Nouvelles indications sur l’audit des cryptoactifs

En raison des difficultés et des risques particuliers que posent les cryptoactifs et la technologie sous-jacente de la chaîne de blocs, les auditeurs tiennent compte de facteurs supplémentaires avant d’accepter des clients dont les transactions en cryptoactifs ou les soldes de cryptoactifs sont significatifs. L’associé responsable de la mission doit déterminer si l’équipe de mission a les compétences requises. Il doit également évaluer la compréhension qu’a la direction des risques liés aux cryptoactifs ainsi que les contrôles internes qui sont en place pour atténuer ces risques. Dans certains cas, il peut s’avérer impossible d’auditer les cryptoactifs sans s’appuyer sur le fonctionnement efficace des contrôles pertinents.

Les membres de CPA Canada ont soulevé certains problèmes pour lesquels aucune pratique exemplaire n’a encore été identifiée pour l’audit des transactions en cryptoactifs ou des soldes de cryptoactifs.

RÉPONSE ET INDICATIONS DE CPA CANADA

CPA Canada et les permanents du CNAC ont mis sur pied le Groupe de travail sur l’audit des cryptoactifs, qui réunit des professionnels en exercice et des représentants des autorités de réglementation appelés à discuter de façon approfondie des problèmes soulevés. En se fondant sur les discussions du Groupe de travail, CPA Canada a récemment publié deux éditions de Points de vue qui portent sur les sujets suivants :

• Audit des cryptoactifs : Tests des contrôles et assertion relative à la propriété
• Audit des cryptoactifs : Pertinence et fiabilité des informations provenant d’une chaîne de blocs

Déterminer s’il y a lieu d’adopter une stratégie s’appuyant sur l’efficacité des contrôles pour obtenir des éléments probants sur les droits de propriété des cryptoactifs

Comme nous l’avons mentionné dans notre publication de juillet 2018 intitulée Facteurs à considérer pour l’audit des actifs et des transactions en cryptomonnaie, il est difficile de répondre au risque lié à la propriété du fait du pseudo-anonymat des parties à la transaction. À titre d’exemple, dans le cas des entités qui ont des processus et des systèmes complexes ainsi qu’un grand nombre de transactions en cryptoactifs, il est possible que la seule façon de répondre au risque lié à la propriété soit d’effectuer des tests du fonctionnement des contrôles internes. Cette édition de Points de vue présente plusieurs facteurs que l’auditeur peut prendre en considération au moment de déterminer comment obtenir des éléments probants pour étayer l’assertion relative à la propriété. À ce titre, il ne faut pas oublier que chaque situation et chaque client sont uniques. De plus, l’auditeur doit posséder de l’expertise en matière de cryptoactifs et faire preuve de jugement professionnel.

Évaluer la fiabilité des informations provenant d’une chaîne de blocs devant servir comme éléments probants

Les cryptoactifs ne sont pas des actifs corporels et n’existent que dans une chaîne de blocs. Les procédures d’audit requièrent habituellement l’utilisation d’informations tirées de la chaîne de blocs à laquelle les cryptoactifs se rattachent. C’est pourquoi l’auditeur doit considérer la fiabilité de la chaîne de blocs dont les informations sont tirées ainsi que de toute application informatique utilisée pour obtenir ou visualiser les informations pertinentes, comme les explorateurs de blocs. Comme les chaînes de blocs ne sont pas toutes égales, on ne peut pas conclure que les transactions enregistrées dans une chaîne de blocs sont infalsifiables. Il importe donc que l’auditeur ne se fie pas aux informations tirées d’une chaîne de blocs sans avoir d’abord compris les risques que ces informations soient inexactes ou incomplètes, puis répondu adéquatement à ces risques dans le contexte de son audit.

Prochaines étapes pour le Groupe de travail

Nous préparons actuellement un document sur les risques qui peuvent être pertinents pour l’audit lorsque les actifs de l’entité auditée sont détenus par un tiers, comme un dépositaire ou une plateforme de négociation de cryptoactifs. Dans un audit des états financiers d’une entité faisant appel à une société de services traditionnelle, l’auditeur dispose habituellement d’un rapport sur les contrôles de la société de services (SOC) comme élément probant. Or, les sociétés de services du secteur des cryptoactifs n’ont peut-être pas préparé ce rapport ni encore établi de contrôles internes appropriés. Cette question est préoccupante non seulement pour les auditeurs et les entités faisant appel à une société de services, mais aussi pour les Autorités canadiennes en valeurs mobilières (ACVM) et l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), qui ont proposé l’établissement d’un cadre clarifiant la réglementation relative aux plateformes de négociation de cryptoactifs afin de répondre à certains de ces risques.

Dans les cas où il n’existe pas de rapport sur les contrôles de la société de services, l’auditeur peut-il tester les contrôles pertinents du tiers directement auprès de la société de services? L’entité auditée dispose-t-elle d’autres contrôles compensatoires à l’égard desquels l’auditeur pourrait mettre en œuvre des procédures?

POURSUIVONS LA CONVERSATION

Êtes-vous ou votre entreprise est-elle aux prises avec les problèmes mentionnés ci-dessus? Avez-vous d’autres préoccupations en ce qui a trait à l’audit des cryptoactifs? Les entités détenant des cryptoactifs au Canada et les tiers liés à ces dernières ont-ils établi des contrôles internes appropriés à l’égard de l’information financière? Votre point de vue nous intéresse.

Je vous invite à publier vos commentaires ci-dessous ou à m’écrire directement.

Conversations sur la qualité de l’audit se veut un forum d’échange concernant les faits et problèmes nouveaux survenant à l’international en matière de qualité de l’audit et leur incidence au Canada.

Avertissement

Les opinions et les points de vue exprimés dans cet article sont ceux de l’auteure et ne représentent pas nécessairement ceux de CPA Canada.