5032 Composantes du contrôle interne — Environnement de contrôle

sept.-2022

Directives des NCA

En ce qui concerne sa compréhension de l’environnement de contrôle, l’auditeur peut obtenir des éléments probants en associant les demandes d’informations à d’autres procédures d’évaluation des risques (c’est‑à‑dire en corroborant, par l’observation ou par l’inspection de documents, les informations reçues). (NCA 315.A101)

Pour acquérir une compréhension de la mesure dans laquelle la direction montre qu’elle attache de l’importance à l’intégrité et aux valeurs éthiques, l’auditeur peut procéder à des demandes d’informations auprès de la direction et du personnel et prendre en considération des informations provenant de sources externes afin : (NCA 315.A102)

• de se renseigner sur la façon dont la direction communique au personnel sa vision de la conduite des affaires et du comportement éthique;

• d’inspecter le code de bonne conduite écrit de la direction et d’observer si elle agit de manière à en favoriser le respect.

L’environnement de contrôle englobe les fonctions de gouvernance et de direction, ainsi que l’attitude, le degré de sensibilisation et les actions des responsables de la gouvernance et de la direction à l’égard du système de contrôle interne et de son importance dans l’entité. Il donne le ton à l’organisation en conscientisant le personnel à l’importance du contrôle. L’environnement de contrôle constitue par ailleurs l’assise sur laquelle repose le fonctionnement des autres composantes du système de contrôle interne de l’entité. (NCA 315.Annexe 3.4)

Le degré de sensibilisation de l’entité à l’importance du contrôle est influencé par les responsables de la gouvernance, parce que l’un de leurs rôles consiste à faire contrepoids aux pressions qui peuvent être exercées sur la direction, en ce qui a trait à l’information financière, en raison des exigences du marché ou des modes de rémunération. L’efficacité de la conception de l’environnement de contrôle, pour ce qui concerne la participation des responsables de la gouvernance, est donc influencée par des facteurs tels que : (NCA 315.Annexe 3.5)

• leur indépendance par rapport à la direction et leur capacité d’évaluer les actions de la direction;

• leur compréhension des opérations commerciales de l’entité;

• la mesure dans laquelle ils évaluent si les états financiers sont préparés conformément au référentiel d’information financière applicable, notamment si les états financiers fournissent les informations adéquates.

L’environnement de contrôle comprend les éléments suivants (NCA 315.Annexe 3.6) :

1. La façon dont la direction s’acquitte de ses responsabilités, notamment en développant et en entretenant la culture de l’entité et en démontrant l’importance qu’elle attache à l’intégrité et aux valeurs éthiques. L’efficacité des contrôles est tributaire de l’intégrité et des valeurs éthiques des personnes qui les créent, les gèrent et en assurent le suivi. L’intégrité et le comportement éthique sont fonction des normes d’éthique et de comportement de l’entité ou de ses codes de conduite, ainsi que de la manière dont ceux‑ci sont communiqués (par exemple, publication d’énoncés de politique) et dont on les fait respecter en pratique (par exemple, actions de la direction visant à éliminer ou à limiter les motifs ou les tentations pouvant amener le personnel à commettre des actes malhonnêtes, illégaux ou contraires à l’éthique). La transmission des valeurs de l’entité en matière d’intégrité et d’éthique peut comprendre la communication de normes de comportement au personnel par l’intermédiaire d’énoncés de politique et de codes de conduite ainsi que par l’exemple.

2. La façon dont les responsables de la gouvernance, lorsqu’ils ne sont pas membres de la direction, démontrent leur indépendance par rapport à la direction et exercent une surveillance à l’égard du système de contrôle interne de l’entité. Le degré de sensibilisation de l’entité à l’importance du contrôle est influencé par les responsables de la gouvernance. L’auditeur peut se demander, entre autres, s’il y a un nombre suffisant de personnes qui sont indépendantes de la direction et qui font preuve d’objectivité dans leurs évaluations et leurs prises de décisions; comment les responsables de la gouvernance identifient et assument leurs responsabilités de surveillance; et s’ils conservent la responsabilité de la surveillance de la conception, de la mise en place et de l’application, par la direction, du système de contrôle interne de l’entité. L’importance des responsabilités qui incombent aux responsables de la gouvernance est reconnue dans des codes de pratique, dans des textes légaux et réglementaires ou dans des directives élaborées à leur intention. Ces responsabilités s’étendent à la surveillance de la conception et de l’efficacité du fonctionnement des procédures d’alerte éthique.

