Ce que vous apprendrez

> Points clés
Comment identifier et documenter les CUECs dans un rapport SOC 1 type II
Quand les CUECs deviennent des contrôles testés sous ISA 330
Comment structurer la section CUECs dans vos papiers de travail de mission
La différence entre CUECs assumés et CUECs effectivement mis en place par le client

Sommaire

Le cadre réglementaire ISAE 3402

ISAE 3402.A63 précise que les contrôles complémentaires des entités utilisatrices sont des contrôles que l'organisation de services suppose que l'entité utilisatrice a mis en place. Ces contrôles sont nécessaires pour atteindre les objectifs de contrôle spécifiés par l'organisation de services.

Pourquoi les CUECs existent


L'organisation de services ne contrôle pas tous les aspects du traitement des transactions. Prenons un centre de traitement des paies : le prestataire traite les données qu'il reçoit, mais il n'a aucun moyen de vérifier l'exactitude des heures saisies par l'entité utilisatrice. Le CUEC devient alors l'exigence que l'entité utilisatrice révise et approuve les feuilles de temps avant transmission.
ISAE 3402.35 exige que l'auditeur de l'organisation de services décrive ces contrôles dans son rapport. Pour l'auditeur de l'entité utilisatrice, ISA 315.A91 impose d'identifier si ces contrôles sont pertinents pour l'audit et s'ils sont effectivement mis en place par le client.

Responsabilité de l'auditeur de l'entité utilisatrice


ISA 402.16 établit que l'auditeur de l'entité utilisatrice doit obtenir une compréhension suffisante des contrôles de l'entité utilisatrice liés aux services fournis par l'organisation de services. Cela inclut spécifiquement les CUECs quand ils adressent un risque significatif ou sont nécessaires pour répondre aux risques évalués.
La documentation sous ISA 330.28 doit inclure la nature, le calendrier et l'étendue des tests sur les CUECs quand l'auditeur s'appuie sur leur efficacité opérationnelle.

Types de contrôles complémentaires

CUECs de données d'entrée


Ces contrôles portent sur l'exactitude et l'exhaustivité des données transmises au prestataire.
Exemple typique : pour un prestataire de facturation, le CUEC exige que l'entité utilisatrice révise et approuve tous les tarifs et conditions avant transmission. Le prestataire applique les tarifs reçus sans les remettre en question.
Test de l'auditeur : sélectionner un échantillon de fichiers de tarifs transmis au prestataire et vérifier la trace d'approbation par un responsable autorisé de l'entité utilisatrice.

CUECs de paramétrage système


Ces contrôles concernent la configuration des systèmes du prestataire pour le compte de l'entité utilisatrice.
Exemple typique : dans un environnement SaaS de comptabilité, l'entité utilisatrice doit configurer les règles de validation et les seuils d'approbation. Le prestataire applique ces paramètres sans les valider.
Test de l'auditeur : comparer les paramètres actifs dans le système du prestataire avec les autorisations documentées dans les fichiers de l'entité utilisatrice. Tester sur un échantillon de transactions que les seuils sont respectés.

CUECs de réconciliation


Ces contrôles portent sur la vérification des données retournées par le prestataire.
Exemple typique : après traitement des paies par le prestataire, l'entité utilisatrice doit rapprocher le total des salaires traités avec ses propres registres avant autorisation du virement.
Test de l'auditeur : examiner les réconciliations mensuelles et identifier la procédure de suivi des écarts. Tester l'efficacité opérationnelle sur une période de 9 à 12 mois.

Exemple concret : Société de logistique

Contexte : Manutention Européenne SAS (152 salariés, 28 M EUR de chiffre d'affaires) externalise sa fonction paie auprès de Expertise RH Services depuis janvier 2024. Le rapport SOC 1 type II liste quatre CUECs.

