Definition
Je l'avoue : la premiere fois qu'on recoit un rapport SOC 1 Type II de 140 pages sur un gestionnaire de placements, on ne sait pas par ou commencer. Et dans un certain nombre de dossiers que nous voyons en revue, la reponse est simple : personne ne l'ouvre vraiment. Le rapport est classe, coche, et le risque de controle est reduit « sur la base du SOC 1 ». C'est du tampon.
Fonctionnement
Un rapport SOC 1 est produit a la demande d'une organisation de prestation de services (un hebergeur cloud, un prestataire de paie, un gestionnaire de placement) qui souhaite fournir une assurance independante a ses clients (et aux auditeurs de ces clients) concernant l'efficacite de ses controles internes. L'organisation engage un auditeur independant pour examiner la documentation des controles, tester leur application pendant une periode, et emettre un rapport d'assurance.
L'ISAE 3402.A5 definit les controles pertinents comme ceux qui permettent au client d'obtenir des etats financiers fiables. Un prestataire de paie, par exemple, ne decrira pas chaque controle de son systeme. Il decrira les controles qui affectent l'exactitude et l'integrite des donnees de paie transmises au client. L'ISAE 3402.Appendix 1 enumere les domaines courants : controle d'acces, integrite des donnees, continuite des operations, separation des environnements.
L'auditeur du client ne peut pas s'appuyer automatiquement sur ce rapport. L'ISAE 3402.A10 stipule que l'auditeur du client doit evaluer si les controles du rapport sont pertinents pour les transactions ou processus que le client confie au prestataire. Si le client utilise uniquement le module de paie du prestataire mais que le rapport couvre l'ensemble du systeme, l'auditeur du client doit reduire le perimetre du rapport a ce qui est vraiment pertinent. Si le rapport contient des exceptions documentees ou des controles qui ne fonctionnaient pas pendant une partie de la periode, l'auditeur du client doit evaluer si les exceptions representent un risque de distorsion pour les assertions qui dependent de ce processus.
Exemple pratique : services de tresorerie externalises
Client : Groupe Arnaud SAS, groupe franco-belge de distribution, chiffre d'affaires de 156 M EUR, etats financiers IFRS.
Le groupe externalise la gestion centralisee de la tresorerie aupres de Liquidite & Placement AG, un gestionnaire de placements base a Geneve. Liquidite & Placement a fait realiser un rapport SOC 1 Type II couvrant la periode du 1er janvier au 31 decembre 2023. Le rapport couvre quatre domaines de controle : acces aux comptes, enregistrement des transactions, rapprochement quotidien, et continuite des operations.
Etape 1 : obtenir et examiner le rapport. L'associe responsable de la mission d'audit du groupe Arnaud demande une copie du rapport SOC 1 Type II de Liquidite & Placement. Le rapport indique que Liquidite & Placement maintient des controles formels pour l'acces aux comptes clients (verification d'identite multifactorielle, approbation des transactions au-dela d'un seuil) et un processus quotidien de rapprochement entre ses registres internes et les releves bancaires. Aucune exception n'est documentee pendant la periode couverte.
Documentation du papier de travail : « Rapport SOC 1 Type II de Liquidite & Placement AG obtenu. Domaines couverts : acces, enregistrement, rapprochement, continuite. Periode : 1er janvier au 31 decembre 2023. Aucune exception documentee. »
Etape 2 : identifier les assertions pertinentes pour le groupe Arnaud. Pour le groupe Arnaud, le tresorier saisit les transactions de placement quotidiennement. Les controles pertinents de Liquidite & Placement qui affectent les etats financiers du groupe sont : (1) l'exactitude des calculs d'interets courus, (2) l'integrite de l'enregistrement des transactions de rachat, (3) l'existence et la classification des soldes de tresorerie a la cloture. Les controles relatifs a la continuite des operations de Liquidite & Placement ne sont pas directement pertinents pour les assertions du groupe Arnaud dans ses etats financiers.
Documentation du papier de travail : « Assertions du groupe Arnaud affectees par Liquidite & Placement : exactitude des interets courus (compte 660), integrite des enregistrements de rachat, existence et classification des placements (compte 5XXX). Continuite des operations : non pertinent pour les assertions auditees. »
Etape 3 : evaluer l'acceptabilite du rapport comme element probant du controle interne. Le rapport couvre la totalite de la periode d'audit (annee calendaire 2023, alignee sur l'exercice du groupe Arnaud). Les controles decrits (acces, rapprochement) couvrent les trois assertions pertinentes. Le rapport est date du 15 fevrier 2024 et signe par un cabinet d'audit reconnu (Revesco SARL, Geneve). Aucune exception n'a ete documentee, ce qui signifie que tous les controles testes ont fonctionne comme prevu pendant la periode. L'associe conclut que le rapport SOC 1 fournit un element probant raisonnablement pertinent du controle interne relatif aux transactions externalisees.
