Annual Audit Manual
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
5043.1 Cadre d’évaluation des risques
sept.-2022
Contenu de la présente section
Cadre d’évaluation des risques
Exigences des NCA
Pour obtenir une assurance raisonnable, l’auditeur doit recueillir des éléments probants suffisants et appropriés pour ramener le risque d’audit à un niveau suffisamment faible et être ainsi en mesure de tirer des conclusions raisonnables sur lesquelles fonder son opinion. (NCA 200.17)
L’auditeur doit concevoir et mettre en œuvre des procédures d’évaluation des risques lui permettant d’obtenir des éléments probants qui lui fourniront une base appropriée pour : (NCA 315.13)
a) l’identification et l’évaluation des risques d’anomalies significatives, que celles‑ci résultent de fraudes ou d’erreurs, au niveau des états financiers et au niveau des assertions;
b) la conception, conformément à la NCA 330, de procédures d’audit complémentaires.
L’auditeur doit concevoir et mettre en œuvre les procédures d’évaluation des risques en évitant tout parti pris qui favoriserait l’obtention d’éléments probants corroborants ou l’exclusion d’éléments probants contradictoires
Les procédures d’évaluation des risques doivent notamment comprendre: (NCA 315.14)
(a) des demandes d’informations auprès de la direction et d’autres personnes appropriées au sein de l’entité, dont les membres de la fonction d’audit interne (lorsque cette fonction existe);
(b) des procédures analytiques;
(c) des observations physiques et des inspections
Pour obtenir des éléments probants conformément au paragraphe 13, l’auditeur doit prendre en considération les informations obtenues dans le cadre: (NCA 315.15)
a) des procédures qu’il a mises en œuvre relativement à l’acceptation ou au maintien de la relation client ou de la mission d’audit;
b) d’autres missions réalisées auprès de l’entité par l’associé responsable de la mission, le cas échéant.
Lorsque l’auditeur a l’intention d’utiliser des informations obtenues grâce à son expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures d’audit au cours des audits antérieurs, il doit évaluer si, en tant qu’éléments probants pour l’audit en cours, ces informations demeurent pertinentes et fiables. (NCA 315.16)
Directives des NCA
Pour les besoins des NCA, on considère qu’il existe un risque d’anomalies significatives lorsqu’il y a une possibilité raisonnable qu’une anomalie: (NCA 200.A16)
a) se produise (critère de probabilité);
b) soit significative si elle se produit (critère d’ampleur).
Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non‑détection. L’évaluation des risques est fondée sur des procédures d’audit visant expressément à obtenir les informations nécessaires à cet effet ainsi que sur les éléments probants obtenus tout au long de l’audit. Elle relève plus du jugement professionnel que du domaine de la mesure de précision (NCA 200.A35).
Le risque d’audit, au sens des NCA, ne comprend pas le risque que l’auditeur puisse exprimer l’opinion que les états financiers comportent des anomalies significatives alors que ce n’est pas le cas. Ce risque est généralement négligeable. Par ailleurs, le terme « risque d’audit » est un terme technique lié au processus d’audit : il ne s’étend pas aux risques associés à l’exercice de la profession et auxquels l’auditeur est exposé, tels que les risques de pertes résultant d’un procès, de publicité négative ou de survenance d’autres événements pouvant découler d’un audit d’états financiers.(NCA 200.A36).
Le risque d’anomalies significatives au niveau des assertions se décompose en deux volets : le risque inhérent et le risque lié au contrôle. Le risque inhérent et le risque lié au contrôle sont des risques propres à l’entité; ils existent indépendamment de l’audit des états financiers. (NCA 200.A40).
