Manuel de la vérification annuelle

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5011 Procédures d’évaluation des risques et activités connexes
sept.-2022

Contenu de la présente section

Processus d’évaluation des risques du BVG

Demandes d’informations auprès de la direction et d’autres personnes

Observations physiques et inspections

Utilisation des informations obtenues dans le cadre du processus d’acceptation et de maintien de la relation client et d’autres missions

Utilisation des informations obtenues de périodes antérieures

Entretiens entre les membres de l’équipe de mission

Procédures d’évaluation des risques supplémentaires effectuées après l’approbation de la planification

Documentation

Processus d’évaluation des risques du BVG

Exigences des NCA

L’auditeur doit concevoir et mettre en œuvre des procédures d’évaluation des risques lui permettant d’obtenir des éléments probants qui lui fourniront une base appropriée pour : (NCA 315.13)

a) l’identification et l’évaluation des risques d’anomalies significatives, que celles‑ci résultent de fraudes ou d’erreurs, au niveau des états financiers et au niveau des assertions;

b) la conception, conformément à la NCA 330, de procédures d’audit complémentaires.

Directives des NCA

Indispensable à une appréciation critique des éléments probants réunis lors de la mise en œuvre des procédures d’évaluation des risques, l’esprit critique permet à l’auditeur de rester tout aussi attentif aux éléments probants qui corroborent qu’à ceux qui contredisent l’existence de risques, en évitant tout parti pris. C’est l’attitude qu’adopte l’auditeur lorsqu’il porte des jugements professionnels afin de disposer d’une base pour poursuivre ses travaux. Ainsi, l’auditeur exerce son jugement professionnel pour déterminer à quel moment il dispose d’une base appropriée pour l’évaluation des risques grâce aux éléments probants qu’il a réunis, et pour concevoir ses réponses à l’évaluation des risques d’anomalies significatives. (NCA 315.A12)

L’auditeur fait notamment preuve d’esprit critique lorsqu’il : (NCA 315.A13)

  • remet en question les informations contradictoires ainsi que la fiabilité des documents;

  • examine les réponses aux demandes d’informations et les autres renseignements obtenus de la direction et des responsables de la gouvernance;

  • est attentif aux conditions pouvant éventuellement dénoter des anomalies, que celles‑ci résultent de fraudes ou d’erreurs;

  • détermine si les éléments probants obtenus étayent son identification et son évaluation des risques d’anomalies significatives, compte tenu de la nature et des circonstances de l’entité.

Le fait de concevoir et de mettre en œuvre des procédures d’évaluation des risques permettant d’obtenir, en évitant tout parti pris, des éléments probants qui étayent l’identification et l’évaluation des risques d’anomalies significatives aide l’auditeur à déceler les informations possiblement contradictoires, ce qui favorise l’exercice de l’esprit critique dans l’identification et l’évaluation des risques d’anomalies significatives. (NCA 315.A14)

Pour concevoir et mettre en œuvre des procédures d’évaluation des risques lui permettant d’obtenir des éléments probants en évitant tout parti pris, l’auditeur peut aller chercher ces éléments dans de multiples sources internes et externes à l’entité. Cependant, il n’est pas tenu de mener des recherches exhaustives pour identifier toutes les sources possibles d’éléments probants. Outre les informations provenant d’autres sources, l’auditeur peut utiliser, dans le cadre de ses procédures d’évaluation des risques : (NCA 315.A15)

  • des informations provenant de ses interactions avec la direction, les responsables de la gouvernance et d’autres membres clés du personnel de l’entité (par exemple, les auditeurs internes);

  • des informations obtenues directement ou indirectement de parties externes (par exemple, des autorités de réglementation);

  • des informations sur l’entité qui sont accessibles au public, comme les communiqués de presse de l’entité, les documents qui sont destinés aux analystes ou qui concernent les présentations à l’intention des groupes d’investisseurs, les rapports produits par des analystes ou les informations boursières.

Peu importe la source utilisée, l’auditeur doit tenir compte de la pertinence et de la fiabilité des informations devant servir comme éléments probants, conformément à la NCA 500.

La nature et l’étendue des procédures d’évaluation des risques sont fonction de la nature et des circonstances de l’entité (par exemple, l’existence ou non de politiques et procédures, de processus et de systèmes en bonne et due forme). L’auditeur exerce son jugement professionnel pour déterminer la nature et l’étendue des procédures d’évaluation des risques à mettre en oeuvre pour satisfaire aux exigences de la présente. (NCA 315.A16)

La mesure dans laquelle les politiques et procédures, les processus et les systèmes de l’entité sont structurés peut varier. Dans tous les cas, l’auditeur est tenu d’acquérir une compréhension des éléments précisés aux paragraphes 19, 21, 22 et 24 à 26. (NCA 315.A17)

Exemples :

Il se peut que certaines entités, dont les entités peu complexes (et en particulier les entités gérées par un propriétaire‑dirigeant), n’aient pas établi de processus ou de systèmes structurés (tel qu’un processus d’évaluation des risques ou de suivi du système de contrôle interne), ou qu’elles aient établi des processus ou des systèmes qui ne sont consignés que sommairement ou qui ne sont pas mis en œuvre de façon uniforme. En l’absence de systèmes et de processus en bonne et due forme, l’auditeur peut tout de même être en mesure de mettre en œuvre des procédures d’évaluation des risques en procédant à des observations physiques et à des demandes d’informations.

On s’attend à ce que les autres entités, notamment les entités plus complexes, aient établi et consigné des politiques et procédures structurées. L’auditeur peut examiner la documentation relative à ces politiques et procédures lors de la mise en œuvre des procédures d’évaluation des risques.

En ce qui a trait à la nature et à l’étendue des procédures d’évaluation des risques à mettre en œuvre, il se peut que les procédures soient plus poussées dans une première mission que dans une mission récurrente. Par la suite, l’auditeur pourra axer ses procédures sur les changements survenus depuis la dernière période. (NCA 315.A18)

Directives du BVG

La NCA 315 (révisée) établit des exigences et des directives rigoureuses pour inciter les auditeurs à mettre en œuvre des procédures d’évaluation des risques appropriées en fonction de la taille et de la nature de l’entité, ce qui facilite une réponse plus ciblée aux risques identifiés. La norme vise à améliorer l’approche de l’auditeur lorsqu’il cherche à acquérir une compréhension de l’entité, de son environnement (y compris son contrôle interne) et des activités d’évaluation des risques.

En réponse aux exigences de la NCA 315 Identification et évaluation des risques d’anomalies significatives, le processus d’évaluation des risques du BVG a été élaboré afin de promouvoir l’uniformité de l’exécution, de la documentation et d’une revue efficace. Le processus d’évaluation des risques du BVG est un processus dynamique et itératif (illustré dans le graphique ci‑dessous), qui aide les équipes de mission à se conformer aux exigences de la NCA 315 et à certaines autres normes. Ces normes exigent que les équipes de mission obtiennent des éléments probants qui fournissent une base appropriée aux fins de l’identification et de l’évaluation des risques d’anomalies significatives, que celles‑ci résultent de fraudes ou d’erreurs, au niveau des états financiers et au niveau des assertions, ainsi qu’aux fins de conception de procédures d’audit en vue de l’obtention d’éléments probants suffisants et appropriés pour répondre aux risques d’anomalies significatives identifiés conformément à la NCA 330.

Le processus d’évaluation des risques du BVG est conforme aux exigences de la NCA 315 et s’applique à tous les types d’entités, peu importe leur taille ou leur complexité, et prévoit une certaine adaptabilité. Le processus d’évaluation des risques du BVG ne consiste pas en une liste de contrôle des procédures requises ou une série d’étapes distinctes et isolées; il s’agit d’un processus itératif visant à obtenir une compréhension complète des activités de l’entité et de l’environnement dans lequel elle exerce ses activités. C’est grâce à ce processus rigoureux visant à acquérir une compréhension de l’entité et de son environnement que les équipes de mission sont mieux en mesure d’identifier et d’évaluer les risques d’anomalies significatives propres à l’entité. L’identification et l’évaluation des risques propres à l’entité et à son environnement facilitent l’élaboration de réponses d’audit qui permettent de traiter de façon efficace et efficiente les risques d’anomalies significatives.

