FAQ COVID 19: impact sur le contrôle interne et le risque de fraude et audit à distance

Afin d'aider les réviseurs d'entreprises à répondre aux nombreuses questions soulevées par la crise COVID-19, l'ICCI a décidé de publier régulièrement des FAQ. Dans les prochains jours, ces documents seront complétés. Les sujets déjà couverts sont : Going Concern, impact sur le contrôle interne, risque de fraude et audit à distance et exemple de rapport de gestion d'ASBL.

Table des matières

1. Le COVID-19 peut-il affecter le contrôle interne et le risque de fraude ?
1.1. Impact sur le contrôle interne
a) La réduction du nombre de collaborateurs peut impliquer que les mesures de contrôle ne fonctionnent pas, ou pas de manière optimale.
b) La séparation de fonctions peut être rompue
c) Les procédures d’autorisation peuvent être affaiblies
d) Les informations de gestion, nécessaires à la gestion de l’entreprise, peuvent (temporairement) faire défaut
1.2. Impact sur le risque de fraude
2. Les limites d’un audit à distance

1. Le COVID-19 peut-il affecter le contrôle interne et le risque de fraude?

Conformément aux procédures prévues par la norme ISA 315, le commissaire doit prendre connaissance des mesures de contrôle interne pertinentes pour l’audit. L’environnement de contrôle peut être impacté par la crise du COVID-19.

1.1. IMPACT SUR LE CONTRÔLE INTERNE

Au niveau du contrôle interne, les points d’attention sont les suivants :

a) La réduction du nombre de collaborateurs peut impliquer que les mesures de contrôle ne fonctionnent pas, ou pas de manière optimale.

De manière générale, les entreprises doivent revoir l’efficacité opérationnelle de leurs mesures de contrôle. L’arrêt des revues de contrôle ou l’impossibilité pour les individus de réaliser des contrôles en raison de l’absence pour cause de maladie des travailleurs ou de la fermeture des bureaux doit être évalué(e).

b) La séparation de fonctions peut être rompue

Il convient également de vérifier la manière dont une communication défectueuse d’informations peut avoir un impact sur les séparations de fonctions au sein des entreprises, ainsi que sur la possibilité dans le chef de la direction de réaliser des contrôles opérationnels.

Si une mesure de contrôle existante ne peut plus être réalisée, la direction devra chercher des contrôles adéquats alternatifs capables de compenser le manque d’informations.

c) Les procédures d’autorisation peuvent être affaiblies

En raison de l’impact du COVID-19, les entreprises devront peut-être mettre en œuvre de nouvelles mesures de contrôle ou adapter des contrôles existants. À la suite de la modification des accès informatiques pour les télétravailleurs, de nouvelles procédures d’autorisation peuvent être introduites ou revues.

d) Les informations de gestion, nécessaires à la gestion de l’entreprise, peuvent (temporairement) faire défaut

Les entreprises doivent également vérifier la capacité dans le chef de la direction de clôturer les processus d’élaboration de l’information financière et d’établir les états financiers sur une base régulière. Un retard dans la clôture des données financières sous-jacentes peut éventuellement entraîner des erreurs dans les états financiers et nécessiter l’utilisation de nouveaux contrôles ou de contrôles adaptés pour compenser le risque accru d’erreurs potentielles dans les états financiers.

La norme ISA 315 traite des obligations de l'auditeur concernant l'identification et l'évaluation des risques d’anomalies significatives contenues dans les états financiers, par la connaissance de l'entité et de son environnement, y compris de son contrôle interne. L'objectif de l'auditeur est d'identifier et d'évaluer les risques d'anomalies significatives, provenant de fraudes ou résultant d'erreurs, au niveau des états financiers et des assertions, par la connaissance de l'entité et de son environnement, y compris de son contrôle interne, fournissant ainsi une base pour concevoir et mettre en œuvre des
réponses aux risques évalués d'anomalies significatives.

L’auditeur devra tenir compte du profil de risque modifié et éventuellement adapter son approche du contrôle en fonction de celui-ci.

La dépendance accrue aux applications informatiques implique également certains risques. Ainsi, la robustesse de l’infrastructure sera testée, des solutions ad hoc auront éventuellement des conséquences indésirables pour l’infrastructure informatique et l’utilisation accrue mettra la capacité du système à l’épreuve.

1.2. IMPACT SUR LE RISQUE DE FRAUDE

Dans le contexte du risque de fraude, la norme ISA 240 insiste tout d’abord sur le fait que l’auditeur doit faire preuve d’esprit critique tout au long de l’audit, en tenant compte de la possibilité d’anomalie significative résultant d’une fraude.

Le risque accru de fraude est la conséquence :
a) d’un contrôle interne qui fonctionne peut-être moins bien (voir supra 1.1)
b) d’un risque accru de présentation frauduleuse du bilan, p. ex. pour masquer une rentabilité décroissante ou continuer à respecter les conventions.

Conformément à la norme ISA 240, l’auditeur doit activement tenir compte du risque de fraude dans son approche du contrôle. Il doit évaluer le risque de fraude. Par ailleurs, le management override of controlsdoit être considéré comme un risque important et les procédures d’audit correspondantes doivent être mises en place.

Dans la norme ISA 240, la fraude est importante dans la mesure où elle peut entraîner une anomalie significative dans les états financiers. Sur la base de la distinction entre la fraude et les erreurs en fonction du caractère intentionnel ou non de l’acte, la norme ISA 240 décrit la fraude comme « un acte intentionnel commis par un ou plusieurs membres de la direction, personnes constituant le gouvernement d’entreprise, membres du personnel ou tiers, impliquant des manœuvres dolosives dans le but d’obtenir un avantage indu ou illégal ».

