III- EVALUATION DES CONTROLES
Nous avons vu combien l'appréciation du contrôle
interne était importante dans notre démarche d'audit. L'auditeur
devra donc porter un oeil critique sur l'adéquation de ces
procédures au risque d'audit qu'elles sont censées couvrir,
tester leur caractère effectif et permanent, et indiquer s'il convient
de s'appuyer sur ces procédures pour obtenir une assurance raisonnable
ou s'il est nécessaire d'effectuer des travaux complémentaires
pour obtenir un niveau d'assurance d'audit suffisant pour émettre notre
opinion.
1-DEFINITION ET METHODE D'IDENTIFICATION DES CONTROLES
Les contrôles sont les politiques et les
procédures qui aident à assurer le management que les processus
sont correctement maîtrisés. Il faut entendre par processus une
suite d'actions qui a pour but la réalisation d'une tâche et ainsi
l'atteinte des objectifs.
Par exemple le processus de vente est la suite logique
d'actions et de transactions qui orientent les ventes au sein de
l'entité, ces actions partent de la production des marchandises et
produits à vendre à ses Clients à la comptabilisation des
ventes et le règlement des créances Client.
Sur un Business Process particulier, L'auditeur doit, afin de
comprendre le processus et auditer les activités de contrôle
relatives à ce processus,
- Obtenir la description (décrire) du processus et les
contrôles en place à travers la rédaction des narratifs
descriptifs de procédures.
- Bien comprendre cette description et identifier les
contrôles clés d'audit. Il est à noter qu'un contrôle
clé est un contrôle, mis en palace par l'entreprise qui permet
d'atteindre ses objectifs, qui peut être testé par nous (ce qui
sous-entend qu'ils sont formalisés par le Client), qui ont un impact sur
les assertions du cycle de transactions dans lequel ils sont établis
permettant ainsi d'alléger les tests substantifs que l'auditeur va
mettre en oeuvre.
Exemple de contrôle qui n'est pas un
contrôle-clé :
Quand on confirme une commande client, le système
prévoit un blocage automatique si la quantité commandée
n'est pas disponible en stock dans les délais demandés par le
client. Ceci est un contrôle (permet de s'assurer du respect des
délais et de la satisfaction client), mais ne constitue pas un
contrôle-clé car n'a pas d'impacte réel sur les assertions
d'audit liés au cycle ventes.
Exemple de contrôle-clé :
A l'inverse, le rapprochement des Bons de Commande/Bons de
livraison/Factures est un contrôle-clé parce qu'il nous permet de
valider l'assertion
-Réalité : " les ventes existent " :
à chaque facture correspond un bon de commande externe émanant
d'un client
- Mesure (exactitude) :"les ventes sont exactes" : le
rapprochement quantité/prix est correct.
Il existe plusieurs catégories de contrôles
à savoir :
- Les contrôles purement manuels : ces
contrôles sont effectué manuellement tant dans leur mis en oeuvre
que dans leur matérialisation. Exemple : Le visa d'un responsable
habilité sur le bon de commande pour s'marquer l'autorisation
d'acquisition d'un matériel.
- Le Contrôle manuel dépendant de l'informatique
et de la technologie : Ce type de contrôle est liés à
l'informatique et la technologie, sa matérialisation est faite par le
biais d'un support informatique ou technologique mais la mis en oeuvre est
effectué manuellement. Exemple : La validation, par le responsable
de la trésorerie d'une banque, pour des opérations de change
initié par le Back office ; après la vérification
arithmétique et la capacité financière de la banque ;
ce contrôle est matérialisé en appuyant les touches
Shift+F5 dans du logiciel de gestion de la banque.
- Les contrôles applicatifs : Ce type de
contrôle est liés à l'informatique et la technologie, sa
matérialisation est faite par le biais d'un support informatique ou
technologique mais la mis en oeuvre est effectué automatiquement.
Exemple : Vérification par le système de la
concordance quantité bon de livraison/ Bon de commande lors de la
réception de biens au sein l'entreprise acquéreuse.
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009.
2-TEST SUR LES CONTROLES CLES
Après l'identification des contrôles principaux
(ceux que nous devons examiner), l'équipe d'audit doit distinguer quelle
stratégie à employer entre ce qui suit:
- La stratégie contrôle:
consistant à identifier et évaluer les commandes
- La stratégie substantive: consistant
à ne pas identifier et évaluer les contrôles
Indépendamment de la stratégie choisie pour les
classes significatives des transactions, identifiez et évaluez les
contrôles qui atténuent les WCGWs liés à un risque
significatif.
Pour les risques pour lesquels les procédures
substantives d'audit seules ne fournissent pas d'évidence suffisante
d'audit, employer la stratégie de contrôles pour la classe
significative relative des transactions.
En décidant quelle stratégie à employer
(substantif contre des commandes), considérez:
- la quantité de travail que chaque stratégie
exige avec la qualité de l'évidence de chaque stratégie,
- l'effet de la ségrégation des fonctions,
- d'autres facteurs de contrôles niveau de
l'entité (tels que l'évidence d'une politique écrite de
contrôle à chaque gestionnaire des processus liés à
ces contrôles, processus documentés de contrôles surveillant
ultérieur d'exception démontré par le client, etc.).