Image / Processus d'évaluation des risques du BVG

L’étape de l’acquisition d’une compréhension du processus d’évaluation des risques du BVG sert de base à l’identification des risques d’anomalies significatives. Au cours de cette étape, l’auditeur acquiert une compréhension de l’entité, de son environnement (y compris la façon dont l’entité a intégré la technologie de l’information [TI] à son modèle d’affaires), du référentiel d’information financière applicable et du système de contrôle interne de l’entité. Cette acquisition de compréhension comprend l’identification des événements ou des conditions qui peuvent indiquer un risque d’anomalies significatives. La nature et/ou la complexité des conditions ou des événements identifiés peuvent indiquer que des compétences spécialisées sont nécessaires pour l’aider à acquérir une compréhension. À mesure que l’auditeur élabore ses attentes initiales à l’égard des risques d’anomalies significatives et des catégories de transaction importantes, des soldes de comptes importants et des informations à fournir importantes, il tient également compte des exigences d’autres normes d’audit (p. ex., NCA 240, Responsabilités de l’auditeur concernant les fraudes lors d’un audit d’états financiers) et il tient compte du seuil de signification pour les travaux qu’il a déterminé.

Au cours de l’étape d’identification du processus d’évaluation des risques du BVG, des discussions sur l’évaluation des risques dirigées par le responsable de mission ont lieu, au cours desquelles les responsables de la mission et d’autres membres principaux de l’équipe de mission échangent leur connaissance de l’entité et de son environnement. En fonction de la compréhension qu’il a acquise de l’entité et de son environnement, l’auditeur détermine les risques d’anomalies significatives au niveau des états financiers et au niveau des assertions (y compris les risques découlant de l’utilisation de la TI), ce qui comprend les postes importants des états financiers et les assertions pertinentes connexes. Il détermine également les postes qui ne sont pas considérés comme importants (c.‑à‑d. aucune assertion pertinente n’a été identifiée), mais qui sont significatifs et les assertions qu’il a sélectionnées aux fins de test, comme l’exige le paragraphe 18 de la NCA 330. Pour ce qui est de certains contrôles, comme ceux à l’égard des risques importants, des contrôles liés aux écritures de journal et des contrôles qu’il prévoit tester, l’auditeur doit évaluer s’ils sont conçus efficacement et s’ils ont été mis en œuvre. Cela lui permet d’identifier les déficiences de conception ou de mise en place du contrôle interne au cours de cette étape.

L’étape d’évaluation du processus d’évaluation des risques du BVG comprend l’évaluation de la probabilité et de l’ampleur des risques d’anomalies significatives identifiés, avec prise en considération de la mesure dans laquelle les facteurs de risque inhérent influent sur la possibilité que les assertions pertinentes comportent des anomalies. Au cours de cette étape, l’auditeur évalue le risque inhérent (c.‑à‑d. normal, élevé ou important) et le risque lié au contrôle, tel qu’il l’a documenté en déterminant le degré d’appui sur les contrôles (c.‑à‑d. exprimé comme nul, partiel ou élevé). Un aspect important de cette étape du processus consiste à prendre du recul et à effectuer une évaluation globale des activités d’évaluation des risques en évaluant si les éléments probants obtenus dans le cadre des procédures d’évaluation des risques constituent une base appropriée aux fins de l’identification et de l’évaluation des risques d’anomalies significatives. Au cours de l’audit, il est important de tenir compte des nouveaux renseignements qui sont mis au jour et qui peuvent contredire les éléments probants sur lesquels l’auditeur s’est initialement fondé pour évaluer les risques.

Procédures d’évaluation des risques

La NCA 315 exige que les procédures d’évaluation des risques comprennent ce qui suit (NCA 315.14) :

  • des demandes d’informations auprès de la direction et d’autres personnes appropriées au sein de l’entité, dont les membres de la fonction d’audit interne (lorsque cette fonction existe);

  • des procédures analytiques;

  • des observations physiques et des inspections.

Le processus d’évaluation des risques du BVG fait appel aux trois types de procédures indiquées dans la NCA 315. D’autres procédures peuvent être utiles aux fins de l’identification des risques d’anomalies significatives. Ces procédures peuvent comprendre, par exemple, les demandes d’informations auprès du conseiller juridique externe ou des superviseurs externes de l’entité, ou d’experts en évaluation auxquels l’entité a fait appel.

Considérations générales

Les concepts suivants appuient les trois étapes du processus d’évaluation des risques du BVG et s’appliquent tout au long de ces étapes.

Dynamique et itératif Le processus d’évaluation des risques du BVG est dynamique et itératif, et non un processus linéaire. Les attentes initiales concernant les risques pourraient être précisées davantage, et les évaluations pourraient devoir être révisées en fonction des éléments probants ou des nouveaux renseignements obtenus.
Esprit critique L’auditeur conçoit et met en œuvre des procédures d’évaluation des risques en évitant tout parti pris qui favoriserait l’obtention d’éléments probants corroborants ou l’exclusion d’éléments probants contradictoires par rapport à l’existence de risques.
Prise en compte des outils et techniques automatisés S’il y a lieu, il faut tenir compte de la façon dont les outils et les techniques automatisés (p. ex., visualisation des données, automatisation des données, outils d’analyse de l’évaluation des risques) peuvent être utilisés pour éclairer ou appuyer les procédures d’évaluation des risques.
Prise en compte de l’adaptabilité Le jugement professionnel est utilisé aux fins de la détermination de la nature et de l’étendue des procédures d’évaluation des risques nécessaires à l’identification et à l’évaluation des risques d’anomalies significatives. La nature et l’étendue des procédures d’évaluation des risques varient en fonction de la nature et des circonstances de l’entité (p. ex., la taille et la complexité des activités de l’entité ou la formalité des politiques, des procédures, des processus et des systèmes de l’entité).

Le risque d’anomalies significatives (au niveau des états financiers et au niveau des assertions) comprend deux composantes (risque inhérent et risque lié au contrôle). Il est important que l’évaluation du risque inhérent et du risque lié au contrôle repose sur des fondements adéquats. L’auditeur peut fonder son évaluation, notamment, sur des informations tirées de questionnaires, de listes de contrôle, d’instructions ou de documents généraux similaires et, en ce qui a trait au risque lié au contrôle, sur sa compréhension du contrôle interne et sur la mise en œuvre de tests des contrôles. Toutefois, il doit exercer son jugement professionnel lorsqu’il interprète, adapte ce genre de documents généraux ou leur accorde de l’importance en fonction des circonstances.

Directives connexes

Le tableau ci‑dessous présente un court aide‑mémoire aux fins de mise en correspondance des étapes et des éléments du processus d’évaluation des risques du BVG et des directives applicables du Manuel d’audit du BVG.

Acquisition d’une compréhension Identification Évaluation
Acquisition d’une compréhension de l’entité et de son environnement, et du référentiel d’information financière applicable (BVG Audit 5020) Identification des risques, des assertions pertinentes et des postes importants des états financiers (BVG Audit 5041 et BVG Audit 5042) Évaluation des risques d’anomalies significatives (BVG Audit 5043)
Détermination du seuil de signification et prise en considération des autres NCA de seuil de signification (BVG Audit 2100) Identification des risques liés aux TI et des contrôles généraux informatiques (BVG Audit 5035.2) Évaluation globale (BVG Audit 5044)
Définition des rôles et des responsabilités (BVG Audit 5013) Évaluation de la conception et de la mise en œuvre des contrôles (BVG Audit 5035.5)
Formulation des attentes initiales (BVG Audit 5012)
Acquisition d’une compréhension du système de contrôle interne, y compris l’environnement informatique (BVG Audit 5030)
Demandes d’informations auprès de la direction et d’autres personnes

Exigences des NCA

Les procédures d’évaluation des risques doivent notamment comprendre : (NCA 315.14)

a) des demandes d’informations auprès de la direction et d’autres personnes appropriées au sein de l’entité, dont les membres de la fonction d’audit interne (lorsque cette fonction existe).

Directives des NCA

Les demandes d’informations auprès de la direction et des responsables de l’information financière peuvent permettre à l’auditeur d’obtenir des informations qui lui fourniront une base appropriée pour l’identification et l’évaluation des risques et pour la conception de procédures d’audit complémentaires. (NCA 315.A22)

Les demandes d’informations auprès de la direction, des responsables de l’information financière et d’autres personnes appropriées au sein de l’entité, dont des employés de différents niveaux hiérarchiques, peuvent aussi permettre à l’auditeur d’obtenir divers points de vue qui lui seront utiles pour identifier et évaluer les risques d’anomalies significatives. (NCA 315.A23)

Exemples :

  • Les demandes d’informations auprès des responsables de la gouvernance peuvent aider l’auditeur à comprendre l’étendue de la surveillance que ceux‑ci exercent à l’égard de la préparation des états financiers par la direction. La NCA 260 souligne l’importance d’une communication bilatérale efficace qui facilite, pour l’auditeur, l’obtention d’informations pertinentes à cet égard auprès des responsables de la gouvernance.

  • Les demandes d’informations auprès des employés chargés du déclenchement, du traitement ou de l’enregistrement d’opérations complexes ou inhabituelles peuvent aider l’auditeur à évaluer le caractère approprié du choix et de l’application de certaines méthodes comptables.