Documentation du papier de travail : « Rapport SOC 1 couvre la periode complete (1er janvier au 31 decembre 2023). Controles couverts : acces (assertion d'existence), rapprochement (assertions d'exactitude et de classification). Aucune exception. Signataire auditeur accepte. Acceptabilite : ACCEPTABLE. Risque lie au prestataire : peut etre evalue a un niveau plus faible compte tenu de ce rapport. »
Etape 4 : ajuster le niveau de risque et les procedures a l'egard du prestataire. Grace au rapport SOC 1 et a l'absence d'exceptions, l'equipe peut reduire le niveau de risque de mauvaise assertion lie aux controles du prestataire. Au lieu de tester directement tous les rapprochements de Liquidite & Placement (procedure couteuse qui doublerait le travail de l'auditeur du prestataire), l'equipe teste un echantillon reduit de transactions de placement pour verifier que les enregistrements du groupe Arnaud sont conformes aux releves de Liquidite & Placement. Le rapport SOC 1 fournit la base permettant de reduire l'etendue de ces tests.
Documentation du papier de travail : « Compte tenu du rapport SOC 1 Type II sans exceptions, le risque de distorsion lie aux transactions de placement est reduit a faible. Procedures : test de 25 transactions de placement (vs 100 initialement prevu) pour verifier l'exactitude de l'enregistrement par le groupe Arnaud. »
Conclusion. Le groupe Arnaud a externalise la gestion de sa tresorerie. Le prestataire a fourni un rapport SOC 1 Type II sans exceptions documentees. L'auditeur du groupe Arnaud a verifie que ce rapport couvrait les assertions pertinentes (exactitude, existence, classification) et que la periode couverte etait complete. L'approche est defendable et redocumentee selon l'ISAE 3402.
Ce que les controleurs et les praticiens confondent
- Confusion entre SOC 1 et SOC 2. Un rapport SOC 1 Type II porte sur les controles pertinents pour les etats financiers du client. Un rapport SOC 2 Type II porte sur les criteres de fiabilite (disponibilite, integrite, confidentialite, respect de la confidentialite). Un prestataire peut publier les deux. L'auditeur de l'utilisateur du service doit utiliser le rapport SOC 1 pour evaluer le controle interne relatif aux transactions. L'ISAE 3402.3 definit explicitement le rapport SOC 1 comme etant fonde sur les criteres du COSO ou d'un cadre equivalent applicable au controle interne des etats financiers.
- Traiter une exception documentee comme si elle etait insignifiante. Si le rapport SOC 1 indique qu'un controle n'a pas fonctionne pendant une periode donnee (« L'approbation de transaction n'a pas ete requise pour six transactions en fevrier »), cela ne signifie pas que le controle est faible de maniere systematique. Cela signifie que, pour cette periode, le controle a echoue. L'auditeur du client doit evaluer si cette exception affecte une assertion pour laquelle le client a des soldes significatifs. Si un placement de 2 M EUR a ete enregistre sans approbation en fevrier, cela est un probleme pour l'assertion d'existence et d'exactitude. Si l'exception s'est produite pour une transaction de 15 K EUR et que le seuil d'approbation est de 500 K EUR, le risque est reduit mais non nul. L'ISAE 3402.A11 exige que le rapport documente clairement toutes les exceptions, et l'auditeur du client doit les integrer dans son evaluation du risque.
- Accepter un rapport SOC 1 simplement parce qu'il existe. Chez nos clients, un rapport SOC 1 doit etre evalue par rapport aux domaines reellement pertinents pour le client. Beaucoup de prestataires produisent un rapport couvrant un large eventail de processus (une vraie usine a gaz). L'auditeur du client doit determiner lesquels sont pertinents. Un rapport SOC 1 pour un hebergeur cloud peut couvrir la sauvegarde, la reprise apres sinistre, la gestion des acces et les mises a jour de securite. Si le client utilise uniquement l'hebergeur pour la sauvegarde et que la reprise apres sinistre est geree par le client lui-meme, les controles de reprise du rapport ne sont pas pertinents pour les assertions auditees du client.
