5034 Composantes du contrôle interne — Système d’information et communication

sept.-2022

Directives du BVG

Pour acquérir une compréhension du système d’information de l’entité, il faut déterminer comment l’information financière pertinente pour la préparation des états financiers est déclenchée, enregistrée, traitée, corrigée et intégrée au grand livre général, et communiquée dans les états financiers. L’acquisition de cette compréhension implique la connaissance de l’environnement informatique relatif au cheminement des opérations et au traitement de l’information dans le système d’information de l’entité (c.‑à‑d. les applications informatiques et l’infrastructure informatique d’appui) permettant à l’entité de présenter ses états financiers. Pour ce faire, il ne faut pas procéder de manière isolée; il faut plutôt regrouper les informations recueillies lors de l’acquisition d’une compréhension des processus opérationnels sous-jacents. On considère qu’un processus opérationnel est important s’il se rapporte à des postes importants des états financiers, comme il est décrit dans la section BVG Audit 5042. Pour acquérir une compréhension des processus opérationnels sous‑jacents, il faut étudier la façon dont l’information financière liée aux opérations est enregistrée et traitée dans les systèmes d’information de l’entité, ainsi que les estimations comptables incluses et les écritures de journal enregistrées découlant du processus opérationnel qui a abouti aux montants présentés, au bout du compte, dans les états financiers. La compréhension détaillée de l’auditeur peut être intégrée à sa compréhension des processus opérationnels respectifs. Toutefois, la compréhension globale de l’auditeur de la composante « système d’information et communications » fait généralement une synthèse des liens entre les activités réalisées au sein du processus opérationnel important, les applications informatiques et l’infrastructure informatique d’appui, et l’information présentée dans les états financiers.

Voir la rubrique ci‑dessous Compréhension des activités de traitement de l’information au sein des processus opérationnels pour des informations complémentaires sur l’acquisition d’une compréhension des processus opérationnels, y compris le cheminement des opérations de bout en bout et les contrôles.

Pour acquérir une compréhension de la composante « système d’information et communications » de l’entité du système de contrôle interne de l’entité, il faut également tenir compte des éléments suivants :

• les processus opérationnels qui sont considérés comme importants pour l’information financière, notamment :

  • la mise en correspondance des postes des états financiers, soit les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes (et l’information de gestion, s’il y a lieu) et des processus opérationnels (y compris le processus d’information financière lui‑même) et des applications informatiques pour chaque unité de gestion importante;

  • les sous‑processus importants qui sous‑tendent chaque processus opérationnel important, y compris le processus d’information financière;

  • l’incidence de l’utilisation de l’information de gestion sur l’information financière (p. ex., lorsque la direction gère les résultats d’exploitation séparément pour chaque secteur d’activité, l’auditeur pourrait identifier plus d’un processus ou sous‑processus opérationnel pour un seul poste des états financiers);

• les systèmes d’information de l’entité, ce qui comprend :

  • l’incidence sur l’audit des politiques et procédures relatives à l’utilisation par l’entité du personnel affecté au service informatique (y compris les applications ou d’autres aspects de l’environnement informatique) en ce qui a trait au cheminement des opérations et au traitement de l’information, notamment l’incidence des modifications apportées à l’environnement informatique.

Lors de la mise en œuvre de procédures visant à acquérir une compréhension des activités de traitement de l’information de l’entité, l’auditeur identifie les contrôles que la direction a mis en place pour saisir, traiter et déclarer les informations sur les événements et les opérations et en acquiert une compréhension (c.‑à‑d. comme contrôles pertinents aux fins de la préparation des états financiers). La compréhension des activités de traitement de l’information et des contrôles identifiés constitue un fondement pour l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions, ainsi que des contrôles qui visent ces risques (contrôles visant les risques d’anomalies significatives au niveau des assertions de la composante « activités de contrôle »). L’alinéa 26a) de la NCA 315 exige que l’auditeur évalue la conception et la mise en place des contrôles de la composante « activités de contrôle », car cela l’aide à comprendre la manière dont la direction gère les risques et lui sert de base pour la conception et la mise en œuvre de procédures d’audit supplémentaires. L’auditeur documente la compréhension des activités de traitement de l’information et identifie les contrôles pertinents pour la préparation des états financiers dans le cadre de la composante « système d’information et communications », même s’il décide de ne pas évaluer leur efficacité conceptuelle et leur mise en œuvre.

Directives connexes

La rubrique Complexité de l’environnement informatique fournit des directives supplémentaires sur les considérations relatives à la complexité de l’environnement informatique de l’entité.

La section BVG Audit 5035.1 contient des directives sur l’identification des contrôles dans le cadre des activités de contrôle.

Directives du BVG

Les processus opérationnels sont composés de multiples sous‑processus à l’égard desquels des procédures comptables et des contrôles particuliers sont établis par la direction de l’entité. Par exemple, le processus des « produits et créances » peut contenir les sous‑processus distincts suivants : traiter les bons de commande, tenir à jour les données des clients, tenir des listes de prix, traiter les factures, traiter les retours de produits et les rabais. Chaque sous‑processus peut ensuite être divisé encore selon le type précis d’opération; par exemple, le sous‑processus « traiter les bons de commande » peut être sous‑divisé en ventes au comptant et en ventes à crédit, ou en ventes à l’étranger ou en ventes au pays. Dans chacun des processus opérationnels, les opérations sont déclenchées, enregistrées, traitées, corrigées (au besoin) et déclarées dans les états financiers. Les processus opérationnels peuvent également comprendre des événements et des conditions autres que des opérations dont les renseignements sont saisis, traités et fournis dans les états financiers (p. ex., des restrictions à l’égard de l’utilisation de certains actifs, comme l’encaisse).

Se reporter à la section BVG Audit 5012.3 pour obtenir des conseils sur la façon de définir une attente initiale en ce qui a trait aux catégories d’opérations, aux soldes de comptes et aux informations à fournir qui peuvent constituer des postes importants des états financiers, ainsi que sur la façon d’identifier les processus opérationnels connexes et d’établir la façon dont ces processus opérationnels sont liés aux postes des états financiers. L’alinéa 25a) de la NCA 315 exige que l’auditeur acquière une compréhension des processus opérationnels relatifs à chaque poste important des états financiers. De plus, comme il est décrit dans la section BVG Audit 5012.3, lorsqu’un processus opérationnel est lié à un poste important des états financiers, même si l’auditeur est d’avis qu’il pourrait ne pas être en mesure d’identifier de risques d’anomalies significatives pour ce poste des états financiers au niveau des assertions, il mettrait en œuvre des procédures pour comprendre et évaluer les systèmes d’information de l’entité directement liés à ce processus opérationnel. Cela s’explique par le fait que l’auditeur a généralement besoin de comprendre le processus opérationnel qui sous‑tend le poste important des états financiers afin de déterminer si celui‑ci comporte des risques d’anomalies significatives au niveau des assertions. Par conséquent, l’étendue de cette compréhension doit être suffisante pour fournir une base permettant de déterminer s’il existe des risques d’anomalies significatives au sein du processus opérationnel. Cependant, dans certains cas, le niveau de compréhension peut ne pas être aussi important que dans le cas de processus opérationnels importants. Par exemple, l’auditeur peut acquérir une compréhension des systèmes d’information relativement à ces postes des états financiers principalement à partir de demandes d’informations auprès du personnel concerné au sujet des procédures utilisées pour déclencher, enregistrer, traiter et communiquer des opérations. Ces demandes d’informations sont appuyées par des procédures corroborantes telles que des inspections physiques ou des observations, ce qui ne demanderait pas nécessairement de test de cheminement à l’égard des opérations dans l’ensemble du processus opérationnel. De plus, il serait peu probable que l’auditeur détermine que des contrôles au sein d’un tel processus opérationnel représentent des contrôles de la composante « activités de contrôle », étant donné sa conclusion selon laquelle aucun risque d’anomalies significatives n’a été identifié.

La nature et l’étendue des procédures que l’auditeur met en œuvre pour acquérir une compréhension des processus opérationnels varient en fonction de la complexité des processus opérationnels eux‑mêmes. Lorsque l’auditeur acquiert une compréhension, il détermine également si les processus opérationnels sont au niveau des transactions ou s’ils sont périodiques en fonction des caractéristiques suivantes :

• Processus opérationnels au niveau des transactions : De tels processus opérationnels sont généralement des rouages essentiels dans la manière dont une entité génère des produits et engage des dépenses, et peuvent dépendre considérablement de la technologie de l’information. Ces processus opérationnels visent l’enclenchement, l’enregistrement, le traitement et la communication d’un nombre élevé et de types d’opérations routinières différentes qui sont effectuées tout au long de la période de présentation de l’information financière. L’auditeur s’attend à devoir acquérir une compréhension d’un plus grand nombre de contrôles de la composante « activités de contrôle » dans les processus opérationnels au niveau des transactions que dans les processus opérationnels périodiques. Ces contrôles fonctionnent tout au long de l’exercice et aussi à la date de clôture. Parmi les processus opérationnels au niveau des transactions, il y a notamment : les produits et les débiteurs; les achats et les créditeurs; la production et les stocks; ainsi que la paye.

