Scenario : Votre client, Équipements Industriels Méditerranéens S.A., externalise sa paie à deux prestataires différents. Le prestataire français fournit un rapport ISAE 3402, le prestataire américain un rapport SOC 1. Les deux couvrent les contrôles de calcul et de versement des salaires pour 2024.

Table des matières

Cadre réglementaire : SSAE 18 vs ISA {#cadre-réglementaire}

SOC 1 : Standard américain SSAE 18


SOC 1 (Service Organization Controls 1) est régi par SSAE 18 (Statement on Standards for Attestation Engagements No. 18), émis par l'AICPA américain. Ce standard s'applique spécifiquement aux missions d'attestation sur les contrôles internes des organisations de services qui affectent les états financiers des entités utilisatrices.
SSAE 18.17 exige que l'auditeur de l'organisation de service obtienne une compréhension du système de l'organisation et identifie les risques significatifs pour les objectifs de contrôle. Cette approche diffère de l'approche basée sur les risques d'anomalies significatives de l'ISA 315.
La portée d'un rapport SOC 1 se limite strictement aux contrôles qui affectent les rapports financiers des clients. Les contrôles opérationnels, de conformité ou de cybersécurité qui n'ont pas d'impact direct sur les états financiers sont exclus, même s'ils sont pertinents pour l'activité du prestataire.

ISAE 3402 : Standard international


L'ISAE 3402 (International Standard on Assurance Engagements 3402) fait partie du cadre des standards internationaux d'assurance développé par l'IAASB. Il s'harmonise avec les autres standards ISA utilisés pour l'audit des états financiers.
L'ISAE 3402.25 adopte la même approche basée sur les risques que l'ISA 315, en exigeant l'identification des risques d'anomalies significatives dans les rapports financiers des entités utilisatrices. Cette cohérence facilite l'intégration de l'évaluation du rapport dans votre démarche d'audit globale.
La portée de l'ISAE 3402 peut être plus large que SOC 1, incluant tous les aspects du système d'information et de contrôle interne de l'organisation de service qui sont pertinents pour l'audit des entités utilisatrices. Cette approche globale reflète la philosophie des standards ISA.

Implications pour les auditeurs européens


Quand vous recevez un rapport SOC 1, vous travaillez avec un cadre conceptuel différent de vos standards d'audit habituels. L'approche par objectifs de contrôle de SSAE 18 ne correspond pas directement aux assertions d'audit de l'ISA 315.23.
Les rapports ISAE 3402 utilisent le même langage de risque et les mêmes concepts d'assertions que votre audit principal. L'intégration dans votre évaluation du risque selon ISA 315 est plus directe et moins sujette aux erreurs d'interprétation.

Structure et contenu des rapports {#structure-et-contenu}

Architecture du rapport SOC 1


Un rapport SOC 1 s'organise autour d'objectifs de contrôle définis par l'organisation de service. Ces objectifs sont formulés en termes d'activités opérationnelles spécifiques (traitement des transactions, calcul des commissions, rapprochements bancaires) plutôt qu'en termes d'assertions d'audit.
La section de description des contrôles présente chaque contrôle sous forme narrative, souvent regroupée par processus métier. L'auditeur du prestataire teste ces contrôles selon SSAE 18.40, qui exige des tests de fonctionnement sur toute la période couverte pour les rapports de Type II.
L'opinion de l'auditeur porte sur l'adéquation de la conception des contrôles pour atteindre les objectifs de contrôle spécifiés et, pour les rapports Type II, sur l'efficacité du fonctionnement de ces contrôles pendant la période.

Architecture du rapport ISAE 3402


Un rapport ISAE 3402 structure l'information selon les composantes du contrôle interne définies dans l'ISA 315.A130 : environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, et pilotage.
L'ISAE 3402.40 exige que l'auditeur identifie et évalue les risques d'anomalies significatives dans les rapports financiers des entités utilisatrices. Cette évaluation est présentée dans le rapport, facilitant votre propre évaluation selon ISA 315.15.
L'opinion couvre la description du système de l'organisation de service, l'adéquation de la conception des contrôles pour traiter les risques identifiés, et l'efficacité du fonctionnement des contrôles (Type II).

Différences dans la présentation des exceptions


Les rapports SOC 1 présentent les exceptions comme des écarts par rapport aux objectifs de contrôle. Chaque exception indique quel objectif n'a pas été atteint et pendant quelle période. L'impact potentiel est généralement décrit en termes opérationnels.
Les rapports ISAE 3402 analysent les exceptions en termes de risque d'anomalie significative. L'ISAE 3402.A55 guide l'auditeur du prestataire dans l'évaluation de la gravité des exceptions et leur impact potentiel sur les assertions d'audit des entités utilisatrices.
Cette différence affecte directement votre évaluation. Une exception dans un rapport SOC 1 nécessite votre propre analyse pour déterminer l'impact sur les assertions d'audit. Une exception dans un rapport ISAE 3402 fournit déjà cette analyse.

Informations complémentaires fournies


Les rapports SOC 1 incluent souvent des informations sur les contrôles complémentaires que les entités utilisatrices doivent mettre en place. Ces recommandations sont formulées en termes de bonnes pratiques opérationnelles.
Les rapports ISAE 3402 identifient les contrôles complémentaires en liaison avec les assertions d'audit et les composantes du contrôle interne. L'ISAE 3402.A34 précise que ces informations doivent aider l'auditeur des entités utilisatrices dans son évaluation du risque.

Exemple pratique : Évaluation comparative {#exemple-pratique}

Scenario : Votre client, Équipements Industriels Méditerranéens S.A., externalise sa paie à deux prestataires différents. Le prestataire français fournit un rapport ISAE 3402, le prestataire américain un rapport SOC 1. Les deux couvrent les contrôles de calcul et de versement des salaires pour 2024.

