5013 Déterminer les compétences et les capacités requises pour réaliser les activités d’évaluation des risques
sept.-2022

Déterminer les compétences et les capacités requises pour réaliser les activités d’évaluation des risques

Exigences des NCA

L’associé responsable de la mission doit s’assurer que l’équipe de mission ainsi que les experts choisis par l’auditeur qui n’en font pas partie possèdent collectivement la compétence et les capacités qui sont nécessaires pour :

a) réaliser la mission d’audit conformément aux normes professionnelles et aux exigences des textes légaux et réglementaires applicables;

b) permettre la délivrance d’un rapport d’audit approprié aux circonstances. (NCA 220.14)

Directives des NCA 

Affectation à l’équipe de mission

Pour évaluer si l’équipe de mission dispose collectivement de la compétence et des capacités appropriées attendues d’elle, l’associé responsable de la mission peut notamment se demander si l’équipe de mission répond aux critères suivants : (NCA 220.A11)

  • la compréhension et l’expérience pratique de missions d’audit de nature et de complexité semblables à la mission en question, acquises par une formation appropriée et la participation à de telles missions;
  • la compréhension des normes professionnelles et des exigences légales et réglementaires applicables;
  • une expertise technique, y compris une expertise des technologies de l’information pertinentes et de domaines spécialisés de la comptabilité et de l’audit;
  • une connaissance des secteurs dans lesquels le client exerce ses activités;
  • la capacité d’exercer un jugement professionnel;
  • la compréhension des politiques et procédures de contrôle qualité du cabinet.

Acquisition d’une compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité

Adaptabilité

L’utilisation que fait l’entité de l’informatique de même que la nature et l’étendue des changements survenus dans l’environnement informatique peuvent aussi avoir une incidence sur les compétences spécialisées qui sont nécessaires pour permettre l’acquisition de la compréhension requise. (NCA 315.A55)

Identification des applications informatiques qui sont vulnérables aux risques découlant du recours à l’informatique

Si l’environnement informatique de l’entité est particulièrement complexe, il est probable qu’il soit nécessaire d’inclure dans l’équipe des membres possédant des compétences spécialisées en informatique qui seront appelés à participer à l’identification des applications informatiques et des autres aspects de l’environnement informatique, des risques connexes découlant du recours à l’informatique et des contrôles généraux informatiques. La contribution de ces membres dans un environnement informatique complexe sera sans doute essentielle et possiblement considérable. (NCA 315.A171).

Compréhension des facteurs de risque inhérent

Lorsque la complexité fait partie des facteurs de risque inhérent qui sont présents, on peut supposer que la direction devra utiliser des processus complexes pour préparer l’information, et que ceux-ci seront particulièrement difficiles à mettre en œuvre. Il se pourrait donc que des compétences et des connaissances spécialisées soient nécessaires et que la direction soit obligée d’avoir recours à un expert de son choix. (NCA 315, Annexe 2.3)

Directives du BVG

Une composition appropriée de l’équipe de mission et une attribution adéquate des rôles et des responsabilités sont essentielles à la réalisation d’une évaluation des risques efficace. La présente section fournit des indications sur la prise en compte des compétences et des capacités requises pour réaliser une évaluation des risques efficaces. Elle fournit aussi des orientations sur la détermination des domaines de l’audit où des compétences et des connaissances spécialisées peuvent être requises pour gérer les risques d’anomalies significatives.

Pourquoi est-ce important?

Les procédures d’évaluation des risques sont efficaces lorsqu’elles permettent de recueillir des éléments probants qui fournissent une base appropriée pour l’identification et l’évaluation des risques d’anomalies significatives. Pour être efficaces, les procédures doivent être mises en œuvre par des membres de l’équipe de mission qui possèdent les compétences et les capacités appropriées, et il peut y avoir des domaines d’évaluation des risques où des compétences et des connaissances spécialisées sont nécessaires pour étayer la compréhension obtenue et les conclusions tirées.

En outre, pour planifier des procédures efficaces d’évaluation des risques, les rôles et responsabilités de chaque membre de l’équipe de mission doivent être correctement attribués et communiqués, et il faut favoriser une culture d’échange de connaissances et de communication de sorte que les conclusions de l’évaluation des risques reflètent de manière appropriée la compréhension obtenue par l’ensemble de l’équipe de mission.

Il importe que la composition de l’équipe de mission et que l’attribution des rôles et des responsabilités soient appropriées pour la réalisation d’un audit efficace, qui doit être planifié et exécuté en se fondant sur une évaluation des risques suffisamment détaillée. Chaque entité est unique, et l’équipe de mission est structurée de sorte à répondre aux circonstances particulières de l’entité.

Processus d’évaluation des risques du BVG

La présente section décrit de façon détaillée l’élément Définir les rôles et les responsabilités du processus d’évaluation des risques du BVG illustré ci-après.

View actual size

Affectation à l’équipe de mission et structure de l’équipe

Comme il est indiqué dans la section BVG Audit 3060, le responsable de la mission assume la responsabilité globale de la mission, de sa réalisation et du rapport d’audit qui sera produit. L’un des éléments clés de cette responsabilité est l’évaluation adéquate de l’affectation à l’équipe de mission et de la structure de l’équipe, notamment des spécialistes en comptabilité ou en audit et des experts internes choisis par l’auditeur, dans le but de mettre en œuvre des procédures efficaces d’évaluation des risques.

