Rapport sur la revue des pratiques d’audits d’états financiers — Pour les audits d’états financiers complétés au cours de l’exercice 2015-2016

Rapport sur la revue des pratiques d’audits d’états financiers — Pour les audits d’états financiers complétés au cours de l’exercice 2015-2016

Introduction

1. Le Bureau du vérificateur général du Canada (le Bureau) effectue des études et des audits indépendants qui fournissent de l’information, une assurance et des avis objectifs au Parlement, aux assemblées législatives territoriales, aux conseils d’administration des sociétés d’État, au gouvernement et à la population canadienne. Le Bureau effectue trois grands types d’audit législatif : les audits d’états financiers, les audits de performance et les examens spéciaux. Les audits de performance et les examens spéciaux sont désormais qualifiés de missions d’appréciation directe.

2. Les audits d’états financiers comprennent les audits des états financiers du gouvernement du Canada, des trois territoires du Nord, des sociétés d’État et d’autres organisations. Ces audits sont effectués selon les Normes canadiennes d’audit. L’objectif d’un audit d’états financiers est de permettre à l’auditeur d’exprimer une opinion à savoir si les états financiers donnent, dans tous leurs aspects significatifs, une image fidèle conformément au référentiel d’information financière applicable. Dans certains cas, l’auditeur doit aussi exprimer une opinion indiquant si les opérations examinées sont conformes à tous les textes légaux et réglementaires applicables.

3. La mission de l’équipe de la Revue des pratiques et de l’audit interne est d’accroître et de protéger la valeur de l’organisation en fournissant, de manière objective et en se fondant sur les risques, une assurance, des avis et des observations. L’équipe soutient le Bureau dans la réalisation de ses objectifs en formulant des recommandations sur la gestion après avoir mené un exercice systématique et rigoureux d’évaluation et d’approbation de la conception et de l’efficacité des processus de gestion du risque, de contrôle et de gouvernance.

4. L’équipe aide le Bureau à s’acquitter de ses obligations aux termes de la Norme canadienne de contrôle qualité 1 des Comptables professionnels agréés du Canada, en procédant à des inspections visant à déterminer dans quelle mesure les responsables de mission se conforment aux normes professionnelles, aux politiques du Bureau et aux lois et règlements applicables dans la conduite de leurs audits, et à s’assurer que les rapports d’auditeurs indépendants sont bien étayés et appropriés.

5. En outre, l’équipe réalise ses travaux conformément au Plan de la Revue des pratiques et de l’audit interne le plus récent du Bureau, lequel a été recommandé par le Comité d’audit et approuvé par le vérificateur général. Ce plan prévoit une surveillance systématique et cyclique des travaux de tous les responsables de mission du Bureau.

6. Afin de s’assurer que ses audits sont exécutés selon les normes des Comptables professionnels agréés du Canada, le Bureau établit des politiques et des procédures pour encadrer ses travaux. Celles-ci sont énoncées dans le Manuel d’audit annuel du Bureau, dans son Système de contrôle qualité et dans divers outils d’audit qui aident les auditeurs à suivre les étapes requises. Les quatre vérificateurs généraux adjoints qui sont responsables de l’audit d’états financiers assurent la direction et la surveillance de la pratique au sein du Bureau et contribuent à la qualité de chacun des audits.

7. Le présent rapport résume les principales observations découlant de la revue des pratiques des audits d’états financiers qui ont été réalisés au cours de l’exercice 2015-2016.

Aperçu

Objectif

8. Une revue des pratiques vise à fournir au vérificateur général l’assurance que :

• les audits d’états financiers ont été réalisés selon les normes professionnelles, les politiques du Bureau et les exigences des textes légaux et réglementaires applicables;
• les rapports de l’auditeur indépendant sont bien étayés et appropriés.