  • Les demandes d’informations auprès du conseiller juridique interne peuvent renseigner l’auditeur sur des questions telles que les litiges, la conformité aux textes légaux et réglementaires, la connaissance de fraudes avérées ou suspectées concernant l’entité, les garanties, les engagements après‑vente, les accords conclus avec des partenaires commerciaux (tels que ceux portant sur des coentreprises) ainsi que l’interprétation des modalités contractuelles.

  • Les demandes d’informations auprès du personnel de l’équipe de marketing ou de vente peuvent renseigner l’auditeur sur les changements dans les stratégies marketing de l’entité, l’évolution des ventes ou les contrats conclus avec la clientèle.

  • Les demandes d’informations auprès de la fonction de gestion des risques (ou des personnes qui assument ce rôle) peuvent renseigner l’auditeur sur les risques opérationnels et les risques découlant de la réglementation qui peuvent avoir une incidence sur l’information financière.

  • Les demandes d’informations auprès du personnel des TI peuvent renseigner l’auditeur sur les modifications apportées aux systèmes, sur les défaillances des systèmes ou des contrôles, ou sur d’autres risques liés aux TI.

Lorsqu’il procède à des demandes d’informations auprès de personnes susceptibles de détenir de l’information qui pourrait l’aider à identifier les risques d’anomalies significatives, l’auditeur d’une entité du secteur public peut se tourner vers d’autres sources et adresser ses demandes d’informations aux auditeurs qui ont participé à des audits de performance et à d’autres audits concernant l’entité, par exemple. (NCA 315.A24)

Si l’entité a une fonction d’audit interne, les demandes d’informations auprès des personnes appropriées au sein de cette fonction peuvent aider l’auditeur à comprendre l’entité et son environnement ainsi que son système de contrôle interne, aux fins de l’identification et de l’évaluation des risques. (NCA 315.A25)

L’auditeur d’une entité du secteur public a souvent des responsabilités supplémentaires en ce qui a trait au contrôle interne et à la conformité aux textes légaux et réglementaires applicables. Les demandes d’informations auprès des personnes appropriées au sein de la fonction d’audit interne peuvent l’aider à identifier les risques de non‑conformité significative aux textes légaux et réglementaires applicables et les risques de déficiences du contrôle concernant l’information financière. (NCA 315.A26)

Directives du BVG

En ce qui a trait aux demandes d’informations, la planification et la tenue de réunions initiales avec la direction permettent d’acquérir une compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et des composantes du contrôle interne de l’entité avec efficacité et efficience, à l’exception des activités de contrôle.

Pour permettre d’identifier les personnes avec lesquelles il doit s’entretenir pour acquérir une compréhension de l’entité, l’auditeur doit comprendre de façon plus détaillée l’organisation de l’entité et en recenser les composantes, telles qu’elles sont définies par ses produits, ses processus, sa géographie, ses fonctions ou ses centres de profit ou de coûts.

Objectifs des réunions initiales avec la direction

Le but principal des réunions est de recueillir des informations sur l’entité et de son environnement, le référentiel d’information financière applicable et le système de contrôle interne de l’entité, ainsi que d’acquérir une compréhension des risques qui, selon la direction, ont une incidence sur ses objectifs d’affaires, et des procédures qu’elle a mises en place pour les atténuer.

Bien que l’auditeur puisse acquérir une compréhension et parvenir à une évaluation des contrôles au niveau de l’entité pendant les réunions initiales avec le conseil d’administration et la haute direction, la collecte d’éléments probants relatifs au test de l’efficacité opérationnelle des contrôles recensés se fait rarement au cours de la première réunion.

Planification des réunions initiales

S’il se prépare adéquatement et utilise des techniques d’entrevue efficaces, l’auditeur pourra utiliser les réunions pour recueillir des informations, acquérir une compréhension des contrôles, les identifier et les évaluer avec davantage d’efficience et d’efficacité.

Étant donné que les demandes d’informations visent à recueillir des renseignements et à évaluer les risques, elles sont effectuées pendant l’étape de la planification de l’audit. Cependant, à chaque étape de l’audit, il faut juger s’il y a lieu de demander d’autres informations. L’auditeur choisit les personnes à rencontrer dans le cadre de ces demandes en fonction de sa compréhension de l’entité, de son expérience antérieure avec cette dernière et de l’étendue et de la fiabilité d’autres sources d’informations. Pour les entités moins complexes, une seule réunion avec la haute direction pourrait suffire, tandis que pour les entités plus complexes, il sera probablement nécessaire de tenir plusieurs réunions avec un éventail de personnes. On peut obtenir des informations pertinentes en adressant des demandes d’informations à la fois aux membres de la direction responsables de l’information financière et à d’autres personnes au sein de l’entité.

Demandes d’informations auprès de la direction

Les renseignements recueillis lors de ces réunions sont communiqués à l’ensemble de l’équipe de mission pendant la réunion de planification de l’équipe afin d’aider à évaluer le point de vue de la direction sur ses activités par rapport à la compréhension des activités acquise par l’auditeur en fonction des éléments probants corroborants et contradictoires qu’il pourrait avoir obtenus. Cette section contient des exemples de questions qui peuvent être utiles pendant ces discussions avec la direction. Ces exemples ne sont pas exhaustifs et ne sont pas nécessairement pertinents pour l’ensemble des missions et, par conséquent, il peut y avoir des questions supplémentaires à poser à la direction, et certaines de ces questions pourraient ne pas s’appliquer à une mission en particulier (c.‑à‑d. cette liste de questions ne doit pas être utilisée comme une liste de contrôle normalisée).

Structure organisationnelle

  • Quelle est la conception organisationnelle de l’entité et est‑elle documentée?

  • Dans quelle mesure l’entité compte‑t‑elle sur des coentreprises, des alliances et d’autres ententes de partenariat pour créer de la valeur? La direction et l’auditeur comprennent‑ils bien les risques et les répercussions financières?

  • Comment la conception organisationnelle de l’entité se compare‑t‑elle à celle de ses pairs?

  • Comment l’entité est‑elle organisée : par fonction, par processus, par région géographique?

  • Comment la structure opérationnelle de l’entité appuie‑t‑elle la stratégie en cours?

  • Y a-t‑il des changements prévus à court terme?

  • Quelle est l’expérience de l’entité en ce qui a trait au changement (p. ex., les raisons de la réussite ou de l’échec de changements organisationnels antérieurs)?

  • La direction peut‑elle mettre en œuvre les changements stratégiques souhaités dans les limites de la gestion, des ressources, du financement et de la culture actuels de l’entité, ou des changements sont‑ils nécessaires pour l’un ou l’autre de ces éléments?
Gouvernance

  • Des structures et des processus de gouvernance organisationnels clairement définis et documentés sont‑ils en place aux fins de la direction et de la gestion de l’entité?

  • Des changements sont‑ils prévus et quelle sera leur incidence sur la structure organisationnelle de l’entité?

  • Y a-t‑il des politiques clairement définies concernant l’indépendance des membres du conseil d’administration qui ne font pas partie de la direction?

  • L’entité a-t‑elle une planification adéquate de la relève?

  • L’entité suit-elle un processus formel d’évaluation des risques et dispose‑t‑elle d’un processus de gestion des risques qui ont été identifiés?

  • La rémunération des administrateurs ou des membres du conseil de surveillance et des cadres clés est‑elle harmonisée avec les intérêts des objectifs stratégiques à long terme (p. ex., croissance de la valeur pour les actionnaires)?

  • Quelle est l’incidence sur cette harmonisation (p. ex., le pourcentage de la rémunération lié aux mesures concernant la valeur pour les actionnaires, comme le rendement total pour les actionnaires)?

  • Que pense l’entité de la transparence des rapports?

  • Est‑ce que tous les rapports de l’organisation (p. ex., les rapports réglementaires, les documents d’information des analystes, les rapports environnementaux et le site Web) sont coordonnés à l’échelle de l’entité ou sont‑ils structurés selon des cloisonnements organisationnels distincts?

  • Qui sont les principales parties prenantes de l’entité et comment la relation de l’entité avec ces parties prenantes est‑elle surveillée?

  • L’entité collabore-t-elle activement avec ses parties prenantes?

  • Quelles sont les stratégies et les valeurs énoncées par l’entité en ce qui concerne les questions environnementales, sociales et de gouvernance?

  • Quelle information est tenue à jour aux fins de la mesure et de la surveillance des questions environnementales, sociales et de gouvernance?
Modèle opérationnel – objectifs et stratégie

  • Quelle est la stratégie ou la vision à long terme de l’entité?

  • La stratégie est‑elle documentée et, le cas échéant, comment est‑elle communiquée et à qui?

  • Sur quoi repose la réévaluation de la stratégie?

  • Les changements apportés à la stratégie sont‑ils documentés et expliqués?

