La mise à jour du Manuel relatif au système interne de contrôle qualité (norme ISQC 1 et loi du 7 décembre 2016) en 2018 et la publication de l’Avis 2019/04 : Norme ISQC 1 et loi du 7 décembre 2016 : revue de contrôle qualité de la mission et surveillance du système interne de contrôle qualité (monitoring) ont rendu les FAQ sur la norme ISQC 1 obsolètes. Elles ont dès lors été supprimées.
Publié le 15 mai 2015
Réponse:
Le respect de la norme ISA 402 n'implique pas l’obtention systématique d’un rapport établi sur la base de la norme ISAE 3402. Si le rapport est jugé nécessaire et si les circonstances restent identiques durant l'exercice suivant, il sera obtenu annuellement. Le réviseur d'entreprises doit s'interroger chaque année sur la nécessité d'obtenir un rapport.
C'est en effet lors de la démarche d'audit que l'auditeur déterminera si un rapport (norme ISAE 3402) est nécessaire. Le jugement de l'auditeur peut se résumer comme suit.
L’organe de gestion de l’entité contrôlée est responsable de la mise en place du contrôle interne qu’il estime nécessaire pour permettre l’établissement d’états financiers ne comportant pas d’anomalies significatives, même si une partie de la gestion des données s'effectue auprès d'un tiers. Bon nombre d’entités confient certains aspects de leur gestion opérationnelle à des sociétés de services, telles que des secrétariats sociaux ou des sociétés de gestion informatique. La nature et l’étendue des travaux à réaliser par l’auditeur de l’entité utilisatrice lorsque cette dernière fait appel à une société de services dépendent de la nature et de l’importance de ces prestations pour l’entité utilisatrice et de la pertinence de celles-ci pour l’audit des états financiers.
La norme ISA 402 « Facteurs à considérer pour l’audit d’une entité faisant appel à une société de services » impose à l’auditeur de l’entité utilisatrice de déterminer, conformément à la norme ISA 315, s’il a acquis une connaissance suffisante du contrôle interne pertinent pour l’audit. Dans ce contexte, l’auditeur de l’entité utilisatrice doit évaluer la conception et la mise en œuvre des contrôles pertinents au sein de l’entité utilisatrice relatifs aux prestations fournies par la société de services, y compris les contrôles effectués sur les opérations traitées par cette dernière (ISA 402, par. 10).
L’entité utilisatrice peut elle-même juger utile d'obtenir un rapport établi suivant la norme ISAE 3402 ou établir des contrôles sur les prestations de la société de services qui peuvent être testés par l’auditeur de l’entité utilisatrice et permettre à celui-ci de conclure que les contrôles mis en œuvre par cette dernière fonctionnent efficacement pour certaines ou pour l’ensemble des assertions concernées, sans devoir tenir compte des contrôles mis en œuvre par la société de services.
Lorsqu’une entité utilisatrice, par exemple, a recours à une société de services pour traiter les salaires, elle peut établir des contrôles sur la soumission et la réception des informations concernant la paie qui peuvent prévenir ou détecter des anomalies significatives. Ces contrôles peuvent inclure:
En l'absence de contrôles ou de contrôles satisfaisants de l'entité utilisatrice, l'auditeur examinera la possibilité de mettre en œuvre des procédures alternatives lui permettant de recueillir les éléments probants suffisants et appropriés.
Parfois, les procédures alternatives ne peuvent être mises en œuvre, par exemple parce que le volume des données est trop important.
Finalement, si les éléments probants suffisants et appropriés énoncés ci-dessus n'ont pu être recueillis, l'auditeur obtiendra de la société de services un rapport de type 1 ou de type 2. Les rapports de type 1 ou de type 2 peuvent être établis selon la norme ISAE 3402, « Rapport d’assurance sur les contrôles au sein d’une société de services ». (ISA 402, par. 12) Ce rapport est souvent spécifique au client et doit être demandé annuellement par l’entité contrôlée auprès de sa (ses) société(s) de services. Les coûts du rapport doivent être pris en charge par l’entité qui en fait la demande.