Étendue et méthode

9. L’équipe de la Revue des pratiques et de l’audit interne a effectué une revue des pratiques de quatre audits d’états financiers et une revue des pratiques limitée axée sur le rôle du responsable du contrôle qualité de deux audits qui ont été réalisés au cours de l’exercice 2015-2016^{Note de bas de page 1}. Selon nos méthodes, nous devons passer en revue un échantillon d’audits terminés de manière cyclique, en examinant au moins une mission pour chaque responsable de mission à l’intérieur d’une période de surveillance de quatre ans. Nous avons sélectionné les responsables de mission et leurs dossiers par échantillonnage aléatoire. Pour les deux revues limitées axées sur le rôle du responsable du contrôle qualité, nous avons aussi sélectionné les dossiers par échantillonnage aléatoire.

10. Nos revues ont comporté un examen des dossiers d’audit en version électronique (TeamMate) et en version papier, le cas échéant. Nous avons revu les documents relatifs à la planification, à l’examen et à la production du rapport d’audit. Nous avons également eu des entretiens avec les responsables du contrôle qualité de la mission, certains membres des équipes d’audit et d’autres experts internes, selon le cas.

11. Nous avons examiné tous les dossiers sélectionnés à la lumière du Système de contrôle qualité (Annexe A). Nous avons axé nos travaux sur les éléments et contrôles de processus qui, selon nous, semblaient essentiels ou à risque élevé (Annexe B) pour les audits sélectionnés.

Notation

12. Pour chaque audit revu, nous avons noté chaque élément et contrôle de processus sélectionné du Système de contrôle qualité de la manière suivante :

• Conforme — La performance est satisfaisante, des améliorations mineures sont possibles; le dossier d’audit est, dans tous ses aspects significatifs, conforme aux Normes canadiennes d’audit et aux politiques du Bureau.
• Conforme, tout en nécessitant des améliorations — Des améliorations sont nécessaires dans certains secteurs pour que l’audit soit entièrement conforme aux Normes canadiennes d’audit et aux politiques du Bureau.
• Non conforme — Des défauts graves existent; l’audit n’est pas conforme aux Normes canadiennes d’audit ou aux politiques du Bureau, ou n’est pas conforme aux deux.

13. À la fin de chacune des revues, nous avons déterminé si l’opinion de l’auditeur indépendant était bien étayée et appropriée. Nous avons aussi déterminé si le dossier d’audit était conforme dans son ensemble aux Normes canadiennes d’audit et aux politiques du Bureau.

Résultats des revues

Caractère approprié des rapports d’audit

14. Dans l’ensemble, nous avons constaté que les opinions de l’auditeur indépendant étaient bien étayées et appropriées pour les quatre dossiers passés en revue.

Conformité aux éléments et aux contrôles de processus du Système de contrôle qualité

15. En règle générale, le niveau global de conformité aux éléments du Système de contrôle qualité était bon. Un dossier était conforme, dans tous ses aspects significatifs, aux politiques du Bureau en matière d’audit annuel de même qu’aux Normes canadiennes d’audit. Les trois autres dossiers étaient conformes tout en nécessitant des améliorations. La section « Observations » ci-après contient des précisions à ce sujet.

16. Il faut savoir que notre conclusion générale sur un dossier donné repose sur la revue de tous les éléments du Système de contrôle qualité. Par conséquent, il est possible qu’un dossier ne soit pas conforme à un élément donné du Système, même si nous avons conclu qu’il était en général « conforme, tout en nécessitant des améliorations ».

17. Pour les deux revues limitées portant sur les travaux des responsables du contrôle qualité, nous avons conclu que l’élément « Revue de contrôle qualité d’une mission » du Système était conforme. Les travaux avaient été réalisés en temps opportun et bien documentés. De plus, les équipes d’audit avaient donné suite de manière appropriée aux commentaires du responsable du contrôle qualité, et ce, à la satisfaction de celui-ci.

Observations

Sécurité des renseignements sensibles

18. Dans le cadre du cycle de revue des pratiques courant (à la fois pour les audits d’états financiers et les missions d’appréciation directe), nous avons déterminé que la sécurité des renseignements sensibles constituait un risque qui méritait une attention particulière. La politique sur la sécurité du Bureau précise que « le Bureau a la responsabilité de protéger les renseignements et les biens sous son contrôle, y compris les renseignements sensibles qu’il produit et reçoit ».