  • Quels renseignements sur la mesure du rendement le conseil d’administration reçoit‑il et sur lesquels se fonde-t‑il pour déterminer si l’entité se conforme à la stratégie (p. ex., quels sont les objectifs quantifiés à court et à moyen terme que la direction et les responsables de la gouvernance utilisent pour évaluer le rendement de l’entité par rapport aux objectifs à long terme convenus)?

  • L’entité se compare-t-elle à un groupe de pairs (p. ex., un groupe de pairs a-t‑il été défini et les objectifs quantifiés à court et à moyen terme sont‑ils examinés par rapport au rendement du groupe de pairs)?
Modèle opérationnel – profil de risque

  • Quels sont les risques propres à chaque secteur d’activité?

  • En quoi consistent la stratégie de risque et l’appétence pour le risque de l’entité?

  • Comment les risques identifiés sont‑ils gérés?

  • Comment l’entité détermine‑t‑elle les niveaux de risque acceptables?

  • Comment le risque est‑il intégré aux décisions d’investissement?

  • Comment les risques non financiers (p. ex., les risques liés à l’environnement et à la sécurité) sont‑ils identifiés et gérés?

  • L’entité a-t‑elle un plan de reprise après sinistre, et si oui, a‑t‑il été mis à l’essai?
Modèle opérationnel – clientèle

  • Comment l’entité définit-elle et segmente-t-elle ses clients?

  • Quels renseignements conserve‑t‑on pour mesurer et surveiller la rentabilité des relations avec la clientèle au fil du temps, ce qui comprend les coûts d’acquisition et du maintien de la clientèle ainsi que des services offerts?

  • Comment les canaux opérationnels liés à la gestion de la clientèle évoluent‑ils?

  • Comment les plaintes des clients sont‑elles saisies et gérées?

  • Quels renseignements utilise-t‑on pour évaluer le rendement du service à la clientèle par rapport à la concurrence et aux attentes des clients?
Modèle opérationnel – ressources humaines

  • L’entité considère-t-elle le capital humain (c.‑à‑d. les employés hautement qualifiés) comme un facteur important de valeur?

  • Quelles personnes au sein de l’entité sont les plus importantes pour la réussite de l’entité (p. ex., personnes responsables des ventes, du marketing, de la recherche et développement)?

  • Quels sont les risques ou les menaces les plus importants par rapport au fait d’attirer et de retenir les ressources humaines essentielles à l’entité?

  • Quelle information tient‑on à jour pour mesurer et surveiller le rendement du capital humain?
Modèle opérationnel – innovation

  • L’innovation est‑elle un moteur clé de la valeur dans les activités de l’entité, et si oui, de quelle façon?

  • Comment les nouvelles idées et l’innovation sont‑elles mesurées et surveillées au sein de l’entité?

  • Comment l’entité évalue‑t‑elle l’efficacité des dépenses en recherche et développement (rendement du capital investi ou autre mesure)?
Modèle opérationnel – marques

  • Comment l’entité gère-t-elle et mesure‑t‑elle la valeur de ses marques?

  • Quels sont les plus grands risques pour la valeur de la marque et comment la direction s’y remédie-t-elle?

  • Combien l’entité dépense-t-elle en publicité pour bâtir sa marque?

  • Comment l’entité mesure-t-elle l’efficacité des dépenses publicitaires?

  • Quels sont les indicateurs avancés et rétrospectifs de la valeur de la marque sur lesquels l’entité met l’accent?

  • L’entité dispose-t-elle d’un inventaire de l’ensemble de ses droits de propriété intellectuelle (p. ex., brevets, marques de commerce)? Si oui, sont‑ils gérés activement et par qui sont‑ils gérés?

  • Y a-t‑il des droits de propriété intellectuelle détenus par l’entité qui ne sont plus essentiels à la stratégie de l’entité? Dans l’affirmative, quels sont les plans et les processus pour réaliser la valeur de ces actifs?
Modèle opérationnel – chaîne d’approvisionnement

  • Quelle est l’importance de la chaîne d’approvisionnement de l’entité pour la réussite globale de sa stratégie?

  • Quels sont les aspects et les relations critiques dont dépend la chaîne d’approvisionnement?

  • Quelle information tient‑on à jour pour expliquer la chaîne de valeur des activités et à quelle fréquence est‑elle examinée et soumise à des tests de marché?

  • Quels renseignements utilise‑t‑on pour appuyer les décisions concernant les ententes d’impartition et de partenariat?

  • Sur quels renseignements s’appuie‑t‑on pour surveiller la valeur créée par les coentreprises, les alliances et les activités d’impartition?
Modèle opérationnel – utilisation de la TI

  • Comment le modèle opérationnel de l’entité repose‑t‑il sur l’utilisation de la TI (p. ex., ventes directes en ligne, utilisation de processus hautement automatisés, utilisation de nouvelles technologies)?

  • Dans quelle mesure l’entité compte‑t‑elle sur l’utilisation de la TI (p. ex., principalement des opérations manuelles avec une dépendance limitée, des opérations avec une dépendance dans l’ensemble de l’entité)?

  • L’entité dispose-t-elle d’un processus de gouvernance de la TI et de surveillance de l’efficacité des contrôles généraux informatiques à l’appui du modèle opérationnel?

  • Quelles sont les applications de TI utilisées aux fins de traitement des transactions dans l’ensemble des principaux processus opérationnels de l’entité?

  • Comment la TI (p. ex., interfaces, autres technologies) est‑elle intégrée au modèle opérationnel de l’entité aux fins d’interaction avec les parties prenantes (p. ex., clients, fournisseurs)?

  • Prévoit‑on apporter des changements à l’utilisation de la TI dans le modèle opérationnel au cours de l’exercice en cours (p. ex., degré de dépendance à l’égard de la TI, applications nouvelles ou mises à niveau importantes)?

  • Prévoit‑on des changements importants sur le plan de la gestion de la TI au cours de l’exercice en cours (p. ex., changement dans les rôles principaux liés à la TI, changement dans la structure hiérarchique)?
Facteurs sectoriels pertinents

  • Que pense la direction de la situation et des caractéristiques actuelles de l’industrie (p. ex., nombre et nature des concurrents, relations avec les clients, les fournisseurs, les organismes de réglementation et d’autres parties prenantes)? Comment cela se compare‑t‑il à la compréhension acquise par l’auditeur de l’industrie?

  • Quels changements importants sont prévus par rapport à l’état et aux caractéristiques de l’industrie? L’entité est‑elle prête à y faire face?

  • Quel est le cycle de vie des produits typiques offerts dans l’industrie dans laquelle l’entité exerce ses activités (p. ex., marché hautement concurrentiel avec obsolescence rapide des produits)?

  • Quelle est la vision à court et moyen terme de l’entité quant au potentiel de croissance du marché?

  • Quels renseignements l’entité utilise‑t‑elle pour définir ses marchés clés et sa part de marché?

  • Comment l’entité surveille-t-elle les activités de ses concurrents?

  • Y a-t‑il un équilibre général des pouvoirs entre tous les concurrents ou y a‑t‑il une ou quelques entités dominantes qui définissent les « conditions du marché » pour l’industrie?

  • En raison de la tendance à la mondialisation du marché, de nouveaux concurrents sont‑ils apparus?

  • Quels sont, le cas échéant, les obstacles à l’entrée de nouveaux venus dans l’industrie?
Facteurs réglementaires pertinents

  • Quels règlements actuels touchent le plus l’entité (p. ex., règlements de l’industrie, règlements financiers, règlements environnementaux, règlements en matière de santé et de sécurité, règlements fiscaux)?

  • Des changements importants liés à ces règlements sont‑ils prévus et touchent‑ils l’entité?

  • Si des changements majeurs sont prévus, quelles seraient les répercussions de ces changements, et l’entité est‑elle prête à y faire face?

  • Quelles preuves de conformité aux exigences réglementaires l’entité produit‑elle (p. ex., rapports réglementaires, publications gouvernementales)?

  • L’entité a-t‑elle une stratégie de migration pour respecter les normes de présentation de l’information futures qui sont souhaitées ou nécessaires?

  • Y a-t‑il des groupes non réglementés qui exercent des pressions importantes sur l’entité (p. ex., des organisations non gouvernementales comme Greenpeace ou les Amis de la Terre)?

  • L’entité a-t‑elle divulgué publiquement certains renseignements ou pris des engagements publics concernant la mise en œuvre de mesures précises liées aux répercussions des changements climatiques (p. ex., un engagement à atteindre la carboneutralité d’ici une date précise)?
Autres facteurs externes

  • Que pense la direction des perspectives économiques à court et à moyen terme?

  • Dans quelle mesure l’entité est‑elle touchée par l’évolution des conditions économiques (p. ex., croissance du PIB, variation des taux d’intérêt, inflation et taux de chômage)?

