Rapport sur la revue des pratiques d’audits d’états financiers — Pour les audits d’états financiers complétés au cours de l’exercice 2017-2018

Rapport sur la revue des pratiques d’audits d’états financiers — Pour les audits d’états financiers complétés au cours de l’exercice 2017-2018

Introduction

1. Le Bureau du vérificateur général du Canada (le Bureau) effectue des études et des audits indépendants qui fournissent de l’information, une assurance et des avis objectifs au Parlement, aux assemblées législatives territoriales, aux conseils d’administration des sociétés d’État, au gouvernement et à la population canadienne. Le Bureau effectue trois grands types d’audit législatif : les audits d’états financiers, les audits de performance et les examens spéciaux. Les audits de performance et les examens spéciaux sont qualifiés de missions d’appréciation directe.

2. Les audits d’états financiers portent sur :

De plus, le Bureau réalise des audits qui répondent à des besoins précis des gouvernements des provinces et des Premières Nations, comme l’audit des montants de l’impôt sur le revenu perçus par l’Agence du revenu du Canada au nom des gouvernements provinciaux.

3. Ces audits sont effectués selon les Normes canadiennes d’audit. L’objectif d’un audit d’états financiers est de permettre à l’auditeur d’exprimer une opinion à savoir si les états financiers donnent, dans tous leurs aspects significatifs, une image fidèle conformément au référentiel d’information financière applicable. Dans certains cas, l’auditeur doit aussi exprimer une opinion indiquant si les opérations examinées sont conformes à tous les textes légaux et réglementaires applicables.

4. La mission de l’équipe de la Revue des pratiques et de l’audit interne (RPAI) est d’améliorer et de protéger la valeur de l’organisation en fournissant, de manière objective et en se fondant sur les risques, une assurance, des avis et des observations. L’équipe de la RPAI soutient le Bureau dans la réalisation de ses objectifs en formulant des recommandations sur la gestion après avoir mené un exercice systématique et rigoureux d’évaluation et d’approbation de la conception et de l’efficacité des processus de gestion des risques, de contrôle et de gouvernance.

5. L’équipe de la RPAI aide le Bureau à s’acquitter de ses obligations aux termes de la Norme canadienne de contrôle qualité 1 du Conseil des normes d’audit et de certification. Pour ce faire, elle procède à des inspections visant à déterminer dans quelle mesure les responsables de mission (chefs de mission) se conforment aux normes professionnelles, aux politiques du Bureau et aux lois et règlements applicables dans la conduite de leurs audits. Elle s’assure aussi que les rapports d’auditeurs indépendants sont bien étayés et appropriés.

6. En outre, l’équipe de la RPAI réalise ses travaux conformément au Plan de la Revue des pratiques et de l’audit interne le plus récent du Bureau, lequel a été recommandé par le Comité d’audit et approuvé par le vérificateur général. Ce plan prévoit une surveillance systématique et cyclique des travaux de tous les responsables de mission du Bureau.

7. Afin de s’assurer que ses audits sont exécutés selon les normes de Comptables professionnels agréés du Canada, le Bureau établit des politiques et des procédures pour encadrer ses travaux. Celles-ci sont énoncées dans le Manuel d’audit annuel du Bureau, dans son Système de contrôle qualité et dans divers outils d’audit qui servent à guider les auditeurs. Les deux vérificateurs généraux adjoints qui sont responsables de l’audit des états financiers assurent la direction et la surveillance de la pratique d’audit d’états financiers du Bureau et contribuent à la qualité des audits.

8. Le présent rapport résume les principales observations découlant de la revue des pratiques des audits d’états financiers qui ont été complétés au cours de l’exercice 2017-2018.

Aperçu

Objectif

9. Une revue des pratiques vise à fournir au vérificateur général l’assurance que :

Étendue et méthode

10. L’équipe de la RPAI a effectué une revue des pratiques de six audits d’états financiers et une revue des pratiques limitée au rôle du responsable du contrôle qualité d’un audit, pour les audits d’états financiers complétés au cours de l’exercice 2017-2018. Selon nos méthodes, nous devons passer en revue un échantillon d’audits complétés de manière cyclique, en examinant au moins une mission pour chaque responsable de mission à l’intérieur d’une période de surveillance de quatre ans. Nous avons sélectionné les responsables de mission et leurs dossiers par échantillonnage aléatoire.

