Des services bien balisés

Par Joy Keenan
Illustration : Mike Constable

De nouvelles normes ont été créées pour tenir compte du recours croissant aux organismes de services

Depuis la publication par l’ICCA, en 1987, du chapitre 5900 du Manuel de l’ICCA – Certification, «Opinions sur les procédures de contrôle d’un organisme de services», qui fournit des indications sur les responsabilités du vérificateur d’un organisme de services, et du chapitre 5310, «Considérations sur les éléments probants lorsque l'entité a recours à un organisme de services», qui fournit des indications aux vérificateurs des clients qui utilisent le rapport du vérificateur d’un organisme de services dans le cadre d’une mission de vérification, un certain nombre de faits ont transformé le contexte.

Le recours à des organismes de services s’est considérablement accru, notamment du fait :
• que de tels organismes fournissent des services beaucoup plus variés et complexes;
• que les entreprises externalisent les fonctions organisationnelles non stratégiques;
• que les organismes de services fonctionnent de plus en plus à l’échelle mondiale, ce qui entraîne un flux transfrontalier de services externalisés;
• et que les entreprises réduisent les coûts en ayant recours à l’impartition.

Il se peut donc que les organismes de services occupent une place plus importante qu’auparavant dans le contrôle interne de l’entité.

La Loi Sarbanes-Oxley et les normes connexes ont entraîné une focalisation accrue sur le contrôle interne, notamment sur la responsabilité de la direction à l’égard du contrôle interne dans les organismes de services. Le Statement on Auditing Standards No. 70 (SAS 70) de l’AICPA, Service Organizations, et l’Auditing Standard No. 2 du PCAOB, An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements, ont été publiés et contiennent des exigences plus détaillées que le chapitre 5900.

Le Conseil des normes de vérification et de certification (CNVC) a donc entrepris en 2004 un projet de mise à jour des normes et publié le chapitre 5970, «Rapport du vérificateur sur les contrôles d’un orga-nisme de services», et le chapitre 5310.

Au fait qu’une norme unique ne pouvait répondre à tous les besoins, le CNVC a conclu que les priorités premières, sur le plan de la normalisation, étaient d’aider les entités clientes et leurs vérificateurs à satisfaire aux obligations réglementaires rattachées au contrôle interne à l’égard de l’information financière. Le CNVC avait par ailleurs noté que l’AICPA avait publié des indications rigoureuses sur la question et qu’il n’était donc pas nécessaire de réinventer la roue. C’est ce qui a mené à la décision du CNVC d’harmoniser les normes canadiennes avec le SAS 70 de l’AICPA.

Le SAS 70 vise les contrôles des organismes de services relatifs à l’information financière des entités clientes, et le nouveau chapitre 5970 est également axé sur ces contrôles. La plupart des répondants à l’exposé-sondage de janvier 2005 ont appuyé cette position. D'autres s’y sont toutefois opposés parce que le chapitre 5900 permettait de faire rapport non seulement sur les contrôles relatifs à l'information financière, mais aussi sur d’autres aspects des activités d’un organisme de services. Ils ont suggéré de conserver le chapitre 5900 tel quel, qu’une nouvelle norme fondée sur le SAS 70 soit publiée ou non. Le CNVC a estimé que ces préoccupations étaient valables, mais que le fait d’avoir deux normes traitant d’un sujet similaire créerait beaucoup de confusion pour toutes les parties prenantes, y compris les vérificateurs d’organismes de services, les vérificateurs des clients, les entités clientes et les autorités de réglementation. De plus, le chapitre 5900 n’étant plus à jour en raison de faits nouveaux, sa mise à jour aurait nécessité des travaux importants. Le CNVC est arrivé à la conclusion que les praticiens peuvent répondre aux demandes des organismes de services relatives à la vérification des activités et des contrôles débordant du champ d’application du chapitre 5970 en exécutant des missions selon d'autres normes canadiennes existantes, telles que celles qui portent sur les missions de certification (le chapitre 5025 du Manuel de l'ICCA – Certification, «Normes relatives aux missions de certification», établit un cadre général pour l’exécution des missions de certification, notamment les normes et indications générales, d’examen et de rapport), y compris en exécutant des missions SysTrust ou en appliquant des procédés spécifiés. Le chapitre 5970 comprend les nouvelles exigences suivantes à l’égard des vérificateurs des organismes de services.

Il faut que le vérificateur de l’organisme de services comprenne en quoi les contrôles de l’organisme de services peuvent avoir une incidence sur le contrôle interne des entités clientes. Le contrôle interne est envisagé dans le contexte du cadre de contrôle interne du Committee of Sponsoring Organizations relatif à l’information financière. Selon le chapitre 5900, le vérificateur de l’organisme de services pouvait faire rapport sur tout objectif de contrôle spécifié, y compris les objectifs non financiers. Il n’existait en outre aucune exigence quant à l’utilisation d’un cadre approprié.

Le vérificateur de l’organisme de services est tenu de déterminer si les objectifs de contrôle spécifiés par l’organisme de services sont raisonnables et s’ils concordent avec les obligations contractuelles de ce dernier. Selon le chapitre 5900, le vérificateur de l’organisme de services était responsable d’apprécier le caractère raisonnable des objectifs de contrôle, mais uniquement dans le but d’évaluer si les procédures de contrôle étaient adéquatement conçues pour la réalisation des objectifs de contrôle interne déclarés du système.

Un rapport de type 2 (sur l’efficacité du fonctionnement des contrôles) doit couvrir une période d’au moins six mois pour être utile aux vérificateurs des clients.

