Points de vue CSR « Best practices et highlights des constatations effectuées lors des contrôles de qualité 2022 menés auprès de réviseurs d'entreprises non EIP » : leçons pour la profession

Introduction

Le Collège de supervision des réviseurs d’entreprises (CSR) (ci-après : « le  Collège »)a publié récemment ces constatations concernant les contrôles effectués en 2022 auprès des cabinets non EIP. Vous trouverez, dans cet article, les principaux manquements constatés et les bonnes pratiques associées permettant d’éviter ces manquements. 

Durant l’année en question, le Collège a contrôlé l’organisation des cabinets de 22 réviseurs d’entreprises et a procédé à l’inspection d’au moins une mission d’audit auprès de 39 réviseurs d’entreprises.

La campagne a amené le Collège à imposer 141 mesures (à titre de comparaison, l’année 2021 avait entrainé 228 mesures), dont : 

• 10 rappels à l’ordre ;
• 51 délais de redressement ;
• 21 injonctions ; et
• 59 recommandations.

Organisation du cabinet

Les principaux manquements constatés en matière d’organisation des cabinets concernent l’archivage des dossiers en temps opportuns et selon la forme conforme aux normes de révision (37,50%), l’application correcte du système de surveillance (25%) et les travaux à l’égard du conseil d’entreprises (20,83%).

Archivage des dossiers d’audit 

Le Collège a observé certaines initiatives efficaces et bonnes pratiques en ce qui concerne la mise en forme définitive de dossiers d’audit :  

• mettre en place des dossiers d'audit électroniques entièrement dématérialisés pour en finir avec la collecte tardive de documents de travail sur papier ;  
• utiliser une fonction d’archivage automatique du logiciel d’audit pour saisir les éléments probants durant la période de recueil ; 
• mener une politique plus stricte en appliquant un délai de mise en forme plus court que celui prévu par le cadre légal et normatif (c’est-à-dire inférieur à 60 jours) ; 
• automatiser l’envoi au personnel de mails de rappel d’échéances, en augmentant la fréquence à mesure qu’elles se rapprochent ; et 
• instaurer un « tone at the top » ferme, en mettant l’accent sur l’importance du dossier d’audit et en tenant compte des manquements dans l’évaluation des prestations.

Alors que le Collège constate régulièrement des lacunes dans la mise en forme finale de dossiers d’audit, il n’a pas relevé le moindre manquement chez une série de réviseurs d’entreprises et de cabinets de révision non EIP. Ce résultat, fruit de la discipline, est remarquable.  

Système de surveillance

Le manquement le plus courant constaté par le Collège en matière de monitoring a été que les cabinets de révision se bornaient à établir un processus de monitoring par écrit. Cela ne suffit pas. Il convient que ce processus soit en outre effectivement implémenté et documenté de manière appropriée.  

Une bonne pratique consiste à mener une analyse des causes profondes (root cause analysis) pour identifier les raisons sous-jacentes des manquements et ainsi élaborer un plan de redressement efficace.  Il est bon de communiquer en temps utile aux collaborateurs les conclusions/observations des activités d'audit du cabinet de révision afin d'éviter que les manquements ne se répètent.

Conseil d’entreprise

Les manquements les plus fréquents constatés par le Collège ont été les suivants : 

• absence, dans le dossier d’audit, du procès-verbal du conseil d’entreprise relatif à la (re)nomination ; et 
• absence de mention, dans la seconde partie du rapport du commissaire, d’infractions aux dispositions légales du CSA relatives au contrôle dans une société où il existe un conseil d’entreprise, telles que la non-transmission par l’organe d’administration d’une copie des informations économiques et financières.

Il est de bonne pratique d’établir un programme de travail accompagné des documents de travail utiles pour répondre aux exigences de conception et d'exhaustivité du dossier d'audit et à utiliser une checklist pour vérifier l'exhaustivité des informations, puis à évaluer l'impact éventuel d’informations manquantes sur l'image fidèle des comptes. 

Manquements en matière de missions d’audit 

Les manquements constatés en matière de missions d’audit concernent l’insuffisance des travaux d’audit permettant de recueillir des éléments probants suffisants et appropriés (35,64 %), l’insuffisance des travaux d’audit destinés à évaluer et identifier des risques d'anomalies significatives (20,79%) et une exécution déficiente en ce qui concerne la planification de l’audit et le seuil de signification déterminé (8,91%).

