L’étude de la politique qualité de la Cour des comptes

By 17 February 2013

L’étude de la politique qualité de la Cour des comptes – Partie II :
I. Les référentiels normatifs

I. 1) Le référentiel de l’IFAC

L’IFAC, the International Federation of Accountants est l’organisme normalisateur pour l’audit reconnu mondialement. Cette organisation compte 158 membres et associés dans 122 pays et juridictions et représente ainsi 2,5 millions de professionnels. En termes de communication, l’IFAC affiche la volonté de servir l’intérêt public en renforçant la profession comptable à travers le monde et en contribuant au développement des économies mondiales tout cela en établissant et promouvant des normes comptables et en s’assurant d’une convergence internationale.

L’IFAC est à l’origine des normes ISAs International Standards of Auditing comprenant le référentiel ISQC1 (International Standards on Quality Control)154.

Les normes ISAs ont été élaborées pour le secteur privé, mais définissent des principes de base, pratiques et procédures utilisables pour tous les audits financiers, qu’ils soient pratiqués dans le secteur privé ou dans le secteur public. L’IFAC souhaite notamment étendre aux organismes publics le champ d’application de ses normes, ce pourquoi elle bénéficie de la collaboration de l’INTOSAI155 qui a entrepris de réviser ses normes de contrôle et de publier des guides pratiques (Practice Guides) destinés à compléter les normes ISA. Par ailleurs, une analyse du référentiel des normes ISA a été étendue au secteur public. En effet, dans les cas où les modalités d’application contenues dans une norme ne sont pas applicables au secteur public ou lorsque des modalités d’application supplémentaires sont appropriées au contexte du secteur public, des commentaires spécifiques édictés par le Comité du Secteur Public de l’IFAC sont indiqués spécifiquement dans le référentiel, dans un paragraphe relatif au « Point de vue du Secteur Public » (Public Sector Perspective – PSP). Lorsqu’aucun paragraphe (PSP) n’est ajouté, la norme ISA s’applique en tous points aux missions d’audit dans le secteur public.

Les normes ISAs s’intéressent à toute la démarche d’audit et posent un ensemble de règles propres à garantir le bon exercice de la mission de certification. Après avoir subit un programme de révision (programme Clarity), une version révisée est maintenant disponible depuis avril 2009 et présente un ensemble codifié de normes (standards) de contrôle qualité, d’audit, de missions d’assurance et de services connexes et de recommandations (statements) afin de définir les fondements d’une mission d’audit :

– l’analyse des risques;
– la collecte d’éléments probants : les procédures d’audit sont conçues pour obtenir des informations probantes, suffisantes, pertinentes et fiables, visant à étayer les objectifs d’audit : cela permet à l’auditeur de s’assurer que les observations, les conclusions et recommandations incluses dans ses rapports sont fondées;

154 Handbook of International Auditing, Assurance and Ethics Pronouncements, IFAC, 2006

155 International Organization of Supreme Audit Institution, les objectifs et modes de fonctionnements de cet organisme sont détaillés dans le point suivant.

– le contrôle de la qualité et l’assurance de la qualité (contrôle du contrôle qualité). Le référentiel des normes ISA comporte 33 normes et se subdivise en 6 parties :
1. principes fondamentaux et les caractéristiques de base des missions;
2. l’approche par les risques;
3. les diligences spécifiques à effectuer lors des missions;
4. les questions relatives à l’utilisation des travaux d’autres professionnels;
5. les conclusions de l’audit et à l’émission du rapport;
6. les missions d’audit spéciales.

Dans l’édition anglaise, avant l’exposé des normes, un code de déontologie restitue les notions d’indépendance et de compétence comme les deux fondamentaux de la qualité, on retrouve ainsi la dichotomie présentée en section2.

