Ce site utilise des témoins dans le but de vous fournir un service plus personnalisé et plus rapide. En faisant usage de ce site, vous acceptez nos conditions d’utilisation des témoins. Veuillez lire notre déclaration sur l’utilisation des témoins pour obtenir plus de renseignements sur les témoins que nous employons et sur la façon de les supprimer ou de les bloquer.

Favori Courriel Imprimer cette page

Comment mettre en œuvre une approche par le haut fondée sur les risques en certification

Attestation du chef de la direction et du chef des finances,

La mise en œuvre d’une approche par le haut fondée sur les risques constitue l’un des volets les plus importants pour l’établissement d’un système de contrôle fiable permettant l’attestation du chef de la direction et du chef des finances.  Bien que la plupart des sociétés reconnaissent maintenant son importance, de nombreuses entités ont toujours du mal à comprendre comment mettre en pratique une telle approche de façon efficace.  Pour se faciliter la tâche, la direction aura avantage à se reporter aux directives interprétatives établies à son intention par la Securities and Exchange Commission (SEC), à la Auditing Standard No. 5 publiée par le Public Company Accounting Oversight Board (PCAOB), aux directives correspondantes publiées au Canada, soit les documents publiés par les Autorités canadiennes en valeurs mobilières, et d’autres documents publiés par l’Institut Canadien des Comptables Agréés.  Toutefois, des questions subsistent et il est possible de contribuer davantage à la mise en œuvre fructueuse d’une approche par le haut fondée sur les risques.

Que faut-il entendre exactement par « approche par le haut fondée sur les risques » ?
L’approche par le haut a deux dimensions : la définition de l’étendue et la détermination des contrôles pertinents à évaluer.

Par « définition de l’étendue », il faut entendre la manière dont la société détermine ses risques et pour lesquels des contrôles internes sont nécessaires.  Il est difficile de séparer l’approche par le haut du concept « fondée sur les risques » au moment de discuter de la définition de l’étendue, puisque ces deux dimensions sont inextricablement liées. Une approche par le haut considère les principaux risques liés à l’information financière au moment de déterminer l’étendue.

Pour la détermination des contrôles pertinents, l’approche par le haut commence par la détermination des contrôles au niveau de l’entité avant de passer aux contrôles d’un niveau inférieur, c’est-à-dire ceux au niveau des processus, qui visent le risque.  Il est possible de cerner ou de mettre en œuvre des contrôles au niveau de l’entité qui fonctionnent à un niveau de précision suffisant pour atténuer certains risques liés à l’information financière et qui réduisent ou, dans certains cas, qui éliminent entièrement le besoin de cerner des contrôles d’un niveau inférieur.

  • Définition de l’étendue : Définition de la population des risques et établissement d’un ordre de priorité à l’intérieur de cette population.
  • Identification et évaluation des contrôles internes : Nature et nombre des activités de contrôles nécessaires pour répondre aux risques liés à l’information financière et nature, étendue et calendrier de l’évaluation de l’efficacité du fonctionnement.
  • Conclusion : Classification des déficiences résultant des activités d’évaluation de la direction.

Définition de l’étendue et recherche des sources probables d’inexactitudes potentielles
Pour définir la marche à suivre afin d’établir un système de contrôle efficace permettant l’attestation du chef de la direction et du chef des finances, il est important de bien comprendre l’objectif visé.  Dans le cas présent, il faut définir toutes les sources probables d’inexactitudes potentielles ou d’erreurs de présentation de l’information qui peuvent se produire en l’absence de contrôles, puis s’assurer que ces contrôles sont établis et fonctionnent efficacement pour atténuer ces risques.

Une première étape logique dans cet exercice consiste à définir les éléments importants de l’information financière, y compris les comptes et les renseignements à fournir.  Au besoin, il faut subdiviser les comptes et les sous-comptes afin de pouvoir définir les secteurs susceptibles de donner lieu à une inexactitude importante.  Une fois que les comptes et les renseignements à fournir ont été établis, l’importance relative et d’autres facteurs qualitatifs seront évalués afin de déterminer si les comptes, les sous-comptes et les renseignements à fournir comportent des risques qui seraient inclus dans la population globale des risques.  S’il est raisonnablement possible que le compte ou l’information à fournir comporte une inexactitude importante, le compte doit être considéré comme significatif et il faut procéder à une analyse supplémentaire pour déterminer précisément en quoi pourrait consister l’inexactitude potentielle dans l’information à fournir ou dans les états financiers.  En général, les comptes ou les sous-comptes supérieurs à l’importance relative établie par la direction seront considérés comme significatifs. D’autres comptes seront aussi considérés comme significatifs compte tenu de facteurs qualitatifs, tels que :

