AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
4020 Évaluation des risques
juil.-2020
Aperçu
La Norme canadienne de missions de certification (NCMC) 3001 exige que, lors de la planification et de la réalisation d’un audit, l’auditeur tienne compte de l’importance et qu’il identifie et évalue les risques. Même si le concept d’importance est abordé à la section BVG Audit 2020 — Importance, la présente section explique les modalités d’identification et d’évaluation des risques.
Exigences de la NCMC 3001
51R. Le professionnel en exercice doit acquérir de l’objet considéré et des autres circonstances de la mission une compréhension suffisante pour :
a) pouvoir identifier et évaluer les risques d’écarts importants;
b) disposer, de ce fait, d’une base pour concevoir et mettre en œuvre, à l’égard des risques évalués, des procédures lui permettant d’obtenir une assurance raisonnable pour étayer sa conclusion. (Réf. : par. A99 à A103 et A105 à A109)
53R. En s’appuyant sur sa compréhension (voir le paragraphe 51R), le professionnel en exercice doit : (Réf. : par. A110 à A114)
a) identifier et évaluer les risques d’écarts importants;
b) concevoir et mettre en œuvre, à l’égard des risques évalués, des procédures lui permettant d’obtenir une assurance raisonnable pour étayer sa conclusion. En plus de toute autre procédure à l’égard de l’objet considéré qui est appropriée dans les circonstances de la mission, les procédures du professionnel en exercice doivent comprendre l’obtention d’éléments probants suffisants et appropriés quant à l’efficacité du fonctionnement des contrôles pertinents à l’égard de l’objet considéré dans l’une ou l’autre des situations suivantes :
i) le professionnel en exercice a l’intention de s’appuyer sur l’efficacité du fonctionnement de ces contrôles pour déterminer la nature, le calendrier et l’étendue des autres procédures,
ii) les procédures autres que les tests des contrôles ne permettent pas à elles seules de réunir des éléments probants suffisants et appropriés.
Révision de l’évaluation des risques dans une mission d’assurance raisonnable
54R. L’évaluation par le professionnel en exercice des risques d’écarts importants peut évoluer au cours de la mission à mesure qu’il obtient des éléments probants additionnels. Dans les circonstances où le professionnel en exercice obtient des éléments probants qui sont incohérents avec les éléments probants sur lesquels il s’est fondé pour procéder à son évaluation initiale, il doit réviser cette évaluation et modifier en conséquence les procédures prévues. (Réf. : par. A114)
Modalités d’application de la NCMC 3001
A13. Le risque de mission ne désigne pas et n’englobe pas les risques professionnels, tels que les risques de perte résultant d’un procès, de publicité négative ou de survenance d’autres événements se rattachant à l’objet considéré, auxquels le professionnel en exercice est exposé.
A14. En général, le risque de mission peut être représenté par les composantes suivantes, bien que ces composantes ne seront pas nécessairement toutes réunies ou notables dans chaque mission de certification :
a) les risques sur lesquels le professionnel en exercice n’exerce pas une influence directe, à savoir :
i) la vulnérabilité de l’objet considéré à un écart important, avant prise en compte des contrôles y afférents appliqués par la ou les parties appropriées (risque inhérent),
ii) le risque qu’un écart important dans l’objet considéré ne soit ni prévenu ni détecté et corrigé en temps voulu par le contrôle interne de la ou des parties appropriées (risque lié au contrôle);
b) le risque sur lequel le professionnel en exercice exerce une influence directe, à savoir le risque que les procédures mises en œuvre par le professionnel en exercice ne détectent pas un écart important (risque de non-détection).
A15. La mesure dans laquelle chacune de ces composantes est pertinente par rapport à la mission dépend des circonstances de la mission, plus particulièrement :
- de la nature de l’objet considéré. Par exemple, le concept de risque lié au contrôle pourrait être plus pertinent lorsque l’objet considéré porte sur la performance de l’entité que lorsqu’il porte sur des informations liées à l’efficacité d’un contrôle ou à l’existence d’une condition physique;
- de la question de savoir si la mission de certification réalisée est une mission d’assurance raisonnable ou une mission d’assurance limitée. [...]
La prise en compte des risques relève plus du jugement professionnel que de la mesure de précision.
A16. Dans le cas de certains audits de performance dans le secteur public, il peut exister un risque accru que l’auditeur arrive à la conclusion qu’un problème détecté au cours de l’audit constitue un écart important alors que ce n’est pas le cas. Cela peut être attribuable, par exemple :
- à la complexité de l’objet considéré;
- à un recours considérable au jugement professionnel à l’égard de questions hautement qualitatives se prêtant à diverses interprétations;
- à l’ampleur et à la profondeur de l’étendue de la mission.
