NORME INTERNATIONALE D’AUDIT 265

 

COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D’ENTREPRISE ET A LA DIRECTION

 

(Applicable aux audits d’états financiers pour les périodes
ouvertes à compter du 15 décembre 2009)

 

Paragraphe

Introduction

Champ d’application de cette Norme ISA ……………………………………………………… ………… 1–3

Date d’entrée en vigueur ………………………………………………………………………………. ……………. 4

Objectif ……………………………………………………………………………………………………… ……………. 5

Définitions …………………………………………………………………………………………………. ……………. 6

Diligences requises ……………………………………………………………………………………… ………. 7–11

Modalités d’application et autres informations explicatives

Déterminer si des faiblesses du contrôle interne ont été relevées ……………………….. …… A1–A4

Faiblesses significatives du contrôle interne ……………………………………………………. …. A5–A11

Communication des faiblesses du contrôle interne …………………………………………… .. A12–A30

 

 

Introduction

Champ d’application de cette Norme ISA

1. Cette Norme Internationale d’Audit (International Standard on Auditing, ISA) traite des obligations qui incombent à l’auditeur de communiquer de façon appropriée aux personnes constituant le gouvernement d’entreprise et à la direction les faiblesses du contrôle interne[1] qu’il a relevées lors d’un audit d’états financiers. Cette Norme ISA n’impose pas à l’auditeur d’obligations supplémentaires en matière de prise de connaissance du contrôle interne et de conception et de réalisation de tests de procédures en sus et au-delà de ceux prévus par les diligences requises par les Normes ISA 315 et 330[2]. En outre, la Norme ISA 260[3] fixe d’autres diligences requises et précise les modalités d’application concernant les obligations de communication de l’auditeur avec les personnes constituant le gouvernement d’entreprise en lien avec l’audit.
2. L’auditeur est tenu d’acquérir une connaissance du contrôle interne pertinent pour l’audit lors de l’identification et de l’évaluation des risques d’anomalies significatives[4]. En procédant à cette évaluation des risques, l’auditeur prend en compte le contrôle interne afin de définir des procédures d’audit appropriées en la circonstance, et non dans le but d’exprimer une opinion sur l’efficacité du contrôle interne de l’entité. L’auditeur peut identifier des faiblesses du contrôle interne non seulement au cours du processus d’évaluation des risques mais aussi à tout autre stade de l’audit.La présente Norme ISA précise celles des faiblesses que l’auditeur est tenu de communiquer aux personnes constituant le gouvernement d’entreprise et à la direction.
3. Rien dans la présente Norme ISA n’interdit à l’auditeur de communiquer aux personnes constituant le gouvernement d’entreprise d’autres questions touchant au contrôle interne qu’il a relevées au cours de l’audit.

Date d’entrée en vigueur

1. La présente Norme ISA s’applique aux audits d’états financiers pour les périodes ouvertes à compter du 15 décembre 2009.

Objectif

1. L’objectif de l’auditeur est de communiquer de façon appropriée aux personnes constituant le gouvernement d’entreprise et à la direction les faiblesses du contrôle interne qu’il a relevées au cours de l’audit et qui, selon son propre jugement professionnel, sont suffisamment importantes pour mériter leur attention respective.

Définitions

1. Pour les besoins des Normes ISA, les termes mentionnés ci-après ont la signification suivante :

(a)     Faiblesse du contrôle interne – Cette situation se présente :

(i)            Lorsqu’un contrôle est conçu, mis en œuvre ou fonctionne de telle manière qu’il ne permet pas de prévenir, ou de détecter et corriger, des anomalies contenues dans les états financiers en temps opportun ; ou

(ii)          En l’absence d’un contrôle nécessaire pour prévenir, ou pour détecter et corriger, une anomalie contenue dans les états financiers en temps opportun.