  • la probabilité d’erreur ou de fraude;
  • le volume des activités, la complexité et l’homogénéité;
  • l’exposition au risque de perte;
  • l’étendue du jugement exercé;
  • les opérations entre apparentés;
  • les variations par rapport à la période antérieure;
  • l’historique en matière d’inexactitudes.

La prochaine étape de l’appréciation des risques consiste à cerner les sources probables d’inexactitudes potentielles en déterminant ce qui peut aller de travers et en définissant les risques de manière à ce que la direction puisse savoir si les contrôles établis permettraient effectivement de réduire le risque à un niveau acceptable.  Les assertions pertinentes aident souvent la direction à déterminer les erreurs possibles dans les comptes et les renseignements à fournir.   Voici les assertions les plus courantes :

  • Existence et réalité : Les actifs, les passifs et les participations existent à une date déterminée et les opérations comptabilisées constituent des événements qui se sont effectivement produits au cours d’une période donnée.
  • Exhaustivité : Toutes les opérations et tous les autres événements et circonstances qui se sont produits au cours d’une période donnée et qui auraient dû être constatés au cours de cette période ont effectivement été comptabilisés.
  • Évaluation et répartition : Les composantes des actifs, des passifs, des produits et des charges sont comptabilisées à des montants appropriés, conformément aux principes comptables pertinents et appropriés.
  • Droits et obligations : Les actifs et les passifs représentent respectivement les droits et les obligations de l’entité à une date donnée.
  • Renseignements à fournir et présentation : Les éléments des états financiers sont correctement classés, décrits et présentés.

En déterminant les erreurs possibles avec chaque assertion associée à des comptes ou à des renseignements significatifs, il est plus facile de cerner de façon plus précise les contrôles internes pertinents.  Le tableau suivant donne quelques exemples des erreurs possibles qui peuvent survenir :

Compte important Assertion sélectionnée Erreurs possibles (c’est-à-dire le risque)
Stocks de matières premières Évaluation et répartition Les stocks sont invendables ou inutilisables.
Stocks de produits finis Existence et réalité Les expéditions de stocks ne sont pas enregistrées dans l’exercice approprié.
Ventes Exhaustivité Le chiffre des ventes n’a pas été comptabilisé conformément aux principes comptables généralement reconnus applicables dans les circonstances.

Étant donné que les risques ne sont pas tous d’importance égale, la dernière étape de l’appréciation des risques consiste à attribuer un niveau de priorité à chaque compte et risque.  Une approche courante consiste à attribuer une cote de priorité élevée, moyenne ou faible.  Ces cotes sont importantes puisqu’elles auront une incidence sur la détermination des contrôles internes ainsi que sur la nature, l’étendue et le calendrier des activités d’appréciation exercées par la direction.  Pour attribuer la cote de risque, il faut déterminer l’ampleur des comptes et des renseignements touchés de même que la probabilité d’inexactitude pour le risque connexe.  Le tableau ci-dessous présente un exemple d’exercice de correspondance avec les risques :

Deloitte Image

Identification des contrôles internes
Une fois que les risques liés à l’information financière de la société ont été identifiés et établis par ordre de priorité, la prochaine étape consiste à recenser les contrôles internes qui atténuent les risques établis. Une approche par le haut commence par l’identification des contrôles au niveau de l’entité.  Si un contrôle au niveau de l’entité permet de contrer efficacement un risque lié à l’information financière, il est possible qu’aucun autre contrôle ne soit nécessaire pour répondre au risque, en particulier s’il a été coté comme faible.

