Académique Documents
Professionnel Documents
Culture Documents
TITRE 2 - Evaluation Des Risques
TITRE 2 - Evaluation Des Risques
TITRE 2
SOMMAIRE
INTRODUCTION
La Norme d’audit 2300 doit être lue conjointement avec la norme 1200, Objectifs généraux de l’auditeur
indépendant et réalisation d’un audit conforme aux Normes internationales.
• elle aide l’auditeur à porter une attention particulière aux aspects importants de l’audit;
• elle aide l’auditeur à identifier et à résoudre les problèmes potentiels en temps opportun;
• elle aide à choisir, pour constituer l’équipe de mission, des personnes dont les capacités et
la compétence sont d’un niveau approprié pour répondre aux risques prévus, et à
répartir adéquatement les travaux entre les membres de l’équipe;
• elle facilite, le cas échéant, la coordination des travaux effectués par les auditeurs des
composantes du groupe et par les experts.
Objectif
3. L’objectif de l’auditeur est de planifier l’audit afin qu’il soit réalisé de manière efficace.
Exigences
4. L’associé responsable de la mission et les autres membres clés de l’équipe de mission doivent
participer à la planification de l’audit, et notamment planifier les entretiens entre les membres
de l’équipe et y prendre part. (Réf. : par. A4)
Planification de l’audit
6. L’auditeur doit établir une stratégie générale d’audit définissant l’étendue, le calendrier et la
direction des travaux d’audit et devant servir de guide à l’élaboration du plan de mission.
8. L’auditeur doit élaborer un plan de mission, lequel doit comporter une description :
c) des autres procédures d’audit qu’il prévoit mettre en œuvre et qui sont
requises pour que la mission soit réalisée en conformité avec les normes
professionnelle d’audit. (Réf. : par. A12)
9. L’auditeur doit mettre à jour et modifier sa stratégie générale d’audit et le plan de mission, au
besoin, tout au long de l’audit. (Réf. : par. A13)
Documentation
b) le plan de mission;
Participation des membres clés de l’équipe de mission planification de l’audit permet de tirer profit de leur
A4. La participation de l’associé responsable de la mission expérience et de leurs connaissances, et d’accroître ainsi
et des autres membres clés de l’équipe de mission à la l’efficacité et l’efficience du processus de planification.
Activités préliminaires à la planification de la mission • il n’y a pas de malentendu avec le client quant aux termes
A5. Le fait d’effectuer au début de la mission d’audit les et conditions de la mission.
activités préliminaires à la planification qui sont précisées A7. Le maintien de la relation client et le respect des règles
au paragraphe 5 aide l’auditeur à identifier et à évaluer les de déontologie pertinentes, y compris celles ayant trait à
événements ou circonstances susceptibles d’avoir une l’indépendance, sont des points auxquels l’auditeur reste
incidence négative sur sa capacité de planifier et de réaliser attentif tout au long de la mission d’audit, à mesure
la mission. qu’apparaissent de nouvelles conditions ou qu’évoluent les
A6. Ces activités préliminaires permettent notamment à circonstances. Du fait que les procédures initiales relatives
l’auditeur de s’assurer que la mission d’audit à planifier en au maintien de la mission d’audit et à l’évaluation du
est une pour laquelle : respect des règles de déontologie pertinentes (y compris
• il conserve l’indépendance et les capacités nécessaires à celles ayant trait à l’indépendance) sont mises en œuvre au
la réalisation de la mission; début de la mission, elles sont achevées avant que soient
• l’intégrité de la direction ne soulève pas de questions effectuées les autres activités importantes de la mission
susceptibles d’amener l’auditeur à ne pas souhaiter le d’audit en cours. Dans le cas des audits récurrents, ces
maintien de la mission; procédures préliminaires sont souvent mises en œuvre peu
de temps après (ou à l’occasion de) l’achèvement de l’audit
précédent.
Planification de l’audit La planification de ces procédures se poursuit tout au long
La stratégie générale d’audit de l’audit, à mesure que s’élabore le plan de mission. Ainsi,
A8. L’établissement de la stratégie générale d’audit aide la planification des procédures d’évaluation des risques à
notamment l’auditeur à prévoir, sous réserve des résultats mettre en œuvre par l’auditeur survient tôt dans le
de ses procédures d’évaluation des risques : processus d’audit, mais la planification de la nature, du
• les ressources à déployer pour des aspects particuliers de calendrier et de l’étendue de certaines procédures d’audit
l’audit, par exemple le recours aux membres de l’équipe complémentaires dépend du résultat de l’application de ces
ayant une expérience appropriée pour les aspects présentant procédures d’évaluation des risques. Par ailleurs, l’auditeur
un risque élevé ou le recours à des experts pour les peut commencer la mise en œuvre de procédures d’audit
questions complexes; complémentaires pour certaines catégories d’opérations,
• le volume des ressources à affecter à des aspects certains soldes de comptes et certaines informations
particuliers de l’audit, par exemple le nombre de membres fournies dans les états financiers avant de planifier
de l’équipe qui seront présents à la prise d’inventaire l’ensemble des autres procédures d’audit complémentaires.
physique des établissements significatifs, l’étendue de la Modification au cours de l’audit des décisions prises lors
revue du travail des autres auditeurs dans le cas d’un audit de la planification
de groupe, ou la part du budget d’heures allouée pour les A13. Des événements inattendus, des changements de
aspects présentant un risque élevé; circonstances ou des éléments probants recueillis lors de la
• quand ces ressources seront déployées, par exemple dans mise en œuvre des procédures d’audit peuvent amener
le cadre des travaux d’audit anticipés ou aux principales l’auditeur à modifier, en fonction de son évaluation révisée
dates de coupure; des risques, la stratégie générale d’audit et le plan de
• la façon dont ces ressources seront gérées, dirigées et mission et, par voie de conséquence, la nature, le calendrier
supervisées (par exemple, les dates auxquelles se tiendront et l’étendue des procédures d’audit complémentaires. Ce
les réunions préparatoires de l’équipe ainsi que les réunions peut être le cas lorsque l’auditeur prend connaissance
de compte rendu de mission), la manière dont se fera la d’informations qui diffèrent de manière importante de
revue des dossiers par l’associé responsable de la mission celles dont il disposait lors de la planification des
et le directeur de mission (par exemple, chez le client ou procédures d’audit. Par exemple, des éléments probants
ailleurs), et si des revues de contrôle qualité de la mission recueillis lors de l’application des procédures de
sont nécessaires. corroboration peuvent contredire ceux recueillis lors des
A9. Des exemples d’éléments à prendre en considération tests des contrôles.
dans l’établissement de la stratégie générale d’audit sont Direction, supervision et revue)
fournis en annexe. A14. La nature, le calendrier et l’étendue de la direction et
A10. Une fois établie la stratégie générale d’audit, il est de la supervision des membres de l’équipe de mission, ainsi
possible d’élaborer un plan de mission détaillé répondant que de la revue de leurs travaux, varient en fonction de
aux divers éléments identifiés dans la stratégie générale nombreux facteurs, dont les suivants :
d’audit et tenant compte de la nécessité d’atteindre les • la taille et la complexité de l’entité;
objectifs de l’audit par l’utilisation efficiente des ressources • le volet de l’audit en cause;
dont dispose l’auditeur. La stratégie générale d’audit et le • le résultat de l’évaluation des risques d’anomalies
plan de mission détaillé ne résultent pas nécessairement de significatives (par exemple, une révision à la hausse du
processus distincts ou consécutifs, mais sont étroitement risque d’anomalies significatives pour un aspect donné de
liés dans la mesure où des changements dans l’un peuvent l’audit nécessite ordinairement une augmentation de
entraîner de façon corrélative des changements dans l’étendue et de la fréquence de la direction et de la
l’autre. supervision des membres de l’équipe de mission et une
Considérations propres aux petites entités revue plus détaillée de leurs travaux);
A11. Dans le cas des petites entités, l’ensemble de l’audit • les capacités et la compétence de chaque membre de
peut être réalisé par une équipe de mission très réduite. De l’équipe effectuant les travaux d’audit.
nombreux audits de petites entités sont menés par l’associé La norme 1220 donne de plus amples précisions sur la
responsable de la mission (qui peut être un professionnel direction, la supervision et la revue des travaux d’audit.
exerçant à titre individuel) avec un seul collaborateur (ou Considérations propres aux petites entités
sans collaborateur). La taille réduite de l’équipe facilite la A15. Si l’audit est réalisé entièrement par l’associé
coordination et la communication entre les membres. responsable de la mission, les questions concernant la
L’établissement de la stratégie générale d’audit pour une direction et la supervision des membres de l’équipe de
petite entité n’est donc pas nécessairement un exercice mission et la revue de leurs travaux ne se posent pas.
complexe ou exigeant beaucoup de temps; tout dépend de L’associé responsable de la mission est alors à même de
la taille de l’entité, de la complexité de l’audit et de la taille connaître tous les problèmes importants, ayant lui-même
de l’équipe de mission. Par exemple, un bref mémorandum réalisé tous les aspects de l’audit. Se faire une opinion
préparé à la fin de l’audit précédent sur la base d’une revue objective sur la validité des jugements portés au cours de
des dossiers de travail, et faisant ressortir les points l’audit peut cependant présenter des problèmes pratiques
importants constatés lors de cet audit, mis à jour pour la lorsqu’une même personne effectue tout le travail. Si des
mission d’audit en cours sur la base des entretiens avec le questions particulièrement complexes ou inhabituelles se
propriétaire-dirigeant, peut servir comme documentation de présentent et que l’audit est mené par un professionnel
la stratégie d’audit s’il couvre les éléments indiqués au exerçant à titre individuel, il peut donc être souhaitable que
paragraphe 7. celui-ci prévoie consulter d’autres auditeurs possédant une
Le plan de mission expérience adéquate ou le corps professionnel dont il est
A12. Le plan de mission est plus détaillé que la stratégie membre.
générale d’audit en ce qu’il indique la nature, le calendrier
et l’étendue des procédures d’audit que les membres de
l’équipe de mission seront appelés à mettre en œuvre.
Documentation A18. La documentation des modifications importantes
A16. La documentation de la stratégie générale d’audit apportées à la stratégie générale d’audit et au plan de
porte sur les décisions clés qui ont été considérées comme mission ainsi que des modifications corrélatives apportées à
nécessaires pour planifier correctement l’audit et pour la nature, au calendrier et à l’étendue des procédures
communiquer les questions importantes à l’équipe de d’audit indique les raisons de ces modifications ainsi que la
mission. L’auditeur peut, par exemple, résumer la stratégie stratégie générale et le plan de mission finalement adoptés.
générale d’audit dans un mémorandum qui mentionne les Elle montre aussi le caractère approprié de la réponse
décisions clés concernant l’étendue, le calendrier et la apportée aux changements importants survenus au cours de
conduite de l’ensemble de l’audit. l’audit.
A17. La documentation du plan de mission porte sur la Considérations propres aux petites entités
nature, le calendrier et l’étendue prévus des procédures A19. Comme il est indiqué au paragraphe A11, un bref
d’évaluation des risques et des procédures d’audit mémorandum au dossier est parfois suffisant pour
complémentaires au niveau des assertions en réponse à consigner la stratégie d’audit dans le cas d’une petite entité.
l’évaluation des risques. Elle permet également de montrer Pour ce qui concerne le plan de mission, il est possible
que les procédures d’audit ont été planifiées correctement, d’utiliser des programmes d’audit standard ou des listes de
puis de les passer en revue et de les approuver avant leur contrôle standard (voir le paragraphe A17) conçus en
mise en œuvre. L’auditeur peut utiliser des programmes supposant que les activités de contrôle pertinentes sont peu
d’audit standard ou des listes de contrôle standard, adaptés nombreuses — comme c’est vraisemblablement le cas dans
au besoin en fonction des circonstances propres à la une petite entité — pourvu qu’ils soient adaptés aux
mission. circonstances de la mission, notamment au résultat de
l’évaluation des risques par l’auditeur.
Éléments additionnels à prendre en considération dans • les problèmes importants (y compris ceux portant sur
le cas d’un audit initial l’application des principes comptables ou des normes
A20. Qu’il s’agisse d’une mission initiale ou récurrente, d’audit et de rapport) ayant fait l’objet d’entretiens avec la
l’objet et le but de la planification de l’audit sont les direction lorsque l’auditeur a été choisi, la communication
mêmes. Cependant, dans le cas d’un audit initial, il se peut de ces problèmes aux responsables de la gouvernance et
que l’auditeur ait besoin d’étendre les activités de leur incidence sur la stratégie générale d’audit et le plan de
planification du fait qu’il n’a généralement pas acquis mission;
auprès de l’entité l’expérience antérieure que l’on prend en • les procédures d’audit nécessaires pour obtenir des
considération lors de la planification d’une mission éléments probants suffisants et appropriés concernant les
récurrente. Dans le cas d’un audit initial, voici des points soldes d’ouverture;
additionnels dont l’auditeur peut tenir compte dans • les autres procédures requises par le système de contrôle
l’établissement de la stratégie générale d’audit et du plan de qualité du cabinet dans le cas d’une mission d’audit initiale
mission : (par exemple, le système de contrôle qualité du cabinet
• les accords à intervenir avec l’auditeur précédent, par peut exiger qu’un autre associé ou une personne
exemple pour revoir ses dossiers de travail, à moins que les d’expérience passe en revue la stratégie générale d’audit
textes légaux ou réglementaires ne l’interdisent; avant que des procédures d’audit importantes soient
entreprises, ou les rapports avant qu’ils soient délivrés).
La Norme d’audit 2315 doit être lue conjointement avec la norme 1200, Objectifs généraux de l’auditeur
indépendant et réalisation d’un audit conforme aux Normes internationales.
Objectif
2. L’objectif de l’auditeur est d’acquérir une compréhension de l’entité et de son environnement,
y compris de son contrôle interne, afin d’identifier et d’évaluer les risques d’anomalies
significatives, que celles-ci résultent de fraudes ou d’erreurs, aux niveaux des états financiers
et des assertions, et de disposer ainsi d’une base pour concevoir et mettre en œuvre des
réponses à son évaluation des risques d’anomalies significatives.
Définitions
3. Dans les normes d’audit, on entend par :
Exigences
Procédures d’évaluation des risques et activités connexes
4. L’auditeur doit mettre en œuvre des procédures d’évaluation des risques dont les résultats
lui serviront de base pour l’identification et l’évaluation des risques d’anomalies
significatives aux niveaux des états financiers et des assertions. Les procédures d’évaluation
des risques ne fournissent toutefois pas à elles seules des éléments probants suffisants et
appropriés pour fonder l’opinion d’audit. (Réf. : par. A1 à A5)
6. L’auditeur doit se demander si les informations obtenues dans le cadre de son processus
d’acceptation ou de maintien de la relation client sont pertinentes aux fins de l’identification
des risques d’anomalies significatives.
8. Dans les cas où l’auditeur a l’intention d’utiliser des informations obtenues grâce à son
expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures d’audit
au cours des audits antérieurs, il doit déterminer s’il est survenu des changements
susceptibles d’affecter la pertinence de ces informations pour l’audit en cours. (Réf. : par. A19
et A20)
9. L’associé responsable de la mission et les autres membres clés de l’équipe de mission doivent
s’entretenir des possibilités d’anomalies significatives dans les états financiers de l’entité,
ainsi que de l’application du référentiel d’information financière applicable au regard des
faits et circonstances propres à l’entité. L’associé responsable de la mission doit déterminer
les points qui sont à communiquer aux membres de l’équipe n’ayant pas participé aux
entretiens. (Réf. : par. A21 à A23)
contrôle interne
pour pouvoir comprendre les catégories d’opérations, les soldes de comptes et les
informations qu’il s’attend à trouver dans les états financiers; (Réf. : par. A30 à A34)
d) des objectifs et des stratégies de l’entité ainsi que des risques d’entreprise
connexes pouvant donner lieu à des anomalies significatives dans les états
financiers; (Réf. : par. A36 à A42)
11. L’auditeur doit acquérir une compréhension des aspects du contrôle interne pertinents pour
l’audit. Bien qu’il y ait des chances que la plupart des contrôles pertinents pour l’audit
concernent l’information financière, ce ne sont pas tous les contrôles liés à l’information
financière qui sont pertinents pour l’audit. L’auditeur exerce son jugement professionnel
pour déterminer si un contrôle, seul ou en association avec d’autres, est pertinent pour
l’audit. (Réf. : par. A49 à A72)
12. Lors de l’acquisition d’une compréhension des contrôles pertinents pour l’audit, l’auditeur
doit évaluer la conception de ces contrôles et déterminer s’ils ont été mis en place, en
associant d’autres procédures à ses demandes d’informations auprès du personnel de l’entité.
(Réf. : par. A73 à A75)
Environnement de contrôle
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
128
13. L’auditeur doit acquérir une compréhension de l’environnement de contrôle. Pour ce faire, il
doit notamment évaluer :
d) décider des mesures à prendre en réponse à ces risques. (Réf. : par. A87)
15. Lorsque l’entité a établi un tel processus (ci-après appelé «processus d’évaluation des risques
par l’entité»), l’auditeur doit acquérir une compréhension du processus et de ses résultats. Si
l’auditeur identifie des risques d’anomalies significatives que la direction n’a pas identifiés, il
doit s’interroger sur l’existence d’un risque sous-jacent qui, selon lui, aurait normalement dû
être identifié dans le cadre du processus d’évaluation des risques par l’entité. Le cas échéant,
l’auditeur doit comprendre pourquoi le risque n’a pu être identifié, et apprécier si le
processus est bien adapté à la situation de l’entité ou déterminer s’il existe une déficience
importante du contrôle interne en ce qui concerne le processus d’évaluation des risques par
l’entité.
16. Lorsque l’entité n’a pas établi un tel processus ou qu’elle dispose d’un processus ad hoc,
l’auditeur doit s’entretenir avec la direction pour savoir si les risques d’entreprise à prendre
en considération au regard des objectifs de l’information financière ont été identifiés et
quelles mesures ont été prises en réponse à ces risques. L’auditeur doit apprécier si l’absence
de processus documenté d’évaluation des risques est appropriée dans les circonstances ou
représente une déficience importante du contrôle interne. (Réf. : par. A88)
Système d’information (y compris les processus opérationnels connexes) pertinent pour l’information
financière, et communication
17. L’auditeur doit acquérir une compréhension du système d’information (y compris les
processus opérationnels connexes) pertinent pour l’information financière, en ce qui concerne
notamment :
b) les procédures suivies, tant dans les systèmes informatisés que dans les
systèmes manuels, pour le déclenchement, l’enregistrement, le traitement,
la correction au besoin, le report au grand livre général et la
communication de ces opérations dans les états financiers;
f) les contrôles afférents aux écritures de journal, y compris les écritures non
courantes servant à constater les opérations ou ajustements non récurrents
ou inhabituels. (Réf. : par. A89 à A93)
18. L’auditeur doit acquérir une compréhension de la façon dont l’entité communique
l’information concernant les rôles et les responsabilités en matière d’information financière et
les éléments importants liés à l’information financière, y compris : (Réf. : par. A94 et A95)
19. L’auditeur doit acquérir une compréhension des activités de contrôle pertinentes pour
l’audit, soit celles qu’il juge nécessaire de comprendre pour évaluer les risques d’anomalies
significatives au niveau des assertions et concevoir des procédures d’audit complémentaires
en réponse à son évaluation des risques. L’audit n’exige pas une compréhension de toutes les
activités de contrôle relatives à chaque catégorie d’opérations ou solde de compte importants,
à chaque information importante à fournir dans les états financiers, ou à chacune des
assertions y afférentes. (Réf. : par. A96 à A102)
20. Pour comprendre les activités de contrôle de l’entité, l’auditeur doit acquérir une
compréhension de la façon dont l’entité a répondu aux risques liés à l’informatique. (Réf. :
par. A103 à A105)
21. L’auditeur doit acquérir une compréhension des principaux moyens utilisés par l’entité pour
faire le suivi du contrôle interne portant sur l’information financière, notamment ceux qui ont
trait aux activités de contrôle pertinentes pour l’audit, ainsi qu’une compréhension de la
façon dont procède l’entité pour apporter des mesures correctives aux déficiences de ses
contrôles. (Réf. : par. A106 à A108)
22. Si l’entité a une fonction d’audit interne, l’auditeur doit acquérir une compréhension de la
nature des responsabilités de la fonction d’audit interne, de son statut au sein de
l’organisation et des activités qu’elle a mises ou qu’elle mettra en œuvre. (Réf. : par. A109 à
A116)
23. L’auditeur doit acquérir une compréhension des sources de l’information utilisée dans le
cadre des activités de suivi de l’entité, et des raisons pour lesquelles la direction juge que
cette information est suffisamment fiable. (Réf.: par. A117)
afin de disposer d’une base pour la conception et la mise en œuvre des procédures d’audit
complémentaires.
c) faire un lien entre les risques identifiés et les problèmes pouvant survenir
au niveau des assertions, en tenant compte des contrôles pertinents qu’il a
l’intention de tester; (Réf. : par. A129 à A131)
26. Dans le cadre de l’évaluation des risques décrite au paragraphe 23, l’auditeur doit déterminer
si l’un ou l’autre des risques identifiés constitue, selon son jugement, un risque important. En
exerçant son jugement, l’auditeur doit faire abstraction des effets des contrôles qu’il a
identifiés relativement au risque.
27. Lorsqu’il exerce son jugement pour déterminer quels sont les risques importants, l’auditeur
doit à tout le moins examiner :
d) si le risque est associé à des opérations importantes avec des parties liées;
f) si le risque est associé à des opérations importantes qui ont été conclues
hors du cadre normal des activités de l’entité, ou qui semblent par ailleurs
inhabituelles. (Réf. : par. A132 à A136)
28. Si l’auditeur a déterminé qu’il existe un risque important, il doit acquérir une compréhension
des contrôles de l’entité, y compris des activités de contrôle, pertinents par rapport à ce
risque. (Réf. : par. A137 à A139)
Risques pour lesquels les procédures de corroboration seules ne peuvent fournir des éléments probants
suffisants et appropriés
29. Pour certains risques, il se peut que l’auditeur juge qu’il n’est pas possible ou faisable en
pratique d’obtenir des éléments probants suffisants et appropriés au moyen de procédures de
corroboration seulement. De tels risques peuvent être liés à l’enregistrement inexact ou
erroné de catégories courantes et importantes d’opérations ou de soldes de comptes, dont les
caractéristiques permettent souvent un traitement hautement automatisé nécessitant peu ou
pas d’intervention manuelle. Les contrôles de l’entité à l’égard de ces risques étant alors
pertinents pour l’audit, l’auditeur doit en acquérir une compréhension. (Réf. : par. A140 à
A142)
Révision de l’évaluation des risques
30. L’évaluation par l’auditeur des risques d’anomalies significatives au niveau des assertions
peut évoluer au cours de l’audit à mesure qu’il obtient des éléments probants additionnels.
Dans les circonstances où l’auditeur obtient des éléments probants par suite de l’application
de procédures d’audit complémentaires, ou lorsqu’il obtient de nouvelles informations, et
que ces éléments probants ou ces informations sont incohérents avec les éléments probants
sur lesquels il s’est fondé pour procéder à son évaluation initiale, il doit réviser cette
évaluation et modifier en conséquence les procédures d’audit complémentaires prévues. (Réf.
: par. A143)
Documentation
d) les risques identifiés et les contrôles y afférents dont l’auditeur a acquis une
compréhension conformément aux exigences des paragraphes 25 à 28.
(Réf.: par. A144 à A147)
significatives résultant de fraudes. préliminaire des états financiers de l’entité sera disponible.
