Passer au contenu principal
Une femme d’affaires analyse des données reliées à la COVID-19 sur un tableau invisible

Effets de la COVID-19 sur vos clients, leurs contrôles internes et l’audit

La COVID-19 a eu d’importantes répercussions sur les cabinets d’audit. Découvrez les effets de la pandémie sur vos clients et ce que vous pouvez faire pour les aider à composer avec cette situation qui ne cesse d’évoluer.

À l’échelle de la planète, la COVID-19 a perturbé les activités d’entités et forcé les entreprises à apporter des changements importants à leurs manières de faire. Les incidences de la COVID-19 sur les éléments probants, l’information intermédiaire et la continuité de l’exploitation ont été abordées dans de récents billets de blogue sur la qualité de l’audit. Mais comment la COVID-19 a-t-elle touché les contrôles internes de vos clients?

Étant donné le passage massif au télétravail, les réductions de personnel, la perturbation des activités et la réaffectation de ressources pour assurer la santé et sécurité du personnel et la viabilité de l’entité, il ne serait pas surprenant que les systèmes de contrôle interne de vos clients et leurs diverses composantes soient touchés.

LISEZ CE BILLET DE BLOGUE POUR EN APPRENDRE DAVANTAGE SUR :

  • la responsabilité de la direction à l’égard des contrôles et de l’identification de changements liés à la COVID-19;
  • la responsabilité de l’auditeur en ce qui concerne la compréhension des composantes du contrôle interne de l’entité;
  • les considérations d’ordre pratique pour les auditeurs.

Responsabilité de la direction à l’égard des contrôles et de l’identification de changements liés à la COVID-19

La direction est responsable de la conception, de la mise en place et du maintien d’un système de contrôle interne dont l’objet est de fournir une assurance raisonnable quant à la réalisation des objectifs de l’entité en ce qui concerne la fiabilité de son information financière, l’efficacité et l’efficience de ses activités et la conformité aux textes légaux et réglementaires applicables.

Dans le contexte actuel, il pourrait y avoir des secteurs où les contrôles internes doivent être modifiés ou ne sont pas appliqués. Si des changements importants sont apportés aux systèmes et aux contrôles, il incombe à la direction d’identifier et d’apprécier les nouveaux risques susceptibles d’en découler, ainsi que de modifier les contrôles ou d’en établir de nouveaux pour atténuer ces nouveaux risques.

Lorsque des changements sont apportés aux activités, aux systèmes ou aux contrôles en raison des effets de la COVID-19, la direction doit noter le moment et les raisons motivant ces changements (par exemple, il peut s’agir de fermetures imposées par les gouvernements dans le pays de l’entité pendant la période visée par la mission, ou d’autres fermetures imposées ou exigences en matière de distanciation qui ont rendu nécessaires les changements). Idéalement, les informations décrivant les changements aux contrôles et aux procédures doivent être approuvées par le personnel autorisé avant la mise en place de ces derniers, et des dossiers complets des changements devraient être conservés à des fins d’audit.

Responsabilité de l’auditeur : acquisition d’une compréhension des composantes du système de contrôle interne de l’entité

Même s’ils ne prévoient pas de s’appuyer sur l’efficacité du fonctionnement des contrôles d’une entité, les auditeurs sont tenus d’acquérir une compréhension des contrôles internes pertinents pour l’audit. Cette compréhension (qui s’étend à la conception et à la mise en place des changements touchant les contrôles pertinents pour l’audit) aide l’auditeur à identifier les anomalies possibles et les facteurs qui influent sur les risques d’anomalies significatives. Les auditeurs doivent par conséquent comprendre l’incidence des changements sur l’ensemble des composantes du système de contrôle interne (y compris la manière dont l’entité a répondu aux risques liés à l’informatique) – environnement de contrôle, processus d’évaluation des risques par l’entité, système d’information pertinent pour l’information financière et communication, activités de contrôle (qui peuvent inclure des contrôles généraux informatiques et des contrôles des applications) et suivi des contrôles.

