Manuel de la vérification annuelle

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5036 Composantes du contrôle interne — Processus de suivi du système de contrôle interne par l’entité
sept.-2022

Contenu de la présente section

Compréhension du processus de suivi du système de contrôle interne par l’entité

Compréhension de la fonction d’audit interne de l’entité

Adaptabilité

Compréhension des sources de l’information utilisée

Évaluation du processus de suivi du système de contrôle interne par l’entité

Compréhension du processus de suivi du système de contrôle interne par l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus de suivi du système de contrôle interne par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.24)

a) comprendre les aspects du processus de l’entité se rapportant :

i) aux évaluations continues et ponctuelles visant à faire un suivi de l’efficacité des contrôles, ainsi qu’à l’identification et à la correction des déficiences du contrôle relevées,

Directives des NCA

Pour comprendre comment l’entité effectue le suivi de son système de contrôle interne, il peut être pertinent pour l’auditeur de prendre en considération des éléments tels que : (NCA 315.A116)

  • la conception des activités de suivi (activités périodiques ou continues, par exemple);
  • l’exécution et la fréquence des activités de suivi;
  • l’évaluation en temps opportun des résultats des activités de suivi aux fins de l’évaluation de l’efficacité des contrôles;
  • la manière dont l’entité a pris des mesures correctives appropriées pour corriger les déficiences relevées, y compris ce qui a été fait pour communiquer ces déficiences en temps opportun aux personnes chargées de prendre des mesures correctives.

L’auditeur peut aussi prendre en considération la façon dont s’effectue, dans le processus de suivi du système de contrôle interne par l’entité, le suivi des contrôles du traitement de l’information dont le fonctionnement repose sur le recours à l’informatique, tels que : (NCA 315.117)

  • les contrôles de suivi d’environnements informatiques complexes qui visent :
    • soit à évaluer l’efficacité continue de la conception des contrôles du traitement de l’information et à modifier ces contrôles, au besoin, pour tenir compte de changements de circonstances,
    • soit à évaluer l’efficacité du fonctionnement des contrôles du traitement de l’information;
  • les contrôles de suivi des autorisations se rapportant aux contrôles du traitement de l’information qui sont automatisés et qui assurent la séparation des tâches;
  • les contrôles de suivi de l’identification et de la correction des erreurs ou des déficiences du contrôle liées à l’automatisation du processus d’information financière.

Le processus de suivi du système de contrôle interne par l’entité est le processus continu au moyen duquel l’entité évalue l’efficacité de son système de contrôle interne et prend les mesures correctives nécessaires en temps opportun. Il peut comporter des activités continues, des évaluations ponctuelles (réalisées périodiquement), ou une combinaison des deux. Les activités de suivi continues sont souvent intégrées aux activités récurrentes normales d’une entité et peuvent comprendre des activités courantes de gestion et de supervision. L’étendue et la fréquence du processus varient généralement en fonction de l’évaluation des risques que fait l’entité. (NCA 315.Annexe 3.10)

Parmi les contrôles afférents au processus de suivi du système de contrôle interne par l’entité, y compris ceux qui assurent le suivi de contrôles sous-jacents automatisés, il peut y avoir des contrôles automatisés, des contrôles manuels, ou une combinaison des deux. Par exemple, pour assurer le suivi des accès à une technologie, une entité peut avoir recours à des contrôles automatisés (rapports générés automatiquement pour signaler toute activité inhabituelle à la direction) et à des contrôles manuels (investigation par la direction des exceptions relevées). (NCA 315.Annexe 3.12)

