4025 Contrôles internes
juil.-2020

Aperçu

La Norme canadienne de mission de certification (NCMC) 3001 impose à l’auditeur d’acquérir à l’étape de la planification une compréhension des risques et des aspects du contrôle interne pertinents pour l’audit. La présente section traite de ce qu’on entend par « contrôle interne » et des travaux à effectuer à l’étape de la planification pour en acquérir une compréhension. L’évaluation des risques à cette étape est traitée à la section BVG Audit 4020 — Évaluation des risques.

Exigences de la NCMC 3001

51R. Le professionnel en exercice doit acquérir de l’objet considéré et des autres circonstances de la mission une compréhension suffisante pour :

a) pouvoir identifier et évaluer les risques d’écarts importants;

b) disposer, de ce fait, d’une base pour concevoir et mettre en œuvre, à l’égard des risques évalués, des procédures lui permettant d’obtenir une assurance raisonnable pour étayer sa conclusion. (Réf. : par. A99 à A103 et A105 à A109)

52R. Lors de l’acquisition de la compréhension, requise au paragraphe 51R, de l’objet considéré et des autres circonstances de la mission, le professionnel en exercice doit acquérir une compréhension du contrôle interne qui est pertinent eu égard à la mission. À cette fin, il doit notamment évaluer la conception des contrôles se rapportant à l’objectif de la mission et, si cela est pertinent, déterminer s’ils ont été mis en place en mettant en œuvre des procédures en sus des demandes d’informations auprès du personnel responsable de l’objet considéré. (Réf. : par. A105 à A108)

53R.  En s’appuyant sur sa compréhension (voir le paragraphe 51R), le professionnel en exercice doit : (Réf. : par. A110 à A114)

a) identifier et évaluer les risques d’écarts importants;

b) concevoir et mettre en œuvre, à l’égard des risques évalués, des procédures lui permettant d’obtenir une assurance raisonnable pour étayer sa conclusion. En plus de toute autre procédure à l’égard de l’objet considéré qui est appropriée dans les circonstances de la mission, les procédures du professionnel en exercice doivent comprendre l’obtention d’éléments probants suffisants et appropriés quant à l’efficacité du fonctionnement des contrôles pertinents à l’égard de l’objet considéré dans l’une ou l’autre des situations suivantes :

i) le professionnel en exercice a l’intention de s’appuyer sur l’efficacité du fonctionnement de ces contrôles pour déterminer la nature, le calendrier et l’étendue des autres procédures,

ii) les procédures autres que les tests des contrôles ne permettent pas à elles seules de réunir des éléments probants suffisants et appropriés.

Modalités d’application de la NCMC 3001

A105. Dans une mission d’assurance raisonnable, la compréhension du contrôle interne pertinent par rapport à l’objet considéré aide le professionnel en exercice à connaître les types d’écarts et de facteurs qui ont une incidence sur les risques d’écarts importants. Le jugement professionnel est requis pour déterminer les contrôles qui sont pertinents dans les circonstances de la mission.

A106. Lorsque l’objectif d’une mission d’assurance raisonnable consiste à évaluer la conception ou la mise en œuvre des contrôles exercés à l’égard d’un processus (par exemple, le processus de prise en charge des patients à la salle des urgences d’un hôpital), le professionnel en exercice est tenu, à l’étape de la planification initiale, de recenser les contrôles internes dans la mesure nécessaire pour étayer la détermination de l’étendue de la mission et l’évaluation des risques. Le professionnel en exercice n’est pas tenu d’évaluer la conception des contrôles ou de déterminer s’ils ont été mis en œuvre à l’étape de la planification initiale. Il devra cependant le faire ultérieurement en cours de mission, puisque les contrôles internes constituent l’objet considéré de cette mission.

A107. Lorsque l’objectif d’une mission d’assurance raisonnable consiste à dégager une conclusion sur un résultat particulier d’un processus, il se peut que les contrôles ne présentent aucune pertinence. Par exemple, une mission de certification peut être conçue en vue de dégager une conclusion quant à savoir si le temps qu’il a fallu pour traiter certains éléments (par exemple, des demandes de service) au cours d’une période spécifiée excède le délai autorisé selon les politiques énoncées. Le professionnel en exercice pourrait alors simplement examiner la totalité des éléments traités pendant la période spécifiée et tirer une conclusion sur la conformité aux politiques énoncées.

A108. Lorsque les contrôles sont utiles pour atteindre l’objectif d’une mission d’assurance raisonnable, le professionnel en exercice évalue la conception des contrôles internes en consignant en dossier les contrôles clés et en relevant les déficiences, telles que les contrôles mal conçus ou manquants, s’il y a lieu. Pour déterminer si les contrôles ont été mis en place, le professionnel en exercice exécute souvent des tests de cheminement ou observe l’exercice du contrôle par le personnel de la partie responsable, par exemple.

