Fonctionnement

L'ISA 402 reconnaît une réalité simple : vous ne pouvez pas auditer des états financiers sans vérifier la fiabilité des systèmes qui les produisent. Quand un client externalise la paie, la comptabilité d'engagement ou le traitement des ventes à un tiers, ce tiers devient partie intégrante de votre compréhension de l'environnement de contrôle interne (ISA 315.26).
L'ISA 402 établit deux approches. La première (rapports de type I) évalue les contrôles de conception chez le prestataire, généralement sur une période unique. La seconde (rapports de type II) évalue à la fois la conception et le fonctionnement efficace sur une période. Un rapport ISAE 3402 produit par le prestataire (ou son auditeur) fournit les éléments probants que vous utilisez pour évaluer ces contrôles.
Mais un rapport seul ne suffit pas. L'ISA 402.13 vous oblige à évaluer : ce service est-il si que sans ses contrôles, je ne pourrais pas conclure raisonnablement ? Si la réponse est oui, vous devez obtenir des éléments probants sur la fiabilité de ces contrôles. Un rapport de type II datant de 14 mois vous suffit-il, ou avez-vous besoin de procédures supplémentaires pour couvrir la période non documentée ? Vous devez le justifier.

Exemple pratique : Boulangerie Moreau SARL

Client : Boulangerie Moreau SARL, Bordeaux, France. Chiffre d'affaires 2,8 M EUR, paie externalisée chez ADP France, comptabilité d'engagement chez le même prestataire. État financier IFRS simplifié (petite structure).
Étape 1 : Identification des services critiques
Vous identifiez que la paie représente 38 % des charges d'exploitation (850 K EUR sur 2,24 M EUR de charges). Un erreur de 5 % dans le calcul de la paie (42 K EUR) dépasserait l'anomalie tolerable au niveau de la performance matérielle (35 K EUR calculée à 1 % du chiffre d'affaires). Le service est critique.
Note de documentation : PT 2.4, Évaluation des risques. Identifiez tous les services externalisés. Calculez le pourcentage de chiffre d'affaires ou de charges pour chaque service. Marquez les services critiques (ceux dont une erreur dépasserait l'anomalie tolerable).
Étape 2 : Obtention d'un rapport ISAE 3402
Vous demandez un rapport ISAE 3402 de type II d'ADP pour la période du 1er janvier au 31 décembre 2024 (votre période d'audit). Le rapport documenté la conception et le fonctionnement des contrôles de paie : séparation des rôles, approbation des taux, rapprochement des dossiers personnels avec la paie, réconciliation mensuelle des charges de paie avec la comptabilité.
Note de documentation : PT 2.5, Rapport ISAE 3402. Classez le rapport par service et par contrôle. Vérifiez que le type (I ou II) et la période couverte correspondent à vos besoins. Si le rapport se termine le 30 septembre et votre audit couvre l'année entière, noter l'écart.
Étape 3 : Évaluation de la fiabilité du rapport
L'ISA 402.A9 énumère les facteurs : le prestataire est-il indépendant, quel auditeur a produit le rapport (vous connaissez-vous sa réputation), le champ du rapport inclut-il tous les contrôles pertinents pour vous ? ADP est un prestataire établi, le rapport a été produit par KPMG (cabinet réputé), et le champ couvre tous les processus de paie que Moreau utilise.
Note de documentation : PT 2.6, Évaluation du rapport ISAE 3402. Documentez chaque facteur. Si un facteur crée un doute (rapport ancien, prestataire peu connu), notez les procédures supplémentaires envisagées.
Étape 4 : Identification des lacunes de couverture
Le rapport ISAE 3402 couvre janvier à décembre 2024. Votre audit couvre la même période. Aucune lacune de couverture. Si le rapport se terminait en septembre, vous évalueriez : les contrôles ont-ils changé entre septembre et décembre ? Les risques de contrôle pendant cette période sont-ils acceptables ? Documentez votre justification.
Note de documentation : PT 2.7, Lacunes de couverture et procédures supplémentaires. Si la période du rapport ne couvre pas votre période d'audit entière, énumérez les mois non couverts et décrivez comment vous avez réduit le risque de contrôle pour cette période.
Étape 5 : Tests supplémentaires
Même avec un rapport ISAE 3402 de type II fiable, l'ISA 402.15 vous oblige à ne pas abandonner complètement le test. Vous testez un échantillon de bulletins de paie (30 bulletins) pour vérifier que le contrôle fonctionne réellement : les taux appliqués correspondent-ils aux dossiers personnels, les retenues sont-elles correctes, les approbations sont-elles documentées ? Cette procédure vous donne une confiance indépendante.
Note de documentation : PT 3.1, Tests supplémentaires de contrôles du prestataire. Décrivez l'échantillon, les taux testés (taux horaire, nombre de jours, déductions), et les exceptions trouvées. Liez chaque test au contrôle documenté dans le rapport ISAE 3402.
Conclusion : En documentant la criticité du service, la fiabilité du rapport, la couverture temporelle et vos tests supplémentaires, vous supportez votre évaluation du risque de contrôle au niveau acceptable. L'absence de cette documentation était le principal constat d'inspection chez les auditeurs de PME en 2024 : « L'auditeur n'a pas documenté pourquoi les contrôles du prestataire de services étaient fiables. »