Pour faire la distinction entre une activité de suivi et un contrôle afférent au système d’information, il faut tenir compte des détails sous-jacents de l’activité, particulièrement si elle suppose la réalisation d’examens par des superviseurs. Ces examens ne sont pas considérés d’emblée comme des activités de suivi, et la question de savoir si un examen est considéré comme une activité de suivi ou comme un contrôle afférent au système d’information peut relever du jugement. Par exemple, le but d’un contrôle de l’exhaustivité mensuel est de détecter et de corriger des erreurs, tandis que celui d’une activité de suivi consiste à identifier la cause des erreurs et à confier à la direction la responsabilité de corriger le processus afin de prévenir d’autres erreurs. Autrement dit, un contrôle afférent au système d’information vise à répondre à un risque spécifique, tandis qu’une activité de suivi permet d’évaluer si les contrôles de chacune des cinq composantes du système de contrôle interne de l’entité fonctionnent comme prévu. (NCA 315.Annexe 3.13)

Directives du BVG

Activités de suivi continues

Les activités de suivi continues (contrôles) sont intégrées aux activités récurrentes normales d’une entité, soit au niveau de l’entité même, soit au niveau des processus opérationnels, et comprennent des activités courantes de gestion et de supervision centrées sur l’efficacité du fonctionnement du contrôle.

Exemple :

Un comptable est chargé de rapprocher chaque mois le compte des remises. Le contrôleur adjoint revoit les rapprochements préparés par le comptable pour s’assurer qu’ils sont faits et préparés de manière appropriée et qu’un suivi adéquat est réalisé pour traiter les éléments de rapprochement (c.‑à‑d. que l’objectif de l’activité de suivi continue effectuée par le contrôleur adjoint est de déterminer si le contrôle, à savoir le rapprochement, est efficace).

L’utilisation des informations obtenues de tiers peut faire partie des activités de suivi continues. La rubrique « Compréhension des sources de l’information utilisée » contient des directives sur la compréhension des sources de l’information utilisée dans le processus de suivi du système de contrôle interne par l’entité.

Les évaluations des performances de l’entité sont une forme de suivi en continu. Elles sont pertinentes pour deux composantes du contrôle interne : le suivi du système de contrôle interne et les activités de contrôle. Voir la section BVG Audit 5035.1 pour obtenir des directives complémentaires sur les facteurs qui peuvent être pertinents pour évaluer l’efficacité de la conception des évaluations des performances.

Évaluations distinctes (suivi périodique)

Le but des évaluations distinctes est d’effectuer un suivi périodique de l’efficacité du système de contrôle interne de l’entité, et de prendre les mesures correctives nécessaires en temps opportun. Des évaluations distinctes sont souvent effectuées par la fonction d’audit interne (voir les directives complémentaires sur le rôle de l’audit interne en tant que contrôle à la section BVG Audit 6031), mais peuvent être effectuées par d’autres fonctions en l’absence d’une fonction d’audit interne. L’évaluation peut être effectuée à la demande des responsables de la gouvernance ou du comité d’audit, de la haute direction, ou des directeurs des unités de gestion et des divisions. Ces évaluations périodiques produisent de l’information sur le fonctionnement du contrôle interne. Elles donnent lieu à des observations sur les points forts et les déficiences du contrôle et à des recommandations visant à améliorer le contrôle interne, le cas échéant.

Exemple :

Il y aurait lieu d’instituer pendant une certaine période un suivi périodique du contrôle sous la forme d’examens additionnels de surveillance des demandes en garantie des clients pour un nouveau produit. Dans le cadre du suivi périodique du contrôle, les auditeurs internes pourraient visiter le service des réclamations pour examiner certaines réclamations relatives au nouveau produit qui y sont traitées afin de déterminer si les processus et les contrôles afférents à l’examen et à l’approbation des demandes en garantie des clients sont conçus et fonctionnent de façon adéquate. La décision de demander l’intervention du service d’audit interne pourra venir du responsable du traitement des réclamations ou d’une personne de niveau hiérarchique plus élevé.

Pour comprendre comment l’entité effectue le suivi de son système de contrôle interne, l’auditeur doit aussi examiner la manière dont l’entité communique les déficiences relevées aux personnes chargées de prendre des mesures correctives et évaluer si les mesures prises sont appropriées. Par exemple, la direction pourrait communiquer les déficiences relevées au comité d’audit (ou à une fonction équivalente). En général, l’auditeur pourrait acquérir une meilleure compréhension des mesures correctives communiquées et de toute mesure corrective prévue en assistant à une réunion, en adressant des demandes d’informations additionnelles aux membres du comité d’audit et/ou en inspectant les comptes rendus des réunions qui ont traité des déficiences et des mesures correctives prévues.

