Fonctionnement

Un rapport SOC 1 est produit à la demande d'une organisation de prestation de services (un hébergeur cloud, un prestataire de paie, un gestionnaire de placement) qui souhaite fournir une assurance indépendante à ses clients (et aux auditeurs de ces clients) concernant l'efficacité de ses contrôles internes. L'organisation engage un auditeur indépendant pour examiner la documentation des contrôles, tester leur application pendant une période, et émettre un rapport d'assurance.
L'ISAE 3402.A5 définit les contrôles pertinents comme ceux qui permettent au client d'obtenir des états financiers fiables. Un prestataire de paie, par exemple, ne décrira pas chaque contrôle de son système. Il décrira les contrôles qui affectent l'exactitude et l'intégrité des données de paie transmises au client. L'ISAE 3402.Appendix 1 énumère les domaines courants : contrôle d'accès, intégrité des données, continuité des opérations, séparation des environnements.
L'auditeur du client ne peut pas s'appuyer automatiquement sur ce rapport. L'ISAE 3402.A10 stipule que l'auditeur du client doit évaluer si les contrôles du rapport sont pertinents pour les transactions ou processus que le client confie au prestataire. Si le client utilise uniquement le module de paie du prestataire mais que le rapport couvre l'ensemble du système, l'auditeur du client doit réduire le périmètre du rapport à ce qui est vraiment pertinent. Si le rapport contient des exceptions documentées ou des contrôles qui ne fonctionnaient pas pendant une partie de la période, l'auditeur du client doit évaluer si les exceptions représentent un risque de distorsion pour les assertions qui dépendent de ce processus.

Exemple pratique : Services de trésorerie externalisés

Client : Groupe Arnaud SAS, groupe franco-belge de distribution, chiffre d'affaires de 156 M EUR, états financiers IFRS.
Le groupe externalise la gestion centralisée de la trésorerie auprès de Liquidité & Placement AG, un gestionnaire de placements basé à Genève. Liquidité & Placement a fait réaliser un rapport SOC 1 Type II couvrant la période du 1er janvier au 31 décembre 2023. Le rapport couvre quatre domaines de contrôle : accès aux comptes, enregistrement des transactions, rapprochement quotidien, et continuité des opérations.
Étape 1 : obtenir et examiner le rapport. L'associé responsable de la mission d'audit du groupe Arnaud demande une copie du rapport SOC 1 Type II de Liquidité & Placement. Le rapport indique que Liquidité & Placement maintient des contrôles formels pour l'accès aux comptes clients (vérification d'identité multifactorielle, approbation des transactions au-delà d'un seuil) et un processus quotidien de rapprochement entre ses registres internes et les relevés bancaires. Aucune exception n'est documentée pendant la période couverte.
Documentation du papier de travail : « Rapport SOC 1 Type II de Liquidité & Placement AG obtenu. Domaines couverts : accès, enregistrement, rapprochement, continuité. Période : 1er janvier au 31 décembre 2023. Aucune exception documentée. »
Étape 2 : identifier les assertions pertinentes pour le groupe Arnaud. Pour le groupe Arnaud, le trésorier saisit les transactions de placement quotidiennement. Les contrôles pertinents de Liquidité & Placement qui affectent les états financiers du groupe sont : (1) l'exactitude des calculs d'intérêts courus, (2) l'intégrité de l'enregistrement des transactions de rachat, (3) l'existence et la classification des soldes de trésorerie à la clôture. Les contrôles relatifs à la continuité des opérations de Liquidité & Placement ne sont pas directement pertinents pour les assertions du groupe Arnaud dans ses états financiers.
Documentation du papier de travail : « Assertions du groupe Arnaud affectées par Liquidité & Placement : exactitude des intérêts courus (compte 660), intégrité des enregistrements de rachat, existence et classification des placements (compte 5XXX). Continuité des opérations : non pertinent pour les assertions auditées. »
Étape 3 : évaluer l'acceptabilité du rapport comme élément probant du contrôle interne. Le rapport couvre la totalité de la période d'audit (année calendaire 2023, alignée sur l'exercice du groupe Arnaud). Les contrôles décrits (accès, rapprochement) couvrent les trois assertions pertinentes. Le rapport est daté du 15 février 2024 et signé par un cabinet d'audit réputé (Revesco SARL, Genève). Aucune exception n'a été documentée, ce qui signifie que tous les contrôles testés ont fonctionné comme prévu pendant la période. L'associé conclut que le rapport SOC 1 fournit un élément probant raisonnablement pertinent du contrôle interne relatif aux transactions externalisées.
Documentation du papier de travail : « Rapport SOC 1 couvre la période complète (1er janvier au 31 décembre 2023). Contrôles couverts : accès (assertion d'existence), rapprochement (assertions d'exactitude et de classification). Aucune exception. Signataire auditeur accepté. Acceptabilité : ACCEPTABLE. Risque lié au prestataire : peut être évalué à un niveau plus faible compte tenu de ce rapport. »
Étape 4 : ajuster le niveau de risque et les procédures à l'égard du prestataire. Grâce au rapport SOC 1 et à l'absence d'exceptions, l'équipe peut réduire le niveau de risque de mauvaise assertion lié aux contrôles du prestataire. Au lieu de tester directement tous les rapprochements de Liquidité & Placement (procédure coûteuse qui doublerait le travail de l'auditeur du prestataire), l'équipe teste un échantillon réduit de transactions de placement pour vérifier que les enregistrements du groupe Arnaud sont conformes aux relevés de Liquidité & Placement. Le rapport SOC 1 fournit la base permettant de réduire l'étendue de ces tests.
Documentation du papier de travail : « Compte tenu du rapport SOC 1 Type II sans exceptions, le risque de distorsion lié aux transactions de placement est réduit à faible. Procédures : test de 25 transactions de placement (vs 100 initialement prévu) pour vérifier l'exactitude de l'enregistrement par le groupe Arnaud. »
Conclusion. Le groupe Arnaud a externalisé la gestion de sa trésorerie. Le prestataire a fourni un rapport SOC 1 Type II sans exceptions documentées. L'auditeur du groupe Arnaud a vérifié que ce rapport couvrait les assertions pertinentes (exactitude, existence, classification) et que la période couverte était complète. L'approche est défendable et redocumentée selon l'ISAE 3402.

