Manuel de la vérification annuelle

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5031 Le système de contrôle interne de l’entité et sa pertinence pour l’audit
sept.-2022

Contenu de la présente section

Aperçu

Types de contrôles et le rôle des contrôles internes pour l’entité

Limites du contrôle interne

Adaptabilité

Rôle des contrôles internes dans un audit

Directives particulières à l’intention des auditeurs législatifs

Aperçu

L’acquisition d’une compréhension du système de contrôle interne de l’entité est une partie importante du processus d’évaluation des risques. Le processus d’évaluation des risques est un processus itératif et dynamique qui consiste en la collecte, la mise à jour et l’analyse d’informations tout au long de l’audit. La compréhension de l’auditeur établit un cadre de référence qui lui permet d’identifier et d’évaluer les risques d’anomalies significatives et de concevoir des réponses aux risques qui ont été identifiés.

Pourquoi est‑ce important?
Comprendre le système de contrôle interne de l’entité permet à l’auditeur de mieux comprendre les risques qui, selon la direction, justifient l’affectation de ressources et d’attention, ce qui l’aide à identifier les risques d’anomalies significatives. La mise en œuvre d’un processus rigoureux afin de comprendre le système de contrôle interne de l’entité permet aux équipes de mission d’identifier et d’évaluer les risques d’anomalies significatives propres à l’entité. La compréhension acquise, ainsi que l’identification et l’évaluation des risques propres à l’entité et à son environnement, facilite l’élaboration de réponses d’audit qui atténuent de façon efficace et efficiente les risques d’anomalies significatives identifiés.

La section BVG Audit 5030 présente de façon plus détaillée les éléments Acquisition d’une compréhension et Identification du Processus d’évaluation des risques du BVG illustré ci-après :

Processus d'évaluation des risques du BVG

L’auditeur acquiert une compréhension des risques propres à l’entité par la recherche et l’analyse des composantes du système de contrôle interne de l’entité pertinentes pour la préparation des états financiers, y compris son environnement informatique.

L’auditeur dispose de diverses sources d’information qui l’aide à obtenir une compréhension du système de contrôle interne de l’entité. Ainsi, il acquiert une compréhension solide en tirant parti des informations disponibles et pertinentes. Le tableau ci‑après présente certains domaines à prendre en compte au moment d’acquérir une compréhension, ainsi que certains exemples de sources permettant d’obtenir des informations pertinentes dans ces domaines.

Ce qu’il faut comprendre Sources d’information qui pourraient permettre à l’auditeur d’acquérir la compréhension requise
L’environnement de contrôle pertinent pour la préparation des états financiers

  • Revoir les procès-verbaux des réunions du conseil d’administration

  • Interroger la direction

  • Inspecter le code de conduite de l’entité

  • Revoir l’organigramme de l’entité

  • Obtenir et lire les communications internes de l’entité envoyées au personnel concernant les points de vue de la direction sur les pratiques opérationnelles et le comportement éthique

  • Inspecter les politiques de gestion des ressources humaines concernant le recrutement, la formation et l’évaluation du personnel
Le processus d’évaluation des risques par l’entité pertinent pour la préparation des états financiers

  • Revoir les résultats du processus d’évaluation des risques suivi par l’entité

  • Revoir les procès verbaux des réunions du conseil d’administration et les communications avec les responsables de la gouvernance concernant les risques d’entreprise identifiés et les réponses prises à l’égard de ces risques

  • Revoir le registre des risques de l’entité
Le processus suivi par l’entité pour surveiller le système de contrôle interne pertinent pour la préparation des états financiers

  • Comprendre les évaluations permanentes et distinctes réalisées pour surveiller l’efficacité des contrôles

  • Revoir les procès verbaux des réunions du conseil d’administration et les communications avec les responsables de la gouvernance concernant les déficiences relevées lors de la réalisation des activités de contrôle

  • Interroger les bonnes personnes au sein de la fonction d’audit interne

  • Revoir le plan d’audit de la fonction d’audit interne pour l’année
Le système d’information de l’entité et les communications pertinentes pour la préparation des états financiers

  • Interroger le personnel compétent concernant le flux des opérations dans le cadre des processus opérationnels de l’entité

  • Inspecter les politiques ou les manuels de processus ou d’autres documents comme des graphiques de cheminement du système d’information de l’entité

  • Revoir les communications internes au sein de l’entité concernant les rôles et responsabilités de chaque personne en ce qui concerne le système de contrôle interne de l’entité

Au moment d’acquérir une compréhension du système de contrôle interne de l’entité, l’auditeur doit recenser les risques propres à l’entité et les contrôles qui visent à atténuer ces risques en mettant en œuvre les procédures suivantes :

  • Identification des risques découlant du recours à l’informatique et les contrôles généraux informatiques qui atténuent ces risques

  • Évaluation de la conception et de la mise en place des contrôles se rattachant à la composante « Activités de contrôle », y compris les contrôles généraux informatiques

  • Évaluation des déficiences du contrôle relevées dans le système de contrôle interne de l’entité

L’auditeur est tenu, selon la NCA 315, d’acquérir une compréhension du système de contrôle interne (qui comprend l’environnement de contrôle, le processus d’évaluation des risques par l’entité, le processus de suivi du système de contrôle interne par l’entité, le système d’information et les communications et les activités de contrôle) pour identifier les types d’anomalies significatives possibles et d’autres facteurs qui influent sur les risques évalués d’anomalies significatives au niveau des états financiers et des assertions, que celles‑ci résultent de fraudes ou d’erreurs, et ainsi fournir une base pour la conception de la nature, du calendrier et de l’étendue des procédures d’audit complémentaires (c.‑à‑d. les tests des contrôles et les procédures de corroboration) à mettre en œuvre pour obtenir des éléments probants.

