Manuel de la vérification annuelle

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5504 Évaluation des risques et activités connexes
sept.-2022

Contenu de la présente section

Esprit critique

Procédures d’évaluation des risques

Demandes d’informations auprès de la direction et d’autres personnes

Demandes d’informations auprès de la fonction d’audit interne

Demandes d’informations auprès des responsables de la gouvernance

Résultats des procédures analytiques

Prise en considération d’autres informations

Évaluation des facteurs de risque de fraude

Considérations propres aux petites entités

Esprit critique

Exigences des NCA

Conformément à la NCA 200, l’auditeur doit faire preuve d’esprit critique tout au long de la mission, en étant conscient de l’existence possible d’une anomalie significative résultant d’une fraude, nonobstant le jugement que son expérience passée auprès de l’entité l’a amené à porter sur l’honnêteté et l’intégrité de la direction et des responsables de la gouvernance. (NCA 240.13)

À moins d’avoir des raisons de croire le contraire, l’auditeur peut tenir les livres et autres documents comptables pour authentiques. Si des situations rencontrées au cours de l’audit l’amènent à douter de l’authenticité d’un document ou à penser que le contenu d’un document a été modifié sans qu’il en ait été informé, il doit procéder à des investigations complémentaires. (NCA 240.14)

Lorsque les réponses de la direction ou des responsables de la gouvernance à ses demandes d’informations sont incohérentes, l’auditeur doit procéder à des investigations sur ces incohérences. (NCA 240.15)

Directives des NCA

Faire preuve d’esprit critique, c’est s’interroger tout au long de la mission sur la possibilité que les informations et les éléments probants obtenus donnent à penser qu’une anomalie significative résultant d’une fraude pourrait exister. L’esprit critique exige également de s’interroger sur la fiabilité des informations à utiliser comme éléments probants et sur les contrôles identifiés de la composante «activités de contrôle» (le cas échéant) portant sur la préparation et la mise à jour de ces informations. Compte tenu des caractéristiques de la fraude, il est particulièrement important que l’auditeur fasse preuve d’esprit critique lors de son évaluation des risques d’anomalies significatives résultant de fraudes. (NCA 240.A8)

Bien qu’on ne puisse s’attendre à ce que l’auditeur fasse totalement abstraction du jugement que son expérience passée auprès de l’entité l’a amené à porter sur l’honnêteté et l’intégrité de la direction et des responsables de la gouvernance de l’entité, il est particulièrement important qu’il fasse preuve d’esprit critique lorsqu’il considère les risques d’anomalies significatives résultant de fraudes, étant donné que les circonstances peuvent avoir changé. (NCA 240.A9)

Un audit effectué conformément aux NCA implique rarement l’authentification de documents et l’auditeur n’est pas censé être un expert en matière d’authentification de documents et il n’est d’ailleurs pas formé pour cela. Cependant, si l’auditeur découvre des situations qui l’amènent à douter de l’authenticité d’un document ou à penser que les termes d’un document ont été modifiés sans qu’il en soit informé, ses investigations complémentaires peuvent consister entre autres : (NCA 240.A10)

  • à obtenir une confirmation directe de la part du tiers concerné;
  • à avoir recours à un expert pour faire évaluer l’authenticité du document.
Procédures d’évaluation des risques

Exigences des NCA

Lorsque l’auditeur met en œuvre des procédures d’évaluation des risques et procède à des activités connexes afin d’acquérir une compréhension de l’entité et de son environnement, du référentiel d’information financière applicable et du système de contrôle interne de l’entité, comme l’exige la NCA 315, il doit mettre en œuvre les procédures énumérées aux paragraphes 18 à 25 pour obtenir des informations qui lui serviront à identifier les risques d’anomalies significatives résultant de fraudes. (NCA 240.17)

Les paragraphes 18‑25 sont traités dans les sections du Manuel d’audit annuel du BVG suivantes :

  • les demandes d’informations auprès de la direction et d’autres personnes; (NCA 240.18-19)
  • les demandes d’informations auprès de la fonction d’audit interne; (NCA 240.20)
  • les demandes d’informations auprès des responsables de la gouvernance; (NCA 240.21-22)
  • les résultats des procédures analytiques; (NCA 240.23)
  • la prise en considération d’autres informations; (NCA 240.24)
  • l’évaluation des facteurs de risque de fraude. (NCA 240.25)

L’auditeur doit consigner ce qui suit dans la documentation de l’audit portant sur l’identification et l’évaluation des risques d’anomalies significatives exigées par la NCA 315 : (NCA 240.45)

  1. les décisions importantes prises au cours des entretiens entre les membres de l’équipe de mission en ce qui concerne les possibilités d’anomalies significatives résultant de fraudes dans les états financiers de l’entité;
  2. les risques d’anomalies significatives résultant de fraudes identifiés et évalués au niveau des états financiers pris dans leur ensemble et au niveau des assertions.
  3. les contrôles identifiés de la composante « activités de contrôle » qui visent à répondre aux risques d’anomalies significatives résultant de fraudes qui ont été relevés.