19. Selon cette politique, peu importe l’endroit où elles sont sauvegardées (TeamMate ou PROxI), toutes les feuilles de travail protégées (qui sont créées par le BVG) doivent porter la mention « Protégé ».

20. Lors de nos revues, nous avons constaté que des feuilles de travail consignées dans trois dossiers d’audit ne portaient pas la mention « Protégé ». Nous sommes d’avis que ces feuilles de travail auraient dû à tout le moins porter la mention « Protégé A ». Dans certaines de ces feuilles de travail, les sources des renseignements utilisés par les auditeurs pour préparer les feuilles de travail portaient la mention « Protégé ». Ce fait vient étayer notre observation selon laquelle les feuilles de travail qui contenaient ces mêmes renseignements protégés auraient dû elles aussi porter la même mention. Nous n’avons pas relevé dans le cadre de nos travaux de document qui, selon nous, aurait dû porter une mention supérieure à « Protégé B ».

21. Même si les documents étaient conservés sur un support approprié et sécuritaire (TeamMate), le fait qu’ils étaient non désignés pose tout de même un risque, car ils pourraient être retirés de leur environnement sécuritaire soit en étant imprimés ou envoyés par courrier électronique à d’autres utilisateurs.

22. Nous avons conclu que ces trois dossiers étaient non conformes par rapport à l’élément « Documentation de la mission » du Système de contrôle qualité. Nous sommes d’avis qu’il s’agit d’un problème généralisé pour lequel des mesures correctives doivent être prises rapidement ou des changements apportés aux procédures du Bureau. Les recommandations à ce sujet sont présentées ci-après.

23. Recommandation 1, adressée à la pratique d’audit d’états financiers — Les responsables de mission devraient s’assurer que le personnel d’audit connaît la politique sur la sécurité du Bureau et que tout document sauvegardé dans TeamMate est évalué par rapport à cette politique et désigné selon le niveau de sécurité approprié.

Réponse de la direction — Recommandation acceptée. Les responsables de mission vont diffuser la politique sur la sécurité du Bureau et les exigences relatives à la désignation de sécurité de la documentation d’audit lors d’une réunion à venir des responsables de mission d’audit annuel et des directeurs. De plus, l’ordre du jour des réunions de planification des équipes d’audit sera actualisé pour y ajouter un point de discussion sur les exigences relatives aux désignations de sécurité à compter d’aujourd’hui.

24. Recommandation 2, adressée à l’Équipe des méthodes d’audit annuel — L’Équipe des méthodes d’audit annuel devrait apporter les changements requis aux méthodes du Bureau pour aider les auditeurs à évaluer les documents en fonction de de la politique sur la sécurité du Bureau et à désigner l’information correctement en lui attribuant la bonne mention de sécurité.

Réponse de la direction — Recommandation acceptée. L’Équipe des méthodes d’audit annuel, en collaboration les Services des TI, évaluera la façon la plus efficace et efficiente d’aider les auditeurs à attribuer les bonnes mentions de sécurité aux documents d’audit et à mettre en œuvre les modifications convenues lors de la prochaine mise à jour des méthodes ou des logiciels, le cas échéant.

25. Recommandation 3, adressée à l’agent de la sécurité du Bureau — L’agent de la sécurité du Bureau devrait élaborer des séances obligatoires d’information sur la sécurité et/ou des cours en ligne qui comporteraient des exemples précis et adaptés à la réalité du travail de l’auditeur, en portant une attention particulière aux feuilles de travail.

Réponse de la direction — Recommandation acceptée. L’agent de la sécurité du Bureau collaborera avec l’Équipe du perfectionnement professionnel et d’autres parties prenantes en vue de déterminer :

• une solution adaptée (par exemple, des séances de sensibilisation, une formation individuelle, des cours en ligne ou toute autre méthode) pour aider les membres du personnel à évaluer l’information et à lui attribuer la bonne mention de sécurité;
• un calendrier de mise en œuvre de la solution retenue.

