INDÉPENDANCE – IMPARTIALITÉ – PRESTATION – CARTOGRAPHIE DES RISQUES – ENTITÉ NON EIP – Le commissaire aux comptes d'une entité non EIP peut-il réaliser une prestation de cartographie des risques pour l'entité dont il certifie les comptes ou pour les entités qui la contrôlent ou qu'elle contrôle ? (oui sous réserve de la limitation de la prestation à certains travaux) – CEP 2022-07
La prestation de « Cartographie des risques », telle que présentée et décrite parmi les prestations/missions proposées par la CNCC comprend des travaux de différentes natures qui ont été analysés par la Commission d’éthique professionnelle afin de déterminer si le commissaire aux comptes en charge de la certification des comptes d’une entité non EIP peut fournir cette prestation.
Il résulte de cette analyse que le commissaire aux comptes en charge de la certification des comptes d’une entité peut lui expliciter comment formaliser son analyse des risques sous forme de cartographie et, lorsque l’entité a défini l’échelle de mesure des risques sous sa seule responsabilité, il peut positionner les risques sur cette échelle et en présenter une représentation graphique. Il peut également procéder, à la demande de l’entité, à une revue critique d’une première évaluation des risques réalisée par cette dernière. Ces travaux ne seraient pas de nature à placer le commissaire aux comptes en charge de la certification des comptes de l’entité concernée dans une situation d’autorévision ou de perte d’indépendance et d’impartialité.
En revanche, les travaux consistant à mesurer et évaluer des risques en termes de conséquences et de probabilité d’occurrence sur une échelle qu’il a définie et à la place de l’entité, le placent dans une situation de perte d’indépendance et d’impartialité et ne peuvent pas être des travaux réalisés par le commissaire aux comptes en charge de la certification des comptes de l’entité car ils le conduisent à être associé à la gestion ou à la prise de décision de l’entité. Il en est de même si le commissaire aux comptes fournit lui-même un outil de gestion des risques ou définit l’échelle de mesure des risques, et fixe les plans d’actions ou les met en œuvre postérieurement à la cartographie des risques. Enfin, l’analyse des vulnérabilités affectant la capacité de l’entité à poursuivre ses activités et les recommandations nécessaires ou souhaitables y afférent sont de nature à influer sur la gestion, le contrôle interne et les comptes de l’entité.