ISAE 3402

Mode de fonctionnement

Commençons par ce qui rate. Dans les dossiers que nous voyons, la confusion entre Type 1 et Type 2 est la première cause de rejet. L'auditeur produit un rapport étiqueté Type 2, mais le programme de travail ressemble à du Type 1: une visite sur site en janvier, observation d'une revue, signature au dossier, et c'est tout. Aucun test étalé sur la période. C'est du tampon. La validation est purement formelle.

Ce que la norme demande est différent. L'ISAE 3402 s'applique aux entités qui fournissent des services dont les contrôles affectent les états financiers de leurs clients. Centre de paie, plateforme de gestion d'investissements, tiers dépositaire, prestataire SaaS comptable. L'ISAE 3402.A1 prévoit que vous, auditeur du prestataire, évaluez les contrôles conçus par la direction pour maîtriser les risques identifiés. Vous ne testez pas les états financiers du prestataire. Vous testez ses contrôles, et vous rapportez à des tiers (les utilisateurs et leurs auditeurs) sur leur efficacité.

La norme distingue deux types. Le Type 1 (ISAE 3402.9) couvre la conception et l'existence des contrôles à la date de votre rapport. Le Type 2 (ISAE 3402.10) couvre la conception, l'existence et l'efficacité opérationnelle sur une période minimale de six mois (et, en pratique de marché, douze mois). Les utilisateurs exigent du Type 2 parce qu'ils ne peuvent rien conclure d'utile sur le risque de contrôle à partir d'une photo prise un jour donné.

Reste la zone grise: la stratification de l'échantillon sur douze mois, et le changement de personnel en cours de période. La norme ne vous dit pas combien de jours échantillonner. Au doigt mouillé, beaucoup de praticiens prennent vingt jours sur deux cent soixante. C'est défendable seulement si les vingt jours couvrent l'arrêté trimestriel, le pic de fin d'année, les périodes calmes et les transitions de personnel. Un échantillon tiré au hasard sans stratification ne défend rien.

Exemple concret: société de gestion de portefeuille

Client: Gestion Patrimoniale Européenne SARL, gestionnaire d'investissements basé à Lyon. Actifs sous gestion: 185 M EUR. Services fournis: garde d'actifs, rapprochement des positions, traitement des transactions, reporting mensuel aux clients.

Vous êtes mandaté pour produire un rapport ISAE 3402 de Type 2 couvrant la période du 1er janvier 2024 au 31 décembre 2024.

Étape 1: identifier les risques liés aux contrôles La direction de Gestion Patrimoniale Européenne a documenté trois risques clés: (1) les transactions de clients pourraient être enregistrées de manière incorrecte, (2) les actifs en dépôt pourraient être mal rapprochés avec les enregistrements de tiers dépositaires, (3) les rapports mensuels aux clients pourraient contenir des données inexactes. Ces trois risques sont distincts et structurent le programme de tests. Note de documentation: créer un tableau de mapping des risques identifiés aux contrôles correspondants.

Étape 2: tester la conception et l'existence des contrôles (au démarrage de la période) Pour chaque risque, vous documentez le contrôle conçu par la direction. Pour le risque de transactions incorrectes, le contrôle est une revue quotidienne des transactions en attente par un responsable des opérations senior. Vous obtenez les procédures écrites, observez une session de revue et confirmez que le responsable occupait ce poste en janvier 2024. Note de documentation: « Examen de la procédure écrite datée du 15 novembre 2023. Observation d'une revue le 17 janvier 2024. Conversation avec [nom du responsable], confirmant les responsabilités. »

Étape 3: tester l'efficacité opérationnelle sur la période (janvier-décembre 2024) Vous sélectionnez vingt jours sur l'année, stratifiés: cinq jours en janvier-mars (arrêté T1), cinq en avril-juin, cinq en juillet-septembre (incluant la transition de personnel évoquée plus bas), cinq en octobre-décembre (clôture annuelle). Pour chaque jour, vous documentez les transactions en attente et vérifiez que le responsable a effectué une revue documentée. Note de documentation: « Sélection stratifiée de 20 jours calendaires sur 260 jours ouvrables (12 / 260 ≈ 7,7 %). Pour chaque jour, examen des dossiers de transactions en attente et du formulaire de revue signé. »

