5034 Composantes du contrôle interne — Système d’information et communication
sept.-2022

Compréhension du système d’information

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du système d’information et des communications de l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.25)

  1. comprendre les activités de traitement de l’information de l’entité, notamment en ce qui concerne ses données et ses informations, les ressources devant servir à mener ces activités et les politiques qui définissent, pour les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes :

    1. le cheminement des informations dans le système d’information de l’entité, y compris :

      1. comment les opérations sont déclenchées et comment les informations les concernant sont enregistrées, traitées, corrigées (au besoin), incorporées dans le grand livre général et communiquées dans les états financiers,
      2. comment les informations sur les événements et les situations, autres que les opérations, sont saisies, traitées et fournies dans les états financiers,
    2. les documents comptables, les comptes spécifiques contenus dans les états financiers et les autres documents justificatifs qui concernent le cheminement des informations dans le système d’information,

    3. le processus d’information financière utilisé pour préparer les états financiers de l’entité, y compris les informations à fournir,

    4. les ressources de l’entité, y compris son environnement informatique, qui sont pertinentes au regard des sous-alinéas i) à iii) ci‑dessus;

Directives des NCA

Les contrôles des composantes «système d’information et communications» et «activités de contrôle» sont principalement des contrôles directs (c’est‑à‑dire des contrôles qui sont suffisamment précis pour prévenir ou pour détecter et corriger les anomalies au niveau des assertions) : (NCA 315.A123)

L’auditeur est tenu d’acquérir une compréhension du système d’information et des communications de l’entité – ce qui implique, d’une part, de comprendre les politiques de l’entité qui définissent le cheminement des opérations et d’autres aspects des activités de traitement de l’information de l’entité qui sont pertinents pour la préparation des états financiers et, d’autre part, d’évaluer si cette composante contribue adéquatement à la préparation des états financiers de l’entité – parce que cela l’aide à identifier et à évaluer les risques d’anomalies significatives au niveau des assertions. Cette compréhension et cette évaluation peuvent aussi mener à l’identification de risques d’anomalies significatives au niveau des états financiers si, par exemple, les résultats des procédures de l’auditeur ne concordent pas avec les attentes qu’il a définies à l’égard du système de contrôle interne de l’entité en se fondant sur l’information obtenue dans le cadre du processus d’acceptation ou de maintien de la mission. (NCA 315.A124)

Le système de contrôle interne comprend des aspects qui portent sur les objectifs de l’entité en matière d’information, notamment en matière d’information financière, mais aussi des aspects qui concernent les objectifs d’exploitation ou de conformité, s’ils sont pertinents pour l’information financière. Lorsque, pour acquérir une compréhension du système d’information, l’auditeur cherche à comprendre comment l’entité déclenche les opérations et saisit les informations, il peut prendre en considération, entre autres, les informations concernant les systèmes de l’entité (ses politiques) qui ont été conçus pour l’atteinte d’objectifs d’exploitation et de conformité, étant donné que ces informations sont pertinentes pour la préparation des états financiers. Par ailleurs, lorsqu’une entité dispose d’un système d’information fortement intégré, il se peut que les contrôles soient conçus de manière à permettre l’atteinte de plusieurs objectifs à la fois, qu’il s’agisse d’objectifs en matière d’information financière, de conformité ou d’exploitation, ou d’une quelconque combinaison de ces objectifs. (NCA 315.A132)

La compréhension du système d’information de l’entité englobe aussi celle des ressources devant servir à mener les activités de traitement de l’information de l’entité. En ce qui a trait aux ressources humaines concernées, voici des exemples d’informations pertinentes pour la compréhension des risques liés à l’intégrité du système d’information : (NCA 315.A133)

  • la compétence des personnes qui accomplissent les tâches;
  • l’adéquation ou non des ressources aux besoins;
  • l’existence ou non d’une séparation des tâches appropriée.

Pour acquérir une compréhension du système d’information, l’auditeur peut employer différents moyens, dont : (NCA 315.A136)

  • des demandes d’informations auprès des membres concernés du personnel au sujet des procédures de déclenchement, d’enregistrement, de traitement et de communication des opérations ou du processus d’information financière de l’entité;

  • l’inspection des manuels décrivant les politiques ou les processus ou d’autres documents portant sur le système d’information de l’entité;

  • l’observation de l’application des politiques ou des procédures par le personnel de l’entité;

  • la sélection d’opérations et le suivi de leur cheminement dans le processus applicable du système d’information (test de cheminement).

L’auditeur peut aussi avoir recours à des techniques automatisées soit pour accéder directement aux bases de données du système d’information de l’entité qui contiennent les documents comptables relatifs aux opérations, soit pour télécharger le contenu de ces bases de données. L’auditeur peut ensuite vérifier sa compréhension du cheminement des opérations dans le système d’information – de leur déclenchement dans les documents comptables jusqu’à leur enregistrement dans le grand livre général – en appliquant aux informations ainsi obtenues des outils et des techniques automatisés qui lui permettent de retracer les écritures de journal ou d’autres enregistrements électroniques, que ce soit pour une opération donnée ou pour l’ensemble des opérations (population entière). L’analyse de vastes ensembles d’opérations, voire d’ensembles complets, peut révéler des écarts par rapport aux procédures de traitement normales ou prévues, et ainsi permettre l’identification de risques d’anomalies significatives. (NCA 315.A137)

Les états financiers peuvent comprendre des informations ne provenant pas du grand livre général et des livres auxiliaires. Voici des exemples d’informations que l’auditeur peut prendre en considération : (NCA 315.A138)

  • les informations tirées de contrats de location qui sont pertinentes pour les informations à fournir dans les états financiers;

  • les informations fournies dans les états financiers qui sont produites par le système de gestion des risques de l’entité;

  • les informations en juste valeur produites par des experts choisis par la direction et fournies dans les états financiers;

  • les informations fournies dans les états financiers provenant de modèles ou d’autres calculs ayant servi à établir les estimations comptables comptabilisées ou communiquées dans les états financiers, notamment les informations relatives aux données et hypothèses sous‑jacentes utilisées dans ces modèles, par exemple :

    • les hypothèses élaborées à l’interne pouvant avoir une incidence sur la durée de vie utile d’un actif,
    • les données, comme les taux d’intérêt, qui sont influencées par des facteurs qui échappent à la volonté de l’entité;
  • les informations fournies dans les états financiers concernant des analyses de sensibilité reposant sur des modèles financiers qui démontrent que la direction a tenu compte d’autres hypothèses possibles;

  • les informations comptabilisées ou fournies dans les états financiers provenant des déclarations fiscales et des documents d’impôt de l’entité;

  • les informations fournies dans les états financiers provenant d’analyses préparées à l’appui de l’évaluation faite par la direction de la capacité de l’entité à poursuivre son exploitation, comme les informations, s’il en est, relatives aux événements ou aux situations relevés susceptibles de jeter un doute important sur cette capacité.

Certains montants ou informations fournis dans les états financiers de l’entité (comme les informations concernant le risque de crédit, le risque de liquidité et le risque de marché) peuvent être fondés sur des informations provenant du système de gestion des risques de l’entité. Toutefois, l’auditeur n’est pas tenu de comprendre tous les aspects du système de gestion des risques; il exerce son jugement professionnel pour déterminer la compréhension qu’il est nécessaire d’acquérir. (NCA 315.A139)

Les aspects du système d’information qui sont pertinents pour la préparation des états financiers comprennent les activités et les politiques ainsi que les documents comptables et les documents justificatifs qui sont conçus et établis pour : (NCA 315. Annexe 3.15)

  • déclencher, enregistrer et traiter les opérations de l’entité (et saisir, traiter et communiquer les informations sur les événements et les situations autres que les opérations) et rendre compte des actifs, des passifs et des capitaux propres sur lesquels portent ces opérations;

  • résoudre les traitements incorrects des opérations, par exemple les fichiers automatisés d’opérations en suspens et les procédures suivies pour traiter en temps opportun les éléments en suspens;

  • traiter les contournements des systèmes et les dérogations aux contrôles et en rendre compte;

  • incorporer dans le grand livre général les informations résultant du traitement des opérations (en y transférant, par exemple, les opérations qui ont été accumulées dans les livres auxiliaires);

  • saisir et traiter les informations pertinentes pour la préparation des états financiers qui ont trait aux événements et situations autres que des opérations, par exemple l’amortissement des actifs et les changements dans la recouvrabilité des actifs;

  • s’assurer que les informations à fournir selon le référentiel d’information financière applicable sont cumulées, enregistrées, traitées, résumées et communiquées de manière appropriée dans les états financiers.

Les processus opérationnels d’une entité comprennent les activités conçues pour : (NCA 315.Annexe 3.16)

  • développer, acheter, produire, vendre et distribuer ses produits et services;

  • assurer le respect des textes légaux et réglementaires;

  • enregistrer l’information, dont l’information comptable et l’information financière à communiquer.

Les opérations qui sont enregistrées, traitées et communiquées par le système d’information sont le résultat des processus opérationnels.

Directives du BVG

Pour acquérir une compréhension du système d’information de l’entité, il faut déterminer comment l’information financière pertinente pour la préparation des états financiers est déclenchée, enregistrée, traitée, corrigée et intégrée au grand livre général, et communiquée dans les états financiers. L’acquisition de cette compréhension implique la connaissance de l’environnement informatique relatif au cheminement des opérations et au traitement de l’information dans le système d’information de l’entité (c.‑à‑d. les applications informatiques et l’infrastructure informatique d’appui) permettant à l’entité de présenter ses états financiers. Pour ce faire, il ne faut pas procéder de manière isolée; il faut plutôt regrouper les informations recueillies lors de l’acquisition d’une compréhension des processus opérationnels sous-jacents. On considère qu’un processus opérationnel est important s’il se rapporte à des postes importants des états financiers, comme il est décrit dans la section BVG Audit 5042. Pour acquérir une compréhension des processus opérationnels sous‑jacents, il faut étudier la façon dont l’information financière liée aux opérations est enregistrée et traitée dans les systèmes d’information de l’entité, ainsi que les estimations comptables incluses et les écritures de journal enregistrées découlant du processus opérationnel qui a abouti aux montants présentés, au bout du compte, dans les états financiers. La compréhension détaillée de l’auditeur peut être intégrée à sa compréhension des processus opérationnels respectifs. Toutefois, la compréhension globale de l’auditeur de la composante « système d’information et communications » fait généralement une synthèse des liens entre les activités réalisées au sein du processus opérationnel important, les applications informatiques et l’infrastructure informatique d’appui, et l’information présentée dans les états financiers.

Voir la rubrique ci‑dessous Compréhension des activités de traitement de l’information au sein des processus opérationnels pour des informations complémentaires sur l’acquisition d’une compréhension des processus opérationnels, y compris le cheminement des opérations de bout en bout et les contrôles.

Pour acquérir une compréhension de la composante « système d’information et communications » de l’entité du système de contrôle interne de l’entité, il faut également tenir compte des éléments suivants :

  • les processus opérationnels qui sont considérés comme importants pour l’information financière, notamment :

    • la mise en correspondance des postes des états financiers, soit les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes (et l’information de gestion, s’il y a lieu) et des processus opérationnels (y compris le processus d’information financière lui‑même) et des applications informatiques pour chaque unité de gestion importante;

    • les sous‑processus importants qui sous‑tendent chaque processus opérationnel important, y compris le processus d’information financière;

    • l’incidence de l’utilisation de l’information de gestion sur l’information financière (p. ex., lorsque la direction gère les résultats d’exploitation séparément pour chaque secteur d’activité, l’auditeur pourrait identifier plus d’un processus ou sous‑processus opérationnel pour un seul poste des états financiers);

  • les systèmes d’information de l’entité, ce qui comprend :

    • l’incidence sur l’audit des politiques et procédures relatives à l’utilisation par l’entité du personnel affecté au service informatique (y compris les applications ou d’autres aspects de l’environnement informatique) en ce qui a trait au cheminement des opérations et au traitement de l’information, notamment l’incidence des modifications apportées à l’environnement informatique.

Lors de la mise en œuvre de procédures visant à acquérir une compréhension des activités de traitement de l’information de l’entité, l’auditeur identifie les contrôles que la direction a mis en place pour saisir, traiter et déclarer les informations sur les événements et les opérations et en acquiert une compréhension (c.‑à‑d. comme contrôles pertinents aux fins de la préparation des états financiers). La compréhension des activités de traitement de l’information et des contrôles identifiés constitue un fondement pour l’identification et l’évaluation des risques d’anomalies significatives au niveau des assertions, ainsi que des contrôles qui visent ces risques (contrôles visant les risques d’anomalies significatives au niveau des assertions de la composante « activités de contrôle »). L’alinéa 26a) de la NCA 315 exige que l’auditeur évalue la conception et la mise en place des contrôles de la composante « activités de contrôle », car cela l’aide à comprendre la manière dont la direction gère les risques et lui sert de base pour la conception et la mise en œuvre de procédures d’audit supplémentaires. L’auditeur documente la compréhension des activités de traitement de l’information et identifie les contrôles pertinents pour la préparation des états financiers dans le cadre de la composante « système d’information et communications », même s’il décide de ne pas évaluer leur efficacité conceptuelle et leur mise en œuvre.

Directives connexes

La rubrique Complexité de l’environnement informatique fournit des directives supplémentaires sur les considérations relatives à la complexité de l’environnement informatique de l’entité.

La section BVG Audit 5035.1 contient des directives sur l’identification des contrôles dans le cadre des activités de contrôle.

Compréhension des activités de traitement de l’information au sein des processus opérationnels

Directives des NCA

Comme il est expliqué au paragraphe A49, la compréhension de l’entité et de son environnement ainsi que du référentiel d’information financière applicable peut aider l’auditeur à définir des attentes initiales en ce qui a trait aux catégories d’opérations, aux soldes de comptes et aux informations à fournir qui peuvent constituer des catégories d’opérations importantes, des soldes de comptes importants et des informations à fournir importantes. L’auditeur peut s’appuyer sur ces attentes initiales pour délimiter la compréhension qu’il lui faut acquérir des activités de traitement de l’information de l’entité dans le cadre de l’acquisition de la compréhension de la composante « système d’information et communications » qui est exigée à l’alinéa 25 a). (NCA 315.A126)

En ce qui concerne le système d’information, la compréhension de l’auditeur englobe les politiques qui définissent le cheminement des informations relatives aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations à fournir importantes, et les autres aspects connexes des activités de traitement de l’information de l’entité. Ces informations et celles qu’obtient l’auditeur en évaluant le système d’information peuvent confirmer ou autrement influencer les attentes de l’auditeur concernant les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes initialement identifiés. (NCA 315.A127)

L’identification et l’évaluation par l’auditeur des risques d’anomalies significatives au niveau des assertions dépendent à la fois : (NCA 315.A130)

  • de sa compréhension des politiques de l’entité relatives aux activités de traitement de l’information qui font partie de la composante « système d’information et communications »;

  • de son identification et de son évaluation des contrôles de la composante « activités de contrôle ».

Pour comprendre les politiques qui définissent le cheminement des informations relatives aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations à fournir importantes dans la composante « système d’information et communications », l’auditeur peut prendre en considération les éléments suivants : (NCA 315.A134)

a) les données ou les informations relatives aux opérations et aux autres événements et situations à traiter;

b) le traitement de l’information visant à assurer le maintien de l’intégrité des données ou des informations;

c) les processus, les membres du personnel et les autres ressources qui contribuent au traitement de l’information.

La compréhension des processus opérationnels, qui englobe la manière dont les opérations sont générées, aide l’auditeur à acquérir une compréhension du système d’information dans le contexte propre à l’entité.(NCA 315.A135).

Directives du BVG

Les processus opérationnels sont composés de multiples sous‑processus à l’égard desquels des procédures comptables et des contrôles particuliers sont établis par la direction de l’entité. Par exemple, le processus des « produits et créances » peut contenir les sous‑processus distincts suivants : traiter les bons de commande, tenir à jour les données des clients, tenir des listes de prix, traiter les factures, traiter les retours de produits et les rabais. Chaque sous‑processus peut ensuite être divisé encore selon le type précis d’opération; par exemple, le sous‑processus « traiter les bons de commande » peut être sous‑divisé en ventes au comptant et en ventes à crédit, ou en ventes à l’étranger ou en ventes au pays. Dans chacun des processus opérationnels, les opérations sont déclenchées, enregistrées, traitées, corrigées (au besoin) et déclarées dans les états financiers. Les processus opérationnels peuvent également comprendre des événements et des conditions autres que des opérations dont les renseignements sont saisis, traités et fournis dans les états financiers (p. ex., des restrictions à l’égard de l’utilisation de certains actifs, comme l’encaisse).

