Sommaire

Fondement réglementaire

L'ISAE 3402 gouverne les missions d'assurance sur les contrôles d'une organisation de services qui sont pertinents pour le contrôle interne des organisations utilisatrices relatif à l'information financière. Cette norme répond à un problème pratique précis : comment un auditeur peut-il évaluer les contrôles d'un prestataire auquel il n'a pas accès direct.
Le paragraphe ISAE 3402.1 établit que la norme s'applique uniquement quand l'organisation de services fournit des services qui font partie du système d'information de l'organisation utilisatrice relatif à l'information financière. Une simple sous-traitance de services généraux ne relève pas de cette norme.

Interaction avec l'ISA 402


L'ISA 402 établit les responsabilités de l'auditeur de l'organisation utilisatrice. Le paragraphe ISA 402.8 exige de comprendre la nature et l'importance des services fournis par l'organisation de services et leur effet sur le contrôle interne de l'organisation utilisatrice. L'ISAE 3402 fournit le mécanisme permettant d'obtenir cette compréhension par le biais d'un rapport d'assurance.
Quand l'organisation de services exerce un contrôle physique sur les actifs de l'organisation utilisatrice, l'ISA 402.11 impose des procédures supplémentaires. Le rapport ISAE 3402 peut satisfaire certaines de ces exigences, mais pas toutes.

Type I versus Type II

La différence entre Type I et Type II détermine comment vous pouvez utiliser le rapport dans votre mission d'audit.

Rapport Type I


Un rapport Type I exprime une opinion sur la description des contrôles de l'organisation de services et leur conception à une date spécifique. L'ISAE 3402.A69 précise qu'il évalue si les contrôles sont conçus de manière appropriée pour atteindre les objectifs de contrôle spécifiés.
Limitations du Type I :

Rapport Type II


Un rapport Type II inclut tout ce qui est dans un Type I plus une opinion sur l'efficacité opérationnelle des contrôles sur une période. L'ISAE 3402.50 exige que l'auditeur de l'organisation de services obtienne des éléments probants suffisants et appropriés concernant l'efficacité opérationnelle des contrôles.
Avantages du Type II :

Critères de choix


L'ISA 402.A23 suggère qu'un rapport Type II est généralement plus utile parce qu'il fournit des informations sur l'efficacité opérationnelle des contrôles. Utilisez un Type I uniquement quand :

  • Aucune évaluation de l'efficacité opérationnelle des contrôles
  • Opinion à une date fixe, pas sur une période
  • Ne permet pas de réduire substantiellement les tests de l'auditeur de l'organisation utilisatrice
  • Évaluation de l'efficacité opérationnelle sur une période définie
  • Tests détaillés des contrôles avec résultats et exceptions documentées
  • Permet à l'auditeur de l'organisation utilisatrice de modifier la nature, le calendrier et l'étendue des procédures d'audit selon l'ISA 402.16
  • Les services ont commencé récemment et une période d'exploitation complète n'est pas disponible
  • Vous effectuez des procédures substantives étendues qui ne dépendent pas des contrôles de l'organisation de services
  • L'organisation de services effectue uniquement des transactions de routine avec un impact limité sur les assertions

Exigences de l'ISAE 3402

Acceptation de la mission


L'ISAE 3402.21 établit les conditions préalables à l'acceptation d'une mission. L'auditeur de l'organisation de services doit obtenir l'accord de la direction sur sa responsabilité pour :
Sans ces éléments, l'ISAE 3402.22 interdit d'accepter la mission.

Compréhension du système


L'ISAE 3402.25 exige d'obtenir une compréhension du système de l'organisation de services, incluant :

Tests des contrôles (Type II uniquement)


Pour un rapport Type II, l'ISAE 3402.43 exige de concevoir et d'exécuter des tests pour obtenir des éléments probants suffisants et appropriés sur l'efficacité opérationnelle des contrôles. Ces tests doivent :
L'ISAE 3402.A95 note que la simple observation ou la demande d'informations ne suffit généralement pas pour un test d'efficacité opérationnelle.

Documentation


L'ISAE 3402.57 spécifie les exigences de documentation minimales :

  • La conception, la mise en place et le fonctionnement efficace du contrôle interne
  • La fourniture d'une description écrite du système et des objectifs de contrôle
  • La fourniture d'une assertion écrite accompagnant la description
  • Les services fournis qui sont couverts par la description
  • Les procédures, dans le cadre du traitement des transactions des organisations utilisatrices, par lesquelles ces transactions sont initiées, autorisées, enregistrées et traitées
  • Les enregistrements comptables pertinents, les informations d'appui et les comptes spécifiques dans les états financiers des organisations utilisatrices
  • La manière dont le système d'information capture et traite les événements significatifs autres que les transactions des organisations utilisatrices
  • Le processus d'information financière utilisé pour préparer l'information pour les organisations utilisatrices
  • Les contrôles spécifiés dans les objectifs de contrôle
  • Être exécutés à des moments appropriés tout au long de la période couverte
  • Être conçus pour tester l'efficacité opérationnelle des contrôles en répondant aux questions « comment », « quand » et « par qui »
  • Inclure une réexécution des contrôles quand c'est approprié
  • Les questions identifiées et les réponses obtenues dans le processus d'acceptation de la mission
  • La nature, le calendrier et l'étendue des procédures d'audit effectuées
  • Les résultats des procédures d'audit et les éléments probants obtenus
  • Les conclusions atteintes sur chaque objectif de contrôle