Une façon simple de penser à l’identification des anomalies significatives est de se demander « quels sont les problèmes potentiels? » dans les processus de comptabilité et d’information financière de l’entité (c.‑à‑d. les facteurs de risque inhérent). Après avoir identifié ces anomalies possibles, l’auditeur peut se demander ce que l’entité fait pour atténuer ces risques (c.‑à‑d. les contrôles de l’entité) et quelles procédures d’audit il faut mettre en œuvre (c.‑à‑d. la réponse d’audit) afin d’obtenir des éléments probants suffisants pour déterminer qu’il n’y a pas de possibilité raisonnable qu’une anomalie significative survienne dans les états financiers de l’entité en raison des anomalies possibles qui ont été identifiées.

Comprendre la manière dont l’entité traite ses opérations, les systèmes qu’elle utilise et l’incidence que cela a sur le référentiel d’information financière applicable aide l’auditeur à planifier et à mettre en œuvre des procédures d’audit qui répondent aux risques d’anomalies significatives propres à l’entité.

Dans le cadre de l’acquisition de la compréhension requise, l’auditeur doit obtenir des éléments probants permettant de déterminer si les contrôles de la composante « activités de contrôle » ont été conçus et mis en place efficacement. Il s’agit d’un élément important de l’acquisition d’une compréhension du contrôle interne parce que les procédures d’audit mises en œuvre en réponse aux risques d’anomalies significatives peuvent différer si l’auditeur conclut que les contrôles de l’entité n’ont pas été conçus ni mis en place efficacement.

Il est important, dans le cadre de l’acquisition d’une compréhension sur le système de contrôle interne de l’entité, d’acquérir une compréhension des processus opérationnels de l’entité. Cela permet à l’auditeur de comprendre comment les opérations sont amorcées, enregistrées, traitées, corrigées au besoin, consignées dans le grand livre général et communiquées dans les états financiers. Pour comprendre le flux des opérations et les processus opérationnels de l’entité de bout en bout, il faut comprendre la nature, le volume et l’ampleur des opérations, les comptes des états financiers touchés et les principes comptables pertinents dont se sert l’entité et appliquer cette compréhension au niveau du cycle des opérations ou des processus opérationnels. Les activités qui se déroulent au sein des sociétés de services ou des centres de services partagés font aussi partie d’un processus opérationnel de l’entité.

Comme il est expliqué ci‑dessus, il est essentiel pour l’auditeur d’acquérir une compréhension de chacune des composantes du contrôle interne de l’entité pertinentes pour la préparation des états financiers afin d’identifier et d’évaluer les risques d’anomalies significatives. Par conséquent, il doit mettre en œuvre des procédures suffisantes pour pouvoir comprendre et évaluer le système de contrôle interne de l’entité, peu importe s’il prévoit s’appuyer sur les tests de l’efficacité du fonctionnement des contrôles internes dans le cadre de sa stratégie d’audit.

L’auditeur met en œuvre ses procédures en procédant à un examen des documents de l’entité et en s’entretenant auprès du personnel de l’entité. Selon la compréhension acquise, il évalue si le système de contrôle interne de l’entité est propice à la préparation des états financiers de l’entité compte tenu de la nature et des circonstances de l’entité. L’auditeur fait preuve d’esprit critique et demande des explications à la direction concernant ses points de vue et son évaluation des risques, s’il y a lieu.

Types de contrôle et rôle des contrôles internes pour l’entité

Directives des NCA

Le système de contrôle interne de l’entité peut se refléter dans les manuels de politiques et procédures, les systèmes et les formulaires ainsi que l’information qui s’y trouve; ce sont les gens qui le mettent en œuvre. Le système de contrôle interne est mis en place par la direction, les responsables de la gouvernance et d’autres membres du personnel, selon la structure de l’entité. Selon les décisions de la direction, des responsables de la gouvernance ou d’autres membres du personnel et selon les exigences légales ou réglementaires, le système de contrôle interne peut être appliqué au modèle d’exploitation de l’entité, à sa structure juridique, ou aux deux. (NCA 315.Annexe 3.1)

Le système de contrôle interne comprend des aspects qui portent sur les objectifs de l’entité en matière d’information, notamment en matière d’information financière, mais aussi des aspects qui concernent les objectifs d’exploitation ou de conformité, s’ils sont pertinents pour l’information financière. (NCA 315. Annexe 3.3)

Exemple :

Les contrôles afférents à la conformité aux textes légaux et réglementaires peuvent être pertinents pour l’information financière s’ils sont utiles à la préparation, par l’entité, des informations à fournir dans les états financiers au sujet des éventualités.

Les contrôles font partie intégrante des composantes du système de contrôle interne de l’entité. (NCA 315.A2)

Les politiques sont mises en œuvre par des actions que pose le personnel de l’entité, ou par des actions que celui‑ci évite de poser parce qu’elles vont à l’encontre de ces politiques. (NCA 315.A3)

Les procédures peuvent être imposées par des documents officiels ou par d’autres communications émanant de la direction ou des responsables de la gouvernance, ou être le résultat de comportements qui, sans être imposés, sont conditionnés par la culture de l’entité. L’exécution des procédures peut être imposée au moyen d’applications informatiques de l’entité qui permettent seulement certaines actions, ou reposer sur d’autres aspects de l’environnement informatique de l’entité. (NCA 315.A4)

Les contrôles peuvent être directs ou indirects. Les contrôles directs sont des contrôles qui sont suffisamment précis pour permettre de répondre aux risques d’anomalies significatives au niveau des assertions, tandis que les contrôles indirects visent à favoriser le fonctionnement des contrôles directs (NCA 315.A5).

Les risques liés à l’intégrité des informations découlent de la possibilité que les politiques en matière d’information de l’entité (c’est‑à‑dire les politiques qui définissent les flux d’information, les documents et les processus d’information du système d’information de l’entité) ne soient pas mises en œuvre efficacement. Les contrôles du traitement de l’information sont des procédures qui favorisent la mise en œuvre efficace de ces politiques. Ils peuvent être automatisés (c’est‑à‑dire intégrés aux applications informatiques) ou manuels (par exemple, les contrôles sur les données d’entrée ou de sortie), et dépendre d’autres contrôles (par exemple, de contrôles généraux informatiques ou d’autres contrôles du traitement de l’information). (NCA 315.A6)

Directives du BVG

Cadre de contrôle interne intégré

Le cadre de contrôle interne des NCA est semblable à celui qu’a publié en 2013 le Committee of Sponsoring Organizations of the Treadway Commission (COSO) qui s’intitule « Internal Control — Integrated Framework ».

