Manuel de la vérification annuelle

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5033 Composantes du contrôle interne — Processus d’évaluation des risques suivi par l’entité
sept.-2022

Contenu de la présente section

Compréhension du processus d’évaluation des risques suivi par l’entité

Évaluation du processus d’évaluation des risques suivi par l’entité

Adaptabilité

Compréhension du processus d’évaluation des risques suivi par l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus d’évaluation des risques par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.22)

  1. comprendre le processus que suit l’entité pour :

    1. identifier les risques d’entreprise qui sont pertinents au regard des objectifs de l’information financière;
    2. évaluer l’importance de ces risques, y compris leur probabilité de réalisation;
    3. répondre à ces risques.

Si l’auditeur identifie des risques d’anomalies significatives que la direction n’a pas identifiés, il doit : (NCA 315.23)

  1. se demander si ces risques auraient normalement dû être identifiés dans le cadre du processus d’évaluation des risques par l’entité et, si tel est le cas, acquérir une compréhension des raisons pour lesquelles ces risques n’ont pu être identifiés dans le cadre de ce processus;

  2. considérer les conséquences que cela peut avoir sur l’évaluation qu’il est tenu de faire selon l’alinéa 22 b).

Directives des NCA

Ce ne sont pas tous les aspects du modèle d’entreprise qui sont utiles à la compréhension de l’auditeur. Les risques d’entreprise englobent les risques d’anomalies significatives dans les états financiers, mais sont plus étendus que ceux‑ci. L’auditeur n’est pas tenu de comprendre ni d’identifier tous les risques d’entreprise, car ceux‑ci ne donnent pas tous lieu à des risques d’anomalies significatives. (NCA 315.A62)

Comme il est précisé au paragraphe A62, les risques d’entreprise ne donnent pas tous lieu à des risques d’anomalies significatives. Pour comprendre comment la direction et les responsables de la gouvernance ont identifié les risques d’entreprise à prendre en considération au regard de la préparation des états financiers et ont décidé des mesures à prendre pour y répondre, l’auditeur peut, par exemple, se demander comment la direction ou, selon ce qui convient le mieux, les responsables de la gouvernance ont : (NCA 315.A109)

  • défini les objectifs de l’entité avec suffisamment de précision et de clarté pour permettre l’identification et l’évaluation des risques s’y rattachant;

  • identifié et analysé les risques qui menacent l’atteinte des objectifs de l’entité afin de disposer d’une base leur permettant de déterminer comment gérer ces risques;

  • tenu compte, dans leur examen des risques qui menacent l’atteinte des objectifs de l’entité, de la possibilité que des fraudes soient commises.

L’auditeur peut considérer les conséquences de ces risques d’entreprise sur la préparation des états financiers et sur d’autres aspects du système de contrôle interne de l’entité. (NCA 315.A110)

Le processus d’évaluation des risques par l’entité est un processus itératif d’identification et d’analyse des risques qui menacent l’atteinte des objectifs de l’entité; il constitue la base à partir de laquelle la direction et les responsables de la gouvernance déterminent les risques à gérer. (NCA 315.Annexe 3.7)

Aux fins de l’information financière, le processus d’évaluation des risques par l’entité englobe la manière dont la direction identifie les risques d’entreprise pertinents par rapport à la préparation des états financiers conformément au référentiel d’information financière applicable, estime l’importance de ces risques, évalue leur probabilité de réalisation, et décide des mesures à prendre pour les gérer ainsi que les résultats qui en découlent. Par exemple, le processus d’évaluation des risques par l’entité peut prévoir la façon dont l’entité fait face à la possibilité que des opérations ne soient pas enregistrées, ou la façon dont elle identifie et analyse les estimations importantes figurant dans les états financiers. (NCA 315.Annexe 3.8)

Les risques pertinents qui concernent la fiabilité de l’information financière comprennent les événements, opérations ou circonstances externes et internes qui peuvent se produire et compromettre la capacité de l’entité de générer, enregistrer, traiter et communiquer des informations financières concordant avec les assertions de la direction que comportent les états financiers. La direction peut entreprendre des plans, des programmes ou des actions afin de répondre à des risques spécifiques ou elle peut décider d’assumer un risque pour des raisons de coûts ou pour d’autres raisons. Les risques peuvent naître ou évoluer en raison de circonstances telles que les suivantes : (NCA 315.Annexe 3.9)

  • des changements dans l’environnement dans lequel l’entité exerce ses activités — des changements dans l’environnement réglementaire, économique ou d’exploitation peuvent se traduire par des pressions concurrentielles modifiées et donner lieu à des risques considérablement différents;

  • un changement de personnel — le nouveau personnel peut avoir une vision ou une compréhension différente du système de contrôle interne de l’entité;

