Audit de cryptoactifs : le défi de composer avec la présence de tiers fournisseurs
Les auditeurs doivent se préparer et combler d’éventuelles lacunes dans leurs compétences avant d’accepter des mandats dans le secteur des cryptoactifs. (Getty Images/katleho Seisa)
Au moment où les cryptoactifs gagnent en popularité, les administrations publiques, les organismes de réglementation, les investisseurs et diverses organisations s’interrogent sur la manière de les intégrer dans les systèmes et cadres financiers actuels.
Les auditeurs sont confrontés à des défis uniques lorsqu’ils évaluent des états financiers comportant des soldes et des opérations en cryptoactifs, et plus particulièrement s’il l’entité fait appel à des fournisseurs de services tiers tels que des plateformes de négociation ou des services de garde de portefeuille électronique.
Pour traiter cet enjeu d’actualité, CPA Canada a fait équipe avec le Conseil des normes d’audit et de certification (CNAC) en créant le Groupe de travail sur l’audit des cryptoactifs, qui réunit des représentants de cabinets d’audit et des autorités de réglementation. Ces personnes sont appelées à discuter de l’application des Normes canadiennes d’audit (NCA) lors de la pratique de l’audit dans le secteur des cryptoactifs.
Voici quatre défis à prendre en considération au moment d’auditer des opérations en cryptoactifs dans un contexte où des tiers fournisseurs entrent en jeu.
1) PRÉPARER L’AUDIT DE CRYPTOACTIFS
Les auditeurs doivent se familiariser avec les principaux aspects des environnements de cryptoactifs dans lesquels leurs clients exercent leurs activités, et ce, avant d’entreprendre la mission, explique-t-on dans un rapport de CPA Canada intitulé L’audit des cryptoactifs : audit des états financiers d’entités faisant appel à un tiers fournisseur de services pour des transactions en cryptoactifs ou la détention de cryptoactifs (de la série « Points de vue : application des Normes canadiennes d’audit (NCA) dans l’écosystème des cryptoactifs »).
Ces missions exigent une compréhension approfondie de l’entité utilisatrice et de sa relation avec le tiers fournisseur. Les auditeurs doivent connaître certains détails, notamment quels services du fournisseur sont utilisés (services de négociation ou services de détention et de sauvegarde de cryptoactifs); qui contrôle telle ou telle activité; et, aussi, l’influence de ces tiers sur les soldes et les opérations.
« Il est particulièrement important pour les auditeurs de comprendre d’avance ce que font les tierces parties avec lesquelles l’entité auditée traite », explique Kaylynn Pippo, directrice de projets, Recherche, orientation et soutien, à CPA Canada. « L’auditeur doit se demander s’il pourra obtenir des éléments probants suffisants pour mener à bien sa mission d’audit et se former une opinion sur les états financiers de l’entité. »
Dans les conditions actuelles, c’est un défi, ajoute Angelo Giardina, CPA, directeur, Leadership intellectuel, au Conseil canadien sur la reddition de comptes (CCRC). Le secteur des cryptoactifs n’en est qu’à ses débuts, et de nombreux fournisseurs de services sont encore en train de mettre au point les contrôles et processus nécessaires adaptés aux objectifs des entités clientes.
« Le secteur tente encore de trouver ses repères. Beaucoup de ces tiers fournisseurs n’ont pas fait évaluer l’efficacité du fonctionnement de leurs contrôles internes par des auditeurs, dit M. Giardina. Il y a peut-être des lacunes pas encore cernées, et donc pas corrigées, dans les contrôles et les processus – ou des risques à atténuer. »
2) COMPRENDRE LES SERVICES FOURNIS
Le travail d’audit suppose une bonne compréhension des services qu’un tiers fournit à une entité dans l’environnement des cryptoactifs, rappellent les experts.
Parmi les services externalisés, mentionnons le traitement des opérations financières (comme les échanges de cryptoactifs), la tenue des registres pour les opérations et la détention de cryptoactifs (services de stockage de garde de valeurs).
« La principale préoccupation, c’est que les auditeurs n’aillent pas assez au fond des choses s’ils omettent de considérer le tiers fournisseur comme une société de services », soutient M. Giardina.
« Essentiellement, cela veut dire le travail que doit effectuer l’auditeur diffère considérablement selon que le tiers fournisseur est considéré comme une société de services ou simplement comme une source d’information externe. »
Une bonne compréhension des services utilisés permet de savoir qui – l’entité ou le tiers? – contrôle quelles activités et comment les données nécessaires à la préparation de l’information financière sont consignées dans le système de l’entité ou dans celui du fournisseur. Par exemple, si une plateforme de négociation gardienne effectue des opérations en dehors de la chaîne de blocs ou met en commun les cryptoactifs de l’entité avec ceux d’autres clients, cela signifie que l’entité se fie aux contrôles externes de tenue des registres chez le tiers fournisseur. Or, en l’absence de contrôles internes adéquats, ou si l’auditeur ne peut obtenir certaines informations, la capacité de ce dernier à exprimer une opinion sans réserve est compromise.
