Fonctionnement
L'ISA 402 crée deux formats de rapport pour attester des contrôles au sein des prestataires de services. Le choix entre Type I et Type II dépend de deux variables : la durée de la période couverte et la présence ou l'absence de tests de performance.
Un rapport de Type I décrit les contrôles d'un prestataire à un moment donné dans le temps. La période couverte peut être aussi courte qu'un jour. L'auditeur de la prestataire (l'auditeur du rapport) évalue si les contrôles sont conçus et mis en place de manière à pouvoir réduire les risques pertinents à un niveau faible. Aucun test de fonctionnement n'est effectué. Les constats du rapport reflètent l'état au moment spécifique, pas la performance historique.
Le rapport de Type I est utilisé lorsque l'utilisateur (le client du prestataire) ou son auditeur a besoin de comprendre rapidement comment un prestataire contrôle un processus spécifique. C'est courant pour les intégrations d'ERP très récentes, les nouvelles fonctions partagées, ou lorsqu'un auditeur doit évaluer le risque avant de concevoir ses procédures d'audit. L'ISA 402.18 précise que le rapport doit identifier les risques significatifs et décrire les contrôles conçus pour y répondre, mais aucune assurance n'est donnée quant à l'efficacité réelle à long terme.
Exemple pratique : Bakker Industrial B.V.
Client : Société de holding néerlandaise, 78 M EUR de chiffre d'affaires consolidé, groupe composé de trois entités opérationnelles. La trésorerie groupe est centralisée auprès d'une prestataire de services fintech allemande : Trier Treasury Solutions GmbH.
Étape 1 : Bakker doit d'abord évaluer si un rapport est nécessaire et quel type convient. Le 15 janvier 2025, Bakker a commencé à utiliser Trier pour la gestion centralisée de la trésorerie. Les anciennes procédures manuelles par entité sont supprimées. L'auditeur de Bakker doit être certain que les contrôles de Trier fonctionnent avant de commencer les tests de cycle trésorerie.
Note de documentation : discussion préalable audit avec la direction de Bakker sur la date de demande du rapport et le champ à couvrir.
Étape 2 : Bakker demande à Trier un rapport de Type I au 31 janvier 2025. Un rapport de Type I suffit parce que Bakker a besoin de l'état des contrôles à ce moment-là, pas six mois de données de performance. Trier obtient un auditeur indépendant pour évaluer la conception et la mise en place des contrôles.
Note de documentation : Bakker reçoit le rapport le 14 février. L'auditeur de Trier (Ernst & Young LLP, cabinet anglais, travaillant selon ISA 402) émet un rapport décrivant cinq contrôles clés : approbation des ordres de paiement, conciliation quotidienne balance en banque, restriction d'accès aux flux de trésorerie, séparation des tâches entre saisie et approbation, archivage chiffré des données. Aucune donnée sur la fréquence d'exécution ou les taux d'erreur n'est incluse (caractéristique Type I).
Étape 3 : L'auditeur de Bakker intègre le rapport de Type I à son dossier. Pour chaque contrôle décrit par Trier, il évalue : ce contrôle couvre-t-il le risque que j'ai identifié ? La conception est-elle suffisante pour réduire ce risque à un niveau que je peux tester ?
Note de documentation : procédures analytiques et procédures de confirmation directe auprès des banques de Bakker pour tester indépendamment la complétude et l'exactitude des transactions enregistrées après le 31 janvier. Les contrôles de Trier décrits dans le rapport de Type I réduisent le besoin de tests détaillés de Bakker sur la saisie des données.
Conclusion : Un rapport de Type I émet en 29 jours. Bakker l'a reçu à temps pour planifier ses procédures d'audit. Aucune donnée n'existe sur la manière dont Trier a fonctionné sur six mois, mais ce n'était pas nécessaire au moment de la demande. Si Bakker avait besoin de preuves que les contrôles ont réellement fonctionné pendant le premier trimestre, un rapport de Type II aurait été demandé six semaines après la fin du trimestre.