Information contenue dans le rapport annuel de l’entité

26. Par ailleurs, nous avons conclu qu’un dossier d’audit était non conforme par rapport à l’élément « Supervision et revue » du Système de contrôle qualité. Lors de la revue des autres informations contenues dans l’ébauche du rapport annuel de l’entité, l’équipe d’audit n’a pas remarqué que le rapport de l’auditeur indépendant reproduit dans le rapport annuel différait du rapport original signé par le signataire. Nous avons examiné le site Web de l’entité et noté que le rapport de l’auditeur indépendant publié n’était pas le bon rapport non plus. Le responsable de la mission a rapidement pris les mesures qui s’imposaient et l’entité a corrigé la situation.

27. Avec l’adoption des « documents intelligents » (Smart Documentation), l’étape d’audit particulière qui rappelait aux équipes de mission de procéder aux travaux nécessaires pour s’assurer que le rapport de l’auditeur indépendant signé était reproduit fidèlement dans le rapport annuel de l’entité auditée a été supprimée. Nous estimons qu’il s’agit d’un incident isolé. Toutefois, pour éviter que cela ne se reproduise à l’avenir, nous formulons une recommandation à ce sujet.

28. Recommandation 4, adressée à l’Équipe des méthodes d’audit annuel — L’Équipe des méthodes d’audit annuel devrait réintégrer la procédure dans la bibliothèque TeamMate pour rappeler aux équipes d’audit de vérifier si le rapport de l’auditeur indépendant et les états financiers audités contenus dans le rapport annuel de l’entité ont été reproduits avec exactitude.

Réponse de la direction — Recommandation acceptée. L’Équipe des méthodes d’audit annuel prévoit revoir les procédures d’audit pertinentes lors de la diffusion des procédures actualisées transmises par le partenaire de notre alliance stratégique.

Section 2103 du Manuel d’audit annuel : Seuil de signification pour les travaux

29. À la section 2103 (Seuil de signification pour les travaux), le Manuel d’audit annuel du Bureau indique ce qui suit : « Si la réduction choisie correspond à 50 % du seuil de signification global OU si la somme de la réduction et des erreurs prévues pour les tests de détail est supérieure à 50 % du seuil de signification global, le responsable de la mission doit consulter l’Équipe des méthodes d’audit annuel (EMAA) avant de mettre en œuvre la démarche proposée. »

30. Au cours de la revue, nous avons remarqué que les équipes d’audit n’avaient pas documenté ou calculé correctement le pourcentage défini dans la politique énoncée précédemment. L’Équipe des méthodes d’audit annuel nous a fait savoir que les lecteurs avaient mal interprété l’exigence de la politique. Elle a précisé que ce sont les erreurs prévues pour les tests de détail planifiés qui doivent être ajoutées à la réduction choisie, non la somme de toutes les erreurs prévues pour tous les tests de détail planifiés dans les dossiers d’audit.

31. Nous avons noté que dans deux des dossiers revus, le calcul n’avait pas été effectué ni documenté selon l’interprétation de la politique de l’Équipe des méthodes. Toutefois, dans le cadre de notre revue des pratiques, nous avons effectué les calculs et conclu que les deux dossiers étaient tout de même conformes. Nous estimons que ce problème est généralisé et que la politique du Bureau à cet égard doit être précisée.

32. Recommandation 5, adressée à l’Équipe des méthodes d’audit annuel — L’Équipe des méthodes d’audit annuel devrait apporter des précisions au libellé de la politique citée précédemment pour favoriser une interprétation uniforme de la politique et elle devrait aussi envisager le recours à des outils informatiques pour faciliter le calcul qui doit être fait par les équipes d’audit.

Réponse de la direction — Recommandation acceptée. L’Équipe des méthodes d’audit annuel veillera à ce que la politique citée précédemment soit clarifiée ou retirée du Manuel dans le cadre de la mise à jour des méthodes de l’automne 2016. Nous déterminerons si des modifications aux procédures ou aux modèles aideraient les auditeurs à mieux se conformer à la politique clarifiée et si nous concluons que tel est le cas, nous modifierons les procédures et les modèles afin d’aider les auditeurs à respecter la politique clarifiée.