« Lorsque les services fournis par un tiers font partie Intégrante du système d’information de l’entité utilisatrice pertinent pour l’information financière, explique Mme Pippo, on parle effectivement d’une relation avec une société de services, de sorte que les contrôles des opérations en cryptoactifs et les services de détention de valeurs et de tenue des registres, par exemple, sont pertinents pour l’audit. »
3) ÉVALUER LES RISQUES ET COMPRENDRE LES CONTRÔLES
Si le tiers répond à la définition d’une société de services, l’auditeur doit cerner et évaluer les risques pertinents pour la mission, puis concevoir et mettre en œuvre des procédures en réponse à ces risques. Il pourra le faire en examinant un rapport sur les contrôles de la société de services, ou un rapport SOC (question traitée dans le document de CPA Canada cité plus haut).
Idéalement, ajoute M. Giardina, lorsqu’une entité fait appel à une société de services, l’auditeur de celle-ci fournit un rapport SOC sur ses contrôles internes qui sont pertinents aux fins de la présentation d’information financière de l’entité utilisatrice des services (le rapport SOC 1). Ce rapport est donc pertinent pour l’auditeur de l’entité utilisatrice.
Il poursuit : « Étant donné que la société de services fournit généralement ses services à plusieurs entités utilisatrices, une mission SOC est un moyen plus efficace et plus efficient d’obtenir une évaluation de ses contrôles. En l’absence de rapport SOC, l’auditeur de l’entité utilisatrice doit néanmoins obtenir les éléments probants dont il a besoin, par exemple en contactant directement la société de services, ce qui peut toutefois ne pas être efficace, pratique ou même faisable. »
Cela dit, Mme Pippo fait observer que dans l’environnement actuel des cryptoactifs, les rapports SOC sont peu disponibles, et limités dans leur portée. Il se peut que ces rapports n’existent pas encore pour de nombreuses plateformes de négociation ou de détention de cryptoactifs et, même s’il y en a, l’auditeur doit déterminer si le rapport SOC traite des risques pertinents pour sa mission, renchérit-elle.
« S’il n’y a pas de rapport SOC concernant les dépositaires et les plateformes de négociation, ou s’il y en a un mais qu’il ne traite pas de tous les contrôles pertinents pour l’audit, l’auditeur pourrait devoir exprimer une limitation de l’étendue des travaux s’il n’a pas pu obtenir les éléments probants voulus en examinant les contrôles de l’entité utilisatrice ou en s’adressant directement à la société de services. »
Jeremy Justin, chef de la gestion des risques et vice-président, Stratégie, du CCRC, explique que les choses vont évoluer lorsque davantage de sociétés de services consigneront bien leurs contrôles et processus. Il y aura alors plus de rapports SOC étoffés, que les auditeurs pourront scruter.
« Le processus sera facilité lorsque les auditeurs pourront obtenir l’assurance voulue auprès d’un nombre beaucoup plus important de sociétés de services », croit-il.
4) COMBLER LES LACUNES DANS LES COMPÉTENCES
Les auditeurs désireux de travailler dans le secteur des cryptoactifs doivent avoir les compétences et l’expérience appropriées, rappellent les experts.
Dans un rapport du CCRC, intitulé La pratique de l’audit dans le secteur des cryptoactifs – Points de vue sur les inspections, on présente les principales déficiences le plus souvent relevées chez les auditeurs dans ce domaine. Mentionnons celles-ci : évaluation insuffisante des risques d’audit; utilisation de renseignements non fiables; et absence de preuves suffisantes pour valider les affirmations des entités en ce qui a trait à la propriété des cryptoactifs, aux activités en jeu, etc.
« Les auditeurs doivent garder à l’esprit qu’il s’agit d’audits très difficiles, dans un contexte réglementaire en pleine mutation, affirme M. Giardina. Ils doivent se demander s’ils ont bien les connaissances nécessaires pour ces missions d’audit, s’ils peuvent compter sur des experts et s’ils ont les outils technologiques requis pour effectuer le travail. »
À ce propos, ajoute Jeremy Justin, il faut avoir accès à des occasions de formation qui permettront non seulement de combler les lacunes dans les compétences, mais aussi d’aller chercher le soutien et l’expertise propres à ce domaine.
« On le constate, beaucoup d’auditeurs agrandissent leur équipe en ajoutant des ressources qui possèdent le bon niveau d’expertise, dit-il. Car il faut avoir une formation dans le domaine et comprendre les principaux risques et défis, le fonctionnement des chaînes de blocs ainsi que les relations compliquées qui entrent en jeu. »
AUDIT ET CRYPTOACTIFS : SUGGESTIONS DE LECTURE
Apprenez-en plus sur les implications de la présence de tiers fournisseurs sur l’audit de cryptoactifs en lisant notre publication intitulée Points de vue : Application des Normes canadiennes d’audit (NCA) dans l’écosystème des cryptoactifs – L’audit des cryptoactifs : audit des états financiers d’entités faisant appel à un tiers fournisseur de services pour des transactions en cryptoactifs ou la détention de cryptoactifs. Consultez aussi deux autres articles de notre série Points de vue : L’audit des cryptoactifs : est-il nécessaire de tester les contrôles lors de la collecte d’éléments probants à l’appui de l’assertion relative aux droits (à la propriété)? et L’audit des cryptoactifs : pertinence et fiabilité des informations provenant d’une chaîne de blocs devant servir comme éléments probants.