NCA 315 : Préparation pour la nouvelle norme sur l’identification et l’évaluation des risques

L’objectif fondamental d’un audit d’états financiers est d’identifier et d’évaluer les risques d’anomalies significatives. Par conséquent, il est essentiel qu’en tant qu’auditeur, vous compreniez les modifications apportées à la NCA 315, Identification et évaluation des risques d'anomalies significatives, et l’incidence de ces changements sur vos missions d’audit.

Le présent article de blogue porte sur les sujets suivants :

• la date d’entrée en vigueur
• les objectifs de la révision
• les modifications apportées
• les conseils et les ressources pour se préparer à la mise en œuvre 

Quelle est la date d’entrée en vigueur de la norme révisée?

La NCA 315 révisée est en vigueur pour les audits d’états financiers des périodes ouvertes à compter du 15 décembre 2021. Selon la date de fin d’exercice de vos clients, vous êtes peut-être au fait des modifications apportées et appliquez déjà la norme révisée. Sinon, le moment est venu de vous informer! Bien que l’identification et l’évaluation des risques s’inscrivent dans un processus itératif, celles-ci commencent lors de la phase de planification de l’audit. Comme la norme actuelle ne s’applique plus, il est important que votre cabinet revoie son approche à l’égard de l’identification et de l’évaluation des risques et que vous soyez convenablement outillé pour effectuer vos audits en 2022.

Objectifs de la révision

La norme a fait l’objet d’améliorations considérables dans le but de suivre l’évolution des aspects économique, technologique et réglementaire, dont la nature de plus en plus complexe, des marchés et des contextes dans lesquels les entités et les cabinets d’audit exercent leurs activités. Cependant, le modèle de risque d’audit demeure inchangé. De plus, l’objectif est toujours l’identification et l’évaluation des risques d’anomalies significatives, que celles-ci résultent de fraudes ou d'erreurs au niveau des états financiers ou au niveau des assertions. L’identification et l’évaluation des risques sont des étapes très importantes, car elles servent de base à la conception et à la mise en œuvre de réponses à l’évaluation des risques, et ont une incidence sur la nature, le calendrier et l'étendue des procédures d’audit.

La révision, la réorganisation et l’amélioration de la norme actuelle visent à :

• favoriser l’application uniforme des procédures d’identification et d’évaluation des risques;
• accroître l’adaptabilité de la norme grâce à la révision des exigences fondées sur des principes;
• réduire la complexité et faciliter l’utilisation de la norme par les auditeurs, quelles que soient la nature et la complexité de l’entité auditée;
• favoriser une évaluation plus rigoureuse des risques et, par le fait même, des réponses mieux adaptées aux risques identifiés;
• soutenir les auditeurs qui utilisent la norme en intégrant des indications qui tiennent compte de l’évolution constante de l’environnement, notamment en ce qui concerne le recours à l’informatique. 

Principales révisions et améliorations 

Nouvelles exigences

La liste suivante présente un résumé des nouvelles exigences, par rapport à la norme actuelle, pour vous aider à comprendre les principales modifications qui auront une incidence sur votre approche à l’égard de l’identification et de l’évaluation des risques.

1. Clarification des contrôles à identifier en vue d’en évaluer la conception et d’en vérifier la mise en place 

Afin d’accroître l’uniformité et de réduire le recours à l’interprétation dans la pratique, la NCA 315 révisée regroupe les domaines précis pour lesquels l’auditeur est tenu d’identifier les contrôles afin d’acquérir une compréhension de la composante « activités de contrôle ». Ceux-ci comprennent les éléments suivants :

• Les contrôles visant à répondre aux risques importants;
• Les contrôles afférents aux écritures de journal;
• Les contrôles dont l'auditeur prévoit de tester l'efficacité du fonctionnement;
• Les autres contrôles qui, selon l'auditeur, sont appropriés;
• Les contrôles généraux informatiques visant à répondre aux risques découlant du recours à l'informatique par l’entité. 

2. Évaluation séparée du risque inhérent

La norme actuelle permet d’effectuer une évaluation globale du risque inhérent et du risque lié au contrôle; or, de nombreux auditeurs évaluent séparément le risque inhérent et le risque lié au contrôle. Cela dit, si la méthode d’audit de votre cabinet prévoit, selon la norme 315 actuelle, une évaluation globale, vous serez visé par ce changement. Une évaluation séparée du risque inhérent rehausse la qualité de votre processus d’évaluation des risques en permettant d’éviter, par exemple, d’effectuer de manière inappropriée des évaluations des risques moins élevées en posant comme hypothèse que les contrôles fonctionnent efficacement ou en s’appuyant par inadvertance sur une telle hypothèse, sans avoir évalué la conception ni testé l’efficacité du fonctionnement de ces contrôles.

