7052 Procédures de confirmation externe
juin-2021

Aperçu

La présente section traite des questions suivantes :

  • types d’informations à faire confirmer;
  • exigences relatives à la conception et à la mise en œuvre des procédures de confirmation externe;
  • suivi des demandes de confirmation;
  • recours à des demandes de confirmation expresse ou tacite;
  • réponse au refus de la direction de permettre l’envoi d’une demande de confirmation;
  • calendrier des procédures de confirmation externe.
Types d’informations à faire confirmer

Exigences des NCA

Lorsqu’il a recours à des procédures de confirmation externe, l’auditeur doit conserver le contrôle des demandes de confirmation, ce qui implique notamment :

a) de déterminer les informations à faire confirmer ou à demander; (NCA 505.7 (a))

Directives des NCA

Les procédures de confirmation externe sont fréquemment mises en œuvre pour obtenir des confirmations ou des informations au sujet de soldes de comptes et de leurs composantes. Elles peuvent également être utilisées pour demander une confirmation des termes d’accords, de contrats ou d’opérations qu’une entité a conclus avec des tiers, ou pour confirmer l’absence de certaines conditions, par exemple l’absence d’un « accord parallèle ». (NCA 505.A1)

Les procédures de confirmation externe sont souvent pertinentes pour vérifier les assertions relatives à des soldes de comptes et leurs composantes, mais il n’y a pas lieu de limiter leur utilisation à ces seuls éléments. Par exemple, l’auditeur peut demander une confirmation externe des termes d’accords, de contrats ou d’opérations que l’entité a conclus avec des tiers. Les confirmations externes peuvent également être utilisées pour obtenir des éléments probants quant à l’absence de certaines conditions. Par exemple, une demande peut viser spécifiquement à faire confirmer l’absence d’un « accord parallèle » qui pourrait être pertinent en ce qui concerne l’assertion relative à la séparation des périodes pour la comptabilisation des produits de l’entité. Les procédures de confirmation externe peuvent aussi fournir des éléments probants pertinents, dans le cadre des réponses de l’auditeur à son évaluation des risques d’anomalies significatives, à l’égard par exemple : (NCA 330.A50)

  • des soldes de comptes bancaires et d’autres informations concernant les relations avec les banques;

  • des soldes et conditions des comptes clients;

  • des stocks détenus par des tiers soit en entrepôt de douane en attente de traitement, soit en consignation;

  • des titres de propriété déposés en garde ou en nantissement auprès d’avocats ou d’établissements financiers;

  • des valeurs mobilières sous la garde de tiers, ou achetées de courtiers en valeurs mobilières mais non encore livrées à la date de clôture;

  • des montants dus à des prêteurs, y compris les modalités de remboursement pertinentes et les clauses restrictives;

  • des soldes et conditions des comptes fournisseurs.

Directives du BVG

Voici d’autres cas où l’auditeur a recours à des procédures de confirmation externe :

  • les modalités contractuelles et les garanties;
  • les participations dans des titres de créance et dans des capitaux propres;
  • le partage d’informations.
Conception et mise en œuvre des procédures de confirmation externe

Exigences des NCA

Lorsqu’il a recours à des procédures de confirmation externe, l’auditeur doit conserver le contrôle des demandes de confirmation, ce qui implique notamment : (NCA 505.7)

b) de sélectionner les tiers appropriés;
c) de concevoir les demandes de confirmation, en s’assurant que les demandes sont bien adressées et qu’elles précisent que les réponses doivent lui être retournées directement;
d) de procéder à l’envoi des demandes aux tiers, ainsi que des lettres de suivi, au besoin.

Directives des NCA

Les réponses aux demandes de confirmation fournissent des éléments probants plus pertinents et plus fiables lorsque les demandes sont envoyées à un tiers qui, selon l’auditeur, a connaissance des informations dont il veut obtenir confirmation. Par exemple, le représentant d’une institution financière qui est bien informé sur les opérations ou les ententes au sujet desquelles une confirmation est demandée peut être la personne la plus appropriée au sein de cette institution à qui il conviendra d’adresser la demande de confirmation. (NCA 505.A2)

La conception d’une demande de confirmation peut avoir une incidence directe sur le taux de réponse ainsi que sur la fiabilité et la nature des éléments probants obtenus à partir de ces réponses. (NCA 505.A3)

Les facteurs à prendre en compte lors de la conception d’une demande de confirmation comprennent entre autres les suivants : (NCA 505.A4)

  • les assertions visées;

  • les risques d’anomalies significatives spécifiques identifiés, y compris les risques de fraude;

  • la forme et la présentation de la demande;

  • l’expérience acquise antérieurement dans le cadre de la mission d’audit ou de missions similaires;

  • le mode de communication (par exemple, demande sur support papier, électronique ou autre);

  • le fait que la direction autorise ou encourage les tiers à répondre à l’auditeur. Certains tiers pourraient accepter de ne répondre qu’aux demandes de confirmation contenant une autorisation de la direction;

  • la capacité du tiers de confirmer ou de fournir l’information demandée (par exemple, le montant d’une facture isolée par opposition au solde total).

