Fonctionnement

Les trois rapports SOC répondent à une question commune : les contrôles internes d'un prestataire de services sont-ils suffisamment efficaces pour que ses clients puissent s'y fier ? Mais chacun répond à une question différente sur quels contrôles.
SOC 1 (ISAE 3402 Type I et Type II). Un prestataire de services (centre de traitement de paie, cabinet d'expertise comptable externalisant, plateforme de facturation cloud) traite ou stocke des données financières critiques pour ses clients. L'auditeur teste si les contrôles internes du prestataire empêchent ou détectent les erreurs ou fraudes qui pourraient affecter les états financiers du client. ISAE 3402.A6 définit l'objet : les contrôles doivent être pertinents pour l'objectif de contrôle interne affirmé par le prestataire (souvent : « assurez-vous que les données financières sont traitées avec exactitude »). L'auditeur ne teste pas la sécurité informatique, la conformité légale ou la disponibilité du service. Il teste uniquement les contrôles qui pourraient avoir un impact significatif sur les transactions financières ou les données comptables du client.
Un rapport SOC 1 Type I décrit les contrôles au jour de l'audit. Un rapport SOC 1 Type II étend le test sur une période de temps (généralement 6 à 12 mois) pour attester l'efficacité opérationnelle des contrôles au cours du temps. La plupart des clients exigent un Type II.
SOC 2. Le même prestataire peut également proposer un rapport SOC 2, qui teste des contrôles qui ne sont pas comptables mais qui affectent la fiabilité du service : sécurité (accès aux systèmes, chiffrement des données), disponibilité (temps d'arrêt du système, récupération après sinistre), confidentialité (qui peut accéder aux données des clients), intégrité (exactitude des données, non-modification non autorisée) et vie privée (traitement des données personnelles conformément aux politiques). Un rapport SOC 2 Type II est très courant ; il teste ces contrôles sur une période de temps, tout comme SOC 1 Type II.
Contrairement au SOC 1, qui est orienté vers les contrôles financiers, le SOC 2 s'adresse à une audience bien plus large : clients, partenaires, régulateurs, assureurs et parties prenantes qui veulent savoir si le service est sûr, disponible et conforme aux normes. Un prestataire typique proposera un SOC 1 Type II et un SOC 2 Type II, chacun couvrant un ensemble de risques distincts.
SOC 3. C'est essentiellement le même audit que SOC 2. L'auditeur teste les mêmes contrôles de sécurité, disponibilité, confidentialité, intégrité et vie privée. La seule différence est que le rapport SOC 3 est un document public ; une organisation peut l'afficher sur son site Web ou le partager avec n'importe qui, sans restriction. Le rapport SOC 2 reste confidentiel, remis uniquement aux utilisateurs autorisés (clients, auditeurs financiers, régulateurs).
En raison de cette transparence, les critères d'un rapport SOC 3 sont généralement plus étroits et moins détaillés qu'un SOC 2. Le prestataire et son auditeur s'accordent sur les domaines de confiance clés à couvrir (par exemple, sécurité et disponibilité, mais pas intégrité ou vie privée), puis testent ceux-ci pour atteindre le même niveau de certitude qu'un SOC 2.

Tableau comparatif

| Dimension | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|
| Norme applicable | ISAE 3402 (international) ; SSAE 18 (États-Unis) | SSAE 18 / AT-C 320 (États-Unis) ; critères de confiance AICPA | Identique à SOC 2 |
| Objet du test | Contrôles affectant les données financières et les transactions du client | Contrôles de sécurité, disponibilité, confidentialité, intégrité, vie privée | Contrôles de sécurité, disponibilité, confidentialité, intégrité, vie privée (périmètre réduit) |
| Audience | Uniquement les clients autorisés et les auditeurs de ces clients | Clients autorisés, auditeurs externes, régulateurs, partenaires | Public (rapport ouvert, affichable sur le site Web) |
| Accessibilité du rapport | Confidentiel ; remis à l'utilisateur spécifique uniquement | Confidentiel ; remis aux utilisateurs autorisés | Public ; pas de restriction d'accès |
| Période couverte | Type I : un moment donné. Type II : généralement 6-12 mois | Type II : généralement 6-12 mois | Généralement 6-12 mois |
| Détail des faiblesses | Rapport détaillé ; communique les faiblesses de contrôle au client | Rapport détaillé ; communique les faiblesses au client | Rapport condensé et jargon client ; la plupart des détails techniques omis |