Ce risque peut être atténué par le recours, par exemple, à des enquêtes approfondies sur tous les problèmes détectés ainsi qu’à des procédures de revue et à d’autres procédures de contrôle qualité visant à ramener le risque à un niveau acceptable dans les circonstances de la mission.
A17. Il est rarement possible ou rentable de ramener le risque de mission à zéro, si bien qu’une « assurance raisonnable » est moindre qu’une assurance absolue, en raison des facteurs suivants :
- le recours aux sondages;
- les limites inhérentes au contrôle interne;
- le fait que nombre des éléments probants dont dispose le professionnel en exercice sont convaincants plutôt que concluants;
- le recours au jugement professionnel aux fins de la collecte et de l’évaluation des éléments probants ainsi que de la formation des conclusions fondées sur ces éléments probants;
- dans certains cas, les caractéristiques que présente l’objet considéré lorsqu’il est évalué ou mesuré au regard des critères.
A85. [...] La nature et l’étendue des activités de planification varient en fonction des circonstances de la mission, par exemple la complexité de l’objet considéré et des critères. Voici des exemples des principaux éléments qui peuvent être pris en considération :
[...]
- la compréhension que possède le professionnel en exercice de la partie appropriée ou des parties appropriées, et de leur environnement, y compris les risques d’écarts importants;
- l’identité des utilisateurs visés et leurs besoins d’information, et la prise en considération de l’importance et des composantes du risque de mission;
- la mesure dans laquelle le risque de fraude est pertinent pour la mission;
[...]
A99. Les entretiens entre l’associé responsable de la mission, les autres membres clés de l’équipe de mission et les principaux experts externes choisis par le professionnel en exercice, le cas échéant, sur le risque que l’objet considéré comporte des écarts importants et sur l’application des critères applicables aux faits et circonstances propres à la mission peuvent aider l’équipe de mission à planifier et à réaliser la mission. Il est également utile d’en communiquer les points pertinents aux membres de l’équipe de mission et aux experts externes choisis par le professionnel en exercice, le cas échéant, qui n’ont pas participé aux entretiens.
A100. Le professionnel en exercice peut avoir des responsabilités additionnelles, conformément aux textes légaux ou réglementaires ou aux règles de déontologie pertinentes, à l’égard de la non-conformité de l’entité aux textes légaux et réglementaires, qui peuvent différer ou aller au-delà des responsabilités qui lui incombent selon la présente NCMC, par exemple :
a) répondre aux cas identifiés ou suspectés de non-conformité aux textes légaux et réglementaires, y compris les exigences relatives aux communications avec la direction et les responsables de la gouvernance, et déterminer s’il y a lieu de prendre d’autres mesures;
b) communiquer à un auditeur les cas identifiés ou suspectés de non-conformité aux textes légaux et réglementaires;
c) se conformer aux exigences en matière de documentation concernant les cas identifiés ou suspectés de non-conformité aux textes légaux et réglementaires.
Le fait de s’acquitter de responsabilités additionnelles peut fournir des informations supplémentaires qui sont utiles aux fins des travaux qu’effectue le professionnel en exercice conformément à la présente NCMC et à d’autres NCMC (concernant l’intégrité de la partie responsable ou des responsables de la gouvernance, par exemple). Les paragraphes A192 à A197 traitent plus en détail des responsabilités du professionnel en exercice, conformément aux textes légaux ou réglementaires ou aux règles de déontologie pertinentes, à l’égard de la communication des cas identifiés ou suspectés de non-conformité aux textes légaux et réglementaires.
A101. L’acquisition d’une compréhension de l’objet considéré et des autres circonstances de la mission fournit au professionnel en exercice un cadre de référence pour l’exercice du jugement professionnel tout au long de la mission, par exemple au moment :
- de prendre en considération les caractéristiques de l’objet considéré;
- d’apprécier le caractère valable des critères;
- de prendre en considération les facteurs qui, selon son jugement professionnel, comptent pour orienter les travaux de l’équipe de mission, y compris les cas où une attention spéciale peut être nécessaire, par exemple le besoin de compétences spécialisées ou des travaux d’un expert;
- d’établir et de réévaluer régulièrement le caractère approprié des facteurs quantitatifs et qualitatifs qui sont importants;
- de développer des attentes aux fins de la mise en œuvre des procédures analytiques;
- de concevoir et de mettre en œuvre les procédures;
- d’évaluer les éléments probants, y compris le caractère raisonnable des déclarations verbales et écrites qu’il a obtenues.
A109. Dans une mission d’assurance raisonnable ou d’assurance limitée, les résultats du processus d’évaluation des risques de l’entité peuvent également aider le professionnel en exercice à acquérir une compréhension de l’objet considéré et des autres circonstances de la mission.