Pour déterminer si les demandes de confirmation sont bien adressées, il faut entre autres tester la validité de quelques‑unes ou de toutes les adresses qui figurent sur les demandes avant leur envoi. (NCA 505.A6)

Directives du BVG

Maintien du contrôle des procédures de confirmation

L’auditeur doit conserver le contrôle de l’ensemble du processus de confirmation externe pour réduire le risque que des demandes de confirmation et des réponses soient interceptées et altérées. L’auditeur doit envoyer les demandes de confirmation directement aux tiers et recevoir les réponses directement de ces derniers; il ne doit pas permettre au client ou à toute partie qui ne fait pas partie de l’équipe de mission d’envoyer ou de recevoir ces confirmations en son nom. Le maintien du contrôle des procédures de demande de confirmation implique généralement les éléments de base suivants :

  • sélectionner le tiers approprié;

  • fournir le formulaire de la demande de confirmation qui indique les informations demandées;

  • tester la validité de l’adresse fournie;

  • envoyer la demande de confirmation directement au tiers;

  • dans les cas où la demande est envoyée par la poste, fournir une enveloppe‑réponse préadressée avec la demande de confirmation pour permettre au tiers d’envoyer directement sa réponse à l’équipe de mission;

  • mettre en œuvre des procédures de suivi supplémentaires pour les cas où la demande de confirmation serait retournée au bureau de l’entité ou reçue par courrier électronique, puis transmise par la suite à l’équipe de mission (p. ex. demander au tiers d’envoyer directement à l’équipe de mission une nouvelle réponse).

Ces directives présentent en détail les facteurs à considérer relatifs au maintien du contrôle du processus de confirmation externe, comme l’exige la NCA 505, et à l’obtention d’éléments probants de corroboration pertinents et fiables. Les jugements posés par l’auditeur à l’égard de ces facteurs varieront selon les faits et les circonstances propres à la mission, mais seront habituellement posés dans le cadre des trois éléments clés du processus de confirmation externe suivants :

  • sélectionner le tiers approprié (voir la section « Sélection du tiers approprié » ci-après);

  • tester la validité de l’adresse postale qui sera utilisée pour envoyer la demande de confirmation (voir la section « Test de la validité des adresses qui figurent sur les demandes de confirmation » ci-après);

  • évaluer la fiabilité de la réponse à la demande de confirmation, y compris s’il faut mettre en œuvre des procédures additionnelles en fonction de facteurs, notamment le mode de réception des réponses aux demandes de confirmation (voir la section BVG Audit 7053).

Sélection du tiers approprié

Comme il est indiqué dans le paragraphe A2 de la NCA 505, les réponses aux demandes de confirmation fournissent des éléments plus pertinents et plus fiables lorsque les demandes sont envoyées à un tiers qui, selon l’auditeur, a connaissance des informations dont il veut obtenir confirmation.

Au sein de certaines entités, les demandes de confirmation peuvent être traitées par une seule personne ou un petit nombre de personnes. Par exemple, un tiers chargé de fournir une réponse à une demande de confirmation pourrait avoir comme politique que toutes les demandes de confirmation doivent être traitées par un gestionnaire ou un superviseur des comptes fournisseurs plutôt que par un groupe de commis aux comptes fournisseurs. L’auditeur doit veiller à adresser la demande de confirmation à la personne (ou aux personnes) qui a (ou qui ont) connaissance des informations à confirmer et qui a (ou qui ont) l’autorisation de fournir les réponses aux demandes de confirmation au nom du tiers. (Dans l’exemple ci‑dessus, il s’agit du gestionnaire ou du superviseur, plutôt que de l’un des commis.)