  • De quels principaux indicateurs économiques l’entité fait‑elle un suivi et quelle est la source de cette information?

  • L’entité exerce-t-elle ses activités dans des régions où règne une incertitude politique? Quelles mesures sont prises aux fins d’atténuation des risques connexes?

  • L’évolution rapide de la technologie influe‑t‑elle sur les cycles de vie des produits de l’entité?

  • Comment l’entité est‑elle touchée par l’évolution des tendances sociales dans les régions géographiques où elle exerce ses activités (p. ex., acceptation accrue du travail à domicile, augmentation des achats de repas préparés)?
Mesures utilisées, à l’interne et à l’externe, pour évaluer la performance financière de l’entité

  • Comment l’entité évalue-t-elle sa capacité à créer de la valeur (p. ex., en surveillant une mesure externe et/ou interne de la valeur pour l’actionnaire)?

  • Comment l’entité intègre-t-elle les différents niveaux de risque pour déterminer les rendements cibles et évaluer le rendement global?

  • Quel est le processus d’établissement du coût du capital de l’entité et de l’unité opérationnelle et à quelle fréquence est‑il réévalué? Est‑il conforme aux attentes du marché?

  • L’entité compare-t-elle son propre rendement à celui d’entités comparables?
Évaluation de la situation financière de l’entité

  • Comment l’entité détermine-t-elle sa stratégie de financement?

  • À quelle fréquence les prévisions de trésorerie sont‑elles préparées et pour quelle période?

  • Comment l’entité évalue-t-elle si ses ententes de financement sont appropriées?

  • L’entité compare-t-elle ses mesures de la situation financière à celles d’entités comparables?

  • Comment l’entité évalue-t-elle la « valeur » de ses immobilisations corporelles (p. ex., valeur/état, âge et qualité des immobilisations corporelles par rapport à la valeur comptable nette historique)?

  • Comment les décisions d’investissement sont‑elles prises et quels sont les principaux éléments du processus d’approbation?
Évaluer le rendement du secteur ou de l’unité opérationnelle

  • Comment la direction a-t‑elle segmenté les activités et existe‑t‑il une structure de gestion organisationnelle?

  • Quelle est l’autonomie de chaque unité opérationnelle et comment le groupe exerce‑t‑il son influence et son contrôle?

  • Comment l’entité détermine-t-elle si chacune des entreprises ou unités d’exploitation crée ou détruit de la valeur?

  • Un coût du capital différent est‑il attribué à chacune des unités pour tenir compte du profil de risque de chaque unité?

  • Les mesures du rendement sont-elles uniformes dans l’ensemble des secteurs ou des unités opérationnelles?

  • Chaque unité opérationnelle compare-t-elle sa propre performance à celle d’autres unités ou entités homologues externes?

  • Comment l’entité surveille-t-elle la contribution de chaque produit et service?
Le référentiel d’information financière applicable et la sélection et l’application des méthodes comptables par l’entité

  • Comparativement à ses pairs, les méthodes et pratiques comptables de l’entité sont‑elles ambitieuses ou conservatrices?

  • Prévoit‑on apporter des changements aux méthodes ou aux pratiques comptables au cours de l’exercice en cours en réponse à des changements dans les méthodes d’exploitation de l’entité ou à des changements dans les normes comptables ou réglementaires?

  • Y a-t‑il des normes comptables qui justifient une attention particulière de la part de l’entité ou de la part des auditeurs en raison de changements dans les activités du client ou d’opérations importantes, inhabituelles ou non récurrentes?

  • Les méthodes comptables semblent-elles les plus appropriées?

  • Quel est le lien entre les gains et la rémunération des cadres supérieurs?
Autres facteurs pertinents

  • Quelle est l’importance de la réputation de l’entité par rapport à sa valeur à long terme?

  • Quelles activités sont les plus importantes, tant à l’interne qu’à l’externe, par rapport à la réputation de l’entité et quels renseignements la direction possède‑t‑elle au sujet de ces activités?

  • Quels sont les plus grands risques pour la réputation de l’entité?

  • Quelle information la direction utilise‑t‑elle pour surveiller ces risques ou menaces?
Demandes d’informations auprès de la fonction d’audit interne

L’objectif des demandes d’informations auprès des auditeurs internes est le même que celui des réunions initiales avec la direction. La fonction d’audit interne (ou son équivalent) connaît bien les activités et les risques de l’entité, et cette connaissance peut être utile pour l’évaluation des risques et l’établissement du plan d’audit. Si l’entité dispose d’une fonction d’audit interne, son évaluation des risques de l’entité et de son environnement de contrôle ainsi que les résultats de ses travaux antérieurs peuvent aider l’auditeur à avoir une meilleure compréhension de l’entité. L’auditeur procède donc à des demandes d’informations auprès de la fonction d’audit interne afin de déterminer s’il prévoit ou non utiliser les travaux de la fonction d’audit interne pour modifier la nature ou le calendrier des procédures d’audit ou en réduire l’étendue. Voir la section BVG Audit 6030 pour des directives sur l’utilisation des travaux de la fonction d’audit interne.

Les demandes d’informations se font au cours de l’étape de planification de l’audit. Cependant, l’auditeur ne limite pas nécessairement ces demandes d’informations à l’étape de planification; il en tient compte à chaque étape de l’audit, en se demandant s’il y a lieu de demander d’autres informations.

En se fondant sur la compréhension de la fonction d’audit interne et des activités de l’entité qu’il a acquise, l’auditeur détermine les personnes les plus appropriées au sein de la fonction d’audit interne avec lesquelles il convient de communiquer et d’organiser ses demandes d’informations. Généralement, c’est le chef de la fonction d’audit interne qu’il convient de rencontrer, mais il peut y avoir d’autres personnes de la fonction qui ont une connaissance plus directe des sujets à examiner.

Pour planifier ses demandes d’informations auprès de la fonction d’audit interne, l’auditeur peut tenir compte des aspects suivants :

  • l’évaluation des risques de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité;

  • les constatations et les observations présentées par les auditeurs internes à la direction relativement à des audits effectués ou en cours;

  • la réponse de la direction aux constatations des auditeurs internes.

La préparation de l’équipe d’audit peut comprendre également la lecture de documents de planification et de rapports d’audit choisis qui ont été élaborés par la fonction d’audit interne.

Entretiens avec la direction et les auditeurs internes au cours de l’audit

Tout au long de l’audit, l’équipe d’audit pourra s’entretenir avec la direction, les représentants de la fonction d’audit interne (ou son équivalent) et d’autres personnes.

Les informations recueillies au cours de ces entretiens peuvent permettre à l’auditeur de mettre à jour sa compréhension de l’entité et d’approfondir l’évaluation des risques qu’il a effectuée à l’étape de la planification.

Dans le cadre des réunions, il peut s’enquérir de ce qui suit :

  • A-t‑il reçu de nouveaux renseignements ou d’autres renseignements qui diffèrent considérablement de ceux sur lesquels l’évaluation des risques était fondée?

  • La direction a-t‑elle identifié de nouveaux risques liés aux activités, y compris des risques de fraude?

  • Au cours de l’audit, a-t‑il reçu des renseignements indiquant que les contrôles pourraient ne pas fonctionner efficacement ou qu’une catégorie d’opérations importante, un solde de compte important ou une information à fournir importante comporte des anomalies?

Observations physiques et inspections

Exigences des NCA

Les procédures d’évaluation des risques doivent notamment comprendre : (NCA 315.14)

c) des observations physiques et des inspections.

Directives des NCA

Les observations physiques et les inspections peuvent étayer, corroborer ou contredire les informations recueillies auprès de la direction ou d’autres personnes, et peuvent aussi fournir des informations sur l’entité et son environnement. (NCA 315.A32)

Les procédures d’évaluation des risques peuvent notamment consister en des observations physiques et des inspections portant sur : (NCA 315.A34)

  • les activités de l’entité;

  • des documents internes (tels que les plans d’affaires et les stratégies), les documents comptables et les manuels de contrôle interne;

  • les rapports produits par la direction (par exemple, les rapports de gestion trimestriels et les états financiers intermédiaires) et par les responsables de la gouvernance (par exemple, les procès‑verbaux des réunions du conseil d’administration);

  • les établissements et les installations de production de l’entité;

  • les informations provenant de sources externes, notamment les revues de commerce ou d’économie, les rapports rédigés par des analystes, des banques ou des agences de notation, les publications réglementaires ou financières, ou d’autres documents externes qui traitent de la performance financière de l’entité (comme ceux qui sont mentionnés au paragraphe A79);

  • le comportement et les actions de la direction et des responsables de la gouvernance (l’auditeur peut, par exemple, observer une réunion du comité d’audit).