Environnement de contrôle

La situation actuelle pourrait nuire à l’environnement de contrôle d’une entité, dont l’objet est de fournir une base appropriée sur laquelle peuvent s’appuyer les autres composantes du contrôle interne. En effet, de nombreuses entités sont passées en mode gestion de crise et reprise des activités, et divers éléments de leur environnement de contrôle pourraient être touchés par les changements entraînés par ce changement de régime, notamment en ce qui a trait à la structure organisationnelle, à l’approche adoptée pour la prise et la gestion des risques d’entreprise, à l’attitude et aux décisions à l’égard de l’information financière, à l’attribution des pouvoirs et des responsabilités et aux politiques et pratiques des RH. Dans ces circonstances, les entités pourraient s’appuyer davantage sur des technologies non éprouvées. Compte tenu des contraintes de ressources avec lesquelles les entités doivent composer, les activités de contrôle pourraient être effectuées par du personnel moins expérimenté qu’à la normale, même si les contrôles eux-mêmes demeurent inchangés. La direction pourrait aussi être portée à contourner plus souvent les contrôles en place si ces derniers ne fonctionnent pas comme prévu. Le degré de sensibilisation à l’importance des contrôles d’une entité pourrait avoir changé parce que la direction est préoccupée par d’autres priorités et pourrait être plus disposée qu’avant à fermer les yeux sur les déficiences de contrôle. Certains éléments de l’environnement de contrôle d’une entité peuvent avoir une incidence généralisée sur l’évaluation des risques d’anomalies significatives, et les déficiences dans l’environnement de contrôle pourraient réduire l’efficacité des contrôles, en particulier en ce qui concerne la fraude.

Processus d’évaluation des risques de l’entité

Dans le contexte actuel, les entités sont exposées à des risques qui étaient précédemment considérés comme improbables et prennent de nouvelles mesures en réponse à ces risques. Peu importe le degré de formalité du processus d’évaluation des risques de l’entité (qui dépend de la taille de l’entité), l’auditeur devrait s’informer sur les risques identifiés et sur les mesures prises par la direction pour y répondre. Par exemple, le fait de ne pas affecter suffisamment de ressources à la protection de l’entité contre les risques de sécurité informatique peut avoir une incidence négative sur l’efficacité du contrôle interne, si cette lacune permet que des modifications non autorisées soient apportées aux programmes informatiques ou aux données, ou que des opérations non autorisées soient traitées. Dans un contexte de télétravail et d’effectifs réduits, il est plus important que jamais que la direction maîtrise les contrôles généraux informatiques de l’entité, y compris les contrôles de sécurité d’accès – et que les auditeurs comprennent comment l’entité a répondu aux risques liés à l’informatique.

Système d’information pertinent pour l’information financière et communication

Les procédures de l’entité (dans les systèmes informatiques et manuels) concernant le déclenchement, l’enregistrement et le traitement des opérations, et le report des données sur les opérations au grand livre général, qui mènent à la production des états financiers, ont probablement changé à cause de la COVID-19. Les auditeurs doivent donc acquérir une compréhension des changements apportés à ces procédures. Compte tenu du niveau d’incertitude supérieur à la normale, les auditeurs doivent aussi prendre en considération la façon dont le système d’information du client saisit les événements et situations, autres que les opérations, qui ont de l’importance pour les états financiers, comme les dépréciations.

Les contrôles afférents aux écritures de journal et le processus d’information financière utilisé pour préparer les états financiers de l’entité, y compris les estimations comptables importantes et les jugements importants, pourraient aussi être touchés, par exemple, par des changements de niveau hiérarchique du personnel et des approbations.

Les auditeurs doivent comprendre comment l’entité a communiqué au personnel les changements dans les rôles et responsabilités en matière d’information financière, y compris tout changement de processus.