3. Concepts et définitions : « facteurs de risque inhérent », « probabilité et ampleur des anomalies » et « échelle de risque inhérent »

Ces concepts vous permettent de mieux cibler et d’améliorer la qualité de votre processus d’évaluation des risques. Ainsi, votre réponse aux risques identifiés et évalués cible également davantage les risques en question, contribuant à un audit de qualité.

Les facteurs de risque inhérent comprennent la complexité, la subjectivité, le changement, l’incertitude et la vulnérabilité aux anomalies résultant de partis pris de la direction ou d’autres facteurs de risque de fraude, dans la mesure où ils influent sur le risque inhérent. Les facteurs de risque inhérent sont les caractéristiques des événements ou situations ayant une incidence sur la possibilité qu’une assertion comporte une anomalie, que celle-ci résulte d’une fraude ou d’une erreur. En comprenant les facteurs de risque inhérent, vous êtes en mesure de déterminer où se situent les possibles risques d’anomalies. Vous comprenez ensuite la mesure dans laquelle les facteurs de risque inhérent influent sur cette possibilité, afin de circonscrire les risques d’anomalies aux risques d’anomalies significatives identifiés.

Pour chacun des risques d’anomalies significatives identifiés au niveau des assertions, vous devez évaluer le risque inhérent en déterminant la probabilité et l’ampleur des anomalies et en vous demandant comment, et dans quelle mesure, les facteurs de risque inhérent ont une incidence sur la possibilité que les assertions pertinentes comportent des anomalies.

Les différents degrés que peut atteindre le risque inhérent forment une échelle qui est désignée par l’expression « échelle de risque inhérent ». La combinaison de la probabilité et de l’ampleur détermine où se situe le risque inhérent sur l’échelle de risque inhérent. Vous exercez votre jugement professionnel pour déterminer l’importance de la combinaison que forment la probabilité et l’ampleur d’une anomalie. Ce jugement peut dépendre de la nature, de la taille et de la complexité de l’entité. Les risques d’anomalies significatives identifiés pour lesquels le risque inhérent évalué se situe près de l’extrémité supérieure de l’échelle de risque inhérent sont des risques importants. Différentes combinaisons de probabilité et d'ampleur peuvent donc donner lieu à un risque inhérent élevé (par exemple, une faible probabilité, combinée à une très grande ampleur, peut donner lieu à un risque élevé). 

4. Prise de recul par rapport à l’évaluation des risques

L’évaluation des risques est un processus itératif. La prise de recul par rapport à l’évaluation des risques a pour but d’amener l’auditeur à se demander s’il a bel et bien identifié la totalité des risques d’anomalies significatives en déterminant si son évaluation des risques demeure appropriée.

De nouvelles informations sont susceptibles d’être mises au jour, qui peuvent :

• changer les risques d’anomalies significatives identifiés parce que ces informations sont incompatibles avec les éléments probants sur lesquels vous aviez initialement fondé votre identification;
• entraîner l’identification d’un nouveau risque d’anomalies significatives.

Cela pourrait avoir d’importantes répercussions sur la nature, le calendrier et l’étendue des procédures que vous mettez en œuvre en réponse aux risques d’anomalies significatives identifiés.

Améliorations importantes

1. Ajout d’indications sur les technologies de l’information (TI), particulièrement sur les contrôles généraux informatiques

La norme a été modernisée et améliorée, notamment par l’ajout et la mise à jour d’annexes, de façon à favoriser la prise en compte et la compréhension par l’auditeur des contrôles généraux informatiques de l’entité ainsi que de tout autre recours à l’informatique. Les annexes décrivent les éléments pertinents à prendre en considération pour ce qui touche les logiciels de différents niveaux de complexité, tant les logiciels commerciaux peu complexes que les applications informatiques complexes, et présentent des exemples de différents sujets qui pourraient aider les équipes d’audit à acquérir une compréhension de l’environnement et des contrôles informatiques de l’entité. De plus, la nouvelle norme accorde davantage d’importance aux outils et techniques automatisés (OTA), certains paragraphes fournissant des explications sur la façon dont les auditeurs peuvent utiliser les OTA dans la mise en œuvre des procédures d'évaluation des risques. Notre récent article de blogue sur les OTA présente un résumé des ressources à votre disposition pour en apprendre davantage.

