6041 Recours à des sociétés de services
sept.-2022

Objectifs des NCA

Les objectifs de l’auditeur d’une entité utilisatrice qui fait appel aux prestations d’une société de services sont : (NCA 402.7)

a) d’acquérir une compréhension de la nature et de l’importance des prestations fournies par la société de services ainsi que de leur incidence sur le système de contrôle interne de l’entité utilisatrice pertinents pour l’audit, qui soit suffisante pour lui fournir une base appropriée aux fins de l’identification et de l’évaluation des risques d’anomalies significatives;

b) de concevoir et de mettre en œuvre des procédures d’audit en réponse à ces risques.

Fonctions des sociétés de services

Directives des NCA

De nombreuses entités confient certains aspects de leurs activités à des sociétés dont les prestations de services vont de l’exécution d’une tâche spécifique sous la direction de l’entité à la prise en charge complète d’unités ou de fonctions de l’entité, telle la fonction de conformité fiscale. Beaucoup de services fournis par ces sociétés sont indispensables au fonctionnement de l’entité, mais ils ne sont pas tous pertinents pour l’audit. (NCA 402.2)

Les prestations d’une société de services sont pertinentes pour l’audit des états financiers d’une entité utilisatrice lorsque les prestations fournies, ainsi que les contrôles exercés sur celles‑ci, font partie du système d’information de l’entité utilisatrice pertinent pour la préparation des états financiers. Il y a de bonnes chances que la plupart des contrôles de la société de services fassent partie de ce système, ou des contrôles y afférents, notamment ceux mis en place pour la sauvegarde des actifs. Les prestations fournies par la société de services font partie du système d’information de l’entité utilisatrice si elles concernent l’un quelconque des éléments suivants : (NCA 402.3)

a) le cheminement, dans le système d’information de l’entité utilisatrice, des informations relatives aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations à fournir importantes, peu importe que les étapes soient effectuées manuellement ou à l’aide de l’informatique, et peu importe la provenance de ces informations (grand livre général et livres auxiliaires, ou autre). Cela comprend les prestations fournies par la société de services qui influent sur la façon :

i) dont les opérations de l’entité utilisatrice sont déclenchées et dont les informations les concernant sont enregistrées, traitées, corrigées (au besoin), incorporées dans le grand livre général et communiquées dans les états financiers,

ii) dont les informations sur les évènements ou les situations, autres que les opérations, sont saisies, traitées et fournies par l’entité utilisatrice dans les états financiers;

b) les documents comptables, les comptes spécifiques contenus dans les états financiers de l’entité utilisatrice et les autres documents justificatifs qui concernent le cheminement des informations décrit à l’alinéa 3 a);

c) le processus d’information financière utilisé pour préparer les états financiers de l’entité utilisatrice à partir des documents comptables mentionnés à l’alinéa 3 b), y compris en ce qui concerne les informations à fournir et les estimations comptables se rapportant à des catégories d’opérations importants, à des soldes de comptes importants et à des informations à fournir importantes;

d) l’environnement informatique de l’entité qui est pertinent au regard des points a) à c) ci‑dessus.

La présente NCA ne s’applique pas aux prestations d’un établissement financier qui se limitent au traitement d’opérations de l’entité expressément autorisées par elle dans un compte de l’entité à cet établissement financier, par exemple le traitement par une banque des opérations d’un compte chèque ou l’exécution d’ordres par un courtier en valeurs mobilières. La présente NCA ne s’applique pas non plus à l’audit d’opérations liées à la détention de participations financières dans d’autres entités, comme des sociétés de personnes, des sociétés par actions ou des coentreprises, lorsque ces participations sont comptabilisées et que les informations y afférentes sont communiquées à leurs détenteurs. (NCA 402.5)

Définitions

Directives des NCA

Dans les NCA, on entend par : (NCA 402.8)

a) « contrôles complémentaires de l’entité utilisatrice », les contrôles dont la société de services suppose, lors de la conception de ses prestations, qu’ils seront mis en place par les entités utilisatrices et qui, s’ils sont nécessaires pour atteindre des objectifs de contrôle, sont identifiés dans la description de son système;

b) « rapport sur la description et la conception des contrôles de la société de services (appelé “rapport de type 1” dans la présente NCA) », un rapport qui comprend :

i) une description, établie par la direction de la société de services, du système de la société de services, de ses objectifs de contrôle et de ses contrôles correspondants conçus et mis en place à une date déterminée,