Activités de contrôle

En contexte de télétravail et d’effectifs réduits, les activités de contrôle, comme les autorisations, les évaluations de performance, la séparation des tâches et les contrôles physiques, pourraient faire défaut ou être contournées.

De plus, un nombre plus élevé d’opérations pourraient être réalisées sans suivre les processus de contrôle interne normaux, et de nouveaux flux d’opérations pour lesquels il n’y a pas de processus de contrôles définis pourraient être mis en place. De nouveaux risques importants dans le contexte actuel, mais qui ne l’étaient pas dans les audits précédents, pourraient donc être identifiés, auquel cas l’auditeur doit acquérir une compréhension des contrôles correspondants de l’entité, y compris des activités de contrôle, qui sont pertinents pour ces nouveaux risques.

Suivi des contrôles

En raison du risque accru que des défaillances de contrôle se produisent dans les autres composantes du système dans la situation de pandémie actuelle, les contrôles de suivi pourraient revêtir une importance accrue. Par exemple, si, dans un contexte de télétravail, le traitement des opérations ne se fait pas dans des délais raisonnables, une entité pourrait intensifier le suivi des contrôles afférents pour évaluer si les retards sont identifiés. Si certaines fonctions, comme l’administration de la paie, sont imparties à des tiers, il est important d’établir des contrôles de suivi, qui pourraient notamment porter sur les communications de l’entité avec les fournisseurs de service au sujet de tout changement apporté aux activités de ces derniers et sur leurs contrôles opérationnels. Il convient aussi d’évaluer si les contrôles de suivi ont été élargis pour couvrir les nouveaux contrôles mis en place.

Considérations d’ordre pratique pour les auditeurs

Mise à jour de la compréhension des contrôles pertinents pour l’audit pendant la période de l’audit

Comme la combinaison de processus et de contrôles en place change au fil de l’exercice, les auditeurs devraient envisager d’accroître la fréquence des procédures visant à évaluer (et à réévaluer, au besoin) la conception et la mise en place des contrôles pertinents pour toute la période auditée.

Dans le contexte de la COVID-19, les auditeurs pourraient aussi constater que leurs clients peinent à garder la documentation des contrôles à jour. L’auditeur pourrait donc avoir à discuter plus fréquemment de vive voix avec les clients pour comprendre les derniers changements apportés aux contrôles et les éléments probants afférents disponibles. Un résumé des entretiens ou des séries d’entretien avec le client peut être utile pour confirmer la compréhension des contrôles par l’auditeur et documenter l’exercice de l’esprit critique par l’auditeur.

Mise en œuvre à distance des procédures

Acquérir une compréhension des contrôles pertinents pour l’audit, y compris des changements apportés aux contrôles et des nouveaux contrôles, pourrait être plus difficile dans le contexte actuel. Beaucoup d’auditeurs (et bon nombre d’employés de leurs clients) sont en télétravail et ne peuvent donc pas parler en personne avec leurs clients, inspecter physiquement des documents et des rapports ou observer l’application de contrôles particuliers. Même s’il est possible d’acquérir une compréhension des contrôles à distance, les auditeurs devront probablement adapter leur approche à cette nouvelle situation. Les demandes d’informations peuvent permettre aux auditeurs de recueillir des informations sur la conception d’un contrôle, mais elles ne sont pas suffisantes à elles seules pour déterminer si un contrôle a été mis en place.

La réalisation de tests de cheminement, c’est-à-dire le suivi du cheminement d’opérations à travers le système d’information pertinent pour l’information financière, pourrait aussi se révéler plus complexe à distance et pourrait nécessiter la collaboration de membres du personnel plus expérimentés. Les auditeurs devront évaluer quels éléments probants peuvent être obtenus à distance pour déterminer si un contrôle pertinent a été mis en place et pourrait envisager d’avoir recours aux vidéoconférences et/ou au partage d’écran pour observer si des contrôles pertinents sont en place. Ces approches pourraient toutefois créer de nouveaux risques d’audit relativement à la fiabilité des éléments probants obtenus.

