Annual Audit Manual
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
5035.1 Identification des contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions
sept.-2022
Contenu de la présente section
Contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions
Compréhension et évaluation des contrôles d’analyse de la performance de l’entité
Contrôles sélectionnés pour les tests de l’efficacité du fonctionnement
Éléments probants obtenus au moyen des contrôles au niveau de l’entité
Directives des NCA
La composante « activités de contrôle » englobe les contrôles – directs et indirects – conçus pour assurer le respect des politiques (qui constituent elles aussi des contrôles) dans toutes les autres composantes du système de contrôle interne. (NCA 315.A147)
Exemple : Les contrôles qu’une entité a mis en place afin de s’assurer que son personnel compte et enregistre correctement les stocks lors de l’inventaire physique annuel sont directement liés aux risques d’anomalies significatives qui ont trait aux assertions sur l’existence et l’exhaustivité du solde du compte de stocks. |
Pour identifier et évaluer les contrôles de la composante « activités de contrôle », l’auditeur se concentre sur les contrôles du traitement de l’information, soit les contrôles qui sont appliqués lors du traitement de l’information dans le système d’information de l’entité et qui visent à répondre directement aux risques liés à l’intégrité des informations (c’est‑à‑dire l’exhaustivité, l’exactitude et la validité des opérations et des autres informations). Toutefois, l’auditeur n’est pas tenu d’identifier et d’évaluer tous les contrôles du traitement de l’information liés aux politiques de l’entité qui définissent, pour les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes, le cheminement des opérations et d’autres aspects des activités de traitement de l’information de l’entité. (NCA 315.A148)
Il se peut aussi que des contrôles directs fassent partie des composantes « environnement de contrôle », « processus d’évaluation des risques par l’entité » ou « processus de suivi du système de contrôle interne par l’entité », lesquels peuvent être identifiés conformément au paragraphe 26. Cependant, plus le lien est indirect entre les contrôles qui favorisent le fonctionnement d’autres contrôles et le contrôle analysé, plus ce contrôle risque d’être inefficace pour prévenir, ou détecter et corriger, les anomalies connexes. (NCA 315.A149)
Exemple : L’examen par le directeur des ventes du sommaire des ventes pour des magasins précis par région n’est en général lié qu’indirectement aux risques d’anomalies significatives en ce qui a trait à l’assertion sur l’exhaustivité des produits. En conséquence, il se peut qu’un tel examen soit moins efficace pour répondre à ces risques que des contrôles qui y sont liés plus directement, par exemple le rapprochement des documents d’expédition avec les documents de facturation. |
Le paragraphe 26 exige aussi que l’auditeur identifie et évalue les contrôles généraux informatiques liés aux applications informatiques et aux autres aspects de l’environnement informatique qu’il a jugés vulnérables aux risques découlant du recours à l’informatique, étant donné que les contrôles généraux informatiques favorisent le maintien du fonctionnement efficace des contrôles du traitement de l’information. Un contrôle général informatique ne permet généralement pas à lui seul de répondre à un risque d’anomalies significatives au niveau des assertions. (NCA 315.A150)
Le paragraphe 26 exige que l’auditeur identifie certains contrôles, qu’il en évalue la conception et qu’il détermine s’ils ont été mis en place. Ces contrôles sont : (NCA 315.A151)
-
les contrôles dont l’auditeur prévoit de tester l’efficacité du fonctionnement en vue de déterminer la nature, le calendrier et l’étendue des procédures de corroboration. L’évaluation de ces contrôles fournit à l’auditeur une base pour concevoir des tests des contrôles conformément à la NCA 330. Parmi ces contrôles, il y a ceux qui visent à répondre aux risques pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés;
-
les contrôles visant à répondre aux risques importants et les contrôles afférents aux écritures de journal. L’identification et l’évaluation de ces contrôles par l’auditeur peuvent influer sur sa compréhension des risques d’anomalies significatives et mener à l’identification d’autres risques d’anomalies significatives (voir le paragraphe A95). Cette compréhension fournit à l’auditeur une base pour concevoir des procédures de corroboration dont la nature, le calendrier et l’étendue sont fonction de l’évaluation des risques d’anomalies significatives connexes;
-
les autres contrôles qui, selon le jugement professionnel de l’auditeur, sont appropriés pour permettre à celui‑ci d’atteindre les objectifs énoncés au paragraphe 13 en ce qui a trait aux risques au niveau des assertions.
L’auditeur est tenu d’identifier les contrôles de la composante « activités de contrôle » qui répondent à au moins un des critères énumérés à l’alinéa 26 a), mais lorsqu’il y en a plusieurs qui permettent chacun d’atteindre le même objectif, il n’est pas nécessaire de tous les identifier. (NCA 315.A152)
Parmi les exemples de contrôles de la composante « activités de contrôle », il y a notamment les autorisations et les approbations, les rapprochements, les vérifications (comme les contrôles d’édition ou de validation et les calculs automatisés), la séparation de tâches ainsi que les contrôles physiques ou logiques, y compris ceux qui assurent la sauvegarde des actifs. (NCA 315.A153)
Les contrôles de la composante « activités de contrôle » peuvent aussi comprendre des contrôles mis en place par la direction afin de répondre aux risques d’anomalies significatives découlant d’informations n’ayant pas été préparées conformément au référentiel d’information financière applicable. Ces contrôles peuvent porter sur les informations ne provenant pas du grand livre général et des livres auxiliaires qui sont fournies dans les états financiers. (NCA 315.A154)
Qu’ils concernent l’environnement informatique ou les systèmes manuels, les contrôles peuvent avoir divers objectifs et être exécutés à différents niveaux hiérarchiques et fonctionnels. (NCA 315.A155)
Directives du BVG
Comme l’explique la section BVG Audit 5031, l’acquisition d’une compréhension du système de contrôle interne de l’entité permet à l’auditeur d’identifier et d’évaluer les risques d’anomalies significatives propres à l’entité et facilite l’élaboration de réponses d’audit qui atténuent de façon efficace et efficiente les risques d’anomalies significatives identifiés. L’une des composantes du système de contrôle interne de l’entité que l’auditeur doit comprendre est la composante « activités de contrôle ». Comme l’indique le paragraphe A147 de la NCA 315, cette composante englobe les contrôles – directs et indirects – conçus pour assurer le respect des politiques dans toutes les autres composantes du système de contrôle interne de l’entité. Lors de l’acquisition d’une compréhension de la composante « activités de contrôle » l’auditeur doit chercher à identifier les contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions. Les directives détaillées sur les types de contrôles qui se rattachent généralement à la composante « activités de contrôle » sont présentées ci‑dessous dans la sous‑section « Contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions ».