Au sein du référentiel ISAs, on distingue deux normes se rapportant directement à la qualité de l’audit, il s’agit de la norme ISQC1 (International Standards on Quality Control) et de la norme ISA 220 « Quality Control for Audits of Historical Financial Informations », cette dernière norme étant complémentaire de la première car elle s’applique à l’audit financier alors que la norme ISQC1 est applicable également aux autres missions d’assurance et aux services connexes.

a ISQC1

La norme ISQC 1 dispose que le certificateur « doit mettre en place un système de contrôle qualité destiné à fournir au cabinet l’assurance raisonnable que ce dernier et son personnel se conforment aux normes professionnelles et aux obligations légales et réglementaires, et que les rapports émis par [le certificateur] sont appropriés en la circonstance ».

Le système de contrôle qualité est défini selon deux processus distincts : le contrôle qualité (engagement quality control review) et le suivi du contrôle qualité (monitoring, également désigné par les termes assurance qualité ou surveillance du contrôle qualité).

C’est dans la distinction de ces deux processus que l’on retrouve l’approche théorique de la qualité fondée sur la compétence (contrôle qualité) et l’indépendance (assurance qualité).

Le contrôle qualité désigne les politiques et procédures formalisées et mises en œuvre afin de couvrir chacune des composantes suivantes :
– le leadership et la responsabilité;
– l’éthique;
– l’acceptation et le suivi des missions et des relations auditeurs-audités;
– les ressources humaines;
– la réalisation de la mission;
– la revue du contrôle de qualité et le suivi du système.

Ces points identifiés comme centraux servent de socle à la définition des procédures et des principes fondamentaux composant le système de contrôle qualité d’un audit financier. Ils sont considérés comme étant la structure du contrôle de qualité et recoupent les notions de compétence et d’indépendance. La durée du mandat de l’auditeur se place également dans l’acceptation et le suivi des relations. La peer review est partie prenante de la revue du contrôle de qualité alors que les ressources humaines et l’engagement de performance peuvent se rapprocher de la variable « efforts accordés à l’audit » identifiée précédemment dans l’étude de la qualité théorique. Il est en fait assez naturel de faire le lien entre les critères de qualité vus précédemment et le référentiel de l’IFAC. La qualité de l’audit est ainsi abordée sous un angle très pratique et opérationnel.

Encadré 21 : Analyse de la norme ISQC1

1. Le leadership et la responsabilité

La norme ISQC1 précise qu’il est de la responsabilité du cabinet (associé pour les besoins de l’étude à une institution supérieure de contrôle ou à une institution d’audit) de formaliser et de communiquer les politiques et procédures de contrôle qualité. La communication doit prendre en compte la description des politiques et des procédures et également les objectifs à atteindre. Elle doit également s’efforcer d’être à « double sens », en d’autres termes, prendre en compte l’avis des acteurs de l’audit. L’intérêt, selon l’IFAC, d’une telle formalisation et communication étant de promouvoir une culture interne fondée sur la qualité et donnée en exemple par la direction. Les différents canaux de communication proposés par la norme sont les formations, les réunions et entretiens qu’ils soient formels ou informels, les bulletins d’information ou encore les notes internes. De plus, même si la direction se doit de donner l’exemple en accordant de l’importance aux politiques et procédures qualité, il est important de répartir les responsabilités des travaux d’audit et d’allouer des ressources suffisantes aux procédures de contrôle qualité afin d’apporter le soutien suffisant à la bonne réalisation de la politique qualité. Les responsables du contrôle qualité doivent ainsi posséder les capacités, l’autorité et l’expérience suffisantes pour assumer leur tâche et ne pas avoir un degré d’implication trop élevé qui pourrait compromettre leur objectivité. De plus, pour compléter la définition des rôles et des acteurs et répondre aux exigences de la norme ISQC1, la désignation du responsable qualité doit s’accompagner de la création d’une fiche de poste qui définit ses attributions, le temps qui lui est imparti pour exercer ses fonctions de responsable de la qualité, les moyens à sa disposition et les comptes à rendre à ses supérieures hiérarchiques. Il est également nécessaire que soit clairement indiquées la part de responsabilité et les actions à mettre en œuvre s’il s’avère que sa surveillance du contrôle qualité n’est pas satisfaisante.

