Manuel de la vérification annuelle
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
5023 Mesure dans laquelle le recours à l’informatique est intégré au modèle d’entreprise de l’entité
sept.-2022
Contenu de la présente section
Mesure dans laquelle le recours à l’informatique est intégré au modèle d’entreprise de l’entité
Exigences des NCA
L’auditeur doit mettre en œuvre des procédures d’évaluation des risques afin d’acquérir une compréhension : (NCA 315.19)
a) des aspects suivants de l’entité et de son environnement :
i) la structure organisationnelle de l’entité, sa structure de propriété et sa structure de gouvernance ainsi que son modèle d’entreprise, dont la mesure dans laquelle le recours à l’informatique y est intégré.
Directives des NCA
La compréhension de la structure organisationnelle et de la structure de propriété de l’entité peut éclairer l’auditeur sur: (NCA 315.A56)
- la structure de propriété de l’entité;
Exemple: L’entité peut être une entité unique ou, au contraire, présenter une structure comportant des filiales, des divisions ou d’autres composantes dans de multiples endroits. Par ailleurs, la structure juridique peut ne pas correspondre à la structure opérationnelle. Les structures complexes font souvent intervenir des facteurs qui peuvent accroître la vulnérabilité aux risques d’anomalies significatives. On peut se demander, entre autres, si les écarts d’acquisition (goodwills), les coentreprises, les participations ou les entités ad hoc sont comptabilisés correctement et si des informations adéquates ont été fournies à leur sujet dans les états financiers. |
- le mode de propriété de l’entité ainsi que les relations entre les propriétaires et d’autres personnes ou entités, y compris des parties liées. Cette compréhension peut aider l’auditeur à déterminer si les opérations avec des parties liées ont été correctement identifiées, comptabilisées et communiquées dans les états financiers;
- la distinction entre les propriétaires, les responsables de la gouvernance et la direction;
Exemple: Dans les entités peu complexes, il se peut que les propriétaires participent à la gestion et que la distinction entre les propriétaires, les responsables de la gouvernance et la direction soit subtile, voire inexistante; dans d’autres entités, notamment celles qui sont cotées, cette distinction peut être très claire. |
- La structure et la complexité de l’environnement informatique de l’entité.
Exemples: Il est possible que l’entité :
|
La compréhension des objectifs, de la stratégie et du modèle d’entreprise de l’entité éclaire l’auditeur sur le côté stratégique de l’entité ainsi que sur les risques d’entreprise qu’elle prend et ceux auxquels elle est exposée. Comprendre les risques d’entreprise qui ont une incidence sur les états financiers aide l’auditeur à identifier les risques d’anomalies significatives, car la plupart des risques d’entreprise finissent par avoir des conséquences financières et, donc, une incidence sur les états financiers. (NCA 315.A61)
Exemples: Le modèle d’entreprise de l’entité peut reposer sur le recours à l’informatique de différentes façons. Voici deux exemples :
Ces modèles d’entreprise étant sensiblement différents, les risques d’entreprise découlant de chacun le seront eux aussi, même si les deux entités vendent des chaussures. |
Directives du BVG
Acquérir une compréhension de l’environnement informatique de l’entité aide l’auditeur à comprendre la mesure dans laquelle le recours à l’informatique est intégré au modèle d’entreprise de l’entité, à identifier les risques d’entreprise possibles et à déterminer comment ces risques peuvent donner lieu à des risques d’anomalies significatives au niveau des états financiers et des assertions. L’environnement informatique mis en œuvre par la direction pour appuyer le modèle d’entreprise de l’entité ne sera généralement pas le même d’une entité à l’autre, et ce, même pour les entités qui appartiennent au même secteur d’activité, comme le montre l’exemple présenté au paragraphe A61 de la NCA 315 ci‑dessus. Dans une entité peu complexe, l’environnement informatique sera généralement moins complexe, car le modèle d’entreprise de l’entité ne nécessite peut‑être pas une infrastructure informatique sophistiquée. Par exemple, une entité peu complexe qui n’a qu’un seul emplacement et qui mène des activités simples peut assurer une gestion efficace de ses activités avec des systèmes moins automatisés (p. ex. en utilisant un nombre élevé de contrôles manuels) et un logiciel commercial simple qui n’est pas doté de fonctionnalités personnalisées pour automatiser ses processus simples.
Par contre, une entité possédant un modèle d’entreprise davantage dépendant des TI qui utilise de nouvelles technologies ou met en œuvre des processus très automatisés est plus susceptible d’avoir besoin d’une infrastructure informatique complexe, notamment de systèmes et d’interfaces connexes.