A114. Une mission de certification est un processus itératif, et il peut arriver que le professionnel en exercice prenne connaissance d’informations qui diffèrent sensiblement de celles sur lesquelles il s’est fondé pour déterminer les procédures à mettre en œuvre. Lorsque le professionnel en exercice met en œuvre les procédures qu’il a planifiées, les éléments probants recueillis peuvent l’amener à mettre en œuvre des procédures supplémentaires.
Politiques du BVG
L’équipe d’audit doit procéder à une planification de l’audit fondée sur les risques pour définir l’étendue et l’approche de l’audit. [nov.-2015]
L’équipe d’audit doit consulter un expert interne (ou spécialiste interne) si elle le juge nécessaire à la lumière de l’évaluation des risques réalisée à l’étape de la planification de l’audit. [nov.-2015]
L’équipe d’audit doit réévaluer les risques tout au long de la planification et de la réalisation de l’audit en fonction des changements de circonstances. [nov.-2015]
Directives du BVG
Un risque se définit comme la probabilité qu’un événement influence l’atteinte d’un objectif. L’évaluation des risques est un processus continu et dynamique de collecte, de mise à jour et d’analyse d’information tout au long de l’audit.
Application de la NCMC 3001 lors de la réalisation d’un audit
Lors d’une mission d’appréciation directe, l’équipe d’audit détermine elle-même la nature et l’étendue de l’objet considéré sur lequel elle doit faire rapport. Pour ce faire, elle se fonde sur sa compréhension de l’objet considéré, notamment des risques et des contrôles internes pertinents (BVG Audit 4010 — Compréhension de l’objet considéré lors de la planification de l’audit; BVG Audit 4025 — Contrôles internes). Pour acquérir une compréhension de l’objet considéré, l’équipe d’audit est tenue, aux termes des normes applicables, d’identifier et d’évaluer, lors de l’étape de la planification, le risque d’écarts importants à l’égard de l’objet considéré (c.-à-d. les constatations négatives) par rapport aux critères applicables. L’équipe utilise l’information ainsi recueillie comme base pour définir son approche d’audit et obtenir une assurance raisonnable comme fondement à sa conclusion. Pour obtenir une assurance raisonnable, l’équipe d’audit est également tenue par les normes de ramener le risque de mission à un niveau suffisamment faible (ce qui est une pratique courante au BVG).
Des risques importants peuvent être identifiés à n’importe quelle étape d’un audit, bien qu’ils soient examinés au départ à l’étape de la planification de l’audit.
Les normes d’audit exigent que l’équipe d’audit reste attentive aux changements de circonstances et réexamine l’incidence des informations nouvelles et contradictoires qu’elle recueille sur son évaluation des risques, et qu’elle modifie sa réponse en conséquence.
L’évaluation des risques relève plus du jugement professionnel que d’une mesure précise (voir BVG Audit 1042 — Exercice du jugement professionnel). De plus, il est nécessaire que l’équipe d’audit fasse preuve d’un esprit critique tout au long de la mission (voir BVG Audit 1041 — Exercice d’un esprit critique) si elle veut notamment réduire les risques :
-
de ne pas déceler des situations inhabituelles;
-
de tirer des conclusions trop générales à partir des observations faites durant la mission;
-
de s’appuyer sur de mauvaises hypothèses pour déterminer la nature, le calendrier et l’étendue des procédures, et pour en évaluer les résultats.
De même, pour bien documenter la nature et l’étendue des travaux d’audit réalisés, les auditeurs doivent indiquer comment les éléments probants obtenus au moyen de l’évaluation des risques et des travaux visant le contrôle interne se rattachent à l’étendue et à l’approche de l’auditPour faciliter ce processus et documenter les décisions prises, l’équipe d’audit doit réaliser les procédures d’audit pertinentes et remplir les documents suivants :
- modèle « Évaluation du risque de mission » (MERM);
- modèle « Identification des risques fonctionnels » (MIRF);
- modèle « Évaluation des risques et des contrôles » (MERC);
- grille logique d’audit (GLA).
Pour obtenir un complément d’information, veuillez consulter le guide sur la planification et la délimitation de l’étendue fondées sur le risque pour les missions d’appréciation directe qui se trouvent dans la section Directives liées aux audits, ci-après.
Évaluation des risques liés à l’objet considéré
À l’étape de la planification, l’équipe d’audit identifie et évalue les risques importants qui pourraient influer sur l’atteinte des objectifs d’une entité qui se rapportent à l’objet considéré.