A5. L’auditeur est tenu de mettre en œuvre l’ensemble des
procédures d’évaluation des risques décrites au paragraphe Observations physiques et inspections
5 dans le cadre de l’acquisition du niveau de A18. Des observations physiques et des inspections
compréhension requis (voir les paragraphes 10 à 23), mais peuvent confirmer les informations recueillies auprès de la
il n’est pas tenu de mettre toutes ces procédures en œuvre direction ou d’autres personnes, et fournir également des
pour chacun des aspects de cette compréhension. D’autres informations sur l’entité et son environnement. Ces
procédures peuvent être mises en œuvre lorsque les observations physiques et inspections peuvent notamment
informations qu’elles permettent d’obtenir sont porter sur :
susceptibles d’être utiles pour l’identification des risques • les activités de l’entité;
d’anomalies significatives. Voici des exemples de telles • des documents (tels que les plans d’affaires et les
procédures : stratégies), les livres comptables et les manuels de contrôle
• examen des informations provenant de sources externes, interne;
notamment les revues de commerce ou d’économie, les • les rapports produits par la direction (par exemple, les
rapports rédigés par des analystes, des banques ou des rapports de gestion trimestriels et les états financiers
agences de notation, ou les publications réglementaires ou intermédiaires) et par les responsables de la gouvernance
financières; (par exemple, les procès-verbaux des réunions du conseil
• demandes d’informations auprès du conseiller juridique d’administration);
externe de l’entité ou des experts en évaluation auxquels • les établissements et les installations de production de
l’entité a fait appel. l’entité.
Niveau requis de compréhension de l’entité et de son A70. Le contrôle interne mis en place pour protéger les
environnement, y compris de son contrôle interne actifs en empêchant les acquisitions, les utilisations ou les
L’entité et son environnement cessions non autorisées peut comprendre des contrôles liés
Facteurs sectoriels à la fois aux objectifs en matière d’information financière
Facteurs sectoriels et d’exploitation. Lorsqu’il prend ces contrôles en
A24. Les facteurs sectoriels pertinents comprennent les considération, l’auditeur ne tient généralement compte que
conditions du secteur, dont la concurrence, les relations de ceux qui sont pertinents pour la fiabilité de l’information
avec les fournisseurs et les clients, ainsi que les financière.
développements technologiques. Voici des exemples A71. Les entités mettent généralement en place des
d’éléments dont l’auditeur peut tenir compte : contrôles qui sont liés à des objectifs non pertinents pour
• le marché et la concurrence, y compris la demande, la l’audit, et qui ne sont donc pas à prendre en considération.
capacité de production et la concurrence par les prix; Ainsi, une entité peut s’appuyer sur un système sophistiqué
• les activités cycliques ou saisonnières; de contrôles automatisés pour optimiser son efficience et
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
136
• la technologie des produits de l’entité; son efficacité opérationnelles (par exemple, le système de
• l’approvisionnement énergétique et le coût de l’énergie. contrôles automatisés qu’une compagnie aérienne utilise
A25. Le secteur dans lequel l’entité exerce ses activités pour s’assurer du respect de ses horaires de vols), mais de
peut générer des risques spécifiques d’anomalies tels contrôles ne sont généralement pas pertinents pour
significatives en raison de la nature même des activités ou l’audit. De plus, même si le contrôle interne s’applique à
du niveau de réglementation. Par exemple, certains contrats l’entité dans son ensemble et, partant, à chacune de ses
à long terme peuvent nécessiter des estimations importantes unités d’exploitation ou chacun de ses processus
des produits et des charges qui engendrent des risques opérationnels, une compréhension du contrôle interne
d’anomalies significatives. Dans ce cas, il importe que relatif à chacune des unités d’exploitation et à chacun des
l’équipe de mission compte des membres possédant des processus opérationnels de l’entité peut s’avérer non
connaissances et une expérience pertinentes et suffisantes. pertinente pour l’audit.
Cette compréhension est utile pour déterminer si les gouvernance et de direction, ainsi que l’attitude, le degré de
opérations avec des parties liées ont été dûment identifiées sensibilisation et les actions des responsables de la
et comptabilisées. La norme 3550 définit des exigences et gouvernance et de la direction à l’égard du contrôle interne
fournit des indications sur les éléments à prendre en compte et de son importance dans l’entité. L’environnement de
par l’auditeur en ce qui concerne les parties liées. contrôle donne le ton à l’organisation, et contribue à en
A31. Voici des exemples d’éléments dont l’auditeur peut conscientiser les membres sur l’importance du contrôle.
tenir compte dans l’acquisition d’une compréhension de la A77. Lors de l’acquisition d’une compréhension de
nature de l’entité : l’environnement de contrôle, il peut être pertinent de
• Activités de l’entreprise : prendre en considération les éléments suivants :
o nature des sources de revenus, des produits ou services, et a) transmission et respect de valeurs d’intégrité et d’éthique
des marchés, y compris le recours au commerce — il s’agit d’éléments essentiels qui influent sur l’efficacité
électronique, notamment les ventes et les activités de de la conception, de la gestion et du suivi des contrôles;
marketing sur Internet; b) importance attachée à la compétence — par exemple la
o conduite des activités (par exemple, phases et méthodes prise en considération par la direction des niveaux de
de production ou activités exposées à des risques compétence requis pour des postes particuliers et la
environnementaux); manière dont ces niveaux correspondent aux aptitudes et
o alliances, coentreprises et sous-traitances ou aux connaissances exigées;
externalisations; c) participation des responsables de la gouvernance — les
o dispersion géographique et segmentation sectorielle; caractéristiques des responsables de la gouvernance,
o emplacement des installations de production, des notamment :
entrepôts et des bureaux, emplacement et quantités des • leur indépendance par rapport à la direction,
stocks; • leur expérience et leur envergure,
o principaux clients et fournisseurs importants de biens et • l’étendue de leur engagement et de l’information qui leur
de services, conditions d’emploi (y compris l’existence de est communiquée, ainsi que leur surveillance étroite des
conventions collectives, de régimes de pensions et d’autres activités,
avantages postérieurs à l’emploi, de plans d’options sur • le caractère approprié de leurs actions, y compris la
actions ou primes de rendement, ainsi que la mesure dans laquelle des questions difficiles sont soulevées
réglementation des pouvoirs publics en matière de travail); et suivies avec la direction, et leur interaction avec les
o activités et frais de recherche et développement; auditeurs internes et externes;
o opérations avec des parties liées. d) philosophie et style de gestion de la direction — les
• Investissements et activités d’investissement : caractéristiques de la direction, notamment :
o acquisitions ou cessions envisagées ou réalisées • son approche dans la prise et la gestion des risques
récemment; d’entreprise,
o achats et cessions de valeurs mobilières et de prêts; • son attitude et ses décisions à l’égard de l’information
o dépenses en immobilisations; financière,
o participations dans des entités non consolidées, y compris • son attitude à l’égard du traitement de l’information, ainsi
dans des sociétés de personnes, des coentreprises et des que de la fonction comptable et de son personnel;
entités ad hoc. e) structure organisationnelle — le cadre dans lequel sont
• Financement et activités de financement : planifiées, exécutées, contrôlées et analysées les activités
o principales filiales et entités associées, y compris les de l’entité visant la réalisation de ses objectifs;
structures consolidées et non consolidées; f) délégation de pouvoirs et de responsabilités — par
o structure de la dette et termes et conditions y afférents, y exemple la façon dont sont délégués les pouvoirs et les
compris les opérations de financement hors bilan et les responsabilités concernant les activités opérationnelles et la
opérations de crédit-bail; manière dont sont établis les liens hiérarchiques et les
o propriétaires réels (nationaux, étrangers, réputation et niveaux décisionnels;
expérience en affaires) et parties liées; g) politiques et pratiques en matière de ressources
o utilisation d’instruments financiers dérivés. humaines — les politiques et pratiques concernant, par
• Information financière : exemple, le recrutement, l’accueil, la formation,
o principes comptables et pratiques sectorielles spécifiques, l’évaluation, l’aide aux employés, l’avancement, la
y compris les catégories importantes propres au secteur rémunération et les mesures correctives.
d’activité (par exemple, prêts et placements dans le cas des
banques, ou recherche et développement dans le cas des Éléments probants concernant les éléments de
sociétés pharmaceutiques); l’environnement de contrôle
o pratiques en matière de constatation des produits; A78. Des éléments probants pertinents peuvent être
o comptabilisation des justes valeurs; obtenus en associant les demandes d’informations à
o actifs, passifs et opérations libellés en devises; d’autres procédures d’évaluation des risques, par exemple
o comptabilisation des opérations inhabituelles ou en corroborant des informations reçues par l’observation ou
complexes, y compris celles conclues dans des domaines par l’inspection de documents. Ainsi, l’auditeur peut, lors
controversés ou nouveaux (par exemple, comptabilisation d’entretiens menés avec la direction et le personnel,
des rémunérations fondées sur des actions). acquérir une compréhension de la façon dont la direction
A32. Des changements importants survenus dans l’entité communique au personnel sa vision de la conduite des
par rapport aux périodes antérieures peuvent engendrer, ou affaires et du comportement éthique. Il peut ensuite
modifier, certains risques d’anomalies significatives. déterminer si des contrôles pertinents ont été mis en place
Nature des entités ad hoc en évaluant, par exemple, si la direction a établi un code de
A33. Une entité ad hoc (parfois désignée par l’expression bonne conduite écrit et si elle agit de manière à en favoriser
«structure d’accueil») est une entité qui est généralement le respect.
créée dans un but circonscrit et bien défini, par exemple A79. L’auditeur peut également tenir compte des mesures
effectuer une location, une titrisation d’actifs financiers ou prises par la direction à l’égard des constatations et des
des activités de recherche et développement. Elle peut recommandations de la fonction d’audit interne concernant
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
138
prendre la forme d’une société de capitaux, d’une fiducie, des déficiences du contrôle interne qui ont été relevées et
d’une société de personnes ou d’une entité sans sont pertinentes pour l’audit, et notamment se demander si
personnalité morale. L’entité pour le compte de laquelle et comment ces mesures ont été mises en œuvre, et si elles
l’entité ad hoc a été créée peut souvent lui transférer des ont été par la suite évaluées par la fonction d’audit interne.
actifs (dans le cadre d’une opération de décomptabilisation
impliquant des actifs financiers, par exemple), obtenir le Incidence de l’environnement de contrôle sur l’évaluation
droit d’en utiliser les actifs ou lui fournir des services, des risques d’anomalies significatives
tandis que d’autres parties peuvent assurer le financement A80. Certains éléments de l’environnement de contrôle de
de l’entité ad hoc. Comme le précise la norme 3550, dans l’entité ont un effet généralisé sur l’évaluation des risques
certaines circonstances, il peut arriver qu’une entité ad hoc d’anomalies significatives. Par exemple, le degré de
constitue une partie liée à l’entité. sensibilisation de l’entité à l’importance du contrôle est
A34. Les référentiels d’information financière prévoient grandement influencée par les responsables de la
souvent des conditions détaillées qui sont réputées gouvernance, parce que l’un de leurs rôles consiste à faire
équivaloir au contrôle, ou les circonstances où une entité ad contrepoids aux pressions qui peuvent être exercées sur la
hoc doit être prise en compte dans la consolidation. direction, en rapport avec l’information financière, en
L’interprétation des exigences de ces référentiels nécessite raison des exigences du marché ou des modes de
souvent de connaître le détail des ententes pertinentes rémunération. L’efficacité de la conception de
concernant l’entité ad hoc. l’environnement de contrôle, pour ce qui concerne la
participation des responsables de la gouvernance, est donc
Choix et application des méthodes comptables de l’entité influencée par des facteurs tels que :
• leur indépendance par rapport à la direction et leur
A35. La compréhension du choix et de l’application des capacité d’évaluer les actions de la direction;
méthodes comptables de l’entité passe notamment par la • leur compréhension des opérations commerciales de
prise de connaissance : l’entité;
• des méthodes utilisées par l’entité pour comptabiliser les • la mesure dans laquelle ils évaluent si les états financiers
opérations importantes et inhabituelles; sont préparés conformément au référentiel d’information
• de l’incidence des méthodes comptables importantes dans financière applicable.
des domaines controversés ou nouveaux pour lesquels il A81. Un conseil d’administration actif et indépendant peut
n’existe pas de règles faisant autorité ou consensus; influencer la philosophie et le style de gestion de la haute
• des changements dans les méthodes comptables de direction. D’autres éléments peuvent toutefois avoir un
l’entité; effet plus limité. Par exemple, même si des politiques et
• des normes et des textes légaux et réglementaires qui sont pratiques en matière de ressources humaines visant le
nouveaux pour l’entité, ainsi que du moment et des recrutement de personnes compétentes en finance, en
modalités de leur application par l’entité. comptabilité et en informatique peuvent permettre de
réduire le risque d’erreurs dans le traitement de
Objectifs et stratégies, et risques d’entreprise connexes l’information financière, elles ne permettent pas
A36. L’entité exerce ses activités dans un contexte nécessairement d’atténuer un fort parti pris de la direction
caractérisé par des facteurs sectoriels et réglementaires et en faveur d’une surévaluation des bénéfices.
par d’autres facteurs internes et externes. En réponse à ces A82. L’existence d’un environnement de contrôle
facteurs, la direction de l’entité ou les responsables de la satisfaisant peut constituer un facteur positif dans
gouvernance définissent des objectifs, qui constituent les l’évaluation par l’auditeur des risques d’anomalies
plans d’ensemble de l’entité. Les stratégies sont les moyens significatives. Toutefois, même si un bon environnement de
par lesquels la direction compte atteindre ses objectifs. Les contrôle peut contribuer à réduire le risque de fraude, il ne
stratégies et les objectifs de l’entité peuvent évoluer avec le s’agit pas d’une arme de dissuasion absolue. Par contre,
temps. l’existence de déficiences dans l’environnement de contrôle
A37. Le risque d’entreprise est plus général que le risque peut réduire l’efficacité des contrôles, en particulier en ce
d’anomalies significatives dans les états financiers, bien qui concerne la fraude. Par exemple, le fait que la direction
qu’il englobe celui-ci. Le risque d’entreprise peut être n’affecte pas suffisamment de ressources à la protection de
attribuable au changement ou à la complexité des activités. l’entité contre les risques de sécurité informatique peut
Le fait de ne pas reconnaître un besoin de changement peut avoir une incidence négative sur le contrôle interne, en
aussi entraîner un risque d’entreprise. Le risque permettant que des modifications non autorisées soient
d’entreprise peut être lié, par exemple : apportées aux programmes informatiques ou aux données,
• au développement de nouveaux produits ou services qui ou que des opérations non autorisées soient traitées.
peuvent échouer; Comme il est précisé dans la norme 2330, l’environnement
• à un marché qui, malgré le développement réussi d’un de contrôle influe aussi sur la nature, le calendrier et
produit ou service, est insuffisant pour ce produit ou l’étendue des procédures d’audit complémentaires.
service; A83. L’environnement de contrôle ne peut à lui seul
• à des défauts d’un produit ou service susceptibles prévenir, ou détecter et corriger, une anomalie significative;
d’engendrer des passifs ou un risque de perte de réputation. il peut toutefois influencer l’évaluation que fait l’auditeur
A38. Une compréhension des risques d’entreprise auxquels de l’efficacité d’autres aspects du contrôle interne (par
est exposée l’entité accroît la probabilité d’identification exemple, le suivi des contrôles et la mise en œuvre
des risques d’anomalies significatives, car la plupart des d’activités de contrôle particulières) et, par conséquent, son
risques d’entreprise finissent par avoir des conséquences évaluation des risques d’anomalies significatives.
financières et, partant, une incidence sur les états
financiers. L’auditeur n’est toutefois pas tenu d’identifier Considérations propres aux petites entités
ou d’évaluer tous les risques d’entreprise, car ceux-ci ne A84. L’environnement de contrôle des petites entités est
génèrent pas tous des risques d’anomalies significatives. généralement différent de celui des grandes entités. Par
A39. Voici des exemples d’éléments que l’auditeur peut exemple, il se peut qu’il n’y ait pas de membre indépendant
prendre en considération pour acquérir une compréhension ou externe parmi les responsables de la gouvernance, et
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
139
des objectifs et des stratégies de l’entité, ainsi que des même que le rôle de gouvernance soit assumé directement
risques d’entreprise connexes qui peuvent donner lieu à un par le propriétaire-dirigeant de l’entité lorsqu’il en est
risque d’anomalies significatives dans les états financiers : l’unique propriétaire. La nature de l’environnement de
• évolution du secteur d’activité (par exemple, un risque contrôle peut également influer sur l’importance des autres
d’entreprise potentiel pourrait découler du fait que l’entité contrôles ou sur leur absence. Par exemple, la participation
ne dispose pas du personnel ou de l’expertise nécessaire active du propriétaire-dirigeant peut atténuer certains
pour faire face aux changements sectoriels); risques découlant d’un manque de séparation des tâches
• nouveaux produits et services (par exemple, un risque dans une petite entité; cela peut toutefois accroître d’autres
d’entreprise potentiel pourrait être lié à l’accroissement de risques, comme le risque de contournement des contrôles.
la responsabilité civile du fait des produits); A85. Dans les petites entités, il se peut en outre que les
• expansion de l’entreprise (par exemple, un risque éléments probants concernant les éléments de
d’entreprise potentiel pourrait résulter du fait que la l’environnement de contrôle ne soient pas disponibles sous
demande n’a pas été estimée avec précision); forme de documents, en particulier là où la communication
• nouvelles exigences en matière de comptabilité (par entre la direction et le personnel peut être informelle, mais
exemple, un risque d’entreprise potentiel pourrait être lié à néanmoins efficace. Par exemple, il se peut que les petites
une application incomplète ou inadéquate des nouvelles entités ne disposent pas d’un code de bonne conduite écrit,
règles, ou à une augmentation des coûts); mais qu’elles développent plutôt une culture qui souligne
• exigences réglementaires (par exemple, un risque l’importance de l’intégrité et du comportement éthique par
d’entreprise potentiel pourrait être lié à un risque accru de la communication orale et l’exemple donné par la direction.
poursuites judiciaires); A86. L’attitude, le degré de sensibilisation et les actions de
• besoins actuels et futurs en matière de financement (par la direction ou du propriétaire-dirigeant sont donc d’une
exemple, un risque d’entreprise potentiel pourrait être lié à importance particulière pour la compréhension de
une perte de financement en raison de l’incapacité de l’environnement de contrôle d’une petite entité.
l’entité d’honorer ses engagements);
• utilisation de l’informatique (par exemple, un risque Composantes du contrôle interne — Processus
d’entreprise potentiel pourrait être lié à une incompatibilité d’évaluation des risques par l’entité
des systèmes et des processus);
• les conséquences de la mise en œuvre d’une stratégie, A87. Le processus d’évaluation des risques suivi par
notamment celles se traduisant par de nouvelles exigences l’entité constitue la base à partir de laquelle la direction
en matière de comptabilité (par exemple, un risque détermine les risques à gérer. Lorsque ce processus est
d’entreprise potentiel pourrait être lié à une mise en œuvre approprié par rapport aux circonstances, y compris la
incomplète ou inadéquate). nature, la taille et la complexité de l’entité, il aide
A40. Un risque d’entreprise peut avoir des conséquences l’auditeur à identifier les risques d’anomalies significatives.
immédiates sur le risque d’anomalies significatives pour La question de savoir si le processus d’évaluation des
des catégories d’opérations, soldes de comptes et risques suivi par l’entité est approprié par rapport aux
informations à fournir, tant au niveau des assertions qu’au circonstances relève du jugement.
niveau des états financiers. Par exemple, le risque
d’entreprise découlant d’une réduction du portefeuille Considérations propres aux petites entités
clients peut accroître le risque d’anomalies significatives A88. Il y a peu de chances qu’une petite entité ait un
associé à l’évaluation des créances. Cependant, le même processus bien implanté d’évaluation des risques. Il est
risque peut avoir des conséquences à plus long terme, alors probable que la direction identifie les risques en
particulièrement lorsqu’il se conjugue avec une économie participant directement et personnellement à la gestion de
en récession, et l’auditeur en tient compte lorsqu’il évalue l’entreprise. Quelles que soient les circonstances, toutefois,
le caractère approprié de l’hypothèse de la continuité de les demandes d’informations au sujet des risques identifiés
l’exploitation. La question de savoir si un risque et de la façon dont la direction y fait face demeurent
d’entreprise peut donner lieu à un risque d’anomalies nécessaires.
significatives est donc examinée à la lumière des
circonstances propres à l’entité. L’Annexe 2 fournit des Composantes du contrôle interne — Système
exemples de situations et d’événements qui peuvent d’information (y compris les processus opérationnels
indiquer l’existence de risques d’anomalies significatives. connexes) pertinent pour l’information financière, et
A41. De manière générale, la direction identifie les risques communication
d’entreprise et définit des moyens pour y faire face. Ce
processus d’évaluation des risques fait partie du contrôle Système d’information (y compris les processus
interne et il en est question aux paragraphes 14, A87 et opérationnels connexes) pertinent pour l’information
A88. financière
Considérations propres aux entités du secteur public A89. Le système d’information pertinent par rapport aux
A42. Dans le cas d’audits d’entités du secteur public, il se objectifs de l’information financière, qui englobe le
peut que les «objectifs de la direction» soient influencés par système comptable, est constitué des procédures et des
des préoccupations liées à une obligation de rendre des documents conçus et établis pour :
comptes au public et que certains de ces objectifs découlent • déclencher, enregistrer, traiter et communiquer les
de textes légaux ou réglementaires ou d’autres textes opérations de l’entité (ainsi que les événements et
émanant d’une autorité. conditions) et pour rendre compte des actifs, des passifs et
des capitaux propres sur lesquels portent ces opérations;
Mesure et analyse de la performance financière de • résoudre les traitements incorrects des opérations, par
l’entité exemple les fichiers d’attente automatisés et les procédures
A43. La direction et d’autres personnes évaluent et suivies pour traiter en temps voulu les éléments en attente;
examinent les aspects qu’elles considèrent comme • traiter les contournements des systèmes et les dérogations
importants. Les indicateurs de performance, qu’ils soient aux contrôles et en rendre compte;
d’origine externe ou interne, créent sur l’entité des • transférer les informations des systèmes de traitement des
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
140
pressions qui peuvent avoir pour effet d’inciter la direction opérations au grand livre général;
à prendre des mesures pour améliorer la performance ou à • saisir les données pertinentes pour l’information
présenter des états financiers trompeurs. En conséquence, financière qui ont trait aux événements et conditions autres
une compréhension des indicateurs de performance de que des opérations, par exemple l’amortissement des actifs
l’entité est utile à l’auditeur lorsqu’il évalue si des et les changements dans la recouvrabilité des créances;
pressions à l’atteinte de cibles de performance peuvent • s’assurer que les informations à fournir selon le
amener la direction à entreprendre des actions qui référentiel d’information financière applicable sont
augmentent les risques d’anomalies significatives, cumulées, enregistrées, traitées, résumées et communiquées
notamment ceux résultant de fraudes (voir la norme 1240 de manière appropriée dans les états financiers.
qui définit des exigences et fournit des indications sur les
risques de fraudes). Écritures de journal
A44. La mesure et l’analyse de la performance financière A90. Le système d’information d’une entité comporte
se distinguent du suivi des contrôles (composante du normalement l’utilisation d’écritures de journal standard
contrôle interne dont il est question aux paragraphes A106 qui sont requises de façon récurrente pour enregistrer dans
à A117), bien que leurs objectifs puissent se recouper : le grand livre général des opérations telles que les ventes,
• la mesure et l’analyse de la performance visent à les achats et les décaissements, ou pour enregistrer les
déterminer si la performance de l’entité répond aux estimations comptables qui sont faites périodiquement par
objectifs définis par la direction (ou des tiers); la direction, par exemple les révisions de l’estimation des
• le suivi des contrôles vise spécifiquement à vérifier créances irrécouvrables.
l’efficacité du fonctionnement du contrôle interne. A91. Le processus d’information financière d’une entité
Dans certains cas, toutefois, les indicateurs de performance comprend également l’utilisation d’écritures de journal non
fournissent également à la direction des informations qui standard pour enregistrer des opérations ou des ajustements
lui permettent de déceler des déficiences dans le contrôle non récurrents ou inhabituels. Ces écritures comprennent
interne. notamment les ajustements de consolidation et les écritures
A45. Voici des exemples d’informations d’origine interne relatives à un regroupement d’entreprises ou à une cession
qui sont utilisées par la direction pour la mesure et d’entreprise, ou à des estimations non récurrentes, telles
l’analyse de la performance financière de l’entité et que qu’une dépréciation d’actif. Dans les systèmes comptables
l’auditeur peut prendre en considération : tenus manuellement, les écritures de journal non standard
• les indicateurs clés de performance (de nature financière peuvent être repérées par l’inspection des livres, des
et non financière) ainsi que les ratios, tendances et journaux et des documents justificatifs. Lorsque des
statistiques d’exploitation de première importance; procédures automatisées sont utilisées pour la tenue du
• le comparatif des performances financières par période; grand livre général et l’établissement des états financiers, il
• les budgets, les prévisions, les analyses des écarts budget / se peut que ces écritures n’existent que sous forme
réel, les informations sectorielles, les rapports de électronique et qu’elles soient plus facilement repérables
performance des divisions, services ou autres niveaux de par l’application de techniques d’audit assistées par
fonctionnement; ordinateur.