Le cadre du COSO traite des activités de l’entité, de la nécessité pour cette dernière de préparer des rapports et des états financiers fiables, et du respect des lois et règlements auxquels est assujettie l’entité. Ces objectifs de haut niveau (qui se chevauchent) en matière de contrôle interne peuvent s’appliquer aux différentes activités et unités de gestion de l’entité, comme il est illustré ci‑après :

Opérations, Rapports et Conformité

Alors que le cadre du COSO considère toutes les formes de rapport dans leur ensemble, l’auditeur se concentre d’abord sur le rapport de l’information financière.

Pour comprendre comment la direction a conçu et mis en place le contrôle interne sur l’information financière, l’auditeur doit acquérir une compréhension des divers types de contrôles (c.‑à‑d. les politiques ou procédures requises pour atteindre les objectifs de contrôle de la direction ou des responsables de la gouvernance) et des processus qui sont intégrés à chacune des cinq composantes du système de contrôle interne de l’entité. Se reporter aux sections correspondantes pour plus de précisions sur ces composantes :

Chacune des cinq composantes du contrôle interne est pertinente pour les objectifs de l’information financière de l’entité (c.‑à‑d. de fournir de l’information financière concernant l’entité qui est utile pour la prise de décisions par les parties prenantes) et les composantes du contrôle interne s’appliquent à tous les niveaux pertinents de l’organisation (p. ex. au niveau de l’entité, du groupe, de la division, de l’unité opérationnelle, de la filiale et/ou des processus opérationnels).

Même si le cadre de contrôle du COSO peut aider la direction à concevoir, à mettre en place et à maintenir un contrôle interne efficace sur l’information financière, il ne prescrit aucun contrôle précis qui doit être conçu et exécuté efficacement pour qu’une entité soit dotée d’un système de contrôle interne efficace. Aux fins de l’audit, l’auditeur cherche à déterminer si la direction a mis en œuvre les activités de contrôle intégrées aux processus opérationnels qui sont pertinentes pour la préparation des états financiers (p. ex. les contrôles de traitement de l’information) et les contrôles généraux informatiques avec un certain degré de précision de manière à prévenir ou à détecter et corriger, en temps opportun, une anomalie qui pourrait être significative pour les états financiers. Ces contrôles identifiés dans les composantes « système d’information et communications » et « activités de contrôle » sont donc plus susceptibles d’influer sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions. En outre, les processus et les contrôles intégrés aux autres composantes du contrôle interne auraient une incidence importante sur la conception et l’exécution des activités de contrôle, mais ils n’auraient qu’une incidence indirecte sur la probabilité qu’une anomalie significative soit détectée ou prévenue et corrigée en temps opportun; ils sont donc plus susceptibles d’influer sur l’identification des risques d’anomalies significatives au niveau des états financiers. Par conséquent, le système de contrôle interne sur l’information financière d’une entité comprend habituellement un nombre considérablement plus élevé d’activités de contrôle qui fonctionnent au niveau des opérations que de contrôles qui fonctionnent au niveau des autres composantes du contrôle interne.

Les composantes du contrôle interne, autres que les activités de contrôle, peuvent comprendre moins d’éléments tangibles ou de contrôles comme le « ton donné par la direction ». Par conséquent, elles reposent davantage sur le jugement en raison de leur nature, mais cela ne signifie pas pour autant qu’elles sont moins importantes que les activités de contrôle. Les composantes du contrôle interne comprises dans le cadre de contrôle interne peuvent avoir un effet généralisé sur l’ensemble du système d’activités de contrôle. C’est pourquoi l’auditeur s’emploie généralement à comprendre et à évaluer ces composantes et, au besoin, à tester l’efficacité de leur fonctionnement plus tôt dans le processus d’audit.

Types de contrôle

Le Manuel d’audit du BVG présente différents types de contrôle que l’auditeur peut s’attendre à relever dans le système de contrôle interne de l’entité :

  • les contrôles préventifs et les contrôles de détection,
  • les contrôles indirects et les contrôles directs,
  • les contrôles au niveau de l’entité,
  • les analyses de la performance,
  • les contrôles généraux informatiques,
  • les contrôles du traitement de l’information.

Les contrôles préventifs et les contrôles de détection

Les contrôles préventifs ont pour objet de prévenir les erreurs ou les fraudes susceptibles d’entraîner une anomalie dans les états financiers. Les contrôles de détection visent à détecter les erreurs ou les fraudes qui se sont déjà produites et à les corriger pour éviter une anomalie dans les états financiers.

Voici des exemples de contrôles préventifs et de contrôles de détection :

Contrôles préventifs Contrôles de détection
Le système remplit automatiquement des coûts dans le bon de commande à partir du fichier maître des prix du fournisseur approuvé selon le numéro de l’article saisi. Les paiements enregistrés dans le grand livre général sont rapprochés au registre des décaissements pour vérifier que tous les décaissements sont enregistrés avec exactitude et dans la bonne période. Les écarts sont examinés et résolus en temps opportun.
Le système calcule automatiquement les charges à payer au titre de la paye. Le gestionnaire de la paye revoit le registre de la paye avant la distribution des paiements. Les éléments inhabituels sont examinés et résolus en temps opportun.
Les commandes clients ouvertes (non livrées/facturées) sont examinées de près et réglées chaque jour. Les entrées de trésoreries sont enregistrées dès leur réception et appliquées aux comptes/factures des clients par l’entremise d’un bordereau de paiement. Un relevé des écarts généré par le système est passé en revue pour identifier les entrées de trésoreries non assorties d’un bordereau de paiement. Les écarts sont examinés et résolus en temps opportun.
Les bons de commande dépassant un seuil monétaire défini sont examinés et doivent être assortis d’une preuve d’approbation par le contrôleur de l’entité avant que la commande ne puisse être soumise au fournisseur de l’entité ou traitée dans le progiciel de gestion intégré (PGI ou système ERP) de l’entité. Les bons de commande approuvés dépassant une valeur définie sont revus en temps opportun par le superviseur qui assure un suivi auprès de l’approbateur pour résoudre toutes les questions qui surgissent.

