Manuel de la vérification annuelle
AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
6043 Éléments probants liés à une société de services
sept.-2022
Contenu de la présente section
Faciliter la compréhension d’une société de services à l’aide d’un rapport de type 1 ou de type 2
Caractère approprié des éléments probants obtenus à partir d’un rapport de type 1 ou de type 2
Réponses à l’évaluation des risques d’anomalies significatives
Test des contrôles au sein de la société de services
Utilisation d’un rapport de type 2 à titre d’éléments probants
Directives particulières à l’intention des auditeurs législatifs
Exigences des NCA
Si l’auditeur de l’entité utilisatrice prévoit d’utiliser un rapport de type 1 ou de type 2 à titre d’éléments probants pour étayer sa compréhension de la conception et de la mise en place des contrôles de la société de services, il doit : (NCA 402.14(a))
a) évaluer si la description et la conception des contrôles de la société de services se rapportent à une date, ou couvrent une période, qui est appropriée au regard de ses besoins;
b) évaluer le caractère suffisant et approprié des éléments probants fournis par le rapport pour permettre de comprendre les contrôles de la société de services;
c) déterminer si les contrôles complémentaires de l’entité utilisatrice identifiés par la société de services sont pertinents dans le cas de l’entité utilisatrice et, si oui, vérifier si celle – ci a conçu et mis en place ces contrôles.
Directives des NCA
Le rapport de type 1 ou de type 2 ainsi que les informations sur l’entité utilisatrice peuvent aider l’auditeur de l’entité utilisatrice à acquérir : (NCA 402.A22)
a) une compréhension des aspects des contrôles de la société de services qui peuvent avoir une incidence sur le traitement des opérations de l’entité utilisatrice, y compris le recours à des sous-traitants par la société de services;
b) une compréhension du flux des opérations importantes au sein de la société de services pour déterminer les étapes du cheminement des opérations susceptibles d’entraîner des anomalies significatives dans les états financiers de l’entité utilisatrice;
c) une compréhension des objectifs de contrôle de la société de services qui sont pertinents au regard des assertions contenues dans les états financiers de l’entité utilisatrice;
d) une compréhension des contrôles de la société de services permettant de déterminer s’ils sont conçus et mis en place de manière à prévenir ou à détecter les erreurs de traitement susceptibles d’entraîner des anomalies significatives dans les états financiers de l’entité utilisatrice.
Un rapport de type 1 ou de type 2 peut aider l’auditeur de l’entité utilisatrice à acquérir une compréhension suffisante pour lui permettre d’identifier et d’évaluer les risques d’anomalies significatives. Un rapport de type 1 ne fournit toutefois aucun élément probant quant à l’efficacité du fonctionnement des contrôles.
Un rapport de type 1 ou de type 2, qui se rapporte à une date ou couvre une période non comprise dans la période couverte par les états financiers de l’entité utilisatrice faisant l’objet de l’audit, peut néanmoins aider l’auditeur de l’entité utilisatrice à acquérir une compréhension préliminaire des contrôles mis en place dans la société de services, si le rapport est complété par des informations supplémentaires à jour provenant d’autres sources. Si la description des contrôles de la société de services se rapporte à une date ou couvre une période qui précède le début de la période faisant l’objet de l’audit, l’auditeur de l’entité utilisatrice peut mettre en œuvre des procédures en vue d’actualiser les informations contenues dans le rapport de type 1 ou de type 2, par exemple : (NCA 402.A23)
- en s’entretenant des changements survenus au sein de la société de services avec le personnel de l’entité utilisatrice bien placé pour être au courant de tels changements;
- en passant en revue la documentation et la correspondance les plus récentes en provenance de la société de services;
- en s’entretenant des changements avec le personnel de la société de services.
Directives du BVG
Les contrôles d’une société de services sont généralement conçus en supposant que certains contrôles seront mis en place par l’entité utilisatrice. Souvent, l’application de contrôles précis au sein de l’entité utilisatrice est nécessaire pour atteindre certains objectifs en matière de contrôle mentionnés dans les rapports de type 1 ou de type 2. Il incombe à l’entité utilisatrice d’établir si les objectifs en matière de contrôle mentionnés dans le rapport de type 1 ou 2 sont pertinents à ses propres contrôles. L’auditeur doit examiner les documents produits sur la conception des contrôles afin de déterminer si les contrôles sont raisonnables et exhaustifs.