Se reporter à la section BVG Audit 5012.3 pour obtenir des conseils sur la façon de définir une attente initiale en ce qui a trait aux catégories d’opérations, aux soldes de comptes et aux informations à fournir qui peuvent constituer des postes importants des états financiers, ainsi que sur la façon d’identifier les processus opérationnels connexes et d’établir la façon dont ces processus opérationnels sont liés aux postes des états financiers. L’alinéa 25a) de la NCA 315 exige que l’auditeur acquière une compréhension des processus opérationnels relatifs à chaque poste important des états financiers. De plus, comme il est décrit dans la section BVG Audit 5012.3, lorsqu’un processus opérationnel est lié à un poste important des états financiers, même si l’auditeur est d’avis qu’il pourrait ne pas être en mesure d’identifier de risques d’anomalies significatives pour ce poste des états financiers au niveau des assertions, il mettrait en œuvre des procédures pour comprendre et évaluer les systèmes d’information de l’entité directement liés à ce processus opérationnel. Cela s’explique par le fait que l’auditeur a généralement besoin de comprendre le processus opérationnel qui sous‑tend le poste important des états financiers afin de déterminer si celui‑ci comporte des risques d’anomalies significatives au niveau des assertions. Par conséquent, l’étendue de cette compréhension doit être suffisante pour fournir une base permettant de déterminer s’il existe des risques d’anomalies significatives au sein du processus opérationnel. Cependant, dans certains cas, le niveau de compréhension peut ne pas être aussi important que dans le cas de processus opérationnels importants. Par exemple, l’auditeur peut acquérir une compréhension des systèmes d’information relativement à ces postes des états financiers principalement à partir de demandes d’informations auprès du personnel concerné au sujet des procédures utilisées pour déclencher, enregistrer, traiter et communiquer des opérations. Ces demandes d’informations sont appuyées par des procédures corroborantes telles que des inspections physiques ou des observations, ce qui ne demanderait pas nécessairement de test de cheminement à l’égard des opérations dans l’ensemble du processus opérationnel. De plus, il serait peu probable que l’auditeur détermine que des contrôles au sein d’un tel processus opérationnel représentent des contrôles de la composante « activités de contrôle », étant donné sa conclusion selon laquelle aucun risque d’anomalies significatives n’a été identifié.

La nature et l’étendue des procédures que l’auditeur met en œuvre pour acquérir une compréhension des processus opérationnels varient en fonction de la complexité des processus opérationnels eux‑mêmes. Lorsque l’auditeur acquiert une compréhension, il détermine également si les processus opérationnels sont au niveau des transactions ou s’ils sont périodiques en fonction des caractéristiques suivantes :

  • Processus opérationnels au niveau des transactions : De tels processus opérationnels sont généralement des rouages essentiels dans la manière dont une entité génère des produits et engage des dépenses, et peuvent dépendre considérablement de la technologie de l’information. Ces processus opérationnels visent l’enclenchement, l’enregistrement, le traitement et la communication d’un nombre élevé et de types d’opérations routinières différentes qui sont effectuées tout au long de la période de présentation de l’information financière. L’auditeur s’attend à devoir acquérir une compréhension d’un plus grand nombre de contrôles de la composante « activités de contrôle » dans les processus opérationnels au niveau des transactions que dans les processus opérationnels périodiques. Ces contrôles fonctionnent tout au long de l’exercice et aussi à la date de clôture. Parmi les processus opérationnels au niveau des transactions, il y a notamment : les produits et les débiteurs; les achats et les créditeurs; la production et les stocks; ainsi que la paye.

  • Processus opérationnels périodiques : Ces processus visent le déclenchement, l’enregistrement, le traitement et la communication d’un nombre moindre d’opérations, notamment d’opérations importantes uniques ou très espacées dans le temps. Dans le cadre des processus opérationnels périodiques, l’auditeur s’attend à devoir acquérir une compréhension d’un nombre moindre de contrôles au sein des activités de contrôle. Ces contrôles sont généralement mis en place périodiquement ou à la date de clôture. Ils visent entre autres les autorisations et les revues des rapprochements ou l’examen des comptes qui reposent sur des jugements ou des estimations. Parmi les processus opérationnels périodiques, il y a notamment : le capital et les capitaux propres, le financement, les immobilisations incorporelles et le goodwill, les immobilisations corporelles, la rémunération à base d’actions, les impôts et la trésorerie.

Un processus opérationnel peut être considéré comme un processus un niveau des transactions pour une entité, tandis que le même processus opérationnel peut être considéré comme étant périodique pour une autre entité. Par exemple, un processus opérationnel très complexe en matière d’impôt qui est appliqué par de multiples administrations fiscales, qui est assujetti à une réglementation évoluant rapidement et qui est soutenu par de nombreux contrôles, systèmes d’information et applications peut représenter un processus opérationnel au niveau des transactions alors qu’un simple processus opérationnel en matière d’impôt qui est de nature manuelle et appliqué uniquement à la clôture peut représenter un processus opérationnel périodique.

Les efforts nécessaires à l’acquisition d’une compréhension du processus opérationnel dépendent de la nature du processus (périodique ou au niveau des transactions), ainsi que de sa complexité. Voici quelques exemples de caractéristiques qui auraient une incidence sur la nature et l’étendue des procédures que l’auditeur met en œuvre pour acquérir une compréhension :

  • complexité des opérations;

  • complexité de l’environnement informatique (p. ex., nombre d’applications informatiques et de dépendances aux technologies de l’information);

  • nombre d’événements et de conditions qui ont une incidence sur les changements apportés aux processus opérationnels;

  • complexité de l’information financière;

  • nombre d’écritures de journal non courantes;

  • risques que l’auditeur s’attend initialement à identifier au sein des processus opérationnels aux fins de définition de la portée de la compréhension des activités de traitement de l’information de l’entité à acquérir.

Exemple :
Caractéristiques des processus opérationnels Nature et étendue des procédures concernant les exemples de processus opérationnels
Demandes d’informations auprès du personnel et inspection de la documentation Inspection de la documentation, observation de la mise en œuvre des procédures ou tests de cheminement
Immobilisations incorporelles et goodwill Produits et créances
Complexité des opérations Opérations simples non complexes au cours de la période (achats d’immobilisations incorporelles, amortissement, cessions) Complexité élevée en raison des exigences des principes comptables généralement reconnus comme l’IFRS 15 (modèle de comptabilisation des produits en cinq étapes)
Nombre de dépendances aux technologies de l’information (TI) Nombre limité de dépendances aux TI (p. ex. rapports sommaires et calcul automatisé de l’amortissement) Nombre élevé de dépendances aux TI utilisées pour mesurer et comptabiliser les produits et calculer les pertes de crédit attendues concernant les comptes clients et les actifs contractuels (p. ex., interfaces, calcul automatisé des pertes de crédit attendues, rapports périodiques utilisés dans l’exécution du contrôle par la direction)
Nombre d’événements et de conditions qui ont une incidence sur les changements apportés aux processus opérationnels Nombre limité d’événements. Des opérations relatives au goodwill se produisent rarement. Facteurs ayant une incidence sur les tests de dépréciation pris en compte à la fin de la période seulement parce qu’aucun rapport financier ou de conformité intermédiaire externe n’est requis. De nombreux facteurs externes ont une incidence sur les opérations tout au long de la période, comme l’environnement macroéconomique qui influe sur le modèle utilisé et les calculs des pertes de crédit attendues en ce qui concerne les créances.
Complexité de l’information financière La complexité de l’information financière concerne principalement les tests annuels de dépréciation. Les estimations comptables identifiées se rapportent à la durée de vie utile des immobilisations incorporelles et à l’estimation du montant recouvrable lié au goodwill. Complexité accrue en raison des exigences détaillées des principes comptables généralement reconnus en ce qui a trait aux opérations individuelles (p. ex., la comptabilisation des produits selon l’IFRS 15) ainsi que des considérations supplémentaires relatives au recouvrement d’actifs (p. ex., l’IFRS 9). Cela peut mener à l’identification de multiples estimations comptables dans le processus opérationnel.
Nombre d’écritures de journal non routinières Limité Selon la complexité et la nature des opérations individuelles en matière de produits, mais les écritures non routinières ne sont pas rares.
Risques que l’auditeur s’attend initialement à identifier au sein des processus opérationnels aux fins de définition de l’étendue de la compréhension des activités de traitement de l’information de l’entité à acquérir Selon les circonstances de l’entité (p. ex. bénéfices d’exploitation et flux de trésorerie constamment élevés et aucun historique de dépréciations), niveau normal de risque d’anomalies significatives lié à l’évaluation sans risque de fraude identifié. Présomption réfutable de risque important de fraude dans la comptabilisation des produits. Autres risques élevés ou importants d’anomalies significatives au niveau des assertions.

Lorsque l’auditeur acquiert une compréhension des procédures opérationnelles relatives à l’information financière de l’entité, il détermine les contrôles que la direction a mis en place pour saisir, traiter et déclarer les informations relatives aux événements et aux opérations. Il détermine également lesquels des contrôles qu’il considère comme faisant partie de la composante « activités de contrôle » sont assujettis à l’évaluation de l’efficacité de la conception et de la mise en œuvre et s’il prévoit les tester pour en déterminer l’efficacité opérationnelle. Les éléments à considérer dans la définition de ces processus sont :

  • l’incidence de l’utilisation de l’information de gestion sur l’information financière;

  • la mise en correspondance, pour chaque unité de gestion importante, des postes des états financiers et des processus opérationnels (y compris le processus d’information financière lui‑même), des applications informatiques et d’autres aspects de l’environnement informatique;

  • les sous-processus importants qui sous-tendent chaque processus opérationnel, y compris le processus d’information financière.

Voir la section BVG Audit 5035.1 pour obtenir des directives complémentaires sur l’identification des processus opérationnels pertinents et les liens entre les processus opérationnels et les postes des états financiers dans le dossier d’audit.

Utilisation de la documentation préparée par l’entité ou de la documentation préparée par le BVG

Lorsque l’auditeur conclut que la documentation de l’entité sur les processus opérationnels, les flux des opérations et les contrôles est suffisante pour ses besoins, le fait d’utiliser cette documentation peut être une méthode efficace aux fins de la documentation de sa compréhension des processus opérationnels et des contrôles de l’entité.

Une documentation préparée par l’entité peut suffire aux besoins de l’auditeur si elle présente les caractéristiques suivantes :

  • elle décrit comment l’opération est déclenchée, enregistrée, traitée et communiquée;

  • elle permet à l’auditeur d’acquérir une compréhension des processus opérationnels et des flux des opérations pour identifier les contrôles qui doivent être inclus dans les activités de contrôle, y compris les contrôles liés à des risques importants et les contrôles dont il prévoit tester l’efficacité opérationnelle;

  • elle est détaillée de manière appropriée, avec assez de renseignements concernant le flux des opérations permettant d’identifier les moments où des anomalies significatives résultant de fraudes ou d’erreurs sont susceptibles de survenir;

  • elle identifie et décrit les contrôles qui, selon l’auditeur, sont importants pour bien comprendre le processus opérationnel de bout en bout.

Elle peut être préparée ou résumée, dans la mesure jugée nécessaire, de manière à être incluse dans les feuilles de travail, afin que l’auditeur puisse documenter sa compréhension du processus opérationnel de bout en bout.

Compréhension du processus d’information financière utilisé pour la préparation des états financiers de l’entité

L’auditeur doit acquérir une compréhension de la façon dont les états financiers sont produits, ce qui implique la mise en correspondance de l’information financière issue des processus opérationnels importants et des applications informatiques et d’autres aspects de l’environnement informatique qui déclenchent l’enregistrement et le traitement de l’information présentée dans les états financiers. Il doit également tenir compte de toute autre source d’information qui ne provient pas du grand livre général et des livres auxiliaires. Le paragraphe A138 de la NCA 315 contient des exemples de sources d’information qui pourraient être incluses dans les états financiers de l’entité.

L’auditeur peut utiliser la documentation de mise en correspondance préparée par la direction ou utiliser sa propre documentation, comme il est illustré dans le diagramme ci‑après.

Cycles des produits – États financiers

La compréhension de l’auditeur des systèmes d’information de l’entité tient compte des questions suivantes :

  • Quels sont les systèmes d’information ou les applications qui sous‑tendent le déclenchement, l’autorisation, l’enregistrement, le traitement, la correction (au besoin), le transfert au grand livre général et la communication des opérations dans les postes des états financiers?

  • Comment les processus opérationnels et le système d’information sont‑ils mis en œuvre dans l’ensemble de l’entité (par fonction, géographie, unité de gestion, etc.)?

  • Quels sont les processus importants et les postes importants des états financiers et comment correspondent‑ils aux postes des états financiers?

  • Quelle est la source des informations présentées aux postes des états financiers?

  • Comment les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes et les postes des états financiers connexes sont‑ils liés aux processus opérationnels?

  • Les processus opérationnels importants sont‑ils centralisés ou gérés séparément à l’intérieur des unités de gestion de l’entité?

  • Quelles opérations sont générées dans les processus opérationnels importants?

  • Comment ces opérations sont‑elles déclenchées? Sont‑elles déclenchées électroniquement?

  • Quels sont les systèmes et les technologies qui soutiennent les activités dans ces processus opérationnels importants? (Voir la rubrique sur la complexité de l’environnement informatique pour plus de directives.)

  • Comment les systèmes d’information sont‑ils organisés?

  • Qui est responsable de l’examen et de l’approbation des systèmes utilisés par l’entité?

  • Sur quoi s’appuie la direction pour juger de la fiabilité de l’information (c.‑à‑d. exhaustive et exacte)?

  • Comment les opérations des systèmes sous‑jacents passent‑elles dans le système du grand livre général de l’entité (interfaces manuelles ou électroniques)?

  • Comment la direction sait‑elle que l’information de gestion se retrouve dans la balance des comptes et ultimement dans les états financiers?

  • Des ajustements sont‑ils apportés entre l’information sous‑jacente et les états financiers? Pourquoi? Comment sont‑ils suivis?

  • Quelles informations des états financiers ne sont cumulées ni enregistrées dans le grand livre général (p. ex. le détail des informations à fournir)? Comment cette information est‑elle identifiée et préparée par l’entité?

  • Quelles sont les dépendances aux TI (p. ex., contrôles automatisés, rapports, calculs, sécurité et interfaces) qui sont importantes par rapport à l’évaluation de la conception des contrôles et à la détermination d’autres procédures d’audit?

En plus des informations financières présentées directement dans les états financiers, la direction peut s’appuyer sur d’autres renseignements pour l’exécution et le contrôle des activités de communication de l’information opérationnelle ou financière. Tout comme l’information financière, lorsque ces autres renseignements sont pertinents pour l’audit, l’auditeur applique les considérations susmentionnées pour consigner en dossier sa compréhension de la manière dont ces autres informations sont générées et des systèmes d’information connexes ainsi que les éléments probants obtenus à l’égard de l’exhaustivité et de l’exactitude de l’information.

Acquisition d’une compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information

Directives des NCA

La compréhension qu’acquiert l’auditeur en ce qui a trait au système d’information englobe les aspects de l’environnement informatique qui sont pertinents au regard du cheminement des opérations et du traitement de l’information dans le système d’information de l’entité, parce que certains aspects de cet environnement, dont l’utilisation que fait l’entité des applications informatiques, peuvent donner lieu à des risques découlant du recours à l’informatique. (NCA 315.A140)

La compréhension du modèle d’entreprise de l’entité et de la manière dont le recours à l’informatique y est intégré peut aussi fournir à l’auditeur des éléments de contexte utiles sur la nature et l’étendue du recours à l’informatique qu’il peut s’attendre à voir dans le système d’information. (NCA 315.A141)

La compréhension qu’acquiert l’auditeur en ce qui concerne l’environnement informatique peut être axée sur l’identification et la compréhension – du point de vue qualitatif et quantitatif – des applications informatiques particulières et des autres aspects de l’environnement informatique qui sont pertinents au regard du cheminement des opérations et du traitement de l’information dans le système d’information. Des changements liés au cheminement des opérations ou au traitement de l’information dans le système d’information peuvent découler de la modification de programmes liés aux applications informatiques ou de la modification directe des données qui se trouvent dans les bases de données servant au traitement ou au stockage des opérations ou des informations. (NCA 315.A142)

L’auditeur peut identifier les applications informatiques et l’infrastructure informatique sous‑jacente en même temps qu’il acquiert une compréhension du cheminement des informations relatives aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations à fournir importantes dans le système d’information de l’entité. (NCA 315.A143)

Le système de contrôle interne de l’entité comprend des éléments manuels et automatisés (c’est‑à‑dire des contrôles et d’autres ressources manuels et automatisés qui sont utilisés dans le système de contrôle interne de l’entité). La proportion d’éléments automatisés par rapport aux éléments manuels varie selon la nature et la complexité de l’utilisation que fait l’entité de l’informatique. Le recours à l’informatique aura une incidence sur la manière dont l’entité traite, stocke et communique les informations pertinentes pour la préparation des états financiers conformément au référentiel d’information financière applicable et, par conséquent, sur la conception et la mise en place de son système de contrôle interne. Chacune des composantes de ce système peut recourir à l’informatique dans une certaine mesure. (NCA 315.Annexe 5.1)

En général, le recours à l’informatique présente des avantages pour le système de contrôle interne de l’entité. Il permet à l’entité :

  • d’appliquer systématiquement des règles prédéfinies et d’exécuter des calculs complexes en traitant d’importants volumes d’opérations ou de données;

  • d’accroître la rapidité, la disponibilité et l’exactitude des informations;

  • de faciliter une analyse plus poussée des informations;

  • d’accroître sa capacité de faire le suivi des résultats de ses activités, ainsi que de ses politiques et procédures;

  • de réduire le risque de contournement des contrôles;

  • d’accroître la capacité de réaliser une séparation des tâches efficace en mettant en place des contrôles de sécurité dans les applications informatiques, les bases de données et les systèmes d’exploitation.

