Table des matières

1. Ce que la norme exige réellement 2. Le contenu utile d'une lettre de pont 3. Modèle annoté avec les pièges courants 4. Checklist de revue côté commissaire aux comptes utilisateur 5. Erreurs courantes 6. Contenu connexe

Ce que la norme exige réellement

Cherchez "lettre de pont" dans ISAE 3402. Vous ne trouverez pas le terme. Vous ne trouverez pas non plus la durée de trois mois, ni d'obligation de produire un tel document. Le mot anglais "bridge letter" lui-même n'apparaît pas dans la norme.

Ce qui existe, c'est ISAE 3402.36, qui demande à l'auditeur de service de considérer si des événements postérieurs à la période couverte affecteraient les conclusions. Et il y a ISA 402.16, qui demande à l'auditeur utilisateur de comprendre comment l'entité utilisatrice traite l'écart entre la fin de la période du rapport et sa propre clôture. La lettre de pont est l'outil que la pratique a inventé pour relier ces deux exigences sans déclencher une nouvelle mission.

Dans les missions ISAE 3402 que nous voyons, le rapport de type 2 couvre l'année calendaire de l'entité de service (par exemple janvier-décembre 2025). Le commissaire aux comptes utilisateur clôture en mars ou avril 2026. Il reste un trimestre non couvert. La convention de trois mois est née de cette arithmétique. Elle n'est pas dans la norme. Elle est dans les habitudes.

Ce qui se passe réellement : la lettre arrive deux semaines avant la signature, rédigée à partir d'un modèle Word interne au prestataire, parfois identique d'une année sur l'autre à l'exception de la date. L'équipe utilisateur la classe sans procédure de revue documentée. Le dossier est trop léger sur ce point dans la majorité des contrôles qualité.

Le contenu utile d'une lettre de pont

Nous voyons trois niveaux de qualité dans les lettres reçues, et un seul a une valeur probante réelle.

Niveau 1 (le plus fréquent) : une déclaration générique. "Aucun changement significatif dans nos contrôles entre le 31 décembre et la date de la présente." Pas de signataire identifié au-delà du nom, pas de référence aux contrôles spécifiques du rapport, pas de mention des incidents. C'est du tampon. Si vous l'acceptez seule, vous n'avez pas d'élément probant.

Niveau 2 : la lettre liste les domaines de contrôle du rapport ISAE 3402 (gestion des accès, sauvegardes, traitement des transactions, séparation des tâches) et confirme l'absence de changement pour chacun. Elle est signée par un dirigeant nommé, avec sa fonction. Elle mentionne explicitement que la direction n'a pas connaissance d'incidents de sécurité ou opérationnels affectant les services rendus.

Niveau 3 : en plus du Niveau 2, la lettre déclare positivement les éléments qui ont changé (mise à jour de l'ERP en février, recrutement d'un nouveau RSSI, fermeture d'un site secondaire) et explique pourquoi ces changements ne remettent pas en cause les conclusions du rapport. C'est la seule version qui mérite vraiment le nom de pont.

Pour moi, exiger le Niveau 3 par défaut auprès des prestataires est la seule position défendable, parce que le Niveau 1 ne dit rien que la direction ne déclarerait dans n'importe quel courriel anodin. Ce qu'on cherche, c'est une affirmation contredisable, pas une formule polie.