Analyse du rapport SOC 1


Étape 1 . Examinez les objectifs de contrôle listés
Le rapport identifie l'objectif "Calculs de paie traités avec exactitude selon les paramètres autorisés". Cet objectif couvre les contrôles de saisie des heures, validation des taux, et calcul des charges.
Note de documentation : Reporter cet objectif dans le papier de travail ISA 315 en identifiant les assertions d'audit correspondantes (exactitude, exhaustivité).
Étape 2 . Analysez les exceptions reportées
Une exception indique que 3 contrôles de rapprochement sur 25 testés ont échoué en juillet 2024. Le rapport précise que ces échecs ont entraîné des écarts de calcul de charges sociales.
Note de documentation : Évaluer l'impact de cette exception sur l'assertion d'exactitude des charges à payer au 31 décembre 2024. Programmer des contrôles substantifs additionnels sur les charges sociales de juillet.
Étape 3 . Identifiez les contrôles complémentaires requis
Le rapport recommande que les entités utilisatrices vérifient mensuellement l'exactitude des paramètres de paie transmis au prestataire.
Note de documentation : Vérifier que le client effectue cette revue mensuelle. Si non, augmenter l'étendue des tests substantifs sur les charges de personnel.

Analyse du rapport ISAE 3402


Étape 1 . Examinez l'évaluation des risques
Le rapport identifie le risque d'anomalie significative : "Risque que les transactions de paie ne soient pas enregistrées avec exactitude dans les livres des entités utilisatrices en raison d'erreurs de paramétrage non détectées".
Note de documentation : Intégrer directement ce risque dans l'évaluation ISA 315.15 pour les cycles personnel et charges à payer.
Étape 2 . Analysez les exceptions dans le contexte d'audit
Une exception similaire (3 contrôles sur 25) est analysée différemment : l'auditeur estime que l'impact potentiel maximal est de 15 000 € de sous-estimation des charges sociales par entité utilisatrice de taille moyenne.
Note de documentation : Comparer cette estimation au seuil de signification pour les charges à payer. L'impact estimé (15 000 €) est inférieur au seuil (35 000 €). Procédures substantives standard maintenues.
Étape 3 . Évaluez les contrôles complémentaires par assertion
Le rapport mappe les contrôles complémentaires requis aux assertions d'audit : contrôle d'exactitude (revue mensuelle des paramètres), contrôle d'exhaustivité (rapprochement des effectifs), contrôle d'occurrence (validation des embauches/départs).
Note de documentation : Tester l'efficacité de ces trois contrôles chez le client selon ISA 330.8. Si efficaces, réduire l'étendue des contrôles substantifs.

Résultat comparatif


Même prestation, même niveau de contrôle, même exception. Le rapport SOC 1 nécessite 4 heures d'analyse supplémentaire pour traduire les objectifs de contrôle en évaluation de risque d'audit. Le rapport ISAE 3402 s'intègre directement dans la démarche ISA 315 existante.
L'exception du rapport SOC 1 génère une approche prudente (extension des contrôles substantifs) par manque d'information quantifiée. L'exception du rapport ISAE 3402 permet une réponse d'audit calibrée sur l'impact réel estimé.

Liste de contrôle pratique {#liste-de-contrôle}

SOC 1 référence SSAE 18, ISAE 3402 référence les standards internationaux d'assurance
Les deux standards permettent Type I (conception) et Type II (fonctionnement sur une période)
Créez une table de correspondance avant d'intégrer dans votre évaluation du risque
L'analyse est déjà formulée en termes de risque d'anomalie significative
SOC 1 : calculez vous-même l'impact potentiel ; ISAE 3402 : exploitez l'analyse fournie
Testez l'efficacité des contrôles complémentaires avant d'ajuster votre stratégie d'audit

  • Identifiez le standard de référence dans les premières pages du rapport
  • Vérifiez la période couverte et le type de rapport (I ou II)
  • Pour SOC 1 : Mappez chaque objectif de contrôle aux assertions d'audit ISA 315.23
  • Pour ISAE 3402 : Intégrez directement l'évaluation des risques dans votre papier ISA 315
  • Analysez chaque exception en termes d'impact sur vos assertions
  • Documentez les contrôles complémentaires requis côté client selon ISA 330.8

Erreurs fréquentes {#erreurs-fréquentes}

Traiter un rapport SOC 1 comme un rapport ISAE 3402 : Les objectifs de contrôle ne correspondent pas directement aux assertions d'audit. Cette confusion peut mener à une évaluation incorrecte du risque selon ISA 315.
Ignorer les contrôles complémentaires spécifiés : Les deux types de rapports identifient des contrôles que l'entité utilisatrice doit maintenir. Ne pas tester ces contrôles chez votre client peut compromettre l'efficacité de votre stratégie d'audit.
Se fier uniquement à l'opinion sans analyser les exceptions : Une opinion favorable n'élimine pas l'impact des exceptions reportées. L'ISA 315.A72 exige d'évaluer l'impact de toutes les déficiences identifiées dans les contrôles des prestataires de services.
Omettre la vérification de la période couverte : Un rapport Type II couvrant janvier-septembre ne protège pas le trimestre octobre-décembre. L'ISA 330.13 exige des procédures complémentaires pour couvrir l'écart entre la fin de la période du rapport et la date de clôture du client.

Contenus connexes {#contenus-connexes}

Évaluation du risque et procédures ISA 315 - Comment intégrer les rapports de prestataires dans votre évaluation globale du risque
• Calculateur de seuil de signification - Calibrez l'impact des exceptions des rapports de contrôles selon votre seuil de signification

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.