Lorsque des contrôles complémentaires de l’entité utilisatrice sont exigés pour atteindre les objectifs de contrôle définis, la société de services les décrit généralement dans sa description des contrôles. Voici des exemples de contrôles complémentaires exercés par l’entité utilisatrice :
- des mots de passe nécessaires pour accéder par ordinateur aux applications de la société de services;
- les données d’entrée transmises à la société de services sont exhaustives, exactes et autorisées;
- la société de services a fourni les données de sortie nécessaires et un rapprochement a été effectué avec les données d’entrée qui lui ont été transmises.
Il incombe à l’entité utilisatrice d’établir si les contrôles complémentaires dont il a été question dans le rapport délivré par la société de services sont pertinents à la conception générale des contrôles de l’entité utilisatrice et, si oui, d’évaluer si ces contrôles sont mis en place et s’ils fonctionnent efficacement. L’auditeur a la responsabilité d’évaluer les contrôles complémentaires de l’entité utilisatrice inclus dans la composante des activités de contrôle.
Si les contrôles complémentaires de l’entité utilisatrice ne prennent pas entièrement en charge un objectif en matière de contrôle, l’entité peut définir ou mettre en place des contrôles d’atténuation. L’auditeur est responsable de l’évaluation de la pertinence de tels contrôles complémentaires de l’entité utilisatrice.
Exigences des NCA
Pour déterminer le caractère suffisant et approprié des éléments probants fournis par un rapport de type 1 ou de type 2, l’auditeur de l’entité utilisatrice doit s’assurer : (NCA 402.13)
a) de la compétence professionnelle de l’auditeur de la société de services et de son indépendance par rapport à
celle-ci;
b) du caractère adéquat des normes selon lesquelles le rapport de type 1 ou de type 2 a été délivré.
Directives des NCA
L’auditeur de l’entité utilisatrice peut présenter des demandes d’informations sur l’auditeur de la société de services auprès du corps professionnel dont l’auditeur de la société de services est membre ou auprès d’autres professionnels et chercher à savoir s’il est soumis à la surveillance d’une autorité de réglementation. Il se peut que l’auditeur de la société de services exerce ses activités dans un pays où des normes différentes s’appliquent aux rapports sur les contrôles d’une société de services, et l’auditeur de l’entité utilisatrice peut alors obtenir de l’information sur les normes suivies par l’auditeur de la société de services auprès de l’organisme de normalisation compétent. (NCA 402.A21)
Directives du BVG
Se reporter à la partie intitulée « Utilisation du rapport de type 1 ou de type 2 de l’auditeur de la société de services » de la section BVG Audit 6042 pour consulter des indications sur la manière de déterminer le caractère adéquat de la norme de rapport utilisée par l’auditeur de la société de services.
Exigences des NCA
Pour répondre à son évaluation des risques conformément à la NCA 330, l’auditeur de l’entité utilisatrice doit : (NCA 402.15)
a) déterminer si les documents comptables détenus par l’entité utilisatrice contiennent des éléments probants suffisants et appropriés sur les assertions pertinentes des états financiers; et, dans la négative,
b) mettre en œuvre des procédures d’audit complémentaires afin d’obtenir des éléments probants suffisants et appropriés ou faire appel à un autre auditeur afin qu’il mette ces procédures en œuvre pour lui au sein de la société de services.