L’équipe d’audit identifie et évalue ces risques afin de déterminer les secteurs qui posent les plus grands risques d’écarts importants dans le cadre de l’audit (c.-à-d. une constatation négative).
Étant donné qu’un risque est un événement qui influe sur l’atteinte d’un objectif, pour identifier les risques liés à l’objet considéré, il faut dans un premier temps comprendre et cerner les objectifs de l’entité qui se rattachent à l’objet considéré, puis réfléchir à ce qui pourrait mal tourner et empêcher l’entité d’atteindre ces objectifs.
Deux modèles ont été établis pour aider les équipes d’audit à identifier et à évaluer les risques liés à l’objet considéré :
- modèle « Identification des risques fonctionnels » (MIRF);
- modèle « Évaluation des risques et des contrôles » (MERC).
Le Bureau a identifié divers secteurs fonctionnels clés (par exemple les ressources humaines ou les technologies de l’information) qui peuvent être exposés à des risques et donc menacer l’atteinte des objectifs de l’entité. Les risques associés à ces secteurs fonctionnels doivent être examinés par toutes les équipes d’audit. D’autres risques pertinents pour l’objet considéré doivent aussi être identifiés et évalués dans le cadre d’un audit. L’évaluation des risques fonctionnels conjuguée à l’évaluation des risques liés à l’objet considéré permettra à l’équipe d’audit de comprendre les éléments ou facteurs qui peuvent empêcher une entité de réaliser ses objectifs et l’aideront donc à cibler les travaux d’audit.
Modèle d’identification des risques fonctionnels — L’équipe d’audit doit tenir compte de la pertinence de certains secteurs fonctionnels clés en se fondant sur sa compréhension préliminaire des objectifs liés à l’objet considéré. Elle doit identifier et évaluer les risques connexes en remplissant le modèle « Identification des risques fonctionnels ». Ce processus incite les équipes à envisager de consulter les spécialistes internes pertinents (voir BVG Audit 3081 — Consultation). Les consultations ont deux objectifs. Elles permettent à l’équipe d’audit de discuter des risques importants identifiés avec des spécialistes internes et d’analyser avec eux comment ces risques peuvent influer sur la stratégie et l’étendue de l’audit. Les consultations indiquent aussi aux spécialistes internes que l’équipe d’audit pourrait avoir besoin d’indications et d’aide supplémentaires au cours de son audit, en raison des risques qu’elle a identifiés.
Même si la plupart des consultations sont facultatives, l’équipe d’audit doit, en fonction du jugement professionnel du responsable de mission, consulter le spécialiste interne de l’environnement et du développement durable, et obtenir son approbation dans le dossier d’audit. Le spécialiste interne de l’environnement et du développement durable peut aussi exiger que l’équipe réalise une évaluation complémentaire. Si d’autres spécialistes internes sont consultés, l’équipe d’audit doit documenter les résultats des consultations menées.
Modèle d’évaluation des risques et des contrôles — L’équipe d’audit utilise ce modèle pour identifier les risques pertinents pour l’objet considéré et fait ressortir tout risque fonctionnel identifié dans le MIRF. Pris ensemble, ces risques sont désormais considérés comme les risques liés à l’objet considéré. L’équipe d’audit évalue ensuite tous les risques identifiés et, en se fondant sur les résultats de son évaluation, prend et documente ses décisions préliminaires au sujet de la délimitation de l’étendue de l’audit.
L’équipe d’audit peut apprécier l’importance des activités de l’entité et les risques qui y sont associés en tenant compte de facteurs tels que ceux énumérés ci-dessous :
-
Portée économique, sociale et environnementale – Les programmes, activités ou processus qui touchent une proportion élevée de la population, concernent des populations vulnérables ou ont une incidence sur le développement durable peuvent être considérés comme ayant davantage d’importance pour l’entité. L’importance de l’objet considéré peut aussi être évaluée par les grandes répercussions sur l’économie, la santé, la sûreté et la sécurité; la taille de l’entité ou du programme concerné; le nombre d’entités faisant partie de l’étendue de la mission; et l’expérience acquise par le Bureau à l’égard de l’objet considéré.
-
Pertinence pour les parties prenantes – L’intérêt manifesté par le corps législatif ou une autre instance supérieure, les dirigeants de l’entité ou le public peut indiquer l’importance que revêt l’activité pour les parties prenantes. Des facteurs comme le caractère délicat et la visibilité de l’objet considéré p. ex. l’obligation de rendre compte de l’entité, l’importance de son mandat, le degré de notoriété de l’entité ou du programme audité aux yeux du public, et le caractère délicat sur le plan politique, notamment s’il s’agit d’un sujet d’intérêt récent pour le Parlement, devraient être pris en considération;
-
Diversité, cohérence et clarté des buts et objectifs de l’entité – Le caractère diversifié ou le manque de cohérence des objectifs augmentent le risque que les activités ou les programmes de l’entité ne soient pas menés dans le respect des principes d’économie, d’efficience et d’efficacité ou de l’environnement et du développement durable. Le fait que les buts et objectifs de l’entité ne soient pas définis clairement pourrait accentuer le risque qu’ils ne soient pas compris par le personnel et, par conséquent, ne soient pas atteints.
