Ce que vous apprendrez

> - Structurer une matrice conforme : identifier les contrôles pertinents et les classer selon les critères ISAE 3402.A77 > - Éviter les pièges de classification : distinguer les contrôles clés des contrôles non-clés avec une justification défendable > - Documenter les procédures de test : relier chaque contrôle aux tests appropriés selon ISAE 3402.47 > - Préparer la revue : organiser le dossier pour qu'un associé puisse valider votre approche en 15 minutes

Structure d'une matrice ISAE 3402 défendable

Les composants obligatoires

L'ISAE 3402.25 vous oblige à obtenir une compréhension du système d'information du prestataire pertinent pour l'information financière des entités utilisatrices. Cette compréhension s'articule autour des contrôles identifiés et évalués par le management du prestataire.

Votre matrice doit contenir cinq colonnes minimum.

Référence du contrôle : numérotation unique permettant le suivi depuis l'identification jusqu'au rapport final. Utilisez une logique par processus (FIN-001, IT-001, HR-001) plutôt qu'une numérotation séquentielle générale. Le réviseur doit pouvoir retrouver instantanément le contrôle testé dans vos papiers de travail.

Description du contrôle : énoncé factuel de ce que fait le contrôle, par qui, à quelle fréquence, avec quels outils. L'ISAE 3402.A76 précise que cette description doit être suffisamment détaillée pour permettre aux entités utilisatrices d'évaluer l'impact sur leurs propres contrôles.

Objectif de contrôle : l'assertion ou le risque que ce contrôle adresse. Chaque contrôle répond à un objectif spécifique lié aux services fournis aux entités utilisatrices.

Classification clé/non-clé : détermine l'étendue des tests requis. L'ISAE 3402.A77 fournit les critères de cette classification basés sur l'importance du contrôle pour les objectifs énoncés.

Procédures de test planifiées : nature, calendrier et étendue des tests selon l'ISAE 3402.47. Cette colonne lie directement votre matrice au programme de travail.

La logique de classification clé/non-clé

La classification ne sert pas qu'à remplir une colonne. Elle détermine votre charge de travail. Un contrôle clé mal classifié comme non-clé crée une lacune dans vos tests. Un contrôle non-clé mal classifié comme clé gonfle inutilement votre programme et brûle des heures qui manqueront ailleurs.

L'ISAE 3402.A77 établit qu'un contrôle est considéré comme clé s'il adresse directement un ou plusieurs objectifs de contrôle énoncés ET si une défaillance de ce contrôle pourrait raisonnablement avoir un impact significatif sur les services fournis aux entités utilisatrices.

Quatre questions permettent de trancher : - Ce contrôle adresse-t-il directement un objectif de contrôle énoncé ? - Un contrôle compensatoire existe-t-il qui atteindrait le même objectif ? - Que se passerait-il si ce contrôle échouait complètement ? - Cette défaillance pourrait-elle raisonnablement affecter les états financiers des entités utilisatrices ?

Si les réponses sont oui, non, impact significatif, oui : le contrôle est clé. Une classification C/NC du tampon, sans justification écrite, c'est exactement ce qu'un reviewer H2A remonte. C'est le point qui revient le plus souvent en revue qualité.

Exemple pratique : DataSecure Solutions S.A.S.

DataSecure Solutions S.A.S., prestataire d'hébergement basé à Lyon, traite les données comptables de 127 PME françaises. Chiffre d'affaires 2024 : 8,4 M EUR. 45 collaborateurs. Mission ISAE 3402 Type II demandée par trois clients significatifs qui externalisent leur comptabilité auxiliaire.

Identification des contrôles

Contrôle FIN-003 : chaque matin à 9h00, le responsable comptable exporte un état de rapprochement automatique entre les écritures saisies la veille et les pièces justificatives scannées. Les écarts supérieurs à 50 EUR font l'objet d'un e-mail automatique au chef comptable pour régularisation dans les 24h.

Note de documentation : contrôle automatisé avec trace électronique, fréquence quotidienne, seuil de matérialité défini.

Objectif de contrôle associé : exactitude et exhaustivité des écritures comptables saisies pour le compte des entités utilisatrices.

Classification : clé. Ce contrôle adresse directement l'objectif d'exactitude. Aucun contrôle compensatoire n'existe à ce niveau de granularité. Une défaillance pourrait laisser passer des erreurs de saisie significatives dans les comptes des entités utilisatrices.

Note de documentation : classification justifiée selon ISAE 3402.A77, impact direct sur la fiabilité des données transmises aux entités utilisatrices.

Procédures de test planifiées : test de fonctionnement sur 25 jours sélectionnés sur la période de couverture. Inspection des états de rapprochement, vérification du déclenchement des alertes pour les écarts supérieurs à 50 EUR, test de la régularisation dans les délais.

Note de documentation : étendue conforme à l'ISAE 3402.47, échantillon représentatif sur 12 mois de couverture.

La matrice finale pour DataSecure comprend 23 contrôles, dont 11 classifiés comme clés. Temps de test estimé : 67 heures. Revue associé prévue : 8 heures sur les contrôles clés uniquement.

Checklist pratique pour votre prochaine matrice

1. Listez tous les processus qui touchent aux services fournis aux entités utilisatrices. Chaque processus génère au minimum 2 à 3 contrôles identifiables selon l'ISAE 3402.25.

2. Numérotez par processus (FIN-, IT-, HR-) pour faciliter le suivi et la revue. Évitez la numérotation séquentielle qui complique les ajouts en cours de mission.

3. Documentez la fréquence et les responsables pour chaque contrôle. L'ISAE 3402.A76 exige cette granularité pour que les entités utilisatrices puissent évaluer l'impact sur leurs propres dispositifs.

4. Justifiez chaque classification clé/non-clé dans une colonne commentaires. Une ligne suffit, mais elle doit montrer votre raisonnement selon l'ISAE 3402.A77.

5. Prévoyez 15 % de contrôles supplémentaires découverts en cours de mission. Votre première matrice ne sera jamais complète.

Erreurs fréquentes observées

Classification sur-prudente : classifier tous les contrôles IT comme clés par défaut. Résultat : programme de test surdimensionné et budget dépassé.

Descriptions trop générales : "Le management revise les accès mensuellement", sans préciser qui, comment, avec quels outils de vérification.

Oubli des contrôles compensatoires : un contrôle défaillant peut être compensé par un autre contrôle qui atteint le même objectif. L'analyser change la classification.

Sur ce dernier point, nous recommandons systématiquement à nos lecteurs de mapper les compensations avant la classification, pas après. L'ordre fait la différence entre une matrice défendable en revue CNCC et une matrice à reprendre.

Ressources associées

- Glossaire ISAE 3402 : définitions des termes techniques utilisés dans les missions de services d'organisation - Calculateur de matérialité ISAE 3402 : outil pour déterminer les seuils de test appropriés selon la taille du prestataire - Guide ISA 402 : comprendre les considérations d'audit côté entité utilisatrice

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.