Article rédigé par Shayne Huneault,CPA chez Marcil Lavallée, dans le survol trimestriel sur l’actualité canadienne, un bulletin publié par les cabinets canadiens membres de Moore Amérique du Nord. Cet article portant sur l’analyse du risque lié au recours à l’informatique, s’inscrit dans notre mission, soit devenir le partenaire par excellence de votre réussite en vous tenant informé de l’actualité.
Afin de traverser la récente pandémie, plusieurs entreprises ont dû modifier drastiquement leur modèle d’affaires pour s’orienter vers un mode de gestion en virtuel. Les transferts bancaires automatisés ont remplacé l’usage de chèques, les rencontres en présentiel ont fait place aux rencontres Zoom, et de plus en plus d’entreprises utilisent et développent des logiciels et des applications intégrés afin de gérer à distance les opérations financières.
Bien que cette évolution apporte son lot d’opportunités pour les PME, elle demeure un défi de taille pour les auditeurs. Pour appuyer une opinion d’audit, il est primordial de bien comprendre l’environnement et les contrôles clés des sociétés. Pour le « CPA moyen », il est beaucoup plus simple de vérifier la légitimité d’un chèque grâce aux signatures qui s’y trouvent que d’analyser la chaîne de codes d’une application automatisée de transferts bancaires. Vérifier l’utilisation de contrôles automatisés peut rapidement s’avérer un véritable casse-tête, d’autant plus que la plupart des auditeurs ne sont pas des spécialistes en informatique.
C’est dans ce contexte que le conseil des normes d’audit et de certification a récemment modifié la NCA 315 – identification et évaluation des risques d’anomalies significatives, du manuel de CPA Canada. Les modifications apportées à la norme qui entreront en vigueur pour l’audit d’états financiers des périodes ouvertes à partir du 15 décembre 2021 touchent différents aspects de la planification des audits et viennent, notamment, apporter des précisions sur les obligations relativement à l’évaluation de l’environnement informatique et du risque lié au recours à l’informatique.
Risque lié au recours à l’informatique – quelles sont les exigences?
Bien que l’ancienne norme traitait brièvement du risque liés à informatique, la nouvelle NCA 315 révisée vient clarifier et renforcer les exigences en matière de travail et de documentation. Entre autres :
- La NCA révisée exige désormais que l’auditeur exécute des procédures afin d’évaluer la pertinence et l’importance du recours à l’informatique au sein de l’entité. Lors de son évaluation, l’auditeur doit tenir compte, entre autres, des contrôles automatisés que pourraient contenir certaines applications, et de l’utilisation de rapports automatiquement générés par ces mêmes applications;
- La NCA révisée exige de l’auditeur qu’il identifie les applications informatiques ou tout autre aspect de l’environnement informatique qui pourraient comporter des vulnérabilités, afin d’évaluer les risques découlant du recours à leur utilisation sur les informations financières;
- Lorsque des risques sont identifiés, la NCA révisée exige de l’auditeur qu’il évalue ces risques ainsi que les contrôles au sein de l’entité visant à répondre à ces risques;
- La NCA révisée exige également que l’auditeur évalue, lors de son audit, si certaines catégories d’opérations, par leur automatisation, ne peuvent être testées que par une approche contrôle.
Quelle incidence cela aura-t-il sur vos dossiers d’audit?
Le CNAC a fait l’ajout d’un concept important dans la NCA 315 révisée, celui de l’adaptabilité. Il est mentionné dans la norme que l’auditeur peut et doit adapter ses procédures en fonction du niveau de complexité de l’entité auditée. Autrement dit, l’ampleur du travail nécessaire afin d’évaluer le risque lié au recours à l’informatique sera limité pour de petites entités où l’usage des technologies de l’information est minime. À l’inverse, l’évaluation de l’environnement informatique deviendra un enjeu important pour les auditeurs de grandes entités qui développent leurs propres systèmes et celles où l’automatisation des opérations est de plus en plus présente. Dans de tels cas, les auditeurs devront augmenter leur niveau de travail ainsi que la documentation en dossier concernant l’évaluation de la structure informatique des clients audités, des risques identifiés, ainsi que des contrôles informatiques en place qui devront être testés. Ceci risque donc de se traduire par l’ajout de questionnaires et de programmes dans les dossiers de travail à cet effet, et par l’utilisation de nouveaux outils d’analyse afin d’évaluer le bon fonctionnement de contrôles automatisés.
Le développement des nouvelles technologies ainsi que leur facilité d’accès grandissante pour les entreprises, autant pour celles de petites tailles que les grandes sociétés, viendra donc assurément modifier nos anciennes méthodes de travail. Il sera de plus en plus important pour les auditeurs de développer et d’utiliser des outils afin de pouvoir adéquatement tester différents contrôles informatiques. Afin de permettre aux cabinets de réaliser des audits de qualité, l’embauche de spécialistes en informatique risque de devenir monnaie courante. Bien que ce phénomène oblige les auditeurs à s’adapter à un nouvel environnement, il fait également naitre de nouvelles opportunités. La course au développement de nouvelles approches d’audits automatisées atteint des sommets et certains cabinets pourraient en ressortir avec un avantage concurrentiel majeur.