Les rapports de type 2 doivent contenir un renvoi à une description des tests des contrôles particuliers de l’organisme de services effectués en vue d’obtenir des éléments probants du fonctionnement efficace de ces contrôles aux fins de l’atteinte des objectifs de contrôle spécifiés. Cette description doit comprendre :
• les contrôles qui ont été testés par le vérificateur de l’organisme de services et les objectifs de contrôle que ces contrôles devaient permettre d’atteindre;
• la nature, le calendrier d’application et l’étendue des tests mis en œuvre à l’égard de ces contrôles, et des renseignements suffisamment détaillés pour permettre aux vérificateurs des clients de déterminer l’incidence de ces tests sur leur appréciation du risque de non-contrôle, notamment les résultats des tests en question;
• les facteurs à l’origine des anomalies, dans la mesure où le vérificateur de l’organisme de services a relevé de tels facteurs;
• l’état actuel des mesures correctives, dans la mesure où le vérificateur de l’organisme de services a pu le déterminer;
d’autres informations qualitatives pertinentes au sujet des anomalies relevées, dans la mesure où le vérificateur de l’organisme de services dispose de telles informations.

Selon le chapitre 5310 modifié, les vérificateurs des clients doivent satisfaire à de nouvelles exigences relatives à l’évaluation du rapport du vérificateur de l’organisme de services. Ce chapitre fournit des normes et des indications détaillées sur l’utilisation du rapport du vérificateur de l’organisme de services par le vérificateur du client aux égards suivants : pour la planification de la vérification; à titre d'élément probant en vue d’apprécier les risques que les états financiers contiennent des inexactitudes importantes, en particulier le risque de non-contrôle; et à titre d’élément probant nécessaire pour étayer son opinion dans les situations où le vérificateur de l'organisme de services a appliqué des procédés spécifiés à l’égard de soldes et d’opérations traités par l’organisme de services.

Le chapitre 5310 fournit également des indications aux fins de l’évaluation des éléments probants publiés dans le rapport du vérificateur de l’organisme de services, notamment l’appréciation de la réputation professionnelle, de la compétence et de l’indépendance du vérificateur de l’organisme de services.

Pour aider les vérificateurs des organismes de services à comprendre et appliquer les nouvelles normes, le CNVC a décidé de leur ajouter des indications, adaptées à partir d’autres sources américaines d’indications sur le SAS 70, sur les questions pour lesquelles il a jugé que cela était important. Ces indications couvrent les contrôles complémentaires de l’entité cliente, les changements survenus dans les contrôles de l’organisme de services, les déficiences des contrôles de l’organisme de services, et les responsabilités de l’organisme de services et du vérificateur du client relativement aux illégalités, fraudes et erreurs non corrigées dans l’organisme de services.

Le CNVC reconnaît que le marché pourra avoir besoin de temps pour s’adapter aux nouvelles normes. Il faudra que les vérificateurs des organismes de services sensibilisent leurs clients et utilisateurs quant à l’incidence de celles-ci. Par exemple, il se peut que les contrats d’impartition ou les règlements existants qui prévoient la délivrance d’un rapport en application du chapitre 5900 doivent être modifiés ou qu’il faille conclure de nouveaux contrats pour répondre aux exigences en question. Les vérificateurs des organismes de services et ceux des clients auront besoin de temps pour revoir leurs méthodes de travail et refléter les exigences des nouvelles normes. En outre, les répondants à l’exposé-sondage ont indiqué que les organismes de services ont besoin de temps pour corriger les déficiences du contrôle susceptibles d’être communiquées dans le cadre de missions exécutées selon le nouveau chapitre 5970 (en particulier dans le cadre d’une mission de type 2, dont le rapport fait référence aux résultats des tests mis en œuvre).

C’est pourquoi le CNVC a reporté l’entrée en vigueur au 1^er janvier 2006, bien que l’adoption anticipée soit permise. Le CNVC reconnaît qu’il  y aura une période pendant laquelle certains vérificateurs d’organismes de services délivreront des rapports selon l’ancien chapitre 5900, et d’autres, selon le nouveau. Il est donc recommandé aux utilisateurs de lire attentivement le rapport pour déterminer s’il répond à leurs besoins, en particulier s’ils sont tenus, en vertu d’obligations réglementaires, de faire rapport sur leur contrôle interne à l’égard de l'information financière.

Les répondants à l’exposé-sondage ont indiqué le besoin d’indications particulières sur l’utilisation de sous-organismes de services. Le CNVC est à élaborer une note d’orientation concernant la certification et les services connexes traitant spécifiquement de ces sous-organismes, en vue de régler la question des structures comportant des niveaux multiples d’organismes de services. Le CNVC prévoit élaborer des «Questions et réponses des permanents» sur des problèmes d’intérêt particulier, qui seront postées sur son site Web.

Le CNVC connaît l’importance des organismes de services pour le contrôle interne des entités clientes et continuera à réagir aux faits nouveaux sur la scène internationale. Lors de l’établissement de ses projets, il examinera le besoin d’indications supplémentaires sur l'application des exigences du chapitre 5025 aux missions visant la délivrance de rapports sur les contrôles d’un organisme de services autres que ceux qui ont trait au contrôle interne à l’égard de l’information financière.

Joy Keenan, CA•CISA, est directrice de projets, Normes de vérification et de certification. La présente rubrique est dirigée par Ron Salole, vice-président, Normalisation, à l'ICCA.