• les évaluations de la performance du personnel et les Processus opérationnels connexes
politiques de rémunération au rendement; A92. Les processus opérationnels d’une entité sont les
• les comparaisons entre la performance de l’entité et celle activités conçues pour :
de concurrents. • développer, acheter, produire, vendre et distribuer ses
A46. Des tiers peuvent également mesurer et analyser la produits et services;
performance financière de l’entité. Par exemple, des • assurer le respect des textes légaux et réglementaires;
documents d’origine externe comme les rapports • enregistrer l’information, dont l’information comptable et
d’analystes et les rapports d’agences de notation peuvent l’information financière à communiquer.
fournir des informations utiles à l’auditeur. De tels rapports Les processus opérationnels aboutissent aux opérations qui
peuvent souvent être obtenus de l’entité auditée. sont enregistrées, traitées et communiquées par le système
A47. Les indicateurs de performance d’origine interne d’information. L’acquisition d’une compréhension des
peuvent faire ressortir des résultats ou tendances inattendus processus opérationnels, et donc de la manière dont les
qui obligent la direction à en déterminer les causes et à opérations sont générées, aide l’auditeur à comprendre,
prendre des mesures correctives (y compris, dans certains dans le contexte propre à l’entité, le système d’information
cas, la détection et la correction d’anomalies en temps pertinent pour l’information financière.
opportun). Les indicateurs de performance peuvent par Considérations propres aux petites entités
ailleurs signaler à l’auditeur l’existence de risques A93. Dans les petites entités, les systèmes d’information et
d’anomalies dans les informations correspondantes des les processus opérationnels connexes pertinents pour
états financiers. Par exemple, ils peuvent montrer que l’information financière ont de bonnes chances d’être
l’entité connaît une croissance ou une rentabilité moins sophistiqués que dans les grandes entités, mais leur
inhabituellement rapide par rapport à d’autres entités du rôle est tout aussi important. Les petites entités dans
même secteur d’activité. De telles informations, notamment lesquelles la direction joue un rôle actif n’ont peut-être pas
lorsqu’elles sont associées à d’autres facteurs tels que des besoin de descriptions détaillées des procédures
primes fondées sur la performance ou une rémunération au comptables, d’une comptabilité complexe ou de politiques
rendement, peuvent indiquer un risque de parti pris de la écrites. L’acquisition d’une compréhension des systèmes et
part de la direction dans l’établissement des états des processus peut en conséquence être plus facile dans les
financiers. petites entités et se faire davantage par des demandes
d’informations que par l’examen de documents. Cette
compréhension reste néanmoins importante.
Considérations propres aux petites entités
A48. Souvent, les petites entités n’ont pas de processus Communication
pour mesurer et analyser la performance financière. Des A94. Il importe que la communication par l’entité des rôles
demandes d’informations auprès de la direction peuvent et des responsabilités ainsi que des questions importantes
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
141
révéler que celle-ci se fie à certains indicateurs clés pour concernant l’information financière permette de
évaluer la performance financière et prendre les mesures comprendre les rôles et responsabilités respectifs des
appropriées. Lorsque les réponses aux demandes différents intervenants dans le processus de contrôle interne
d’informations indiquent l’absence de mesure et d’analyse sur l’information financière. La communication englobe
de la performance, le risque que des anomalies ne soient ni notamment des aspects tels que le niveau de
détectées ni corrigées peut être plus grand. compréhension, par les membres du personnel, de la
manière dont leur rôle dans le système d’information
Contrôle interne de l’entité financière est lié au travail d’autres personnes, ainsi que les
A49. Une compréhension du contrôle interne aide moyens dont ils disposent pour signaler les écarts à un
l’auditeur, d’une part, à identifier les types d’anomalies niveau hiérarchique supérieur dans l’entité. La
possibles et les facteurs qui influent sur les risques communication peut prendre la forme de manuels de
d’anomalies significatives et, d’autre part, à déterminer la procédures et de manuels d’information financière. Le
nature, le calendrier et l’étendue des procédures d’audit maintien de voies de communication ouvertes contribue à
complémentaires. ce que les écarts soient signalés et fassent l’objet de
A50. Les modalités d’application qui suivent portent sur le mesures correctives.
contrôle interne et sont présentées en quatre sections, soit :
• nature générale et caractéristiques du contrôle interne; Considérations propres aux petites entités
• contrôles pertinents pour l’audit; A95. La communication peut être moins structurée et plus
• nature et étendue de la compréhension des contrôles simple dans une petite entité que dans une grande en raison
pertinents; d’un nombre plus réduit de niveaux hiérarchiques, ainsi que
• composantes du contrôle interne. de la plus grande visibilité et disponibilité de la direction.
Nature générale et caractéristiques du contrôle interne Composantes du contrôle interne — Activités de contrôle
Objectif du contrôle interne pertinentes pour l’audit
A51. Le contrôle interne est conçu, mis en place et A96. Les activités de contrôle correspondent aux politiques
maintenu pour faire face aux risques d’entreprise identifiés et procédures qui permettent de s’assurer que les
qui menacent la réalisation de l’un ou l’autre des objectifs instructions de la direction sont mises en œuvre. Les
de l’entité en ce qui concerne : activités de contrôle, qu’elles concernent les systèmes
• la fiabilité de son information financière; informatiques ou les systèmes manuels, ont divers objectifs
• l’efficacité et l’efficience de son fonctionnement; et sont exécutées à différents niveaux hiérarchiques et
• le respect des textes légaux et réglementaires applicables. fonctionnels. Parmi les exemples d’activités de contrôle
La manière dont le contrôle interne est conçu, mis en place particulières, il y a notamment celles qui ont trait :
et maintenu varie selon la taille et la complexité de l’entité. • aux autorisations;
Considérations propres aux petites entités • aux évaluations des performances;
A52. Il se peut que les petites entités aient recours à des • au traitement de l’information;
moyens moins structurés et à des processus et procédures • aux contrôles physiques;
plus simples pour réaliser leurs objectifs. • à la séparation des tâches.
Limites du contrôle interne A97. Les activités de contrôle pertinentes pour l’audit sont
A53. Le contrôle interne, aussi efficace soit-il, ne peut :
fournir à une entité qu’une assurance raisonnable quant à la • celles qu’il faut considérer comme telles, à savoir, selon
réalisation de ses objectifs en matière d’information les paragraphes 28 et 29 respectivement, les activités de
financière. La probabilité de leur réalisation est affectée par contrôle liées à des risques importants et celles qui sont
les limites inhérentes au contrôle interne. Ces limites liées à des risques pour lesquels les procédures de
tiennent entre autres à la possibilité que des erreurs de corroboration seules ne peuvent fournir des éléments
jugement surviennent dans la prise de décisions et que des probants suffisants et appropriés;
défaillances se produisent dans le contrôle interne en • celles qui sont considérées comme pertinentes selon le
raison, par exemple, d’erreurs humaines. Ainsi, il peut y jugement de l’auditeur.
avoir une faille dans la conception ou dans la modification A98. Le jugement que porte l’auditeur sur le caractère
d’un contrôle. De même, le fonctionnement d’un contrôle pertinent ou non d’une activité de contrôle pour l’audit est
peut ne pas être efficace, comme dans le cas où des influencé par la possibilité qu’un risque qu’il a identifié
informations produites aux fins du contrôle interne (par puisse entraîner une anomalie significative et par son
exemple, un relevé des écarts) ne sont pas utilisées appréciation de l’opportunité de tester ou non l’efficacité
efficacement parce que la personne chargée de les du fonctionnement des contrôles pour déterminer l’étendue
examiner n’en comprend pas le but ou néglige de prendre des procédures de corroboration.
les mesures qui s’imposent. A99. L’auditeur peut mettre l’accent sur l’identification et
A54. De plus, les contrôles peuvent être neutralisés par la l’acquisition d’une compréhension des activités de contrôle
collusion entre plusieurs personnes ou en raison du qui portent sur les aspects où il considère que les risques
contournement du contrôle interne par la direction. Par d’anomalies significatives sont susceptibles d’être plus
exemple, la direction peut conclure avec certains clients des élevés. Lorsque plusieurs activités de contrôle permettent
accords parallèles dont les conditions générales sont chacune d’atteindre le même objectif, il n’est pas
différentes de celles des contrats de vente courants de nécessaire d’acquérir une compréhension de chacune
l’entité, ce qui peut aboutir à une comptabilisation d’elles.
inadéquate des produits. Il est également possible de A100. L’auditeur s’appuie sur sa connaissance de
contourner ou de désactiver les contrôles de validation d’un l’existence ou de l’absence d’activités de contrôle, obtenue
programme informatique conçus pour repérer et signaler les lors de l’acquisition de sa compréhension des autres
opérations qui excèdent des limites de crédit composantes du contrôle interne, pour déterminer s’il lui
prédéterminées. faut consacrer plus d’attention à l’acquisition d’une
A55. Par ailleurs, lors de la conception et de la mise en compréhension des activités de contrôle.
place des contrôles, la direction peut être amenée à porter Considérations propres aux petites entités
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
142
des jugements sur la nature et l’étendue des contrôles A101. Les activités de contrôle reposent habituellement sur
qu’elle choisit de mettre en place et sur la nature et les mêmes concepts quelle que soit la taille de l’entité, mais
l’étendue des risques qu’elle décide d’assumer. le degré de formalité de leur mise en œuvre peut varier. En
outre, il se peut que de petites entités jugent que certains
Considérations propres aux petites entités types d’activités de contrôle ne sont pas pertinents en
A56. Les petites entités ont souvent un personnel réduit, ce raison des contrôles effectués par la direction. Par exemple,
qui peut limiter la mesure dans laquelle la séparation des la centralisation par la direction du pouvoir d’autoriser
tâches est faisable en pratique. Toutefois, dans une petite l’octroi de crédit aux clients et d’approuver les achats
entité gérée par le propriétaire-dirigeant, il arrive que celui- importants peut tenir lieu de contrôle étroit sur les
ci soit à même d’exercer une surveillance plus efficace que principaux soldes de comptes et les opérations importantes,
dans le cas d’une plus grande entité, ce qui peut compenser réduisant ou éliminant ainsi la nécessité d’activités de
pour les possibilités généralement plus limitées de contrôle plus détaillées.
séparation des tâches. A102. Les activités de contrôle pertinentes pour l’audit
A57. En revanche, il peut être plus facile pour le d’une petite entité sont généralement liées aux principaux
propriétaire-dirigeant de contourner les contrôles, en raison cycles d’opérations tels que les produits, les achats et les
de la nature moins structurée du système de contrôle charges de personnel.
interne. L’auditeur tient compte de cette situation lors de
l’identification des risques d’anomalies significatives Risques liés à l’informatique
résultant de fraudes. A103. L’utilisation de systèmes informatiques a une
incidence sur la manière dont les activités de contrôle sont
Décomposition du contrôle interne en composantes mises en place. Du point de vue de l’auditeur, les contrôles
A58. La décomposition du contrôle interne en cinq sur les systèmes informatiques sont efficaces lorsqu’ils
composantes pour les besoins des normes fournit à assurent l’intégrité de l’information et la sécurité des
l’auditeur un cadre utile pour déterminer comment les données traitées par ces systèmes, et qu’ils comprennent
différents aspects du contrôle interne d’une entité peuvent des contrôles généraux informatiques et des contrôles des
avoir une incidence sur l’audit. Ces composantes sont : applications qui sont efficaces.
a) l’environnement de contrôle; A104. Les contrôles généraux informatiques sont des
b) le processus d’évaluation des risques par l’entité; politiques et procédures qui couvrent de nombreuses
c) le système d’information (y compris les processus applications et qui favorisent le fonctionnement efficace
opérationnels connexes) pertinent pour l’information des contrôles des applications. Ils s’appliquent dans un
financière, et la communication; environnement de macro-informatique, de mini-
d) les activités de contrôle; informatique ou d’informatique individuelle. Les contrôles
e) le suivi des contrôles. généraux informatiques qui assurent l’intégrité de
Cette décomposition ne reflète pas nécessairement la l’information et la sécurité des données comprennent
manière dont une entité conçoit, met en place et maintient généralement des contrôles sur :
son contrôle interne, ni la façon dont elle peut en classer les • le fonctionnement du centre de traitement et du réseau;
différentes composantes. Pour décrire les divers aspects du • l’acquisition, la modification et la maintenance du
contrôle interne, et leur incidence sur l’audit, l’auditeur système d’exploitation;
peut employer une terminologie ou un cadre différents de • les modifications des programmes;
ceux utilisés dans la présente norme, à condition cependant • la sécurité d’accès;
de tenir compte de toutes les composantes du contrôle • l’acquisition, le développement et la maintenance des
interne qui y sont décrites. logiciels d’application.
A59. Les modalités d’application concernant les cinq Ils sont généralement mis en place pour répondre aux
composantes du contrôle interne dans le contexte d’un risques dont il est question au paragraphe A63 ci-dessus.
audit d’états financiers sont exposées aux paragraphes A76 A105. Les contrôles des applications sont des procédures
à A117 ci-après. L’Annexe 1 fournit de plus amples manuelles ou automatisées qui fonctionnent généralement
explications sur ces composantes du contrôle interne. au niveau des processus opérationnels et qui portent sur les
traitements d’opérations exécutés au moyen d’applications
Caractéristiques des éléments manuels et automatisés du individuelles. Il peut s’agir de contrôles de prévention ou
contrôle interne pertinents pour l’évaluation des risques de détection, et ils sont conçus pour assurer l’intégrité des
par l’auditeur enregistrements comptables. Ils sont donc liés aux
A60. Le système de contrôle interne d’une entité comprend procédures utilisées pour déclencher, enregistrer, traiter et
des éléments manuels et, souvent, des éléments communiquer les opérations ou d’autres données
automatisés. Les caractéristiques de ces éléments manuels financières. Ils contribuent à assurer que les opérations ont
ou automatisés sont pertinentes pour l’évaluation des eu lieu, sont autorisées, et sont enregistrées et traitées de
risques par l’auditeur et pour la détermination des manière exhaustive et exacte. À titre d’exemples : les
procédures d’audit complémentaires à mettre en œuvre en contrôles de validité des données d’entrée et les contrôles
réponse à cette évaluation. de séquence numérique avec suivi manuel des relevés des
A61. Le recours à des éléments manuels ou automatisés écarts ou correction au moment de la saisie des données.
dans le contrôle interne influe également sur la manière
dont les opérations sont déclenchées, enregistrées, traitées Composantes du contrôle interne — Suivi des contrôles
et communiquées : A106. Le suivi des contrôles est un processus qui vise à
• les contrôles dans un système manuel peuvent évaluer l’efficacité du fonctionnement du contrôle interne
comprendre des procédures telles que des approbations et au fil du temps. Il implique d’évaluer l’efficacité des
des revues d’opérations, ainsi que des rapprochements et le contrôles en temps opportun et de prendre les mesures
suivi des éléments de rapprochement. Une entité peut correctives nécessaires. La direction fait le suivi des
cependant avoir recours à des procédures automatisées pour contrôles par des activités continues, des évaluations
le déclenchement, l’enregistrement, le traitement et la ponctuelles, ou une combinaison des deux. Les activités de
communication des opérations, auquel cas des documents suivi continues sont souvent intégrées aux activités
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
143
sur support électronique remplacent les documents sur récurrentes normales d’une entité et comprennent des
support papier; activités courantes de gestion et de supervision.
• les contrôles dans les systèmes informatiques consistent A107. Dans le cadre de ses activités de suivi, la direction
en une combinaison de contrôles automatisés (par exemple, utilise parfois des informations en provenance de tiers,
des contrôles intégrés dans les programmes informatiques) telles que les plaintes des clients et les commentaires des
et de contrôles manuels. Par ailleurs, il se peut que les autorités de réglementation qui peuvent révéler l’existence
contrôles manuels soient indépendants des systèmes de problèmes ou faire ressortir des points à améliorer.
informatiques, qu’ils reposent sur des informations
générées par ces systèmes, ou qu’ils se limitent à un suivi Considérations propres aux petites entités
de l’efficacité du fonctionnement des systèmes et des A108. Le suivi des contrôles se fait souvent par une
contrôles automatisés, ainsi qu’au traitement des écarts. participation étroite de la direction ou du propriétaire-
Lorsque les systèmes informatiques sont utilisés pour le dirigeant à l’exploitation. Cette participation permet
déclenchement, l’enregistrement, le traitement ou la souvent d’identifier les écarts importants par rapport aux
communication des opérations, ou d’autres données attentes et les inexactitudes dans les données financières, et
financières devant être intégrées dans les états financiers, de prendre les mesures correctives qui s’imposent en
les systèmes et programmes peuvent comprendre des matière de contrôle.
contrôles relatifs aux assertions correspondantes pour les
comptes significatifs ou peuvent s’avérer essentiels au Rôles de la fonction d’audit interne de l’entité
fonctionnement efficace des contrôles manuels qui A109. Si l’entité a une fonction d’audit interne, le fait pour
dépendent des systèmes informatiques. l’auditeur d’acquérir une compréhension de cette fonction
La proportion d’éléments automatisés par rapport aux favorise sa compréhension de l’entité et de son
éléments manuels dans le contrôle interne d’une entité environnement, y compris de son contrôle interne, et plus
varie selon la nature et la complexité des systèmes particulièrement du rôle joué par la fonction d’audit interne
informatiques utilisés par l’entité. dans le suivi que fait l’entité du contrôle interne sur
A62. En général, les systèmes informatiques présentent des l’information financière. Cette compréhension, ainsi que
avantages pour le contrôle interne en permettant à l’entité : les informations obtenues grâce aux demandes
• d’appliquer systématiquement des règles prédéfinies et d’informations mentionnées à l’alinéa 6 a) de la présente
d’exécuter des calculs complexes en traitant d’importants norme, peuvent également fournir des informations qui
volumes d’opérations ou de données; sont directement pertinentes pour l’identification et
• d’accroître la rapidité, la disponibilité et l’exactitude des l’évaluation des risques d’anomalies significatives par
informations; l’auditeur.
• de faciliter une analyse plus poussée des informations; A110. Les objectifs et l’étendue de la fonction d’audit
• d’accroître sa capacité de faire le suivi des résultats de ses interne, la nature de ses responsabilités et son statut au sein
activités, ainsi que de ses politiques et procédures; de l’organisation, y compris ses pouvoirs et ses obligations
• de réduire le risque de contournement des contrôles; de reddition de comptes, varient grandement et sont
• d’accroître la capacité de réaliser une séparation efficace fonction de la taille et de la structure de l’entité ainsi que
des tâches en mettant en place des contrôles de sécurité des exigences de la direction et, le cas échéant, des
dans les applications, les bases de données et les systèmes responsables de la gouvernance. Ces questions peuvent être
d’exploitation. indiquées dans une charte ou un mandat d’audit interne.
A63. Les systèmes informatiques présentent par contre A111. La fonction d’audit interne peut, par exemple, être
certains risques pour le contrôle interne d’une entité, dont chargée de mettre en œuvre des procédures et d’en évaluer
les suivants : les résultats afin de fournir une assurance à la direction et
• confiance dans des systèmes ou des programmes alors aux responsables de la gouvernance sur la conception et
qu’ils ne traitent pas correctement les données et/ou qu’ils l’efficacité des processus de gestion des risques, de
traitent des données inexactes; contrôle interne et de gouvernance. Le cas échéant, la
• accès non autorisé aux données pouvant aboutir à des fonction d’audit interne peut jouer un rôle important dans le
destructions ou modifications inappropriées de données, y suivi que fait l’entité du contrôle interne sur l’information
compris l’enregistrement d’opérations non autorisées ou financière. Toutefois, les responsabilités de la fonction
inexistantes ou l’enregistrement incorrect d’opérations. d’audit interne peuvent se concentrer principalement sur
L’accès de multiples utilisateurs à une base de données l’évaluation de l’économie, de l’efficience et de l’efficacité
commune peut poser des risques particuliers; avec lesquelles sont réalisées les activités et, le cas échéant,
• possibilité que le personnel du service informatique les travaux de la fonction peuvent n’avoir aucun rapport
obtienne des privilèges d’accès supérieurs à ceux qui sont direct avec l’information financière de l’entité.
nécessaires pour l’exercice de ses fonctions, et que la A112. Les réponses aux demandes d’informations
séparation des tâches se trouve ainsi compromise; adressées aux personnes appropriées au sein de la fonction
• modifications non autorisées des données dans les fichiers d’audit interne conformément à l’alinéa 6 a) de la présente
maîtres; norme aident l’auditeur à acquérir une compréhension de la
• modifications non autorisées des systèmes ou nature des responsabilités de la fonction d’audit interne. Si
programmes; l’auditeur détermine que les responsabilités de la fonction
• non-réalisation des modifications nécessaires des ont un rapport avec l’information financière de l’entité, il
systèmes ou programmes; peut acquérir une meilleure compréhension des activités
• interventions manuelles inappropriées; qui ont été ou qui seront réalisées par la fonction d’audit
• perte possible de données ou incapacité d’accéder aux interne en examinant, le cas échéant, le plan d’audit élaboré
données requises. par celle-ci pour la période et en s’entretenant de ce plan
A64. Les éléments manuels du contrôle interne peuvent avec les personnes appropriées au sein de la fonction.
s’avérer plus appropriés dans les cas qui font appel au A113. Si, par leur nature, les responsabilités et les activités
jugement et à l’appréciation, tels que les suivants : d’assurance portant sur la fonction d’audit interne ont un
• opérations importantes, inhabituelles ou non récurrentes; rapport avec l’information financière de l’entité, il se peut
• circonstances où il est difficile de définir, d’anticiper ou également que l’auditeur puisse s’appuyer sur les travaux
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
144
Identification et évaluation des risques d’anomalies A130. En revanche, certaines activités de contrôle peuvent
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
145
assertions concernant la comptabilisation, l’évaluation, la importantes non courantes ou à des questions importantes
présentation et la communication des différents éléments nécessitant l’exercice du jugement soient souvent moins
des états financiers, ainsi que les informations connexes. susceptibles de faire l’objet de contrôles de routine, il est
A124. Les assertions auxquelles l’auditeur se réfère pour possible que la direction ait pris d’autres mesures pour faire
prendre en considération les différents types d’anomalies face à ces risques. En conséquence, pour déterminer si
potentielles entrent dans les trois catégories qui suivent et l’entité a conçu et mis en place des contrôles à l’égard des
peuvent revêtir les formes suivantes : risques importants associés à de telles opérations ou
a) les assertions concernant les catégories d’opérations et questions de jugement importantes, l’auditeur se demande
les événements de la période auditée : notamment si, et comment, la direction répond aux risques.
i) réalité : les opérations et les événements qui ont été Voici certaines des réponses possibles :
enregistrés se sont produits et se rapportent à l’entité, • activités de contrôle telles qu’un examen des hypothèses
ii) exhaustivité : toutes les opérations et tous les par la haute direction ou des experts;
événements qui auraient dû être enregistrés l’ont bien été, • recours à des processus documentés pour établir des
iii) exactitude : les montants et autres données qui se estimations;
rapportent à ces opérations et événements ont été • procédure d’approbation par les responsables de la
enregistrés de façon appropriée, gouvernance.
iv) séparation des périodes : les opérations et les A138. Par exemple, dans le cas d’un événement isolé, tel
événements ont été enregistrés dans la bonne période, que la réception d’une assignation devant le tribunal pour
v) classement : les opérations et les événements ont été un procès important, l’appréciation de la réponse de l’entité
enregistrés dans les bons comptes; peut notamment consister à déterminer si l’affaire a été
b) les assertions concernant les soldes de comptes en fin de soumise à des experts compétents (comme les conseillers
période : juridiques internes ou des avocats externes), si son
i) existence : les actifs, les passifs et les éléments de incidence potentielle a été évaluée et de quelle manière la
capitaux propres existent, direction entend présenter la situation dans les états
ii) droits et obligations : l’entité détient ou contrôle les financiers.
droits sur les actifs, et les passifs correspondent aux A139. Il se peut que, dans certains cas, la direction n’ait
obligations de l’entité, pas répondu adéquatement à des risques importants
iii) exhaustivité : tous les actifs, tous les passifs et tous les d’anomalies significatives par la mise en place de contrôles
éléments de capitaux propres qui auraient dû être relatifs à ces risques. Le défaut de mise en place de ces
enregistrés l’ont bien été, contrôles par la direction est l’indice d’une déficience
iv) évaluation et imputation : les actifs, les passifs et les importante du contrôle interne.