Politique du BVG

Toute fraude ou autre irrégularité soupçonnée doit être documentée comme une question importante. [oct.-2012]

Demandes d’informations auprès de la direction et d’autres personnes

Exigences des NCA

L’auditeur doit s’enquérir auprès de la direction : (NCA 240.18)

a) de l’évaluation qu’elle a faite du risque que les états financiers puissent comporter des anomalies significatives résultant de fraudes, et notamment de la nature, de l’étendue et de la fréquence de ses évaluations;

b) des procédures qu’elle a mises en place pour identifier les risques de fraude dans l’entité et pour y répondre, et notamment des risques spécifiques de fraude qu’elle a identifiés ou qui ont été portés à son attention, ou des catégories d’opérations, des soldes de comptes ou des informations à fournir dans les états financiers qui sont susceptibles d’être exposés au risque de fraude;

c) des informations qu’elle a communiquées, le cas échéant, aux responsables de la gouvernance sur les procédures mises en place pour identifier les risques de fraude dans l’entité et pour y répondre;

d) des informations qu’elle a communiquées, le cas échéant, au personnel concernant sa vision de la conduite des affaires et du comportement éthique.

L’auditeur doit s’enquérir auprès de la direction et, au besoin, d’autres personnes dans l’entité, si elles ont connaissance de fraudes avérées, suspectées ou alléguées concernant l’entité. (NCA 240.19)

Directives des NCA

Évaluation par la direction des risques d’anomalies significatives résultant de fraudes

Du fait que la direction assume la responsabilité du contrôle interne de l’entité et de la préparation des états financiers, il convient que l’auditeur s’entretienne avec elle de l’évaluation qu’elle a faite des risques de fraude et des contrôles en place pour les prévenir et les détecter. La nature, l’étendue et la fréquence de l’évaluation de ces risques et de ces contrôles par la direction varient d’une entité à l’autre. Dans certaines entités, la direction procède à des évaluations détaillées sur une base annuelle ou dans le cadre d’un suivi continu. Dans d’autres entités, la direction peut procéder à des évaluations moins structurées et moins fréquentes. La nature, l’étendue et la fréquence des évaluations faites par la direction sont utiles à l’auditeur pour sa compréhension de l’environnement de contrôle de l’entité. Par exemple, le fait que la direction n’ait pas réalisé d’évaluation des risques de fraude peut, dans certaines circonstances, indiquer qu’elle n’accorde pas suffisamment d’importance au contrôle interne. (NCA 240.A13)

Procédures mises en place par la direction pour identifier les risques de fraude dans l’entité et y répondre

Dans le cas des entités à établissements multiples, les procédures mises en place par la direction peuvent comporter différents niveaux de suivi selon les établissements ou les unités d’exploitation. Il se peut en outre que la direction ait identifié des établissements ou des unités d’exploitation qui sont plus susceptibles que d’autres de présenter un risque de fraude. (NCA 240.A15)

Demandes d’informations auprès de la direction et d’autres personnes au sein de l’entité

Les réponses aux demandes d’informations adressées à la direction peuvent fournir à l’auditeur des informations utiles concernant les risques que les états financiers comportent des anomalies significatives résultant de fraudes commises par des employés. Il est toutefois peu probable qu’elles lui fournissent des informations utiles concernant les risques que les états financiers comportent des anomalies significatives résultant de fraudes commises par la direction. Par ailleurs, les demandes d’informations auprès d’autres personnes au sein de l’entité peuvent donner l’occasion à ces personnes de transmettre à l’auditeur des informations qui, autrement, ne lui seraient peut-être pas communiquées. (NCA 240.A16)

Voici des exemples d’autres personnes au sein de l’entité auprès desquelles l’auditeur peut se renseigner sur l’existence ou la suspicion de fraudes : (NCA 240.A17)

  • le personnel d’exploitation qui ne participe pas directement au processus d’information financière;
  • les employés à différents niveaux hiérarchiques;
  • les employés qui interviennent dans le lancement, le traitement ou l’enregistrement d’opérations complexes ou inhabituelles, ainsi que ceux qui supervisent ces personnes ou assurent un suivi de leur travail;
  • le conseiller juridique interne;
  • le responsable de l’éthique ou son équivalent;
  • la ou les personnes responsables du suivi des allégations de fraude.

