7052 Procédures de confirmation externe

juin-2021

Directives du BVG

Voici d’autres cas où l’auditeur a recours à des procédures de confirmation externe :

• les modalités contractuelles et les garanties;
• les participations dans des titres de créance et dans des capitaux propres;
• le partage d’informations.

Directives du BVG

Maintien du contrôle des procédures de confirmation

L’auditeur doit conserver le contrôle de l’ensemble du processus de confirmation externe pour réduire le risque que des demandes de confirmation et des réponses soient interceptées et altérées. L’auditeur doit envoyer les demandes de confirmation directement aux tiers et recevoir les réponses directement de ces derniers; il ne doit pas permettre au client ou à toute partie qui ne fait pas partie de l’équipe de mission d’envoyer ou de recevoir ces confirmations en son nom. Le maintien du contrôle des procédures de demande de confirmation implique généralement les éléments de base suivants :

• sélectionner le tiers approprié;

• fournir le formulaire de la demande de confirmation qui indique les informations demandées;

• tester la validité de l’adresse fournie;

• envoyer la demande de confirmation directement au tiers;

• dans les cas où la demande est envoyée par la poste, fournir une enveloppe‑réponse préadressée avec la demande de confirmation pour permettre au tiers d’envoyer directement sa réponse à l’équipe de mission;

• mettre en œuvre des procédures de suivi supplémentaires pour les cas où la demande de confirmation serait retournée au bureau de l’entité ou reçue par courrier électronique, puis transmise par la suite à l’équipe de mission (p. ex. demander au tiers d’envoyer directement à l’équipe de mission une nouvelle réponse).

Ces directives présentent en détail les facteurs à considérer relatifs au maintien du contrôle du processus de confirmation externe, comme l’exige la NCA 505, et à l’obtention d’éléments probants de corroboration pertinents et fiables. Les jugements posés par l’auditeur à l’égard de ces facteurs varieront selon les faits et les circonstances propres à la mission, mais seront habituellement posés dans le cadre des trois éléments clés du processus de confirmation externe suivants :

• sélectionner le tiers approprié (voir la section « Sélection du tiers approprié » ci-après);

• tester la validité de l’adresse postale qui sera utilisée pour envoyer la demande de confirmation (voir la section « Test de la validité des adresses qui figurent sur les demandes de confirmation » ci-après);

• évaluer la fiabilité de la réponse à la demande de confirmation, y compris s’il faut mettre en œuvre des procédures additionnelles en fonction de facteurs, notamment le mode de réception des réponses aux demandes de confirmation (voir la section BVG Audit 7053).

Sélection du tiers approprié

Comme il est indiqué dans le paragraphe A2 de la NCA 505, les réponses aux demandes de confirmation fournissent des éléments plus pertinents et plus fiables lorsque les demandes sont envoyées à un tiers qui, selon l’auditeur, a connaissance des informations dont il veut obtenir confirmation.

Au sein de certaines entités, les demandes de confirmation peuvent être traitées par une seule personne ou un petit nombre de personnes. Par exemple, un tiers chargé de fournir une réponse à une demande de confirmation pourrait avoir comme politique que toutes les demandes de confirmation doivent être traitées par un gestionnaire ou un superviseur des comptes fournisseurs plutôt que par un groupe de commis aux comptes fournisseurs. L’auditeur doit veiller à adresser la demande de confirmation à la personne (ou aux personnes) qui a (ou qui ont) connaissance des informations à confirmer et qui a (ou qui ont) l’autorisation de fournir les réponses aux demandes de confirmation au nom du tiers. (Dans l’exemple ci‑dessus, il s’agit du gestionnaire ou du superviseur, plutôt que de l’un des commis.)

Même si l’auditeur doit maintenir le contrôle sur les demandes de confirmation externe et demeure responsable de la sélection du tiers approprié, dans la pratique, il peut demander l’aide de la direction de l’entité pour obtenir les informations recherchées. Par exemple, l’auditeur pourrait demander à la direction de lui fournir de l’information lorsqu’il tente d’obtenir une compréhension du poste et des responsabilités du tiers au sein de l’entité à qui il propose d’envoyer la demande de confirmation. Il doit aussi déterminer si son expérience antérieure dans le cadre de l’audit ou de missions semblables peut l’aider à sélectionner le tiers approprié.