Compréhension de la fonction d’audit interne de l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus de suivi du système de contrôle interne par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.24)

a) comprendre les aspects du processus de l’entité se rapportant :

ii) à la fonction d’audit interne de l’entité (lorsque cette fonction existe), notamment sa nature, ses responsabilités et ses activités;

Directives des NCA

Les réponses aux demandes d’informations adressées aux personnes appropriées au sein de la fonction d’audit interne aident l’auditeur à acquérir une compréhension de la nature des responsabilités de la fonction d’audit interne. Si l’auditeur détermine que les responsabilités de la fonction ont un rapport avec l’information financière de l’entité, il peut acquérir une meilleure compréhension des activités qui ont été ou qui seront réalisées par la fonction d’audit interne en examinant, le cas échéant, le plan d’audit élaboré par celle‑ci pour la période et en s’entretenant de ce plan avec les personnes appropriées au sein de la fonction. Cette compréhension ainsi que les informations obtenues grâce aux demandes d’informations peuvent également fournir des informations qui sont directement pertinentes pour l’identification et l’évaluation des risques d’anomalies significatives par l’auditeur. Si, compte tenu de la compréhension préliminaire qu’il a acquise de la fonction d’audit interne, l’auditeur compte s’appuyer sur les travaux de la fonction d’audit interne pour modifier la nature ou le calendrier des procédures d’audit à mettre en œuvre ou pour en réduire l’étendue, la NCA 610 s’applique. (NCA 315.A118)

Les objectifs des fonctions d’audit interne et l’étendue de leurs attributions englobent généralement des activités conçues pour évaluer et assurer le suivi de l’efficacité du système de contrôle interne de l’entité. Le processus de suivi de ce système par l’entité peut comporter des activités telles que l’examen par la direction des rapprochements bancaires pour s’assurer qu’ils sont établis en temps opportun, l’évaluation par les auditeurs internes du respect par le personnel de vente de la politique de l’entité concernant les modalités des contrats de vente, et la surveillance par le service juridique du respect de la politique de l’entité en matière d’éthique ou de pratiques commerciales. Le suivi a aussi pour but d’assurer que les contrôles continuent de fonctionner efficacement au fil du temps. Par exemple, si la périodicité et l’exactitude des rapprochements bancaires ne font pas l’objet de suivi, il est probable que le personnel cessera de les préparer. (NCA 315.Annexe 3.11)

Les objectifs et l’étendue de la fonction d’audit interne, la nature de ses responsabilités et son statut au sein de l’organisation, y compris ses pouvoirs et ses obligations de reddition de comptes, varient grandement et dépendent de la taille, de la complexité et de la structure de l’entité ainsi que des exigences de la direction et, le cas échéant, des responsables de la gouvernance. Ces questions peuvent être indiquées dans une charte ou un mandat d’audit interne. (NCA 315.Annexe 4.1)

La fonction d’audit interne peut, par exemple, avoir la responsabilité de mettre en œuvre des procédures et d’en évaluer les résultats afin de fournir une assurance à la direction et aux responsables de la gouvernance sur la conception et l’efficacité des processus de gestion des risques et de gouvernance et du système de contrôle interne de l’entité. Le cas échéant, la fonction d’audit interne peut jouer un rôle important dans le processus de suivi du système de contrôle interne par l’entité. Toutefois, il est possible que les responsabilités de la fonction d’audit interne se concentrent principalement sur l’évaluation de l’économie, de l’efficience et de l’efficacité avec lesquelles sont réalisées les activités, et que, le cas échéant, ses travaux n’aient aucun rapport direct avec l’information financière de l’entité. (NCA 315.Annexe 4.2)