Quand la stratégie d'une commande est choisie,
identifiez les commandes qui fournissent l'assurance raisonnable que des
erreurs /WCGWs liés à chaque affirmation appropriée sont
empêchés ou que toutes erreurs qui pourraient se produire pendant
le traitement sont détectés et corrigés sur une base
opportune. Les commandes identifiées devraient être un
mélange de empêchent et détectent des commandes. En outre,
les commandes peuvent être manuelles ou automatisées ou une
combinaison de tous les deux. Il est utile d'identifier les commandes qui sont
suffisamment sensibles par elles-mêmes ou en combinaison avec d'autres
commandes pour atténuer les risques d'une déclaration
erronée matérielle.
Nous devons examiner ces commandes dans l'ordre pour employer
la conclusion de l'essai en définissant notre stratégie d'audit.
En choisissant des commandes pour examiner, il est important d'examiner une
combinaison de empêchent et détectent les commandes qui
soutiennent les affirmations appropriées pour adresser le plus
efficacement le risque de déclaration erronée matérielle.
Ampleur minimum des tests de
contrôles
La table ci-dessous récapitule notre ampleur de base
des conseils d' essai pour de pleins essais des commandes et essais
limités des commandes pour une commande spécifique dans les
situations où nous examinons plus d'une commande liée à
une affirmation appropriée, et nous ne comptons pas trouver des
exceptions dans l'opération de la commande.
TABLEAU DE DEFINITION DES PROPORTIONS A TESTER
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009.
SECTION 4 : IMPACT DE L'EVALUATION DU RISQUE
DANS LA DEFINITION DE LA STRATEGIE D'AUDIT
L'objectif premier de l'évaluation du risque est de
donner à l'auditeur un vision claire de zone ou section à risque
dans le processus d'élaboration des états financiers et
d'orienter sa stratégie d'audit en conséquence pour lui permettre
d'émettre une opinion fiables sur ceux-ci.
L'apport de l'analyse du risque ne se résume pas en un
éclaircissement de la compréhension de l'activité de
l'entreprise mais elle guidera l'équipe d'audit dans la
détermination des travaux substantifs d'audit à mettre en oeuvre
lors du contrôle des comptes.
CHAPITRE 1: ELABORATION DU CRA (L'EVALUATION
COMBINEE DES RISQUES)
Il s'agira ici de d'effectuer une analyse des risques
identifiés au cours de la phase précédente et de
procéder à une évaluation combinée de ces risques
pour aboutir à une stratégie d'audit pour le contrôle des
comptes.
Le CRA se rapporte à une évaluation
combinée du risque inhérent et du risque de contrôle pour
chacune des assertions appropriées comptes significatifs des Etats
Financiers.
L'équipe d'audit doit faire l'évaluation des
risques combinée pour chaque affirmation appropriée des Etats
Financiers en évaluant le risque inhérent et le risque de
contrôle. L'évaluation des risques combinée est
employée comme base pour déterminer la nature, la durée
et l'ampleur des procédures substantives d'audit.
I-Mode d'élaboration du CRA
L'outil d'élaboration de du CRA se fait sous la tutelle
du logiciel d'audit utiliser chez ERNST & YOUNG.
Pour élaborer le CRA, l'équipe d'audit doit
choisir un compte/classes de transactions significatives et les affirmations
pour ce compte/classes de transactions significatives choisies sont
définies par le logiciel. Alors après avoir passé en revu
WCGWs, les contrôles et les risques liés à chaque
assertion, l'équipe évalue le risque de contrôles et le
risque inhérent (voir le tableau ci-dessous). Cette évaluation
mise en oeuvre peuple dans le logiciel GAMx automatiquement l'évaluation
des risques combinée CRA.
Pour
l'affectation du niveau de CRA aux comptes ou classes de transactions
significatives, il existe un certains nombre de critère qui orientera
l'auditeur dans la mise en oeuvre de l'évaluation combinée des
risques à savoir :
Pour le risque inhérent : (voir le tableau
suivant) :
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009.
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009.
Comme décrit ci-dessus, le jugement professionnel joue
une partition importante dans la détermination du niveau de Risque
Inhérent RI. Il est à noté que les facteurs
recensés plus haut constituant la base sur lesquelles l'équipe
d'audit fonde son jugement sont à obtenir à partir d'informations
claires et fiables. Ces informations peuvent être issues de l'entreprise
auditée, des données provenant des précédentes
missions audits et aussi de celles provenant du secteur d'activité dans
lequel évolue le entreprise auditée. La combinaison de ces
facteurs donnera un niveau de RI Bas ou Elevé dans la mesure où
respectivement l'équipe d'audit estimera que les informations
collectés lui donne une certaine assurance sur la pertinence sur les
procédures au sein de l'entité aboutissant à
l'élaboration des états financiers ou plutôt qu'elle
estimera que ces procédures sont inefficaces et ne donnent aucune ou peu
d'assurances sur la fiabilité des états financiers.