Politiques du BVG

Pour la compréhension de l’élément considéré, l’équipe d’audit doit acquérir une compréhension du contrôle interne qui est pertinent pour la mission. [nov.-2015]

Directives du BVG

Le contrôle interne est le processus dont la conception, la mise en place et le maintien sont assurés par les responsables de la gouvernance, la direction et d’autres membres du personnel et dont l’objet est de fournir une assurance raisonnable quant à la réalisation des objectifs de l’entité en ce qui concerne la fiabilité de son information financière, l’efficacité et l’efficience de ses activités et la conformité aux textes légaux et réglementaires applicables. Le terme « contrôles » fait référence à n’importe quels aspects de l’une ou plusieurs des composants du contrôle interne.

Les contrôles (ou contrôles internes) sont les méthodes et les procédures conçues, mises en place et appliquées pour atténuer les risques pouvant compromettre l’atteinte des objectifs de l’entité. Ensemble, les contrôles internes forment le système de contrôle interne de l’entité.

La conception d’un contrôle est la manière dont le contrôle est censé fonctionner pour procurer un niveau raisonnable d’assurance que les risques qui menacent la réalisation des objectifs seront atténués, telle qu’elle est décrite dans les documents de politique et de procédure, par opposition à son fonctionnement réel.

La mise en œuvre d’un contrôle est le fonctionnement d’une occurrence du contrôle, ce qui signifie que le contrôle a été mis en place à un moment précis; il est présent. Elle est souvent examinée en même temps que la conception et elle est différente du fonctionnement.

Le fonctionnement d’un contrôle est son exécution dans le temps. Autrement dit, un contrôle fonctionne s’il est exécuté en continu comme prévu dans le temps (c’est-à-dire une exécution efficace continue).

La NCMC 3001 et l’exécution de l’audit

Dans une mission d’appréciation directe, l’équipe d’audit décide de la nature et de l’étendue de l’objet considéré sur lequel il fera rapport. Cette décision est basée sur la compréhension acquise au sujet de l’objet considéré, y compris les contrôles internes pertinents (BVG Audit 4010 — Compréhension de l’objet considéré lors de la planification de l’audit; BVG Audit 4020 — Évaluation des risques).

Selon la NCMC 3001, l’équipe d’audit doit acquérir une compréhension suffisante de l’objet considéré et des autres circonstances de la mission pour pouvoir identifier et évaluer les risques d’écarts importants (constatations d’audit négatives) que comporte l’objet considéré. Lors de l’acquisition de la compréhension de l’objet considéré, l’équipe d’audit doit aussi acquérir une compréhension du contrôle interne qui est pertinent eu égard à la mission.

Un contrôle interne est pertinent s’il est conçu pour atténuer les risques d’écarts importants que comporte l’objet considéré. Dans un audit de performance, les contrôles internes pertinents ne se limitent généralement pas aux contrôles liés à l’information financière. Ils peuvent inclure des contrôles internes liés à la gouvernance, à la gestion et à la performance de l’objet considéré. Par exemple, un contrôle interne peut être le processus mis en œuvre par une entité pour s'assurer que les demandeurs satisfont aux critères d'éligibilité avant d’émettre une subvention. Il est essentiel, pour déterminer les contrôles internes pertinents dans un audit de performance ainsi que l’étendue des travaux d’audit à exécuter, d’avoir recours au jugement professionnel (voir BVG Audit 1042 — Exercice du jugement professionnel).

Lors de l’acquisition de la compréhension du contrôle interne, l’équipe d’audit doit notamment évaluer la conception des contrôles se rapportant à l’objectif de la mission et, si cela est pertinent, déterminer s’ils ont été mis en œuvre. L’identification et l’évaluation des risques d’écarts importants ainsi que l’acquisition d’une compréhension des contrôles internes pertinents permettent à l’équipe d’audit de définir l’étendue et de préciser l’objectif de l’audit de performance, de mettre au point des critères valables et de concevoir les procédures à mettre en œuvre pour obtenir des éléments probants suffisants et appropriés à l’appui de sa conclusion sur l’objectif.

L’examen des contrôles internes au niveau de l’entité ou de l’objet considéré n’est pas nécessairement pertinent lorsque l’objectif de l’audit de performance consiste à former une conclusion sur un résultat particulier d’un programme ou d’un processus.

