Definition
Nous voyons rarement un dossier ou le rapport ISAE 3402 Type 1 est utilise correctement. Le scenario typique : revue de fin d'annee, le rapport sur le prestataire de paie est dans le classeur, date du 30 septembre. L'exercice du client clot le 31 decembre. L'equipe a coche la case « rapport recu » et a allege ses tests substantifs sur la paie. Le dossier est trop leger, et personne ne s'en est apercu avant la revue de l'associe.
La these que ce billet defend
Le rapport Type I dit ce que le prestataire avait l'intention de faire au 30 septembre. Il ne dit pas ce qui s'est passe entre le 1er octobre et la cloture. Pourtant la moitie des dossiers que nous voyons s'en servent comme s'il couvrait toute l'annee. C'est du tampon : un document qui rassure l'associe en revue mais qui ne porte aucune assurance operationnelle.
Architecture argumentative retenue : le plaidoyer (these → preuves → contre-argument → refutation → verdict).
Fonctionnement
Ce qui echoue d'abord. Chez nos clients, l'erreur n'est presque jamais dans la lecture du rapport lui-meme. Elle est dans le saut logique qui relie le rapport a la periode d'audit. La direction fournit un Type I date du 30 juin. Le CAC l'ouvre en novembre. Personne dans l'equipe ne pose la question simple : que s'est-il passe entre le 1er juillet et le 31 decembre ?
L'ISA 402 (transposee dans NEP 402) construit deux formats pour attester des controles d'une organisation de services. Le choix entre Type I et Type II depend de deux variables : la duree de la periode couverte et la presence ou l'absence de tests de fonctionnement. Le Type I peut couvrir une seule journee. Le Type II couvre six mois minimum, avec tests d'efficacite operationnelle.
Trois elements doivent figurer dans tout rapport Type I exploitable. La description du systeme du prestataire signee par sa direction. L'opinion du service auditor sur la conception des controles a la date du rapport. La liste des objectifs de controle couverts (les fameux control objectives), avec le scope precis. Quand un de ces trois elements manque, le rapport n'est pas exploitable, point.
Sur le papier, NEP 402.18 vous dit que le CAC evalue si les controles decrits sont concus pour atteindre les objectifs. En pratique : vous lisez la description, vous identifiez les objectifs de controle qui touchent aux assertions de paie ou de tresorerie de votre client, vous comparez aux controles complementaires que le prestataire attend de l'entite utilisatrice (les CUEC, complementary user entity controls), et vous testez chez le client que les CUEC sont reellement en place. C'est ce travail-la qui ne se fait pas dans un dossier sur deux.
Ce que ca signifie en pratique : la norme dit que le CAC evalue. Dans la realite, le CAC reconstitue. Personne n'a prepare le mapping entre les control objectives du Type I et les assertions du programme d'audit. C'est l'equipe du CAC qui le fait, en mars, sous pression de signature. Et c'est le travail que personne n'aime faire.
Un dernier point que les collaborateurs oublient. Un Type I ne se substitue pas a un test de cheminement. Vous devez quand meme valider que les transactions de votre client passent bien par le systeme decrit dans le rapport. La description est generique. Vos clients ne le sont pas.
Exemple pratique : SAS Lavoisier Industries
Client : SAS francaise, exercice clos le 31 decembre 2024, IFRS, chiffre d'affaires consolide 80 M EUR. La paie de 320 salaries est entierement externalisee chez ADP France depuis 2021. Le contrat couvre la production des bulletins, le paiement des salaires nets, les declarations sociales mensuelles, et le calcul des charges patronales.
Le rapport ISAE 3402 Type 1 d'ADP est date du 30 septembre 2024. Il couvre 14 objectifs de controle. Trois sont critiques pour les assertions de paie de Lavoisier : l'autorisation des modifications de paie maitre, le rapprochement entre les fichiers de paie et les ordres de virement, et la restriction d'acces aux donnees salariales.