Même si l’auditeur doit maintenir le contrôle sur les demandes de confirmation externe et demeure responsable de la sélection du tiers approprié, dans la pratique, il peut demander l’aide de la direction de l’entité pour obtenir les informations recherchées. Par exemple, l’auditeur pourrait demander à la direction de lui fournir de l’information lorsqu’il tente d’obtenir une compréhension du poste et des responsabilités du tiers au sein de l’entité à qui il propose d’envoyer la demande de confirmation. Il doit aussi déterminer si son expérience antérieure dans le cadre de l’audit ou de missions semblables peut l’aider à sélectionner le tiers approprié.

Si l’auditeur a de la difficulté à trouver le tiers approprié, ou s’il a des questions quant au caractère approprié du tiers proposé par la direction de l’entité, il doit mettre en œuvre des procédures additionnelles. Par exemple, l’auditeur pourrait examiner le site Web de l’entité à qui il souhaite envoyer des demandes de confirmation pour déterminer si le nom d’un tiers approprié y est donné ou appeler directement le tiers proposé pour déterminer s’il est le tiers approprié (la demande par téléphone pourrait aussi servir à tester la validité de l’adresse à laquelle la demande de confirmation devra être envoyée). L’auditeur documente dans les feuilles de travail les résultats de toute procédure additionnelle mise en œuvre.

Tiers approprié – relations fiduciaires

Il peut y avoir des situations où l’entité auditée retient les services d’une autre partie pour gérer des actifs en son nom. Par exemple, l’entité peut embaucher une tierce partie à titre de gestionnaire de placements pour gérer un portefeuille d’actifs qui lui appartient. Dans de telles situations, il est important pour l’auditeur de comprendre l’accord fiduciaire, y compris la justification sur le plan économique et les responsabilités en découlant, ainsi que les droits et les obligations entre les parties pour comprendre les risques découlant de cette relation fiduciaire. Aux fins de la confirmation, il est important de comprendre cet accord pour pouvoir sélectionner le tiers approprié, puisqu’un tel accord pourrait avoir une incidence sur la fiabilité et le caractère convaincant des éléments probants que l’auditeur souhaite obtenir au moyen de la confirmation.

Pour sélectionner le tiers approprié lorsque de multiples parties sont liées par un accord fiduciaire, l’auditeur doit déterminer quelle partie est la mieux placée pour connaître les informations qu’il cherche à faire confirmer et les assertions qu’il planifie traiter. Par exemple, si des liquidités ou d’autres actifs sont détenus directement par un fiduciaire, il serait approprié d’obtenir une confirmation auprès de ce dernier. Toutefois, dans les situations où un fiduciaire retient les services d’autres parties (p. ex. des gestionnaires de placements ou des dépositaires) pour détenir les actifs, il serait plus approprié d’obtenir une confirmation auprès de ces autres parties. Habituellement, la partie qui est dépositaire des actifs est le tiers approprié à qui il faut demander de confirmer l’exhaustivité et l’existence des actifs et la partie responsable de la gestion des actifs (p. ex. un gestionnaire de placements) serait le tiers le mieux placé pour confirmer l’évaluation des actifs. Toutefois, le tiers approprié pour confirmer les assertions relatives à l’existence, à l’exhaustivité et à l’évaluation des actifs peut différer selon les responsabilités, les droits et les obligations des parties à l’accord fiduciaire. S’il obtient des confirmations à l’égard d’assertions pertinentes concernant les mêmes actifs auprès de différentes parties (p. ex. la confirmation du dépositaire pour l’exhaustivité et l’existence et celle du gestionnaire de placements pour l’évaluation), l’auditeur doit comparer les informations sous‑tendant chaque confirmation pour s’assurer qu’elles concordent et qu’elles peuvent être rapprochées (p. ex. les descriptions et les quantités des actifs individuels compris dans la confirmation des valeurs des actifs fournie par le gestionnaire de placements concordent avec les descriptions et les quantités des actifs confirmées par le dépositaire) et traiter toute divergence, s’il y a lieu.

Comme c’est le cas pour d’autres confirmations auprès de tiers, l’auditeur doit conserver le contrôle du processus de confirmation et obtenir les confirmations directement auprès des tiers. Dans certains cas, l’entité ou le fiduciaire pourrait avoir à communiquer avec les tiers chargés de répondre à une demande de confirmation pour les autoriser à fournir les informations directement à l’auditeur. Par exemple, si le fiduciaire confie à une banque le rôle de dépositaire, les règlements sur la protection des renseignements pourraient empêcher la banque de communiquer à l’auditeur des informations sans le consentement du fiduciaire ou de l’entité auditée. Pour aider l’auditeur à contrôler le processus de confirmation, dans un tel exemple, la communication concernant l’autorisation de l’entité ou du fiduciaire à l’intention de la banque doit indiquer clairement que la confirmation relative à l’autorisation ne constitue pas une demande de confirmation et que l’auditeur de l’entité enverra une demande de confirmation directement au tiers.