Si l’auditeur a de la difficulté à trouver le tiers approprié, ou s’il a des questions quant au caractère approprié du tiers proposé par la direction de l’entité, il doit mettre en œuvre des procédures additionnelles. Par exemple, l’auditeur pourrait examiner le site Web de l’entité à qui il souhaite envoyer des demandes de confirmation pour déterminer si le nom d’un tiers approprié y est donné ou appeler directement le tiers proposé pour déterminer s’il est le tiers approprié (la demande par téléphone pourrait aussi servir à tester la validité de l’adresse à laquelle la demande de confirmation devra être envoyée). L’auditeur documente dans les feuilles de travail les résultats de toute procédure additionnelle mise en œuvre.

Tiers approprié – relations fiduciaires

Il peut y avoir des situations où l’entité auditée retient les services d’une autre partie pour gérer des actifs en son nom. Par exemple, l’entité peut embaucher une tierce partie à titre de gestionnaire de placements pour gérer un portefeuille d’actifs qui lui appartient. Dans de telles situations, il est important pour l’auditeur de comprendre l’accord fiduciaire, y compris la justification sur le plan économique et les responsabilités en découlant, ainsi que les droits et les obligations entre les parties pour comprendre les risques découlant de cette relation fiduciaire. Aux fins de la confirmation, il est important de comprendre cet accord pour pouvoir sélectionner le tiers approprié, puisqu’un tel accord pourrait avoir une incidence sur la fiabilité et le caractère convaincant des éléments probants que l’auditeur souhaite obtenir au moyen de la confirmation.

Pour sélectionner le tiers approprié lorsque de multiples parties sont liées par un accord fiduciaire, l’auditeur doit déterminer quelle partie est la mieux placée pour connaître les informations qu’il cherche à faire confirmer et les assertions qu’il planifie traiter. Par exemple, si des liquidités ou d’autres actifs sont détenus directement par un fiduciaire, il serait approprié d’obtenir une confirmation auprès de ce dernier. Toutefois, dans les situations où un fiduciaire retient les services d’autres parties (p. ex. des gestionnaires de placements ou des dépositaires) pour détenir les actifs, il serait plus approprié d’obtenir une confirmation auprès de ces autres parties. Habituellement, la partie qui est dépositaire des actifs est le tiers approprié à qui il faut demander de confirmer l’exhaustivité et l’existence des actifs et la partie responsable de la gestion des actifs (p. ex. un gestionnaire de placements) serait le tiers le mieux placé pour confirmer l’évaluation des actifs. Toutefois, le tiers approprié pour confirmer les assertions relatives à l’existence, à l’exhaustivité et à l’évaluation des actifs peut différer selon les responsabilités, les droits et les obligations des parties à l’accord fiduciaire. S’il obtient des confirmations à l’égard d’assertions pertinentes concernant les mêmes actifs auprès de différentes parties (p. ex. la confirmation du dépositaire pour l’exhaustivité et l’existence et celle du gestionnaire de placements pour l’évaluation), l’auditeur doit comparer les informations sous‑tendant chaque confirmation pour s’assurer qu’elles concordent et qu’elles peuvent être rapprochées (p. ex. les descriptions et les quantités des actifs individuels compris dans la confirmation des valeurs des actifs fournie par le gestionnaire de placements concordent avec les descriptions et les quantités des actifs confirmées par le dépositaire) et traiter toute divergence, s’il y a lieu.

