Compte-rendu des discussions du groupe de travail technique – Certification | Application de la NCA 315

Retourner à la recherche

Publié le


Les membres du groupe de travail technique – Certification de l’Ordre des comptables professionnels agréés du Québec (Ordre), ainsi que différents professionnels provenant de divers milieux ont tenu une rencontre spéciale pour discuter de certains enjeux soulevés quant à l’application de la NCA 315 Identification et évaluation des risques d'anomalies significatives. Afin de faire bénéficier l’ensemble des membres de leurs réflexions, leurs discussions à l’égard de diverses questions sont résumées ci-dessous. Ce compte-rendu présente des éléments de réflexion. Il ne traite pas de tous les sujets, de tous leurs aspects, ni des faits et circonstances propres à une entreprise. Soyez vigilant et référez-vous aux documents d’origine à jour avant de prendre une décision. 

Les groupes de travail de l’Ordre ont comme mandat, notamment, de recueillir et de canaliser le point de vue des praticiens exerçant en cabinet et de membres œuvrant dans les affaires, dans les services gouvernementaux et dans l’industrie ainsi que le point de vue d’autres personnes concernées œuvrant dans des domaines d’expertise connexes. 

L’Ordre agit seulement à titre de facilitateur et ce compte-rendu présente les points de vue exprimés parmi les membres ayant participé à ces discussions. Les commentaires formulés par les membres des groupes de travail ne font l’objet d’aucune sanction de l’Ordre. Ils n’engagent pas la responsabilité de celui-ci. Les éléments en encadrés ou crochets […] représentent des clarifications ou des précisions ajoutées par l’Ordre.

Voici un aperçu de certains éléments discutés.


Volet général

1) Lorsqu’un poste est « significatif, sans être important  », est-ce qu’un minimum de travail est requis? Si un travail minimum est nécessaire, quelles sont les assertions à tester?

[Avant de conclure que nous sommes en présence d’un poste « significatif, sans être important », il est crucial que l’auditeur réalise et documente une robuste appréciation du risque. Cette étape préliminaire est indispensable à l’identification et à la considération d’un poste qualifié de significatif seulement.

À la suite de leurs échanges, les membres du groupe de travail affirment tous qu’ils feront un certain travail sur ces postes. Toutefois, la nature du travail varie selon la méthodologie utilisée dans chaque cabinet, étant donné que la norme est moins directive sur ce sujet, mais tout en s’assurant de considérer les autres NCA pertinentes, notamment les NCA 500, 520 et 530.]

Comme il devrait s’agir d’une situation rare, certains membres mentionnent que les assertions ne seront pas systématiquement analysées. Voici des exemples de situations données par les membres : 

  • Un poste d’immobilisation, lorsque ce compte ne contient pas d’élément particulier (aucun ajout significatif durant l’année ni indice de dépréciation). 
  • Un poste de capitaux propres dont le montant est élevé, lorsque ce dernier ne contient pas de particularité en matière de rémunération à base d’action. 

Pour plusieurs membres, certaines procédures sur les postes « significatifs, sans être important » sont prévues dans leurs méthodologies. Un membre souligne également l’importance d’effectuer un travail minimum sur les informations à fournir par voie de note aux états financiers.

Certains membres mentionnent qu’aucune analyse ne sera faite au niveau des assertions, étant donné que le poste « significatif, sans être important » exclut par définition les assertions pertinentes. Conséquemment, les programmes de « sections » ne seront pas utilisés. Les tests seront effectués sur la base de « procédures additionnelles » [tout en suivant les exigences des NCA 500, 520 et 530]. 

Pour certains membres, les assertions visées par leurs procédures seront des assertions qui sont généralement testées pour le type de poste visé dans les situations où un risque serait identifié. Par exemple, pour un poste d’actif, l’existence sera testée et pour un passif ce sera l’exhaustivité, etc. 

Pour d’autres membres, les assertions testées seront les assertions qui sont généralement testées selon la nature du poste et selon le client.

[En résumé, tous les membres du groupe de travail affirment qu’ils feront un certain travail sur ces postes en conformité avec les paragraphes .18 et A.43 de la NCA 330 repris ci-dessous.]

NCA 330.18

Procédures de corroboration

18. Indépendamment de son évaluation des risques d'anomalies significatives, l'auditeur doit concevoir et mettre en œuvre des procédures de corroboration pour chaque catégorie d'opérations significative, solde de compte significatif et information à fournir significative

NCA 330.A43.  (…)

Cette exigence reflète le fait : a) que l'évaluation du risque par l'auditeur est affaire de jugement et ne permet pas nécessairement d'identifier tous les risques d'anomalies significatives, et b) qu'il existe des limites inhérentes aux contrôles, notamment la possibilité de leur contournement par la direction. 