Les caractéristiques des éléments manuels ou automatisés sont pertinentes pour l’identification et l’évaluation des risques d’anomalies significatives par l’auditeur et pour la détermination des procédures d’audit complémentaires à mettre en oeuvre en réponse à cette évaluation. Les contrôles automatisés peuvent se révéler plus fiables que les contrôles manuels, étant donné qu’il est plus difficile d’y passer outre, d’en faire abstraction ou de les contourner, et qu’ils sont aussi moins susceptibles de faire l’objet de simples erreurs. Les contrôles automatisés peuvent être plus efficaces que les contrôles manuels dans les cas suivants : (NCA 315.Annexe 5.2)

  • volume important d’opérations récurrentes, ou conditions dans lesquelles les erreurs susceptibles d’être anticipées ou prévues peuvent être prévenues, ou détectées et corrigées, grâce à l’automatisation;

  • contrôles dont les modes particuliers d’exécution peuvent être adéquatement conçus et automatisés.

Le système d’information de l’entité peut faire appel à des éléments manuels et des éléments automatisés ayant une incidence sur la façon dont les opérations sont déclenchées, enregistrées, traitées et communiquées. Plus précisément, les procédures de déclenchement, d’enregistrement, de traitement et de communication des opérations peuvent se faire au moyen d’applications informatiques que l’entité a configurées à ces fins. Par ailleurs, des documents électroniques peuvent venir remplacer ou compléter les documents papier. (NCA 315.Annexe 5.3)

Il se peut que l’entité utilise des technologies émergentes (c.‑à‑d. les chaînes de blocs, la robotique ou l’intelligence artificielle) parce qu’elles présentent des possibilités particulières d’accroître l’efficience opérationnelle ou de bonifier l’information financière. Lorsque des technologies émergentes sont combinées au système d’information de l’entité utilisé pour la préparation des états financiers, l’auditeur peut les ajouter à la liste des applications informatiques et autres aspects de l’environnement informatique qui sont vulnérables aux risques découlant du recours à l’informatique. Bien que les technologies émergentes puissent sembler plus sophistiquées ou plus complexes que les autres technologies, les responsabilités de l’auditeur à l’égard des applications informatiques et des contrôles généraux informatiques, décrites aux alinéas 26 b) et c), demeurent les mêmes. (NCA 315.Annexe 5.5)

Directives du BVG

Lorsqu’il acquiert une compréhension de l’environnement informatique et des ressources informatiques utilisées dans les activités de traitement de l’information, l’auditeur prend en compte les informations qu’il a obtenues en acquérant une compréhension du modèle opérationnel de l’entité et de la façon dont elle intègre l’utilisation des technologies de l’information, car cette compréhension l’aide à établir des attentes quant au niveau des ressources informatiques de l’entité (voir la section BVG Audit 5023). Pour y parvenir, l’auditeur acquiert une compréhension des ressources informatiques pertinentes par rapport aux flux des opérations et au traitement de l’information dans le système d’information, ce qui comprend :

  • les applications informatiques;
  • l’infrastructure informatique;
  • les processus informatiques et le personnel affecté au service informatique qui participent à ces processus.

La compréhension de l’information générée par le système d’information de l’entité est acquise dans le cadre d’entretiens avec les cadres responsables des processus opérationnels et des systèmes d’information. L’auditeur exerce son jugement avec la contribution des membres principaux de l’équipe de mission et de l’équipe de l’Audit des TI (le cas échéant) afin de déterminer l’étendue de la compréhension des systèmes d’information de l’entité qu’il doit obtenir et documenter, y compris le format de la documentation (p. ex., commentaires narratifs, graphiques de cheminement). L’étendue de la compréhension dépendra de la portée de l’utilisation des technologies de l’information dans le modèle opérationnel de l’entité et des activités correspondant aux postes importants des états financiers.

L’entité peut utiliser un éventail de ressources informatiques dans l’ensemble de ses opérations, mais l’auditeur axe son identification et sa compréhension sur le cheminement de l’information relative aux postes importants des états financiers au sein du système d’information de l’entité (du début jusqu’à la fin). Par exemple, si l’entité utilise un rapport généré à partir d’une application informatique dans le cadre de l’exécution d’un contrôle à l’égard de stocks sous la garde d’un tiers qui ne devraient pas être un poste important des états financiers, l’équipe de mission peut conclure que cette ressource informatique (rapport sur les stocks sous la garde d’un tiers) n’est pas pertinent par rapport à la compréhension de l’auditeur.

L’environnement technologique en évolution peut accroître la complexité de l’environnement informatique d’une entité et peut comprendre l’utilisation de nouvelles technologies par la direction. Lorsque l’entité utilise de nouvelles technologies dans le cadre de son processus d’information financière, l’auditeur doit acquérir une compréhension des technologies et le rôle qu’elles jouent dans le traitement de l’information ou d’autres activités en matière d’information financière de l’entité et déterminer si leur utilisation présente des risques. Compte tenu de la complexité potentielle de ces technologies, il y a une probabilité accrue que l’équipe de mission décide de faire appel à des spécialistes ou à des experts choisis par l’auditeur pour mieux comprendre si l’utilisation de ces technologies a une incidence sur les processus d’information financière de l’entité et si oui, dans quelle mesure, et si cela peut entraîner des risques liés à l’utilisation de technologies d’information. Voici quelques exemples de nouvelles technologies :

  • chaîne de blocs, y compris les entreprises de cryptomonnaie (p. ex., émetteurs de jetons, services de garde, bourses, mineurs, investisseurs);

  • robotique;

  • intelligence artificielle;

  • Internet des objets;

  • biométrie;

  • drones.

Selon la complexité de l’environnement informatique, la participation de l’équipe de l’Audit des TI peut être appropriée ou exigée par la politique. Se reporter à la politique sur la participation de l’équipe de l’Audit des TI à la section BVG Audit 3102 et à la rubrique sur la complexité de l’environnement informatique pour obtenir des conseils sur l’évaluation de la complexité de l’environnement informatique d’une entité.

Identifier et documenter les dépendances aux technologies de l’information

Directives du BVG

Dans le cadre des procédures visant à acquérir une compréhension du système d’information de l’entité, l’auditeur identifie les dépendances aux technologies de l’information (TI) relatives au flux des opérations et au traitement de l’information financière de l’entité.

Pourquoi cela est‑il important?

L’identification et la documentation uniformes et claires des dépendances de l’entité aux TI aident à déterminer la mesure dans laquelle l’entité s’appuie sur les TI, à comprendre comment les TI sont intégrées au modèle opérationnel de l’entité, à identifier les risques possibles découlant de l’utilisation des TI, à identifier les contrôles généraux informatiques connexes et à élaborer une méthode d’audit efficace et efficiente.

Sources des dépendances aux TI

Les dépendances aux TI découlent de l’utilisation des TI pour déclencher, autoriser, enregistrer, traiter ou communiquer des opérations ou d’autres données financières aux fins d’inclusion dans les états financiers. Elles comprennent des contrôles à l’égard du traitement de l’information et d’autres procédures de contrôle liées aux assertions correspondantes pour les postes importants des états financiers ou qui peuvent être essentielles au fonctionnement efficace des contrôles manuels qui dépendent de l’utilisation des TI.

Il existe cinq types de dépendances aux TI, définis comme suit :

Type Description
Contrôles automatisés Les contrôles automatisés sont conçus dans un environnement informatique pour permettre l’application de règles administratives. Par exemple, de nombreuses applications sont dotées de processus de vérification du format (p. ex. seul un format particulier de date est accepté), de processus de vérification de l’existence (p. ex. le numéro de client est présent dans le fichier maître des clients) ou de processus de vérification de la vraisemblance (p. ex. le montant de paiement maximum) au moment de la saisie d’une opération.
Rapports Les rapports générés par les systèmes sont des sources d’information générés par les systèmes informatiques. Ils sont souvent utilisés lors de l’exécution d’un contrôle manuel, notamment les examens du rendement des activités, ou comme sources d’information sur l’entité que l’auditeur utilise lorsqu’il sélectionne des éléments à tester ou met en œuvre des tests de détail de corroboration ou des procédures analytiques de corroboration.
Calculs Les calculs sont des procédures comptables qui sont exécutées par un système informatique plutôt que par une personne. Par exemple, un système appliquera la formule de l’amortissement linéaire pour calculer l’amortissement d’un actif (coût de l’actif moins sa valeur résiduelle à la fin de sa durée d’utilité divisé par la durée d’utilité de l’actif), ou le système calculera la valeur d’une facture d’un client en multipliant le prix de l’article par la quantité expédiée.
Sécurité La sécurité, notamment la séparation des tâches, est activée par le système informatique pour restreindre l’accès à l’information et pour déterminer la répartition des rôles et des responsabilités qui pourrait permettre à un employé de faire ou de dissimuler une erreur ou une fraude, ou de traiter des erreurs qui passeraient inaperçues.
Interfaces Les interfaces sont des logiques programmées qui transfèrent des données d’un système informatique à un autre. Par exemple, une interface pourrait être programmée pour transférer les données d’un grand livre auxiliaire de la paye au grand livre général.

Compréhension des risques découlant des dépendances aux TI et réponses connexes

Lorsque l’auditeur identifie les dépendances aux TI qui sont pertinentes par rapport au flux des opérations de l’entité et au traitement de l’information financière, il doit comprendre la manière dont la direction réagit aux risques qui peuvent en découler. La direction peut mettre en œuvre des contrôles généraux informatiques pour gérer les risques liés aux dépendances aux TI. Les contrôles généraux informatiques soutiennent le fonctionnement continu et approprié de l’environnement informatique, y compris le fonctionnement continu et efficace des contrôles de traitement de l’information et l’intégrité de l’information dans le système d’information de l’entité.

Les dépendances aux TI peuvent également influer sur la conception des contrôles de l’entité et leur mise en œuvre. Par conséquent, l’auditeur examine les dépendances aux TI pertinentes pour l’audit et évalue les risques connexes découlant de l’utilisation des TI afin d’évaluer le risque d’anomalies significatives et de déterminer l’approche la plus efficace et efficiente pour tester les contrôles généraux informatiques ou effectuer d’autres procédures d’audit en vue de gérer les risques découlant des dépendances aux TI. Même si le plan d’audit ne comprend pas de tests de l’efficacité opérationnelle des contrôles généraux informatiques, l’auditeur devra dans le cadre de son évaluation des risques acquérir une compréhension des risques en réponse auxquels on a conçu ces contrôles aux fins de gestion. Voir la section BVG Audit 5035.2 pour obtenir de plus amples renseignements sur l’identification des risques découlant de l’utilisation des TI et les considérations connexes liées aux contrôles généraux informatiques.

Mise à jour de la compréhension des dépendances aux TI

Lorsqu’il met en œuvre ses procédures d’audit, l’auditeur peut identifier d’autres dépendances aux TI qui n’ont pas été identifiées auparavant. Par exemple, dans le cadre des tests des contrôles, il peut identifier un rapport généré par le système utilisé dans l’application d’un contrôle manuel qu’il n’avait pas identifié lors de l’évaluation de la conception et de la mise en œuvre du contrôle pendant l’étape d’acquisition d’une compréhension de la mission. En ce qui a trait à ces dépendances aux TI, l’auditeur met à jour sa compréhension documentée afin d’inclure les dépendances aux TI, et planifie et met en œuvre les procédures en vue de tester celles-ci.

Complexité de l’environnement informatique

Directives des NCA

Pour acquérir une compréhension des aspects de l’environnement informatique se rapportant au cheminement des opérations et au traitement de l’information dans le système d’information, l’auditeur recueille de l’information sur la nature et les caractéristiques des applications informatiques utilisées ainsi que de l’infrastructure informatique et des processus informatiques. Le tableau ci‑après contient des exemples d’éléments que l’auditeur peut prendre en considération pour acquérir une compréhension de l’environnement informatique, en fonction de la complexité des applications informatiques utilisées au sein du système d’information de l’entité, et quelques caractéristiques typiques de chaque type d’environnement. Ces caractéristiques n’ont toutefois qu’une valeur indicative; les caractéristiques propres à l’environnement informatique de l’entité peuvent différer selon la nature des applications informatiques particulières qu’utilise l’entité. (NCA 315.Annexe 5.4)

Exemples de caractéristiques typiques
Logiciel commercial peu complexe Logiciel commercial ou applications informatiques de moyenne envergure et modérément complexes Applications informatiques de grande envergure ou complexes (par exemple, progiciels de gestion intégrés)
Éléments liés au degré d’automatisation et à l’utilisation des données

Proportion de procédures de traitement qui sont automatisées et complexité de ces procédures (notamment, existence ou non de procédures de traitement sans papier hautement automatisées)

S. O. S. O. Procédures automatisées poussées et souvent complexes

Mesure dans laquelle le traitement de l’information par l’entité repose sur des rapports générés par le système

Rapports automatisés reposant sur une logique simple Rapports automatisés reposant sur une logique simple, mais adaptée aux besoins Rapports automatisés reposant sur une logique complexe; utilisation d’un générateur de rapports

Méthode de saisie de données (saisie manuelle, saisie par le client ou par le fournisseur, ou téléchargement de fichiers, par exemple)

Données saisies manuellement Peu de données à saisir ou interfaces simples Beaucoup de données à saisir ou interfaces complexes

Manière dont l’informatique est utilisée pour permettre la communication entre les applications, les bases de données ou d’autres éléments de l’environnement informatique, en interne ou à l’externe, selon le cas, grâce à des interfaces

Aucune interface automatisée (saisie manuelle seulement) Peu de données à saisir ou interfaces simples Beaucoup de données à saisir ou interfaces complexes

Volume et complexité des données numériques traitées par le système d’information (notamment, stockage des documents comptables ou d’autres informations sous forme numérique ou non et lieu où les données sont stockées)

Faible volume de données ou données simples pouvant être vérifiées manuellement; stockage local des données Faible volume de données ou données simples Grand volume de données ou données complexes; entrepôts de données7; recours à des fournisseurs de services informatiques internes ou externes (stockage ou hébergement des données par des tiers, par exemple)
Éléments liés aux applications informatiques et à l’infrastructure informatique

Type d’applications (par exemple, applications commerciales peu ou pas personnalisées ou, au contraire, applications très personnalisées ou fortement intégrées, qui ont été soit achetées et personnalisées soit développées en interne)

Applications commerciales peu ou pas personnalisées Applications commerciales, applications patrimoniales peu complexes, ou progiciel de gestion intégré d’entrée de gamme peu ou pas personnalisé Applications développées sur mesure ou progiciels de gestion intégrés complexes et hautement personnalisés

Complexité de la nature des applications informatiques et de l’infrastructure informatique sous-jacente

Simple ordinateur portable ou solution client‑serveur Ordinateur central bien établi et stable; client‑serveur modeste ou simple; infonuagique (logiciel-service) Ordinateur central complexe; client‑serveur important ou complexe; applications Web; infonuagique (infrastructure‑service)

Recours aux services d’hébergement de tiers ou externalisation des services informatiques

Fournisseur compétent, bien établi et fiable pour les services externalisés (par exemple, services infonuagiques), le cas échéant Fournisseur compétent, bien établi et fiable pour les services externalisés (par exemple, services infonuagiques), le cas échéant Fournisseur compétent, bien établi et fiable pour certaines applications, et nouveau fournisseur ou fournisseur émergent pour d’autres

Recours à des technologies émergentes qui ont une incidence sur l’information financière de l’entité

Pas d’utilisation de technologies émergentes Utilisation limitée des technologies émergentes dans certaines applications Utilisation mixte de technologies émergentes sur les différentes plateformes
Éléments liés aux processus informatiques

Personnel qui s’occupe de l’environnement informatique (nombre de personnes faisant partie du personnel de soutien informatique chargé de la sécurité et de la gestion des changements dans l’environnement informatique, et niveau de compétence de ces personnes)