Ce ne sont pas tous les contrôles relevés dans le cadre d’un audit qui se rattachent à la composante « activités de contrôle » du système de contrôle interne de l’entité soumise à l’évaluation de la conception et de la mise en place. La relation entre les contrôles que l’entité a conçus et ceux que l’auditeur identifiera dans la composante « activités de contrôle » est décrite dans le diagramme ci‑après :
Afin d’assurer le bon fonctionnement de ses activités, l’entité met en place divers contrôles, appelés les « contrôles de l’entité » dans le diagramme ci‑dessus. Ces contrôles répondent habituellement à divers risques opérationnels et d’entreprise. Certains de ces contrôles ne visent pas à répondre aux risques d’anomalies significatives au niveau des états financiers de l’entité. Lors de la planification et de la réalisation de l’audit, l’auditeur se concentre sur les risques d’anomalies significatives au niveau des états financiers et des assertions et sur le sous‑ensemble de contrôles de l’entité qui répondent à ces risques. Ce sous‑ensemble de contrôles est appelé « contrôles pertinents pour la préparation des états financiers » dans le diagramme ci‑dessus. L’auditeur identifie habituellement de tels contrôles lorsqu’il acquiert une compréhension des composantes du système de contrôle interne de l’entité, particulièrement lorsqu’il obtient une compréhension du flux des opérations et des processus opérationnels se rattachant à la composante « système d’information et communications ». Voir la section BVG Audit 5034 pour des directives complémentaires sur la compréhension des activités de traitement de l’information dans le cadre des processus opérationnels.
L’auditeur recense les contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions et qui se rattachent à la composante « activités de contrôle » conformément à l’alinéa 26a) de la NCA 315. Ce sont ces contrôles qui sont assujettis à une évaluation de la conception et de la mise en place. Comme il est expliqué dans la sous‑section « Contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions », en plus de ces contrôles, d’autres contrôles devraient être inclus dans ce sous ensemble conformément à des exigences de NCA autres que la NCA 315. Voir la section BVG Audit 5035.5 pour obtenir des directives complémentaires sur l’évaluation de la conception et de la mise en place. Le dernier sous ensemble de contrôles présenté sur le diagramme comprend les contrôles sur lesquels l’auditeur prévoit s’appuyer pour obtenir des éléments probants. Ces contrôles seraient donc sélectionnés pour les tests sur l’efficacité du fonctionnement. Pour obtenir des directives complémentaires sur ces contrôles, voir la sous‑section « Contrôles sélectionnés pour les tests de l’efficacité du fonctionnement » ci‑après.
Le tableau suivant résume les éléments probants attendus pour chacun des sous‑ensembles de contrôle mentionnés ci‑dessus :
Sous-ensemble de contrôles | Procédures à mettre en œuvre dans le cadre de l’audit. |
---|---|
Contrôles de l’entité qui ne sont pas pertinents pour la préparation des états financiers. |
|
Contrôles pertinents pour la préparation des états financiers. |
|
Contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions et qui sont assujettis à une évaluation de la conception et de la mise en place (voir la sous‑section ci‑après « Contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions ») |
|
Les contrôles sélectionnés pour les tests de l’efficacité du fonctionnement (c.‑à‑d. les contrôles sur lesquels l’auditeur compte s’appuyer) (voir la sous‑section « Contrôles sélectionnés pour les tests de l’efficacité du fonctionnement » ci‑après) |
|
Lorsqu’il met en œuvre les procédures d’audit prévues pour le sous‑ensemble de contrôles individuel, l’auditeur doit se rappeler que les concepts de la conception et de la mise en place ne sont pas les mêmes que le concept de l’efficacité du fonctionnement d’un contrôle interne. Chaque concept est défini ci‑après :
-
Conception : L’évaluation de l’efficacité de la conception de contrôles se rattachant à la composante « activités de contrôles » vise à déterminer si ces contrôles peuvent prévenir ou détecter et corriger en temps opportun une anomalie significative, résultant d’une erreur ou d’une fraude, dans les états financiers.
-
Mise en place : D’après la compréhension acquise sur le contrôle et son jugement professionnel, l’auditeur valide, au moyen de procédures d’inspection, d’observation ou de réexécution, au moins une instance du contrôle, pour obtenir des éléments probants attestant du fait que l’entité a mis le contrôle en place comme il a été conçu. L’auditeur pourrait également retracer une opération tout au long d’un processus opérationnel pour obtenir des éléments probants montrant que le contrôle a été mis en place tel qu’il a été conçu.
Efficacité du fonctionnement : Pour tester l’efficacité du fonctionnement d’un contrôle, il faut tester son fonctionnement au fil du temps au cours d’une période d’audit pour déterminer s’il fonctionne tel qu’il a été conçu. Si l’auditeur prévoit s’appuyer sur le contrôle, il doit tester un échantillon approprié d’instances du fonctionnement du contrôle au cours de la période d’audit. Voir la section BVG Audit 6053 pour obtenir des directives sur les tailles d’échantillon à utiliser pour les tests de l’efficacité du fonctionnement d’un contrôle.
Exigences des NCA
L’auditeur doit acquérir une compréhension de la composante « activités de contrôle » en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.26)
a) identifier les contrôles de la composante « activités de contrôle » visant à répondre aux risques d’anomalies significatives au niveau des assertions, c’est‑à‑dire :
i) les contrôles visant à répondre aux risques identifiés comme des risques importants,
ii) les contrôles afférents aux écritures de journal, y compris les écritures non courantes servant à constater les opérations ou ajustements non récurrents ou inhabituels,
iii) les contrôles dont l’auditeur prévoit de tester l’efficacité du fonctionnement en vue de déterminer la nature, le calendrier et l’étendue des procédures de corroboration, ce qui doit inclure les contrôles visant à répondre aux risques pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés,
iv) les autres contrôles qui, selon le jugement professionnel de l’auditeur, sont appropriés pour permettre à celui‑ci d’atteindre les objectifs énoncés au paragraphe 13 en ce qui a trait aux risques au niveau des assertions;
Directives des NCA
Qu’il prévoie ou non de tester l’efficacité du fonctionnement des contrôles visant à répondre aux risques importants, l’auditeur peut, pour concevoir et mettre en œuvre des procédures de corroboration répondant à ces risques, comme l’exige la NCA 330, se fonder sur la compréhension qu’il a acquise à l’égard de la manière dont la direction répond aux risques importants. Bien que les risques associés à des opérations importantes non courantes ou à des questions importantes nécessitant l’exercice du jugement soient souvent moins susceptibles de faire l’objet de contrôles de routine, il est possible que la direction ait pris d’autres mesures pour faire face à ces risques. En conséquence, pour comprendre si l’entité a conçu et mis en place des contrôles à l’égard des risques importants associés à de telles opérations et questions, l’auditeur peut notamment se demander si, et comment, la direction répond aux risques. Voici certaines des réponses possibles : (NCA 315.A158)
- contrôles tels qu’un examen des hypothèses par la haute direction ou par des experts;
- recours à des processus documentés pour établir des estimations comptables;
- procédure d’approbation par les responsables de la gouvernance.