• Processus opérationnels périodiques : Ces processus visent le déclenchement, l’enregistrement, le traitement et la communication d’un nombre moindre d’opérations, notamment d’opérations importantes uniques ou très espacées dans le temps. Dans le cadre des processus opérationnels périodiques, l’auditeur s’attend à devoir acquérir une compréhension d’un nombre moindre de contrôles au sein des activités de contrôle. Ces contrôles sont généralement mis en place périodiquement ou à la date de clôture. Ils visent entre autres les autorisations et les revues des rapprochements ou l’examen des comptes qui reposent sur des jugements ou des estimations. Parmi les processus opérationnels périodiques, il y a notamment : le capital et les capitaux propres, le financement, les immobilisations incorporelles et le goodwill, les immobilisations corporelles, la rémunération à base d’actions, les impôts et la trésorerie.

Un processus opérationnel peut être considéré comme un processus un niveau des transactions pour une entité, tandis que le même processus opérationnel peut être considéré comme étant périodique pour une autre entité. Par exemple, un processus opérationnel très complexe en matière d’impôt qui est appliqué par de multiples administrations fiscales, qui est assujetti à une réglementation évoluant rapidement et qui est soutenu par de nombreux contrôles, systèmes d’information et applications peut représenter un processus opérationnel au niveau des transactions alors qu’un simple processus opérationnel en matière d’impôt qui est de nature manuelle et appliqué uniquement à la clôture peut représenter un processus opérationnel périodique.

Les efforts nécessaires à l’acquisition d’une compréhension du processus opérationnel dépendent de la nature du processus (périodique ou au niveau des transactions), ainsi que de sa complexité. Voici quelques exemples de caractéristiques qui auraient une incidence sur la nature et l’étendue des procédures que l’auditeur met en œuvre pour acquérir une compréhension :

• complexité des opérations;

• complexité de l’environnement informatique (p. ex., nombre d’applications informatiques et de dépendances aux technologies de l’information);

• nombre d’événements et de conditions qui ont une incidence sur les changements apportés aux processus opérationnels;

• complexité de l’information financière;

• nombre d’écritures de journal non courantes;

• risques que l’auditeur s’attend initialement à identifier au sein des processus opérationnels aux fins de définition de la portée de la compréhension des activités de traitement de l’information de l’entité à acquérir.

Exemple :

Lorsque l’auditeur acquiert une compréhension des procédures opérationnelles relatives à l’information financière de l’entité, il détermine les contrôles que la direction a mis en place pour saisir, traiter et déclarer les informations relatives aux événements et aux opérations. Il détermine également lesquels des contrôles qu’il considère comme faisant partie de la composante « activités de contrôle » sont assujettis à l’évaluation de l’efficacité de la conception et de la mise en œuvre et s’il prévoit les tester pour en déterminer l’efficacité opérationnelle. Les éléments à considérer dans la définition de ces processus sont :

• l’incidence de l’utilisation de l’information de gestion sur l’information financière;

• la mise en correspondance, pour chaque unité de gestion importante, des postes des états financiers et des processus opérationnels (y compris le processus d’information financière lui‑même), des applications informatiques et d’autres aspects de l’environnement informatique;

• les sous-processus importants qui sous-tendent chaque processus opérationnel, y compris le processus d’information financière.

Voir la section BVG Audit 5035.1 pour obtenir des directives complémentaires sur l’identification des processus opérationnels pertinents et les liens entre les processus opérationnels et les postes des états financiers dans le dossier d’audit.

Utilisation de la documentation préparée par l’entité ou de la documentation préparée par le BVG

Lorsque l’auditeur conclut que la documentation de l’entité sur les processus opérationnels, les flux des opérations et les contrôles est suffisante pour ses besoins, le fait d’utiliser cette documentation peut être une méthode efficace aux fins de la documentation de sa compréhension des processus opérationnels et des contrôles de l’entité.

Une documentation préparée par l’entité peut suffire aux besoins de l’auditeur si elle présente les caractéristiques suivantes :

• elle décrit comment l’opération est déclenchée, enregistrée, traitée et communiquée;

• elle permet à l’auditeur d’acquérir une compréhension des processus opérationnels et des flux des opérations pour identifier les contrôles qui doivent être inclus dans les activités de contrôle, y compris les contrôles liés à des risques importants et les contrôles dont il prévoit tester l’efficacité opérationnelle;

• elle est détaillée de manière appropriée, avec assez de renseignements concernant le flux des opérations permettant d’identifier les moments où des anomalies significatives résultant de fraudes ou d’erreurs sont susceptibles de survenir;

• elle identifie et décrit les contrôles qui, selon l’auditeur, sont importants pour bien comprendre le processus opérationnel de bout en bout.

Elle peut être préparée ou résumée, dans la mesure jugée nécessaire, de manière à être incluse dans les feuilles de travail, afin que l’auditeur puisse documenter sa compréhension du processus opérationnel de bout en bout.

Compréhension du processus d’information financière utilisé pour la préparation des états financiers de l’entité

L’auditeur doit acquérir une compréhension de la façon dont les états financiers sont produits, ce qui implique la mise en correspondance de l’information financière issue des processus opérationnels importants et des applications informatiques et d’autres aspects de l’environnement informatique qui déclenchent l’enregistrement et le traitement de l’information présentée dans les états financiers. Il doit également tenir compte de toute autre source d’information qui ne provient pas du grand livre général et des livres auxiliaires. Le paragraphe A138 de la NCA 315 contient des exemples de sources d’information qui pourraient être incluses dans les états financiers de l’entité.

L’auditeur peut utiliser la documentation de mise en correspondance préparée par la direction ou utiliser sa propre documentation, comme il est illustré dans le diagramme ci‑après.

La compréhension de l’auditeur des systèmes d’information de l’entité tient compte des questions suivantes :

• Quels sont les systèmes d’information ou les applications qui sous‑tendent le déclenchement, l’autorisation, l’enregistrement, le traitement, la correction (au besoin), le transfert au grand livre général et la communication des opérations dans les postes des états financiers?

• Comment les processus opérationnels et le système d’information sont‑ils mis en œuvre dans l’ensemble de l’entité (par fonction, géographie, unité de gestion, etc.)?

• Quels sont les processus importants et les postes importants des états financiers et comment correspondent‑ils aux postes des états financiers?

• Quelle est la source des informations présentées aux postes des états financiers?

• Comment les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes et les postes des états financiers connexes sont‑ils liés aux processus opérationnels?

• Les processus opérationnels importants sont‑ils centralisés ou gérés séparément à l’intérieur des unités de gestion de l’entité?

• Quelles opérations sont générées dans les processus opérationnels importants?

• Comment ces opérations sont‑elles déclenchées? Sont‑elles déclenchées électroniquement?

• Quels sont les systèmes et les technologies qui soutiennent les activités dans ces processus opérationnels importants? (Voir la rubrique sur la complexité de l’environnement informatique pour plus de directives.)

• Comment les systèmes d’information sont‑ils organisés?

• Qui est responsable de l’examen et de l’approbation des systèmes utilisés par l’entité?

• Sur quoi s’appuie la direction pour juger de la fiabilité de l’information (c.‑à‑d. exhaustive et exacte)?

• Comment les opérations des systèmes sous‑jacents passent‑elles dans le système du grand livre général de l’entité (interfaces manuelles ou électroniques)?

• Comment la direction sait‑elle que l’information de gestion se retrouve dans la balance des comptes et ultimement dans les états financiers?

• Des ajustements sont‑ils apportés entre l’information sous‑jacente et les états financiers? Pourquoi? Comment sont‑ils suivis?

• Quelles informations des états financiers ne sont cumulées ni enregistrées dans le grand livre général (p. ex. le détail des informations à fournir)? Comment cette information est‑elle identifiée et préparée par l’entité?

• Quelles sont les dépendances aux TI (p. ex., contrôles automatisés, rapports, calculs, sécurité et interfaces) qui sont importantes par rapport à l’évaluation de la conception des contrôles et à la détermination d’autres procédures d’audit?