Rapport SOC 1 Type I ou Type II : quelle est la difference ?
| Dimension | Type I | Type II |
|---|---|---|
| Ce qu'il decrit | La conception des controles a une date donnee (generalement la date de publication du rapport) | La conception ET l'application des controles pendant une periode d'au moins six mois |
| Element probant fourni | Tres limite. Le rapport confirme que les controles ont ete concus et sont pertinents en theorie. | Modere a eleve. Le rapport confirme que les controles fonctionnaient reellement pendant une periode entiere. |
| Procedures complementaires requises de l'auditeur du client | Importantes. L'auditeur du client doit tester directement les controles du prestataire pour chaque assertion significative. | Moins importantes (mais pas nulles). L'auditeur du client peut reduire le niveau de test mais doit toujours verifier les exceptions et evaluer la pertinence. |
| Quand le preferer | Rarement. Utile uniquement pour un nouveau prestataire ou une nouvelle fonction qui n'a fonctionne que quelques semaines avant la cloture. | Presque toujours. Un rapport Type II couvrant la periode d'audit complete ou la majorite de celle-ci est l'element probant prefere. |
| Risque de mauvaise interpretation | Eleve. Une conception de controle acceptee en theorie ne signifie pas qu'elle fonctionnait. | Modere. L'absence d'exceptions ne garantit pas que tous les controles fonctionnaient, mais elle renforce considerablement la position d'audit. |
Quand la distinction est importante sur un dossier. Si un client change de prestataire le 1er novembre d'une annee d'audit et que l'auditeur ne recoit qu'un rapport SOC 1 Type I date du 1er novembre, ce rapport fournit une assurance limitee. L'auditeur doit tester les transactions du prestataire pour les deux mois qui restent dans l'exercice (novembre et decembre) ou effectuer des procedures supplementaires substantives pour verifier l'exactitude des transactions du prestataire. Un rapport SOC 1 Type II couvrant au moins le dernier trimestre aurait fourni un element probant plus solide et aurait reduit la charge de test de l'auditeur du client.
Ce que les reviseurs externes remarquent
- Rapport manquant ou non fourni par le prestataire. La H2A a documente des constats ou des auditeurs ont base leurs evaluations de controle sur des representations verbales du prestataire plutot que sur un rapport SOC 1. L'ISAE 3402.7 est clair : un element probant independant (c'est-a-dire un rapport produit par un auditeur independant du prestataire) est requis pour soutenir une reduction significative du risque lie aux controles externalises.
- Rapport SOC 1 incomplet ou mal cible. La H2A a releve des instances ou le rapport SOC 1 couvrait des processus secondaires mais pas les processus cles affectant les assertions auditees. Par exemple, un rapport couvrant les controles de sauvegarde mais pas les controles d'integrite des donnees critiques pour la determination des stocks. L'ISAE 3402.A5 exige que les controles soient pertinents pour la capacite du client a obtenir des etats financiers fiables. Si le rapport ne decrit pas les controles pertinents, il ne fournit pas d'element probant acceptable.
- Exceptions documentees mais non evaluees par l'auditeur du client. Lorsqu'un rapport SOC 1 indique des exceptions (controles qui ont echoue pendant une periode), l'auditeur du client doit evaluer si ces exceptions affectent une assertion pour laquelle le client a des soldes ou des operations significatifs. Un constat courant : l'equipe d'audit a accepte le rapport SOC 1 « sans problemes » en raison de l'absence d'exceptions d'envergure, mais n'a pas documente son evaluation de la pertinence de ce rapport pour ses assertions specifiques.
Termes connexes
- ISAE 3402: La norme d'assurance internationale régissant les rapports SOC 1 et les rapports sur les contrôles chez les prestataires de services. - Assertion pertinente: Une assertion (existence, exactitude, classification, intégrité) pour laquelle le client confie un processus au prestataire et où les contrôles du prestataire réduisent le risque d'une mauvaise assertion. - Élément probant du contrôle interne: Toute documentation, test ou rapport qui confirme qu'un contrôle interne existe et fonctionne. - Prestataire de services: Une organisation qui traite, stocke ou gère les données financières d'un client (hébergement cloud, paie externalisée, gestion des placements, traitement des paiements). - Rapport d'assurance: Un rapport émis par un auditeur indépendant attestant que certains contrôles ou critères répondent à des normes définies.
---