6056 Utilisation des éléments probants sur les contrôles obtenus lors des audits précédents
sept.-2022

Décision de s’appuyer ou non sur des éléments probants sur les contrôles, obtenus lors des audits précédents

Exigences des NCA

Pour déterminer s’il est approprié d’utiliser des éléments probants sur l’efficacité du fonctionnement des contrôles obtenus lors des audits précédents et, lorsque c’est le cas, pour déterminer le délai maximal pouvant s’écouler avant de procéder à un nouveau test sur un contrôle, l’auditeur doit tenir compte des éléments suivants : (NCA 330.13)

a) l’efficacité des autres composantes du système de contrôle interne de l’entité, notamment l’environnement de contrôle, le processus de suivi du système de contrôle interne par l’entité et le processus d’évaluation des risques par l’entité;

b) les risques découlant des caractéristiques du contrôle considéré, notamment selon qu’il est manuel ou automatisé;

c) l’efficacité des contrôles généraux sur les systèmes informatiques;

d) l’efficacité du contrôle considéré et son application par l’entité, y compris la nature et l’étendue des écarts constatés dans l’application du contrôle lors des audits précédents, ainsi que les changements de personnel ayant une incidence importante sur l’application du contrôle;

e) l’existence ou non d’un risque en raison de l’absence de changement dans le contrôle considéré alors que les circonstances ont changé;

f) les risques d’anomalies significatives et l’étendue de la confiance placée dans le contrôle considéré.

Lorsque l’auditeur a l’intention d’utiliser des éléments probants obtenus lors d’un audit précédent et concernant l’efficacité et la fiabilité du fonctionnement de certains contrôles, il doit établir si ces éléments probants sont toujours pertinents en recueillant des éléments probants attestant si des changements importants sont survenus ou non dans ces contrôles depuis l’audit précédent. Il obtient ces éléments probants au moyen de demandes d’informations en association avec des observations physiques ou des inspections, afin de confirmer sa compréhension de ces contrôles, et : (NCA 330.14)

a) lorsque les éléments probants obtenus lors de l’audit précédent ont perdu de leur pertinence sous l’effet des changements survenus, l’auditeur doit tester les contrôles dans le cadre de l’audit en cours;

b) lorsqu’aucun changement n’est survenu, l’auditeur doit tester les contrôles au moins une fois tous les trois audits, mais doit tester une partie des contrôles lors de chaque audit afin d’éviter que tous les contrôles sur lesquels il a l’intention de s’appuyer soient testés au cours d’un même audit et qu’il s’écoule ensuite deux audits sans aucun test des contrôles.

Si l’auditeur a l’intention d’utiliser des éléments probants sur l’efficacité du fonctionnement des contrôles recueillis lors des audits précédents, il doit consigner dans la documentation de l’audit ses conclusions quant à la fiabilité des contrôles qui ont été testés lors d’un audit précédent. (NCA 330.29)

Directives des NCA

Dans certains cas, les éléments probants recueillis au cours des audits précédents peuvent de nouveau servir d’éléments probants lorsque l’auditeur met en œuvre des procédures d’audit confirmant qu’ils sont toujours pertinents et fiables. Par exemple, lors d’un audit précédent, l’auditeur peut avoir déterminé qu’un contrôle automatisé fonctionnait comme prévu. Il peut alors recueillir des éléments probants qui lui permettent de déterminer si le contrôle en question a fait l’objet de modifications affectant l’efficacité continue de son fonctionnement, par exemple par des demandes d’informations auprès de la direction et par l’inspection des journaux des interventions indiquant les contrôles qui ont été modifiés. La prise en considération des éléments probants portant sur ces modifications peut entraîner, soit une augmentation, soit une diminution, des éléments probants à obtenir pendant la période en cours relativement à l’efficacité du fonctionnement de ces contrôles. (NCA 330.A36)

