Table des matières

- Votre responsabilité selon l'ISA 402 - Les deux types de rapports et ce qu'ils vous donnent - Exemple concret : évaluer un rapport de paie externalisée - Checklist d'évaluation en cinq étapes - Erreurs courantes à éviter - Contenus connexes

Votre responsabilité selon l'ISA 402

Ce qui se passe en réalité sur les petites missions : le rapport arrive tard, le budget temps est déjà entamé sur les travaux de cut-off, et l'équipe traite la SO au forfait. Deux heures, lecture rapide, conclusion recopiée de l'année précédente. Nous l'avons vu, nous l'avons fait. Ce n'est pas de la mauvaise foi, c'est une contrainte structurelle : la norme suppose un temps d'analyse que le budget commercial ne prévoit pas.

La norme, elle, part d'une règle simple. L'ISA 402.12 demande à l'auditeur utilisateur d'obtenir une compréhension des services fournis et de leur effet sur le contrôle interne de l'entité utilisatrice. Cette compréhension ne peut pas reposer uniquement sur le rapport de l'auditeur de la SO.

Quatre paragraphes cadrent nos obligations.

L'ISA 402.15 nous oblige à évaluer la conception et la mise en place des contrôles pertinents, « pertinents » signifiant les contrôles qui se rapportent aux assertions des états financiers que nous auditons. Sur le papier, c'est clair. Dans les dossiers que nous voyons, la sélection « pertinents » n'est jamais documentée : l'équipe a coché les vingt-deux contrôles du rapport parce qu'il était plus rapide de tout cocher que de trier.

L'ISA 402.16 exige, pour chaque contrôle pertinent, une détermination sur le caractère suffisant et approprié des éléments probants contenus dans le rapport. L'ISA 402.19 prévoit la suite logique : si les éléments probants sont insuffisants, il faut en obtenir d'autres, par des procédures directes chez la SO ou par des tests chez l'entité utilisatrice.

La plupart des équipes s'arrêtent à la lecture. La norme va plus loin, et l'inspection H3C aussi.

Quand l'ISA 402 s'applique

L'ISA 402.9 fixe le seuil : quand les services d'une SO font partie du système d'information de l'entité en lien avec l'information financière. Les services administratifs de base (nettoyage, sécurité) ne déclenchent pas la norme. Le traitement des transactions financières, oui.

Les services couverts incluent typiquement le traitement de la paie, la gestion des investissements, le traitement des paiements par carte, la tenue de la comptabilité générale, le traitement des créances clients, ou la gestion des stocks dans un entrepôt tiers.

Les deux types de rapports et ce qu'ils vous donnent

L'ISAE 3402 définit deux types de rapports, et ils ne répondent pas aux mêmes questions d'audit.

Rapport de Type 1 : conception et mise en place

Là où les équipes se trompent le plus souvent : accepter un rapport de Type 1 comme substitut à un Type 2 parce qu'il est arrivé en premier. Un Type 1 décrit les contrôles de la SO et porte une opinion sur leur conception et leur mise en place à une date donnée. Il ne dit rien sur leur fonctionnement dans la durée.

Ce qu'il apporte, c'est une confirmation que les contrôles pertinents existent et sont conçus correctement au 31 décembre (ou toute autre date de référence). Ce qu'il n'apporte pas : la moindre assurance sur l'efficacité opérationnelle pendant l'exercice audité. L'ISA 402.A32 indique que si nous ne disposons que d'un Type 1, il faudra en général tester les contrôles nous-mêmes.

Rapport de Type 2 : efficacité opérationnelle

Un Type 2 reprend les éléments du Type 1 et ajoute les tests de l'auditeur de la SO sur l'efficacité opérationnelle des contrôles pendant une période définie.

Ce qu'il apporte : des éléments probants sur le fonctionnement effectif des contrôles pendant la période couverte. La condition critique reste la période de couverture, qui doit chevaucher de manière appropriée notre exercice d'audit. L'ISA 402.A34 précise que plus l'écart temporel est grand, plus il faudra d'éléments probants supplémentaires.