(b)     Faiblesse significative du contrôle interne – Faiblesse, ou ensemble de faiblesses du contrôle interne qui, selon le jugement professionnel de l’auditeur, est suffisamment importante pour mériter l’attention des personnes constituant le gouvernement d’entreprise. (Voir par. A5)

Diligences requises

1. L’auditeur doit déterminer si, sur la base des travaux d’audit effectués, il a relevé une ou plusieurs faiblesses du contrôle interne. (Voir par. A1–A4)
2. Lorsque l’auditeur a relevé une ou plusieurs faiblesses du contrôle interne, il doit déterminer, sur la base des travaux d’audit effectués, si, prises individuellement ou ensemble, elles constituent des faiblesses significatives. (Voir par. A5–A11)
3. L’auditeur doit communiquer par écrit, et en temps opportun, aux personnes constituant le gouvernement d’entreprise les faiblesses significatives du contrôle interne qu’il a relevées au cours de l’audit. (Voir par. A12–A18, et A27)
4. L’auditeur doit également communiquer en temps voulu à la direction, à un niveau hiérarchique approprié : (Voir par. A19–A27)

(a)           par écrit, les faiblesses significatives du contrôle interne qu’il a communiquées, ou a l’intention de communiquer, aux personnes constituant le gouvernement d’entreprise, à moins qu’il ne soit inapproprié de les communiquer directement à la direction en la circonstance ; et (Voir par. A14, et A20–A21)

(b)          les autres faiblesses du contrôle interne relevées au cours de l’audit qui n’ont pas été communiquées à la direction par d’autres personnes et qui, selon le jugement professionnel de l’auditeur, sont suffisamment importantes pour mériter l’attention de la direction. (Voir par. A22–A26)

1. L’auditeur doit inclure dans sa communication écrite des faiblesses significatives du contrôle interne :

(a)           une description des faiblesses et une explication de leurs effets potentiels ; et (Voir par. A28)

(b)          des informations suffisantes pour permettre aux personnes constituant le gouvernement d’entreprise et à la direction de comprendre le contexte dans lequel cette communication est faite. En particulier, l’auditeur doit expliciter que : (Voir par. A29–A30)

(i)            l’objectif de l’audit qui lui est assigné est d’exprimer une opinion sur les états financiers ;

(ii)          l’audit comprend la prise en considération du contrôle interne relatif à l’établissement des états financiers en vue de permettre de définir des procédures d’audit qu’il considère appropriées en la circonstance, mais non dans le but d’exprimer une opinion sur l’efficacité du contrôle interne ; et

(iii)         les sujets qui sont communiqués se limitent aux faiblesses qu’il a relevées au cours de l’audit et dont il a conclu qu’elles étaient suffisamment importantes pour mériter d’être communiquées aux personnes constituant le gouvernement d’entreprise.

***

Modalités d’application et autres informations explicatives

Déterminer si des faiblesses du contrôle interne ont été relevées

A1.      Afin de déterminer s’il a relevé une ou plusieurs faiblesses du contrôle interne, l’auditeur peut discuter des faits et circonstances concernés qu’il a constatés avec la direction à un niveau hiérarchique approprié. Cette discussion offre une opportunité d’attirer l’attention de la direction en temps voulu sur l’existence de faiblesses dont cette dernière peut ne pas avoir été précédemment informée. Le niveau hiérarchique de la direction avec lequel il est approprié de s’entretenir de ces constatations est celui qui est familier du domaine de contrôle interne concerné et qui a l’autorité pour prendre les mesures correctives sur chacune des faiblesses du contrôle interne identifiées. Dans certaines situations, il peut ne pas être approprié pour l’auditeur de discuter de ses constatations directement avec la direction, par exemple lorsque celles-ci suscitent des interrogations sur l’intégrité et la compétence de la direction (voir paragraphe A20).

A2.      Lors de la discussion avec la direction des faits et circonstances de ses constatations, l’auditeur peut obtenir d’autres informations utiles à prendre également en considération, telles que :

• la compréhension de la direction des causes réelles ou suspectées des faiblesses ;
• les problèmes résultant des faiblesses que la direction peut avoir relevées, par exemple les anomalies qui n’avaient pas été prévenues par les contrôles y relatifs du système informatique ;
• une indication préliminaire de la direction de ses réponses aux constatations.