Il peut arriver que des changements réduisent la pertinence et la fiabilité des éléments probants obtenus lors des audits précédents au point de leur faire perdre toute utilité pour l’audit en cours. Par exemple, s’il est peu probable que des modifications apportées à un système pour lui faire produire un nouveau type de rapport utilisable par l’entité réduisent la pertinence des éléments probants recueillis lors d’un audit précédent, en revanche, une modification du système qui implique que des données soient désormais cumulées ou calculées différemment en réduit la pertinence. (NCA 330.A37)

Règle des trois ans relative au test des contrôles

Exigences des NCA

Lorsqu’aucun changement n’est survenu, l’auditeur doit tester les contrôles au moins une fois tous les trois audits, mais doit tester une partie des contrôles lors de chaque audit afin d’éviter que tous les contrôles sur lesquels il a l’intention de s’appuyer soient testés au cours d’un même audit et qu’il s’écoule ensuite deux audits sans aucun test des contrôles. (NCA 330.14b))

Si l’auditeur a l’intention de s’appuyer sur des contrôles relatifs à un risque qu’il a jugé important, il doit tester ces contrôles dans la période sur laquelle porte sa mission. (NCA 330.15)

Directives des NCA

La décision de l’auditeur de s’appuyer ou non sur des éléments probants obtenus lors d’audits précédents pour des contrôles qui : (NCA 330.A38)

a) d’une part, n’ont subi aucun changement depuis les derniers tests auxquels ils ont été soumis,
b) d’autre part, n’ont pas pour effet d’atténuer un risque important,

relève du jugement professionnel. Par ailleurs, la durée du délai que l’auditeur peut laisser s’écouler avant de retester ces contrôles relève également du jugement professionnel, sous réserve que chaque contrôle soit testé au moins une fois tous les trois audits, ainsi que l’exige l’alinéa 14 b.

En général, plus le risque d’anomalies significatives est élevé, ou plus l’auditeur s’appuie sur les contrôles, plus il est probable que le délai avant un nouveau test sera court à supposer que le contrôle ne soit pas soumis à un test lors de chaque audit. Les facteurs susceptibles d’avoir pour effet de réduire ce délai ou de conduire l’auditeur à ne pas s’appuyer du tout sur les éléments probants obtenus lors des audits précédents sont notamment : (NCA 330.A39)

  • un environnement de contrôle déficient;
  • une déficience du processus de suivi du système de contrôle interne par l’entité;
  • l’importance de l’intervention humaine dans le fonctionnement des contrôles concernés;
  • l’importance de l’incidence des changements de personnel sur le fonctionnement des contrôles;
  • les changements de circonstances qui appellent une modification des contrôles;
  • des contrôles informatiques généraux qui sont déficients.

Lorsqu’il existe un certain nombre de contrôles pour lesquels l’auditeur a l’intention de s’appuyer sur des éléments probants obtenus lors des audits précédents, le fait de tester certains de ces contrôles au cours de chaque audit fournit à l’auditeur des informations confirmant l’efficacité continue de l’environnement de contrôle. Cela aide l’auditeur à décider s’il convient ou non de s’appuyer sur des éléments probants obtenus lors des audits précédents. (NCA 330.A40)

Directives du BVG

Considérations générales

Lors de certaines missions, il peut être d’usage, en l’absence de modifications et de risques importants, de faire alterner d’année en année les tests des contrôles, particulièrement des contrôles du traitement de l’information, entre les systèmes et les applications. Si l’auditeur décide d’adopter cette approche, il doit étudier soigneusement la manière dont il a obtenu les éléments probants permettant d’établir le fonctionnement continu des contrôles dans les systèmes pour lesquels il n’effectue pas de tests pendant l’année en cours. Cela pourrait comprendre, par exemple, les résultats des travaux visant à confirmer l’absence de modifications, des tests continus portant sur les contrôles généraux informatiques (CGI) et des tests du processus de suivi du système de contrôle interne de la direction.