Pour documenter correctement la nature et l’étendue des travaux d’audit, l’équipe d’audit devrait démontrer comment l’information recueillie au moyen de l’évaluation des risques et des travaux sur les contrôles internes est liée à l’étendue et à l’approche de l’audit. La section BVG Audit 1111 — Nature, utilité et étendue de la documentation de l’audit traite de la documentation. La section BVG Audit 4042 — Étendue et approche de l’audit contient des directives sur l’établissement de l’étendue de l’audit et de l’approche. Pour faciliter le processus de planification et documenter ses décisions, l’équipe d’audit met en œuvre les procédures pertinentes dans le dossier d’audit et utilise les outils obligatoires suivants :

  • le modèle Évaluation du risque de mission;

  • le modèle Identification des risques fonctionnels;

  • le modèle Évaluation des risques et des contrôles;

  • la Grille logique de l’audit.

Les équipes peuvent aussi utiliser le modèle du BVG Feuille de travail sur les contrôles pour documenter leur évaluation des contrôles.

Compréhension du contrôle interne — L’environnement de contrôle

Dans chaque audit, l’équipe doit acquérir une compréhension de l’environnement de contrôle à l’étape de la planification. L’environnement de contrôle donne le ton de la mobilisation de l’organisation, et sensibilise ses membres sur le contrôle. Il constitue la base du contrôle interne en imposant une discipline et une structure. L’équipe d’audit peut acquérir une compréhension de l’environnement de contrôle de l’entité par la collecte et l’analyse d’informations sur les aspects suivants de l’entité :

  • sa gouvernance et l’indépendance des responsables de la gouvernance (c’est-à-dire les structures, les voies hiérarchiques, les pouvoirs et les responsabilités établis pour l’atteinte de ses objectifs);

  • l’importance qu’elle attache à l’intégrité et aux valeurs d’éthique;

  • la surveillance de son système de contrôle interne;

  • son modèle de prestation de services;

  • sa gestion des risques;

  • sa volonté et sa capacité d’assurer le recrutement, le perfectionnement et la fidélisation de personnes compétentes conformément à ses objectifs;

  • sa gouvernance et sa gestion de l’information et des technologies;

  • la compétence des employés;

  • philosophie de gestion et mode de fonctionnement de la direction; et

  • la rigueur des mesures de rendement, des primes et des récompenses qui servent à accroître la responsabilisation en matière de rendement.

La plupart des facteurs précédents sont examinés dans la section BVG Audit 4010 Compréhension de l’objet considéré lors de la planification de l’audit ou dans la section BVG Audit 4020 Évaluation des risques.

Recensement des contrôles internes

Pour comprendre l’environnement de contrôle, l’équipe d’audit recense les contrôles pertinents qu’utilise l’entité pour atténuer les risques liés à l’objet considéré relevés lors de l’évaluation des risques qu’elle a effectuée. Les contrôles pertinents sont recensés pour chaque risque relevé. Afin de recenser les contrôles pertinents , il faut se tourner vers les politiques et les procédures qui sont essentielles pour atténuer les risques relevés, c’est-à-dire ce dont l’entité ne peut absolument pas se passer. L’objectif est de recenser les contrôles qui, s’ils ne fonctionnent pas, créent un risque plus élevé d’écart important (c.-à-d. une constatation d’audit négative).

Les contrôles internes pertinents eu égard à l’objet considéré peuvent inclure des contrôles internes qui ont une incidence généralisée sur d’autres aspects des activités de l’entité. Ces contrôles sont parfois appelés «contrôles au niveau de l’entité». La gouvernance et la gestion des risques organisationnels, de l’information et des technologies et des ressources humaines en sont des exemples. La pertinence de ces contrôles au regard de l’objet considéré dépend cependant des objectifs de l’audit de performance. Par exemple, si l’objet considéré est le processus d’attribution de subventions d’une entité du secteur public et que l’objectif de l’audit est l’efficience de ce processus, il se peut que les contrôles internes liés à la gestion des ressources humaines ne soient pas pertinents. Inversement, les contrôles internes liés à l’information et aux technologies peuvent être pertinents si le professionnel en exercice s’appuie sur des informations issues du système qu’emploie l’entité pour le versement des subventions.

Dans d’autres situations, il se peut que les contrôles internes pertinents se limitent à ceux conçus pour atténuer les risques d’écarts importants par rapport aux critères applicables, par exemple les approbations, les autorisations, les vérifications, les rapprochements, les analyses de la performance, la protection des actifs et la séparation des tâches. Ainsi, un contrôle visant à garantir que la formation de tout nouveau membre du personnel correspond aux exigences du poste peut être pertinent dans le cas d’un audit de performance sur l’efficacité des processus d’embauche.

La relation entre contrôle et risque peut ne pas être directe. Par exemple, un risque peut être atténué par plus d’un contrôle et un contrôle clé peut servir à atténuer plusieurs risques. L’équipe d’audit devrait retenir les contrôles pertinents les plus aptes à contrer les risques recensés. Les techniques à utiliser pour recenser les contrôles pertinents sont l’examen des documents de l’entité et les discussions avec la direction de l’entité.