Comme c’est le cas pour d’autres confirmations auprès de tiers, l’auditeur doit conserver le contrôle du processus de confirmation et obtenir les confirmations directement auprès des tiers. Dans certains cas, l’entité ou le fiduciaire pourrait avoir à communiquer avec les tiers chargés de répondre à une demande de confirmation pour les autoriser à fournir les informations directement à l’auditeur. Par exemple, si le fiduciaire confie à une banque le rôle de dépositaire, les règlements sur la protection des renseignements pourraient empêcher la banque de communiquer à l’auditeur des informations sans le consentement du fiduciaire ou de l’entité auditée. Pour aider l’auditeur à contrôler le processus de confirmation, dans un tel exemple, la communication concernant l’autorisation de l’entité ou du fiduciaire à l’intention de la banque doit indiquer clairement que la confirmation relative à l’autorisation ne constitue pas une demande de confirmation et que l’auditeur de l’entité enverra une demande de confirmation directement au tiers.

Une compréhension de l’accord fiduciaire peut également être importante lorsqu’il s’agit de déterminer le tiers approprié et le caractère convaincant des éléments probants obtenus au moyen de la confirmation. Par exemple, si un fiduciaire reçoit des honoraires en fonction de la valeur des actifs qu’il gère au nom de l’entité auditée, il pourrait être enclin à surévaluer la valeur de ces actifs. Dans un tel cas, l’auditeur doit déterminer s’il existe un autre tiers approprié et/ou s’il doit obtenir des éléments probants additionnels concernant l’existence et l’évaluation des actifs confirmés par le fiduciaire. Les procédures que l’auditeur pourrait mettre en œuvre comprennent, sans s’y limiter, obtenir un rapport de l’auditeur d’une société de services visant le gestionnaire de placements afin de recueillir des éléments probants du contrôle qu’il exerce sur l’existence et l’évaluation des placements, et/ou vérifier l’évaluation des placements en obtenant de manière indépendante des éléments probants concernant la valeur de marché des placements cotés.

Détermination du mode d’envoi des demandes de confirmation externe

Au moment d’envoyer des demandes de confirmation externe, l’auditeur détermine quel est le mode d’envoi le plus approprié, en tenant compte des circonstances propres à la mission, notamment les risques de fraude importants qui ont été identifiés et la probabilité que la confirmation soit exposée à un risque d’interception et/ou d’altération. Les facteurs à prendre en compte au moment de sélectionner le mode d’envoi approprié comprennent, sans toutefois s’y limiter, les suivants :

• Envoyer par la poste une demande sur support papier à l’adresse postale physique du tiers en s’attendant à recevoir une réponse originale sur support papier envoyée par la poste aussi.

  • Toute forme de confirmation est exposée à un risque d’interception et d’altération. Toutefois, le risque est habituellement plus faible dans le cas de confirmations sur papier par rapport aux confirmations envoyées électroniquement ou par télécopieur, parce qu’une réponse à la demande de confirmation soumise dans le support papier original constitue le format le plus efficace pour vérifier s’il y a des indicateurs que la réponse peut ne pas être fiable (p. ex. lorsque des timbres, des sceaux ou des cachets officiels sont utilisés par le tiers à qui la demande de confirmation a été adressée). Indépendamment du mode de transmission de la réponse, l’auditeur doit toujours déterminer s’il y a des doutes sur la fiabilité d’une réponse, comme il est décrit dans la section BVG Audit 7053.
  • Dans le cas où des réponses sur support papier sont attendues, le plan de confirmation externe doit prévoir suffisamment de temps pour l’envoi de la demande et de toute demande de suivi, ainsi que pour la réception des réponses, par l’entremise du système postal.

• Envoyer une demande électroniquement à l’aide d’un logiciel de certification sécurisé conçu pour appuyer le processus de confirmation externe, en s’attendant à recevoir une réponse directement par l’entremise de l’outil.