Petit nombre de personnes ayant des connaissances limitées en informatique (mise à niveau des applications et gestion des accès) Quelques personnes ayant des compétences en informatique / affectées aux technologies de l’information Service consacré à l’informatique, doté de personnel qualifié possédant des compétences en programmation

Complexité des processus de gestion des droits d’accès

Droits d’accès gérés par une seule personne détenant des droits d’administrateur Droits d’accès gérés par un petit nombre de personnes détenant des droits d’administrateur Droits d’accès gérés par le service informatique au moyen de processus complexes

Complexité des questions liées à la sécurité de l’environnement informatique, dont la vulnérabilité des applications informatiques, des bases de données et d’autres éléments de l’environnement informatique aux risques de cybersécurité, notamment lorsque des opérations sont effectuées au moyen du Web ou d’interfaces externes

Accès simple, sur place, sans éléments Web externes Quelques applications Web sécurisées essentiellement par un simple contrôle d’accès en fonction du rôle Plateformes multiples avec accès Web et modèles de sécurité complexes

Modification des programmes liée à la manière dont l’information est traitée et, le cas échéant, ampleur des modifications apportées au cours de la période

Logiciel commercial dont le code source est inaccessible Code source de certaines applications commerciales inaccessible, modifications légères ou peu nombreuses apportées à d’autres applications bien établies; cycle de développement des systèmes traditionnel Modifications nouvelles, nombreuses ou complexes; plusieurs cycles de développement par année

Ampleur des changements survenus dans l’environnement informatique (par exemple, nouveautés dans cet environnement ou modifications importantes apportées aux applications informatiques ou à l’infrastructure informatique)

Changements limités aux mises à niveau des logiciels commerciaux Mises à niveau des logiciels commerciaux et des progiciels de gestion intégrés ou amélioration des applications ou systèmes patrimoniaux Modifications nouvelles, nombreuses ou complexes; plusieurs cycles de développement par année; personnalisation importante des progiciels de gestion intégrés

Conversion de données majeure au cours de la période et, le cas échéant, nature et importance des changements apportés et méthode de conversion utilisée

Mises à niveau logicielles provenant du fournisseur, sans conversion des données Mises à niveau mineures pour les applications logicielles commerciales nécessitant peu de conversion de données Mise à niveau majeure, nouvelle version, changement de plateforme

Il peut être plus facile pour l’auditeur d’acquérir une compréhension de l’environnement informatique d’une entité peu complexe qui utilise un logiciel commercial et qui, faute de pouvoir accéder au code source, ne peut apporter aucune modification aux programmes. Il est possible qu’une telle entité n’ait pas de personnel affecté au service informatique à proprement parler, mais qu’elle ait attribué à un membre du personnel le rôle d’administrateur pour la gestion des droits d’accès des employés aux applications informatiques ou pour l’installation des mises à jour qu’envoie le fournisseur. Voici des exemples d’éléments particuliers que l’auditeur peut prendre en considération pour acquérir une compréhension de la nature d’un progiciel comptable commercial, qui est parfois l’unique application informatique utilisée dans le système d’information d’une entité peu complexe: (NCA 315.Annexe 5.6)

  • la mesure dans laquelle le logiciel est éprouvé et réputé pour sa fiabilité;

  • la mesure dans laquelle l’entité peut modifier le code source du logiciel pour ajouter des modules complémentaires au logiciel de base, ou modifier directement les données;

  • la nature et l’ampleur des modifications qu’a subies le logiciel. Il est possible que l’entité ne soit pas en mesure de modifier le code source du logiciel, mais qu’elle ait accès à des options de configuration (choix ou modification des paramètres de l’information, par exemple), celles‑ci étant offertes par bon nombre de progiciels. Dans ce cas, le code source n’est généralement pas modifié, mais l’auditeur peut tout de même tenir compte de la gamme d’options de configuration que peut choisir l’entité lorsqu’il s’assure de l’exhaustivité et de l’exactitude des informations produites par le logiciel qui sont utilisées comme éléments probants;

  • la mesure dans laquelle il est possible d’accéder directement aux données pertinentes pour la préparation des états financiers (c’est‑à‑dire, d’accéder directement à la base de données sans passer par l’application informatique) et le volume de données traitées. Généralement, la nécessité pour l’entité de mettre en place des contrôles visant à assurer l’intégrité des données (tels que des contrôles généraux informatiques prévenant l’accès – ou l’apport de modifications – non autorisé aux données) est d’autant plus grande que les données sont volumineuses.

Dans les environnements informatiques complexes, il peut y avoir des applications informatiques qui, en raison de leur haut degré de personnalisation ou d’intégration, sont plus difficiles à comprendre. Les processus ou les applications informatiques se rapportant à l’information financière peuvent être intégrés à d’autres applications informatiques. Ainsi, il est possible que les applications informatiques utilisées aux fins du cheminement des opérations et du traitement de l’information dans le système d’information de l’entité reçoivent des données d’autres applications informatiques servant aux activités d’exploitation de l’entité. Ces autres applications peuvent alors être pertinentes pour la préparation des états financiers. Les environnements informatiques complexes nécessitent souvent un service consacré à l’informatique, doté de processus structurés et composé d’employés possédant des compétences en développement de logiciels et en maintenance d’environnement informatique. Il peut aussi arriver qu’une entité confie la gestion de certains aspects ou de certains processus de son environnement informatique à des fournisseurs de services internes ou externes (par exemple, en ayant recours aux services d’hébergement de tiers). (NCA 315.Annexe 5.7)

Directives du BVG

Pourquoi cela est‑il important?

La compréhension de la façon dont l’entité compte sur les TI et dont l’environnement informatique est mis en place pour soutenir les activités permet de mieux comprendre les risques qui pourraient découler de l’utilisation des TI par l’entité. Il est utile de comprendre comment les TI sont utilisées par l’entité pour identifier les contrôles à l’égard des processus informatiques de l’entité qui répondent à ces risques et soutiennent le fonctionnement continu et efficace de l’environnement informatique, y compris le fonctionnement continu et efficace des contrôles relatifs au traitement de l’information et la protection de l’intégrité de l’information.

L’évaluation de la complexité de l’environnement informatique aide également à déterminer s’il faut faire appel à des spécialistes des TI (p. ex., l’Audit des TI) pour la planification ou la réalisation de l’audit, dont la question initiale à savoir s’il faut inclure des spécialistes dans l’évaluation de la complexité.

Une raison importante pour comprendre l’environnement informatique de l’entité, comme il est indiqué dans la rubrique Acquisition d’une compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information, est d’évaluer la complexité de l’environnement informatique directement lié au système d’information de l’entité. Comprendre le niveau de complexité de l’environnement informatique aide à déterminer le niveau de compétences spécialisées nécessaires à la mission. Cela permet également à l’auditeur d’évaluer le niveau d’effort requis pour identifier les risques découlant de l’utilisation des TI par l’entité et les contrôles connexes que l’entité a mis en place pour gérer ces risques. Lorsque l’entité utilise une combinaison de ressources informatiques (c.‑à‑d. applications informatiques, infrastructure de TI, processus et personnel de TI) et d’autres caractéristiques de l’environnement informatique qui reflètent un degré de complexité plutôt élevé, l’équipe d’audit principale n’a peut‑être pas les compétences nécessaires pour identifier et comprendre les risques découlant de l’utilisation des TI par l’entité et les contrôles généraux informatiques connexes ou pour évaluer l’incidence de ces caractéristiques sur le risque d’anomalies significatives au niveau des états financiers ou des assertions. Dans ce cas, l’auditeur envisage d’inclure l’Audit des TI dans les procédures d’évaluation de la complexité et des risques.

La section BVG Audit 3102 comprend la politique du BVG concernant la participation de l’Audit des TI.

Que l’auditeur conclue que l’environnement informatique est non complexe, modérément complexe ou complexe, il examine la possibilité que le personnel de l’Audit des TI participe à cette évaluation initiale. Pour de plus amples renseignements sur la participation de l’Audit des TI, se reporter aux sections BVG Audit 5013 et BVG Audit 3102.

Le diagramme ci‑dessous présente un aperçu de haut niveau du lien entre la compréhension de l’environnement informatique, l’examen de la complexité de l’environnement informatique et l’établissement des rôles et des responsabilités relativement à la mission :

Comprendre l'environnement informatique

L’auditeur évalue la complexité de l’environnement informatique ou de certains aspects de l’environnement en utilisant trois niveaux de complexité : non complexe, modérément complexe et complexe. L’évaluation du niveau de complexité de l’environnement informatique est une question de jugement, après la prise en compte d’une combinaison de caractéristiques de l’entité.

La présence d’une caractéristique complexe n’amène pas nécessairement l’auditeur à conclure que l’environnement informatique de l’entité est complexe et inversement, la présence d’une caractéristique non complexe ne l’amènerait pas nécessairement à conclure que l’entité possède un environnement informatique non complexe. Même lorsque l’auditeur conclut que l’environnement informatique de l’entité est complexe (ou modérément complexe), il est toujours possible qu’il conclue que certains aspects de l’environnement informatique (p. ex., les applications, l’infrastructure ou les processus informatiques) ont un niveau de complexité différent. Par exemple, si l’auditeur juge que l’environnement informatique de l’entité est complexe, il pourrait tout de même conclure que certaines applications utilisées par l’entité sont non complexes. Dans le cas de ces applications non complexes, il pourrait conclure que l’équipe d’audit principale possède les compétences nécessaires pour effectuer une partie ou la totalité de l’évaluation des risques, concevoir le plan d’audit et mettre en œuvre d’autres procédures d’audit. Il est possible que l’auditeur juge à une participation nécessaire de l’Audit des TI aux travaux d’audit pour les autres aspects complexes de l’environnement informatique.

Le tableau ci‑dessous décrit les indicateurs illustratifs pour chacun des trois niveaux de complexité. Les équipes de mission doivent en tenir compte lorsqu’elles acquièrent une compréhension et effectuent leur évaluation de l’environnement informatique de l’entité. Les indicateurs sont établis à l’aide des caractéristiques suivantes :

  • automatisation;
  • confiance de l’entité à l’égard des rapports générés par le système;
  • personnalisation;
  • modèle opérationnel
  • changement;
  • utilisation de nouvelles technologies.

La NCA 315 fournit des exemples illustratifs de caractéristiques liées aux applications informatiques, qui peuvent être utilisées pour évaluer la complexité de l’environnement informatique. La complexité de l’environnement informatique d’une entité tient compte de la façon dont l’entité intègre l’utilisation de la TI dans son modèle opérationnel, ce qui peut avoir une incidence directe sur l’évaluation par l’auditeur des risques d’anomalies significatives. Par exemple, lorsque l’auditeur identifie des déficiences dans la séparation des tâches de l’entité relativement à l’accès restreint à une application informatique particulière, cela pourrait également avoir une incidence sur l’efficacité de la séparation des tâches concernant les contrôles relatifs à l’accès pour d’autres aspects de l’environnement informatique, comme l’infrastructure de réseau ou les systèmes d’exploitation de l’entité; cela peut donc indiquer un niveau plus élevé de risque d’anomalies significatives au niveau des états financiers si l’incidence peut être généralisée.

Le tableau suivant présente les caractéristiques d’un environnement informatique que l’équipe de mission prend généralement en considération pour comprendre l’environnement informatique de l’entité. Le tableau comprend également des exemples d’indicateurs du niveau de complexité des applications informatiques utilisées dans le système d’information de l’entité. Il ne s’agit pas d’une liste exhaustive d’indicateurs, et aucun indicateur n’est nécessairement déterminant du niveau de complexité. Pour ce qui est des exemples d’indicateurs individuels, il se pourrait que l’on ne puisse pas établir de différence significative entre un aspect non complexe par rapport à un élément modérément complexe, mais lorsqu’ils sont examinés en combinaison avec d’autres indicateurs pertinents, ils constituent la base de la différenciation globale du niveau de complexité. Les indicateurs pertinents de complexité peuvent varier en fonction de la nature des applications informatiques utilisées en particulier par une entité et de la façon dont elles sont intégrées aux activités de l’entité :

Automatisation – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Calculs très simples – configuration limitée ou inexistante (p. ex., calcul de l’amortissement linéaire standard pour une catégorie d’actif)

  • Faible niveau de traitement automatisé

  • Nombre restreint de données saisies ou entrées de données simples, ou données simples qui peuvent être vérifiées manuellement (p. ex., un ou très petit nombre de sites opérationnels)

  • Infrastructure informatique simple (p. ex., un seul site, une seule application, un seul réseau avec peu ou pas d’interfaces)

  • Logiciels et applications développés par des tiers largement utilisés avec une personnalisation très limitée

  • Matériel et logiciel avec assistance technique standard offerte

  • Peu de membres du personnel ayant une connaissance limitée des TI nécessaires au traitement des mises à niveau des fournisseurs et à la gestion de l’accès

  • Contrôles et processus informatiques homogènes (p. ex., pour toutes les applications)

  • En cas d’externalisation des opérations informatiques, recours à des prestataires compétents, matures et expérimentés

  • Calculs simples (p. ex., calcul de la réserve de stocks en fonction du vieillissement)

  • Attribution des tâches partiellement automatisée (p. ex., flux de travail automatisé des approbations)

  • Petit nombre de données saisies et/ou entrées de données simples, volume modéré de transactions

  • Infrastructure informatique simple (p. ex., un seul site, un système ou un nombre limité de systèmes, un seul réseau avec des interfaces limitées)

  • Technologie avec un soutien limité des fournisseurs

  • Matériel et logiciels stables et pris en charge

  • Accès automatisé attribué en fonction du poste

  • Contrôles et processus de TI visant de façon uniforme à répondre aux risques, mais non homogènes (p. ex., dans l’ensemble des applications)

  • En cas d’externalisation des opérations informatiques, recours à des prestataires compétents, matures et éprouvés et niveau de changements de configuration pour répondre aux besoins opérationnels de l’entité dans les systèmes du tiers (par ex., des exigences de comptabilisation des produits non standard entraînant des besoins de configuration du traitement automatisé des opérations)

  • Calculs complexes hautement automatisés (p. ex., calcul automatisé des primes d’assurance vie fondé sur des hypothèses, des données et des méthodes actuarielles complexes)

  • Traitement sans papier et attribution hautement automatisée des tâches (p. ex., flux de travail automatisé des approbations)

  • Grand nombre de données saisies/volume élevé d’opérations (p. ex., opérations bancaires et de détail)

  • Infrastructure de technologie de l’information complexe (p. ex. sites multiples, systèmes multiples, réseaux multiples) qui peut avoir une combinaison d’interfaces manuelles et automatisées

  • Plus d’un système d’exploitation (p. ex. applications fonctionnant sous Windows et autres applications fonctionnant sous Linux)

  • Variété de bases de données anciennes et nouvelles, ou combinaison de serveurs infonuagiques et de bases de données locales

  • Technologie qui n’est plus prise en charge par les fournisseurs ou qui bénéficie d’un soutien limité de la part des fournisseurs

  • Équipe informatique répartie sur plusieurs sites et/ou applications

  • Accès automatisé attribué en fonction du poste

  • Systèmes de gestion des accès privilégiés qui automatisent la fourniture et la journalisation des accès privilégiés

  • Les contrôles et processus informatiques ne sont pas homogènes d’une application ou d’un emplacement à l’autre

Utilisation par l’entité des rapports générés par le système (voir la section BVG Audit 4028.4 pour les définitions des types de rapports mentionnés dans certains des indicateurs ci‑dessous) – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Seuls les rapports standard (p. ex., logique de rapport automatisé simple intégrée au système d’information qui n’a pas été configurée)

  • Saisie manuelle des données pour générer des rapports

  • Faible volume de points de données ou points de données simples pouvant être vérifiés manuellement; données accessibles localement

  • Contrôles automatisés à l’égard des applications limités ou inexistants

  • Principalement des rapports standard (p. ex., combinaison de rapports standard et configurés dans le système d’information)

  • Données de rapports générés à partir d’interfaces simples

  • Faible volume de points de données ou points de données simples

  • Contrôles à l’égard des applications et contrôles généraux informatiques automatisés homogènes et matures pour toutes les dépendances aux TI et applications informatiques

  • Combinaison de rapports codés et configurés et/ou de demandes de renseignements

  • Capacité interne à créer des rapports personnalisés

  • Nombre élevé de données saisies / volume élevé de transactions (p. ex., opérations bancaires et de détail)

  • Données de rapports extraits de plusieurs sources

  • Technologie de génération de rapports qui n’est plus prise en charge ou dont la prise en charge est déficiente (p. ex., la compréhension du code d’un rapport n’exige pas une expertise courante)

  • Utilisation limitée de technologies nouvelles et émergentes de production de rapports (p. ex., rapports fondés sur l’intelligence artificielle)

  • Logiciel de présentation de l’information développé par l’entité

  • Équipes de rapports complexes (par ex. réparties sur plusieurs sites/applications)