Déterminer l’étendue du travail requis

Après avoir acquis une compréhension des contrôles internes pertinents pour l’audit, l’équipe d’audit décide de l’étendue des travaux à exécuter sur les contrôles internes. Elle tient compte de l’objet considéré et se demande si les contrôles sont pertinents pour l’audit, comme lorsque l’audit porte sur le fonctionnement des contrôles. L’étendue des travaux, pour évaluer la conception des contrôles et déterminer s’ils sont mis en œuvre, dépend de leur pertinence ou non pour l’audit.

Lorsque l’objectif de l’audit de performance est d’évaluer la conception ou la mise en place de contrôles internes à l’égard d’un processus, les contrôles internes deviennent l’objet considéré. Les attentes de l’équipe d’audit quant à l’efficacité de la conception et, s’il y a lieu, de la mise en œuvre des contrôles internes deviennent les critères applicables. L’équipe d’audit peut évaluer cette efficacité hors du cadre du processus de planification, par exemple au cours de la phase de l’exécution des travaux.

Les contrôles internes sont pertinents à l’objectif de l’audit

Lorsque les contrôles sont pertinents à l’objectif d’une mission d’assurance raisonnable, l’équipe d’audit évalue la conception des contrôles internes en consignant en dossier les contrôles et en relevant les déficiences, telles que les contrôles mal conçus ou manquants, s’il y a lieu. Il n’est pas nécessaire d’évaluer la conception et la mise en œuvre des contrôles pertinents lors de l’étape de la planification, quand ces travaux seront effectués à l’étape de l’examen.

Les contrôles internes peuvent également être utilisés comme source d’éléments probants.

Examens spéciaux — Cette situation s’applique à tous les examens spéciaux étant donné que les contrôles internes en font toujours partie comme l’objet considéré de ce genre de mission. L’objectif d’un examen spécial est de procurer à la société d’État l’assurance raisonnable qu’elle atteint ses objectifs de contrôle fixés par la loi. En vertu de la Loi sur la gestion des finances publiques, l’équipe d’audit est tenue d’exprimer une opinion sur les moyens et méthodes (contrôles) de la société qu’elle a sélectionnés aux fins d’examen. Par conséquent, l’équipe d’audit doit examiner l’environnement de contrôle, recenser les contrôles internes clés (c.-à-d. les moyens et les méthodes) que la société d’État utilise pour atténuer ses risques et évaluer la pertinence de leur conception et de leur mise en œuvre.

Le BVG a élaboré une série de moyens et de méthodes de base et des critères standards connexes qui doivent être examinés dans chaque examen spécial. De plus, d’autres risques susceptibles de peser sur la société d’État devraient être inclus selon l’évaluation des risques et des contrôles de l’équipe. L’étendue et l’approche définitives de l’audit doivent répondre aux risques évalués et tenir compte de la compréhension acquise par l’équipe des contrôles internes pertinents pour la mission.

Audit de performance — Cette situation s’applique au minimum aux audits de performance lorsque les contrôles internes sont l’objet considéré de l’audit. Voici des exemples où l’objectif d’audit est d’évaluer la conception, la mise en œuvre et le fonctionnement des contrôles :

Exemple 1 : L’audit avait pour objectif de déterminer si les moyens et méthodes sélectionnés que le gouvernement met en œuvre pour prévenir l’entrée illégale de personnes au Canada fonctionnent comme prévu (chapitre 5 — Prévenir l’entrée illégale au Canada, déposé à l’automne 2013).

Exemple 2 : L’audit avait pour objectif de déterminer si Travaux publics et Services gouvernementaux Canada disposait, lorsqu’il impartissait des services de gestion d’immeubles, de contrôles adéquats pour assurer le respect des obligations retenues (c.-à-d. l’environnement et la santé et la sécurité, la sécurité des immeubles, la continuité opérationnelle des immeubles, l’accessibilité et l’équité en matière de sous-traitance) (chapitre 7 — L’impartition de services de gestion d’immeubles, déposé au printemps 2014).

Les contrôles internes ne sont pas pertinents à l’objectif de l’audit

Lorsque les contrôles internes ne sont pas l’objet considéré de l’audit, les contrôles internes peuvent ne pas être pertinents dans le cadre de l’audit. Dans ces cas, les équipes ne sont pas tenues en vertu de la NCMC 3001 d’évaluer la conception des contrôles internes et de déterminer s’ils ont été mis en œuvre. Il peut en être ainsi lorsque l’objectif de l’audit est de formuler une conclusion sur un résultat particulier.  Cependant, bien que l'évaluation de la conception et de la mise en œuvre ne soit pas requise, il est utile que l'équipe d’audit connaisse les contrôles afin de comprendre les risques de l'objet de l'audit et pourquoi un résultat peut s'être produit.