  • Les outils qui fournissent un environnement sécurisé pour l’envoi de demandes de confirmation aux tiers et la réception de réponses à ces demandes atténuent les risques de fiabilité liés à la preuve de l’origine des réponses aux demandes de confirmation.
  • L’environnement sécurisé atténue aussi les risques accrus d’interception /d’altération des réponses électroniques aux demandes de confirmation, dans la mesure où des procédures sont mises en œuvre pour tester la validité de l’adresse électronique utilisée pour inviter le tiers à répondre à la demande de confirmation. Lorsqu’un tel outil est utilisé, des procédures additionnelles pour traiter les risques liés à la preuve d’origine ainsi que les risques d’interception et d’altération peuvent ne pas être nécessaires. Toutefois, l’auditeur doit toujours déterminer s’il y a des doutes sur la fiabilité d’une réponse, comme il est décrit dans la section BVG Audit 7053.
  • Compte tenu des risques liés à la cybersécurité, comme les activités d’hameçonnage, les tiers à qui sont adressées des demandes de confirmation pourraient hésiter à répondre à un message électronique automatisé leur demandant d’accéder à des outils pour répondre à la demande de confirmation. L’auditeur doit déterminer si des mesures peuvent être prises pour accroître la confiance du tiers visé sans compromettre son contrôle du processus de confirmation (p. ex. demander à la direction de l’entité d’envoyer une lettre ou un message électronique au tiers pour lui dire de s’attendre à ce qu’une demande de confirmation lui soit envoyée par courrier électronique, en joignant une image du format du courrier électronique et des précisions sur l’expéditeur).

• Envoyer une demande au moyen d’un compte de courrier électronique du BVG, en s’attendant à recevoir une réponse dans un compte de courrier électronique du BVG.

  • Les réponses reçues électroniquement comportent des risques quant à leur fiabilité puisqu’il peut être difficile d’établir la preuve d’origine du document et l’autorité du répondant et de détecter les interceptions et les altérations. Lorsque les demandes de confirmation sont envoyées par courrier électronique et que les réponses à ces demandes sont fournies de cette même façon, plutôt qu’au moyen d’un outil sécurisé visant à appuyer le processus de confirmation externe, ces risques ne sont pas atténués par un environnement sécurisé entre l’auditeur et le tiers chargé de répondre à la demande de confirmation. Par conséquent, lorsqu’une réponse est envoyée à un compte de courrier électronique du BVG, l’auditeur doit mettre en œuvre des procédures additionnelles pour vérifier l’identité du tiers qui soumet la réponse à la demande de confirmation, comme il est décrit dans la section BVG Audit 7053.
  • Certains textes législatifs et réglementaires sur la protection des données prévoient des dispositions sur la protection des données du client que l’auditeur pourrait avoir à respecter pour pouvoir envoyer des demandes de confirmation externe par courrier électronique ou recevoir des réponses de cette manière. Le respect des exigences en matière de protection des données peut avoir une certaine incidence, notamment, sur la nécessité ou non d’obtenir le consentement du client pour communiquer les informations requises, sur la forme et le contenu de la demande de confirmation et/ou sur la nécessité ou non d’envoyer la demande de confirmation ou la réponse à cette demande par courrier électronique chiffré.

Si une demande de confirmation est envoyée avec l’attente de recevoir une réponse sur support papier original ou à l’aide d’un logiciel de certification visant à appuyer le processus de confirmation externe, mais que le tiers envoie plutôt sa réponse à un compte de courrier électronique du BVG, l’auditeur doit, dès qu’il reçoit la réponse, prendre en compte les mêmes facteurs pour vérifier l’identité du tiers que s’il avait au départ envoyé une demande de confirmation en s’attendant à recevoir une réponse par courriel (c’est-à-dire qu’il doit mettre en œuvre des procédures additionnelles pour vérifier l’identité du tiers qui répond à la demande de confirmation, comme il est indiqué dans la section BVG Audit 7053.
 