ii) un rapport de l’auditeur de la société de services, dont l’objectif est de fournir un niveau d’assurance raisonnable, qui contient l’opinion de l’auditeur de la société de services sur la description du système de la société de services, de ses objectifs de contrôle et de ses contrôles correspondants ainsi que sur l’adéquation de la conception des contrôles pour atteindre les objectifs de contrôle décrits;

c) « rapport sur la description, la conception et l’efficacité du fonctionnement des contrôles de la société de services (appelé “rapport de type 2” dans la présente NCA) », un rapport qui comprend :

i) une description, établie par la direction de la société de services, du système de la société de services, de ses objectifs de contrôle et de ses contrôles correspondants, de leur conception et de leur mise en place à une date déterminée ou tout au long d’une période déterminée, ainsi que, dans certains cas, de l’efficacité de leur fonctionnement tout au long d’une période déterminée,

ii) un rapport de l’auditeur de la société de services, dont l’objectif est de fournir un niveau d’assurance raisonnable, qui contient :

a. l’opinion de l’auditeur sur la description du système de la société de services, de ses objectifs de contrôle et de ses contrôles correspondants, sur l’adéquation de la conception des contrôles pour atteindre les objectifs de contrôle décrits, ainsi que sur l’efficacité du fonctionnement des contrôles,

b. une description des tests des contrôles effectués par l’auditeur de la société de services et leurs résultats;

d) « auditeur de la société de services », l’auditeur qui, à la demande de la société de services, fournit un rapport de certification sur les contrôles de celle‑ci;

e) « société de services », une tierce organisation (ou une subdivision d’une tierce organisation) qui fournit aux entités utilisatrices des prestations qui font partie intégrante du système d’information de ces entités pertinent pour l’information financière;

f) « système de la société de services », les politiques et procédures conçues, mises en place et maintenues par la société de services pour la prestation, aux entités utilisatrices, des services couverts par le rapport de l’auditeur de la société de services;

g) « sous-traitant de la société de services », une société de services à laquelle une autre société de services délègue le soin d’effectuer certaines des prestations qui sont fournies aux entités utilisatrices et qui font partie intégrante du système d’information de ces entités pertinent pour l’information financière;

h) « auditeur de l’entité utilisatrice », l’auditeur qui audite les états financiers de l’entité utilisatrice et délivre un rapport sur ceux-ci;

i) « entité utilisatrice », l’entité qui fait appel à une société de services et dont les états financiers font l’objet de l’audit.

Recours à une société de services — résumé

Directives du BVG

Le tableau suivant résume l’approche d’audit faisant appel à une société de services.

Diagramme grandeur réelle

À noter que si le test des contrôles ne produit pas suffisamment d’éléments probants, il faudra effectuer des procédures de corroboration additionnelles, notamment lorsque les contrôles visant les assertions pertinentes ne fonctionnent pas correctement ou ne sont pas mis en œuvre.

Recours à un spécialiste en comptabilité et en audit

Directives du BVG

Les facteurs à considérer dans le cadre d’un audit d’une entité qui a recours à une société de services, y compris la décision d’obtenir ou non un rapport de l’auditeur de la société de services, l’évaluation du rapport de l’auditeur de la société de services (si on l’obtient) et l’inclusion de procédures applicables dans le programme d’audit, incombent au gestionnaire d’équipe et au spécialiste en audit informatique, s’il y a lieu, de concert avec le responsable de la mission. Selon l’expérience des membres de l’équipe d’audit, il pourrait être bon de recourir à un spécialiste en audit informatique, puisqu’il possède les compétences nécessaires pour comprendre l’utilisation d’une société de services par l’entité auditée. L’auditeur pourrait également juger bon d’obtenir l’aide complémentaire d’un spécialiste en comptabilité ou en audit, si le degré de risque associé au recours à une société de services est élevé (p. ex. envisager de consulter le spécialiste interne en matière de fraude). De même, la complexité de la relation entre l’entité et la société de services peut nécessiter la consultation des Services juridiques pour que soient évaluées les incidences des ententes.

Guide de documentation

Directives du BVG

Procédure
Planification de l’audit

Pour répondre à l’évaluation des risques d’anomalies significatives, déterminer si les documents comptables détenus par l’entité contiennent des éléments probants suffisants sur les assertions pertinentes des états financiers et, dans la négative, mettre en œuvre des procédures d’audit complémentaires afin d’obtenir des éléments probants suffisants et appropriés.