Exemple : Dans le cas d’un événement isolé, tel que la réception de la signification d’une poursuite importante, l’évaluation de la réponse de l’entité peut notamment consister à déterminer si l’affaire a été soumise à des experts compétents (comme les conseillers juridiques internes ou des avocats externes), si son incidence potentielle a été évaluée et de quelle manière la direction entend présenter la situation dans les états financiers. |
La NCA 240 exige que l’auditeur acquière une compréhension des contrôles liés aux risques d’anomalies significatives résultant de fraudes qu’il a identifiés (ces risques étant considérés comme des risques importants), et explique en outre qu’il est important pour l’auditeur d’acquérir une compréhension des contrôles conçus, mis en place et maintenus par la direction pour prévenir et détecter les fraudes. (NCA 315.A159)
Parmi les contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions que l’auditeur identifie, il est censé y avoir, dans tous les audits, des contrôles afférents aux écritures de journal, étant donné que le transfert des informations entre les systèmes de traitement des opérations et le grand livre général se fait habituellement au moyen d’écritures de journal – courantes ou non, automatisées ou manuelles. Selon la nature de l’entité et la stratégie qu’a définie l’auditeur en ce qui a trait aux procédures d’audit complémentaires, d’autres contrôles peuvent également être identifiés. (NCA 315.A160)
Exemple : Lorsque l’audit porte sur une entité peu complexe, il se peut que le système d’information de l’entité soit simple et que l’auditeur ne prévoie pas de s’appuyer sur l’efficacité du fonctionnement des contrôles. Il se peut aussi que l’auditeur n’ait identifié aucun risque important et aucun autre risque d’anomalies significatives l’obligeant à évaluer la conception des contrôles et à déterminer si ces contrôles ont été mis en place. Il est alors possible que les contrôles afférents aux écritures de journal soient les seuls contrôles identifiés par l’auditeur. |
Dans les systèmes comptables tenus manuellement, les écritures de journal non courantes peuvent être repérées par l’inspection des livres, des journaux et des documents justificatifs. Lorsque des procédures automatisées sont utilisées pour la tenue du grand livre général et la préparation des états financiers, il se peut que ces écritures n’existent que sous forme électronique et qu’elles soient plus facilement repérables par l’application de techniques automatisées. (NCA 315.A161)
Exemple : Lorsque l’audit porte sur une entité peu complexe, il se peut que l’auditeur soit en mesure d’extraire une liste exhaustive des écritures de journal sous forme de feuille de calcul simple. Grâce à cette feuille, il pourra filtrer les écritures de journal (affichage selon la devise ou selon le nom du préparateur ou du réviseur, affichage des écritures ayant une incidence sur le bilan ou l’état des résultats uniquement, etc.) ou les trier selon leur date d’inscription dans le grand livre général, ce qui l’aidera à concevoir des réponses aux risques identifiés relativement aux écritures de journal. |
L’auditeur détermine s’il y a des risques d’anomalies significatives au niveau des assertions pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés. Si tel est le cas, il doit, selon la NCA 330, concevoir et mettre en œuvre des tests sur les contrôles visant à répondre à ces risques. Ces contrôles, lorsqu’il en existe, doivent alors être identifiés et évalués. (NCA 315.A162)
Dans les autres cas, si l’auditeur prévoit de tenir compte de l’efficacité du fonctionnement des contrôles pour déterminer, conformément à la NCA 330, la nature, le calendrier et l’étendue des procédures de corroboration, ces contrôles doivent aussi être identifiés, puisque la NCA 330 exige que l’auditeur conçoive et mette en œuvre des tests à leur égard. (NCA 315.A163)
Exemples : L’auditeur peut prévoir de tester l’efficacité du fonctionnement :
|
Les risques d’anomalies significatives que l’auditeur a identifiés au niveau des états financiers peuvent aussi avoir une incidence sur le fait que celui‑ci prévoie ou non de tester l’efficacité du fonctionnement des contrôles. Par exemple, si l’auditeur relève des déficiences dans l’environnement de contrôle, cela peut influer sur ses attentes quant à l’efficacité du fonctionnement des contrôles directs en général. (NCA 315.A164)
Voici des exemples d’autres contrôles qu’il peut être approprié d’identifier, selon le jugement de l’auditeur, et dont il peut convenir d’évaluer la conception et de vérifier la mise en place : (NCA 315.A165)
-
les contrôles visant à répondre aux risques dont l’évaluation se situe dans la partie supérieure de l’échelle de risque inhérent, mais qui ne sont pas identifiés comme des risques importants;
-
les contrôles liés au rapprochement entre les documents comptables détaillés et le grand livre général;
-
les contrôles complémentaires de l’entité utilisatrice, si l’entité fait appel à une société de services.
L’auditeur identifie les contrôles de la composante « activités de contrôle » conformément au paragraphe 26. Ces contrôles comprennent des contrôles du traitement de l’information et des contrôles généraux informatiques, ces deux types de contrôles pouvant être manuels ou automatisés. Lorsqu’une grande proportion des contrôles concernant l’information financière auxquels la direction a recours ou sur lesquels elle s’appuie sont entièrement ou partiellement automatisés, il peut être d’autant plus important que l’entité mette en place des contrôles généraux informatiques qui assurent le fonctionnement continu des éléments automatisés des contrôles du traitement de l’information. Les contrôles de la composante « activités de contrôle » peuvent avoir trait aux éléments suivants : (NCA 315.Annexe 3.20)
-
les autorisations et les approbations — l’autorisation confirme qu’une opération est valide (c’est‑à‑dire qu’elle représente un événement économique réel ou qu’elle a été conclue conformément à une politique de l’entité). Elle revêt habituellement la forme d’une approbation par un dirigeant d’un échelon supérieur ou d’une vérification visant à établir la validité de l’opération. Un exemple du premier cas serait l’approbation par le superviseur d’une note de frais après examen du caractère raisonnable des frais engagés et de leur conformité à la politique de l’entité. La comparaison automatique du coût unitaire figurant sur la facture à celui qui figure sur le bon de commande et dont le résultat se situe sous le seuil de tolérance préalablement autorisé constitue un exemple d’approbation automatisée. Le traitement des factures dont l’écart se situe sous le seuil de tolérance est automatiquement approuvé. Les factures présentant un écart qui excède le seuil de tolérance sont signalées et font l’objet d’une investigation supplémentaire;
-
les rapprochements — les rapprochements consistent à comparer deux ou plusieurs éléments de données. Lorsque des écarts sont relevés, des mesures sont prises afin de faire concorder les données. Les rapprochements visent généralement à assurer l’exhaustivité ou l’exactitude du traitement des opérations;
-
les vérifications — les vérifications consistent à comparer deux ou plusieurs éléments les uns avec les autres ou par rapport à une politique. Lorsque les éléments ne concordent pas ou qu’un élément n’est pas conforme à la politique, il est fort probable que des mesures de suivi soient prises. Les vérifications visent généralement à assurer l’exhaustivité, l’exactitude ou la validité du traitement des opérations;
-
les contrôles physiques ou logiques, y compris ceux qui assurent la sécurité des actifs contre un accès, une acquisition, une utilisation ou une cession non autorisé — ces contrôles englobent :
- la sécurité physique des actifs, notamment le recours à des sauvegardes adéquates telles que des installations à accès contrôlé pour protéger les actifs et les documents,
- les autorisations nécessaires à l’accès aux programmes informatiques et aux fichiers de données (c’est-à-dire l’accès logique),
- des comptages périodiques et un rapprochement de ces derniers avec les montants figurant dans les documents servant au contrôle (par exemple, comparaison des résultats du comptage de la caisse, des titres de placement et des stocks avec les documents comptables);
La mesure dans laquelle les contrôles physiques visant à prévenir les vols d’actifs sont pertinents pour la préparation d’états financiers fiables dépend des circonstances, notamment de l’importance du risque de détournement associé aux actifs.
