Table des matières

Le cadre de décision méthodologique

ISAE 3402.8 vous donne deux options méthodologiques lorsque votre organisation de services utilise des sous-traitants. Cette décision n'est pas laissée au hasard. Elle dépend de trois facteurs précis que la norme établit.
Premier facteur : le degré d'intégration du sous-traitant dans les processus de l'organisation de services. Si le sous-traitant exécute des fonctions critiques qui font partie intégrante du service fourni aux organisations utilisatrices, la méthode inclusive s'impose généralement. Si ses services restent périphériques ou facilement substituables, la méthode carve-out devient envisageable.
Deuxième facteur : la capacité de l'organisation de services à maintenir des contrôles efficaces sur les activités sous-traitées. ISAE 3402.A24 précise que l'organisation de services doit pouvoir surveiller et contrôler les processus sous-traités pour que la méthode inclusive fonctionne. Sans cette capacité, vous devez opter pour la méthode carve-out et documenter les contrôles complémentaires nécessaires.
Troisième facteur : les attentes des organisations utilisatrices et de leurs auditeurs. Un rapport carve-out transfère la responsabilité de l'évaluation des contrôles sous-traités aux auditeurs des organisations utilisatrices. Cette approche ne fonctionne que si ces auditeurs ont la capacité et l'autorité d'évaluer directement le sous-traitant.
La norme exige de documenter ce choix méthodologique avant le début des travaux d'évaluation. Cette décision influence la planification, l'étendue des tests et la présentation du rapport final.

Méthode carve-out : quand et comment l'appliquer

La méthode carve-out selon ISAE 3402.9 exclut les services sous-traités du périmètre d'évaluation. Votre rapport décrit les contrôles de l'organisation de services uniquement, en identifiant clairement les points où des sous-traitants interviennent.
Cette approche fonctionne dans trois situations spécifiques. Première situation : le sous-traitant fournit des services standardisés sans personnalisation significative pour l'organisation de services. L'hébergement informatique, la sauvegarde de données ou les services de télécommunications entrent souvent dans cette catégorie. Deuxième situation : l'organisation de services maintient des contrôles de supervision adéquats mais ne peut pas évaluer directement les contrôles internes du sous-traitant. Troisième situation : les organisations utilisatrices préfèrent évaluer directement le sous-traitant ou disposent déjà d'un rapport ISAE 3402 spécifique à ce sous-traitant.
L'application pratique exige de documenter trois éléments. D'abord, la nature exacte des services sous-traités et leur point d'intervention dans le processus global. Ensuite, les contrôles que l'organisation de services maintient pour superviser le sous-traitant (contrats, SLA, surveillance des performances). Enfin, les contrôles complémentaires que les organisations utilisatrices doivent mettre en place.
ISAE 3402.41 impose une présentation spécifique dans le rapport. La section de description du système doit identifier clairement chaque sous-traitant, décrire ses services et expliquer pourquoi la méthode carve-out a été choisie. La section des contrôles complémentaires utilisateur doit lister précisément ce que chaque organisation utilisatrice doit contrôler concernant le sous-traitant.
Cette méthode présente un avantage : elle évite la complexité de l'évaluation de contrôles hors du contrôle direct de l'organisation de services. L'inconvénient : elle transfère une charge de travail significative aux auditeurs des organisations utilisatrices, qui doivent alors évaluer les contrôles du sous-traitant dans le cadre de leur audit des états financiers.

Méthode inclusive : intégration des services sous-traités

La méthode inclusive selon ISAE 3402.10 traite l'organisation de services et ses sous-traitants comme un système unique. Votre évaluation couvre les contrôles des deux entités, et le rapport présente une opinion sur l'ensemble du système.
Cette approche s'impose quand le sous-traitant exécute des fonctions critiques du service fourni. Les exemples typiques incluent la sous-traitance du traitement de la paie à un bureau comptable, l'externalisation du centre d'appels clientèle ou la délégation de fonctions de réconciliation bancaire. Dans ces cas, séparer les contrôles de l'organisation de services de ceux du sous-traitant créerait une vision incomplète du système de contrôle.
L'application pratique nécessite une coordination étroite avec le sous-traitant. Vous devez obtenir l'accès aux locaux, au personnel et à la documentation du sous-traitant. ISAE 3402.A26 précise que cet accès doit être suffisant pour permettre une évaluation complète des contrôles. Si le sous-traitant refuse cet accès, la méthode inclusive devient impossible.
La planification diffère significativement d'une mission standard. Vous devez comprendre l'interface entre les systèmes de l'organisation de services et du sous-traitant, identifier les contrôles clés de chaque côté et planifier les tests sur les deux sites. La matrice des contrôles doit couvrir l'ensemble du processus, en indiquant clairement quel contrôle appartient à quelle entité.
Les tests de l'efficacité opérationnelle couvrent la période complète sur les deux sites. Vous sélectionnez un échantillon de transactions qui traverse les systèmes des deux entités et testez l'application des contrôles pertinents à chaque étape. Cette approche fournit une assurance sur l'ensemble du processus.
La présentation du rapport intègre complètement les deux entités. La description du système présente le processus de bout en bout. Les objectifs de contrôle couvrent l'ensemble du flux. Les contrôles sont présentés dans l'ordre logique du processus, sans distinction artificielle entre l'organisation de services et le sous-traitant.