2) Dans des situations autres que celles décrites à la question 1, est-il nécessaire de tester chacune des assertions? Comment devons-nous interpréter la NCA 330.A44? Quelles sont les assertions les plus pertinentes?

NCA 330.A44. « Il n'est pas obligatoire de tester toutes les assertions relatives à une catégorie d'opérations significative, à un solde de compte significatif ou à une information à fournir significative. Lors de la conception des procédures de corroboration à mettre en œuvre, la prise en compte des assertions pour lesquelles il y a une possibilité raisonnable qu'une anomalie, si elle venait à se produire, soit significative, peut aider l'auditeur à déterminer la nature, le calendrier et l'étendue qui conviennent pour les procédures à mettre en œuvre. »

Un membre mentionne que la NCA 315 met davantage l’accent sur la documentation de l’environnement et sur la connaissance approfondie du client. Une fois cette connaissance obtenue et les risques identifiés, l’application de la NCA 330.A44 permet un meilleur ciblage des assertions pertinentes et du travail à effectuer. Cela rend les audits plus efficients. Ultimement, le travail ne sera pas nécessairement moindre, mais il devrait être mieux ciblé. 

Tous les membres s’entendent sur le fait qu’il n’est pas obligatoire de tester toutes les assertions. Ils rappellent l’importance de la cohérence entre les assertions pertinentes identifiées et le travail réalisé ainsi que la nécessité de documenter les risques en amont. 

Volet informatique

3) En vertu des paragraphes 26 et A151 de la NCA 315, nous avons documenté les contrôles généraux informatiques (CGI) et nous concluons que leur conception est inefficace ou leur mise en place est inadéquate lors des tests. Nous désirons tester tout de même le fonctionnement efficace des contrôles informatiques. Quelles sont les implications pour le reste de notre approche d’audit? 

a. Est-il possible de tester les contrôles informatiques opérationnels (dans les applications (ref. NCA 315.26a)) en utilisant des échantillonnages de tests pour contrôles manuels? 
b. Devons-nous augmenter le niveau de risque (risque de contrôle au maximum)?
c. Pouvons-nous compenser avec des procédures de corroboration? Si oui, combien faut-il en faire pour compenser? 

Dépendamment de la nature des déficiences relevées, plusieurs membres mentionnent qu’il y a une possibilité selon leurs méthodologies de tester de façon manuelle les contrôles applicatifs quand les contrôles généraux sont jugés inefficaces. L’auditeur fera le même nombre d’itérations de tests que prévu dans un contrôle manuel. 

Un membre rappelle qu’il pourrait y avoir d’autres implications du fait que les contrôles généraux ne fonctionnent pas. Ces éléments devront être considérés. Une fois que ces éléments sont traités de façon suffisante, nous pouvons continuer de nous appuyer sur le contrôle informatique de l’application en testant de façon manuelle. 

Un autre membre ajoute que lorsque les CGI fonctionnent efficacement et qu’il s’agit d’un contrôle informatique, il est possible, dans certaines circonstances, de faire seulement un test, car ce contrôle est censé fonctionner de façon uniforme tout au long de la période. Conséquemment, l’augmentation de la taille de l’échantillonnage dans ce cas (CGI inadéquat et tests des contrôles dans les applications) serait une option. 

Un membre souligne que de façon générale, selon lui, il y a plusieurs enjeux relativement à des CGI inadéquats.

  • La norme manque un peu de clarté à ce niveau et cela soulève plusieurs questions dans la pratique. 
  • Quelle est la conséquence de l’absence de CGI dans un mandat? 
  • Est-ce qu’il y a de nouveaux risques découlant de l’informatique qui pourraient entrainer un nouveau risque inhérent?
  • Certaines situations sont plus évidentes. À titre d’exemple, les contrôles d’accès sont les plus faciles à traiter. S’il y a un problème lié à un changement dans le système, il est plus facile à cibler. 
  • Si l’environnement est hautement informatisé, les procédures de corroboration seules ne sont pas suffisantes. Dans de telles situations, il pourrait arriver que nous soyons contraints d’émettre une limitation sur l’étendue. 
  • Autre questionnement : lorsqu’il y a deux interfaces, est-ce qu’il y a de nouvelles responsabilités ou de nouvelles exigences qui vont plus loin que le paragraphe 26 de la NCA 315?

Le membre mentionne que l’ampleur des interventions des auditeurs peut devenir très large et variée concernant les contrôles TI, à contrario, un auditeur pourrait choisir de lire la norme dans sa plus simple expression.

