Contexte : Dubois Services Cloud S.A.S., basée à Lyon, fournit des services de paie externalisés à 240 PME françaises. Chiffre d'affaires 2023 : 18,5 M EUR. Ils ont terminé leur audit SOC 2 Type II en juin 2024 et préparent maintenant leur rapport ISAE 3402.

Table des matières

Différences fondamentales entre les cadres

Objectifs et portée


L'ISAE 3402 cible spécifiquement les contrôles qui affectent l'information financière des entités utilisatrices. L'ISA 315.A52 précise que l'auditeur doit comprendre comment les services externes affectent le système d'information financière du client. Le cadre se concentre sur la complétude, l'exactitude et la validité des transactions financières traitées par l'organisation de services.
SOC 2 évalue cinq domaines de confiance distincts selon les Trust Services Criteria : sécurité (obligatoire), disponibilité, intégrité du traitement, confidentialité et protection de la vie privée. Ces critères dépassent largement les préoccupations d'information financière et couvrent la gouvernance opérationnelle globale des systèmes d'information.

Structure de rapport et assertions


Les rapports ISAE 3402 suivent deux types : Type I (conception des contrôles à une date donnée) ou Type II (conception et efficacité opérationnelle sur une période). L'organisation de services formule des assertions sur ses contrôles, et l'auditeur exprime une opinion sur ces assertions.
Les rapports SOC 2 utilisent exclusivement le format Type II et évaluent l'efficacité opérationnelle des contrôles sur une période minimale de six mois. L'organisation formule des assertions contre chaque Trust Services Criteria applicable, et le CPA exprime une opinion sur l'atteinte de ces critères.

Framework de mapping des contrôles

Zones de chevauchement direct


Certains contrôles SOC 2 s'alignent directement avec les objectifs ISAE 3402, particulièrement dans le domaine de l'intégrité du traitement. Les contrôles qui garantissent la complétude et l'exactitude du traitement des données répondent généralement aux deux cadres.
Contrôles d'accès logique : Les contrôles SOC 2 de sécurité qui restreignent l'accès aux systèmes financiers correspondent aux exigences ISAE 3402 pour la protection des données financières. Un contrôle qui empêche l'accès non autorisé aux modules comptables sert les deux objectifs.
Contrôles de sauvegarde et récupération : Les procédures SOC 2 de disponibilité qui maintiennent l'intégrité des données durant les sauvegardes correspondent aux besoins ISAE 3402 de préservation des informations financières.
Contrôles de gestion des changements : Les contrôles SOC 2 qui gouvernent les modifications aux systèmes et données répondent aux préoccupations ISAE 3402 concernant l'intégrité continue des processus financiers.

Zones de divergence


Contrôles de confidentialité : La protection des informations personnelles identifiables (un domaine SOC 2) n'est généralement pas pertinente pour l'information financière sauf si ces données affectent directement les revenus ou les provisions.
Contrôles de disponibilité système : L'uptime et la performance système (SOC 2) peuvent ne pas impacter l'exactitude des transactions financières, même si elles affectent l'expérience utilisateur.
Contrôles de gouvernance générale : Les politiques de ressources humaines et la formation en sécurité (SOC 2) peuvent ne pas avoir de lien direct avec les contrôles financiers spécifiques requis par ISAE 3402.

Exemple pratique : Mappage d'un système ERP

Contexte : Dubois Services Cloud S.A.S., basée à Lyon, fournit des services de paie externalisés à 240 PME françaises. Chiffre d'affaires 2023 : 18,5 M EUR. Ils ont terminé leur audit SOC 2 Type II en juin 2024 et préparent maintenant leur rapport ISAE 3402.

Étape 1 : Identification des contrôles communs


Documentation : créer une matrice de mappage dans le dossier ISAE 3402, section "Compréhension des contrôles externes"
Contrôles d'accès au module comptable :
Contrôles de traitement batch :

Étape 2 : Test des contrôles avec double objectif


Documentation : procédures de test conçues pour satisfaire les deux cadres simultanément
Test du contrôle d'accès utilisateur :
Cette procédure satisfait CC6.1 (SOC 2) et l'objectif de contrôle ISAE 3402 sur les accès aux données financières

Étape 3 : Identification des tests supplémentaires


Certains objectifs ISAE 3402 nécessitent des tests au-delà de la portée SOC 2 :
Test de réconciliation client :
Documentation : procédure supplémentaire dans le dossier ISAE 3402, référencée mais non couverte par les travaux SOC 2
Conclusion : Dubois peut s'appuyer sur 65 % de leurs tests SOC 2 existants pour leur rapport ISAE 3402, réduisant l'effort de test de 40 % par rapport à une approche entièrement séparée.

  • SOC 2 Sécurité CC6.1 : L'entité met en place des contrôles d'accès logique pour empêcher l'accès non autorisé aux systèmes
  • ISAE 3402 objectif : Seul le personnel autorisé peut initier, approuver ou traiter les écritures comptables des clients
  • SOC 2 Intégrité PI1.1 : L'entité traite les données de manière complète et exacte
  • ISAE 3402 objectif : Tous les éléments de paie sont traités complètement et exactement dans les systèmes clients
  • Sélectionner un échantillon de 25 ajouts/modifications d'utilisateurs (période SOC 2 : janvier-juin 2024)
  • Vérifier l'approbation du responsable pour chaque modification
  • Confirmer que l'accès accordé correspond aux responsabilités métier
  • Tester la révocation d'accès pour 15 départs d'employés
  • Les rapports SOC 2 ne testent pas la réconciliation entre les totaux de paie et les comptes clients individuels
  • Test supplémentaire requis : sélectionner 30 clients, réconcilier les montants facturés avec les totaux de traitement paie

Checklist de mappage pratique

  • Obtenir et analyser le rapport SOC 2 existant: identifier les contrôles testés, la période de test, et les exceptions notées (ISA 315.15 pour la compréhension des contrôles externes)
  • Créer une matrice de mappage contrôle par contrôle: aligner chaque contrôle SOC 2 avec les objectifs de contrôle ISAE 3402 spécifiques de votre mission
  • Identifier les lacunes de couverture: documenter les objectifs ISAE 3402 non couverts par les contrôles SOC 2 existants
  • Réconcilier les périodes de test: ajuster pour les différences entre la période SOC 2 (souvent juillet-juin) et votre période d'audit client
  • Documenter les procédures de test supplémentaires: concevoir des tests ciblés pour combler les lacunes identifiées
  • Évaluer la fiabilité de l'auditeur SOC 2: vérifier les qualifications, l'indépendance et la réputation de l'auditeur SOC 2 avant de s'appuyer sur leurs travaux

Erreurs courantes

  • Supposer qu'un rapport SOC 2 "propre" couvre automatiquement les besoins ISAE 3402: les objectifs diffèrent fondamentalement et nécessitent une analyse spécifique
  • Négliger les différences de période de test: un rapport SOC 2 couvrant janvier-décembre 2023 peut ne pas être pertinent pour un audit client se terminant en juin 2024

Contenus connexes

  • Calculateur de matérialité ISAE 3402: déterminer les seuils d'anomalie pour les contrôles d'organisation de services
  • Guide des contrôles généraux informatiques: comprendre l'évaluation des contrôles IT sous-jacents aux deux cadres

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.