Les éléments probants

Parmi les manquements les plus fréquents dans le domaine des éléments probants, le Collège a constaté, par ordre de fréquence décroissant, des manquements dans les domaines suivants :  

• les sondages ; 
• les procédures analytiques de substance ;
• les transactions avec des parties liées ;
• l’utilisation de procédures de confirmation externe ;
• les événements postérieurs à la clôture ;
• les estimations comptables.  

La plupart des travaux que le réviseur d’entreprises effectue en vue de se forger une opinion consistent à recueillir des éléments probants et à les évaluer.  

Outre les demandes d’informations, les procédures d'audit à mettre en œuvre pour recueillir des éléments probants peuvent comprendre l'inspection, l'observation, la confirmation, le contrôle arithmétique, les procédures analytiques et la réexécution, certaines de ces démarches étant souvent combinées. 

Pour le commissaire, obtenir une assurance raisonnable signifie recueillir des éléments probants suffisants et appropriés pour réduire le risque d’audit (c’est-à-dire le risque que le commissaire exprime une opinion inappropriée lorsque les états financiers comportent des anomalies significatives) à un niveau suffisamment faible pour être acceptable.

Procédures d’évaluation des risques

Dans le domaine des procédures d’évaluation des risques, la plupart des manquements constatés par le Collège dans les missions d’audit de réviseurs d’entreprises non EIP avaient trait à : 

• l’étendue des procédures d’évaluation des risques ;  
• la connaissance des mesures de contrôle de l'entité (y compris les risques provenant du système informatique ; et
• la prise de connaissance des contrôles internes de l’entité auditée.

Certaines initiatives efficaces et bonnes pratiques observées par le Collège s’attachent à étoffer et compléter la documentation d’audit relative à la connaissance acquise par l'auditeur.

La planification de l’audit et le seuil de signification 

Le Collège a relevé que le programme de travail du commissaire ne faisait pas toujours mention de la nature, du calendrier et de l’étendue des procédures d’audit ou que le dossier d’audit ne mentionne pas les facteurs pris en considération pour déterminer le seuil de signification.  

Manquements constatés en matière d’AML

La publication du collège aborde ensuite les manquements en matière d’exigences AML. Le top 3 des manquements constatés concerne :

• manque d’ajustement des devoirs de vigilance (19,05%) ;
• manque d’actualisation de l’évaluation globale des risques (14,29%) ; et
• manque de recherches concernant les Personnes Politiquement Exposées (ci-après : « PPE ») (14,29%).

En ce qui concerne les devoirs de vigilance, il convient que le réviseur d’entreprises ajuste celui-ci en fonction du risque identifié lié à la relation d'affaires. Des mesures simples peuvent être prises quand le risque de blanchiment de capitaux et de financement du terrorisme (ci-après « BC/FT ») est faible, mais il s’agit de les renforcer face à un risque de BC/FT élevé.

En ce qui concerne l’évaluation globale des risques, celle-ci n’est complète que si elle prend en compte les variables mentionnées aux annexes I et III de la loi AML. Le Collège a mis au point l’outil ‘Mon évaluation globale des risques’ pour aider les réviseurs d’entreprises à établir leur évaluation globale des risques. D’autre part, une évaluation globale des risques doit être mise à jour chaque fois que se produit un évènement susceptible d’avoir un impact significatif sur un ou plusieurs risques. L’AMLCO doit vérifier au moins une fois par an que l'évaluation des risques reste à jour.  Pour fournir la preuve de la mise à jour, une bonne pratique consiste à prévoir un champ fixe où indiquer la date de réalisation et de révision de l’évaluation globale des risques.

Procéder à l’identification d’une PPE en se basant sur des « connaissances générales », sans utiliser des banques de données consultables ou d’autres informations disponibles ne suffit pas. Le réviseur d’entreprises doit documenter ses recherches dans le dossier d’audit en conservant la trace de la consultation (via au minimum un print screen, par exemple), même au cas où elles n’auraient pas abouti au fait que la personne est qualifiée de PPE.

Conclusion

En conclusion et à la lecture de cette publication, nous sommes convaincus que ces bonnes pratiques publiées par le Collège permettront aux confrères d’encore mieux organiser leur cabinet et d’améliorer sans cesse la qualité des missions qui leur sont confiées et nous vo us invitons vivement à lire cette publication in extenso.