Ce que vous apprendrez

> - Comment évaluer les CCU sous ISA 402.A27 et les documenter pour qu'un inspecteur H2A ne revienne pas dessus > - Quand exiger un rapport Type 2 au lieu d'accepter un Type 1 selon ISA 402.12 > - Comment traiter les exceptions dans les rapports SOC 1 et leur impact sur votre évaluation des risques > - Les trois vérifications qu'ISA 402.16 exige avant de s'appuyer sur le travail de l'auditeur de l'organisation de services

Table des matières

1. Ce qui échoue dans les dossiers que nous voyons 2. Ce qu'ISA 402 exige réellement 3. Type 1 contre Type 2 : la zone grise 4. Évaluer les contrôles complémentaires utilisateur 5. Exemple pratique : Cabinet Moreau & Associés 6. Checklist pratique pour ISA 402 7. Erreurs fréquentes 8. Ressources connexes

Ce qui échoue dans les dossiers que nous voyons

Dans les dossiers que nous voyons lors des revues qualité, le problème ISA 402 ne vient presque jamais de l'ignorance de la norme. Il vient du séquencement. Le rapport SOC 1 est obtenu tardivement, souvent en janvier ou février de l'année suivante, une fois que la plupart des tests de contrôles internes ont déjà été programmés. À ce stade, le dossier est mentalement clos. Personne ne veut rouvrir la stratégie.

Le plus frappant, franchement, c'est que l'exception qui compte se trouve souvent à trois pages de l'opinion. Elle est écrite en petits caractères, enfouie dans une section intitulée « Other matters » ou « Sous-traitants », et elle change votre périmètre de test. Nous l'avons vu quatre fois en 2025. Deux fois, l'équipe n'a pas ouvert la section. Une fois, elle l'a ouverte mais ne l'a pas reliée à sa matrice de risques. Une fois seulement, quelqu'un a tiré le fil correctement.

Il existe aussi un biais commercial que peu d'équipes admettent. Demander un rapport Type 2 actualisé à un prestataire de paie en mars signifie retarder l'émission des comptes. Le client pousse pour clôturer. Le manager regarde le forfait, regarde le budget temps qui a déjà dépassé de 40 %, et accepte le Type 1 disponible. Techniquement, la norme autorise cela si vous adoptez une approche substantive. En pratique, l'approche substantive n'est presque jamais recalibrée ; le dossier reste en tests de contrôles avec un Type 1, et l'inspection H2A trouve le défaut six mois plus tard.

Ce qu'ISA 402 exige réellement

ISA 402 s'applique dès lors que votre client fait appel à une organisation de services dont les services entrent dans le système d'information pertinent pour l'information financière. Pas tous les services externalisés. Pas le nettoyage des bureaux. Seulement ceux qui traitent, enregistrent ou rapportent des transactions de l'entité utilisatrice.

Ce que dit la norme

ISA 402.4 définit une organisation de services comme une entité tierce dont les services font partie du système d'information de l'entité utilisatrice. La paie externalisée entre clairement dans le champ. L'hébergement d'un ERP chez un prestataire cloud aussi, dès que cet ERP produit les écritures comptables.

ISA 402.9 exige une compréhension de la nature et de l'importance des services et de leur effet sur le contrôle interne du client. Cette compréhension doit être suffisante pour identifier et évaluer les risques d'anomalies significatives au niveau des assertions et au niveau des états financiers.

Ce qui fait vraiment la différence

ISA 402.A8 précise que l'organisation de services ne peut pas être traitée comme une boîte noire. Vous devez comprendre les contrôles qui opèrent chez elle et comment ils s'articulent avec les contrôles du client. C'est là que se joue la qualité du dossier. Un rapport SOC 1 n'est pas un substitut à votre propre jugement. C'est une source d'éléments probants parmi d'autres, et elle n'a de valeur que si vous avez cartographié les flux avant de l'ouvrir.

Nous recommandons de produire la cartographie des flux d'information externalisés avant même de demander le rapport au prestataire, parce que la cartographie détermine quelles sections du rapport comptent. Sans cette cartographie, vous lisez le rapport en espérant que quelque chose accroche votre attention. C'est la garantie de passer à côté du carve-out qui importe.

Type 1 contre Type 2 : la zone grise

Rapports Type 1

ISAE 3402.A1 définit le Type 1 comme un rapport sur la description et la conception des contrôles à une date spécifique. Conception appropriée, oui. Efficacité opérationnelle, non testée.

ISA 402.A40 reconnaît que les Type 1 peuvent fournir des éléments probants sur la conception, mais aucun sur le fonctionnement effectif des contrôles sur la période.

Rapports Type 2

Un Type 2 selon ISAE 3402.A1 inclut description, conception et efficacité opérationnelle sur une période. L'auditeur du prestataire teste les contrôles et rapporte les exceptions. ISA 402.12 indique que si vous comptez vous appuyer sur les contrôles de l'organisation de services, vous devez obtenir des éléments probants sur leur efficacité opérationnelle. Un Type 2 peut les fournir.