Évaluer la période de couverture

Un rapport Type 2 du 1er janvier au 30 septembre pour un audit clos au 31 décembre laisse un écart de trois mois. L'ISA 402.A35 propose plusieurs procédures pour combler cet écart : tests des contrôles chez l'entité utilisatrice pour la période non couverte, examen des rapports de surveillance interne de la SO, ou contact direct avec la SO pour obtenir des informations sur la période non couverte.

Nous avons une position arrêtée sur ce point, parce que nous avons été corrigés dessus deux fois en inspection : un bridge letter signé par la direction de la SO ne vaut pas un rapport d'assurance. Il complète, il ne remplace pas.

Exemple concret : évaluer un rapport de paie externalisée

Scenario : Dubois Industrie SAS, fabricant de composants automobiles avec 650 salariés et un chiffre d'affaires de 78 M EUR, externalise sa paie chez PayService Europe depuis deux ans. Nous auditons l'exercice clos au 31 décembre 2024.

Le rapport reçu : rapport ISAE 3402 Type 2 couvrant la période du 1er juillet 2024 au 30 novembre 2024, émis par un cabinet international. Vingt-deux contrôles décrits, quatre exceptions relevées.

identifier les contrôles pertinents

Nous analysons les contrôles décrits et isolons ceux qui affectent les assertions des états financiers de Dubois Industrie. Quatre contrôles sortent du tri :

- Contrôle n°7 : approbation des modifications de salaires par un responsable autorisé - Contrôle n°12 : rapprochement mensuel entre les données RH et les calculs de paie - Contrôle n°15 : validation des retenues sociales par référence aux barèmes officiels - Contrôle n°18 : sauvegarde et archivage des justificatifs de paie

Note de documentation : ces quatre contrôles affectent directement les assertions d'exactitude, d'exhaustivité et d'évaluation pour les charges de personnel (31,2 M EUR au compte de résultat).

évaluer la couverture des tests

PayService Europe a testé ces contrôles avec des fréquences très différentes :

- Contrôle n°7 : 25 échantillons testés sur 5 mois (aucune exception) - Contrôle n°12 : test exhaustif mensuel (aucune exception) - Contrôle n°15 : test par sondage sur 3 paies (aucune exception) - Contrôle n°18 : procédure non testée (hors champ du rapport)

La complication qui change l'évaluation : le contrôle n°7 affiche zéro exception sur 25 échantillons, mais en lisant la description de l'échantillonnage en annexe, nous voyons que l'auditeur de la SO a stratifié son test vers les mois de faible volume d'embauche (juillet-août, période creuse). Sur la période réelle d'activité (septembre-novembre, rentrée et renforts de fin d'année), il ne reste que six tests. Le taux d'exception de zéro pour cent n'est pas utilisable tel quel sur notre exercice. Il faut soit retester la période haute nous-mêmes, soit demander à la SO un complément d'échantillon stratifié sur les mois à fort volume.

Note de documentation : le contrôle n°18 nécessite des procédures complémentaires. Le contrôle n°15 présente une couverture faible. Le contrôle n°7 demande un redressement d'échantillonnage.

analyser les exceptions

Quatre exceptions ont été relevées, mais une seule touche nos contrôles pertinents. L'exception sur le contrôle n°12 indique un retard de deux jours dans le rapprochement de novembre 2024, avec régularisation immédiate.

Note de documentation : exception mineure sur le contrôle n°12, sans impact sur l'exactitude des calculs. Aucune procédure complémentaire nécessaire.

évaluer l'écart temporel

Le rapport couvre juillet à novembre 2024. Notre audit couvre l'exercice entier. L'écart porte sur janvier-juin 2024 et décembre 2024.

Note de documentation : obtenir les rapports de monitoring interne de PayService pour décembre 2024. Tester les rapprochements effectués par Dubois Industrie pour janvier-juin 2024.

Checklist d'évaluation en cinq étapes

Voici une divergence légitime entre praticiens raisonnables. Certains confrères utilisent cette checklist au tout début de la revue du rapport, comme grille de lecture. D'autres, dont nous faisons partie, la gardent pour la fin, comme contrôle de cohérence sur le travail déjà fait. Le premier groupe argue que la checklist structure la lecture. Le second répond que lire le rapport d'abord, sans cadre pré-imposé, permet de repérer les anomalies de forme (échantillonnage stratifié, périmètre réduit discrètement depuis l'année précédente) qu'une checklist fait manquer. Les deux approches sont défendables. Choisissez selon la maturité de votre équipe sur le sujet.