Étape 1 : Identifier les CUECs du rapport SOC 1


Les quatre contrôles complémentaires identifiés :
Documentation : référencer la page et le numéro de contrôle dans le rapport SOC 1

Étape 2 : Évaluer la pertinence pour l'audit


Pour Manutention Européenne, les risques significatifs identifiés sous ISA 315 incluent l'exactitude des charges de personnel (représentant 67% des charges d'exploitation). Les quatre CUECs sont pertinents.
Documentation : lien avec la matrice des risques ISA 315, référence aux assertions d'exactitude et d'exhaustivité

Étape 3 : Tester la mise en place


CUEC n°1 (révision des feuilles de temps) : sélection de 25 feuilles de temps entre mars et octobre 2024. Vérification de la signature du chef d'équipe et de la validation par le responsable RH.
Résultat : 23/25 conformes. Deux exceptions en juillet (période de congés) sans signature de substitution.
Documentation : tableau de l'échantillon avec références des feuilles de temps, notation des exceptions et impact sur l'évaluation du risque

Étape 4 : Test d'efficacité opérationnelle


CUEC n°3 (réconciliation mensuelle) : examen des réconciliations de mars à septembre 2024. Vérification du respect du délai de 5 jours ouvrés et du suivi des écarts supérieurs à 500 EUR.
Résultat : toutes les réconciliations effectuées dans les délais. Trois écarts identifiés et corrigés dans le mois. Efficacité opérationnelle confirmée.
Documentation : copies des réconciliations, correspondance avec le prestataire pour les corrections, conclusion sur l'efficacité du contrôle
Conclusion de l'exemple : Les contrôles de Manutention Européenne fonctionnent efficacement sauf pour la période de congés. Risque résiduel faible sur les charges de personnel. Procédures de corroboration limitées à la revue analytique et à l'examen des écritures de paie non standards.

  • L'entité utilisatrice révise et approuve les feuilles de temps avant transmission
  • L'entité utilisatrice maintient à jour le fichier des taux horaires dans les 48h d'un changement
  • L'entité utilisatrice rapproche mensuellement les données de paie avec ses registres internes
  • L'entité utilisatrice autorise les nouveaux salariés et les départs dans le système

Check-list pratique

  • Obtenir et lire le rapport SOC 1 type II: Identifier la section "contrôles complémentaires des entités utilisatrices" et noter chaque contrôle avec sa référence.
  • Évaluer la pertinence sous ISA 315: Déterminer si chaque CUEC adresse un risque significatif ou est nécessaire pour l'approche d'audit planifiée.
  • Documenter l'existence: Pour chaque CUEC pertinent, obtenir la procédure écrite du client et identifier le responsable de la mise en place.
  • Planifier les tests d'efficacité: Définir la nature, le calendrier et l'étendue des tests sur 9 à 12 mois si vous comptez vous appuyer sur les contrôles.
  • Tester et documenter: Exécuter les tests selon ISA 330 et documenter les résultats avec les exceptions et leur impact sur l'évaluation du risque.
  • Le plus important: Si un CUEC ne fonctionne pas efficacement, vous devez modifier votre approche d'audit pour les assertions concernées. Le rapport SOC 1 ne couvre pas cette défaillance.

Erreurs courantes

  • Assumer que les CUECs fonctionnent sans les tester. L'ICAEW a observé cette lacune dans 34% des dossiers revus impliquant des prestataires de services en 2023.
  • Tester les CUECs en fin de mission alors qu'ils conditionnent l'approche sur les assertions significatives. La planification doit intégrer ces tests dès le départ.
  • Documenter l'existence mais pas l'efficacité opérationnelle quand l'audit s'appuie sur ces contrôles pour réduire les procédures de corroboration.

Contenu associé

  • Définition CUEC: Les éléments essentiels des contrôles complémentaires selon ISAE 3402.A63
  • Suite ISAE 3402: Modèles de papiers de travail pour documenter l'évaluation et les tests des CUECs
  • Guide ISA 402: Comment auditer une entité qui utilise des prestataires de services

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.