Si l’entité a une fonction d’audit interne, les demandes d’informations adressées aux personnes appropriées au sein de la fonction peuvent fournir des informations utiles à l’auditeur pour l’acquisition d’une compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité, et pour l’identification et l’évaluation des risques d’anomalies significatives au niveau des états financiers et au niveau des assertions. Dans le cadre de ses travaux, la fonction d’audit interne a probablement obtenu des informations sur les activités et les risques d’entreprise de l’entité, et peut avoir fait des constatations. Par exemple, elle peut avoir identifié des déficiences du contrôle ou bien des risques, et ces constatations peuvent être d’une grande utilité pour l’auditeur dans sa compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité, et dans son évaluation des risques et d’autres aspects de l’audit. L’auditeur procède donc à des demandes d’informations, qu’il ait ou non l’intention de s’appuyer sur les travaux de la fonction d’audit interne pour modifier la nature ou le calendrier des procédures d’audit à mettre en œuvre ou pour en réduire l’étendue. Les demandes d’informations portant sur des questions soulevées par la fonction d’audit interne auprès des responsables de la gouvernance et sur les résultats de son propre processus d’évaluation des risques peuvent être particulièrement pertinentes. (NCA 315 Annexe 4.3)

Si, par leur nature, les responsabilités et les activités de certification de la fonction d’audit interne ont un rapport avec l’information financière de l’entité, il se peut que l’auditeur puisse s’appuyer sur les travaux de la fonction d’audit interne pour modifier la nature ou le calendrier des procédures d’audit qu’il mettra en œuvre lui‑même pour obtenir des éléments probants, ou pour réduire l’étendue de ces procédures. L’auditeur peut être plus susceptible de pouvoir utiliser les travaux de la fonction d’audit interne de l’entité si, par exemple, l’expérience des audits précédents ou les procédures d’évaluation des risques de l’auditeur semblent indiquer que la fonction d’audit interne de l’entité dispose de ressources adéquates et appropriées compte tenu de la complexité de l’entité et de la nature de ses activités, et qu’elle relève directement des responsables de la gouvernance. (NCA 315.Annexe 4.8)

Comme il est expliqué plus en détail dans la NCA 610, les activités d’une fonction d’audit interne sont distinctes des autres contrôles de suivi susceptibles d’être pertinents pour l’information financière, comme les examens de l’information comptable de la direction conçus pour renforcer les moyens que prend une entité pour prévenir ou détecter les anomalies. (NCA 315.Annexe 4.10)

La mise en place d’une communication soutenue avec les personnes appropriées au sein de la fonction d’audit interne de l’entité dès le début de la mission et le maintien de cette communication tout au long de la mission peuvent favoriser l’efficacité de l’échange d’informations. Le climat ainsi créé fait que l’auditeur peut être informé de toute question importante qui a retenu l’attention de la fonction d’audit interne et qui peut avoir une incidence sur les travaux de l’auditeur. La NCA 200 traite de l’importance pour l’auditeur de faire preuve d’esprit critique lors de la planification et de la réalisation de l’audit, ce qui implique d’être attentif aux informations qui remettent en question la fiabilité des documents et des réponses aux demandes d’informations devant servir d’éléments probants. Le maintien d’une communication avec la fonction d’audit interne tout au long de la mission peut donner aux auditeurs internes l’occasion d’attirer l’attention de l’auditeur sur de telles informations. L’auditeur peut alors en tenir compte dans son identification et son évaluation des risques d’anomalies significatives. (NCA 315.Annexe 4.11)

Directives du BVG

En acquérant une compréhension des responsabilités, des tâches et du statut de la fonction d’audit interne (ou son équivalent) au sein de l’entité et en demandant des informations aux membres de la fonction d’audit interne, l’auditeur obtient des informations qui peuvent contribuer à ses procédures d’évaluation des risques.