éléments de capitaux propres sont inscrits dans les états
financiers pour les bons montants et tous les ajustements Risques pour lesquels les procédures de corroboration
résultant de leur évaluation ou imputation sont seules ne peuvent fournir des éléments probants
correctement enregistrés; suffisants et appropriés
c) les assertions concernant la présentation et les
informations fournies : A140. Il arrive que des risques d’anomalies significatives
i) réalité, et droits et obligations : les événements, soient directement associés à l’enregistrement de catégories
opérations et autres éléments communiqués se sont d’opérations courantes ou de soldes de comptes et à
produits et se rapportent à l’entité, l’établissement d’états financiers fiables. Ces risques
ii) exhaustivité : toutes les informations qui auraient dû être peuvent comprendre les risques de traitement inexact ou
fournies dans les états financiers l’ont bien été, incomplet de catégories d’opérations courantes et
iii) classement et intelligibilité : les informations importantes telles que celles concernant les produits, les
financières sont présentées et décrites de façon appropriée achats, les encaissements et les décaissements.
et les informations fournies sont communiquées clairement, A141. Lorsque de telles opérations courantes font l’objet
iv) exactitude et évaluation : les informations financières et d’un traitement hautement automatisé nécessitant peu ou
autres sont données fidèlement et pour les bons montants. pas d’intervention manuelle, il peut s’avérer impossible de
A125. L’auditeur peut se référer à la description des mettre en œuvre uniquement des procédures de
assertions données ci-dessus, ou encore les exprimer corroboration à l’égard du risque. Par exemple, l’auditeur
différemment pourvu que tous les aspects susmentionnés peut juger qu’il en est ainsi lorsqu’une partie importante
soient couverts. Il peut ainsi choisir de combiner les des informations de l’entité sont générées, enregistrées,
assertions concernant les opérations et les événements avec traitées ou communiquées sous forme électronique
celles concernant les soldes de comptes. seulement, comme dans un système intégré. Dans un tel cas
:
Considérations propres aux entités du secteur public • il se peut que les éléments probants ne soient disponibles
A126. Dans le cadre de ses assertions sur les états que sous forme électronique, et leur caractère suffisant et
financiers, en sus des assertions indiquées au paragraphe approprié dépend habituellement de l’efficacité des
A124, la direction d’une entité du secteur public peut contrôles sur leur exactitude et leur exhaustivité;
souvent déclarer que les opérations et événements ont été • le risque qu’une information soit générée ou modifiée de
réalisés conformément aux textes légaux ou réglementaires manière inappropriée sans que cela ne soit détecté peut être
ou à d’autres textes émanant d’une autorité. De telles plus élevé lorsque les contrôles pertinents ne fonctionnent
assertions peuvent entrer dans le champ de l’audit des états pas efficacement.
financiers. A142. Les conséquences de l’identification d’un tel risque
sur les procédures d’audit complémentaires sont décrites
Processus d’identification des risques d’anomalies dans la norme 2330.
significatives
A127. Les informations réunies lors de la mise en œuvre Révision de l’évaluation des risques
des procédures d’évaluation des risques, y compris les A143. Pendant l’audit, il se peut que l’auditeur prenne
éléments probants obtenus lors de l’évaluation de la connaissance de certaines informations qui diffèrent
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
147
conception des contrôles et de la vérification de leur mise sensiblement des informations ayant servi à son évaluation
en place, sont utilisées comme éléments probants à l’appui des risques. Par exemple, l’évaluation initiale des risques
de l’évaluation des risques. L’évaluation des risques peut avoir été fondée sur l’hypothèse que certains contrôles
détermine la nature, le calendrier et l’étendue des fonctionnaient efficacement. En effectuant des tests de ces
procédures d’audit complémentaires à mettre en œuvre. contrôles, l’auditeur peut obtenir des éléments probants
A128. L’Annexe 2 fournit des exemples de circonstances et indiquant que les contrôles ne fonctionnaient pas
d’événements pouvant indiquer la présence de risques efficacement à des moments pertinents au cours de l’audit.
d’anomalies significatives. De même, lors de la mise en œuvre de procédures de
corroboration, l’auditeur peut détecter des anomalies dont
Liens entre les contrôles et les assertions les montants ou la fréquence ne sont pas compatibles avec
son évaluation des risques. Il se peut alors que l’évaluation
A129. En procédant à l’évaluation des risques, l’auditeur initiale des risques ne reflète pas adéquatement la situation
peut identifier les contrôles qui sont susceptibles de réelle de l’entité et que les procédures d’audit
prévenir, ou de détecter et corriger, des anomalies complémentaires prévues ne soient pas efficaces pour
significatives au niveau d’assertions particulières. Il est détecter les anomalies significatives. Voir la norme 2330
généralement utile d’acquérir une compréhension des pour de plus amples indications.
contrôles et d’établir des liens entre ceux-ci et les assertions
dans le contexte des processus et des systèmes dans lequel
ils s’inscrivent, car il arrive souvent qu’une activité de
contrôle donnée ne permette pas à elle seule de répondre à
un risque. Souvent, plusieurs activités de contrôle,
associées à d’autres composantes du contrôle interne, sont
nécessaires pour répondre à un risque.
Documentation
A144. La façon dont l’auditeur consigne dans son dossier Les éléments clés de cette compréhension consignés par
les informations exigées au paragraphe 32 relève de son l’auditeur dans ses dossiers sont ceux sur lesquels il a fondé
jugement professionnel. Par exemple, dans le cas des audits son évaluation des risques d’anomalies significatives.
de petites entités, la documentation peut être intégrée dans
la documentation de l’auditeur sur la stratégie générale A146. L’étendue de la documentation peut également
d’audit et le plan d’audit. De même, par exemple, les refléter l’expérience et les compétences des membres de
résultats de l’évaluation des risques peuvent être consignés l’équipe de mission. Sous réserve que les exigences de la
séparément ou être intégrés à la documentation de norme 1230 soient respectées dans tous les cas, un audit
l’auditeur sur les procédures d’audit complémentaires. La entrepris par une équipe composée de personnes moins
forme et l’étendue de la documentation dépendent de la expérimentées peut nécessiter une documentation plus
nature, de la taille et de la complexité de l’entité et de son détaillée que dans le cas d’une équipe comprenant des
contrôle interne, de l’information disponible auprès de personnes expérimentées, afin de faciliter l’acquisition
l’entité ainsi que des méthodes et des techniques employées d’une compréhension appropriée de l’entité.
au cours de l’audit. A147. Dans le cas de missions récurrentes, certains
A145. Dans le cas des entités dont les activités et les éléments de la documentation d’audits antérieurs peuvent
processus pertinents pour l’information financière ne sont être réutilisés, après mise à jour au besoin pour refléter les
pas compliqués, la documentation peut être simple et changements survenus dans les activités ou les processus
relativement succincte. Il n’est pas nécessaire de consigner de l’entité.
en dossier tous les aspects de la compréhension de l’entité
acquise par l’auditeur et des questions qui s’y rattachent.
Annexe 1 Système d’information (y compris les processus
(Réf. : alinéa 4 c), paragraphes 13 à 23 et A76 à A117) opérationnels connexes) pertinent pour l’information
Composantes du contrôle interne financière, et communication
1. La présente annexe donne de plus amples précisions sur 5. Un système d’information est constitué d’une
les composantes du contrôle interne, décrites à l’alinéa 4 c) infrastructure (composantes matérielles), de logiciels, de
et aux paragraphes 13 à 23 et A76 à A117, dans le contexte personnes, de procédures et de données. De nombreux
d’un audit d’états financiers. systèmes d’information font largement appel aux
technologies de l’information.
Environnement de contrôle 6. Le système d’information pertinent par rapport aux
2. L’environnement de contrôle comprend les éléments objectifs de l’information financière, qui comprend le
suivants : système d’information financière, englobe des méthodes et
a) transmission et respect de valeurs d’éthique et d’intégrité des supports d’enregistrement qui permettent :
— l’efficacité des contrôles est tributaire des valeurs • d’identifier et d’enregistrer toutes les opérations valides;
d’intégrité et d’éthique des personnes qui les créent, les • de décrire en temps opportun les opérations avec
gèrent et en assurent le suivi. L’intégrité et le suffisamment de détails pour qu’elles puissent être classées
comportement éthique sont fonction des normes d’éthique adéquatement pour les besoins de l’information financière;
et de comportement de l’entité, ainsi que de la manière dont • de mesurer la valeur des opérations de manière à pouvoir
ces normes sont communiquées et dont on les fait respecter traduire leur véritable valeur monétaire dans les états
en pratique. Le respect de ces normes dépend notamment financiers;
des actions menées par la direction pour éliminer ou limiter • de déterminer le moment où les opérations ont eu lieu de
les motivations ou les tentations pouvant amener le façon à pouvoir les comptabiliser dans la bonne période
personnel à commettre des actes malhonnêtes, illégaux ou comptable;
contraires à l’éthique. La transmission des valeurs de • de présenter correctement les opérations et les
l’entité en matière d’intégrité et d’éthique peut comprendre informations y afférentes dans les états financiers.
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
148
applicable, estime l’importance de ces risques, évalue leur • séparation des tâches — l’attribution à des personnes
probabilité de réalisation, et décide des mesures à prendre différentes des responsabilités relatives à l’autorisation des
pour y répondre et les gérer et, d’autre part, les résultats qui opérations, à l’enregistrement des opérations et à la garde
en découlent. Par exemple, le processus d’évaluation des des actifs vise à réduire les possibilités qu’une même
risques par l’entité peut renseigner sur la façon dont l’entité personne puisse commettre et dissimuler des erreurs ou des
fait face à l’éventualité que des opérations ne soient pas fraudes dans le cadre normal de ses fonctions.
enregistrées, ou sur la façon dont elle identifie et analyse 10. Certaines activités de contrôle peuvent dépendre de
les estimations importantes figurant dans les états l’existence d’une politique appropriée de prise de décision
financiers. à l’échelon supérieur, établie par la direction ou les
4. Les risques pertinents susceptibles d’affecter la fiabilité responsables de la gouvernance. Ainsi, certaines
de l’information financière comprennent des événements autorisations peuvent être déléguées dans le cadre de lignes
externes et internes, des opérations ou des circonstances qui directrices définies, par exemple des critères
peuvent se produire et compromettre la capacité de l’entité d’investissement établis par les responsables de la
de générer, enregistrer, traiter et communiquer des données gouvernance; par contre, les opérations inhabituelles telles
financières concordant avec les assertions de la direction que les acquisitions et les désinvestissements importants
que comportent les états financiers. La direction peut peuvent nécessiter l’approbation spécifique d’un niveau
entreprendre des plans, des programmes ou des actions afin hiérarchique supérieur, et même, dans certains cas,
de répondre à des risques spécifiques ou elle peut décider l’approbation des actionnaires.
d’assumer un risque pour des raisons de coûts ou pour
d’autres considérations. Les risques peuvent naître ou Suivi des contrôles
évoluer en raison de circonstances telles que les suivantes : 11. Une des responsabilités importantes de la direction est
• changements dans l’environnement opérationnel — des de mettre en place et de maintenir un contrôle interne
changements dans le cadre réglementaire ou dans permanent. Le suivi des contrôles par la direction consiste
l’environnement opérationnel peuvent se traduire par de notamment à déterminer s’ils fonctionnent comme prévu et
nouvelles pressions concurrentielles et donner lieu à des s’ils sont modifiés selon les besoins pour répondre à de
risques considérablement différents; nouvelles conditions. Le suivi des contrôles peut comporter
• changement de personnel — le nouveau personnel peut des activités telles que l’examen par la direction des
avoir une vision ou une compréhension différente du rapprochements bancaires pour s’assurer qu’ils sont établis
contrôle interne; en temps opportun, l’évaluation par les auditeurs internes
• systèmes d’information nouveaux ou mis à niveau — du respect par le personnel commercial de la politique de
l’apport de modifications importantes et fréquentes aux l’entité concernant les termes et conditions des contrats de
systèmes d’information peut modifier les risques liés au vente, et le suivi par le service juridique du respect de la
contrôle interne; politique de l’entité en matière d’éthique ou de pratiques
• croissance rapide — une expansion importante et rapide commerciales. Le suivi des contrôles a aussi pour but
des activités peut mettre les contrôles à rude épreuve et d’assurer que les contrôles continuent de fonctionner
accroître leur risque de défaillance; efficacement au fil du temps. Par exemple, si la périodicité
• nouvelles technologies –– l’intégration de nouvelles et l’exactitude des rapprochements bancaires ne font pas
technologies dans les processus de production ou les l’objet de suivi, il est probable que le personnel cessera de
systèmes d’information peut modifier les risques liés au les préparer.
contrôle interne; 12. Les auditeurs internes ou le personnel exerçant des
• nouveaux modèles opérationnels, nouveaux produits ou fonctions similaires peuvent participer au suivi des
nouvelles activités — la pénétration de secteurs ou la contrôles de l’entité en procédant à leurs propres
conclusion d’opérations dont l’entité a une expérience évaluations. En général, ils fournissent régulièrement des
limitée peut faire naître de nouveaux risques liés au informations sur le fonctionnement du contrôle interne, et
contrôle interne; portent une attention considérable à l’évaluation de
• restructuration de l’entreprise — les restructurations l’efficacité du contrôle interne. Ils communiquent des
peuvent s’accompagner de compressions de personnel et de informations sur les points forts et les déficiences du
changements dans la supervision et la séparation des tâches contrôle interne et formulent des recommandations en vue
qui sont susceptibles de modifier les risques liés au de l’amélioration du contrôle interne.
contrôle interne; 13. Les activités de suivi peuvent comprendre l’utilisation
• expansion à l’étranger — l’expansion ou l’acquisition d’informations communiquées par des tiers, qui peuvent
d’activités à l’étranger fait naître des risques nouveaux et révéler l’existence de problèmes ou faire ressortir des
souvent exceptionnels qui peuvent affecter le contrôle aspects à améliorer. Les clients corroborent implicitement
interne, par exemple des risques additionnels ou différents les données de facturation en réglant leurs factures ou en
associés aux opérations en devises; les contestant. Par ailleurs, les autorités de réglementation
• nouvelles règles comptables — l’adoption de nouveaux peuvent communiquer avec l’entité au sujet de questions
principes comptables ou l’évolution des principes qui influent sur le fonctionnement du contrôle interne, par
comptables existants peut modifier les risques associés à exemple les communications concernant les examens
l’établissement des états financiers. effectués par les organismes de réglementation du secteur
bancaire. La direction peut aussi, dans le cadre de ses
activités de suivi, tenir compte des communications des
auditeurs externes au sujet du contrôle interne.
Annexe 2 (Réf. : par. A40 et A128) • opérations importantes avec des parties liées;
Circonstances et événements qui peuvent indiquer • manque de personnel possédant les compétences
l’existence de risques d’anomalies significatives appropriées en comptabilité et en information financière;
• changements dans le personnel clé, y compris le départ de
La présente annexe donne des exemples de circonstances et dirigeants importants;
d’événements qui pourraient indiquer l’existence de risques • déficiences du contrôle interne, notamment celles que la
d’anomalies significatives. Les exemples suivants couvrent direction n’a pas cherché à résoudre;
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
150
un large éventail de circonstances et d’événements, mais ne • manque de cohérence entre la stratégie informatique de
sont pas tous pertinents pour toutes les missions d’audit, et l’entité et ses stratégies opérationnelles;
la liste des exemples n’est pas nécessairement exhaustive : • changements dans l’environnement informatique;
• activités dans des régions économiquement instables (par • installation de nouveaux systèmes informatiques
exemple, pays dont la monnaie a subi une dévaluation importants liés à l’information financière;
importante ou dont l’économie est fortement • enquêtes sur les activités ou les résultats financiers de
inflationniste); l’entité par les autorités de réglementation ou des
• activités exposées à des marchés volatils (par exemple, organismes publics;
marchés à terme); • anomalies et erreurs dans le passé ou volume important
• activités faisant l’objet d’une réglementation poussée et d’ajustements en fin de période;
très complexe; • volume important d’opérations non courantes ou non
• problèmes de continuité de l’exploitation et de liquidité, y systématiques, notamment des opérations intra-groupe et
compris la perte de clients importants; des opérations générant d’importants montants de produits
• contraction du capital et du crédit; en fin de période;
• changements dans le secteur d’activité de l’entité; • opérations enregistrées en fonction des intentions de la
• changements dans la chaîne d’approvisionnement; direction (par exemple, refinancement de la dette, actifs
• développement ou offre de nouveaux produits ou destinés à la vente et classement des titres négociables);
services, ou orientation vers de nouvelles branches • application de nouvelles règles comptables;
d’activité; • évaluations comptables faisant appel à des processus
• expansion vers de nouveaux lieux d’implantation; complexes;
• changements au sein de l’entité tels que d’importantes • événements ou opérations pour lesquels il existe une
acquisitions ou restructurations ou d’autres événements incertitude de mesure, y compris les estimations
inhabituels; comptables;
• vente probable d’entités ou de branches d’activité; • procès en cours et passifs éventuels (par exemple,
• existence d’alliances et de coentreprises complexes; garanties après-vente, cautionnements financiers et coûts de
• recours à des opérations de financement hors bilan, à des dépollution).
entités ad hoc ou à d’autres mécanismes complexes de
financement;
La Norme d’audit 2320 doit être lue conjointement avec la norme 1200, Objectifs généraux de l’auditeur
indépendant et réalisation d’un audit conforme aux Normes internationales.
que les jugements portant sur le caractère significatif sont fonction des
circonstances, et sont influencés par l’ordre de grandeur ou la nature
d’une anomalie ou par une combinaison de ces deux facteurs;
que les jugements quant aux questions qui sont significatives pour les
utilisateurs des états financiers reposent sur la prise en considération
des besoins d’information financière communs à l’ensemble des
utilisateurs en tant que groupe. Il est fait abstraction de l’incidence
possible des anomalies pour des utilisateurs particuliers, dont les
besoins peuvent varier considérablement.
5. L’auditeur applique le concept de caractère significatif aux fins tant de la planification que de
la réalisation de l’audit, aux fins de l’évaluation de l’incidence des anomalies détectées sur
l’audit et de l’incidence des anomalies non corrigées, le cas échéant, sur les états financiers, et
aux fins de la formation de l’opinion qu’il exprime dans son rapport. (Réf. : par. A1)
6. Lors de la planification de l’audit, l’auditeur porte des jugements quant à l’ordre de grandeur
des anomalies qui seront considérées comme significatives. Ces jugements lui servent de
fondement pour :
Objectif
7. L’objectif de l’auditeur est d’appliquer de manière appropriée le concept de caractère
significatif lors de la planification et de la réalisation de l’audit.
Définition
8. Dans les normes ISA, on entend par «seuil de signification pour les travaux» le ou les
montants que l’auditeur établit en deçà du seuil de signification pour les états financiers pris
dans leur ensemble, afin de ramener à un niveau suffisamment faible la probabilité que le
total des anomalies non corrigées et non détectées excède le seuil de signification pour les
états financiers pris dans leur ensemble. Le cas échéant, «seuil de signification pour les
travaux» désigne aussi le ou les montants que l’auditeur établit en deçà du ou des seuils de
signification pour certaines catégories d’opérations, certains soldes de comptes ou certaines
informations à fournir.
Exigences
Détermination d’un seuil de signification et du seuil de signification pour les travaux lors de la
planification de l’audit
10. L’auditeur doit déterminer un seuil de signification pour les travaux afin d’évaluer les
risques d’anomalies significatives et de déterminer la nature, le calendrier et l’étendue des
procédures d’audit complémentaires. (Réf. : par. A12)
11. L’auditeur doit modifier le seuil de signification pour les états financiers pris dans leur
ensemble (et, le cas échéant, le ou les seuils de signification pour certaines catégories
d’opérations, certains soldes de comptes ou certaines informations à fournir) si, au cours de
l’audit, il prend connaissance d’informations qui l’auraient amené à déterminer initialement
un ou des seuils de signification différents. (Réf. : par. A13)
12. Si l’auditeur conclut qu’il convient de revoir à la baisse le seuil de signification déterminé
initialement pour les états financiers pris dans leur ensemble (et, le cas échéant, le ou les
seuils de signification pour certaines catégories d’opérations, certains soldes de comptes ou
certaines informations à fournir), il doit déterminer s’il est nécessaire de revoir le seuil de
signification pour les travaux et si la nature, le calendrier et l’étendue des procédures d’audit
complémentaires sont toujours appropriés.
Documentation
13. L’auditeur doit consigner dans la documentation de l’audit les montants suivants ainsi que
les facteurs pris en considération pour les déterminer :
a) le seuil de signification pour les états financiers pris dans leur ensemble
(voir le paragraphe 9);
bénéfice avant impôts, le total des produits, la marge brute nouvellement acquise).
et le total des charges, le total des capitaux propres ou la A11. Pour apprécier si, dans les circonstances propres à
valeur de l’actif net. Le bénéfice avant impôts tiré des l’entité, il existe des catégories d’opérations, soldes de
activités poursuivies est souvent utilisé dans le cas des comptes ou informations à fournir de la sorte, l’auditeur
entités à but lucratif. Lorsque ce bénéfice est volatil, peut juger utile d’acquérir une compréhension des vues et
d’autres éléments de référence peuvent convenir davantage, des attentes des responsables de la gouvernance et de la
par exemple la marge brute ou le total des produits. direction.
