Les points d’attention à prendre en compte pour le cycle d’audit 2016

CPA (US), expert-comptable et commissaire aux comptes, senior manager Mazars

Le Center for Audit Quality (CAQ), organisation affiliée à l’American Institute of CPA’s (AICPA), vient de publier sa 4e alerte sur certains aspects critiques de l’audit que les auditeurs doivent prendre en compte dans le cadre de leur cycle d’audit 2016 1. Certains points d’attention mis en exergue dans cette alerte ont été identifiés lors des inspections du PCAOB et concernent principalement des zones d’audit complexes qui font très souvent appel au jugement et au scepticisme professionnel. L’objectif de cette alerte est de renforcer la qualité globale de l’audit.

 

Les points d’attention à prendre en considération lors du cycle d’audit 2016 sont les suivants.

Identification de l’associé responsable de la mission et de certains autres participants à la mission 2

La SEC (US Securities and Exchange Commission), organe de tutelle du PCAOB, a approuvé en mai 2016 les règles 3210 et 3211 3 qui obligent les cabinets enregistrés auprès du PCAOB à identifier et à rendre publique l’identité de l’associé responsable de la mission et des autres cabinets ayant participé à la mission, dans un nouveau formulaire appelé Form AP, Auditor Reporting of Certain Audit Participants. La Form AP doit être soumise au PCAOB (via une base de données consultable et ouverte au public sur le site du PCAOB) au plus tard le 35e jour après la date à laquelle le rapport d’audit de l’émetteur est initialement inclus dans un document officiel, déposé auprès de la SEC, ou le 10e jour après la date à laquelle le rapport d’audit de l’émetteur est initialement inclus dans une déclaration d’enregistrement déposée auprès de la SEC.

Ces nouvelles règles de transparence prendront effet comme suit :

• publication obligatoire de l’identité de l’associé responsable de la mission pour les rapports d’audit émis après le 31 Janvier 2017 ;

• publication obligatoire de l’identité des autres cabinets ayant participé à la mission pour les rapports d’audit émis après le 30 Juin 2017.

L’identité et les heures engagées par certaines parties prenantes au processus d’audit sont exclues de la Form AP : réviseur indépendant, réviseur de l’Appendix K 4, spécialistes externes, auditeurs internes, autres membres du personnel de l’auditée, individus travaillant sous le contrôle de la direction ou du comité d’audit, etc.

Le PCAOB a mis certaines ressources (page web dédiée 5 et guidance 6) à la disposition des cabinets pour une meilleure application de ces nouvelles obligations de transparence.

Modification illégale de la documentation d’audit

L’Alerte n° 14 du PCAOB publiée en avril 2016 7 a attiré l’attention des auditeurs sur plusieurs aspects critiques de la documentation en audit.

• Toute modification des documents de travail dans le cadre d’une inspection ou d’une enquête PCAOB est strictement interdite. Les cabinets et les auditeurs ont le devoir de coopérer avec le PCAOB dans l’exercice de toute inspection ou toute enquête (Règle 4006 8).

• Cette obligation de coopération comprend une obligation de ne pas fournir des documents incorrectement modifiés ou des informations trompeuses dans le cadre d’une inspection ou d’une enquête.

• Les cabinets et les auditeurs s’exposent à des conséquences disciplinaires sévères pour tout manquement à cette obligation.

• La documentation de l’audit doit être finalisée au plus tard 45 jours (60 jours selon les règles de l’IFAC) après la date d’émission du rapport. Les documents de travail ne peuvent pas être supprimés ou mis au rebut après la date de bouclage. Toute information supplémentaire justifiée et ajoutée au dossier de travail doit indiquer la date à laquelle l’information a été ajoutée, le nom de la personne qui a préparé la documentation supplémentaire et la raison de l’ajout.

• Les cabinets et les auditeurs sont encouragés à faire du self-reporting directement ou anonymement (lanceurs d’alerte) aux autorités dédiées du PCAOB, s’ils suspectent une modification illégale de la documentation de l’audit.

Communication efficace entre le comité d’audit et les auditeurs externes

Les auditeurs externes doivent continuer d’améliorer leur communication avec le comité d’audit. Selon les inspections du PCAOB, le dialogue entre le comité d’audit et les auditeurs externes présente encore des défaillances, notamment en ce qui concerne la communication de la stratégie globale de l’audit, du calendrier de l’audit, et des risques importants identifiés au cours des procédures d’évaluation des risques.