Directives des NCA
L’augmentation ou non du risque d’anomalies significatives pour l’entité utilisatrice du fait du recours à une société de services dépend de la nature des prestations fournies et des contrôles sur ces prestations. Dans certains cas, le recours à une société de services peut réduire le risque d’anomalies significatives, particulièrement si l’entité utilisatrice ne possède pas elle-même l’expertise requise pour réaliser certaines activités, par exemple le déclenchement, le traitement et l’enregistrement des opérations, ou ne dispose pas des ressources adéquates (par exemple, un système informatique). (NCA 402.A24)
Lorsqu’une société de services assure la tenue de parties significatives des documents comptables de l’entité utilisatrice, l’auditeur de cette dernière pourrait avoir besoin d’accéder directement à ces documents afin d’obtenir des éléments probants suffisants et appropriés quant au fonctionnement des contrôles sur les documents ou d’obtenir une corroboration des opérations et des soldes qui y sont inscrits, ou les deux. Un tel accès peut impliquer l’inspection physique des documents dans les locaux de la société de services ou la consultation des documents sur support électronique depuis les locaux de l’entité utilisatrice ou ailleurs, ou les deux. Lorsque l’accès direct se fait électroniquement, l’auditeur de l’entité utilisatrice peut de ce fait obtenir des éléments probants quant au caractère adéquat des contrôles de la société de services sur l’exhaustivité et l’intégrité des données de l’entité utilisatrice dont est chargée la société de services. (NCA 402.A25)
Pour déterminer la nature et l’étendue des éléments probants à obtenir relativement aux soldes qui représentent des actifs détenus ou des opérations prises en charge par la société de services pour le compte de l’entité utilisatrice, l’auditeur de l’entité utilisatrice peut envisager de mettre en œuvre les procédures suivantes : (NCA 402.A26)
a) inspecter les livres et autres documents détenus par l’entité utilisatrice : la fiabilité de cette source d’éléments probants est fonction de la nature et de l’étendue des documents comptables et des pièces justificatives détenus par l’entité utilisatrice. Dans certains cas, l’entité utilisatrice pourrait ne pas procéder à la tenue d’une comptabilité détaillée ou de pièces justificatives concernant les opérations particulières réalisées pour son compte.
b) inspecter les livres et autres documents détenus par la société de services : l’accès de l’auditeur de l’entité utilisatrice aux documents de la société de services peut être prévu dans les accords contractuels conclus entre l’entité utilisatrice et la société de services. L’auditeur de l’entité utilisatrice peut également demander à un autre auditeur d’obtenir en son nom l’accès aux documents de l’entité utilisatrice tenus par la société de services.
c) obtenir de la société de services confirmation des soldes et des opérations : lorsque l’entité utilisatrice tient à jour une comptabilité autonome des soldes et opérations, une confirmation de la société de services corroborant les documents comptables de l’entité utilisatrice peut fournir des éléments probants fiables quant à l’existence des opérations et actifs concernés. Par exemple, lorsqu’il est fait appel à plusieurs sociétés de services, comme un gestionnaire de portefeuille et un dépositaire, et que ces sociétés de services tiennent une comptabilité autonome, l’auditeur de l’entité utilisatrice peut obtenir confirmation des soldes auprès de ces sociétés et comparer les informations recueillies avec les documents comptables autonomes de l’entité utilisatrice.
Si l’entité utilisatrice ne tient pas une comptabilité autonome, l’information obtenue dans les confirmations de la société de services n’est qu’un énoncé du contenu des documents comptables tenus par la société de services. Par conséquent, ces confirmations ne constituent pas à elles seules des éléments probants fiables. Dans ce cas, l’auditeur de l’entité utilisatrice peut s’interroger sur l’existence éventuelle d’une autre source indépendante d’éléments probants.
d) mettre en œuvre des procédures analytiques portant sur la comptabilité tenue par l’entité utilisatrice ou sur les rapports reçus de la société de services : l’efficacité des procédures analytiques variera probablement selon les assertions, et sera fonction de l’étendue et du niveau de détail des informations disponibles.
