AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

1505 Acquisition et maintien d’une connaissance des activités de l’entité, dans le cas des audits de performance
août-2021

Aperçu

La connaissance des activités désigne la compréhension de la façon dont fonctionne une entité publique fédérale ou une entité importante dans un secteur donné, de la culture organisationnelle de cette entité, des difficultés qu’elle doit surmonter et de son environnement externe. La connaissance des activités d’une entité est un élément important de la planification d’un audit de performance fondé sur les risques, pertinent et opportun.

Exigences de la NCMC 3001

35. L'associé responsable de la mission doit : [...]

c) posséder, en ce qui concerne l'objet considéré et sa mesure ou son évaluation, une compétence suffisante pour assumer la responsabilité de la conclusion exprimée. (Réf. : par. A66 et A67)

Modalités d’application de la NCMC 3001

A66. Il peut être demandé à un professionnel en exercice de réaliser des missions de certification portant sur un vaste éventail d'objets considérés. Certaines de ces missions peuvent nécessiter des compétences et des connaissances spécialisées en sus de celles que possède habituellement une personne donnée.

Politiques du BVG

L’équipe d’audit doit acquérir, maintenir, transmettre et documenter sa connaissance des entités appartenant à son portefeuille, y compris les risques auxquels elles sont exposées. [nov.-2014]

Directives du BVG

Le responsable de mission chargé de l’audit d’une entité ou d’un secteur donné doit acquérir et mettre à jour en permanence sa connaissance des activités de l’entité ou du secteur en ayant des entretiens avec les responsables de l’entité, en examinant la documentation et en lisant les articles publiés dans les médias. L’élaboration du plan stratégique d’audit (PSA) favorise également l’acquisition d’une connaissance des activités de l’entité (voir BVG Audit 1510 — Sélection des sujets d’audit de performance). Puisque le PSA est un plan à long terme des audits d’un secteur ou d’une entité en particulier, il doit être réévalué chaque année pour s’assurer de planifier les bons audits. Les travaux liés à la connaissance des activités de l’entité sont indispensables à la validation du PSA ou à l’identification de nouveaux risques ou secteurs d’audit. S’il n’y a pas de PSA pour un secteur ou une entité en particulier, la connaissance des activités de l’entité est l’unique source d’information.

Le responsable de mission est chargé de l’audit de plusieurs entités. Par conséquent, il lui revient d’acquérir des connaissances actuelles au sujet des entités – y compris les grands risques auxquels elles font face – et de les tenir à jour, de les communiquer et de les documenter. Le responsable de mission doit acquérir des connaissances relatives à des aspects précis des entités auditées, les tenir à jour, les transmettre et les documenter.

La connaissance des activités de l’entité remplit des fonctions importantes à différentes étapes d’un audit :

  • elle permet de prendre des décisions objectives et éclairées sur les sujets d’audit, notamment de mettre à jour les risques recensés dans le Plan stratégique d’audit, et de justifier les changements apportés aux enveloppes budgétaires allouées (voir BVG Audit 1510 — Sélection des sujets d’audit de performance);
  • elle rend la planification de l’audit plus ciblée et efficiente;
  • elle permet de déterminer les cas où l’aide d’un spécialiste interne est requise;
  • elle permet de mettre les constatations de l’audit en contexte au moment de produire le rapport;
  • elle facilite la formulation des recommandations découlant de l’audit;
  • elle aide les équipes d’audit à se préparer en vue des réunions avec les comités ministériels d’audit;
  • elle aide les équipes d’audit à se préparer en vue des audiences des comités parlementaires.

Planification et budgétisation des travaux liés à la connaissance des activités de l’entité

Le BVG a prévu un certain nombre d’heures au budget pour les travaux liés à l’acquisition d’une connaissance des activités de chaque secteur et de certaines entités (consulter les gestionnaires de ressources à ce sujet). Il faut en tenir compte dans la planification et l’exécution de ces travaux, qui peuvent d’ailleurs être traités de la même manière que les projets, soit affectation du personnel, consultations de spécialistes internes, au besoin, et détermination des échéanciers, des objectifs et des produits à livrer.

Réalisation des travaux liés à la connaissance des activités de l’entité

Les travaux liés à la connaissance des activités de l’entité devraient commencer par un examen du Plan stratégique d’audit, une discussion avec l’équipe d’audit annuel compétente et un examen du dossier d’audit annuel. De plus, l’un des meilleurs moyens d’acquérir et de maintenir une bonne connaissance des activités de l’entité consiste à se constituer un réseau de contacts, et à l’entretenir. Un réseau de contacts externes (à l’échelle nationale et régionale) permet d’obtenir différents points de vue sur diverses questions et priorités. Il est également essentiel de consulter des experts du domaine et d’autres spécialistes en plus de la direction de l’entité. Ces échanges peuvent fournir une foule de renseignements sur l’entité, le domaine d’activités ou le sujet à auditer, et même faciliter le choix des conseillers externes.

