Contrôles généraux informatiques : Risques liés aux TI que doivent connaître les auditeurs

À l’ère de la numérisation et de l’interconnexion, les organisations – grandes ou petites, complexes ou non – ont de plus en plus recours aux applications, infrastructures et processus informatiques et au personnel spécialisé en technologies de l'information (TI). Alors que de nombreux auditeurs commencent à appliquer les exigences de la Norme canadienne d’audit (NCA) 315 révisée, le moment est venu de faire quelques rappels concernant les contrôles généraux informatiques (CGI), qui ont pris une place importante dans la norme, et les responsabilités connexes de l’auditeur.

Le présent billet :

• revient sur les responsabilités de l’auditeur liées aux TI et aux CGI selon la NCA 315;
• fournit un aperçu des indications et des ressources disponibles.

La NCA 315 révisée, Identification et évaluation des risques d’anomalies significatives, comporte davantage d’indications concernant la prise en compte des TI par l’auditeur et son incidence sur l’audit. Elle précise aussi les responsabilités de l’auditeur en ce qui a trait aux CGI. De plus, les principaux changements liés aux TI font maintenant partie des éléments que l’auditeur doit prendre en considération pour acquérir la compréhension exigée par la norme à l’égard des composantes « système d’information et communications » et « activités de contrôle ».

Système d’information et communications

À titre d’auditeur, vous devez acquérir une compréhension des aspects du système d’information de l’entité qui sont pertinents pour la préparation des états financiers. Cette compréhension englobe les aspects de l’environnement informatique se rapportant au cheminement des opérations et au traitement de l’information dans le système d’information de l’entité ainsi que le processus d’information financière de l’entité. La compréhension de ces éléments – en particulier ceux qui concernent les catégories d’opérations importantes, les soldes de comptes importants et les informations à fournir importantes – est en effet essentielle, parce que certains aspects de l’environnement informatique de l’entité (dont l’utilisation d’applications informatiques) donnent lieu à des risques découlant du recours à l’informatique. La compréhension du modèle d’entreprise de l’entité et de la manière dont le recours à l’informatique y est intégré peut aussi vous éclairer sur la nature et l’étendue de l’utilisation des TI dans le système d’information.

Votre compréhension du recours à l’informatique de votre client peut être axée sur l’identification et la compréhension, du point de vue qualitatif et quantitatif, des applications informatiques particulières et des autres aspects de l’environnement informatique qui sont pertinents au regard du cheminement des opérations et du traitement de l’information dans le système d’information.

NCA 315 révisée : Évaluation des risques et activités de contrôle

Selon la NCA 315 révisée, vous devez aussi identifier les applications informatiques et les autres aspects de l’environnement informatique de l’entité qui sont vulnérables aux risques découlant du recours à l’informatique, compte tenu des contrôles de la composante « activités de contrôle » que vous aurez identifiés en vous concentrant sur les contrôles du traitement de l’information qui visent à répondre directement aux risques liés à l’intégrité des informations.

Vous pourrez ensuite identifier les risques découlant du recours à l’informatique et les CGI de l’entité visant à y répondre. Après avoir évalué, pour chacun de ces CGI identifiés, si la conception du contrôle est efficace pour permettre de répondre aux risques d’anomalies significatives au niveau des assertions ou pour favoriser le fonctionnement d’autres contrôles, vous serez en mesure de planifier les procédures visant à déterminer si le contrôle a été mis en place.

Incidence des déficiences des CGI

Lorsque des déficiences du contrôle sont relevées, vous devez examiner leur éventuelle incidence sur les procédures d’audit complémentaires à concevoir conformément à la NCA 330, Réponses de l’auditeur à l’évaluation des risques.

Tests de l’efficacité du fonctionnement des CGI

La compréhension des aspects de l’environnement informatique qui sont pertinents au regard du système d’information de l’entité est absolument essentielle pour l’identification et l’évaluation des risques d’anomalies significatives, ainsi que pour la conception et la mise en œuvre de réponses adaptées à cette évaluation (p. ex., les tests des contrôles). Si vous prévoyez de vous appuyer sur l’efficacité du fonctionnement des contrôles dans le cadre de vos réponses à l’évaluation des risques d’anomalies significatives et que ces contrôles dépendent de CGI, vous devrez tester l’efficacité de ces derniers. Plus l’entité utilise des applications reposant sur les TI, plus il est probable que les procédures de corroboration ne puissent fournir à elles seules des éléments probants suffisants et appropriés au niveau des assertions. Il faut alors tester l’efficacité du fonctionnement des CGI identifiés.

