Definition

Chez nos clients PME, près d'un dossier sur deux comporte au moins un processus externalise : paie, tenue de livres, hebergement des ERP. Et dans un certain nombre de dossiers que nous voyons passer en revue interne, l'evaluation des controles chez le prestataire tient en trois lignes et un rapport classe sans lecture. C'est le constat qui revient systematiquement en revue H2A.

Fonctionnement

L'ISA 402 reconnait une realite simple : vous ne pouvez pas auditer des etats financiers sans verifier la fiabilite des systemes qui les produisent. Quand un client externalise la paie, la comptabilite d'engagement ou le traitement des ventes a un tiers, ce tiers devient partie integrante de votre comprehension de l'environnement de controle interne (ISA 315.26).

L'ISA 402 etablit deux approches. La premiere (rapports de type I) evalue les controles de conception chez le prestataire, generalement sur une periode unique. La seconde (rapports de type II) evalue a la fois la conception et le fonctionnement efficace sur une periode. Un rapport ISAE 3402 produit par le prestataire (ou son auditeur) fournit les elements probants que vous utilisez pour evaluer ces controles.

Mais un rapport seul ne suffit pas. L'ISA 402.13 vous oblige a evaluer : ce service est-il critique au point que, sans ses controles, vous ne puissiez pas conclure raisonnablement ? Si la reponse est oui, vous devez obtenir des elements probants sur la fiabilite de ces controles. Un rapport de type II datant de 14 mois vous suffit-il, ou avez-vous besoin de procedures supplementaires pour couvrir la periode non documentee ? Vous devez le justifier dans le dossier.

Exemple pratique : Boulangerie Moreau SARL

Client : Boulangerie Moreau SARL, Bordeaux, France. Chiffre d'affaires 2,8 M EUR, paie externalisee chez ADP France, comptabilite d'engagement chez le meme prestataire. Etat financier IFRS simplifie (petite structure).

Etape 1 : Identification des services critiques Vous identifiez que la paie represente 38 % des charges d'exploitation (850 K EUR sur 2,24 M EUR de charges). Une erreur de 5 % dans le calcul de la paie (42 K EUR) depasserait l'anomalie tolerable au niveau de la performance materielle (35 K EUR calculee a 1 % du chiffre d'affaires). Le service est critique.

Note de documentation : PT 2.4, Evaluation des risques. Identifiez tous les services externalises. Calculez le pourcentage de chiffre d'affaires ou de charges pour chaque service. Marquez les services critiques (ceux dont une erreur depasserait l'anomalie tolerable).

Etape 2 : Obtention d'un rapport ISAE 3402 Vous demandez un rapport ISAE 3402 de type II d'ADP pour la periode du 1er janvier au 31 decembre 2024 (votre periode d'audit). Le rapport documente la conception et le fonctionnement des controles de paie : separation des roles, approbation des taux, rapprochement des dossiers personnels avec la paie, reconciliation mensuelle des charges de paie avec la comptabilite.

Note de documentation : PT 2.5, Rapport ISAE 3402. Classez le rapport par service et par controle. Verifiez que le type (I ou II) et la periode couverte correspondent a vos besoins. Si le rapport se termine le 30 septembre et votre audit couvre l'annee entiere, notez l'ecart.

Etape 3 : Evaluation de la fiabilite du rapport L'ISA 402.A9 enumere les facteurs : le prestataire est-il independant, quel auditeur a produit le rapport (vous connaissez sa reputation), le champ du rapport inclut-il tous les controles pertinents pour vous ? ADP est un prestataire etabli, le rapport a ete produit par KPMG (cabinet reconnu), et le champ couvre tous les processus de paie que Moreau utilise.

Note de documentation : PT 2.6, Evaluation du rapport ISAE 3402. Documentez chaque facteur. Si un facteur cree un doute (rapport ancien, prestataire peu connu), notez les procedures supplementaires envisagees.

Etape 4 : Identification des lacunes de couverture Le rapport ISAE 3402 couvre janvier a decembre 2024. Votre audit couvre la meme periode. Aucune lacune de couverture. Si le rapport se terminait en septembre, vous evalueriez : les controles ont-ils change entre septembre et decembre ? Les risques de controle pendant cette periode sont-ils acceptables ? Documentez votre justification.

Note de documentation : PT 2.7, Lacunes de couverture et procedures supplementaires. Si la periode du rapport ne couvre pas votre periode d'audit entiere, enumerez les mois non couverts et decrivez comment vous avez reduit le risque de controle pour cette periode.

Etape 5 : Tests supplementaires Meme avec un rapport ISAE 3402 de type II fiable, l'ISA 402.15 vous oblige a ne pas abandonner completement le test. Vous testez un echantillon de bulletins de paie (30 bulletins) pour verifier que le controle fonctionne reellement : les taux appliques correspondent-ils aux dossiers personnels, les retenues sont-elles correctes, les approbations sont-elles documentees ? Cette procedure vous donne une confiance independante.

