Tableau comparatif
| Dimension | ISAE 3402 Type 1 | ISAE 3402 Type 2 |
|---|---|---|
| Objet de l'audit | Conception et existence des contrôles à une date spécifique | Conception, existence ET efficacité opérationnelle des contrôles sur une période |
| Période couverte | Un instant (généralement le dernier jour de l'exercice) | Minimum six mois, généralement douze mois |
| Test des contrôles | Aucun test d'efficacité requis | Tests périodiques tout au long de la période pour vérifier le fonctionnement |
| Assurance fournie | Faible à modérée (description seulement) | Élevée (preuves d'efficacité) |
| Effort d'audit | Une visite courte, généralement quelques jours | Audit étendu, visites multiples, tests continus |
| Coût | Inférieur | Supérieur (deux à trois fois plus élevé) |
| Utilité pour les utilisateurs finaux | Comprendre la structure des contrôles | Connaître le fonctionnement réel des contrôles dans le temps |
Quand la distinction compte sur une mission
L'ISAE 3402.A22 exige que l'auditeur clarifie avec le prestataire de services quel type de rapport répond réellement aux besoins des utilisateurs finaux. Cette distinction est souvent mal comprise au stade de la planification.
Un prestataire proposera un type 1 parce qu'il est moins coûteux et plus rapide. Mais un utilisateur final (par exemple, l'auditeur interne du client qui dépend du prestataire) peut avoir besoin d'une assurance sur l'efficacité opérationnelle pour justifier une réduction des procédures substantives. Si l'auditeur accepte un type 1 sans interroger ce besoin, il génère un rapport qui n'est utile à personne. L'ISAE 3402.35 exige un accord clair sur la portée. Cette clarification se produit avant les tests, pas après.
La seconde distinction matière : la période de type 2. L'ISAE 3402.A44 autorise une période inférieure à douze mois « si circonstances particulières le justifient. » Or sur les engagements européens, nous voyons couramment des prestataires proposer des rapports de type 2 couvrant quatre à six mois simplement pour réduire l'effort de test. Ce choix est légalement autorisé, mais il change le niveau d'assurance que l'utilisateur final reçoit. Six mois de données de contrôle laissent découverts six autres mois de l'année. L'auditeur doit documenter pourquoi cette période réduite est acceptable pour le jugement de contrôle du client.
Exemple pratique : Talleres Mecánicos Mediterráneos S.L.
Prestataire : Talleres Mecánicos Mediterráneos S.L., sous-traitant de maintenance informatique, basé à Valence, Spain. Service : gestion du helpdesk et administration des serveurs clients. Chiffre d'affaires du prestataire : 8,2 M EUR. Trois clients majeurs dépendent de ce service.
Étape 1 : identification du type requis
L'auditeur du client (Distribuciones Comerciales Europa S.A., distributeur de pièces automobiles) demande : quel rapport me permet de réduire mes procédures substantives sur le contrôle d'accès informatique ? Réponse : un rapport de type 2 testant l'efficacité des contrôles sur au moins douze mois. Un rapport de type 1 (snapshot d'un jour) ne fournirait pas l'assurance nécessaire.
Note de documentation : le choix du type est enregistré dans le mémo de planification avec justification métier.
Étape 2 : accord sur la période et la portée
Le prestataire propose une période de type 2 : janvier à décembre année N (12 mois complets). L'auditeur vérifie que cela couvre le cycle complet d'activité du client, y compris les augmentations saisonnières et les mises à jour de sécurité critiques.
Note de documentation : accord formalisé dans le lettre de mission ISAE 3402.35 datée et signée.
Étape 3 : tests de contrôle en type 2
Pour chaque contrôle pertinent (approbation des accès, logs de révision mensuelle), l'auditeur teste au minimum un échantilon de preuves couvrant toute la période de douze mois. Par exemple, pour le contrôle « révision des accès des utilisateurs supprimés chaque mois », l'auditeur collecte les logs de suppression pour janvier, avril, août et décembre, et vérifie que chaque suppression a été approuvée.
