Considérations relatives à la qualité dans les missions d’audit complexes, exceptionnelles et à fort impact
par Aamir Fayyaz, Directeur, Unité d’audit spécialisée, ISC Pakistan
Il est communément admis que chaque membre du personnel d’une institution supérieure de contrôle (ISC) est responsable de la qualité de l’audit et que les ISC doivent garantir la qualité à chaque étape du processus d’audit au moyen de procédures opérationnelles normalisées. C’est certainement vrai, en particulier pour les audits de routine. Toutefois, dans le cas d’audits complexes, non routiniers et à fort impact, le rôle du jugement professionnel – en particulier de la part de la direction – pour assurer la qualité de l’audit entre davantage en ligne de compte, surtout à des moments clés du processus d’audit.
Les audits complexes et non routiniers présentent un risque important
Les ISC consacrent la majeure partie de leurs ressources aux contrôles de routine. Cependant, les ISC doivent parfois effectuer des contrôles spéciaux portant sur des sujets et des secteurs complexes (voir figure ci-dessous). Ces audits – qui peuvent être financiers, de conformité, de performance ou une combinaison de ceux-ci – peuvent présenter des risques importants pour la réputation des ISC et des entités clientes, des organismes donateurs et d’autres parties prenantes.
Si les normes de qualité doivent être respectées dans chaque mission d’audit, les audits complexes et non routiniers requièrent une attention particulière, un principe affirmé dans la norme ISSAI 140, qui stipule que “certains travaux des ISC peuvent présenter un niveau élevé de complexité et d’importance qui nécessite un contrôle de qualité intensif avant la publication d’un rapport”. En outre, bien que les ISC doivent tenir compte de la qualité tout au long du cycle d’audit, il existe des moments critiques où les décisions peuvent avoir un impact considérable sur la qualité et requièrent un jugement professionnel solide de la part des gestionnaires.
Pour illustrer ce point, examinons deux scénarios dans lesquels une ISC est chargée de contrôler les dépenses du gouvernement pour faire face à la pandémie de COVID-19. Une fois la période de référence définie, la première décision de l’ISC en matière de qualité est le type de contrôle le mieux adapté à la mission.
Scénario A : L’ISC opte pour un audit financier
Niveau de matérialité. Après avoir décidé du type de contrôle, l’ISC doit maintenant déterminer le seuil de signification, c’est-à-dire le niveau acceptable d’erreurs et d’inexactitudes. Dans le cadre de missions normales, les ISC peuvent fixer le seuil de signification dans une fourchette de 1 à 5 % de la composante sélectionnée des états financiers, puis utiliser ce seuil de signification pour contrôler toutes les composantes. Cependant, étant donné qu’il s’agit d’un contrôle complexe et non routinier, l’ISC doit accorder une attention particulière à cette décision, car le seuil de signification peut avoir de sérieuses implications sur l’étendue des travaux de contrôle effectués et sera le facteur déterminant pour le type d’avis d’audit émis. Pour s’assurer que le seuil de signification est approprié, le directeur de l’ISC, le responsable d’audit le plus haut placé ou la commission d’audit doivent prendre cette décision cruciale.
Assurance. La prochaine décision clé ayant une incidence sur la qualité consiste à déterminer les sources d’assurance ou, en d’autres termes, à évaluer le risque d’audit (la possibilité qu’une inexactitude importante soit présente dans les états financiers) et ses composantes (risques inhérents, de contrôle et de détection). Tout comme le seuil de signification, cette détermination influencera l’étendue des tests et procédures d’audit, les types d’éléments probants à collecter, les constatations d’audit prévues, les recommandations éventuelles et, en fin de compte, l’utilité du produit de l’audit pour les parties prenantes.
L’ISC ne peut pas simplement fixer le risque inhérent au contrôle des dépenses COVID-19 à 20 pour cent, comme elle pourrait le faire pour certains contrôles de routine. Bien que cela puisse signifier que le contrôle nécessite moins de ressources et de contrôles de gestion de la part de l’ISC, l’efficacité se ferait au détriment de la qualité.
Toutefois, cela ne signifie pas que l’ISC doive être trop conservatrice et fixer le risque inhérent à 80 ou 100 pour cent, ce qui exigerait un effort de contrôle maximal et épuiserait inutilement ses ressources limitées. Il en va de même pour l’évaluation de l’assurance dérivée des contrôles internes et des régimes d’audit interne.
Scénario B : L’ISC opte pour un audit de performance
Type d’audit. En règle générale, les ISC n’entreprennent un audit d’optimisation des ressources – ou audit de performance – qu’après avoir réalisé une étude préliminaire pour déterminer s’il s’agit d’un meilleur choix qu’un audit financier ou un audit de conformité. La norme ISSAI 3200 (lignes directrices pour le processus d’audit de performance) suggère qu’une fois que l’ISC a choisi un thème d’audit, l’auditeur doit réaliser une “pré-étude” pour “déterminer si les conditions d’un audit sont réunies”. Le Manuel d’audit de performance de l’Association des institutions supérieures de contrôle des finances publiques du Pacifique (PASAI) stipule que “si le responsable d’une ISC décide de passer d’une étude préliminaire à un audit complet, l’étape suivante consiste à soumettre une proposition d’audit à l’examen et à l’approbation de la direction”. Le respect de ces étapes aidera l’ISC à déterminer si un contrôle de performance est justifié, évitant ainsi l’erreur de croire que les contrôles de performance sont toujours supérieurs à d’autres types de contrôles.
Critères d’audit. La sélection des critères d’audit est une autre décision critique qui a des répercussions sur la qualité du produit de l’audit. Étant donné que les critères appropriés pour les contrôles complexes et non routiniers ne sont pas toujours disponibles, la direction de l’ISC et le client doivent discuter et, si possible, se mettre d’accord sur les critères à utiliser. Cet effort facilitera la réalisation de l’audit et renforcera l’impact du rapport d’audit.
Capacité et expertise. Étant donné que le sujet en question est nouveau et non routinier, le contrôle s’engage forcément sur un terrain inconnu et l’ISC peut, à juste titre, ne pas disposer des capacités et de l’expertise nécessaires pour le mener à bien. Étant donné que l’acquisition de ces compétences peut prendre du temps, l’ISC devrait faire preuve de souplesse pour les acquérir par le biais d’une consultation ou d’une externalisation, dans la mesure où les normes applicables le permettent. Cependant, si l’ISC décide de procéder à un contrôle de performance avec des ressources humaines inadéquates, la qualité du produit du contrôle risque d’en souffrir.
Autres décisions clés
Quel que soit le type de contrôle, l’ISC sera confrontée à d’autres décisions clés liées à la qualité, notamment : Qui est chargé de l’audit ? Qui sont les superviseurs et les réviseurs, et quels sont les outils qu’ils utiliseront ? Qui supervisera la qualité des documents d’audit et le processus de collecte et de documentation des éléments probants ? Combien de temps est alloué aux différentes phases du cycle d’audit ?
Contrairement aux audits de routine des entités du secteur public, les audits complexes et non routiniers sont généralement des missions ponctuelles qui présentent des risques plus importants et requièrent donc des considérations particulières en matière d’assurance et de contrôle de la qualité. Il incombe à la direction de l’ISC de faire preuve de diligence et de jugement professionnel lors de la prise de décisions clés affectant la qualité. Cela aidera l’ISC à protéger sa propre réputation et celle de ses clients, à préserver ses relations avec les parties prenantes et à prouver qu’elle est une institution nationale inestimable en temps de crise.