La norme ISQC1, pour introduire les principes de leadership et de responsabilité du système de contrôle qualité, pointe ainsi l’importance des moyens, de la communication et de la formalisation.

2. L’éthique

La norme ISQC1 se réfère au code de déontologie pour définir l’éthique. Elle en rappelle les lignes directrices qui sont l’intégrité, l’objectivité, la compétence et la conscience professionnelle, le secret professionnel et le professionnalisme. Suite à ce rappel du code de déontologie, la norme va plus loin en développant le principe d’indépendance, l’un des deux piliers de la qualité de l’audit selon DeAngelo (1981). Ce principe doit être cadré au sein du cabinet d’audit grâce à des procédures et politiques permettant de donner une assurance raisonnable que l’ensemble des acteurs de l’audit est soumis aux règles d’indépendance en communiquant les règles propres à l’institution d’audit et en identifiant et évaluant les situations et relations pouvant nuire à l’indépendance. Il s’agit d’identifier les risques possibles et de prévoir en contrepartie les actions appropriées pour réduire ce risque à un niveau acceptable. Les procédures mises en œuvres pour garantir l’indépendance doivent permettre de déceler les manquements à cette indépendance mais surtout, selon ISQC1, doivent permettre de communiquer sans délai les manquements identifiés en interne à l’échelon hiérarchique approprié. La communication a ici encore une place privilégiée puisque la norme précise que les acteurs de l’audit doivent être informés au moins une fois par an des règles d’indépendance de l’IFAC et des règles d’éthique nationales ou propres à l’institution d’audit. La norme identifie deux mesures pratiques permettant de remédier aux situations portant atteinte à l’indépendance lorsqu’il s’agit de mission d’audit de longue durée ayant entrainée une familiarité entre les acteurs. Ces mesures sont la fixation de critères permettant de situer le moment où il peut y avoir un danger de familiarité et l’institution d’un mécanisme de rotation du responsable de la mission d’audit. Ce mécanisme de rotation est prévu dans les règles nationales notamment lorsqu’il s’agit de missions d’audit légales dans le secteur privé et dans le secteur public. La norme ISQC1 précise en réponse à cette remarque que les développements concernant l’indépendance de l’auditeur et du cabinet d’audit ne sont pas directement utiles au secteur public puisqu’il existe des mesures statutaires.

3. L’acceptation et le suivi des missions et des relations auditeurs-audités

La norme ISQC1 prévoit les conditions d’acceptation et de maintien de la relation client autour des principes suivants :
1. s’assurer de l’intégrité du client;
2. avoir les compétences, la disponibilité et les ressources nécessaires;
3. s’assurer de la conformité aux règles d’éthique.

L’acceptation et la continuité des relations avec le client n’est pas applicable au secteur public puisqu’on ne peut pas parler de choix du client. En effet, pour le cas de la Cour des comptes, sa mission de certification et donc le choix du client est figé constitutionnellement car inscrit dans la Constitution, on parle même de statut monopolistique pour la Cour.

4. Les ressources humaines

Les ressources humaines constituent un enjeu et un risque potentiel majeur pour l’audit financier. Il convient de s’assurer de la mise en œuvre de tous les outils et procédures permettant de stabiliser les ressources humaines propres à l’audit financier et de faire monter les compétences en interne.

La norme ISQC 1 prévoit ainsi que l’institution d’audit «doit définir des politiques et des procédures destinées à fournir l’assurance raisonnable qu’[il] dispose d’un personnel en nombre suffisant, possédant les capacités et les compétences requises, et ayant pris l’engagement de respecter les principes d’éthique applicables à la réalisation de missions selon les normes professionnelles et conformément aux obligations légales et réglementaires».

