3073 Points à considérer pour la supervision et la revue lors de l’utilisation de solutions technologiques
juin-2020

Aperçu

La présente section traite des questions suivantes :

  • la supervision et la revue lors de l’utilisation de solutions technologiques;
  • les autres points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’une visualisation;
  • les points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’un outil approuvé.

Normes de CPA Canada

Bureau

Audit annuel

Audits de performance, examens spéciaux et autres missions de certification

NCCQ 1.A35. La revue consiste à examiner :

  • si les travaux ont été réalisés conformément aux normes professionnelles et aux exigences des textes légaux et réglementaires applicables;
  • si des consultations appropriées ont eu lieu et si les conclusions qui en ont été tirées ont été consignées dans la documentation et mises en œuvre;
  • s'il faut revoir la nature, le calendrier et l'étendue des travaux effectués;
  • si les travaux effectués permettent d'étayer les conclusions dégagées et sont consignés dans la documentation de façon appropriée;
  • si les éléments probants obtenus sont suffisants et appropriés pour étayer le rapport;
  • si les objectifs visés par les procédures mises en œuvre au cours de la mission ont été atteints.

NCA 300.A16. La nature, le calendrier et l'étendue de la direction et de la supervision des membres de l'équipe de mission, ainsi que de la revue de leurs travaux, varient en fonction de nombreux facteurs, dont les suivants :

  • la taille et la complexité de l'entité;
  • le volet de l'audit en cause;
  • le résultat de l'évaluation des risques d'anomalies significatives (par exemple, une révision à la hausse du risque d'anomalies significatives pour un aspect donné de l'audit nécessite ordinairement une augmentation de l'étendue et de la fréquence de la direction et de la supervision des membres de l'équipe de mission et une revue plus détaillée de leurs travaux);
  • les capacités et la compétence de chaque membre de l'équipe effectuant les travaux d'audit.

La NCA 220 donne de plus amples précisions sur la direction, la supervision et la revue des travaux d'audit.

NCA 220.17. Au plus tard à la date du rapport de l'auditeur, l'associé responsable de la mission doit s'assurer, au moyen d'une revue de la documentation de l'audit et d'entretiens avec l'équipe de mission, que des éléments probants suffisants et appropriés ont été obtenus pour fonder les conclusions tirées des travaux et permettre la délivrance du rapport de l'auditeur. (Réf. : par. A19 à A21))
NCA 220.A18. La revue consiste notamment à examiner :

  • si des consultations appropriées ont eu lieu et si les conclusions qui en ont été tirées ont été consignées dans la documentation de l'audit et mises en œuvre;
  • si les travaux effectués permettent d'étayer les conclusions dégagées et sont consignés dans la documentation de l'audit de façon appropriée;
  • si les éléments probants obtenus sont suffisants et appropriés pour étayer le rapport d'audit;
  • si les objectifs visés par les procédures mises en œuvre au cours de la mission ont été atteints.

Considérations pertinentes dans le cas où l'équipe de mission s'appuie sur un membre possédant une expertise dans un domaine spécialisé de la comptabilité ou de l'audit (Réf. : par. 15 à 17)

NCA 220.A21. Lorsque l'équipe de mission s'appuie sur un membre possédant une expertise dans un domaine spécialisé de la comptabilité ou de l'audit, la direction, la supervision et la revue de ses travaux peuvent comporter des aspects tels que les suivants :

  • s'entendre avec ce membre sur la nature, l'étendue et les objectifs de ses travaux, de même que sur les rôles respectifs de celui-ci et des autres membres de l'équipe de mission et sur la nature, le calendrier et l'étendue des communications entre eux;
  • évaluer le caractère adéquat des travaux de ce membre, y compris la pertinence et le caractère raisonnable de ses constatations ou conclusions et leur cohérence avec les autres éléments probants.

Responsabilités de l'associé responsable de la mission

NCMC 3001.37. L'associé responsable de la mission doit assumer la responsabilité de la qualité globale de la mission. Il lui incombe notamment de s'assurer que :

c) les revues sont effectuées conformément aux politiques et procédures de revue du cabinet et la documentation de la mission est passée en revue au plus tard à la date du rapport de certification; (Réf. : par. A73)

NCMC 3001.A73. Selon la NCCQ 1, les politiques et procédures du cabinet visant les responsabilités en matière de revue doivent reposer sur le principe que les travaux des membres moins expérimentés de l'équipe de mission sont revus par des membres plus expérimentés de l'équipe.

NCMC 3001.A201. La documentation peut comprendre, par exemple, les éléments suivants :

  • les caractéristiques distinctives des éléments spécifiques testés;
  • l'identité de la ou des personnes qui ont effectué les travaux de la mission et la date à laquelle ils ont été achevés;
  • l'identité de la ou des personnes qui ont passé en revue les travaux de la mission effectués, ainsi que la date et l'étendue de cette revue;
  • les entretiens avec la ou les parties appropriées sur les questions importantes, y compris la nature de ces questions, le moment des entretiens et l'identité des personnes avec qui le professionnel en exercice s'est entretenu.

