Structurer une matrice conforme : identifier tous les contrôles pertinents et les classer selon les critères ISAE 3402.A77 Éviter les pièges de classification : distinguer les contrôles clés des contrôles non-clés avec une justification défendable Documenter les procédures de test : relier chaque contrôle aux tests appropriés selon ISAE 3402.

Ce que vous apprendrez

Structurer une matrice conforme : identifier tous les contrôles pertinents et les classer selon les critères ISAE 3402.A77
Éviter les pièges de classification : distinguer les contrôles clés des contrôles non-clés avec une justification défendable
Documenter les procédures de test : relier chaque contrôle aux tests appropriés selon ISAE 3402.47
Préparer la revue : organiser le dossier pour qu'un associé puisse valider votre approche en 15 minutes

Structure d'une matrice ISAE 3402 défendable

Les composants obligatoires


ISAE 3402.25 exige que l'auditeur obtienne une compréhension du système d'information du prestataire de services pertinent pour l'information financière des entités utilisatrices. Cette compréhension s'articule autour des contrôles identifiés et évalués par le management du prestataire.
Votre matrice doit contenir cinq colonnes minimum :
Référence du contrôle : numérotation unique permettant le suivi depuis l'identification jusqu'au rapport final. Utilisez une logique par processus (FIN-001, IT-001, HR-001) plutôt qu'une numérotation séquentielle générale. Le réviseur doit pouvoir retrouver instantanément le contrôle testé dans vos papiers de travail.
Description du contrôle : énoncé factuel de ce que fait le contrôle, par qui, à quelle fréquence, avec quels outils. ISAE 3402.A76 précise que cette description doit être suffisamment détaillée pour permettre aux entités utilisatrices d'évaluer l'impact sur leurs propres contrôles.
Objectif de contrôle : l'assertion ou le risque que ce contrôle adresse. Chaque contrôle répond à un objectif spécifique lié aux services fournis aux entités utilisatrices.
Classification clé/non-clé : détermine l'étendue des tests requis. ISAE 3402.A77 fournit les critères de cette classification basés sur l'importance du contrôle pour les objectifs de contrôle énoncés.
Procédures de test planifiées : nature, calendrier et étendue des tests selon ISAE 3402.47. Cette colonne lie directement votre matrice au programme de travail.

La logique de classification clé/non-clé


La classification détermine votre charge de travail. Un contrôle clé mal classifié comme non-clé créera une lacune dans vos tests. Un contrôle non-clé mal classifié comme clé gonflera inutilement votre programme.
ISAE 3402.A77 établit qu'un contrôle est considéré comme clé s'il adresse directement un ou plusieurs objectifs de contrôle énoncés ET si une défaillance de ce contrôle pourrait raisonnablement avoir un impact significatif sur les services fournis aux entités utilisatrices.
Quatre questions permettent de trancher :
Si les réponses sont oui, non, impact significatif, oui : le contrôle est clé.

  • Ce contrôle adresse-t-il directement un objectif de contrôle énoncé ?
  • Un contrôle compensatoire existe-t-il qui atteindrait le même objectif ?
  • Que se passerait-il si ce contrôle échouait complètement ?
  • Cette défaillance pourrait-elle raisonnablement affecter les états financiers des entités utilisatrices ?

Exemple pratique : DataSecure Solutions S.A.S.

DataSecure Solutions S.A.S., prestataire de services d'hébergement basé à Lyon, traite les données comptables de 127 PME françaises. Chiffre d'affaires 2024 : 8,4 M EUR. 45 employés. Mission ISAE 3402 Type II demandée par trois clients significatifs qui externalisent leur comptabilité auxiliaire.

Identification des contrôles


Contrôle FIN-003 : Chaque matin à 9h00, le responsable comptable exporte un état de rapprochement automatique entre les écritures saisies la veille et les pièces justificatives scannées. Les écarts supérieurs à 50 EUR font l'objet d'un e-mail automatique au chef comptable pour régularisation dans les 24h.
Note de documentation : contrôle automatisé avec trace électronique, fréquence quotidienne, seuil de matérialité défini
Objectif de contrôle associé : Exactitude et exhaustivité des écritures comptables saisies pour le compte des entités utilisatrices.
Classification : Clé. Ce contrôle adresse directement l'objectif d'exactitude. Aucun contrôle compensatoire n'existe à ce niveau de granularité. Une défaillance pourrait laisser passer des erreurs de saisie significatives dans les comptes des entités utilisatrices.
Note de documentation : classification justifiée selon ISAE 3402.A77, impact direct sur la fiabilité des données transmises aux entités utilisatrices
Procédures de test planifiées : Test de fonctionnement sur 25 jours sélectionnés sur la période de couverture. Inspection des états de rapprochement, vérification du déclenchement des alertes pour les écarts > 50 EUR, test de la régularisation dans les délais.
Note de documentation : étendue conforme à ISAE 3402.47, échantillon représentatif sur 12 mois de couverture
La matrice finale pour DataSecure comprend 23 contrôles, dont 11 classifiés comme clés. Temps de test estimé : 67 heures. Révision associé prévue : 8 heures sur les contrôles clés uniquement.

Checklist pratique pour votre prochaine matrice

  • Listez tous les processus qui touchent aux services fournis aux entités utilisatrices. Chaque processus génère au minimum 2-3 contrôles identifiables selon ISAE 3402.25.
  • Numérotez par processus (FIN-, IT-, HR-) pour faciliter le suivi et la revue. Évitez la numérotation séquentielle qui complique les ajouts en cours de mission.
  • Documentez la fréquence et les responsables pour chaque contrôle. ISAE 3402.A76 exige cette granularité pour que les entités utilisatrices puissent évaluer l'impact.
  • Justifiez chaque classification clé/non-clé dans une colonne commentaires. Une ligne suffit, mais elle doit montrer votre raisonnement selon ISAE 3402.A77.
  • Prévoyez 15% de contrôles supplémentaires découverts en cours de mission. Votre première matrice ne sera jamais complète.
  • L'essentiel : une matrice bien structurée dès le départ divise par deux le temps de finalisation du dossier.

Erreurs fréquentes observées

Classification sur-prudente : classifier tous les contrôles IT comme clés par défaut. Résultat : programme de test surdimensionné et budget dépassé.
Descriptions trop générales : "Le management revise les accès mensuellement" sans préciser qui, comment, avec quels outils de vérification.
Oubli des contrôles compensatoires : un contrôle défaillant peut être compensé par un autre contrôle qui atteint le même objectif. L'analyser change la classification.
Couverture temporelle incomplète en Type II : ISAE 3402.43 exige de tester l'efficacité opérationnelle sur l'ensemble de la période couverte par le rapport. Concentrer les tests sur les derniers mois de l'exercice laisse un vide probant sur le premier semestre.

Ressources associées

  • Glossaire ISAE 3402 : définitions des termes techniques utilisés dans les missions de services d'organisation
  • Calculateur de matérialité ISAE 3402 : outil pour déterminer les seuils de test appropriés selon la taille du prestataire
  • Guide ISA 402 : comprendre les considérations d'audit côté entité utilisatrice

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.