En plus des informations financières présentées directement dans les états financiers, la direction peut s’appuyer sur d’autres renseignements pour l’exécution et le contrôle des activités de communication de l’information opérationnelle ou financière. Tout comme l’information financière, lorsque ces autres renseignements sont pertinents pour l’audit, l’auditeur applique les considérations susmentionnées pour consigner en dossier sa compréhension de la manière dont ces autres informations sont générées et des systèmes d’information connexes ainsi que les éléments probants obtenus à l’égard de l’exhaustivité et de l’exactitude de l’information.

Directives du BVG

Lorsqu’il acquiert une compréhension de l’environnement informatique et des ressources informatiques utilisées dans les activités de traitement de l’information, l’auditeur prend en compte les informations qu’il a obtenues en acquérant une compréhension du modèle opérationnel de l’entité et de la façon dont elle intègre l’utilisation des technologies de l’information, car cette compréhension l’aide à établir des attentes quant au niveau des ressources informatiques de l’entité (voir la section BVG Audit 5023). Pour y parvenir, l’auditeur acquiert une compréhension des ressources informatiques pertinentes par rapport aux flux des opérations et au traitement de l’information dans le système d’information, ce qui comprend :

• les applications informatiques;
• l’infrastructure informatique;
• les processus informatiques et le personnel affecté au service informatique qui participent à ces processus.

La compréhension de l’information générée par le système d’information de l’entité est acquise dans le cadre d’entretiens avec les cadres responsables des processus opérationnels et des systèmes d’information. L’auditeur exerce son jugement avec la contribution des membres principaux de l’équipe de mission et de l’équipe de l’Audit des TI (le cas échéant) afin de déterminer l’étendue de la compréhension des systèmes d’information de l’entité qu’il doit obtenir et documenter, y compris le format de la documentation (p. ex., commentaires narratifs, graphiques de cheminement). L’étendue de la compréhension dépendra de la portée de l’utilisation des technologies de l’information dans le modèle opérationnel de l’entité et des activités correspondant aux postes importants des états financiers.

L’entité peut utiliser un éventail de ressources informatiques dans l’ensemble de ses opérations, mais l’auditeur axe son identification et sa compréhension sur le cheminement de l’information relative aux postes importants des états financiers au sein du système d’information de l’entité (du début jusqu’à la fin). Par exemple, si l’entité utilise un rapport généré à partir d’une application informatique dans le cadre de l’exécution d’un contrôle à l’égard de stocks sous la garde d’un tiers qui ne devraient pas être un poste important des états financiers, l’équipe de mission peut conclure que cette ressource informatique (rapport sur les stocks sous la garde d’un tiers) n’est pas pertinent par rapport à la compréhension de l’auditeur.

L’environnement technologique en évolution peut accroître la complexité de l’environnement informatique d’une entité et peut comprendre l’utilisation de nouvelles technologies par la direction. Lorsque l’entité utilise de nouvelles technologies dans le cadre de son processus d’information financière, l’auditeur doit acquérir une compréhension des technologies et le rôle qu’elles jouent dans le traitement de l’information ou d’autres activités en matière d’information financière de l’entité et déterminer si leur utilisation présente des risques. Compte tenu de la complexité potentielle de ces technologies, il y a une probabilité accrue que l’équipe de mission décide de faire appel à des spécialistes ou à des experts choisis par l’auditeur pour mieux comprendre si l’utilisation de ces technologies a une incidence sur les processus d’information financière de l’entité et si oui, dans quelle mesure, et si cela peut entraîner des risques liés à l’utilisation de technologies d’information. Voici quelques exemples de nouvelles technologies :

• chaîne de blocs, y compris les entreprises de cryptomonnaie (p. ex., émetteurs de jetons, services de garde, bourses, mineurs, investisseurs);

• robotique;

• intelligence artificielle;

• Internet des objets;

• biométrie;

• drones.

Selon la complexité de l’environnement informatique, la participation de l’équipe de l’Audit des TI peut être appropriée ou exigée par la politique. Se reporter à la politique sur la participation de l’équipe de l’Audit des TI à la section BVG Audit 3102 et à la rubrique sur la complexité de l’environnement informatique pour obtenir des conseils sur l’évaluation de la complexité de l’environnement informatique d’une entité.

Directives du BVG

Dans le cadre des procédures visant à acquérir une compréhension du système d’information de l’entité, l’auditeur identifie les dépendances aux technologies de l’information (TI) relatives au flux des opérations et au traitement de l’information financière de l’entité.

Pourquoi cela est‑il important?

L’identification et la documentation uniformes et claires des dépendances de l’entité aux TI aident à déterminer la mesure dans laquelle l’entité s’appuie sur les TI, à comprendre comment les TI sont intégrées au modèle opérationnel de l’entité, à identifier les risques possibles découlant de l’utilisation des TI, à identifier les contrôles généraux informatiques connexes et à élaborer une méthode d’audit efficace et efficiente.

Sources des dépendances aux TI

Les dépendances aux TI découlent de l’utilisation des TI pour déclencher, autoriser, enregistrer, traiter ou communiquer des opérations ou d’autres données financières aux fins d’inclusion dans les états financiers. Elles comprennent des contrôles à l’égard du traitement de l’information et d’autres procédures de contrôle liées aux assertions correspondantes pour les postes importants des états financiers ou qui peuvent être essentielles au fonctionnement efficace des contrôles manuels qui dépendent de l’utilisation des TI.

Il existe cinq types de dépendances aux TI, définis comme suit :

Compréhension des risques découlant des dépendances aux TI et réponses connexes

Lorsque l’auditeur identifie les dépendances aux TI qui sont pertinentes par rapport au flux des opérations de l’entité et au traitement de l’information financière, il doit comprendre la manière dont la direction réagit aux risques qui peuvent en découler. La direction peut mettre en œuvre des contrôles généraux informatiques pour gérer les risques liés aux dépendances aux TI. Les contrôles généraux informatiques soutiennent le fonctionnement continu et approprié de l’environnement informatique, y compris le fonctionnement continu et efficace des contrôles de traitement de l’information et l’intégrité de l’information dans le système d’information de l’entité.

Les dépendances aux TI peuvent également influer sur la conception des contrôles de l’entité et leur mise en œuvre. Par conséquent, l’auditeur examine les dépendances aux TI pertinentes pour l’audit et évalue les risques connexes découlant de l’utilisation des TI afin d’évaluer le risque d’anomalies significatives et de déterminer l’approche la plus efficace et efficiente pour tester les contrôles généraux informatiques ou effectuer d’autres procédures d’audit en vue de gérer les risques découlant des dépendances aux TI. Même si le plan d’audit ne comprend pas de tests de l’efficacité opérationnelle des contrôles généraux informatiques, l’auditeur devra dans le cadre de son évaluation des risques acquérir une compréhension des risques en réponse auxquels on a conçu ces contrôles aux fins de gestion. Voir la section BVG Audit 5035.2 pour obtenir de plus amples renseignements sur l’identification des risques découlant de l’utilisation des TI et les considérations connexes liées aux contrôles généraux informatiques.

Mise à jour de la compréhension des dépendances aux TI

Lorsqu’il met en œuvre ses procédures d’audit, l’auditeur peut identifier d’autres dépendances aux TI qui n’ont pas été identifiées auparavant. Par exemple, dans le cadre des tests des contrôles, il peut identifier un rapport généré par le système utilisé dans l’application d’un contrôle manuel qu’il n’avait pas identifié lors de l’évaluation de la conception et de la mise en œuvre du contrôle pendant l’étape d’acquisition d’une compréhension de la mission. En ce qui a trait à ces dépendances aux TI, l’auditeur met à jour sa compréhension documentée afin d’inclure les dépendances aux TI, et planifie et met en œuvre les procédures en vue de tester celles-ci.

Directives du BVG

Pourquoi cela est‑il important?

La compréhension de la façon dont l’entité compte sur les TI et dont l’environnement informatique est mis en place pour soutenir les activités permet de mieux comprendre les risques qui pourraient découler de l’utilisation des TI par l’entité. Il est utile de comprendre comment les TI sont utilisées par l’entité pour identifier les contrôles à l’égard des processus informatiques de l’entité qui répondent à ces risques et soutiennent le fonctionnement continu et efficace de l’environnement informatique, y compris le fonctionnement continu et efficace des contrôles relatifs au traitement de l’information et la protection de l’intégrité de l’information.

L’évaluation de la complexité de l’environnement informatique aide également à déterminer s’il faut faire appel à des spécialistes des TI (p. ex., l’Audit des TI) pour la planification ou la réalisation de l’audit, dont la question initiale à savoir s’il faut inclure des spécialistes dans l’évaluation de la complexité.