-
Complexité des activités – La complexification des activités de l’entité en raison de la diversité accrue des programmes, des fonctions et des opérations peut accroître le risque que l’entité n’atteigne pas ses buts et objectifs, ou que ceux-ci ne soient pas réalisés de façon efficiente ou économique ou dans le respect de l’environnement ou du développement durable. La nature des activités de l’entité, comme l’existence d’opérations ou de questions complexes et spécialisées très technique et dont l’évaluation nécessite un jugement professionnel important; et plusieurs entités qui ont des responsabilités partagées qui se chevauchent à l’égard de l’objet considéré, peut accroître le risque.
-
Complexité et qualité des systèmes d’information de gestion et des systèmes de contrôle – Les systèmes complexes peuvent être difficiles à mettre au point, à améliorer et à maintenir. Si l’entité ne maintient pas des systèmes d’information de gestion appropriés, elle ne peut pas exercer un bon contrôle.
-
Incidence des changements dans l’environnement ou la structure de l’entité – Les changements dans l’environnement ou la structure de l’entité peuvent avoir une incidence sur la continuité de l’exploitation et sur la compréhension des priorités et des processus par le personnel. Ils pourraient accroître le risque que les buts et objectifs de l’entité ne soient pas atteints. Les changements dans l’environnement de l’entité comprennent les nouvelles priorités du gouvernement, les modifications importantes apportées au budget ainsi qu’aux lois habilitantes. Les changements dans la structure de l’entité englobent les changements dans la direction, les réorganisations, les nouveaux projets et la rotation des effectifs.
-
Importance financière et nature des opérations – Les sommes importantes, les volumes d’opérations élevés ainsi que la complexité et le flux des opérations peuvent représenter des risques accrus pour l’entité.
-
Réponse de la direction aux déficiences relevées antérieurement – Les secteurs où la direction n’a pas apporté d’améliorations susceptibles de résoudre les problèmes importants relevés à l’occasion d’audits de performance antérieurs ou d’autres études pourraient présenter une importance accrue et un risque plus élevé.
-
Structure organisationnelle – La centralisation et la décentralisation des fonctions clés, comme le budget, la paie, les décaissements, la gestion des ressources humaines et la gestion des installations, comportent des risques opérationnels qui leur sont propres. De même, les programmes mis en œuvre par un mandataire ne posent pas les mêmes risques que ceux qui sont mis en œuvre directement.
-
Mise en œuvre des programmes – Dans le secteur public, les programmes peuvent être mis en œuvre grâce à des mécanismes comme les budgets de dépenses, les textes réglementaires et les prélèvements de revenus; ils peuvent viser la fourniture directe de biens ou la prestation directe de services, ou encore la redistribution des revenus; ils peuvent être mis en œuvre directement ou par l’intermédiaire de mandataires. Le degré de risque qui leur est associé peut varier selon la complexité des mécanismes de mise en œuvre.
L’équipe d’audit évalue chaque risque identifié et lui attribue une des cotes suivantes : « normal », « élevé » ou « important ». Par défaut, les risques sont considérés comme normaux, jusqu’à preuve du contraire. Pour évaluer un risque, l’équipe doit évaluer la probabilité que le risque se concrétise et son incidence (importance) le cas échéant. Elle doit donc faire appel à son jugement professionnel. Le tableau ci-après présente les facteurs qui peuvent aider l’équipe d’audit à déterminer la probabilité et l’incidence d’un risque lié à l’objet considéré. L’équipe d’audit doit ensuite utiliser son évaluation pour classer les risques identifiés. Elle documente et résume les raisons qui justifient la cote attribuée à chaque risque. Elle doit souvent évaluer les risques en tenant compte de leurs interactions avec les autres risques.