Etape 1 : identification du scope et des CUEC
Vous ouvrez le rapport. La description du systeme decrit un perimetre carve-out qui exclut l'application de gestion des temps utilisee par Lavoisier en amont. Premier point d'attention : le controle sur la saisie des heures, c'est chez le client, pas chez ADP. Vous le notez. Sur les CUEC, le rapport en liste neuf. Quatre touchent directement la paie : validation des heures par le manager, transmission securisee du fichier, revalidation par le DRH, rapprochement mensuel cote client.
Note de documentation : extraction du rapport ISAE 3402 Type 1 ADP du 30/09/2024, pages 22-24 (description du systeme), pages 41-58 (description des controles), page 67 (CUEC). Mapping CUEC vers programme d'audit Lavoisier joint.
Etape 2 : evaluation de la conception
Vous lisez l'opinion du service auditor (un confrere des Bigs, en l'occurrence). Conclusion sans reserve sur la conception au 30 septembre. Vous tracez les trois objectifs de controle critiques. Pour deux d'entre eux, le rapport indique que les controles ont ete testes uniquement en conception. Pour le troisieme (rapprochement fichier-virement), le rapport mentionne une faiblesse de conception identifiee en juillet, mais la description du remediation plan est absente du dossier. Le prestataire dit avoir corrige. Le rapport ne le decrit pas.
Complication. Vous avez deux sujets sur les bras. D'abord, la periode entre le 1er octobre et le 31 decembre n'est pas couverte. Ensuite, la faiblesse de juillet : vous ne savez pas si la correction etait en place au moment du rapport, ni a la cloture. La direction de Lavoisier vous repond « ADP nous a confirme que c'etait corrige ». Au doigt mouille. Aucun document ecrit, aucune confirmation formelle.
Note de documentation : courriel de la direction du 18 fevrier 2025 confirmant la conversation orale avec ADP. Demande de confirmation ecrite envoyee a ADP le 20 fevrier 2025. Reponse en attente.
Etape 3 : jugement professionnel
Vous etes face a un choix. Option A : accepter le Type I, demander une lettre de confirmation d'absence de changement materiel pour la periode 1er octobre-31 decembre, et completer par des procedures substantives sur la paie (re-execution de trois mois de bulletins, rapprochement avec les declarations URSSAF, confirmation du nombre de salaries). Option B : demander a Lavoisier d'exiger d'ADP un Type II l'annee prochaine, et entre-temps etendre les procedures substantives a six mois.
Vous discutez avec l'associe. Conclusion : option A pour cet exercice (le forfait d'honoraires ne supporte pas l'extension a six mois sans justification renforcee), option B pour 2025 (recommandation formelle dans le rapport de gestion d'audit). La faiblesse de juillet est traitee separement : la confirmation ecrite d'ADP devient une condition preliminaire a la signature.
Conclusion : le rapport Type I est utilisable, mais pas suffisant seul. Le travail substantif additionnel represente 18 heures budgetees, plus 6 heures non prevues sur la faiblesse de juillet. Constat de gestion adresse a la direction : passer a un Type II en 2025.
Type I vs Type II
| Dimension | Type I | Type II |
|---|---|---|
| Periode couverte | Une date precise (un instant) | Six mois consecutifs minimum |
| Tests de fonctionnement | Aucun | Oui ; efficacite operationnelle testee |
| Assurance fournie | Conception au moment du rapport | Conception et fonctionnement sur la periode |
| Usage typique | Nouveau prestataire, evaluation initiale du risque | Reliance sur les controles pour reduire les substantifs |
| Delai habituel d'obtention | 4 a 6 semaines | 6 mois d'observation + 6 a 8 semaines de production |
Ce que les CAC et collaborateurs confondent
Constat d'inspection recent
Les controles de qualite menes par le H2A en 2023-2024 ont identifie des dossiers ou les equipes s'appuyaient sur un rapport Type I sans procedures complementaires sur la periode non couverte. Sur les missions ou un rapport ISAE 3402 etait disponible, environ un tiers des dossiers examines presentaient un mapping insuffisant entre les control objectives du rapport et les assertions du programme d'audit. Ce que ca signifie en pratique : dans un dossier sur trois, le rapport est dans le classeur, mais personne n'a verifie qu'il couvrait bien les risques que le programme cherche a adresser. Ce n'est pas un probleme de norme. C'est un probleme de classeur.
