L'ISAE 3402.36 établit qu'un contrôle est clé si sa défaillance pourrait raisonnablement entraîner une anomalie significative dans les états financiers des entités utilisatrices. Cette définition repose sur trois éléments : la probabilité de défaillance, l'impact financier et l'existence de contrôles compensatoires.

Table des matières

Le cadre réglementaire de la classification

L'ISAE 3402.36 établit qu'un contrôle est clé si sa défaillance pourrait raisonnablement entraîner une anomalie significative dans les états financiers des entités utilisatrices. Cette définition repose sur trois éléments : la probabilité de défaillance, l'impact financier et l'existence de contrôles compensatoires.
Le paragraphe A67 précise que l'évaluation s'effectue contrôle par contrôle, en considérant l'environnement de contrôle global et les autres procédures susceptibles de détecter ou prévenir les anomalies. La norme ne fixe pas de seuils quantitatifs. L'évaluation reste qualitative et dépend du jugement professionnel.

Pourquoi cette classification détermine l'approche d'audit


Un contrôle clé défaillant nécessite des tests supplémentaires, une évaluation d'impact sur les entités utilisatrices et une mention dans le rapport d'assurance. Un contrôle non-clé défaillant fait l'objet d'une simple communication à la direction sans impact sur l'opinion.
L'enjeu n'est pas seulement réglementaire. Une classification incorrecte expose le prestataire et l'auditeur à des risques de responsabilité si des anomalies significatives passent inaperçues dans les états financiers des entités utilisatrices.

L'évaluation en quatre volets

Volet 1 : Identification du risque couvert


Chaque contrôle adresse un risque spécifique. Un contrôle d'autorisation des virements couvre le risque de paiements non autorisés. Un contrôle de rapprochement bancaire couvre le risque d'omissions ou d'erreurs dans l'enregistrement des mouvements.
Documentez précisément quel risque le contrôle est censé adresser. Cette documentation servira de base pour évaluer l'impact potentiel d'une défaillance.

Volet 2 : Évaluation des montants concernés


Quantifiez les montants qui transiteraient sans contrôle en cas de défaillance. Pour un contrôle mensuel sur la paie, calculez le montant mensuel moyen des salaires traités. Pour un contrôle quotidien sur les règlements fournisseurs, estimez le volume quotidien des paiements.
L'ISAE 3402 ne définit pas de seuil de significativité. Référez-vous aux seuils habituellement appliqués par les entités utilisatrices de taille similaire (généralement 5 % du résultat avant impôt ou 0,5 % du total des actifs).

Volet 3 : Analyse des contrôles compensatoires


Un contrôle peut être classé non-clé si des contrôles compensatoires efficaces existent. Ces contrôles doivent être :
Par exemple, un contrôle d'autorisation manuelle peut être compensé par un contrôle automatique de limites dans le système, à condition que ce dernier soit testé et fonctionne correctement.

Volet 4 : Conséquences d'une défaillance


Modélisez ce qui se passerait si le contrôle échouait pendant une période représentative (un mois pour les contrôles mensuels, une semaine pour les contrôles hebdomadaires).
Cette modélisation doit considérer la fréquence du contrôle, les montants concernés et la probabilité de détection par d'autres moyens. Un contrôle quotidien sur de petits montants peut être non-clé même si aucun contrôle compensatoire n'existe.

  • Indépendants du contrôle évalué
  • Capables de détecter la même anomalie
  • Testés et jugés efficaces
  • Opérants sur la même période que le contrôle évalué (ISAE 3402.A68 exige que le contrôle compensatoire couvre le même cycle de traitement, par exemple un rapprochement trimestriel ne compense pas un contrôle quotidien défaillant)

Exemple pratique : Classification des contrôles de paie

Contexte : Mercier Services RH S.A.S. traite la paie pour 150 entreprises clientes. Chiffre d'affaires annuel : 8,5 M EUR. L'équipe évalue trois contrôles dans le processus de paie.

Contrôle 1 : Autorisation des modifications de salaire


Description : Toute modification de salaire supérieure à 500 EUR nécessite l'approbation du responsable RH client et la validation du directeur de production de Mercier Services.
Évaluation :
Documentation : Contrôle classé clé. Défaillance pourrait entraîner anomalies significatives chez 30 % des entités utilisatrices. Contrôles compensatoires insuffisants pour couvrir l'intégralité du risque.
Classification : CLÉ

Contrôle 2 : Rapprochement des heures supplémentaires


Description : Comparaison mensuelle entre les heures supplémentaires saisies et les autorisations reçues des clients pour montants supérieurs à 200 EUR par salarié.
Évaluation :
Documentation : Contrôle classé non-clé. Montants unitaires limités, contrôles compensatoires efficaces, risque résiduel faible pour les entités utilisatrices.
Classification : NON-CLÉ

Contrôle 3 : Validation des virements de paie


Description : Double signature obligatoire pour tous les virements de paie supérieurs à 50 000 EUR par lot.
Évaluation :
Documentation : Contrôle classé clé. Montants significatifs, absence de contrôles préventifs compensatoires, impact direct sur trésorerie des entités utilisatrices.
Classification : CLÉ
  • Risque couvert : Modifications non autorisées entraînant des surpaiements
  • Montants : 2 500 modifications par mois en moyenne, montant médian 850 EUR
  • Contrôles compensatoires : Validation automatique des taux de salaire contre la base de données RH + rapprochement mensuel client
  • Conséquences de défaillance : Impact maximal estimé 75 000 EUR par mois (3 % des salaires traités)
  • Risque couvert : Paiement d'heures supplémentaires non autorisées
  • Montants : 180 000 EUR d'heures supplémentaires par mois
  • Contrôles compensatoires : Contrôle automatique de cohérence + validation managériale côté client
  • Conséquences de défaillance : Seuil de 200 EUR limite l'impact par salarié, détection probable par les contrôles compensatoires
  • Risque couvert : Virements de paie erronés ou frauduleux
  • Montants : 90 lots par mois dépassent le seuil, montant moyen 125 000 EUR
  • Contrôles compensatoires : Contrôles bancaires post-virement uniquement (détection, pas prévention)
  • Conséquences de défaillance : 11,25 M EUR de virements non contrôlés par mois

Check-list pratique

  • Documentez le risque spécifique que chaque contrôle est censé adresser (ISAE 3402.A67)
  • Quantifiez les montants qui seraient affectés en cas de défaillance du contrôle sur une période représentative
  • Identifiez tous les contrôles compensatoires indépendants et vérifiez qu'ils sont testés et efficaces
  • Modélisez l'impact financier d'une défaillance sur les états financiers des entités utilisatrices types
  • Documentez votre raisonnement avec des chiffres précis et des références aux contrôles compensatoires testés
  • Validez la cohérence de la classification avec l'approche d'audit globale et les communications aux entités utilisatrices

Erreurs courantes

  • Classification basée sur l'effort de test plutôt que sur l'impact financier - Certaines équipes classent un contrôle comme clé parce qu'il est complexe à tester, pas parce que sa défaillance serait significative
  • Omission de l'évaluation des contrôles compensatoires - L'ISAE 3402.A67 exige de considérer l'environnement de contrôle global, pas seulement le contrôle isolé

Contenu connexe

  • Calculateur de seuils de significativité ISAE 3402 - Estimez les seuils de significativité pour vos entités utilisatrices types
  • Évaluation du contrôle interne - Définition et approche de l'évaluation des contrôles dans les missions d'assurance
  • Déficiences du contrôle interne ISA 265 - Comment classifier et communiquer les déficiences identifiées lors de l'audit

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.