3. La façon dont l’entité attribue les pouvoirs et les responsabilités en vue d’atteindre ses objectifs. Voici des exemples d’éléments à prendre en considération :

   • les postes clés en matière de pouvoirs et de responsabilités et les voies hiérarchiques appropriées;

   • les politiques concernant les pratiques commerciales appropriées, les connaissances et l’expérience exigées du personnel clé et les ressources fournies pour l’exercice des fonctions attribuées;

   • les politiques et les communications visant à assurer que tous les membres du personnel comprennent les objectifs de l’entité, sont conscients de la manière dont leurs actions individuelles s’intègrent les unes aux autres et contribuent à la réalisation de ces objectifs, et savent de quoi et devant qui ils sont responsables.

4. La façon dont l’entité s’assure de recruter, de perfectionner et de retenir des personnes qui sont compétentes et dont le profil est compatible avec les objectifs de l’entité. Cela comprend les moyens par lesquels l’entité s’assure que les personnes concernées possèdent les connaissances et les compétences nécessaires pour accomplir les tâches propres au poste qu’elles occupent. En voici quelques exemples :

   • des normes d’embauche axées sur la formation, l’expérience professionnelle, les réalisations antérieures et la preuve d’un comportement intègre et éthique, pour le recrutement des personnes les plus compétentes;

   • des politiques de formation qui exposent les rôles et les responsabilités susceptibles d’être assumés et qui prévoient la tenue d’activités de formation structurées illustrant le niveau de performance et le comportement attendus;

   • un processus de promotion reposant sur des évaluations périodiques de la performance qui montre que l’entité est déterminée à favoriser l’avancement du personnel compétent en lui confiant des niveaux de responsabilité supérieurs.

5. La façon dont l’entité demande aux personnes ayant des responsabilités concernant son système de contrôle interne de lui rendre des comptes sur l’atteinte des objectifs de ce système. Voici des exemples d’éléments à prendre en considération :

   • les mécanismes relatifs à la communication, à la reddition de comptes des personnes ayant des responsabilités en matière de contrôle et à la prise de mesures correctives, au besoin;

   • les mesures de la performance, les incitatifs et les récompenses à l’intention des responsables du système de contrôle interne de l’entité, y compris la façon dont on évalue ces mesures et dont on s’assure qu’elles demeurent pertinentes;

   • l’incidence des pressions associées à l’atteinte des objectifs en matière de contrôle sur les responsabilités et les mesures de la performance des personnes concernées;

   • les sanctions disciplinaires qui sont imposées, au besoin.

Le caractère approprié de ces éléments dépend de la taille de l’entité, de la complexité de sa structure et de la nature de ses activités.

Pour acquérir une compréhension de l’environnement de contrôle, l’auditeur peut tenir compte des mesures prises par la direction à l’égard des constatations et des recommandations de la fonction d’audit interne concernant des déficiences du contrôle qui ont été relevées et qui sont pertinentes pour la préparation des états financiers, et notamment se demander si et comment ces mesures ont été mises en place, et si elles ont été par la suite évaluées par la fonction d’audit interne (NCA 315.Annexe 4.7).

Directives des NCA

Pour évaluer l’environnement de contrôle, l’auditeur se fonde sur la compréhension qu’il a acquise conformément à l’alinéa 21 a). (NCA 315.A104)

Il peut arriver qu’une entité soit soumise à l’emprise d’une personne qui peut détenir à elle seule un fort pouvoir discrétionnaire. Les actions et l’attitude de cette personne peuvent alors avoir une incidence généralisée sur la culture de l’entité et, par conséquent, sur l’environnement de contrôle. Une telle incidence peut être positive ou négative. (NCA 315.A105)

L’auditeur peut prendre en considération l’influence éventuelle de la philosophie et du style de gestion de la haute direction sur les différents éléments de l’environnement de contrôle, en tenant compte du rôle joué par les membres indépendants parmi les responsables de la gouvernance. (NCA 315.A106)

Il est possible qu’un environnement de contrôle adéquat fournisse une base appropriée sur laquelle peut s’appuyer le système de contrôle interne et qu’il contribue à réduire le risque de fraude, mais cela ne veut pas dire qu’il s’agit nécessairement d’une arme de dissuasion efficace. (NCA 315.A107)

Lorsqu’il évalue l’environnement de contrôle au regard du recours à l’informatique par l’entité, l’auditeur peut, par exemple : (NCA 315.A108)

• se demander si la gouvernance informatique est adaptée à la nature et à la complexité de l’entité et de ses activités qui dépendent de l’informatique, en tenant compte notamment de la complexité et de la maturité de la plateforme ou de l’architecture technologique de l’entité et de la mesure dans laquelle le processus d’information financière de l’entité repose sur des applications informatiques;

• prendre en considération la structure organisationnelle de gestion de l’informatique et les ressources allouées aux technologies de l’information (il peut se demander, par exemple, si l’entité s’est dotée d’un environnement informatique approprié et si elle a procédé aux améliorations nécessaires, ou encore si elle peut compter sur un nombre suffisant d’employés compétents, y compris dans les cas où l’entité utilise un logiciel commercial peu ou pas modifié).