Note de documentation : PT 3.1, Tests supplementaires de controles du prestataire. Decrivez l'echantillon, les taux testes (taux horaire, nombre de jours, deductions), et les exceptions trouvees. Liez chaque test au controle documente dans le rapport ISAE 3402.

Conclusion : En documentant la criticite du service, la fiabilite du rapport, la couverture temporelle et vos tests supplementaires, vous supportez votre evaluation du risque de controle a un niveau acceptable. L'absence de cette documentation etait le principal constat d'inspection chez les auditeurs de PME en 2024 : « L'auditeur n'a pas documente pourquoi les controles du prestataire de services etaient fiables. »

Ce que les examinateurs et praticiens se trompent

- Niveau 1 (constat d'inspection) : Les audits de clients avec paie ou comptabilite externalisees presentaient souvent une « acceptation » implicite du rapport ISAE 3402 sans evaluation documentee de sa fiabilite. Dans les dossiers que nous voyons passer en revue, le rapport est obtenu mais les controles ne sont pas testes au-dela du rapport. Pour moi, c'est du tampon. L'ISA 402.15 exige que l'auditeur « obtienne des elements probants ». Un rapport seul ne remplit pas cette exigence sans tests independants du praticien.

- Niveau 2 (erreur pratique) : Les collaborateurs confondent « obtenir un rapport ISAE 3402 » et « evaluer le risque de controle ». Le rapport est une source d'information. L'evaluation est un jugement. Un rapport de type I (design uniquement, pas de fonctionnement) vous permet-il de baisser le risque de controle ? Non. L'ISA 402.14 exige un rapport de type II pour evaluer le fonctionnement efficace. Un type I vous oblige a plus de tests, pas a moins.

- Niveau 3 (lacune documentee) : L'ecart temporel entre la fin du rapport ISAE 3402 et votre date de cloture est rarement aborde. Un rapport se terminant trois mois avant votre cloture n'est pas une acceptation automatique pour la periode entiere. Vous devez documenter comment vous avez couvert cette periode (controles de gestion additionnels, tests des transactions ulterieures, demandes de confirmation). L'absence de cette documentation est une lacune de documentation, pas une erreur comptable, mais elle rend votre dossier vulnerable aux constats.

Comparaison : organisation prestataire de services vs entite liee

Une entite liee (filiale, succursale, coentreprise) reste sous le controle ou l'influence de la direction de votre client. L'organisation prestataire de services est independante et opere ses propres controles a des fins de service a de multiples clients. Vous auditez les etats financiers de votre client, y compris les operations avec une entite liee (ISA 550). Vous n'auditez pas les operations avec un prestataire independant, mais vous devez evaluer la fiabilite des services qu'il rend sur vos etats financiers cibles (ISA 402).

En pratique : un client audit a une filiale de courtage immobilier. Vous auditez les etats financiers du groupe. Les dividendes de la filiale sont en ligne de vente. Vous auditez la filiale completement (ISA 550). Un client audit externalise la paie chez ADP. ADP n'est pas votre client audit. Vous testez le controle de paie chez votre client en vous appuyant sur le rapport ISAE 3402 d'ADP et vos tests supplementaires (ISA 402).

Termes connexes

Rapport ISAE 3402 : La certification que le prestataire de services (ou son auditeur) fournit, documentant les controles de conception (type I) ou de conception et fonctionnement (type II). Vous l'utilisez comme source de connaissances sur les controles chez le prestataire.

Risque de controle : Votre evaluation de la probabilite qu'un controle interne de votre client ne previenne, ne detecte ou ne corrige une anomalie significative. Quand le client externalise, vous ne pouvez evaluer le risque de controle qu'en comprenant les controles du prestataire.

Separation des roles : Le controle fondamental chez un prestataire. Celui qui initie une transaction ne doit pas l'approuver. Le rapport ISAE 3402 detaille comment le prestataire maintient cette separation. Vous testez si elle fonctionne.

Audit informatique : Quand le prestataire est une plateforme cloud ou un hebergeur (AWS, Azure, datacentre), l'evaluation des controles informatiques du prestataire devient critique. Un expert informatique peut etre necessaire. L'ISA 402 ne change pas, mais la complexite augmente et le dossier devient souvent une usine a gaz.

Reconciliation : La procedure de controle la plus frequemment documentee par les prestataires. Les charges de paie generees par ADP sont reconciliees mensuellement avec la comptabilite generale. Vous testez cette reconciliation.

---

Utiliser l'outil Evaluation des controles internes ISA 315

Cet outil de ciferi.com structure selon l'ISA 315 inclut une section pour les controles du prestataire de services. Documentez la criticite du service, le type de rapport ISAE 3402 obtenu et vos elements probants de test. L'outil genere un resume pour votre dossier de direction.

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.