Normalement, l’auditeur doit tester, dans chaque processus opérationnel, au moins quelques‑uns des contrôles sur lesquels il compte s’appuyer. Cependant, dans certaines circonstances où sa compréhension des contrôles lui permet d’obtenir des éléments probants montrant qu’aucun changement n’a eu lieu, l’auditeur peut décider d’alterner les tests des contrôles entre plusieurs processus opérationnels, par exemple tester les contrôles relatifs à certains processus au cours de l’exercice actuel et en tester d’autres au prochain exercice. Généralement, il est inapproprié de s’appuyer totalement sur des tests effectués l’exercice précédent :

  • si des risques plus élevés sont associés au processus opérationnel considéré;
  • si l’intervention humaine dans le processus est importante;
  • si des tests effectués l’exercice précédent ont révélé une faiblesse des contrôles au niveau de l’entité ou des écarts.

L’auditeur met en œuvre une combinaison de procédures comprenant des demandes de renseignements, des observations et des examens en vue d’obtenir des éléments probants corroborant le fait que les contrôles manuels testés au cours de l’exercice précédent n’ont pas changé et sont toujours en place. L’étendue de ces procédures est inférieure à celle des tests requis pour tester à nouveau et pleinement les contrôles dans le cadre de l’audit de l’exercice en cours.

Outre les facteurs énumérés au paragraphe 14 de la NCA 330, l’auditeur doit prendre en compte l’importance des assertions en cause, les contrôles particuliers évalués lors des audits antérieurs, la mesure dans laquelle l’efficacité de la conception et du fonctionnement a été évaluée, les résultats des tests des contrôles utilisés pour réaliser ces évaluations et les éléments probants concernant la conception ou le fonctionnement pouvant résulter des tests de corroboration effectués au cours de l’audit actuel. Par exemple, il doit évaluer les raisons qui sous-tendent toute anomalie identifiée lors des tests de corroboration afin de déterminer si elles peuvent constituer des indices de l’inefficacité des contrôles internes.

Modifications

Les modifications diminuent l’assurance que l’auditeur peut obtenir grâce aux travaux des audits précédents. L’auditeur doit donc prendre en compte :

  • les changements survenus dans l’environnement d’affaires, sectoriel et réglementaire, la stratégie, l’environnement de contrôle, le personnel de direction ou la structure de l’entité, ainsi que les risques sous-jacents, dont le risque de fraude;
  • les modifications apportées aux systèmes et à la technologie, ainsi qu’aux processus et contrôles auxquels la direction a recours pour obtenir de l’assurance.

En conséquence, pendant l’évaluation des contrôles, il faut prendre bien soin de repérer correctement les modifications et y réagir comme il se doit. Voir la section BVG Audit 5030 pour obtenir des indications supplémentaires sur la compréhension du système de contrôle interne de l’entité et pour évaluer si les contrôles au sein de l’entité ont été modifiés.

Lorsqu’il y a des changements importants dans les affaires, l’environnement, les risques et les contrôles de l’entité, l’auditeur doit appliquer des procédures d’évaluation des contrôles à l’égard de ces changements. Plutôt que d’accroître les travaux de manière non ciblée, dans tous les domaines, l’auditeur doit déterminer les conséquences précises des changements qui ont eu lieu et planifier les travaux d’audit en conséquence. Par exemple, si l’auditeur a observé qu’un nouveau système de traitement des bons de commande a été mis en place au début de la période, cela constituerait une modification importante susceptible d’avoir une incidence sur les contrôles tant manuels qu’automatisés, avec pour effet de rendre les éléments probants des exercices précédents non pertinents pour la période courante. Par conséquent, l’auditeur devrait examiner l’incidence de ces changements sur les informations de gestion et sur les contrôles exécutés par la direction à l’égard des ventes.