Examens spéciaux — Cette situation ne s’applique jamais aux examens spéciaux (en raison de la nature de l’opinion exprimée dans un examen spécial, comme mentionné plus haut).

Audit de performance — Cette situation peut s’appliquer aux audits de performance, lorsque les contrôles internes ne sont pas l’objet considéré de l’audit. Voici des exemples où l’objectif consiste à évaluer autre chose que les contrôles (en général un résultat) :

Exemple 1 : L’audit avait pour objectif de déterminer si Anciens Combattants Canada avait facilité l’accès en temps opportun aux services et aux prestations auxquels ont droit les vétérans aux prises avec une maladie mentale (chapitre 3 — Les services de santé mentale pour les vétérans, déposé à l’automne 2014).

Exemple 2 : L’audit avait pour objectif de déterminer si Service correctionnel Canada réalisait des interventions correctionnelles auprès des détenus en temps opportun pour les aider dans leur réadaptation et leur réinsertion sociale (rapport 6 — La préparation des détenus à la mise en liberté — Service correctionnel Canada, déposé au printemps 2015).

Évaluation du caractère approprié de la conception des contrôles pertinents

Si les contrôles sont pertinents pour l’audit, l’équipe d’audit doit évaluer le caractère approprié de la conception de ces contrôles. L’équipe d’audit peut évaluer l’efficacité de la conception et de la mise en oeuvre hors du cadre du processus de planification, par exemple au cours de la phase de l’exécution des travaux.

L’équipe d’audit évalue la conception des contrôles internes en consignant en dossier les contrôles et en relevant les déficiences, telles que les contrôles mal conçus ou manquants, s’il y a lieu. L’équipe d’audit évalue la conception de chaque contrôle pertinent recensé et conclut sur le caractère approprié de sa conception. Un contrôle est conçu de manière appropriée si son fonctionnement est susceptible de donner une assurance raisonnable que les risques de ne pas atteindre les objectifs seront atténués (c’est-à-dire en mesure de prévenir, de détecter et contrer le risque qu’il est censé maîtriser). Un contrôle mal conçu peut constituer une déficience importante du contrôle interne (c’est-à-dire une constatation d’audit négative).

La conception du contrôle est évaluée d’abord parce qu’il ne servirait pas à grand-chose d’en évaluer la mise en œuvre si sa conception est inappropriée.

Facteurs à considérer dans l’évaluation du caractère approprié de la conception : L’équipe d’audit examine de nombreux facteurs lorsqu’elle évalue le caractère approprié de la conception d’un contrôle. Quelques-uns sont énumérés ci-dessous. Ces facteurs sont examinés ensemble et ils sont souvent reliés. Aucun élément n’est nécessairement plus important qu’un autre; cependant, il peut arriver qu’une grave lacune rende un contrôle inefficace.

  • Existence La conception d’un contrôle pertinent manquant ou inexistant est par définition inadéquate.

  • Utilité et pertinence — La capacité du contrôle de contribuer à l’atteinte de l’objectif visé et d’atténuer les risques associés. Le contrôle est-il adapté aux risques? Fera-t-il ce qu’il est censé faire?

  • Exhaustivité et/ou couverture — Ce facteur a trait à l’application du contrôle dans le secteur géré. Est-il appliqué à tous les éléments requis? Tous les facteurs ou les éléments pertinents sont-ils pris en compte? Par exemple, un examen du contrôle qualité effectué pour vérifier l’exactitude des paiements serait incomplet s’il n’était pas appliqué à tous les types de prestations. Un indicateur de rendement serait incomplet s’il excluait une portion déterminante de l’opération utilisée pour mesurer. Lorsqu’un contrôle est appliqué à un échantillon et non à une population entière d’opérations, la stratégie fondée sur le risque de l’entité est-elle adéquate?

  • Caractère opportun — Réponse du contrôle en temps opportun à des événements. Le contrôle est-il appliqué rapidement en réponse aux événements visés? Plusieurs aspects du caractère opportun devront être pris en considération – le temps requis pour collecter l’information, pour trouver les écarts ou les anomalies, ainsi que pour prendre des mesures correctives. Par exemple, le caractère opportun d’un contrôle mensuel effectué trois mois en retard pourrait être problématique.

  • Fréquence — À quel intervalle le contrôle est-il exécuté? Cet intervalle est-il approprié (quotidien, mensuel et annuel)?

  • Clarté — Le contrôle est bien documenté et communiqué aux personnes chargées de son application.