Directives du BVG

L’auditeur évalue les éléments individuels de l’environnement de contrôle afin de déterminer si l’environnement donne le ton à l’organisation en conscientisant le personnel à l’importance du contrôle et constitue l’assise sur laquelle repose le fonctionnement des autres composantes du système de contrôle interne de l’entité. Pour ce faire, il procède normalement à des demandes d’informations auprès du personnel de l’entité ainsi qu’à l’examen des documents correspondants, par exemple un code de conduite, des manuels de procédures, des notes internes, des dossiers du personnel, des comptes rendus des réunions du conseil d’administration ou de comités connexes, des rapports d’audit interne ainsi que des comptes et des rapports de la direction qui peuvent fournir des informations qui semblent corroborer ou contredire la compréhension préliminaire acquise par l’auditeur.

En évaluant l’environnement de contrôle, l’auditeur tient compte également des incidences du recours à l’informatique par l’entité. La section BVG Audit 5034 présente d’autres directives sur l’acquisition d’une compréhension de l’environnement de TI de l’entité.

L’auditeur obtient des éléments probants exempts de parti pris favorisant la corroboration des demandes d’informations auprès de la direction ou des attentes. Il n’exclut pas non plus les éléments probants qui semblent contradictoires. Ainsi, l’auditeur doit non seulement être à l’affût de certains facteurs (politiques, procédures, caractéristiques, attributs, etc.) qui appuient l’existence d’un environnement de contrôle positif, mais il doit aussi tenir compte de tous les éléments probants disponibles pour appuyer son évaluation, comme l’exige la norme. Par exemple, il peut évaluer si des points de vue tirés de sources externes, comme des rapports d’analystes ou des cas d’alerte éthique, fournissent des informations corroborantes ou contradictoires sur la culture de l’entité et le ton donné à l’organisation.

La détermination du caractère suffisant et approprié de ces éléments probants relève du jugement professionnel. Comme l’environnement de contrôle est l’assise sur laquelle repose le fonctionnement efficace du système de contrôle interne de l’entité, des membres plus expérimentés de l’équipe de mission participent généralement à l’évaluation de cette composante. Ainsi, ces personnes, grâce à leurs connaissances et à leur expérience, apportent un éclairage précieux qui peut accroître l’efficacité de l’évaluation de l’environnement de contrôle et, par conséquent, l’efficacité et l’efficience de la stratégie de test des contrôles et du plan connexe dès le début de l’audit.

La NCA 315 n’exige pas que l’auditeur évalue la conception et la mise en place de chaque contrôle individuel faisant partie des éléments de l’environnement de contrôle. De plus, la nature et l’étendue des procédures d’évaluation des risques relèvent du jugement professionnel. Comme il est expliqué ci‑après, cela dépend des circonstances de la mission et, dans certains cas, pour évaluer de manière appropriée la composante de l’environnement de contrôle dans son ensemble et pour identifier et évaluer adéquatement les risques d’anomalies significatives, l’auditeur devra mettre en œuvre des procédures pour évaluer la conception et la mise en place des contrôles individuels.

L’auditeur peut décider d’évaluer la conception et la mise en place de contrôles individuels recensés dans cette composante, même s’il n’est pas tenu de le faire selon la NCA 315. Cette évaluation peut améliorer sa compréhension du système de contrôle interne de l’entité, ce qui l’aidera à recenser et à évaluer les risques d’anomalies significatives à un niveau plus détaillé.

Il ne suffit pas de concevoir des contrôles, des processus et des structures à l’égard des éléments de l’environnement de contrôle. Dans l’évaluation de l’environnement de contrôle, il importe de déterminer la mesure dans laquelle ces contrôles, processus et structures sont mis en œuvre par l’entité afin de fournir une assise appropriée pour les autres composantes du système de contrôle interne de l’entité et de favoriser une culture d’honnêteté et de comportement éthique. La simple existence d’un code de conduite, par exemple, ne permet pas de démontrer que ce code a été conçu ou mis en œuvre de manière à soutenir un environnement de contrôle efficace. Selon la taille et la complexité de l’entité, l’auditeur doit vérifier le contenu du code de conduite, comment le code a été communiqué aux employés, s’il l’a été de manière uniforme et par qui il l’a été. En général, une entité peu complexe ayant un petit nombre d’employés exigerait une étendue limitée d’éléments probants, tandis qu’une entité plus complexe et de grande taille nécessiterait une étendue plus élevée d’éléments probants.