Aspects particuliers concernant les petites entités

A3.      Bien que les concepts sous-tendant les mesures de contrôles dans les petites entités soient probablement similaires à celles dans les plus grandes entités, leur mode opératoire variera. De plus, les petites entités peuvent considérer que certains types de mesures de contrôle ne sont pas nécessaires en raison du fait que les contrôles sont effectués parla direction. Parexemple, la seule autorité de la direction pour accorder un crédit aux clients et pour approuver des achats importants peut fournir un contrôle efficace sur les soldes de comptes et les flux de transactions importants, réduisant ou supprimant le besoin de mesures de contrôle plus détaillées.

A4.      De même, les petites entités ont souvent peu d’employés, ce qui peut limiter au plan pratique la possibilité de séparation des tâches. Toutefois, dans une petite entité dirigée par son propriétaire, le propriétaire-dirigeant peut être en mesure d’exercer une supervision plus efficace que dans une grande entité. Ce plus haut niveau de supervision aura besoin d’être mis en balance avec une plus grande possibilité pour la direction de contourner les contrôles.

Faiblesses significatives du contrôle interne (Voir par. 6(b), 8)

A5.      Le caractère significatif d’une faiblesse ou d’un ensemble de faiblesses du contrôle interne dépend non seulement du fait qu’une faiblesse soit réellement survenue, mais aussi de la possibilité qu’elle puisse survenir, ainsi que de son importance potentielle. Des faiblesses significatives peuvent en conséquence exister bien que l’auditeur n’en ait pas relevé au cours de l’audit.

A6.      Des exemples de questions que l’auditeur peut prendre en considération pour déterminer si une faiblesse ou un ensemble de faiblesses du contrôle interne constitue une faiblesse significative incluent :

• la possibilité que des faiblesses conduisent à des anomalies significatives dans les états financiers des périodes futures ;
• la possibilité de la perte ou d’une fraude portant sur les actifs ou les passifs concernés ;
• le caractère subjectif et la complexité de la détermination de montants estimés, tels que des estimations comptables à la juste valeur ;
• les montants des états financiers sujets à des faiblesses ;
• le volume des mouvements qui sont enregistrés ou pourraient être enregistrés dans les soldes de comptes ou les flux d’opérations exposés à une (ou des) faiblesse(s) ;
• l’importance des contrôles sur le processus d’élaboration de l’information financière, par exemple :
  • le suivi des mesures des contrôles généraux (telles que la supervision de la direction),
  • les contrôles sur la prévention et la détection des fraudes,
  • les contrôles sur le choix et l’application des méthodes comptables importantes,
  • les contrôles sur les transactions importantes avec des parties liées,
  • les contrôles sur les transactions importantes sortant du cadre normal des opérations de l’entité,
  • les contrôles sur le processus d’élaboration de l’information financière en fin de période (tels que les contrôles sur les écritures de journal non récurrentes) ;
  • la cause et la fréquence des problèmes relevés provenant de faiblesses de contrôles ;
  • l’interaction de la faiblesse relevée avec d’autres faiblesses du contrôle interne.

A7.      Des indicateurs de faiblesses significatives du contrôle interne incluent, par exemple :