1. Cartographier les contrôles pertinents

- [ ] Identifier les flux de transactions traités par la SO - [ ] Déterminer les assertions des états financiers affectées par ces flux - [ ] Sélectionner dans le rapport uniquement les contrôles qui couvrent ces assertions - [ ] Documenter pourquoi chaque contrôle sélectionné est pertinent (ISA 402.15)

2. Vérifier la période de couverture

- [ ] Confirmer que le rapport couvre une période appropriée par rapport à l'exercice d'audit - [ ] Calculer l'écart temporel si la couverture est partielle - [ ] Planifier les procédures pour combler l'écart selon l'ISA 402.A35 - [ ] Vérifier que le rapport n'est pas antérieur de plus d'un an (ISA 402.A34)

3. Évaluer les tests effectués

- [ ] Examiner la nature des tests pour chaque contrôle pertinent - [ ] Vérifier que la taille d'échantillon est appropriée, et (point souvent oublié) que la stratification ne biaise pas le résultat - [ ] Confirmer que les tests couvrent la période d'intérêt pour l'audit - [ ] Identifier les contrôles pertinents non testés (qui demandent des procédures complémentaires)

4. Analyser les exceptions et leurs conséquences

- [ ] Recenser toutes les exceptions qui affectent les contrôles pertinents - [ ] Évaluer l'impact potentiel de chaque exception sur les assertions - [ ] Vérifier si la SO a pris des mesures correctives - [ ] Déterminer si des procédures d'audit supplémentaires sont nécessaires

5. Documenter la conclusion

- [ ] Conclure sur l'adéquation des éléments probants obtenus - [ ] Documenter les procédures complémentaires planifiées ou réalisées - [ ] Enregistrer l'impact de l'évaluation sur l'approche d'audit globale - [ ] Ne jamais se contenter de la conclusion générale du rapport. L'évaluation détaillée des contrôles pertinents est une obligation professionnelle (ISA 402.16)

Erreurs courantes à éviter

Nous avons tiqué trop vite sur ce type de rapport lors d'une mission 2022, jusqu'à ce qu'un associé nous fasse remarquer que la vraie question n'était pas la conclusion générale mais le détail de l'échantillonnage. Depuis, notre équipe a changé sa séquence de lecture : annexe méthodologique d'abord, opinion ensuite. Je l'avoue, c'est contre-intuitif la première fois.

Les trois écueils qui reviennent dans les dossiers que nous revoyons, et deux angles morts que personne ne cite assez :

Se fier uniquement à la conclusion générale du rapport. Les rapports ISAE 3402 peuvent conclure favorablement tout en présentant des exceptions sur des contrôles pertinents pour notre audit. La synthèse ne suffit jamais.

Ignorer les écarts de période. Un rapport couvrant une période différente de notre exercice demande toujours des procédures complémentaires. L'absence de chevauchement ne rend pas le rapport inutile, mais il ne peut pas être l'unique source d'assurance.

Omettre l'évaluation de la pertinence. Tous les contrôles décrits dans le rapport ne sont pas pertinents pour notre audit. Nous concentrons la sélection sur ceux qui touchent les assertions matérielles.

Accepter un taux d'exception sans lire la stratification. Un taux de zéro pour cent n'est informatif que si l'échantillon couvre les périodes de risque réel. Quand le dossier est trop léger sur ce point, c'est au doigt mouillé que l'on conclut, et l'inspection le verra.

Confondre bridge letter et extension de période. Une lettre de la direction de la SO n'est pas un élément probant indépendant.

Contenus connexes

- Glossaire : Organisation de services selon l'ISA 402 - Les définitions précises et les critères d'application de la norme. - Outil : Matrice d'évaluation ISA 402 - Modèle Excel pour documenter l'évaluation des contrôles pertinents et planifier les procédures complémentaires. - Article connexe : Comment identifier les déficiences en contrôle interne selon l'ISA 265 - L'approche complémentaire quand l'évaluation révèle des faiblesses.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.