Le risque inhérent varie selon les facteurs de risque inhérent. Le degré de risque inhérent dépend de la mesure dans laquelle les facteurs de risque inhérent influent sur la possibilité qu’une assertion comporte des anomalies, et s’inscrit sur une échelle appelée « échelle de risque inhérent ». L’auditeur détermine les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes, ainsi que les assertions pertinentes les concernant, au cours du processus d’identification et d’évaluation des risques d’anomalies significatives. Par exemple, il se peut que des soldes de comptes comportant des montants provenant d’estimations comptables qui présentent une incertitude d’estimation importante soient identifiés comme étant des soldes de comptes importants et qu’en raison de cette incertitude, l’évaluation du risque inhérent que fait l’auditeur pour les risques au niveau des assertions se rattachant à ces soldes de comptes se situe à un niveau supérieur. (NCA 200.A41)
Des facteurs externes à l’origine de certains risques d’entreprise peuvent également influer sur le risque inhérent. Par exemple, l’évolution technologique peut rendre obsolète un produit donné, et augmenter de ce fait le risque d’une surévaluation des stocks. Des facteurs caractérisant l’entité et son environnement et concernant l’ensemble ou une partie des catégories d’opérations, soldes de comptes ou informations à fournir peuvent également influer sur le risque inhérent lié à une assertion particulière. Un fonds de roulement insuffisant pour poursuivre les activités ou un secteur d’activité en déclin caractérisé par un grand nombre de faillites constituent des exemples possibles de tels facteurs. (NCA 200.A42)
Le risque lié au contrôle est fonction de l’efficacité de la conception, de la mise en place et du maintien par la direction des contrôles nécessaires pour faire face aux risques identifiés pouvant compromettre l’atteinte des objectifs de l’entité concernant la préparation des états financiers. Toutefois, le contrôle interne, quelle que soit la qualité de sa conception et de son fonctionnement, peut seulement réduire et non pas éliminer les risques d’anomalies significatives dans les états financiers, et ce, en raison des limites inhérentes aux contrôles. Celles‑ci comprennent par exemple la possibilité d’erreurs ou de fautes humaines ou encore de neutralisation des contrôles, que ce soit en raison de collusions ou de leur contournement par la direction. En conséquence, il subsistera toujours un certain risque lié au contrôle. Les NCA précisent dans quelles situations l’auditeur est tenu, ou peut choisir, de tester l’efficacité du fonctionnement des contrôles pour déterminer la nature, le calendrier et l’étendue des procédures de corroboration à mettre en œuvre. (NCA 200.A43)
L’évaluation des risques d’anomalies significatives peut s’exprimer en termes quantitatifs, par exemple en pourcentages, ou en termes non quantitatifs. Quoi qu’il en soit, c’est le caractère approprié des évaluations des risques faites par l’auditeur qui compte, plus que le choix de la démarche adoptée. En général, dans les NCA, on parle de « risques d’anomalies significatives »; on ne traite pas séparément du risque inhérent et du risque lié au contrôle. Toutefois, la NCA 315 exige que l’auditeur évalue séparément le risque inhérent et le risque lié au contrôle afin de disposer d’une base pour la conception et la mise en œuvre de procédures d’audit complémentaires en réponse aux risques d’anomalies significatives au niveau des assertions, conformément à la NCA 330. (NCA 200.A44)
La NCA 315 définit des exigences et contient des directives concernant l’identification et l’évaluation des risques d’anomalies significatives au niveau des états financiers et au niveau des assertions. (NCA 200.A45)
L’évaluation des risques d’anomalies significatives au niveau des assertions vise à permettre de déterminer la nature, le calendrier et l’étendue des procédures d’audit complémentaires nécessaires à l’obtention d’éléments probants suffisants et appropriés. (NCA 200.A46)
Risque de non‑détection
Pour un niveau de risque d’audit donné, le niveau acceptable du risque de non‑détection est inversement proportionnel aux risques d’anomalies significatives évalués au niveau des assertions. Par exemple, plus l’auditeur considère qu’il existe un risque d’anomalies significatives élevé, moins il peut accepter un risque élevé de non‑détection et, par conséquent, plus les éléments probants dont il a besoin doivent être convaincants. (NCA 200.A47)
Le risque de non‑détection est lié à la nature, au calendrier et à l’étendue des procédures d’audit qui, selon l’auditeur, ramèneront le risque d’audit à un niveau suffisamment faible. Il est donc fonction de l’efficacité d’une procédure d’audit et de sa mise en œuvre par l’auditeur. Des précautions comme: (NCA 200.A48)
- une planification adéquate,
- le choix judicieux des membres de l’équipe affectée à la mission,
- l’exercice de l’esprit critique,
- la supervision et la revue des travaux d’audit réalisés,
contribuent à renforcer l’efficacité d’une procédure d’audit et de sa mise en œuvre et limitent la possibilité que l’auditeur choisisse une procédure d’audit inappropriée, applique de façon incorrecte une procédure d’audit appropriée ou interprète mal les résultats des travaux d’audit.