• des éléments démontrant des aspects inefficaces dans l’environnement de contrôle, tels que :
  • des indications que des transactions importantes dans lesquelles la direction est financièrement intéressée n’ont pas été examinées de manière appropriée par les personnes constituant le gouvernement d’entreprise,
  • l’identification d’une fraude de la direction, qu’elle soit significative ou non, qui n’a pas été évitée par le contrôle interne de l’entité,
  • l’incapacité de la direction de mettre en place des mesures correctives appropriées portant sur des faiblesses significatives précédemment communiquées ;
  • l’absence d’un processus d’évaluation des risques au sein de l’entité alors que l’on se serait attendu à ce qu’un tel processus ait normalement été mis en place ;
  • l’indication de l’inefficacité du processus d’évaluation des risques au sein de l’entité, telle que l’incapacité de la direction de détecter un risque d’anomalies significatives dont l’auditeur pouvait s’attendre à ce qu’il soit identifié par le processus d’évaluation des risque de l’entité ;
  • l’indication d’une réponse inefficace apportée à des risques importants identifiés (par exemple, absence de contrôles sur de tels risques) ;
  • des anomalies relevées par les procédures mises en œuvre par l’auditeur qui n’ont pas été prévenues, ou détectées et corrigées, par le contrôle interne de l’entité ;
  • la ré-émission d’états financiers précédemment publiés pour refléter la correction d’une anomalie significative résultant d’une erreur ou provenant d’une fraude ;
  • des éléments démontrant l’inaptitude de la direction à superviser l’établissement des états financiers.

A8.      Les contrôles peuvent être conçus pour être exercés séparément ou en association avec d’autres afin de prévenir, ou détecter et corriger de manière efficace, les anomalies[5]. Par exemple, les contrôles sur les créances clients peuvent consister à la fois en des contrôles automatisés et des contrôles manuels destinés à être exercés ensemble pour prévenir, ou détecter et corriger, des anomalies dans les soldes de comptes. Une faiblesse du contrôle interne en elle-même peut ne pas être suffisamment importante pour constituer une faiblesse significative. Toutefois, un ensemble de faiblesses affectant le même solde de compte ou la même information à fournir, ou une assertion y relative, ou une composante du contrôle interne, peut augmenter les risques d’anomalies significatives d’une manière telle qu’il en résulte une faiblesse significative.

A9.      La loi ou la réglementation dans certains pays peut comporter une disposition (notamment pour les audits des entités cotées) exigeant de l’auditeur de communiquer aux personnes constituant le gouvernement d’entreprise ou à d’autres tiers concernés (tels que les autorités de régulation) un ou plusieurs types spécifiques de faiblesses du contrôle interne que celui-ci a relevés au cours de l’audit. Lorsque la loi ou la réglementation comporte des dispositions et des définitions spécifiques pour ce(s) type(s) de faiblesse(s) et requiert de l’auditeur qu’il s’appuie sur celles-ci pour sa communication, ce dernier utilise ces dispositions et ces définitions pour communiquer conformément aux exigences légales et réglementaires.

A10.    Lorsqu’une juridiction utilise des termes spécifiques pour désigner les faiblesses du contrôle interne qu’il convient de communiquer sans toutefois en avoir défini le contenu, il peut être nécessaire pour l’auditeur d’exercer son jugement pour déterminer les points à communiquer par-delà ceux prévus par la loi ou la réglementation. Pour exercer ce jugement, l’auditeur peut considérer approprié de s’appuyer sur les diligences requises et les modalités d’application dela présente Norme ISA.Par exemple, si l’objectif des dispositions de la loi ou de la réglementation est de porter à l’attention des personnes constituant le gouvernement d’entreprise certaines questions touchant au contrôle interne dont elles devraient être informées, il peut être approprié de considérer que ces questions sont de même nature que les faiblesses significatives quela présente Norme ISArequiert de communiquer aux personnes constituant le gouvernement d’entreprise.

A11.    Les diligences requises par la présente Norme ISA restent applicables indépendamment du fait que la loi ou la réglementation puisse exiger de l’auditeur qu’il applique les dispositions ou les définitions spécifiques qu’elle contient.

Communication des faiblesses du contrôle interne

Communication des faiblesses significatives du contrôle interne aux personnes constituant le gouvernement d’entreprise (Voir par. 9)

A12.    La communication écrite des faiblesses significatives du contrôle interne aux personnes constituant le gouvernement d’entreprise démontre l’importance de ces questions, et aide ces personnes dans l’accomplissement de leurs responsabilités de surveillance. La Norme ISA260 fournit des réflexions utiles concernant la communication aux personnes constituant le gouvernement d’entreprise lorsque toutes ces personnes sont impliquées dans la direction de l’entité[6].