Un autre auditeur peut mettre en œuvre des procédures de la nature des procédures de corroboration pour répondre aux besoins des auditeurs des entités utilisatrices. La mission de l’autre auditeur peut alors comporter la mise en œuvre de procédures convenues entre l’entité utilisatrice et son auditeur et la société de services et son auditeur. Les constatations découlant des procédures mises en œuvre par l’autre auditeur sont passées en revue par l’auditeur de l’entité utilisatrice afin de déterminer si elles constituent des éléments probants suffisants et appropriés. En outre, il peut arriver que l’auditeur de la société de services soit tenu par les pouvoirs publics ou des accords contractuels de mettre en œuvre des procédures particulières de la nature des procédures de corroboration. Les résultats de l’application des procédures exigées aux opérations et aux soldes traités par la société de services peuvent être retenus par l’auditeur de l’entité utilisatrice parmi les éléments probants nécessaires pour étayer son opinion d’audit. Dans ces circonstances, il pourrait être approprié pour l’auditeur de l’entité utilisatrice et l’auditeur de la société de services de s’entendre, avant la mise en œuvre de ces procédures, sur la documentation de l’audit ou sur l’accès à cette documentation qui seront fournis à l’auditeur de l’entité utilisatrice. (NCA 402.A27)
Dans certaines circonstances, en particulier lorsqu’une entité utilisatrice confie une partie ou la totalité de sa fonction de trésorerie à une société de services, l’auditeur de l’entité utilisatrice peut se trouver dans une situation où une partie importante des éléments probants réside dans la société de services. Des procédures de corroboration pourraient devoir être mises en œuvre dans la société de services par l’auditeur de l’entité utilisatrice ou par un autre auditeur en son nom. L’auditeur de la société de services peut préparer un rapport de type 2 et, en plus, mettre en œuvre des procédures de corroboration pour l’auditeur de l’entité utilisatrice. L’intervention d’un autre auditeur ne modifie en rien la responsabilité de l’auditeur de l’entité utilisatrice d’obtenir des éléments probants suffisants et appropriés afin de disposer d’une base raisonnable pour étayer son opinion. Par conséquent, afin de déterminer si des éléments probants suffisants et appropriés ont été obtenus et s’il doit mettre en œuvre des procédures de corroboration complémentaires, l’auditeur de l’entité utilisatrice doit prendre en considération sa propre intervention dans la direction, la supervision et la réalisation des procédures de corroboration mises en œuvre par l’autre auditeur, ou les éléments probants concernant la direction, la supervision et la mise en œuvre de ces procédures. (NCA 402.A28)
Exigences des NCA
Lorsque son évaluation des risques repose sur l’attente d’un fonctionnement efficace des contrôles de la société de services, l’auditeur de l’entité utilisatrice doit obtenir des éléments probants sur l’efficacité du fonctionnement de ces contrôles en mettant en œuvre une ou plusieurs des procédures suivantes : (NCA 402.16)
a) obtenir un rapport de type 2, s’il y en a un de disponible;
b) effectuer des tests appropriés des contrôles au sein de la société de services; ou
c) faire appel à un autre auditeur afin qu’il effectue des tests des contrôles pour lui au sein de la société de services.
Directives des NCA
La NCA 330 exige de l’auditeur de l’entité utilisatrice qu’il conçoive et mette en œuvre des tests sur les contrôles de manière à obtenir des éléments probants suffisants et appropriés sur l’efficacité de leur fonctionnement dans certaines circonstances. Dans le cas d’une société de services, cette exigence s’applique : (NCA 402.A29)
a) lorsque l’évaluation des risques d’anomalies significatives par l’auditeur de l’entité utilisatrice repose sur l’attente d’un fonctionnement efficace des contrôles de la société de services (autrement dit, l’auditeur de l’entité utilisatrice a l’intention de s’appuyer sur l’efficacité du fonctionnement des contrôles de la société de services lors de la détermination de la nature, du calendrier et de l’étendue des procédures de corroboration); ou
b) lorsque les procédures de corroboration ne permettent pas, à elles seules ou combinées avec des tests de l’efficacité du fonctionnement des contrôles de l’entité utilisatrice, d’obtenir des éléments probants suffisants et appropriés au niveau des assertions.
En l’absence de rapport de type 2, l’auditeur de l’entité utilisatrice peut communiquer avec la société de services, par l’entremise de l’entité utilisatrice, afin de demander que l’auditeur de la société de services prépare un rapport de type 2 comprenant des tests de l’efficacité du fonctionnement des contrôles, ou il peut avoir recours à un autre auditeur pour mettre en œuvre des procédures au sein de la société de services pour tester l’efficacité du fonctionnement de ces contrôles. L’auditeur de l’entité utilisatrice peut également visiter la société de services et effectuer les tests des contrôles si la société de services y consent. Dans son évaluation des risques, l’auditeur de l’entité utilisatrice tient compte des éléments probants fournis tant par les travaux de l’autre auditeur que par les procédures qu’il a lui‑même mises en œuvre. (NCA 402.A30)
Directives du BVG
Il est important de se rappeler que, contrairement aux rapports de type 2, l’auditeur ne peut pas se fier à un rapport de type 1 pour réduire le niveau établi de risque lié au contrôle dans le but d’ajuster la nature, le calendrier et l’étendue des procédures de corroboration.