11. Nos revues ont comporté un examen des dossiers d’audit en version électronique (TeamMate) et en version papier, le cas échéant. Nous avons revu les documents relatifs à la planification, à l’examen et à la production du rapport d’audit. Nous avons aussi eu des entretiens avec certains membres des équipes d’audit et d’autres spécialistes internes pour discuter des problèmes.

12. Nous avons examiné tous les dossiers sélectionnés conformément au Système de contrôle qualité (voir l’annexe A). Nous avons axé nos travaux sur les éléments et contrôles de processus qui nous semblaient essentiels ou à risque élevé (voir l’annexe B) pour les audits sélectionnés.

Notation

13. Pour chaque audit revu, nous avons noté chaque élément et contrôle de processus sélectionné du Système de contrôle qualité de la manière suivante :

14. À la fin de chacune des revues, nous avons déterminé si l’opinion de l’auditeur indépendant était bien étayée et appropriée. Nous avons aussi déterminé si le dossier d’audit était conforme dans son ensemble aux Normes canadiennes d’audit et aux politiques du Bureau.

Résultats des revues

Caractère approprié des rapports d’audit

15. Dans l’ensemble, nous avons constaté que les opinions de l’auditeur indépendant étaient bien étayées et appropriées pour tous les dossiers passés en revue.

Conformité aux éléments et aux contrôles de processus du Système de contrôle qualité

16. En règle générale, le niveau global de conformité aux éléments du Système de contrôle qualité était bon. Trois dossiers étaient conformes, dans tous leurs aspects significatifs, aux Normes canadiennes d’audit et aux politiques d’audit annuel du Bureau. Les trois autres dossiers étaient conformes, tout en nécessitant des améliorations. La section « Observations » ci-dessous contient des précisions à ce sujet.

17. Notre conclusion générale sur un dossier donné repose sur la revue de tous les éléments du Système de contrôle qualité. Par conséquent, il est possible qu’un dossier ne soit pas conforme à un élément donné du Système, même si nous avons conclu qu’il était en général « conforme, tout en nécessitant des améliorations ».

18. Pour la revue limitée aux travaux du responsable du contrôle qualité, nous avons conclu que l’élément « Revue de contrôle qualité d’une mission » du Système de contrôle qualité était conforme, tout en nécessitant des améliorations. La section « Observations » ci-dessous contient des précisions à ce sujet.

Considérations particulières liées au cycle de cette année

19. Lors de ses revues du cycle de cette année, l’équipe de la RPAI a porté une attention particulière aux gains d’efficience possibles des équipes d’audit dans la réalisation de leurs travaux et aux pratiques exemplaires susceptibles de profiter à d’autres équipes. Elle a également cherché des moyens d’accroître l’efficience dans ses propres processus. Par exemple, elle a étudié des façons de rendre plus efficiente la revue effectuée cette année sur le processus de confirmation de l’indépendance.

20. Dans le rapport sommaire de l’an dernier, l’équipe de la RPAI a recommandé aux Services d’audit d’évaluer si des changements devaient être apportés au processus ou à la politique sur la confirmation de l’indépendance, ou aux deux. Depuis, les Services d’audit ont effectué l’évaluation et décidé de modifier la politique du Bureau afin de supprimer l’obligation des membres de l’équipe d’audit de confirmer leur indépendance avant de commencer à travailler à un audit.

21. Les dossiers que nous avons examinés au cours du présent cycle ont été achevés avant l’examen, l’approbation et l’entrée en vigueur des modifications à la politique concernant l’indépendance (Bureau du vérificateur général du CanadaBVG Audit 3031). Nous nous attendons à ce qu’une évaluation de ces dossiers par rapport à la norme en vigueur au moment de l’audit produise des observations comparables à celles formulées lors du dernier cycle de revues. Nous n’avons donc pas évalué ces dossiers.

