Definition

Les criteres en assurance sont les referentiels qu'un praticien utilise pour evaluer ou mesurer le sujet audite dans une mission d'assurance. Ils constituent le point de reference pour l'evaluation et la conclusion. ISAE 3000.24(b)(iv) exige que le praticien evalue l'adequation des criteres avant d'accepter la mission. Ce n'est pas une recommandation de bonne pratique : c'est une condition prealable.

Points cles

  • L'adequation des criteres est une condition prealable, pas une etape de documentation : la mission ne peut pas etre acceptee sans elle (ISAE 3000.24(b)(iv)).
  • Cinq caracteristiques doivent toutes etre satisfaites : pertinence, exhaustivite, fiabilite, neutralite et comprehensibilite.
  • Les criteres etablis beneficient d'une presomption d'adequation ; les criteres developpes par l'entite n'en beneficient pas.

Fonctionnement

ISAE 3000.24(b)(iv) exige que le praticien evalue si les criteres sont adequats avant d'accepter une mission d'assurance. Si les criteres ne sont pas adequats, la mission ne peut pas etre menee.
Les criteres se repartissent en deux categories. Les criteres etablis (tels que les IFRS, les normes comptables locales ou les cadres reglementaires) beneficient d'une presomption d'adequation parce qu'ils sont developpes par un processus transparent et sont largement reconnus. Les criteres developpes par l'entite ne beneficient pas de cette presomption et exigent que le praticien evalue chacune des cinq caracteristiques directement avant l'acceptation.
ISAE 3000.A45 exige que les criteres soient : (1) pertinents pour le sujet audite, (2) complets (sans omettre de facteurs pertinents), (3) fiables (permettant une evaluation coherente), (4) neutres (exempts de biais), et (5) comprehensibles par les utilisateurs prevus. L'exhaustivite est la caracteristique la plus souvent sous-estimee (ISAE 3000.A48). Des criteres peuvent paraitre bien definis tout en omettant des facteurs significatifs qui affectent le sujet audite.

Exemple concret : Maison Bretagne SARL

Client : Maison Bretagne SARL, Rennes, France. PME manufacturiere. Chiffre d'affaires de 18 M EUR, 45 salaries. La direction demande une assurance limitee sur la conformite aux exigences du Reglement general sur la protection des donnees (RGPD).
Etape 1 : Identifier les criteres proposes
La direction propose : la conformite au RGPD est mesuree par la presence d'une politique de protection des donnees, l'accomplissement d'une analyse d'impact (DPIA) documentee et l'existence d'un processus de consentement pour les donnees personnelles.
Note de documentation : dans le papier de travail Planification, creer une section intitulee Criteres d'assurance retenus et consigner textuellement les criteres tels qu'enonces par le client.
Etape 2 : Evaluer l'adequation des criteres
Vous recherchez les exigences du RGPD applicables a une petite entreprise. Le Chapitre IV du RGPD (articles 32 a 36) enonce les exigences de traitement des donnees personnelles. Une DPIA est requise uniquement si le traitement presente un risque eleve (article 35). Le consentement n'est qu'une base juridique parmi sept possibles (article 6). Les criteres proposes sont incomplets. Ils couvrent trois elements mais omettent les autres bases juridiques, l'obligation d'informer les personnes concernees et les exigences techniques specifiques a la securite des donnees (article 32).
Note de documentation : rediger un courriel au client expliquant que les criteres proposes couvrent trois domaines et que, pour une assurance significative sur la conformite globale au RGPD, il faut clarifier le perimetre souhaite.
Etape 3 : Accepter ou rejeter la mission
Le client confirme qu'il souhaite une assurance limitee sur la presence d'une politique RGPD documentee, l'existence d'une DPIA documentee pour les traitements a haut risque et la presence d'un processus de consentement formalise pour les traitements requerant le consentement en tant que base juridique. Vous mettez a jour les criteres. Vous les relisez par rapport aux articles 32-36 du RGPD. Vous consignez votre conclusion : les criteres, tels que clarifies, couvrent les domaines de conformite retenus. Ils sont tires d'exigences legales en vigueur. Ils sont suffisamment objectifs pour permettre une evaluation coherente. La mission peut se poursuivre.
Note de documentation : placer une copie des criteres finaux approuves en premiere page du dossier. Ajouter une declaration : Criteres approuves et acceptes le [date]. Adequation des criteres evaluee et confirmee comme satisfaisante.
Conclusion : Maison Bretagne SARL a trois criteres clairs et documentes. Vous les avez evalues par rapport a la source (le RGPD, articles 32-36). Vous avez identifie ce qu'ils couvrent et ce qu'ils n'incluent pas. Vous avez obtenu une approbation ecrite. La mission peut maintenant se poursuivre avec la collecte des elements probants relatifs a ces trois criteres.

Ce que les reviseurs et les praticiens mesinterpretent

  • Acceptation sans evaluation documentee. Les praticiens acceptent frequemment des criteres developpes par l'entite sans documenter leur evaluation de chacune des cinq caracteristiques. Une seule phrase indiquant les criteres sont adequats ne satisfait pas l'exigence. Le dossier doit montrer quelles caracteristiques ont ete evaluees, quels elements probants ont etaye l'evaluation et quelle conclusion a ete tiree pour chacune.
  • Lacunes d'exhaustivite les plus courantes. Les criteres qui semblent definis mais qui omettent des facteurs significatifs creent un probleme de perimetre qui se repercute sur la conclusion. Si les criteres sont incomplets, la conclusion d'assurance est limitee a ce que les criteres couvrent, et les utilisateurs peuvent ne pas comprendre l'ecart entre ce qui a ete evalue et ce qu'ils supposent avoir ete evalue.

Criteres vs. cadre de preparation

| Aspect | Criteres d'assurance | Cadre de preparation |
|---|---|---|
| Definition | L'ensemble de normes par rapport auxquelles vous evaluez les informations | Le cadre utilise par l'entite pour preparer les informations |
| Exemple | Les exigences ESRS sur les changements climatiques | Les Normes internationales d'information financiere |
| Votre role | Vous selectionnez les criteres, les evaluez pour adequation et les documentez | Vous testez que l'entite a applique correctement ce cadre |
| Accessibilite | Doit etre accessible a tous les utilisateurs du rapport | Peut rester interne |
| Documentation | Doit figurer dans le rapport d'assurance ou etre communiquee aux utilisateurs | Peut rester un document de travail interne |

Termes associes

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.