stratégie ou au plan d’audit à la suite des procédures mises en œuvre après l’approbation de la planification.