Une compréhension de l’accord fiduciaire peut également être importante lorsqu’il s’agit de déterminer le tiers approprié et le caractère convaincant des éléments probants obtenus au moyen de la confirmation. Par exemple, si un fiduciaire reçoit des honoraires en fonction de la valeur des actifs qu’il gère au nom de l’entité auditée, il pourrait être enclin à surévaluer la valeur de ces actifs. Dans un tel cas, l’auditeur doit déterminer s’il existe un autre tiers approprié et/ou s’il doit obtenir des éléments probants additionnels concernant l’existence et l’évaluation des actifs confirmés par le fiduciaire. Les procédures que l’auditeur pourrait mettre en œuvre comprennent, sans s’y limiter, obtenir un rapport de l’auditeur d’une société de services visant le gestionnaire de placements afin de recueillir des éléments probants du contrôle qu’il exerce sur l’existence et l’évaluation des placements, et/ou vérifier l’évaluation des placements en obtenant de manière indépendante des éléments probants concernant la valeur de marché des placements cotés.

Détermination du mode d’envoi des demandes de confirmation externe

Au moment d’envoyer des demandes de confirmation externe, l’auditeur détermine quel est le mode d’envoi le plus approprié, en tenant compte des circonstances propres à la mission, notamment les risques de fraude importants qui ont été identifiés et la probabilité que la confirmation soit exposée à un risque d’interception et/ou d’altération. Les facteurs à prendre en compte au moment de sélectionner le mode d’envoi approprié comprennent, sans toutefois s’y limiter, les suivants :

  • Envoyer par la poste une demande sur support papier à l’adresse postale physique du tiers en s’attendant à recevoir une réponse originale sur support papier envoyée par la poste aussi.

    • Toute forme de confirmation est exposée à un risque d’interception et d’altération. Toutefois, le risque est habituellement plus faible dans le cas de confirmations sur papier par rapport aux confirmations envoyées électroniquement ou par télécopieur, parce qu’une réponse à la demande de confirmation soumise dans le support papier original constitue le format le plus efficace pour vérifier s’il y a des indicateurs que la réponse peut ne pas être fiable (p. ex. lorsque des timbres, des sceaux ou des cachets officiels sont utilisés par le tiers à qui la demande de confirmation a été adressée). Indépendamment du mode de transmission de la réponse, l’auditeur doit toujours déterminer s’il y a des doutes sur la fiabilité d’une réponse, comme il est décrit dans la section BVG Audit 7053.
    • Dans le cas où des réponses sur support papier sont attendues, le plan de confirmation externe doit prévoir suffisamment de temps pour l’envoi de la demande et de toute demande de suivi, ainsi que pour la réception des réponses, par l’entremise du système postal.
  • Envoyer une demande électroniquement à l’aide d’un logiciel de certification sécurisé conçu pour appuyer le processus de confirmation externe, en s’attendant à recevoir une réponse directement par l’entremise de l’outil.

    • Les outils qui fournissent un environnement sécurisé pour l’envoi de demandes de confirmation aux tiers et la réception de réponses à ces demandes atténuent les risques de fiabilité liés à la preuve de l’origine des réponses aux demandes de confirmation.
    • L’environnement sécurisé atténue aussi les risques accrus d’interception /d’altération des réponses électroniques aux demandes de confirmation, dans la mesure où des procédures sont mises en œuvre pour tester la validité de l’adresse électronique utilisée pour inviter le tiers à répondre à la demande de confirmation. Lorsqu’un tel outil est utilisé, des procédures additionnelles pour traiter les risques liés à la preuve d’origine ainsi que les risques d’interception et d’altération peuvent ne pas être nécessaires. Toutefois, l’auditeur doit toujours déterminer s’il y a des doutes sur la fiabilité d’une réponse, comme il est décrit dans la section BVG Audit 7053.
    • Compte tenu des risques liés à la cybersécurité, comme les activités d’hameçonnage, les tiers à qui sont adressées des demandes de confirmation pourraient hésiter à répondre à un message électronique automatisé leur demandant d’accéder à des outils pour répondre à la demande de confirmation. L’auditeur doit déterminer si des mesures peuvent être prises pour accroître la confiance du tiers visé sans compromettre son contrôle du processus de confirmation (p. ex. demander à la direction de l’entité d’envoyer une lettre ou un message électronique au tiers pour lui dire de s’attendre à ce qu’une demande de confirmation lui soit envoyée par courrier électronique, en joignant une image du format du courrier électronique et des précisions sur l’expéditeur).
  • Envoyer une demande au moyen d’un compte de courrier électronique du BVG, en s’attendant à recevoir une réponse dans un compte de courrier électronique du BVG.