  • Contrôles à l’égard des applications et contrôles généraux informatiques automatisés pouvant être homogènes pour certaines applications, mais pas pour toutes les dépendances aux TI et applications informatiques

Personnalisation – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Applications commerciales, applications patrimoniales (p. ex., système d’inventaire désuet qui ne contient que des volumes de stock), progiciel de gestion intégré d’entrée de gamme peu ou pas personnalisé (p. ex., Sage)

  • Nombre limité ou inexistant d’interfaces (p. ex., entre les systèmes, les bases de données, les applications)

  • Logiciels commerciaux standard sans modifications ou modifications mineures

  • Contrôles informatiques cohérents et personnel pour gérer les changements et les accès

  • Applications commerciales, applications patrimoniales peu complexes, ou progiciel de gestion intégré d’entrée de gamme peu ou pas personnalisé (p. ex., SAP sans possibilité locale de personnalisation lorsque l’entité est une composante et que le groupe contrôle la personnalisation)

  • Nombre limité ou inexistant d’interfaces gérées localement entre les systèmes

  • Logiciels commerciaux avec peu ou pas de modifications; personnalisation pour répondre aux besoins commerciaux

  • Logiciels développés, testés et contrôlés par l’équipe du siège social du groupe, sans accès local pour l’apport de changements directs

  • Uniformité sur le plan des contrôles et du personnel informatiques pour la gestion des changements par l’intermédiaire d’un centre de services partagés ou une équipe informatique centralisée couvrant toutes les entités du groupe

  • Progiciels de gestion intégrés complexes et hautement personnalisés (p. ex., SAP avec personnalisation pour répondre aux besoins opérationnels ou de gestion)

  • Applications développées sur mesure (p. ex., système de vente développé par l’équipe informatique interne)

  • Interfaces personnalisées étendues entre les systèmes

  • Logiciels développés par l’entité ou très modifiés par le fournisseur (p. ex., modifications pour se conformer à la réglementation locale, ou harmonisation avec les anciennes applications, ou personnalisation importante pour répondre aux besoins opérationnels)

  • Changements automatisés apportés à la rédaction des rapports (p. ex., transmission automatique des changements apportés aux rapports de groupe à toutes les entités du groupe)

  • Versions différentes des rapports pour différentes parties de l’organisation (p. ex., le même rapport est accessible à différents utilisateurs qui peuvent le configurer en fonction de leurs besoins)

Modèle opérationnel – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Entité non complexe (p. ex., opérations sur un seul territoire)

  • Faible dépendance à l’égard de la technologie dans le cadre du modèle opérationnel

  • Opérations manuelles avec une utilisation limitée de la technologie

  • Participation nulle ou limitée au commerce électronique (p. ex., paiements par transfert bancaire électronique seulement)

  • Quantité limitée de documents disponibles uniquement sous forme électronique

  • Pare‑feu achetés ou pris en charge par le fournisseur intégrés aux réseaux

  • Logiciels et matériels matures/éprouvés

  • Risques liés à la cybersécurité et étendue des contrôles réduits, car il y a un accès simple sur place avec aucun élément externe accessible sur le Web (ou accès très limité) qui pourrait permettre un accès non autorisé à des données financières ou à d’autres données sensibles

  • Entité modérément complexe (p. ex., opérations sur nombre limité de territoires)

  • Certaines opérations dépendent de la technologie et d’autres sont des processus manuels

  • Nombre limité ou partiel d’opérations complexes

  • Une certaine participation au commerce électronique (p. ex., bons de commande et paiements effectués par voie électronique pour des secteurs de l’organisation – au moyen d’un échange de données informatisé)

  • Quantité limitée de documents accessibles uniquement sous forme électronique

  • Pare‑feu achetés ou pris en charge par le fournisseur intégrés aux réseaux

  • Logiciels et matériels matures/éprouvés

  • Les risques liés à la cybersécurité et l’étendue des contrôles reflètent certains éléments externes accessibles sur le Web qui pourraient permettre un accès non autorisé à des données financières ou à d’autres données sensibles. Ces applications Web sont principalement contrôlées par une sécurité simple et axée sur les rôles.

  • Entité complexe ou sophistiquée (p. ex. opérations multinationales)

  • Opérations reposant fortement sur la technologie (p. ex., les cryptomonnaies)

  • Opérations complexes et/ou de grande envergure qui nécessitent l’automatisation des processus (p. ex., portefeuille important, établissement des coûts des processus complexes)

  • Participation importante au commerce électronique (p. ex., boutique en ligne, la majorité des transactions et des paiements étant effectués par voie électronique)

  • Volume important de documents accessibles uniquement sous forme électronique

  • Niveau élevé de complexité et de configuration pour les pare‑feu et les dispositifs de protection intégrés aux réseaux (p. ex., identification et signalement automatisés des tentatives de violation des pare-feu)

  • Des contrôles de cybersécurité sont mis en place et mis en œuvre sur l’ensemble des plateformes de l’entité avec un accès Web et des modèles de sécurité complexes (p. ex., des pare‑feu surveillés pour les accès imprévus avec des tests de pénétration trimestriels). Il peut également y avoir des données importantes et des actifs numériques ou électroniques inscrits au bilan.

Changement – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Aucun changement n’a été apporté aux applications existantes au cours de la période et/ou aucune nouvelle application n’a été mise en œuvre au cours de cette période

  • Rare mise en œuvre de nouvelles applications

  • Modification inexistante ou très limitée de la structure de base de données, des relations ou des données dans les bases de données au cours de la période (et/ou mise en œuvre inexistante ou très limitée d’une nouvelle structure de base de données)

  • Modifications ou mises en œuvre inexistantes ou très limitées d’une nouvelle infrastructure de TI au cours de la période

  • Absence ou limitation de modifications apportées aux principaux contrôles, processus et membres du personnel informatique en place

  • Rare mise en œuvre de nouveaux processus de contrôle (p. ex., aucun calendrier régulier)

  • Certaines modifications apportées aux applications existantes et/ou mise en œuvre de nouvelles applications au cours de la période

  • Mise en œuvre occasionnelle de nouvelles applications

  • Changements limités ou partiels apportés à la structure, aux relations ou aux données des bases de données au cours de la période

  • Changements limités ou partiels à l’infrastructure informatique au cours de la période

  • Modifications limitées ou partielles apportées aux principaux contrôles, processus et membres du personnel informatique en place

  • Mise en œuvre de nouveaux contrôles ou processus peu fréquente (p. ex., même si elle n’est pas fréquente, il y a un calendrier de mise en œuvre régulier)

  • Modifications importantes apportées aux applications existantes et/ou mise en œuvre de nouvelles applications au cours de la période

  • Mise en œuvre fréquente de nouvelles applications

  • Changements importants apportés à la structure, aux relations ou aux données des bases de données au cours de la période

  • Changements importants apportés à l’infrastructure de TI au cours de la période

  • Changements importants apportés aux principaux contrôles, processus et membres du personnel informatique en place (p. ex., l’équipe informatique locale est devenue superflue et les processus sont exécutés par un centre de services partagés)

  • Mise en œuvre fréquente de nouveaux contrôles ou processus

Utilisation de nouvelles technologies – Indicateurs illustratifs pour chaque niveau de complexité

Non complexe Modérément complexe Complexe
  • Aucune utilisation de nouvelles technologies

  • Utilisation limitée de nouvelles technologies dans certaines applications

  • Utilisation de l’intelligence artificielle, de la robotique, de l’automatisation des processus ou de la chaîne de blocs

  • Logiciels et matériel nouveaux et émergents

Dans un environnement informatique complexe, tous les aspects de l’environnement informatique ne sont pas nécessairement complexes. Par exemple, l’auditeur peut évaluer une ou plusieurs applications comme étant des logiciels commerciaux non complexes (applications « standard »). Lorsque l’auditeur établit sa stratégie informatique et le niveau de participation de l’Audit des TI par rapport à divers aspects de l’environnement informatique, il évalue le niveau de complexité au niveau de l’application. Il peut utiliser les exemples des tableaux ci‑dessus pour orienter cette évaluation et les exemples fournis dans l’annexe 5 de la NCA 315 pour aider à évaluer le niveau de complexité. Le responsable de mission peut déterminer, en conjonction avec la participation de l’Audit des TI, qu’il est approprié pour l’équipe d’audit principale de mettre en œuvre les procédures d’audit pertinentes à l’égard de certaines applications ou d’autres aspects de l’environnement informatique. Le niveau de participation de l’Audit des TI et la méthode de test (test de corroboration ou test des contrôles) peuvent varier selon les différents aspects de l’environnement informatique. Toutefois, il peut tout de même être avantageux de faire appel à des spécialistes, car cela pourrait être plus efficient et efficace, par exemple si les processus et les contrôles sont homogènes entre les applications non complexes et complexes.

Évaluation de la complexité des environnements informatiques – Exemples

Voici des exemples de divers scénarios qui illustrent l’évaluation de la complexité de différents environnements informatiques. Les exemples sont fournis à titre indicatif seulement; ils ne visent pas à illustrer tous les facteurs pertinents et ne se veulent pas une documentation exhaustive, car ils varieront en fonction des faits et des circonstances de chaque mission. L’équipe de mission se sert de la colonne relative à l’évaluation de la complexité par l’équipe de mission dans les exemples ci‑dessous pour indiquer le jugement et la justification appliqués dans le cadre de l’évaluation. L’importance relative de l’évaluation de la complexité par l’équipe de mission pour chacune des caractéristiques par rapport à la conclusion concernant la complexité globale variera d’une entité à l’autre en fonction des circonstances et des faits particuliers.

1. Entité unique – Environnement informatique modérément complexe

L’entreprise ABC limitée, une entité familiale unique, a commencé à exercer ses activités à titre de petite entreprise avec un environnement informatique non complexe. À mesure que l’entreprise prenait de l’expansion, la direction a établi une fonction de TI responsable de mettre en œuvre et de gérer des applications, y compris la gestion d’un progiciel de gestion intégré utilisé aux fins de la présentation de l’information financière.

Le scénario illustré ci‑dessous montre comment les caractéristiques de l’environnement informatique d’une entité, et l’évaluation de la complexité par l’auditeur, peuvent varier en fonction de la stratégie informatique de l’entité mise en œuvre pour répondre aux besoins de TI d’une entreprise en croissance.

Les caractéristiques suivantes de l’entité ont été identifiées comme des indicateurs d’un environnement informatique « modérément complexe » ou « complexe ». L’équipe de mission s’est appuyée sur ces indicateurs pour formuler une conclusion globale sur le niveau de complexité de l’environnement informatique de l’entité, en fonction du jugement professionnel de l’équipe de mission, y compris la prise en compte des commentaires reçus de l’Audit des TI.

Caractéristique Indicateurs d’un environnement informatique modérément complexe Indicateurs d’un environnement informatique complexe Évaluation de la complexité par l’équipe de mission
Automatisation
  • Calculs simples liés à l’amortissement linéaire pour trois catégories d’actifs

  • Infrastructure informatique simple avec un seul site, deux systèmes et un seul réseau avec des interfaces limitées

  • Saisie automatisée des données directement du portail de commande client en ligne de l’entité vers le système de gestion de l’entrepôt, avec environ 40 % des opérations génératrices de produits provenant de ce portail

Bien que les ventes soient effectuées sur le portail de commande en ligne de l’entité, les commandes sont examinées manuellement, selon une comparaison du nom et du numéro de compte client avec une liste de clients autorisés avant le traitement de la commande. Ce niveau partiel d’automatisation indique un niveau modérément complexe.
Utilisation de rapports générés par le système
  • Rapports principalement standard

  • Dix rapports ont été configurés spécifiquement aux fins des processus de présentation de l’information financière de l’entité (comme les listes de stocks par emplacement, les comptes clients classés chronologiquement)

La majorité des rapports sont standard, mais l’utilisation de rapports configurés pour les postes importants des états financiers indique plutôt un niveau complexe.
Personnalisation
  • Progiciel de gestion intégré bas de gamme avec peu ou pas de personnalisation et système de gestion de l’entrepôt distinct avec peu de personnalisation

  • Interface manuelle unique entre le progiciel de gestion intégré et le système de gestion de l’entrepôt

  • Interface personnalisée entre le portail de commande client en ligne et le système de gestion de l’entrepôt

Aucune interface automatisée entre le portail de commande client en ligne et le progiciel de gestion intégré. L’interface personnalisée entre le portail de commande client en ligne et le système de gestion de l’entrepôt ne donne qu’une indication de la quantité d’articles en stock et ne permet pas de modifier les quantités de stocks dans les registres de l’inventaire permanent de l’entité.

La nature et l’étendue de la personnalisation indiquent un niveau modérément complexe.

Modèle opérationnel
  • Les opérations reposent sur un mélange de processus automatisés et manuels.

  • Environ 40 % des produits proviennent des commandes clients passées en ligne. Les contrôles de cybersécurité sont établis et mis en œuvre avec un accès Web et des modèles de sécurité complexes.

Une part importante des produits provient des commandes clients passées en ligne. L’accès Web et les modèles de sécurité complexes utilisés pour les contrôles de cybersécurité indiquent un niveau complexe.
Niveau de changement
  • La mise en œuvre de deux nouvelles applications a eu lieu il y a trois ans.

  • La mise en œuvre de nouveaux contrôles ou processus est peu fréquente.

  • Aucune caractéristique complexe n’a été constatée pour la période.

Un niveau limité de changement indique un niveau modérément complexe.
Nouvelles technologies
  • Aucune utilisation actuelle de nouvelles technologies

  • Examen d’une transition possible à un progiciel de gestion intégré infonuagique à court terme

  • Mise à l’essai de l’utilisation d’un nouveau robot de cueillette d’entrepôt, les mises à niveau liées au logiciel de gestion d’entrepôt n’étant pas encore opérationnelles

Le passage proposé à un nouveau système de gestion de l’entrepôt et à l’utilisation d’un progiciel de gestion intégré infonuagique aura probablement une incidence sur l’évaluation de la complexité lorsque les activités de mise en œuvre commenceront.

À ce stade, le manque de nouvelles technologies indique un niveau modérément complexe.

Évaluation globale de l’équipe de mission Une combinaison de caractéristiques évaluées comme étant représentatives d’un environnement informatique modérément complexe a été établie pour cette entité. Selon le jugement de l’équipe de mission, y compris la discussion avec l’Audit des TI, la prise en compte globale des caractéristiques ci‑dessus et l’hypothèse qu’il n’y aura pas de changements importants dans l’environnement informatique jusqu’à la date du bilan (p. ex., le logiciel de système de gestion de l’entrepôt n’est pas mis en œuvre et les services infonuagiques n’ont pas encore commencé à être utilisés), l’équipe de mission conclurait probablement que l’environnement informatique de l’entité est modérément complexe.
Recours à l’Audit des TI (fondé sur la politique de la section BVG Audit 3102)

L’Audit des TI participera probablement à l’audit de cet environnement informatique modérément complexe. Le niveau de participation prévu par le responsable de mission et le personnel de l’Audit des TI peut comprendre ce qui suit :

  • Consultation dans le cadre de l’évaluation de la complexité

  • Encadrement de l’équipe de mission concernant l’intégration de la TI dans le modèle opérationnel et la planification des changements dans l’environnement informatique à court terme

  • Achèvement des tests relatifs à l’automatisation, aux rapports personnalisés et aux risques de cybersécurité

  • Achèvement des tests relatifs aux contrôles généraux informatiques

2. À l’échelle du groupe – Environnement informatique complexe

Le siège social d’un grand groupe multinational possède une fonction informatique spécialisée centralisée qui met en œuvre, héberge et gère des applications à l’échelle du groupe, y compris la gestion d’un progiciel de gestion intégré complexe utilisé pour la plupart des aspects de l’information financière. Les processus de présentation de l’information financière du groupe comprennent de multiples dépendances aux TI, et les contrôles généraux informatiques pertinents pour les applications à l’échelle du groupe sont conçus, mis en œuvre et exploités au siège social. Les membres du personnel affecté aux composantes ne sont pas en mesure de personnaliser ou de configurer les applications à l’échelle du groupe, y compris les dépendances aux TI pertinentes, et sont seulement chargés de s’assurer que les utilisateurs locaux sont appropriés et qu’ils se conforment aux politiques pertinentes à l’échelle du groupe. De plus, le personnel des composantes est responsable de la gestion de tout logiciel développé par un fournisseur et acheté localement. Dans l’exemple en question, l’évaluation de la complexité par l’équipe de mission peut être la suivante :

Acquition d’une compréhension et évaluation à l’échelle du groupe

Caractéristique Indicateurs d’un environnement informatique modérément complexe Indicateurs d’un environnement informatique complexe Évaluation de la complexité par l’équipe de mission
Automatisation
  • Utilisation par les composantes d’un ensemble de processus manuels et automatisés

  • Processus de consolidation hautement automatisés

  • Volume élevé d’opérations provenant d’un grand nombre de composantes

Les processus hautement automatisés indiquent un niveau complexe.
Utilisation de rapports générés par le système
  • Nombre peu élevé de rapports standard

  • Grand nombre de rapports personnalisés spécifiquement aux fins des processus d’information financière de l’entité (y compris la répartition des produits ordinaires par catégorie de produit)

Le grand nombre de rapports personnalisés indique un niveau complexe.
Personnalisation
  • Utilisation par les composantes d’un ensemble d’applications à l’échelle du groupe et de logiciel développé par le fournisseur

  • Les composantes n’ont généralement aucune interface ou ont des interfaces limitées entre les systèmes

  • Application de progiciel de gestion intégré SAP personnalisée pour répondre aux besoins opérationnels particuliers

  • Interfaces personnalisées entre les principales applications informatiques et entre les principales composantes et le groupe

Le progiciel de gestion intégré complexe avec une personnalisation importante et des interfaces complexes indique un niveau complexe.
Modèle opérationnel
  • Les opérations des composantes s’appuient sur un ensemble de processus manuels et automatisés

  • Le niveau de complexité varie selon les opérations de chaque composante

  • Applications hautement intégrées à l’appui des opérations liées aux stocks, aux immobilisations corporelles et aux impôts

  • Équipe informatique principale centralisée, compétente et hautement expérimentée

  • Processus informatiques appliqués de façon uniforme dans tous les environnements informatiques, y compris les cybercontrôles et les processus établis et exécutés dans l’ensemble des composantes

  • Entreprise ayant une forte dépendance à la technologie en raison de la complexité liée à plusieurs composantes et à un portefeuille important

La TI est fortement intégrée au modèle opérationnel du groupe, avec des processus opérationnels complexes et une forte dépendance à l’égard de la technologie.