Observations

Bonnes pratiques observées

22. Dans deux dossiers, l’équipe de la RPAI a observé de bonnes pratiques concernant la justification consignée par les équipes d’audit de leur décision de communiquer ou non au Comité d’audit les risques d’audit importants recensés. Elle a aussi observé que les équipes d’audit avaient consigné par écrit les raisons justifiant la communication au Comité d’audit de certains risques d’audit faibles, même si les méthodes du Bureau ne l’exigeaient pas. Nous avons porté ces pratiques à l’attention de l’Équipe des méthodes d’audit annuel pour qu’elle en tienne compte dans sa prochaine mise à jour des méthodes.

Occasions de gains d’efficience

23. Dans certains dossiers, même si les travaux d’audit étaient conformes aux méthodes du Bureau, l’équipe de la RPAI a relevé des occasions de gains d’efficience.

24. Par exemple, dans un dossier, l’équipe d’audit avait élaboré des procédures détaillées, principalement dans la section de la planification, pour satisfaire à des exigences d’audit précises liées à des services connexes. Toutefois, les modèles d’audit du Bureau comportaient déjà la plupart des procédures détaillées que l’équipe d’audit avait élaborées. Tenir à jour ce programme d’audit personnalisé alourdirait la charge de travail de l’équipe d’audit. L’équipe de la RPAI estime que les équipes d’audit peuvent faire des gains d’efficience en utilisant les modèles d’audit du Bureau. Cela leur permettrait aussi de réduire au minimum le risque d’utiliser un programme d’audit personnalisé qui ne cadre pas avec la version actuelle du manuel de Comptables professionnels agréés du Canada et les méthodes du Bureau en vigueur.

25. Dans un autre dossier, l’équipe de la RPAI a noté qu’une équipe d’audit avait fait un examen analytique de tous les postes des états financiers qui étaient rattachés à une feuille maîtresse. Même si sa stratégie d’audit ne l’exigeait pas, l’équipe d’audit a effectué cette analyse pour expliquer des écarts allant jusqu’à 20 % du seuil de signification prévu. L’équipe d’audit nous a informés qu’elle avait fait cet examen en vue de préparer l’analyse du rendement à inclure dans le Sommaire de l’approbation du rapport.

26. Toutefois, dans le Sommaire de l’approbation du rapport, l’équipe d’audit a réalisé l’analyse du rendement à un niveau de 50 % du seuil de signification. Ce niveau était trop élevé comparativement au niveau requis pour les postes des états financiers, ce qui a entraîné des travaux inutiles.

27. Dans deux dossiers, l’équipe de la RPAI a noté que les modèles de procédure d’audit du Bureau n’avaient pas été remplis de manière efficiente. Ces modèles ont été conçus pour alléger le travail de documentation des équipes d’audit. Dans un des dossiers, l’équipe d’audit avait répondu aux questions du modèle de manière trop détaillée. Dans l’autre, l’équipe d’audit avait inséré un grand nombre d’hyperliens vers les documents pertinents. Une surabondance de détails demande du temps pour la documentation et pour la revue des modèles. De plus, la multiplication des hyperliens peut nuire à la fonctionnalité de ces derniers.

Sécurité des renseignements sensibles

28. Selon la Politique sur la sécurité du BVG, peu importe l’endroit où elles sont conservées (TeamMate ou PROxI), les documents de travail d’audit « Protégé A » ou « Protégé B » qui sont créés par le BVG doivent tous porter la mention appropriée. Par conséquent, les membres de l’équipe d’audit doivent effectuer une évaluation pour déterminer l’étiquette de sécurité appropriée de tous les documents qu’ils produisent. La Fiche mémoire sur la sécurité du Bureau indique clairement que, si un document doit être catégorisé comme étant « Protégé », cette mention doit figurer sur la page couverture ou sur chaque page du document, selon le niveau de sensibilité des renseignements.

29. Même conservés sur un support approprié et sécuritaire (TeamMate), les documents non marqués posent un risque s’ils sont retirés de leur environnement sécuritaire en étant imprimés.

30. L’équipe de la RPAI a noté que, dans cinq des dossiers qu’elle a revus, l’équipe d’audit avait inscrit la mention « Protégé A » ou « Protégé B » dans le nom du fichier. Inclure cette information dans le nom du fichier est peut-être une bonne pratique, mais il faut que la mention du niveau de sécurité figure dans le document. Pour deux des cinq dossiers, l’équipe d’audit avait suivi cette bonne pratique.