La norme d’audit AS 1301 9 du PCAOB encourage le comité d’audit et les auditeurs externes à développer entre eux un dialogue à double sens, durant tout le processus d’audit :

• Les auditeurs externes doivent communiquer au comité d’audit les informations suivantes : lettre annuelle d’affirmation d’indépendance, lettre de mission, stratégie globale de l’audit, calendrier de l’audit, risques significatifs identifiés au cours des procédures d’évaluation des risques, éléments pertinents observés durant l’audit ayant un impact sur l’information financière, focus sur certaines zones d’audit à risques applicables spécifiquement à l’émetteur, applications et impacts des nouvelles règles comptables, continuité d’exploitation, etc.

• Le comité d’audit doit communiquer avec les auditeurs externes sur les sujets suivants : pré-approbation de certains services fiscaux et de services non-audit, informations internes sur les zones à risques d’anomalies significatives, y compris les risques de fraude, etc.

Evaluation et réponses aux risques d’anomalies significatives

L’évaluation et les réponses aux risques d’anomalies significatives sont deux composantes essentielles d’un audit. Une application incorrecte des normes dans ce domaine peut entraîner des déficiences d’audit qui contribuent à une opinion d’audit infondée. Le PCAOB et le CAQ ont publié plusieurs alertes sur ce sujet 10. Pour améliorer l’efficacité de l’évaluation et des réponses aux risques d’anomalies significatives les auditeurs doivent :

• Mettre en œuvre des procédures d’évaluation des risques suffisantes qui fournissent une base raisonnable pour identifier et évaluer les risques d’anomalies significatives en raison d’erreur ou de fraude : analyse de l’entité et de son environnement, analyse du contrôle interne de l’information financière, évaluation des procédures d’acceptation et de maintien des missions, des activités de planification, des missions antérieures, brainstorming de l’équipe sur les risques ; discussions avec le comité d’audit, la direction, et les autres personnels au sein de l’entité sur les risques, etc.

• Concevoir et mettre en œuvre des réponses d’audit adaptées qui prennent en compte les risques d’anomalies significatives identifiées et évaluées selon les procédures décrites ci-dessus. Les auditeurs s’appuient souvent sur certains contrôles en utilisant des procédures qui permettent de réduire leurs tests de substance.

• Evaluer si les informations produites par l’entité et utilisées comme éléments probants sont suffisantes et appropriées en effectuant des procédures permettant de :

– tester l’exactitude et l’exhaustivité des informations ou de tester les contrôles sur l’exactitude et l’exhaustivité de ces informations ;

– évaluer si ces informations sont suffisamment précises et détaillées ;

– évaluer si les états financiers sont présentés fidèlement en conformité avec le référentiel comptable applicable et si les éléments probants suffisants et appropriés ont été recueillis pour étayer l’opinion sur les états financiers.

Dans le cadre de l’audit des états financiers, l’évaluation des résultats d’audit doit aussi comporter une évaluation des éléments suivants: résultats des procédures analytiques, ajustements comptables accumulés au cours de l’audit, aspects qualitatifs des pratiques comptables de l’auditée, conditions identifiées lors de l’audit qui ont trait à l’évaluation du risque d’anomalies significatives résultant de fraudes (risques de fraude), présentation des états financiers, y compris les annexes, suffisance et pertinence des éléments probants obtenus.

Contrôle interne de l’information financière

Selon la SEC, l’application de la nouvelle norme sur la reconnaissance du chiffre d’affaires 11 (adoptée par le normalisateur comptable américain FASB en mai 2014 et entrant en application fin 2018) va impacter le contrôle interne de l’information financière et donc obliger les émetteurs à concevoir de nouveaux processus, systèmes et contrôles. Les auditeurs ont donc la responsabilité d’évaluer si la présentation des états financiers et les informations publiées en annexe sont en conformité avec tout  nouveau référentiel comptable applicable. Ils doivent également préparer avec diligence les informations sur le nouveau référentiel qui doivent être communiquées au comité d’audit.

Selon la norme AS 2201 du PCAOB 12, les auditeurs doivent aussi identifier et tester les contrôles ou des aspects importants des contrôles qui répondent aux risques spécifiques d’anomalies significatives qui ont été identifiés. Pour bien comprendre le contrôle interne de l’entité, les auditeurs doivent bien appréhender les systèmes d’information et les processus qui sous-tendent l’information financière (par exemple, les processus par lesquels les transactions sont initiées, autorisées, traitées, enregistrées et déclarées).