2. Accroissement de l’adaptabilité

La norme révisée comprend, dans les modalités d'application, des paragraphes (y compris des exemples) qui mettent en évidence la proportionnalité et l’adaptabilité sous deux titres distincts. Ces paragraphes vous exposent le contexte pour appliquer les exigences de la NCA 315 à tous les types d’entités, des moins complexes aux plus complexes, et servent d’appui à l’exercice du jugement professionnel dans la détermination des procédures d’audit que vous mettez en œuvre.

3. Renforcement des exigences liées à l’exercice de l’esprit critique

L’esprit critique correspond à l’attitude qu’adopte l’auditeur lorsqu’il porte des jugements professionnels afin de disposer d’une base pour poursuivre ses travaux. Lorsque vous concevez et mettez en œuvre des procédures d’évaluation des risques, vous devez éviter tout parti pris qui favoriserait l’obtention d’éléments probants corroborants ou l’exclusion d’éléments probants éventuellement contradictoires. Vous pouvez exercer votre esprit critique :

• en remettant en question les informations contradictoires ainsi que la fiabilité des documents;
• en examinant les réponses aux demandes d’informations et les autres renseignements obtenus de la direction et des responsables de la gouvernance;
• en étant attentif aux conditions pouvant éventuellement dénoter des anomalies, que celles-ci résultent de fraudes ou d’erreurs;
• en déterminant si les éléments probants obtenus étayent votre identification et votre évaluation des risques d’anomalies significatives, compte tenu de la nature et des circonstances de l’entité.

Pour obtenir d’autres indications sur les changements et les améliorations mentionnés, des explications sur la raison de l’existence de ces exigences et d’autres indications sur certaines exigences de la NCA 315 qui pourraient poser problème lors de la mise en œuvre, consultez notre outil d’aide à la mise en œuvre de la NCA 315 révisée. 

Préparation en vue de la mise en œuvre 

Comment pouvez-vous vous préparer et quelles sont les ressources à votre disposition?

• Prenez note que le contenu de la norme révisée a doublé par rapport à celui de la norme actuelle. Vous remarquerez que les exigences sont plus précises et que les modalités d'application comportent d’autres exemples. Il y a six nouvelles annexes présentant des indications détaillées. Cette information vise à expliquer la façon dont les améliorations de la nouvelle norme seront mises en pratique. Prenez connaissance des concepts importants, des nouvelles définitions et des exigences en lisant l’intégralité de la NCA 315 afin d’acquérir une compréhension de la norme et de ses répercussions pratiques. 
• Si vous utilisez les méthodes d’audit d’un fournisseur, vérifiez préalablement que les méthodes ont été revues et qu’elles reflètent la norme révisée.
• Amorcez les discussions avec votre équipe de mission. Des discussions d’équipe ouvertes et productives contribuent au partage d’informations, permettent d’améliorer l’évaluation des risques, favorisent l’examen des informations contradictoires qui peuvent ressortir lorsqu’ils mettent en commun leur compréhension de l’entité. Rappelez-vous que la documentation des dossiers d’audit doit refléter convenablement les discussions tenues et le recours à l’esprit critique. 
• Considérez la mesure dans laquelle les feuilles de travail liées à l’évaluation des risques de l’exercice précédent peuvent ou non être réutilisées en tant que point de départ pour l’exercice en cours.
• Considérez la façon dont la norme révisée aura une incidence sur vos interactions avec les membres de la direction de l’entité qui participent au processus d’audit et qui sont responsables de la gouvernance, et sur vos demandes auprès d’eux.
• Consultez nos ressources :
  • Outil d'aide à la mise en oeuvre
  • Alerte audit et certification 
  • Webinaire – Zone praticiens (printemps 2022) 
  • Document d’information à l’intention des clients de services d’audit et des responsables de la gouvernance 

Poursuivons la conversation

Avez-vous commencé à mettre en œuvre la nouvelle norme sur l’évaluation des risques? Quelles autres questions vous posez-vous au sujet de la norme et de sa mise en œuvre? Faites-nous part de vos commentaires sur les indications que nous publions et ce que vous constatez dans votre pratique. Publiez un commentaire sur la page ou écrivez-nous directement.

Avertissement

Les opinions et les points de vue exprimés dans cet article sont ceux de l’auteur et ne représentent pas nécessairement ceux de CPA Canada.