Directives du BVG

Lorsque l’auditeur utilise des solutions technologiques dans le cadre d’un audit, il doit tenir compte de deux secteurs d’intérêt :

  • les normes sur la documentation : le caractère suffisant de la documentation d’audit jointe aux documents de travail;
  • la supervision et la revue des travaux : la documentation requise pour aider le responsable de la revue des travaux à s’acquitter de ses responsabilités en matière de supervision et de revue dans le cadre du déroulement normal de l’audit.

La supervision et la revue lors de l’utilisation de solutions technologiques

Le responsable de la revue des travaux est chargé d’évaluer les résultats générés par une solution technologique dans le contexte des procédures d’audit mises en œuvre. Il doit aussi examiner toutes les saisies de données, y compris vérifier si des données sources et des paramètres adéquats (p. ex. période de temps) ont été utilisés. Par ailleurs, il doit revoir les procédures mises en œuvre pour évaluer l’exhaustivité et l’exactitude des données sources. Il incombe aussi au responsable de la revue de comprendre l’objectif des procédures et la façon dont la solution technologique appuie cet objectif. La façon dont il s’acquitte de ces responsabilités peut varier selon l’utilisation qui a été faite de la solution technologique dans le cadre de l’audit, la complexité de cette solution et les éléments probants sous-jacents disponibles.

Par exemple, lorsqu’un auditeur effectue une analyse de corroboration de la charge d’intérêts à l’aide d’Excel, le responsable de la revue peut revoir les formules du classeur Excel conservées dans les feuilles de travail ou recalculer certaines des formules clés indépendamment, soit dans Excel, soit à l’aide d’un autre outil technologique ou d’une calculatrice. Lorsqu’un auditeur conçoit un projet IDEA ou une solution d’automatisation robotisée de processus (ARP) pour mettre en œuvre la même procédure analytique de corroboration, le responsable de la revue peut ouvrir le flux de travail dans le script ou projet IDEA, ou l’automatisation dans le logiciel d’ARP et passer en revue le flux de travail avec l’auteur. Si ce dernier a inclus des zones de texte pour expliquer chaque fonction, le responsable de la revue peut alors être en mesure de revoir cette documentation pour comprendre les fonctions exécutées. Il peut procéder à la réexécution de certaines des fonctions indépendamment, soit dans IDEA, Excel ou avec une calculatrice.

Les mêmes concepts s’appliquent pour passer en revue une visualisation. Par exemple, lorsqu’il passe en revue un graphique à barres dans IDEA qui illustre la valeur en dollars des écritures de journal saisies par une personne, où l’axe des Y représente la valeur en dollars et l’axe des X représente les personnes, le responsable de la revue peut ouvrir le dossier de la visualisation et cliquer sur la barre de chaque personne pour voir le nombre d’écritures saisies par chacune de ces personnes et le montant exact en dollars. Il pourra ainsi vérifier la concordance entre un échantillon d’éléments et les données sources.

Le responsable de la revue n’évalue pas si les fonctionnalités sous-jacentes de la solution technologique sont exécutées correctement (p. ex. l’auditeur ne teste pas si le codage ou la logique des outils commerciaux, comme IDEA, permet de réaliser des fonctions de base, comme le cumul ou le filtrage, de manière appropriée). Il évalue plutôt la manière dont le membre de l’équipe de mission a appliqué la fonctionnalité, si celle-ci était adéquate pour atteindre l’objectif visé et si elle a été appliquée à la bonne population. Par exemple, si une équipe crée un tableau croisé dynamique dans Excel pour résumer les différents flux de rentrées assujettis à des tests, le responsable de la revue vérifierait sûrement : 1) si les bons filtres ont été appliqués dans le tableau; 2) si la fonction appropriée a été utilisée (p. ex. additionner ou faire la moyenne des montants appropriés); et 3) si la population entière a été intégrée dans le tableau. Ces mêmes points seraient pertinents lorsqu’une fonction similaire est exécutée dans IDEA ou une autre solution technologique.