Pour le risque de contrôle le tableau suivant illustre
la démarche à suivre :
Le Risque de contrôle est un
élément continu qui est évalué soit étant
'minimum'; 'modéré' ou 'maximum' tenant compte des facteurs
dans le tableau suivants :
Source: GAMx
Handbook 2009, ERNST & YOUNG copyright 2009.
Après avoir définie les différents
niveaux de `Risque Inhérent' RI et de `Risque de
contrôle' RC affecté à des solde de
comptes ou classes significatives de transactions selon les tableaux ci-dessus,
il sera procédé à la combinaison de ces deux types de
données pour aboutir à la évaluation combiné du
risque `CRA' au niveau du compte ou de la classe significative de transaction.
Le CRA peut avoir quatre 4 niveaux à savoir Minimal, Bas,
Modéré et Elevé. (Voir ci-dessous)
Ci-dessous la méthodologie pour la combinaison de ces
deux risques RI et RC :
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009.
Cette table ci-dessous prouve que par exemple, si
l'évaluation du risque inhérent IR est
basse et l'évaluation du risque de contrôle
CR soit minimum le CRA sur ce compte ou la classe des
transactions est minimal.
Alors après l'évaluation du CR
et IR l'équipe d'audit peut affecter un niveau
de CRA au compte ou à la classe de la transaction. Le
niveau de CRA a un impact spécifique sur les procédures
substantives qui doivent être exécutées pour obtenir le
niveau désiré d'évidence sur un compte ou une classe de
transaction.
Les procédures substantives sont des procédures
conçues pour obtenir l'évidence directe quant à
l'existence, à la perfection, à l'exactitude et à la
validité des données, et quant au caractère raisonnable
des évaluations et de toute autre information contenues dans les Etats
Financiers.
L'équipe d'audit doit concevoir des procédures
substantives d'audit pour les assertions appropriées des comptes
significatifs sur la base de l'évaluations des risques combinées
CRA et pour tout comptes non significatifs.
Et en élaborant les procédures substantives et
en déterminant la durée et l'ampleur des procédures
substantives primaires, considérez les évaluations des risques
combinées et ce qui a été renseigné sur le client
par des procédures exécutées jusqu'ici.
Il faut considérez en outre:
- les changements significatifs de l'activité du client
- les changements de l'évaluation du contrôle
interne et de la fraude au sein d'entité
- les résultats de l'analyse globale d'information
financière et non financière
- les sujets identifiés lors de le compréhension
des exigeances des services du client
- les jugements au sujet de la matérialité de
planification et de l'erreur tolérable
- les risques significatifs
- les secteurs principaux d'audit qui doivent être
adressés
Les procédures substantives d'audit
sont une combinaison des procédures substantives primaires,
des procédures analytiques et des tests des
détails
L'équipe d'audit doit exécuter les
procédures substantives primaires PSP (sur tous les
engagements d'audit pour toutes les affirmations appropriées,
indépendamment des évaluations des risques combinées CRA)
L'évaluation des risques combinée n'influence pas la nature des
procédures substantives primaires mais a des influences sur la
durée et l'étendue des travaux à mettre en oeuvre.
Nous devons noter que nous pouvons compter sur les revues
analytiques en fonction du niveau de la confiance, dans nos espérances
et notre précision désirée:
- les situations à fort niveau de
risque (par exemple, l'inefficacité des contrôles ou
détérioration dans les activités du client) a comme
conséquence un niveau plus bas de confiance dans les procédures,
et augmente la nature et (ou) l'ampleur de
nos tests des détails.
- les situations à bas niveau de
risque (par exemple, des contrôles identifiées et
examinées) augmentent notre confiance dans les procédures
analytiques qui sont complétées avec les essais
limités des détails.
Quelque soit le niveau de CRA, ce sont des procédures
complémentaires qui doivent être exécutées pour
gagner l'évidence suffisante et appropriée. Ces
procédures sont généralement des
procédures analytiques et des tests de détails
Cette table ci-dessous
Source: GAMx Handbook 2009, ERNST & YOUNG copyright
2009
Selon donc ce tableau, pour un compte significatif
donné dont le CRA est bas en plus des procédures substantives
d'audit, l'équipe d'audit doit mettre en oeuvre des procédures
analytiques et des tests de détails pour obtenir l'évidence
d'audit en relation avec un niveau de CRA bas.
CONCLUSION DE LA DEUXIEME
PARTIE :
La méthodologie établie par les cabinets
d'audits est mise en places sur la base des normes d'audits applicables. Ces
normes reprises donnent à chacun de ces cabinets d'orienter son approche
d'audit selon les moyens à sa disposition.
Comme nous venons de le voir, la méthodologie chez
ERNST & YOUNG est bien structurée autour d'une démarche
claire facilitant son application.
Aussi nous verrons par ce qui suit l'implémentation de
cette méthodologie et les effets de cette mise en oeuvre pratique sur
les travaux du Commissaire aux comptes.
| 