Une raison importante pour comprendre l’environnement informatique de l’entité, comme il est indiqué dans la rubrique Acquisition d’une compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information, est d’évaluer la complexité de l’environnement informatique directement lié au système d’information de l’entité. Comprendre le niveau de complexité de l’environnement informatique aide à déterminer le niveau de compétences spécialisées nécessaires à la mission. Cela permet également à l’auditeur d’évaluer le niveau d’effort requis pour identifier les risques découlant de l’utilisation des TI par l’entité et les contrôles connexes que l’entité a mis en place pour gérer ces risques. Lorsque l’entité utilise une combinaison de ressources informatiques (c.‑à‑d. applications informatiques, infrastructure de TI, processus et personnel de TI) et d’autres caractéristiques de l’environnement informatique qui reflètent un degré de complexité plutôt élevé, l’équipe d’audit principale n’a peut‑être pas les compétences nécessaires pour identifier et comprendre les risques découlant de l’utilisation des TI par l’entité et les contrôles généraux informatiques connexes ou pour évaluer l’incidence de ces caractéristiques sur le risque d’anomalies significatives au niveau des états financiers ou des assertions. Dans ce cas, l’auditeur envisage d’inclure l’Audit des TI dans les procédures d’évaluation de la complexité et des risques.

La section BVG Audit 3102 comprend la politique du BVG concernant la participation de l’Audit des TI.

Que l’auditeur conclue que l’environnement informatique est non complexe, modérément complexe ou complexe, il examine la possibilité que le personnel de l’Audit des TI participe à cette évaluation initiale. Pour de plus amples renseignements sur la participation de l’Audit des TI, se reporter aux sections BVG Audit 5013 et BVG Audit 3102.

Le diagramme ci‑dessous présente un aperçu de haut niveau du lien entre la compréhension de l’environnement informatique, l’examen de la complexité de l’environnement informatique et l’établissement des rôles et des responsabilités relativement à la mission :

L’auditeur évalue la complexité de l’environnement informatique ou de certains aspects de l’environnement en utilisant trois niveaux de complexité : non complexe, modérément complexe et complexe. L’évaluation du niveau de complexité de l’environnement informatique est une question de jugement, après la prise en compte d’une combinaison de caractéristiques de l’entité.

La présence d’une caractéristique complexe n’amène pas nécessairement l’auditeur à conclure que l’environnement informatique de l’entité est complexe et inversement, la présence d’une caractéristique non complexe ne l’amènerait pas nécessairement à conclure que l’entité possède un environnement informatique non complexe. Même lorsque l’auditeur conclut que l’environnement informatique de l’entité est complexe (ou modérément complexe), il est toujours possible qu’il conclue que certains aspects de l’environnement informatique (p. ex., les applications, l’infrastructure ou les processus informatiques) ont un niveau de complexité différent. Par exemple, si l’auditeur juge que l’environnement informatique de l’entité est complexe, il pourrait tout de même conclure que certaines applications utilisées par l’entité sont non complexes. Dans le cas de ces applications non complexes, il pourrait conclure que l’équipe d’audit principale possède les compétences nécessaires pour effectuer une partie ou la totalité de l’évaluation des risques, concevoir le plan d’audit et mettre en œuvre d’autres procédures d’audit. Il est possible que l’auditeur juge à une participation nécessaire de l’Audit des TI aux travaux d’audit pour les autres aspects complexes de l’environnement informatique.

Le tableau ci‑dessous décrit les indicateurs illustratifs pour chacun des trois niveaux de complexité. Les équipes de mission doivent en tenir compte lorsqu’elles acquièrent une compréhension et effectuent leur évaluation de l’environnement informatique de l’entité. Les indicateurs sont établis à l’aide des caractéristiques suivantes :

• automatisation;
• confiance de l’entité à l’égard des rapports générés par le système;
• personnalisation;
• modèle opérationnel
• changement;
• utilisation de nouvelles technologies.

La NCA 315 fournit des exemples illustratifs de caractéristiques liées aux applications informatiques, qui peuvent être utilisées pour évaluer la complexité de l’environnement informatique. La complexité de l’environnement informatique d’une entité tient compte de la façon dont l’entité intègre l’utilisation de la TI dans son modèle opérationnel, ce qui peut avoir une incidence directe sur l’évaluation par l’auditeur des risques d’anomalies significatives. Par exemple, lorsque l’auditeur identifie des déficiences dans la séparation des tâches de l’entité relativement à l’accès restreint à une application informatique particulière, cela pourrait également avoir une incidence sur l’efficacité de la séparation des tâches concernant les contrôles relatifs à l’accès pour d’autres aspects de l’environnement informatique, comme l’infrastructure de réseau ou les systèmes d’exploitation de l’entité; cela peut donc indiquer un niveau plus élevé de risque d’anomalies significatives au niveau des états financiers si l’incidence peut être généralisée.

Le tableau suivant présente les caractéristiques d’un environnement informatique que l’équipe de mission prend généralement en considération pour comprendre l’environnement informatique de l’entité. Le tableau comprend également des exemples d’indicateurs du niveau de complexité des applications informatiques utilisées dans le système d’information de l’entité. Il ne s’agit pas d’une liste exhaustive d’indicateurs, et aucun indicateur n’est nécessairement déterminant du niveau de complexité. Pour ce qui est des exemples d’indicateurs individuels, il se pourrait que l’on ne puisse pas établir de différence significative entre un aspect non complexe par rapport à un élément modérément complexe, mais lorsqu’ils sont examinés en combinaison avec d’autres indicateurs pertinents, ils constituent la base de la différenciation globale du niveau de complexité. Les indicateurs pertinents de complexité peuvent varier en fonction de la nature des applications informatiques utilisées en particulier par une entité et de la façon dont elles sont intégrées aux activités de l’entité :

Dans un environnement informatique complexe, tous les aspects de l’environnement informatique ne sont pas nécessairement complexes. Par exemple, l’auditeur peut évaluer une ou plusieurs applications comme étant des logiciels commerciaux non complexes (applications « standard »). Lorsque l’auditeur établit sa stratégie informatique et le niveau de participation de l’Audit des TI par rapport à divers aspects de l’environnement informatique, il évalue le niveau de complexité au niveau de l’application. Il peut utiliser les exemples des tableaux ci‑dessus pour orienter cette évaluation et les exemples fournis dans l’annexe 5 de la NCA 315 pour aider à évaluer le niveau de complexité. Le responsable de mission peut déterminer, en conjonction avec la participation de l’Audit des TI, qu’il est approprié pour l’équipe d’audit principale de mettre en œuvre les procédures d’audit pertinentes à l’égard de certaines applications ou d’autres aspects de l’environnement informatique. Le niveau de participation de l’Audit des TI et la méthode de test (test de corroboration ou test des contrôles) peuvent varier selon les différents aspects de l’environnement informatique. Toutefois, il peut tout de même être avantageux de faire appel à des spécialistes, car cela pourrait être plus efficient et efficace, par exemple si les processus et les contrôles sont homogènes entre les applications non complexes et complexes.

Évaluation de la complexité des environnements informatiques – Exemples

Voici des exemples de divers scénarios qui illustrent l’évaluation de la complexité de différents environnements informatiques. Les exemples sont fournis à titre indicatif seulement; ils ne visent pas à illustrer tous les facteurs pertinents et ne se veulent pas une documentation exhaustive, car ils varieront en fonction des faits et des circonstances de chaque mission. L’équipe de mission se sert de la colonne relative à l’évaluation de la complexité par l’équipe de mission dans les exemples ci‑dessous pour indiquer le jugement et la justification appliqués dans le cadre de l’évaluation. L’importance relative de l’évaluation de la complexité par l’équipe de mission pour chacune des caractéristiques par rapport à la conclusion concernant la complexité globale variera d’une entité à l’autre en fonction des circonstances et des faits particuliers.

1. Entité unique – Environnement informatique modérément complexe

L’entreprise ABC limitée, une entité familiale unique, a commencé à exercer ses activités à titre de petite entreprise avec un environnement informatique non complexe. À mesure que l’entreprise prenait de l’expansion, la direction a établi une fonction de TI responsable de mettre en œuvre et de gérer des applications, y compris la gestion d’un progiciel de gestion intégré utilisé aux fins de la présentation de l’information financière.

Le scénario illustré ci‑dessous montre comment les caractéristiques de l’environnement informatique d’une entité, et l’évaluation de la complexité par l’auditeur, peuvent varier en fonction de la stratégie informatique de l’entité mise en œuvre pour répondre aux besoins de TI d’une entreprise en croissance.

Les caractéristiques suivantes de l’entité ont été identifiées comme des indicateurs d’un environnement informatique « modérément complexe » ou « complexe ». L’équipe de mission s’est appuyée sur ces indicateurs pour formuler une conclusion globale sur le niveau de complexité de l’environnement informatique de l’entité, en fonction du jugement professionnel de l’équipe de mission, y compris la prise en compte des commentaires reçus de l’Audit des TI.