Ce que les contrôleurs et les praticiens confondent

  • Confusion entre SOC 1 et SOC 2. Un rapport SOC 1 Type II porte sur les contrôles pertinents pour les états financiers du client. Un rapport SOC 2 Type II porte sur les critères de fiabilité (disponibilité, intégrité, confidentialité, respect de la confidentialité). Un prestataire peut publier les deux. L'auditeur de l'utilisateur du service doit utiliser le rapport SOC 1 pour évaluer le contrôle interne relatif aux transactions. L'ISAE 3402.3 définit explicitement le rapport SOC 1 comme étant fondé sur les critères du COSO ou d'un cadre équivalent applicable au contrôle interne des états financiers.
  • Traiter une exception documentée comme si elle était insignifiante. Si le rapport SOC 1 indique qu'un contrôle n'a pas fonctionné pendant une période donnée (« L'approbation de transaction n'a pas été requise pour six transactions en février »), cela ne signifie pas que le contrôle est faible de manière systématique. Cela signifie que, pour cette période, le contrôle a échoué. L'auditeur du client doit évaluer si cette exception affecte une assertion pour laquelle le client a des soldes significatifs. Si un placement de 2 M EUR a été enregistré sans approbation en février, cela est un problème pour l'assertion d'existence et d'exactitude. Si l'exception s'est produite pour une transaction de 15 K EUR et que le seuil d'approbation est de 500 K EUR, le risque est réduit mais non nul. L'ISAE 3402.A11 exige que le rapport documente clairement toutes les exceptions, et l'auditeur du client doit les intégrer dans son évaluation du risque.
  • Accepter un rapport SOC 1 simplement parce qu'il existe. Un rapport SOC 1 doit être évalué par rapport aux domaines réellement pertinents pour le client. Beaucoup de prestataires produisent un rapport SOC 1 couvrant un large éventail de processus. L'auditeur du client doit déterminer lesquels sont pertinents. Un rapport SOC 1 pour un hébergeur cloud peut couvrir la sauvegarde, la reprise après sinistre, la gestion des accès et les mises à jour de sécurité. Si le client utilise uniquement l'hébergeur pour la sauvegarde et que la reprise après sinistre est gérée par le client lui-même, les contrôles de reprise du rapport ne sont pas pertinents pour les assertions auditées du client.

