5037 Déficiences du contrôle dans le système de contrôle interne de l’entité
sept.-2022

Dans cette section

Déficiences du contrôle dans le système de contrôle interne de l’entité

Déficiences du contrôle dans le système de contrôle interne de l’entité

Exigences des NCA

L’auditeur doit déterminer si l’évaluation de chacune des composantes du système de contrôle interne de l’entité qu’il a effectuée lui a permis de relever une ou plusieurs déficiences du contrôle. (NCA 315.27)

Directives des NCA

L’identification et l’évaluation par l’auditeur des risques d’anomalies significatives au niveau des assertions dépendent à la fois : (NCA 315.A130)

  • de sa compréhension des politiques de l’entité relatives aux activités de traitement de l’information qui font partie de la composante « système d’information et communications »;
  • de son identification et de son évaluation des contrôles de la composante « activités de contrôle ».

Lors de l’évaluation de chacune des composantes du système de contrôle interne de l’entité, il se peut que l’auditeur juge que certaines des politiques de l’entité se rapportant à une composante donnée ne sont pas appropriées à la nature et aux circonstances de l’entité. Cela peut donner à l’auditeur des indices qui l’aideront à relever les déficiences du contrôle. Si l’auditeur a relevé une ou plusieurs déficiences du contrôle, il peut prendre en considération l’incidence de ces déficiences sur les procédures d’audit complémentaires à concevoir conformément à la NCA 330. (NCA 315.A182)

Si l’auditeur a relevé une ou plusieurs déficiences du contrôle, la NCA 265 exige qu’il détermine si, individuellement ou en association, elles constituent des déficiences importantes. L’auditeur exerce son jugement professionnel pour déterminer si une déficience du contrôle constitue une déficience importante. (NCA 315.A183)

Exemples :

Voici des exemples de situations pouvant indiquer l’existence d’une déficience importante du contrôle :

  • la détection d’une fraude de quelque ampleur que ce soit impliquant la haute direction;
  • l’identification de processus internes inadéquats liés à la communication des déficiences relevées par la fonction d’audit interne;
  • la présence de déficiences qui ont déjà été communiquées et qui n’ont pas été corrigées en temps opportun par la direction;
  • le fait que la direction n’ait pas répondu à des risques importants (par exemple, aucun contrôle mis en place relativement à ces risques);
  • le retraitement d’états financiers déjà publiés.

Directives du BVG

Si l’auditeur relève une ou plusieurs déficiences du contrôle lors de la compréhension et de l’évaluation du système de contrôle interne de l’entité, il prend en considération l’incidence de ces déficiences sur ce qui suit :

  • sa conclusion à l’égard du caractère approprié de la composante individuelle du système de contrôle interne de l’entité où la déficience a été relevée;
  • toute incidence possible de la déficience sur son évaluation des autres composantes (p. ex. une déficience relevée dans la composante de l’environnement de contrôle pourrait influer sur l’efficacité des autres composantes du système de contrôle interne de l’entité);
  • l’identification des risques d’anomalies significatives au niveau des états financiers. La probabilité de tels risques au niveau des états financiers augmente lorsque des déficiences sont relevées dans l’environnement de contrôle de l’entité, les processus d’évaluation des risques et/ou les processus de surveillance du système de contrôle interne de l’entité, car ces composantes du contrôle peuvent avoir des effets indirects mais généralisés sur la préparation des états financiers.
Exemple :

Si l’auditeur conclut que l’environnement de contrôle de l’entité comporte des déficiences parce que le ton donné par la direction n’est pas approprié, cela pourrait, selon le jugement de l’auditeur, accroître la probabilité qu’une anomalie significative ne soit pas détectée et/ou corrigée en temps opportun. Même s’il n’identifie aucun autre risque spécifique d’anomalies significatives découlant de cette faiblesse dans l’environnement de contrôle, l’auditeur doit examiner attentivement la façon dont cette question de « ton donné par la direction » peut influer sur son évaluation du facteur de risque inhérent lié à la vulnérabilité aux partis pris de la direction ou d’autres facteurs de risque de fraude, ainsi que sur ses évaluations des risques au niveau des états financiers ou des assertions.

Cette déficience liée au « ton donné par la direction » relevée dans l’environnement de contrôle peut aussi avoir un effet généralisé sur la probabilité que les contrôles conçus par l’entité ne fonctionnent pas efficacement si, selon le jugement de l’auditeur, la question du « ton » peut comprendre le fait que la direction ne souligne pas suffisamment l’importance d’une exécution diligente et conforme des procédures de contrôle par tous les responsables de contrôles et/ou n’effectue pas une surveillance appropriée des contrôles.

Dans les circonstances de cet exemple, l’auditeur détermine si un risque spécifique au niveau des états financiers a été identifié et s’il doit être ajouté au dossier de mission. Voici des exemples de risques qui peuvent découler de déficiences relevées dans l’environnement de contrôle et qui peuvent être ajoutés dans le logiciel pour les feuilles de travail d’audit sous l’élément Risque de fraude non lié aux postes des états financiers :

  • des questions sont soulevées à l’égard de l’intégrité ou de la conduite des administrateurs, de la haute direction ou des propriétaires de l’entité;
  • des membres de la direction ont des personnalités très arrogantes ou autoritaires;
  • il y a des indices de méthodes ou de pratiques comptables qui sont inhabituellement audacieuses ou créatives.