La direction est souvent la mieux placée pour commettre une fraude. Par conséquent, l’auditeur fait preuve d’esprit critique dans son évaluation des réponses de la direction à ses demandes d’informations et il se peut qu’il juge nécessaire que les réponses obtenues soient corroborées par d’autres informations. (NCA 240.A18)

Dans certaines entités, en particulier les plus petites, l’évaluation de la direction peut porter principalement sur les risques de fraude commise par des employés ou sur les risques de détournements d’actifs. (NCA 240.A14)

Directives du BVG

Les demandes d’informations auprès de la direction et d’autres personnes sont importantes parce que la fraude est souvent mise au jour grâce aux demandes d’informations et à ce qui en résulte.

Des idées pour élaborer les demandes d’informations auprès de la direction, tant sur les risques que sur la façon dont la direction aborde les risques, sont présentées ci‑dessous.

Key Categories of Fraud - full size A.bmp

Risques de fraude – Demandes d’informations auprès du comité de vérification, Risques de fraude – Demandes d’informations auprès des auditeurs internes et Risques de fraude – Demandes d’informations auprès de la direction sont trois modèles de document, conçus pour aider à planifier et consigner les demandes d’informations.

En général, ces demandes d’informations sont adressées au premier dirigeant, au dirigeant principal des finances, au contrôleur financier, de même qu’aux directeurs des composantes importantes et aux chefs des principales unités d’exploitation et de soutien. Il serait avisé de choisir des membres de la direction qui exercent diverses responsabilités, qui occupent des rangs différents et qui se trouvent en des endroits différents. Ces demandes d’informations sont consignées dans la procédure « Compréhension de l’entité et de son environnement » dans le programme « Compréhension de l’entité et de son environnement ».

Si la direction est tenue par la loi ou des normes locales de signaler les cas de fraude au comité d’audit ou à l’auditeur externe, ou les deux, examiner les signalements effectués et déterminer si le processus de dissuasion et de détection mis en place par la direction confirme la véracité du processus de signalement.

En tentant de mieux comprendre les méthodes de la direction pour évaluer les risques de fraude et les contrôles connexes, il faut prendre en considération le lien avec l’évaluation des composantes du contrôle interne. Les contrôles identifiés dans l’évaluation du risque de fraude par l’auditeur devraient reprendre les contrôles identifiés par la direction dans l’évaluation du risque. Voir la section BVG Audit 5505 pour plus d’information au sujet de l’évaluation des programmes et des contrôles mis en place par la direction pour contrer la fraude.

L’auditeur utilise son jugement professionnel pour choisir les autres personnes de l’entité à qui il adressera les demandes d’informations et pour décider de l’étendue de ces demandes, dans la mesure où elles peuvent fournir de l’information qui sera utile pour identifier les risques de fraude.

Si des allégations de fraude ou d’agissements répréhensibles ont été rapportées pendant la période aux personnes affectées aux lignes téléphoniques pour la dénonciation des problèmes d’éthique, etc., et s’il est possible de connaître l’identité des employés qui ont fait ces allégations, les demandes d’informations devront aussi leur être adressées.

Les sujets d’intérêt

Les sujets d’intérêt suivants doivent être pris en compte dans les demandes d’informations adressées à la direction, au comité d’audit, à la fonction d’audit interne et d’autres personnes au sein de l’entité :