  • Niveau de cohérence, de discrétion ou de subjectivité — Mesure dans laquelle le contrôle est défini à l’avance et objectif. Son application est-elle établie d’office ou sujet à interprétation et à l’exercice du jugement? Les attentes sont-elles claires (c’est-à-dire sait-on clairement ce qui constitue ou non un écart et quelles sont les mesures à prendre?) L’automatisation, par exemple, pourrait permettre d’éliminer les erreurs et les anomalies qui sont généralement d’origine humaine.

  • Degré de séparation — Degré de séparation entre le contrôle et l’activité visée ainsi que le degré de séparation entre les fonctions à l’intérieur du contrôle lui-même. L’opération du contrôle est-elle séparée du processus qu’il vise (pour que les exceptions ou les irrégularités soient saisies, et éviter les conflits d’intérêts)? Les diverses activités du contrôle lui-même sont-elles séparées? Plus il y a de séparation, plus fort est le contrôle visant à prévenir les dysfonctionnements et les erreurs, et à atténuer les risques connexes.

  • Fiabilité de l’information utilisée lors de l’application du contrôle — L’information utilisée pour exécuter un contrôle est-elle fiable? (C’est-à-dire si le fonctionnement d’un contrôle s’appuie sur de l’information de gestion fiable, comment l’entité sait-elle que l’information est fiable?)

  • Compétence des personnes intervenant dans l’exécution du contrôle — Des personnes possédant les connaissances et l’expérience nécessaires interviennent dans l’exécution du contrôle.

  • Mesures de suivi en réponse à un problème — Il y a une réponse appropriée et claire aux problèmes relevés par le contrôle et elle est exécutable. Les anomalies et les problèmes relevés font-ils l’objet de mesures appropriées en temps opportun?

Évaluation de la mise en œuvre des contrôles pertinents

Il est obligatoire d’évaluer la mise en œuvre des contrôles si les contrôles sont pertinents pour l’audit et que l’équipe d’audit conclut que leur conception est appropriée. Si l’équipe d’audit conclut que la conception d’un contrôle est inappropriée, l’évaluation de sa mise en œuvre n’a plus de raison d’être.

L’équipe d’audit détermine si chaque contrôle pertinent recensé dont la conception a été jugée appropriée a été mis en œuvre. Un contrôle a été mis en œuvre s’il fonctionne dans une occurrence (c.-à-d. qu’il est présent tel qu’il a été conçu à un moment donné). Pour déterminer si un contrôle a été mis en œuvre, l’équipe d’audit se demande comment fonctionne réellement le contrôle par rapport à la façon dont il est censé fonctionner (sa conception). Pour arriver à une conclusion sur la mise en œuvre d’un contrôle, l’équipe d’audit examine dans quelle mesure un écart entre la mise en œuvre et la conception peut avoir une incidence sur la capacité du contrôle d’atténuer le risque qu’il est censé atténuer.

Évaluer la mise en œuvre d’un contrôle n’est pas la même chose que de tester l’efficacité de son fonctionnement. La mise en œuvre des contrôles se vérifie à un moment précis dans le temps, tandis que pour évaluer l’efficacité de leur fonctionnement, il faut tester une opération en particulier sur une certaine période de temps.

Nature des travaux effectués pour évaluer la conception et la mise en œuvre des contrôles

Pour les contrôles jugés pertinents pour l’audit, la NCMC 3001 exige de l’équipe d’audit qu’elle évalue le caractère approprié de leur conception et qu’elle détermine s’ils sont mis en œuvre en exécutant des procédures en plus de s’entretenir avec le personnel de l’entité responsable. Les procédures à exécuter pour obtenir des éléments probants concernant la conception et la mise en œuvre des contrôles pertinents sont :

  • des entretiens avec le personnel de l’entité;
  • l’observation de l’application de contrôles particuliers;
  • l’examen de documents et de rapports;
  • des tests de cheminement.

Test de cheminement — Un test de cheminement consiste à analyser et à observer de près le fonctionnement d’un processus pour permettre à l’équipe d’audit de comprendre les contrôles en suivant les transactions à l’intérieur du système de contrôle. Généralement, c’est le personnel de l’entité chargé des éléments clés du contrôle qui fait la démonstration du cheminement des transactions. Cette procédure est utilisée pour acquérir une compréhension détaillée des activités liées au contrôle en suivant le déroulement de ces activités, du début à la fin. Généralement, un seul test de cheminement suffit pour chaque contrôle. Des directives supplémentaires sont données ci-dessous sur l’à-propos d’effectuer d’autres tests de cheminement ou d’autres travaux.

Un test de cheminement se fait généralement à l’aide de différentes méthodes d’audit, à savoir la prise de renseignements, l’observation physique, l’inspection des documents pertinents et la réexécution des contrôles. Le choix combiné des méthodes à appliquer dépendra de la nature du contrôle. L’utilité d’un test de cheminement est de confirmer la compréhension des contrôles acquise par l’équipe, d’évaluer le caractère approprié de la conception des contrôles et de confirmer si les contrôles ont été mis en œuvre.