Étape 4: évaluer les exceptions et les défaillances Premier constat. Sur les vingt jours testés, dix-neuf revues sont documentées de façon complète. Le 15 mars, aucune revue n'est documentée, bien que le responsable affirme qu'elle a eu lieu. C'est l'instance que tout le monde redoute en revue: pas de trace = le contrôle n'a pas opéré. Honnêtement, je préfère trouver l'exception nous-mêmes que la voir remontée par le user auditor.

Deuxième constat (la complication réelle). Le responsable des opérations a changé en juillet 2024. Reviewer A a tenu le poste de janvier à fin juin. Reviewer B a pris le relais en juillet. Le format de documentation de Reviewer B est moins détaillé: là où Reviewer A annexait la liste des transactions revues avec horodatage, Reviewer B se contente d'un formulaire signé renvoyant à un export système. La substance est équivalente (l'export contient les mêmes données), mais la forme change. Faut-il flaguer une rupture de contrôle?

C'est une question de jugement, et nous tranchons ainsi: le contrôle a opéré dès lors que (a) Reviewer B était formé, (b) l'export système référencé est récupérable et complet, (c) une re-performance sur deux jours de juillet et deux jours d'octobre confirme la cohérence. Le dossier doit raconter une histoire: ici, l'histoire est un changement de format documentaire sans dégradation substantive. Nous documentons la transition, la re-performance, et la conclusion. Pas de défaillance imputable à la transition.

Note de documentation: « Défaillance unique identifiée: absence de documentation de la revue le 15 mars 2024. Évaluation: puisque le contrôle n'a pas laissé de trace ce jour-là, il ne peut être considéré comme ayant opéré efficacement. Transition Reviewer A / Reviewer B en juillet: re-performance effectuée, substance équivalente, pas de défaillance. »

Conclusion Vous produisez un rapport de Type 2 confirmant que les trois contrôles clés étaient conçus et existaient en janvier 2024, et que deux des trois ont opéré efficacement pendant toute la période. Pour le contrôle de revue quotidienne, vous déclarez qu'il a opéré efficacement sauf le 15 mars 2024. Les utilisateurs (les clients investisseurs de Gestion Patrimoniale Européenne) intègrent cette information dans leur évaluation du risque de contrôle au titre de l'ISA 402.

Ce que les réviseurs et les praticiens se trompent

Voici la thèse. Les rapports de Type 2 sous-testent systématiquement la période. Pas par mauvaise foi: par défaut méthodologique. Le programme par défaut récompense la complétude du classeur, pas la profondeur du test.

L'évidence est documentée. Premier point: la confusion Type 2 / audit de conformité standard. L'IAASB l'a reconnue dans ses orientations 2023. Beaucoup de praticiens traitent un rapport de Type 2 comme un audit interne classique, en testant la performance des systèmes plutôt que l'opération des contrôles désignés. L'ISAE 3402.32 exige que vous testiez l'efficacité opérationnelle des contrôles conçus, pas la performance générale des systèmes.

Deuxième point: la durée de couverture. La norme autorise six mois (ISAE 3402.A10), mais les utilisateurs et leurs auditeurs exigent douze mois. Un rapport de trois mois, ou de six mois mal placés (été uniquement, sans clôture), sera rejeté.

Troisième point: les défaillances reformulées. L'ISAE 3402.46 exige de rapporter les défaillances identifiées. Sur le papier, la règle est claire. Dans le classeur, on voit des défaillances réétiquetées en « anomalies isolées » ou en « recommandations d'amélioration », sans qu'il soit clair que le contrôle a réellement opéré. C'est du tampon: l'exception est documentée, la conclusion est édulcorée.

Le contre-argument existe. Des confrères défendent que vingt jours sur deux cent soixante constituent un échantillon statistiquement défendable. Mathématiquement, ce n'est pas faux. Mais cela ne tient que si les vingt jours sont stratifiés sur les périodes à risque: arrêtés trimestriels, fin d'année, transitions de personnel, périodes de surcharge. Un tirage uniforme sur le calendrier rate précisément les jours où le contrôle compte le plus.