  • les antécédents de l’entreprise en matière de fraude;
  • la responsabilité de la direction à l’égard de la fraude;
  • la surveillance du conseil d’administration ou du comité d’audit :
    • processus d’évaluation du risque de fraude;
    • investigation et correction;
    • suivi de la ligne téléphonique pour la dénonciation et d’autres plaintes;
    • recours à la fonction d’audit interne pour auditer les cas de fraude;
    • mesures prises pour contrôler la possibilité que la direction tente de contourner les contrôles;
    • interaction avec la direction sur la comptabilisation d’opérations importantes ou inhabituelles.
  • l’environnement de contrôle de la fraude;
  • les programmes et les contrôles;
  • les motifs et les pressions;
  • le souci de l’intégrité des employés et des tiers;
  • la communication du code de conduite ou de déontologie;
  • la communication au sujet de la mise à disposition d’une ligne de dénonciation;
  • l’engagement en faveur de la prévention et de la détection;
  • le processus d’évaluation du risque de fraude :
    • le personnel intervenant;
    • les emplacements concernés;
    • la prise en considération des risques de fraude relatifs à ce qui suit :
      • la comptabilisation des produits;
      • les comptes établis à partir d’estimations;
      • les opérations inhabituelles importantes;
      • les opérations entre parties liées;
      • le mouvement dans les comptes intersociétés et les comptes provisoires;
      • le contournement des contrôles par la direction (au moyen d’écritures de journal);
      • les systèmes d’information;
      • le détournement d’actifs;
      • les encaissements et décaissements non autorisés;
      • les informations à fournir.
  • le lien entre les risques de fraude identifiés et les contrôles;
  • les contrôles sur les risques de fraude identifiés;
  • le souci d’intégrité des employés et des tiers;
  • le système d’information et de communication;
  • les systèmes de surveillance et d’audit;
  • l’investigation et la correction;
  • l’engagement à prévenir et à détecter la fraude;
  • les changements dans les procédures;
  • les changements dans les demandes des superviseurs;
  • le niveau d’assurance dans l’exécution des tâches courantes;
  • les connaissances sur la fraude;
  • la réponse aux allégations de l’interne et de l’externe au sujet de fraudes touchant l’entité;
  • la mise au jour d’opérations inhabituelles et d’opérations enregistrées de manière anormale;
  • les demandes d’informations auprès du conseiller juridique au sujet de fraudes alléguées ou avérées;
  • les demandes d’informations auprès de l’agent principal du respect des normes.

Voici des exemples de demandes d’informations à adresser à la direction et à d’autres personnes au sujet de la fraude. Consigner la date, l’endroit, l’étendue de la demande d’informations et les personnes concernées par chaque demande d’informations.

Demandes d’informations (adressées au premier dirigeant, au dirigeant principal des finances, au contrôleur financier, ainsi qu’à d’autres membres de la direction choisis selon la structure de l’entité)

L’équipe de mission doit déterminer quelles sont les questions à poser à la direction et comment les poser (p. ex. dans le cadre d’une discussion structurée ou d’une discussion informelle). Exemples :

  • Avez-vous un cadre de gestion du risque de fraude documenté?
  • Avez-vous une évaluation du risque de fraude documentée?
  • Êtes-vous au courant de fraudes avérées, suspectées ou alléguées ou d’informations financières mensongères qui pourraient entraîner une anomalie significative dans les états financiers de l’entité?
  • Êtes-vous au courant de quelque autre fraude, importante ou non, avérée, alléguée ou suspectée?
  • Avez-vous reçu des lettres ou des communications concernant une allégation de fraude émanant d’employés, d’anciens employés, d’analystes, de vendeurs ou d’autres personnes?
  • Quelles sortes de fraudes ont déjà été commises au détriment de l’entité par des employés ou des dirigeants, notamment des détournements de fonds ou des vols par les employés? (S’il s’agit d’un nouveau client.)
  • Que savez-vous au sujet des risques de fraude de l’entité, notamment les risques spécifiques de fraude que l’entité a identifiés, les soldes de comptes ou les catégories d’opérations pour lesquels il est probable qu’un risque de fraude existe, et quelles en sont les raisons?
  • Quels sont les programmes et les contrôles mis en place par la direction pour atténuer les risques spécifiques de fraude, qui ont été cernés, ou pour permettre de prévenir, de dissuader et de détecter les fraudes? Comment la direction assure-t-elle la surveillance de ces programmes ou de ces contrôles?

Programmes et contrôles possibles :

