Definition

L'ISA 402 reconnaît que certaines organisations externes fournissent à votre client des services ou des systèmes tellement intégrés qu'un auditeur ne peut pas former une opinion sur la complétude et l'exactitude des états financiers sans évaluer les contrôles de ce prestataire. Cela diffère d'un simple vendeur. Un prestataire de services contrôle une partie du cycle transactionnel de votre client.

Fonctionnement

L'ISA 402 reconnaît que certaines organisations externes fournissent à votre client des services ou des systèmes tellement intégrés qu'un auditeur ne peut pas former une opinion sur la complétude et l'exactitude des états financiers sans évaluer les contrôles de ce prestataire. Cela diffère d'un simple vendeur. Un prestataire de services contrôle une partie du cycle transactionnel de votre client.
L'ISA 402.5 et 402.6 établissent le test : le service ou le système change-t-il la nature, le calendrier ou la présentation des assertions ? Change-t-il la manière dont les transactions sont traitées, enregistrées ou présentées ? Si oui, c'est un prestataire de services au sens de l'ISA 402. Si non, ce n'est pas pertinent pour l'audit, indépendamment de son importance commerciale pour le client.
Par exemple, un prestataire de paie qui traite directement la paie, enregistre les écritures comptables de paie et produit un fichier que votre client importe dans le grand livre est un prestataire de services. Un prestataire qui fournit uniquement des services consultatifs sur la structure de la paie, sans accès au système comptable, n'est généralement pas un prestataire de services au sens de l'ISA 402.
L'ISA 402.13 vous oblige à obtenir une compréhension suffisante des contrôles du prestataire. Vous avez deux chemins : soit vous testez les contrôles chez le prestataire lui-même (approche directe), soit vous obtenez un rapport de type I (description des contrôles et test du fonctionnement pour une période passée) ou un rapport de type II (description des contrôles et test du fonctionnement sur la période d'audit complète). Un rapport ISAE 3402 est la forme standard de ce rapport.

Exemple pratique : Grands Moulins de Provence S.A.

Client : Fabricant français de produits alimentaires transformés, chiffre d'affaires 78 M EUR, rapporteur IFRS.
Étape 1 : Identifier tous les prestataires externes
Vous dressez une liste de tous les services critiques : paie (prestataire externalisé), gestion des stocks (logiciel cloud), comptabilité analytique (consultant interne), transport (prestataire logistique), trésorerie (banque), assurance qualité (consultant externe).
Note de documentation : Tableau récapitulatif des prestataires externes, situé dans le PT d'évaluation des risques.
Étape 2 : Évaluer chacun par rapport au critère ISA 402
Note de documentation : Justification écrite pour chaque décision (oui / non / partiel).
Étape 3 : Pour chaque prestataire identifié, définir votre approche de test
Pour la paie : demander un rapport ISAE 3402 de type II au prestataire, couvrant la période du 1er janvier au 31 décembre 2024. Vérifier que les contrôles clés (séparation des tâches, approbation des taux de paie, rapprochement des bulletins de paie) sont décrits et testés.
Pour la gestion des stocks : contacter le fournisseur du logiciel. Ils ont-ils un rapport de type II ? Si oui, l'obtenir. Si non, évaluer si les contrôles internes de Grands Moulins (vérifications d'interface, tests de rapprochement physique/système) compensent. Si la compensation est insuffisante, tester les contrôles directement chez le fournisseur.
Note de documentation : Copie du rapport ISAE 3402 de type II pour la paie, stockée dans le dossier. Pour le logiciel de stock, mémo décrivant l'approche choisie (rapport ou tests directs) et la justification.
Étape 4 : Évaluer la suffisance
Le rapport ISAE 3402 de type II pour la paie couvre tous les contrôles clés et la période complète. Les écritures de paie testées par l'auditeur interne du prestataire correspondent à l'étendue que vous aviez identifiée. Conclusion : vous avez une assurance suffisante sur les contrôles du prestataire paie.
Pour le logiciel de stock, vous avez testé trois rapprochements clés entre le système et le grand livre durant l'année. Les trois rapprochements ont été préparés et approuvés selon le processus de contrôle interne du client. Conclusion : vous avez réduit suffisamment le risque inhérent et la nécessité de tester d'autres contrôles chez le prestataire.
Note de documentation finale : Conclusion écrite dans le PT de synthèse des procédures concernant les prestataires de services, indiquant que les contrôles clés ont été testés et que le risque lié aux assertions de paie et de stock a été réduit à un niveau acceptable.