A5. En ce qui concerne l’élément de référence choisi, les
données financières pertinentes comprennent normalement Seuil de signification pour les travaux
les résultats financiers et les situations financières des A12. Planifier l’audit à seule fin de détecter les anomalies
périodes antérieures, les résultats financiers et la situation individuellement significatives, c’est perdre de vue que,
financière pour la partie écoulée de la période en cours cumulées, les anomalies individuellement non
ainsi que les budgets ou les prévisions pour la période significatives peuvent aboutir à une anomalie significative
considérée, ajustés pour tenir compte des changements dans les états financiers et ne laisser aucune marge pour
importants dans la situation de l’entité (par exemple, une d’éventuelles anomalies non détectées. Un seuil de
acquisition d’entreprise importante) ainsi que des signification pour les travaux (qui, tel qu’il est défini, peut
changements pertinents dans les conditions du secteur ou consister en un ou plusieurs montants) est établi de manière
de l’environnement économique dans lequel l’entité exerce à ramener à un niveau suffisamment faible la probabilité
ses activités. Par exemple, si l’auditeur commence par que le total des anomalies non corrigées et non détectées
déterminer le seuil de signification pour les états financiers dans les états financiers excède le seuil de signification
pris dans leur ensemble par application d’un pourcentage pour les états financiers pris dans leur ensemble. De même,
au bénéfice avant impôts tiré des activités poursuivies, mais un seuil de signification pour les travaux est établi par
que des circonstances particulières donnent lieu à une rapport au seuil de signification retenu, le cas échéant, pour
diminution ou à une augmentation exceptionnelle de ce une certaine catégorie d’opérations, un certain solde de
bénéfice, l’auditeur peut être amené à conclure qu’il serait compte ou une certaine information à fournir, de manière à
préférable de déterminer le seuil de signification pour les ramener à un niveau suffisamment faible la probabilité que
états financiers pris dans leur ensemble à partir du bénéfice le total des anomalies non corrigées et non détectées dans
normalisé avant impôts tiré des activités poursuivies, établi la catégorie d’opérations, le solde de compte ou
en fonction des résultats des périodes antérieures. l’information en question excède le seuil de signification
A6. Le seuil de signification est déterminé par rapport aux retenu pour cette catégorie d’opérations, ce solde de
états financiers sur lesquels porte le rapport de l’auditeur. compte ou cette information. La détermination du seuil de
Lorsque les états financiers couvrent une période d’une signification pour les travaux n’est pas un simple calcul
durée supérieure ou inférieure à douze mois, ce qui est mécanique; elle nécessite l’exercice du jugement
possible dans le cas d’une nouvelle entité ou d’un professionnel. Elle est influencée par la compréhension de
changement de date de clôture, le seuil de signification est l’entité qu’a l’auditeur — et qu’il actualise lors de la mise
déterminé par rapport aux états financiers établis pour cette en œuvre des procédures d’évaluation des risques — ainsi
période d’une durée différente de douze mois. que par la nature et l’étendue des anomalies relevées lors
A7. La détermination du pourcentage à appliquer à des audits antérieurs et, en conséquence, par les attentes de
l’élément de référence choisi nécessite l’exercice du l’auditeur en ce qui concerne les anomalies pour la période
jugement professionnel. Ce pourcentage est en rapport avec considérée.
l’élément de référence choisi.
Révision des seuils à mesure que progresse l’audit de nouvelles informations, ou d’une nouvelle
A13. Il peut être nécessaire de modifier le seuil de compréhension de l’entité et de ses activités acquise par
signification pour les états financiers pris dans leur l’auditeur à la suite de la mise en œuvre des procédures
ensemble (et, le cas échéant, le ou les seuils de signification d’audit complémentaires. Par exemple, s’il ressort, au cours
pour certaines catégories d’opérations, certains soldes de de l’audit, que les résultats financiers réels seront
comptes ou certaines informations à fournir) en raison d’un probablement très différents des résultats financiers
changement de circonstances au cours de l’audit (par attendus qui ont servi à déterminer le seuil de signification
exemple, si l’entité a décidé de se départir d’une bonne part pour les états financiers pris dans leur ensemble, l’auditeur
de ses activités), modifie ce seuil de signification.
La Norme d’audit 2330 doit être lue conjointement avec la norme 1200, Objectifs généraux de l’auditeur
indépendant et réalisation d’un audit conforme aux Normes internationales.
Objectif
2. L’objectif de l’auditeur est de concevoir et de mettre en œuvre des réponses adaptées à
l’évaluation des risques d’anomalies significatives afin d’obtenir des éléments probants
suffisants et appropriés sur ces risques.
Définition
3. Dans les normes d’audit, on entend par :
a) «procédure de corroboration», une procédure d’audit conçue pour détecter des anomalies
significatives au niveau des assertions. Les procédures de corroboration comprennent :
i) des tests de détail (relatifs à une catégorie d’opérations, à un solde de compte ou à une
information fournie),
ii) des procédures analytiques de corroboration;
b) «test des contrôles», une procédure d’audit conçue pour évaluer l’efficacité du
fonctionnement des contrôles visant à prévenir, ou à détecter et corriger, les anomalies
significatives au niveau des assertions.
Exigences
Réponses globales
4. L’auditeur doit concevoir et mettre en œuvre des réponses globales adaptées à son évaluation
des risques d’anomalies significatives au niveau des états financiers. (Réf. : par. A1 à A3)
b) obtenir des éléments probants d’autant plus convaincants que, selon son
évaluation, le risque est considéré comme élevé. (Réf. : par. A19)
7. L’auditeur doit concevoir et mettre en œuvre des tests sur les contrôles
pertinents de manière à obtenir des éléments probants suffisants et appropriés
sur l’efficacité de leur fonctionnement dans l’un ou l’autre des cas suivants :
iii) par qui ou par quels moyens ils ont été appliqués; (Réf. : par. A26 à A29)
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
159
b) déterminer si les contrôles à tester sont tributaires d’autres contrôles (contrôles indirects)
et, dans l’affirmative, s’il est nécessaire de réunir des éléments probants attestant l’efficacité
du fonctionnement de ces contrôles indirects. (Réf. : par. A30 et A31)
a) obtenir des éléments probants concernant tout changement important survenu dans ces
contrôles après la période intermédiaire;
b) déterminer les éléments probants additionnels à obtenir pour la période restant à couvrir
jusqu’à la fin de l’exercice. (Réf. : par. A33 et A34)
12. Pour déterminer s’il est approprié d’utiliser des éléments probants sur
l’efficacité du fonctionnement des contrôles obtenus lors des audits
précédents et, lorsque c’est le cas, pour déterminer le délai maximal pouvant
s’écouler avant de procéder à un nouveau test sur un contrôle, l’auditeur doit
tenir compte des éléments suivants :
b) les risques découlant des caractéristiques du contrôle considéré, notamment selon qu’il est
manuel ou automatisé;
13. Lorsque l’auditeur a l’intention d’utiliser des éléments probants obtenus lors
d’un audit précédent et concernant l’efficacité du fonctionnement de certains
a) lorsque les éléments probants obtenus lors de l’audit précédent ont perdu de leur
pertinence sous l’effet des changements survenus, l’auditeur doit tester les contrôles dans le
cadre de l’audit en cours; (Réf. : par. A36)
b) lorsqu’aucun changement n’est survenu, l’auditeur doit tester les contrôles au moins une
fois tous les trois audits, mais doit tester une partie des contrôles lors de chaque audit afin
d’éviter que tous les contrôles sur lesquels il a l’intention de s’appuyer soient testés au cours
d’un même audit et qu’il s’écoule ensuite deux audits sans aucun test des contrôles. (Réf. :
par. A37 à A39)
14. Si l’auditeur a l’intention de s’appuyer sur des contrôles liés à un risque qu’il
a jugé important, il doit tester ces contrôles dans la période sur laquelle porte
sa mission.
16. Si des écarts dans l’application des contrôles sur lesquels l’auditeur a
l’intention de s’appuyer sont détectés, il doit procéder à des demandes
d’informations précises afin de comprendre la situation et ses conséquences
potentielles, et il doit déterminer : (Réf. : par. A41)
a) si les tests des contrôles effectués fournissent une base appropriée pour s’appuyer sur les
contrôles;
b) si des tests additionnels des contrôles sont nécessaires;
c) si les risques potentiels d’anomalies exigent la mise en œuvre de procédures de
corroboration.
Procédures de corroboration
18. L’auditeur doit se demander s’il convient de mettre en œuvre des procédures
de confirmation externe en tant que procédures de corroboration. (Réf. : par.
A48 à A51)
20. Si, lors de son évaluation, l’auditeur a déterminé que le risque d’anomalies
significatives au niveau d’une assertion est important, il doit mettre en œuvre
des procédures de corroboration répondant spécifiquement à ce risque.
Lorsque l’approche adoptée pour répondre à un risque important se limite à
des procédures de corroboration, celles-ci doivent comporter des tests de
détail. (Réf. : par. A53)
a) soit des procédures de corroboration en association avec des tests des contrôles,
b) soit uniquement des procédures de corroboration complémentaires, s’il juge que cela
suffit,
afin d’avoir une base raisonnable permettant d’extrapoler que les conclusions de l’audit à la
date intermédiaire sont toujours valables à la fin de la période. (Réf. : par. A54 à A57)
22. Lorsque l’auditeur détecte à une date intermédiaire des anomalies qu’il
n’avait pas anticipées dans le cadre de son évaluation des risques d’anomalies
significatives, il doit déterminer s’il est nécessaire de modifier son évaluation
du risque concerné ainsi que la nature, le calendrier ou l’étendue prévus des
procédures de corroboration couvrant le restant de la période. (Réf. : par. A58)
23. L’auditeur doit mettre en œuvre des procédures d’audit afin d’évaluer si la
présentation d’ensemble des états financiers, y compris les informations
fournies, est conforme au référentiel d’information financière applicable.
(Réf.: par. A59)
24. En se fondant sur les procédures d’audit mises en œuvre et les éléments
probants obtenus, l’auditeur doit apprécier, avant de conclure l’audit, si les
évaluations des risques d’anomalies significatives au niveau des assertions
demeurent valables. (Réf. : par. A60 et A61)
25. L’auditeur doit conclure sur le caractère suffisant et approprié des éléments
probants réunis. Pour se former une opinion, il doit tenir compte de tous les
éléments probants pertinents, qu’ils semblent corroborer ou contredire les
assertions contenues dans les états financiers. (Réf. : par. A62)
26. Faute d’avoir obtenu des éléments probants suffisants et appropriés sur une
assertion importante contenue dans les états financiers, l’auditeur doit
chercher à obtenir des éléments probants complémentaires. S’il n’est pas en
mesure de réunir des éléments probants suffisants et appropriés, il doit
exprimer une opinion avec réserve ou formuler une impossibilité d’exprimer
une opinion sur les états financiers.
Documentation
a) les réponses globales adoptées par suite de son évaluation des risques d’anomalies
significatives au niveau des états financiers ainsi que la nature, le calendrier et l’étendue des
procédures d’audit complémentaires mises en œuvre;
b) le lien entre ces procédures et son évaluation des risques au niveau des assertions;
c) les résultats des procédures d’audit, y compris les conclusions lorsqu’elles ne ressortent pas
clairement. (Réf. : par. A63)
A6. Le calendrier d’une procédure d’audit a trait au pertinents. Par exemple, lors d’un audit précédent,
moment de sa mise en œuvre, ou à la période ou à la date à l’auditeur peut avoir déterminé qu’un contrôle automatisé
laquelle se rapportent les éléments probants. fonctionnait comme prévu. Il peut alors recueillir des
A7. L’étendue d’une procédure d’audit a trait à l’aspect éléments probants qui lui permettent de déterminer si le
quantitatif, par exemple la taille d’un échantillon ou le contrôle en question a fait l’objet de modifications affectant
nombre d’observations physiques concernant une activité l’efficacité continue de son fonctionnement, par exemple
de contrôle. par des demandes d’informations auprès de la direction et
A8. Le fait de concevoir et de mettre en œuvre des par l’inspection des journaux des interventions indiquant
procédures d’audit complémentaires dont la nature, le les contrôles qui ont été modifiés. La prise en considération
calendrier et l’étendue sont fonction de l’évaluation des des éléments probants portant sur ces modifications peut
risques d’anomalies significatives au niveau des assertions entraîner soit une augmentation, soit une diminution, des
permet d’établir un lien clair entre les procédures d’audit éléments probants à obtenir pendant la période en cours
complémentaires de l’auditeur et l’évaluation des risques. relativement à l’efficacité du fonctionnement de ces
Réponse à l’évaluation des risques au niveau des assertions contrôles.
(Réf. : alinéa 7 a)) Contrôles modifiés depuis les audits précédents (Réf. :
Nature alinéa 14 a))
A9. L’évaluation des risques faite par l’auditeur peut A36. Il peut arriver que des changements réduisent la
influer tant sur les types de procédures d’audit à mettre en pertinence des éléments probants obtenus lors des audits
œuvre que sur leur association. Par exemple, lorsqu’il précédents au point de leur faire perdre toute utilité pour
évalue le risque à un niveau élevé, l’auditeur peut se faire l’audit en cours. Par exemple, s’il est peu probable que des
confirmer l’exhaustivité des clauses d’un contrat par l’autre modifications apportées à un système pour lui faire
partie au contrat, en plus d’inspecter lui-même le produire un nouveau type de rapport utilisable par l’entité
document. Par ailleurs, certaines procédures d’audit réduisent la pertinence des éléments probants recueillis lors
peuvent convenir davantage à certaines assertions qu’à d’un audit précédent, en revanche, une modification du
d’autres. Ainsi, dans le cas des produits, des tests des système qui implique que des données soient désormais
contrôles peuvent représenter la réponse la plus adaptée à cumulées ou calculées différemment en réduit la
l’évaluation d’un risque d’anomalies concernant l’assertion pertinence.
sur l’exhaustivité, tandis que des procédures de Contrôles inchangés depuis les audits précédents (Réf. :
corroboration peuvent être la meilleure réponse à alinéa 14 b))
l’évaluation d’un risque d’anomalies concernant l’assertion A37. La décision de l’auditeur de s’appuyer ou non sur des
sur la réalité. éléments probants obtenus lors d’audits précédents pour
A10. Les raisons qui ont conduit l’auditeur à évaluer un des contrôles qui :
risque comme il l’a fait sont pertinentes pour la a) d’une part, n’ont subi aucun changement depuis les
détermination de la nature des procédures d’audit. Par derniers tests auxquels ils ont été soumis, b) d’autre part,
exemple, si un niveau de risque est considéré comme faible n’ont pas pour effet d’atténuer un risque important,
en raison des caractéristiques particulières d’une catégorie relève du jugement professionnel. Par ailleurs, la durée du
donnée d’opérations, indépendamment des contrôles les délai que l’auditeur peut laisser s’écouler avant de retester
concernant, l’auditeur peut décider que la mise en œuvre de ces contrôles relève également du jugement professionnel,
procédures analytiques de corroboration est suffisante pour sous réserve que chaque contrôle soit testé au moins une
l’obtention d’éléments probants suffisants et appropriés. En fois tous les trois audits, ainsi que l’exige l’alinéa 14 b).
revanche, si le niveau de risque est considéré comme faible A38. En général, plus le risque d’anomalies significatives
en raison de certains contrôles internes, et que l’auditeur a est élevé, ou plus l’auditeur s’appuie sur les contrôles, plus
l’intention de concevoir des procédures de corroboration il est probable que le délai avant un nouveau test sera court,
sur la base de cette évaluation, il exécute alors des tests de à supposer que le contrôle ne soit pas soumis à un test lors
ces contrôles, comme l’exige l’alinéa 8 a). Ce peut être le de chaque audit. Les facteurs susceptibles d’avoir pour
cas, par exemple, pour une catégorie d’opérations dotées de effet de réduire ce délai ou de conduire l’auditeur à ne pas
caractéristiques raisonnablement homogènes, dénuées de s’appuyer du tout sur les éléments probants obtenus lors
complexité et qui sont systématiquement traitées et des audits précédents sont notamment :
contrôlées par le système informatique de l’entité. • un environnement de contrôle déficient;
Calendrier • un suivi déficient des contrôles;
A11. L’auditeur peut mettre en œuvre des tests des • l’importance de l’intervention humaine dans le
contrôles ou des procédures de corroboration à une date fonctionnement des contrôles concernés;
intermédiaire ou à la fin de la période. Plus le risque • l’importance de l’incidence des changements de
d’anomalies significatives est élevé, plus il est probable que personnel sur le fonctionnement des contrôles;
l’auditeur décidera qu’il est plus efficace de mettre en • les changements de circonstances qui appellent une
œuvre des procédures de corroboration à la fin de la modification des contrôles;
période ou à une date proche de celle-ci plutôt qu’à une • des contrôles informatiques généraux qui sont déficients.
date antérieure, ou de mettre en œuvre des procédures A39. Lorsqu’il existe un certain nombre de contrôles pour
d’audit non annoncées ou inopinées (par exemple, mettre lesquels l’auditeur a l’intention de s’appuyer sur des
en œuvre des procédures d’audit dans des établissements éléments probants obtenus lors des audits précédents, le fait
sélectionnés sans annonce préalable). De telles décisions de tester certains de ces contrôles au cours de chaque audit
sont particulièrement pertinentes lors de la prise en fournit à l’auditeur des informations confirmant l’efficacité
considération des réponses aux risques de fraude. Ainsi, continue de l’environnement de contrôle. Cela aide
lorsque des risques d’anomalies intentionnelles ou de l’auditeur à décider s’il convient ou non de s’appuyer sur
manipulations ont été identifiés, il peut arriver que des éléments probants obtenus lors des audits précédents.
l’auditeur conclue que des procédures destinées à étendre Évaluation de l’efficacité du fonctionnement des contrôles
jusqu’à la fin de la période les conclusions de ses travaux (Réf. : par. 15 et 16)
réalisés à une date intermédiaire ne seraient pas efficaces. A40. La détection d’une anomalie significative par les
A12. Inversement, la mise en œuvre de procédures d’audit procédures de l’auditeur constitue une indication forte
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
165
avant la fin de la période peut aider l’auditeur à identifier d’une déficience importante du contrôle interne.
les problèmes importants à un stade préliminaire de l’audit A41. Le concept de l’efficacité du fonctionnement des
et donc à les résoudre avec l’assistance de la direction ou à contrôles n’exclut pas la possibilité d’écarts dans la façon
mettre au point une stratégie d’audit efficace en réponse à dont les contrôles sont appliqués par l’entité. Ces écarts par
ces problèmes. rapport aux contrôles prescrits peuvent être causés par des
A13. Par ailleurs, certaines procédures d’audit ne sauraient facteurs tels que des changements dans le personnel clé,
être mises en œuvre avant la date de clôture, par exemple : des fluctuations saisonnières importantes du volume
• la vérification de la concordance des états financiers avec d’opérations ou des erreurs humaines. Le taux d’écart
les documents comptables; relevé, et plus précisément la mesure dans laquelle il
• le contrôle des ajustements effectués lors de la excède le taux d’écart attendu, peut indiquer qu’il n’y a pas
préparation des états financiers; lieu de penser que le contrôle concerné soit suffisant pour
• les procédures répondant au risque que, à la fin de la ramener le risque au niveau des assertions à celui évalué
période, l’entité ait pu conclure des contrats de vente par l’auditeur.
irréguliers ou que des opérations non finalisées aient été Procédures de corroboration (Réf. : par. 17)
comptabilisées. A42. Le paragraphe 18 exige de l’auditeur qu’il conçoive et
A14. Lorsque l’auditeur s’interroge sur le moment de mette en œuvre des procédures de corroboration pour
mettre en œuvre des procédures d’audit, il tient également chaque catégorie d’opérations, chaque solde de compte et
compte des facteurs suivants : chaque information fournie, dès lors qu’ils sont
• l’environnement de contrôle; significatifs, et ce, indépendamment de son évaluation du
• le moment où les informations pertinentes sont risque d’anomalies significatives. Cette exigence reflète le
disponibles (par exemple, certains fichiers informatiques fait : a) que l’évaluation du risque par l’auditeur est affaire
peuvent être ultérieurement écrasés ou l’observation de jugement et ne permet pas nécessairement d’identifier
physique de certaines procédures peut n’être possible qu’à tous les risques d’anomalies significatives, et b) qu’il existe
des moments particuliers); des limites inhérentes au contrôle interne, notamment la
• la nature du risque (par exemple, s’il y a un risque de possibilité de son contournement par la direction.
surévaluation des produits pour satisfaire aux attentes Nature et étendue des procédures de corroboration
concernant les bénéfices, par la création ultérieure de faux A43. Selon le cas, l’auditeur peut déterminer :
contrats de vente, l’auditeur souhaitera peut-être examiner • que la mise en œuvre de procédures analytiques de
les contrats en cours à la fin de la période); corroboration sera suffisante à elle seule pour ramener le
• la période ou la date à laquelle se rapportent les éléments risque d’audit à un niveau suffisamment faible. C’est le cas,
probants. par exemple, lorsque l’évaluation du risque faite par
Étendue l’auditeur est étayée par des éléments probants obtenus au
A15. Pour juger de l’étendue à donner à une procédure moyen de tests des contrôles;
d’audit, l’auditeur tient compte du seuil de signification, de • que seuls des tests de détail conviennent;
son évaluation du risque et du niveau d’assurance qu’il • que la meilleure réponse à l’évaluation du risque consiste
souhaite obtenir. Lorsque plusieurs procédures sont à associer des procédures analytiques de corroboration à
exécutées en association en vue d’un seul objectif, des tests de détail.
l’auditeur s’interroge séparément sur l’étendue de chaque A44. Les procédures analytiques de corroboration sont
procédure. En général, l’étendue des procédures d’audit généralement plus adaptées à des volumes importants
sera d’autant plus grande que le risque d’anomalies d’opérations qui ont tendance à devenir prévisibles au fil du
significatives est élevé. Par exemple, pour répondre à temps. La norme 3520 définit des exigences et fournit des
l’évaluation du risque d’anomalies significatives résultant indications concernant la mise en œuvre de procédures
de fraudes, il peut être approprié d’augmenter la taille des analytiques au cours d’un audit.
échantillons ou de mettre en œuvre des procédures A45. La conception des tests de détail est influencée par la
analytiques de corroboration à un niveau de détail plus nature du risque et celle de l’assertion. Par exemple, les
poussé. Cela dit, augmenter l’étendue d’une procédure tests de détail relatifs aux assertions sur l’existence ou sur
d’audit n’est efficace que si la procédure d’audit est la réalité peuvent impliquer de sélectionner des éléments
pertinente par rapport au risque considéré. dans un poste des états financiers et d’obtenir des éléments
A16. L’utilisation de techniques d’audit assistées par probants les concernant. En revanche, les tests de détail
ordinateur peut permettre des tests de plus grande ampleur relatifs à l’assertion sur l’exhaustivité peuvent consister à
des opérations automatisées et des fichiers comptables, ce sélectionner des éléments que devrait normalement
qui peut être utile lorsque l’auditeur décide de modifier contenir un poste des états financiers et à vérifier si ces
l’étendue des tests, par exemple en réponse aux risques éléments s’y trouvent effectivement.
d’anomalies significatives résultant de fraudes. Ces A46. Étant donné que l’évaluation du risque d’anomalies
techniques peuvent être utilisées pour sélectionner des significatives tient compte du contrôle interne, il se peut
échantillons d’opérations dans des fichiers électroniques qu’il faille augmenter l’étendue des procédures de
clés, trier des opérations dotées de certaines corroboration lorsque les résultats des tests des contrôles ne
caractéristiques particulières ou tester une population sont pas satisfaisants. Cela dit, augmenter ainsi l’étendue
entière plutôt qu’un échantillon. d’une procédure d’audit n’est approprié que si cette
Considérations propres aux entités du secteur public dernière est pertinente par rapport au risque considéré.
A17. Lorsque l’audit porte sur une entité du secteur public, A47. Lors de la conception des tests de détail, l’étendue des
la détermination de la nature, du calendrier et de l’étendue tests est souvent envisagée en termes de taille de
des procédures d’audit complémentaires peut être l’échantillon. Toutefois, d’autres considérations sont
influencée par le mandat d’audit et par l’existence également pertinentes; on peut notamment se demander s’il
éventuelle d’exigences particulières applicables à la ne serait pas plus efficace d’avoir recours à un autre mode
mission. de sélection d’éléments à des fins de tests. Voir la norme
Considérations propres aux petites entités 3530.