Incidence de la norme révisée sur les missions d’audit

Dès le début de la mission, lors des entretiens de planification entre les membres de l’équipe de mission et des entretiens avec le personnel du client, il serait bon de poser les questions suivantes :

• Quels sont les risques découlant du recours à l’informatique?
• Compte tenu de ces risques, une stratégie de corroboration est-elle appropriée?
• Quels sont les CGI pertinents? Faut-il en tester l’efficacité?
• Quelles sont la nature et l’étendue des tests nécessaires pour évaluer l’efficacité du fonctionnement des CGI identifiés et des contrôles du traitement de l’information?
• S’il y a des CGI qui n’ont pas été conçus ou mis en place de manière appropriée ou qui ne fonctionnent pas efficacement, quelles pourraient être les conséquences?

L’étendue de la compréhension à acquérir en ce qui concerne les processus informatiques, notamment en ce qui a trait à la mesure dans laquelle l’entité a mis en place des CGI, variera selon la nature et les circonstances de l’entité, son environnement informatique, ainsi que la nature et l’étendue des contrôles de la composante « activités de contrôle » identifiés. Compte tenu de l’environnement informatique, des contrôles de traitement de l’information identifiés et des CGI de l’entité, vous pourriez devoir vous demander si l’équipe d’audit possède l’expertise nécessaire ou s’il y aurait lieu de faire appel à des experts. Si l’environnement ou les systèmes informatiques de l’entité sont complexes, la participation de membres de l’équipe possédant des compétences spécialisées en informatique sera probablement nécessaire.

Ressources disponibles

1. La NCA 315 révisée contient beaucoup de modalités d’application et six annexes pour aider les auditeurs à mieux s’y retrouver. En ce qui a trait aux risques découlant du recours à l’informatique, deux de ces annexes sont particulièrement utiles, à savoir :
   1. l’annexe 5, qui fournit des exemples de caractéristiques des environnements informatiques. Cette annexe peut vous aider à évaluer la complexité de l’environnement informatique de votre client;
   2. l’annexe 6, dans laquelle on trouve un tableau contenant des exemples de risques découlant du recours à l’informatique et des exemples de CGI pouvant être mis en place pour y répondre, selon la nature de l’application informatique concernée. Cette annexe peut être utile pour les clients dont les systèmes informatiques sont simples (se reporter également à la question O4 de l’outil d’aide à la mise en œuvre de la NCA 315 – le lien est fourni ci-dessous – relativement au recours à un progiciel comptable commercial standard).
2. Le document Outil d’aide à la mise en œuvre à l’intention des auditeurs – Processus d’évaluation des risques : Conseils pour la mise en œuvre de la NCA 315 révisée explique pourquoi certaines exigences de la NCA 315 existent et en quoi elles favorisent la réalisation d’un audit efficace. L’annexe B de cet outil comporte un diagramme fournissant des indications sur la compréhension à acquérir à l’égard de la composante « système d’information et communications » du système de contrôle interne de l’entité. Ces indications peuvent être utiles pour les entretiens de planification entre les membres de l’équipe de mission et les entretiens avec le personnel du client.
3. Enregistré en 2022, le webinaire Zone praticiens sur la NCA 315 révisée offre aux auditeurs des conseils de mise en application, y compris des conseils liés aux CGI.
4. CPA Canada a également publié les documents Outil d’aide à la mise en œuvre à l’intention des auditeurs – Technologies de l’information : Pourquoi les auditeurs devraient-ils s’y intéresser? et Outil de mise en œuvre à l’intention des auditeurs – Principaux pièges à éviter lors de la conception et de la mise en œuvre des tests des contrôles. Ces deux publications traitent de l’incidence des TI sur l’audit lorsque sont appliquées certaines exigences de la NCA 330, Réponses de l’auditeur à l’évaluation des risques.

Ressources à venir

Toujours à l’écoute des professionnels en exercice canadiens et à l’affût des nouveautés sur la scène internationale, CPA Canada continue de chercher des ressources qui peuvent vous être utiles, comme le bulletin (en anglais) récemment publié par l’Auditing and Assurance Standards Board de l’Australie sur les responsabilités de l’auditeur en ce qui a trait aux CGI. Surveillez les prochaines publications sur notre page de ressources sur la NCA 315.

POURSUIVONS LA CONVERSATION

Quelle incidence l’utilisation des TI, par vos clients ou vos équipes de mission, a-t-elle sur vos audits? Avez-vous des questions au sujet de l’environnement informatique, des CGI et de la NCA 315? Si oui, lesquelles? Écrivez-nous par courriel pour nous faire part de ce que vous constatez dans votre pratique et pour nous transmettre vos commentaires ou suggestions sur les indications que nous publions ou que nous devrions publier.

Avertissement

Les opinions et les points de vue exprimés dans cet article sont ceux de l’auteure et ne représentent pas nécessairement ceux de CPA Canada.