Sommaire

- Ce qui échoue en pratique - Fondement réglementaire - Type I versus Type II - Exigences de l'ISAE 3402 - Exemple pratique - Liste de contrôle pratique - Erreurs courantes - Contenu connexe

Ce qui échoue en pratique

Trois choses tournent mal de façon récurrente sur les missions avec un prestataire externalisé.

Le premier point d'échec, c'est l'écart temporel. Le rapport ISAE 3402 du prestataire couvre, par exemple, octobre N-1 à septembre N. Votre exercice se clôt au 31 décembre N. Trois mois ne sont pas couverts par le rapport. ISA 402.A28 dit que cet écart peut nécessiter des procédures supplémentaires. La plupart des dossiers s'arrêtent à constater l'écart. Peu documentent ce qu'ils font de cet écart.

Le deuxième point d'échec, c'est la lecture des exceptions. Un rapport Type II avec opinion sans réserve peut très bien décrire des exceptions matérielles dans le détail des tests. Un confrère m'a dit, sur une mission revue conjointement : "j'avais cinq pages d'exceptions sur le contrôle critique de validation des transactions, mais comme l'opinion était sans réserve, je l'ai pris pour acquis." Le H2A a vu les choses autrement.

Le troisième point d'échec, c'est l'oubli des CUECs. ISAE 3402.A63 introduit les contrôles complémentaires des entités utilisatrices. Le rapport du prestataire suppose que ces contrôles existent côté client. Si vous ne les testez pas chez votre client, le rapport ne tient pas. C'est probablement le piège le plus fréquent et celui qui laisse le dossier le plus exposé.

Fondement réglementaire

L'ISAE 3402 régit les missions d'assurance sur les contrôles d'une organisation de services qui sont pertinents pour le contrôle interne des entités utilisatrices relatif à l'information financière. La norme répond à un problème pratique : comment un auditeur évalue-t-il les contrôles d'un prestataire auquel il n'a pas accès direct.

Le paragraphe ISAE 3402.1 précise que la norme s'applique uniquement quand l'organisation de services fournit des services qui font partie du système d'information de l'entité utilisatrice relatif à l'information financière. Une simple sous-traitance de services généraux (entretien, gardiennage, accueil) ne relève pas de cette norme. La distinction n'est pas toujours évidente : pour un éditeur SaaS de comptabilité, le service est clairement dans le périmètre ; pour un prestataire de gestion des notes de frais, ça dépend du volume et de l'impact sur les comptes.

Interaction avec l'ISA 402

L'ISA 402 établit les responsabilités de l'auditeur de l'entité utilisatrice. Le paragraphe ISA 402.8 exige de comprendre la nature et l'importance des services fournis par l'organisation de services et leur effet sur le contrôle interne du client. L'ISAE 3402 fournit le mécanisme permettant d'obtenir cette compréhension par le biais d'un rapport d'assurance.

Quand l'organisation de services exerce un contrôle physique sur les actifs du client, l'ISA 402.11 impose des procédures supplémentaires (comptage de stocks externalisé, dépositaire de titres). Le rapport ISAE 3402 peut satisfaire certaines de ces exigences, mais pas toutes. C'est le genre de point qu'on règle au doigt mouillé sur les dossiers en pression de temps, et qu'on retrouve en commentaire de revue six mois plus tard.

Type I versus Type II

La différence entre Type I et Type II détermine ce que vous pouvez faire du rapport dans votre mission d'audit.

Rapport Type I

Un rapport Type I exprime une opinion sur la description des contrôles de l'organisation de services et leur conception à une date spécifique. L'ISAE 3402.A69 précise qu'il évalue si les contrôles sont conçus de manière appropriée pour atteindre les objectifs de contrôle spécifiés.