Cela indique un niveau complexe.

Niveau de changement
  • Les composantes mettent habituellement en place des contrôles nouveaux ou améliorés une fois par année dans le cadre d’un examen annuel de l’environnement de contrôle.

  • Des mises à niveau importantes des applications financières du groupe sont effectuées fréquemment (c.‑à‑d. plusieurs fois par année) pour refléter les mises à jour du modèle opérationnel.

Les mises à niveau fréquentes et importantes des applications indiquent un niveau complexe.
Nouvelles technologies
  • Les composantes n’utilisent pas toutes le même niveau de nouvelles technologies

  • L’équipe informatique centrale gérée par le groupe utilise de nouveaux logiciels pour permettre à toutes les entités du groupe de bénéficier de l’utilisation de nouvelles technologies, le cas échéant

L’adoption centralisée par le groupe de technologies de l’information des technologies émergentes témoigne d’un niveau complexe.
Évaluation globale de l’équipe de mission Chacune des caractéristiques a été évaluée comme étant représentative d’un environnement informatique complexe pour cette entité. Selon le jugement de l’équipe de mission, y compris la discussion avec l’Audit des TI, la prise en compte globale des caractéristiques ci‑dessus et l’hypothèse qu’il n’y aura pas de changements importants dans l’environnement informatique jusqu’à la date du bilan, l’équipe de mission conclurait probablement que l’environnement informatique de l’entité est complexe.
Recours à l’Audit des TI (selon la politique de la section BVG Audit 3102)

L’Audit des TI doit participer à l’audit de cet environnement informatique complexe. Le niveau de participation prévu par le responsable de mission et le personnel de l’Audit des TI contre les risques peut inclure les fonctions suivantes :

  • Consultation dans le cadre de l’évaluation de la complexité

  • Encadrement de l’équipe de mission concernant l’intégration de la TI dans le modèle opérationnel

  • Achèvement des tests relatifs aux nouvelles technologies et aux rapports personnalisés

  • Achèvement des tests relatifs aux contrôles généraux informatiques

Les exemples suivants démontrent que :

  • Le groupe et les composantes qui partagent les mêmes caractéristiques ou des caractéristiques similaires sont susceptibles d’avoir un environnement informatique de complexité semblable (comme le montre l’exemple de la composante A ci‑dessous)

  • Le groupe et les composantes qui ne partagent pas les mêmes caractéristiques ou qui ont des caractéristiques très différentes sont susceptibles d’avoir des environnements informatiques de niveau de complexité différent (comme le montre l’exemple de la composante B ci‑dessous).

Composante A

L’évaluation de la complexité par l’équipe affectée à l’audit du groupe n’amène pas nécessairement l’auditeur à conclure que toutes les composantes du groupe ont un environnement informatique complexe. Bien qu’il soit possible que des aspects semblables de l’environnement informatique se retrouvent dans l’ensemble du groupe, certains aspects de l’environnement informatique peuvent avoir des niveaux de complexité différents d’une composante à l’autre. Chaque équipe affectée à l’audit d’une composante qui audite l’information financière de la composante devra évaluer la complexité de l’environnement informatique pour la ou les composantes dont elle est responsable.

Caractéristique Indicateurs d’un environnement informatique modérément complexe Indicateurs d’un environnement informatique complexe Évaluation de la complexité par l’équipe de mission
Automatisation
  • Calculs automatisés simples de la liste chronologique des comptes clients de la composante

  • Saisie de données simples liées aux opérations de vente locales

  • Petite équipe informatique chargée de s’assurer que les utilisateurs locaux sont appropriés et conformes aux politiques pertinentes à l’échelle du groupeng

  • Autres applications intégrées à l’échelle du groupe utilisées pour appuyer les opérations liées aux stocks, aux immobilisations corporelles et aux impôts

L’utilisation d’une application intégrée à l’échelle du groupe aux fins d’automatisation complexe indique un niveau complexe.
Utilisation de rapports générés par le système
  • Certains des rapports de l’entité de la composante sont des rapports SAP standard.

  • Certains rapports complexes configurés par l’équipe du groupe sont utilisés par la composante, y compris les produits ordinaires par catégorie de produit.

Le recours à des rapports configurés complexes indique un niveau complexe.
Personnalisation
  • La petite équipe de TI locale n’a pas accès à la personnalisation de SAP (le progiciel de gestion intégré principal).

  • Les processus informatiques sont appliqués de manière cohérente avec la politique du groupe.

  • Une version SAP complexe personnalisée par l’entité de groupe est utilisée (la composante informatique locale n’a pas accès aux modifications).

Bien que la composante ne puisse pas modifier SAP, la version SAP utilisée par la composante reste complexe et personnalisée.

Cela indique un niveau complexe.

Modèle opérationnel
  • Entité commerciale modérément complexe exploitant ses activités dans quelques pays seulement

  • Certaines opérations dépendantes à la technologie et quelques processus manuels

  • Comme ci‑dessus, il y a une utilisation limitée des applications hautement intégrées utilisées à l’appui des opérations liées aux stocks, aux immobilisations corporelles et aux impôts.

L’utilisation limitée d’applications hautement intégrées, le modèle opérationnel modérément complexe et un faible volume d’opérations dépendant de la technologie indiquent un niveau modérément complexe.
Niveau de changement
  • Niveaux de changement limités en raison d’un modèle opérationnel stable et mature

  • Les mises à jour trimestrielles à l’échelle du groupe des applications financières du groupe sont toujours appliquées à SAP et aux autres applications intégrées utilisées.

Les changements trimestriels appliqués aux applications utilisées par la composante indiquent un niveau complexe.
Nouvelle technologie
  • Utilisation de nouvelles technologies pour une seule application

  • Utilisation limitée de nouveaux logiciels que le groupe utilise pour tirer parti des nouvelles technologies

L’utilisation limitée des nouvelles technologies indique un niveau modérément complexe.
Évaluation globale de l’équipe de mission* La majorité des caractéristiques ont été évaluées comme étant complexes dans le cas de cette entité. Selon le jugement de l’équipe de mission, y compris la discussion avec l’équipe de l’Audit des TI, la prise en compte globale des caractéristiques ci‑dessus et l’hypothèse qu’il n’y aura pas de changements importants dans l’environnement informatique jusqu’à la date du bilan, l’équipe de mission conclurait probablement que l’environnement informatique de l’entité est complexe.
Recours à l’Audit des TI (selon la politique de la section BVG Audit 3102)

L’Audit des TI doit participer à l’audit de cet environnement informatique complexe. Le niveau de participation prévu par le responsable de mission et le personnel de l’Audit des TI peut comprendre ce qui suit :

  • Consultation dans le cadre de l’évaluation de la complexité

  • Encadrement de l’équipe de mission concernant l’intégration de la TI dans le modèle opérationnel

  • Achèvement des tests relatifs à l’automatisation et aux rapports personnalisés

  • Achèvement des tests des contrôles généraux informatiques locaux et revue des tests des contrôles généraux informatiques du groupe à l’appui de l’entité locale

* Il incombe à l’auditeur du BVG affecté à l’audit de la composante d’évaluer la pertinence et l’incidence de toute information communiquée sur sa stratégie et son plan d’audit.

Composante B

Caractéristique Indicateurs d’un environnement informatique non complexe Indicateurs d’un environnement informatique modérément complexe Indicateurs d’un environnement informatique complexe Évaluation de la complexité par l’équipe de mission
Automatisation
  • Calculs très simples de l’inventaire avec mises à jour manuelles

  • Faible volume de données saisies liées aux ventes locales

  • Équipe informatique composée de deux personnes, possédant les compétences appropriées et ayant la responsabilité de s’assurer que les utilisateurs locaux sont appropriés et conformes aux politiques pertinentes à l’échelle du groupe

  • S. O.

  • S. O.

La composante B n’utilise pas l’automatisation complexe à l’échelle du groupe. Les calculs simples et le faible volume de données saisies indiquent un niveau non complexe.
Utilisation de rapports générés par le système
  • Rapports standard (c.‑à‑d. non personnalisés)

  • S. O.

  • S. O.

L’utilisation de rapports standards indique un niveau non complexe.
Personnalisation
  • Logiciel commercial non complexe (Sage) utilisé localement et l’équipe de TI de la composante n’a pas d’accès lui permettant de modifier le système

  • Les processus informatiques sont appliqués conformément aux politiques du groupe; des modifications manuelles sont apportées au format ou au style des rapports (mais pas aux données sous-jacentes), au besoin.

  • S. O.

  • S. O.

L’utilisation de logiciels commerciaux non complexes, plutôt que la version de groupe de SAP, qui est complexe, indique un niveau non complexe.
Modèle opérationnel
  • S. O.

  • Modèle opérationnel modérément complexe limité à un petit nombre d’opérations locales

  • Certaines opérations dépendantes à la technologie et quelques processus manuels

  • S. O.

Le modèle opérationnel de la composante B n’utilise pas les applications hautement intégrées utilisées par le groupe, mais il repose sur une certaine intégration technologique. Cela indique un niveau modérément complexe.
Niveau de changement
  • Changements limités en raison d’un modèle opérationnel stable et mature

  • La composante B met à jour manuellement les rapports du groupe pour les harmoniser avec les changements liés au groupe jusqu’à ce qu’ils puissent être mis à jour au moyen du cycle de développement des systèmes traditionnels.

  • S. O.

La méthode manuelle/traditionnelle que la composante B utilise pour gérer les changements liés au groupe indique un niveau modérément complexe.
Nouvelle technologie
  • Fonctionnement uniquement à l’échelle locale. Les nouvelles technologies ne sont pas utilisées pour les activités non complexes courantes.

  • S. O.

  • S. O.

L’absence d’utilisation de nouvelles technologies indique un niveau non complexe.
Évaluation globale de l’équipe de mission La majorité des caractéristiques ont été évaluées comme étant non complexes dans le cas de cette entité. Selon le jugement de l’équipe de mission, et compte tenu de l’ensemble des caractéristiques ci‑dessus et si l’on suppose qu’il n’y aura pas de changements importants dans l’environnement informatique jusqu’à la date du bilan, l’équipe de mission conclurait probablement que l’environnement informatique de l’entité est non complexe.
Recours à l’Audit des TI (selon la politique de la section BVG Audit 3102)

Lorsque l’environnement informatique est évalué comme étant non complexe, il n’est pas nécessaire de faire appel à l’Audit des TI *.

L’Audit des TI pourrait tout de même être utilisée dans un rôle de consultation ou d’encadrement pour soutenir l’équipe de mission si cela était efficace et efficient.

Ce soutien pourrait inclure ce qui suit :

  • Consultation dans le cadre de l’évaluation de la complexité

  • Encadrement de l’équipe de mission au sujet des différences entre le groupe et la composante concernant l’intégration de la TI dans le modèle opérationnel, du recours aux rapports standard et des tests des contrôles généraux informatiques

* Il incombe à l’auditeur du BVG affecté à l’audit de la composante d’évaluer la pertinence et l’incidence de toute information communiquée sur sa stratégie et son plan d’audit.

3. À l’échelle du groupe – Environnement informatique modérément complexe

Le groupe exploite ses activités dans plusieurs secteurs et, au niveau du groupe, les processus d’information financière se limitent aux processus de consolidation et de trésorerie. Quatre composantes feront l’objet d’audits complets, chacune étant gérée en tant qu’entité juridique distincte avec un environnement informatique distinct de toute autre entité du groupe. Dans ce scénario, il est possible que l’équipe de mission affectée à l’audit du groupe conclue que l’entité de groupe possède un environnement informatique modérément complexe en fonction des circonstances, peu importe la complexité de l’environnement informatique de chaque composante.

Chaque équipe de mission affectée à l’audit d’une composante devra effectuer une évaluation individuelle de la complexité de l’environnement informatique pour chaque composante. Les environnements informatiques des composantes peuvent être évalués individuellement comme étant complexes, modérément complexes ou non complexes en fonction de la compréhension de chaque environnement informatique individuel.

Environnement informatique complexe avec applications non complexes à auditer.

Après l’évaluation terminée, on détermine que l’entité possède un environnement informatique complexe. Toutefois, pour un ou plusieurs postes des états financiers, l’entité utilise une application commerciale non complexe. Par exemple, l’entité dispose d’un logiciel commercial autonome et non complexe utilisé pour le système de paye qui ne s’intègre à aucune autre application. Les données sur la paye sont téléchargées à partir du système autonome dans le grand livre général au moyen d’un journal manuel mensuel. L’application liée à paye est fournie par un fournisseur de logiciels tiers, et il n’y a que deux utilisateurs qui ont accès au logiciel; aussi, une seule mise à niveau du logiciel est effectuée par année aux fins de mise à jour annuelle du taux d’imposition. Bien que l’équipe de mission ait évalué que l’environnement informatique global était complexe et que l’Audit des TI participera à certains aspects de l’audit, le responsable de mission, avec l’apport de l’Audit des TI, peut conclure que le personnel d’audit principal affecté à l’équipe de mission possède déjà les compétences requises pour identifier, évaluer et mettre en œuvre des procédures à l’égard des risques informatiques liés à une application particulière ou à d’autres aspects informatiques connexes. Dans cet exemple, le responsable de mission, avec l’aide de l’Audit des TI, pourrait conclure que l’équipe d’audit principale possède les compétences requises pour évaluer et exécuter les procédures relatives aux risques informatiques liés à l’application de paye, sans avoir à faire appel au soutien d’un spécialiste pour qu’il encadre, examine ou mette en œuvre les procédures. Cette approche planifiée et la détermination de la nature non complexe de l’application sont documentées dans la procédure de planification pertinente (p. ex., « Compréhension et évaluation de la complexité de l’environnement informatique de l’entité »).

Graphiques de cheminement

Directives du BVG

Le graphique de cheminement est un moyen efficace de documenter les flux des opérations et les contrôles au sein des processus opérationnels et des sous‑processus.

Les avantages d’utiliser un graphique de cheminement sont les suivants :

  • meilleure qualité de la compréhension des processus opérationnels, des flux des opérations et des contrôles, et meilleure qualité de la documentation;

  • capacité de visualiser la façon dont les contrôles au sein de la composante « activités de contrôle » sont adaptés au processus opérationnel;

  • capacité d’utiliser le graphique de cheminement dans le cadre des processus d’observation ou d’inspection des contrôles au sein de la composante « activités de contrôle ».

Pour profiter de ces avantages, il est important que le graphique de cheminement :

  • montre le déroulement chronologique des flux des opérations et des contrôles au sein des processus opérationnels;

  • identifie clairement les contrôles au sein de la composante des activités de contrôle;

  • montre clairement qui applique les contrôles.

  • utilise intelligemment des descriptions narratives, avec des renvois appropriés, pour expliquer en profondeur les attributs de conception de chacune des contrôles;

  • utilise les symboles standards correctement.