31. Pour trois de ces cinq dossiers, la mention ajoutée dans le nom du fichier n’était pas la même que celle indiquée dans le document. Par exemple, nous avons relevé des cas où le nom du fichier portait la mention « Protégé B », sans que cette information soit incluse dans le document. Il est inutile d’ajouter la mention « Protégé » dans le nom du fichier si elle ne figure pas dans le document.

32. Nous avons été informés qu’un certain nombre de ces documents étaient « non classifiés ». Selon nous, la mention « Protégé A » ou « Protégé B » dans le nom du fichier était trompeuse et pouvait être mal interprétée. Étant donné que ces documents ne comportaient aucune information sur leur niveau de sécurité, nous ne savions pas si le propriétaire du document voulait catégoriser des renseignements sensibles en ajoutant la mention « Protégé A » ou « Protégé B » au nom du fichier.

33. L’équipe de la RPAI a aussi remarqué que les équipes d’audit avaient ajouté le mot « Protégé » au nom de fichier de documents fournis par l’entité. C’est au propriétaire du document qu’il incombe de déterminer si celui-ci doit être « protégé ». Le personnel d’audit ne doit pas le faire à la place de l’entité. Toutefois, si les membres du personnel d’audit estiment que le niveau de sécurité d’un document n’a pas été bien établi, ils peuvent en discuter avec l’entité.

34. Nous sommes d’avis qu’il s’agit d’un problème généralisé pour lequel des mesures correctives ou des changements doivent être apportés rapidement relativement aux procédures du Bureau. Les recommandations à ce sujet sont présentées ci-dessous.

35. Recommandation 1, adressée à l’agent de sécurité ministériel du Bureau — L’agent de sécurité ministériel du Bureau devrait continuer à fournir au personnel d’audit des séances d’information ou des cours en ligne obligatoires sur la sécurité assortis d’exemples précis et adaptés à la réalité du travail de l’auditeur.

Réponse de la direction — Recommandation acceptée. L’équipe de sécurité a élaboré un cours en ligne sur l’étiquetage de l’information. Ce cours a été lancé à l’automne 2017 et doit être suivi tous les trois ans. L’équipe de sécurité anime également des séances d’information obligatoires au sein de chaque direction tous les trois ans. À l’avenir, les cours et l’information seront adaptés, au besoin, à la réalité du travail de l’auditeur.

36. Recommandation 2, adressée à la pratique d’audit d’états financiers — Les responsables de mission devraient s’assurer que leur personnel d’audit et eux-mêmes comprennent bien les directives sur la sécurité du Bureau et que les documents de travail préparés par l’équipe d’audit et conservés dans TeamMate sont évalués en fonction de ces directives et étiquetés selon le niveau de sécurité approprié.

Réponse de la direction — Recommandation acceptée. Les responsables de mission reverront les directives sur la sécurité du Bureau et discuteront des exigences relatives à l’étiquetage de sécurité à la réunion de lancement de l’audit. Lors de l’utilisation de documents de travail préparés par les auditeurs, le responsable du contrôle qualité vérifiera que l’étiquetage de sécurité approprié a été appliqué à ceux-ci.

Formulaire de confirmation de l’indépendance

37. Comme nous l’avons mentionné précédemment (voir le paragraphe 20), l’équipe de la RPAI n’a pas évalué, lors de ce cycle, si les formulaires de confirmation de l’indépendance avaient été remplis et approuvés avant que les membres de l’équipe commencent à travailler à un audit. Cependant, nous avons évalué l’exhaustivité et la communication des formulaires de confirmation de l’indépendance.

38. Tous les formulaires revus par l’équipe de la RPAI ont été correctement documentés. La période visée par les formulaires de confirmation de l’indépendance concordait avec la période visée par les audits revus. Toutefois, dans un des dossiers, nous avons constaté qu’il manquait deux formulaires pour des personnes répondant à la définition de membre de l’équipe de mission. Dans ce cas précis, nous avons demandé au responsable de mission de rouvrir le dossier d’audit pour vérifier que l’indépendance de ces deux personnes avait été évaluée et documentée. Nous avons aussi demandé au responsable de mission d’informer la directrice principale de la Revue des pratiques et de l’audit interne de tout conflit relevé.