Les travaux liés à la connaissance des activités de l’entité peuvent également comprendre ce qui suit, au besoin :

  • examen de la législation;
  • examen des plans stratégiques et des plans d’affaires de l’entité, évaluations des risques, procès‑verbaux de réunions;
  • lecture d’articles publiés dans les médias;
  • entretiens avec des spécialistes internes;
  • examen des rapports d’audit interne;
  • réunions avec les dirigeants principaux de la fonction d’audit interne de l’entité;
  • entretiens avec des membres des comités ministériels d’audit;
  • examen des systèmes de suivi de l’entité pour évaluer dans quelle mesure les recommandations courantes et en attente ont été mises en œuvre et les engagements pris par l’entité, ont été respectés;
  • examen des hansards (débats) et des rapports des comités parlementaires;
  • examen d’autres missions de certification;
  • examen des rapports de la direction, des publications sectorielles, des études;
  • examen des rapports d’audit pertinents d’autres administrations publiques (au pays et à l’étranger);
  • participation à des congrès pertinents;
  • visites sur place.

Une fois par année, l’équipe d’audit doit informer le vérificateur général adjoint et le vérificateur général de tout changement significatif concernant les risques.

Les principaux documents à examiner peuvent comprendre les suivants :

Documents internes de l’entité Information disponible sur Internet

Plans stratégiques et plans d’entreprise, plans d’investissement (GI/TI y compris), budgets de fonctionnement, états financiers trimestriels ou intermédiaires

Plan ministériel, rapport sur les résultats ministériels, plans d’entreprise et plans stratégiques (GI/TI y compris), plans d’investissement (GI/TI y compris)

Évaluations du rendement et stratégies ou cadres de communication de l’information

Cadre de responsabilisation de gestion (CRG), rapports du Secrétariat du Conseil du Trésor du Canada

Procès-verbaux des comités de haute direction

Articles de presse récents, revues spécialisées

Notes d’information destinées au ministre ou au sous‑ministre

Bilans des activités parlementaires
hansards (débats de la Chambre des communes)

Cadre de gestion intégrée du risque

Comptes publics (informations à fournir détaillées, comme les trop-payés)

Cahiers d’information et procès-verbaux des comités ministériels d’audit

Lois, autorisations et règlements propres à l’entité ou au secteur

Évaluations des risques ou profils de risques d’entreprise

Divulgations proactives

Rapports mensuels au conseil de direction

Rapports des comités du Sénat ou de la Chambre des communes

Diagramme de mise en correspondance des processus opérationnels

Poursuites relatives aux programmes pertinents ou au sujet audité

Études ou autres examens internes

Recherches ou études et rapports universitaires

Mémoires au Cabinet

 Autres missions de certification
Rapports d’audit interne

Présentations au Conseil du Trésor

Documents de surveillance de la fonction d’audit interne et progrès accomplis dans la mise en œuvre des plans d’action préparés en réponse aux recommandations formulées dans les rapports d’audit externe (y compris du BVG) et les rapports d'audit interne

Les questions à se poser en réalisant ces travaux sont les suivantes :

Pour une entité (ou une entité considérée comme faisant partie d’un secteur) :

  • Quels sont la mission et le mandat de l’entité, les autorisations applicables, ses principaux programmes et ses priorités?
  • Quels sont les principaux objectifs de l’entité, ses processus opérationnels, ses mesures de rendement et ses intrants, extrants et résultats?
  • Qui sont les principaux clients et parties prenantes?
  • Qu’en est-il de la gouvernance, de l’organisation et des ressources des programmes?
  • Quels sont les systèmes de GI/TI et les systèmes de contrôle interne essentiels?
  • Quels sont les sources d’information, les centres d’expertise et les sources de données quantitatives et qualitatives essentiels?
  • À quels difficultés, risques et contraintes majeurs l’entité fait-elle face?

Pour un secteur :

  • Qu’est-ce qui définit ou caractérise les « activités » de l’entité? Pourquoi est-ce important pour l’intérêt public?
  • Qui sont les principaux acteurs et parties prenantes? Dans quelle mesure sont-ils interdépendants?
  • Quels sont les mécanismes de coordination?

L’équipe doit prendre garde de demander trop d’information aux entités afin de ne pas alourdir inutilement la charge de travail liée. Une grande quantité d’information de ce genre peut être obtenue de l’équipe affectée à l’audit des états financiers.

L’auditeur doit porter attention aux signaux d’alarme qui pourraient indiquer un risque, par exemple :

  • ton autocratique de la direction;
  • absence de rapports de gestion interne ou de mesure du rendement;
  • insatisfaction des principaux utilisateurs/parties prenantes à l’égard des informations clés essentielles à la prise de décisions, ce qui donne lieu à l’utilisation de systèmes maison officieux;
  • récentes défaillances majeures de systèmes clés ou atteintes à la sécurité;
  • changements dans l’organisation, les politiques, les autorisations ou les programmes, par exemple :
    • taux de roulement élevé des membres de la direction/postes vacants pendant de longues périodes
    • augmentation substantielle des dépenses conjuguée à une diminution du rendement,
    • important écart dans les produits ou les séries de paiements,
    • programmes ou activités lancés ou annulés au cours d’une brève période de temps;
  • des systèmes et des méthodes qui n’ont pas changé depuis longtemps en dépit de l’évolution du contexte;
  • nombre de griefs élevé de la part des employés;
  • retards dans la prestation de certains services ou taux d’erreur élevés;
  • poursuites, passifs éventuels, règlements de réclamations contre l’État;
  • non-réceptivité ou résistance à l’audit;
  • dépassements ou sous-utilisations importantes des budgets;
  • contournement des autorisations ou des approbations;
  • refus de la direction de reconnaître les risques.