-
la séparation des tâches — l’attribution à des personnes différentes des responsabilités relatives à l’autorisation des opérations, à l’enregistrement des opérations et à la garde des actifs vise à réduire les possibilités qu’une même personne puisse commettre et dissimuler des erreurs ou des fraudes dans le cadre normal de ses fonctions.
Par exemple, il n’incombe pas au responsable de l’autorisation des ventes à crédit de tenir les registres des comptes clients ni de s’occuper des encaissements. Si la responsabilité de l’ensemble de ces activités était attribuée à une même personne, celle‑ci pourrait, par exemple, créer une vente fictive pouvant ne pas être détectée. De même, les vendeurs ne devraient pas être en mesure de modifier les listes de prix des produits ni les taux de commission.
Il n’est pas toujours pratique, économique ou possible de séparer les tâches. Par exemple, les petites entités et les entités peu complexes peuvent ne pas disposer des ressources nécessaires pour séparer les tâches de façon idéale, et les coûts découlant de l’embauche de nouveaux employés peuvent être prohibitifs. En pareille situation, la direction peut mettre en place d’autres contrôles. Dans l’exemple précédent, si le vendeur est en mesure de modifier les listes de prix des produits, une activité de contrôle de détection pourrait être effectuée périodiquement par des employés ne relevant pas de la fonction ventes afin de déterminer si le vendeur a modifié des prix et, le cas échéant, dans quelles circonstances.
Certains contrôles peuvent dépendre de l’existence de contrôles de supervision appropriés, établis par la direction ou les responsables de la gouvernance. Ainsi, certaines autorisations peuvent être déléguées dans le cadre de lignes directrices définies (par exemple, des critères d’investissement établis par les responsables de la gouvernance). Par contre, les opérations inhabituelles telles que les acquisitions et les désinvestissements importants peuvent nécessiter l’approbation spécifique d’un niveau hiérarchique supérieur, et même, dans certains cas, l’approbation des actionnaires. (NCA 315.Annexe 3.21)
Directives du BVG
Dans le cadre de l’acquisition d’une compréhension suffisante des systèmes d’information de l’entité et des processus opérationnels connexes pertinents pour l’information financière, l’auditeur obtient habituellement une compréhension des contrôles dont sont pourvus les processus et sous‑processus opérationnels. L’auditeur se concentre sur les contrôles qui, individuellement ou en association avec d’autres, sont susceptibles de prévenir ou de détecter et corriger en temps opportun, des anomalies significatives dans les états financiers. Au moment de déterminer si les contrôles permettront de prévenir ou de détecter des anomalies résultant à la fois d’erreurs et de fraudes, l’auditeur examine leur relation avec les assertions des états financiers pertinentes.
L’alinéa 26a) de la NCA 315 exige de l’auditeur qu’il comprenne, notamment en réalisant une évaluation de leur conception et de leur mise en place, les contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions se rattachant à la composante « activités de contrôle », c’est à‑dire :
-
les contrôles visant à répondre aux risques identifiés comme des risques importants;
-
les contrôles afférents aux écritures de journal, y compris les écritures non courantes servant à constater les opérations ou ajustements non récurrents ou inhabituels;
-
les contrôles dont l’auditeur prévoit de tester l’efficacité du fonctionnement, y compris les contrôles visant à répondre aux risques pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés;
-
les autres contrôles qui, selon le jugement de l’auditeur, sont appropriés pour permettre à celui‑ci d’identifier les contrôles, d’évaluer leur conception et de déterminer s’ils ont été mis en place, qui peuvent comprendre :
- les contrôles visant à répondre aux risques dont l’évaluation se situe dans la partie supérieure de l’échelle de risque inhérent, mais qui ne sont pas identifiés comme des risques importants (c.‑à‑d. des risques élevés);
- les contrôles liés au rapprochement entre les documents comptables détaillés et le grand livre général;
- les contrôles complémentaires de l’entité utilisatrice, si l’entité fait appel à une société de services.
Lorsqu’il identifie les contrôles pertinents pour la préparation des états financiers, l’auditeur doit, aux termes de diverses NCA, comprendre les contrôles dans les divers secteurs suivants :
-
les contrôles se rattachant à la composante « activités de contrôles » liés au processus suivi par la direction pour élaborer des estimations comptables (voir la section BVG Audit 7073.1; NCA 540.13i);
-
les contrôles que, le cas échéant, la direction a mis en place pour identifier, comptabiliser et communiquer les relations et opérations avec les parties liées ou autoriser et approuver les opérations qui sortent du cadre normal des activités de l’entité (voir la section BVG Audit 7532; NCA 550.14);
-
les contrôles se rattachant à la composante « activités de contrôles » au sein de l’entité utilisatrice qui ont rapport aux prestations fournies par la société de services, y compris ceux auxquels sont soumises les opérations traitées par la société de services (voir la section BVG Audit 6042; NCA 402.10);
-
Pour les audits du groupe, les contrôles à l’échelle du groupe conçus, mis en place et maintenus par la direction du groupe liés à l’information financière du groupe (voir la section BVG Audit 2332; NCA 600.17).