Deux types d’anomalies dans les états financiers sont particulièrement importantes pour l’auditeur : les anomalies résultant de l’élaboration d'informations financières mensongères et les anomalies résultant d'un détournement d'actif.

La pratique enseigne qu’il est important, lors de la réalisation d’évaluations du risque, d’accorder de l’attention à l’existence d’une opportunité de commettre une fraude (l’occasion fait le larron), à l’existence d’une pression (par exemple des objectifs) et à la possibilité que des personnes au sein de l’organisation puissent justifier une fraude éventuelle pour elles-mêmes (par exemple, la culture d’entreprise). Le risque de fraude diminue lorsque les organisations consacrent suffisamment de temps et d’énergie à ces trois angles d’incidence, qui sont les éléments constitutifs dudit « triangle de la fraude ». Le triangle de la fraude fait apparaître les causes de la fraude et les structures d’opportunité. La pression, l’opportunité et la rationalisation ne sont pas en eux-mêmes des éléments qui indiquent une fraude. Toutefois, en présence de deux ou trois éléments, le risque de fraude est accru.

Comme dit le proverbe : l’occasion fait le larron. Il revient à l’organisation de prendre, pour autant que ce soit possible, des mesures pour combattre ou détecter la fraude. Pensons à des règles, des procédures et des responsabilités claires, à une séparation des fonctions, à la gestion du stock et des fonds, au contrôle interne par la direction ou en son nom et à un système de signalement et de rapportage des signaux de fraude.

Toutefois, la fraude est plus susceptible de se présenter au sein d’un environnement de contrôle interne faible. Le contrôle interne répond en effet principalement au pilier « opportunité » dudit triangle de la fraude. En d’autres termes, l’absence d’un réseau performant de contrôles offre la possibilité d’abuser de l’entité (de manière sophistiquée).

Il doit être clair que la pandémie de COVID-19 est une situation exceptionnelle qui met les règles, procédures et mesures (p. ex. en matière de contrôle interne) sous pression et crée ainsi l’occasion qui peut faire le larron. La vigilance nécessaire est donc de mise !

2. Les limites d’un audit à distance

Un audit à distance est un audit réalisé sans que son contenu diffère de celui d’un audit classique sur place. L’audit est effectué à l’aide d’un environnement digital sécurisé et des bons moyens audiovisuels. Les entretiens sont réalisés en ligne, ainsi que la consultation de documents et de processus. Au cours de l’audit, des documents sont évalués et, si possible, une visite de l’entreprise est réalisée via Skype, FaceTime ou WhatsApp, par exemple. Le contenu d’un audit à distance doit être exactement le même que celui d’un audit physique. Il revient à l’auditeur de consulter un maximum d’informations en ligne pour bien évaluer le système de gestion de manière objective.

Cela implique que les procédures, instructions, factures, contrats, transactions, etc. doivent être fournis à l’auditeur par e-mail ou via une plateforme digitale. Les procédures d’audit peuvent être réalisées par téléphone/e-mail/Skype ou une combinaison de ces moyens. Sur la base de son programme d’audit, l’auditeur indique les départements, personnes autorisées et préposés qu’ils souhaitent visiter ou interviewer en ligne.

La possibilité de réaliser un audit à distance à l’aide de solutions techniques doit être évaluée par l’auditeur en fonction notamment :

- des caractéristiques de l’entreprise à contrôler ;
- de l’infrastructure disponible, tant chez l’auditeur que dans l’entité contrôlée ;
- de l’impact que la raison de réaliser un audit à distance a sur l’organisation de l’entité contrôlée ;
- de la phase dans laquelle l’audit se trouve ;
- de la composition de l’équipe en charge de l’audit. Il peut ainsi être attendu que des collaborateurs plus expérimentés soient requis pour cette méthode de travail.

Dans le cadre d’un audit à distance, les procédures de la norme ISA 240, paragraphe 13, sont particulièrement pertinentes : « À moins que l’auditeur n’ait de raisons d’en douter, il peut accepter comme authentiques les enregistrements et les documents. Si des éléments identifiés au cours de l’audit le conduisent à penser qu’un document peut ne pas être authentique ou que les termes d’un document ont été modifiés sans que cela lui ait été mentionné, l’auditeur doit procéder à des investigations complémentaires.»

Un audit à distance comporte quelques défis pratiques.

D’une part, la coordination des procédures de contrôle est un défi en elle-même. Il n’est en effet pas toujours possible de réaliser un audit à distance de toutes les parties. Pour un lieu de production, l’auditeur devra par exemple toujours effectuer une visite physique de l’organisation. Dans ce cas, une partie se fait à distance et le reste du temps d’audit est consacré à une visite sur place. L’auditeur est également toujours dépendant de la technologie, comme la disponibilité d’Internet et la stabilité des réseaux externes. La disponibilité de moyens audiovisuels peut être un point d’attention sensible.

D’autre part, un tel audit offrira des avantages au niveau de la documentation des procédures réalisées : l’échange électronique d’informations contient en lui-même déjà un début de documentation.

Source : chroniques de l'IRE, 3 avril 2020 - ICCI "FAQ COVID 19: impact sur le contrôle interne et le risque de fraude et audit à distance"