Plus le délai entre chaque test sur l’efficacité du fonctionnement du contrôle est long, moins l’assurance provenant des résultats des travaux de l’exercice précédent à l’égard de l’efficacité du fonctionnement est élevée pour l’exercice considéré. À tout le moins, l’auditeur teste l’efficacité du fonctionnement des contrôles sur lesquels il compte s’appuyer au moins tous les trois audits. Toutefois, dans certains cas, il peut décider de tester plus fréquemment l’efficacité du fonctionnement des contrôles qui n’ont pas changé. Les facteurs susceptibles de réduire ce délai sont notamment :

  • Des déficiences relevées dans le système de contrôle interne de l’entité ou dans les contrôles généraux informatiques.
  • Les contrôles sur lesquels l’auditeur s’appuie sont des contrôles manuels. (Il faut noter que ce ne sont pas tous les contrôles manuels qui doivent être retestés pour chaque période. L’auditeur peut s’appuyer sur des tests effectués lors de périodes précédentes pour des contrôles manuels au niveau des opérations de routine mis en œuvre dans un environnement stable en tenant compte des autres facteurs indiqués précédemment. À l’inverse, il pourrait ne pas convenir de s’appuyer sur des tests effectués lors des périodes précédentes concernant des contrôles manuels complexes qui relèvent du jugement dans des secteurs de risque situé à l’extrémité supérieure du continuum du risque normal.
  • Plus le risque d’anomalies significatives est élevé, ou plus l’auditeur s’appuie sur les contrôles, plus il est probable que le délai avant un nouveau test sera court.

Le diagramme ci‑après illustre les facteurs qui doivent être pris en compte pour effectuer les tests visant l’exercice considéré.

Organigramme

Pièce  — version textuelle

Cet organigramme montre le processus qu’un auditeur ou une équipe d’audit devrait suivre pour décider si on peut se fier aux éléments probants obtenus relativement à l’efficacité du fonctionnement des contrôles faits dans le cadre d’audits antérieurs. La première question à se poser durant le processus est la suivante : Est-ce un contrôle lié à un risque important? La question est suivie d’une référence à la Norme canadienne d’audit NCA 330.15. L’auditeur répond à cette question par Oui ou par Non.

Si l’auditeur répond Oui, la prochaine étape consiste à Tester pendant l’exercice considéré. Si l’auditeur répond Non, la prochaine étape consiste à poser la question suivante : Avons-nous testé le contrôle au cours des deux exercices précédents? Cette question est suivie de la référence NCA 330.14(b).

Si l’auditeur répond Non à la question de savoir si le contrôle a été testé au cours des deux derniers exercices, l’étape suivante consiste à Tester pendant l’exercice considéré. Si l’auditeur répond Oui à la question des tests antérieurs, l’étape qui suit est la Nécessité de procéder à des tests pendant l’exercice considéré. Cette dernière étape comprend trois questions :

  • Changements? (NCA 330.14)
  • Facteurs indiquant la nécessité de procéder à des tests (par exemple un contrôle manuel complexe)?
  • Exigence de tester certains contrôles chaque année? (NCA 330.A39)

Visionner en taille réelle

Contrôles généraux informatiques (CGI)

En raison de leur effet généralisé sur les contrôles du traitement de l’information, l’auditeur doit faire preuve d’une prudence accrue en ce qui a trait à l’utilisation des éléments probants obtenus au cours des périodes précédentes à propos de l’efficacité du fonctionnement continue des contrôles généraux informatiques (CGI). Bien qu’il puisse ne pas être nécessaire de tester chaque année l’efficacité du fonctionnement de chaque CGI, l’auditeur doit tenir compte de la mesure dans laquelle il a l’intention de s’appuyer sur les contrôles automatisés du traitement de l’information et de la stratégie prévue pour tester les contrôles automatisés lorsqu’il détermine la nature et l’étendue des éléments probants requis à propos de l’efficacité du fonctionnement des CGI. Par exemple, lorsque la stratégie de l’auditeur prévoit de placer une grande confiance dans plusieurs contrôles automatisés du traitement de l’information en se fondant sur des éléments probants obtenus lors de l’exercice précédent, il y a souvent lieu de tester au moins les contrôles pertinents concernant les modifications apportées aux programmes pendant la période en cours, afin d’obtenir des éléments probants suffisants pour établir que les contrôles du traitement de l’information n’ont pas été modifiés.