2. À l’échelle du groupe – Environnement informatique complexe

Le siège social d’un grand groupe multinational possède une fonction informatique spécialisée centralisée qui met en œuvre, héberge et gère des applications à l’échelle du groupe, y compris la gestion d’un progiciel de gestion intégré complexe utilisé pour la plupart des aspects de l’information financière. Les processus de présentation de l’information financière du groupe comprennent de multiples dépendances aux TI, et les contrôles généraux informatiques pertinents pour les applications à l’échelle du groupe sont conçus, mis en œuvre et exploités au siège social. Les membres du personnel affecté aux composantes ne sont pas en mesure de personnaliser ou de configurer les applications à l’échelle du groupe, y compris les dépendances aux TI pertinentes, et sont seulement chargés de s’assurer que les utilisateurs locaux sont appropriés et qu’ils se conforment aux politiques pertinentes à l’échelle du groupe. De plus, le personnel des composantes est responsable de la gestion de tout logiciel développé par un fournisseur et acheté localement. Dans l’exemple en question, l’évaluation de la complexité par l’équipe de mission peut être la suivante :

Acquition d’une compréhension et évaluation à l’échelle du groupe

Les exemples suivants démontrent que :

• Le groupe et les composantes qui partagent les mêmes caractéristiques ou des caractéristiques similaires sont susceptibles d’avoir un environnement informatique de complexité semblable (comme le montre l’exemple de la composante A ci‑dessous)

• Le groupe et les composantes qui ne partagent pas les mêmes caractéristiques ou qui ont des caractéristiques très différentes sont susceptibles d’avoir des environnements informatiques de niveau de complexité différent (comme le montre l’exemple de la composante B ci‑dessous).

Composante A

L’évaluation de la complexité par l’équipe affectée à l’audit du groupe n’amène pas nécessairement l’auditeur à conclure que toutes les composantes du groupe ont un environnement informatique complexe. Bien qu’il soit possible que des aspects semblables de l’environnement informatique se retrouvent dans l’ensemble du groupe, certains aspects de l’environnement informatique peuvent avoir des niveaux de complexité différents d’une composante à l’autre. Chaque équipe affectée à l’audit d’une composante qui audite l’information financière de la composante devra évaluer la complexité de l’environnement informatique pour la ou les composantes dont elle est responsable.

* Il incombe à l’auditeur du BVG affecté à l’audit de la composante d’évaluer la pertinence et l’incidence de toute information communiquée sur sa stratégie et son plan d’audit.

Composante B

* Il incombe à l’auditeur du BVG affecté à l’audit de la composante d’évaluer la pertinence et l’incidence de toute information communiquée sur sa stratégie et son plan d’audit.

3. À l’échelle du groupe – Environnement informatique modérément complexe

Le groupe exploite ses activités dans plusieurs secteurs et, au niveau du groupe, les processus d’information financière se limitent aux processus de consolidation et de trésorerie. Quatre composantes feront l’objet d’audits complets, chacune étant gérée en tant qu’entité juridique distincte avec un environnement informatique distinct de toute autre entité du groupe. Dans ce scénario, il est possible que l’équipe de mission affectée à l’audit du groupe conclue que l’entité de groupe possède un environnement informatique modérément complexe en fonction des circonstances, peu importe la complexité de l’environnement informatique de chaque composante.

Chaque équipe de mission affectée à l’audit d’une composante devra effectuer une évaluation individuelle de la complexité de l’environnement informatique pour chaque composante. Les environnements informatiques des composantes peuvent être évalués individuellement comme étant complexes, modérément complexes ou non complexes en fonction de la compréhension de chaque environnement informatique individuel.

Environnement informatique complexe avec applications non complexes à auditer.

Après l’évaluation terminée, on détermine que l’entité possède un environnement informatique complexe. Toutefois, pour un ou plusieurs postes des états financiers, l’entité utilise une application commerciale non complexe. Par exemple, l’entité dispose d’un logiciel commercial autonome et non complexe utilisé pour le système de paye qui ne s’intègre à aucune autre application. Les données sur la paye sont téléchargées à partir du système autonome dans le grand livre général au moyen d’un journal manuel mensuel. L’application liée à paye est fournie par un fournisseur de logiciels tiers, et il n’y a que deux utilisateurs qui ont accès au logiciel; aussi, une seule mise à niveau du logiciel est effectuée par année aux fins de mise à jour annuelle du taux d’imposition. Bien que l’équipe de mission ait évalué que l’environnement informatique global était complexe et que l’Audit des TI participera à certains aspects de l’audit, le responsable de mission, avec l’apport de l’Audit des TI, peut conclure que le personnel d’audit principal affecté à l’équipe de mission possède déjà les compétences requises pour identifier, évaluer et mettre en œuvre des procédures à l’égard des risques informatiques liés à une application particulière ou à d’autres aspects informatiques connexes. Dans cet exemple, le responsable de mission, avec l’aide de l’Audit des TI, pourrait conclure que l’équipe d’audit principale possède les compétences requises pour évaluer et exécuter les procédures relatives aux risques informatiques liés à l’application de paye, sans avoir à faire appel au soutien d’un spécialiste pour qu’il encadre, examine ou mette en œuvre les procédures. Cette approche planifiée et la détermination de la nature non complexe de l’application sont documentées dans la procédure de planification pertinente (p. ex., « Compréhension et évaluation de la complexité de l’environnement informatique de l’entité »).

Directives du BVG

Le graphique de cheminement est un moyen efficace de documenter les flux des opérations et les contrôles au sein des processus opérationnels et des sous‑processus.

Les avantages d’utiliser un graphique de cheminement sont les suivants :

• meilleure qualité de la compréhension des processus opérationnels, des flux des opérations et des contrôles, et meilleure qualité de la documentation;

• capacité de visualiser la façon dont les contrôles au sein de la composante « activités de contrôle » sont adaptés au processus opérationnel;

• capacité d’utiliser le graphique de cheminement dans le cadre des processus d’observation ou d’inspection des contrôles au sein de la composante « activités de contrôle ».

Pour profiter de ces avantages, il est important que le graphique de cheminement :

• montre le déroulement chronologique des flux des opérations et des contrôles au sein des processus opérationnels;

• identifie clairement les contrôles au sein de la composante des activités de contrôle;

• montre clairement qui applique les contrôles.

• utilise intelligemment des descriptions narratives, avec des renvois appropriés, pour expliquer en profondeur les attributs de conception de chacune des contrôles;

• utilise les symboles standards correctement.

Utilisation de symboles standards

Pour faciliter l’uniformisation et la compréhension d’un graphique de cheminement dans les dossiers d’audit, des symboles standards tels que ceux qui suivent sont utilisés :

Documentation du processus opérationnel et du flux des opérations

Les processus opérationnels et les systèmes d’information/applications qui déclenchent, enregistrent, traitent et communiquent les opérations dans les postes des états financiers peuvent être divisés en plusieurs sous-processus et contrôles, avec des informations ou données sous forme d’intrants et des dossiers ou documents en tant qu’extrants. Habituellement, on documente le flux de gauche à droite, soit les intrants à la gauche, les processus/contrôles au centre et les extrants à la droite, comme suit :

Pour définir les intrants, les processus/contrôles et les extrants, il faut se poser les questions suivantes :

• Quel est l’intrant d’information (papier ou fichier)?
• À quel point l’intrant est‑il créé?
• Qu’est‑ce qui déclenche/amorce l’intrant?
• Quelles sont les données permanentes (données du fichier maître par exemple)?
• Comment les données permanentes sont‑elles mises à jour?
• Quels sont les fichiers créés/mis à jour par le processus en tant qu’extrant?
• Quels sont les documents/rapports créés en tant qu’extrants?
• À quel endroit les extrants sont‑ils utilisés et par qui?

Accompagner le graphique d’une description de chaque opération.

Exemple de graphique de cheminement : le processus opérationnel des ventes

Cet exemple représente un processus opérationnel sous la forme d’un graphique de cheminement, en illustrant les divers sous‑processus du processus opérationnel des ventes. Il est présenté uniquement à titre indicatif. Il peut, en effet, y avoir d’autres contrôles au sein du processus opérationnel des ventes, selon les circonstances propres à l’entité, notamment, des contrôles visant les retours des clients, les remises, les rabais, les ajustements et les procédures de clôture.