Limitations du Type I : - Aucune évaluation de l'efficacité opérationnelle des contrôles - Opinion à une date fixe, pas sur une période - Ne permet pas de réduire substantiellement les tests de l'auditeur du client

En pratique, un rapport Type I sert essentiellement à confirmer que le prestataire a un dispositif. Il ne suffit jamais à s'appuyer sur les contrôles pour réduire les procédures de corroboration. Si votre stratégie d'audit prévoit de réduire les tests substantifs sur la base du rapport, et que vous recevez un Type I, vous avez un problème de planification.

Rapport Type II

Un rapport Type II inclut tout ce qui est dans un Type I plus une opinion sur l'efficacité opérationnelle des contrôles sur une période. L'ISAE 3402.50 exige que l'auditeur de l'organisation de services obtienne des éléments probants suffisants et appropriés concernant l'efficacité opérationnelle des contrôles.

Avantages du Type II : - Évaluation de l'efficacité opérationnelle sur une période définie - Tests détaillés des contrôles avec résultats et exceptions documentés - Permet à l'auditeur de l'entité utilisatrice de modifier la nature, le calendrier et l'étendue des procédures d'audit selon l'ISA 402.16

C'est le rapport que vous voulez sur 95 % des missions où le prestataire pèse. La question utile n'est pas "Type I ou Type II" mais "la période couverte par le Type II est-elle alignée avec mon exercice".

Critères de choix

L'ISA 402.A23 suggère qu'un rapport Type II est généralement plus utile parce qu'il fournit des informations sur l'efficacité opérationnelle des contrôles. Utilisez un Type I uniquement quand : - Les services ont commencé récemment et une période d'exploitation complète n'est pas disponible - Vous effectuez des procédures substantives étendues qui ne dépendent pas des contrôles de l'organisation de services - L'organisation de services effectue uniquement des transactions de routine avec un impact limité sur les assertions

C'est ici que les associés expérimentés divergent. L'associé A applique strictement la lecture ISA 402.A23 : Type II par défaut, Type I uniquement dans les trois cas listés. L'associé B, sur des missions de petites entités où les coûts d'obtention d'un Type II ont été refacturés au client à des montants élevés, accepte un Type I complété par des procédures substantives ciblées et documente précisément le raisonnement. Les deux positions tiennent. Ce qui ne tient pas, c'est de prendre un Type I sans tracer le raisonnement et sans étendre les substantifs en conséquence.

Exigences de l'ISAE 3402

Acceptation de la mission

L'ISAE 3402.21 établit les conditions préalables à l'acceptation d'une mission. L'auditeur de l'organisation de services doit obtenir l'accord de la direction sur sa responsabilité pour : - La conception, la mise en place et le fonctionnement efficace du contrôle interne - La fourniture d'une description écrite du système et des objectifs de contrôle - La fourniture d'une assertion écrite accompagnant la description

Sans ces éléments, l'ISAE 3402.22 interdit d'accepter la mission.

Compréhension du système

L'ISAE 3402.25 exige d'obtenir une compréhension du système de l'organisation de services, incluant : - Les services fournis qui sont couverts par la description - Les procédures, dans le cadre du traitement des transactions des entités utilisatrices, par lesquelles ces transactions sont initiées, autorisées, enregistrées et traitées - Les enregistrements comptables pertinents, les informations d'appui et les comptes spécifiques dans les états financiers des entités utilisatrices - La manière dont le système d'information capture et traite les événements significatifs autres que les transactions des entités utilisatrices - Le processus d'information financière utilisé pour préparer l'information pour les entités utilisatrices - Les contrôles spécifiés dans les objectifs de contrôle

Tests des contrôles (Type II uniquement)

Pour un rapport Type II, l'ISAE 3402.43 exige de concevoir et d'exécuter des tests pour obtenir des éléments probants suffisants et appropriés sur l'efficacité opérationnelle des contrôles. Ces tests doivent : - Être exécutés à des moments appropriés tout au long de la période couverte - Être conçus pour tester l'efficacité opérationnelle des contrôles en répondant aux questions « comment », « quand » et « par qui » - Inclure une réexécution des contrôles quand c'est approprié

L'ISAE 3402.A95 note que la simple observation ou la demande d'informations ne suffit généralement pas pour un test d'efficacité opérationnelle. C'est un point que les confrères expérimentés rappellent souvent en revue : un test d'efficacité ne peut pas reposer uniquement sur "le responsable nous a confirmé que la procédure est appliquée".