Ces politiques et procédures portent notamment sur le recrutement, l’évaluation de la performance, les aptitudes, la compétence, le plan de carrière, la promotion interne, la rémunération, l’estimation des besoins en personnel, etc.

Sur les aptitudes et les compétences, la norme identifie plus précisément des acquisitions possibles grâce à l’éducation et la formation professionnelle, à l’expérience et enfin à l’encadrement par du personnel plus expérimenté. De plus, ISQC1 prévoit la mise en œuvre de procédures pour évaluer les aptitudes et compétences des acteurs de l’audit lors de la composition des équipes mais également au cours de la mission d’audit.

5. La réalisation de la mission

Le principe fondamental avancé par la norme ISQC1 concernant la réalisation des missions est l’homogénéité. L’homogénéité dans la qualité des missions d’audit est principalement assurée, par la mise à disposition des acteurs de manuels de procédures complets et documentés. L’homogénéité de la qualité est ensuite possible grâce à un premier mécanisme de qualité, la supervision des travaux réalisée par les membres les plus expérimentés de l’équipe d’audit. Enfin, le dernier mécanisme prôné par la norme dans le cadre de la réalisation des travaux est la consultation qui doit intervenir pour des sujets complexes ou controversés ou encore lors de divergences d’opinion (pour ces dernières il est nécessaire de définir a priori les procédures de traitement adéquates), étant précisé que ces consultations peuvent être externes lorsque les ressources en interne sont insuffisantes.

6. La revue du contrôle de qualité (ou contrôle qualité) et le suivi du système

La norme dispose que le contrôle qualité doit être effectué avant que le rapport d’audit ne soit émis et doit répondre à des procédures prévoyant la nature des revues, la qualification des personnes responsables et la documentation de cette revue.

Concernant la nature du contrôle qualité, la norme indique qu’elle se compose d’entretiens et de revues des appréciations significatives sélectionnées. Ensuite, les personnes chargées du contrôle qualité doivent avoir la qualification technique requise ainsi que l’expérience et l’autorité nécessaire et un degré d’implication ne compromettant pas leur objectivité. Concernant la documentation, la norme ISQC1 indique que « le cabinet doit définir des politiques et des procédures à l’attention des équipes affectées aux missions requérant de celles-ci de compléter la mise en forme finale des dossiers de travail sans délai après que les rapports relatifs à la mission ont été finalisés ». En général, le délai pour compléter les dossiers n’excède pas 60 jours.

La norme ISQC1 prévoit que les dossiers relatifs aux contrôles qualité d’une mission doivent contenir :
1. la formalisation des procédures mises en œuvre dans le cadre des contrôles qualité;
2. les documents attestant que ces procédures ont bien été exécutées avant l’émission du rapport en vue de la certification;
3. les documents attestant que la personne en charge du contrôle de la qualité n’a pas eu connaissance de questions non résolues.

La formalisation des procédures et leur documentation en interne sont des étapes extrêmement importantes dans la réalisation du contrôle qualité car elles impliquent une transparence et une homogénéité des pratiques. C’est pourquoi la formalisation des procédures de contrôle qualité doit être très précise en incluant non seulement les différentes étapes des revues des travaux mais également le rôle, les tâches et les responsabilités de chacun. De plus, la documentation doit respecter les principes de confidentialité, d’archivage sécurisé, d’intégrité et d’accessibilité tels qu’énoncés dans la norme ISQC1.

Après avoir énoncé les principes fondateurs du contrôle qualité ou revue de contrôle qualité, ISCQ1 donne les lignes directrices du suivi du système de contrôle qualité ou assurance qualité: « le cabinet doit définir des politiques et procédures destinées à lui fournir l’assurance raisonnable que les politiques et les procédures relatives au système de contrôle qualité sont pertinentes, adéquates, fonctionnent efficacement et qu’elles sont effectivement respectées. Ces politiques et procédures doivent prévoir un suivi et une évaluation permanente du contrôle qualité du cabinet, incluant des contrôles qualité périodiques d’un échantillon de missions achevées ».

