Réponses de l’auditeur à l’évaluation des risques dans le cadre des audits d’entités détenant des cryptoactifs

Certains membres de CPA Canada sont d’avis que les procédures d’audit traditionnelles sont susceptibles de ne pas fournir des éléments probants appropriés dans le cadre de l’audit des actifs et des transactions en cryptomonnaies. Les auditeurs doivent explorer des approches qui les aideront à répondre aux risques dans ce secteur en émergence.

Notre récente publication intitulée Facteurs à considérer pour l’audit des actifs et des transactions en cryptomonnaies porte sur les facteurs à prendre en considération lors de l’identification et de l’évaluation des risques d’audit pour les entités qui détiennent des cryptomonnaies et se livrent à des transactions en cryptomonnaies.

Toutefois, en raison de l’expérience limitée de l’audit de ce genre d’actifs, il n’existe pas de stratégie d’audit type ou d’indications très élaborées sur le sujet, que ce soit au Canada ou ailleurs dans le monde, pour aider les auditeurs à répondre à l’évaluation des risques qui s’y rattachent. CPA Canada souhaite contribuer au processus en amorçant une discussion sur les aspects qui ont suscité le plus grand intérêt depuis la parution de notre publication.

COMPRENDRE LA CHAÎNE DE BLOCS QUI SOUS-TEND UN CRYPTOACTIF SPÉCIFIQUE

Alors que plus de 1 900 cryptoactifs sont actuellement en circulation, dont chacun a sa propre chaîne de blocs, il est fondamental pour les auditeurs de comprendre la chaîne de blocs pertinente ainsi que les répercussions pour l’audit. Chaque chaîne de blocs est régie par son propre ensemble de règles, notamment en ce qui concerne les protocoles de chiffrement et les mécanismes de consensus, et des différences existent quant au délai de traitement des transactions en vue de leur enregistrement dans une chaîne de blocs. L’acquisition d’une compréhension de l’entité et de son environnement peut inclure la compréhension des caractéristiques uniques de la chaîne de blocs sous-tendant les cryptoactifs détenus par l’entité.

L’acquisition de cette compréhension nécessite une certaine expertise du nouvel écosystème que constituent les cryptoactifs, dont l’évolution se fait à un rythme soutenu. L’une des questions qui se posent est celle de savoir si vous et les autres membres de l’équipe de mission possédez l’expertise appropriée pour comprendre les risques pertinents et pour élaborer une réponse d’audit appropriée. Il se peut que les auditeurs doivent utiliser les travaux d’un expert relativement aux protocoles de chiffrement concernés, afin de comprendre les risques et d’y répondre. En pareil cas, dans quelle mesure la complexité du domaine des cryptoactifs pourrait-elle influer sur les facteurs pris en considération pour évaluer la compétence de l’expert?

BOURSES DE CRYPTOMONNAIE ET DÉPOSITAIRES

Dans le numéro d’août 2018 de son bulletin L’express CCRC, le Conseil canadien sur la reddition de comptes (CCRC) a appelé les auditeurs à « rapidement établir de saines pratiques afin de réaliser des audits de qualité sur ce territoire inexploré ». Il s’agit en effet d’un territoire inexploré pour la profession d’auditeur. Les auditeurs sont habitués à évoluer dans un monde où l’identité des parties aux opérations financières est connue et où des intermédiaires de confiance, y compris des institutions financières, des réseaux de paiement et des autorités de réglementation agissent de concert pour protéger l’intégrité de ces opérations.

Lorsqu’une entité détient des cryptoactifs, il y a fort à parier que ceux-ci aient été obtenus auprès de l’une des quelque 200 bourses de cryptomonnaie centralisées qui sont actives dans le monde. En général, les bourses de cryptomonnaie réalisent des opérations pour le compte de clients en ayant sous leur garde les clés privées qui contrôlent les actifs; elles agissent à titre de courtiers et de dépositaires pour leurs clients. Contrairement aux intermédiaires du secteur des valeurs mobilières traditionnelles, les bourses de cryptomonnaie demeurent largement non réglementées, et l’efficacité de leurs systèmes de contrôle interne doit encore faire l’objet d’un examen en profondeur.

