Ce que vous apprendrez

> Points clés > - Comment identifier et documenter les CUECs dans un rapport SOC 1 type II > - Quand les CUECs deviennent des contrôles testés sous ISA 330 > - Comment structurer la section CUECs dans vos papiers de travail de mission > - La différence entre CUECs assumés et CUECs effectivement mis en place par le client

Sommaire

1. Ce qui échoue dans les dossiers que nous voyons 2. Le cadre réglementaire ISAE 3402 3. Types de contrôles complémentaires 4. Exemple concret : Société de logistique 5. Check-list pratique 6. Erreurs courantes 7. Contenu associé

Ce qui échoue dans les dossiers que nous voyons

Le pattern revient sur environ la moitié des missions où un prestataire externalisé pèse sur un cycle significatif. Le rapport SOC 1 arrive en septembre. Le memorandum de planification cite les CUECs identifiés. La matrice contrôles-risques renvoie au memorandum. Et c'est là que le travail s'arrête. Personne ne demande au client la procédure écrite. Personne n'observe la mise en place. Personne ne sélectionne d'échantillon.

Quand le H2A reprend ces dossiers, le constat tombe vite : insuffisance des éléments probants sur des assertions significatives. Les charges de personnel chez un client externalisant la paie représentent souvent plus de 60 % des charges d'exploitation. Si l'auditeur dit s'appuyer sur les contrôles du prestataire et que les CUECs ne sont pas testés, il s'appuie en fait sur rien. Le dossier est trop léger.

La pression structurelle qui crée cet écart tient à trois choses concrètes : le budget temps prévu pour la phase intérim a été calé avant la réception du rapport SOC 1, le rapport SOC 1 arrive tardivement parce que le prestataire publie souvent en septembre, et le test des CUECs côté client n'est pas dans le forfait initial. C'est en partie la mécanique du forfait audit qui explique pourquoi le travail technique est correct mais le travail de couverture des risques externalisés ne l'est pas.

Le cadre réglementaire ISAE 3402

ISAE 3402.A63 précise que les CUECs sont des contrôles que l'organisation de services suppose que l'entité utilisatrice a mis en place. Ces contrôles sont nécessaires pour atteindre les objectifs de contrôle spécifiés par l'organisation de services.

Pourquoi les CUECs existent

Le prestataire ne contrôle pas tout. Prenons un centre de traitement des paies : le prestataire traite les heures qu'il reçoit, mais il n'a aucun moyen de vérifier que ces heures correspondent au temps réellement travaillé. Le CUEC devient alors l'exigence que le client révise et approuve les feuilles de temps avant transmission. Sans cette revue côté client, le calcul du prestataire est exact mais sa base est fausse.

ISAE 3402.35 exige que l'auditeur du prestataire décrive ces contrôles dans son rapport. Pour l'auditeur du client, ISA 315.A91 impose d'identifier si ces contrôles sont pertinents pour l'audit et s'ils sont effectivement mis en place. Ce qui compte, c'est le mot "effectivement". Un CUEC listé dans le rapport SOC 1 et copié dans le memorandum de planification n'a aucune valeur probante tant qu'on n'a pas vu une trace de son fonctionnement chez le client.

Responsabilité de l'auditeur du client

ISA 402.16 établit que l'auditeur de l'entité utilisatrice doit obtenir une compréhension suffisante des contrôles de l'entité utilisatrice liés aux services fournis par l'organisation de services. Cela inclut les CUECs quand ils répondent à un risque significatif ou sont nécessaires pour la stratégie d'audit retenue.

La documentation sous ISA 330.28 doit inclure la nature, le calendrier et l'étendue des tests sur les CUECs quand l'auditeur s'appuie sur leur efficacité opérationnelle. Sur le papier, c'est clair. En pratique, on voit régulièrement des dossiers où le memorandum dit "nous nous appuyons sur les contrôles du prestataire" et où aucun test côté client n'apparaît. Là encore, le dossier est trop léger.

Types de contrôles complémentaires

CUECs de données d'entrée

Ces contrôles portent sur l'exactitude et l'exhaustivité des données transmises au prestataire.