Pour approfondir sa compréhension de la fonction d’audit interne, l’auditeur peut se poser les questions suivantes :

  • Quel est le mandat de la fonction d’audit interne (charte d’audit interne) tel que prescrit par le comité d’audit?
  • Quel est le statut de la fonction d’audit interne au sein de l’organisation de l’entité? Par exemple, la fonction relève-t-elle directement du comité d’audit ou des responsables de la gouvernance?
  • De quelle manière la fonction d’audit interne est‑elle structurée par rapport à l’organisation de l’entité et à ses activités?
  • La fonction d’audit interne exécute-t-elle des activités de contrôle qui peuvent être considérées comme faisant partie des opérations quotidiennes de l’entité au lieu de faire un suivi objectif de ces activités?
  • La fonction d’audit interne dispose-t-elle de suffisamment de personnel et des ressources nécessaires pour pouvoir s’acquitter efficacement de ses responsabilités?

L’auditeur peut aussi envisager de prendre les mesures suivantes pour améliorer sa compréhension de la fonction d’audit interne :

  • assister à des réunions du comité d’audit;
  • lire les comptes rendus de réunions pour comprendre les problèmes qui sont soulevés par la fonction d’audit interne (ou son équivalent);
  • examiner, le cas échéant, le plan d’audit élaboré par la fonction d’audit interne (ou son équivalent) pour la période et s’entretenir de ce plan avec les personnes appropriées au sein de la fonction;
  • prendre en considération les connaissances et l’expérience qu’il a acquises en collaborant avec la fonction d’audit interne dans le cadre des audits des exercices antérieurs pour évaluer la pertinence des activités d’audit interne.

Les informations obtenues de la direction et du personnel de la fonction d’audit interne (ou son équivalent) aident l’auditeur à comprendre la fonction d’audit interne (ou son équivalent). Se reporter à la section BVG Audit 5011 pour obtenir des directives sur les demandes d’informations au personnel de la fonction d’audit interne (ou son équivalent) et des exemples de documents que l’auditeur peut lire pour préparer ses demandes d’informations (p. ex. des rapports d’audit interne résumant les déficiences du contrôle relevées).

Directives connexes :

Se reporter à la section BVG Audit 6030 pour obtenir des directives sur l’utilisation des travaux de la fonction d’audit interne (ou son équivalent).

Adaptabilité

Directives des NCA

Dans les entités peu complexes (notamment celles qui sont gérées par un propriétaire-dirigeant), la compréhension qu’acquiert l’auditeur en ce qui concerne le processus de suivi du système de contrôle interne par l’entité est souvent axée sur la façon dont la direction ou le propriétaire-dirigeant participe directement à l’exploitation, car il se peut qu’il n’y ait aucune autre activité de suivi. (NCA 315.A114)

Dans les entités qui n’ont pas de processus structuré de suivi du système de contrôle interne, la compréhension des examens périodiques de l’information comptable de la direction qui sont conçus pour renforcer les moyens que prend l’entité pour prévenir ou détecter les anomalies peut faire partie de la compréhension du processus de suivi du système de contrôle interne. (NCA 315.A115)

Directives du BVG

Dans les entités peu complexes, il est possible que le suivi des contrôles soit moins structuré ou que la documentation concernant le suivi soit limitée. Bien souvent, ces entités n’ont pas une fonction d’audit interne ou alors n’effectuent pas d’évaluation distincte des contrôles. Toutefois, il est probable que ces entités effectuent une certaine forme de suivi permanent et il pourrait y avoir des analyses de performance, quoique probablement pas très formelles. Si tel est le cas, l’auditeur peut néanmoins être en mesure d’acquérir une compréhension du suivi des contrôles par l’entité et d’évaluer la composante au moyen d’observations et de demandes d’informations.

Directives connexes :

Voir la section BVG Audit 5035.6 pour obtenir des directives sur les considérations propres à l’adaptabilité concernant les activités de contrôle.

Voir la section BVG Audit 5035.1 pour obtenir des directives sur les considérations propres aux évaluations des performances.

