La clé pour gérer l'incertitude est de poser les bonnes questions. Cela peut aider les comités d'audit à repérer les questions liées au contrôle interne à l'égard de l'information financière (« CIIF ») et faire en sorte que leurs organisations satisfont aux exigences réglementaires en communiquant en temps opportun les informations appropriées.

Avec le passage abrupt au télétravail à la mi-mars, les organismes de réglementation étaient préoccupés par les changements à apporter aux processus et aux contrôles internes. Cependant, comme il s'agissait d'une expérience courante, bien que non généralisée, pour les organisations, et que celles-ci utilisaient déjà des systèmes électroniques de tenue des comptes et de communications, il n'y a pas eu de changements importants apportés à leur CIIF.

Indépendamment de leur expérience initiale, le CIIF étant un processus itératif, les organisations devront continuer de surveiller les questions qu'il soulève. Elles pourraient notamment établir un registre des risques dans lequel elles consigneraient les préoccupations et les changements apportés pour y répondre. À la fin du trimestre, une évaluation pourrait permettre de déterminer si certaines des modifications apportées au CIIF étaient significatives et doivent être divulguées.

Dans les premiers jours de la pandémie de COVID-19, le degré de profondeur des informations fournies variait grandement. Maintenant, il y a beaucoup plus d'informations financières à la disposition du public que les organisations peuvent utiliser pour comparer leurs informations à celles de leurs pairs, et les organismes de réglementation peuvent remettre en question les informations qui s'écartent trop de la moyenne. Les comités d'audit devront également surveiller les modifications apportées aux règlements et s'assurer que celles-ci font l'objet de discussions avec la direction, les auditeurs externes et les conseillers juridiques.

Les organisations ont peut-être bénéficié d'un passe-droit cette fois-ci parce que bien peu ont su prédire cette pandémie, mais elles n'en auront pas un deuxième. Que feront-elles différemment?

Jim Newton, associé en audit,
Institutions financières et co-leader, Centre des
leaders pour conseils d'administration, KPMG au Canada

Lutter contre l'incertitude

L'une des principales difficultés en ce qui a trait au CIIF et aux informations à fournir dans le contexte actuel réside dans l'incertitude accrue entourant les estimations et les prévisions comptables. Il peut être tentant de croire que les modèles existants ne seront d'aucune aide parce que la pandémie est sans précédent, mais ils demeurent tout de même le meilleur point de départ. Pour adapter ces modèles, la direction peut avoir recours au jugement d'experts et appliquer l'approche par superposition pour comptabiliser les données qui ne sont actuellement pas représentées dans les modèles.

Les comités d'audit voudront poser des questions à l'égard du processus utilisé par la direction pour parvenir à ces estimations et mieux le comprendre. Par exemple, ils voudront déterminer, si une analyse de sensibilité a été effectuée, quelle est l'étendue de la fourchette, quel point a été choisi dans cette fourchette, pourquoi il a été choisi et pourquoi il s'agit de la meilleure estimation.

Toutefois, l'incertitude à l'égard de ces chiffres peut augmenter le risque d'anomalies significatives. Afin de s'assurer que ces chiffres sont exempts de parti pris, des questions supplémentaires devront être posées si le point est constamment à la limite supérieure ou inférieure de la fourchette. Il faut s'attendre à ce que les organismes de réglementation et les autres parties prenantes passent au peigne fin les méthodes et les hypothèses utilisées pour parvenir à ces chiffres, et des informations détaillées seront nécessaires.

Réfléchir aux risques différemment

Les organisations doivent commencer à réfléchir aux risques d'une nouvelle façon. Elles ont peut-être bénéficié d'un passe-droit cette fois-ci parce que bien peu ont su prédire cette pandémie, mais elles n'en auront pas un deuxième. Que feront-elles différemment?

Les comités d'audit devront maintenir à jour leur base de connaissances et comprendre où se situent les points à risque. Les cyberrisques ne sont pas nouveaux, mais ils ont gagné en importance. Il en va de même pour les enjeux environnementaux, sociaux et de gouvernance (« ESG »); dans le cadre des facteurs ESG, les enjeux sociaux ont pris une nouvelle ampleur pendant la pandémie.

Les risques ont toujours dépassé les frontières du cyberespace, mais c'est encore plus vrai dans le monde connecté d'aujourd'hui. Nous devons améliorer la façon de considérer les risques, la méthode conventionnelle en deux dimensions consistant à nous attarder à la probabilité et à la gravité de points à risque uniques, et commencer à nous intéresser à l'interconnectivité des risques et à l'interaction entre eux, tant à l'échelle mondiale qu'à celle de l'organisation. Pour y arriver, il faudra davantage d'analyses de données statistiques et scientifiques rigoureuses.

Bien que cela ne relève pas directement des comités d'audit, le manque d'attention portée au bien-être des employés peut présenter un risque lié au CIIF. Les employés qui vivent un stress excessif associé à leur nouvel environnement de travail peuvent devenir moins vigilants en ce qui a trait au respect des processus ou de la surveillance. Ils pourraient être davantage tentés de commettre une fraude, disposant de plus d'occasions et d'une plus grande capacité de rationaliser le comportement, dans le contexte actuel.

Surveillance de votre contrôle

Les comités d'audit demanderont aux leaders d'audit interne quels sont leurs plans pour l'exercice à venir, étant donné les nouvelles circonstances. De même, la pandémie peut avoir une incidence sur l'étendue et le calendrier des audits externes. Par exemple, toutes les prévisions qui entraînent une importante variation des résultats peuvent avoir une incidence sur les calculs du seuil de signification et les travaux qui doivent être réalisés. Dans le cas des établissements à l'étranger, des adaptations devront notamment être apportées pour tenir compte du télétravail.

Le degré d'incertitude actuel est colossal. Cependant, un comité d'audit peut avoir confiance en son travail s'il a assisté à une solide présentation, a posé les bonnes questions et est satisfait des réponses.

Quelles questions les comités d'audit devraient-ils se poser?

  • Comment la direction est-elle parvenue à ses estimations? A-t-elle effectué une analyse de sensibilité et, le cas échéant, quelle était l'étendue de la fourchette et où se situe-t-elle dans cette fourchette?
  • Que fait notre programme de gestion des risques pour anticiper les risques et les interactions entre eux, tant à l'échelle macro que micro?
  • Que font nos organismes de réglementation? Est-ce que cela alourdit notre tâche?
  • Quel est le plan de notre auditeur interne pour l'exercice, étant donné toute cette incertitude?
  • Comment nos auditeurs externes s'adaptent-ils aux circonstances actuelles, comme le télétravail?