NCA 315 Révisée – analyse du risque lié au recours à l’informatique

16 December 2022

Écrit par Shayne Huneault, CPA de Marcil Lavallée

Afin de traverser la récente pandémie, plusieurs entreprises ont dû modifier drastiquement leur modèle d’affaires pour s’orienter vers un mode de gestion en virtuel. Les transferts bancaires automatisés ont remplacé l’usage de chèques, les rencontres en présentiel ont fait place aux rencontres Zoom, et de plus en plus d’entreprises utilisent et développent des logiciels et des applications intégrés afin de gérer à distance les opérations financières.

Bien que cette évolution apporte son lot d’opportunités pour les PME, elle demeure un défi de taille pour les auditeurs. Pour appuyer une opinion d’audit, il est primordial de bien comprendre l’environnement et les contrôles clés des sociétés. Pour le « CPA moyen », il est beaucoup plus simple de vérifier la légitimité d’un chèque grâce aux signatures qui s’y trouvent que d’analyser la chaîne de codes d’une application automatisée de transferts bancaires. Vérifier l’utilisation de contrôles automatisés peut rapidement s’avérer un véritable casse-tête, d’autant plus que la plupart des auditeurs ne sont pas des spécialistes en informatique.

C’est dans ce contexte que le conseil des normes d’audit et de certification a récemment modifié la NCA 315 – identification et évaluation des risques d’anomalies significatives, du manuel de CPA Canada. Les modifications apportées à la norme qui entreront en vigueur pour l’audit d’états financiers des périodes ouvertes à partir du 15 décembre 2021 touchent différents aspects de la planification des audits et viennent, notamment, apporter des précisions sur les obligations relativement à l’évaluation de l’environnement informatique et du risque lié au recours à l’informatique.

Risque lié au recours à l’informatique – quelles sont les exigences ?

Bien que l’ancienne norme traitait brièvement du risque liés à informatique, la nouvelle NCA 315 révisée vient clarifier et renforcer les exigences en matière de travail et de documentation. Entre autres :

La NCA révisée exige désormais que l’auditeur exécute des procédures afin d’évaluer la pertinence et l’importance du recours à l’informatique au sein de l’entité. Lors de son évaluation, l’auditeur doit tenir compte, entre autres, des contrôles automatisés que pourraient contenir certaines applications, et de l’utilisation de rapports automatiquement générés par ces mêmes applications;
La NCA révisée exige de l’auditeur qu’il identifie les applications informatiques ou tout autre aspect de l’environnement informatique qui pourraient comporter des vulnérabilités, afin d’évaluer les risques découlant du recours à leur utilisation sur les informations financières;
Lorsque des risques sont identifiés, la NCA révisée exige de l’auditeur qu’il évalue ces risques ainsi que les contrôles au sein de l’entité visant à répondre à ces risques;
La NCA révisée exige également que l’auditeur évalue, lors de son audit, si certaines catégories d’opérations, par leur automatisation, ne peuvent être testées que par une approche contrôle.

Quelle incidence cela aura-t-il sur vos dossiers d’audit ?

Le CNAC a fait l’ajout d’un concept important dans la NCA 315 révisée, celui de l’adaptabilité. Il est mentionné dans la norme que l’auditeur peut et doit adapter ses procédures en fonction du niveau de complexité de l’entité auditée. Autrement dit, l’ampleur du travail nécessaire afin d’évaluer le risque lié au recours à l’informatique sera limité pour de petites entités où l’usage des technologies de l’information est minime. À l’inverse, l’évaluation de l’environnement informatique deviendra un enjeu important pour les auditeurs de grandes entités qui développent leurs propres systèmes et celles où l’automatisation des opérations est de plus en plus présente. Dans de tels cas, les auditeurs devront augmenter leur niveau de travail ainsi que la documentation en dossier concernant l’évaluation de la structure informatique des clients audités, des risques identifiés, ainsi que des contrôles informatiques en place qui devront être testés. Ceci risque donc de se traduire par l’ajout de questionnaires et de programmes dans les dossiers de travail à cet effet, et par l’utilisation de nouveaux outils d’analyse afin d’évaluer le bon fonctionnement de contrôles automatisés.

Le développement des nouvelles technologies ainsi que leur facilité d’accès grandissante pour les entreprises, autant pour celles de petites tailles que les grandes sociétés, viendra donc assurément modifier nos anciennes méthodes de travail. Il sera de plus en plus important pour les auditeurs de développer et d’utiliser des outils afin de pouvoir adéquatement tester différents contrôles informatiques. Afin de permettre aux cabinets de réaliser des audits de qualité, l’embauche de spécialistes en informatique risque de devenir monnaie courante. Bien que ce phénomène oblige les auditeurs à s’adapter à un nouvel environnement, il fait également naitre de nouvelles opportunités. La course au développement de nouvelles approches d’audits automatisées atteint des sommets et certains cabinets pourraient en ressortir avec un avantage concurrentiel majeur.