Exigences des NCA
Si, conformément à l’alinéa 16 a), l’auditeur de l’entité utilisatrice prévoit d’utiliser un rapport de type 2 à titre d’élément probant attestant du fonctionnement efficace des contrôles de la société de services, il doit déterminer si le rapport de l’auditeur de la société de services fournit des éléments probants suffisants et appropriés sur l’efficacité du fonctionnement des contrôles pour étayer son évaluation des risques. Pour ce faire, l’auditeur de l’entité utilisatrice doit : (NCA 402.17)
a) évaluer si la description, la conception et l’efficacité du fonctionnement des contrôles de la société de services se rapportent à une date, ou couvrent une période, qui est appropriée au regard de ses besoins;
b) déterminer si les contrôles complémentaires de l’entité utilisatrice identifiés par la société de services sont pertinents dans le cas de l’entité utilisatrice et, si oui, vérifier si celle – ci a conçu et mis en place ces contrôles, puis, lorsque c’est le cas, tester l’efficacité de leur fonctionnement;
c) évaluer le caractère adéquat de la durée de la période couverte par les tests des contrôles et le temps écoulé depuis l’exécution de ces tests;
d) évaluer si les tests des contrôles effectués par l’auditeur de la société de services ainsi que les résultats de ces tests, selon la description donnée dans le rapport de l’auditeur de la société de services, sont pertinents pour les assertions énoncées dans les états financiers de l’entité utilisatrice et fournissent des éléments probants suffisants et appropriés pour étayer l’évaluation des risques de l’auditeur de l’entité utilisatrice.
Directives des NCA
Étant donné qu’un rapport de type 2 peut viser à répondre aux besoins de différents auditeurs d’entités utilisatrices, les tests des contrôles et les résultats de ces tests décrits dans le rapport de l’auditeur de la société de services pourraient ne pas être pertinents pour certaines assertions importantes contenues dans les états financiers de l’entité utilisatrice. Les tests des contrôles et les résultats de ces tests qui sont pertinents sont évalués afin de s’assurer que le rapport de l’auditeur de la société de services fournit des éléments probants suffisants et appropriés quant à l’efficacité du fonctionnement des contrôles pour étayer l’évaluation des risques par l’auditeur de l’entité utilisatrice. À cet égard, l’auditeur de l’entité utilisatrice peut prendre en considération les facteurs suivants : (NCA 402.A31)
a) la période couverte par les tests des contrôles et le temps écoulé depuis la réalisation des tests des contrôles;
b) l’étendue des travaux de l’auditeur de la société de services, les prestations et les processus couverts, les contrôles testés et les tests effectués, et le lien entre les contrôles testés et les contrôles de l’entité utilisatrice;
c) les résultats des tests des contrôles et l’opinion de l’auditeur de la société de services sur l’efficacité du fonctionnement des contrôles.