Information sectorielle

La SEC et le PCAOB continuent de mettre l’accent sur l’importance des informations sectorielles. La norme comptable ASC 280 13  du FASB donne un éclairage sur la façon de publier certaines informations sur les secteurs opérationnels dans des ensembles complets d’états financiers. Cette norme oblige aussi les émetteurs à publier certaines informations sur leurs produits et services, les zones géographiques dans lesquelles ils opèrent et leurs principaux clients.

Les auditeurs doivent prendre en compte la manière dont un émetteur identifie son principal décideur opérationnel et détermine ses secteurs opérationnels et ses informations sectorielles. Cette évaluation nécessite généralement de prendre en compte les facteurs qui sont apparus et qui suggèrent si une réévaluation des informations sectorielles est nécessaire.

Lors du test des contrôles sur les informations sectorielles, il est important de considérer à la fois les contrôles sur la préparation de ces informations et ceux sur le suivi des événements qui pourraient nécessiter des changements dans la détermination des secteurs et les disclosures d’une période à l’autre.

Les auditeurs doivent continuer de se concentrer sur la conception et l’efficacité opérationnelle des contrôles sur l’information sectorielle.

Continuité d’exploitation

La nouvelle norme comptable ASU 2014-15 14  du FASB qui est entrée en vigueur après le 15 décembre 2016 recommande à la direction de l’auditée d’évaluer la capacité d’une entreprise à poursuivre son exploitation dans un délai d’un an et de fournir des informations afférentes en annexe, dans certaines circonstances : lorsque les conditions donnent lieu à des doutes importants quant à la capacité d’une entreprise à poursuivre son exploitation dans un délai d’un an à partir de la date d’émission des états financiers.

Un doute substantiel sur la capacité d’une entité à poursuivre son exploitation existe lorsque les conditions et les événements, considérés dans leur ensemble, indiquent qu’il est probable que l’entité sera incapable de respecter ses obligations à leur échéance, dans l’année après la date à laquelle les états financiers sont émis.

Les auditeurs doivent appliquer le scepticisme professionnel et considérer tous les faits pertinents qui soutiennent ou contredisent les affirmations de la direction.

Considérations supplémentaires

Estimations comptables, y compris les mesures de la juste valeur

Les mesures de la juste valeur et les autres estimations comptables sont un sujet comptable complexe qui comprend parfois la possibilité de biais de la direction et qui conduit très souvent les auditeurs à recourir à  leur scepticisme professionnel lors des tests des estimations. Les auditeurs ont l’obligation de comprendre comment les estimations sont développées, de tester les données utilisées et d’évaluer les hypothèses significatives retenues par la direction.

Les procédures d’audit doivent être concentrées sur des analyses approfondies qui prennent même en compte des informations contradictoires ou potentiellement incompatibles.

Cybersécurité

La cybersécurité est devenue un enjeu stratégique majeur pour toutes les entreprises  qui doivent protéger par tous moyens, les secrets de leurs affaires contre les concurrents, les Etats ennemis, les lanceurs d’alerte et autres. Selon l’alerte  2014-03 du CAQ sur la cybersécurité et l’audit externe 15, la responsabilité de l’auditeur par rapport à la cybersécurité se rattache à l’audit des états financiers et le cas échéant, à l’audit du contrôle interne de l’information financière.

Le système des technologies de l’information lié au reporting financier et les données qui sont incluses dans le champ d’application de l’audit externe sont généralement un sous-ensemble des systèmes et des données utilisés par les entreprises, pour soutenir l’ensemble de leurs opérations. En conséquence, les responsabilités pour l’audit des états financiers et du contrôle interne de l’information financière ne comprennent pas une évaluation des risques en matière de cybersécurité sur toute la plate-forme de l’information technologique des entreprises. En cas de cyber-incident, l’auditeur a la responsabilité d’évaluer la comptabilisation des pertes liées à la cybersécurité et leurs impacts sur les états financiers et les informations publiées en annexe. En ce qui concerne le contrôle interne de l’information financière, les auditeurs ont aussi la responsabilité d’évaluer les contrôles liés à l’enregistrement de ces cyber-incidents dans les délais et de leur publication en annexe dans les états financiers.

Indépendance de l’auditeur

Certaines inspections du PCAOB ont aussi identifié des cas de violation des règles d’indépendance : acceptation de services non-audit, existence de relations financières entre auditées et auditeurs et non-respect des règles de rotation obligatoire de 5 ans par les associés-signataires et les réviseurs indépendants.

