Definition

L'ISA 315.29 exige que vous compreniez le rôle des prestataires de services informatiques dans le système de contrôle interne. Lorsqu'une entité utilise l'informatique en nuage, la fourniture de services, le stockage des données et la tenue des registres se déroulent en partie ou entièrement chez le prestataire. Cela signifie que vous ne pouvez pas auditer les contrôles informatiques de l'entité seule. Vous devez évaluer les contrôles du prestataire. L'ISA 330.8 précise que vous pouvez utiliser les rapports ISAE 3402 (Type I ou Type II) comme élément de preuve, à condition que vous :

Fonctionnement

L'ISA 315.29 exige que vous compreniez le rôle des prestataires de services informatiques dans le système de contrôle interne. Lorsqu'une entité utilise l'informatique en nuage, la fourniture de services, le stockage des données et la tenue des registres se déroulent en partie ou entièrement chez le prestataire. Cela signifie que vous ne pouvez pas auditer les contrôles informatiques de l'entité seule. Vous devez évaluer les contrôles du prestataire. L'ISA 330.8 précise que vous pouvez utiliser les rapports ISAE 3402 (Type I ou Type II) comme élément de preuve, à condition que vous :
Un rapport ISAE 3402 Type II couvrant une année entière d'opérations et les contrôles clés réduit considérablement le travail à effectuer. Mais si le rapport est Type I (point dans le temps), ou s'il ne couvre que certains processus critiques, vous devez compenser par du travail supplémentaire : tests supplémentaires chez l'entité, demandes d'informations directes au prestataire, ou rapports de conformité externes.
En pratique, la plupart des équipes d'audit traitent les rapports ISAE 3402 comme si leur existence suffisait. C'est une erreur. L'ISA 330.8 exige que vous jugiez par vous-même si le rapport fournit une évidence suffisante et appropriée.

  • Ayez obtenu le rapport directement auprès du prestataire ou de l'entité
  • Ayez évalué l'étendue, les procédures et la date du rapport par rapport à votre période d'audit
  • Ayez examiné les constats du rapport et leurs implications pour votre stratégie d'audit

Exemple pratique : Baxter & Associés SARL

Client : Baxter & Associés SARL, cabinet de conseil français, chiffre d'affaires de 8,5 M EUR, rapportage IFRS.
Situation : Baxter externalisait l'ensemble de sa paie, ses factures clients, et sa tenue de grand livre auprès d'un prestataire de services en nuage. Aucun contrat de service (SLA) écrit n'existait. L'entité pensait être couverte par un rapport ISAE 3402 Type I datant de 14 mois.
Étape 1: Évaluation du rapport ISAE 3402
Vous avez obtenu le rapport du prestataire. Date : 15 janvier 2024. Couverture : contrôles d'accès, sauvegardes, archivage. Votre audit couvre la période du 1er janvier au 31 décembre 2024. Le rapport Type I s'arrête à un moment précis ; il ne documente pas les changements de contrôle ou les incidents survenus après janvier 2024.
Note de documentation : rapport ISAE 3402 obtenu, Type I, couverture [x], date [y], limites [z] notées au dossier.
Étape 2: Demande d'informations sur les changements intervenus
Vous avez écrit au prestataire et demandé : quels changements ont affecté les contrôles d'accès, les sauvegardes, ou l'archivage depuis la fin du rapport ISAE 3402 (janvier 2024) jusqu'à décembre 2024. Réponse : aucun changement significatif documenté, mais pas de rapport complément.
Note de documentation : demande écrite au prestataire, réponse reçue, pas de changement identifié depuis le rapport ISAE 3402.
Étape 3: Procédures substantives supplémentaires
Parce que le rapport Type I était limité et ancien, vous avez : (a) testé l'intégrité d'un échantillon de transactions paie (10 rubriques) en retraçant du registre paie jusqu'aux factures paie, (b) demandé au prestataire une liste des accès utilisateurs au 31 décembre 2024 et l'avez comparée à la liste à jour de Baxter, (c) téléchargé un échantillon de sauvegardes et vérifié que les fichiers pouvaient être restaurés.
Note de documentation : tests de transactions paie effectués (10 éléments tracés), liste d'accès obtenue et comparée, procédure de sauvegarde testée.
Conclusion : Le rapport ISAE 3402 Type I a fourni une base, mais pas une preuve suffisante. Les procédures supplémentaires ont comblé les lacunes et soutenu votre conclusion selon laquelle les contrôles du prestataire étaient opérationnels et appropriés. Ce qui aurait pu être un constat (« aucune preuve des contrôles chez le prestataire ») a été réglé par une stratégie d'audit à plusieurs couches.