Erreur de norme
Beaucoup de collaborateurs pensent qu'un Type I et un Type II offrent la meme assurance, en supposant simplement que la periode est plus courte sur le Type I. Faux. Le Type I ne fournit aucune assurance sur le fonctionnement. Il atteste uniquement de la conception a une date. NEP 402.20 est explicite : si seul un Type I est disponible, le CAC utilisateur doit mettre en oeuvre des procedures additionnelles pour evaluer si les controles ont fonctionne pendant sa periode d'audit. Cela signifie tester directement le fonctionnement : re-execution des controles cles, examen des journaux d'execution, entretiens documentes avec le personnel du prestataire. Un Type I date du debut de la periode offre peu d'assurance pour la fin.
Pratique documentaire courante
Beaucoup de dossiers mid-tier acceptent la combinaison « Type I + lettre du prestataire confirmant aucun changement » comme si elle equivalait a un Type II. C'est ici que le desaccord legitime apparait entre praticiens experimentes. L'associe A retient une lecture defendable : une lettre formelle du prestataire, signee par sa direction, attestant qu'aucun changement materiel n'est intervenu depuis la date du Type I, peut completer le rapport pour la portion non couverte, a condition que les CUEC soient testes chez le client et que des procedures substantives suffisantes soient menees. L'associe B retient une lecture stricte : aucun substitut a un Type II ; on doit etendre nos travaux substantifs sur la paie sur six mois pleins, sinon on prend un risque que la H2A sanctionnera. Pour moi, l'associe A est tenable sur des prestataires stables (ADP, Sage, paye externalisee chez un cabinet d'EC) avec des CUEC robustes. L'associe B est plus prudent, et plus defendable en inspection si la mission est sur une EIP. Le verdict depend du contexte : la stabilite du prestataire, la qualite des CUEC chez le client, et le profil de risque de la mission.
Pourquoi cet ecart de pratique persiste
Le forfait. C'est le mot qui resume tout. Les directions financieres des ETIs et groupes cotes Compartment B/C qui externalisent leur paie ou leur tresorerie chez des SaaS ne commandent pas spontanement un Type II, parce qu'un Type I coute moins cher au prestataire et arrive plus vite. Du cote CAC, le forfait d'honoraires ne couvre pas naturellement l'extension des substantifs qu'un Type I impose. Resultat : tout le monde sait que le Type I est insuffisant en theorie, personne n'a la pression structurelle pour le remplacer. C'est l'incitation perverse classique en NEP 402, et c'est pour ca que le constat revient identique d'un cycle d'inspection a l'autre.
Insight de second ordre. Un rapport Type I qui couvre la conception au 30 septembre est, en realite, un instantane d'aspirations a une date arbitraire. Le rapport Type II est une mesure de comportement. Toute la difference entre l'audit et le tampon tient dans cette distinction.
Documents connexes
- Rapport de type II : le rapport d'assurance qui couvre le fonctionnement des controles sur une periode definie. - ISAE 3402 : la norme d'assurance internationale qui regit les rapports Type I et Type II. - Controles du prestataire de services : cadre conceptuel pour evaluer les risques lies a l'externalisation d'une fonction. - Audit de la continuite d'exploitation : procedure qui evalue la capacite du prestataire a continuer ses services en cas de perturbation. - Rapport specialise : rapport d'audit qui couvre un sujet specifique plutot que l'ensemble des etats financiers. - Procedures d'audit complementaires : tests que le CAC utilisateur doit effectuer lorsque seul un rapport Type I est disponible.
---