  • Paie : le prestataire enregistre-t-il les écritures de paie dans le grand livre ? Oui. Est-ce un prestataire de services ? Oui.
  • Gestion des stocks : le logiciel cloud enregistre-t-il les mouvements de stock et produit-il un fichier d'interface vers le grand livre ? Oui. Est-ce un prestataire de services ? Oui.
  • Consultant en comptabilité analytique : fournit-il une comptabilité non intégrée au grand livre général ? Non, il ne produit pas d'écritures comptables directes. Est-ce un prestataire de services ? Non.
  • Banque : enregistre-t-elle les transactions de trésorerie et fournit-elle des données pour le rapprochement bancaire ? Oui, mais vous obtenez directement les relevés bancaires et testez le rapprochement. Prestataire de services ? Peut-être partiel, mais généralement non aux fins de l'ISA 402, car les contrôles vous appartiennent (rapprochement).
  • Prestataire logistique : affecte-t-il les assertions de stock ou de chiffre d'affaires ? Non directement, car les marchandises sont toujours enregistrées par Grands Moulins. Prestataire de services ? Non.

Ce que les auditeurs et les contrôleurs de qualité confondent

  • Erreur Tier 1 (constat d'inspection observable) : Dans les dossiers d'audit de sociétés mid-tier, les inspecteurs ont fréquemment constaté que le prestataire de paie était identifié mais qu'aucun rapport ISAE 3402 n'avait été obtenu ou testé, et que les procédures analytiques seules avaient été utilisées pour réduire le risque de paie. Cela viole l'ISA 402.13, qui exige une compréhension suffisante des contrôles. Les procédures analytiques complètent les tests de contrôle, elles ne les remplacent pas.
  • Erreur Tier 2 (erreur courante liée à la norme) : Confusion entre "prestataire de services" et "fournisseur important". Beaucoup d'équipes demandent des rapports ISAE 3402 pour tous les grands fournisseurs (transport, énergie, matières premières), alors qu'ils ne répondent pas au critère de l'ISA 402.5 (l'absence de contrôle du prestataire n'affecte pas la fiabilité des assertions). Ce surcout d'audit nuit à l'efficacité. L'ISA 402.A1 à A6 clarifient que le critère est fonctionnel, pas financier.
  • Erreur Tier 3 (écart de pratique documenté) : Défaut de documentation explicite de la décision concernant l'identification des prestataires de services. Beaucoup de dossiers contiennent une liste de prestataires avec une case cochée "oui / non", mais sans justification écrite ou référence au critère ISA 402.5. Cette absence de documentation crée un risque lors d'une revue d'inspection : l'inspecteur ne peut pas vérifier que le jugement était fondé.

Comparaison : Prestataire de services vs. Client affecté par des services

Un prestataire de services est celui qui fournit le service. Un client qui confie une fonction critique à un prestataire de services doit faire l'objet d'une évaluation spécifique par l'auditeur du client. Cette évaluation porte sur la capacité du client à surveiller et contrôler le prestataire, pas simplement à faire fonctionner son propre système comptable.
Par exemple, si Grands Moulins confie sa paie à un prestataire externe, le prestataire est le "prestataire de services" (sujet d'un rapport ISAE 3402). Grands Moulins est le client auditeur qui évalue comment son prestataire affecte ses états financiers. Ce sont deux rôles différents.
L'auditeur de Grands Moulins doit évaluer : (1) la compréhension des contrôles du prestataire paie (ISA 402.13), et (2) les contrôles de Grands Moulins pour surveiller le prestataire (rapprochements, exceptions, approbation des paies de fin de mois). Les deux niveaux de contrôle sont pertinents.

Termes connexes

  • ISAE 3402 : rapport d'audit sur les contrôles d'un prestataire de services. Type I décrit les contrôles. Type II teste leur fonctionnement sur une période.
  • Rapport de type II : rapport ISAE 3402 qui couvre une période d'audit complète et teste que les contrôles ont effectivement fonctionné.
  • Rapport de type I : rapport ISAE 3402 qui décrit les contrôles mais ne les teste que sur une courte période ou pas du tout.
  • Séparation des tâches : contrôle clé souvent évalué chez les prestataires de services pour s'assurer que nul n'a à la fois la responsabilité de saisir et d'approuver les transactions.
  • Audit des contrôles : approche utilisée pour évaluer l'efficacité des contrôles internes d'un prestataire de services.
  • Assertion : affirmation implicite ou explicite de la direction concernant une classe de transactions ou un solde de compte. L'ISA 402 exige que le service du prestataire affecte une assertion pour justifier son évaluation.
  • Contrôle interne : processus conçu pour assurer l'exhaustivité, l'exactitude et l'autorisation des transactions. L'auditeur évalue les contrôles du prestataire par le biais d'un rapport ISAE 3402 ou de tests directs.

Utiliser la Checklist d'évaluation des prestataires de services

Le questionnaire d'évaluation des prestataires de services de ciferi guide votre identification systématique et votre classification de chaque prestataire externe. Il inclut le critère ISA 402.5, les questions pour déterminer si un rapport ISAE 3402 est nécessaire, et un modèle de justification pour documenter votre décision.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.