Quand la distinction compte en audit

Vous êtes l'auditeur financier d'une entreprise cliente. Vous avez identifié que le client sous-traite l'intégralité de sa fonction de paie à un prestataire externe (Paytec Solutions S.à r.l., basée au Luxembourg, qui gère le traitement de la paie pour 800 clients). Le prestataire a effectué la paie depuis trois ans. Votre équipe d'audit doit évaluer le risque que les données de paie soient mal traitées ou les salaires mal comptabilisés.
Étape 1 : Demander un rapport SOC.
Vous demandez au prestataire un rapport SOC. Quelle type ? Cela dépend de votre risque.
Si vous êtes préoccupé par : les salaires sont-ils calculés avec exactitude ? Les retenues sont-elles appliquées correctement ? Les données ne sont-elles pas modifiées entre la transmission et le traitement ? → Vous demandez un SOC 1 Type II. Cela teste les contrôles internes qui garantissent l'exactitude et l'intégrité des données financières. ISAE 3402.A6 exige que le prestataire affirme que ses contrôles adressent ce risque spécifique.
Note de documentation : SOC 1 Type II obtenu de Paytec Solutions. Contrôles testés : rapprochement hebdomadaire des fichiers de paie, accès restreint aux paramètres de paie (matrice de contrôle d'accès), tests de réconciliation mensuels entre la paie et le grand livre. Période : 1er janvier 2024 – 31 décembre 2024.
Si vous êtes également préoccupé par : les données de paie sont-elles sécurisées contre les accès non autorisés ? Le prestataire sera-t-il disponible si mon système d'audit externe a besoin de récupérer les fichiers de paie ? Les données confidentielles des employés sont-elles protégées ? → Vous demandez un SOC 2 Type II. Cela teste la sécurité, la disponibilité et la confidentialité en plus de la correction. L'auditeur du prestataire teste les contrôles d'accès informatique, la politique de sauvegarde et récupération, le chiffrement.
Note de documentation : SOC 2 Type II obtenu de Paytec Solutions, critères de confiance : sécurité, disponibilité et confidentialité. Contrôles testés supplémentaires : authentification multifacteurs pour l'accès à distance, RPO (Recovery Point Objective) de 4 heures testé, chiffrement des données au repos, politique de suppression des données rétention 7 ans.
Si le prestataire vous offre un SOC 3, vous pouvez l'accepter comme document de complémentarité, mais rappelez-vous que le rapport est public et donc allégé. Vous aurez moins de détails sur les faiblesses de contrôle ou les exceptions. Pour un audit financier, un SOC 1 Type II est le minimum exigé par ISA 402 (audit des prestataires de services). Un SOC 2 Type II ajoute une certitude supplémentaire sur le contexte informatique et opérationnel.
Étape 2 : Évaluer la couverture.
Une erreur courante : confondre ce qu'un SOC 1 teste avec ce qu'un SOC 2 teste. Un prestataire peut affirmer « Nous avons un SOC 2 » et l'auditeur interne pense « C'est bon, les données financières sont sécurisées ». Pas nécessairement. Un SOC 2 teste la sécurité informatique, mais pas la correction des calculs de paie. Un SOC 1 teste la correction, mais pas la sécurité informatique.
Note de documentation : Vérification : SOC 1 Type II de Paytec Solutions couvre « exactitude du traitement de la paie ». SOC 2 Type II couvre « sécurité et disponibilité ». Les deux sont nécessaires pour réduire le risque lié au prestataire de paie.
Conclusion : Vous avez réduit votre risque de contrôle lié au prestataire de paie car les contrôles d'exactitude (SOC 1) et de sécurité (SOC 2) ont été testés de manière indépendante. Si vous aviez reçu uniquement un SOC 2, vous auriez manqué la certitude sur le calcul de la paie ; si vous aviez reçu uniquement un SOC 1, vous auriez manqué la certitude sur la sécurité informatique.

Ce que les auditeurs et les examinateurs confondent

  • Confondre SOC 1 et SOC 2 dans l'évaluation des risques. L'erreur la plus courante : supposer qu'un SOC 2 « couvre » le contrôle interne financier. Un SOC 2 de type II réussit ne signifie pas que le prestataire traite correctement les données comptables. ISO/IEC 27001 (certains prestataires l'utilisent comme substitut au SOC 2) teste encore moins : il couvre seulement la sécurité de l'information, pas la disponibilité, l'intégrité ou la confidentialité. ISA 402.18 exige que l'auditeur obtienne des preuves suffisantes des contrôles affectant les comptes. Un SOC 1 Type II fournit ces preuves. Un SOC 2 Type II fournit des preuves supplémentaires mais pas suffisantes seul.
  • Accepter un SOC 3 comme preuve d'une efficacité de contrôle. Un SOC 3 est un rapport public, donc l'auditeur indépendant qui l'a délivré a délibérément omis les détails sensibles des faiblesses de contrôle pour éviter la divulgation publique. Un rapport SOC 3 qui dit « tous les contrôles testés fonctionnaient efficacement » ne vous dit pas quels contrôles étaient faibles. Pour les risques importants, exigez un SOC 1 Type II ou SOC 2 Type II confidentiel.
  • Ne pas vérifier la date du rapport SOC. Les rapports SOC 1 et SOC 2 Type II couvrent généralement 6 à 12 mois. Si le rapport couvre janvier-décembre 2023 et que nous sommes en novembre 2024, le rapport a 10 mois de retard sur votre période d'audit. Un nouveau rapport SOC devrait être demandé ou le risque documenté comme augmenté. ISA 402.19(b) exige une certaine concurrence des périodes couvertes.

Termes connexes

  • ISAE 3402 : la norme internationale qui régit les rapports SOC 1 et l'audit des prestataires de services comptables et informatiques.
  • Contrôle interne : le cadre auquel se réfère le rapport SOC 1 pour évaluer si les contrôles du prestataire empêchent ou détectent les erreurs significatives.
  • Risque lié au prestataire : la catégorie de risque que les rapports SOC aident l'auditeur à évaluer en vertu d'ISA 402.
  • Type I vs Type II : la distinction temporelle dans les rapports SOC ; Type I = point in time, Type II = période de temps.
  • Confiance de sécurité : le domaine spécifique couvert par un rapport SOC 2 ou SOC 3.

Utiliser le calculateur SOC

Vous ne savez pas quel rapport SOC demander à votre prestataire ? Notre Calculateur de risque prestataire vous guide à travers les questions clés : les données financières sont-elles traitées ? Avez-vous besoin de preuves de sécurité informatique ? Sur la base de vos réponses, il recommande SOC 1, SOC 2, ou les deux.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.