Ce que vous apprendrez

Comment évaluer les contrôles complémentaires utilisateur sous l'ISA 402.A27 et les documenter correctement
Quand demander un rapport de Type 2 au lieu d'accepter un rapport de Type 1 selon l'ISA 402.12
Comment traiter les exceptions dans les rapports SOC 1 et leur impact sur votre évaluation des risques
Les trois vérifications obligatoires que l'ISA 402.16 exige avant de s'appuyer sur le travail de l'auditeur de l'organisation de services

Table des matières

Comprendre les obligations de l'ISA 402

L'ISA 402 s'applique quand votre client fait appel à une organisation de services dont les services font partie du système d'information du client relatif à l'information financière. Pas tous les services externalisés, seulement ceux qui traitent, enregistrent ou rapportent des transactions de l'entité utilisatrice.

Ce que couvre l'ISA 402


L'ISA 402.4 définit une organisation de services comme une entité tierce qui fournit des services aux entités utilisatrices et dont ces services font partie du système d'information de l'entité utilisatrice. La paie externalisée entre dans cette catégorie. Le nettoyage des bureaux n'y entre pas.
L'ISA 402.9 vous oblige à obtenir une compréhension de la nature et de l'importance des services fournis par l'organisation de services et de leur effet sur le contrôle interne de l'entité utilisatrice. Cette compréhension doit être suffisante pour identifier et évaluer les risques d'anomalies significatives.

Pourquoi ces contrôles comptent


Quand votre client externalise des processus critiques, une partie de son environnement de contrôle interne sort de ses locaux. L'ISA 402.A8 précise que l'auditeur ne peut pas traiter l'organisation de services comme une boîte noire. Vous devez comprendre les contrôles qui opèrent chez l'organisation de services et comment ils interagissent avec les contrôles du client.

Types de rapports d'organisations de services

Les rapports d'organisations de services se déclinent en deux types principaux selon les normes ISAE 3402.

Rapports de Type 1


L'ISAE 3402.A1 définit un rapport de Type 1 comme un rapport sur la description et la conception des contrôles à une date spécifique. Ce rapport confirme que les contrôles sont conçus de manière appropriée mais ne teste pas leur efficacité opérationnelle.
L'ISA 402.A40 note que les rapports de Type 1 peuvent fournir des éléments probants sur la conception des contrôles pertinents, mais ils ne fournissent aucun élément probant sur l'efficacité opérationnelle de ces contrôles.

Rapports de Type 2


Un rapport de Type 2 selon l'ISAE 3402.A1 inclut la description, la conception et l'efficacité opérationnelle des contrôles sur une période. L'auditeur de l'organisation de services teste les contrôles et rapporte les exceptions.
L'ISA 402.12 indique que lorsque l'auditeur a l'intention de s'appuyer sur les contrôles de l'organisation de services, il doit obtenir des éléments probants sur l'efficacité opérationnelle de ces contrôles. Un rapport de Type 2 peut fournir ces éléments probants.

Choisir le bon type de rapport


L'ISA 402.A41 explique que votre choix entre Type 1 et Type 2 dépend de votre stratégie d'audit. Si vous testez les contrôles du client qui dépendent des contrôles de l'organisation de services, vous avez besoin d'un rapport de Type 2. Si vous adoptez une approche purement substantive, un rapport de Type 1 peut suffire.

Évaluer les contrôles complémentaires utilisateur

L'ISA 402.A27 introduit le concept de contrôles complémentaires utilisateur. Ce sont les contrôles que l'entité utilisatrice doit mettre en place pour compléter les contrôles de l'organisation de services.

Identifier les contrôles complémentaires


Le rapport de l'organisation de services liste habituellement les contrôles complémentaires utilisateur requis. L'ISA 402.A27 précise que l'auditeur doit comprendre si l'entité utilisatrice a conçu et mis en œuvre des contrôles complémentaires utilisateur appropriés.
Ces contrôles incluent souvent :

Tester l'efficacité des contrôles complémentaires


L'ISA 402.16 exige que vous obteniez des éléments probants sur l'efficacité opérationnelle des contrôles complémentaires utilisateur si vous comptez vous y fier. Un rapport de Type 2 ne vous dispense pas de tester ces contrôles chez votre client.
Pour chaque contrôle complémentaire identifié, vous devez :

  • La revue et l'approbation des rapports d'exception produits par l'organisation de services
  • Le rapprochement des données entre les systèmes de l'entité utilisatrice et les rapports de l'organisation de services
  • La protection des mots de passe et des accès aux systèmes partagés
  • La revue périodique des utilisateurs autorisés dans les systèmes de l'organisation de services
  • Vérifier que le contrôle a été conçu et mis en œuvre
  • Tester son efficacité opérationnelle sur la période d'audit
  • Évaluer l'impact de toute déficience identifiée

Exemple pratique : Cabinet Moreau & Associés

Contexte : Textile Provence S.A.S., entreprise de 285 salariés avec un chiffre d'affaires de 48 M€, externalise sa paie depuis janvier 2024 auprès de PayService France. L'audit porte sur l'exercice clos le 31 décembre 2024.