Où les partenaires ne sont pas d'accord

Prenez un dossier où le prestataire ne produit qu'un Type 1 en cours de cycle, avec un Type 2 attendu six mois plus tard. Partner A dit que la combinaison Type 1 + walkthrough + quelques tests substantifs ciblés sur le système du prestataire suffit, à condition que le risque résiduel sur l'assertion « exhaustivité » de la paie soit correctement traité par des tests analytiques robustes côté client. Partner B répond que l'approche est trop fragile : si le walkthrough révèle une faiblesse de conception, vous n'avez aucune base pour conclure qu'elle n'a pas produit d'erreur sur la période, et les analytiques ne distinguent pas un écart d'assiette d'un écart de traitement.

Les deux positions sont défendables. Notre avis : Partner B a raison dans les missions où la paie représente plus de 10 % des charges opérationnelles, parce que le coût d'un test substantif étendu dépasse alors le coût d'obtenir un Type 2 actualisé. En dessous de ce seuil, Partner A devient raisonnable, parce que l'effort marginal de tester substantivement ne paie pas.

Choisir le bon type de rapport

ISA 402.A41 rattache le choix à votre stratégie d'audit. Si vous testez des contrôles du client qui dépendent des contrôles du prestataire, il vous faut un Type 2. Si vous partez en approche purement substantive, un Type 1 peut suffire. La règle tient sur une ligne. L'application, elle, tient rarement sur une ligne.

Évaluer les contrôles complémentaires utilisateur

ISA 402.A27 introduit les CCU. Ce sont les contrôles que l'entité utilisatrice doit mettre en œuvre pour compléter ceux de l'organisation de services. Sans eux, les contrôles du prestataire ne tiennent pas.

Identifier les CCU

Le rapport liste les CCU requis. ISA 402.A27 vous demande de vérifier si l'entité utilisatrice les a conçus et mis en œuvre. Ces contrôles couvrent typiquement :

- La revue et l'approbation des rapports d'exception produits par l'organisation de services - Le rapprochement des données entre les systèmes de l'entité utilisatrice et les rapports de l'organisation de services - La protection des mots de passe et des accès aux systèmes partagés - La revue périodique des utilisateurs autorisés dans les systèmes du prestataire

Ce qui se passe en pratique quand les CCU ne sont pas identifiés ? La matrice de contrôles interne du client n'en contient aucune trace. La personne qui a mis en place la relation avec le prestataire a quitté l'entreprise. Le rapport SOC 1 mentionne les CCU dans une annexe que personne, côté client, n'a lue. Vous le découvrez pendant l'intérim, parfois pendant le final.

Tester l'efficacité des CCU

ISA 402.16 exige des éléments probants sur l'efficacité opérationnelle des CCU si vous comptez vous y fier. Un Type 2 ne vous en dispense pas. C'est le point sur lequel les dossiers se font reprendre le plus souvent : l'équipe teste les contrôles chez le client sans faire la distinction entre contrôles internes autonomes et contrôles complémentaires à ceux d'un prestataire, et la documentation ne trace pas l'articulation.

Pour chaque CCU identifié :

1. Vérifier que le contrôle a été conçu et mis en œuvre 2. Tester son efficacité opérationnelle sur la période d'audit 3. Évaluer l'impact de toute déficience identifiée sur l'assurance globale

Exemple pratique : Cabinet Moreau & Associés

Contexte : Textile Provence S.A.S., 285 salariés, chiffre d'affaires 48 M EUR, externalise sa paie depuis janvier 2024 auprès de PayService France. L'audit porte sur l'exercice clos le 31 décembre 2024. Mission non-entité d'intérêt public (EIP).

Obtenir et examiner le rapport SOC 1

Documentation : Copie du rapport ISAE 3402 Type 2 de PayService France pour la période du 1er janvier au 31 décembre 2024, obtenue et classée dans le dossier permanent.

Le rapport couvre exactement la période d'audit. PayService France a reçu une opinion sans réserve avec deux exceptions notées :

- Un contrôle de revue mensuelle des accès utilisateurs n'a pas fonctionné en mars 2024 - Trois cas de modifications de données salariales sans approbation formalisée détectés en juin

Identifier les contrôles complémentaires utilisateur requis

Documentation : Extrait des CCU du rapport SOC 1 et matrice des responsabilités entre Textile Provence et PayService France complétée.

Le rapport identifie quatre CCU que Textile Provence doit mettre en œuvre :

- Revue mensuelle du journal de paie et approbation par le directeur administratif et financier (DAF) - Rapprochement mensuel entre les montants de paie et les écritures comptables - Notification immédiate à PayService des mouvements de personnel - Revue trimestrielle de la liste des utilisateurs autorisés dans le système PayService

Tester les CCU chez le client

Documentation : Tests d'efficacité opérationnelle des CCU documentés dans PT-12, échantillon de 12 mois pour chaque contrôle.