Des facteurs supplémentaires dont les auditeurs peuvent tenir compte lorsqu’ils effectuent des travaux d’évaluation des risques liés aux activités d’une entité sont décrits dans la section BVG Audit 4020 Évaluation des risques.

L’équipe d’audit doit saisir les occasions d’utiliser des méthodes et des techniques analytiques. Les méthodes analytiques comprennent notamment les suivantes :

Source d’information À analyser
États financiers – Rapports de gestion internes Écarts budgétaires, tendances en matière de revenus et de dépenses
États financiers intermédiaires et trimestriels ou rapports au conseil de direction

Tendances en ce qui concerne les charges anormales

Changements substantiels dans l’information financière
Comptes publics – Plaques I-11 et I-12 (Passifs éventuels) ou Plaque III-10 (Paiements de réclamations contre l’État) préparées trimestriellement Nouvelles réclamations contre l’entité
Volume III des Comptes publics – détails Données sur les paiements en trop ou en moins
Renseignements sur les processus opérationnels Diagramme de mise en correspondance des processus opérationnels
Rapports au conseil de direction Changements substantiels dans les indicateurs de rendement
Présentations au Secrétariat du Conseil du Trésor du Canada et mémoires au Cabinet Changement de responsable de programme (nouveaux programmes, changements dans la prestation des programmes existants)
Procès-verbaux des réunions des comités parlementaires Raisons de l’intérêt soudain des comités parlementaires
Poursuites Raisons systémiques des poursuites

Produits à livrer et documentation

L’information relative à la connaissance des activités de l’entité doit être documentée de manière à ne pas être perdue lorsque le personnel d’audit prend sa retraite ou cesse de travailler au BVG. Cette information doit être sauvegardée dans le même dossier que les travaux sur le plan stratégique d’audit, et il faut que les personnes qui en ont besoin y aient accès. Les documents importants obtenus de l’entité (ou des entités) doivent également être conservés dans ce dossier et mis à la disposition du personnel du BVG, pour éviter d’avoir à demander à l’entité de les fournir à nouveau.

La documentation relative aux connaissances des activités de l’entité devrait contenir ce qui suit :

  • Liste des documents examinés et des consultations/entretiens menés
  • Résultats des recherches et des analyses effectuées, notamment :
    • Tout changement important dans les autorisations, les contrôles, l’organisation ou la direction, les ressources, les programmes et les systèmes
    • Analyse des risques – changements significatifs depuis le PSA :
      • Augmentation des risques
      • Diminution des risques
      • Nouveaux risques
  • Changements proposés au PSA ou aux audits en cours
    • Nouvel audit recommandé
    • Audit prévu annulé ou reporté ou modification substantielle de l’étendue ou des objectifs d’un tel audit
    • Modifications des secteurs d’examen d’un audit déjà en cours

Sécurité de l’information sur les activités de l’entité et accès à cette information par des tiers

Il est possible qu’une cote de sécurité ait déjà été attribuée aux documents obtenus par le BVG des entités auditées. Cette cote doit être respectée. L’information sur les activités de l’entité doit être marquée Protégé A, B ou C selon le tort que sa communication éventuelle pourrait causer au BVG ou aux personnes concernées. L’information sur les activités de l’entité doit être considérée comme de l’information « créée ou obtenue » au cours d’un audit. Par conséquent, elle pourrait être visée par l’exemption prévue à l’alinéa 16.1(1)a) de la Loi sur l’accès à l’information. Il faut toutefois savoir que la Loi sur la protection des renseignements personnels ne contient pas d’exemption semblable. Si des renseignements personnels sont recueillis dans le cadre de l’acquisition d’une connaissance des activités de l’entité, ces renseignements pourront être transmis à la personne concernée si elle en fait la demande. Pour obtenir des renseignements complémentaires ou des conseils à ce sujet, prière de communiquer avec le responsable de la coordination de l’accès à l’information et de la protection des renseignements personnels (AIPRP) au BVG.

Pour consulter des documents qui pourraient être protégés par le secret professionnel de l’avocat ou tout autre privilège, l’équipe de mission peut utiliser le modèle de lettre prévu à cette fin.

Sections correspondantes

BVG Audit 1510 Sélection des sujets d’audit de performance
BVG Audit 4010 Compréhension de l’objet considéré lors de la planification de l’audit
BVG Audit 4020 Évaluation des risques
BVG Audit 4042 Étendue et approche de l’audit