Note de documentation : chaque test enregistre la date d'exécution, l'intervalle testé, et le résultat (effectif/ineffectif). Les logs sont exportés et classés par date dans le dossier PT.
Étape 4 : constatation et correction
Les tests révèlent que le contrôle de révision d'accès a échoué en juin (aucune révision effectuée ce mois). Le prestataire corrige cela en juillet. Pour le type 2, l'ISAE 3402.A49 exige que l'auditeur évalue si cette défaillance est d'une importance telle qu'elle doit être rapportée. Une défaillance d'un mois sur douze mois est documentée dans le rapport comme une exception, assortie de preuves que la correction a eu lieu et a fonctionné en juillet et août.
Note de documentation : exception enregistrée avec date de début, date de correction, et preuve de fonctionnement post-correction.
Conclusion
Le rapport de type 2 sur douze mois fournit une assurance suffisante pour que l'auditeur du client réduise ses procédures substantives sur le contrôle d'accès de 40 %. Un rapport de type 1 n'aurait pas permis cette réduction. Le choix du type était déterminant pour la stratégie d'audit du client.
Ce que les auditeurs et les réviseurs se trompent
Tier 1 (constatation régulatrice nommée)
Les rapports d'inspection de l'IAASB sur ISAE 3402 identifient comme constat récurrent l'absence de documentation suffisante de l'efficacité des contrôles en type 2. Beaucoup d'auditeurs testent les contrôles mais enregistrent les résultats sous forme de résumés plutôt que de preuves détaillées. Le paragraphe ISAE 3402.A48 exige que les preuves d'efficacité opérationnelle soient documentées de façon que d'autres auditeurs puissent comprendre ce qui a été testé, quand, et avec quel résultat.
Tier 2 (erreur pratique standard)
Les auditeurs confondent fréquemment « existence du contrôle » et « efficacité du contrôle ». Pour un type 1, il suffit de vérifier que le contrôle existe (par exemple, une procédure écrite d'approbation d'accès existe). Pour un type 2, vous devez tester que ce contrôle fonctionne réellement sur la période, y compris documenter les rejets ou les exceptions. Les deux évaluations sont nécessaires.
Tier 3 (pratique documentée)
L'ISAE 3402.A44 autorise les périodes inférieures à douze mois en cas de circonstances particulières. Beaucoup de cabinets utilisent cette flexibilité pour proposer des rapports de six ou neuf mois sans justification métier documentée. L'absence de justification crée une ambiguïté : le client et ses utilisateurs finaux ne savent pas si la période réduite reflète un risque accepté ou simplement une optimisation des coûts. Documenter la justification du choix de la période dans la lettre de mission élimine cette ambiguïté.
Termes associés
- ISA 402 vs ISAE 3402 : ISA 402 est l'ISA classique qui s'applique quand l'auditeur du client externalise un processus. ISAE 3402 est l'audit que le prestataire subit pour générer le rapport utilisé par l'auditeur du client. Les deux normes s'appliquent au même service, mais à partir de deux angles différents.
- Rapport de type 1 (snapshot) : photographie statique des contrôles en place à une date donnée, sans test d'efficacité.
- Rapport de type 2 (série temporelle) : série de preuves couvrant une période montrant que les contrôles ont fonctionné efficacement dans le temps.
- Utilisateurs finaux : les auditeurs du client qui dépendent du rapport ISAE 3402 pour évaluer les contrôles du prestataire. Ils ne sont pas la direction du prestataire.
- Procédures substantives réduites : quand un rapport de type 2 fournit une assurance suffisante, l'auditeur du client peut réduire son audit direct du même processus chez le client.
- Lettre de mission ISAE 3402 : accord formel entre le prestataire et l'auditeur clarifiant le type, la portée, les risques pertinents, et la période couverte. Requise par ISAE 3402.35.
Calculateur ISAE 3402
Utilisez le calculateur de choix de type pour déterminer quel rapport (type 1 ou type 2) répond réellement aux besoins de vos utilisateurs finaux et documenter cette justification.
Accéder au calculateur ISAE 3402
---