A18. Dans le cas des très petites entités, il peut arriver que Détermination de la nécessité de mettre en œuvre des
les activités de contrôle identifiables par l’auditeur soient procédures de confirmation externe (Réf. : par. 18)
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
166
rares ou que la mesure dans laquelle leur existence ou leur A48. Les procédures de confirmation externe sont souvent
fonctionnement ont été documentés par l’entité soit limitée. pertinentes pour vérifier les assertions relatives à des soldes
En pareille situation, il se peut qu’il soit plus efficient pour de comptes et leurs composantes, mais il n’y a pas lieu de
l’auditeur de privilégier les procédures de corroboration limiter leur utilisation à ces seuls éléments. Par exemple,
dans le choix de ses procédures d’audit complémentaires. l’auditeur peut demander une confirmation externe des
Dans de rares cas, par ailleurs, l’absence d’activités ou termes d’accords, de contrats ou d’opérations que l’entité a
d’autres éléments de contrôle peut rendre impossible conclus avec des tiers. Les confirmations externes peuvent
l’obtention d’éléments probants suffisants et appropriés. également être utilisées pour obtenir des éléments probants
Risque élevé (Réf. : alinéa 7 b)) quant à l’absence de certaines conditions. Par exemple, une
A19. Lorsque, par suite de son évaluation, l’auditeur demande peut viser spécifiquement à faire confirmer
considère que le risque est élevé et qu’il cherche à obtenir l’absence d’un «accord parallèle» qui pourrait être pertinent
des éléments probants plus convaincants, il peut en en ce qui concerne l’assertion relative à la séparation des
recueillir un plus grand nombre ou en recueillir qui soient périodes pour la comptabilisation des produits de l’entité.
plus pertinents et plus fiables, par exemple en accordant Les procédures de confirmation externe peuvent aussi
plus d’importance à des éléments émanant de tiers ou à des fournir des éléments probants pertinents, dans le cadre des
éléments corroborant provenant de plusieurs sources réponses de l’auditeur à son évaluation des risques
indépendantes. d’anomalies significatives, à l’égard par exemple :
Test des contrôles • des soldes de comptes bancaires et d’autres informations
Conception et mise en œuvre des tests des contrôles (Réf. : concernant les relations avec les banques;
par. 7) • des soldes et conditions des comptes clients;
A20. Seuls sont soumis à des tests les contrôles que • des stocks détenus par des tiers soit en entrepôt de douane
l’auditeur juge correctement conçus pour prévenir, ou en attente de traitement, soit en consignation;
détecter et corriger, une anomalie significative concernant • des titres de propriété déposés en garde ou en
une assertion. Lorsque des contrôles substantiellement nantissement auprès d’avocats ou d’établissements
différents ont été appliqués à divers moments de la période financiers;
auditée, chacun de ces contrôles est pris en considération • des valeurs mobilières sous la garde de tiers, ou achetées
séparément. de courtiers en valeurs mobilières mais non encore livrées à
A21. Il existe une différence entre tester l’efficacité du la date de clôture;
fonctionnement des contrôles, d’une part, et comprendre et • des montants dus à des prêteurs, y compris les modalités
évaluer leur conception et leur mise en place, d’autre part. de remboursement pertinentes et les clauses restrictives;
Cependant, les mêmes types de procédures sont appliqués • des soldes et conditions des comptes fournisseurs.
dans les deux cas. L’auditeur peut donc juger efficient de A49. Les confirmations externes peuvent fournir des
procéder simultanément au test de l’efficacité du éléments probants pertinents à l’égard de certaines
fonctionnement des contrôles, ainsi qu’à l’évaluation de assertions, mais des éléments probants moins pertinents
leur conception et à la vérification de leur mise en place. dans le cas d’autres assertions. Par exemple, elles
A22. En outre, il peut arriver que, sans avoir été fournissent des éléments probants moins pertinents en ce
expressément conçues pour tester les contrôles, certaines qui concerne la recouvrabilité des soldes de comptes clients
procédures d’évaluation des risques fournissent des qu’en ce qui concerne leur existence.
éléments probants sur l’efficacité de leur fonctionnement A50. L’auditeur peut déterminer que les procédures de
et, partant, servent de tests des contrôles. Par exemple, dans confirmation externe mises en œuvre dans un but donné
le cadre de ses procédures d’évaluation des risques, procurent l’occasion d’obtenir des éléments probants sur
l’auditeur peut avoir : d’autres questions. Par exemple, les demandes de
• demandé à la direction des informations sur l’utilisation confirmation portant sur des soldes de comptes bancaires
qu’elle fait des budgets; comportent souvent des demandes d’informations
• observé le processus suivi par la direction pour comparer pertinentes pour d’autres assertions contenues dans les états
les charges mensuelles budgétées et les charges réelles; financiers. De telles considérations peuvent influer sur la
• examiné les rapports d’analyse des écarts entre les décision de l’auditeur de mettre en œuvre ou non des
montants budgétés et les montants réels. procédures de confirmation externe.
Non seulement ces procédures renseignent l’auditeur sur la A51. Voici d’autres facteurs qui peuvent aider l’auditeur à
conception des politiques budgétaires de l’entité et sur la déterminer si des procédures de confirmation externe
réalité de leur application, mais elles peuvent aussi lui doivent être mises en œuvre en tant que procédures de
fournir des éléments probants sur l’efficacité du corroboration :
fonctionnement des politiques budgétaires de l’entité pour • la connaissance qu’a le tiers de l’objet de la demande de
ce qui concerne la prévention ou la détection des anomalies confirmation — il se peut que les réponses soient plus
significatives dans le classement des charges. fiables si la personne qui répond au nom du tiers a une
A23. De plus, l’auditeur peut concevoir un test des connaissance suffisante de l’information à confirmer;
contrôles à mettre en œuvre conjointement avec un test de • la capacité et la volonté de répondre du tiers visé. Il se
détail portant sur la même opération. Bien que le test des peut par exemple que le tiers :
contrôles n’ait pas le même objectif que le test de détail, la o refuse d’assumer la responsabilité liée à la réponse à une
simultanéité d’exécution est possible, et l’on peut alors demande de confirmation,
parler de test à double objectif. Par exemple, l’auditeur peut o considère que le processus de réponse est trop coûteux ou
concevoir un test et en évaluer les résultats dans le cadre de prend trop de temps,
l’examen d’une facture pour, d’une part, déterminer si elle o craigne de voir sa responsabilité éventuellement engagée
a été approuvée et, d’autre part, obtenir un élément probant du fait de sa réponse,
corroborant une opération. Pour concevoir un test à double o comptabilise les opérations dans des monnaies
objectif comme pour en évaluer les résultats, l’auditeur différentes,
considère chaque objectif séparément. o exerce ses activités dans un environnement où le fait de
A24. Dans certaines situations, l’auditeur peut conclure à répondre à des demandes de confirmation ne constitue pas
l’impossibilité de concevoir des procédures de un aspect important des activités courantes.
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
167
corroboration qui soient assez efficaces pour fournir à elles En pareil cas, il se peut que les tiers ne répondent pas,
seules des éléments probants suffisants et appropriés au répondent à la légère ou tentent de limiter la confiance à
niveau des assertions3. Ce peut être le cas lorsqu’une entité accorder à la réponse;
dont le fonctionnement est informatisé ne produit ou ne • l’objectivité du tiers – si le tiers est une partie liée à
conserve aucune documentation sur ses opérations, si ce l’entité, il se peut que les réponses aux demandes de
n’est dans le système informatique. En pareil cas, l’alinéa 8 confirmation soient moins fiables.
b) exige que l’auditeur soumette les contrôles concernés à Procédures de corroboration liées au processus de
des tests. finalisation des états financiers (Réf. : alinéa 20 b))
Éléments probants et intention de s’appuyer sur les A52. La nature ainsi que l’étendue de la vérification, par
contrôles (Réf. : par. 8) l’auditeur, des écritures de journal et des autres ajustements
A25. L’auditeur peut chercher à obtenir un niveau sont fonction de la nature et de la complexité du processus
d’assurance plus élevé quant à l’efficacité du d’information financière de l’entité et des risques
fonctionnement des contrôles lorsque sa stratégie consiste d’anomalies significatives y afférents.
principalement à mettre en œuvre des tests des contrôles, Procédures de corroboration en réponse aux risques
surtout si l’obtention d’éléments probants suffisants et importants (Réf. : par. 20)
appropriés n’est pas possible ou faisable en pratique au A53. Le paragraphe 20 de la présente norme exige de
moyen de procédures de corroboration seulement. l’auditeur qu’il mette en œuvre des procédures de
Nature et étendue des tests des contrôles corroboration répondant spécifiquement aux risques qu’il a
Autres procédures d’audit associées aux demandes définis comme étant importants. Les éléments probants
d’informations (Réf. : alinéa 10 a)) obtenus sous forme de confirmations externes que
A26. Les demandes d’informations ne permettent pas à l’auditeur reçoit directement de tiers compétents peuvent
elles seules de tester l’efficacité du fonctionnement des contribuer à l’obtention des éléments probants caractérisés
contrôles. En conséquence, d’autres procédures sont mises par le haut niveau de fiabilité dont il a besoin pour répondre
en œuvre en association avec elles. À cet égard, aux risques importants d’anomalies significatives, que
l’association de demandes d’informations et de procédures celles-ci résultent de fraudes ou d’erreurs. Par exemple, si
d’inspection ou de réexécution peut fournir un niveau plus l’auditeur constate que la direction subit des pressions pour
élevé d’assurance que l’association de demandes atteindre les résultats attendus, il peut y avoir un risque
d’informations et de procédures d’observation physique, qu’elle gonfle le chiffre d’affaires en comptabilisant
car celles-ci ne valent que pour le moment où elles sont indûment des produits dont la comptabilisation n’est pas
réalisées. permise en raison des modalités des contrats de vente ou en
A27. Le type de procédure requis pour obtenir des éléments facturant des ventes avant l’expédition. En pareil cas,
probants quant à l’efficacité du fonctionnement d’un l’auditeur peut, par exemple, concevoir des procédures de
contrôle est fonction de la nature de celui-ci. Par exemple, confirmation externe pour faire confirmer non seulement
lorsque l’efficacité du fonctionnement est documentée, les soldes de compte, mais aussi les termes des contrats de
l’auditeur peut décider d’inspecter les documents pour vente, y compris la date, les conditions de reprise
obtenir des éléments probants attestant cette efficacité. Il éventuelle de la marchandise et les modalités de livraison.
arrive en revanche que certains contrôles ne fassent l’objet De plus, il peut juger efficace de compléter ces procédures
d’aucune documentation, du moins pertinente. Par de confirmation externe par des demandes d’informations
exemple, il se peut que ne soit consigné nulle part le auprès du personnel non financier de l’entité afin de
fonctionnement de certains aspects de l’environnement de vérifier si les termes des contrats de vente ou les modalités
contrôle, tels que la délégation des pouvoirs et des de livraison n’auraient pas été modifiés.
responsabilités, ou de certains types d’activités de contrôle, Calendrier des procédures de corroboration (Réf. : par. 21
telles que celles qui sont exécutées par un ordinateur. En et 22)
pareille situation, les éléments probants portant sur A54. Dans la plupart des cas, il y a peu ou pas d’éléments
l’efficacité du fonctionnement peuvent être obtenus par des probants obtenus par la mise en œuvre de procédures de
demandes d’informations en association avec d’autres corroboration lors d’un audit précédent qui demeurent
procédures d’audit, comme l’observation ou les techniques pertinents pour la période considérée. Il existe toutefois des
d’audit assistées par ordinateur. exceptions. Ainsi, un avis juridique obtenu lors d’un audit
Étendue des tests des contrôles précédent au sujet d’une structure de titrisation qui n’a subi
A28. Lorsque des éléments probants plus convaincants sont aucune modification depuis peut être encore pertinent pour
nécessaires pour pouvoir attester l’efficacité d’un contrôle, la période considérée. Dans de tels cas, il peut être
il peut être approprié d’augmenter l’étendue des tests sur ce approprié d’utiliser des éléments probants obtenus par la
contrôle. Pour déterminer l’étendue des tests des contrôles, mise en œuvre de procédures de corroboration lors d’un
outre la mesure dans laquelle il compte s’appuyer sur les audit précédent, pourvu que ni les éléments probants ni leur
contrôles, l’auditeur peut tenir compte des éléments objet n’aient fondamentalement changé et que des
suivants : procédures d’audit aient été mises en œuvre pour la période
• la fréquence de l’exécution du contrôle par l’entité considérée de manière à établir que ces éléments probants
pendant la période; n’ont rien perdu de leur pertinence.
• la durée, au cours de la période auditée, pour laquelle il Utilisation d’éléments probants obtenus au cours d’une
s’appuie sur l’efficacité du fonctionnement du contrôle; période intermédiaire (Réf. : par. 21)
• le taux d’écarts attendu par rapport au contrôle; A55. Dans certains cas, l’auditeur peut juger efficace de
• la pertinence et la fiabilité des éléments probants à obtenir mettre en œuvre des procédures de corroboration à une date
concernant l’efficacité du fonctionnement du contrôle au intermédiaire et d’effectuer une comparaison et un
niveau d’une assertion; rapprochement des informations sur les soldes de clôture
• la mesure dans laquelle des éléments probants sont avec les informations correspondantes recueillies à la date
obtenus en testant d’autres contrôles relatifs à l’assertion. intermédiaire afin :
La norme 3530 contient des indications complémentaires a) d’identifier les montants qui paraissent inhabituels;
sur l’étendue à donner aux tests. b) de procéder à des investigations sur ces montants;
A29. En raison de l’uniformité inhérente au traitement c) de procéder, pour le restant de l’exercice, à des
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
168
informatique, il se peut qu’il ne soit pas nécessaire procédures analytiques de corroboration ou à des tests de
d’augmenter l’étendue des tests sur un contrôle automatisé. détail.
On peut s’attendre au fonctionnement uniforme d’un A56. Lorsque l’auditeur met en œuvre des procédures de
contrôle automatisé tant que le programme (y compris les corroboration à une date intermédiaire, sans en réaliser
tables, les fichiers et les autres données permanentes d’autres à une date ultérieure, il s’expose à un risque accru
utilisés par le programme) n’est pas modifié. Une fois que de ne pas détecter des anomalies pouvant exister à la fin de
l’auditeur a déterminé qu’un contrôle automatisé l’exercice. Ce risque est d’autant plus grand que la partie de
fonctionne comme prévu (ce qu’il peut faire lors de la mise l’exercice restant à couvrir est longue. Les facteurs
en place initiale du contrôle ou à toute autre date), il peut suivants, entre autres, peuvent influer sur la décision de
envisager d’effectuer des tests pour vérifier que le contrôle mettre en œuvre ou non des procédures de corroboration à
continue de fonctionner efficacement. Les tests peuvent une date intermédiaire :
notamment consister à vérifier que : • l’environnement de contrôle et les autres contrôles
• des modifications ne sont pas apportées au programme pertinents;
sans être soumises à des contrôles appropriés; • la disponibilité, à une date ultérieure, d’informations
• la version autorisée du programme est utilisée pour le nécessaires à la mise en œuvre des procédures d’audit;
traitement des opérations; • le but de la procédure de corroboration;
• d’autres contrôles généraux pertinents sont efficaces. • l’évaluation du risque d’anomalies significatives;
Ces tests peuvent aussi consister à vérifier que les • la nature de la catégorie d’opérations ou du solde de
programmes n’ont pas subi de modifications, par exemple compte et les assertions sous-jacentes;
dans le cas où l’entité utilise des logiciels d’application • la possibilité, pour l’auditeur, de mettre en œuvre, pour le
prêts à l’emploi sans les modifier ni les mettre à jour. restant de l’exercice, des procédures de corroboration
Ainsi, l’auditeur peut inspecter les archives du service appropriées ou des procédures de corroboration associées à
chargé de la sécurité informatique pour obtenir des des tests des contrôles, afin de réduire le risque de non-
éléments probants montrant qu’aucun accès non autorisé détection d’anomalies existant à la fin de l’exercice.
n’a eu lieu pendant la période considérée. A57. Les facteurs suivants, entre autres, peuvent influer sur
Tests des contrôles indirects (Réf. : alinéa 10 b)) la décision de mettre en œuvre des procédures analytiques
A30. Dans certaines situations, il peut être nécessaire de corroboration pour la période comprise entre la date
d’obtenir des éléments probants attestant l’efficacité du intermédiaire et la fin de l’exercice :
fonctionnement de contrôles indirects. Par exemple, • le caractère raisonnablement prévisible ou non des
lorsque l’auditeur décide de tester la revue faite par un données de clôture des catégories d’opérations ou des
utilisateur des relevés des écarts correspondant à des soldes de comptes concernés pour ce qui est de leur
dépassements de la limite de crédit autorisée par client, montant, de leur importance relative et des éléments qui les
cette revue de l’utilisateur et le suivi qui en découle composent;
constituent le contrôle directement pertinent pour • le caractère approprié ou non des procédures de l’entité
l’auditeur. Les contrôles portant sur l’exactitude des pour l’analyse et l’ajustement de ces catégories
informations contenues dans les relevés (par exemple, les d’opérations ou soldes de comptes à des dates
contrôles généraux auxquels sont soumis les systèmes intermédiaires ainsi que de ses procédures de séparation
informatiques) sont qualifiés de contrôles «indirects». des exercices;
A31. En raison de l’uniformité inhérente au traitement • la fourniture ou non, par le système pertinent pour
informatique, les éléments probants concernant la mise en l’information financière, d’informations suffisantes sur les
place d’un contrôle d’application automatisé, considérés soldes de clôture et les opérations réalisées pendant le
conjointement avec les éléments probants obtenus sur restant de l’exercice pour permettre de procéder à des
l’efficacité du fonctionnement des contrôles généraux de investigations sur :
l’entité (en particulier, les contrôles sur les modifications a) les opérations ou les écritures inhabituelles importantes
de programmes), peuvent aussi fournir des éléments (y compris celles intervenues à la fin de l’exercice ou à une
probants substantiels quant à l’efficacité du fonctionnement date qui en est proche),
du contrôle d’application en question. b) les autres causes de variations importantes, ou les
Calendrier des tests des contrôles variations prévues qui ne se sont pas produites,
Période pour laquelle l’auditeur a l’intention de s’appuyer c) les changements dans la composition des catégories
sur les contrôles (Réf. : par. 10) d’opérations ou des soldes de comptes.
A32. Il peut arriver que des éléments probants qui se Anomalies détectées à une date intermédiaire (Réf. : par.
rapportent uniquement à un moment précis soient suffisants 22)
pour satisfaire à l’objectif de l’auditeur, par exemple dans A58. Lorsque l’auditeur conclut à la nécessité de modifier
le cas d’un test des contrôles portant sur la prise la nature, le calendrier ou l’étendue prévus des procédures
d’inventaire physique de fin de période. Si, en revanche, de corroboration couvrant le restant de l’exercice parce
l’auditeur qu’il a détecté des anomalies inattendues à une date
intermédiaire, il peut notamment étendre ou répéter à la fin
de l’exercice les procédures mises en œuvre à la date
intermédiaire.
Caractère adéquat de la présentation et des éléments de l’information financière tout en respectant la
informations fournies (Réf. : par. 23) forme, la disposition et le contenu attendus des états
A59. Évaluer la présentation des états financiers dans leur financiers et des notes annexes. Sont visés, par exemple, la
ensemble, y compris les informations fournies, revient à se terminologie employée, la quantité de détails fournis, le
demander si la présentation de chacun des états financiers classement des éléments dans les états financiers et les
traduit le classement et la description appropriés des divers modes de détermination des montants présentés
Évaluation du caractère suffisant et approprié des La norme 2315 donne de plus amples indications sur la
éléments probants obtenus (Réf. : par. 24 à 26) révision de l’évaluation des risques par l’auditeur7.
A60. Un audit d’états financiers est un processus cumulatif A61. L’auditeur ne peut présumer qu’un cas de fraude ou
et itératif. À mesure que l’auditeur met en œuvre des d’erreur est un fait isolé. C’est pourquoi, pour déterminer si
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
169
procédures d’audit prévues, les éléments probants qu’il son évaluation demeure valable ou non, il importe qu’il
recueille peuvent le conduire à modifier la nature, le tienne compte des répercussions de la détection d’une
calendrier ou l’étendue d’autres procédures prévues. Il peut anomalie sur son évaluation des risques d’anomalies
prendre connaissance d’informations qui diffèrent significatives.
sensiblement de celles sur lesquelles il s’est fondé pour son A62. Le jugement de l’auditeur quant au caractère suffisant
évaluation des risques. Par exemple : et approprié des éléments probants est influencé notamment
• il peut arriver que l’étendue des anomalies détectées à par les facteurs suivants :
l’occasion de la mise en œuvre de procédures de • l’importance d’une anomalie potentielle dans une
corroboration amène l’auditeur à modifier son évaluation assertion et la probabilité que, seule ou cumulée avec
du risque et indique une déficience importante du contrôle d’autres, elle ait une incidence significative sur les états
interne; financiers;
• l’auditeur peut découvrir des cas de non-concordance • l’efficacité des dispositions prises et des contrôles mis en
dans les documents comptables ou constater que certaines place par la direction pour répondre aux risques;
pièces justificatives sont manquantes ou contradictoires; • l’expérience acquise au cours des audits précédents
• la mise en œuvre de procédures analytiques à l’étape de la concernant des anomalies potentielles similaires;
revue d’ensemble de l’audit peut révéler l’existence d’un • les résultats des procédures d’audit mises en œuvre, selon
risque d’anomalies significatives passé jusque-là inaperçu. notamment qu’elles ont permis de mettre en lumière ou non
En pareil cas, l’auditeur peut devoir réévaluer les des cas précis de fraude ou d’erreur;
procédures d’audit prévues, compte tenu de sa nouvelle • la source et la fiabilité des informations disponibles;
évaluation des risques relative à l’ensemble ou à une partie • le caractère convaincant des éléments probants;
des catégories d’opérations, des soldes de comptes ou des • la compréhension de l’entité et de son environnement, y
informations fournies et des assertions sous-jacentes. compris de son contrôle interne.
Documentation (Réf. : par. 27) le degré de disponibilité des informations en provenance de
A63. La forme et l’étendue de la documentation de l’audit l’entité ainsi que les méthodes et techniques d’audit
relèvent du jugement professionnel et varient selon la employées.
nature, la taille et la complexité de l’entité et de son
contrôle interne,
La Norme d’audit 2402 doit être lue conjointement avec la norme 1200, Objectifs généraux de l’auditeur
indépendant et réalisation d’un audit conforme aux Normes internationales.
2. De nombreuses entités confient certains aspects de leurs activités à des sociétés dont les
prestations de services vont de l’exécution d’une tâche spécifique sous la direction de l’entité
à la prise en charge complète d’unités ou de fonctions de l’entité, telle la fonction de
conformité fiscale. Beaucoup de services fournis par ces sociétés sont indispensables au
fonctionnement de l’entité, mais ils ne sont pas tous pertinents pour l’audit.
3. Les prestations d’une société de services sont pertinentes pour l’audit des états financiers
d’une entité utilisatrice lorsque les prestations fournies, ainsi que les contrôles exercés sur
celles-ci, font partie du système d’information de l’entité utilisatrice (y compris les processus
opérationnels connexes) pertinent pour l’information financière. Bien qu’il y ait de bonnes
chances que la plupart des contrôles de la société de services aient rapport à l’information
financière, il se peut que d’autres contrôles soient pertinents pour l’audit, notamment ceux
mis en place pour la sauvegarde des actifs. Les prestations fournies par la société de services
font partie du système d’information de l’entité utilisatrice (y compris les processus
opérationnels connexes) pertinent pour l’information financière si elles concernent l’un
quelconque des éléments suivants :
a) les catégories d’opérations conclues dans le cadre des activités de l’entité utilisatrice qui
sont importantes par rapport aux états financiers de celle-ci;
b) les procédures suivies, tant dans les systèmes informatisés que dans les systèmes manuels,
pour le déclenchement, l’enregistrement, le traitement, la correction au besoin, le report au
grand livre général et la communication dans les états financiers des opérations de l’entité
utilisatrice;
c) les documents comptables connexes, sur support électronique ou papier, les informations
justificatives et les comptes spécifiques des états financiers de l’entité utilisatrice qui servent
au déclenchement, à l’enregistrement, au traitement et à la communication des opérations de
l’entité utilisatrice, ce qui comprend la correction des informations erronées et la manière
dont les informations sont reportées au grand livre général;
e) le processus d’information financière utilisé pour préparer les états financiers de l’entité
utilisatrice, y compris les estimations comptables importantes et les informations importantes
à fournir;
f) les contrôles afférents aux écritures de journal, y compris les écritures non courantes
servant à constater les opérations ou ajustements non récurrents ou inhabituels.