Modèle annoté avec les pièges courants

Le modèle ci-dessous correspond au Niveau 3. Les annotations indiquent ce que les revues qualité signalent le plus souvent.

``` [Papier en-tête de l'entité de service]

[Date de signature]

À l'attention de [nom de l'entité utilisatrice] À l'attention de son commissaire aux comptes : [cabinet utilisateur]

Objet : Lettre de pont relative au rapport ISAE 3402 de type 2 Période couverte par le rapport : du [date début] au [date fin] Période-pont couverte par la présente : du [date fin + 1] au [date de signature]

Madame, Monsieur,

1. Référence au rapport Le rapport ISAE 3402 de type 2 émis le [date d'émission] par [auditeur de service] couvre la période du [date début] au [date fin] et porte sur les contrôles décrits dans la section [II/III] dudit rapport.

2. Déclaration de la direction sur la période-pont Pour la période du [date fin + 1] au [date de signature], la direction de [entité de service] confirme :

a) Qu'aucun changement significatif n'est intervenu dans la conception ou la mise en œuvre des contrôles décrits dans le rapport, à l'exception des éléments listés au paragraphe 3 ci-dessous ;

b) Qu'aucun incident de sécurité, défaillance opérationnelle, ni manquement réglementaire dont elle aurait connaissance n'a affecté les services fournis à [entité utilisatrice] sur cette période ;

c) Que les objectifs de contrôle énoncés dans le rapport demeurent applicables et que la direction continue de considérer les contrôles comme conçus de manière appropriée.

3. Changements intervenus sur la période-pont [Lister les changements ou indiquer "Néant"]

4. Limites La présente déclaration est fondée sur la connaissance de la direction et n'a pas fait l'objet de procédures d'audit. Elle ne constitue pas une extension du rapport ISAE 3402 de type 2 référencé au paragraphe 1.

[Signature, nom, fonction, qualité de la personne signataire] ```

Piège n°1 : la signature. Une lettre signée par le responsable commercial du prestataire ne vaut rien. Elle doit être signée par un dirigeant qui peut engager l'entité (directeur général, directeur des opérations, RSSI selon le périmètre), et la fonction doit figurer sous la signature.

Piège n°2 : le paragraphe 3 vide en permanence. Si trois ans de suite la lettre indique "Néant", quelqu'un ne lit pas ses propres systèmes. Nous le mentionnons en revue.

Piège n°3 : la date. La lettre est utile uniquement si elle est signée le plus tard possible avant la date de signature du commissaire aux comptes utilisateur, et au plus tôt après la fin de la période-pont qu'elle prétend couvrir. Une lettre antidatée ne couvre rien.

Checklist de revue côté commissaire aux comptes utilisateur

1. Vérifiez la cohérence des dates : la période-pont commence le lendemain de la fin du rapport ISAE 3402 et finit à la date de signature de la lettre, pas avant. 2. Identifiez le signataire : nom, fonction, niveau d'autorité dans l'entité de service. Une signature illisible sans précision de fonction est un point d'arrêt. 3. Lisez le paragraphe sur les changements : "Néant" peut être correct ; "Néant" répété d'une année sur l'autre sans aucun élément doit déclencher une question écrite au prestataire. 4. Croisez avec les complémentary user entity controls (CUECs) : si la lettre déclare un changement qui touche un contrôle complémentaire à votre charge, il faut tester votre propre contrôle sur la période-pont, pas vous reposer sur la lettre. 5. Documentez votre conclusion : un papier de travail dédié, signé par le manager, qui dit explicitement "lettre de pont reçue le X, examinée, conclusions : suffisante / insuffisante / complétée par procédure Y." Sans ce papier, la lettre n'est pas dans le dossier ; elle est juste classée. 6. Conservez la lettre originale : PDF signé, pas une retranscription dans un papier de travail.

Erreurs courantes

J'avoue que la convention des trois mois est ce qui m'a le plus dérangé en arrivant sur ces missions. Elle est citée comme une règle, alors qu'aucun paragraphe ne la prescrit, et tout le monde fait semblant qu'elle est dans la norme. Elle ne l'est pas. Ce qui est dans la norme, c'est l'obligation de juger si la période-pont peut être couverte par une déclaration de la direction ou si elle exige des procédures supplémentaires. Le jugement est à vous, pas à la convention.

Désaccord entre confrères : un associé considère que si trois mois est l'usage du marché et que les contrôles du prestataire sont matures, accepter la lettre comme élément probant est une position raisonnable. Un autre associé considère qu'en l'absence de test sur la période-pont, vous n'avez aucun élément probant ; la lettre n'est acceptable que si un contrôle utilisateur (par exemple un rapprochement mensuel par l'entité utilisatrice elle-même) couvre déjà cet intervalle. La position défendable dépend de la maturité documentée des contrôles et du niveau d'assurance que la direction de l'entité utilisatrice attend, pas de l'usage du marché. Pour moi, la deuxième lecture est la plus prudente, parce que la lettre est une déclaration et qu'une déclaration n'est pas un test.

Pourquoi la convention tient : ni le prestataire ni le commissaire aux comptes utilisateur n'a intérêt à l'attaquer. Le prestataire ne veut pas allonger la période d'examen ISAE 3402 (le coût d'un nouveau test est élevé). Le commissaire aux comptes utilisateur ne veut pas retarder sa signature pour exiger un test complémentaire qu'il devrait facturer ou absorber. Les deux côtés trouvent leur compte dans le silence du standard. C'est une convention de marché, pas une norme professionnelle.

Contenu connexe

- Glossaire ISAE 3402 - Rapport de type 1 vs type 2 : les différences fondamentales entre les deux types de rapports - Calculateur de planification ISAE 3402 : outil pour déterminer la faisabilité des tests d'efficacité selon le calendrier de mission - Comment évaluer un rapport ISAE 3402 côté utilisateur (ISA 402) : checklist de revue de bout en bout pour le commissaire aux comptes utilisateur

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.