Lorsqu’il passe en revue une solution technologique plus complexe, le responsable de la revue peut se fier aux résultats d’un examen des documents justificatifs effectué lors du processus d’élaboration, notamment un document de conception et un plan de tests et les résultats connexes, pour obtenir des éléments probants démontrant le bon fonctionnement et l’application adéquate de la solution technologique. Prenons par exemple le cas où une équipe de mission effectue des tests des contrôles des droits d’accès à 15 moments différents au cours d’une même mission. L’équipe décide de développer un robot à l’aide d’un outil d’ARP dans le but de tester si les droits d’accès des employés licenciés ont été supprimés rapidement. L’équipe de l’Analyse des données et des méthodes de recherche définit les objectifs du test, programme le robot et réalise des tests sur le robot pour s’assurer qu’il fonctionne comme prévu. L’équipe de l’Analyse des données et des méthodes de recherche lancerait le robot sur chacune des populations (15 fois dans le cas de figure). Dans le présent exemple, la documentation concernant la stratégie d’élaboration du robot, la conception du robot et sa mise à l’essai ainsi que les résultats des tests sur le robot seraient conservés centralement dans le dossier d’audit et des renvois seraient inclus dans la feuille de travail sur laquelle le robot a été lancé. Lorsqu’il passe en revue les tests exécutés, le responsable de la revue des travaux de l’équipe de mission comprendrait les objectifs et les fonctions de l’outil d’ARP ainsi que les tests exécutés pour confirmer si le robot a fonctionné comme prévu.

Se reporter à la section BVG Audit 3101 au moment de superviser et de passer en revue une solution technologique appliquée par un spécialiste de la comptabilité ou de l’audit.

Autres points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’une visualisation

La conception des visualisations doit permettre de communiquer efficacement les informations voulues et le message prévu. Par exemple, l’interprétation d’un graphique par un utilisateur peut être influencée par l’échelle employée pour l’axe vertical ou horizontal. La longueur relative des barres dans un graphique à barres peut être utilisée pour indiquer l’importance des écarts entre les variables. Toutefois, la perception de l’importance peut être influencée par l’échelle des axes et d’autres aspects du graphique. Si un graphique est mal conçu, l’auditeur pourrait ne pas relever une question importante qui nécessite une attention supplémentaire. À l’inverse, il pourrait aussi désigner comme question à suivre un élément qui ne nécessite aucun travail additionnel. À titre d’exemple, les deux graphiques ci-après donnent une impression considérablement différente des écarts des ventes entre différentes régions, même s’ils ont tous les deux été créés à partir des mêmes données.

Graphique à colonnes

Le responsable de la revue d’une visualisation détermine si le graphique a été conçu de telle manière qu’il est difficile à comprendre, s’il présente une image incomplète ou inexacte du risque d’audit traité ou s’il dépeint un sujet d’une manière inexacte en raison de critères erronés (p. ex. utilisation de données inappropriées pour définir l’axe des X et/ou des Y).

Les filtres qui sont appliqués lors de la création d’une visualisation dans un outil logiciel tel qu’IDEA peuvent également modifier la manière dont un utilisateur interprétera probablement les données représentées. Donc, le responsable de la revue doit aussi comprendre la manière dont les filtres sont utilisés dans la visualisation et évaluer si cela est approprié.

Points à considérer pour assurer la supervision et la revue des travaux lors de l’utilisation d’un outil approuvé

Même si l’équipe de mission se sert d’une solution technologique qui a été approuvée par le Bureau, il incombe au responsable de la revue de comprendre l’étendue et les objectifs de l’utilisation de l’outil dans le cadre de la mission, d’évaluer le caractère adéquat de l’outil pour la procédure dans laquelle il est utilisé, d’examiner les résultats dans le contexte de la procédure d’audit mise en œuvre et d’apprécier le caractère approprié et la fiabilité de toutes les données saisies dans l’outil. Toutefois, conformément à la section BVG Audit 3072 sur les responsabilités d’une équipe de mission lors de l’utilisation d’un outil technologique approuvé, l’équipe de mission n’est pas tenue de tester ni de documenter la fiabilité de l’outil même (y compris son codage et sa logique). Elle n’a pas non plus à évaluer l’exhaustivité et l’exactitude des résultats de l’outil. Il incombe, toutefois, à l’équipe de mission de mettre en œuvre des procédures d’audit à l’égard des résultats, y compris prendre les mesures de suivi qui pourraient être nécessaires à la suite de la mise en œuvre de ces procédures.

Par exemple, lorsque les spécialistes de l’analyse des données et des méthodes de recherche utilisent un outil approuvé pour évaluer les paramètres configurables, les contrôles automatisés, les droits d’accès des utilisateurs et les incompatibilités dans la séparation des tâches connexes d’une solution PRE précise pour une mission de certification, il incombe à l’équipe de mission de comprendre et de documenter l’étendue et l’objectif des travaux exécutés, notamment les environnements de solution PRE et les codes d’entreprise qui sont assujettis à l’outil; les procédures d’audit qui sont appuyées par l’outil; et si l’outil est adéquat pour ces procédures. Il incombe aussi à l’équipe de mettre en œuvre des procédures d’audit à l’égard des résultats, notamment pour vérifier si des utilisateurs se sont vu confier un attribut de superutilisateur. Toutefois, la vérification de la fiabilité de la fonction ainsi que de l’exhaustivité et de l’exactitude des résultats de l’outil aura été faite dans le cadre du processus d’approbation du Bureau et n’incomberait donc pas à l’équipe de mission.