    • Les réponses reçues électroniquement comportent des risques quant à leur fiabilité puisqu’il peut être difficile d’établir la preuve d’origine du document et l’autorité du répondant et de détecter les interceptions et les altérations. Lorsque les demandes de confirmation sont envoyées par courrier électronique et que les réponses à ces demandes sont fournies de cette même façon, plutôt qu’au moyen d’un outil sécurisé visant à appuyer le processus de confirmation externe, ces risques ne sont pas atténués par un environnement sécurisé entre l’auditeur et le tiers chargé de répondre à la demande de confirmation. Par conséquent, lorsqu’une réponse est envoyée à un compte de courrier électronique du BVG, l’auditeur doit mettre en œuvre des procédures additionnelles pour vérifier l’identité du tiers qui soumet la réponse à la demande de confirmation, comme il est décrit dans la section BVG Audit 7053.
    • Certains textes législatifs et réglementaires sur la protection des données prévoient des dispositions sur la protection des données du client que l’auditeur pourrait avoir à respecter pour pouvoir envoyer des demandes de confirmation externe par courrier électronique ou recevoir des réponses de cette manière. Le respect des exigences en matière de protection des données peut avoir une certaine incidence, notamment, sur la nécessité ou non d’obtenir le consentement du client pour communiquer les informations requises, sur la forme et le contenu de la demande de confirmation et/ou sur la nécessité ou non d’envoyer la demande de confirmation ou la réponse à cette demande par courrier électronique chiffré.

Si une demande de confirmation est envoyée avec l’attente de recevoir une réponse sur support papier original ou à l’aide d’un logiciel de certification visant à appuyer le processus de confirmation externe, mais que le tiers envoie plutôt sa réponse à un compte de courrier électronique du BVG, l’auditeur doit, dès qu’il reçoit la réponse, prendre en compte les mêmes facteurs pour vérifier l’identité du tiers que s’il avait au départ envoyé une demande de confirmation en s’attendant à recevoir une réponse par courriel (c’est-à-dire qu’il doit mettre en œuvre des procédures additionnelles pour vérifier l’identité du tiers qui répond à la demande de confirmation, comme il est indiqué dans la section BVG Audit 7053.
 

Test de la validité des adresses qui figurent sur les demandes de confirmation

Comme indiqué dans le paragraphe A6 de la NCA 505, l’auditeur doit tester la validité de quelques-unes ou de toutes les adresses qui figurent sur les demandes avant leur envoi. Diverses approches peuvent être utilisées pour mettre en œuvre des procédures visant à tester la validité des adresses. L’auditeur peut notamment consulter le site Web du tiers approprié pour déterminer si son adresse physique ou si le domaine de son adresse électronique (p. ex. abc.com) correspond aux informations sur l’adresse données dans la section « Contactez-nous » ou « À propos de nous » (ou dans la section équivalente) du site Web. Lorsque l’auditeur met en œuvre cette procédure, il doit faire exercer son esprit critique au moment d’évaluer si le site semble être le site Web légitime du tiers qui doit répondre à la demande. La nature et l’étendue des procédures mises en œuvre par l’auditeur dépendent des risques associés à la demande de confirmation ou à l’adresse en question. Par exemple, une demande de confirmation qui est liée à une assertion à risque élevé ou à une adresse de tiers qui n’est pas semblable à celle de tiers semblables (p. ex une adresse domiciliaire) peut nécessiter la mise en œuvre d’autres procédures ou de procédures plus poussées (notamment tester la validité de toutes les adresses associées à la demande de confirmation en consultant des sources sur le tiers ou appeler directement le tiers visé) pour établir que la demande est bien adressée au destinataire souhaité.