A13.    Pour déterminer le moment de la communication écrite, l’auditeur peut prendre en compte le fait qu’une telle communication sera ou non un facteur important pour permettre à ces personnes de remplir leurs responsabilités de surveillance. Par ailleurs, pour les entités cotées dans certains pays, ces personnes peuvent avoir besoin de recevoir une communication écrite de l’auditeur avant la date d’établissement des états financiers afin de satisfaire à des responsabilités spécifiques en relation avec le contrôle interne pour des besoins réglementaires ou autres. Néanmoins, dans ce dernier cas, dès lors que la communication écrite de l’auditeur portant sur les faiblesses significatives fait partie intégrante du dossier d’audit final, cette communication écrite est soumise à l’exigence[7] fixée à l’auditeur d’achever en temps voulu la mise en forme du dossier d’audit final. La Norme ISA 230 précise qu’un laps de temps approprié pour achever la mise en forme du dossier d’audit final n’excède généralement pas 60 jours après la date du rapport de l’auditeur[8].

A14.    Quel que soit le moment de la communication écrite des faiblesses significatives, l’auditeur peut les communiquer oralement, en premier lieu à la direction et, si nécessaire, aux personnes constituant le gouvernement d’entreprise afin de les aider à prendre en temps utile des mesures correctives pour réduire les risques d’anomalies significatives. Cette démarche, cependant, ne dispense pas l’auditeur de son obligation de communiquer par écrit les faiblesses significatives relevées, ainsi que l’exige la présente Norme ISA.

A15.    Le niveau de détail du contenu de la communication des faiblesses significatives relève du jugement professionnel de l’auditeur eu égard aux circonstances. Les aspects que l’auditeur peut prendre en compte pour déterminer le niveau de détail approprié de cette communication comprennent, par exemple :

• la nature de l’entité. Par exemple, la communication requise pour une entité d’intérêt public peut être différente de celle pour une entité qui n’est pas d’intérêt public ;
• la taille et la complexité de l’entité. Par exemple, la communication requise pour une entité complexe peut être différente de celle d’une entité exerçant une activité simple ;
• la nature des faiblesses significatives que l’auditeur a relevées ;
• la composition de la gouvernance de l’entité. Par exemple, une communication plus détaillée peut être nécessaire si les personnes constituant le gouvernement d’entreprise comprennent des membres qui n’ont pas une grande expérience du secteur d’activité de l’entité ou des domaines concernés par les faiblesses ;
• les exigences légales ou réglementaires concernant la communication des types spécifiques de faiblesses du contrôle interne.

A16.    La direction et les personnes constituant le gouvernement d’entreprise peuvent déjà être au courant des faiblesses significatives que l’auditeur a relevées au cours de l’audit, mais peuvent avoir décidé de ne pas les corriger compte tenu du coût ou pour d’autres raisons. La mise en balance des coûts et des avantages de la mise en œuvre de mesures correctives relève de la responsabilité de la direction et des personnes constituant le gouvernement d’entreprise. En conséquence, la diligence requise au paragraphe 9 s’applique quels que soient le coût ou les autres raisons que la direction et les personnes constituant le gouvernement d’entreprise peuvent avoir pris en compte pour décider s’il convenait ou non de remédier à de telles faiblesses.

A17.    Le fait que l’auditeur ait communiqué une faiblesse significative aux personnes constituant le gouvernement d’entreprise et à la direction lors d’un audit précédent n’exclut pas le besoin de répéter cette communication si une mesure corrective n’a pas été prise. Lorsqu’une faiblesse significative précédemment communiquée existe toujours, la communication pour l’année en cours peut reprendre le détail de la communication précédente, ou simplement y faire référence. L’auditeur peut demander à la direction ou, le cas échéant, aux personnes constituant le gouvernement d’entreprise, pourquoi la faiblesse significative relevée n’a pas encore été corrigée. Le fait de ne pas avoir pris de mesures correctives, en l’absence d’une explication rationnelle, peut en soi représenter une faiblesse significative.