S’il est déterminé, après avoir acquis une compréhension d’un contrôle, que celui‑ci se rattache à la composante « activités de contrôle », l’auditeur est tenu d’évaluer l’efficacité de sa conception et de déterminer s’il a été mis en place, comme il est décrit à la section BVG Audit 5035.5. Inversement, s’il est déterminé, après avoir acquis une compréhension d’un contrôle, que celui ci ne se rattache pas à la composante « activités de contrôle », l’auditeur n’est pas tenu d’évaluer l’efficacité de son fonctionnement ou de déterminer s’il a été mis en place comme prévu.
Directives du BVG
Analyses de la performance de l’entité
Les analyses de la performance de l’entité peuvent être des contrôles indirects au niveau de l’entité (CINE), se rattachant habituellement au processus de suivi du système de contrôle interne par l’entité, ou des contrôles directs au niveau de l’entité (CDNE), se rattachant habituellement à la composante « activités de contrôle » du système de contrôle interne de l’entité.
Bien que leurs objectifs puissent se croiser, il y a une différence importante entre les analyses de la performance de l’entité, qui sont un type d’activité de contrôle, et le suivi des contrôles. Le suivi des contrôles vise à évaluer l’efficacité du fonctionnement des contrôles internes, tandis que les analyses de la performance visent à déterminer si certains objectifs mesurables (financiers ou non financiers) sont atteints (p. ex. si l’entité a respecté son budget). Dans certains cas, les analyses de la performance peuvent aussi fournir des informations qui permettent à la direction d’identifier des déficiences du contrôle interne. Même si les contrôles comme ceux visant à surveiller l’activité d’un super‑utilisateur comprennent des activités de suivi ils sont considérés comme des contrôles généraux informatiques et non des analyses de la performance.
Des analyses de la performance dont la conception, la mise en place et le fonctionnement sont efficaces peuvent présenter un degré de précision suffisant pour prévenir adéquatement, ou détecter et corriger en temps opportun, les anomalies significatives relatives à une ou plusieurs assertions pertinentes contenues dans les postes des états financiers. Les tests de l’efficacité du fonctionnement des analyses de la performance qui fonctionnent avec un degré de précision qui, en lui‑même, permettrait de prévenir ou de détecter une anomalie significative en temps opportun, permettront souvent à l’auditeur de réduire le nombre de contrôles du traitement de l’information qu’il devrait, autrement, tester. L’auditeur pourrait pouvoir s’appuyer sur les analyses de la performance conçues pour prévenir, ou détecter et corriger, en temps opportun, une anomalie significative qui pourrait survenir lorsque des contrôles du traitement de l’information sont absents ou déficients.
Il importe de ne pas commencer à tester l’efficacité du fonctionnement de tout contrôle, y compris d’une analyse de la performance, jusqu’à ce que l’efficacité de sa conception ait d’abord été évaluée. Il est important que l’entité soit en mesure de décrire la conception du contrôle en fournissant des informations suffisamment détaillées pour permettre à l’auditeur d’effectuer l’évaluation requise et de documenter le fondement de sa conclusion quant à l’efficacité du fonctionnement de l’analyse de la performance. Selon l’importance du contrôle, le fait de se contenter d’expliquer ou d’évaluer la conception d’un contrôle de la manière suivante : « Jeanne Tremblay, contrôleuse, examine et approuve l’ensemble d’informations aux fins de la préparation du rapport du groupe », ou « le contrôleur de la division effectue une analyse des écarts » ne donne pas d’informations suffisamment détaillées concernant les contrôles exécutés et donc ne fournit pas les informations requises pour que l’auditeur puisse évaluer si le contrôle est conçu d’une manière qui est susceptible de prévenir, ou de détecter et de corriger, en temps opportun, une anomalie significative. En plus de la description détaillée des activités effectuées, il est important de comprendre les mesures prises lorsque des écarts potentiels ou d’autres anomalies du fonctionnement sont identifiés et de connaître le niveau d’écart ou d’anomalie qui déclenchera la nécessité de réaliser d’autres enquêtes et/ou d’apporter des correctifs (c’est à dire le niveau de précision avec lequel le contrôle est censé fonctionner).
Exemple : Le comité d’examen des contrats examine tous les contrats de vente d’une valeur de plus de 50 000 $ afin d’identifier et d’approuver les modalités de tous les contrats de vente qui comportent des obligations de prestations multiples, à l’échelle de l’entité, pour s’assurer (entre autres) que les répercussions comptables ont été identifiées et qu’elles sont assujetties aux contrôles et processus comptables appropriés. Le comité d’examen des contrôles se compose de membres qui ont des connaissances et de l’expérience dans la comptabilisation des produits selon la norme IFRS et qui sont indépendants de la fonction de vente de l’entité. |
La première chose qu’un auditeur doit faire avant de déterminer s’il peut utiliser une analyse de la performance dans le cadre de son audit est d’évaluer l’efficacité de sa conception. Les attributs qui peuvent être pertinents pour l’évaluation de l’efficacité de la conception d’une analyse de la performance comprennent ceux qui doivent être considérés pour d’autres types de contrôle, comme il a été mentionné dans la sous‑section « Aperçu » ci‑dessus, ainsi que d’autres facteurs propres aux analyses de la performance.
Le tableau ci‑après présente un sommaire des attributs à prendre en compte au moment d’évaluer la conception et la mise en place d’une analyse de la performance :
-
l’objectif ou les objectifs du contrôle;
-
le ou les composantes de l’entité (individuellement ou consolidées) visées par le contrôle à évaluer;
-
le ou les comptes de la composante ou des composantes visées par le contrôle;
-
l’autorité et la compétence de la personne qui effectue le contrôle;
-
la fréquence du contrôle;
-
les procédures spécifiques mises en œuvre et le degré de précision et les activités de contrôle connexes (p. ex. un processus comporte des activités et des sous‑processus qui ne sont probablement pas tous des contrôles se rattachant à la composante « activités de contrôle »);
-
la fiabilité des données utilisées lors de l’exécution du contrôle et sa source;
-
les éléments probants disponibles pour confirmer que le contrôle fonctionne comme prévu.