Test de la validité des adresses qui figurent sur les demandes de confirmation

Comme indiqué dans le paragraphe A6 de la NCA 505, l’auditeur doit tester la validité de quelques-unes ou de toutes les adresses qui figurent sur les demandes avant leur envoi. Diverses approches peuvent être utilisées pour mettre en œuvre des procédures visant à tester la validité des adresses. L’auditeur peut notamment consulter le site Web du tiers approprié pour déterminer si son adresse physique ou si le domaine de son adresse électronique (p. ex. abc.com) correspond aux informations sur l’adresse données dans la section « Contactez-nous » ou « À propos de nous » (ou dans la section équivalente) du site Web. Lorsque l’auditeur met en œuvre cette procédure, il doit faire exercer son esprit critique au moment d’évaluer si le site semble être le site Web légitime du tiers qui doit répondre à la demande. La nature et l’étendue des procédures mises en œuvre par l’auditeur dépendent des risques associés à la demande de confirmation ou à l’adresse en question. Par exemple, une demande de confirmation qui est liée à une assertion à risque élevé ou à une adresse de tiers qui n’est pas semblable à celle de tiers semblables (p. ex une adresse domiciliaire) peut nécessiter la mise en œuvre d’autres procédures ou de procédures plus poussées (notamment tester la validité de toutes les adresses associées à la demande de confirmation en consultant des sources sur le tiers ou appeler directement le tiers visé) pour établir que la demande est bien adressée au destinataire souhaité.

Envoi de demandes de confirmation à des adresses électroniques – autres facteurs à considérer

Comme il est indiqué dans le paragraphe A12 de la NCA 505, l’envoi de demandes de confirmation électroniquement avec l’intention de recevoir une réponse par voie électronique entraîne des risques quant à la fiabilité, car il peut être difficile d’établir la preuve d’origine du document et l’autorité du répondant et de détecter les altérations. Pour aider à atténuer ces risques dans les cas où des demandes seront transmises électroniquement, l’auditeur doit envisager d’utiliser un logiciel de certification sécurisé conçu pour appuyer le processus de confirmation externe en créant un environnement sécurisé pour la réception de réponses aux demandes de confirmation provenant de tiers. Lorsqu’un tel outil n’est pas disponible et que les demandes de confirmation seront envoyées par courrier électronique, l’auditeur doit tenir compte de la nature de l’adresse électronique du tiers à qui sera adressée la demande de confirmation au moment de déterminer la nature et l’étendue des procédures de validation de l’adresse qu’il mettra en œuvre, notamment :

• Les adresses électroniques professionnelles individuelles sont associées à l’entité du tiers et il est attendu qu’une seule personne au sein de l’entité peut accéder à cette adresse et l’utiliser (p. ex. jean.untel@oag-bvg.gc.ca). Puisque les risques, comme ceux liés à la preuve d’origine, associés à ce type d’adresses électroniques sont normalement considérés comme étant plus faibles que les autres types d’adresses décrits ci‑après, l’auditeur doit faire preuve de jugement professionnel pour décider s’il doit tester la validité de certaines de ces types d’adresses ou de toutes ces adresses.

• Les adresses électroniques sont des adresses de groupe, c’est-à-dire qu’une seule adresse est associée à l’entité du tiers et que plusieurs personnes au sein d’une même fonction ou d’un même service peuvent accéder à cette adresse et l’utiliser (p. ex. comptesfournisseurs@oag-bvg.gc.ca) : L’auditeur teste la validité des adresses électroniques de groupe de l’organisation en deux étapes :

  • Il met en œuvre des procédures pour confirmer la validité de tous les domaines de l’adresse de l’organisation avant d’y envoyer les demandes de confirmation. Par exemple, il peut consulter des sources du tiers, notamment le site Web du tiers visé pour déterminer si le domaine figurant dans son adresse électronique (p. ex. abc.com) correspond au domaine de l’adresse donnée dans la section « Contactez-nous » ou « À propos de nous » (ou la section équivalente) du site Web.
  • Après avoir reçu la réponse à la demande de confirmation, il met en œuvre les mêmes procédures qu’il doit mettre en œuvre dans les cas où il reçoit des confirmations « autres que des confirmations originales » (voir la section BVG Audit 7053). Il pourrait notamment avoir à valider l’identité du tiers qui a soumis la réponse ainsi que les données comprises dans la réponse et noter dans les feuilles de travail les raisons pour lesquelles il en est satisfait. Lorsque des doutes subsistent, il doit vérifier la réponse fournie par voie électronique en téléphonant au tiers visé et faire état de la communication dans les feuilles de travail.