Schéma du flux du processus et des contrôles

Description

1.1 Création de la commande La commande est créée à partir d’une commande reçue d’un client. Les fonctions de gestion des commandes reçoivent la commande et entrent toutes les données dans le système SCAR en vue de créer un bon de commande. Le service des ventes crée le bon de commande dans SCAR en utilisant un élément spécial dans le bon de commande qui génère automatiquement une note de livraison. 1.2 Livraison et distribution La marchandise est ramassée pour distribution au service de production et envoyée au client avec la note de livraison. 1.3 Facturation La facturation au client est exécutée à partir de la livraison effectuée et de la note correspondante. 1.4 Encaissement Le processus d’encaissement inclut à la fois les procédures manuelles et automatisées. Les encaissements reçus dans la caisse sont automatiquement appliqués aux comptes des clients par un fichier des encaissements créé par la Banque et envoyé au système informatique central chaque nuit. 1.5 Crédits et ajustements La majorité des créances de l’entreprise proviennent de grandes sociétés de distribution, et l’entreprise est généralement au courant des problèmes de recouvrement qui pourraient exister. Par conséquent, elle analyse sur une base périodique le caractère adéquat de ses provisions en comparant les créances irrécouvrables connues ou prévues au montant total de la réserve pour s’assurer que la couverture est suffisante pour les autres créances irrécouvrables qui pourraient exister. La provision de l’entreprise est généralement un faible pourcentage (moins de 1 %) des créances. Cela est cohérent avec le fait que plus de 99 % des créances des sociétés de distribution sont perçus avant le 15 du mois suivant.

Directives du BVG

Comme il est expliqué au paragraphe A136 de la NCA 315, l’auditeur peut acquérir une compréhension du système d’information de l’entité de diverses façons, notamment en effectuant des tests de cheminement. La réalisation d’un test de cheminement comprend la sélection d’une opération et le suivi de celle‑ci dans le cadre du processus opérationnel de bout en bout de l’entité, ainsi que l’observation du personnel du client qui met en œuvre les processus, l’inspection des documents qu’il utilise et les demandes d’informations auprès du personnel du client pour comprendre les détails des processus et des contrôles. L’utilité de l’observation du flux d’une opération au sein d’un processus ou d’un sous‑processus est de confirmer qu’aucun changement important n’a été apporté depuis le dernier audit réalisé par l’auditeur et de cerner et comprendre tout changement apporté aux processus opérationnels ou aux contrôles de l’entité. Cela permet aussi à l’auditeur de confirmer ou de mettre à jour sa compréhension antérieure des contrôles, d’évaluer l’efficacité de la conception de ces contrôles au sein de la composante des activités de contrôle et de déterminer si les contrôles ont bel et bien été mis en place au cours de la période considérée. Voir la section BVG Audit 5035.5 pour comprendre la différence entre l’évaluation de la conception des contrôles et les procédures visant à déterminer si les contrôles ont été mis en place. L’auditeur observe le flux des opérations au sein du processus ou du sous‑processus pour réaliser les objectifs suivants :

• comprendre le flux des opérations au sein du processus ou sous‑processus ou confirmer la compréhension qu’il a acquise;

• repérer, dans les processus opérationnels de l’entité, les endroits d’où pourrait provenir une anomalie significative en s’interrogeant sur les problèmes qui pourraient advenir;

• déterminer les contrôles que l’entité a conçus pour prévenir ou détecter les anomalies significatives potentielles;

• déterminer les contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions à inclure dans la composante des activités de contrôle dont l’auditeur évaluera la conception et la mise en oeuvre.

Comprendre un processus au moyen de l’observation du flux d’une opération se fait généralement à l’aide d’une demande d’informations, de l’observation physique et de l’inspection des documents pertinents qui ont été créés ou utilisés par l’entité dans le cadre de l’exécution des contrôles. C’est un bon moyen d’évaluer l’efficacité de la conception. De plus, il peut y avoir des situations – particulièrement lorsque le risque est faible et/ou que les contrôles automatisés ou manuels sont moins complexes – où l’observation du flux d’une opération fournit suffisamment d’éléments probants sur l’efficacité du fonctionnement selon le risque associé au contrôle testé, les procédures spécifiques mises en œuvre lors de l’observation et les résultats des procédures. Par conséquent, il est tout indiqué d’observer le flux d’une opération au sein des processus importants pour répondre aux quatre objectifs résumés ci‑dessous.

L’auditeur suivrait généralement le cheminement d’un processus opérationnel dans certaines situations dont les suivantes : 1) lorsqu’il y des secteurs complexes comportant un risque inhérent élevé; 2) lorsque les audits des exercices antérieurs ont révélé des lacunes sur le plan de la conception ou du fonctionnement des contrôles (en tenant compte de la gravité de ces lacunes); 3) lorsqu’il y a eu un changement important dans les processus à la suite de l’arrivée de nouvelles personnes, de l’installation de nouveaux systèmes, d’acquisitions et/ou d’adoption de nouvelles méthodes comptables; et 4) lors d’un premier audit.

Le graphique suivant montre le processus d’observation du flux d’une opération au sein d’un processus opérationnel au niveau des transactions ou d’un sous‑processus :

Lors de l’observation du processus opérationnel, à chaque phase où une procédure de traitement ou un contrôle important est mis en œuvre, l’auditeur demande au personnel responsable ce qu’il comprend des exigences liées aux politiques et aux procédures de l’entité qui ont été établies en vue d’atteindre l’objectif en matière de contrôle, et détermine si les politiques et procédures sont mises en œuvre de la manière établie au départ et en temps opportun. Il faut surveiller les écarts par rapport aux politiques et aux procédures de l’entité.

L’auditeur suit le flux du processus opérationnel en utilisant les mêmes documents et technologies de l’information qu’utilise le personnel de l’entité et il demande des informations auprès du personnel compétent intervenant dans les aspects importants du processus ou des contrôles. Il pourra alors être nécessaire de tenir plusieurs réunions pour soumettre des demandes d’informations à tout le personnel responsable des processus opérationnels importants et des contrôles à l’intérieur du processus. En planifiant les réunions, l’auditeur tiendra compte de l’ordre dans lequel il doit rencontrer les personnes pour pouvoir bien suivre le flux des opérations, tout au long du déclenchement, de l’enregistrement, du traitement et de la communication des opérations d’une manière séquentielle qui s’harmonise avec la conception du processus ou du sous‑processus.

L’auditeur met en œuvre des procédures supplémentaires pour déterminer si sa compréhension initiale des processus est corroborée ou peut être contredite par d’autres sources d’information qu’il obtient à divers points du processus, par exemple en demandant aux membres du personnel de décrire leur compréhension des sous‑processus et de la conception et du fonctionnement des contrôles relevés dont ils sont responsables, ainsi que leur compréhension des autres sous‑processus ou contrôles connexes afin de faire une démonstration de ce qu’ils font. L’auditeur posera également des questions de suivi pour identifier et évaluer toute déficience sur le plan de la conception ou du fonctionnement du contrôle ou toute indication de risque de fraude en vue d’éclairer son évaluation des risques d’anomalies significatives.

L’étendue des demandes d’informations et de l’observation ou l’inspection des documents lorsque l’auditeur suit le flux d’une opération au sein d’un processus opérationnel devra être suffisante pour lui permettre de bien comprendre les activités de traitement de l’information, y compris les contrôles de l’entité. S’il juge que ces contrôles se trouvent au sein de la composante « activités de contrôle », il évalue si les contrôles ont été conçus de façon efficace et mis en place comme prévu. Cependant, l’étendue de ces procédures est généralement inférieure à ce qui est nécessaire pour tester l’efficacité du fonctionnement des contrôles. Par exemple, en observant une opération afin d’en évaluer la conception et la mise en œuvre, l’auditeur suivrait normalement un seul cas d’un type particulier d’opération au sein du processus; toutefois, pour tester l’efficacité du fonctionnement des contrôles liés à cette opération, il devrait examiner un échantillon d’occurrences du contrôle (voir la section BVG Audit 6053 pour obtenir des directives sur l’étendue des tests qui doivent être effectués pour évaluer l’efficacité du fonctionnement des contrôles).

Dans l’éventualité où un contrôle est exécuté par plus d’une personne, ou dans des établissements multiples de l’entité, il faudra peut‑être observer et inspecter des éléments probants pour comprendre la permanence de la conception et du fonctionnement du contrôle au cours de la période considérée. Par exemple, l’entité peut avoir un processus et des contrôles standard liés au déclenchement, à l’enregistrement, au traitement et à la communication des opérations de vente. Ainsi, l’autorisation de traiter les opérations de vente peut être donnée localement par les directeurs des ventes régionaux. Cependant, selon le degré de jugement requis et les modalités d’autorisation, l’auditeur pourrait devoir observer l’autorisation d’une opération par chacun des directeurs de vente régionaux. En revanche, si les autres contrôles au sein de ce processus opérationnel ont été conçus pour fonctionner systématiquement à cet endroit, l’auditeur pourra observer une seule occurrence des autres contrôles au sein de ce processus opérationnel.