1. Le ou les objectifs du contrôle
Considérations/facteurs | Incidence sur la conception |
---|---|
|
Le ou les objectifs d’un contrôle sont importants parce qu’ils décrivent ce que l’entité compte réussir en exécutant le contrôle (p. ex. prévenir, ou détecter et corriger en temps opportun, une anomalie dans un poste important des états financiers lors de la préparation des états financiers de l’entité conformément au référentiel d’information financière applicable.
|
2. Le ou les composantes de l’entité (individuellement ou consolidées) visées par le contrôle à évaluer
Considérations/facteurs | Incidence sur la conception |
---|---|
|
Les composantes sont décrites à la section BVG Audit 2323. Si une composante n’est pas visée par le contrôle, alors l’auditeur ne peut pas s’appuyer sur ce contrôle comme source d’éléments probants pour cette composante. |
3. Le ou les comptes de la composante ou des composantes visées par le contrôle;
Considérations/facteurs | Incidence sur la conception |
---|---|
|
Si un compte et les opérations qui s’y rattachent ne sont pas visés par le contrôle, l’auditeur ne peut alors pas s’appuyer sur le contrôle qui est lié à ce compte. |
4. L’autorité et la compétence de la personne qui effectue le contrôle
Considérations/facteurs | Incidence sur la conception |
|
Les connaissances et l’expérience que doit posséder le personnel responsable de l’exécution des contrôles dépendent de l’objectif ou des objectifs du contrôle, de la complexité du poste des états financiers et de l’importance relative du contrôle. Un contrôle simple à exécuter, dont le risque associé au compte est faible, nécessite probablement moins de connaissances et d’expérience qu’un contrôle complexe à exécuter, dont le risque associé au compte est plus élevé. En outre, l’exécution de certains contrôles peut nécessiter des compétences spécialisées ou une expertise technique. Si la personne qui réalise le contrôle ne possède pas l’autorité et les compétences nécessaires pour exécuter le contrôle efficacement, cela signifie donc que le contrôle est mal conçu et que l’auditeur ne peut pas s’y fier. (Il doit alors déterminer si une déficience du contrôle doit être identifiée.) L’autorité du personnel responsable de l’exécution du contrôle est généralement prise en compte lors de l’évaluation de la conception du contrôle. L’auditeur évalue si le personnel responsable dispose des pouvoirs appropriés et proportionnels à ses responsabilités professionnelles pour exécuter les activités spécifiques. De plus, la séparation des tâches devrait être envisagée lors de l’évaluation de la personne/des personnes qui réalisent le contrôle. Par exemple, si l’auditeur prévoit obtenir des éléments probants à partir d’une analyse de la performance en raison de déficiences identifiées dans le fonctionnement d’un contrôle du traitement de l’information sur lequel il comptait initialement s’appuyer et que la personne exécutant ces deux contrôles est la même, l’analyse de la performance pourrait ne pas compenser adéquatement la déficience du contrôle du traitement de l’information. |
5. La fréquence du contrôle
Considérations/facteurs | Incidence sur la conception |
---|---|
|
La fréquence du contrôle peut avoir une incidence sur son efficacité pour ce qui est de prévenir ou de détecter une anomalie ou de compenser efficacement une déficience d’un contrôle au niveau d’une opération, selon l’objectif fixé pour le contrôle (p. ex. une analyse de la performance annuelle ne suffira peut-être pas à compenser un contrôle du traitement de l’information qui est effectué plusieurs fois par jour en vue de détecter en temps opportun une erreur). |
6. Les procédures spécifiques mises en œuvre et le degré de précision et les activités de contrôle connexes (p. ex. un processus comporte des activités et des sous-processus qui ne sont probablement pas tous des contrôles se rattachant à la composante « activités de contrôle »)
Considérations/facteurs | Incidence sur la conception |
---|---|
|
Pour qu’un contrôle soit efficace en vue de prévenir ou de détecter une anomalie, lesprocédures spécifiques, qui sont des contrôles à exécuter, doivent être conçues et réalisées de manière à atteindre l’objectif du contrôle. De plus, elles doivent avoir un degré de précision suffisamment élevé pour pouvoir détecter une anomalie significative. Déterminer si le degré de précision d’un contrôle est suffisant demande beaucoup de jugement. Parmi les facteurs qui peuvent être pris en compte pour évaluer le degré de précision d’une analyse de la performance, il y a :
Le caractère suffisant du degré de précision dépend du risque que le contrôle ne parvienne pas à détecter de petites anomalies qui prises ensemble pourraient constituer une anomalie significative (c.‑à‑d. le risque de cumul). |
7. La fiabilité des données utilisées lors de l’exécution du contrôle et sa source (dépendance aux TI)
Considérations/facteurs | Incidence sur la conception |
---|---|
L’auditeur doit se poser les questions suivantes lorsqu’il évalue comment la direction obtient des éléments probants sur la fiabilité des données utilisées lors de l’exécution du contrôle :
|
Pour que le contrôle soit conçu de manière efficace, la direction doit prendre des mesures pour vérifier que les données utilisées par le contrôle sont fiables. Par conséquent, dans le cadre de l’évaluation de la conception, l’auditeur doit comprendre et évaluer comment la direction obtient l’assurance que les rapports générés par le système et d’autres données utilisées dans l’exécution du contrôle et importantes pour le contrôle sont fiables (c’est‑à‑dire complètes et exactes). |
8. Les éléments probants disponibles pour confirmer que le contrôle fonctionne comme prévu
Considérations/facteurs | Incidence sur la conception |
---|---|
Quels sont les éléments probants disponibles pour toutes les sous‑activités pertinentes (surtout pour les contrôles plus complexes)? |
Afin de pouvoir utiliser un contrôle en vue de contrer un risque, l’auditeur doit déterminer si le contrôle est conçu de manière à lui fournir des éléments probants suffisants pour tester l’efficacité de son fonctionnement. |
Même si le tableau qui précède met l’accent sur des facteurs précis qui peuvent influer sur l’examen de l’efficacité de la conception des analyses de la performance, ces facteurs peuvent aussi être pertinents pour l’évaluation de d’autres types de contrôle d’examen (p. ex. les contrôles visant la revue des écritures de journal soumises, les feuilles de calcul ou les méthodes, hypothèses ou données utilisées pour élaborer des estimations).
L’auditeur examine les facteurs pertinents dans le cadre de son évaluation de la conception et de la mise en place du contrôle. Lorsqu’il évalue la conception d’une analyse de la performance, l’auditeur doit aussi déterminer si le contrôle est susceptible d’atteindre les objectifs établis s’il est systématiquement appliqué. Pour ce faire, il doit notamment tenir compte des facteurs pertinents suivants :
- L’objectif ou les objectifs du contrôle peuvent‑ils être atteints?
- A-t‑il été prouvé par le passé que le contrôle fonctionne de manière efficace? Qu’est‑ce qui le prouve?
- Le contrôle a‑t‑il déjà échoué à prévenir ou à détecter des anomalies pour lesquelles il avait été conçu?
- Y a-t‑il d’autres contrôles (de supervision ou autre) conçus pour surveiller l’efficacité du contrôle?
- Y a-t‑il d’autres contrôles qui fonctionnent avec ce contrôle pour atteindre l’objectif ou les objectifs établis?