Utilisation des informations obtenues dans le cadre du processus d’acceptation et de maintien de la relation client et d’autres missions

Exigences des NCA

Pour obtenir des éléments probants conformément au paragraphe 13, l’auditeur doit prendre en considération les informations obtenues dans le cadre : (NCA 315.15)

a) des procédures qu’il a mises en œuvre relativement à l’acceptation ou au maintien de la relation client ou de la mission d’audit;

b) d’autres missions réalisées auprès de l’entité par l’associé responsable de la mission, le cas échéant.

Directives des NCA

Certaines informations provenant d’autres sources peuvent aider l’auditeur à identifier et à évaluer les risques d’anomalies significatives en le renseignant sur : (NCA 315.A37)

  • la nature de l’entité, les risques d’entreprise auxquels elle est exposée ainsi que les changements survenus au cours de la période considérée;

  • l’intégrité et les valeurs éthiques de la direction et des responsables de la gouvernance, ce qui peut aussi lui être utile pour sa compréhension de l’environnement de contrôle;

  • le référentiel d’information financière applicable et son application au regard de la nature et des circonstances de l’entité.

Voici des exemples d’autres sources d’information pertinentes : (NCA 315.A38)

  • les procédures mises en œuvre par l’auditeur relativement à l’acceptation ou au maintien de la relation client ou de la mission d’audit, en application de la NCA 220, ainsi que les conclusions auxquelles elles ont abouti;

  • les autres missions réalisées auprès de l’entité par l’associé responsable de la mission, au cours desquelles celui‑ci peut avoir acquis des connaissances pertinentes pour l’audit, notamment en ce qui a trait à l’entité et à son environnement. Il peut s’agir de missions de procédures convenues ou d’autres missions d’audit ou de certification, y compris de missions portant sur les informations supplémentaires exigées dans un pays donné.

Directives du BVG

L’auditeur détermine si les renseignements utilisés pour effectuer l’évaluation du processus d’acceptation et de maintien de la relation client et les risques professionnels identifiés associés au client et à la mission peuvent l’aider à identifier les risques d’anomalies significatives, y compris les risques au niveau des états financiers qui peuvent être identifiés en fonction de la compréhension d’une entité obtenue dans le cadre de l’évaluation des informations relatives à l’acceptation ou au maintien de la relation client.

Voir la section BVG Audit 3010 pour des directives complémentaires sur l’acceptation et le maintien de la relation client.

La compréhension des autres missions réalisées pour l’entité auxquelles le responsable de mission a participé comprend la compréhension de la nature des services fournis, et pour les missions d’audit d’entités à établissements multiples, la compréhension des services fournis par d’autres équipes de mission.

Utilisation des informations obtenues de périodes antérieures

Exigences des NCA

Lorsque l’auditeur a l’intention d’utiliser des informations obtenues grâce à son expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures d’audit au cours des audits antérieurs, il doit évaluer si, en tant qu’éléments probants pour l’audit en cours, ces informations demeurent pertinentes et fiables. (NCA 315.16)

Directives des NCA

Les informations que l’auditeur a obtenues grâce à son expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures d’audit au cours des audits antérieurs peuvent l’aider à déterminer la nature et l’étendue des procédures d’évaluation des risques ainsi qu’à identifier et à évaluer les risques d’anomalies significatives. (NCA 315.A39)

L’expérience passée de l’auditeur auprès de l’entité et les procédures d’audit mises en œuvre au cours des audits antérieurs peuvent fournir à l’auditeur des informations sur des points tels que : (NCA 315.A40)

  • l’existence d’anomalies dans le passé et le fait qu’elles aient été corrigées ou non en temps opportun;

  • la nature de l’entité et de son environnement ainsi que son système de contrôle interne (y compris les déficiences du contrôle);

  • les changements importants qui ont pu survenir dans l’entité ou ses activités depuis la période financière précédente;

  • certains types d’opérations ou d’événements, ou les soldes de comptes (et les informations à fournir connexes), pour lesquels la mise en œuvre des procédures d’audit nécessaires a posé des difficultés, par exemple en raison de leur complexité.

L’auditeur est tenu de déterminer si les informations obtenues grâce à son expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures d’audit au cours des audits antérieurs sont toujours pertinentes et fiables lorsqu’il a l’intention de les utiliser dans le cadre de l’audit en cours. Si la nature ou les circonstances de l’entité ont changé ou que de nouvelles informations ont été obtenues, il est possible que les informations obtenues au cours de périodes antérieures ne soient plus pertinentes et fiables pour l’audit en cours. Pour déterminer s’il y a eu des changements susceptibles d’affecter la pertinence ou la fiabilité de ces informations, l’auditeur peut procéder à des demandes d’informations et mettre en œuvre d’autres procédures d’audit appropriées, par exemple soumettre les systèmes pertinents à des tests de cheminement. Si les informations ne sont plus fiables, il peut envisager de mettre en œuvre des procédures supplémentaires appropriées aux circonstances. (NCA 315.A41)

Directives du BVG

Il faut déterminer si l’expérience relative à des audits précédents est une source d’information pertinente et fiable aux fins de l’évaluation des risques pour l’exercice considéré. On doit tenir compte de ce qu’on a appris dans le cadre des audits d’exercices précédents et des connaissances acquises dans le cadre des interactions continues avec la direction et d’autres missions durant cette période (missions auxquelles le responsable de mission a participé).

Les changements importants aux activités opérationnelles, aux risques ou à l’environnement informatique de l’entité ont tendance à avoir une incidence sur la compréhension acquise par l’auditeur dans le cadre d’audits antérieurs. La connaissance axée sur les résultats d’audits antérieurs du caractère non fiable des systèmes comptables ou des contrôles de l’entité ou des jugements et des estimations de la direction peut être affectée favorablement si des améliorations ont été apportées aux systèmes et aux contrôles, dont des changements à l’égard du personnel (le recrutement d’un nouveau contrôleur financier expérimenté). Les changements apportés par l’entité peuvent également avoir des répercussions négatives sur la pertinence et la fiabilité des connaissances découlant d’audits antérieurs, en particulier lorsque le contrôle de la direction sur les changements n’est pas efficace. Dans tous les cas, l’auditeur doit tenir compte de l’incidence des changements apportés par l’entité lorsqu’il évalue la pertinence et la fiabilité de l’expérience découlant d’audits antérieurs, ainsi que de l’incidence que les changements peuvent avoir sur l’évaluation des risques pour la période courante. Voici quelques exemples de changements qui pourraient influer sur l’évaluation des risques :

  • des changements dans l’environnement opérationnel, sectoriel et réglementaire, des facteurs opérationnels inhabituels, des changements relatifs à la stratégie, à l’environnement de contrôle, au personnel de direction ou à la structure de l’entité, ainsi que les pressions connexes et les risques sous‑jacents, dont le risque de fraude;

  • les modifications apportées aux systèmes et à la technologie, ainsi qu’aux processus et aux contrôles que la direction utilise pour obtenir une assurance.

Entretiens entre les membres de l’équipe de mission

Exigences des NCA

L’associé responsable de la mission et les autres membres clés de l’équipe de mission doivent s’entretenir de l’application du référentiel d’information financière applicable ainsi que de la vulnérabilité des états financiers de l’entité aux anomalies significatives. (NCA 315.17)

Lorsque certains membres de l’équipe de mission ne participent pas à l’entretien, l’associé responsable de la mission doit déterminer les points qui doivent leur être communiqués. (NCA 315.18)

Directives des NCA

Les entretiens qu’ont les membres de l’équipe de mission au sujet de l’application du référentiel d’information financière applicable ainsi que de la vulnérabilité des états financiers de l’entité aux anomalies significatives : (NCA 315.A42)

  • constituent, pour les membres les plus expérimentés de l’équipe, y compris l’associé responsable de la mission, des occasions de partager les informations dont ils disposent déjà en raison de leur connaissance de l’entité, ce qui aide tous les membres de l’équipe de mission à acquérir une meilleure compréhension;

  • permettent aux membres de l’équipe d’échanger des informations sur les risques d’entreprise auxquels est exposée l’entité et sur la façon dont les facteurs de risque inhérent influent sur la possibilité que des catégories d’opérations, des soldes de comptes et des informations à fournir comportent des anomalies, et de chercher à prévoir où et comment les états financiers sont susceptibles de comporter des anomalies significatives résultant de fraudes ou d’erreurs;

  • aident les membres de l’équipe à acquérir une meilleure compréhension des possibilités d’anomalies significatives dans les états financiers pour les aspects particuliers de l’audit qui leur ont été confiés, et à comprendre comment les résultats des procédures d’audit qu’ils mettent en œuvre peuvent avoir une incidence sur d’autres aspects de l’audit, notamment les décisions concernant la nature, le calendrier et l’étendue des procédures d’audit complémentaires. Plus particulièrement, ces entretiens aident les membres de l’équipe à examiner de près les informations contradictoires qui peuvent ressortir lorsqu’ils mettent en commun leur compréhension de la nature et des circonstances de l’entité;

  • fournissent une base de référence à partir de laquelle les membres de l’équipe communiquent et partagent les nouvelles informations obtenues tout au long de l’audit et pouvant avoir une incidence sur l’évaluation des risques d’anomalies significatives ou sur les procédures d’audit mises en œuvre pour répondre à ces risques.