Utilisation de symboles standards

Pour faciliter l’uniformisation et la compréhension d’un graphique de cheminement dans les dossiers d’audit, des symboles standards tels que ceux qui suivent sont utilisés :

Image

Documentation du processus opérationnel et du flux des opérations

Les processus opérationnels et les systèmes d’information/applications qui déclenchent, enregistrent, traitent et communiquent les opérations dans les postes des états financiers peuvent être divisés en plusieurs sous-processus et contrôles, avec des informations ou données sous forme d’intrants et des dossiers ou documents en tant qu’extrants. Habituellement, on documente le flux de gauche à droite, soit les intrants à la gauche, les processus/contrôles au centre et les extrants à la droite, comme suit :

Entrée et traitement, contrôle

Pour définir les intrants, les processus/contrôles et les extrants, il faut se poser les questions suivantes :

  • Quel est l’intrant d’information (papier ou fichier)?
  • À quel point l’intrant est‑il créé?
  • Qu’est‑ce qui déclenche/amorce l’intrant?
  • Quelles sont les données permanentes (données du fichier maître par exemple)?
  • Comment les données permanentes sont‑elles mises à jour?
  • Quels sont les fichiers créés/mis à jour par le processus en tant qu’extrant?
  • Quels sont les documents/rapports créés en tant qu’extrants?
  • À quel endroit les extrants sont‑ils utilisés et par qui?

Accompagner le graphique d’une description de chaque opération.

Exemple de graphique de cheminement : le processus opérationnel des ventes

Cet exemple représente un processus opérationnel sous la forme d’un graphique de cheminement, en illustrant les divers sous‑processus du processus opérationnel des ventes. Il est présenté uniquement à titre indicatif. Il peut, en effet, y avoir d’autres contrôles au sein du processus opérationnel des ventes, selon les circonstances propres à l’entité, notamment, des contrôles visant les retours des clients, les remises, les rabais, les ajustements et les procédures de clôture.

Schéma du flux du processus et des contrôles Description
Departement des ventes et de la production

1.1 Création de la commande

La commande est créée à partir d’une commande reçue d’un client. Les fonctions de gestion des commandes reçoivent la commande et entrent toutes les données dans le système SCAR en vue de créer un bon de commande. Le service des ventes crée le bon de commande dans SCAR en utilisant un élément spécial dans le bon de commande qui génère automatiquement une note de livraison.

1.2 Livraison et distribution

La marchandise est ramassée pour distribution au service de production et envoyée au client avec la note de livraison.

1.3 Facturation

La facturation au client est exécutée à partir de la livraison effectuée et de la note correspondante.

1.4 Encaissement

Le processus d’encaissement inclut à la fois les procédures manuelles et automatisées. Les encaissements reçus dans la caisse sont automatiquement appliqués aux comptes des clients par un fichier des encaissements créé par la Banque et envoyé au système informatique central chaque nuit.

1.5 Crédits et ajustements

La majorité des créances de l’entreprise proviennent de grandes sociétés de distribution, et l’entreprise est généralement au courant des problèmes de recouvrement qui pourraient exister. Par conséquent, elle analyse sur une base périodique le caractère adéquat de ses provisions en comparant les créances irrécouvrables connues ou prévues au montant total de la réserve pour s’assurer que la couverture est suffisante pour les autres créances irrécouvrables qui pourraient exister. La provision de l’entreprise est généralement un faible pourcentage (moins de 1 %) des créances. Cela est cohérent avec le fait que plus de 99 % des créances des sociétés de distribution sont perçus avant le 15 du mois suivant.

Acquisition d’une compréhension d’un processus opérationnel, notamment du flux d’une opération, au moyen d’un test de cheminement

Directives du BVG

Comme il est expliqué au paragraphe A136 de la NCA 315, l’auditeur peut acquérir une compréhension du système d’information de l’entité de diverses façons, notamment en effectuant des tests de cheminement. La réalisation d’un test de cheminement comprend la sélection d’une opération et le suivi de celle‑ci dans le cadre du processus opérationnel de bout en bout de l’entité, ainsi que l’observation du personnel du client qui met en œuvre les processus, l’inspection des documents qu’il utilise et les demandes d’informations auprès du personnel du client pour comprendre les détails des processus et des contrôles. L’utilité de l’observation du flux d’une opération au sein d’un processus ou d’un sous‑processus est de confirmer qu’aucun changement important n’a été apporté depuis le dernier audit réalisé par l’auditeur et de cerner et comprendre tout changement apporté aux processus opérationnels ou aux contrôles de l’entité. Cela permet aussi à l’auditeur de confirmer ou de mettre à jour sa compréhension antérieure des contrôles, d’évaluer l’efficacité de la conception de ces contrôles au sein de la composante des activités de contrôle et de déterminer si les contrôles ont bel et bien été mis en place au cours de la période considérée. Voir la section BVG Audit 5035.5 pour comprendre la différence entre l’évaluation de la conception des contrôles et les procédures visant à déterminer si les contrôles ont été mis en place. L’auditeur observe le flux des opérations au sein du processus ou du sous‑processus pour réaliser les objectifs suivants :

  • comprendre le flux des opérations au sein du processus ou sous‑processus ou confirmer la compréhension qu’il a acquise;

  • repérer, dans les processus opérationnels de l’entité, les endroits d’où pourrait provenir une anomalie significative en s’interrogeant sur les problèmes qui pourraient advenir;

  • déterminer les contrôles que l’entité a conçus pour prévenir ou détecter les anomalies significatives potentielles;

  • déterminer les contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions à inclure dans la composante des activités de contrôle dont l’auditeur évaluera la conception et la mise en oeuvre.

Comprendre un processus au moyen de l’observation du flux d’une opération se fait généralement à l’aide d’une demande d’informations, de l’observation physique et de l’inspection des documents pertinents qui ont été créés ou utilisés par l’entité dans le cadre de l’exécution des contrôles. C’est un bon moyen d’évaluer l’efficacité de la conception. De plus, il peut y avoir des situations – particulièrement lorsque le risque est faible et/ou que les contrôles automatisés ou manuels sont moins complexes – où l’observation du flux d’une opération fournit suffisamment d’éléments probants sur l’efficacité du fonctionnement selon le risque associé au contrôle testé, les procédures spécifiques mises en œuvre lors de l’observation et les résultats des procédures. Par conséquent, il est tout indiqué d’observer le flux d’une opération au sein des processus importants pour répondre aux quatre objectifs résumés ci‑dessous.

L’auditeur suivrait généralement le cheminement d’un processus opérationnel dans certaines situations dont les suivantes : 1) lorsqu’il y des secteurs complexes comportant un risque inhérent élevé; 2) lorsque les audits des exercices antérieurs ont révélé des lacunes sur le plan de la conception ou du fonctionnement des contrôles (en tenant compte de la gravité de ces lacunes); 3) lorsqu’il y a eu un changement important dans les processus à la suite de l’arrivée de nouvelles personnes, de l’installation de nouveaux systèmes, d’acquisitions et/ou d’adoption de nouvelles méthodes comptables; et 4) lors d’un premier audit.

Le graphique suivant montre le processus d’observation du flux d’une opération au sein d’un processus opérationnel au niveau des transactions ou d’un sous‑processus :

Obtenir et examiner la documentation

Lors de l’observation du processus opérationnel, à chaque phase où une procédure de traitement ou un contrôle important est mis en œuvre, l’auditeur demande au personnel responsable ce qu’il comprend des exigences liées aux politiques et aux procédures de l’entité qui ont été établies en vue d’atteindre l’objectif en matière de contrôle, et détermine si les politiques et procédures sont mises en œuvre de la manière établie au départ et en temps opportun. Il faut surveiller les écarts par rapport aux politiques et aux procédures de l’entité.

L’auditeur suit le flux du processus opérationnel en utilisant les mêmes documents et technologies de l’information qu’utilise le personnel de l’entité et il demande des informations auprès du personnel compétent intervenant dans les aspects importants du processus ou des contrôles. Il pourra alors être nécessaire de tenir plusieurs réunions pour soumettre des demandes d’informations à tout le personnel responsable des processus opérationnels importants et des contrôles à l’intérieur du processus. En planifiant les réunions, l’auditeur tiendra compte de l’ordre dans lequel il doit rencontrer les personnes pour pouvoir bien suivre le flux des opérations, tout au long du déclenchement, de l’enregistrement, du traitement et de la communication des opérations d’une manière séquentielle qui s’harmonise avec la conception du processus ou du sous‑processus.

L’auditeur met en œuvre des procédures supplémentaires pour déterminer si sa compréhension initiale des processus est corroborée ou peut être contredite par d’autres sources d’information qu’il obtient à divers points du processus, par exemple en demandant aux membres du personnel de décrire leur compréhension des sous‑processus et de la conception et du fonctionnement des contrôles relevés dont ils sont responsables, ainsi que leur compréhension des autres sous‑processus ou contrôles connexes afin de faire une démonstration de ce qu’ils font. L’auditeur posera également des questions de suivi pour identifier et évaluer toute déficience sur le plan de la conception ou du fonctionnement du contrôle ou toute indication de risque de fraude en vue d’éclairer son évaluation des risques d’anomalies significatives.

L’étendue des demandes d’informations et de l’observation ou l’inspection des documents lorsque l’auditeur suit le flux d’une opération au sein d’un processus opérationnel devra être suffisante pour lui permettre de bien comprendre les activités de traitement de l’information, y compris les contrôles de l’entité. S’il juge que ces contrôles se trouvent au sein de la composante « activités de contrôle », il évalue si les contrôles ont été conçus de façon efficace et mis en place comme prévu. Cependant, l’étendue de ces procédures est généralement inférieure à ce qui est nécessaire pour tester l’efficacité du fonctionnement des contrôles. Par exemple, en observant une opération afin d’en évaluer la conception et la mise en œuvre, l’auditeur suivrait normalement un seul cas d’un type particulier d’opération au sein du processus; toutefois, pour tester l’efficacité du fonctionnement des contrôles liés à cette opération, il devrait examiner un échantillon d’occurrences du contrôle (voir la section BVG Audit 6053 pour obtenir des directives sur l’étendue des tests qui doivent être effectués pour évaluer l’efficacité du fonctionnement des contrôles).

Dans l’éventualité où un contrôle est exécuté par plus d’une personne, ou dans des établissements multiples de l’entité, il faudra peut‑être observer et inspecter des éléments probants pour comprendre la permanence de la conception et du fonctionnement du contrôle au cours de la période considérée. Par exemple, l’entité peut avoir un processus et des contrôles standard liés au déclenchement, à l’enregistrement, au traitement et à la communication des opérations de vente. Ainsi, l’autorisation de traiter les opérations de vente peut être donnée localement par les directeurs des ventes régionaux. Cependant, selon le degré de jugement requis et les modalités d’autorisation, l’auditeur pourrait devoir observer l’autorisation d’une opération par chacun des directeurs de vente régionaux. En revanche, si les autres contrôles au sein de ce processus opérationnel ont été conçus pour fonctionner systématiquement à cet endroit, l’auditeur pourra observer une seule occurrence des autres contrôles au sein de ce processus opérationnel.

Lors de l’observation du flux d’une opération au sein d’un processus opérationnel, il faut généralement consigner ce qui suit dans la documentation :

  • un niveau de détail suffisant pour identifier le personnel, les documents et les rapports consultés;

  • la documentation du processus ou des sous‑processus sélectionnés, y compris la prise en considération des éléments suivants :

    • les catégories d’opérations importantes;

    • les applications informatiques, d’autres aspects de l’environnement informatique et les procédures manuelles qu’on utilise pour le déclenchement, l’enregistrement, le traitement, la correction au besoin, le report au grand livre général et la communication des opérations dans les états financiers;

    • les dossiers manuels ou électroniques utilisés pour le déclenchement, l’enregistrement, le traitement et la communication des opérations (ce qui comprend les informations fournies ne provenant pas du grand livre général ou des livres auxiliaires);

    • la façon dont le système d’information saisit les événements et les situations, autres que les opérations, qui ont de l’importance pour les états financiers;

    • le processus d’information financière utilisé pour la préparation des états financiers de l’entité, y compris les estimations comptables importantes et les informations importantes à fournir;

    • les contrôles afférents aux écritures de journal, y compris les écritures non courantes servant à constater les opérations ou ajustements non récurrents ou inhabituels;

  • tout écart par rapport aux procédures et contrôles établis de l’entité, y compris le moment où ces procédures et ces contrôles sont appliqués;

  • tout contrôle non identifié précédemment et son impact, s’il y a lieu (c’est‑à‑dire évaluer si le contrôle est conçu de façon à répondre efficacement au risque d’anomalies significatives au niveau des assertions et déterminer s’il a été mis en place).

Autres considérations relatives à l’information financière

Directives du BVG

Les états financiers eux‑mêmes peuvent être produits manuellement dans une application de traitement Word et comprennent un éventail important d’informations à fournir. Ces informations peuvent provenir des systèmes financiers de l’entité; cependant, elles peuvent également être produites à partir de données inscrites manuellement dans des feuilles de calcul à l’échelle de l’entité (voir la section BVG Audit 2051 concernant l’incidence de l’utilisation de feuilles de calcul et d’autres outils informatiques destinés aux utilisateurs finaux). Même s’il faudra en général mettre en œuvre des procédures de corroboration au regard de ce processus – y compris rapprocher les états financiers et les livres comptables et examiner les ajustements importants faits au cours de la préparation des états financiers – il sera aussi important de comprendre et d’évaluer les contrôles appliqués à l’information financière et de tester leur efficacité opérationnelle, si l’équipe a l’intention de s’appuyer sur ces contrôles.

Certains points d’intérêt à considérer :

Cumul et report au grand livre général des soldes des comptes de grands livres auxiliaires :

  • Le report des soldes des comptes des grands livres auxiliaires au grand livre général est‑il un processus manuel ou automatisé? Si le processus est automatisé, quels contrôles généraux informatiques et contrôles relatifs au traitement de l’information applique‑t‑on?

  • Fait‑on le rapprochement entre les soldes des comptes des grands livres auxiliaires et du grand livre général? Si c’est le cas, les éléments de rapprochement sont‑ils traités en temps opportun et de façon exhaustive?

  • Comment les reports automatisés en suspens, invalides ou autres qui sont rejetés ou inappropriés sont‑ils analysés et résolus en temps opportun?

  • Qui approuve la résolution des reports en suspens?

  • Qui est autorisé à faire des reports du grand livre auxiliaire au grand livre général?

  • Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Remarque : le report des soldes des comptes des grands livres auxiliaires au grand livre général peut être effectué par des contrôles à l’intérieur des processus opérationnels importants, par exemple un contrôle visant à rapprocher le grand livre auxiliaire des créances et le grand livre général dans le cadre du processus lié aux produits et aux comptes clients.

Maintenance du grand livre général :

  • Comment l’entité s’assure‑t‑elle que les changements apportés au plan de comptes sont traités de façon complète et exacte?

  • Comment l’entité s’assure‑t‑elle que le plan de comptes est complet et exact?

  • Qui est autorisé à modifier le plan de comptes?

  • Qui examine et approuve les changements apportés au plan des comptes?

  • Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Consolidation du grand livre général :

  • Comment l’entité s’assure‑t‑elle que les modèles ou les livres reçus pour consolidation sont :

    • Exhaustifs?
    • Exacts?
    • Valables?
    • Associés au bon compte consolidé?
  • Comment l’entité s’assure‑t‑elle que tous les modèles ou toutes les données ont été reçus aux fins de consolidation?

  • Comment est analysé le nombre d’entités incluses dans la consolidation? A-t‑on fourni une explication des changements par rapport à la période précédente?

  • Qui examine et approuve les reports en suspens?

  • Qui examine les reports automatisés au grand livre qui sont invalides, rejetés ou inappropriés, et s’assure qu’ils sont résolus en temps opportun?

  • Comment la ségrégation des tâches est‑elle effectuée dans le cadre de ce processus?

Écriture de consolidation et d’élimination :

  • Quels types d’écritures et de rajustements de consolidation et d’élimination sont créés et inscrits?

  • Les ajustements de consolidation sont‑ils automatisés ou manuels? Si le processus est automatisé, quels sont les contrôles appliqués?

  • Qui est chargé de préparer les documents d’appui aux écritures et rajustements de consolidation et d’élimination?

  • Qui est autorisé à créer et traiter des écritures de consolidation et d’élimination?

  • Qui est autorisé à examiner et reporter les écritures et les rajustements de consolidation et d’élimination?

  • Comment vérifie‑t‑on l’exhaustivité et l’exactitude des écritures et des rajustements?

  • Comment s’assure‑t‑on de la concordance des écritures?

  • Comment vérifie‑t‑on que les écritures d’élimination sont exhaustives (c.‑à‑d. pour s’assurer que tous les soldes intersociétés sont éliminés ou que toutes les écritures proposées ont été comptabilisées)?

  • Comment s’assure‑t‑on que les documents à l’appui des écritures de consolidation et d’élimination existent et sont exhaustifs?

  • Comment l’accès restreint est‑il géré dans le cadre de ce processus?

  • Comment les écarts entre les soldes intersociétés sont‑ils identifiés et corrigés?

  • Comment s’assure‑t‑on de l’exactitude des conversions de devises?

  • Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Écritures de journal de rajustement des ajustements fiscaux, des comptes de pension, d’autres écritures tardives et des régularisations :

  • Qui est autorisé à créer et traiter les écritures d’un journal d’ajustement?

  • Comment s’assure‑t‑on de la concordance des écritures?

  • Quel est le processus utilisé pour finaliser les estimations?

  • Qui est autorisé à rajuster les estimations déjà comptabilisées?

  • Qui est responsable de s’assurer que toutes les estimations sont examinées et rajustées le cas échéant?

  • Qui revoit et approuve ces écritures?

  • Comment vérifie‑t‑on l’exhaustivité et l’exactitude des écritures de journal?

  • Comment l’entité s’assure‑t‑elle que toutes les écritures ont été comptabilisées dans la période appropriée?

  • Comment la ségrégation des tâches est‑elle effectuée dans le cadre de ce processus?

États financiers et informations à fournir :

  • Qui est responsable de compiler/calculer chacune des informations à fournir dans les états financiers?

  • Quel processus l’entité utilise‑t‑elle pour s’assurer que les informations à fournir répondent aux exigences à cet égard du référentiel d’information financière applicable?

  • Quelles sont les sources d’information qui soutiennent le processus de préparation des informations à fournir?

  • Comment les personnes responsables s’assurent‑elles que la source d’information est exacte, valable et exhaustive?

  • Comment les informations à fournir sont‑elles examinées après avoir été préparées?

  • Quels sont les intrants, les procédures mises en œuvre et les extrants des processus utilisés pour produire les états financiers et les informations à fournir?

  • Comment l’entité a‑t‑elle utilisé son comité d’audit, s’il a été formé, en tant que contrôle du processus d’information financière et d’information à fournir?

  • Comment l’entité s’y prend‑elle pour saisir et communiquer les événements postérieurs?

  • Comment la séparation des taches est‑elle effectuée dans le cadre de ce processus?

La compréhension du processus d’information financière de fin de période comprend également l’évaluation des éléments suivants :

  • l’importance de l’intervention des technologies de l’information dans chaque processus;

  • la participation de divers membres de la direction;

  • le nombre d’établissements en cause;

  • la nature et l’importance de l’intervention du comité d’audit dans le processus.

Méthodes comptables et référentiel d’information financière applicable :

  • Comment l’entité détermine‑t‑elle les méthodes comptables appropriées?

  • Qui approuve les méthodes comptables?

  • Comment l’entité détermine‑t‑elle que l’interprétation du référentiel d’information financière applicable est correcte?

  • Qui est responsable de la maintenance ou de la mise à jour du manuel de comptabilité du groupe?

  • Comment l’entité détermine‑t‑elle que l’application des méthodes comptables est correcte dans l’ensemble de l’entité?

  • Qui évalue si les soldes enregistrés reflètent les conditions existantes à la date de clôture?

  • Comment l’entité détermine‑t‑elle les changements qui doivent être apportés aux méthodes comptables?

  • Comment la séparation des tâches est‑elle effectuée dans le cadre de ce processus?

Incidence du système de contrôle interne de l’entité sur le processus d’information financière de fin de période :

En plus de comprendre, d’évaluer et, lorsque l’équipe choisit de s’appuyer sur les contrôles, de tester l’efficacité opérationnelle des activités de contrôle du processus d’information financière, il faut tenir compte des autres composantes du système de contrôle du cadre de contrôle interne : l’environnement de contrôle, le processus d’évaluation des risques, le processus de l’entité visant à surveiller le système de contrôle interne et le système d’information et de communication. La compréhension et l’évaluation de chacune de ces composantes compte tenu de la façon dont elles se rapportent au processus d’information financière sont essentielles étant donné que bon nombre de ces contrôles peuvent être manuels et susceptibles d’être contournés par la direction. L’évaluation de la mise en évidence des éléments suivants par l’environnement de contrôle fournit la base qui permet à l’auditeur d’obtenir des éléments probants en testant l’efficacité opérationnelle des contrôles du processus d’information financière de la fin de période :

  • les risques relatifs au processus d’information financière sont identifiés et contrôlés de façon appropriée;

  • les contrôles appropriés du processus d’information financière sont exécutés par du personnel compétent;

  • il existe des politiques et des procédures complètes concernant ce processus;

  • le conseil d’administration et le comité d’audit exercent une surveillance appropriée.

Directives connexes

Voir la rubrique ci‑dessus Compréhension des activités de traitement de l’information au sein des processus opérationnels BVG Audit 5034 pour obtenir des directives sur la documentation de la compréhension de l’auditeur des processus opérationnels, des sous-processus et des opérations.

Compréhension des communications de l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du système d’information et des communications de l’entité qui sont pertinents pour la préparation des états financiers en mettant en oeuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.25)

b) comprendre comment s’effectue la communication des questions qui sont importantes pour la préparation des états financiers et pour les responsabilités connexes en matière d’information financière dans le système d’information et les autres composantes du système de contrôle interne entre :

i) les personnes au sein de l’entité, y compris la communication des rôles et des responsabilités en matière d’information financière,

ii) la direction et les responsables de la gouvernance,

iii) l’entité et les parties externes, par exemple les autorités de réglementation;

Directives des NCA

Dans les entités qui sont grandes et complexes, les informations que l’auditeur prend en considération pour comprendre les communications de l’entité peuvent être tirées de manuels de politiques et de manuels d’information financière. (NCA 315.A144)

Les communications, qui visent notamment à faire comprendre les rôles et les responsabilités de chacun en ce qui concerne le système de contrôle interne de l’entité, peuvent prendre la forme de manuels de procédures, de manuels de comptabilité et d’information financière, et de notes de service de la direction. Elles peuvent aussi se faire électroniquement ou verbalement, et passer par l’exemplarité des actions de la direction.(NCA 315.Annexe 3.18)

Il importe que les communications de l’entité portant sur les rôles et les responsabilités ainsi que sur les questions importantes concernant l’information financière permettent de comprendre les rôles et les responsabilités de chacun des intervenants à l’égard des aspects du système de contrôle interne qui sont pertinents pour l’information financière. Les communications peuvent englober des aspects tels que le niveau de compréhension, par les membres du personnel, de la manière dont leur rôle dans le système d’information est lié au travail d’autres personnes, ainsi que les moyens dont ils disposent pour signaler les écarts à un niveau hiérarchique supérieur dans l’entité. (NCA 315.Annexe 3.19)

Directives du BVG

L’efficacité de la communication par l’entité des questions importantes qui soutiennent la préparation des états financiers et de la communication des responsabilités en matière d’information financière assignées dans le système d’information et d’autres composantes du système de contrôle interne est liée au bon fonctionnement des éléments suivants : les processus opérationnels liés à la présentation de l’information financière et les contrôles qui y sont intégrés. L’acquisition d’une compréhension de la communication utilisée par l’entité, y compris la façon dont l’entité fournit une compréhension des rôles et responsabilités individuels relatifs aux systèmes de contrôle interne de l’entité et communique d’autres questions importantes relatives à l’information financière au personnel de l’entité et à d’autres personnes, est importante, car il s’agit d’un indicateur de la solidité de la structure de contrôle interne d’une entité. Cela s’explique par le fait que la communication efficace de renseignements pertinents, exacts et opportuns fournit à la direction l’information dont elle a besoin pour exécuter les contrôles quotidiens et permet aux membres du personnel de comprendre à la fois leurs responsabilités en matière de contrôle et l’importance de maintenir un contrôle interne efficace. Lorsqu’une telle communication est inefficace, cela peut avoir une incidence sur la mise en place et le fonctionnement des contrôles conçus par une entité. Cette communication peut avoir lieu en interne au sein de l’entité ou en externe avec des tiers.

Communications internes

Les communications internes comprennent des processus de communication des rôles et des responsabilités dans l’ensemble de l’organisation concernant la conception et le fonctionnement du contrôle interne de l’entité. Cette communication aide les membres du personnel à comprendre la façon dont leurs activités dans les systèmes d’information relatifs à l’information financière interagissent avec les contrôles qui fonctionnent à différents niveaux de l’entité, comme les unités opérationnelles, les divisions ou les fonctions, et les soutiennent. La communication interne comprend également des processus de communication des écarts et des lacunes dans les contrôles à un niveau hiérarchique supérieur approprié au sein de l’entité. Des voies de communication ouvertes aident à assurer que les écarts et les lacunes sont déclarés et traités. De plus, il existe une communication entre les membres de la direction et ceux du conseil d’administration afin qu’ils disposent tous des informations nécessaires pour remplir leurs rôles à l’égard du contrôle interne de l’entité.

Exemple :

Lorsque l’entité s’appuie sur l’efficacité des rapprochements pertinents, il est important que les membres du personnel qui effectuent et examinent ces rapprochements comprennent leur rôle et leurs responsabilités. Par exemple, la situation suivante illustre comment une communication interne inefficace des rôles et des responsabilités peut miner l’efficacité d’un contrôle de rapprochement :

  • Les chefs des unités de gestion devaient signer un rapport chaque mois pour confirmer que les rapprochements des comptes du grand livre auxiliaire et du grand livre général avaient été effectués et que les rapports signés étaient présentés chaque mois.

  • Après l’identification des problèmes liés aux comptes faisant l’objet d’un rapprochement, il a été établi qu’au moins deux chefs d’unité de gestion ne comprenaient pas précisément la façon dont les éléments de rapprochement devaient être corroborés :

    • Dans une unité de gestion, il était entendu que le rapprochement était terminé une fois que la différence totale entre le grand livre auxiliaire et le grand livre faisant l’objet du rapprochement avait été déterminée.

    • Dans la deuxième unité de gestion, il était entendu que le rapprochement était terminé une fois que chaque élément de rapprochement individuel avait été déterminé.

  • Aucune explication n’a été fournie pour les éléments de rapprochement, et aucune mesure corrective n’a été prise. Par conséquent, l’objectif du contrôle de rapprochement (détecter et examiner les éléments de rapprochement significatifs et corriger, en temps opportun, les erreurs significatives dans les dossiers financiers de l’entité) n’a pas été atteint par ces deux responsables du contrôle.

Communications externes

Les communications externes comprennent des processus permettant de communiquer des renseignements pertinents en temps opportun à des parties externes. Cela comprend les communications sortantes et entrantes. Les parties externes pourraient comprendre les actionnaires, les partenaires, les organismes de réglementation, les clients, les fournisseurs et les fournisseurs externes de services. La communication avec des parties externes permet le flux de données et d’informations pertinentes et de qualité nécessaires au fonctionnement efficace du système de contrôle interne de l’entité.

Exemple :

L’entité exige que ses fournisseurs respectent le code de conduite de l’entité en ce qui concerne le fait de ne jamais se livrer à des pratiques de corruption. Afin d’atteindre l’objectif, l’entité communique cette exigence sur sa page Web et, lors de l’approbation d’un nouveau fournisseur, elle exige que le fournisseur atteste qu’il respecte cette exigence avant de passer un premier bon de commande avec le fournisseur.

Procédures liées à l’acquisition d’une compréhension

À mesure que l’auditeur acquiert une compréhension des systèmes d’information de l’entité, y compris les processus et les contrôles opérationnels connexes, il acquiert une compréhension des communications internes et externes qui facilitent et encadrent ces processus opérationnels, notamment :

  • les rôles et les responsabilités relatifs à l’information financière qui ont été attribués;

  • les changements dans les renseignements financiers (et autres renseignements liés à l’information financière) à l’égard des catégories d’opérations et des événements (p. ex., nouveaux types d’opérations, dispositions, conditions);

  • les changements apportés aux référentiels d’information financière applicables et aux politiques et procédures connexes;

  • les changements dans les systèmes/applications d’information;

  • les lacunes de contrôle identifiées qui nécessitent des mesures correctives;

  • les différends ou plaintes soulevés par des clients, des fournisseurs et d’autres parties externes à l’entité;

  • la communication avec la direction et les responsables de la gouvernance, en particulier le comité d’audit;

  • la communication avec les organismes de réglementation.

L’auditeur peut également obtenir une compréhension des contrôles au niveau de l’entité indirects qui sont importants par rapport aux communications externes de l’entité, comme celles avec le conseil d’administration (et les comités), les organismes de réglementation et d’autres parties externes à l’entité. Un exemple de ces contrôles indirects pourrait être les politiques en place liées à l’évaluation des lacunes de contrôle relevées par l’équipe d’audit interne (ou une fonction semblable) et à la déclaration de ces lacunes au comité d’audit.

Évaluation du système d’information et communications

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du système d’information et des communications de l’entité qui sont pertinents pour la préparation des états financiers en mettant en oeuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.25)

c) évaluer si le système d’information et les communications de l’entité contribuent adéquatement à la préparation des états financiers de l’entité conformément au référentiel d’information financière applicable.

Directives des NCA

Pour évaluer si le système d’information et les communications de l’entité contribuent adéquatement à la préparation des états financiers, l’auditeur se fonde sur la compréhension qu’il a acquise conformément aux alinéas 25 a) et b) (NCA 315.A146).

Directives du BVG

Selon la compréhension qu’il a obtenue, l’auditeur évalue les éléments individuels de la composante « système d’information et communications » du système de contrôle interne de l’entité afin d’évaluer si cette composante, dans son ensemble, appuie de manière appropriée la préparation des états financiers de l’entité conformément au référentiel d’information financière applicable. Comme il est expliqué au paragraphe A136 de la NCA 315, l’auditeur acquiert une compréhension de la composante « système d’information et communications » grâce aux demandes d’informations auprès des membres concernés du personnel, à l’inspection et à l’observation ou à l’exécution de tests de cheminement, en sélectionnant des opérations et en effectuant un suivi de leur cheminement dans le processus applicable du système d’information. La nature et l’étendue des procédures relèveraient du jugement professionnel et varieraient selon la complexité de l’entité et la nature des opérations.

Lorsque l’auditeur acquiert une compréhension des processus opérationnels liés aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations importantes à fournir, il détermine les contrôles qui sont principalement des contrôles directs (c.‑à‑d. des contrôles qui sont suffisamment précis pour prévenir, détecter ou corriger les anomalies au niveau des assertions). La NCA 315 n’exige pas la réalisation d’une évaluation de la conception et de la mise en place de chacun des contrôles identifiés, mais seulement de ceux requis par l’alinéa 26a) de la NCA 315. La section BVG Audit 5035.1 fournit des directives supplémentaires sur l’identification et l’évaluation de ces contrôles.

Adaptabilité

Directives des NCA

Dans les entités peu complexes, le système d’information et les processus opérationnels connexes sont généralement moins sophistiqués que dans les grandes entités et il est probable que l’environnement informatique sera lui aussi moins complexe; toutefois, cela ne diminue en rien l’importance du rôle du système d’information. Il peut arriver que les entités peu complexes dans lesquelles la direction participe directement à l’exploitation n’aient pas besoin de descriptions détaillées des procédures comptables, de documents comptables très élaborés, ni de politiques écrites. L’acquisition d’une compréhension des aspects pertinents du système d’information de l’entité peut donc nécessiter moins d’efforts dans le cadre de l’audit d’entités peu complexes et reposer davantage sur des demandes d’informations que sur l’observation ou l’inspection de documents. Cette compréhension reste néanmoins importante, parce qu’elle fournit à l’auditeur une base pour concevoir des procédures d’audit complémentaires conformément à la NCA 330 et qu’elle peut contribuer à l’identification ou à l’évaluation des risques d’anomalies significatives par l’auditeur. (NCA 315.A131)

Dans les entités peu complexes, les communications peuvent être moins structurées (par exemple, il se peut qu’il n’y ait pas de manuels en bonne et due forme) en raison du nombre réduit de niveaux hiérarchiques, ainsi que de la plus grande visibilité et disponibilité de la direction. Quelle que soit la taille de l’entité, le maintien de voies de communication ouvertes contribue à ce que les écarts soient signalés et fassent l’objet de mesures correctives. (NCA 315.A145)

Directives du BVG

Comme il est expliqué dans la rubrique Acquisition d’une compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information, l’auditeur doit acquérir une compréhension de chaque processus opérationnel qui porte sur des catégories d’opérations importantes, des soldes de comptes importants et des informations importantes à fournir. Dans le cas d’une entité moins complexe, il se peut qu’un grand nombre des processus opérationnels cernés comprennent un nombre limité d’opérations et de contrôles et, par conséquent, qu’ils répondent à la définition du processus opérationnel périodique. Lorsque l’auditeur acquiert une compréhension du système d’information et des communications de l’entité dans le cas d’entités moins complexes, il peut également déterminer que ces entités disposent d’une documentation moins officielle de leurs procédures et politiques. Dans de tels cas, il peut s’avérer nécessaire d’obtenir un niveau suffisant de compréhension et de documentation en demandant des informations au personnel de l’entité plutôt qu’en observant ou en inspectant la documentation.