Aspects particuliers concernant les petites entités

A18.    Dans le cas d’audits de petites entités, l’auditeur peut communiquer avec les personnes constituant le gouvernement d’entreprise dans une forme moins structurée que dans le cas d’entités plus grandes.

Communication à la direction des faiblesses du contrôle interne (Voir par. 10)

A19.    Généralement, le niveau hiérarchique approprié de la direction est celui qui a la responsabilité et l’autorité d’évaluer les faiblesses du contrôle interne et l’autorité pour prendre les mesures correctives nécessaires. Pour les faiblesses significatives, le niveau hiérarchique approprié sera probablement le directeur général ou le directeur financier (ou leur équivalent) dès lors que ces questions sont également à communiquer aux personnes constituant le gouvernement d’entreprise. Pour les autres faiblesses du contrôle interne, le niveau hiérarchique approprié peut être la direction opérationnelle plus directement impliquée dans les domaines de contrôle concernés et ayant l’autorité pour prendre les mesures correctives appropriées.

Communication à la direction des faiblesses significatives du contrôle interne (Voir par. 10(a))

A20.    Certaines faiblesses significatives du contrôle interne identifiées peuvent conduire à remettre en cause l’intégrité et la compétence dela direction. Parexemple, il peut exister des indications d’une fraude ou du non-respect intentionnel par la direction des textes législatifs et réglementaires, ou la direction peut montrer une incapacité à superviser l’établissement d’états financiers adéquats, ce qui peut laisser peser des doutes sur les compétences de celle-ci. En conséquence, il peut ne pas être approprié de communiquer de telles faiblesses directement à la direction.

A21.    La Norme ISA250 définit les diligences requises et fournit les modalités d’application concernant la communication portant sur des non-respects identifiés ou suspectés de textes législatifs et réglementaires, y compris les situations où les personnes constituant le gouvernement d’entreprise sont elles-mêmes impliquées dans ces cas de non-respect[9]. La Norme ISA 240 définit les diligences requises et fournit les modalités d’application relatives à la communication aux personnes constituant le gouvernement d’entreprise lorsque l’auditeur a identifié une fraude ou une fraude suspectée impliquant la direction[10].

Communication à la direction des autres faiblesses du contrôle interne (Voir par. 10(b))

A22.    Au cours de l’audit, l’auditeur peut relever d’autres faiblesses du contrôle interne qui ne constituent pas des faiblesses significatives mais qui peuvent être suffisamment importantes pour mériter l’attention dela direction. Déterminerlesquelles de ces autres faiblesses du contrôle interne méritent l’attention de la direction relève du jugement professionnel au regard des circonstances, en prenant en compte la possibilité et l’importance potentielle des anomalies pouvant résulter de ces faiblesses dans les états financiers.

A23.    La communication d’autres faiblesses du contrôle interne qui méritent l’attention de la direction n’a pas à être faite par écrit mais peut être orale. Lorsque l’auditeur a discuté des faits et circonstances de ses constatations avec la direction, il peut considérer que celles-ci ont fait l’objet d’une communication orale à la direction au moment de ces discussions. En conséquence, une communication formelle n’a pas à être faite postérieurement.