La NCA 300 et la NCA 330 définissent des exigences et contiennent des directives concernant la planification d’un audit d’états financiers et les réponses de l’auditeur à l’évaluation des risques. Toutefois, du fait des limites inhérentes à l’audit, il est impossible d’éliminer le risque de non‑détection; tout au plus est‑il possible de le réduire. En conséquence, il subsistera toujours un certain risque de non‑détection. (NCA 200.A49)
Concepts fondamentaux
La NCA 200 traite des objectifs généraux de l’auditeur qui réalise un audit d’états financiers1, dont celui qui consiste à recueillir des éléments probants suffisants et appropriés pour ramener le risque d’audit à un niveau suffisamment faible. Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non‑détection. La NCA 200 précise que les risques d’anomalies significatives peuvent se situer à deux niveaux: au niveau des états financiers considérés globalement; et au niveau des assertions concernant des catégories d’opérations, des soldes de comptes ou des informations à fournir. (NCA 315.2)
La NCA 200 exige que l’auditeur exerce son jugement professionnel lorsqu’il planifie et réalise un audit et qu’il fasse preuve d’esprit critique tout au long de la planification et de la réalisation de l’audit, en étant conscient que certaines situations peuvent conduire à des anomalies significatives dans les états financiers. (NCA 315.3)
Les risques au niveau des états financiers correspondent aux risques qui touchent de manière généralisée les états financiers pris dans leur ensemble et qui pourraient affecter de multiples assertions. Les risques d’anomalies significatives au niveau des assertions se décomposent en deux volets, à savoir le risque inhérent et le risque lié au contrôle: (NCA 315.4)
-
le risque inhérent est défini comme la possibilité qu’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir comporte une anomalie qui pourrait être significative, individuellement ou cumulée avec d’autres, avant prise en considération des contrôles y afférents;
-
le risque lié au contrôle est défini comme le risque qu’une anomalie qui pourrait se produire au niveau d’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir et qui pourrait être significative, individuellement ou cumulée avec d’autres, ne soit ni prévenue ni détectée et corrigée en temps opportun par les contrôles de l’entité.
La NCA 200 explique que l’évaluation des risques d’anomalies significatives au niveau des assertions vise à permettre de déterminer la nature, le calendrier et l’étendue des procédures d’audit complémentaires nécessaires à l’obtention d’éléments probants suffisants et appropriés6. La présente NCA exige que le risque inhérent et le risque lié au contrôle soient évalués séparément pour ce qui est des risques d’anomalies significatives identifiés au niveau des assertions. Les différents degrés que peut atteindre le risque inhérent forment une échelle qui, dans la présente NCA, est désignée par l’expression « échelle de risque inhérent ». (NCA 315.5)
L’auditeur identifie et évalue les risques d’anomalies significatives, que celles‑ci résultent de fraudes ou d’erreurs. Les unes et les autres sont traitées dans la présente NCA; toutefois, l’importance de la fraude est telle que des exigences et des directives supplémentaires sont fournies dans la NCA 240 au sujet des procédures d’évaluation des risques et des activités connexes permettant d’obtenir des informations qui serviront à identifier et à évaluer les risques d’anomalies significatives résultant de fraudes, et à y répondre. (NCA 315.6)
Directives du BVG
Se reporter à la section BVG Audit 5011 pour consulter des directives détaillées sur le processus d’évaluation des risques du BVG illustré dans le graphique ci‑après. Le processus d’évaluation des risques du BVG est harmonisé avec les exigences de la NCA 315 et favorise une uniformité sur le plan de l’exécution, de la documentation et d’une revue efficace :
Lorsque l’auditeur identifie des risques d’anomalies significatives au niveau des états financiers et au niveau des assertions conformément aux directives présentées à la section BVG Audit 5042, il évalue ces risques et selon cette évaluation, il élabore un plan d’audit conçu de sorte à les gérer.
Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non‑détection. Le risque de non‑détection est le risque que les procédures d’audit ne permettent pas d’identifier les anomalies significatives. Il faut réduire le risque de non‑détection à un niveau suffisamment bas en planifiant et en mettant en œuvre des procédures d’audit, dont la nature, le calendrier et l’étendue doivent être adaptés aux risques d’anomalie significatives identifiés. Le niveau acceptable du risque de non‑détection est inversement proportionnel aux risques d’anomalies significatives évalués au niveau des assertions. En d’autres mots, plus l’auditeur évalue qu’il existe un risque d’anomalies significatives élevé, moins il peut accepter un risque élevé de non‑détection et, par conséquent, plus les éléments probants dont il a besoin doivent être convaincants.
