Mode de fonctionnement

L'ISAE 3402 s'applique lors de l'audit de rapports sur l'efficacité des contrôles au sein d'entités qui fournissent des services à d'autres entités (par exemple, un centre de traitement de paie qui traite les bulletins de salaire pour plusieurs clients, ou une plateforme de gestion d'investissements qui détient des actifs en dépôt pour des tiers).
L'ISAE 3402.A1 précise que vous, l'auditeur du prestataire, évaluez les contrôles conçus par la direction pour s'assurer que les risques identifiés sont maîtrisés. Contrairement à un audit de conformité standard (ISA 700), vous testez et rapportez spécifiquement sur les contrôles internes du prestataire, pas sur les états financiers du prestataire eux-mêmes.
La norme distingue deux types de rapports. Un rapport de type 1 (ISAE 3402.9) couvre la conception et l'existence des contrôles au moment où vous terminez votre audit. Un rapport de type 2 (ISAE 3402.10) couvre la conception, l'existence et l'efficacité opérationnelle des contrôles sur une période minimale de six mois. La plupart des utilisateurs de services exigent un rapport de type 2, car ils doivent savoir que les contrôles ont fonctionné comme prévu pendant une période suffisante pour évaluer les risques.

Exemple concret : Société de gestion de portefeuille

Client : Gestion Patrimoniale Européenne SARL, un gestionnaire d'investissements basé à Lyon, France. Actifs sous gestion : 185 M EUR. Services fournis : garde d'actifs, rapprochement des positions, traitement des transactions, reporting mensuel aux clients.
Vous êtes mandaté pour produire un rapport ISAE 3402 de type 2 couvrant la période du 1er janvier 2024 au 31 décembre 2024.
Étape 1 : Identifier les risques liés aux contrôles
La direction de Gestion Patrimoniale Européenne a documenté trois risques clés : (1) les transactions de clients pourraient être enregistrées de manière incorrecte, (2) les actifs en dépôt pourraient être mal rapprochés avec les enregistrements de tiers dépositaires, (3) les rapports mensuels aux clients pourraient contenir des données inexactes.
Note de documentation : créer un tableau de mapping des risques identifiés aux contrôles correspondants.
Étape 2 : Tester la conception et l'existence des contrôles (au démarrage de la période)
Pour chaque risque, vous documentez le contrôle que la direction a conçu. Exemple : pour le risque de transactions incorrectes, le contrôle est une revue quotidienne des transactions en attente par un responsable des opérations senior. Vous obtenez les procédures écrites, observez une session de revue et confirmez que le responsable des opérations occupait ce poste en janvier 2024.
Note de documentation : « Examen de la procédure écrite datée du 15 novembre 2023. Observation d'une revue le 17 janvier 2024. Conversation avec [nom du responsable], confirmant les responsabilités. »
Étape 3 : Tester l'efficacité opérationnelle sur la période (janvier–décembre 2024)
Au lieu de simplement confirmer que le contrôle existe, vous testez s'il a fonctionné efficacement pendant les douze mois. Pour le contrôle de revue quotidienne des transactions, vous sélectionnez un échantillon de 20 jours dans l'année, vous documentez les transactions en attente pour chaque jour, et vous vérifiez que le responsable a effectué une revue documentée.
Note de documentation : « Sélection aléatoire de 20 jours calendaires sur 260 jours ouvrables (12 / 260 ≈ 1 %). Pour chaque jour, examen des dossiers de transactions en attente et du formulaire de revue signé par le responsable. »
Étape 4 : Évaluer les exceptions et les défaillances
Vous constatez que sur les 20 jours testés, le responsable a documenté une revue sur 19 jours. Un jour (15 mars), aucune revue n'a été documentée, bien que le responsable affirme que la revue a eu lieu. Vous devez évaluer si cela constitue une défaillance du contrôle. Puisque la revue n'a pas été documentée, le contrôle n'a pas opéré efficacement ce jour-là.
Note de documentation : « Défaillance du contrôle identifiée : absence de documentation de la revue le 15 mars 2024. Évaluation : puisque le contrôle n'a pas laissé de trace, il ne peut être considéré comme ayant opéré efficacement. »
Conclusion
Vous produisez un rapport de type 2 où vous confirmez que les trois contrôles clés ont été conçus et existaient en janvier 2024, et que deux des trois ont opéré efficacement pendant toute la période de douze mois. Pour le troisième contrôle (revue quotidienne des transactions), vous déclarez que le contrôle a opéré efficacement sauf pour la défaillance du 15 mars. Cela permet aux utilisateurs de services (les clients investisseurs de Gestion Patrimoniale Européenne) d'intégrer cette information dans leur propre évaluation des risques de contrôle chez le prestataire et d'ajuster leur audit en conséquence.