Fiabilité des éléments probants et de la documentation électroniques

Lorsqu’il utilise des informations produites par l’entité, l’auditeur est tenu d’évaluer si ces informations sont suffisamment fiables (c’est-à-dire si elles sont suffisamment exhaustives, exactes, précises et détaillées) pour répondre à ses besoins. Même s’il n’incombe pas à l’auditeur d’authentifier les documents, il doit néanmoins faire preuve d’esprit critique lorsqu’il détermine leur fiabilité en tant qu’éléments probants. Par exemple, il doit déterminer la fiabilité des documents sources numérisés ou autrement reproduits et la fidélité du document par rapport à la forme et au contenu de l’original.

Appui sur l’efficacité du fonctionnement des contrôles

Si les contrôles ont changé de façon considérable ou s’ils n’ont été appliqués que durant une partie de l’exercice, les auditeurs doivent évaluer la mesure dans laquelle il est possible de s’appuyer sur ces contrôles. Dans les circonstances actuelles, la probabilité qu’il y ait des déficiences du contrôle est probablement plus élevée. En outre, dans les cas où l’auditeur a l’intention d’utiliser des informations obtenues au cours de l’exercice précédent, il est tenu de déterminer s’il y a eu des changements susceptibles d’affecter la pertinence de ces informations. Pour ce faire, l’auditeur peut procéder à des demandes d’informations et mettre en œuvre d’autres procédures d’audit appropriées, par exemple soumettre les systèmes pertinents à des tests de cheminement. Il convient aussi de rappeler que si l’auditeur compte s’appuyer sur des contrôles liés à des risques importants, il doit tester ces contrôles au cours de la période considérée.

CONCLUSION

L’incidence de la COVID-19 sur les processus et les contrôles des clients, et la réponse d’audit appropriée, dépendra de la situation de chaque entité. L’environnement actuel est complexe et les choses changent rapidement. Nous encourageons donc les auditeurs à demeurer vigilants tout au long de leurs missions et à se demander s’il est nécessaire d’apporter des changements à la stratégie d’audit en réaction à la situation actuelle, notamment en ce qui concerne la composition de l’équipe de mission, la supervision des membres de l’équipe et la revue de leurs travaux. Il demeure extrêmement important pour les auditeurs de faire preuve d’esprit critique lorsqu’ils tentent de comprendre et d’évaluer des changements considérables de circonstances, et d’y répondre.

POUR EN SAVOIR PLUS SUR CE SUJET

Inscrivez-vous gratuitement à la prochaine édition spéciale du webinaire Zone praticiens, intitulée Comprendre vos clients – COVID-19 et contrôles internes, qui sera diffusée le 12 août 2020.

Pour plus de ressources sur l’audit et la COVID-19, consultez notre page de ressources sur le sujet, qui est mise à jour régulièrement.

Consultez aussi nos outils d’aide à la mise en œuvre ne faisant pas autorité sur la NCA 315, Compréhension de l’entité et de son environnement aux fins de l’identification et de l’évaluation des risques d’anomalies significatives et la NCA 330, Réponses de l’auditeur à l’évaluation des risques.

Ne manquez pas nos analyses et réflexions approfondies sur les enjeux en audit et en certification, que vous recevrez par courriel. Abonnez-vous en cochant « Blogue sur la qualité de l’audit » sous « Mes abonnements » dans votre profil.
Abonnez-vous

POURSUIVONS LA CONVERSATION

Quels sont les problèmes importants que pose la COVID-19 à votre cabinet et à vos clients? Quelles recommandations vous seraient le plus utiles durant cette crise? Quelles autres ressources en matière d’audit CPA Canada devrait-elle ajouter à sa page de ressources? Je vous invite à publier vos commentaires ci-dessous ou à m’écrire directement.

Conversations sur la qualité de l’audit se veut un forum d’échange concernant les faits et problèmes nouveaux survenant à l’international en matière de qualité de l’audit et leur incidence au Canada.