Table des matières

Votre responsabilité selon l'ISA 402

L'ISA 402.12 établit une règle simple : l'auditeur utilisateur doit obtenir une compréhension des services fournis par l'organisation de services et de leur effet sur le système de contrôle interne de l'entité utilisatrice. Cette compréhension ne peut pas reposer uniquement sur le rapport de l'auditeur de l'organisation de services.
Trois paragraphes définissent vos obligations :
ISA 402.15 - Vous devez évaluer la conception et la mise en place des contrôles pertinents de l'organisation de services. « Pertinents » signifie les contrôles qui se rapportent aux assertions dans les états financiers que vous auditez.
ISA 402.16 - Pour les contrôles pertinents, vous devez déterminer si les informations du rapport de l'auditeur de l'organisation de services fournissent des éléments probants suffisants et appropriés.
ISA 402.19 - Si les éléments probants sont insuffisants, vous devez obtenir des éléments probants supplémentaires. Cela peut inclure des procédures directes chez l'organisation de services ou des tests supplémentaires chez l'entité utilisatrice.
La plupart des équipes s'arrêtent à la lecture du rapport. L'ISA 402 va bien plus loin.

Quand l'ISA 402 s'applique


L'ISA 402.9 fixe le seuil d'applicabilité : quand les services d'une organisation de services font partie du système d'information de l'entité concernant l'information financière. Les services administratifs de base (nettoyage, sécurité) ne déclenchent pas l'ISA 402. Le traitement des transactions financières, si.
Les services couverts incluent typiquement : traitement de la paie, gestion des investissements, traitement des paiements par carte, tenue de la comptabilité générale, traitement des créances clients, gestion des stocks dans un entrepôt tiers.

Les deux types de rapports et ce qu'ils vous donnent

L'ISAE 3402 définit deux types de rapports, et ils ne répondent pas aux mêmes questions d'audit.

Rapport de Type 1 : conception et mise en place


Un rapport de Type 1 décrit les contrôles de l'organisation de services et l'opinion de l'auditeur de services sur leur conception et leur mise en place à une date donnée. Il ne dit rien sur l'efficacité opérationnelle.
Ce qu'il vous apporte : confirmation que les contrôles pertinents existent et sont conçus correctement au 31 décembre (ou toute autre date de référence).
Ce qu'il ne vous apporte pas : aucune assurance que ces contrôles ont fonctionné efficacement pendant l'exercice que vous auditez.
L'ISA 402.A32 précise que si vous ne disposez que d'un rapport de Type 1, vous devrez généralement effectuer des tests des contrôles vous-même pour obtenir l'assurance sur leur efficacité opérationnelle.

Rapport de Type 2 : efficacité opérationnelle


Un rapport de Type 2 inclut les mêmes éléments que le Type 1, plus les tests de l'auditeur de services sur l'efficacité opérationnelle des contrôles pendant une période définie.
Ce qu'il vous apporte : des éléments probants sur le fonctionnement effectif des contrôles pendant la période couverte.
Condition critique : la période couverte par le rapport doit chevaucher de manière appropriée avec votre exercice d'audit. L'ISA 402.A34 indique que plus l'écart temporel est grand, plus vous devrez obtenir d'éléments probants supplémentaires.

Évaluer la période de couverture


Un rapport de Type 2 du 1er janvier au 30 septembre pour un audit d'exercice clos au 31 décembre laisse un écart de trois mois. L'ISA 402.A35 suggère des procédures pour combler cet écart :

  • Tests des contrôles de l'entité utilisatrice pour la période non couverte
  • Examen des rapports de surveillance interne de l'organisation de services
  • Contact direct avec l'organisation de services pour obtenir des informations sur la période non couverte

Exemple concret : évaluer un rapport de paie externalisée

Scenario : Dubois Industrie SAS, fabricant de composants automobiles avec 650 salariés et un chiffre d'affaires de 78 M EUR, externalise sa paie chez PayService Europe depuis deux ans. Vous auditez l'exercice clos au 31 décembre 2024.
Le rapport reçu : rapport ISAE 3402 Type 2 couvrant la période du 1er juillet 2024 au 30 novembre 2024, émis par un cabinet international. Vingt-deux contrôles décrits, quatre exceptions relevées.

Étape 1 : identifier les contrôles pertinents


Vous analysez les contrôles décrits dans le rapport et identifiez ceux qui affectent les assertions dans les états financiers de Dubois Industrie.
Contrôles pertinents identifiés :
Note de documentation : ces quatre contrôles affectent directement les assertions d'exactitude, d'exhaustivité et d'évaluation pour les charges de personnel (31,2 M EUR au compte de résultat).

Étape 2 : évaluer la couverture des tests


Le rapport montre que PayService Europe a testé ces contrôles, mais avec des fréquences différentes :
Note de documentation : le contrôle n°18 nécessite des procédures complémentaires. La procédure n°15 présente une couverture limitée (3 échantillons sur 5 mois).