Le risque d’anomalies significatives au niveau des assertions comprend deux composantes – le risque inhérent et le risque lié au contrôle :
Le risque inhérent représente la possibilité qu’un solde de compte, une catégorie d’opérations ou une information à fournir comporte une anomalie, avant prise en considération des contrôles y afférents. Le risque lié au contrôle est le risque qu’une anomalie significative se produise, qu’elle soit significative, individuellement ou cumulée avec d’autres, et qu’elle ne soit ni prévenue ni détectée et corrigée en temps opportun par les contrôles internes de l’entité.
Le processus d’évaluation des risques du BVG comprend une évaluation distincte du risque inhérent et du risque lié au contrôle. L’auditeur évalue le degré de risque inhérent par rapport à l’échelle de risque (normal, élevé ou important). Lorsque l’auditeur doit évaluer le niveau de risque inhérent, il évalue la probabilité et l’ampleur des anomalies potentielles, ce qui comprend une évaluation de la mesure dans laquelle les facteurs de risque inhérent influent sur la possibilité qu’une assertion contenue dans les états financiers comporte une anomalie.
Si l’auditeur souhaite réduire le risque lié au contrôle pris en compte dans l’évaluation du risque d’anomalies significatives, il doit tester l’efficacité opérationnelle des contrôles visant les assertions connexes. Pour obtenir de plus amples renseignements sur l’évaluation du risque lié au contrôle, se reporter à la section BVG Audit 5043.3.
Documentation des risques dans le dossier d’audit
Exigences des NCA
L’auditeur doit consigner dans la documentation de l’audit : […] les risques d’anomalies significatives qu’il a identifiés et évalués au niveau des états financiers et au niveau des assertions, y compris les risques importants et les risques pour lesquels les procédures de corroboration ne peuvent fournir, à elles seules, des éléments probants suffisants et appropriés, ainsi que le raisonnement qui sous-tend les jugements importants portés. (NCA 315.38 d))
Politique du BVG
Tous les risques d’anomalies significatives au niveau des états financiers et au niveau des assertions, y compris les risques importants et les risques pour lesquels les procédures de corroboration ne peuvent fournir, à elles seules, des éléments probants suffisants et appropriés, ainsi que le raisonnement qui sous-tend les jugements importants portés doivent être documentés dans le logiciel pour les feuilles de travail d’audit. [sept.-2022]
Directives du BVG
Tous les risques d’anomalies significatives, au niveau des états financiers pris dans leur ensemble ou au niveau des assertions contenues dans les postes des états financiers, qu’elles soient causées par une fraude ou une erreur, sont consignés dans le logiciel pour les feuilles de travail d’audit.
Les risques qui suivent sont automatiquement créés dans le Modèle de la planification de l’audit, tel qu’exigé par les NCA :
-
les produits, considérés dans leurs rapports avec la fraude, à moins que la présomption ne s’applique pas (NCA 240.27) – voir les directives complémentaires à la section BVG Audit 5505;
-
le contournement des contrôles par la direction (NCA 240.32) Voir les directives complémentaires à la section BVG Audit 5508;
-
les opérations importantes avec les parties liées qui sortent du cadre normal des activités. (NCA 550.18) Voir les directives complémentaires à la section BVG Audit 7532.
Pour chacun des risques énumérés précédemment, l’évaluation du risque inhérent est automatiquement établie comme étant importante. Ces évaluations ne peuvent pas être modifiées excepté lorsque l’équipe de mission peut éliminer la présomption qu’il y a des risques de fraude dans la comptabilisation des produits : l’équipe de mission peut alors modifier ’l’évaluation du risque et documenter les raisons de sa décision.
L’équipe de mission documente les risques au niveau des états financiers (BVG Audit 5043) et au niveau des assertions (BVG Audit 5044). En ce qui a trait aux risques au niveau des assertions, l’équipe doit identifier tous les postes des états financiers connexes touchés par le risque. Les postes des états financiers peuvent être liés à plus d’un risque. Pour chaque risque au niveau des états financiers et pour chaque poste des états financiers connexe, l’équipe détermine si le risque est normal, élevé ou important pour chaque assertion.