  • code de conduite (avec mention explicite de la fraude);
  • ton donné par la haute direction (p. ex. échelle de valeurs élevées, culture de communication de l’information financière honnête);
  • environnement de travail positif;
  • embauche et promotion de bons employés;
  • formation sur le code de conduite, y compris une formation d’appoint en la matière;
  • confirmation périodique des responsabilités personnelles, dont le respect du code de conduite;
  • mesures disciplinaires appropriées en cas de fraude alléguée ou soupçonnée;
  • évaluation par la direction du caractère approprié des contrôles appliqués sur les secteurs qui sont plus à risque de faire l’objet d’activités frauduleuses.
  • De quelle façon la direction communique-t-elle au personnel sa vision de la conduite des affaires et du comportement éthique?
  • Est‑ce que la direction adopte un comportement qui témoigne de sa vision?
  • Quelles sont les procédures adoptées pour surveiller les programmes et les contrôles mis en place dans les établissements ou les unités d’exploitation afin de prévenir, dissuader ou détecter les fraudes?
  • Avez-vous fait rapport au comité d’audit, ou à un autre comité ayant les mêmes pouvoirs et les mêmes responsabilités, sur les contrôles internes de l’entité et indiqué comment, selon la direction, les contrôles internes permettent de prévenir, de dissuader et de détecter les anomalies significatives résultant de fraudes?
  • Vous a-t‑on demandé ou a-t‑on demandé à quelqu’un d’autre dans l’entité de ne pas divulguer d’informations à l’auditeur, de modifier des documents ou d’inscrire des données fictives dans les livres?
  • Quels sont les motifs et les pressions qui s’exercent, à votre avis, sur la direction et comment les risques de fraude connexes sont‑ils gérés?
  • Lorsqu’une fraude ou une possibilité de fraude est détectée, comment procède-t‑on pour faire enquête et y remédier?
  • Avez-vous eu connaissance d’une activité inappropriée ou inhabituelle concernant le traitement des écritures de journal et des ajustements?
  • Des filiales ou des unités d’exploitation sont-elles plus susceptibles à la fraude que d’autres?
  • Comment le conseil d’administration ou le comité d’audit de l’entité vous a-t‑il fait part, à vous et aux autres cadres supérieurs, de ses opinions sur la fraude et les procédures de contrôle?
  • Quelles sont les procédures en place pour examiner les résultats des établissements ou des unités d’exploitation afin de signaler des résultats inhabituels ou inattendus susceptibles d’indiquer qu’il y a peut-être eu une manipulation frauduleuse des données?

Note : En posant des questions pour mieux comprendre les méthodes de la direction pour évaluer les risques de fraude et les contrôles connexes, il faut penser à l’évaluation des composantes du contrôle interne.

Demandes d’informations auprès d’autres personnes au sein de l’entité

En faisant appel à son jugement professionnel, l’auditeur doit déterminer s’il doit adresser à d’autres personnes des demandes d’informations au sujet de l’existence avérée ou soupçonnée d’activités inappropriées. Voici, en plus des questions ci‑dessus, des exemples de questions que l’équipe de mission pourra poser si elle les juge utiles selon le contexte :

  • soupçonnez-vous d’autres personnes d’être mêlées à une fraude?
  • Quelqu’un vous a-t‑il demandé de faire quelque chose hors de l’ordinaire qui ne cadre pas avec vos tâches habituelles?
Demandes d’informations auprès de la fonction d’audit interne

Exigences des NCA

Lorsque l’entité dispose d’une fonction d’audit interne, l’auditeur doit s’enquérir auprès des personnes appropriées au sein de la fonction si elles ont connaissance de fraudes avérées, suspectées ou alléguées concernant l’entité, et obtenir leur point de vue sur les risques de fraude. (NCA 240.20)

Directives des NCA

La NCA 315 et la NCA 610 définissent des exigences et fournissent des indications pertinentes pour les audits des entités qui ont une fonction d’audit interne. Lors de la mise en œuvre des exigences de ces NCA en contexte de fraude, l’auditeur peut demander des informations au sujet d’activités spécifiques de la fonction, par exemple : (NCA 240.A19)

  • quelles procédures ont été mises en œuvre par la fonction d’audit interne au cours de l’exercice, le cas échéant, pour détecter les fraudes;
  • si la direction a donné suite de façon satisfaisante aux constatations découlant de l’application de ces procédures.

Directives du BVG

Voici des exemples de questions à poser à la fonction d’audit interne au sujet de la fraude :

Demandes d’informations auprès de la fonction d’audit interne :

  • Quel est votre point de vue sur le risque de fraude?
  • Quelles procédures d’audit interne ont été mises en œuvre pour prévenir, dissuader ou détecter les fraudes?
  • Êtes-vous au courant de cas de fraudes avérées, alléguées ou suspectées?
  • La direction a-t‑elle bien répondu aux conclusions et aux recommandations des auditeurs internes tout au long de l’exercice, concernant le risque ou la détection de fraude?
  • Avez-vous effectué des examens spécifiques à la demande de la direction?

Voir la section BVG Audit 6030 pour obtenir des directives sur l’audit interne.

Demandes d’informations auprès des responsables de la gouvernance

Exigences des NCA

À moins que tous les responsables de la gouvernance ne participent à la gestion de l’entité, l’auditeur doit acquérir une compréhension de la façon dont ils exercent leur surveillance sur les procédures mises en place par la direction pour identifier les risques de fraude dans l’entité et pour y répondre, ainsi que sur les contrôles établis par la direction pour réduire ces risques (NCA 240.21).