Rapport SOC 1 Type I ou Type II : quelle est la différence ?

| Dimension | Type I | Type II |
|-----------|--------|---------|
| Ce qu'il décrit | La conception des contrôles à une date donnée (généralement la date de publication du rapport) | La conception ET l'application des contrôles pendant une période d'au moins six mois |
| Élément probant fourni | Très limité. Le rapport confirme que les contrôles ont été conçus et sont pertinents en théorie. | Modéré à élevé. Le rapport confirme que les contrôles fonctionnaient réellement pendant une période entière. |
| Procédures complémentaires requises de l'auditeur du client | Importantes. L'auditeur du client doit tester directement les contrôles du prestataire pour chaque assertion significative. | Moins importantes (mais pas nulles). L'auditeur du client peut réduire le niveau de test mais doit toujours vérifier les exceptions et évaluer la pertinence. |
| Quand le préférer | Rarement. Utile uniquement pour un nouveau prestataire ou une nouvelle fonction qui n'a fonctionné que quelques semaines avant la clôture. | Presque toujours. Un rapport Type II couvrant la période d'audit complète ou la majorité de celle-ci est l'élément probant préféré. |
| Risque de mauvaise interprétation | Élevé. Une conception de contrôle acceptée en théorie ne signifie pas qu'elle fonctionnait. | Modéré. L'absence d'exceptions ne garantit pas que tous les contrôles fonctionnaient, mais elle renforce considérablement la position d'audit. |
Quand la distinction est importante sur un dossier. Si un client change de prestataire le 1er novembre d'une année d'audit et que l'auditeur ne reçoit qu'un rapport SOC 1 Type I daté du 1er novembre, ce rapport fournit une assurance limitée. L'auditeur doit tester les transactions du prestataire pour les deux mois qui restent dans l'exercice (novembre et décembre) ou effectuer des procédures supplémentaires substantives pour vérifier l'exactitude des transactions du prestataire. Un rapport SOC 1 Type II couvrant au moins le dernier trimestre aurait fourni un élément probant plus solide et aurait réduit la charge de test de l'auditeur du client.

Ce que les réviseurs externes remarquent

  • Rapport manquant ou non fourni par le prestataire. L'afm (autorité néerlandaise de surveillance financière) a documenté des constats où des auditeurs ont basé leurs évaluations de contrôle sur des représentations verbales du prestataire plutôt que sur un rapport SOC 1. L'ISAE 3402.7 est clair : un élément probant indépendant (c'est-à-dire un rapport produit par un auditeur indépendant du prestataire) est requis pour soutenir une réduction significative du risque lié aux contrôles externalisés.
  • Rapport SOC 1 incomplet ou mal ciblé. Le FRC (Financial Reporting Council, Royaume-Uni) a relevé des instances où le rapport SOC 1 couvrait des processus secondaires mais pas les processus clés affectant les assertions auditées. Par exemple, un rapport couvrant les contrôles de sauvegarde mais pas les contrôles d'intégrité des données critiques pour la détermination des stocks. L'ISAE 3402.A5 exige que les contrôles soient pertinents pour la capacité du client à obtenir des états financiers fiables. Si le rapport ne décrit pas les contrôles pertinents, il ne fournit pas d'élément probant acceptable.
  • Exceptions documentées mais non évaluées par l'auditeur du client. Lorsqu'un rapport SOC 1 indique des exceptions (contrôles qui ont échoué pendant une période), l'auditeur du client doit évaluer si ces exceptions affectent une assertion pour laquelle le client a des soldes ou des opérations significatifs. Un constat courant : l'équipe d'audit a accepté le rapport SOC 1 « sans problèmes » en raison de l'absence d'exceptions d'envergure, mais n'a pas documenté son évaluation de la pertinence de ce rapport pour ses assertions spécifiques.

Termes connexes

---

  • ISAE 3402: La norme d'assurance internationale régissant les rapports SOC 1 et les rapports sur les contrôles chez les prestataires de services.
  • Assertion pertinente: Une assertion (existence, exactitude, classification, intégrité) pour laquelle le client confie un processus au prestataire et où les contrôles du prestataire réduisent le risque d'une mauvaise assertion.
  • Élément probant du contrôle interne: Toute documentation, test ou rapport qui confirme qu'un contrôle interne existe et fonctionne.
  • Prestataire de services: Une organisation qui traite, stocke ou gère les données financières d'un client (hébergement cloud, paie externalisée, gestion des placements, traitement des paiements).
  • Rapport d'assurance: Un rapport émis par un auditeur indépendant attestant que certains contrôles ou critères répondent à des normes définies.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.