Compréhension des sources de l’information utilisée

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus de suivi du système de contrôle interne par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.24)

b) comprendre les sources dont proviennent les informations utilisées dans le cadre du processus de suivi du système de contrôle interne par l’entité, et les raisons pour lesquelles la direction juge que ces informations sont suffisamment fiables pour servir à cette fin;

Directives des NCA

Les activités de suivi effectuées par la direction peuvent reposer sur l’utilisation d’informations provenant de parties externes, telles que des plaintes de clients ou des commentaires d’autorités de réglementation, qui peuvent révéler l’existence de problèmes ou faire ressortir des points à améliorer. (NCA 315.A119)

La compréhension des sources d’informations utilisées dans le cadre du processus de suivi du système de contrôle interne par l’entité, qui porte notamment sur la question de savoir si les informations utilisées sont pertinentes et fiables, aide l’auditeur à évaluer si ce processus est approprié. Lorsque la direction suppose, sans fondement réel, que les informations utilisées pour le suivi sont pertinentes et fiables, des erreurs possibles dans celles‑ci pourraient amener la direction à tirer des conclusions incorrectes de ses activités de suivi. (NCA 315.A120)

Les activités de suivi peuvent comprendre l’utilisation d’informations communiquées par des parties externes, qui peuvent révéler l’existence de problèmes ou faire ressortir des aspects à améliorer. Par exemple, les clients corroborent implicitement les données de facturation en réglant leurs factures ou en les contestant. Par ailleurs, les autorités de réglementation peuvent communiquer avec l’entité au sujet de questions qui influent sur le fonctionnement de son système de contrôle interne, par exemple les communications concernant les examens effectués par les organismes de réglementation du secteur bancaire. La direction peut aussi, dans le cadre de ses activités de suivi, tenir compte des communications des auditeurs externes au sujet du système de contrôle interne de l’entité. (NCA 315 Annexe 3.14)

Directives du BVG

Pour comprendre et évaluer le processus de suivi du système de contrôle interne par l’entité, l’auditeur doit d’abord comprendre les sources de l’information utilisée par la direction dans le processus. L’information peut être d’origine interne ou provenir de sources externes. Le tableau suivant donne des exemples de sources d’information sur lesquelles l’entité peut s’appuyer pour effectuer le suivi du système de contrôle interne :

Sources internes Sources externes
  • Rapport sur des incompatibilités dans la séparation des tâches obtenu au moyen d’applications informatiques de l’entité
  • Rapports générés automatiquement pour signaler toute activité inhabituelle dans les applications informatiques de l’entité (p. ex. modifications apportées dans le fichier maître des fournisseurs ou des clients)
  • Documentation de l’exécution de contrôles manuels (p. ex. rapprochements mensuels du grand livre auxiliaire)
  • Rapports d’audit interne résumant les résultats des évaluations périodiques
  • Rapports de conformité résumant l’état de la conformité aux exigences en matière de formation annuelle du personnel chargé de l’exécution des contrôles
  • Rapports d’assurance qualité sur les défauts de production ou les réclamations au titre de la garantie
  • Budgets et prévisions établis par la direction
  • Plaintes de clients reçues par le service d’assistance téléphonique pour la clientèle, un autre mécanisme de rétroaction sur le site Web ou une application mobile
  • Communications provenant d’organismes de réglementation de secteurs particuliers (p. ex. secteur des banques ou de l’assurance)
  • Communications et rapports rédigés par des agences de notation (p. ex. rapports d’évaluation du crédit)
  • Articles publiés dans des sites Web, des sites de groupes en ligne ou des revues et magazines sectoriels
  • Rapports et enquêtes produits par des analystes externes
  • Rapports préparés par des experts et par d’autres tiers sur le fonctionnement des contrôles internes (p. ex. des experts de la gestion de la sécurité des TI évaluant la sécurité des données de l’entité)