Pour un prestataire de facturation, le CUEC exige souvent que le client révise et approuve les tarifs et conditions avant transmission. Le prestataire applique les tarifs reçus sans les remettre en question.

Le test côté auditeur consiste à sélectionner un échantillon de fichiers de tarifs transmis au prestataire et à vérifier la trace d'approbation par un responsable autorisé du client. Sur les dossiers que nous voyons, l'écueil habituel n'est pas l'absence d'approbation. C'est l'approbation par signature scannée recyclée d'un fichier à l'autre. Quand le H2A regarde la trace, il voit la même signature collée six fois. Ce n'est pas un contrôle.

CUECs de paramétrage système

Ces contrôles concernent la configuration des systèmes du prestataire pour le compte du client.

Dans un environnement SaaS de comptabilité, le client doit configurer les règles de validation et les seuils d'approbation. Le prestataire applique ces paramètres sans les valider.

Le test consiste à comparer les paramètres actifs dans le système du prestataire avec les autorisations documentées chez le client. Tester ensuite sur un échantillon de transactions que les seuils sont effectivement respectés. Ce contrôle est probablement le plus négligé des trois types parce qu'il exige un accès au paramétrage que beaucoup d'équipes ne demandent pas par habitude.

CUECs de réconciliation

Ces contrôles portent sur la vérification des données retournées par le prestataire.

Après traitement des paies par le prestataire, le client doit rapprocher le total des salaires traités avec ses propres registres avant autorisation du virement.

Le test consiste à examiner les réconciliations mensuelles et identifier la procédure de suivi des écarts. Tester l'efficacité opérationnelle sur une période de 9 à 12 mois. C'est le CUEC qui se documente le mieux quand le contrôleur de gestion du client tient un fichier de suivi mensuel. C'est aussi celui qui s'effondre le plus vite en période de bourre côté client (août, fin d'année), quand les réconciliations sont signées sans avoir été faites.

Exemple concret : Société de logistique

Contexte : Manutention Européenne SAS (152 salariés, 28 M EUR de chiffre d'affaires) externalise sa fonction paie auprès de Expertise RH Services depuis janvier 2024. Le rapport SOC 1 type II liste quatre CUECs.

Identifier les CUECs du rapport SOC 1

Les quatre contrôles complémentaires identifiés : 1. Le client révise et approuve les feuilles de temps avant transmission 2. Le client maintient à jour le fichier des taux horaires dans les 48h d'un changement 3. Le client rapproche mensuellement les données de paie avec ses registres internes 4. Le client autorise les nouveaux salariés et les départs dans le système

Documentation : référencer la page et le numéro de contrôle dans le rapport SOC 1

Évaluer la pertinence pour l'audit

Pour Manutention Européenne, les risques significatifs identifiés sous ISA 315 incluent l'exactitude des charges de personnel (représentant 67 % des charges d'exploitation). Les quatre CUECs sont pertinents.

Documentation : lien avec la matrice des risques ISA 315, référence aux assertions d'exactitude et d'exhaustivité

Tester la mise en place

CUEC n°1 (révision des feuilles de temps) : sélection de 25 feuilles de temps entre mars et octobre 2024. Vérification de la signature du chef d'équipe et de la validation par le responsable RH.

Résultat : 23/25 conformes. Deux exceptions en juillet (période de congés) sans signature de substitution.

C'est ici que la mission devient intéressante. Sur le papier, deux exceptions sur 25 sont une déviation de 8 %. Au seuil habituel de 5 % d'erreur tolérable, on serait tenté de conclure à un contrôle inefficace et de basculer sur des procédures de corroboration étendues. C'est ce que ferait l'associé A : il dirait que la déviation est trop large, que la délégation aurait dû être prévue, et qu'on ne peut pas s'appuyer sur ce contrôle pour la période complète. L'associé B ferait autrement. Il regarderait le contexte (juillet, deux signatures manquantes sur des semaines de congés du responsable RH, pas de transaction anormale dans les paies de cette période), conclurait à une déviation localisée et étendrait le test sur la période de juillet uniquement. Les deux positions sont défendables. Ce qui n'est pas défendable, c'est de ne pas avoir tranché et de laisser le dossier silencieux sur la question.