Selon la NCA 240, ces entretiens doivent viser tout particulièrement à déterminer où et comment les états financiers de l’entité sont susceptibles de comporter des anomalies significatives résultant de fraudes, et comment une fraude aurait pu être perpétrée.

L’esprit critique est indispensable à une appréciation critique des éléments probants et, même dans le cas des audits récurrents, la tenue de discussions approfondies et ouvertes entre les membres de l’équipe de mission peut améliorer l’identification et l’évaluation des risques d’anomalies significatives. De tels entretiens peuvent aussi aider l’auditeur à cerner des aspects précis de l’audit pour lesquels l’exercice de l’esprit critique pourrait s’avérer particulièrement important, et amener les membres plus expérimentés de l’équipe de mission qui possèdent les compétences nécessaires à prendre part à la mise en œuvre des procédures d’audit se rapportant à ces aspects. (NCA 315.A43)

Lors des entretiens entre les membres de l’équipe de mission, la prise en compte des obligations d’information du référentiel d’information financière applicable permet de repérer tôt au cours de l’audit les secteurs dans lesquels il peut y avoir des risques d’anomalies significatives relativement aux informations fournies, même dans les cas où ce référentiel ne comporte que des obligations d’information simplifiées. Voici des exemples de questions dont l’équipe de mission peut discuter : (NCA 315.A46)

  • les modifications visant les exigences en matière d’information financière qui peuvent donner lieu à d’importantes obligations d’information nouvelles ou modifiées;

  • les changements dans l’environnement de l’entité, dans sa situation financière ou dans ses activités qui peuvent donner lieu à d’importantes obligations d’information nouvelles ou modifiées, par exemple, un important regroupement d’entreprises survenu au cours de la période auditée;

  • les informations à fournir pour lesquelles l’obtention d’éléments probants suffisants et appropriés par l’auditeur a peut-être été difficile dans le passé;

  • les informations à fournir sur des questions complexes, y compris celles à l’égard desquelles la direction doit porter des jugements importants quant aux informations qu’il convient de communiquer.

Lors des entretiens entre les membres de l’équipe de mission, les auditeurs d’entités du secteur public peuvent aussi discuter d’objectifs généraux supplémentaires liés au mandat d’audit ou aux obligations auxquelles doivent se conformer les entités du secteur public, et des risques se rattachant à ces objectifs. (NCA 315.A47)

Directives du BVG

Les entretiens entre les membres de l’équipe de mission sont un élément important du processus d’évaluation des risques du BVG. Le responsable de mission et les principaux membres de l’équipe de mission échangent leurs points de vue sur l’identification et l’évaluation des risques d’anomalies significatives en fonction de leur connaissance de l’entité. Voici des exemples de points de discussion qui aident aux fins de l’évaluation initiale des risques :

  • Compréhension par l’équipe de mission de l’entité et de son environnement, y compris des risques opérationnels auxquels l’entité est exposée

  • Résultats des procédures analytiques d’évaluation des risques

  • Résultats de l’évaluation par l’équipe de mission du système de contrôle interne de l’entité

  • Seuil de signification

  • Application par l’entité du référentiel d’information financière applicable, y compris des exigences en matière de présentation de l’information

  • Où et comment les états financiers de l’entité sont susceptibles de comporter des anomalies significatives en raison de fraudes ou d’erreurs

  • Postes importants des états financiers et assertions pertinentes

  • Postes des états financiers jugés non importants, mais qui sont significatifs

  • Probabilité et ampleur des risques d’anomalies significatives identifiés, y compris la mesure dans laquelle les facteurs de risque inhérent influent sur la probabilité qu’une assertion pertinente comporte des anomalies

  • Importance de l’exercice de l’esprit critique

  • Comment les nouveaux renseignements obtenus dans le cadre de l’audit peuvent avoir une incidence sur l’évaluation des risques

Le responsable de mission s’appuie sur son jugement professionnel, son expérience avec l’entité et ce qu’il sait des derniers développements pour déterminer qui, parmi les autres membres de l’équipe de mission, participera aux entretiens.

Les entretiens pourraient se dérouler lors d’une réunion de planification d’équipe ou faire l’objet d’une autre réunion, mais s’ils ont lieu lors d’une réunion de plus grande envergure, il faut prévoir suffisamment de temps pour les échanges sur l’évaluation des risques par l’équipe de mission.

Pour obtenir des directives sur les entretiens entre les membres de l’équipe de mission, se reporter à la section BVG Audit 4010. Pour savoir où et comment les états financiers de l’entité peuvent être susceptibles de comporter des anomalies significatives résultant de fraudes, y compris la façon dont la fraude peut se produire, voir la section BVG Audit 5505.

Procédures d’évaluation des risques supplémentaires effectuées après l’approbation de la planification

Exigences des NCA

Si l’auditeur obtient de nouvelles informations qui sont incohérentes avec les éléments probants sur lesquels il s’est fondé pour procéder à l’identification ou à l’évaluation initiales des risques d’anomalies significatives, il doit réviser cette identification ou cette évaluation. (NCA 315.37)

Directives des NCA

L’acquisition d’une compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité est un processus dynamique et itératif de collecte, de mise à jour et d’analyse d’informations qui se poursuit tout au long de l’audit. Par conséquent, l’auditeur peut revoir ses attentes en fonction des nouvelles informations obtenues. (NCA 315.A48)

Pendant l’audit, il se peut que l’auditeur prenne connaissance de nouvelles informations ou d’autres informations qui diffèrent sensiblement des informations ayant servi à son évaluation des risques. (NCA 315.A236)

Exemple :

L’évaluation des risques par l’entité peut reposer sur l’attente du fonctionnement efficace de certains contrôles. En testant ces contrôles, l’auditeur peut obtenir des éléments probants indiquant que les contrôles ne fonctionnaient pas efficacement à des moments pertinents au cours de l’audit. De même, lors de la mise en œuvre de procédures de corroboration, l’auditeur peut détecter des anomalies dont les montants ou la fréquence ne sont pas compatibles avec son évaluation des risques. Il se peut alors que l’évaluation initiale des risques ne reflète pas adéquatement la situation réelle de l’entité et que les procédures d’audit complémentaires prévues ne soient pas efficaces pour détecter les anomalies significatives. Les paragraphes 16 et 17 de la NCA 330 fournissent des indications supplémentaires concernant l’évaluation de l’efficacité du fonctionnement des contrôles.

Directives du BVG

Lors de l’exécution du plan d’audit élaboré sur la base des procédures d’évaluation des risques mises en œuvre au cours de l’étape de planification d’un audit, il peut être approprié de mettre en œuvre des procédures d’évaluation des risques supplémentaires au cours de l’étape d’exécution, par exemple :

  • Le plan d’audit documenté peut comprendre la mise en œuvre de procédures supplémentaires d’évaluation des risques, comme des procédures analytiques d’évaluation des risques (p. ex., analyse des tendances ou des ratios) prévues dans le cadre de la méthode d’audit à l’égard des comptes de résultats autres que les comptes de produits, ou d’autres demandes d’informations auprès de la direction ou d’autres personnes. (p. ex., membres de la fonction d’audit interne).

  • Comme il est décrit dans la section BVG Audit 4025, dans certaines circonstances limitées, l’auditeur pourrait avoir à prévoir l’exécution de procédures après le point d’approbation de la planification pour déterminer si les contrôles au sein de la composante des activités de contrôle ont été mis en œuvre.

  • Des informations peuvent être portées à l’attention de l’auditeur, qui, selon son jugement professionnel, justifient la mise en œuvre de procédures d’évaluation des risques supplémentaires (p. ex., les entretiens avec la direction pendant la mission peuvent fournir des renseignements supplémentaires sur l’entit, ce qui peut amener l’auditeur à décider d’observer un aspect supplémentaire des activités d’une entité ou d’inspecter d’autres documents ou dossiers).

Comme pour les procédures d’évaluation des risques mises en œuvre lors de la planification de l’audit, toutes les procédures d’évaluation des risques supplémentaires mises en œuvre contribuent à l’actualisation de la compréhension de l’entité et peuvent contribuer aux éléments probants obtenus, sans toutefois être destinées à être des procédures de corroboration ou des tests de contrôle, et elles ne sont pas documentées d’une manière qui indique que tel est le cas. Lorsque des renseignements supplémentaires concernant l’entité et son environnement sont obtenus, l’auditeur détermine s’il est nécessaire de revoir l’évaluation initiale des risques ou de modifier la nature, le calendrier ou l’étendue des procédures d’audit prévues.