Dans le cadre de l’acquisition d’une compréhension de la source de l’information, l’auditeur doit déterminer si l’information utilisée est pertinente et fiable. Pour ce faire, il examine les raisons pour lesquelles la direction juge que l’information est pertinente pour l’activité effectuée et suffisamment fiable pour servir à cette fin. Le degré de compréhension de l’auditeur dépend de la complexité et de la nature de la source de l’information. Lorsque l’efficacité d’une activité de suivi repose sur de l’information qui provient de multiples systèmes, l’auditeur doit comprendre les processus et les contrôles, y compris les contrôles généraux informatiques applicables, afférents à la fiabilité de l’information pour chacun des systèmes utilisés, de même que pour le processus de regroupement. Par exemple, afin d’être en mesure de comprendre un relevé des écarts réalisé manuellement à l’aide de données issues des différents systèmes de ventes utilisés par la direction pour vérifier que les écarts par rapport aux modalités de prix uniformisées ont obtenu les approbations requises des superviseurs et que celles‑ci ont été documentées, l’auditeur doit comprendre les processus et les contrôles mis en place par la direction pour assurer la fiabilité de chaque relevé des écarts, ainsi que la fiabilité de l’information regroupée. En revanche, si l’entité possède un système des ventes intégré unique, les démarches à effectuer pour comprendre les processus et les contrôles mis en place par la direction afin d’évaluer la fiabilité de l’information du relevé des écarts ne viseront alors qu’un seul rapport.

Comme il est expliqué dans la NCA 315.A120, la compréhension acquise vise à aider l’auditeur à évaluer si les aspects du processus de suivi du système de contrôle interne par l’entité qui sont pertinent pour la préparation des états financiers sont appropriés aux circonstances de celle ci, compte tenu de la complexité de l’entité. À moins que l’auditeur compte se fier à l’un ou plusieurs de ces contrôles, il ne serait pas tenu de tester la fiabilité de l’information utilisée par l’entité pour faire le suivi de ses contrôles internes.

Il arrive souvent que la direction effectue ses activités de suivi en utilisant de l’information générée par un système (par exemple des rapports de ventes mensuels) qui est aussi utilisée dans l’exécution de contrôles que l’auditeur prévoit tester, ou alors que l’auditeur prévoit utiliser la même information générée par un système pour effectuer des procédures de corroboration. Lorsque l’auditeur teste la fiabilité de l’information générée par une application informatique, conformément à OAG Audit 2051, pour appuyer ses procédures de corroboration ou ses tests de contrôles, il doit pouvoir utiliser les résultats des travaux effectués afin d’étayer sa conclusion sur l’efficacité des activités de suivi effectuées par la direction.

Évaluation du processus de suivi du système de contrôle interne par l’entité

Exigences des NCA

L’auditeur doit acquérir une compréhension des aspects du processus de suivi du système de contrôle interne par l’entité qui sont pertinents pour la préparation des états financiers en mettant en œuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.24)

c) évaluer si le processus de suivi du système de contrôle interne par l’entité est approprié aux circonstances de l’entité, compte tenu de la nature et de la complexité de celle-ci.

Directives des NCA

L’évaluation par l’auditeur de la manière dont l’entité procède à des évaluations continues et ponctuelles aux fins de suivi de l’efficacité des contrôles l’aide à savoir si les autres composantes du système de contrôle interne de l’entité ont été mises en place et sont fonctionnelles, et donc à comprendre ces autres composantes. Cette évaluation peut aussi aider l’auditeur à identifier et à évaluer les risques d’anomalies significatives au niveau des états financiers et au niveau des assertions. (NCA 315.A121)

L’auditeur évalue le caractère approprié du processus de suivi du système de contrôle interne par l’entité en fonction de sa compréhension de ce processus. (NCA 315.A122)