Certains contrôles peuvent être conçus de manière à présenter à la fois des caractéristiques de prévention et de détection. Certaines applications informatiques, en particulier dans le cas des technologies nouvelles ou émergentes, peuvent inclure des contrôles « en temps réel » conçu pour éviter d’avoir à créer un « arrêt immédiat » qui interrompt le fonctionnement de l’entité, tout en permettant des contrôles qui appuient les activités de l’entité (voir l’exemple ci après). Au moment d’acquérir une compréhension de la conception du contrôle de l’entité et d’évaluer ce contrôle, l’auditeur doit prendre en compte les caractéristiques de prévention et de détection du contrôle dans la mesure où elles répondent au risque d’anomalies significatives qui a été relevé.

Exemple :

Une entité a une politique d’approbation des bons de commande assortie de seuils d’approbation définis. Selon la politique, les membres de l’équipe d’achat sont autorisés à lancer des commandes jusqu’au seuil monétaire défini sans avoir à obtenir une approbation supplémentaire. Un contrôle de détection exige que tous les bons de commande supérieurs au seuil monétaire défini jusqu’à un maximum de 150 % de la limite originale soient approuvés par le superviseur. Lorsqu’une telle commande est passée, le système envoie automatiquement une communication au superviseur pour lui indiquer de revoir le bon de commande et de l’approuver de façon rétroactive ou d’assurer un suivi au besoin. Un contrôle de prévention empêche les membres de l’équipe de lancer des commandes dépassant 150 % de la limite initiale sans l’approbation préalable du superviseur.

Contrôles indirects

Les contrôles indirects appuient les contrôles directs et, par conséquent, n’ont qu’une incidence indirecte sur la probabilité qu’une anomalie soit détectée ou prévenue en temps opportun. Les contrôles indirects ne sont pas suffisamment précis pour prévenir, détecter ou corriger seuls des anomalies au niveau des assertions. Les contrôles indirects mis en place se rattachent habituellement aux composantes « environnement de contrôle », « processus d’évaluation des risques » ou « processus de suivi du système de contrôle interne » du système de contrôle interne de l’entité.

Exemples de contrôles indirects :

  • communication et mise en application des valeurs d’éthique et d’intégrité;

  • politiques et procédures de gestion des ressources humaines;

  • grilles de délégation de pouvoirs utilisées pour établir les hiérarchies de délégation de pouvoirs appropriées;

  • contrôles à l’égard de l’exhaustivité et de l’exactitude d’un rapport utilisé pour surveiller le système de contrôle interne de l’entité.

Contrôles directs

Les contrôles directs, lorsqu’ils sont conçus, qu’ils fonctionnent de manière efficace et qu’ils présentent un degré de précision suffisant, peuvent adéquatement prévenir ou détecter et corriger en temps opportun des anomalies significatives au niveau des assertions.

L’auditeur recense habituellement les contrôles directs se rattachant aux composantes « système d’information et communications » et « activités de contrôle » du système de contrôle interne d’une entité.

Contrôles au niveau de l’entité

Les contrôles au niveau de l’entité interviennent au niveau de l’entité et peuvent être directs ou indirects. Certains contrôles au niveau de l’entité (p. ex. les contrôles se rattachant à la composante « environnement de contrôle » du système de contrôle interne de l’entité) jouent un rôle important, mais indirect, dans la gestion des risques d’anomalies significatives au niveau des assertions. Ces contrôles sont appelés des contrôles indirects au niveau de l’entité. Les contrôles indirects au niveau de l’entité peuvent avoir une incidence sur plus d’un processus opérationnel et sont pris en compte lors de l’évaluation de l’efficacité des contrôles au niveau des opérations ou des contrôles directs au niveau de l’entité au niveau des opérations dans un processus opérationnel.

Certains contrôles au niveau de l’entité peuvent toutefois être conçus pour intervenir à un niveau de précision qui permettrait de gérer les risques d’anomalies significatives au niveau des assertions (p. ex., les analyses de la performance). Ces contrôles sont appelés des contrôles directs au niveau de l’entité.

La section BVG Audit 5035.1 fournit des indications supplémentaires sur les éléments probants obtenus grâce aux contrôles au niveau de l’entité.

Analyses de la performance

Les analyses de la performance sont un type de contrôle direct au niveau de l’entité. Elles comprennent des évaluations et des analyses des résultats réels par rapport aux budgets, aux prévisions et aux résultats des périodes antérieures. Elles consistent également à établir des relations entre les différents ensembles de données (opérationnelles ou financières), à analyser ces relations et à mettre en œuvre des mesures d’investigation et des mesures correctives; à comparer des données d’origine interne avec des informations d’origine externe et à évaluer les performances par fonction et par activité. Voici certains des points qu’il faut prendre en considération dans le cadre des analyses de performance :

  • Les analyses de la performance ont pour objectif principal d’aider la direction dans l’exploitation et la prise de décisions. Ces analyses jouent habituellement un rôle de détection plutôt que de prévention (c.‑à‑d. qu’elles peuvent alerter la direction à l’égard d’un problème opérationnel nécessitant une intervention de sa part).

  • Lorsque les analyses portent sur une question d’ordre financier, la direction peut les utiliser pour repérer des anomalies qui pourraient être survenues, soit en raison d’une fraude ou d’une erreur.

  • La fiabilité de l’information utilisée dans les analyses de performance, ainsi que la fréquence, la précision et l’exécution en temps opportun des analyses et l’étendue du suivi effectué par la direction sont prises en compte pour évaluer l’efficacité des analyses de la performance en tant que contrôles pertinents pour la préparation des états financiers.