Envoi de demandes de confirmation à des adresses électroniques – autres facteurs à considérer

Comme il est indiqué dans le paragraphe A12 de la NCA 505, l’envoi de demandes de confirmation électroniquement avec l’intention de recevoir une réponse par voie électronique entraîne des risques quant à la fiabilité, car il peut être difficile d’établir la preuve d’origine du document et l’autorité du répondant et de détecter les altérations. Pour aider à atténuer ces risques dans les cas où des demandes seront transmises électroniquement, l’auditeur doit envisager d’utiliser un logiciel de certification sécurisé conçu pour appuyer le processus de confirmation externe en créant un environnement sécurisé pour la réception de réponses aux demandes de confirmation provenant de tiers. Lorsqu’un tel outil n’est pas disponible et que les demandes de confirmation seront envoyées par courrier électronique, l’auditeur doit tenir compte de la nature de l’adresse électronique du tiers à qui sera adressée la demande de confirmation au moment de déterminer la nature et l’étendue des procédures de validation de l’adresse qu’il mettra en œuvre, notamment :

  • Les adresses électroniques professionnelles individuelles sont associées à l’entité du tiers et il est attendu qu’une seule personne au sein de l’entité peut accéder à cette adresse et l’utiliser (p. ex. jean.untel@oag-bvg.gc.ca). Puisque les risques, comme ceux liés à la preuve d’origine, associés à ce type d’adresses électroniques sont normalement considérés comme étant plus faibles que les autres types d’adresses décrits ci‑après, l’auditeur doit faire preuve de jugement professionnel pour décider s’il doit tester la validité de certaines de ces types d’adresses ou de toutes ces adresses.

  • Les adresses électroniques sont des adresses de groupe, c’est-à-dire qu’une seule adresse est associée à l’entité du tiers et que plusieurs personnes au sein d’une même fonction ou d’un même service peuvent accéder à cette adresse et l’utiliser (p. ex. comptesfournisseurs@oag-bvg.gc.ca) : L’auditeur teste la validité des adresses électroniques de groupe de l’organisation en deux étapes :

    • Il met en œuvre des procédures pour confirmer la validité de tous les domaines de l’adresse de l’organisation avant d’y envoyer les demandes de confirmation. Par exemple, il peut consulter des sources du tiers, notamment le site Web du tiers visé pour déterminer si le domaine figurant dans son adresse électronique (p. ex. abc.com) correspond au domaine de l’adresse donnée dans la section « Contactez-nous » ou « À propos de nous » (ou la section équivalente) du site Web.
    • Après avoir reçu la réponse à la demande de confirmation, il met en œuvre les mêmes procédures qu’il doit mettre en œuvre dans les cas où il reçoit des confirmations « autres que des confirmations originales » (voir la section BVG Audit 7053). Il pourrait notamment avoir à valider l’identité du tiers qui a soumis la réponse ainsi que les données comprises dans la réponse et noter dans les feuilles de travail les raisons pour lesquelles il en est satisfait. Lorsque des doutes subsistent, il doit vérifier la réponse fournie par voie électronique en téléphonant au tiers visé et faire état de la communication dans les feuilles de travail.
  • Les adresses électroniques ne sont pas propres à l’organisation et contiennent des noms de domaines de messagerie qui n’appartiennent pas à l’entité du tiers à qui est adressée la demande (notamment des adresses avec un nom de domaine gratuit [p. ex. jean.untel@gmail.com] ou un nom de domaine de messagerie payant qui n’appartient pas au tiers visé) : Puisque recevoir une réponse à partir de ce type d’adresse peut entraîner des risques plus élevés liés à la preuve d’origine, l’auditeur doit mettre en œuvre des procédures additionnelles pour toutes les adresses qui ne sont pas propres à une entité. Il doit notamment téléphoner au tiers visé afin de vérifier que l’adresse électronique est bien une destination appropriée pour la demande de confirmation.

Envoi de demandes de confirmation à des boîtes postales – autres facteurs à considérer

L’adresse du tiers qui doit répondre à la demande de confirmation pourrait être une boîte postale. Habituellement, l’auditeur teste la validité de toutes les adresses des boîtes postales de la même manière qu’il teste la validité d’une adresse physique (c’est-à-dire en consultant des sources du tiers, comme la section « Contactez-nous » ou « À propos de nous » (ou la section équivalente) du site Web). Cependant, dans certains cas, il se peut qu’il n’y ait pas de source accessible au grand public pour vérifier que la boîte postale est la bonne adresse du tiers visé. L’auditeur peut alors mettre en œuvre des procédures, telles que déterminer l’emplacement du bureau de poste où se trouve la boîte postale et le comparer à l’adresse physique du tiers qui doit répondre et à celle de l’entité auditée pour évaluer la cohérence et la vraisemblance des diverses informations. L’auditeur peut aussi communiquer avec le tiers d’une manière similaire à celle suivie lorsqu’il reçoit une réponse électroniquement. Dans les cas où plusieurs demandes de confirmation sont adressées à des boîtes postales, l’auditeur peut comparer les emplacements des boîtes postales afin de voir s’il existe des tendances qui pourraient donner à penser que les adresses des boîtes postales ou leur emplacement physique ne sont pas valides.