4) Comment prévoyez-vous effectuer le travail nécessaire sur les écritures de journal?

Un membre mentionne que selon ses méthodes de travail, il y a des procédures qui ont été ajoutées pour chaque cycle en ce qui concerne le fonctionnement des écritures de journal, que les écritures soient faites par le système ou manuellement par le personnel. Cela est pris en compte dans chacun de ses questionnaires afférents.

Il est ensuite laissé au jugement du professionnel de tester la mise en œuvre de certains de ces contrôles ou de tous les contrôles. Le membre se questionne si, de manière théorique, les tests doivent porter sur la totalité ou sur une portion des écritures? Doit-on tester seulement les accès?

Ailleurs dans la documentation, une autre portion de ses questionnaires est liée aux écritures de journal non liées à des cycles, par exemple certaines écritures de régularisation ou de correction qui sont faites manuellement par une ressource à l’interne. La documentation de ces contrôles se fait séparément et des tests de mises en œuvre sont effectués. Présentement, les accès sont testés, des sélections d’écritures sont également faites et une validation des sauvegardes est effectuée. Dans certains environnements, ils envisagent de regarder des rapports d’exception, mais demeurent incertains sur cet aspect.

Un autre membre affirme qu’il proscrit la sélection au jugement dans son cabinet. Dans un seul document, les équipes documentent leurs compréhensions du fonctionnement des écritures manuelles et automatisées. Ensuite, la population d’écritures est scindée ou stratifiée selon des caractéristiques d’intérêt. À partir de ces caractéristiques, une sélection aléatoire en unité monétaire est faite avec une méthode statistique. Cela permet de faire une étendue sur les écritures qui ont vraiment de l’intérêt selon différentes caractéristiques (dates, qui a fait l’écriture, montant rond ou non, etc.). 

D’autres cabinets utilisent des logiciels d’analyse de données incluant des fonctions Excel préprogrammées. 

Un membre se questionne dans le cas où une personne au service comptable passe l’ensemble des ajustements comptables. Le contrôle peut être une revue des états financiers par le propriétaire à la fin du mois. Ce dernier ne va pas analyser chacune des écritures de façon indépendante. Comment arrive-t-on à modifier notre stratégie concernant les tests de conception, de mise en œuvre et les contrôles des écritures? Dans la situation décrite, il n’y a pas vraiment de contrôle. Il y a un contrôle compensatoire de haut niveau, mais il n’y a pas de contrôle direct sur les écritures. Ultimement, l’impact pourrait être sur l’échantillon d’écritures, dans son étendue, dans ses critères d’intérêt plus ou moins pointus et dans le nombre de caractéristiques. Conséquemment, on observerait une différence dans le travail pour une entreprise où les contrôles sont moins formels versus une entreprise dans laquelle il y aurait des contrôles très serrés sur les écritures, comme l’approbation à chacune des écritures par une équipe de plusieurs personnes. 

Un membre mentionne que l’enjeu ici n’est pas du point de vue théorique, mais qu’il est plutôt lié à la pratique. Le membre se questionne :

  • Est-ce que la norme englobe l’ensemble des écritures ou est-ce qu’on s’intéresse uniquement aux écritures de régularisation?
  • Selon le fonctionnement des systèmes informatiques, est-ce seulement une question d’accès ou il y a une question d’automatisation où le système crée des écritures? 

Il y a plusieurs couches de questionnements sous-jacentes à tout cela quand on arrive à la pratique

5) Dans le contexte de la NCA 315, à quel moment un spécialiste TI devient-il essentiel/obligatoire?

Un membre mentionne que dans le contexte de petits clients, il est possible que le CPA généraliste soit en mesure de tester lui-même les CGI. Les difficultés augmentent lorsque les applications sont connectées aux logiciels TI et que ces applications sont utilisées dans le traitement de données financières (ex. application de ventes en ligne, application de feuilles de temps, ou autres).

Un autre membre ajoute : 

  • Si les opérations du client sont simples, il y a une notion d’adaptabilité dans la norme (NCA 315). Il n’est pas nécessaire d’impliquer un expert TI dans tous les dossiers clients. 
  • Quand l’environnement informatique est relativement simple, un auditeur peut lui-même identifier les contrôles, comprendre les contrôles généraux informatiques et faire les tests de mises en place. 

Un autre membre affirme :

  • L’objectif est que les équipes d’audit soient en mesure d’identifier les applications pertinentes et les risques TI pertinents. Les éléments plus complexes pourront demander l’intervention d’un spécialiste TI.
  • Dans le cabinet de ce membre, un spécialiste TI a circulé de bureau en bureau afin d’augmenter la sensibilité et les connaissances TI et de rendre les diverses équipes plus autonomes dans tout ce qui est manuel et dans l’évaluation du risque TI lors des audits.