Contrôles automatisés, contrôles manuels et contrôles manuels dépendants des TI

Lorsqu’il utilise des éléments probants obtenus lors de l’audit d’un exercice précédent, l’auditeur doit obtenir des éléments probants montrant que les contrôles du traitement de l’information manuels testés lors de l’exercice précédent n’ont pas changé et sont restés en place. L’auditeur tient compte des facteurs suivants, parmi d’autres facteurs qui pourraient être pertinents, pour décider s’il peut utiliser, pour l’audit de l’exercice considéré, des éléments probants attestant de l’efficacité du fonctionnement des contrôles obtenus lors d’exercices antérieurs. Il prend en considération ces facteurs en faisant preuve de jugement. Les facteurs n’ont pas tous le même degré de pertinence en ce qui concerne la décision d’utiliser ou non les tests d’exercices précédents pour un contrôle donné.

Contrôles automatisés, contrôles manuels et contrôles manuels dépendants des TI
L’importance du risque d’anomalies significatives.

L’utilisation d’éléments probants liés aux contrôles obtenus lors d’exercices antérieurs s’applique uniquement aux contrôles qui répondent aux risques normaux ou élevés. L’auditeur doit tester un contrôle se rattachant à la composante « Activités de contrôle » qui répond à un risque important pour chaque exercice pour lequel il prévoit s’appuyer sur ce contrôle, conformément à la NCA 330.A38.

Le niveau d’appui sur les contrôles. Plus le niveau d’appui sur les contrôles nécessaire est élevé, plus l’auditeur doit exercer son jugement pour déterminer s’il convient de s’appuyer sur les éléments probants liés aux contrôles obtenus lors des périodes précédentes.
La solidité de l’environnement de contrôle et du processus de suivi du système de contrôle interne par l’entité Si l’auditeur conclut que l’environnement de contrôle et le processus de suivi du système de contrôle interne par l’entité sont solides, cela pourrait alors vouloir dire qu’il s’agit d’un environnement où les contrôles continuent de fonctionner efficacement.
Des changements aux circonstances indiquent le besoin d’apporter des changements au contrôle. S’il y a un changement important dans le fonctionnement d’un contrôle, l’auditeur peut ne plus être en mesure de s’appuyer sur les éléments probants obtenus lors d’audits précédents, conformément à la NCA 330.14a). De plus, si des changements sont survenus dans le volume ou la nature des opérations pouvant nuire à la conception ou à l’efficacité du fonctionnement du contrôle, il pourrait être inapproprié de s’appuyer sur les tests effectués lors de périodes précédentes.
La nature, le calendrier et l’étendue des procédures mises en œuvre lors des audits précédents. Plus les tests des exercices antérieurs sont rigoureux (p. ex. la réexécution plutôt que l’observation), plus l’auditeur peut s’appuyer sur ces tests.
Les résultats des tests portant sur le contrôle pour les exercices précédents. Si l’auditeur a conclu que la conception et le fonctionnement du contrôle étaient efficaces au cours des exercices précédents, il peut convenir de s’appuyer sur les tests des périodes précédentes. Par ailleurs, s’il a constaté qu’il y avait des déficiences dans les contrôles, cette approche pourrait ne pas être appropriée.
La nature et le caractère significatif des anomalies que le contrôle vise à prévenir ou à détecter. Plus une anomalie potentielle associée au fonctionnement du contrôle est significative, moins l’auditeur est susceptible de pouvoir s’appuyer sur les tests des périodes précédentes.
Contrôles automatisés seulement
L’efficacité des contrôles dans l’environnement informatique, dont les contrôles sur l’acquisition et la maintenance des logiciels d’application et systèmes d’exploitation, sur les contrôles d’accès et sur l’exploitation informatique. Si l’auditeur détermine que ces contrôles sont toujours efficaces et fournissent des éléments probants suffisants pour lui permettre d’établir que les contrôles automatisés n’ont pas fait l’objet de modifications, il se peut qu’il ne soit pas nécessaire de tester les contrôles automatisés au cours de la période suivante (il faudrait alors effectuer des tests au moins tous les trois ans, conformément à la NCA 330). Si l’auditeur établit que les contrôles informatiques sont moins efficaces, il doit tenir compte de l’incidence potentielle de la fiabilité continue des contrôles automatisés pour l’audit et prendre en considération d’obtenir de l’aide d’un spécialiste en audit des TI.
La compréhension de la nature des changements, le cas échéant, aux programmes qui contiennent les contrôles. Plus les changements apportés à ces programmes sont importants, plus la probabilité que des tests soient nécessaires pour la période considérée est élevée.
La nature et le calendrier d’autres tests connexes. Si d’autres tests indiquent que le contrôle automatisé ne fonctionne peut-être pas efficacement, l’auditeur peut en tenir compte dans sa conclusion à l’égard de la rotation des tests concernant l’activité de contrôle détaillée.
Les conséquences des écarts associés au contrôle du traitement de l’information qui a été étalonné. Plus le risque lié au contrôle est élevé, plus il sera nécessaire d’effectuer des tests pour la période considérée.
La sensibilité éventuelle du contrôle à d’autres facteurs de nature commerciale pouvant avoir changé. Plus les changements apportés à des facteurs de nature commerciale sont importants, plus il sera probablement nécessaire d’effectuer des tests pour la période considérée.
Contrôles manuels et contrôles manuels dépendants des TI seulement
La présence d’un élément manuel important dans le processus. Généralement, il est inapproprié de s’appuyer totalement sur des tests effectués l’exercice précédent s’il existe un élément manuel important dans le processus.
Des changements de personnel qui ont une incidence importante sur l’application du contrôle. S’il y a un changement important dans le fonctionnement d’un contrôle, l’auditeur pourrait ne plus être en mesure de s’appuyer sur les éléments probants obtenus lors d’audits précédents, conformément à la NCA 330.14a). De plus, la compétence du nouveau personnel qui met en œuvre le contrôle peut influer sur la décision de l’auditeur de s’appuyer sur les éléments probants obtenus lors d’audits précédents.
L’efficacité des contrôles généraux informatiques. Si les contrôles sont dépendants des TI, l’auditeur doit alors tenir compte de l’efficacité des contrôles généraux informatiques ayant une incidence sur le contrôle.