Conseil d’audit

La collaboration en temps opportun avec le client lors d’une procédure de confirmation réduit la charge de travail nécessaire pour assurer un suivi à l’approche de la date de publication du rapport.

Suivi des demandes de confirmation

Directives des NCA

L’auditeur peut envoyer une seconde demande de confirmation lorsqu’il ne reçoit pas de réponse à la première demande dans un délai raisonnable. Par exemple, il peut, après avoir de nouveau vérifié l’exactitude de l’adresse utilisée la première fois, envoyer un rappel ou une autre demande de confirmation. (NCA 505.A7)

Recours à des demandes de confirmation expresse ou tacite

Exigences des NCA

Les confirmations tacites fournissent des éléments probants moins convaincants que ne le font les confirmations expresses. En conséquence, l’auditeur ne doit avoir recours aux demandes de confirmation tacite à titre de seule procédure de corroboration destinée à répondre à l’évaluation d’un risque d’anomalies significatives au niveau des assertions que si toutes les conditions suivantes sont réunies : (NCA 505.15)

a) l’auditeur a évalué que le risque d’anomalies significatives est faible et il a obtenu des éléments probants suffisants et appropriés sur l’efficacité du fonctionnement des contrôles se rapportant à l’assertion concernée;

b) la population des éléments soumis à des procédures de confirmation tacite comprend un grand nombre de soldes de comptes, d’opérations ou de conditions de peu d’importance et homogènes;

c) un taux de divergences très bas est attendu;

d) l’auditeur n’est pas au courant de circonstances ou de situations qui conduiraient les destinataires des demandes de confirmation tacite à ignorer celles-ci.

Directives des NCA

La demande de confirmation expresse invite le tiers à répondre à l’auditeur dans tous les cas, soit en lui demandant d’indiquer son accord sur l’information donnée, soit en lui demandant de fournir l’information. Une réponse à une demande de confirmation expresse permet en général de recueillir des éléments probants fiables. Il existe un risque cependant que le tiers réponde à la demande de confirmation sans vérifier l’exactitude de l’information donnée. L’auditeur peut réduire ce risque en ayant recours à des demandes de confirmation expresse qui n’indiquent pas de montant (ou d’autres informations), mais requièrent du tiers qu’il fournisse lui-même le montant ou les informations. Par contre, l’utilisation d’une telle demande de confirmation « ouverte » peut donner lieu à un taux de réponse plus faible dès lors que l’on demande un effort supplémentaire au tiers. (NCA 505.A5)

Le fait de ne pas recevoir de réponse à une demande de confirmation tacite ne permet pas de savoir si le tiers a reçu cette demande ou s’il a vérifié l’exactitude de l’information fournie dans la demande. En conséquence, le fait qu’un tiers ne réponde pas à une demande de confirmation tacite fournit des éléments probants beaucoup moins convaincants qu’une réponse à une demande de confirmation expresse. Les tiers peuvent également être plus susceptibles de répondre pour exprimer leur désaccord avec l’information fournie dans la demande de confirmation lorsque celle-ci n’est pas à leur avantage, et moins susceptibles de répondre dans les autres cas. Par exemple, les titulaires de comptes bancaires peuvent être plus susceptibles de répondre s’ils estiment que le solde de leur compte est sous‑évalué dans la demande de confirmation que s’ils croient que ce solde est surévalué. L’envoi de demandes de confirmation tacite à des titulaires de comptes bancaires peut donc constituer une procédure utile pour déterminer si les soldes font l’objet d’une sous‑évaluation, mais il risque d’être peu efficace si l’auditeur recherche des éléments probants quant à une surévaluation. (NCA 505.A23)

Réponse au refus de la direction de permettre l’envoi d’une demande de confirmation

Exigences des NCA

Si la direction refuse de lui permettre d’envoyer une demande de confirmation, l’auditeur doit : (NCA 505.8)

a) s’enquérir des raisons du refus de la direction et chercher à obtenir des éléments probants sur la validité et le caractère raisonnable de ces raisons;

b) évaluer les incidences du refus de la direction sur l’évaluation par l’auditeur des risques d’anomalies significatives concernés, y compris le risque de fraude, et sur la nature, le calendrier et l’étendue des autres procédures d’audit;

c) mettre en œuvre des procédures d’audit de remplacement pour obtenir des éléments probants pertinents et fiables.