Directives du BVG

L’évaluation du processus de suivi du système de contrôle interne par l’entité aide l’auditeur à mieux comprendre où la direction relève et surveille les risques pertinents à l’information financière. En effet, en adoptant le point de vue de la direction, l’auditeur peut comprendre où elle concentre ses efforts sous forme d’activités de contrôle et de suivi. La NCA 315 n’exige pas que l’auditeur évalue la conception et la mise en place de chacun des contrôles précis au sein du processus de suivi du système de contrôle interne par l’entité. L’auditeur n’est pas non plus tenu de tester l’efficacité du fonctionnement des contrôles, à moins de prévoir s’appuyer sur ceux ci. Lorsqu’il évalue la composante du processus de suivi du système de contrôle interne par l’entité, l’auditeur examine si le processus de suivi est approprié aux circonstances de l’entité, compte tenu de la nature et de la complexité de celle ci. L’évaluation peut reposer uniquement sur la compréhension des procédures mises en œuvre, notamment acquise au moyen de demandes d’informations adressées à la direction et de l’inspection ou de l’examen de rapports sur les contrôles de suivi. Au moment d’effectuer son évaluation, l’auditeur doit faire preuve d’esprit critique et être prêt à contester le processus suivi par l’entité en se fondant sur sa connaissance des activités et sur son expérience.

À cause de la nature du suivi des processus des contrôles, les évaluations se feront principalement par la demande d’informations, l’observation ou l’inspection. La nature et l’étendue des travaux à effectuer pour évaluer le suivi du processus des contrôles relèvent du jugement professionnel de l’auditeur et peuvent varier en fonction de la taille et de la complexité de l’entité, entre autres considérations propres à la mission. Par exemple, au cours de l’audit d’une entité qui exploite de multiples unités opérationnelles dans divers emplacements géographiques, l’auditeur devrait habituellement recueillir des éléments probants en plus de ce qu’il aurait obtenu en réponse aux demandes d’informations, en examinant par exemple des rapports résumant les activités de suivi effectuées dans divers endroits donnés pour évaluer si le processus de suivi du système de contrôle interne ayant été mis en œuvre est approprié aux circonstances de l’entité. Par ailleurs, il arrive fréquemment que les entités complexes aient des fonctions d’audit interne (ou leur équivalent) qui font fait partie intégrante du processus de suivi. En revanche, si l’entité visée par un audit est moins complexe et exerce ses activités au sein d’une seule unité de gestion et en un seul endroit, l’évaluation de son processus de suivi s’en trouve grandement simplifiée et moins d’efforts sont nécessaires pour parvenir à une conclusion.

Si, au cours des procédures visant à acquérir une compréhension, l’auditeur relève des contrôles de suivi mis en place par l’entité sur lesquels il prévoit s’appuyer dans l’audit, il doit identifier ces contrôles dans la composante « activités de contrôle » et il est tenu d’évaluer leur conception et leur mise en place. Un exemple de contrôle direct au niveau de l’entité est celui des évaluations des performances qui visent à relever les déficiences des contrôles internes. Il pourrait par exemple s’agir de relever des marges brutes inhabituellement basses qui pourraient révéler des contrôles déficients afférents à l’autorisation des rabais aux clients. La décision de tester ou non l’efficacité du fonctionnement de tels contrôles dépendrait de ce que l’auditeur ait jugé efficace la conception du contrôle, y compris sa précision, et de la capacité de la direction de démontrer la présence et le degré de mise en place de tels contrôles. La section BVG Audit 5035.1 fournit des directives complémentaires au sujet de l’acquisition d’une compréhension et de l’analyse des évaluations des performances.

Si l’auditeur juge que le suivi des processus de contrôle n’est pas approprié aux circonstances de l’entité, il détermine quelle en est l’incidence, le cas échéant, sur l’efficacité d’autres composantes du système de contrôle interne de l’entité (y compris les activités de contrôle), sur son identification et son évaluation des risques d’anomalies significatives, et sur sa stratégie et son plan d’audit. Pour ce faire, il doit entre autres examiner comment les déficiences relevées influent sur l’identification et l’évaluation des risques d’anomalies significatives au niveau des états financiers. La section BVG Audit 5037 fournit des directives complémentaires concernant l’incidence que peut avoir le fait que l’auditeur juge qu’une composante du système de contrôle interne de l’entité n’est pas appropriée à la nature et aux circonstances de l’entité. Elle traite également de l’incidence des déficiences du contrôle relevées dans la conception de procédures d’audit complémentaires, conformément à la NCA 330.