Lors de l’observation du flux d’une opération au sein d’un processus opérationnel, il faut généralement consigner ce qui suit dans la documentation :

• un niveau de détail suffisant pour identifier le personnel, les documents et les rapports consultés;

• la documentation du processus ou des sous‑processus sélectionnés, y compris la prise en considération des éléments suivants :

  • les catégories d’opérations importantes;

  • les applications informatiques, d’autres aspects de l’environnement informatique et les procédures manuelles qu’on utilise pour le déclenchement, l’enregistrement, le traitement, la correction au besoin, le report au grand livre général et la communication des opérations dans les états financiers;

  • les dossiers manuels ou électroniques utilisés pour le déclenchement, l’enregistrement, le traitement et la communication des opérations (ce qui comprend les informations fournies ne provenant pas du grand livre général ou des livres auxiliaires);

  • la façon dont le système d’information saisit les événements et les situations, autres que les opérations, qui ont de l’importance pour les états financiers;

  • le processus d’information financière utilisé pour la préparation des états financiers de l’entité, y compris les estimations comptables importantes et les informations importantes à fournir;

  • les contrôles afférents aux écritures de journal, y compris les écritures non courantes servant à constater les opérations ou ajustements non récurrents ou inhabituels;

• tout écart par rapport aux procédures et contrôles établis de l’entité, y compris le moment où ces procédures et ces contrôles sont appliqués;

• tout contrôle non identifié précédemment et son impact, s’il y a lieu (c’est‑à‑dire évaluer si le contrôle est conçu de façon à répondre efficacement au risque d’anomalies significatives au niveau des assertions et déterminer s’il a été mis en place).

Directives du BVG

Les états financiers eux‑mêmes peuvent être produits manuellement dans une application de traitement Word et comprennent un éventail important d’informations à fournir. Ces informations peuvent provenir des systèmes financiers de l’entité; cependant, elles peuvent également être produites à partir de données inscrites manuellement dans des feuilles de calcul à l’échelle de l’entité (voir la section BVG Audit 2051 concernant l’incidence de l’utilisation de feuilles de calcul et d’autres outils informatiques destinés aux utilisateurs finaux). Même s’il faudra en général mettre en œuvre des procédures de corroboration au regard de ce processus – y compris rapprocher les états financiers et les livres comptables et examiner les ajustements importants faits au cours de la préparation des états financiers – il sera aussi important de comprendre et d’évaluer les contrôles appliqués à l’information financière et de tester leur efficacité opérationnelle, si l’équipe a l’intention de s’appuyer sur ces contrôles.

Certains points d’intérêt à considérer :

Cumul et report au grand livre général des soldes des comptes de grands livres auxiliaires :

• Le report des soldes des comptes des grands livres auxiliaires au grand livre général est‑il un processus manuel ou automatisé? Si le processus est automatisé, quels contrôles généraux informatiques et contrôles relatifs au traitement de l’information applique‑t‑on?

• Fait‑on le rapprochement entre les soldes des comptes des grands livres auxiliaires et du grand livre général? Si c’est le cas, les éléments de rapprochement sont‑ils traités en temps opportun et de façon exhaustive?

• Comment les reports automatisés en suspens, invalides ou autres qui sont rejetés ou inappropriés sont‑ils analysés et résolus en temps opportun?

• Qui approuve la résolution des reports en suspens?

• Qui est autorisé à faire des reports du grand livre auxiliaire au grand livre général?

• Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Remarque : le report des soldes des comptes des grands livres auxiliaires au grand livre général peut être effectué par des contrôles à l’intérieur des processus opérationnels importants, par exemple un contrôle visant à rapprocher le grand livre auxiliaire des créances et le grand livre général dans le cadre du processus lié aux produits et aux comptes clients.

Maintenance du grand livre général :

• Comment l’entité s’assure‑t‑elle que les changements apportés au plan de comptes sont traités de façon complète et exacte?

• Comment l’entité s’assure‑t‑elle que le plan de comptes est complet et exact?

• Qui est autorisé à modifier le plan de comptes?

• Qui examine et approuve les changements apportés au plan des comptes?

• Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Consolidation du grand livre général :

• Comment l’entité s’assure‑t‑elle que les modèles ou les livres reçus pour consolidation sont :

  • Exhaustifs?
  • Exacts?
  • Valables?
  • Associés au bon compte consolidé?

• Comment l’entité s’assure‑t‑elle que tous les modèles ou toutes les données ont été reçus aux fins de consolidation?

• Comment est analysé le nombre d’entités incluses dans la consolidation? A-t‑on fourni une explication des changements par rapport à la période précédente?

• Qui examine et approuve les reports en suspens?

• Qui examine les reports automatisés au grand livre qui sont invalides, rejetés ou inappropriés, et s’assure qu’ils sont résolus en temps opportun?

• Comment la ségrégation des tâches est‑elle effectuée dans le cadre de ce processus?

Écriture de consolidation et d’élimination :

• Quels types d’écritures et de rajustements de consolidation et d’élimination sont créés et inscrits?

• Les ajustements de consolidation sont‑ils automatisés ou manuels? Si le processus est automatisé, quels sont les contrôles appliqués?

• Qui est chargé de préparer les documents d’appui aux écritures et rajustements de consolidation et d’élimination?

• Qui est autorisé à créer et traiter des écritures de consolidation et d’élimination?

• Qui est autorisé à examiner et reporter les écritures et les rajustements de consolidation et d’élimination?

• Comment vérifie‑t‑on l’exhaustivité et l’exactitude des écritures et des rajustements?

• Comment s’assure‑t‑on de la concordance des écritures?

• Comment vérifie‑t‑on que les écritures d’élimination sont exhaustives (c.‑à‑d. pour s’assurer que tous les soldes intersociétés sont éliminés ou que toutes les écritures proposées ont été comptabilisées)?

• Comment s’assure‑t‑on que les documents à l’appui des écritures de consolidation et d’élimination existent et sont exhaustifs?

• Comment l’accès restreint est‑il géré dans le cadre de ce processus?

• Comment les écarts entre les soldes intersociétés sont‑ils identifiés et corrigés?

• Comment s’assure‑t‑on de l’exactitude des conversions de devises?

• Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Écritures de journal de rajustement des ajustements fiscaux, des comptes de pension, d’autres écritures tardives et des régularisations :

• Qui est autorisé à créer et traiter les écritures d’un journal d’ajustement?

• Comment s’assure‑t‑on de la concordance des écritures?

• Quel est le processus utilisé pour finaliser les estimations?

• Qui est autorisé à rajuster les estimations déjà comptabilisées?

• Qui est responsable de s’assurer que toutes les estimations sont examinées et rajustées le cas échéant?

• Qui revoit et approuve ces écritures?

• Comment vérifie‑t‑on l’exhaustivité et l’exactitude des écritures de journal?

• Comment l’entité s’assure‑t‑elle que toutes les écritures ont été comptabilisées dans la période appropriée?

• Comment la ségrégation des tâches est‑elle effectuée dans le cadre de ce processus?

États financiers et informations à fournir :

• Qui est responsable de compiler/calculer chacune des informations à fournir dans les états financiers?

• Quel processus l’entité utilise‑t‑elle pour s’assurer que les informations à fournir répondent aux exigences à cet égard du référentiel d’information financière applicable?

• Quelles sont les sources d’information qui soutiennent le processus de préparation des informations à fournir?

• Comment les personnes responsables s’assurent‑elles que la source d’information est exacte, valable et exhaustive?

• Comment les informations à fournir sont‑elles examinées après avoir été préparées?

• Quels sont les intrants, les procédures mises en œuvre et les extrants des processus utilisés pour produire les états financiers et les informations à fournir?

• Comment l’entité a‑t‑elle utilisé son comité d’audit, s’il a été formé, en tant que contrôle du processus d’information financière et d’information à fournir?

• Comment l’entité s’y prend‑elle pour saisir et communiquer les événements postérieurs?

• Comment la séparation des taches est‑elle effectuée dans le cadre de ce processus?

La compréhension du processus d’information financière de fin de période comprend également l’évaluation des éléments suivants :

• l’importance de l’intervention des technologies de l’information dans chaque processus;

• la participation de divers membres de la direction;

• le nombre d’établissements en cause;

• la nature et l’importance de l’intervention du comité d’audit dans le processus.

Méthodes comptables et référentiel d’information financière applicable :

• Comment l’entité détermine‑t‑elle les méthodes comptables appropriées?

• Qui approuve les méthodes comptables?