View actual size

La « compétence » s’entend d’une combinaison de connaissances, d’aptitudes et de capacités, tandis que la « capacité » se définit comme étant une combinaison de ces compétences utilisées de manière efficace et appropriée en réponse à des circonstances variées, qu’elles soient familières ou non. Il faut à la fois tenir compte de la compétence et de la capacité au moment d’évaluer l’affectation à l’équipe de mission et la structure de l’équipe. Par exemple, en plus de comprendre les qualifications et le nombre d’années d’expérience d’un membre de l’équipe (indicateur de compétence), il faut aussi déterminer si l’expérience récente de ce membre comprend des connaissances spécialisées dans le secteur ou d’autres connaissances jugées nécessaires aux fins de la mission (indicateurs de capacité).

Pour déterminer la composition appropriée de l’équipe de mission à cette étape de l’audit, il faut se servir des connaissances acquises au sujet de l’entité et de son environnement au cours des périodes d’audit antérieures, s’il y a lieu, ainsi que des connaissances acquises dans le cadre d’autres activités initiales, telles que les procédures d’acceptation et de maintien de la mission, les procédures mises en œuvre pour évaluer la conformité avec les normes déontologiques (p. ex. indépendance) et les procédures initiales mises en œuvre pour comprendre l’entité et son environnement.

À l’instar de l’évaluation des risques dans son ensemble, qui est de nature itérative, l’examen préliminaire des questions relatives à l’affectation à l’équipe de mission pourrait devoir évoluer tout au long de l’étape d’évaluation des risques et des autres étapes de l’audit. L’équipe pourrait notamment identifier des secteurs de risques possibles pour lesquels des compétences et des connaissances spécialisées sont requises afin de compléter la compréhension acquise et de contribuer aux conclusions de l’évaluation des risques. L’équipe pourrait déterminer qu’il est nécessaire de faire appel à un spécialiste en comptabilité ou en audit ou à un expert choisi par l’auditeur dans le cadre des procédures d’évaluation des risques. Puis, elle pourrait, de concert avec le spécialiste ou l’expert, conclure que la participation de ce dernier aux procédures d’audit additionnelles prévues au cours des autres étapes d’audit est ou n’est pas requise et, si une telle participation est requise, convenir de la nature, du calendrier et de l’étendue de cette participation. Par exemple, pour les estimations comptables complexes dont l’incertitude de mesure, la complexité ou la subjectivité risque d’être élevée, selon ses attentes, l’équipe pourrait juger qu’il est approprié de faire appel à des spécialistes en comptabilité ou en audit ou à des experts choisis par l’auditeur au moment de mettre en œuvre des procédures d’évaluation des risques. Un spécialiste ou un expert choisi par l’auditeur peut aider l’équipe à mieux comprendre l’entité et son environnement ainsi que les tendances et les pratiques du secteur pertinentes pour les estimations et à évaluer les risques d’anomalies significatives. En outre, les spécialistes et les experts peuvent aussi aider l’équipe à concevoir ou à mettre en œuvre des procédures d’audit additionnelles pour répondre à l’évaluation des risques d’anomalies significatives.

Au moment d’envisager s’il faut faire appel à des spécialistes ou à des experts, l’équipe doit déterminer si la politique du BVG exige l’intervention des Services d’audit ou d’autres spécialistes. Dans certains cas, cette détermination peut faire partie d’un processus itératif. Par exemple, si l’Audit des TI est appelé à participer à l’évaluation de la complexité de l’environnement informatique d’une entité, certaines applications ou d’autres aspects de l’environnement informatique qui ne sont pas complexes pourraient être identifiés et, par conséquent, une intervention additionnelle de l’Audit des TI ne serait pas requise pour ces applications ou aspects, conformément à la politique du BVG, s’il est conclu que des membres de l’équipe de mission ont les connaissances et les aptitudes nécessaires pour évaluer les risques d’anomalies significatives.

Se reporter à la section BVG Audit 3092 pour voir des exemples de différentes parties d’un audit où il convient de faire appel à un expert interne choisi par l’auditeur ou à des spécialistes en comptabilité ou en audit dans le cadre des procédures d’évaluation des risques. Même si les experts externes choisis par l’auditeur ne font pas partie de l’équipe de mission, le responsable de la mission doit aussi décider s’il est approprié de faire appel à de tels experts pour obtenir des éléments probants suffisants et appropriés. Il peut notamment faire appel à un expert lors de la mise en œuvre des procédures d’évaluation des risques, particulièrement pour les secteurs où l’entité a fait appel à un expert choisi par la direction lors de la préparation des états financiers. Se reporter à la section BVG Audit 3090 pour des orientations sur le recours à un expert choisi par l’auditeur.

Importance de responsabilités et de rôles clairs

Pour pouvoir planifier et mettre en œuvre des procédures d’évaluation des risques efficaces en vue d’obtenir des éléments probants fournissant une base appropriée pour l’identification et l’évaluation des risques d’anomalies significatives, il est essentiel que les membres affectés à l’équipe d’audit comprennent clairement leurs rôles et responsabilités dans le cadre de la mission et qu’il y ait une communication claire entre les membres de l’équipe de mission tout au long de la mission.

Des directives sur l’attribution des rôles et des responsabilités, l’établissement des objectifs et le suivi des progrès se trouvent dans les sections suivantes :