Fonctionnement

ISAE 3402 exige que le rapport d'examen restreint décrive uniquement les contrôles qui ont été conçus et placés en service au cours de la période d'examen. Le paragraphe 37 définit précisément ce que le rapport doit couvrir : la description de la portée de la mission, l'identification claire des contrôles testés, la période couverte, les critères utilisés pour évaluer l'efficacité, et les résultats détaillés des tests. Le rapport doit être remis uniquement aux utilisateurs convenus et à leurs auditeurs. Il ne peut être remis à d'autres parties.
La distinction fondamentale entre un rapport SBR et un rapport d'audit interne ordinaire réside dans la limitation explicite de la portée. ISAE 3402.38 exige que le rapport précise lesquels des contrôles présentés dans la description du contrôle de l'organisation ont réellement été testés. Ceux qui ne sont pas testés ne doivent pas être inclus dans les conclusions d'efficacité. Un service d'organisation qui teste 15 des 45 contrôles documentés doit clairement identifier lesquels, à quel périmètre, et pendant quelle période.
La documentation du rapport doit inclure, pour chaque contrôle testé, le résultat de chaque test d'efficacité. ISAE 3402.44 permet de décrire les exceptions (défaillances identifiées) mais exige que le rapport demeure précis. Si cinq tests d'efficacité sur dix échouent, le rapport ne peut conclure à une efficacité opérationnelle. Il doit décrire les résultats et laisser à l'utilisateur et à son auditeur la responsabilité d'interpréter les implications.

Exemple pratique : Laminerie Périgord S.A.R.L.

Client : Prestataire de services français, 87 employés, fournisseur de sous-traitance métallurgique, chiffre d'affaires 9,4 M EUR en 2024. La laminerie tient elle-même une paie interne et un suivi de conformité environnementale. Elle sous-traite l'audit de ses contrôles internes à un cabinet externe pour documenter son efficacité auprès de ses clients (ateliers automobiles majeurs).
Étape 1 : Définir les contrôles à tester
Le cabinet et la laminerie conviennent que quatre contrôles liés à la paie seront testés sur les neuf mois de janvier à septembre 2024 : (1) approbation mensuelle des variances de masse salariale supérieures à 2 %, (2) rapprochement de la paie informatisée avec la comptabilité, (3) vérification de conformité aux retenues fiscales, (4) contrôle des heures supplémentaires par le responsable des ressources humaines avant paie. Trois autres contrôles documentés (audit des frais de déplacement, vérification des bulletins de paie individuels, archivage de la documentation de paie) ne seront pas testés.
Note de documentation : la lettre de mission ISAE 3402 précise que seuls ces quatre contrôles seront examinés. Le rapport final énoncera clairement : « Les audits des trois contrôles non inclus dans la liste ci-dessus n'ont pas été menés ».
Étape 2 : Exécuter les tests
Pour chacun des quatre contrôles, le cabinet procède à des tests d'efficacité opérationnelle. Pour l'approbation des variances de paie : examen de 36 paies mensuelles (12 mois × 3 cas = 36 observations). Résultat : sur 36 paies, 34 ont reçu l'approbation requise avant libération. Deux exceptions identifiées (février et août, variance de +2,8 % approuvée verbalement, pas par écrit).
Note de documentation : le papier de travail énumère chaque mois testé, l'exception ou la conformité observée, et le résultat cumulé.
Étape 3 : Documenter les résultats au rapport SBR
Le rapport SBR énonce : « Nous avons testé le contrôle d'approbation mensuelle des variances de paie supérieures à 2 %. Sur 36 occurrences du contrôle observées au cours de la période janvier à septembre 2024, 34 ont été exécutées conformément à la conception. Deux exceptions ont été identifiées : en février et août, le contrôle a été exécuté de manière informelle (approbation verbale) plutôt qu'écrite. »
Note de documentation : le rapport ne conclut pas « le contrôle a fonctionné efficacement ». Il énonce les faits. L'auditeur du client de la laminerie interprétera ces deux exceptions comme une exception sur 36 = un taux de défaillance de 5,6 % et en évaluera la significativité.
Étape 4 : Limitation de portée explicite
Le rapport SBR inclut une phrase explicite : « Cette mission s'est limitée aux quatre contrôles identifiés ci-dessus, testés sur la période janvier–septembre 2024. Nous n'avons ni évalué ni testé les contrôles généraux informatiques, les contrôles au-delà de la paie, ni aucun contrôle ajouté après septembre 2024. »
Conclusion : le rapport restreint empêche tout lecteur (auditeur d'un client de la laminerie) d'inférer que tous les contrôles de la laminerie fonctionnent efficacement. Il énonce précisément ce qui a été testé, les résultats observés, et les limites de la portée. Cette approche protège le service d'organisation d'une responsabilité découlant d'une surinterpétation du rapport.