Directives du BVG
Lorsque l’auditeur sélectionne les contrôles pour les tests de l’efficacité du fonctionnement, il s’intéresse uniquement aux contrôles conçus pour prévenir ou détecter en temps opportun les anomalies significatives, individuellement ou collectivement, pour une assertion pertinente. Les contrôles sélectionnés pour les tests de l’efficacité du fonctionnement sont généralement des contrôles qui permettent d’obtenir les moyens les plus efficaces ou efficients d’obtenir les éléments probants relativement à une ou plusieurs assertions pertinentes contenues dans un ou plusieurs postes des états financiers. Comme il est expliqué dans la sous‑section « Aperçu » ci‑dessus, ces contrôles, communément appelés « contrôles sélectionnés » forment un sous groupe de contrôles assujettis à l’évaluation de la conception et de la mise en place qui sont eux‑mêmes un sous groupe des contrôles pertinents pour la préparation des états financiers.
L’identification et la sélection des contrôles à tester nécessitent l’exercice du jugement. Par exemple, il n’est pas nécessaire de tester les contrôles qui :
a. ne répondent pas au risque identifié;
b. répondent au risque identifié, mais pour lequel l’auditeur a d’autres sources d’éléments probants (p. ex. d’autres contrôles ou des éléments probants de corroboration) qui sont un moyen plus efficace et efficient d’obtenir des éléments probants suffisants.
Exemple :
Il existe un risque d’anomalies significatives lié aux achats et créditeurs du fait que les achats pourraient ne pas être autorisés de manière appropriée.
L’auditeur identifie deux contrôles lors d’un test de cheminement pour l’aider à comprendre le processus opérationnel bout en bout des achats et créditeurs :
-
Le contrôle A est un contrôle automatisé qui requiert l’approbation d’un superviseur avant qu’un article puisse être demandé pour l’achat (c’est‑à‑dire avant qu’un bon de commande ne puisse être traité).
-
Le contrôle B est un contrôle manuel exécuté par le directeur du service des achats qui consiste à vérifier que toutes les demandes d’achat d’articles sont soumises aux fournisseurs autorisés, que les autorisations appropriées ont été obtenues (le même risque que celui traité par le contrôle A) et que les coordonnées bancaires pour le paiement n’ont pas changé.
Dans ce cas, en partant du principe que le contrôle B est conçu et mis en place pour répondre à ce risque d’anomalies significatives, l’auditeur planifierait vraisemblablement de tester l’efficacité du fonctionnement du contrôle B. Il ne serait pas nécessaire de tester le contrôle A, car un niveau suffisant de confiance dans les contrôles peut être obtenu grâce au fonctionnement efficace du contrôle B tout au long de la période d’audit.
Ce ne sont pas tous les contrôles assujettis à une évaluation de la conception et de la mise en place qui seront sélectionnés pour des tests de l’efficacité du fonctionnement. Par exemple, même si l’auditeur est tenu d’évaluer la conception et la mise en place d’un contrôle répondant aux assertions pertinentes associées à un risque important, il ne sélectionnerait pas nécessairement ce contrôle aux fins de la réalisation d’un test de l’efficacité du fonctionnement s’il conclut qu’il peut obtenir des éléments probants suffisants et appropriés en mettant en œuvre des procédures de corroboration. Un contrôle sélectionné est donc un contrôle sur lequel l’auditeur prévoit s’appuyer pour tester l’efficacité du fonctionnement, car :
-
le contrôle est un moyen efficace de recueillir des éléments probants pour répondre au risque évalué d’anomalies significatives au niveau des assertions;
-
le contrôle en question a été conçu et fonctionne à un niveau de précision approprié;
-
le contrôle répond au risque identifié d’anomalies significatives résultant d’une erreur ou d’une fraude;
-
il est efficace de tester ce contrôle pour obtenir le niveau prévu d’appui sur les contrôles.
Lors de la sélection des contrôles pour les tests de l’efficacité du fonctionnement, l’auditeur doit d’abord considérer s’il peut s’appuyer sur les contrôles directs au niveau de l’entité, puisqu’ils sont souvent conçus pour couvrir de multiples assertions liées à un poste des états financiers, à condition que le contrôle soit conçu pour fonctionner à un niveau de précision suffisant. La section BVG Audit 6051 fournit des directives complémentaires sur la sélection des contrôles à tester.
Au moment de sélectionner les contrôles pour les tests de l’efficacité du fonctionnement, l’auditeur peut suivre l’approche suivante qui résume l’approche pratique des directives fournies ci‑dessus :
-
L’auditeur doit obtenir une compréhension des contrôles de l’entité pertinents pour la préparation des états financiers lorsqu’il met en œuvre des procédures visant à comprendre et à évaluer le système de contrôle interne de l’entité.
-
Une fois que l’auditeur a acquis une compréhension de l’entité et de son environnement, ainsi que du système de contrôle interne de l’entité, et qu’il a déterminé les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes, ainsi que les assertions pertinentes, il doit identifier les contrôles au niveau de l’entité et les contrôles du traitement de l’information qui répondent aux risques identifiés d’anomalies significatives au niveau des assertions. Puis, il sélectionne les contrôles qui, selon lui, constituent un moyen efficace et efficient d’obtenir des éléments probants à l’égard des risques d’anomalies significatives au niveau des assertions qui ont été recensés.
-
Dans le cas des contrôles sélectionnés pour les tests de l’efficacité du fonctionnement, l’auditeur doit déterminer si les contrôles directs au niveau de l’entité sont conçus efficacement et s’ils sont suffisamment précis pour prévenir, ou détecter et corriger en temps opportun, les risques identifiés d’anomalies significatives au niveau des assertions. Une analyse de la performance est un exemple de ce type de contrôle. Le niveau d’assurance découlant d’un test de l’efficacité du fonctionnement d’une analyse de la performance dépend de nombreux facteurs – voir la sous‑section précédente « Compréhension et évaluation des contrôles d’analyse de la performance » pour obtenir des directives complémentaires.
-
L’auditeur doit examiner le niveau d’éléments probants obtenus dans le cadre des tests des contrôles directs au niveau de l’entité et déterminer s’il doit obtenir d’autres éléments probants sur les contrôles relatifs aux assertions pertinentes (p. ex. si le contrôle au niveau de l’entité ne fonctionne pas à un niveau de précision suffisant, l’auditeur doit penser à tester aussi les contrôles du traitement de l’information).
-
Les contrôles directs au niveau de l’entité et les contrôles du traitement de l’information sélectionnés pour les tests de l’efficacité du fonctionnement sont tous les deux assujettis à une évaluation de la conception et de la mise en œuvre conformément aux exigences de l’alinéa 26d) de la NCA 315.