Documentation : tableau de l'échantillon avec références des feuilles de temps, notation des exceptions, position retenue avec son raisonnement, et impact sur l'évaluation du risque

Test d'efficacité opérationnelle

CUEC n°3 (réconciliation mensuelle) : examen des réconciliations de mars à septembre 2024. Vérification du respect du délai de 5 jours ouvrés et du suivi des écarts supérieurs à 500 EUR.

Résultat : toutes les réconciliations effectuées dans les délais. Trois écarts identifiés et corrigés dans le mois. Efficacité opérationnelle confirmée.

Documentation : copies des réconciliations, correspondance avec le prestataire pour les corrections, conclusion sur l'efficacité du contrôle

Pour Manutention Européenne, les contrôles fonctionnent efficacement sauf pour la période de congés. Risque résiduel faible sur les charges de personnel, sous réserve d'un test étendu sur juillet. Procédures de corroboration limitées à la revue analytique et à l'examen des écritures de paie non standards.

Check-list pratique

1. Obtenir et lire le rapport SOC 1 type II : identifier la section "contrôles complémentaires des entités utilisatrices" et noter chaque contrôle avec sa référence.

2. Évaluer la pertinence sous ISA 315 : déterminer si chaque CUEC répond à un risque significatif ou est nécessaire pour la stratégie d'audit retenue.

3. Documenter la mise en place : pour chaque CUEC pertinent, obtenir la procédure écrite du client et identifier le responsable de l'exécution.

4. Planifier les tests d'efficacité : définir la nature, le calendrier et l'étendue des tests sur 9 à 12 mois si vous comptez vous appuyer sur les contrôles.

5. Tester et documenter : exécuter les tests selon ISA 330 et documenter les résultats avec les exceptions, leur impact, et la position retenue (avec raisonnement).

6. Le plus important : si un CUEC ne fonctionne pas effectivement, vous devez modifier votre approche d'audit pour les assertions concernées. Le rapport SOC 1 ne couvre pas cette défaillance.

Erreurs courantes

Trois erreurs reviennent régulièrement dans les dossiers que nous voyons :

Supposer que les CUECs fonctionnent sans les tester. L'ICAEW a observé cette lacune dans 34 % des dossiers revus impliquant des prestataires de services en 2023. C'est le pattern dominant : le rapport SOC 1 est cité, les CUECs sont nommés, et le test côté client n'apparaît jamais. Sur ces 34 %, l'audit est, dans les faits, sans couverture sur la portion externalisée.

Tester les CUECs en fin de mission alors qu'ils conditionnent la stratégie sur les assertions significatives. La planification doit intégrer ces tests dès le départ. C'est en partie une question de séquence : si on attend décembre pour tester les CUECs sur un cycle qui chargeait la moitié des assertions, et que le test échoue, il ne reste plus le temps de basculer sur des procédures de corroboration.

Documenter la mise en place mais pas l'efficacité opérationnelle quand l'audit s'appuie sur ces contrôles pour réduire les procédures de corroboration. C'est la version raffinée du problème : le dossier dit que le contrôle existe, ne dit pas qu'il fonctionne sur la période, et tire quand même les conclusions d'un contrôle qui fonctionne. Le dossier est trop léger sur exactement le maillon qui le rendrait défendable.

L'insight de second ordre que tous les rapports H2A sur les services externalisés contiennent en filigrane : la responsabilité ne se transfère pas avec le service. Le prestataire fait son travail, le rapport SOC 1 fait le sien, mais le risque d'audit reste entier sur le dossier du commissaire aux comptes tant que les CUECs ne sont pas testés chez le client. Ce qui se passe réellement quand on externalise sans tester les CUECs, c'est qu'on s'appuie sur l'opinion d'un confrère qu'on n'a jamais rencontré, sur des contrôles qu'on n'a jamais vus, en supposant que tout fonctionne au doigt mouillé.

Contenu associé

- Définition CUEC : Les éléments essentiels des contrôles complémentaires selon ISAE 3402.A63 - Suite ISAE 3402 : Modèles de papiers de travail pour documenter l'évaluation et les tests des CUECs - Guide ISA 402 : Comment auditer une entité qui utilise des prestataires de services

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.