  • S’il est établi que des éléments probants suffisants et appropriés doivent être obtenus de la société de services, mettre en œuvre la procédure « Planification de l’utilisation d’une société de services — [ajouter le nom de la société de services] », y compris les contrôles internes figurant au programme susmentionné et documenter la compréhension de l’incidence des activités de la société de services sur l’entité.
  • Se reporter à la section BVG Audit 6042 pour des directives supplémentaires sur l’acquisition d’une compréhension des prestations fournies par une société de services.
Contrôles
  • S’il est déterminé que les activités de la société de services peuvent nous être utiles dans notre évaluation des risques, identifier les contrôles effectués au sein de la société de services et les documenter dans la procédure « Obtention d’éléments probants concernant les contrôles mis en œuvre par la (les) société(s) de services ». Cette documentation doit inclure une évaluation de la conception et de la mise en œuvre de ces contrôles.
Collecte d’éléments probants

Exécuter les procédures de contrôle appropriées, selon la manière dont l’entité fait appel à la société de services. Consulter les procédures suivantes du programme (PRG) mentionné ci‑haut : « Planification de l’utilisation d’une société de services — [ajouter le nom de la société de services] » et « Obtention d’éléments probants concernant les contrôles mis en œuvre par la (les) société(s) de services ».

Rapport de type 1
  • Un rapport de type 1 ne traite pas de l’efficacité du fonctionnement des contrôles dans le temps. Il contient plutôt des renseignements (au sujet des contrôles de la société de services) servant à la planification de l’audit et à la conception de tests des contrôles efficaces et de procédures de corroboration au sein de l’entité.
  • Le rapport de type 1 sera sans doute rarement utilisé. S’il est utilisé, nous devrons repérer les contrôles pertinents et documenter les tests des contrôles exécutés sur les contrôles exercés par la société de services. Par exemple, le rapport de type 1 contient une description du système de la société de services, de ses objectifs de contrôle et de ses contrôles correspondants conçus et mis en place à une date déterminée. En obtenant ce rapport, nous pouvons acquérir une compréhension de la société de services. Cependant, si nous comptons nous fier aux contrôles, nous devrons tester l’efficacité du fonctionnement des contrôles exercés par la société de services à l’aide de nos procédures ou en faisant appel à un autre auditeur. Dans ces cas, nous consignons notre travail et les résultats dans la procédure « Planification de l’utilisation d’une société de services — [ajouter le nom de la société de services] ».
Rapport de type 2
  • Si l’on obtient un rapport de type 2 de l’auditeur de la société de services, les procédures « Planification de l’utilisation d’une société de services — [ajouter le nom de la société de services] » et « Obtention d’éléments probants concernant les contrôles mis en œuvre par la (les) société(s) de services » contiennent des étapes d’audit pour évaluer le rapport. Par exemple, la période couverte par les tests des contrôles est‑elle appropriée aux besoins de l’équipe de mission?
  • Consigner les résultats des tests des contrôles effectués à la société de services et devant servir d’éléments probants.
  • Relever toutes les assertions associées aux contrôles.
Contrôles complémentaires de l’entité utilisatrice
  • Pour les contrôles complémentaires de l’entité utilisatrice qui existent au sein de l’entité utilisatrice qui visent à l’atteinte des objectifs des contrôles exercés par la société de services où l’on a besoin d’éléments probants, consigner les résultats des tests des contrôles complémentaires de l’entité.
  • Se reporter à la section BVG Audit 6043 pour obtenir des directives sur les éléments probants obtenus au sein des sociétés de services.
Approche descendante pour les sociétés de services

Directives du BVG

L’auditeur doit utiliser une approche descendante fondée sur les risques pour évaluer les activités de la société de services et se concentrer uniquement sur les éléments pertinents à l’audit, et non pas sur tous les renseignements que la société de services ou l’auditeur de cette société a fournis dans un rapport. Un rapport de type 2 ou un autre rapport de l’auditeur de la société de services est simplement une source d’information et un élément probant. Il faut tenir compte de cet élément probant dans le contexte approprié. Par exemple :