Verdict: la moitié des rapports de Type 2 que nous voyons en revue de second niveau ne survivraient pas à une contre-expertise indépendante, parce que l'échantillon n'est ni stratifié ni justifié, et parce que les défaillances sont édulcorées avant la conclusion.

L'ISAE 3402 récompense la complétude du classeur, pas la profondeur du test. C'est précisément cette asymétrie qui produit des rapports formellement conformes et substantiellement faibles.

Désaccord légitime au sein du cabinet

Le 15 mars de notre exemple a fait l'objet d'un débat interne. Partner A: toute revue non documentée est une défaillance, point. La norme est intransigeante, et accepter une revue non tracée ouvre une brèche méthodologique que nous ne voulons pas. Partner B: si une procédure de substitution (entretien avec le responsable, recoupement avec un export système, témoignage du contrôleur de gestion) confirme que la revue a effectivement eu lieu, la substance prime sur la forme et le contrôle a opéré.

Les deux positions ont leurs raisons. Nous avons tranché pour la position de Partner A sur le 15 mars (la trace manque, le contrôle n'a pas opéré au sens de la norme), tout en retenant la logique de Partner B pour la transition Reviewer A / Reviewer B en juillet (forme différente, substance équivalente, contrôle opéré). La cohérence interne tient parce que les deux situations ne sont pas symétriques: dans un cas la trace manque, dans l'autre la trace existe sous une autre forme.

Rapport de Type 1 vs rapport de Type 2

Les deux rapports répondent à des besoins différents.

Le rapport de Type 1 couvre la conception et l'existence des contrôles à la date du rapport. Le prestataire vous fournit la documentation des contrôles, vous vérifiez qu'elle est en place, vous rapportez sur ce que vous avez observé. Aucun test d'efficacité opérationnelle sur une période n'est requis. Le Type 1 est rapide à produire et convient à un nouveau prestataire en cours de mise en service, ou à une relation contractuelle qui démarre.

Le rapport de Type 2 couvre la même conception et la même existence, plus l'efficacité opérationnelle sur une période (généralement douze mois). Vous testez les contrôles de manière étalée et rapportez les défaillances observées. C'est le format que les utilisateurs établis exigent, parce que c'est le seul qui permet à leur auditeur de réduire le risque de contrôle au sens de l'ISA 402.

En pratique, le choix se joue ainsi. Si l'utilisateur est en phase de planification et évalue uniquement la conception, le Type 1 suffit. S'il doit conclure sur le risque de contrôle pour son audit (faible, modéré), il lui faut un Type 2 et les conclusions d'efficacité opérationnelle qui l'accompagnent. Dans notre expérience, demander un Type 1 à un prestataire mature signale presque toujours un manque d'expérience côté utilisateur.

Termes connexes

- Audit de conformité: audit d'une entité pour confirmer qu'elle s'est conformée à des exigences précises (lois, réglementations, contrats). L'ISAE 3402 est un cas particulier d'audit de conformité concentré sur les contrôles internes du prestataire.

- Contrôle interne: processus mis en place par la direction pour maîtriser les risques identifiés. L'ISAE 3402 exige de tester l'efficacité opérationnelle de ces contrôles, et pas seulement de constater leur existence.

- Risk of material misstatement at the service provider level: concept décrit dans l'ISA 402 (Audits of Financial Statements When Using the Work of Service Auditors), qui exige que les auditeurs des entités utilisatrices intègrent les conclusions ISAE 3402 dans leur évaluation des risques.

- Control testing: processus de sélection d'un échantillon de transactions ou d'événements et de vérification que le contrôle a opéré comme prévu. L'ISAE 3402 exige un testing formalisé sur une période suffisante.

- Material weakness: absence de contrôle, ou contrôle si inefficace, que le risque d'anomalie significative n'est pas maîtrisé. L'ISAE 3402.46 requiert de rapporter toute faiblesse significative identifiée dans les contrôles du prestataire.

---