  • Les analyses de la performance sont généralement plus efficaces lorsqu’elles sont effectuées à un niveau désagrégé plutôt que globalement.

  • Les analyses de la performance sont généralement plus efficaces lorsqu’elles portent sur des comptes, des catégories d’opérations ou d’autres informations assorties de comportements/de corrélations prévisibles.

La section BVG Audit 5035.1 fournit des directives complémentaires sur les facteurs qui pourraient être pertinents pour l’évaluation de l’efficacité de conception d’une analyse de la performance.

Contrôles généraux informatiques

Les contrôles généraux informatiques (CGI) établissent et préservent l’intégrité continue de l’environnement informatique. Les contrôles généraux informatiques exercés à l’égard des processus informatiques de l’entité appuient le bon fonctionnement continu de l’environnement informatique, y compris le fonctionnement efficace des contrôles du traitement de l’information et l’intégrité de l’information. Les contrôles généraux informatiques visent les quatre domaines suivants des TI :

  • le développement des programmes,
  • les modifications des programmes,
  • l’accès aux programmes et aux données,
  • les opérations informatiques.

La section BVG Audit 5035.2 fournit des directives complémentaires sur l’identification et la compréhension des contrôles généraux informatiques.

Contrôles du traitement de l’information

Il s’agit des contrôles qui concernent le traitement de l’information dans les applications informatiques ou les processus manuels du système d’information de l’entité et qui visent à répondre directement aux risques liés à l’intégrité des informations (c.‑à‑d. l’exhaustivité, l’exactitude et la validité des opérations et des autres informations).

Les contrôles du traitement de l’information peuvent être soit des contrôles de détection ou des contrôles préventifs. Ils peuvent être manuels (p. ex. les contrôles sur les données d’entrée ou de sortie), automatisés (c.‑à‑d. intégrés aux applications informatiques) ou il peut s’agir de contrôles manuels dépendants des TI (p. ex. des contrôles manuels qui se fondent sur des informations générées par le système et dont l’efficacité est tributaire d’autres contrôles du traitement de l’information ou d’autres contrôles informatiques généraux). Plus l’entité s’appuie sur des contrôles automatisés ou sur des contrôles manuels dépendant des TI dans ses processus d’information financière, plus il peut être important pour elle de mettre en œuvre des contrôles généraux informatiques portant sur le fonctionnement continu des contrôles du traitement de l’information automatisés et dépendants des TI.

Lorsque l’auditeur détermine l’approche de tests à adopter pour un contrôle, il détermine si l’efficacité du contrôle dépend d’un contrôle indirect. Si tel est le cas, il doit évaluer s’il est nécessaire de tester également le contrôle indirect qui pourrait avoir une incidence sur l’efficacité de la conception et du fonctionnement du contrôle sur lequel il a prévu s’appuyer.

Le fonctionnement de certains contrôles peut dépendre du recours aux rapports générés par le système. Dans de tels cas, l’auditeur pourrait avoir à effectuer des tests de corroboration à l’égard de la fiabilité de l’information comprise dans les rapports générés par le système ou tester les contrôles exercés pour évaluer la fiabilité du rapport généré par le système. La section BVG Audit 2051 fournit des directives pour aider l’auditeur à planifier la bonne approche à adopter pour tester la fiabilité de l’information générée par un système.

Voici des exemples de contrôles du traitement de l’information, d’informations générées par un système et d’autres dépendances aux TI :

Contrôles du traitement de l’information Informations générées par un système et autres dépendances aux TI utilisées dans l’exécution des contrôles
Un relevé des écarts concernant les expéditions non facturées est examiné et les articles qui restent non facturés pendant une durée prédéterminée sont examinés et corrigés en temps opportun.

  • Le relevé des écarts utilisé dans le cadre du contrôle est généré par le progiciel de gestion intégré (PGI) de l’entité.

  • Le contrôle direct est un contrôle manuel dépendant des TI qui s’appuie sur les contrôles de l’entité exercés à l’égard de l’exactitude et de l’exhaustivité des informations présentées dans le relevé des écarts.
L’examen manuel du caractère raisonnable des hypothèses, de l’exactitude arithmétique et de l’exhaustivité des entrées de données et l’approbation des écritures de journal des vacances à payer à la clôture de la période est effectué avant la passation de l’écriture de journal.

  • Le PGI calcule automatiquement les charges à payer relatives à la paye.

  • Le contrôle direct est un contrôle manuel dépendant des TI qui s’appuie sur les contrôles de l’entité à l’égard de l’exhaustivité et de l’exactitude des informations du système concernant les heures de vacances et les taux de rémunération approuvés.
Un examen manuel du compte des biens reçus non facturés est effectué. Les biens reçus non facturés inhabituels ou reçus depuis longtemps sont examinés et corrigés rapidement.

  • Les biens reçus non facturés sont inscrits dans un relevé des écarts généré par le PGI de l’entité.

  • Le contrôle direct est un contrôle manuel dépendant des TI qui s’appuie sur les contrôles de l’entité à l’égard de l’exactitude et de l’exhaustivité des informations comprises dans le relevé des écarts.