Grille d’évaluation des risques liés à l’objet considéré |
Incidence : si le risque devait se concrétiser, il … |
||||
Faible |
Moyen |
Élevé |
|||
… pourrait nuire aux activités de l’objet considéré, sans toutefois mettre en péril les résultats et les objectifs définis. Incidence limitée sur les résultats liés à l’objet considéré ou les clients. |
… pourrait mettre en péril les activités, sans toutefois nuire aux objectifs stratégiques liés à l’objet considéré. Incidence moyenne sur les résultats liés à l’objet considéré ou les clients. |
… aurait une incidence importante sur l’atteinte des objectifs stratégiques liés à l’objet considéré. Incidence importante sur les résultats liés à l’objet considéré ou les clients. |
|||
Probabilité Selon le jugement, … |
Élevé |
… le risque s’est concrétisé ou se concrétisera probablement dans des circonstances courantes, ou est susceptible d’être généralisé. |
Élevé |
Élevé à important |
Important |
Moyen |
… il n’est pas inhabituel que ce risque se concrétise de temps en temps. |
Normal à élevé |
Élevé |
Élevé à important |
|
Faible |
… le risque pourrait se concrétiser dans de très rares circonstances. |
Normal |
Normal à élevé |
Élevé |
Pour identifier et évaluer le risque, l’équipe d’audit doit aussi comprendre les contrôles internes pertinents pour l’objet considéré. Cette compréhension aide l’auditeur à identifier les facteurs qui peuvent atténuer le risque et à concevoir des procédures. La section BVG Audit 4025 — Contrôles internes explique les exigences relatives à l’évaluation des contrôles internes lors de l’étape de la planification.
Examens spéciaux
Comme pour toutes les missions d’appréciation directe, l’équipe d’examen spécial doit évaluer les risques liés à l’objet considéré eu égard à la société d’État auditée. En plus de l’évaluation des risques faite par l’équipe, le BVG a établi un ensemble de moyens et méthodes « essentiels » et de critères standard connexes qui doivent être examinés dans chaque examen spécial. L’étendue et l’approche définitives de l’audit doivent répondre aux risques évalués. Du point de vue du risque, les moyens et méthodes « essentiels » atténuent le risque « à l’échelle du portefeuille » – c’est-à-dire, les risques importants propres à toutes les sociétés d’État assujetties aux examens spéciaux. Les moyens et méthodes essentiels sont ceux qui, s’ils comportaient des défauts graves, individuellement ou collectivement, pourraient empêcher la société d’État d’avoir l’assurance raisonnable que ses actifs sont protégés et contrôlés, que ses ressources sont gérées avec efficience et économie et que ses activités sont menées avec efficacité.
Les risques liés à l’objet considéré d’une société d’État peuvent justifier l’élargissement de l’étendue au-delà des moyens et méthodes essentiels
Même si les moyens et les méthodes essentiels et les critères standards doivent être utilisés pour chaque examen spécial, l’équipe d’audit devrait évaluer le risque lié à l’objet considéré à l’étape de la planification. En se fondant sur l’évaluation menée par l’équipe des risques et des contrôles internes pour la société d’État auditée, le responsable de mission peut décider d’élargir ou non l’étendue de l’examen spécial. Lorsqu’il y a un risque élevé qu’un défaut grave soit susceptible d’empêcher la société d’État d’atteindre ses objectifs de contrôle législatifs, le responsable de mission doit envisager les deux options suivantes :
-
Si le risque est contrôlé par les moyens et méthodes essentiels, il pourrait exécuter plus de travaux d’audit dans le domaine à risque élevé;
-
Dans le cas contraire, le responsable de mission peut décider d’élargir l’étendue en invoquant comme justification un risque élevé de défaut grave.
Le risque lié à l’objet considéré et les considérations relatives à l’intégration de secteurs d’examen distincts pour la technologie de l’information, la gestion des ressources humaines et l’environnement
Au cours de la dernière année, les rapports d’examen spécial n’ont pas présenté la technologie de l’information (TI), la gestion des ressources humaines (RH) et l’environnement dans des sections distinctes. En fait, les messages concernant ces moyens et méthodes se sont bien intégrés dans la gestion des opérations, car ces secteurs fonctionnels sont généralement les moyens utilisés par la société pour s’acquitter de son mandat. Ils peuvent aussi s’insérer dans la planification stratégique et la gestion du risque d’entreprise. Toutefois, si l’évaluation des risques et des contrôles de l’équipe révèle un risque élevé de défaut grave dans les moyens et méthodes pour les secteurs de la technologie de l’information, des ressources humaines ou de l’environnement qui pourrait empêcher la société d’État d’atteindre ses objectifs de contrôle législatifs, le responsable de mission peut élargir l’étendue de l’examen spécial afin de couvrir ces secteurs.
Gestion du risque de mission
Risque de mission — Le risque de mission est le risque que l’auditeur exprime une conclusion inappropriée dans son rapport d’audit. Il s’agit du risque que l’auditeur décèle un écart important (c.-à-d. une constatation d’audit négative) qui n’existe pas ou le risque qu’il omette de déceler un écart important qui existe.