Pour obtenir davantage de directives sur les changements à apporter à la stratégie et au plan d’audit, voir la section BVG Audit 4050. Il faut envisager de documenter les procédures d’évaluation des risques supplémentaires mises en œuvre après l’approbation de la planification dans les « procédures d’évaluation des risques supplémentaires » dans le cadre des activités facultatives de collecte d’éléments probants.

Documentation

Exigences des NCA

L’auditeur doit consigner dans la documentation de l’audit : (NCA 315.38)

  1. les entretiens entre les membres de l’équipe de mission ainsi que les décisions importantes prises à l’issue de ces entretiens;

  2. les éléments clés de la compréhension qu’il a acquise conformément aux paragraphes 19, 21, 22, 24 et 25, les sources d’informations qui lui ont permis d’acquérir cette compréhension, et les procédures d’évaluation des risques mises en œuvre;

  3. son évaluation de la conception des contrôles identifiés et sa vérification de leur mise en place, conformément aux exigences du paragraphe 26;

  4. les risques d’anomalies significatives qu’il a identifiés et évalués au niveau des états financiers et au niveau des assertions, y compris les risques importants et les risques pour lesquels les procédures de corroboration ne peuvent fournir, à elles seules, des éléments probants suffisants et appropriés, ainsi que le raisonnement qui sous‑tend les jugements importants portés.

Directives des NCA

Dans le cas de missions récurrentes, certains éléments de la documentation d’audits antérieurs peuvent être réutilisés, après mise à jour au besoin pour refléter les changements survenus dans les activités ou les processus de l’entité. (NCA 315.A237)

La NCA 230 mentionne notamment qu’il se peut qu’il n’existe pas de façon unique de documenter l’exercice de l’esprit critique, mais que la documentation de l’audit peut néanmoins attester que l’auditeur a fait preuve d’esprit critique. Par exemple, lorsque certains éléments probants obtenus au moyen des procédures d’évaluation des risques corroborent les assertions de la direction et que d’autres les contredisent, la documentation peut mentionner comment l’auditeur a évalué ces éléments probants. Elle peut décrire, notamment, les jugements professionnels que l’auditeur a portés pour évaluer si les éléments probants fournissent une base appropriée pour son identification et son évaluation des risques d’anomalies significatives. Voici des exemples d’autres exigences de la présente NCA pour lesquelles la documentation peut attester que l’auditeur a fait preuve d’esprit critique : (NCA 315.A238)

  • le paragraphe 13, qui exige que l’auditeur conçoive et mette en œuvre les procédures d’évaluation des risques en évitant tout parti pris qui favoriserait l’obtention d’éléments probants corroborant l’existence de risques ou l’exclusion d’éléments probants contredisant l’existence de risques;

  • le paragraphe 17, qui exige que les membres clés de l’équipe de mission s’entretiennent de l’application du référentiel d’information financière applicable ainsi que de la vulnérabilité des états financiers de l’entité aux anomalies significatives;

  • l’alinéa 19 b) et le paragraphe 20, qui exigent que l’auditeur acquière une compréhension des raisons des changements dans les méthodes comptables retenues par l’entité et qu’il évalue si ces méthodes sont appropriées et si elles sont conformes au référentiel d’information financière applicable;

  • les alinéas 21 b), 22 b), 23 b), 24 c), 25 c), 26 d) et le paragraphe 27, qui exigent que l’auditeur évalue, après avoir acquis la compréhension requise, si les composantes du système de contrôle interne de l’entité sont appropriées aux circonstances de celle‑ci, compte tenu de la nature et de la complexité de l’entité, et qu’il détermine si une ou plusieurs déficiences du contrôle ont été relevées;

  • le paragraphe 35, qui exige que l’auditeur tienne compte de tous les éléments probants obtenus au moyen des procédures d’évaluation des risques, que ces éléments corroborent ou contredisent les assertions de la direction, et qu’il évalue si ces éléments probants fournissent une base appropriée pour l’identification et l’évaluation des risques d’anomalies significatives;

  • le paragraphe 36, qui exige que l’auditeur évalue si le jugement qu’il a porté en déterminant qu’il n’y avait pas de risques d’anomalies significatives relativement aux catégories d’opérations, aux soldes de comptes et aux informations à fournir qui sont significatifs demeure approprié.

La façon dont l’auditeur consigne dans son dossier les informations exigées au paragraphe 38 relève de son jugement professionnel. (NCA 315.A239)

Il peut être nécessaire de constituer une documentation plus détaillée – suffisante pour permettre à un auditeur expérimenté et n’ayant pas jusqu’alors participé à l’audit de comprendre la nature, le calendrier et l’étendue des procédures d’audit mises en œuvre – pour étayer les raisons motivant les jugements difficiles qui ont été portés. (NCA 315.A240)

Dans le cas des audits d’entités peu complexes, la forme et l’étendue de la documentation peuvent être simples et relativement succinctes. La forme et l’étendue de la documentation dépendent de la nature, de la taille et de la complexité de l’entité et de son système de contrôle interne, de l’information disponible auprès de l’entité ainsi que des méthodes et de la technologie employées au cours de l’audit. Il n’est pas nécessaire de consigner en dossier tous les aspects de la compréhension de l’entité acquise par l’auditeur et des questions qui s’y rattachent. Les éléments clés de cette compréhension consignés par l’auditeur dans ses dossiers peuvent comprendre ceux sur lesquels il a fondé son évaluation des risques d’anomalies significatives. Toutefois, l’auditeur n’est pas tenu de consigner en dossier chaque facteur de risque inhérent pris en compte dans l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions. (NCA 315.A241)

Exemple :

Dans le cas des audits d’entités peu complexes, la documentation de l’audit peut être intégrée dans la documentation de l’auditeur sur la stratégie générale d’audit et le plan de mission. De même, par exemple, les résultats de l’évaluation des risques peuvent être consignés séparément ou être intégrés à la documentation de l’auditeur sur les procédures d’audit complémentaires.

Directives du BVG

Les procédures d’évaluation des risques et les activités connexes sont documentées dans les procédures accessibles dans le logiciel de documentation d’audit, qui sont structurées selon les domaines énoncés dans la norme NCA 315 et conformément au processus d’évaluation des risques du BVG. De plus, l’auditeur documente les conclusions tirées concernant l’identification des postes importants des états financiers et l’évaluation du risque inhérent connexe. Pour chaque risque identifié lié aux postes importants des états financiers, l’auditeur documente son évaluation du degré de possibilité d’anomalies pour chacun des facteurs de risque inhérent afin de documenter le fondement de ses jugements professionnels lorsqu’il évalue les risques d’anomalies significatives. Se reporter à la section BVG Audit 5043.3 pour obtenir des directives sur l’évaluation des facteurs de risque inhérent.

Sur la base de facteurs tels que la taille et la complexité de l’entité, l’auditeur doit faire preuve de jugement professionnel pour déterminer l’étendue de la documentation nécessaire aux fins de consignation de sa compréhension de l’entité et de son environnement ainsi que de sa compréhension du contrôle interne de l’entité, en mettant un accent précis sur les domaines applicables à l’entité.

Exemple :

En ce qui concerne les processus opérationnels moins complexes ou moins élaborés comportant un nombre limité de contrôles, la documentation pourrait se limiter à une description narrative du flux des transactions, y compris les détails qui identifient le personnel, les documents et les rapports observés. Au moment d’acquérir une compréhension, l’auditeur a identifié le contrôle concernant la mise en œuvre et l’examen des rapprochements des comptes du grand livre général dont il prévoit évaluer la conception et la mise en œuvre en même temps que son test de corroboration du rapprochement à la clôture (c.‑à‑d. les tests de corroboration peuvent également démontrer la compréhension de ce contrôle).

En ce qui concerne les processus opérationnels plus complexes ou plus développés comportant de nombreux contrôles, la documentation peut être plus exhaustive et inclure des organigrammes et/ou des descriptions narratives aux fins de documentation de la compréhension du flux des transactions et des contrôles identifiés ainsi qu’aux fins de l’évaluation de la conception et de la mise en œuvre de multiples contrôles au sein de la composante des activités de contrôle du système de contrôle interne de l’entité.

Conformément aux directives de la section BVG Audit 1141, l’auditeur détermine si les questions soulevées dans le cadre de l’évaluation des risques d’anomalies significatives doivent être consignées comme des questions importantes.
Directives connexes

Voir les directives sur la documentation de l’exercice d’un esprit critique à la section BVG Audit 1041 et les directives sur la documentation de l’audit à la section BVG Audit 1100.

Voir les directives sur les révisions de l’évaluation des risques à la section BVG Audit 5044 et à la section OAG Audit 4051.