Pour les logiciels plus complexes (progiciel de gestion intégrée ou logiciel maison) un spécialiste pourrait être nécessaire. Il est important d’identifier le plus tôt possible, dans le processus de planification, la nécessité d’avoir recourt à cet expert, étant donné que cela aura des répercussions importantes sur le déroulement de l’audit.

6) Les ressources semblent limitées quant aux auditeurs informatiques pouvant desservir les cabinets. 

a. Avez-vous tenté d’obtenir les services d’experts TI externes?
b. Avez-vous rencontré des difficultés à obtenir les services d’experts TI externes?

Un membre, pratiquant dans un cabinet de taille moyenne, mentionne que ces ressources sont rares, coûtent très cher et qu’il n’a pas réussi à attirer ces ressources à son cabinet pour le moment. Le membre affirme également qu’il n’a pas les ressources à l’interne permettant de répondre à la norme TI, lorsque les systèmes sont complexes.

Un second membre, d’un cabinet de plus grande taille, affirme que pour répondre à ce défi, un spécialiste en TI formera des champions locaux qui feront partie des équipes d’audit. 

Considérant les ressources limitées en audit informatique, un membre ajoute que :

  • Les auditeurs financiers devraient préciser ce qu’ils s’attendent des auditeurs TI ainsi que la portée de leurs mandats. Si cela n’est pas clarifié, les experts TI ne souhaiteront pas rendre des services.
  • Il est important que les auditeurs comprennent et clarifient ce qu’ils demandent aux experts TI, ce qu’ils vont faire ainsi que les limites de ce qu’ils feront.
  • Il est nécessaire de définir des balises claires quant aux interventions des experts TI afin de s’assurer d’un minimum de constance entre les audits. À titre d’exemple, si un dossier devait passer d’un cabinet à un autre, est-ce que 80 % du travail serait fait de façon similaire?
  • Des outils de travail ou des formulaires TI aideraient beaucoup les praticiens (TI) à guider leurs travaux et leurs interventions. L’idée d’avoir une feuille de route de réflexion (un top down) aiderait certainement les auditeurs ainsi que les auditeurs TI. Cela permettrait de poser des questions plus détaillées, mais également d’avoir une discussion bonifiée entre le professionnel CPA et l’expert TI et faciliterait un alignement entre les deux. 

Ce membre ajoute que, pour avoir travaillé sur des déploiements de systèmes chez de multiples entrepreneurs de petite ou moyenne entité, le niveau de complexité augmente, peu importe la taille de l’entreprise. Un autre élément qu’il faut prendre en considération en termes de contrôles généraux est que nous axons beaucoup sur l’environnement interne de l’entreprise, mais nous oublions de considérer l’environnement externe ainsi que toutes ces menaces (menaces de cyberattaque qui peuvent aussi biaiser la donnée). Nous avons aujourd’hui des enjeux concernant les petites entreprises qui sont des cibles faciles étant donné le manque de fiabilité de leurs contrôles informatiques. Nous voyons de plus en plus de manipulation de données lors d’une cyberattaque. Il faut tenir compte de ce volet. C’est un monde qui est très complexe.

Concernant l’utilité de développer des listes de vérification pour aider les experts TI, un autre membre affirme :

  • Que des outils sont présentement disponibles (questionnaires/flow chart) via le guide des missions professionnelles.
  • Ce membre travaille avec les formulaires de ce guide. Ayant analysé et discuté avec ces experts TI à l’interne, il ne ressent pas de malaise à utiliser ses formulaires et conclus que ces outils répondent à la norme d’une manière adéquate.
  • Certaines modifications sont faites à l’occasion, mais il s’agit d’une bonne base sur lesquels s’appuyer. Par la suite, les experts TI le déclinent avec leurs compétences propres.

D’autres participants soutiennent ce point et utiliseront les formulaires et le matériel du Guide des missions professionnel. 

Ils soutiennent tous que l’enjeu vient de l’application de ce qu’on fait concrètement par la suite. 

  • Desjardins
  • La personnelle, assureur de groupe auto, habitation et entreprise
  • Vigilis

Nous joindre

5, Place Ville Marie, bureau 800, Montréal (Québec)  H3B 2G2 
www.cpaquebec.ca

 

Des questions? Faites appel à notre équipe >


Envie de mettre de l’Ordre dans votre carrière? Voyez les postes disponibles >

1.0.0.0