Exemple pratique : Évaluation d'un prestataire de paie

Contexte : Solutions RH Européennes SARL
Solutions RH Européennes SARL fournit des services de gestion RH à 85 PME françaises. L'entreprise gère le recrutement, la formation et l'administration du personnel en interne. Pour le traitement de la paie, elle sous-traite à Paie Plus SA, un spécialiste qui traite 2 400 bulletins mensuels pour les clients de Solutions RH.
Chiffre d'affaires annuel : 3,2 M EUR. Effectif : 28 salariés. Paie Plus traite 45 % du volume transactionnel total de Solutions RH.
Étape 1 : Analyse du degré d'intégration
Paie Plus reçoit les données variables de paie (heures travaillées, primes, absences) directement depuis le système SIRH de Solutions RH via une interface automatisée quotidienne. Paie Plus applique les paramètres de paie (salaires de base, taux de cotisations, conventions collectives) selon les instructions de Solutions RH. Les bulletins sont générés par Paie Plus et transmis automatiquement aux salariés via leur système de GED.
Note de documentation : « Intégration forte - Paie Plus exécute une fonction critique du service RH. Interface automatisée sans intervention manuelle. Méthode inclusive privilégiée. »
Étape 2 : Évaluation de la capacité de supervision
Solutions RH maintient trois contrôles de supervision : (1) réconciliation mensuelle des totaux de charges sociales entre son système SIRH et les déclarations Paie Plus, (2) contrôle par sondage de 10 bulletins par mois avec recalcul indépendant, (3) revue trimestrielle des paramétrages de paie avec validation par Paie Plus.
L'accès aux locaux et systèmes de Paie Plus est garanti par accord contractuel. Solutions RH peut auditer Paie Plus avec préavis de 48 heures.
Note de documentation : « Supervision adéquate maintenue. Accès d'audit contractuellement garanti. Méthode inclusive réalisable. »
Étape 3 : Détermination méthodologique finale
La méthode inclusive s'impose. Paie Plus exécute 45 % des transactions de Solutions RH et la fonction paie est critique pour le service RH global. Les clients de Solutions RH attendent une opinion sur l'ensemble du processus RH, incluant la paie.
Note de documentation : « Décision : méthode inclusive. Justification documentée selon ISAE 3402.8. Périmètre étendu à Paie Plus pour tests de contrôles et rapport type 2. »
Résultat : Le rapport ISAE 3402 couvre 12 objectifs de contrôle, dont 4 se situent chez Paie Plus et 3 nécessitent une coordination entre les deux entités. L'opinion porte sur l'ensemble du système RH, y compris la fonction paie sous-traitée.

Checklist de décision pratique

  • Analysez le degré d'intégration du sous-traitant. Le sous-traitant exécute-t-il des fonctions critiques du service principal ? Ces fonctions sont-elles facilement substituables ? La réponse détermine votre orientation méthodologique initiale.
  • Vérifiez l'accès d'évaluation disponible. Pouvez-vous obtenir un accès suffisant aux locaux, personnel et documentation du sous-traitant ? Sans cet accès, la méthode inclusive devient impossible selon ISAE 3402.A26.
  • Évaluez les contrôles de supervision existants. L'organisation de services maintient-elle des contrôles efficaces sur les activités sous-traitées ? Ces contrôles sont-ils suffisants pour une méthode carve-out ou nécessitent-ils un complément d'évaluation ?
  • Documentez les attentes des parties prenantes. Les organisations utilisatrices préfèrent-elles évaluer directement le sous-traitant ou attendent-elles une opinion globale ? Cette préférence influence fortement le choix méthodologique.
  • Planifiez les contrôles complémentaires utilisateur. Si vous optez pour la méthode carve-out, identifiez précisément les contrôles que chaque organisation utilisatrice doit mettre en place. Ces contrôles doivent être réalisables et efficaces.
  • La décision méthodologique doit être documentée avant le début des travaux d'évaluation, avec une justification claire selon les critères ISAE 3402.8.

Erreurs courantes observées

Choix méthodologique non documenté avant le début des travaux. La norme exige une décision argumentée en phase de planification, pas une justification a posteriori en fin de mission.
Méthode inclusive sans accès suffisant au sous-traitant. Certaines missions tentent une approche inclusive avec des informations limitées sur les contrôles du sous-traitant, compromettant la qualité de l'évaluation.
Contrôles complémentaires utilisateur insuffisamment détaillés en méthode carve-out. Les rapports listent parfois des contrôles génériques sans préciser les procédures concrètes que chaque organisation utilisatrice doit mettre en place.

Contenu connexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.