Dans un article paru en juillet 2018, le Wall Street Journal rapportait que, depuis 2011, les pertes découlant du piratage de plateformes de monnaies numériques totalisaient 1,63 milliard de dollars américains. Voilà qui pose bien des défis lorsque, dans le cadre d’un audit, vient le moment de déterminer si les cryptoactifs sous la garde d’une bourse de cryptomonnaie existent à la clôture de l’exercice.

Certaines bourses de cryptomonnaie ont pour pratique d’amalgamer les actifs de leurs clients dans des portefeuilles hébergés sur la bourse. Lorsque des cryptoactifs sont amalgamés, la bourse de cryptomonnaie reflète les transactions entre les acheteurs et les vendeurs dans ses propres registres, mais aucun mouvement n’est enregistré dans la chaîne de blocs applicable (c’est-à-dire qu’il s’agit de transactions hors chaîne). Lorsque de telles transactions ont lieu, les auditeurs ne sont pas en mesure de vérifier les transactions d’un client en se référant uniquement à la chaîne de blocs (sans compter qu’il peut s’avérer difficile de trouver une façon fiable de lire les transactions réalisées hors chaîne, quand bien même les actifs ne seraient pas amalgamés).

Le piratage des bourses et les transactions hors chaîne ne sont que deux exemples des risques qui existent dans le marché des cryptoactifs.

LES STRATÉGIES D’AUDIT TRADITIONNELLES SONT-ELLES SUFFISANTES?

Les auditeurs utilisent habituellement des procédures d’audit telles que l’inspection et les confirmations externes pour obtenir des éléments probants. Toutefois, la mise en œuvre de ces procédures traditionnelles pourrait ne pas suffire à elle seule dans le contexte de l’audit de cryptoactifs. Par exemple, les auditeurs obtiennent souvent le rapport de l’auditeur d’une société de services sur l’efficacité des contrôles internes de cette société, mais un tel rapport existe rarement dans le cas des contrôles d’une bourse de cryptomonnaie. Quelles procédures de remplacement peuvent alors être mises en œuvre?

Un autre exemple est celui des confirmations externes obtenues auprès d’un intermédiaire, comme une banque réglementée, à titre d’éléments probants à l’égard des actifs que détient un client et des transactions qu’il effectue. Toutefois, quelle valeur peut-on accorder aux confirmations reçues d’intermédiaires qui exercent leurs activités dans l’écosystème des cryptoactifs?

PROCHAINES ÉTAPES

Comme vous pouvez le constater, il y a beaucoup plus à dire sur le sujet que ce qui peut entrer dans ce blogue. Ne manquez pas nos prochaines publications.

POURSUIVONS LA CONVERSATION

Quelles sont vos principales préoccupations en ce qui a trait à l’audit des cryptoactifs? Quelles approches explorez-vous en vue d’obtenir des éléments probants suffisants et appropriés? Nous voulons savoir ce que vous avez à dire sur le sujet. Je vous invite à publier vos commentaires ci-dessous ou à m’écrire directement.

Avertissement

Les opinions et les points de vue exprimés dans cet article sont ceux de l’auteur et ne représentent pas nécessairement ceux de CPA Canada.

À propos de l’auteur

Taryn Abate, CPA, CA, CPA (Illinois, É.-U.)

Directrice, Audit et certification, CPA Canada

Autres événements susceptibles de vous intéresser :

La technologie de la chaîne de blocs pourrait avoir une incidence sur l’audit des états financiers et ouvrir de nouvelles possibilités intéressantes : voyez ce que cela signifie pour la profession d’auditeur et de certificateur.