Les contrôles au niveau de l’entité, qui peuvent varier quant à leur nature et à leur impact, se répartissent dans les trois types suivants :

  • Indirects et généralisés : Ces contrôles ont un effet important, mais indirect, sur l’efficacité du système de contrôle (par exemple, l’environnement général du contrôle interne, le ton donné au sommet, l’appréciation des risques, etc.).
  • Surveillance : Entrent dans cette catégorie les contrôles qui servent à surveiller les activités et l’efficacité d’autres contrôles (revue des opérations, comité de vérification, autoappréciation, etc.).
  • Directs et précis : Contrôles exercés à un niveau de précision suffisant pour prévenir ou détecter les inexactitudes au moment voulu.

Lorsque des contrôles au niveau de l’entité visent de façon appropriée un risque lié à l’information financière au niveau du compte et des assertions, le contrôle au niveau de l’entité doit être direct et fonctionner à un degré de précision suffisant pour prévenir ou détecter, au moment voulu, une possibilité raisonnable d’inexactitude importante.  L’appréciation des risques au moyen de contrôles au niveau de l’entité peut accroître considérablement l’efficience et la rentabilité de l’initiative de conformité, puisque ces contrôles sont habituellement exercés moins fréquemment et que l’évaluation de l’efficacité de leur fonctionnement requiert donc moins d’efforts.

Lorsque les risques liés à l’information financière ne sont pas suffisamment atténués par des contrôles au niveau de l’entité, il faut trouver des contrôles technologiques ou des contrôles au niveau des processus.  Les contrôles automatisés sont habituellement plus fiables et ils peuvent souvent être appréciés de manière efficiente; par conséquent, il est préférable de s'appuyer sur eux lorsque c’est possible.  En l’absence de contrôles automatisés, il faut trouver des contrôles manuels visant les risques liés à l’information financière.

Évaluation des contrôles internes
Le processus d’évaluation, qui consiste à apprécier tant la conception que l’efficacité du fonctionnement, variera d’une société à l’autre. Néanmoins, l’approche par le haut fondée sur les risques pour l’évaluation des contrôles internes devrait se traduire par une évaluation globale plus efficiente des contrôles.

L’évaluation de la conception des contrôles se rapporte à l’évaluation effectuée par la direction pour déterminer si des contrôles appropriés ont été établis en réponse aux risques liés à l’information financière de la société.  Cette évaluation nécessite un degré élevé de jugement; par conséquent, des membres chevronnés du service des finances doivent y participer activement. 

La direction doit adapter son évaluation de l’efficacité du fonctionnement en fonction de son appréciation des caractéristiques du risque, tant pour l’élément de l’information financière que pour les contrôles internes connexes.  Il est important de tenir compte à la fois du risque lié à l’information financière (dont il a été question plus haut) et du risque de non-contrôle pour déterminer globalement la nature, l’étendue et le calendrier de l’évaluation de l’efficacité du fonctionnement par la direction. Le risque de non-contrôle tient compte des caractéristiques des contrôles eux-mêmes qui pourraient avoir une incidence sur la probabilité de la défaillance d’un contrôle.  Il faut notamment tenir compte de la complexité du contrôle, du risque de contournement par la direction et du jugement à exercer pour appliquer le contrôle.

La direction peut obtenir une évaluation de l’efficacité du fonctionnement au moyen d’une interaction quotidienne avec les systèmes de contrôle en testant directement les contrôles et en exerçant des activités de surveillance continues.  Les tests directs sont habituellement exécutés périodiquement par des personnes qui ont un certain degré d’objectivité par rapport au risque sous-jacent auquel est exposée l’information financière.  La direction peut baser son évaluation sur l’efficacité du fonctionnement de ses interactions quotidiennes ou sur des évaluations effectuées par des personnes possédant l’objectivité et les compétences voulues et s’appuyant sur l’observation de l’activité de contrôle, l’examen de la documentation et d’autres éléments attestant le fonctionnement ou la réexécution de l’activité de contrôle. 

Ces derniers tests sont habituellement exercés pour des éléments à risque élevé.  Les activités de surveillance continues s’entendent d’activités habituelles et récurrentes exercées par la direction pour obtenir de l’information au sujet du fonctionnement des contrôles.  Par exemple, pour un contrôle de rapprochement, le superviseur du secteur peut exécuter un examen détaillé approprié du rapprochement chaque fois qu’il est préparé.  Si l’on suppose que les éléments de rapprochement font l’objet d’une certaine appréciation, le superviseur peut déterminer si le contrôle fonctionne et s’assurer qu’il demeure efficace. Ces appréciations sont habituellement exécutées pour des secteurs à faible risque ou en combinaison avec des tests directs supplémentaires pour d’autres secteurs.