Exemple pratique

Client : Distributions Mercure S.A.S., grossiste en électronique basé à Lyon avec un chiffre d'affaires de 28 M EUR.
Contexte : Mercure sous-traite l'intégralité de son traitement de paie à Paie-Expert, un prestataire spécialisé. Les transactions de paie représentent 8,2 M EUR annuels et affectent directement les charges de personnel dans les états financiers de Mercure.
Étape 1 : Évaluation de l'applicabilité de l'ISAE 3402
L'ISA 402.8 exige de déterminer si les services de Paie-Expert font partie du système d'information de Mercure relatif à l'information financière. Les services de paie incluent le calcul des salaires, des charges sociales et la production des écritures comptables mensuelles. Ces services relèvent clairement de l'ISAE 3402.1.
Documentation : « Les services de paie fournis par Paie-Expert incluent le traitement des données de temps, le calcul des salaires et charges sociales, et la génération d'écritures comptables. Ces services affectent directement les comptes 641 (Rémunérations du personnel) et 645 (Charges de sécurité sociale). Applicabilité ISAE 3402 confirmée. »
Étape 2 : Obtention du rapport ISAE 3402
Mercure fournit un rapport Type II couvrant la période du 1er avril 2023 au 31 mars 2024. Le rapport inclut 12 objectifs de contrôle couvrant l'autorisation des changements de données de personnel, l'exactitude des calculs et la complétude des rapports.
Documentation : « Rapport ISAE 3402 Type II reçu, couvrant 12 mois se terminant le 31 mars 2024. Opinion sans réserve sur la description et l'efficacité opérationnelle des contrôles. »
Étape 3 : Évaluation de la couverture temporelle
L'exercice de Mercure se termine le 31 décembre 2024. La période couverte par le rapport (avril 2023 - mars 2024) laisse un écart de 9 mois. L'ISA 402.A28 indique qu'un écart de plus de six mois peut nécessiter des procédures supplémentaires.
Documentation : « Écart de 9 mois entre la fin de la période couverte (31 mars 2024) et la date d'arrêté (31 décembre 2024). Procédures de mise à jour requises selon ISA 402.16. »
Étape 4 : Procédures de mise à jour
Tests effectués sur un échantillon de bulletins de paie d'octobre 2024 pour confiruer que les contrôles identifiés dans le rapport continuent de fonctionner. Demande d'informations à la direction de Mercure sur tout changement dans les services de Paie-Expert.
Documentation : « Tests sur échantillon de 15 bulletins d'octobre 2024 : calculs vérifiés, autorisations présentes, charges sociales exactes. Aucun changement signalé dans les services de Paie-Expert depuis mars 2024. »
Cette évaluation permet de s'appuyer sur les contrôles de Paie-Expert tout en respectant les exigences de l'ISA 402 sur l'écart temporel.

Liste de contrôle pratique

  • Confirmer l'applicabilité ISAE 3402 : Vérifier que les services du prestataire font partie du système d'information relatif à l'information financière selon l'ISAE 3402.1, pas de simples services de support.
  • Évaluer la couverture temporelle : S'assurer que la période couverte par le rapport est pertinente pour votre mission d'audit. Un écart de plus de six mois peut nécessiter des procédures supplémentaires selon l'ISA 402.A28.
  • Vérifier l'opinion d'audit : Confirmer que l'opinion est sans réserve. Une opinion modifiée selon l'ISAE 3402.69 peut affecter votre capacité à vous appuyer sur les contrôles du prestataire.
  • Examiner les exceptions rapportées : Pour un rapport Type II, analyser chaque exception selon l'ISAE 3402.A112 et évaluer son impact sur vos procédures d'audit.
  • Documenter votre évaluation : Préparer une note de dossier expliquant comment le rapport ISAE 3402 affecte votre évaluation du risque et vos procédures d'audit planifiées.
  • Effectuer des procédures supplémentaires si nécessaire : Quand l'information du rapport est insuffisante, l'ISA 402.17 peut exiger des tests directs des contrôles ou des procédures substantives étendues.

Erreurs courantes

  • Utilisation d'un rapport périmé : Un rapport couvrant une période qui ne correspond pas à l'exercice audité sans procédures de mise à jour appropriées. L'ISA 402.16 exige d'évaluer si l'information est suffisamment récente.
  • Ignorance des exceptions : Ne pas analyser l'impact des exceptions rapportées dans un rapport Type II sur l'évaluation du risque et les procédures d'audit. L'ISAE 3402.A112 exige que toutes les exceptions soient clairement décrites.
  • Mauvaise interprétation de l'opinion : Supposer qu'une opinion sans réserve signifie que tous les contrôles fonctionnent parfaitement, alors que des exceptions peuvent exister et être décrites séparément dans le rapport.

Contenu connexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.