Tout au long du test de cheminement, l’équipe d’audit doit faire preuve d’esprit critique et demander à l’entité de corroborer ses explications à l’aide de rapports et de manuels de procédures, ou d’autres documents qui servent à l’application des contrôles ou qui sont générés par ceux-ci.

Lorsqu’elle prépare le test de cheminement, l’équipe d’audit obtient d’abord et examine les documents pertinents décrivant le processus et les activités, y compris les rôles et les responsabilités des différents intervenants de l’entité. Lorsqu’elle examine les documents, l’équipe d’audit détermine aussi quelles sont les procédures pour les éléments qui ne suivent pas le déroulement normal (éléments exceptionnels). L’équipe d’audit peut ainsi déjà avoir une bonne idée de la conception du contrôle avant d’établir le plan détaillé de l’exécution du test de cheminement. L’équipe d’audit procède ainsi pour comparer et mettre en opposition, à l’aide d’une occurrence, la manière dont le contrôle est décrit (conception) et la manière dont il fonctionne dans la réalité (mise en œuvre).

Au moins une opération de chaque procédure importante est choisie et suivie à la trace du début à la fin du processus. À chaque activité de contrôle importante, l’équipe d’audit demande au personnel de l’entité intervenant dans les aspects importants du processus ce qu’il comprend des exigences de la procédure et des contrôles prescrits, et elle détermine si les procédures de traitement sont mises en œuvre de la manière établie au départ et en temps opportun. L’auditeur suit le déroulement du processus en utilisant les mêmes documents et technologies de l’information qu’utilise le personnel. L’équipe d’audit peut alors avoir besoin de plus d’une réunion pour questionner le personnel chargé des procédures et des contrôles importants et pour observer ou suivre à la trace les étapes importantes d’un processus. L’équipe reste à l’affût des écarts par rapport aux procédures prescrites de l’entité.

L’équipe d’audit corrobore l’information à divers points du test de cheminement, par exemple en demandant aux membres du personnel de décrire leur compréhension des activités de traitement ou de contrôle qui viennent d’avoir lieu ou qui vont se dérouler ensuite et de faire une démonstration de ce qu’ils font. Elle posera également des questions de suivi pour mieux identifier les écarts des contrôles ou les indices de fraude.

L’équipe d’audit recense et documente les éléments probants examinés ou observés à l’appui de sa compréhension et de son évaluation de la conception du contrôle et de la détermination quant à sa mise en œuvre. L’équipe documente le cheminement, résume les déficiences et en évalue l’effet sur son approche d’audit. L’étendue des demandes d’informations et de l’examen des documents lors d’un test de cheminement est suffisante pour permettre à l’équipe de formuler une conclusion sur la conception des contrôles et sur la question de savoir s’ils ont été mis en œuvre, mais non pour tester l’efficacité de leur fonctionnement. Par exemple, en effectuant un test de cheminement, l’équipe d’audit retracerait normalement un seul exemple de type d’opération en particulier. Bien qu’un test de cheminement doive tenir compte du processus en entier, on pourra utiliser différentes opérations à différentes étapes du processus pour mener à bien le test de cheminement.

Dans l’éventualité où le même contrôle pertinent est exécuté par plus d’une personne, ou dans des établissements multiples, il faudra peut-être faire également un test de cheminement des divers sous-processus.

Documentation des travaux — Pour chaque contrôle pertinent, l’équipe d’audit documente son évaluation et ses conclusions. Les éléments importants à consigner sont :

  • le nom du contrôle évalué;
  • le ou les risque(s) associé(s) que le contrôle est censé atténuer;
  • l’évaluation du caractère approprié de la conception;
  • la détermination quant à sa mise en œuvre (si la conception est appropriée);
  • la conclusion générale sur la conception et la mise en œuvre, y compris la justification;
  • un résumé des travaux sur lesquels reposent l’évaluation et la conclusion et des liens y menant.

Le format de la documentation pourrait varier; cependant, l’équipe d’audit devrait utiliser la Feuille de travail sur les contrôles pour documenter son évaluation du caractère approprié de la conception de chaque contrôle pertinent et de la détermination quant à sa mise en œuvre, ainsi que sa conclusion à cet égard. En effet, cette feuille de travail renferme tous les éléments importants à examiner.

La documentation d’un test de cheminement ne doit pas nécessairement inclure tout ce qui a été discuté. Elle devrait plutôt être centrée sur les travaux susceptibles de présenter un intérêt pour un examinateur qui voudrait comprendre les éléments probants observés et les constatations pour s’assurer que les questions ayant fait appel au jugement sont étayées de manière adéquate. Elle devrait comprendre :

  • une description concise du contrôle et des processus examinés (étapes clés);

  • le personnel rencontré, les documents et les rapports examinés (personnes que l’équipe d’audit a rencontrées et dates de ces rencontres, personnel du BVG présent aux réunions, éléments probants particuliers, rapports examinés);

  • une description concise de tout examen détaillé ou des observations, y compris la validation ou les tests effectués.