5. La présente norme ne s’applique pas aux prestations d’un établissement financier qui se
limitent au traitement d’opérations de l’entité expressément autorisées par elle dans un
compte de l’entité à cet établissement financier, par exemple le traitement par une banque des
opérations d’un compte chèque ou l’exécution d’ordres par un courtier en valeurs mobilières.
La présente norme ne s’applique pas non plus à l’audit d’opérations liées à la détention de
participations financières dans d’autres entités, comme des sociétés de personnes, des
sociétés par actions ou des coentreprises, lorsque ces participations sont comptabilisées et que
les informations y afférentes sont communiquées à leurs détenteurs.
Objectif
6. Les objectifs de l’auditeur d’une entité utilisatrice qui fait appel aux prestations d’une société
de services sont :
a) d’acquérir une compréhension de la nature et de l’importance des prestations fournies par
la société de services ainsi que de leur effet sur les aspects du contrôle interne de l’entité
utilisatrice pertinents pour l’audit, qui soit suffisante pour lui permettre d’identifier et
d’évaluer les risques d’anomalies significatives;
Définition
7. Dans les normes d’audit, on entend par :
a) «contrôles complémentaires de l’entité utilisatrice», les contrôles dont la société de services
suppose, lors de la conception de ses prestations, qu’ils seront mis en place par les entités
utilisatrices et qui, s’ils sont nécessaires pour atteindre des objectifs de contrôle, sont identifiés
dans la description de son système;
ii) un rapport de l’auditeur de la société de services, dont l’objectif est de fournir un niveau
d’assurance raisonnable, qui contient l’opinion de l’auditeur de la société de services sur la
description du système de la société de services, de ses objectifs de contrôle et de ses contrôles
correspondants ainsi que sur l’adéquation de la conception des contrôles pour atteindre les
objectifs de contrôle décrits;
ii) un rapport de l’auditeur de la société de services, dont l’objectif est de fournir un niveau
d’assurance raisonnable, qui contient :
b. une description des tests des contrôles effectués par l’auditeur de la société de services et
leurs résultats;
e) «société de services», une tierce organisation (ou une subdivision d’une tierce organisation)
qui fournit aux entités utilisatrices des prestations qui font partie intégrante du système
d’information de ces entités pertinent pour l’information financière;
g) «sous-traitant de la société de services», une société de services à laquelle une autre société
de services délègue le soin d’effectuer certaines des prestations qui sont fournies aux entités
utilisatrices et qui font partie intégrante du système d’information de ces entités pertinent pour
l’information financière;
h) «auditeur de l’entité utilisatrice», l’auditeur qui audite les états financiers de l’entité
utilisatrice et délivre un rapport sur ceux-ci;
i) «entité utilisatrice», l’entité qui fait appel à une société de services et dont les états financiers
font l’objet de l’audit.
Exigences
Acquisition d’une compréhension des prestations fournies par la société de services, y compris
le contrôle interne
9. Pour acquérir une compréhension des aspects du contrôle interne pertinents pour l’audit
conformément à la norme 2315, l’auditeur de l’entité utilisatrice doit évaluer la conception et
la mise en place des contrôles pertinents au sein de l’entité utilisatrice qui ont rapport aux
prestations fournies par la société de services, y compris ceux auxquels sont soumises les
opérations traitées par la société de services. (Réf. : par. A12 à A14)
10. L’auditeur de l’entité utilisatrice doit déterminer s’il a acquis une compréhension de la nature
et de l’importance des prestations fournies par la société de services et de leur incidence sur
les aspects du contrôle interne de l’entité utilisatrice pertinents pour l’audit qui soit suffisante
pour pouvoir servir de base à l’identification et à l’évaluation des risques d’anomalies
significatives.
11. Si l’auditeur de l’entité utilisatrice n’est pas en mesure d’acquérir une compréhension
suffisante auprès de l’entité utilisatrice, il doit acquérir cette compréhension en mettant en
œuvre une ou plusieurs des procédures suivantes :
d) faire appel à un autre auditeur afin qu’il mette en œuvre des procédures
qui fourniront les informations nécessaires sur les contrôles pertinents de la
société de services. (Réf. : par. A15 à A20)
12. Pour déterminer le caractère suffisant et approprié des éléments probants fournis par un
rapport de type 1 ou de type 2, l’auditeur de l’entité utilisatrice doit s’assurer :
13. Si l’auditeur de l’entité utilisatrice prévoit d’utiliser un rapport de type 1 ou de type 2 à titre
d’éléments probants pour étayer sa compréhension de la conception et de la mise en place
des contrôles de la société de services, il doit:
14. Pour répondre à son évaluation des risques conformément à la norme 2330, l’auditeur de
l’entité utilisatrice doit :
a) déterminer si les documents comptables détenus par l’entité utilisatrice
contiennent des éléments probants suffisants et appropriés sur les
assertions pertinentes des états financiers;
15. Lorsque son évaluation des risques repose sur l’attente d’un fonctionnement efficace des
contrôles de la société de services, l’auditeur de l’entité utilisatrice doit obtenir des éléments
probants sur l’efficacité du fonctionnement de ces contrôles en mettant en œuvre une ou
plusieurs des procédures suivantes :
a) obtenir un rapport de type 2, s’il y en a un de disponible;
b) effectuer des tests appropriés des contrôles au sein de la société de
services;
c) faire appel à un autre auditeur afin qu’il effectue des tests des contrôles
pour lui au sein de la société de services. (Réf. : par. A29 et A30)
Utilisation d’un rapport de type 2 à titre d’éléments probants attestant que les contrôles de la
société de services fonctionnent efficacement
16. Si, conformément à l’alinéa 16 a), l’auditeur de l’entité utilisatrice prévoit d’utiliser un
rapport de type 2 à titre d’éléments probants attestant du fonctionnement efficace des
contrôles de la société de services, il doit déterminer si le rapport de l’auditeur de la société
de services fournit des éléments probants suffisants et appropriés sur l’efficacité du
fonctionnement des contrôles pour étayer son évaluation des risques. Pour ce faire, l’auditeur
de l’entité utilisatrice doit :
Rapports de type 1 et de type 2 qui excluent les prestations d’un sous-traitant de la société de
services
17. Si l’auditeur de l’entité utilisatrice prévoit d’utiliser un rapport de type 1 ou de type 2 qui
exclut les prestations fournies par un sous-traitant de la société de services et que ces
prestations sont pertinentes pour l’audit des états financiers de l’entité utilisatrice, il doit
soumettre les prestations fournies par le sous-traitant de la société de services aux exigences
de la présente norme ISA. (Réf.: par. A40)
Fraude, non-conformité aux textes légaux et réglementaires et anomalies non corrigées ayant
rapport aux activités de la société de services
19. L’auditeur de l’entité utilisatrice doit exprimer une opinion modifiée dans son rapport
conformément à la norme 5705 lorsqu’il n’est pas en mesure d’obtenir des éléments probants
suffisants et appropriés concernant les prestations fournies par la société de services qui sont
pertinentes pour l’audit des états financiers de l’entité utilisatrice. (Réf : par. A42)
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
176
20. L’auditeur de l’entité utilisatrice ne doit pas faire mention des travaux de l’auditeur de la
société de services dans un rapport où il exprime une opinion d’audit non modifiée, à moins
qu’un texte légal ou réglementaire ne l’y oblige. Il doit alors préciser dans son rapport qu’une
telle mention n’atténue en rien sa responsabilité pour ce qui concerne l’opinion d’audit. (Réf :
par. A43)
21. Si la mention des travaux de l’auditeur de la société de services est utile pour permettre de
comprendre une opinion modifiée exprimée par l’auditeur de l’entité utilisatrice, celui-ci doit
préciser dans son rapport qu’une telle mention n’atténue en rien sa propre responsabilité
pour ce qui concerne cette opinion. (Réf. : par. A44)
utilisatrice dépend de la nature des prestations fournies par peut également décider, pour des raisons pratiques, de
la société de services, notamment la nature et le caractère volontairement fournir un rapport de type 1 ou de type 2
significatif des opérations qu’elle traite pour l’entité aux entités utilisatrices. Toutefois, dans certains cas, il peut
utilisatrice. Dans certains cas, les opérations traitées et les arriver que les entités utilisatrices ne reçoivent aucun
comptes affectés par la société de services peuvent ne pas rapport de type 1 ou de type 2.
paraître significatifs par rapport aux états financiers de A18. Il se peut, dans certains cas, qu’une entité utilisatrice
l’entité utilisatrice, mais la nature des opérations traitées confie une ou plusieurs unités ou fonctions importantes,
peut être importante et il se peut que l’auditeur de l’entité notamment l’ensemble de ses fonctions de planification et
utilisatrice détermine qu’une compréhension des contrôles de conformité fiscales, ou de finance et de comptabilité, ou
de la société de services est nécessaire dans les encore de contrôle financier, à une ou plusieurs sociétés de
circonstances. services. Lorsqu’aucun rapport sur les contrôles de la
Degré d’interaction entre les activités de la société de société de services n’est disponible dans de telles
services et celles de l’entité utilisatrice (Réf. : alinéa 9 c)) circonstances, une visite de la société de services pourrait
A7. L’importance des contrôles de la société de services être la procédure la plus efficace pour permettre à
pour ceux de l’entité utilisatrice dépend également du degré l’auditeur de l’entité utilisatrice d’acquérir une
d’interaction entre ses activités et celles de l’entité compréhension des contrôles de la société de services, car
utilisatrice. Le degré d’interaction s’entend de la mesure il est probable qu’il y aura alors une interaction directe
dans laquelle une entité utilisatrice a la possibilité, et entre la direction de l’entité utilisatrice et celle de la société
décide, de mettre en place des contrôles efficaces sur les de services.
opérations traitées par la société de services. Par exemple, A19. Il est possible de faire appel à un autre auditeur afin
il existe un degré d’interaction élevé entre les activités de qu’il mette en œuvre des procédures qui fourniront les
l’entité utilisatrice et celles de la société de services lorsque informations nécessaires sur les contrôles pertinents de la
l’entité utilisatrice autorise les opérations et la société de société de services. Lorsqu’un rapport de type 1 ou de type
services traite les opérations et les comptabilise. Dans ces 2 a été délivré, l’auditeur de l’entité utilisatrice peut
circonstances, il peut être faisable en pratique pour l’entité charger l’auditeur de la société de services de mettre en
utilisatrice de mettre en place des contrôles efficaces sur œuvre ces procédures, puisque ce dernier est déjà en
ces opérations. Toutefois, lorsque la société de services relation avec la société de services. Les indications de la
procède au déclenchement ou à l’enregistrement initial des norme 4600 peuvent se révéler utiles pour l’auditeur de
opérations de l’entité utilisatrice, les traite et les l’entité utilisatrice qui utilise les travaux d’un autre
comptabilise, il existe un degré d’interaction moins élevé auditeur, car elles traitent de la connaissance de l’autre
entre les deux entités. Dans ces circonstances, l’entité auditeur (notamment en ce qui a trait à son indépendance et
utilisatrice peut se trouver dans l’impossibilité de mettre en à sa compétence professionnelle), de l’intervention dans les
place des contrôles efficaces sur ces opérations, ou décider travaux de l’autre auditeur en ce qui concerne la
de ne pas mettre de tels contrôles en place, et s’appuyer sur planification de la nature, du calendrier et de l’étendue de
les contrôles de la société de services. ces travaux et de l’évaluation du caractère suffisant et
Nature des relations entre l’entité utilisatrice et la société de approprié des éléments probants obtenus.
services (Réf. : alinéa 9 d)) A20. Une entité utilisatrice peut faire appel à une société de
A8. Le contrat ou accord sur les niveaux de services conclu services qui, à son tour, fait appel à un sous-traitant pour
entre l’entité utilisatrice et la société de services peut assurer certaines des prestations fournies à l’entité
prévoir des points tels que les suivants : utilisatrice et faisant partie du système d’information de
• les informations à fournir à l’entité utilisatrice et les l’entité utilisatrice pertinent pour l’information financière.
responsabilités quant au déclenchement des opérations liées Le sous-traitant de la société de services peut être une
aux activités prises en charge par la société de services; entité distincte de la société de services ou être lié à celle-
• l’application des exigences des autorités de ci. L’auditeur de l’entité utilisatrice peut avoir à tenir
réglementation concernant les types de documents à établir compte des contrôles du sous-traitant de la société de
et à tenir à jour, ou l’accès à ces documents; services. Lorsqu’il est fait appel à un ou plusieurs sous-
• l’indemnisation, si indemnisation il y a, à verser à l’entité traitants, l’interaction entre les activités de l’entité
utilisatrice en cas de manquement aux obligations de la utilisatrice et celles de la société de services s’étend à
société de services; l’interaction entre l’entité utilisatrice, la société de services
• si la société de services fournira un rapport sur ses et les sous-traitants de celle-ci. Le degré de cette
contrôles et, dans l’affirmative, s’il s’agira d’un rapport de interaction, ainsi que la nature et le caractère significatif ou
type 1 ou de type 2; non des opérations traitées par la société de services et ses
• si l’auditeur de l’entité utilisatrice a droit d’accès aux sous-traitants constituent les principaux facteurs que
documents comptables de l’entité utilisatrice établis et l’auditeur de l’entité utilisatrice doit prendre en
tenus à jour par la société de services et à d’autres considération dans sa détermination de l’importance des
informations requises pour la réalisation de l’audit; contrôles de la société de services et des sous-traitants de la
• la possibilité ou non d’une communication directe entre société de services pour ceux de l’entité utilisatrice.
l’auditeur de l’entité utilisatrice et l’auditeur de la société
de services. Utilisation d’un rapport de type 1 ou de type 2 pour étayer
A9. Il existe une relation directe entre la société de services la compréhension de la société de services acquise par
et l’entité utilisatrice et entre la société de services et l’auditeur de l’entité utilisatrice
l’auditeur de la société de services. Toutefois, ces relations
ne créent pas nécessairement de relation directe entre A21. L’auditeur de l’entité utilisatrice peut présenter des
l’auditeur de l’entité utilisatrice et l’auditeur de la société demandes d’informations sur l’auditeur de la société de
de services. En l’absence de relation directe entre l’auditeur services auprès du corps professionnel dont l’auditeur de la
de l’entité utilisatrice et l’auditeur de la société de services, société de services est membre ou auprès d’autres
les communications entre les deux se font généralement par professionnels et chercher à savoir s’il est soumis à la
l’entremise de l’entité utilisatrice et de la société de surveillance d’une autorité de réglementation. Il se peut que
services. Une relation directe peut également être créée l’auditeur de la société de services exerce ses activités dans
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
179
entre l’auditeur de l’entité utilisatrice et l’auditeur de la un pays où des normes différentes s’appliquent aux
société de services, compte tenu des règles de déontologie rapports sur les contrôles d’une société de services, et
et des obligations de confidentialité pertinentes. Par l’auditeur de l’entité utilisatrice peut alors obtenir de
exemple, l’auditeur de l’entité utilisatrice peut faire appel à l’information sur les normes suivies par l’auditeur de la
l’auditeur de la société de services afin qu’il mette en société de services auprès de l’organisme de normalisation
œuvre pour lui des procédures telles que : compétent.
a) des tests des contrôles de la société de services; A22. Le rapport de type 1 ou de type 2 ainsi que les
b) des procédures de corroboration sur les opérations et les informations sur l’entité utilisatrice peuvent aider l’auditeur
soldes des états financiers de la société utilisatrice de l’entité utilisatrice à acquérir :
comptabilisés par la société de services. a) une compréhension des aspects des contrôles de la
Considérations propres aux entités du secteur public société de services qui peuvent avoir une incidence sur le
A10. Les auditeurs d’entités du secteur public ont traitement des opérations de l’entité utilisatrice, y compris
généralement des droits d’accès étendus établis par la le recours à des sous-traitants par la société de services;
législation. Toutefois, il arrive que ces droits d’accès ne b) une compréhension du flux des opérations importantes
puissent être exercés, par exemple lorsque la société de au sein de la société de services pour déterminer les étapes
services est située dans un autre pays. Dans ce cas, du cheminement des opérations susceptibles d’entraîner des
l’auditeur de l’entité du secteur public pourrait devoir anomalies significatives dans les états financiers de l’entité
acquérir une compréhension de la législation de cet autre utilisatrice;
pays afin de déterminer si des droits d’accès appropriés c) une compréhension des objectifs de contrôle de la
peuvent être obtenus. Il peut également obtenir, ou société de services qui sont pertinents au regard des
demander à l’entité utilisatrice d’incorporer, des droits assertions contenues dans les états financiers de l’entité
d’accès dans les dispositions contractuelles conclues entre utilisatrice;
l’entité utilisatrice et la société de services. d) une compréhension des contrôles de la société de
A11. Les auditeurs d’entités du secteur public peuvent services permettant de déterminer s’ils sont conçus et mis
également faire appel à un autre auditeur afin qu’il effectue en place de manière à prévenir ou à détecter les erreurs de
pour eux des tests des contrôles ou des procédures de traitement susceptibles d’entraîner des anomalies
corroboration afin de confirmer la conformité aux textes significatives dans les états financiers de l’entité
légaux ou réglementaires ou autres textes émanant d’une utilisatrice.
autorité. Un rapport de type 1 ou de type 2 peut aider l’auditeur de
l’entité utilisatrice à acquérir une compréhension suffisante
Compréhension des contrôles liés aux prestations fournies pour lui permettre d’identifier et d’évaluer les risques
par la société de services d’anomalies significatives. Un rapport de type 1 ne fournit
toutefois aucun élément probant quant à l’efficacité du
A12. L’entité utilisatrice peut établir, sur les prestations de fonctionnement des contrôles pertinents.
la société de services, des contrôles qui peuvent être testés A23. Un rapport de type 1 ou de type 2 qui se rapporte à
par l’auditeur de l’entité utilisatrice et lui permettre de une date ou couvre une période non comprise dans la
conclure au fonctionnement efficace des contrôles pour tout période couverte par les états financiers de l’entité
ou partie des assertions correspondantes, indépendamment utilisatrice faisant l’objet de l’audit, peut néanmoins aider
des contrôles en place au sein de la société de services. Par l’auditeur de l’entité utilisatrice à acquérir une
exemple, lorsqu’une entité utilisatrice a recours à une compréhension préliminaire des contrôles mis en place
société de services pour le traitement de la paie, elle peut dans la société de services, si le rapport est complété par
soumettre la transmission et la réception des données de des informations supplémentaires à jour provenant d’autres
paie à des contrôles susceptibles de prévenir ou de détecter sources. Si la description des contrôles de la société de
les anomalies significatives. Ces contrôles peuvent services se rapporte à une date ou couvre une période qui
consister : précède le début de la période faisant l’objet de l’audit,
• à comparer les données soumises à la société de services l’auditeur de l’entité utilisatrice peut mettre en œuvre des
avec les rapports d’information remis par la société de procédures en vue d’actualiser les informations contenues
services après le traitement de ces données; dans le rapport de type 1 ou de type 2, par exemple :
• à refaire les calculs d’un échantillon des montants liés à la • en s’entretenant des changements survenus au sein de la
paie afin d’en contrôler l’exactitude et de vérifier le société de services avec le personnel de l’entité utilisatrice
caractère raisonnable du montant total de la paie. bien placé pour être au courant de tels changements;
• en passant en revue la documentation et la
correspondance les plus récentes en provenance de la
société de services;
• en s’entretenant des changements avec le personnel de la
société de services.
Réponses à l’évaluation des risques d’anomalies A31. Étant donné qu’un rapport de type 2 peut viser à
significatives répondre aux besoins de différents auditeurs d’entités
A24. L’augmentation ou non du risque d’anomalies utilisatrices, les tests des contrôles et les résultats de ces
significatives pour l’entité utilisatrice du fait du recours à tests décrits dans le rapport de l’auditeur de la société de
une société de services dépend de la nature des prestations services pourraient ne pas être pertinents pour certaines
fournies et des contrôles sur ces prestations. Dans certains assertions importantes contenues dans les états financiers
cas, le recours à une société de services peut réduire le de l’entité utilisatrice. Les tests des contrôles et les résultats
risque d’anomalies significatives, particulièrement si de ces tests qui sont pertinents sont évalués afin de
l’entité utilisatrice ne possède pas elle-même l’expertise s’assurer que le rapport de l’auditeur de la société de
requise pour réaliser certaines activités, par exemple le services fournit des éléments probants suffisants et
déclenchement, le traitement et l’enregistrement des appropriés quant à l’efficacité du fonctionnement des
opérations, ou ne dispose pas des ressources adéquates (par contrôles pour étayer l’évaluation des risques par l’auditeur
exemple, un système informatique). de l’entité utilisatrice. À cet égard, l’auditeur de l’entité
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
180
A25. Lorsqu’une société de services assure la tenue de utilisatrice peut prendre en considération les facteurs
parties significatives des documents comptables de l’entité suivants :
utilisatrice, l’auditeur de cette dernière pourrait avoir a) la période couverte par les tests des contrôles et le temps
besoin d’accéder directement à ces documents afin écoulé depuis la réalisation des tests des contrôles;
d’obtenir des éléments probants suffisants et appropriés b) l’étendue des travaux de l’auditeur de la société de
quant au fonctionnement des contrôles sur les documents services, les prestations et les processus couverts, les
ou d’obtenir une corroboration des opérations et des soldes contrôles testés et les tests effectués, et le lien entre les
qui y sont inscrits, ou les deux. Un tel accès peut impliquer contrôles testés et les contrôles de l’entité utilisatrice;
l’inspection physique des documents dans les locaux de la c) les résultats des tests des contrôles et l’opinion de
société de services ou la consultation des documents sur l’auditeur de la société de services sur l’efficacité du
support électronique depuis les locaux de l’entité fonctionnement des contrôles.
utilisatrice ou ailleurs, ou les deux. Lorsque l’accès direct A32. Pour certaines assertions, plus la période couverte par
se fait électroniquement, l’auditeur de l’entité utilisatrice un test particulier est courte et plus le temps écoulé depuis
peut de ce fait obtenir des éléments probants quant au l’application du test est grand, moins le test fournira
caractère adéquat des contrôles de la société de services sur d’éléments probants. En comparant la période couverte par
l’exactitude et l’intégrité des données de l’entité utilisatrice le rapport de type 2 avec la période d’information
dont est chargée la société de services. financière de l’entité utilisatrice, l’auditeur de celle-ci peut
A26. Pour déterminer la nature et l’étendue des éléments conclure que le rapport de type 2 fournit moins d’éléments
probants à obtenir relativement aux soldes qui représentent probants s’il y a peu de chevauchement entre la période
des actifs détenus ou des opérations prises en charge par la couverte par le rapport et la période pour laquelle l’auditeur
société de services pour le compte de l’entité utilisatrice, de l’entité utilisatrice prévoit s’appuyer sur le rapport.
l’auditeur de l’entité utilisatrice peut envisager de mettre en Lorsque c’est le cas, un rapport de type 2 couvrant la
œuvre les procédures suivantes : période précédente ou subséquente pourrait fournir des
a) inspecter les livres et autres documents détenus par éléments probants additionnels. Dans d’autres cas,
l’entité utilisatrice : la fiabilité de cette source d’éléments l’auditeur de l’entité utilisatrice peut juger nécessaire
probants est fonction de la nature et de l’étendue des d’effectuer, ou de demander à un autre auditeur d’effectuer
documents comptables et des pièces justificatives détenus pour lui, des tests des contrôles au sein de la société de
par l’entité utilisatrice. Dans certains cas, l’entité services afin d’obtenir des éléments probants suffisants et
utilisatrice pourrait ne pas procéder à la tenue d’une appropriés sur l’efficacité du fonctionnement de ces
comptabilité détaillée ou de pièces justificatives concernant contrôles.