Ce que les examinateurs et praticiens se trompent

  • Niveau 1 (Constat d'inspection) : Les audits de clients avec paie ou comptabilité externalisées présentaient souvent une « acceptation » implicite du rapport ISAE 3402 sans évaluation documentée de sa fiabilité. L'examinateur H2A (2024) a noté que les auditeurs avaient obtenu le rapport mais n'avaient pas testé les contrôles au-delà du rapport. ISA 402.15 exige que l'auditeur « obtienne des éléments probants ». Un rapport seul ne remplit pas cette exigence sans tests indépendants du praticien.
  • Niveau 2 (Erreur pratique) : Les praticiens confondent « obtenir un rapport ISAE 3402 » et « évaluer le risque de contrôle ». Le rapport est une source d'information. L'évaluation est un jugement. Un rapport de type I (design uniquement, pas de fonctionnement) vous permet de baisser le risque de contrôle ? Non. L'ISA 402.14 exige un rapport de type II pour évaluer le fonctionnement efficace. Un type I vous oblige à plus de tests, pas à moins.
  • Niveau 3 (Lacune documentée) : L'écart temporel entre la fin du rapport ISAE 3402 et votre date de clôture est rarement abordé. Un rapport se terminant trois mois avant votre clôture n'est pas une acceptation automatique pour la période entière. Vous devez documenter comment vous avez couvert cette période (contrôles de gestion additionnels, tests des transactions ultérieures, demandes de confirmation). L'absence de cette documentation est une lacune de documentation, pas une erreur comptable, mais elle rend votre dossier vulnérable aux constats.

Comparaison : Organisation prestataire de services vs Entité liée

Une entité liée (filiale, succursale, coentreprise) reste sous le contrôle ou l'influence de la direction de votre client. L'organisation prestataire de services est indépendante et opère ses propres contrôles à des fins de service à de multiples clients. Vous auditez les états financiers de votre client, y compris les opérations avec une entité liée (ISA 550). Vous n'auditez pas les opérations avec un prestataire indépendant, mais vous devez évaluer la fiabilité des services qu'il rend sur vos états financiers cibles (ISA 402).
En pratique : un client audit a une filiale de courtage immobilier. Vous auditez les états financiers du groupe. Les dividendes de la filiale sont en ligne de vente. Vous auditez la filiale complètement (ISA 550). Un client audit externalise la paie chez ADP. ADP n'est pas votre client audit. Vous testez le contrôle de paie chez votre client en vous appuyant sur le rapport ISAE 3402 d'ADP et vos tests supplémentaires (ISA 402).

Termes connexes

Rapport ISAE 3402 : La certification que le prestataire de services (ou son auditeur) fournit, documentant les contrôles de conception (type I) ou de conception et fonctionnement (type II). Vous l'utilisez comme source de connaissances sur les contrôles chez le prestataire.
Risque de contrôle : Votre évaluation de la probabilité qu'un contrôle interne de votre client ne prévienne, ne détecte ou ne corrige une anomalie significative. Quand le client externalise, vous ne pouvez évaluer le risque de contrôle qu'en comprenant les contrôles du prestataire.
Séparation des rôles : Le contrôle fondamental chez un prestataire. Celui qui initie une transaction ne doit pas l'approuver. Le rapport ISAE 3402 détaille comment le prestataire maintient cette séparation. Vous testez si elle fonctionne.
Audit informatique : Quand le prestataire est une plateforme cloud ou un hébergeur (AWS, Azure, datacentre), l'évaluation des contrôles informatiques du prestataire devient critique. Un expert informatique peut être nécessaire. L'ISA 402 ne change pas, mais la complexité augmente.
Réconciliation : La procédure de contrôle la plus fréquemment documentée par les prestataires. Les charges de paie générées par ADP sont réconciliées mensuellement avec la comptabilité générale. Vous testez cette réconciliation.
---

Utiliser l'outil Évaluation des contrôles internes ISA 315

Cet outil de ciferi.com structuré selon l'ISA 315 inclut une section pour les contrôles du prestataire de services. Documentez la criticité du service, le type de rapport ISAE 3402 obtenu et vos éléments probants de test. L'outil génère un résumé pour votre dossier de direction.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.