Lors de l’audit d’une entité peu complexe, l’auditeur peut obtenir des éléments probants pour appuyer l’évaluation en procédant à des demandes d’informations robustes et en observant la mise en œuvre des politiques et des procédures par la direction. Par exemple, il peut relever que l’entité dispose d’un manuel des ressources humaines décrivant ses politiques et ses procédures afin d’appuyer le cinquième élément de l’environnement de contrôle : La façon dont l’entité demande aux personnes ayant des responsabilités concernant son système de contrôle interne de lui rendre des comptes sur l’atteinte des objectifs de ce système. L’examen du manuel est rarement suffisant pour conclure à l’égard de l’efficacité des contrôles et des processus. L’auditeur doit plutôt observer les comportements individuels et/ou inspecter la documentation des mesures de reddition de comptes prises lorsque des personnes ne satisfont pas aux attentes afin de déterminer si les politiques connexes ont été mises en œuvre. Lorsque l’auditeur examine des éléments semblables de l’environnement de contrôle d’une entité plus complexe, il doit aussi vérifier si le personnel a reçu une formation appropriée pour le sensibiliser aux politiques et aux procédures. Lorsque cela est pertinent (p. ex. pour des négociateurs agissant au nom de clients, exerçant un pouvoir discrétionnaire à l’égard de décisions d’investissement selon des paramètres convenus), l’auditeur peut également inspecter les formulaires de commentaires des clients et les sommaires annuels de rendement pour déterminer si les employés individuels sont évalués en fonction de mesures qui concordent avec les politiques et les attentes en matière d’éthique établies par l’entité.

Directives connexes

La section BVG Audit 5011 contient d’autres directives sur les demandes d’informations à la direction et à la fonction d’audit interne.

Directives des NCA

L’évaluation de l’environnement de contrôle – c’est‑à‑dire le fait d’évaluer de quelle manière l’entité montre, par son comportement, qu’elle attache de l’importance à l’intégrité et aux valeurs éthiques, si l’environnement de contrôle fournit une base appropriée sur laquelle peuvent s’appuyer les autres composantes du système de contrôle interne de l’entité, et si les déficiences du contrôle relevées nuisent aux autres composantes du système de contrôle interne – aide l’auditeur à identifier d’éventuels problèmes liés aux autres composantes du système de contrôle interne. En effet, l’environnement de contrôle sert d’assise aux autres composantes du système de contrôle interne de l’entité. Cette évaluation peut aussi aider l’auditeur à comprendre les risques auxquels l’entité est exposée et donc à identifier et à évaluer les risques d’anomalies significatives au niveau des états financiers et au niveau des assertions (NCA 315.A103).

Directives du BVG

Comme les contrôles recensés au sein de la composante d’environnement de contrôle sont principalement des contrôles indirects, la compréhension et l’évaluation de cette composante aident l’auditeur à évaluer les risques d’anomalies significatives principalement au niveau des états financiers.

L’existence d’un environnement de contrôle efficace peut constituer un facteur positif dans l’évaluation par l’auditeur des risques d’anomalies significatives. Toutefois, même si un bon environnement de contrôle peut contribuer à réduire le risque de fraude, il ne s’agit pas d’une arme de dissuasion absolue. Ainsi, les programmes et les contrôles de prévention de la fraude mis en place peuvent être neutralisés par la collusion entre plusieurs personnes ou en raison du contournement inapproprié du contrôle interne par la direction. Par contre, l’existence de déficiences dans l’environnement de contrôle peut réduire l’efficacité des contrôles, en particulier en ce qui concerne la fraude. Par exemple, en ce qui concerne le troisième élément de l’environnement de contrôle (la façon dont l’entité attribue les pouvoirs et les responsabilités), le fait que la direction n’affecte pas suffisamment de ressources à la protection de l’entité contre les risques de sécurité informatique peut avoir une incidence négative sur le contrôle interne, en permettant que des modifications non autorisées soient apportées aux programmes informatiques ou aux données, ou que des opérations non autorisées soient traitées.