les opérations particulières réalisées pour son compte; A33. Il peut également être nécessaire que l’auditeur de
b) inspecter les livres et autres documents détenus par la l’entité utilisatrice obtienne des éléments probants
société de services : l’accès de l’auditeur de l’entité additionnels sur les changements importants apportés aux
utilisatrice aux documents de la société de services peut contrôles pertinents de la société de services en dehors de
être prévu dans les accords contractuels conclus entre la période couverte par le rapport de type 2 ou qu’il
l’entité utilisatrice et la société de services. L’auditeur de détermine des procédures d’audit supplémentaires à mettre
l’entité utilisatrice peut également demander à un autre en œuvre. Parmi les facteurs pertinents pour la
auditeur d’obtenir en son nom l’accès aux documents de détermination des éléments probants additionnels à
l’entité utilisatrice tenus par la société de services; recueillir sur les contrôles de la société de services qui
c) obtenir de la société de services confirmation des soldes fonctionnaient en dehors de la période couverte par le
et des opérations : lorsque l’entité utilisatrice tient à jour rapport de l’auditeur de la société de services, il y a les
une comptabilité autonome des soldes et opérations, une suivants :
confirmation de la société de services corroborant les • l’importance de l’évaluation des risques d’anomalies
documents comptables de l’entité utilisatrice peut fournir significatives au niveau des assertions;
des éléments probants fiables quant à l’existence des • les contrôles spécifiques qui ont été testés pendant la
opérations et actifs concernés. Par exemple, lorsqu’il est période intermédiaire, et les changements importants qui
fait appel à plusieurs sociétés de services, comme un leur ont été apportés depuis, y compris les changements
gestionnaire de portefeuille et un dépositaire, et que ces intervenus dans le système d’information, les processus et
sociétés de services tiennent une comptabilité autonome, le personnel;
l’auditeur de l’entité utilisatrice peut obtenir confirmation • la mesure dans laquelle ont été obtenus des éléments
des soldes auprès de ces sociétés et comparer les probants quant à l’efficacité du fonctionnement de ces
informations recueillies avec les documents comptables contrôles;
autonomes de l’entité utilisatrice. • la durée de la période restant à couvrir;
Si l’entité utilisatrice ne tient pas une comptabilité • la mesure dans laquelle l’auditeur de l’entité utilisatrice a
autonome, l’information obtenue dans les confirmations de l’intention de réduire les procédures de corroboration
la société de services n’est qu’un énoncé du contenu des complémentaires, compte tenu du niveau de confiance
documents comptables tenus par la société de services. Par placé dans les contrôles;
conséquent, ces confirmations ne constituent pas à elles • l’efficacité de l’environnement de contrôle et du suivi des
seules des éléments probants fiables. Dans ce cas, contrôles de l’entité utilisatrice.
l’auditeur de l’entité utilisatrice peut s’interroger sur A34. Pour obtenir des éléments probants additionnels,
l’existence éventuelle d’une autre source indépendante l’auditeur peut par exemple étendre les tests des contrôles
d’éléments probants; sur la période restant à couvrir ou tester le suivi des
d) mettre en œuvre des procédures analytiques portant sur contrôles qu’exerce l’entité utilisatrice.
la comptabilité tenue par l’entité utilisatrice ou sur les A35. Lorsque la période couverte par les tests de l’auditeur
rapports reçus de la société de services : l’efficacité des de la société de services ne coïncide aucunement avec la
procédures analytiques variera probablement selon les période d’information financière de l’entité utilisatrice,
assertions, et sera fonction de l’étendue et du niveau de l’auditeur de l’entité utilisatrice ne pourra s’appuyer sur ces
détail des informations disponibles. tests pour conclure au fonctionnement efficace des
A27. Un autre auditeur peut mettre en œuvre des contrôles de l’entité utilisatrice étant donné qu’ils ne
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
181
procédures de la nature des procédures de corroboration fournissent aucun élément probant quant à l’efficacité des
pour répondre aux besoins des auditeurs des entités contrôles pour la période visée par l’audit, à moins que
utilisatrices. La mission de l’autre auditeur peut alors d’autres procédures ne soient mises en œuvre.
comporter la mise en œuvre de procédures convenues entre A36. Dans certaines circonstances, une prestation fournie
l’entité utilisatrice et son auditeur et la société de services par une société de services peut être conçue en supposant
et son auditeur. Les constatations découlant des procédures que certains contrôles seront mis en œuvre par l’entité
mises en œuvre par l’autre auditeur sont passées en revue utilisatrice. Par exemple, une prestation peut être conçue en
par l’auditeur de l’entité utilisatrice afin de déterminer si supposant que l’entité utilisatrice aura mis en place des
elles constituent des éléments probants suffisants et contrôles pour l’autorisation des opérations avant qu’elles
appropriés. En outre, il peut arriver que l’auditeur de la ne soient transmises pour traitement à la société de
société de services soit tenu par les pouvoirs publics ou des services. Dans une telle situation, la description des
accords contractuels de mettre en œuvre des procédures contrôles de la société de services peut inclure une
particulières de la nature des procédures de corroboration. description des contrôles complémentaires de l’entité
Les résultats de l’application des procédures exigées aux utilisatrice. L’auditeur de l’entité utilisatrice s’interroge
opérations et aux soldes traités par la société de services alors sur la pertinence des contrôles complémentaires de
peuvent être retenus par l’auditeur de l’entité utilisatrice l’entité utilisatrice par rapport à la prestation fournie à
parmi les éléments probants nécessaires pour étayer son l’entité utilisatrice.
opinion d’audit. Dans ces circonstances, il pourrait être A37. Si l’auditeur de l’entité utilisatrice est d’avis que le
approprié pour l’auditeur de l’entité utilisatrice et l’auditeur rapport de l’auditeur de la société de services ne fournit
de la société de services de s’entendre, avant la mise en peut-être pas d’éléments probants suffisants et appropriés,
œuvre de ces procédures, sur la documentation de l’audit par exemple si ce rapport ne contient pas la description des
ou sur l’accès à cette documentation qui seront fournis à tests des contrôles effectués par l’auditeur de la société de
l’auditeur de l’entité utilisatrice. services ni les résultats de ces tests, il peut compléter sa
A28. Dans certaines circonstances, en particulier compréhension des procédures et des conclusions de
lorsqu’une entité utilisatrice confie une partie ou la totalité l’auditeur de la société de services en communiquant avec
de sa fonction de trésorerie à une société de services, la société de services par l’entremise de l’entité utilisatrice,
l’auditeur de l’entité utilisatrice peut se trouver dans une afin de demander un entretien avec l’auditeur de la société
situation où une partie importante des éléments probants de services sur l’étendue et les résultats des travaux de
réside dans la société de services. Des procédures de celui-ci. Par ailleurs, si l’auditeur de l’entité utilisatrice le
corroboration pourraient devoir être mises en œuvre dans la considère comme nécessaire, il peut communiquer avec la
société de services par l’auditeur de l’entité utilisatrice ou société de services, par l’entremise de l’entité utilisatrice,
par un autre auditeur en son nom. L’auditeur de la société afin de demander que l’auditeur de la société de services
de services peut préparer un rapport de type 2 et, en plus, mette en œuvre certaines procédures au sein de la société
mettre en œuvre des procédures de corroboration pour de services. Autrement, l’auditeur de l’entité utilisatrice, ou
l’auditeur de l’entité utilisatrice. L’intervention d’un autre un autre auditeur à sa demande, peut mettre en œuvre ces
auditeur ne modifie en rien la responsabilité de l’auditeur procédures.
de l’entité utilisatrice d’obtenir des éléments probants A38. Le rapport de type 2 de l’auditeur de la société de
suffisants et appropriés afin de disposer d’une base services fait état des résultats des tests, y compris des écarts
raisonnable pour étayer son opinion. Par conséquent, afin et des autres informations qui sont susceptibles d’avoir une
de déterminer si des éléments probants suffisants et incidence sur les conclusions de l’auditeur de l’entité
appropriés ont été obtenus et s’il doit mettre en œuvre des utilisatrice. Les écarts constatés par l’auditeur de la société
procédures de corroboration complémentaires, l’auditeur de de services ou l’expression d’une opinion modifiée dans le
l’entité utilisatrice doit prendre en considération sa propre rapport de type 2 de l’auditeur de la société de services ne
intervention dans la direction, la supervision et la signifient pas nécessairement que le rapport en question ne
réalisation des procédures de corroboration mises en œuvre sera pas utile dans le cadre de l’audit des états financiers de
par l’autre auditeur, ou les éléments probants concernant la l’entité utilisatrice pour l’appréciation du risque
direction, la supervision et la mise en œuvre de ces d’anomalies significatives. Les écarts et le fondement
procédures. d’une opinion modifiée dans le rapport de type 2 de
l’auditeur de la société de services sont plutôt pris en
Tests des contrôles considération dans l’appréciation, par l’auditeur de l’entité
utilisatrice, des tests des contrôles effectués par l’auditeur
A29. La norme 2330 exige de l’auditeur de l’entité de la société de services. Dans le cadre de cette prise en
utilisatrice qu’il conçoive et mette en œuvre des tests sur considération, l’auditeur de l’entité utilisatrice peut
les contrôles pertinents de manière à obtenir des éléments s’entretenir des écarts et du fondement de l’opinion
probants suffisants et appropriés sur l’efficacité de leur modifiée avec l’auditeur de la société de services. Une telle
fonctionnement dans certaines circonstances. Dans le cas communication n’est toutefois possible que si l’entité
d’une société de services, cette exigence s’applique : utilisatrice en obtient l’approbation préalable de la société
a) lorsque l’évaluation des risques d’anomalies de services.
significatives par l’auditeur de l’entité utilisatrice repose Communication des déficiences du contrôle interne
sur l’attente d’un fonctionnement efficace des contrôles de relevées au cours de l’audit
la société de services (autrement dit, l’auditeur de l’entité A39. L’auditeur de l’entité utilisatrice est tenu de
utilisatrice a l’intention de s’appuyer sur l’efficacité du communiquer par écrit et en temps opportun à la direction
fonctionnement des contrôles de la société de services lors et aux responsables de la gouvernance les déficiences
de la détermination de la nature, du calendrier et de importantes relevées au cours de l’audit11. L’auditeur de
l’étendue des procédures de corroboration); l’entité utilisatrice doit également communiquer en temps
b) lorsque les procédures de corroboration ne permettent opportun à la direction, au niveau hiérarchique approprié,
pas, à elles seules ou combinées avec des tests de les autres déficiences du contrôle interne relevées au cours
l’efficacité du fonctionnement des contrôles de l’entité de l’audit qui sont suffisamment préoccupantes, selon son
utilisatrice, d’obtenir des éléments probants suffisants et jugement professionnel, pour nécessiter l’attention de la
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
182
appropriés au niveau des assertions. direction12. Les questions que l’auditeur de l’entité
A30. En l’absence de rapport de type 2, l’auditeur de utilisatrice peut relever au cours de l’audit et souhaiter
l’entité utilisatrice peut communiquer avec la société de communiquer à la direction et aux responsables de la
services, par l’entremise de l’entité utilisatrice, afin de gouvernance de l’entité utilisatrice comprennent :
demander que l’auditeur de la société de services prépare • tout suivi des contrôles qui pourrait être mis en place par
un rapport de type 2 comprenant des tests de l’efficacité du l’entité utilisatrice, y compris ceux identifiés par suite de
fonctionnement des contrôles pertinents, ou il peut avoir l’obtention d’un rapport de type 1 ou de type 2;
recours à un autre auditeur pour mettre en œuvre des • les cas où un rapport de type 1 ou de type 2 fait état de
procédures au sein de la société de services pour tester contrôles complémentaires de l’entité utilisatrice qui n’ont
l’efficacité du fonctionnement de ces contrôles. L’auditeur pas été mis en place par celle-ci;
de l’entité utilisatrice peut également visiter la société de • les contrôles qui pourraient être nécessaires au sein de la
services et effectuer les tests des contrôles pertinents si la société de services mais qui ne semblent pas avoir été mis
société de services y consent. Dans son évaluation des en place ou qui ne sont pas expressément couverts par un
risques, l’auditeur de l’entité utilisatrice tient compte des rapport de type 2.
éléments probants fournis tant par les travaux de l’autre
auditeur que par les procédures qu’il a lui-même mises en
œuvre.
Utilisation d’un rapport de type 2 à titre d’éléments
probants attestant que les contrôles de la société de services
fonctionnent efficacement
Rapports de type 1 et de type 2 qui excluent les Si le rapport de type 1 ou de type 2 exclut les contrôles du
prestations d’un sous-traitant de la société de services sous-traitant de la société de services, et que les prestations
fournies par ce sous-traitant sont pertinentes pour l’audit
A40. Si une société de services a recours à un sous-traitant, des états financiers de l’entité utilisatrice, l’auditeur de
l’auditeur de la société de services peut, dans son rapport, l’entité utilisatrice est tenu d’appliquer les exigences de la
inclure les objectifs de contrôle pertinents et les contrôles présente norme en ce qui concerne le sous-traitant de la
correspondants du sous-traitant de la société de services société de services. La nature et l’étendue des travaux à
dans la description du système de la société de services et effectuer par l’auditeur de l’entité utilisatrice relativement
dans l’étendue de sa mission, ou les en exclure. Ces deux aux prestations fournies par un sous-traitant de la société de
méthodes d’établissement du rapport sont respectivement services dépendent de la nature et de l’importance de ces
appelées «méthode d’inclusion» et «méthode d’exclusion». prestations pour l’entité utilisatrice et de leur pertinence
pour l’audit. L’application des exigences du paragraphe 8
aide l’auditeur de l’entité utilisatrice à déterminer
l’incidence des prestations du sous-traitant de la société de
services et la nature et l’étendue des travaux à effectuer.
Fraude, non-conformité aux textes légaux et l’exige le paragraphe 18, l’auditeur de l’entité utilisatrice
réglementaires et anomalies non corrigées ayant demande à la direction de l’entité utilisatrice si la société de
rapport aux activités de la société de services services l’a informée de l’existence de tels problèmes et, le
cas échéant, évalue si les problèmes signalés ont une
A41. Une société de services peut être tenue, selon les incidence sur la nature, le calendrier d’application et
modalités du contrat conclu avec les entités utilisatrices, l’étendue de ses procédures d’audit complémentaires. Dans
d’informer les entités utilisatrices concernées de tout cas de certains cas, l’auditeur de l’entité utilisatrice peut avoir
fraude, de non-conformité aux textes légaux et besoin d’informations supplémentaires pour procéder à
réglementaires ou d’anomalies non corrigées imputables à cette évaluation et peut demander à l’entité utilisatrice de
la direction ou au personnel de la société de services. communiquer avec la société de services pour obtenir ces
Comme informations.
Rapport de l’auditeur de l’entité utilisatrice A43. Dans certains cas, les textes légaux ou réglementaires
peuvent obliger l’auditeur de l’entité utilisatrice à faire
A42. Lorsque l’auditeur de l’entité utilisatrice n’est pas en mention des travaux de l’auditeur de la société de services
mesure d’obtenir des éléments probants suffisants et dans son rapport, par exemple pour répondre au besoin de
appropriés concernant les prestations fournies par la société transparence dans le secteur public. Il peut alors être
de services qui sont pertinentes pour l’audit des états nécessaire que l’auditeur de l’entité utilisatrice obtienne le
financiers de l’entité utilisatrice, il y a limitation de consentement préalable de l’auditeur de la société de
l’étendue des travaux d’audit. Cette situation peut survenir : services.
• lorsque l’auditeur de l’entité utilisatrice n’est pas en A44. Le fait qu’une entité utilisatrice fait appel à une
mesure d’acquérir une compréhension suffisante des société de services ne modifie en rien la responsabilité
prestations fournies par la société de services et ne dispose qu’imposent les normes à l’auditeur de l’entité utilisatrice
d’aucune base pour identifier et évaluer les risques d’obtenir des éléments probants suffisants et appropriés
d’anomalies significatives; afin de disposer d’une base raisonnable pour étayer son
• lorsque l’évaluation des risques par l’auditeur de l’entité opinion. Par conséquent, l’auditeur de l’entité utilisatrice
utilisatrice repose sur l’attente d’un fonctionnent efficace n’indique pas que le rapport de l’auditeur de la société de
des contrôles de la société de services, et qu’il n’est pas en services sert de fondement partiel à l’opinion qu’il exprime
mesure d’obtenir des éléments probants suffisants et sur les états financiers de l’entité utilisatrice. Par contre,
appropriés sur l’efficacité du fonctionnement de ces lorsque l’auditeur de l’entité utilisatrice exprime une
contrôles; opinion modifiée en raison de l’expression d’une opinion
• lorsque seuls les documents comptables détenus par la modifiée dans le rapport de l’auditeur de la société de
société de services contiennent des éléments probants services, il ne lui est pas interdit de faire mention du
suffisants et appropriés, et que l’auditeur de l’entité rapport de l’auditeur de la société de services si cela
utilisatrice ne peut obtenir un accès direct à ces documents. contribue à expliquer les motifs de sa propre opinion
TITRE 2 - Evaluation des risques_23FD0F94
Version octobre2017
Manuel des Normes
Audit légal et contractuel
183
La question de savoir si l’auditeur de l’entité utilisatrice modifiée. Il peut alors être nécessaire que l’auditeur de
exprime une opinion avec réserve ou formule une l’entité utilisatrice obtienne le consentement préalable de
impossibilité d’exprimer une opinion dans son rapport l’auditeur de la société de services.
dépend de ses conclusions quant au caractère significatif ou
généralisé des incidences possibles sur les états financiers.
Mention des travaux de l’auditeur de la société de services
Introduction
soldes de comptes ou certaines informations à fournir) s’il méthode comptable, qui a une incidence non significative sur
prend connaissance d’informations qui l’auraient amené à les états financiers de la période considérée, mais aura
déterminer initialement un ou des seuils de signification probablement une incidence significative sur les états
différents. financiers des périodes futures;
Ainsi, toute modification importante aura probablement été • masque un changement dans l’évolution des bénéfices ou
faite avant que l’auditeur évalue l’incidence des anomalies d’autres éléments, tout particulièrement par rapport aux
non corrigées. Toutefois, si la révision par l’auditeur du seuil conditions économiques et sectorielles générales;
de signification déterminé conformément à la norme 2320 • se répercute sur les ratios utilisés pour évaluer la situation
(voir le paragraphe 9 de la présente norme ISA) aboutit à un financière de l’entité, le résultat de ses activités ou ses flux
ou à des montants moins élevés, alors le seuil de de trésorerie;
signification pour les travaux ainsi que le caractère approprié • affecte les informations sectorielles présentées dans les
de la nature, du calendrier et de l’étendue des procédures états financiers (par exemple, l’importance de l’élément par
d’audit complémentaires sont reconsidérés de manière à rapport à un secteur ou à une autre composante des activités
assurer l’obtention d’éléments probants suffisants et de l’entité qui a été identifié comme étant pour beaucoup
appropriés sur lesquels fonder l’opinion d’audit. dans les activités ou la rentabilité de cette dernière);
A13. Chaque anomalie est considérée individuellement afin • a pour effet d’augmenter la rémunération de la direction,
d’en évaluer l’incidence sur les catégories d’opérations, par exemple en faisant que les conditions pour l’attribution
soldes de comptes ou informations à fournir concernés, de primes ou d’autres incitatifs soient remplies;
notamment en vue de déterminer si le seuil de signification • est importante compte tenu de ce que l’auditeur connaît des
pour une catégorie d’opérations, un solde de compte ou une communications antérieures destinées aux utilisateurs de
information à fournir en particulier, le cas échéant, a été l’information financière, par exemple par rapport aux
dépassé. résultats prévisionnels;
A14. Si une anomalie, prise individuellement, est jugée • concerne des éléments mettant en cause des intervenants
significative, il est improbable qu’elle puisse être compensée particuliers (par exemple, des opérations pour lesquelles les
par d’autres anomalies. Par exemple, si les produits sont parties externes sont liées à des membres de la direction de
surévalués de façon significative, les états financiers pris l’entité);
dans leur ensemble comporteront une anomalie significative, • est une omission d’informations qui ne sont pas
même si l’incidence de l’anomalie sur le résultat est expressément exigées par le référentiel d’information
complètement compensée par une surévaluation équivalente financière applicable, mais qui, selon le jugement de
des charges. Il peut être approprié d’opérer compensation l’auditeur, sont importantes pour que les utilisateurs puissent
entre des anomalies dans un même solde de compte ou dans comprendre la situation financière, la performance financière
une même catégorie d’opérations; toutefois, le risque que ou les flux de trésorerie de l’entité;
d’autres anomalies non détectées puissent exister est pris en • affecte d’autres informations comprises dans le rapport
compte avant de conclure qu’il est approprié d’opérer annuel de l’entité (par exemple, des informations comprises
compensation, même dans le cas d’anomalies non dans un «rapport de gestion») et dont on peut
significatives raisonnablement s’attendre à ce qu’elles influencent les
A15. Déterminer si une anomalie de classement est décisions économiques des utilisateurs des états financiers.
significative fait intervenir des appréciations d’ordre La norme 5720 traite des responsabilités de l’auditeur
qualitatif, comme celles de l’incidence de l’anomalie de concernant les autres informations.
classement sur les clauses restrictives de contrats d’emprunt Ces circonstances ne sont que des exemples; il n’est pas
ou d’autres contrats, sur des postes particuliers ou des totaux probable qu’elles soient toutes présentes dans tous les audits,
partiels ou encore sur des ratios clés. Il peut y avoir des et la liste n’est pas nécessairement exhaustive. L’existence
situations où l’auditeur arrive à la conclusion qu’une de telles circonstances ne conduit pas nécessairement à
anomalie de classement n’est pas significative dans le conclure que l’anomalie est significative.
contexte des états financiers pris dans leur ensemble, bien A17. La norme 1240 explique comment tenir compte des
que le montant en cause puisse être supérieur au seuil ou aux effets, sur les autres aspects de l’audit, d’une anomalie qui
seuils de signification utilisés pour évaluer d’autres résulte ou pourrait résulter d’une fraude, même si l’ordre de
anomalies. Par exemple, une erreur de classement entre des grandeur de l’anomalie n’est pas significatif par rapport aux
postes du bilan peut ne pas être considérée comme états financiers.
significative dans le contexte des états financiers pris dans A18. Le cumul des anomalies non significatives et non
leur ensemble lorsque le montant en cause est faible par corrigées liées aux périodes antérieures peut avoir une
rapport à l’ordre de grandeur des postes de bilan touchés et incidence significative sur les états financiers de la période
que l’erreur de classement n’a aucune incidence sur le considérée. L’auditeur dispose d’un certain nombre de
compte de résultat ou les ratios clés. méthodes acceptables pour l’évaluation de l’incidence de ces
A16. Les circonstances entourant certaines anomalies anomalies non corrigées sur les états financiers de la période
peuvent amener l’auditeur à déterminer qu’elles sont considérée. L’utilisation de la même méthode d’évaluation
significatives, soit individuellement ou en cumulé avec assure une certaine cohérence d’une période à l’autre.
d’autres anomalies détectées au cours de l’audit, même si Considérations propres aux entités du secteur
leur montant est inférieur au seuil de signification pour les public
états financiers pris dans leur ensemble. Parmi les A19. Dans un audit d’une entité du secteur public,
circonstances pouvant amener l’auditeur à déterminer qu’une l’obligation que peuvent imposer à l’auditeur des textes
anomalie est significative, il y a la mesure dans laquelle légaux ou réglementaires ou d’autres textes émanant d’une
l’anomalie : autorité de faire état de questions particulières dans son
• affecte la conformité à des exigences réglementaires; rapport, par exemple des cas de fraude, peut également
• affecte la conformité aux clauses restrictives de contrats influer sur la détermination du caractère significatif ou non
d’emprunt ou à d’autres exigences contractuelles; d’une anomalie.
• a trait au choix erroné ou à l’application incorrecte d’une A20. En outre, des questions comme l’intérêt public,