Documentation

L'ISAE 3402.57 spécifie les exigences de documentation minimales : - Les questions identifiées et les réponses obtenues dans le processus d'acceptation de la mission - La nature, le calendrier et l'étendue des procédures d'audit effectuées - Les résultats des procédures d'audit et les éléments probants obtenus - Les conclusions atteintes sur chaque objectif de contrôle

Exemple pratique

Client : Distributions Mercure SAS, grossiste en électronique basé à Lyon, chiffre d'affaires de 28 M EUR.

Contexte : Mercure sous-traite l'intégralité de son traitement de paie à Paie-Expert, prestataire spécialisé. Les transactions de paie représentent 8,2 M EUR annuels et affectent directement les charges de personnel dans les états financiers de Mercure.

Étape 1 : applicabilité de l'ISAE 3402

L'ISA 402.8 exige de déterminer si les services de Paie-Expert font partie du système d'information de Mercure relatif à l'information financière. Les services de paie incluent le calcul des salaires, des charges sociales et la production des écritures comptables mensuelles. Ces services relèvent clairement de l'ISAE 3402.1.

Documentation : « Les services de paie fournis par Paie-Expert incluent le traitement des données de temps, le calcul des salaires et charges sociales, et la génération d'écritures comptables. Ces services affectent directement les comptes 641 (Rémunérations du personnel) et 645 (Charges de sécurité sociale). Applicabilité ISAE 3402 confirmée. »

Étape 2 : obtention du rapport

Mercure fournit un rapport Type II couvrant la période du 1er avril 2023 au 31 mars 2024. Le rapport inclut 12 objectifs de contrôle couvrant l'autorisation des changements de données de personnel, l'exactitude des calculs et la complétude des rapports.

Documentation : « Rapport ISAE 3402 Type II reçu, couvrant 12 mois se terminant le 31 mars 2024. Opinion sans réserve sur la description et l'efficacité opérationnelle des contrôles. »

Étape 3 : couverture temporelle

L'exercice de Mercure se termine le 31 décembre 2024. La période couverte par le rapport (avril 2023 - mars 2024) laisse un écart de 9 mois. L'ISA 402.A28 indique qu'un écart de plus de six mois peut nécessiter des procédures supplémentaires.

Documentation : « Écart de 9 mois entre la fin de la période couverte (31 mars 2024) et la date d'arrêté (31 décembre 2024). Procédures de mise à jour requises selon ISA 402.16. »

Étape 4 : la complication

C'est ici que la mission se durcit. Pendant les procédures de mise à jour sur octobre 2024, le directeur financier nous signale que Paie-Expert a migré sa plateforme en juillet 2024 (au milieu de l'écart non couvert). L'ancien environnement avait été audité dans le rapport Type II. Le nouveau ne l'a pas encore été.

L'écart théorique de 9 mois devient un écart pratique de 4 mois sur la nouvelle plateforme, qui n'a aucun élément probant externe. Le rapport ISAE 3402 ne couvre pas la période d'avril à décembre 2024, mais il ne couvre surtout pas les contrôles sur la nouvelle plateforme. Deux logiques s'affrontent ici. L'associé A dit : on ne peut pas s'appuyer sur le rapport pour la nouvelle plateforme, on bascule sur des procédures de corroboration étendues sur la paie d'avril à décembre 2024. L'associé B dit : on demande à Paie-Expert un rapport SOC 1 intermédiaire (bridge letter) couvrant la migration et l'efficacité initiale des contrôles, et on adapte les substantifs en fonction de ce que dit la bridge letter. Sur ce dossier, l'option B a été retenue parce que Paie-Expert publie des bridge letters trimestrielles. Sur un autre dossier où le prestataire ne publie pas, l'option A aurait été la seule possible.

