Veuillez noter que la section sécurisée du site ne sera pas accessible le mercredi 26 juillet pour une partie de l’avant-midi. Merci de votre compréhension. 

Doit-on mettre en doute une confirmation électronique?

Retourner à la recherche

Publié le


Les confirmations électroniques sont de plus en plus utilisées. L’auditeur doit-il mettre en doute la fiabilité de telles confirmations? L’auditeur peut-il utiliser une confirmation électronique à titre d'élément probant? Comment l’auditeur peut-il être sûr de l'identité du répondant et de la provenance de la confirmation? Comment peut-il être assuré que la confirmation n'a pas été interceptée et modifiée?

En fait, ces questions sont les mêmes pour toute information, électronique ou autre, utilisée à titre d'élément probant

La NCA 500, Éléments Probants, précise que, de façon générale, les éléments probants sont plus fiables lorsqu'ils sont : obtenus de sources externes indépendantes de l'entité, recueillis directement par l'auditeur et  existent sous forme de documents (support papier, électronique ou autre). Par conséquent, les éléments probants obtenus directement par l’auditeur sous forme de confirmations externes sont généralement plus fiables que les éléments probants d'origine interne produits par l'entité.

Toutefois, la NCA 500 précise qu’en général, « les éléments probants sous forme de documents originaux sont plus fiables que les éléments probants sous forme de photocopies ou de fac-similés, ou que des documents numérisés ou autrement convertis sous forme électronique, la fiabilité de ceux-ci pouvant dépendre des contrôles portant sur leur préparation et leur mise à jour » (NCA 500.A31). La NCA 505, Confirmations externes, abonde dans le même sens : « les réponses transmises électroniquement, par exemple par télécopie ou par courrier électronique, comportent des risques quant à leur fiabilité, car il peut être difficile d'établir l'origine du document et l'autorité du répondant, ou de détecter les altérations. » (NCA 505.A12).

Il est donc possible d’utiliser des confirmations électroniques comme éléments probants, mais comme stipulé dans la NCA 500 au paragraphe A14,  l'auditeur doit déterminer s'il doit soit modifier ou ajouter des procédures pour dissiper des doutes sur la fiabilité des informations devant être utilisées comme éléments probants.

Divers moyens peuvent être utilisés pour valider la source de l'information électronique. La validation des adresses courriel des répondants et le chiffrement, qui consiste à apposer un code unique sur les demandes de confirmations à distribuer et s’assurer que la réponse obtenue directement du répondant comporte ce même code, est un exemple.  Par ailleurs, l'auditeur peut choisir de vérifier la source et le contenu d'une réponse à une demande de confirmation en communiquant avec le tiers. Par exemple, si le tiers répond par courrier électronique, l'auditeur peut lui téléphoner pour déterminer s'il est bel et bien la personne qui a envoyé la réponse. Si la réponse est transmise indirectement à l'auditeur (par exemple si le tiers l'a adressée à tort à l'entité et non à l'auditeur), l'auditeur peut demander au tiers de lui répondre directement par écrit.

L’utilisation d’un environnement sécurisé pour les réponses transmises électroniquement peut également atténuer ces risques. La fiabilité des réponses est accrue si l'auditeur est convaincu que ce processus est sécurisé et contrôlé de manière adéquate.  Si un système ou un processus facilitant les confirmations électroniques entre l’auditeur et le répondant est en place et que l’auditeur prévoit s’appuyer sur les contrôles à l'égard de ce système ou de ce processus, un rapport de services de certification (p. ex. Systrust) ou un autre rapport de certification sur ce système ou processus peut l’aider à évaluer la conception et l'efficacité de la mise en place des contrôles automatisés et manuels liés au système ou au processus. 

Il est donc impératif que l’auditeur se questionne sur la fiabilité des confirmations électroniques, qu’il mette en œuvre des procédés pour s’assurer de leur fiabilité et qu’il documente son dossier de façon à étayer sa conclusion.


Le groupe de travail technique en certification de l’Ordre des CPA du Québec

1.0.0.0