Audit d’une entité à établissements multiples — Comme nous l’avons mentionné plus haut, l’équipe d’audit effectue généralement un test de cheminement par contrôle. Si les contrôles sont effectués en parallèle à différents endroits, il ne serait sans doute pas approprié de supposer que ces contrôles sont les mêmes partout. Il pourrait alors être nécessaire d’effectuer des tests de cheminement additionnels.

Audits de plusieurs entités — Pour les audits où l’objet considéré vise plusieurs entités qui ont chacune un rôle unique à jouer, les travaux effectués sur les risques et les contrôles à l’étape de la planification doivent être faits une seule fois. Cependant, les réunions avec le personnel et les tests de cheminement pourraient amener l’équipe chez les différentes entités. Pour un audit consistant à examiner le même objet considéré auprès de différentes entités, chaque entité devient un élément d’un échantillon servant à examiner comment l’objet considéré est appliqué dans différentes parties du gouvernement. Si le même objet considéré est examiné dans différentes entités, sa gestion peut varier d’une entité à l’autre, et les risques et contrôles pourraient être différents. Dans ce cas, il est possible que les équipes aient à effectuer une évaluation des risques et des contrôles distincte à l’étape de la planification pour chaque entité.

Contrôles dans les petites organisations — Dans les petites entités, les contrôles peuvent être exercés de manière informelle, p. ex. les activités ne seront pas toujours documentées ni communiquées. Cependant, ces contrôles peuvent être testés lors de réunions avec le personnel où l’équipe fait des demandes de renseignements, observe et obtient la corroboration de la direction à propos du fonctionnement des contrôles, et prend ensuite des mesures de suivi de corroboration auprès d’autres personnes. Dans une petite organisation, il n’est pas toujours possible d’arriver à une séparation des tâches appropriée. Les équipes doivent alors rechercher les contrôles compensatoires.

Les prochaines étapes — Incidence sur l’étendue et l’approche

Lorsqu'ils sont effectués pendant l’étape de la planification, les travaux sur la conception et la mise en œuvre des contrôles internes permetttent d’éclairer les décisions de planification générale fondées sur le risque de l’équipe au sujet de l’étendue et de l’approche de l’audit (BVG Audit 4042 — Étendue et approche de l’audit).

Il faut regarder soigneusement les secteurs jugés à haut risque qui présentent des déficiences de contrôle, car ces secteurs sont susceptibles de représenter un risque résiduel élevé, c’est-à-dire le risque qui subsiste même lorsque des contrôles sont en place pour atténuer le risque inhérent.

L’équipe d’audit devrait vérifier que l’approche d’audit et le programme prévoient des procédures visant à répondre aux risques importants relevés. La conception finale est documentée dans la grille logique d’audit. La section BVG Audit 4044 — Élaboration de la stratégie d’audit : grille logique d’audit analyse la grille plus en détail.

Test de l’efficacité du fonctionnement — Il est rare que l’équipe ait à déterminer ou à tester l’efficacité du fonctionnement des contrôles d’un audit de performance ou d’un examen spécial à l’étape de la planification. Cependant, il n’est pas inhabituel de tester l’efficacité du fonctionnement des contrôles pertinents à l’étape de l’examen, s’ils sont pertinents et/ou qu’ils constituent l’objectif de l’audit, comme moyen de recueillir suffisamment d’éléments probants appropriés en appui à l’évaluation d’une situation par rapport aux critères d’audit. Tester l’efficacité du fonctionnement d’un contrôle suppose de déterminer si les éléments pertinents du contrôle fonctionnent et restent en application pendant la période considérée. C’est particulièrement vrai pour les examens spéciaux.

Il faut effectuer des tests plus poussés lors de l’examen de l’efficacité du fonctionnement. Par exemple, l’obtention d’éléments probants attestant la mise en œuvre d’un contrôle manuel à un moment précis ne fournit pas d’éléments probants quant à son fonctionnement efficace à d’autres moments au cours de la période visée par l’audit. En testant l’efficacité du fonctionnement, l’équipe d’audit conçoit les procédures à exécuter pour obtenir les éléments probants au sujet du fonctionnement du contrôle pendant la période considérée, notamment:

  • la façon dont le contrôle a été appliqué à des moments pertinents pendant la période considérée;
  • l’uniformité de son application;
  • la personne qui l’a appliqué et par quels moyens;
  • la subordination du contrôle à d’autres activités et à d’autres informations.