Le contrôle qualité doit faire l’objet d’un suivi visant à donner une assurance raisonnable que les politiques et procédures qui le composent sont pertinentes, adéquates, efficaces et respectées ou en d’autres termes que les contrôles nécessaires sont en place et ont été correctement exécutés et que les voies pour renforcer ou améliorer les contrôles ont été identifiées.

Ce suivi se traduit notamment par une activité d’évaluation permanente incluant des contrôles qualité de second niveau portant sur un échantillon de missions achevées. Le processus des contrôles du suivi consiste à sélectionner des missions et à confier la revue de cette mission à une personne n’ayant été impliquée ni dans cette mission, ni dans la revue de contrôle qualité de celle-ci. Les responsables des revues internes doivent être impliqués dans le processus d’audit seulement au moment de la finalisation du rapport afin de préserver leur indépendance et leur recul. Le temps nécessaire aux revues doit donc être pris en compte dans la phase de finalisation de l’audit selon la norme ISQC1. La réalisation de l’assurance qualité est confiée en général, dans les cabinets ou institutions de contrôle de grande taille, à une équipe interne comprenant un responsable dont le degré d’implication ne remet pas en cause son objectivité. Dans les entités de taille plus réduite, il est possible d’avoir recours à une personne extérieure répondant aux critères de qualification requis pour effectuer une revue du système de contrôle qualité et en comprendre l’efficacité, ce recours s’intitulant alors la revue par les pairs externe en opposition avec la revue par les pairs interne lorsqu’elle est réalisée par une équipe de l’organisation d’audit.

Le suivi du contrôle qualité ou assurance qualité est une notion complémentaire de celle du contrôle qualité qui lui donne une crédibilité face aux destinataires de l’audit financier. Il est essentiel pour obtenir la garantie que les procédures et pratiques mises en œuvre sont correctement appliquées et qu’elles atteignent leurs objectifs et permettent d’organiser la mise en œuvre d’une amélioration continue du contrôle qualité.

L’assurance qualité doit permettre, selon la norme ISQC1, de fournir une évaluation et une appréciation sur le respect des normes professionnelles et des obligations légales et réglementaires, le caractère approprié de la conception du système de contrôle de la qualité et de sa mise en place et sur la correcte application des politiques et procédures du cabinet relatives au contrôle de la qualité.

Ces évaluations et appréciations n’ont pas pour but de critiquer le contrôle qualité et les modalités de l’audit mais bien de déterminer les contrôles les plus appropriés à mettre en œuvre ainsi que les méthodes pour les appliquer et les suivre. Le suivi du contrôle qualité poursuit donc un objectif clairement constructif d’amélioration continue formant ainsi une boucle avec le contrôle qualité.

b La norme ISA 220

La norme ISA 220 est complémentaire de la norme ISQC1 car elle applique en fait les principes généraux de cette norme au cas particulier de l’audit financier. En ce sens, elle reprend, selon une organisation différente, les principales notions de la norme ISQC1 à savoir les responsabilités, l’acceptation et le maintien de la relation client, le personnel affecté à la mission, la réalisation de la mission et le suivi du système de contrôle qualité.

La norme ISA 220 définit le contrôle de qualité comme « les politiques et procédures de l’entreprise qui fournissent une assurance raisonnable que l’entreprise et son personnel suivent les normes professionnelles, les lois et les règlements et que les rapports effectués sont appropriés en toutes circonstances ».

Encadré 22 : Analyse de la norme ISA 220

1. Les responsabilités ISA 200 précise que l’associé responsable de la mission d’audit doit prendre à sa charge la responsabilité globale de la mission en s’assurant notamment que les règles d’éthiques et les règles d’indépendance sont respectées.