A24.    Lorsque l’auditeur a communiqué à la direction des faiblesses du contrôle interne, autres que des faiblesses significatives, au cours d’une période précédente, et que la direction a décidé de ne pas y remédier pour des raisons de coût ou d’autres raisons, il n’a pas à répéter cette communication dans la période en cours. De la même façon, l’auditeur n’est pas tenu de répéter l’information relative à de telles faiblesses si cette information a été précédemment communiquée à la direction par d’autres, tels que les auditeurs internes ou les autorités de contrôle. Il peut, toutefois, être approprié pour l’auditeur de communiquer à nouveau sur ces autres faiblesses s’il y a eu un changement de direction, ou s’il a eu connaissance de nouvelles informations qui viennent modifier sa compréhension antérieure ou celle de la direction de ces faiblesses. Néanmoins, l’incapacité de la part de la direction de remédier aux autres faiblesses du contrôle interne qui avaient été précédemment communiquées peut conduire à une faiblesse significative requérant alors une communication aux personnes constituant le gouvernement d’entreprise. Déterminer si tel est le cas relève du jugement professionnel de l’auditeur dans des circonstances données.

A25.    Dans certaines situations, les personnes constituant le gouvernement d’entreprise peuvent souhaiter être tenues au courant du détail des autres faiblesses du contrôle interne que l’auditeur a communiquées à la direction, ou être brièvement informées de la nature de ces autres faiblesses. D’un autre côté, l’auditeur peut considérer approprié d’informer les personnes constituant le gouvernement d’entreprise des autres faiblesses qu’il a communiquées àla direction. Dansun cas ou dans l’autre, l’auditeur peut effectuer cette communication oralement ou par écrit aux personnes constituant le gouvernement d’entreprise.

A26.    La Norme ISA 260 fournit des réflexions utiles concernant la communication avec les personnes constituant le gouvernement d’entreprise lorsque toutes ces personnes sont impliquées dans la direction de l’entité[11].

Aspects particuliers concernant les entités du secteur public (Voir par. 9–10)

A27.    Les auditeurs dans le secteur public peuvent avoir des obligations supplémentaires de communication des faiblesses du contrôle interne qu’ils ont relevées au cours de l’audit, selon des façons, dans un degré de détail et à des tiers, non envisagés parla présente Norme ISA.Par exemple, les faiblesses significatives peuvent avoir à être communiquées au pouvoir législatif ou à d’autres organismes gouvernementaux. La loi, la réglementation ou une autre autorité peut aussi exiger que les auditeurs dans le secteur public rendent compte des faiblesses du contrôle interne, quelle que soit l’importance des incidences potentielles de ces faiblesses. De plus, la législation peut exiger des auditeurs dans le secteur public qu’ils rendent compte de questions plus larges liées au contrôle interne autres que des seules faiblesses du contrôle interne dontla présente Norme ISArequiert la communication ; par exemple, les contrôles liés au respect des textes d’autorités législatives, des réglementations, ou des clauses des contrats ou des accords de subventions.

Contenu de la communication écrite portant sur les faiblesses significatives du contrôle interne (Voir par. 11)

A28.    Dans ses explications des incidences potentielles des faiblesses significatives, l’auditeur n’a pas besoin de les quantifier. Les faiblesses significatives peuvent être regroupées pour les besoins de la communication lorsqu’il est approprié de le faire. L’auditeur peut aussi inclure dans sa communication écrite des suggestions concernant les mesures à envisager pour y remédier, les actions prises ou envisagées par la direction, et une mention indiquant s’il a, ou non, entrepris une vérification quelconque pour s’assurer que les actions de la direction ont été, ou non, mises en œuvre.

A29.    L’auditeur peut considérer approprié d’inclure les informations complémentaires suivantes dans sa communication :

• une mention indiquant que s’il avait mis en œuvre des procédures plus étendues sur le contrôle interne, il aurait pu relever d’autres faiblesses à communiquer ou, au contraire, conclure que certaines des faiblesses communiquées n’avaient pas, en fait, à l’être ;
• une mention indiquant que la communication a été faite pour les besoins des personnes constituant le gouvernement d’entreprise, et qu’elle peut ne pas convenir à d’autres fins.

A30.    La loi ou la réglementation peut exiger de l’auditeur ou de la direction de transmettre une copie de la communication écrite de l’auditeur sur les faiblesses significatives aux autorités de contrôle appropriées. Lorsque cela est le cas, la communication écrite de l’auditeur peut identifier ces autorités.