Documentation : « Migration de plateforme Paie-Expert en juillet 2024. Bridge letter obtenue le 14 octobre 2024 confirmant la transition des contrôles. Tests substantifs sur 15 bulletins d'octobre 2024 : calculs vérifiés, autorisations présentes, charges sociales exactes. Position retenue : appui partiel sur la bridge letter, complété par tests sur la paie de novembre et décembre 2024. »

Cette évaluation permet de s'appuyer sur les contrôles de Paie-Expert tout en respectant les exigences de l'ISA 402 sur l'écart temporel et la migration de plateforme.

Liste de contrôle pratique

1. Confirmer l'applicabilité ISAE 3402 : vérifier que les services du prestataire font partie du système d'information relatif à l'information financière selon l'ISAE 3402.1.

2. Évaluer la couverture temporelle : s'assurer que la période couverte par le rapport est pertinente pour votre mission. Un écart de plus de six mois peut nécessiter des procédures supplémentaires selon l'ISA 402.A28.

3. Vérifier l'opinion d'audit : confirmer que l'opinion est sans réserve. Une opinion modifiée selon l'ISAE 3402.69 peut affecter votre capacité à vous appuyer sur les contrôles du prestataire.

4. Examiner les exceptions rapportées : pour un rapport Type II, analyser chaque exception selon l'ISAE 3402.A112 et évaluer son impact sur vos procédures.

5. Documenter votre évaluation : préparer une note de dossier expliquant comment le rapport ISAE 3402 affecte votre évaluation du risque et vos procédures planifiées.

6. Effectuer des procédures supplémentaires si nécessaire : quand l'information du rapport est insuffisante, l'ISA 402.17 peut exiger des tests directs des contrôles ou des procédures substantives étendues.

Erreurs courantes

L'utilisation d'un rapport périmé arrive plus souvent qu'on ne le pense. Un rapport couvrant une période qui ne correspond pas à l'exercice audité, sans procédures de mise à jour appropriées, laisse le dossier exposé. L'ISA 402.16 exige d'évaluer si l'information est suffisamment récente.

L'ignorance des exceptions est la deuxième source de constats H2A. Ne pas analyser l'impact des exceptions rapportées dans un rapport Type II sur l'évaluation du risque et les procédures d'audit. L'ISAE 3402.A112 exige que toutes les exceptions soient clairement décrites. Quand le rapport décrit cinq pages d'exceptions sur un contrôle critique et que le memorandum dit "rapport sans réserve, contrôle effectif", le dossier est trop léger.

La mauvaise interprétation de l'opinion est la version raffinée de la précédente. Une opinion sans réserve ne signifie pas que tous les contrôles fonctionnent parfaitement. Elle signifie que les contrôles décrits sont conçus de manière appropriée et fonctionnent suffisamment pour atteindre les objectifs de contrôle, sous réserve des exceptions mentionnées dans le détail. La pression structurelle qui crée cette confusion tient à la mécanique du forfait : lire un ISAE 3402 sérieusement prend du temps, et ce temps n'est pas toujours dans le budget. C'est là qu'on bascule sur "opinion sans réserve, on coche, on passe", et c'est là que les commentaires de revue tombent.

L'insight qu'on ne tire pas de la lecture de la norme seule : un rapport ISAE 3402 est un élément probant délégué, pas une couverture de risque déléguée. Le confrère qui l'a signé a fait son travail sur le périmètre qu'il avait. Le risque d'audit sur votre dossier dépend de ce que vous faites de son travail, pas de la qualité de son travail à lui.

Contenu connexe

- Évaluation du risque chez les prestataires de services : comment intégrer l'évaluation des contrôles du prestataire dans votre approche d'audit globale - Calculateur d'échantillonnage pour contrôles : déterminer la taille d'échantillon appropriée quand vous testez les contrôles complémentaires chez le client - Guide ISA 402 complet : les responsabilités de l'auditeur quand le client fait appel à une organisation de services

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.