  • La simple existence d’un rapport de l’auditeur de la société de services sur les contrôles de la société de services ne signifie pas nécessairement que ces contrôles peuvent être automatiquement pertinents aux fins de l’audit de l’entité. De même, certains éléments probants (et non pas tous) figurant dans un rapport de l’auditeur de la société de services peuvent être pertinents pour l’audit. Cette situation peut survenir si :
    • les propres contrôles de l’entité (p. ex. les contrôles au niveau de l’entité ou les contrôles à l’égard des activités de la société de services) suffisent à atténuer les risques d’anomalies significatives inhérents aux activités de la société de services;
    • le rapport porte sur des activités de contrôle qui ont une importance contractuelle pour l’entité, mais qui pourraient ne pas être pertinentes à notre audit lorsqu’il s’agit de tester l’efficacité du fonctionnement des contrôles (p. ex. les procédures de sauvegarde informatique et procédures de récupération);
    • l’auditeur réalise un audit et il a planifié les tests de corroboration en fonction de sa compréhension des contrôles au sein de la société de services, sans qu’il ait nécessairement besoin de tenir compte de l’efficacité du fonctionnement de ces contrôles.
  • L’expression d’une opinion sans réserve par l’auditeur de la société de services quant à l’efficacité des contrôles n’est pas nécessairement concluante aux fins de l’audit, pas plus que l’expression d’une opinion avec réserve n’est nécessairement préjudiciable. Quand les contrôles de la société de services sont pertinents pour l’audit, l’auditeur doit lire et comprendre l’intégralité du rapport. Certains écarts relevés dans les tests qui ne se sont pas soldés par l’expression d’une opinion avec réserve dans le rapport de l’auditeur de la société de services pourraient malgré tout avoir une incidence sur l’audit et, à l’inverse, l’auditeur de la société de services pourrait exprimer une opinion avec réserves sur des éléments qui ne sont pas pertinents pour l’audit. L’auditeur doit évaluer les écarts dans les tests relevés dans le rapport de l’auditeur de la société de services à l’égard des contrôles qu’il juge pertinents pour l’audit, comme il le ferait pour évaluer les écarts repérés par ses procédures indépendantes, peu importe si l’opinion de l’auditeur de la société de services a été modifiée ou non.

Il se peut que le rapport de l’auditeur de la société de services ne fournisse pas suffisamment d’éléments probants pour appuyer le niveau de risque dans les contrôles que l’auditeur a établi, selon son opinion sur la réputation de l’auditeur de la société de services, sa compétence et son indépendance, la période couverte par les tests des contrôles, l’étendue du travail d’examen et des applications couvertes, les contrôles testés, la façon dont les contrôles testés sont liés aux contrôles de l’entité, les résultats des tests des contrôles et l’opinion de l’auditeur de la société de services sur l’efficacité du fonctionnement des contrôles. Par exemple, il se peut que les contrôles au sein d’un sous-traitant de la société de services ne soient pas inclus dans le rapport de l’auditeur de la société de services (c’est‑à‑dire qu’ils sont exclus).

De plus, lorsqu’un rapport est produit pour plusieurs entités utilisatrices, il est possible que les tests de contrôles particuliers effectués par l’auditeur de la société de services ne fournissent pas suffisamment d’éléments probants sur l’efficacité du fonctionnement des contrôles relatifs aux assertions contenues dans les états financiers. De même, si l’auditeur croit qu’un contrôle est pertinent et qu’il constate, par exemple, que le test décrit dans le rapport consiste à une demande d’informations seulement, l’auditeur peut conclure que le rapport ne fournit pas assez d’éléments probants pour atteindre l’objectif visé en regard de ce contrôle. Si le rapport de l’auditeur de la société de services ne fournit pas les éléments probants suffisants pour procurer le niveau prévu de confiance accordée aux contrôles, l’auditeur devra envisager d’effectuer des tests des contrôles additionnels à la société de services ou réviser la confiance prévue des contrôles.

Dans la plupart des cas, l’auditeur de la société de services présente un rapport à « utilisation restreinte » (c’est‑à‑dire, un rapport exclusivement destiné aux parties mentionnées) à la société de services et, selon les conditions stipulées dans un accord contractuel, la société de services fournit ensuite le rapport à la direction de la société utilisatrice. L’auditeur obtient le rapport de la NCMC 3416 directement de la société de services ou de la direction de son client (la société utilisatrice). Il n’est pas approprié de partager le rapport de l’auditeur de la société de services avec des équipes de mission qui ne sont pas supposer recevoir ce rapport sans une autorisation stipulée dans un accord contractuel, en raison de la nature des restrictions relatives à la distribution du rapport et aux obligations de l’auditeur en matière de confidentialité envers les clients.

Voir la section BVG Audit 6043 pour obtenir plus de détails sur les facteurs à considérer lors de l’utilisation d’un rapport de l’auditeur de la société de services