Le tableau suivant illustre un exemple de structure d’appréciation s’appuyant sur divers niveaux du risque sous-jacent :

Deloitte Image

Conclusion au sujet des déficiences du contrôle interne
Il y a déficience du contrôle interne à l’égard de l’information financière lorsque la conception ou le fonctionnement d’un contrôle ne permet pas à la direction ou au personnel, dans l’exécution normale des fonctions qui leur sont attribuées, de prévenir ou de détecter les inexactitudes en temps opportun.  Il peut exister, par exemple, des déficiences dans la conception lorsque les contrôles nécessaires sont absents ou que les contrôles existants n’ont pas été conçus correctement. Par ailleurs, il y a déficience dans le fonctionnement lorsqu’un contrôle ne fonctionne pas comme prévu ou lorsque la personne qui applique le contrôle ne possède pas l’autorité ou les qualifications nécessaires pour l’exécuter efficacement. 

Pour conclure au sujet de la conception ou du fonctionnement efficace du contrôle interne à l’égard de l’information financière, mentionnons que la classification d’une déficience du contrôle comme une faiblesse importante ne dépend pas du fait qu’une inexactitude importante s’est effectivement produite ou non, mais dépend plutôt du fait qu’il est raisonnablement possible que les contrôles établis ne permettront pas de prévenir ou de détecter une inexactitude importante.

Pour mettre en œuvre une approche par le haut fondée sur les risques afin de conclure si une faiblesse importante existe, on doit tenir compte d’autres facteurs, y compris ceux qui sont énumérés dans le tableau suivant :

Exemples de facteurs de risque ayant une incidence sur la possibilité raisonnable de défaillance d’un contrôle : Exemples de facteurs ayant une incidence sur l’ampleur de l’inexactitude découlant d’une déficience :
  • La nature du compte (par exemple, les comptes transitoires comportent un risque plus élevé)
  • La vulnérabilité à la perte ou à la fraude des actifs ou passifs connexes
  • Le niveau de subjectivité, de complexité ou de jugement requis
  • L’interaction ou le lien entre le contrôle et d’autres contrôles
  • L’interaction des déficiences (par exemple, des déficiences influant sur le même compte)
  • Les montants des états financiers ou le total des opérations exposées
  • Le volume d’activité ou la catégorie d’opérations exposées
  • Le solde de compte ou le total d’opérations ne peuvent généralement être surévalués d’un montant supérieur au montant inscrit, tandis que les sous-évaluations peuvent être d’un montant plus élevé

Pièges courants à éviter pour mettre en œuvre efficacement une approche par le haut fondée sur les risques
Bien que l’importance d’utiliser une approche par le haut fondée sur les risques en matière de conformité soit habituellement reconnue, de nombreuses entités ont de la difficulté à mettre en œuvre efficacement une telle approche. L’erreur la plus courante consiste à ne pas recourir à des personnes connaissant suffisamment bien les principes comptables généralement reconnus et l’information financière nécessaires à l’appréciation des risques.  L’expérience et les connaissances de ces personnes peuvent s’avérer un atout de taille au moment de trouver toutes les sources probables d’inexactitudes importantes en l’absence de contrôles.  Étant donné la subjectivité et l’exercice du jugement qui entrent en jeu, l’appréciation des risques et la définition de l’étendue nécessitent la participation active de membres chevronnés du service des finances, en particulier ceux qui sont directement responsables au sein de la société de l’établissement, de la révision, de l’approbation et de la publication des états financiers – en d’autres termes, les personnes qui possèdent les compétences, la formation et l’expérience voulues.