Confirmation de l’indépendance

33. Pour ce qui est de l’élément « Règles de déontologie et indépendance », nous avons constaté que deux dossiers étaient conformes, mais nécessitaient des améliorations. Dans un de ces dossiers, nous avons noté qu’un spécialiste interne important n’avait pas rempli le formulaire de confirmation de l’indépendance tel que cela est requis pour les travaux effectués lors de la revue de documents d’audit clés. Pour l’autre dossier, nous avons noté que le formulaire de confirmation de l’indépendance avait été signé avec une signature d’approbation générique. Nous n’avons donc pas été en mesure de déterminer si la personne qui devait signer la déclaration l’avait fait. À notre avis, ces incidents sont isolés.

Approbation par écrit de l’étape de la planification

34. Selon les procédures du Bureau, le responsable de la mission doit, à la fin de  l’étape de la planification, approuver le modèle de la planification de l’audit et signer l’étape d’audit « Revue et approbation par le responsable de la mission — Planification » afin d’attester que la stratégie d’audit et le plan de la mission ont été approuvés. Or, dans l’un des dossiers examinés, le modèle et l’étape ont été signés, donc approuvés, après la fin des travaux de clôture effectués sur place chez l’entité.

35. Nous avons conclu, dans ce cas, que le dossier était conforme tout en nécessitant des améliorations. Les raisons qui nous ont amenés à tirer cette conclusion sont le fait que nous avons obtenu des éléments probants démontrant que le responsable de la mission avait participé à la planification de l’audit en dépit du fait qu’il n’avait pas procédé aux approbations officielles en temps voulu. Nous estimons qu’il s’agit d’un incident isolé.

Consultation

36. Dans un autre cas, l’équipe d’audit a consulté les Services juridiques du Bureau pour obtenir des précisions sur une question relative aux autorisations. Dans le Rapport au Comité de vérification — Résultats de l’audit, l’équipe de mission a décrit la question comme s’il s’agissait de la conclusion des Services juridiques. À notre avis, il n’est pas approprié d’attribuer la conclusion d’un rapport à un spécialiste d’une manière qui permet au responsable de la mission de se distancier de cette conclusion.

Considérations relativement aux méthodes

37. Même si nous n’avons pas relevé de problème dans les dossiers que nous avons passés en revue, nous avons observé que le recours aux documents intelligents conçus spécialement pour les audits de petites entités peu complexes (« P&P ») pouvait faire naître un risque de non-conformité à certaines exigences énoncées dans les Normes canadiennes d’audit (NCA). Le Manuel d’audit annuel du Bureau contient la décharge de responsabilité ci-après : « Les responsables de mission doivent comprendre que la bibliothèque « P&P » pourrait ne pas fournir aux auditeurs tous les aspects à considérer dans l’exécution de l’audit; par conséquent, l’utilisation de cette bibliothèque s’appuie en principe sur l’hypothèse que les auditeurs qui mettent en œuvre ces procédures et les outils connexes possèdent une connaissance suffisante des exigences des NCA et des commentaires explicatifs connexes, de même que des méthodes du Bureau pour réaliser un audit conforme aux NCA dans le respect de la politique du Bureau. »

38. Par exemple, la notion d’imprévisibilité, même si elle fait partie des documents intelligents ordinaires, a été supprimée des documents intelligents pour les audits de petites entités peu complexes. Nous ne sommes pas en mesure actuellement de faire rapport sur toutes les différences entre les deux ensembles de documents. La direction des méthodes professionnelles devra se pencher sur cette question.

Conclusion

39. Pour tous les audits d’états financiers que nous avons revus et qui nécessitaient la délivrance d’un rapport de l’auditeur indépendant, nous avons conclu que le rapport était bien étayé et approprié.

40. Nous avons conclu qu’un dossier était conforme et que trois dossiers étaient conformes tout en nécessitant des améliorations. Pour les deux revues limitées portant sur le rôle du responsable du contrôle qualité, nous avons conclu que les deux dossiers étaient conformes.

Annexe A — Éléments du Système de contrôle qualité

Annexe A — version textuelle

Ce diagramme montre trois côtés d’un cube. Chaque côté représente un aspect du Système de contrôle qualité.