Pour certaines assertions, plus la période couverte par un test particulier est courte et plus le temps écoulé depuis l’application du test est grand, moins le test fournira d’éléments probants. En comparant la période couverte par le rapport de type 2 avec la période d’information financière de l’entité utilisatrice, l’auditeur de celle‑ci peut conclure que le rapport de type 2 fournit moins d’éléments probants s’il y a peu de chevauchement entre la période couverte par le rapport et la période pour laquelle l’auditeur de l’entité utilisatrice prévoit s’appuyer sur le rapport. Lorsque c’est le cas, un rapport de type 2 couvrant la période précédente ou subséquente pourrait fournir des éléments probants additionnels. Dans d’autres cas, l’auditeur de l’entité utilisatrice peut juger nécessaire d’effectuer, ou de demander à un autre auditeur d’effectuer pour lui, des tests des contrôles au sein de la société de services afin d’obtenir des éléments probants suffisants et appropriés sur l’efficacité du fonctionnement de ces contrôles. (NCA 402.A32)
Il peut également être nécessaire que l’auditeur de l’entité utilisatrice obtienne des éléments probants additionnels sur les changements importants apportés aux contrôles de la société de services en dehors de la période couverte par le rapport de type 2 ou qu’il détermine des procédures d’audit supplémentaires à mettre en œuvre. Parmi les facteurs pertinents pour la détermination des éléments probants additionnels à recueillir sur les contrôles de la société de services qui fonctionnaient en dehors de la période couverte par le rapport de l’auditeur de la société de services, il y a les suivants : (NCA 402.A33)
- l’importance de l’évaluation des risques d’anomalies significatives au niveau des assertions;
- les contrôles spécifiques qui ont été testés pendant la période intermédiaire et les changements importants qu’ils ont subis depuis, y compris les changements intervenus dans le système d’information, les processus ou le personnel;
- la mesure dans laquelle ont été obtenus des éléments probants quant à l’efficacité du fonctionnement de ces contrôles;
- la durée de la période restant à couvrir;
- la mesure dans laquelle l’auditeur de l’entité utilisatrice a l’intention de réduire les procédures de corroboration complémentaires, compte tenu du niveau de confiance placé dans les contrôles;
- l’efficacité de l’environnement de contrôle et du processus de suivi du système de contrôle interne par l’entité utilisatrice.
Pour obtenir des éléments probants additionnels, l’auditeur peut par exemple étendre les tests des contrôles sur la période restant à couvrir ou tester le processus de suivi du système de contrôle interne par l’entité utilisatrice. (NCA 402.A34)
Lorsque la période couverte par les tests de l’auditeur de la société de services ne coïncide aucunement avec la période d’information financière de l’entité utilisatrice, l’auditeur de l’entité utilisatrice ne pourra s’appuyer sur ces tests pour conclure au fonctionnement efficace des contrôles de l’entité utilisatrice, étant donné qu’ils ne fournissent aucun élément probant quant à l’efficacité des contrôles pour la période visée par l’audit, à moins que d’autres procédures ne soient mises en œuvre. (NCA 402.A35)
Dans certaines circonstances, une prestation fournie par une société de services peut être conçue en supposant que certains contrôles seront mis en œuvre par l’entité utilisatrice. Par exemple, une prestation peut être conçue en supposant que l’entité utilisatrice aura mis en place des contrôles pour l’autorisation des opérations avant qu’elles ne soient transmises pour traitement à la société de services. Dans une telle situation, la description des contrôles de la société de services peut inclure une description des contrôles complémentaires de l’entité. L’auditeur s’interroge alors sur la pertinence des contrôles complémentaires de l’entité utilisatrice par rapport à la prestation fournie à l’entité utilisatrice. (NCA 402.A36)
Si l’auditeur de l’entité utilisatrice est d’avis que le rapport de l’auditeur de la société de services ne fournit peut-être pas d’éléments probants suffisants et appropriés, par exemple si ce rapport ne contient pas la description des tests des contrôles effectués par l’auditeur de la société de services ni les résultats de ces tests, il peut compléter sa compréhension des procédures et des conclusions de l’auditeur de la société de services en communiquant avec la société de services par l’entremise de l’entité utilisatrice, afin de demander un entretien avec l’auditeur de la société de services sur l’étendue et les résultats des travaux de celui‑ci. Par ailleurs, si l’auditeur de l’entité utilisatrice le considère comme nécessaire, il peut communiquer avec la société de services, par l’entremise de l’entité utilisatrice, afin de demander que l’auditeur de la société de services mette en œuvre certaines procédures au sein de la société de services. Autrement, l’auditeur de l’entité utilisatrice, ou un autre auditeur à sa demande, peut mettre en œuvre ces procédures. (NCA 402.A37)