Les auditeurs doivent scrupuleusement respecter les règles d’indépendance de la SEC et du PCAOB et évaluer périodiquement leurs systèmes de contrôle qualité qui englobe leurs politiques et leurs procédures de pilotage et de maintien de l’indépendance.

Mise en œuvre de la norme sur les parties liées

Les auditeurs doivent continuer de mettre l’accent sur la façon dont leurs systèmes de contrôle qualité favorisent des améliorations à leurs méthodologies d’audit et leurs outils pour assurer la conformité d’ensemble avec la norme AS 2410 du PCAOB 16.

Utilisation des logiciels d’audit

De nombreux cabinets utilisent divers logiciels d’audit achetés, customisés ou développés en interne pour accomplir leurs procédures d’audit. Ces logiciels d’audit sont utilisés pour effectuer des procédures de fond et peuvent également être utilisés pour l’évaluation des risques. En raison de l’utilisation accrue de ces logiciels, les cabinets d’audit doivent s’assurer que les systèmes de contrôle qualité actuellement en place, fournissent l’assurance que :

• les logiciels  utilisés pour analyser les données répondent aux objectifs de l’audit,

• les équipes de mission utilisent efficacement ces outils et évaluent correctement les résultats obtenus des tests,

• les équipes de mission sont diligentes et appliquent leur scepticisme professionnel lors de l’utilisation de ces outils.

***

Ces points d’attention doivent servir de piqûres de rappel aux auditeurs pour le cycle d’audit 2016. Afin de renforcer la qualité de l’audit, les auditeurs doivent continuer à se concentrer sur le respect des normes d’audit, les règles d’indépendance et les autres guidances du PCAOB et de la SEC. Ces points de vigilance doivent être lus et examinés conjointement selon les règles, normes et directives applicables dans leur intégralité.

 

1. CAQ Alert #2016-01 – Select Auditing Considerations for the 2016 Audit Cycle.
http://www.thecaq.org/caq-alert-2016-01-select-auditing-considerations-2016-audit-cycle

2. V. JJ Djoum, “Nouvelle norme de transparence du PCAOB : identification de l’associé responsable de la mission dans le rapport d’audit“, RFC n° 497, avril 2016, p. 12.

3. Rule 3210 Amendments and Rule 3211 Auditor Reporting of Certain Audit Participants.
https://pcaobus.org/Rules/Pages/Rule-3210-3211.aspx

4. SEC Practice Section 1000.45 Appendix KSECPS Member Firms With Foreign Associated Firms That Audit SEC Registrants.
https://pcaobus.org/Standards/QC/Pages/SECPS_1000.08_appendices.aspx

5. Form AP: Auditor Reporting of Certain Audit Participants
https://pcaobus.org/Pages/form-ap-reporting-certain-audit-participants.aspx

6. Staff Guidance Form AP, Auditor Reporting of Certain Audit Participants.
https://pcaobus.org/Standards/Documents/2016-06-28-Form-AP-Staff-Guidance.pdf

7. PCAOB Practice Alert No 14, Improper Alteration of Audit Documentation.
https://pcaobus.org/Standards/QandA/SAPA-14-improper-alteration-audit-documentation.pdf

8. Règle 4006 Duty to Cooperate With Inspectors.
https://pcaobus.org/Rules/Pages/Section_4.aspx#rule4006

9. AS 1301 (currently AS No 16), Communications with Audit Committee.
https://pcaobus.org/Standards/Auditing/Pages/AS1301.aspx

10. Release NNo 2015-007, Inspection Observations Related to PCAOB “Risk Assessment” Auditing Standards (No 8 through N15) https://pcaobus.org/Inspections/Documents/Risk-Assessment-Standards-Inspections.pdf

11. ASU No 2014-09 Revenue from Contracts with Customers.
http://www.fasb.org/jsp/FASB/Document_C/DocumentPage?cid=1176164076069&acceptedDisclaimer=true

12. AS 2201: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of   Financial Statements https://pcaobus.org/Standards/Auditing/Pages/AS2201.aspx

13. FASB Codification Topic 280, Information sectorielle (ASC 280).

14. ASU No. 2014-15 Disclosure of Uncertainties about an Entity’s Ability to Continue as a Going Concern http://www.fasb.org/resources/ccurl/599/128/ASU%202014-15.pdf

15. CAQ Alert No 2014 -03, Cybersecurity and the External Audit.
http://www.thecaq.org/sites/default/files/caqalert_2014_03.pdf

16. AS 2410 Related Parties https://pcaobus.org/Standards/Auditing/Pages/AS2410.aspx

</p> <!–more–>

Approfondissez la question sur