39. Pour le dossier auquel il manquait deux formulaires de confirmation de l’indépendance, l’équipe de la RPAI a conclu que le dossier n’était pas conforme à l’élément « Règles de déontologie et indépendance » du Système de contrôle qualité.

Supervision et revue

40. Dans un dossier, l’équipe de la RPAI a noté que l’équipe d’audit n’avait pas utilisé la version du modèle de Sommaire des anomalies non corrigées (SANC) qui se trouve actuellement sur la page d’audit des états financiers de l’INTRAnet et dans TeamMate, s’exposant ainsi à un risque de non-conformité aux méthodes du Bureau en vigueur. De plus, un montant a été inscrit par erreur au crédit plutôt qu’au débit. Selon nous, il est important que le SANC soit rempli correctement, car des erreurs pourraient amener l’auditeur à une mauvaise conclusion.

41. Étant donné que l’erreur n’a pas eu d’incidence sur les résultats de l’audit, l’équipe de la RPAI a conclu que, pour ce dossier, l’élément « Supervision et revue » du Système de contrôle qualité était conforme, tout en nécessitant des améliorations.

42. Toutefois, en examinant le modèle du SANC, nous avons remarqué que des fonctionnalités du modèle ne répondaient pas à toutes les exigences des méthodes du Bureau. Selon nous, cette lacune pourrait exposer l’audit à un certain risque si l’équipe d’audit s’appuie uniquement sur les fonctionnalités du modèle.

43. La section 9015, Évaluation de l’incidence des anomalies non corrigées, du Manuel d’audit annuel indique ce qui suit : « Si la valeur de l’anomalie globale probable dépasse 75 % du seuil de signification global, l’équipe doit consulter l’Équipe des méthodes d’audit annuel. » On y lit également que l’équipe d’audit doit faire ce qui suit :

Les auditeurs utilisent le SANC pour déterminer si les états financiers sont exempts d’anomalies significatives, de la manière suivante :

44. Nous avons noté que le modèle actuel calcule uniquement l’évaluation des anomalies non corrigées par rapport aux capitaux propres. Par conséquent, il se peut que l’équipe d’audit ne se conforme pas aux exigences des méthodes du Bureau si elle s’appuie uniquement sur le calcul automatique produit dans le modèle du SANC.

45. Recommandation 3, adressée aux Services d’audit — Les Services d’audit devraient déterminer s’il faut apporter des changements au modèle du Sommaire des anomalies non corrigées ou aux procédures connexes afin d’aider l’équipe d’audit à évaluer l’incidence des anomalies non corrigées, conformément aux méthodes du Bureau.

Réponse de la direction — Recommandation acceptée. Les Services d’audit détermineront si des changements au modèle du Sommaire des anomalies non corrigées pourraient mieux aider les équipes d’audit à respecter la politique du Bureau et à appliquer les directives formulées dans la section BVG Audit 9015 sur l’évaluation de l’incidence des anomalies non corrigées.

Documentation de la mission

46. Dans un dossier, l’équipe de la RPAI a relevé que de nombreux documents étaient inclus dans une section d’audit sans comporter de renvoi aux exigences de la procédure d’audit. Tous les documents ajoutés au dossier d’audit doivent comporter des renvois à une procédure d’audit. En l’occurrence, pour ce dossier, nous avons conclu que l’audit était conforme, tout en nécessitant des améliorations à l’élément « Documentation de la mission » du Système de contrôle qualité.

Revue de contrôle qualité d’une mission

47. Comme nous l’avons mentionné précédemment (voir le paragraphe 10), l’équipe de la RPAI a dû effectuer une revue supplémentaire d’un dossier d’audit pour s’assurer qu’au moins un des dossiers visés par le cycle actuel de revue avait un responsable du contrôle qualité assigné. Ce faisant, nous avons vérifié si nous pouvions évaluer l’élément « Revue de contrôle qualité d’une mission » du Système de contrôle qualité. Comme nous l’avons indiqué, pour ce dossier, nous avons examiné uniquement les travaux du responsable du contrôle qualité et les échanges de l’équipe d’audit avec cette personne.