Le rapport de type 2 de l’auditeur de la société de services fait état des résultats des tests, y compris des écarts et des autres informations qui sont susceptibles d’avoir une incidence sur les conclusions de l’auditeur de l’entité utilisatrice. Les écarts constatés par l’auditeur de la société de services ou l’expression d’une opinion modifiée dans le rapport de type 2 de l’auditeur de la société de services ne signifient pas nécessairement que le rapport en question ne sera pas utile dans le cadre de l’audit des états financiers de l’entité utilisatrice pour l’appréciation du risque d’anomalies significatives. Les écarts et le fondement d’une opinion modifiée dans le rapport de type 2 de l’auditeur de la société de services sont plutôt pris en considération dans l’appréciation, par l’auditeur de l’entité utilisatrice, des tests des contrôles effectués par l’auditeur de la société de services. Dans le cadre de cette prise en considération, l’auditeur de l’entité utilisatrice peut s’entretenir des écarts et du fondement de l’opinion modifiée avec l’auditeur de la société de services. Une telle communication n’est toutefois possible que si l’entité utilisatrice se met en rapport avec la société de services et obtient son approbation préalable. (NCA 402.A38)
L’auditeur de l’entité utilisatrice est tenu de communiquer par écrit et en temps opportun à la direction et aux responsables de la gouvernance les déficiences importantes relevées au cours de l’audit. L’auditeur de l’entité utilisatrice doit également communiquer en temps opportun à la direction, au niveau hiérarchique approprié, les autres déficiences du contrôle interne relevées au cours de l’audit qui sont suffisamment préoccupantes, selon son jugement professionnel, pour nécessiter l’attention de la direction. Les questions que l’auditeur de l’entité utilisatrice peut relever au cours de l’audit et souhaiter communiquer à la direction et aux responsables de la gouvernance de l’entité utilisatrice comprennent : (NCA 402.A39)
- tout contrôle qui fait partie du processus de suivi du système de contrôle interne par l’entité et qui pourrait être mis en place par l’entité utilisatrice, y compris ceux identifiés par suite de l’obtention d’un rapport de type 1 ou de type 2;
- les cas où un rapport de type 1 ou de type 2 fait état de contrôles complémentaires de l’entité utilisatrice qui n’ont pas été mis en place par celle-ci;
- les contrôles qui pourraient être nécessaires au sein de la société de services mais qui ne semblent pas avoir été mis en place ou qui ne sont pas expressément couverts par un rapport de type 2.
Directives du BVG
Sans égard à la source, l’évaluation par la direction des contrôles au sein de la société de services porte généralement sur les éléments suivants :
- les contrôles au sein de la société de services ou de l’entité, ou des deux, susceptibles d’avoir une influence sur le traitement des opérations de l’entité et qui sont pertinents relativement aux assertions contenues dans les états financiers de l’entité;
- les contrôles relatifs au flux des opérations importantes au sein de la société de services;
- les tests de la conception et de l’efficacité du fonctionnement de ces contrôles, et les tests de tous les contrôles de l’entité utilisatrice pertinents.
De la même façon que pour les contrôles d’une entité utilisatrice, lorsque l’auditeur s’appuie sur les contrôles d’une société de services, il doit obtenir des éléments probants à l’égard de l’efficacité du fonctionnement de ces contrôles pour toute la période pour laquelle il a l’intention de s’appuyer sur les contrôles.
La période qui s’écoule entre la date du rapport de l’auditeur de la société de services et la date de clôture du client pour laquelle l’auditeur à l’intention de s’appuyer sur les contrôles dans le cadre de son audit peut différer (c’est-à-dire la « période de transition »). Lorsqu’il y a une période de transition, l’auditeur peut demander à l’entité de présenter des demandes d’informations à la direction de la société de services et d’inspecter la société de services pour avoir l’assurance qu’aucun changement majeur n’a été apporté, pendant cette période, aux contrôles qui pourraient avoir une incidence sur le contrôle interne de l’information financière. Ces changements peuvent comprendre :
- des changements au sein du personnel avec lequel la direction interagit au sein de la société de services;
- des changements dans les rapports ou d’autres données reçus de la société de services;
- des changements dans les contrats ou les accords de niveau de services avec la société de services;
- des erreurs relevées dans les processus de traitement de la société de services.
