7592 Considérations relatives à l’utilisation des techniques d’audit assistées par ordinateur (TAAO)

juil.-2017

Directives du BVG

L’auditeur peut obtenir une compréhension du type de données qui seront disponibles aux fins de l’application des TAAO lors des travaux de la planification au moment d’obtenir une compréhension du système d’information, y compris des processus opérationnels connexes, qui est pertinent pour l’information financière.

Il faut évaluer si des données de qualité seront disponibles dans un format utilisable et s’il sera facile d’y accéder pour les utiliser de manière efficiente.

Un spécialiste en analyse de données peut aider les équipes de mission à déterminer si des données appropriées sont disponibles et communiquer avec l’entité pour coordonner la récupération des données du système de l’entité.

Directives du BVG

Première extraction de données

Lors d’une première extraction de données, l’auditeur doit effectuer une évaluation initiale des données nécessaires et, au besoin, il fait appel à un spécialiste en audit informatique. Les besoins en matière de données seront différents selon les objectifs de la procédure d’audit et la période considérée. Une fois les besoins établis, l’auditeur présente au service informatique de l’entité une demande officielle de données qui précise les attentes à l’égard du format des données, du mode de transfert et du calendrier. Il faut conserver les scripts d’extraction des données au dossier et consigner la façon dont l’auditeur a assuré l’exhaustivité de la population et l’exactitude des champs sélectionnés.

Extraction de données subséquente

Après la première année d’audit, la demande de données de l’année antérieure peut être utilisée comme point de départ. L’auditeur peut la modifier en fonction de sa compréhension des modifications apportées à l’étendue des procédures d’audit prévues à la suite des consultations avec les membres de l’équipe de mission et de l’évaluation des changements au système ou aux processus. Il faut joindre à la demande de données des exemples de fichiers ainsi que des scripts d’extraction de l’année antérieure afin d’aider le service informatique de l’entité à donner suite à la demande.

Directives du BVG

Selon le calendrier de l’audit et le délai nécessaire pour effectuer l’analyse, la demande de données doit être présentée suffisamment à l’avance pour permettre la réalisation de l’analyse dans les délais prévus, en tenant compte du temps qui pourrait être nécessaire pour résoudre tout problème d’extraction de données, notamment en ce qui concerne la qualité, l’exhaustivité et l’exactitude des données (champs voulus, tous les bons dossiers, etc.).

Directives du BVG

Les données sont généralement transmises dans l’un des formats ci-dessous. Toutefois, selon les capacités de l’application de l’entité et l’outil qui sera utilisé pour analyser les données, d’autres formats peuvent être acceptables. Les spécialistes en analyse de données et méthodes de recherche peuvent aider l’auditeur à choisir l’outil le mieux adapté aux circonstances, à obtenir les données dans un format approprié et à les convertir, au besoin. Les formats les plus courants sont les suivants :

• MS Excel;
• XML;
• DBF (dBase);
• fichier délimité (utilisation des caractères ~ ou ^ ou | comme délimiteur);
• fichier non hiérarchique;
• fichier d’impression en format ASCII;
• fichier compatible avec l’interface ODBC (c.-à-d. MS Access);
• tout autre format convenu avec l’entité.

Il faut obtenir auprès de l’entité le contenu d’un enregistrement ou les définitions des données de chaque colonne, le type de données (numérique, texte, etc.) et la longueur du champ (s’il y a lieu).

Directives du BVG

Les données peuvent être enregistrées sur CD, DVD ou tout autre support amovible (clé USB), ou envoyées par protocole FTP sécurisé. L’auditeur doit s’assurer que les données transférées sont chiffrées et protégées par un mot de passe. Les fichiers volumineux peuvent être compressés à l’aide d’une application comme WinZip ou WinRAR. (Pour rendre le fichier encore plus sécurisé, le fichier compressé peut être protégé par un mot de passe créé par l’entité, qui transmettra ce mot de passe à l’auditeur une fois qu’il a reçu le fichier.)

Directives du BVG

Les données doivent être enregistrées, selon les conventions d’appellation prédéterminées, sur les serveurs du BVG dans un endroit central dont l’accès est limité à l’équipe de mission affectée à l’audit. L’auditeur doit examiner les règles et les directives applicables pour connaître les exigences supplémentaires relatives à la sécurité et à la confidentialité des données. Il faut conserver les données après la période d’audit, conformément au Manuel d’audit annuel du BVG et aux règlements pertinents.

Directives du BVG

L’auditeur doit communiquer à l’entité les raisons pour lesquelles les données sont demandées et expliquer à quoi elles serviront. L’auditeur doit aussi utiliser un site FTP sécurisé pour transférer les données à l’aide du protocole FTP. Si les données sont transférées par d’autres moyens (comme un CD, un DVD ou un courriel) en raison du faible volume des données, l’auditeur doit s’assurer que les données sont chiffrées et protégées par un mot de passe, de façon appropriée.

Directives du BVG

L’auditeur doit mettre en œuvre des procédures pour vérifier l’exhaustivité et l’exactitude des données obtenues aux fins de l’application des TAAO. L’objectif de cette vérification diffère de l’objectif de la vérification des assertions des états financiers pour un poste des états financiers donné. La vérification de l’exhaustivité et de l’exactitude des données aux fins de l’application des TAAO vise à confirmer que les données reçues de l’entité reflètent ce qui a réellement été enregistré.

L’assurance à l’égard de l’exhaustivité et de l’exactitude des données peut être obtenue en réalisant des tests des contrôles ou des tests de corroboration.

Directives du BVG

Lorsque l’auditeur a obtenu les données appropriées et qu’il a confirmé leur exhaustivité et leur exactitude, il peut utiliser des logiciels informatisés pour appliquer des TAAO. Les TAAO peuvent servir à organiser, trier, analyser et décomposer les données de l’entité. Parmi les TAAO qui peuvent être utilisées, il y a : produire des rapports ou exécuter des recherches en fonction de l’utilisation prévue des données; décomposer les opérations d’après leur source et les mettre en correspondance avec les processus et les systèmes de l’entité; ou produire les rapports pertinents afin de repérer les conditions susceptibles d’indiquer des déficiences possibles du contrôle ou des anomalies de manière à cibler les tests.

Directives du BVG

Pour vérifier que les TAAO ont été exécutées de manière appropriée, l’auditeur doit comparer et rapprocher le rapport de sortie et les données de l’entité sous-jacentes qui avaient été obtenues à l’origine et dont l’exhaustivité et l’exactitude avaient déjà été testées. Par exemple, il pourrait comparer le total des entrées de trésorerie provenant des clients selon le résultat de l’analyse des TAAO avec les données sur les entrées de trésorerie provenant des clients évaluées dans le cadre de la vérification de leur exhaustivité et exactitude. Les opérations jugées inhabituelles selon les TAAO en fonction de critères prédéfinis seront soumises à des tests ciblés puisqu’elles représentent des éléments inhabituels pouvant présenter un risque plus élevé. (Des procédures de corroboration visant les opérations « habituelles » devraient normalement être exécutées aussi.)

Directives du BVG

Après que l’équipe de mission a discuté des constatations, elle doit les communiquer à la personne-ressource de l’entité comme il a été convenu pendant la planification de l’audit. Les constatations peuvent être transmises à l’entité en un format standard et dans un délai raisonnable pour permettre à l’entité de formuler sa réponse.