3.3. La qualification de l'importance des déficiences
identifiées
L'évaluation du contrôle interne portant sur la
préparation des états financiers implique pour le CAC
l'évaluation de la gravité des anomalies observées dans
l'efficacité opérationnelle des contrôles
généraux informatiquess communiqués par les experts
informatiques. L'objectif pour le CAC est de déterminer si ces anomalies
constituent une déficience significative ou une faiblesse de
contrôle interne qui pourraient modifier son opinion sur
l'efficacité du contrôle interne relatif à la
préparation des états financiers.
Afin de qualifier l'anomalie comme une déficience, le
CAC va tenir compte notamment des éléments suivants :
- le niveau de l'anomalie par rapport à l'ensemble de
la population testée, (ex : si les tests ont révélé
un pourcentage faible d'anomalie sur un nombre de testss très
élevé, cela diminuera le risque de qualification de l'existence
d'une déficience) ;
- l'exploitation éventuelle de l'anomalie (ex : si le
CAC obtient des éléments démontrant que l'anomalie n'a pas
été exploitée, il ne considérera pas celle-ci comme
une déficience) ; et
- l'effet de l'anomalie sur l'efficacité d'autres
contrôles (plus une anomalie sur l'efficacité d'un contrôle
a d'impacts sur d'autres contrôles, plus elle aura des chances
d'être considérée comme une déficience).
Si la déficience identifiée n'a pas d'impacts
significatifs sur les états financiers, elle ne remet pas en cause le
contrôle interne sur la préparation des comptes. Elle pourra par
conséquent, être considérée comme non significative.
Les éléments suivants pourront être pris en compte par le
professionnel afin d'évaluer le risque d'un impact de cette
déficience sur les états financiers :
- la circonscription de l'impact à des agrégats
non significatifs ou non susceptibles de comprendre un risque de fraude ;
- le niveau de complexité et de connaissances
techniques requises pour exploiter l'anomalie identifiée et conduire
à un impact significatif sur les états financiers (plus elles
sont élevées, moins le risque est élevé) ; et
- l'interaction du contrôle déficient avec
d'autres contrôles.
L'annexe 11 propose un arbre de décision pour qualifier
les déficiences de contrôle interne identifiées.
Dans le cas où des agrégats significatifs des
états financiers peuvent être impactés par une
déficience d'un contrôle informatique, le CAC pourra
considérer celle-ci comme non significative si des contrôles
compensatoires pertinents et efficients couvrent les risques attachés
à ces agrégats. Il devra en revanche favoriser les tests de
l'efficacité d'autres contrôles informatiques car les
contrôles manuels qui peuvent être utilisés ne doivent pas
être impactés par la déficience identifiée (ce qui
est rare dans les systèmes informatiques intégrés
couramment utilisés).
La revue de travaux des experts informatiques doit donc
être effectuée en amont de la revue des contrôles
opérationnels. Une architecture de contrôle interne reposant sur
des éléments issus d'un système informatique
déficient ne peut jamais être conçue de manière
efficace.
L
| 