Le dessus du cube présente les objectifs du Système de contrôle qualité :

1. Conformité aux normes professionnelles et aux exigences des textes légaux et réglementaires applicables
2. Les rapports délivrés sont appropriés aux circonstances

Le côté droit du cube montre les deux niveaux du Système de contrôle qualité :

• Niveau du cabinet (NCCQ 1)
• Niveau de la mission (NCA 220 ou C5030)

Le côté gauche du cube montre les éléments du Système de contrôle qualité :

• Leadership
• Règles de déontologie et indépendance
• Acceptation et maintien de la mission
• Ressources humaines
• Réalisation des missions
• Suivi

Annexe B — Éléments et contrôles de processus du Système de contrôle qualité examinés

Notre examen a porté sur les éléments suivants du Système de contrôle qualité :

• leadership;
• règles de déontologie et indépendance;
• acceptation et maintien de la mission
• ressources humaines;
• réalisation des missions.

Leadership — Nous avons vérifié si les responsables de mission s’étaient assurés que les audits avaient été réalisés conformément aux politiques du Bureau, aux normes professionnelles et au Système de contrôle qualité du Bureau, ainsi qu’aux exigences des textes légaux et réglementaires applicables.

Règles de déontologie et indépendance — Nous avons vérifié si les responsables de mission s’étaient assurés que l’indépendance de toutes les personnes effectuant des travaux d’audit, y compris les experts, avait été rigoureusement évaluée et que l’information à ce sujet était consignée en dossier.

Acceptation et maintien de la mission — Pour les missions initiales et récurrentes, nous avons vérifié si les responsables de mission avaient confirmé que l’équipe disposait d’assez de temps et avait la compétence, les capacités et les ressources nécessaires; si elle respectait les règles de déontologie pertinentes; et si elle avait pris en considération l’intégrité de la direction.

Ressources humaines — Nous avons vérifié si les responsables de mission avaient évalué le caractère adéquat, la disponibilité, les aptitudes, la compétence et les ressources de l’équipe et s’ils avaient consigné en dossier cette évaluation.

Réalisation des missions

Pour cet élément, nous avons aussi évalué les sous-éléments suivants :

• Supervision et revue — Nous avons vérifié si les responsables de mission s’étaient assurés que les dossiers d’audit contenaient de l’information sur les personnes qui avaient revu les travaux d’audit réalisés, la date des revues et l’étendue de ces revues.
• Consultation — Nous avons vérifié si les responsables de mission s’étaient assurés que des consultations appropriées avaient eu lieu en temps voulu, au besoin.
• Revue de contrôle qualité d’une mission — Nous avons vérifié si la revue du contrôle qualité avait été réalisée en temps opportun et si le responsable du contrôle qualité avait effectué une évaluation objective des principaux jugements posés par l’équipe, des conclusions tirées à l’appui du rapport de l’auditeur, et d’autres questions importantes.
• Divergences d’opinions — Si des divergences d’opinions ont surgi, nous avons vérifié si les responsables de mission avaient respecté la procédure établie du Bureau pour les régler.
• Documentation de la mission — Nous avons vérifié si les responsables de mission avaient assuré correctement la confidentialité, l’archivage sécurisé, l’intégrité, l’accessibilité et la facilité de consultation de la documentation des missions et si le dossier d’audit définitif avait été constitué en temps voulu (respect du délai de 60 jours).

Exigences des autres normes canadiennes d’audit et des politiques du BVG

Nous avons vérifié si les responsables de mission s’étaient assuré que l’audit avait été planifié, exécuté et communiqué selon les Normes canadiennes d’audit, les lois applicables et les politiques et procédures du Bureau.
Nous avons aussi déterminé si le Bureau s’était acquitté de ses responsabilités en matière de rapports, c’est-à-dire s’il avait mis en place des méthodes d’audit appropriées, des procédures recommandées et des guides pratiques qui favorisent la mise en œuvre de stratégies d’audit efficientes permettant d’obtenir des éléments probants suffisants et en temps voulu.