Tests effectués :

- Revue mensuelle du journal de paie : 12/12 journaux signés par le DAF avec date - Rapprochement paie/comptabilité : 11/12 rapprochements effectués (manquant en août pendant les congés) - Notifications de mouvements : échantillon de 25 mouvements, tous notifiés dans les 3 jours - Revue trimestrielle des accès : 4/4 revues effectuées avec documentation des suppressions

La complication — et ce que nous en avons tiré

Ce que nous n'avions pas vu en Étape 1. Une semaine avant la clôture des travaux, PayService France publie un addendum au rapport : un sous-traitant cloud qui héberge une partie de la base de données des bulletins a subi un incident de sécurité en novembre. L'addendum indique que trois clients ont été affectés. Textile Provence ne figure pas sur la liste publiée, mais PayService refuse de confirmer par écrit que Textile n'est pas concernée, invoquant des contraintes contractuelles.

Le dossier ne tient plus tel quel. Nous avons élargi les tests substantifs sur la période octobre-décembre pour couvrir le risque d'intégrité des données : rapprochement détaillé des 312 bulletins de novembre avec les déclarations sociales, revue des variations de rémunération brute mois par mois, confirmation directe auprès d'un échantillon de 30 salariés. Coût : 18 heures hors budget. L'alternative aurait été de réserver l'opinion sur la charge de personnel, ce qui n'était pas proportionné au risque résiduel une fois les tests étendus terminés. Nous avons documenté le raisonnement en PT-13 bis.

Évaluer l'impact des exceptions SOC 1 initiales

Documentation : Analyse de l'impact des exceptions du rapport SOC 1 et procédures d'audit supplémentaires documentées dans PT-13.

L'exception de mars sur les accès utilisateurs est compensée par la revue trimestrielle des accès chez Textile Provence. Les trois modifications non autorisées de juin ont été identifiées et corrigées par PayService avant la clôture. Aucun impact sur les états financiers 2024.

Conclusion : Les contrôles combinés de PayService France et de Textile Provence, complétés des tests substantifs étendus sur octobre-décembre, fournissent une assurance raisonnable sur les transactions de paie. Le dossier doit raconter cette histoire complète, pas seulement la version propre d'avant l'addendum.

Checklist pratique pour ISA 402

1. Couverture temporelle : Le rapport couvre-t-il toute la période d'audit sous ISA 402.14 ? Sinon, quelle procédure comble l'écart ? 2. Type de rapport : Si vous vous fiez aux contrôles, avez-vous un Type 2 selon ISA 402.12, et non un Type 1 par défaut ? 3. CCU identifiés : Chaque CCU listé dans le rapport a-t-il été identifié et documenté dans la matrice du client ? 4. CCU testés : Avez-vous testé l'efficacité opérationnelle de chaque CCU selon ISA 402.16, sans les confondre avec des contrôles internes autonomes ? 5. Exceptions : Chaque exception du rapport SOC 1 a-t-elle été évaluée quant à son impact sur votre évaluation des risques, avec un papier traçant le raisonnement ? 6. Stratégie : Votre stratégie reflète-t-elle correctement votre dépendance (ou non) aux contrôles du prestataire selon ISA 402.17 ? 7. Carve-outs et sous-traitants : Avez-vous lu les sections sur les sous-traitants du prestataire et confirmé qu'aucun flux significatif n'est exclu du périmètre ?

Erreurs fréquentes

- Accepter un Type 1 quand un Type 2 est nécessaire : Si vous testez des contrôles qui dépendent de ceux du prestataire, il vous faut l'efficacité opérationnelle. Un Type 1 ne la fournit pas. - Ignorer les CCU : Le rapport SOC 1 ne couvre que les contrôles du prestataire. Les contrôles chez votre client restent votre responsabilité à tester. - Ne pas évaluer les exceptions : Chaque exception d'un Type 2 doit être analysée pour son impact potentiel sur les assertions. - Échantillonner les sous-traitants au doigt mouillé : Quand le rapport contient un carve-out pour les sous-traitants, extrapoler l'assurance du rapport principal sans procédures dédiées sur les flux carve-out est exactement ce que la H2A relève en inspection. - Lire le rapport avant d'avoir cartographié les flux : Vous perdez le fil de ce qui compte.

Ressources connexes

- Calculateur de seuil de signification — Pour déterminer si les exceptions identifiées dans les rapports d'organisations de services dépassent vos seuils de performance - Contrôles internes : guide pratique — Comprendre comment les contrôles d'organisations de services s'intègrent dans l'évaluation globale du contrôle interne - Papiers de travail d'audit ISA 402 — Modèles pour documenter votre évaluation des organisations de services et des CCU

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.