48. Pour les étapes d’exécution et de production du rapport de l’audit, l’équipe de la RPAI a noté que les éléments probants étayant la participation du responsable du contrôle qualité à l’audit étaient très limités dans le dossier TeamMate. Nous avons aussi relevé que l’approbation définitive du responsable du contrôle qualité n’avait pas été obtenue en temps opportun. Nous avons conclu que, pour l’élément « Revue de contrôle qualité d’une mission » du Système de contrôle qualité, le dossier était conforme, tout en nécessitant des améliorations.

Conclusion

49. Certains des audits d’états financiers que l’équipe de la RPAI a revus nécessitaient la production d’un rapport de l’auditeur indépendant. Nous avons conclu que les rapports produits étaient étayés et appropriés.

50. L’équipe de la RPAI a conclu que, dans l’ensemble, trois dossiers étaient conformes et que trois autres dossiers étaient conformes, tout en nécessitant des améliorations.

51. En ce qui concerne la revue des pratiques limitée au rôle du responsable du contrôle qualité d’un audit, l’équipe de la RPAI a conclu que, pour l’élément « Revue de contrôle qualité d’une mission » du Système de contrôle qualité, le dossier était conforme, tout en nécessitant des améliorations.

Annexe A — Éléments du Système de contrôle qualité

Le présent diagramme présente les objectifs, les niveaux et les éléments du Système de contrôle qualité
Version textuelle

Ce diagramme montre trois côtés d’un cube. Chaque côté représente un aspect du Système de contrôle qualité.

Le dessus du cube présente les objectifs du Système de contrôle qualité :

  1. Conformité aux normes professionnelles et aux exigences des textes légaux et réglementaires applicables
  2. Les rapports délivrés sont appropriés aux circonstances

Le côté droit du cube montre les deux niveaux du Système de contrôle qualité :

  • Niveau du cabinet (Norme canadienne de contrôle qualitéNCCQ 1)
  • Niveau de la mission (Norme canadienne d’auditNCA 220 ou Norme canadienne de missions de certificationNCMC 3001)

Le devant du cube montre les éléments du Système de contrôle qualité :

  • Leadership
  • Règles de déontologie et indépendance
  • Acceptation et maintien de la mission
  • Ressources humaines
  • Réalisation des missions
  • Suivi

Annexe B — Éléments et contrôles de processus du Système de contrôle qualité examinés

Notre examen a porté sur les éléments suivants du Système de contrôle qualité :

Leadership — Nous avons vérifié si les responsables de mission s’étaient assurés que les audits avaient été réalisés conformément aux politiques du Bureau, aux normes professionnelles et au Système de contrôle qualité du Bureau, ainsi qu’aux exigences des textes légaux et réglementaires applicables.

Règles de déontologie et indépendance — Nous avons vérifié si les responsables de mission s’étaient assurés que l’indépendance de toutes les personnes effectuant des travaux d’audit, y compris les spécialistes, avait été rigoureusement évaluée et que l’information à ce sujet était consignée en dossier.

Acceptation et maintien de la mission — Pour les missions initiales et récurrentes, nous avons vérifié si les responsables de mission avaient confirmé que l’équipe disposait d’assez de temps et avait la compétence, les capacités et les ressources nécessaires, si elle respectait les règles de déontologie pertinentes, et si elle avait pris en considération l’intégrité de la direction.

Ressources humaines — Nous avons vérifié si les responsables de mission avaient évalué le caractère adéquat, la disponibilité, les aptitudes, la compétence et les ressources de l’équipe, et s’ils avaient consigné en dossier cette évaluation.

Réalisation des missions

Pour cet élément, nous avons aussi évalué les sous-éléments suivants :

Exigences des autres normes canadiennes d’audit et des politiques du Bureau

Nous avons vérifié si les responsables de mission s’étaient assurés que l’audit avait été planifié, exécuté et communiqué selon les Normes canadiennes d’audit, les lois applicables et les politiques et procédures du Bureau.

Nous avons aussi déterminé si le Bureau s’était acquitté de ses responsabilités en matière de rapports, c’est-à-dire s’il avait mis en place des méthodes d’audit appropriées, des procédures recommandées et des guides pratiques qui favorisent la mise en œuvre de stratégies d’audit efficientes permettant d’obtenir des éléments probants suffisants et en temps voulu.