  • la mise en place d’un nouveau système d’information ou la mise à niveau du système existant — des changements importants et rapides qui touchent le système d’information peuvent modifier les risques liés au système de contrôle interne de l’entité;

  • une croissance rapide — une expansion importante et rapide des activités peut mettre les contrôles à rude épreuve et accroître leur risque de défaillance;

  • de nouvelles technologies — l’intégration de nouvelles technologies dans les processus de production ou le système d’information peut modifier les risques liés au système de contrôle interne de l’entité;

  • de nouveaux modèles d’entreprise, de nouveaux produits ou de nouvelles activités — la pénétration de secteurs ou la conclusion d’opérations dont l’entité a une expérience limitée peuvent faire naître de nouveaux risques liés au système de contrôle interne de l’entité;

  • une restructuration de l’entreprise — les restructurations peuvent s’accompagner de compressions de personnel et de changements dans la supervision et la séparation des tâches qui sont susceptibles de modifier les risques liés au système de contrôle interne de l’entité;

  • une expansion à l’étranger — l’expansion ou l’acquisition d’établissements à l’étranger font naître des risques nouveaux et souvent exceptionnels qui peuvent affecter le contrôle interne, par exemple des risques additionnels ou différents associés aux opérations en devises;

  • de nouvelles positions officielles en comptabilité — l’adoption de nouveaux principes comptables ou l’évolution des principes comptables existants peuvent modifier les risques associés à la préparation des états financiers;

  • le recours à l’informatique — il peut y avoir des risques concernant :

    • le maintien de l’intégrité des données et le traitement de l’information,

    • la stratégie d’entreprise de l’entité, si cette stratégie n’est pas soutenue efficacement par la stratégie informatique de l’entité,

    • la stabilité de l’environnement informatique de l’entité (changements ou interruptions) ou du personnel du service informatique (roulement de personnel), ou encore les mises à niveau nécessaires de l’environnement informatique (qui peuvent ne pas être effectuées à temps, voire ne pas être effectuées du tout).

Directives du BVG

Établissement des objectifs

Les objectifs de l’évaluation des risques par l’entité consistent à identifier, à analyser et à gérer les risques qui influent sur la réalisation des objectifs de l’entité (y compris les objectifs en matière d’information financière). Ce processus d’évaluation est souvent plus exhaustif que l’évaluation du risque d’audit. Même s’il est centré généralement sur l’évaluation des risques d’entreprise, il peut aider l’entité et l’auditeur à identifier les risques d’anomalies significatives dans les états financiers. Il constitue la base à partir de laquelle la direction détermine les risques à gérer. Par conséquent, lors de l’acquisition d’une compréhension du processus d’évaluation des risques suivi par l’entité, l’auditeur se concentre surtout sur les risques d’entreprise pouvant entraîner des anomalies significatives dans les états financiers.

Identification et analyse des risques

Le processus d’identification et d’analyse des risques suivi par l’entité est un processus continu et itératif. C’est une composante essentielle d’un système de contrôle interne efficace. Le processus suivi par l’entité tient compte des risques d’entreprise, des risques inhérents et des risques de fraude au niveau de l’entité et au niveau des filiales/des unités de gestion, et au niveau des processus, des opérations ou des comptes. Dans le contexte plus restreint des objectifs en matière d’information financière, l’évaluation des risques comprend la manière dont l’entité s’y prend pour identifier les risques d’entreprise liés à la préparation des états financiers en conformité avec le référentiel d’information financière applicable de l’entité, pour estimer leur importance, pour évaluer leur probabilité de réalisation, et pour décider des mesures à prendre afin de répondre à ces risques. L’évaluation des risques à l’égard de l’information financière comprend l’identification des risques d’anomalies significatives dans les catégories d’opérations importantes, les soldes de comptes et les informations à fournir au niveau des assertions, et la mise en œuvre de contrôles visant à prévenir ou détecter les anomalies significatives.

Évaluation du processus d’évaluation des risques suivi par l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus d’évaluation des risques par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.22)

  1. évaluer si le processus d’évaluation des risques par l’entité est approprié aux circonstances de l’entité, compte tenu de la nature et de la complexité de celle‑ci.

