À la fin du mois de mai 2023, la FRC a publié une version modifiée de la norme internationale d'audit intitulée "ISA (UK) 505 - Confirmations externes".ISA (UK) 505 - Confirmations externes(ci-après "ISA 505").
Hormis quelques amendements de conformité apportés en 2022, la norme fondamentale proprement dite n'a pas été révisée depuis 2016. Dans l'intervalle, les outils de confirmation numérique (tels que Circit) sont devenus beaucoup plus populaires.
La proposition comprend des orientations sur l'utilisation de plateformes numériques pour vérifier des informations et met l'accent sur les outils numériques qui permettent d'améliorer la fiabilité et la crédibilité des éléments probants obtenus dans le cadre du processus de confirmation.
La norme ISA souligne que la fiabilité des éléments probants est influencée par trois caractéristiques importantes, à savoir
- Les éléments probants sont plus fiables lorsqu'ils proviennent de sources indépendantes extérieures à l'entité ;
- Les éléments probants obtenus directement par l'auditeur sont plus fiables que ceux obtenus indirectement ou par déduction ; et
- Les éléments probants sont plus fiables lorsqu'ils existent sous forme documentaire, par exemple sur papier, sous forme électronique ou sur un autre support.
Les révisions proposées portent sur les points suivants
A. L'utilisation de plateformes numériques ;
B. Des exigences renforcées pour l'examen des exceptions ; et
C. L'interdiction des confirmations négatives.
Des constatations disciplinaires récentes au Royaume-Uni montrent que le travail entrepris par certains auditeurs dans le cadre du processus de confirmation n'était pas suffisamment approfondi, en particulier lorsqu'il s'agissait d'enquêter sur des exceptions, et qu'il y avait un recours excessif aux confirmations négatives alors qu'il était peu probable qu'elles fournissent des éléments probants suffisants pour étayer une conclusion. Le groupe de travail qui a rédigé le projet a estimé qu'il existait de meilleures solutions pour obtenir des éléments probants.
A. Utiliser les plateformes numériques
Le FRC a introduit une mesure visant à garantir que les confirmations puissent être obtenues en accédant directement aux informations détenues par des tiers via des portails web ou des interfaces logicielles, étant donné que l'utilisation traditionnelle de lettres a été remplacée par des confirmations numériques.
Des plateformes telles que Circit peuvent améliorer l'efficacité des taux de réponse et lorsque l'auditeur est convaincu que ce processus est sécurisé et correctement contrôlé, la fiabilité des réponses qui en découlent est renforcée.
Le projet de norme ISA 505 attire l'attention des auditeurs sur les dangers liés aux différents problèmes que peut poser l'obtention de réponses de confirmation, que ce soit sur papier ou sous forme électronique :
- La réponse peut provenir d'une source inappropriée ;
- Un répondant peut ne pas être autorisé à répondre ; et
- L'intégrité de la transmission peut être compromise.
Les plateformes de confirmation peuvent atténuer un grand nombre de ces problèmes et le font :
- Ils améliorent la sécurité de la transmission, en particulier en ce qui concerne les assertions d'exactitude ou d'évaluation ;
- Ils assurent la transparence de l'exhaustivité ;
- Les flux de travail susmentionnés, combinés aux contrôles supplémentaires effectués par l'auditeur, contribuent à garantir que les preuves collectées appuient toutes les assertions pertinentes.
La norme suggère que le processus de confirmation électronique puisse intégrer diverses techniques de validation de l'identité d'un expéditeur d'informations sous forme électronique, qui peuvent inclure l'utilisation de :
- Chiffrement ;
- Signatures numériques électroniques ; et
- Procédures de vérification de l'authenticité des sites web.
L'utilisation d'une plateforme sécurisée comme Circit crée un environnement sûr pour les réponses reçues par voie électronique et peut atténuer ces risques de crédibilité.
B. Enquêter sur les exceptions
Le projet de norme traite du traitement des exceptions découlant des réponses de confirmation qui sont portées à l'attention de l'auditeur, en rappelant à ce dernier qu'il est tenu, en vertu de la norme ISA 240 (révisée en mai 2021), d'évaluer si de telles anomalies sont révélatrices de fraudes et méritent donc une attention plus soutenue.
Le projet de norme introduit trois facteurs obligatoires que les auditeurs doivent prendre en considération lorsqu'ils traitent des exceptions qui surviennent au cours du processus de confirmation. Les conclusions tirées de l'examen de ces trois facteurs détermineront le calendrier et l'étendue des procédures d'audit supplémentaires et de suivi. L'utilisation d'outils électroniques pour parvenir à cette décision sera souvent d'une importance cruciale, compte tenu des délais et des budgets serrés des rapports d'audit.
Les trois étapes obligatoires sont à considérer :
- si l'exception est révélatrice d'un risque accru de fraude ;
- si l'exception est révélatrice d'une déficience dans le système de contrôle interne de l'entité ;
- comment les procédures supplémentaires permettront à l'auditeur de recueillir des éléments probants suffisants et appropriés.
Les plateformes numériques, telles que Circit, peuvent contribuer à la mise en œuvre de ces mesures :
- Lever des exceptions ;
- Communiquer sur ces exceptions ; et
- Les résoudre enfin.
Les exceptions peuvent également fournir une indication sur la qualité des réponses fournies par des parties confirmantes similaires ou pour des comptes similaires et indiquer une ou plusieurs déficiences dans le contrôle interne de l'entité relatif à l'information financière.
C. Interdiction des confirmations négatives
Il y a confirmation négative lorsque la partie confirmante répond directement à l'auditeur uniquement si elle n'est pas d'accord avec les informations fournies dans la demande. La proposition interdit les confirmations négatives, car elles ne sont pas aussi efficaces que les confirmations positives.
La norme interdit les confirmations négatives pour deux raisons :
- L'absence de réponse à une demande de confirmation négative n'indique pas explicitement que la partie confirmante visée a reçu la demande de confirmation ou qu'elle a vérifié l'exactitude des informations contenues dans la demande ;
- Les parties confirmantes sont plus susceptibles de répondre à une demande en indiquant leur désaccord lorsque les informations contenues dans la demande ne leur sont pas favorables et sont moins susceptibles de répondre dans le cas contraire.
Les confirmations électroniques peuvent améliorer la fiabilité
En conclusion, le FRC a inclus des lignes directrices spécifiques sur l'utilisation des plateformes numériques pour les confirmations en raison des avantages qu'elles apportent, notamment :
- Efficacité accrue ;
- Immutabilité des réponses obtenues et
- Assurance que les réponses proviennent d'une source appropriée et autorisée.
Il s'agit là d'un indicateur important pour les entreprises, car la mise en œuvre d'une technologie appropriée peut les aider à rester à la pointe du progrès lorsqu'il s'agit d'évaluer et d'améliorer les processus d'audit.
Une fois finalisée, la norme ISA 505 révisée devrait entrer en vigueur pour les audits d'états financiers au Royaume-Uni pour les périodes commençant le ou après le 15 décembre 2024. La date limite d'envoi des commentaires au Financial Reporting Council est fixée au 1er septembre 2023.
En Irlande, la politique de l'IAASA est de consulter sur l'adoption d'une norme, une fois qu'elle est approuvée au Royaume-Uni, puis d'adopter les normes britanniques pour les utiliser ici, avec les modifications appropriées pour la législation irlandaise et les conditions du marché.
Le rôle de Circit
Pour en savoir plus sur le produit Confirmations de Circit et sur la façon dont il peut aider votre entreprise à se conformer à la norme ISA 505, cliquez ici.