Deux autres risques qui sont présentés sous les Autres risques au niveau des états financiers non liés aux postes sont les suivants (ces risques peuvent aussi représenter des risques de fraude) :

  • il est possible que le personnel comptable soit inefficace ou que le processus d’information financière soit dominé par des comptables ne possédant pas d’expérience de la gestion financière ou n’ayant pas les compétences requises.
  • L’auditeur a relevé des indices d’un parti pris de la direction potentiel à l’égard des décisions et des jugements faits par la direction dans la préparation des estimations comptables.
  • L’identification de risques d’anomalies significatives au niveau de l’assertion. Il est plus probable que de tels risques au niveau des assertions surviennent en raison des déficiences relevées dans la composante « système d’information et de communications » et la composante « activités de contrôle » de l’entité en raison de la nature et de l’effet plus direct de ces composantes du contrôle sur la préparation des états financiers.
Exemple :

En obtenant une compréhension du cheminement des opérations au sein des processus opérationnels liés aux produits et aux créances, l’auditeur a relevé que le fichier maître qui contient les prix des clients établis par contrat, y compris tout abattement, n’est pas mis à jour en temps opportun. Par conséquent, le personnel de l’entité doit contourner manuellement le prix de vente qui serait autrement généré automatiquement par le système de vente en fonction de l’information sur les prix applicables dans le fichier maître. Ce contournement manuel est nécessaire parce que les prix de vente établis par contrat changent souvent, et ce, selon ce qui a été convenu entre l’entité et les clients tous les mois. L’auditeur a aussi relevé un contrôle compensatoire mensuel : le dirigeant du service des ventes doit passer en revue et approuver les prix et les abattements qui ont été contournés ainsi qu’examiner et résoudre tout élément inhabituel en temps opportun avant d’approuver le contournement des prix.

Comme l’entité doit composer avec une pénurie de personnel, le seuil pour la détection de contournements des prix ou d’abattements inhabituels a été établi à un niveau plus élevé que ce qui serait nécessaire, selon le jugement de l’auditeur, pour détecter des anomalies significatives, individuellement ou en association, liées aux produits en temps opportun. Ainsi, l’auditeur a identifié un risque élevé que le « prix facturé » ne soit pas approuvé ou ne soit pas saisi dans le système de manière appropriée et a ajouté ce risque au dossier de mission. En l’occurrence, l’auditeur doit également déterminer si le nombre fréquent de contournements manuels des prix et le fait qu’ils ne passent pas par le processus conçu pour la mise à jour du fichier maître peuvent influer sur la probabilité que les assertions relatives à l’exhaustivité et à l’exactitude des produits et des créances comportent une anomalie significative en ce qui concerne à la fois le risque d’erreur et de fraude. Dans ces circonstances, il est peu probable que l’auditeur s’appuie sur les contrôles de l’entité afin d’obtenir les éléments probants prévus pour ces assertions. De même, il est probable que l’auditeur augmente le niveau d’éléments probants de corroboration requis au niveau des assertions relatives à l’exhaustivité et à l’exactitude des postes des produits et les débiteurs dans les états financiers.

  • La nature, le calendrier et l’étendue des tests de corroboration ou des tests des contrôles en réponse à l’évaluation des risques d’anomalies significatives au niveau des états financiers et des assertions.
Exemple :

En obtenant une compréhension de l’environnement informatique de l’entité, l’auditeur a relevé que le système de gestion des stocks de l’entité avait de multiples utilisateurs ayant des droits d’accès de « superutilisateur » leur permettant de créer, de traiter et de supprimer des opérations liées aux mouvements dans les stocks sans laisser de piste d’audit. Par conséquent, l’auditeur a déterminé que les contrôles liés à l’examen par la direction du grand livre auxiliaire des stocks pour recenser les stocks obsolètes ou à rotation lente dans le cadre de son processus d’évaluation du caractère raisonnable de la réserve de stock n’étaient pas conçus efficacement, car une personne ayant des droits d’accès de « superutilisateur » pourrait modifier les données de manière inappropriée et il n’y aurait aucune méthode fiable de détecter la modification. Ainsi, l’auditeur conclut qu’il ne prévoit pas s’appuyer sur ce contrôle dans le cadre de sa réponse d’audit au risque d’anomalies significatives pour le poste des stocks en ce qui concerne les assertions relatives à l’existence, à l’exactitude, à l’exhaustivité et à l’évaluation. L’auditeur devra plutôt planifier un éventail de procédures de corroboration pour tester les assertions pertinentes liées aux stocks, y compris l’observation de la prise d’inventaire physique de l’entité et d’autres procédures.

Directives connexes

Les sections BVG Audit 6057 et BVG Audit 2222 fournissent des directives additionnelles sur l’évaluation des déficiences du contrôle interne et la communication de celles‑ci aux responsables de la gouvernance et à la direction.