Exemples de l’incidence de l’évaluation de l’environnement de contrôle

En obtenant une compréhension de l’environnement de contrôle, l’auditeur apprend que l’entité dispose de pratiques ou de politiques des ressources humaines qui, à son avis, permettent à l’entité d’attirer, de perfectionner et de maintenir en poste des personnes compétentes. L’entité possède notamment des normes de recrutement qui mettent l’accent sur les études, l’expérience de travail précédente, les accomplissements antérieurs et des preuves d’intégrité et de comportement éthique. De plus, l’auditeur a évalué si les politiques utilisées par l’entité pour communiquer les rôles et les responsabilités encouragent les personnes à rendre des comptes à l’égard de leurs responsabilités.

Dans un tel scénario, cette conclusion de l’auditeur, combinée à son évaluation des autres éléments de l’environnement de contrôle, peut l’aider à déterminer qu’il serait efficace et efficient de tester l’efficacité du fonctionnement des contrôles à l’égard de postes des états financiers spécifiques (c.‑à‑d. qu’il prévoit obtenir un niveau partiel ou élevé de confiance dans les contrôles afin d’obtenir des éléments probants des tests de certains contrôles). Son évaluation de l’environnement de contrôle et d’autres contrôles indirects au niveau de l’entité peut aussi influer sur sa stratégie de test des contrôles. Par exemple, en se fondant sur sa détermination que l’environnement de contrôle favorise un environnement propice au fonctionnement efficace du système de contrôle interne de l’entité, l’auditeur peut juger, pour un contrôle manuel, que des tests visant à obtenir un niveau d’assurance modéré plutôt qu’élevé suffisent, ou qu’il peut utiliser l’inspection plutôt que la réexécution comme technique de test des contrôles.

Par ailleurs, lorsque l’auditeur détermine que l’environnement de contrôle au sein de l’entité est faible (p. ex. les déficiences du contrôle nuisent aux autres composantes du système de contrôle interne de l’entité), il peut conclure que le test de l’efficacité du fonctionnement des contrôles recensés n’est pas une approche d’audit efficace et efficiente pour répondre au risque d’anomalies significatives identifié. Par exemple, cela peut influer sur le jugement de l’auditeur au moment de déterminer que l’attitude de la direction n’encourage pas une culture d’honnêteté et de comportement éthique. L’auditeur prend en considération le résultat de l’évaluation lorsqu’il identifie et évalue les risques d’anomalies significatives au niveau des états financiers. Il s’agit alors de déterminer si cette faiblesse indique un niveau élevé de risque de fraude qui doit être considéré comme un risque important.

Dès que l’auditeur a identifié et évalué les risques touchés par les déficiences du contrôle relevées dans l’environnement de contrôle, il conçoit des procédures d’audit appropriées, conformément à la NCA 330.A1, en réponse à ces risques. Cela peut entraîner des modifications générales à la nature, au calendrier et à l’étendue des procédures d’audit. L’auditeur peut notamment mettre en œuvre des procédures de corroboration additionnelles ou modifier la nature des procédures de corroboration. Par exemple, l’auditeur peut décider :

• de réaliser des tests ciblés fondés sur les risques et des tests ciblés imprévisibles supplémentaires;
• accroître le niveau des tests supplémentaires à l’égard d’un solde non testé.

Dans certaines circonstances, l’auditeur peut décider d’affecter à la mission du personnel professionnel plus expérimenté pour mettre en œuvre les procédures d’audit.

La section BVG Audit 5037 fournit des directives supplémentaires sur l’incidence de la détermination faite par l’auditeur qu’une composante du système de contrôle interne de l’entité n’est pas appropriée à la nature et aux circonstances de l’entité. Elle examine aussi l’incidence des déficiences du contrôle relevées sur la conception de procédures d’audit complémentaires conformément à la NCA 330.

Directives des NCA

L’environnement de contrôle d’une entité peu complexe est généralement d’une nature différente de celle d’une entité plus complexe. Par exemple, il se peut qu’il n’y ait pas de membre indépendant ou externe parmi les responsables de la gouvernance d’une entité peu complexe, et même que le rôle de gouvernance soit assumé directement par le propriétaire‑dirigeant de l’entité lorsqu’il en est l’unique propriétaire. Par conséquent, il se peut que certaines considérations relatives à l’environnement de contrôle de l’entité perdent de leur pertinence ou qu’elles ne s’appliquent pas. (NCA 315.A99)

Dans les entités peu complexes, il se peut en outre que les éléments probants concernant les éléments de l’environnement de contrôle ne soient pas disponibles sous forme de documents, en particulier là où les communications entre la direction et le personnel sont informelles, mais qu’ils soient tout de même suffisamment pertinents et fiables dans les circonstances. (NCA 315.A100)