Documentation

L’auditeur exerce son jugement pour déterminer les informations devant être consignées dans le dossier d’audit de l’exercice considéré. Afin d’étayer la décision d’utiliser des éléments probants obtenus au cours d’un audit antérieur sur l’efficacité du fonctionnement des contrôles, l’auditeur consignera généralement dans les feuilles de travail de la période considérée les résultats des tests effectués au cours des audits antérieurs et consignera en dossier l’évaluation effectuée pour la période considérée du caractère suffisant des procédures.

Directives particulières à l’intention des auditeurs législatifs

Directives du BVG

En général, la portée des audits de performance n’englobe pas les questions directement liées aux audits des états financiers. En conséquence, les auditeurs financiers utilisent rarement les travaux des audits de performance comme éléments probants attestant l’efficacité du fonctionnement des contrôles. Toutefois, l’information contenue dans un dossier d’audit de performance peut, dans une certaine mesure, s’avérer utile pour l’étape de planification.

En revanche, les auditeurs financiers pourraient utiliser l’information recueillie pendant l’examen spécial d’une société d’État pour concevoir leurs tests des contrôles et, parfois, en tant qu’éléments probants concernant le fonctionnement des contrôles. Par exemple, les travaux portant sur le système informatique peuvent être mis à profit pour obtenir une meilleure compréhension et évaluer les CGI ou des contrôles mis en place par l’entité au moment de la mise en place d’un nouveau système informatique.

Dans tous les cas, les auditeurs financiers devraient s’assurer que les travaux effectués dans le cadre d’autres produits d’audit répondent à leurs objectifs et aux risques d’anomalies significatives, et que le nombre de tests ainsi que la population utilisée pour les sondages et la période visée sont adéquats.

Les auditeurs doivent consigner les motifs de leur décision d’utiliser des éléments probants obtenus lors de travaux d’autres types d’audit ainsi que la manière dont ces informations cadrent avec leurs objectifs.