Ce que les auditeurs et examinateurs confondent
Trouver : Nombreux auditeurs considèrent qu'un rapport de Type I sécurise leur évaluation du risque au même titre qu'un rapport de Type II. Ce n'est pas le cas. Le rapport de Type I ne fournit aucune assurance sur l'efficacité. L'ISA 402.20 exige que si un rapport de Type I seulement est disponible, l'auditeur de l'utilisateur doit mettre en place des procédures additionnelles pour évaluer si les contrôles ont réellement fonctionné pendant sa période d'audit. Cela signifie tester directement la performance : re-exécuter les contrôles clés, examiner les registres de performance, ou interroger le personnel du prestataire. Un rapport de Type I datant du début de la période offre peu d'assurance pour la fin de la période.
Deuxième confusion courante : Les rapports de Type I sont parfois demandés par un utilisateur qui en réalité avait besoin d'un rapport de Type II, mais a opté pour le Type I pour économiser du temps. Six mois plus tard, lorsque l'auditeur de l'utilisateur arrive, il découvre qu'il n'existe aucune donnée sur les défaillances ou anomalies du contrôle. Cette situation force l'auditeur à augmenter le volume de ses procédures substantives, ce qui coûte plus cher que ce qu'auraient coûté six mois de test de Type II dès le départ.
Type I vs Type II
| Dimension | Type I | Type II |
|---|---|---|
| Période couverte | Minimum un jour ; souvent quelques semaines | Minimum six mois consécutifs |
| Tests de performance | Aucun | Oui ; efficacité opérationnelle testée |
| Assurance sur l'efficacité | Aucune sur la performance réelle | Assurance que les contrôles ont fonctionné efficacement pendant la période |
| Utilisation typique | Évaluation rapide d'une nouvelle fonction, évaluation du risque | Justification du recouvrement de tests, réduction du coût des procédures substantives |
| Délai de disponibilité | Court (4–6 semaines) | Long (6+ mois d'exploitation + 4–8 semaines de rapport) |
Quand la distinction compte en mission
Un auditeur rejoint Bakker Industrial le 1er juin 2025 pour conduire l'audit de l'année fiscale se terminant le 31 décembre 2025. La trésorerie est totalement déléguée à Trier depuis le 31 janvier. L'auditeur demande si des rapports ISAE 3402 sont disponibles.
Bakker fournit le rapport de Type I datant du 31 janvier 2025. À ce moment-là, c'était le bon choix : Bakker venait de commencer à utiliser Trier et avait besoin de vérifier rapidement que les contrôles étaient en place. Cependant, entre le 31 janvier et le 1er juin, aucune donnée n'existe sur la manière dont Trier a réellement fonctionné. L'auditeur applique ISA 402.20 : il doit mettre en place des procédures additionnelles. Il demande à Trier la fréquence des défaillances de contrôle sur février-mai, interroge les responsables du contrôle de Bakker sur les problèmes signalés, et ré-exécute trois des cinq contrôles clés sur un mois d'échantillon.
Si Bakker avait demandé un rapport de Type II couvrant février-mai au lieu d'un rapport de Type I au 31 janvier, l'auditeur aurait pu utiliser ce rapport pour réduire les procédures additionnelles. Le rapport de Type II aurait inclus les taux d'exécution du contrôle, les exceptions enregistrées, et les corrections apportées. Coût additionnel pour Bakker : quatre mois d'heures d'audit supplémentaires que un rapport de Type II aurait évités.
Termes connexes
Rapport de Type II : Le rapport d'assurance que couvre la performance d'un contrôle sur une période définie.
ISAE 3402 : La norme d'assurance qui gouverne à la fois les rapports de Type I et Type II.
Contrôles du prestataire de services : Le cadre conceptuel pour évaluer les risques liés à la délégation d'une fonction à un tiers.
Audit de la continuité d'exploitation : Une procédure qui évalue la capacité du prestataire à continuer ses services en cas de perturbation.
Rapport spécialisé : Un rapport d'audit qui couvre un sujet spécifique plutôt que l'ensemble des états financiers.
Procédures d'audit supplémentaires : Les tests que l'auditeur de l'utilisateur doit effectuer lorsqu'un rapport de Type I seulement est disponible.
---