Limites du contrôle interne

Directives des NCA

Le système de contrôle interne de l’entité, aussi efficace soit‑il, ne peut fournir à celle‑ci qu’une assurance raisonnable quant à la réalisation de ses objectifs en matière d’information financière. La probabilité de leur réalisation est affectée par les limites inhérentes au contrôle interne. Ces limites tiennent entre autres à la possibilité que des erreurs de jugement surviennent dans la prise de décisions et que des défaillances se produisent dans le système de contrôle interne de l’entité en raison, par exemple, d’erreurs humaines. Par exemple, il peut y avoir une faille dans la conception ou dans la modification d’un contrôle. De même, le fonctionnement d’un contrôle peut ne pas être efficace, comme dans le cas où des informations produites aux fins du système de contrôle interne de l’entité (par exemple, un relevé des écarts) ne sont pas utilisées efficacement parce que la personne chargée de les examiner n’en comprend pas le but ou néglige de prendre les mesures qui s’imposent. (NCA 315. Annexe 3.22)

De plus, les contrôles peuvent être neutralisés par la collusion entre plusieurs personnes ou en raison du contournement inapproprié des contrôles par la direction. Par exemple, la direction peut conclure avec certains clients des accords parallèles dont les modalités sont différentes de celles des contrats de vente courants de l’entité, ce qui peut aboutir à une comptabilisation inadéquate des produits. Il est également possible de contourner ou de désactiver les contrôles de validation d’une application informatique qui sont conçus pour repérer et signaler les opérations qui excèdent des limites de crédit prédéterminées. (NCA 315. Annexe 3.23)

Par ailleurs, lors de la conception et de la mise en place des contrôles, la direction peut être amenée à porter des jugements sur la nature et l’étendue des contrôles qu’elle choisit de mettre en place et sur la nature et l’étendue des risques qu’elle décide d’assumer. (NCA 315. Annexe 3.24)

Directives du BVG

En raison de la position unique de la direction, l’auditeur doit envisager la possibilité qu’elle contourne les contrôles internes de l’entité. La section BVG Audit 5508 fournit des indications supplémentaires concernant le contournement des contrôles par la direction.

Comme il est indiqué dans la section BVG Audit 5503, certaines caractéristiques du système de contrôle interne de l’entité, prises individuellement ou collectivement, pourraient indiquer un indice de fraude et doivent donc être prises en considération lors de l’évaluation des risques de fraude. Au moment d’acquérir une compréhension du système de contrôle interne de l’entité, il est important pour l’auditeur de rester à l’affût de tout indice de fraude, de faire preuve d’esprit critique et de demander des explications de la direction concernant ses points de vue et son évaluation des risques, au besoin.

Au moment d’acquérir une compréhension du système de contrôle interne de l’entité, l’auditeur doit aussi être conscient de l’évolution des circonstances mondiales qui touchent l’environnement dans lequel l’entité évolue. Des changements rapides, comme la nécessité de passer à des pratiques de travail à distance en raison d’une pandémie ou la hausse des menaces à la cybersécurité, pourraient faire ressortir des déficiences du contrôle interne qui étaient jusqu’alors passées inaperçues ou exiger des changements à la conception des contrôles internes pour que ceux‑ci demeurent efficaces. La section BVG Audit 5035.2 fournit des indications supplémentaires concernant l’incidence des risques liés à la cybersécurité sur l’évaluation des risques effectuée par l’auditeur.

Exemple :

Au cours de la période en cours, le personnel de l’entité doit travailler à distance en raison d’une crise sanitaire qui perdure. Par conséquent, la conception et le fonctionnement de certains contrôles internes doivent être modifiés sinon ces contrôles ne seront plus aussi efficaces. L’auditeur a évalué la conception et a testé l’efficacité du fonctionnement des contrôles sur lesquels il planifie s’appuyer tout au long des neuf premiers mois de la période d’audit et a prévu de réaliser des tests de mise à jour plus limités au cours des trois derniers mois de la période d’audit. Cela pourrait ne plus être une approche efficace si la conception des contrôles a changé du fait que le responsable du contrôle travaille désormais à distance au cours des trois derniers mois. Si la conception du contrôle n’a pas changé, le fait que le responsable du contrôle travaille à distance peut indiquer que la conception ou le fonctionnement du contrôle au cours des trois derniers mois de la période d’audit n’est pas efficace. Dans ce cas, l’auditeur devra sans doute réviser la réponse d’audit qu’il avait planifiée de sorte à obtenir davantage d’éléments probants de corroboration puisqu’il ne peut pas s’appuyer sur le contrôle pour obtenir des éléments probants au moins au cours des trois derniers mois de la période d’audit.

Il faut aussi demeurer sensibles aux changements aux contrôles généraux informatiques de l’entité qui pourraient avoir été mis en œuvre en raison du fait que le personnel de l’entité travaille à distance ou aux autre changements aux systèmes découlant de cette situation de travail qui pourraient créer de nouveaux risques liés aux TI pertinents pour l’audit. Par exemple, des droits d’accès à distance pourraient devoir être accordés aux employés qui auparavant ne disposaient pas de tels droits. Dans un tel cas, l’auditeur pourrait avoir à mettre à jour son évaluation des risques ainsi que sa stratégie et son plan d’audit, ce qui pourrait comprendre une révision de l’appui prévu sur les contrôles généraux informatiques.

Une autre incidence possible du travail à distance est un risque accru de fraude, notamment du risque de contournement des contrôles par la direction, découlant de changements apportés au contrôle interne qui pourraient se traduire par une supervision moins directe du personnel de l’entité, d’un plus grand pouvoir d’accès ou d’une mauvaise séparation des tâches. Le risque de fraude peut entraîner une anomalie en raison des mesures prises à la fin de la période d’audit (p. ex. les écritures de journal postérieures à la clôture de l’exercice).

Rôle des contrôles internes dans un audit

Directives des NCA

L’auditeur acquiert une compréhension du système de contrôle interne de l’entité au moyen des procédures d’évaluation des risques qu’il met en œuvre pour comprendre et évaluer chacune des composantes du système de contrôle interne, comme il est énoncé aux paragraphes 21 à 27. (NCA 315.A90)

Les composantes du système de contrôle interne de l’entité au sens de la présente NCA ne reflètent pas nécessairement la manière dont une entité conçoit, met en place et maintient son système de contrôle interne, ni la façon dont elle en classe les différentes composantes. L’entité peut employer une autre terminologie ou un cadre différent pour décrire les divers aspects de son système de contrôle interne. L’auditeur peut faire de même dans le cadre de son audit, à condition cependant de tenir compte de toutes les composantes du système de contrôle interne qui sont décrites dans la présente NCA. (NCA 315.A91)

Lorsque l’auditeur évalue l’efficacité de la conception des contrôles et détermine s’ils ont été mis en place, sa compréhension de chacune des composantes du système de contrôle interne de l’entité lui permet d’avoir une compréhension préliminaire de la manière dont l’entité identifie les risques d’entreprise et y répond. Cette compréhension peut aussi influer de diverses façons sur l’identification et l’évaluation par l’auditeur des risques d’anomalies significatives. Elle aide l’auditeur à concevoir et à mettre en œuvre des procédures d’audit complémentaires, y compris les tests d’efficacité du fonctionnement des contrôles qu’il prévoit de faire, le cas échéant. Par exemple : (NCA 315.A95)

La compréhension qu’acquiert l’auditeur en ce qui concerne les composantes « environnement de contrôle », « processus d’évaluation des risques par l’entité » et « processus de suivi du système de contrôle interne par l’entité » aura probablement plus d’influence sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des états financiers.