• Comment l’entité détermine‑t‑elle que l’interprétation du référentiel d’information financière applicable est correcte?

• Qui est responsable de la maintenance ou de la mise à jour du manuel de comptabilité du groupe?

• Comment l’entité détermine‑t‑elle que l’application des méthodes comptables est correcte dans l’ensemble de l’entité?

• Qui évalue si les soldes enregistrés reflètent les conditions existantes à la date de clôture?

• Comment l’entité détermine‑t‑elle les changements qui doivent être apportés aux méthodes comptables?

• Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Incidence du système de contrôle interne de l’entité sur le processus d’information financière de fin de période :

En plus de comprendre, d’évaluer et, lorsque l’équipe choisit de s’appuyer sur les contrôles, de tester l’efficacité opérationnelle des activités de contrôle du processus d’information financière, il faut tenir compte des autres composantes du système de contrôle du cadre de contrôle interne : l’environnement de contrôle, le processus d’évaluation des risques, le processus de l’entité visant à surveiller le système de contrôle interne et le système d’information et de communication. La compréhension et l’évaluation de chacune de ces composantes compte tenu de la façon dont elles se rapportent au processus d’information financière sont essentielles étant donné que bon nombre de ces contrôles peuvent être manuels et susceptibles d’être contournés par la direction. L’évaluation de la mise en évidence des éléments suivants par l’environnement de contrôle fournit la base qui permet à l’auditeur d’obtenir des éléments probants en testant l’efficacité opérationnelle des contrôles du processus d’information financière de la fin de période :

• les risques relatifs au processus d’information financière sont identifiés et contrôlés de façon appropriée;

• les contrôles appropriés du processus d’information financière sont exécutés par du personnel compétent;

• il existe des politiques et des procédures complètes concernant ce processus;

• le conseil d’administration et le comité d’audit exercent une surveillance appropriée.

Directives connexes

Voir la rubrique ci‑dessus Compréhension des activités de traitement de l’information au sein des processus opérationnels BVG Audit 5034 pour obtenir des directives sur la documentation de la compréhension de l’auditeur des processus opérationnels, des sous-processus et des opérations.

Directives du BVG

L’efficacité de la communication par l’entité des questions importantes qui soutiennent la préparation des états financiers et de la communication des responsabilités en matière d’information financière assignées dans le système d’information et d’autres composantes du système de contrôle interne est liée au bon fonctionnement des éléments suivants : les processus opérationnels liés à la présentation de l’information financière et les contrôles qui y sont intégrés. L’acquisition d’une compréhension de la communication utilisée par l’entité, y compris la façon dont l’entité fournit une compréhension des rôles et responsabilités individuels relatifs aux systèmes de contrôle interne de l’entité et communique d’autres questions importantes relatives à l’information financière au personnel de l’entité et à d’autres personnes, est importante, car il s’agit d’un indicateur de la solidité de la structure de contrôle interne d’une entité. Cela s’explique par le fait que la communication efficace de renseignements pertinents, exacts et opportuns fournit à la direction l’information dont elle a besoin pour exécuter les contrôles quotidiens et permet aux membres du personnel de comprendre à la fois leurs responsabilités en matière de contrôle et l’importance de maintenir un contrôle interne efficace. Lorsqu’une telle communication est inefficace, cela peut avoir une incidence sur la mise en place et le fonctionnement des contrôles conçus par une entité. Cette communication peut avoir lieu en interne au sein de l’entité ou en externe avec des tiers.

Communications internes

Les communications internes comprennent des processus de communication des rôles et des responsabilités dans l’ensemble de l’organisation concernant la conception et le fonctionnement du contrôle interne de l’entité. Cette communication aide les membres du personnel à comprendre la façon dont leurs activités dans les systèmes d’information relatifs à l’information financière interagissent avec les contrôles qui fonctionnent à différents niveaux de l’entité, comme les unités opérationnelles, les divisions ou les fonctions, et les soutiennent. La communication interne comprend également des processus de communication des écarts et des lacunes dans les contrôles à un niveau hiérarchique supérieur approprié au sein de l’entité. Des voies de communication ouvertes aident à assurer que les écarts et les lacunes sont déclarés et traités. De plus, il existe une communication entre les membres de la direction et ceux du conseil d’administration afin qu’ils disposent tous des informations nécessaires pour remplir leurs rôles à l’égard du contrôle interne de l’entité.

Communications externes

Les communications externes comprennent des processus permettant de communiquer des renseignements pertinents en temps opportun à des parties externes. Cela comprend les communications sortantes et entrantes. Les parties externes pourraient comprendre les actionnaires, les partenaires, les organismes de réglementation, les clients, les fournisseurs et les fournisseurs externes de services. La communication avec des parties externes permet le flux de données et d’informations pertinentes et de qualité nécessaires au fonctionnement efficace du système de contrôle interne de l’entité.

Procédures liées à l’acquisition d’une compréhension

À mesure que l’auditeur acquiert une compréhension des systèmes d’information de l’entité, y compris les processus et les contrôles opérationnels connexes, il acquiert une compréhension des communications internes et externes qui facilitent et encadrent ces processus opérationnels, notamment :

• les rôles et les responsabilités relatifs à l’information financière qui ont été attribués;

• les changements dans les renseignements financiers (et autres renseignements liés à l’information financière) à l’égard des catégories d’opérations et des événements (p. ex., nouveaux types d’opérations, dispositions, conditions);

• les changements apportés aux référentiels d’information financière applicables et aux politiques et procédures connexes;

• les changements dans les systèmes/applications d’information;

• les lacunes de contrôle identifiées qui nécessitent des mesures correctives;

• les différends ou plaintes soulevés par des clients, des fournisseurs et d’autres parties externes à l’entité;

• la communication avec la direction et les responsables de la gouvernance, en particulier le comité d’audit;

• la communication avec les organismes de réglementation.

L’auditeur peut également obtenir une compréhension des contrôles au niveau de l’entité indirects qui sont importants par rapport aux communications externes de l’entité, comme celles avec le conseil d’administration (et les comités), les organismes de réglementation et d’autres parties externes à l’entité. Un exemple de ces contrôles indirects pourrait être les politiques en place liées à l’évaluation des lacunes de contrôle relevées par l’équipe d’audit interne (ou une fonction semblable) et à la déclaration de ces lacunes au comité d’audit.

Directives du BVG

Selon la compréhension qu’il a obtenue, l’auditeur évalue les éléments individuels de la composante « système d’information et communications » du système de contrôle interne de l’entité afin d’évaluer si cette composante, dans son ensemble, appuie de manière appropriée la préparation des états financiers de l’entité conformément au référentiel d’information financière applicable. Comme il est expliqué au paragraphe A136 de la NCA 315, l’auditeur acquiert une compréhension de la composante « système d’information et communications » grâce aux demandes d’informations auprès des membres concernés du personnel, à l’inspection et à l’observation ou à l’exécution de tests de cheminement, en sélectionnant des opérations et en effectuant un suivi de leur cheminement dans le processus applicable du système d’information. La nature et l’étendue des procédures relèveraient du jugement professionnel et varieraient selon la complexité de l’entité et la nature des opérations.

Lorsque l’auditeur acquiert une compréhension des processus opérationnels liés aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations importantes à fournir, il détermine les contrôles qui sont principalement des contrôles directs (c.‑à‑d. des contrôles qui sont suffisamment précis pour prévenir, détecter ou corriger les anomalies au niveau des assertions). La NCA 315 n’exige pas la réalisation d’une évaluation de la conception et de la mise en place de chacun des contrôles identifiés, mais seulement de ceux requis par l’alinéa 26a) de la NCA 315. La section BVG Audit 5035.1 fournit des directives supplémentaires sur l’identification et l’évaluation de ces contrôles.

Directives du BVG

Comme il est expliqué dans la rubrique Acquisition d’une compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information, l’auditeur doit acquérir une compréhension de chaque processus opérationnel qui porte sur des catégories d’opérations importantes, des soldes de comptes importants et des informations importantes à fournir. Dans le cas d’une entité moins complexe, il se peut qu’un grand nombre des processus opérationnels cernés comprennent un nombre limité d’opérations et de contrôles et, par conséquent, qu’ils répondent à la définition du processus opérationnel périodique. Lorsque l’auditeur acquiert une compréhension du système d’information et des communications de l’entité dans le cas d’entités moins complexes, il peut également déterminer que ces entités disposent d’une documentation moins officielle de leurs procédures et politiques. Dans de tels cas, il peut s’avérer nécessaire d’obtenir un niveau suffisant de compréhension et de documentation en demandant des informations au personnel de l’entité plutôt qu’en observant ou en inspectant la documentation.