À moins que tous les responsables de la gouvernance ne participent à la gestion de l’entité, l’auditeur doit s’enquérir auprès des responsables de la gouvernance de leur éventuelle connaissance de fraudes avérées, suspectées ou alléguées concernant l’entité. Ces demandes d’informations visent en partie à corroborer les réponses aux demandes d’informations adressées à la direction (NCA 240.22).

Directives des NCA

Acquisition d’une compréhension de la surveillance exercée par les responsables de la gouvernance

Les responsables de la gouvernance de l’entité exercent une surveillance sur les systèmes de suivi des risques, du contrôle financier et de la conformité à la législation. Dans beaucoup de pays, les pratiques en matière de gouvernance sont bien développées et les responsables de la gouvernance jouent un rôle actif dans la surveillance de l’évaluation des risques de fraude par l’entité et des contrôles visant à répondre à ces risques. Étant donné que les responsabilités qui incombent aux responsables de la gouvernance et à la direction peuvent varier selon l’entité et d’un pays à l’autre, il est important que l’auditeur comprenne la nature de leurs responsabilités respectives pour pouvoir acquérir une compréhension de la surveillance exercée par les personnes compétentes. (NCA 240.A20)

La norme NCA 260 explique avec qui l’auditeur communique lorsque la structure de gouvernance de l’entité n’est pas bien définie.

La compréhension de la surveillance exercée par les responsables de la gouvernance peut éclairer l’auditeur sur les possibilités que l’entité soit exposée à des fraudes commises par la direction, sur le caractère adéquat des contrôles visant à répondre à ces risques de fraude et sur la compétence et l’intégrité de la direction. L’auditeur peut acquérir cette compréhension par différents moyens, par exemple en assistant à des réunions au cours desquelles ces questions sont abordées, par la lecture des procès-verbaux de ces réunions, ou encore par des demandes d’informations auprès des responsables de la gouvernance. (NCA 240.A21)

Directives du BVG

Voir la section BVG Audit 2210 pour obtenir des directives sur les communications avec les responsables de la gouvernance

Voici des exemples de questions à poser aux personnes responsables de la gouvernance au sujet de la fraude :

  • Quel est votre point de vue sur le risque de fraude au sein de l’entité?
  • Avez-vous eu connaissance d’une fraude perpétrée ou suspectée?
  • Comment vous assurez-vous que la direction n’a pas manipulé les états financiers et les autres documents fournis au conseil, ou contourné les contrôles?
  • Quelles sont les motifs et les pressions qui s’exercent, à votre avis, sur la direction et comment le risque de fraude connexe est‑il contrôlé?
  • Comment procédez-vous pour surveiller les activités visant le risque de fraude ainsi que les programmes et contrôles établis pour atténuer ce risque?
  • Quels protocoles avez-vous établis avec la direction pour être informés de toutes les fraudes, importantes ou non, dans lesquelles sont mêlés des membres de la direction ou d’autres employés qui ont une influence significative sur les contrôles internes?
  • Est‑ce que des questions relatives à une fraude ont été signalées au comité d’audit, en notre absence, durant l’exercice? Quelles mesures ont alors été prises par la direction et le comité d’audit?
Résultats des procédures analytiques

Exigences des NCA

L’auditeur doit évaluer si les corrélations inhabituelles ou inattendues identifiées lors de la mise en œuvre de procédures analytiques, y compris celles qui concernent les comptes de produits, peuvent indiquer des risques d’anomalies significatives résultant de fraudes. (NCA 240.23)

Directives du BVG

Les procédures analytiques mises en œuvre à un niveau désagrégé sont un puissant outil d’audit. Elles peuvent révéler des détails, notamment des indicateurs de fraude qui ne seraient pas détectables à un niveau d’analyse plus poussé. Pour les mêmes raisons, il est utile, lorsque cela est possible, d’analyser les coûts et les marges excédentaires à un niveau désagrégé. Le niveau de ventilation sera choisi en fonction des résultats de l’évaluation du risque d’erreur de l’équipe de mission; il sera moins poussé s’il existe un risque de fraude identifié.

Voir la section BVG Audit 5012.2 pour consulter le guide des procédures analytiques de l’évaluation du risque.