Selon les normes d’audit, un risque de mission se divise en trois composantes, même si l’importance et la portée de ces composantes varieront en fonction des circonstances propres à l’audit.
-
Risque inhérent : le risque lié à la vulnérabilité de l’objet considéré et de son environnement, avant la prise en compte des contrôles, par exemple la vulnérabilité à la conjoncture économique ou à la situation politique.
-
Risque lié au contrôle : le risque qu’un écart important à l’égard de l’objet considéré ne soit ni prévenu ni détecté et corrigé en temps voulu par les contrôles internes de la direction de l’entité auditée. Ce risque est fonction de la conception et de l’efficacité du fonctionnement des contrôles internes visant l’objet considéré. L’auditeur n’a aucune influence directe sur ce risque.
-
Risque de non-détection : le risque que les procédures d’audit mises en œuvre ne permettent pas à l’auditeur d’obtenir des éléments probants suffisants et appropriés qui seront correctement interprétés par l’auditeur (p. ex. mise en œuvre de procédures d’audit inapproprié, mise en œuvre inadéquate des procédures et mauvaise interprétation des résultats d’audit). Il est donc fonction de l’efficacité des procédures d’audit.
L’équipe d’audit n’exerce pas une influence directe sur les deux premières composantes du risque de mission (risque inhérent et risque lié au contrôle), mais elle s’emploie à les comprendre lors de son évaluation des risques liés à l’objet considéré afin de pouvoir réaliser de manière éclairée son évaluation du risque de non-détection et d’élaborer des procédures d’audit adaptées en vue de le réduire au minimum.
Gestion du risque de mission — Le risque de mission est inévitable, car les auditeurs ne peuvent jamais obtenir l’assurance absolue que leur conclusion d’audit est appropriée sans examiner 100 % de toutes les informations ou activités pertinentes pour l’objet considéré et l’objectif de l’audit. Les équipes d’audit doivent cependant planifier et réaliser l’audit de manière à ce que le risque de mission soit ramené à un niveau suffisamment faible, selon leur jugement professionnel, pour exprimer une opinion appropriée eu égard aux objectifs de l’audit et maîtriser le risque qu’une conclusion inappropriée soit exprimée.
Les facteurs suivants ont une incidence sur le risque de mission :
-
l’intégrité de la direction;
-
la disponibilité de suffisamment d’informations de qualité;
-
la complexité de l’objet considéré ainsi que de l’approche d’audit particulière ou des stratégies de tests proposées (p. ex. modélisation compliquée, analyse quantitative);
-
l’équipe d’audit (membres);
-
l’expérience du Bureau et les relations avec l’entité (p. ex. questions complexes ou litigieuses qui sont survenues dans un passé récent, notamment des désaccords avec la direction, des conclusions négatives dans les rapports antérieurs ou des réserves dans les opinions et les rapports antérieurs, des difficultés d’accès);
-
la disponibilité de l’équipe, ses capacités et ses compétences (p. ex. la composition de l’équipe de mission, comme un directeur principal nouvellement nommé, une rotation importante au sein de l’équipe de mission ou l’expérience limitée de l’équipe à l’égard des objectifs ou des éléments faisant l’objet de la mission, ou la maîtrise des compétences et de techniques en certification nécessaires);
-
les échéances, les calendriers et les ressources (p. ex. des délais plus courts, des budgets plus petits, le manque de budget pour faire appel aux services d’experts externes, des conflits de production, des déplacements importants qui peuvent accroître le risque d’audit);
-
l’étendue du jugement professionnel et de l’expertise nécessaires à l’équipe de mission pour évaluer les risques d’écarts importants dans l’objet considéré;
-
le caractère délicat, la visibilité ou l’importance de l’objet considéré;
-
tout autre facteur de risque précis, comme une menace connue ou potentielle pouvant compromettre l’indépendance du Bureau.
Modèle « Évaluation du risque de mission » — Au début de l’audit, il incombe au responsable de la mission d’identifier et d’évaluer le risque de mission et de définir les stratégies d’atténuation particulières qui sont requises. Le modèle « Évaluation du risque de mission » sert à documenter cette évaluation. Le risque de mission est évalué comme étant normal, élevé ou important. Par défaut, un risque est jugé normal jusqu’à ce qu’il soit évalué comme étant plus élevé. Pour évaluer le risque, le responsable de la mission évalue la probabilité que le risque se concrétise et ses répercussions (importance) sur sa capacité à exprimer une conclusion dans le cadre d’une mission d’assurance raisonnable. L’évaluation du risque relève donc du jugement professionnel. Il faut documenter les raisons qui justifient la cote attribuée au risque.