2. L’acceptation et le maintien de la relation client ISA 220 stipule que c’est encore à l’associé que toutes les procédures prévues par la norme ISQC1 ont été mises en œuvre.

3. Le personnel affecté à la mission

On retrouve ici les notions de compétences, aptitudes et disponibilités présente dans la norme ISQC1 à la différence que pour ISA 220 les aptitudes et compétences sont listées. Il s’agit, entre autres points, des connaissances pratiques, des connaissances des normes, des connaissances techniques (comme celles portant sur les systèmes d’information) ou encore des connaissances du secteur d’activité.

4. La réalisation de la mission

Les points qui ressortent sont la communication avec l’équipe d’audit, l’objectivité, l’esprit critique, la consultation et la supervision des travaux. Concernant la supervision, la nome ISA 220 précise que les revues des travaux doivent porter sur la conformité des travaux avec les normes professionnelles, la prise en compte des questions importantes, la documentation des conclusions, le calendrier et l’étendue des travaux, les éléments probants collectés et enfin l’atteinte des objectifs.

5. Le suivi du système de contrôle qualité.

Contrairement à la norme ISQC1, ce point ne comporte pas la notion de contrôle qualité (ou revue de contrôle qualité) car elle est distincte dans la présentation et rattachée à la réalisation des missions. Les dispositions y sont les même que celles présentées dans la norme ISQC1 avec les précisions suivantes pour le contrôle qualité : l’associé est responsable de la revue de contrôle qualité qui doit comporter une évaluation objective des jugements exercés par l’équipe d’audit et des conclusions qui en ont été tirées et qui sont présentées dans le rapport d’audit.

ISQC1 et ISA 220 sont les deux piliers de la qualité de l’audit en ce qui concerne le référentiel d’audit international. Afin d’assoir davantage sa position d’influence et sa mission de pédagogie, l’IFAC a également publié en 2007 un document de communication intitulé Tone at the Top and Audit Quality. L’objectif de ce document n’est pas de donner des indicateurs ou même des mesures de la qualité de l’audit mais bien de dégager ce qui constitue l’esprit ou la culture qualité en audit. Il porte ainsi sur l’intégration de la politique qualité dans le management d’une organisation. Pour cela, il incite les organisations d’audit à intégrer la notion de qualité dès la construction de la stratégie de l’organisation, puis dans la communication grâce à la création d’un poste « responsable de la qualité » et la définition de buts et objectifs avec des indicateurs reliés à ces deux notions qui seraient in fine cadrés par un système de suivi ou encore un système d’assurance qualité. Même si ce document ne donne pas une liste d’indicateurs préétablie, il donne en revanche quelques pistes d’outils à solliciter. Ainsi, pour intégrer la qualité de l’audit dès la préparation de la stratégie de l’organisation d’audit, l’IFAC propose de mettre en œuvre un code de conduite, un Balanced Scorecard permettant d’aligner les objectifs stratégiques avec les mesures de la performance ou encore une documentation formelle promue par un réseau de travail. La communication est ici encore centrale pour l’IFAC qui insiste sur la nécessite d’encourager l’intégrité, l’objectivité, l’indépendance et l’esprit critique dans tous les modes de communication possibles.

Tel que présenté, le référentiel d’audit de l’IFAC fait autorité sur la scène internationale. Les principaux principes avancés pour définir la qualité de l’audit (leadership, éthique, acceptation et suivi de la relation client, exécution de la mission, indépendance, ressources humaines, contrôle qualité et suivi du contrôle qualité) sont ainsi très largement repris par tous types d’institutions d’audit, y compris les institutions supérieures d’audit. Cependant, afin d’adapter le référentiel de l’IFAC aux spécificités du secteur public, il existe des organismes qui regroupent ces ISC et jouent ainsi le rôle de l’IFAC pour le cas spécifique de l’audit des comptes publics.