Table des matières

Le cadre décisionnel

Qui accepte quoi et où


ISAE 3402 suit le cadre international des normes IAASB. Tous les auditeurs opérant selon les normes ISA (Europe, Australie, Canada, Royaume-Uni) acceptent automatiquement les rapports ISAE 3402 comme éléments probants valides. L'ISAE 3402.9 exige que l'auditeur évalue la pertinence des contrôles testés pour les assertions des états financiers de l'entité utilisatrice.
SOC 2 est émis selon les normes américaines AT-C 105 et AT-C 205 de l'AICPA. Un rapport SOC 2 reste valable pour les auditeurs américains opérant selon les normes PCAOB ou AICPA. Pour les auditeurs européens, l'acceptation d'un rapport SOC 2 nécessite une évaluation supplémentaire de l'équivalence des normes selon ISA 402.12.

Questions de reconnaissance réglementaire


Les régulateurs européens (AFM, FRC, H3C, CNMV) reconnaissent ISAE 3402 dans leurs inspections des dossiers d'audit. Les dossiers utilisant des rapports SOC 2 pour des clients non-américains génèrent régulièrement des questions de revue sur l'adéquation des éléments probants.
Le coût de cette différence : si votre client perd un contrat parce que son audit report ne peut pas s'appuyer sur un SOC 2 dans un contexte européen, le manque à gagner dépasse largement les 25 000 EUR du rapport correct.

Comparaison structurelle des deux rapports

Portée et contrôles testés


ISAE 3402 couvre uniquement les contrôles qui impactent les états financiers des entités utilisatrices. L'ISAE 3402.A10 précise que les contrôles testés doivent avoir un lien direct avec les assertions d'audit (existence, exhaustivité, évaluation, présentation). Les contrôles de cybersécurité n'entrent dans la portée que s'ils protègent l'intégrité des données financières.
SOC 2 couvre les cinq critères de confiance (Trust Services Criteria) : sécurité, disponibilité, intégrité du traitement, confidentialité, et protection de la vie privée. La portée SOC 2 est plus large mais moins spécialisée sur les risques d'audit financier.

Structure des rapports


Un rapport ISAE 3402 contient trois éléments obligatoires selon le paragraphe 49 :
Un rapport SOC 2 Type II contient :

Calendrier et période couverte


ISAE 3402 permet des rapports sur 6 ou 12 mois selon les besoins des entités utilisatrices. SOC 2 couvre généralement 12 mois mais peut s'adapter selon les exigences contractuelles.

  • Description des contrôles par l'entité de services
  • Opinion de l'auditeur sur la description et l'efficacité opérationnelle
  • Détails des tests effectués et résultats
  • Description des systèmes selon les critères TSC
  • Opinion sur la conception et l'efficacité opérationnelle
  • Détails des exceptions et résultats de tests

Exemple pratique : Dubois Data Services

Contexte : Dubois Data Services S.A.S., basée à Lyon, fournit des services de traitement de paie externalisé à 150 entreprises clientes en France, Belgique et Suisse. Chiffre d'affaires : 12 M EUR. La direction hésite entre ISAE 3402 et SOC 2.

Analyse de la clientèle


Étape 1 . Identifier les auditeurs des clients principaux
Note de documentation : client mapping effectué sur les 20 plus gros clients représentant 78% du CA
Étape 2 . Évaluer les exigences contractuelles
Révision de 15 contrats clients majeurs. Tous mentionnent "audit report on controls" ou "rapport d'assurance sur les contrôles internes" selon les normes d'audit applicables.
Note de documentation : analyse contractuelle archivée sous référence DC-2024-15
Étape 3 . Calculer l'impact financier
Note de documentation : estimation basée sur les délais d'audit moyens communiqués par 8 clients

Recommandation


ISAE 3402 s'impose. La clientèle européenne de Dubois rend le SOC 2 inadapté. Le surcoût d'un SOC 2 non utilisable dépasse 25 000 EUR en contrats perdus.

  • 85 clients français (auditeurs opérant selon NEP, basées sur ISA)
  • 40 clients belges (auditeurs opérant selon ISA Belgium)
  • 25 clients suisses (auditeurs opérant selon ISA Suisse)
  • 0 client américain
  • ISAE 3402 : accepté automatiquement par 100% des auditeurs clients
  • SOC 2 : nécessiterait une évaluation d'équivalence pour chaque audit, retardant potentiellement les certifications clients de 2-4 semaines

Checklist de décision

  • Cartographier la clientèle par géographie : Europe/IFAC = ISAE 3402, États-Unis = SOC 2, mix = évaluer le poids relatif
  • Vérifier les clauses contractuelles : rechercher les mentions de normes d'audit spécifiques dans les contrats clients
  • Consulter les auditeurs clients principaux : demander leur préférence avant de choisir (ISA 402.A25)
  • Évaluer les coûts de non-acceptation : chiffrer l'impact de contrats perdus si le rapport n'est pas reconnu
  • Considérer les évolutions réglementaires : ISAE 3402 évolue avec les normes IAASB, SOC 2 avec l'AICPA
  • Documenter le choix : justifier la décision dans les dossiers de travail pour les revues qualité

Erreurs fréquentes

  • Choisir SOC 2 par défaut : de nombreux prestataires technologiques supposent que SOC 2 est "plus reconnu" alors qu'il est spécifique au marché américain
  • Ignorer l'acceptation par les auditeurs clients : commander un rapport sans vérifier que les auditeurs des principales entités utilisatrices l'accepteront selon leurs normes

Contenu connexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.