Atténuation du risque que l’auditeur tire une conclusion inappropriée — Les procédures et les normes de contrôle qualité du Bureau visant la planification et la réalisation d’un audit et l’établissement du rapport qui en découle sont conçues pour garantir que les auditeurs obtiennent des éléments probants suffisants et appropriés, et ainsi réduire la probabilité qu’ils tirent des conclusions inappropriées.
Pour ramener le risque de mission à un niveau acceptable, il faut planifier correctement en vue d’établir une approche d’audit appropriée (voir BVG Audit 4042 — Étendue et approche de l’audit). Il est aussi possible de maîtriser ce risque en supervisant adéquatement et en passant en revue les travaux d’audit et en mettant en œuvre divers processus de contrôle qualité.
Les stratégies d’atténuation sont adaptées aux circonstances propres à la mission et peuvent comprendre ce qui suit :
-
recours à divers experts internes ou externes (voir BVG Audit 2070 — Utilisation d’experts);
-
intervention plus importante de la haute direction (c.-à-d. le vérificateur général adjoint ou le vérificateur général. Voir la section BVG Audit 2040 — Discussions avec le vérificateur général);
-
réunions avec des comités consultatifs (voir la section BVG Audit 2050 — Réunions du comité consultatif);
-
mise en œuvre d’autres stratégies, comme des cours de formation spécialisés, une plus grande supervision de l’équipe et une meilleure revue de ses travaux, des protocoles particuliers de gestion des relations avec l’entité.
Si le risque que l’auditeur exprime une conclusion inappropriée est jugé supérieur à « normal », le responsable de la mission peut aussi recommander la nomination d’un examinateur de la qualité (voir BVG Audit 1081 — Sélection des revues du contrôle qualité et nomination des responsables du contrôle qualité).
En présence de certains contrôles, d’autres ne sont peut-être pas nécessaires. Ainsi si l’équipe d’audit est expérimentée et que l’objet considéré est bien défini, il ne sera peut-être pas nécessaire d’avoir recours à des conseillers externes à l’étape de la planification.
L’équipe d’audit tient compte de l’incidence du risque de mission lorsqu’elle définit l’étendue et l’approche de l’audit et qu’elle établit la nature et l’étendue des procédures d’audit nécessaires. Elle décrit les travaux d’audit qui sont conçus pour maîtriser le risque de mission dans la Grille logique d’audit (GLA). Dans la grille, l’équipe décrit la conception de l’audit, notamment les techniques de collecte des éléments probants, l’information et les sources nécessaires et les limites qui s’y rattachent. L’équipe doit tenir compte des limites si elle veut avoir l’assurance d’obtenir des éléments probants suffisants et appropriés qui vont lui permettre de réduire au minimum le risque de formuler une conclusion erronée. La quantité d’éléments probants à recueillir dépend des risques que l’objet considéré comporte un écart important et du risque de mission. Plus le risque sera élevé, plus il sera probable que la quantité d’éléments probants requise soit grande. La quantité d’éléments probants nécessaire dépend aussi de la qualité des éléments probants recueillis (meilleure sera la qualité, moins il en faut). La section BVG Audit 4044 — Élaboration de la stratégie d’audit : grille logique d’audit porte sur la GLA. La section BVG Audit 4045 — Méthodes de collecte d’éléments probants porte sur la collecte d’éléments probants.
Révision de l’évaluation des risques
L’équipe d’audit doit surveiller les risques qui influent sur l’objet considéré et la mission tout au long de l’audit. Elle est tenue de réévaluer les risques si elle note un changement important de circonstances qui pourrait modifier son évaluation initiale. L’évaluation du risque de mission et les stratégies d’atténuation définies par l’équipe d’audit sont mises à jour à la fin de l’étape de la planification en vue d’étayer l’assertion qui sera formulée par le responsable de la mission à l’étape de l’approbation de l’examen (BVG Audit 4080 — Approbation de l’examen), à savoir que les risques de mission importants ont été évalués et mis à jour, et que des stratégies d’atténuation ont été définies, mises en œuvre et documentées. Le risque de mission doit aussi être pris en compte par l’équipe d’audit lorsqu’elle formule sa conclusion et évalue le caractère suffisant et approprié des éléments probants obtenus pour étayer son rapport. Cette évaluation étaye l’approbation du contenu du rapport et sa publication (voir la section BVG Audit 8017 — Approbation du contenu du rapport et date du rapport).
Étapes suivantes
L’équipe d’audit utilise l’évaluation des risques pour identifier et évaluer les contrôles clés pertinents qui atténuent les risques identifiés (BVG Audit 4025 — Contrôles internes). Cela permet ensuite à l’équipe de prendre des décisions éclairées sur l’étendue et l’approche de l’audit (BVG Audit 4042 — Étendue et approche de l’audit).