• Les adresses électroniques ne sont pas propres à l’organisation et contiennent des noms de domaines de messagerie qui n’appartiennent pas à l’entité du tiers à qui est adressée la demande (notamment des adresses avec un nom de domaine gratuit [p. ex. jean.untel@gmail.com] ou un nom de domaine de messagerie payant qui n’appartient pas au tiers visé) : Puisque recevoir une réponse à partir de ce type d’adresse peut entraîner des risques plus élevés liés à la preuve d’origine, l’auditeur doit mettre en œuvre des procédures additionnelles pour toutes les adresses qui ne sont pas propres à une entité. Il doit notamment téléphoner au tiers visé afin de vérifier que l’adresse électronique est bien une destination appropriée pour la demande de confirmation.

Envoi de demandes de confirmation à des boîtes postales – autres facteurs à considérer

L’adresse du tiers qui doit répondre à la demande de confirmation pourrait être une boîte postale. Habituellement, l’auditeur teste la validité de toutes les adresses des boîtes postales de la même manière qu’il teste la validité d’une adresse physique (c’est-à-dire en consultant des sources du tiers, comme la section « Contactez-nous » ou « À propos de nous » (ou la section équivalente) du site Web). Cependant, dans certains cas, il se peut qu’il n’y ait pas de source accessible au grand public pour vérifier que la boîte postale est la bonne adresse du tiers visé. L’auditeur peut alors mettre en œuvre des procédures, telles que déterminer l’emplacement du bureau de poste où se trouve la boîte postale et le comparer à l’adresse physique du tiers qui doit répondre et à celle de l’entité auditée pour évaluer la cohérence et la vraisemblance des diverses informations. L’auditeur peut aussi communiquer avec le tiers d’une manière similaire à celle suivie lorsqu’il reçoit une réponse électroniquement. Dans les cas où plusieurs demandes de confirmation sont adressées à des boîtes postales, l’auditeur peut comparer les emplacements des boîtes postales afin de voir s’il existe des tendances qui pourraient donner à penser que les adresses des boîtes postales ou leur emplacement physique ne sont pas valides.

Directives du BVG

Les conclusions à l’égard du refus de la direction de l’entité de permettre à l’auditeur d’envoyer une demande de confirmation sont consignées dans les documents de travail connexes.

Si l’on conclut que le refus de la direction peut indiquer un risque de fraude, il faut faire état de cette conclusion dans les documents de travail sur l’évaluation du risque de fraude, comme il convient. Si l’on révise l’évaluation du risque par la suite, il faut examiner si des changements doivent être apportés sur la nature, le moment et l’étendue des procédures pour répondre au risque.

L’auditeur doit déterminer si ces circonstances sont d’une importance telle qu’elles nécessitent d’être discutées avec le responsable de la mission et traitées comme un enjeu important, et communiquées aux responsables de la gouvernance.

Dans les cas où il n’est pas possible d’obtenir des éléments probants suffisants et appropriés au moyen de procédures de remplacement afin de répondre au risque et de valider les assertions que la demande de confirmation visait à tester, cela peut donner lieu à une limitation de la portée et avoir une incidence sur l’opinion de l’auditeur. Pour de plus amples directives sur la portée des limitations, se reporter à la section BVG Audit 8013.

Directives connexes

Pour de plus amples directives sur les communications avec les responsables de la gouvernance, se reporter à la section BVG Audit 2210.

Pour de plus amples directives sur les mesures à prendre à la découverte de fraudes possible, se reporter à la section BVG Audit 5506.

Directives du BVG

Lorsque l’on a recours à des demandes de confirmation à une date antérieure à la clôture du bilan en vue d’obtenir des éléments probants à l’appui d’une assertion contenue dans les états financiers, on doit obtenir des éléments probants suffisants et appropriés qui indiquent que les opérations relatives à l’assertion de la période intercalaire n’ont pas été faussées de façon importante. Pour tous les types de travaux intermédiaires, il faut examiner la nécessité d’obtenir des éléments probants supplémentaires pour le reste de la période.

Directives connexes

Pour de plus amples directives sur les procédures de corroboration réalisées avant la date de clôture, se reporter à la section BVG Audit 7015.