Voici d’autres pièges courants :

  • une connaissance et une compréhension limitées des normes et des directives en matière d’attestation publiées par les organismes de réglementation;
  • la reprise de l’appréciation des risques et des activités de test de la conception et de l’efficacité du fonctionnement des contrôles de l’exercice précédent sans que des efforts suffisants ne soient déployés pour tenir compte de l’évolution récente des normes et des interprétations;
  • l’omission de mettre régulièrement à jour l’appréciation des risques (au moins une fois par année) pour tenir compte de l’évolution des facteurs de risque internes et externes;
  • l’omission d’adapter la nature, l’étendue et le calendrier des activités de conformité en fonction du risque;
  • une attention inappropriée apportée à la documentation des liens existants entre les contrôles au niveau de l’entité et les risques sous-jacents liés à l’information financière et aux modifications qui pourraient être nécessaires pour améliorer les procédés existants au niveau de l’entité (c’est-à-dire pour les rendre suffisamment directs et précis pour qu’on puisse s’y fier);
  • une trop grande fiabilité accordée aux contrôles s’appuyant sur l’information produite par l’informatique sans considération appropriée des risques entrant dans l’établissement et la présentation de l’information produite par ordinateur ou de l’exhaustivité et de l’exactitude des données sous-jacentes.

Autres articles et publications d’intérêt  
Commission Guidance Regarding Management’s Report on Internal Control over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934, Securities and Exchange Commission, juin 2007.

Auditing Standard No. 5 – An Audit of Internal Control Over Financial Reporting That is Integrated With an Audit of Financial Statements, Public Company Accounting Oversight Board, juin 2007.

Guidance on Monitoring Internal Control Systems, Committee of Sponsoring Organizations of the Treadway Commission, septembre 2007.

Norme multilatérale 52-109 sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs et l’instruction complémentaire 52-109CP, Autorités canadiennes en valeurs mobilières, mars 2007. (Voir ci-dessous la note relative à l’Avis 52-319 des ACVM.)

Mise à jour :  Nouveau communiqué des ACVM – Avis 52-319 
Le 23 novembre 2007, les ACVM ont publié l’Avis 52-319 (l’Avis) faisant le point sur le projet d’abrogation et de remplacement du Règlement 52-109 publié le 31 mars 2007 (textes proposés antérieurement).  Dans l’Avis, les ACVM indiquent que les textes proposés antérieurement ne seront pas publiés dans une version définitive.  D’importantes modifications seront apportées, et un nouvel ensemble de propositions sera publié à des fins de consultation.

De plus, les attestations supplémentaires de la direction relatives à l’évaluation de l’efficacité du contrôle interne à l’égard de l’information financière, attestations prévues par les textes proposés antérieurement, ne s’appliqueront pas aux exercices clos à compter de juin 2008.  Aucune indication n’a été donnée au sujet d’une nouvelle date d’entrée en vigueur.

L’Avis indique aussi que les nouvelles propositions, lorsqu’elles seront publiées, n’obligeront plus le chef de la direction et le chef des finances d’un émetteur émergent à attester qu’ils ont conçu et évalué des contrôles et procédures de communication de l’information ou un contrôle interne à l’égard de l’information financière, même si les exigences des règles actuelles sont en vigueur jusqu’à l’adoption d’une nouvelle règle.  La règle actuelle exige une attestation trimestrielle de la conception des contrôles et procédures de communication de l’information et du contrôle interne à l’égard de l’information financière de même qu’une attestation annuelle de l’évaluation de l’efficacité des contrôles et procédures de communication de l’information.  L’Avis recommande aussi aux émetteurs émergents de consulter le site Web de chaque territoire où ils sont assujettis pour savoir s'ils peuvent se prévaloir d'une dispense ou de toute autre forme d'aménagement relatif au dépôt des attestations en vertu du Règlement 52-109.

Dans leur Avis, les ACVM n’ont pas indiqué quand les nouvelles propositions seraient publiées à des fins de consultation ni précisé de date cible pour la publication du nouveau Règlement.

Message à nos lecteurs
C’est avec plaisir que nous vous avons périodiquement fait part de nos commentaires pendant plus de deux ans. Nous avons tous acquis une grande expérience et de vastes connaissances au cours de notre cheminement dans le domaine de l’attestation.

Puisque la réglementation et les interprétations en matière d’attestation ne changent plus aussi fréquemment que par le passé, le présent numéro sera le dernier numéro périodique de la publication Attestation du chef de la direction et du chef des finances. Nous continuerons à vous faire part de nos commentaires et de nos points de vue régulièrement lorsque de nouvelles circonstances se présenteront.  Nous vous remercions de votre intérêt et de votre appui continus.

Pour accéder aux numéros antérieurs, veuillez consulter la section  des services d’attestation du chef de la direction et du chef des finances sur Deloitte.ca.