La compréhension qu’acquiert l’auditeur en ce qui concerne les composantes « système d’information et communications » et « activités de contrôle » de l’entité aura probablement plus d’influence sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions.

Les contrôles des composantes « environnement de contrôle », « processus d’évaluation des risques par l’entité » et « processus de suivi du système de contrôle interne par l’entité » sont principalement des contrôles indirects (c’est‑à‑dire des contrôles qui ne sont pas assez précis pour prévenir ou pour détecter et corriger les anomalies au niveau des assertions, mais qui favorisent le fonctionnement d’autres contrôles et qui peuvent donc influer indirectement sur la probabilité qu’une anomalie soit détectée ou prévenue en temps opportun). Toutefois, certains des contrôles qui font partie de ces composantes peuvent être des contrôles directs. (NCA 315.A96).

L’environnement de contrôle constitue l’assise sur laquelle repose le fonctionnement des autres composantes du système de contrôle interne. L’environnement de contrôle ne peut directement prévenir, ni détecter et corriger, les anomalies. Il peut toutefois influer sur l’efficacité des contrôles qui font partie des autres composantes du système de contrôle interne. De façon similaire, les processus d’évaluation des risques et de suivi du système de contrôle interne par l’entité sont eux aussi conçus pour contribuer au bon fonctionnement du système de contrôle interne dans son ensemble. (NCA 315.A97).

Étant donné que ces composantes constituent l’assise sur laquelle repose le système de contrôle interne de l’entité, toute déficience de leur fonctionnement peut avoir une incidence généralisée sur la préparation des états financiers. Par conséquent, la compréhension et l’évaluation de ces composantes par l’auditeur ont une incidence sur son identification et son évaluation des risques d’anomalies significatives au niveau des états financiers, et peuvent aussi avoir une incidence sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions. Les risques d’anomalies significatives au niveau des états financiers ont une incidence sur la conception des réponses globales de l’auditeur, notamment – comme il est expliqué dans la NCA 330 – sur la nature, le calendrier et l’étendue de ses procédures complémentaires (NCA 315.A98).

Directives du BVG

Comme l’explique le paragraphe A95 de la NCA 315, obtenir une compréhension du système de contrôle interne de l’entité permet à l’auditeur d’avoir une compréhension préliminaire de la manière dont l’entité identifie les risques d’entreprise et y répond. Cette compréhension des secteurs pour lesquels la direction estime que ses risques d’entreprise nécessitent une réponse peut aider l’auditeur à : a) identifier et évaluer les risques d’anomalies significatives résultant d’erreurs ou de fraudes et b) déterminer la nature, le calendrier et l’étendue des procédures d’audit complémentaires (y compris des tests des contrôles et des procédures de corroboration) à mettre en œuvre. Comprendre la manière dont la direction perçoit les risques d’entreprise peut aider l’auditeur à déterminer les travaux d’audit à réaliser et à axer ses travaux sur les secteurs pour lesquels des anomalies significatives ont une possibilité raisonnable de se produire.

Comme il a été souligné ci‑dessus, l’objectif de l’auditeur au moment d’acquérir une compréhension du système de contrôle interne de l’entité dans le cadre d’un audit des états financiers est d’identifier et d’évaluer les risques d’anomalies significatives et de concevoir des procédures d’audit appropriées pour répondre aux risques identifiés. Pour ce faire, l’auditeur identifie les contrôles se rattachant à la composante « activités de contrôle » qui répondent aux risques identifiés d’anomalies significatives au niveau des assertions relatives à l’information financière, à la conformité aux lois et aux règlements et à l’exploitation.

La section BVG Audit 5035.1 fournit des indications sur les divers secteurs pour lesquels diverses NCA, en plus de l’alinéa 26a) de la NCA 315 (p. ex. la NCA 402 ou la NCA 600) exigent de l’auditeur qu’il identifie les contrôles afin de déterminer s’ils se rattachent ou non à la composante « activités de contrôle ».

Lorsqu’il acquiert une compréhension du système de contrôle interne de l’entité, l’auditeur commence par comprendre l’environnement de contrôle, qui donne le ton à l’organisation, contribue à conscientiser les membres sur l’importance du contrôle et constitue la base générale du fonctionnement des composantes du système de contrôle interne de l’entité. Une fois qu’il a acquis une compréhension de l’environnement de contrôle de l’entité, l’auditeur identifie les contrôles se rattachant au processus d’évaluation des risques par l’entité, au processus de suivi du système de contrôle interne par l’entité, au système d’information et aux communications (y compris les processus opérationnels connexes) qui sont pertinents pour la préparation des états financiers. Ce processus permet à l’auditeur d’identifier les contrôles se rattachant à ces composantes qui sont pertinents pour la préparation des états financiers et qui répondent aux risques d’anomalies significatives. Si l’auditeur relève des contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions et qu’il estime qu’il s’agit d’un contrôle se rattachant à la composante « activités de contrôle », il évalue l’efficacité de sa conception et sa mise en place. S’il constate que ces contrôles ont été conçus de manière efficace et mis en place tel qu’ils ont été conçus, l’auditeur détermine s’il serait efficace et efficient de tester l’efficacité du fonctionnement de l’un de ces contrôles.