La compréhension qu’a l’auditeur de la manière dont l’environnement informatique s’intègre au modèle d’entreprise de l’entité l’aide à déterminer plus facilement les secteurs qui pourraient présenter un risque élevé d’anomalies significatives. L’auditeur détermine si les processus automatisés ont été mis en œuvre pour optimiser des processus simples ou atténuer un risque d’entreprise potentiel, comme un risque posé par des calculs complexes. Par exemple, lorsqu’une entité a mis en œuvre une application informatique personnalisée afin d’automatiser les calculs complexes liés à la comptabilisation des produits, cela peut indiquer que la direction a identifié un risque d’anomalies significatives élevé lié à la complexité du calcul des produits à comptabiliser.
La compréhension qu’a l’auditeur des changements importants apportés à l’environnement informatique de l’entité peut aussi l’aider à repérer les changements importants survenus au sein de l’entité et dans son environnement. Par exemple, des changements peuvent avoir été apportés à l’environnement informatique d’une entité à la suite de l’instauration de nouvelles exigences réglementaires, de modifications importantes à des méthodes comptables ou aux exigences du référentiel d’information financière applicable.
Le tableau ci‑après donne des exemples de modèles d’entreprise et du degré d’intégration du recours à l’informatique aux divers modèles d’entreprise :Degré peu élevé d’intégration du recours à l’informatique | Degré élevé d’intégration du recours à l’informatique |
---|---|
L’entité A est une filiale d’un groupe multinational. Elle vend des produits agricoles qu’elle achète au groupe à des prix de transfert préétablis par la direction du groupe. L’entité A vend les produits à un nombre limité de distributeurs à des prix qui sont mis à jour manuellement tous les ans, puis publiés sur papier sur une liste de prix principale. Les distributeurs n’ont pas le droit de retourner les produits et ils ont 30 jours pour payer les produits achetés à partir de la date de facturation. Vu la simplicité du modèle d’entreprise de l’entité A, l’auditeur pourrait probablement conclure qu’elle a un faible degré d’intégration du recours à l’informatique dans son modèle d’entreprise. Voici certaines caractéristiques susceptibles d’amener l’auditeur à tirer cette conclusion probable :
|
L’entité B est un groupe multinational qui produit une vaste gamme de produits agricoles selon un grand nombre d’étapes de production. Les machines dans les ateliers de production sont connectées par une interface au système de gestion des stocks, notamment pour identifier les composantes utilisées dans le processus de production et mettre automatiquement à jour la valeur des composantes, les stocks de produits en cours et de produits finis. Le système de gestion des stocks crée automatiquement des commandes pour les composantes en fonction du calendrier de production et des délais d’approvisionnement établis pour chaque composante. Les produits sont vendus à des distributeurs, des exploitations agricoles commerciales d’importance et aussi exportés à des filiales qui fonctionnent comme des entreprises de vente dans divers pays. Une plateforme en ligne a été créée pour permettre aux clients de commander en ligne et de connaître la disponibilité des produits. Les données de cette plateforme en ligne sont surveillées par l’entité afin de planifier la production de manière à répondre aux besoins des clients. Tous les jours, les listes de prix sont automatiquement mises à jour sur la plateforme en ligne en fonction de la fluctuation des prix des produits de base qui sont utilisés lors des processus de production de l’entité B. Ces mises à jour sont fondées sur les données provenant des marchés d’échange publics de produits de base, alors que les prix courants quotidiens sont directement communiqués, grâce à une interface, aux systèmes informatiques de l’entité. Voici certaines caractéristiques d’un modèle d’entreprise susceptibles d’indiquer un degré plus élevé d’intégration de recours à l’information pour l’entité B :
|
La compréhension de la mesure dans laquelle le modèle d’entreprise de l’entité intègre le recours à l’informatique que l’auditeur acquiert dans le cadre de ses procédures d’acquisition d’une compréhension de l’entité et de son environnement aide l’auditeur à déterminer le degré de complexité de l’environnement informatique de l’entité. Lorsqu’il repère des indices de l’existence d’un environnement informatique complexe, l’auditeur doit envisager de consulter l’Audit des TI. Se reporter à la section BVG Audit 3102 pour l’exigence de la politique du BVG sur l’implication de l’Audit des TI et à la section BVG Audit 5034 pour les considérations sur la complexité de l’environnement informatique.