L’auditeur doit se demander si des éléments probants additionnels sont nécessaires quant à l’efficacité du fonctionnement des contrôles pendant la « période de transition », à la lumière d’une évaluation des différents facteurs de risque, dont la longueur et le moment de la « période de transition », l’importance des activités de la société de services, la présence ou non d’erreurs dans le traitement fait par la société de services, ainsi que la nature et l’importance des changements apportés aux contrôles mis en place par la société de services que l’auditeur ou la direction ont décelés. Par exemple :
- L’entité a-t‑elle demandé à la société de services de demander à son auditeur de réaliser des tests additionnels pour vérifier l’efficacité du fonctionnement des contrôles pendant la période qui n’est pas couverte par le rapport de type 1 ou de type 2?
- A-t-elle visité la société de services et testé l’efficacité du fonctionnement des contrôles?
- A-t-elle procédé à des demandes d’informations ou mis en œuvre des procédures d’observation pour confirmer qu’aucun changement n’avait été apporté aux contrôles?
- L’entité a-t‑elle obtenu une lettre de la société de services confirmant qu’aucun changement n’avait été apporté aux contrôles?
En règle générale, si le rapport a été délivré il y a plus de six mois, l’auditeur doit envisager de demander un rapport plus récent. S’il ne peut obtenir un rapport plus récent, il doit mettre en œuvre d’autres procédures en vue d’obtenir des éléments probants touchant les contrôles exercés par la société de services.
Consulter la section BVG Audit 4028.4 pour plus de directives sur la fiabilité de l’information générée par une application informatique utilisée dans notre audit lorsque l’information provient d’une société de services. Dans un tel cas, l’auditeur vérifie aussi si le rapport de l’auditeur de la société de services décrit les procédures exécutées pour évaluer l’exhaustivité et l’exactitude de l’information utilisée dans l’exécution des contrôles et si ces procédures sont jugées suffisantes pour déterminer le caractère adéquat des éléments probants fournis par le rapport de l’auditeur de la société de services.
Si le rapport de l’auditeur de la société de services indique que des contrôles complémentaires de l’entité utilisatrice sont nécessaires pour atteindre les objectifs de contrôle définis et que l’entité utilisatrice a déterminé que les contrôles complémentaires cités dans le rapport de la société de services sont pertinents pour la conception générale des contrôles de l’entité, alors l’auditeur doit effectuer des tests à l’égard de la conception et de l’efficacité du fonctionnement de ces contrôles. Se reporter à la partie intitulée « Faciliter la compréhension d’une société de services à l’aide d’un rapport de type 1 ou de type 2 » ci‑dessus pour de plus amples renseignements sur les contrôles complémentaires de l’entité utilisatrice. Lorsque les contrôles complémentaires de l’entité utilisatrice pertinents pour la conception générale des contrôles de l’entité ne sont pas adéquatement conçus ou ne fonctionnent pas efficacement, cela indique normalement des déficiences du contrôle interne.
Lorsque des écarts sont signalés dans les rapports de type 2, il incombe à l’entité d’établir l’incidence et l’importance des écarts sur les contrôles de l’entité. L’auditeur, quant à lui, est chargé d’évaluer et de documenter le caractère raisonnable des conclusions tirées par l’entité. Dans certains cas où les écarts constituent des déficiences du contrôle interne, l’auditeur doit consigner un nouvel enjeu dans le dossier d’audit. Se reporter à la section BVG Audit 6057 pour de plus amples renseignements sur la façon de signaler des déficiences du contrôle interne dans le dossier d’audit.
Directives du BVG
Lorsque la société de services est une entité du secteur public fédéral (p. ex. traitement de la paie par le ministère des Travaux publics et des Services gouvernementaux), l’auditeur de la société de services sera, en règle générale, le BVG. Dans ce cas, les responsables de mission des équipes concernées (entité utilisatrice et société de services) doivent veiller à mettre en place des communications appropriées à la phase de la planification de manière à établir clairement les besoins des audits respectifs ainsi que la nature, le calendrier et la portée attendus des rapports internes. Le dossier relatif à l’audit des états financiers contient les résultats de ces communications et de ces rapports.