Ce que les réviseurs et praticiens oublient

  • Constat régulier (Tier 1) : Les auditeurs d'utilisateurs confondent la portée d'un rapport SBR avec une assurance complète. Un cabinet majeur, lors d'une mission ISAE 3402, a écrit un rapport qui testait 12 contrôles sur 67 documentés, sans énumérer clairement lesquels n'avaient pas été testés. L'auditeur de l'utilisateur a conclu que tous les contrôles fonctionnaient. Cet écart d'interprétation reflète un défaut du rapport lui-même : ISAE 3402.38 exige la clarté sur la portée, pas une simple note en bas de page.
  • Erreur pratique courante (Tier 2) : Les auditeurs de service d'organisation décrivent les résultats des contrôles testés sans préciser la période couverte ou le nombre d'occurrences testées. ISAE 3402.42 exige une description détaillée et chiffrable des tests menés. « Le contrôle a été exécuté correctement » est insuffisant. « Sur 24 occurrences observées en 2024, le contrôle a été exécuté correctement dans 23 cas » remplit l'exigence.
  • Écart documenté (Tier 3) : Beaucoup de rapports SBR ne distinguent pas clairement entre la conception du contrôle (est-il conçu de manière adéquate pour prévenir ou détecter une anomalie) et l'efficacité opérationnelle (le contrôle a-t-il fonctionné comme prévu). ISAE 3402 limite explicitement la mission à l'efficacité opérationnelle. Un rapport qui mélange ces deux dimensions expose le service d'organisation à des questions lors d'audits d'utilisateurs ultérieurs.
  • Omission de distribution (Tier 4) : ISAE 3402.53 limite la distribution du rapport SBR aux utilisateurs convenus et à leurs auditeurs. En pratique, le service d'organisation transmet parfois le rapport à des prospects commerciaux ou à des régulateurs non visés par la lettre de mission. Lors d'une mission récente, un prestataire de services financiers a publié des extraits de son rapport SBR dans une plaquette commerciale. L'auditeur du service d'organisation n'avait pas inséré de restriction de distribution explicite dans le rapport. Résultat : un utilisateur non prévu a fondé ses décisions sur un rapport dont la portée ne couvrait pas ses besoins.

Rapport SBR vs Rapport d'assurance globale

Un rapport d'examen restreint teste des contrôles spécifiés pendant une période spécifiée. Un rapport d'assurance globale évalue l'ensemble du dispositif de contrôle interne et la conception de tous les contrôles. Le rapport SBR énumère les exceptions observées. Le rapport d'assurance globale conclut sur l'efficacité générale. Le rapport SBR est limité en portée par conception. Le rapport d'assurance globale couvre une portée plus large et implique une responsabilité plus significative envers les utilisateurs.

Termes connexes

  • Assurance restreinte : le niveau de certitude fourni dans une mission SBR, moins élevé que l'assurance raisonnable utilisée en audit.
  • ISAE 3402 : la norme qui gouverne les rapports de service d'organisation.
  • Contrôle interne : l'ensemble des processus évalués dans une mission SBR.
  • Période de rapport : l'intervalle de temps couvert par les tests d'efficacité du rapport SBR.
  • Exception de contrôle : chaque défaillance identifiée lors des tests du rapport SBR.
  • Service d'organisation : l'entité qui remet le rapport SBR à ses utilisateurs.

Outils connexes

Aucun outil ciferi ne s'applique directement aux rapports SBR. Pour les audits ISAE 3402 complets, consultez le Classeur de contrôles ISAE 3402, qui fournit des modèles de documentation des tests d'efficacité opérationnelle et des synthèses de rapport.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.