Étape 1 : Obtenir et examiner le rapport SOC 1


Documentation : Copie du rapport ISAE 3402 Type 2 de PayService France pour la période du 1er janvier au 31 décembre 2024 obtenue et classée dans le dossier permanent.
Le rapport couvre exactement la période d'audit. PayService France a reçu une opinion sans réserve avec deux exceptions notées :

Étape 2 : Identifier les contrôles complémentaires utilisateur requis


Documentation : Extrait des contrôles complémentaires du rapport SOC 1 et matrice des responsabilités entre Textile Provence et PayService France complétée.
Le rapport identifie quatre contrôles complémentaires que Textile Provence doit mettre en œuvre :

Étape 3 : Tester les contrôles complémentaires chez le client


Documentation : Tests d'efficacité opérationnelle des contrôles complémentaires documentés dans PT-12 avec échantillon de 12 mois pour chaque contrôle.
Tests effectués :

Étape 4 : Évaluer l'impact des exceptions SOC 1


Documentation : Analyse de l'impact des exceptions du rapport SOC 1 et procédures d'audit supplémentaires documentées dans PT-13.
L'exception de mars sur les accès utilisateurs est compensée par la revue trimestrielle des accès chez Textile Provence. Les trois modifications non autorisées de juin ont été identifiées et corrigées par PayService avant la clôture. Aucun impact sur les états financiers 2024.
Conclusion : Les contrôles combinés de PayService France et de Textile Provence fournissent une assurance raisonnable sur les transactions de paie. Le rapport SOC 1 Type 2 et les tests des contrôles complémentaires supportent une approche de tests de contrôles pour la paie.

  • Un contrôle de revue mensuelle des accès utilisateurs n'a pas fonctionné en mars 2024
  • Trois cas de modifications de données salariales sans approbation formalisée détectés en juin
  • Revue mensuelle du journal de paie et approbation par le DAF
  • Rapprochement mensuel entre les montants de paie et les écritures comptables
  • Notification immédiate à PayService des mouvements de personnel (embauches, départs, modifications)
  • Revue trimestrielle de la liste des utilisateurs autorisés dans le système PayService
  • Revue mensuelle du journal de paie : 12/12 journaux signés par le DAF avec date
  • Rapprochement paie/comptabilité : 11/12 rapprochements effectués (manquant en août pendant les congés)
  • Notifications de mouvements : échantillon de 25 mouvements, tous notifiés dans les 3 jours
  • Revue trimestrielle des accès : 4/4 revues effectuées avec documentation des suppressions

Checklist pratique pour l'ISA 402

  • Vérifier la couverture temporelle : Le rapport d'organisation de services couvre-t-il toute la période d'audit sous l'ISA 402.14 ?
  • Évaluer le type de rapport : Si vous comptez vous fier aux contrôles, avez-vous un rapport Type 2 selon l'ISA 402.12 ?
  • Identifier tous les contrôles complémentaires : Chaque contrôle complémentaire utilisateur listé dans le rapport a-t-il été identifié et documenté ?
  • Tester les contrôles complémentaires : Avez-vous testé l'efficacité opérationnelle de chaque contrôle complémentaire selon l'ISA 402.16 ?
  • Analyser les exceptions : Toute exception dans le rapport SOC 1 a-t-elle été évaluée pour son impact sur votre évaluation des risques ?
  • Documenter la stratégie : Votre stratégie d'audit reflète-t-elle correctement votre dépendance (ou non) aux contrôles de l'organisation de services selon l'ISA 402.17 ?

Erreurs fréquentes

  • Accepter un rapport Type 1 quand un Type 2 est nécessaire : Si vous testez des contrôles qui dépendent des contrôles de l'organisation de services, vous avez besoin des tests d'efficacité opérationnelle d'un rapport Type 2.
  • Ignorer les contrôles complémentaires utilisateur : Le rapport SOC 1 ne couvre que les contrôles de l'organisation de services. Les contrôles chez votre client restent votre responsabilité à tester.
  • Ne pas évaluer les exceptions : Chaque exception dans un rapport Type 2 doit être analysée pour son impact potentiel sur les assertions des états financiers.

Ressources connexes

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.