Table des matieres

1. Ce qui rate dans les dossiers de transition 2. Ce que dit reellement ISAE 3402.61 3. Pourquoi la convention des trois mois persiste 4. Cas Dubois : transition avec complication 5. Le desaccord entre associes 6. Check-list operationnelle 7. Erreurs frequentes 8. Ressources connexes

Ce qui rate dans les dossiers de transition

Le dossier est trop leger. Sur les transitions de mission ISAE 3402 que nous reprenons, la rubrique "couverture de l'ecart" contient une note d'une demi-page qui cite "ISAE 3402.A81" et liste trois entretiens. Aucune trace de la question prealable : pourquoi trois mois et pas quatre, pourquoi des procedures limitees plutot qu'un rapport Type I etendu, pourquoi ce niveau d'assurance plutot qu'un autre. Le jugement professionnel est invoque sans etre formule.

Sur le papier, ISAE 3402.61 exige une "comprehension suffisante" des changements survenus pendant l'ecart. Dans les dossiers que nous voyons, cette comprehension se reduit a un email du responsable IT du prestataire confirmant qu'il n'y a "rien de notable" depuis la fin de la mission precedente. Un email. Pour trois mois de paie traitee pour 450 PME.

Quand un inspecteur H2A ouvre ce dossier, la premiere question n'est pas "avez-vous fait des procedures" mais "comment avez-vous determine qu'elles etaient suffisantes". C'est la justification qui manque, pas l'execution.

Ce que dit reellement ISAE 3402.61

Le paragraphe ne fixe aucune limite temporelle. Il exige que l'auditeur obtienne une comprehension suffisante des changements intervenus depuis la mission precedente quand une nouvelle mission couvre une periode posterieure. La norme delegue entierement la calibration au jugement professionnel.

ISAE 3402.A81 categorise les approches en deux familles selon la duree de l'ecart, mais sans nommer la duree de basculement. Pour un ecart court, le paragraphe autorise des procedures limitees : entretiens avec le personnel responsable des controles, examen des rapports d'exception generes par les systemes, revue des procedures de surveillance interne du prestataire, analyse des indicateurs cle de continuite operationnelle. Pour un ecart etendu, le paragraphe oriente vers des tests d'efficacite operationnelle sur un echantillon de transactions, ou vers l'emission d'un rapport distinct couvrant la periode intermediaire.

Le seuil pertinent depend du systeme de controle, pas du calendrier. ISAE 3402 ne fixe pas de duree parce que codifier trois mois aurait force des cabinets a faire moins quand l'environnement client justifiait davantage, et inversement. Un ecart de six semaines dans un environnement manuel avec une rotation de personnel recente exige plus de procedures qu'un ecart de quatre mois dans un environnement automatise stable. Le calendrier est un proxy commode pour le risque, pas le risque lui-meme.

Pourquoi la convention des trois mois persiste

Le budget temps. Voila la raison principale, et elle est rarement ecrite dans les memoires de planification.

Une transition de mission ISAE 3402 est budgetee comme une mission recurrente, alors que la premiere annee chez un nouveau prestataire de services exige un travail de comprehension qui depasse le seul ecart temporel. Quand le budget est tendu, la convention des trois mois fonctionne comme un raccourci : si l'ecart entre dans cette case, on applique des procedures limitees, on emet la lettre passerelle, on passe au reste du mandat. Cela arrange tout le monde. Le client conserve la continuite de couverture sans payer un rapport Type I supplementaire. Le cabinet sortant n'a pas a etendre sa mission. Le cabinet entrant tient son budget.

La pression concurrentielle joue aussi. Les Bigs proposent des prestations integrees ou la transition est absorbee dans un forfait global. Pour un cabinet de taille moyenne qui se positionne sur le meme client, refacturer trois jours supplementaires pour justifier un ecart de quatre mois revient a perdre la mission. La convention des trois mois donne une couverture argumentaire face au client : "c'est l'usage de la profession". L'inspecteur H2A, lui, ne se contente pas de l'usage.

Je l'avoue, j'ai signe des lettres passerelles ou la justification tenait sur dix lignes. Le dossier passait la revue interne. Il ne passerait pas une inspection ciblee aujourd'hui.

Cas Dubois : transition avec complication

Contexte : Dubois Services Comptables S.A.S., prestataire de paie pour 450 PME europeennes. Chiffre d'affaires annuel de 28 M EUR. L'ancien auditeur (Grant Thornton) a termine sa mission Type II le 30 septembre 2024 avec une opinion non modifiee. Notre cabinet prend en charge la mission pour la periode du 1er janvier au 31 decembre 2025.

Ecart a couvrir : 1er octobre au 31 decembre 2024 (3 mois exactement).

La complication : pendant l'ecart, deux evenements changent l'analyse. En novembre 2024, le prestataire migre son logiciel de paie d'une version on-premise vers une solution SaaS du meme editeur. La direction qualifie cela de "mise a jour mineure". Lecture du contrat editeur : changement d'architecture, nouveaux flux de donnees, nouveau parametrage des controles d'acces logiques. Ce n'est pas une mise a jour mineure. C'est une migration. En decembre, le responsable du controle interne (en poste depuis sept ans, signataire de la cartographie des risques) quitte l'entreprise. Son remplacant arrive le 6 janvier 2025.