Directives des NCA

L’évaluation par l’auditeur du processus d’évaluation des risques par l’entité peut l’aider à comprendre les aspects à l’égard desquels l’entité a identifié des risques et la manière dont elle y a répondu. Quant à son évaluation de la manière dont l’entité identifie les risques d’entreprise auxquels elle est exposée, les évalue et y répond, elle l’aide à comprendre si l’identification et l’évaluation de ces risques, ainsi que les mesures prises pour y répondre, sont appropriées compte tenu de la nature et de la complexité de l’entité. Cette évaluation peut aussi aider l’auditeur à identifier et à évaluer les risques d’anomalies significatives au niveau des états financiers et au niveau des assertions. (NCA 315.A111)

Pour évaluer si le processus d’évaluation des risques par l’entité est approprié, l’auditeur se fonde sur la compréhension qu’il a acquise conformément à l’alinéa 22 a). (NCA 315.A112)

Directives du BVG

L’évaluation de l’auditeur du processus d’évaluation des risques suivi par la direction, y compris des résultats/extrants de ce processus peut fournir des renseignements éclairants sur la nature et l’ampleur potentielle des risques du point de vue de la direction de l’entité et des responsables de la gouvernance. Comme il est expliqué à la NCA 315.A11, le processus d’évaluation des risques mis en œuvre par la direction fait ressortir les aspects à l’égard desquels l’entité a identifié des risques et la manière dont elle y a répondu. L’analyse effectuée par la direction peut amener l’auditeur à identifier et à évaluer des risques d’anomalies significatives dans les états financiers visés par l’audit. Même si le processus d’évaluation des risques suivi par la direction peut renseigner sur les aspects qui pourraient présenter des risques potentiels d’anomalies significatives, il ne saurait se substituer à une évaluation indépendante des risques menée par l’auditeur.

Dans son évaluation du processus d’évaluation des risques suivi par l’entité, l’auditeur examine si le processus est approprié aux circonstances de l’entité, compte tenu de la nature et de la complexité de celle ci. En raison de la nature du processus d’évaluation des risques par l’entité, l’auditeur met en œuvre des procédures qui comprennent principalement des demandes d’informations, des observations physiques et des inspections. L’équipe de mission exerce son jugement professionnel pour déterminer la nature et l’étendue des travaux réalisés afin d’évaluer le processus d’évaluation des risques par l’entité, et ces travaux sont fonction de la taille et de la complexité de l’entité, entre autres facteurs pertinents. Même si la NCA 315 ne l’exige pas, l’auditeur peut dans certains cas, lorsqu’il évalue la composante du processus d’évaluation des risques par l’entité, décider d’évaluer la conception et la mise en place des contrôles individuels identifiés dans le cadre du processus. Cette évaluation détaillée de la conception et de la mise en place peut éclairer l’auditeur sur le processus suivi par l’entité pour identifier les risques d’entreprise, et ainsi l’aider à identifier les risques d’anomalies significatives à un niveau encore plus précis. Ce serait généralement le cas dans le cadre de l’audit d’entités vastes et complexes, car les processus ne présentent pas nécessairement un degré de formalité aussi élevé au sein des entités moins complexes, surtout celles gérées par leur propriétaire. L’auditeur évaluerait aussi la conception et la mise en place des contrôles identifiés dans le cadre du processus s’il décidait de tester l’efficacité du fonctionnement de ces contrôles. Voir la section BVG Audit 5035.1 pour obtenir plus de directives sur les contrôles sélectionnés par l’auditeur pour les tests.

Si le processus d’évaluation des risques est inefficace (c.‑à‑d. qu’il ne relève pas les risques d’anomalies significatives identifiées par l’auditeur), l’auditeur détermine l’incidence, y compris toute déficience relevée, sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des états financiers et au niveau des assertions. La section BVG Audit 5037 fournit des directives supplémentaires sur l’incidence d’une évaluation par l’auditeur selon laquelle une composante du système de contrôle interne de l’entité n’est pas appropriée à la nature et aux circonstances de l’entité. La section traite aussi de l’incidence des déficiences du contrôle relevées sur la conception des procédures d’audit complémentaires, conformément à la NCA 330.

Adaptabilité

Directives des NCA

La question de savoir si le processus d’évaluation des risques par l’entité est approprié aux circonstances de l’entité, compte tenu de la nature et de la complexité de celle‑ci, relève du jugement professionnel de l’auditeur. (NCA 315.A113)

Directives du BVG

Toutes les entités, sans égard à leur taille ou à leur complexité, sont exposées à des risques. Dans les entités peu complexes, et particulièrement celles gérées par leur propriétaire, les processus et les systèmes du processus d’évaluation des risques ne présentent pas toujours le même degré de formalité et d’uniformité que ceux mis en œuvre au sein d’entités complexes. De même, une entité peu complexe peut adopter des processus ou des systèmes d’évaluation des risques formels et structurés, sans toutefois documenter les processus et les résultats avec autant de formalité si les intervenants prenant part au processus sont aussi les propriétaires de l’entreprise. Lorsque de tels systèmes et processus ne sont pas suffisamment formels, l’auditeur peut tout de même acquérir une compréhension du processus d’évaluation des risques par l’entité et évaluer ce processus, et il peut aussi, s’il le décide, évaluer la conception et la mise en place de contrôles précis liés à l’évaluation des risques au moyen d’observations physiques et de demandes d’informations.