Ce que les auditeurs et les réviseurs oublient souvent

  • Constat d'inspection observé (international) : Les inspections internationales identifient fréquemment des audits qui s'appuient intégralement sur un rapport ISAE 3402 sans évaluer sa pertinence ou sa couverture. L'ISA 330.8 exige un jugement professionnel, pas une acceptation passive.
  • Erreur pratique courante : Supposer qu'un contrat cloud (SLA) avec le prestataire garantit les contrôles. L'ISA 315.29(b) exige que vous identifiiez les risques liés aux contrôles qui ne sont pas effectués par l'entité auditée. Un SLA définit un service, non un contrôle. Vérifier le service et les contrôles qui le soutiennent sont deux questions différentes.
  • Brèche documentaire fréquente : Ne pas documenter explicitement votre évaluation du rapport ISAE 3402. Si vous le mentionnez, notez votre conclusion : type (I ou II), période couverte, contrôles clés documentés, lacunes identifiées, procédures d'audit conçues pour compenser ces lacunes. L'absence de cette analyse expose votre dossier à un constat de révision.
  • Localisation des données et conformité RGPD négligées (ISA 250.13) : ISA 250.13 impose à l'auditeur d'évaluer la conformité aux textes et réglementations qui ont un impact direct sur les états financiers. Pour un client utilisant un prestataire de stockage en nuage hors UE, le RGPD article 44 impose des garanties spécifiques pour les transferts internationaux de données. Un cabinet niçois auditait un cabinet d'avocats (chiffre d'affaires 6,2 M EUR) qui hébergeait sa facturation et son CRM clients chez un prestataire avec des serveurs aux États-Unis : l'équipe avait accepté le rapport ISAE 3402 du prestataire sans vérifier l'existence d'un accord de transfert sous clauses contractuelles types. La CNIL a sanctionné le cabinet six mois après pour 180 k EUR, déclenchant une provision rétroactive et un retraitement comparatif.

Risques informatiques en nuage vs contrôles informatiques généraux

La distinction importe parce que les risques en nuage sont plus étendus que les seuls contrôles informatiques.
| Dimension | Informatique en nuage | Informatique générale (sur site) |
|---|---|---|
| Contrôle physique | Aucun ; prestataire responsable | Entité responsable |
| Accès aux données | Via web/authentification à distance | Accès réseau local ou site |
| Responsabilité de sauvegarde | Prestataire (à vérifier via ISAE 3402) | Entité ; audit du département IT |
| Continuité d'exploitation | Dépend de SLA et du prestataire | Plan de continuité interne |
| Conformité réglementaire | Risque partagé (données hors UE, RGPD) | Entité responsable |
| Évidence d'audit | Rapport ISAE 3402 + procédures supplémentaires | Travail d'audit direct sur les contrôles |

Quand cette distinction compte lors d'un audit

Supposez qu'une PME a choisi un prestataire de paie en nuage (basé en Bulgarie) et que la direction a décidé que « le prestataire gère tout, il n'y a rien à contrôler ». L'ISA 315.29 exige cependant que vous identifiiez tous les risques liés à des services externalisés. Vous devez vérifier que la direction connaît les risques (confidentialité des données, continuité de service, respect du droit du travail local) et qu'elle a mis en place des contrôles pour les atténuer (contrat SLA, procédure d'approbation des salaires, liste de contrôle des résultats mensuels). L'absence de contrôles compensateurs chez le client, combinée à un rapport ISAE 3402 absent ou limité, est la base d'un constat d'audit.

Termes connexes

  • Rapport ISAE 3402 : La base de preuve pour évaluer les contrôles chez un prestataire de services.
  • ISAE 3402 vs SOC 1 : La distinction entre les deux référentiels d'assurance sur les contrôles d'un prestataire de services.
  • Risque inhérent : Le risque à évaluer en premier avant d'examiner les contrôles du prestataire.
  • Procédures substantives : Les tests supplémentaires requis si le rapport ISAE 3402 est limité ou ancien.
  • ISA 315 (Révision 2019) : La norme qui gouverne l'évaluation des risques liés à l'informatique en nuage et aux services externalisés.
  • Contrôles généraux informatiques : Le cadre des contrôles d'accès, de sauvegarde et de gestion des changements à vérifier dans tout rapport ISAE 3402 Type II.

Utiliser la checklist de continuité de service en nuage

Ciferi propose un modèle de checklist pour documenter votre évaluation des risques et des contrôles chez un prestataire informatique. La checklist couvre : évaluation du rapport ISAE 3402, analyse de l'SLA, procédures de sauvegarde, gestion d'accès, plan de continuité, conformité réglementaire. Cela structure vos procédures d'audit et documente votre conclusion selon ISA 330.8.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.