Procedures appliquees :

1. Entretiens de transition (janvier 2025) - Directeur des operations : confirmation du calendrier de migration, identification des points de bascule - Responsable IT : extraction des logs de migration, comparaison parametrage avant/apres - Nouveau responsable controle interne : revue de la documentation laissee par son predecesseur, identification des zones non transmises - Editeur du logiciel : confirmation ecrite du perimetre fonctionnel preserve - Documentation : synthese de 4 pages, cosignee

2. Revue des rapports de surveillance (octobre-decembre 2024) - Rapports d'exception systeme de paie : 23 exceptions detectees (12 avant migration, 11 apres), toutes resolues selon procedures etablies - Rapports de reconciliation mensuelle : un ecart non resolu de 1 240 EUR en novembre, lie a la bascule, regularise en decembre - Rapports d'acces logiques : 18 creations de comptes au moment de la migration, toutes tracees - Documentation : tableau de synthese, 2 pages

3. Tests de cheminement etendus (fevrier 2025) - Selection de 8 transactions par mois (24 total au lieu des 15 initialement prevus) - Sur novembre, focus sur les transactions a cheval sur la migration - Verification de l'application des controles de calcul, d'approbation, de validation, de revue independante - Tous les controles operent selon la conception, sauf le controle de revue independante qui presente une lacune de cinq jours fin novembre (responsable absent, pas de delegation formelle documentee) - Documentation : feuilles de test avec references croisees, 5 pages

Conclusion : la migration logicielle a transforme l'ecart de "trois mois standards" en "trois mois avec deux evenements substantiels". Les procedures limitees prevues a l'origine n'auraient pas suffi. Nous avons etendu le perimetre de test, documente la lacune de revue independante comme deficience non significative, et emis la lettre passerelle avec une note de limitation explicite sur la periode du 18 au 22 novembre.

Note de documentation : "Ecart de 3 mois couvert par procedures etendues selon ISAE 3402.A81. Migration logicielle et rotation de poste cle pendant l'ecart ont conduit a doubler la taille d'echantillon et a documenter une lacune de revue independante. Base suffisante pour la continuite d'assurance vers la mission 2025, sous reserve de la note de limitation incluse au paragraphe 4 du rapport."

Le desaccord entre associes

Sur ce dossier, deux associes du cabinet n'auraient pas pris la meme decision.

L'associe A signe la lettre passerelle telle que decrite ci-dessus. Son raisonnement : la migration est documentee, les procedures etendues couvrent les zones de risque, la lacune de revue independante est une deficience isolee non significative au regard du dispositif global. ISAE 3402.A81 autorise explicitement les procedures limitees etendues quand le jugement professionnel le justifie, et la note de limitation au rapport protege les utilisateurs.

L'associe B refuse la lettre passerelle. Sa position : la migration logicielle pendant l'ecart change la nature meme du systeme de controle. Les controles testes par Grant Thornton au 30 septembre 2024 ne sont plus exactement les memes au 1er janvier 2025. Une lettre passerelle suppose une continuite raisonnable du dispositif. Ici, le dispositif a change. La reponse correcte est un rapport Type I de transition couvrant octobre-decembre 2024 sur le nouveau systeme, facture au client, meme si cela complique la negociation commerciale.

Les deux positions tiennent. L'associe A a raison sur le texte d'ISAE 3402.A81, qui n'exige pas un rapport Type I des qu'un changement intervient. L'associe B a raison sur l'esprit de la norme, qui repose sur la continuite du dispositif. Dans notre cabinet, nous avons tranche pour l'associe A avec note de limitation, parce que la migration etait planifiee, documentee, et n'a pas modifie les objectifs de controle. Sur un autre dossier ou la migration aurait ete subie ou mal documentee, nous aurions tranche pour l'associe B.

Check-list operationnelle

1. Calculer l'ecart temporel precis entre la fin de la mission precedente et le debut de la mission actuelle. Documenter les dates dans le memorandum de planification selon ISAE 3402.23. Si l'ecart depasse trois mois, ne pas chercher a justifier la convention. Justifier le risque.

2. Identifier les changements survenus pendant l'ecart via des entretiens avec la direction du prestataire et avec son auditeur sortant si la lettre de transmission le permet. Focus sur : personnel cle, systemes IT, processus operationnels, controles compensatoires ajoutes ou supprimes.

3. Evaluer si des procedures limitees suffisent en repondant a quatre questions : la nature des controles a-t-elle change, le personnel cle a-t-il tourne, les systemes ont-ils evolue, l'environnement de risque du client final est-il stable.

4. Documenter la justification de l'approche choisie dans les papiers de travail, pas seulement les procedures executees. La justification doit pouvoir resister a une revue qualite interne et a une inspection H2A.

5. Obtenir et examiner les rapports de surveillance generes pendant l'ecart. Pretee attention aux exceptions recurrentes ou aux nouvelles tendances non identifiees auparavant.

6. Ne jamais emettre la lettre passerelle sans base factuelle documentee sur l'efficacite continue des controles. Si la base manque, demander une extension Type I ou refuser la mission.

Erreurs frequentes

Ressources connexes

- Glossaire ISAE 3402 : definitions des types de rapports et des periodes de couverture - Kit ISAE 3402 complet : modeles de lettres passerelles et check-lists de transition - Article : ISAE 3402 vs SOC 1 : differences entre les standards americains et internationaux

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.