L’auditeur doit exercer son jugement professionnel pour déterminer si la compréhension obtenue est suffisante pour lui permettre d’identifier et d’évaluer les risques d’anomalies significatives et pour concevoir et mettre en œuvre des procédures d’audit complémentaires, y compris pour tester l’efficacité du fonctionnement des contrôles sélectionnés et pour déterminer l’étendue des procédures de corroboration à mettre en œuvre. Les sections ci après fournissent des directives complémentaires sur l’étendue de la compréhension obtenue et l’évaluation de chacune des composantes du contrôle interne :

BVG Audit 5032 — Environnement de contrôle
BVG Audit 5033 — Processus d’évaluation des risques par l’entité
BVG Audit 5034 — Système d’information et communications
BVG Audit 5035 — Activités de contrôle
BVG Audit 5036 — Processus de suivi des contrôles par l’entité

Lors de la réalisation d’un audit de groupe, une prise en compte appropriée est nécessaire au niveau de l’entité composante pour chacune des composantes du contrôle interne. Selon les circonstances du groupe, l’auditeur pourrait être en mesure d’évaluer certaines des composantes du système de contrôle interne de l’entité (p. ex. l’environnement de contrôle, le processus d’évaluation des risques par l’entité) au niveau du groupe. Cette façon de faire serait le plus efficace lorsque les processus sont réalisés par des fonctions de groupe centralisées, par exemple : le suivi des contrôles ou des activités d’évaluation des risques effectués par la fonction d’audit interne du groupe. Lorsqu’une telle évaluation est obtenue par les auditeurs de composante, ceux‑ci sont tout de même tenus d’évaluer les éléments probants communs dans le contexte des circonstances de leur entité (p. ex. une entité composante est assujettie à un audit légal pour lequel la direction suit un processus d’évaluation des risques distinct). Lorsqu’il agit en tant qu’auditeur de composante dans le cadre d’une mission d’audit de groupe, l’auditeur doit envisager de demander à l’équipe de mission d’audit de groupe des informations sur la conception des contrôles qui sont censés fonctionner dans toutes les entités du groupe.

Directives connexes

La section BVG Audit 5037 fournit des indications supplémentaires sur l’incidence des déficiences des contrôles identifiés au sein du système de contrôle interne de l’entité.

La section BVG Audit 5040 fournit des directives sur l’identification et l’évaluation des risques d’anomalies significatives.

Adaptabilité

Directives des NCA

La manière dont le système de contrôle interne de l’entité est conçu, mis en place et maintenu varie selon la taille et la complexité de celle‑ci. Ainsi, il est possible que les entités peu complexes aient recours à des contrôles (c’est‑à‑dire à des politiques et à des procédures) plus simples et moins structurés pour atteindre leurs objectifs. (NCA 315.A92)

Directives du BVG

Même si les contrôles internes au sein des entités peu complexes peuvent être moins officiels et moins structurés, de telles entités peuvent quand même avoir un système de contrôle interne efficace compte tenu des circonstances.

De nombreuses entités sont dotées de contrôles robustes, mais le niveau d’éléments probants conservés pour corroborer la mise en place (et l’efficacité du fonctionnement) des contrôles peut être moins formalisé. Cela ne veut pas dire que ces systèmes de contrôle interne sont moins efficaces. Dans les entités peu complexes, où des éléments probants documentés officiellement concernant le fonctionnement direct d’un contrôle pourraient ne pas exister ou être considérablement limités, d’autres types d’éléments probants, dont les suivants, pourraient être pris en compte :

  • les comptes rendus de réunions (p. ex. procès‑verbal d’une réunion périodique sur l’examen comparatif entre le budget et les chiffres réels rédigés par le personnel du service des finances);

  • des relevés des écarts (p. ex. la conservation d’exemplaires de relevé des écarts accompagnés de documents justificatifs sur le règlement des écarts et des demandes d’informations suffisantes auprès du personnel responsable du règlement des écarts);

  • des explications écrites, des marques de pointage ou toute autre indication de suivi (p. ex. les marques de pointage ou les notes écrites sur un rapport associées à des demandes d’informations suffisantes auprès du personnel expliquant les marques ou les notes);

  • les contrôles manuels (p. ex. les politiques et procédures documentées);

  • les notes ou toute autre correspondance interne (p. ex. courriels);

  • les listes de contrôle (p. ex. liste standard des rapprochements mensuels à effectuer);

  • les courriels contenant des questions/réponses prouvant la réalisation d’un examen;

  • l’observation de l’application du contrôle;

  • des éléments probants prouvant le règlement des écarts, les approbations, etc. conservés dans les systèmes de l’entité;

  • autre information produite par l’auditeur ou mise à sa disposition pour lui permettre de tirer des conclusions grâce à un raisonnement valable.

Directives connexes

Se reporter aux sections ci‑après pour obtenir des directives complémentaires sur l’adaptabilité de la compréhension et l’évaluation du système de contrôle interne de l’entité.

BVG Audit 5032 — Environnement de contrôle – Adaptabilité
BVG Audit 5033 — Processus d’évaluation des risques par l’entité – Adaptabilité
BVG Audit 5034 — Système d’information et communications – Adaptabilité
BVG Audit 5035 — Activités de contrôle – Adaptabilité
BVG Audit 5036 — Processus de suivi des contrôles par l’entité – Adaptabilité

Directives particulières à l’intention des auditeurs législatifs

Directives des NCA

L’auditeur d’une entité du secteur public a souvent des responsabilités supplémentaires en ce qui a trait au contrôle interne, par exemple celle de produire un rapport sur le respect d’un code de bonnes pratiques prescrit ou sur le respect des budgets. Il peut aussi avoir pour responsabilité de produire un rapport sur la conformité aux textes légaux et réglementaires ou à d’autres textes émanant d’une autorité. Sa prise en compte du système de contrôle interne peut donc être plus étendue et plus détaillée. (NCA 315.A93)