Étape 3 : analyser les exceptions


Quatre exceptions ont été relevées, mais seulement une affecte vos contrôles pertinents. L'exception sur le contrôle n°12 indique un retard de deux jours dans le rapprochement de novembre 2024, avec régularisation immédiate.
Note de documentation : exception mineure sur le contrôle n°12, sans impact sur l'exactitude des calculs. Aucune procédure complémentaire nécessaire.

Étape 4 : évaluer l'écart temporel


Le rapport couvre juillet à novembre 2024. Votre audit couvre l'exercice entier. L'écart porte sur janvier-juin 2024 et décembre 2024.
Note de documentation : obtenir les rapports de monitoring interne de PayService pour décembre 2024. Tester les rapprochements effectués par Dubois Industrie pour janvier-juin 2024.

Conclusion de l'évaluation


Le rapport fournit une assurance raisonnable sur l'efficacité des contrôles pertinents pour la période couverte. Deux procédures complémentaires sont nécessaires pour obtenir des éléments probants suffisants pour l'exercice complet.

  • Contrôle n°7 : approbation des modifications de salaires par un responsable autorisé
  • Contrôle n°12 : rapprochement mensuel entre les données RH et les calculs de paie
  • Contrôle n°15 : validation des retenues sociales par référence aux barèmes officiels
  • Contrôle n°18 : sauvegarde et archivage des justificatifs de paie
  • Contrôle n°7 : 25 échantillons testés sur 5 mois (aucune exception)
  • Contrôle n°12 : test exhaustif mensuel (aucune exception)
  • Contrôle n°15 : test par sondage sur 3 paies (aucune exception)
  • Contrôle n°18 : procédure non testée (hors champ du rapport)

Checklist d'évaluation en cinq étapes

Utilisez cette checklist sur votre prochaine mission où l'entité utilise une organisation de services avec un rapport d'assurance.

1. Cartographier les contrôles pertinents

2. Vérifier la période de couverture

3. Évaluer les tests effectués

4. Analyser les exceptions et leurs conséquences

5. Documenter votre conclusion

  • [ ] Identifiez les flux de transactions traités par l'organisation de services
  • [ ] Déterminez les assertions des états financiers affectées par ces flux
  • [ ] Sélectionnez dans le rapport uniquement les contrôles qui couvrent ces assertions
  • [ ] Documentez pourquoi chaque contrôle sélectionné est pertinent (ISA 402.15)
  • [ ] Confirmez que le rapport couvre une période appropriée par rapport à votre exercice d'audit
  • [ ] Calculez l'écart temporel si la couverture est partielle
  • [ ] Planifiez les procédures pour combler l'écart selon l'ISA 402.A35
  • [ ] Vérifiez que le rapport n'est pas antérieur de plus d'un an (ISA 402.A34)
  • [ ] Examinez la nature des tests pour chaque contrôle pertinent
  • [ ] Vérifiez que la taille d'échantillon est appropriée à votre niveau d'assurance requis
  • [ ] Confirmez que les tests couvrent la période d'intérêt pour votre audit
  • [ ] Identifiez les contrôles pertinents non testés (nécessitent des procédures complémentaires)
  • [ ] Recensez toutes les exceptions qui affectent vos contrôles pertinents
  • [ ] Évaluez l'impact potentiel de chaque exception sur les assertions
  • [ ] Vérifiez si l'organisation de services a pris des mesures correctives
  • [ ] Déterminez si des procédures d'audit supplémentaires sont nécessaires
  • [ ] Concluez sur l'adéquation des éléments probants obtenus du rapport
  • [ ] Documentez les procédures complémentaires planifiées ou réalisées
  • [ ] Enregistrez l'impact de votre évaluation sur l'approche d'audit globale
  • [ ] Point le plus important : ne jamais se contenter de lire la conclusion générale du rapport. L'évaluation détaillée des contrôles pertinents est une obligation professionnelle selon l'ISA 402.16.

Erreurs courantes à éviter

  • Se fier uniquement à la conclusion générale du rapport : les rapports ISAE 3402 peuvent conclure favorablement tout en présentant des exceptions sur des contrôles pertinents pour votre audit. La lecture de la synthèse ne suffit jamais.
  • Ignorer les écarts de période : un rapport couvrant une période différente de votre exercice nécessite toujours des procédures complémentaires. L'absence de chevauchement ne rend pas le rapport inutile, mais il ne peut pas être votre seule source d'assurance.
  • Omettre l'évaluation de la pertinence : tous les contrôles décrits dans le rapport ne sont pas pertinents pour votre audit. Concentrez-vous sur ceux qui affectent les assertions matérielles dans les états financiers de votre client.

Contenus connexes

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.