Prise en considération d’autres informations

Exigences des NCA

L’auditeur doit se demander si d’autres informations qu’il a obtenues indiquent des risques d’anomalies significatives résultant de fraudes. (NCA 240.24)

Directives des NCA

En plus des informations obtenues par la mise en œuvre de procédures analytiques, d’autres informations recueillies au sujet de l’entité et de son environnement du référentiel d’information financière applicable et du système de contrôle interne de l’entité peuvent être utiles pour identifier les risques d’anomalies significatives résultant de fraudes. Les entretiens entre les membres de l’équipe de mission peuvent fournir des informations utiles pour l’identification de ces risques. Les informations obtenues par l’auditeur dans le cadre du processus d’acceptation ou de maintien de la relation client, de même que l’expérience acquise lors d’autres missions réalisées pour l’entité, par exemple des missions d’examen d’informations financières intermédiaires, peuvent aussi se révéler pertinentes pour l’identification des risques d’anomalies significatives résultant de fraudes. (NCA 240.A23)

Directives du BVG

La prise en considération des risques d’une fraude liée à des informations financières mensongères commence à l’étape de l’acceptation et du maintien de la mission. Il faut aussi considérer les facteurs de risque de fraude courants concernant notamment les informations financières mensongères.

Voir la section BVG Audit 3010 pour obtenir des directives sur les procédures d’acceptation et de maintien de la mission.

Autres informations qui pourraient se révéler utiles pour identifier le risque de fraude :

  • Examen des postes des états financiers particulièrement exposés au risque de fraude, soit parce qu’ils exigent un niveau de jugement et de subjectivité élevé de la part de la direction, ce qui augmente le risque d’informations financières mensongères (telles les estimations de passifs résultant d’une restructuration) soit parce qu’ils se prêtent à des manœuvres de détournement.
  • Il est possible d’examiner les allégations de fraude ou d’agissement répréhensible reçues par l’entité en examinant le risque de fraude important en mission. Ces allégations sont généralement inscrites dans le registre des dénonciations et des enquêtes de l’entité.
  • Information recueillie au sujet des motifs de la direction ou des pressions qu’elle subit, par exemple, recenser les gains fondés sur le rendement pour la direction ou autres arrangements du même genre, y compris les niveaux de rendement à atteindre pour y avoir droit.

La prise en considération d’autres informations peut se faire grâce à la procédure « Autres procédures d’évaluation des risques ».

Évaluation des facteurs de risque de fraude

Exigences des NCA

L’auditeur doit évaluer si les informations qu’il a obtenues lors de la mise en œuvre des autres procédures d’évaluation des risques et des activités connexes indiquent la présence d’un ou de plusieurs facteurs de risque de fraude. Bien que la présence de facteurs de risque de fraude n’indique pas nécessairement l’existence de fraudes, ces facteurs sont souvent présents dans les situations de fraude et peuvent donc indiquer des risques d’anomalies significatives résultant de fraudes. (NCA 240.25)

Directives des NCA

Le fait que la fraude soit habituellement dissimulée peut en rendre la détection très difficile. Néanmoins, l’auditeur peut relever des événements ou des circonstances qui indiquent l’existence de motifs ou de pressions pour commettre une fraude ou qui offrent l’occasion de la commettre (facteurs de risque de fraude). Par exemple : (NCA 240.A24)

  • le besoin de satisfaire les attentes de tiers afin d’obtenir des capitaux propres supplémentaires peut créer des pressions incitant à la fraude;
  • l’attribution de primes importantes en cas de réalisation d’objectifs de résultats irréalistes peut constituer un motif pour commettre une fraude;
  • un environnement de contrôle qui n’est pas efficace peut offrir l’occasion de commettre une fraude.

Il n’est pas facile de classer les facteurs de risque de fraude par ordre d’importance. Leur portée varie considérablement. Certains des facteurs sont présents dans des entités dont la situation ne présente pas de risques d’anomalies significatives. En conséquence, l’auditeur exerce son jugement professionnel pour déterminer s’il est en présence d’un facteur de risque de fraude et s’il lui faut en tenir compte dans l’évaluation du risque que les états financiers comportent des anomalies significatives résultant de fraudes. (NCA 240.A25)

L’Annexe 1 présente des exemples de facteurs de risque de fraude ayant rapport aux informations financières mensongères et au détournement d’actifs [annexe comprise dans la section 5502]. Ces exemples sont classés en fonction des trois conditions généralement présentes en cas de fraude : (NCA 240.A26)

  • des motifs ou des pressions pour commettre une fraude;
  • des circonstances perçues comme favorables à la perpétration d’une fraude;
  • la capacité de rationaliser l’acte frauduleux.