Ce que les réviseurs et les praticiens se trompent

L'IAASB a publié des directives en 2023 reconnaissant qu'une confusion courante existe entre un rapport ISAE 3402 et un audit de conformité standard. Beaucoup de praticiens traitent un rapport de type 2 comme un audit interne classique, testant les erreurs dans les systèmes du prestataire plutôt que d'évaluer spécifiquement si les contrôles documentés ont opéré comme prévu. L'ISAE 3402.32 exige que vous testiez l'efficacité opérationnelle des contrôles conçus, pas la performance générale des systèmes.
Une deuxième erreur courante est la durée insuffisante de la période couverte. Bien que la norme permette une période minimale de six mois (ISAE 3402.A10), les utilisateurs de services exigent généralement une période d'au moins douze mois pour une assurance suffisante. Un rapport de type 2 couvrant seulement trois mois sera rejeté par les auditeurs des utilisateurs de services.
Un troisième problème documenté concerne les défaillances du contrôle non rapportées. L'ISAE 3402.46 exige de rapporter les défaillances des contrôles identifiées, mais beaucoup de praticiens ésquivent cette exigence en reformulant les défaillances comme des « anomalies isolées » ou des « améliorations recommandées » sans clarifier si le contrôle a réellement opéré efficacement. Le rapport doit être transparent sur chaque instance où un contrôle n'a pas fonctionné comme prévu.

Rapport de type 1 vs. Rapport de type 2

Les deux rapports ISAE 3402 servent des objectifs différents et conviennent à des situations différentes.
Un rapport de type 1 couvre la conception et l'existence des contrôles au moment de votre audit. Le prestataire vous fournit la documentation des contrôles, vous vérifiez qu'elle est en place, et vous rapportez sur ce que vous avez observé. Aucune période de test d'efficacité opérationnelle n'est requise. Un rapport de type 1 est rapide à produire et convient pour un nouveau prestataire ou une nouvelle relation de service en cours de formation.
Un rapport de type 2 couvre la même conception et existence, plus l'efficacité opérationnelle sur une période (généralement douze mois). Vous testez les contrôles de manière continue et rapportez sur les défaillances observées. Ce rapport fournit une assurance beaucoup plus forte aux utilisateurs de services et est généralement exigé pour les prestataires établis.
Sur le plan pratique, le choix entre type 1 et type 2 dépend de ce que l'utilisateur de services doit intégrer dans son audit. Si l'utilisateur est en phase de planification et évalue simplement la conception des contrôles, un rapport de type 1 suffit. Si l'utilisateur doit évaluer le risque de contrôle comme faible ou modéré, il aura besoin d'un rapport de type 2 et des résultats d'efficacité opérationnelle qui l'accompagnent.

Termes connexes

---

  • Audit de conformité : audit d'une entité pour confirmer qu'elle s'est conformée à des exigences précises (lois, réglementations, contrats). ISAE 3402 est un cas particulier d'audit de conformité concentré sur les contrôles internes du prestataire.
  • Contrôle interne : processus mis en place par la direction pour s'assurer que les risques identifiés sont maîtrisés. L'ISAE 3402 exige de tester l'efficacité opérationnelle de ces contrôles au lieu de simplement confirmer leur existence.
  • Risk of material misstatement at the service provider level : concept décrit dans l'ISA 402 (Audits of Financial Statements When Using the Work of Service Auditors), qui exige que les auditeurs des utilisateurs intègrent les résultats ISAE 3402 dans leur évaluation des risques.
  • Control testing : processus de sélection d'un échantillon de transactions ou d'événements et de vérification que le contrôle a opéré comme prévu. L'ISAE 3402 exige un testing formalisé sur une période suffisante.
  • Material weakness : absence de contrôle, ou contrôle si inefficace, que le risque d'une anomalie significative n'est pas maîtrisé. L'ISAE 3402.46 requiert de rapporter toute faiblesse significative identifiée dans les contrôles du prestataire.

Étiquettes de l'interface utilisateur

  • labelGlossaryTermTitle: ISAE 3402
  • labelDefinitionLabel: Définition
  • labelGovernedByLabel: Gouvernée par
  • labelKeyTakeawaysLabel: Points clés à retenir
  • labelHowItWorksLabel: Mode de fonctionnement
  • labelWorkedExampleLabel: Exemple concret
  • labelCommonMistakesLabel: Ce que les réviseurs et les praticiens se trompent
  • labelComparisonLabel: Rapport de type 1 vs. Rapport de type 2
  • labelRelatedTermsLabel: Termes connexes
  • labelRelatedGlossaryLink: Voir aussi dans le glossaire
  • labelBackToGlossary: Retour au glossaire

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.