Si l’auditeur conclut que le refus de la direction de lui permettre d’envoyer une demande de confirmation est déraisonnable, ou s’il est incapable d’obtenir des éléments probants pertinents et fiables au moyen de procédures d’audit de remplacement, il doit en informer les responsables de la gouvernance, conformément à la NCA 260. L’auditeur doit également examiner les incidences d’une telle situation sur l’audit ainsi que sur son opinion, conformément à la NCA 705. (NCA 505.9)

Directives des NCA

Le refus de la direction de permettre à l’auditeur d’envoyer une demande de confirmation constitue une limitation quant aux éléments probants que l’auditeur peut souhaiter obtenir. L’auditeur est donc tenu de s’enquérir des raisons de cette limitation. Une raison souvent invoquée est l’existence d’un litige ou d’une négociation en cours avec le tiers, dont la résolution peut être affectée par une demande de confirmation présentée à un moment inopportun. L’auditeur doit chercher à obtenir des éléments probants sur la validité et le caractère raisonnable des raisons invoquées, étant donné le risque que la direction puisse tenter de lui refuser l’accès à des éléments probants pouvant révéler l’existence de fraudes ou d’erreurs. (NCA 505.A8)

À À partir de l’évaluation dont il est question à l’alinéa 8 b), l’auditeur peut conclure qu’il convient de réviser l’évaluation des risques d’anomalies significatives au niveau des assertions et de modifier les procédures d’audit prévues, conformément à la NCA 315. Par exemple, si le refus de la direction de permettre l’envoi d’une demande de confirmation est déraisonnable, cela peut indiquer l’existence d’un facteur de risque de fraude qui nécessite une évaluation, conformément à la NCA 240. (NCA 505.A9)

Les procédures d’audit de remplacement à mettre en œuvre peuvent être semblables à celles qu’il convient d’appliquer en cas de non-réponse à une demande de confirmation, décrites aux paragraphes A18 et A19 de la NCA 505. Ces procédures tiendraient également compte des résultats de l’évaluation de l’auditeur dont il est question à l’alinéa 8 b) de la présente NCA. (NCA 505.A10)

Directives du BVG

Les conclusions à l’égard du refus de la direction de l’entité de permettre à l’auditeur d’envoyer une demande de confirmation sont consignées dans les documents de travail connexes.

Si l’on conclut que le refus de la direction peut indiquer un risque de fraude, il faut faire état de cette conclusion dans les documents de travail sur l’évaluation du risque de fraude, comme il convient. Si l’on révise l’évaluation du risque par la suite, il faut examiner si des changements doivent être apportés sur la nature, le moment et l’étendue des procédures pour répondre au risque.

L’auditeur doit déterminer si ces circonstances sont d’une importance telle qu’elles nécessitent d’être discutées avec le responsable de la mission et traitées comme un enjeu important, et communiquées aux responsables de la gouvernance.

Dans les cas où il n’est pas possible d’obtenir des éléments probants suffisants et appropriés au moyen de procédures de remplacement afin de répondre au risque et de valider les assertions que la demande de confirmation visait à tester, cela peut donner lieu à une limitation de la portée et avoir une incidence sur l’opinion de l’auditeur. Pour de plus amples directives sur la portée des limitations, se reporter à la section BVG Audit 8013.

Directives connexes

Pour de plus amples directives sur les communications avec les responsables de la gouvernance, se reporter à la section BVG Audit 2210.

Pour de plus amples directives sur les mesures à prendre à la découverte de fraudes possible, se reporter à la section BVG Audit 5506.

Calendrier des confirmations

Directives du BVG

Lorsque l’on a recours à des demandes de confirmation à une date antérieure à la clôture du bilan en vue d’obtenir des éléments probants à l’appui d’une assertion contenue dans les états financiers, on doit obtenir des éléments probants suffisants et appropriés qui indiquent que les opérations relatives à l’assertion de la période intercalaire n’ont pas été faussées de façon importante. Pour tous les types de travaux intermédiaires, il faut examiner la nécessité d’obtenir des éléments probants supplémentaires pour le reste de la période.

Directives connexes

Pour de plus amples directives sur les procédures de corroboration réalisées avant la date de clôture, se reporter à la section BVG Audit 7015.