Dans le cas d’un audit récurrent où l’auditeur s’est appuyé sur les contrôles pour les audits antérieurs, il peut être efficace et efficient de tester l’efficacité du fonctionnement de ces contrôles lors de la mise à jour de l’évaluation de leur conception et de leur mise en place. Puisque les procédures d’évaluation de la conception et de la mise en place des contrôles et les tests de l’efficacité du fonctionnement ont deux objectifs différents, il est important que la documentation de ces procédures reflète les éléments probants à l’appui des travaux d’audit réalisés pour répondre à chacun de ces objectifs. Si les procédures sont mises en œuvre simultanément avant la fin de la période, il faut envisager d’exécuter des tests de mise à jour de l’efficacité du fonctionnement de ces contrôles (voir la section BVG Audit 6055 pour obtenir des directives sur les tests de mise à jour des contrôles).
Directives du BVG
L’auditeur évalue au début de l’audit si les contrôles directs au niveau de l’entité (CDNE) sont conçus efficacement, notamment s’ils ont un degré de précision suffisant pour répondre aux risques d’anomalies significatives au niveau des assertions, parce que le résultat de cette évaluation est une considération importante dans le cadre du processus de planification de l’audit. L’accent mis sur les contrôles importants pour la prévention et la détection des anomalies significatives dans les états financiers résultant d’une erreur ou d’une fraude, y compris les contrôles portant sur le risque de contournement des contrôles par la direction (s’il y a lieu), fait partie intégrante de l’examen des contrôles directs au niveau de l’entité. Ces contrôles permettent à l’auditeur de comprendre les contrôles de l’entité sur son information financière; plus les contrôles directs au niveau de l’entité sont précis, plus l’auditeur a besoin d’éléments probants pour tester l’efficacité du fonctionnement tout au long de la période d’audit. L’auditeur pourrait avoir moins de contrôles du traitement de l’information à tester si les contrôles directs au niveau de l’entité sont suffisamment précis pour prévenir ou détecter des anomalies significatives. L’incidence de l’évaluation et des tests des contrôles directs au niveau de l’entité sur la nature, le calendrier et l’étendue des tests des contrôles du traitement de l’information peut grandement varier selon les circonstances propres à l’entité, le poste des états financiers applicable et/ou les assertions pertinentes pour le risque d’anomalies significatives. Voir la section BVG Audit 5040 pour mieux comprendre les assertions pertinentes et la manière dont elles influent sur les procédures d’audit. L’évaluation des contrôles directs au niveau de l’entité et du degré de précision de leur fonctionnement a une incidence sur la nature et l’étendue des tests que l’auditeur peut par ailleurs devoir effectuer sur les contrôles du traitement de l’information.
Le continuum ci‑dessous illustre l’incidence des contrôles au niveau de l’entité et le niveau de précision sur une assertion pertinente relative à un poste important des états financiers :
À l’extrémité droite du continuum se trouvent les contrôles directs au niveau de l’entité (CDNE) conçus pour atteindre un degré de précision leur permettant par eux‑mêmes de prévenir ou de détecter en temps opportun des anomalies significatives touchant une ou plusieurs assertions pertinentes. Au milieu du continuum se trouvent des contrôles visant à surveiller l’efficacité d’autres contrôles ou des contrôles et procédures conçus pour repérer d’éventuels écarts dans les contrôles du traitement de l’information. À l’extrémité gauche du continuum figurent les contrôles indirects au niveau de l’entité (CINE), par exemple des contrôles appartenant à la composante « environnement de contrôle » qui n’ont pas de lien direct avec une assertion pertinente relative à un poste important des états financiers en particulier et qui, de ce fait, ne permettent pas intrinsèquement de prévenir ou de détecter en temps opportun des anomalies significatives touchant une ou plusieurs assertions pertinentes.
Les contrôles au niveau de l’entité peuvent influer sur la nature, le calendrier et l’étendue des tests des contrôles, quelle que soit leur position dans le continuum. Cependant, grâce aux contrôles au niveau de l’entité ayant un degré de précision leur permettant à intrinsèquement de prévenir ou de détecter en temps opportun une anomalie significative, l’auditeur est souvent en mesure de réduire le nombre et les types de contrôles du traitement de l’information qu’il aurait autrement à tester, de même que l’étendue des tests.
Il convient, pour déterminer la nature, le calendrier et l’étendue des tests visant les contrôles, de tenir compte de l’efficacité des contrôles indirects au niveau de l’entité. Prenons par exemple un contrôle indirect au niveau de l’entité où la direction a mis en œuvre un manuel de politique décrivant les méthodes et les procédures de l’entité en matière de perfectionnement continu des employés et où la direction surveille l’achèvement de la formation requise. Ce type de contrôle pourrait fournir des éléments probants indirects montrant qu’un membre du personnel qui exécute un contrôle lié au rapprochement entre le grand livre auxiliaire des créditeurs et le grand livre général a reçu une formation adéquate. Ces éléments probants obtenus à partir d’un contrôle indirect au niveau de l’entité pourraient permettre à l’auditeur de réduire la nature, le calendrier et l’étendue des tests qu’il doit effectuer sur l’efficacité du fonctionnement de ce contrôle de rapprochement (p. ex. plus d’inspections et moins de réexécution d’instances individuelles des contrôles).
Lorsque le degré de précision avec lequel un contrôle au niveau de l’entité fonctionne se situe près ou en dessous des seuils de signification établis, il y a une plus grande probabilité que le contrôle au niveau de l’entité permette de prévenir ou de détecter par lui‑même une anomalie significative. Par conséquent, il se peut que moins de tests des contrôles au niveau du traitement de l’information ou des applications soient nécessaires. Si un contrôle au niveau de l’entité fonctionne à un degré de précision suffisant pour prévenir ou détecter en temps opportun une anomalie significative et répond aux objectifs de contrôle liés à une ou à plusieurs assertions pertinentes contenues dans les états financiers au sujet d’un poste important des états financiers, il se peut qu’il ne soit pas nécessaire de tester des contrôles additionnels à l’égard de ces mêmes assertions pertinentes, autrement que pour obtenir des éléments probants sur l’efficacité des contrôles liés à l’exhaustivité et à l’exactitude de l’information ou des données utilisées pour le contrôle au niveau de l’entité (c.‑à‑d. les données sous‑jacentes utilisées par la direction pour effectuer des analyses de la performance).
Pour la plupart des entités, les contrôles indirects au niveau de l’entité et les contrôles de suivi de l’efficacité d’autres contrôles sont beaucoup plus fréquents que les contrôles au niveau de l’entité qui sont conçus et qui fonctionnent avec un degré de précision suffisant pour prévenir ou détecter une anomalie significative, qu’elle soit due à une fraude ou à une erreur. Par conséquent, même si, en sélectionnant et en testant des contrôles au niveau de l’entité, l’auditeur peut obtenir des éléments probants de manière efficace et efficiente, dans bien des cas, la présence de contrôles au niveau de l’entité n’entraînera pas l’élimination des tests de contrôle au niveau du traitement de l’information, des applications, des bases de données, du système d’exploitation et des réseaux.