Les facteurs de risque de fraude peuvent être liés à des incitations, des pressions ou des opportunités qui découlent de conditions qui créent une susceptibilité d’inexactitude, avant la prise en compte des contrôles. Les facteurs de risque de fraude, qui comprennent le parti pris intentionnel de la direction, sont, dans la mesure où ils affectent le risque inhérent, des facteurs de risque inhérents. Les facteurs de risque de fraude peuvent également être liés aux conditions du système de contrôle interne de l’entité qui fournissent l’opportunité de commettre une fraude ou qui peuvent affecter l’attitude de la direction ou sa capacité à rationaliser les actions frauduleuses. Il se peut que les facteurs de risque de fraude qui reflètent une attitude permettant la rationalisation de l’acte frauduleux ne soient pas facilement décelables par l’auditeur. Il peut néanmoins arriver qu’il prenne connaissance de l’existence de telles informations, par exemple, par le biais de compréhension requise de l’environnement de contrôle de l’entité. Bien que les facteurs de risque de fraude décrits à l’Annexe 1 [annexe comprise dans la section 5502] couvrent un large éventail de situations susceptibles d’être rencontrées par l’auditeur, ils ne constituent que des exemples, et d’autres facteurs de risque peuvent exister.

La taille, la complexité et la structure de propriété de l’entité ont une incidence importante sur la prise en considération des facteurs de risque de fraude pertinents. Par exemple, dans le cas d’une grande entité, il est généralement possible de limiter les agissements répréhensibles de la part de la direction par des moyens tels que : (NCA 240.A27)

  • une surveillance efficace de la part des responsables de la gouvernance;
  • une fonction d’audit interne efficace;
  • l’existence et l’application effective d’un code de bonne conduite écrit.

De plus, la prise en considération des facteurs de risque de fraude au niveau d’une unité d’exploitation peut fournir un éclairage différent de celui obtenu à l’échelle de l’entité.

Directives du BVG

En identifiant les risques de fraude, il est utile de tenir compte de l’information recueillie au sujet des motifs et des pressions, des circonstances favorables, des attitudes et des rationalisations. Cependant, il n’est pas nécessaire que les trois conditions soient observées, ou évidentes, pour pouvoir conclure qu’il y a un risque identifié. En fait, les facteurs touchant aux rationalisations et aux attitudes ne sont pas de nature facilement observable.

Voici certains facteurs à considérer dans l’identification du risque de fraude :

  • type de risque – information financière mensongère ou détournement d’actifs;
  • importance du risque – ampleur qui pourrait conduire à une anomalie significative;
  • probabilité rattachée au risque – probabilité que le risque cause une anomalie significative;
  • étendue de la menace – effet sur l’ensemble des états financiers, sur une assertion, un compte ou une catégorie d’opérations en particulier.

Contrairement aux risques résultant d’erreurs, pour lesquels l’évaluation des risques dépend de la nature de l’élément, de l’importance des anomalies possibles et de leur probabilité d’occurrence, les risques de fraude sont de nature différente vu qu’ils peuvent être généralisés. Par conséquent, tous les risques résultant de fraudes doivent être évalués comme étant importants.

Considérations propres aux petites entités

Directives des NCA

Dans certaines entités, tous les responsables de la gouvernance participent à la gestion de l’entité. Ce peut être le cas, par exemple, lorsqu’une petite entité est dirigée par un propriétaire unique et que personne d’autre n’est investi de fonctions de gouvernance. Généralement, l’auditeur n’a alors aucune démarche à faire, vu l’absence de fonction de surveillance distincte des fonctions de direction. (NCA 240.A22)

Dans le cas d’une petite entité, certaines ou l’ensemble de ces considérations peuvent être inapplicables ou de moindre importance. Par exemple, une petite entité peut ne pas avoir de code de bonne conduite écrit, mais avoir néanmoins développé une culture qui, par la communication orale et l’exemple de la direction, fait ressortir l’importance de l’intégrité et du comportement éthique. De manière générale, le fait que la direction soit assumée dans une petite entité par une seule personne n’indique pas forcément que la direction n’affiche pas et ne communique pas une attitude appropriée à l’égard du contrôle interne et du processus d’information financière. Dans certaines entités, l’obligation d’obtenir des autorisations de la direction peut compenser des contrôles par ailleurs déficients et réduire le risque de fraudes commises par le personnel. Le fait que la direction soit dominée par une seule personne peut cependant constituer une déficience potentielle du contrôle interne, puisque la direction a alors la possibilité de contourner les contrôles. (NCA 240.A28)