Definition
Dans les dossiers que nous voyons, l'équipe accepte presque toujours le classeur que le prestataire de services lui tend, sans interroger la période couverte ni le type de rapport. Le réflexe par défaut consiste à considérer un type I comme suffisant dès lors qu'il existe, alors même que la mission repose sur l'efficacité opérationnelle des contrôles du prestataire pendant l'exercice audité.
Tableau comparatif : type I vs type II
| Dimension | Type I | Type II |
|---|---|---|
| Période couverte | Généralement 3 à 6 mois | 6 mois minimum, souvent 12 mois |
| Évaluation de la conception | Oui, à une date donnée | Oui, tout au long de la période |
| Évaluation de l'efficacité opérationnelle | Non. Les contrôles existent, mais l'auditeur ne teste pas s'ils ont fonctionné | Oui. Tests de fonctionnement et résultats observés pendant la période |
| Nombre de transactions testées | Zéro. Examen des politiques et procédures uniquement | Plusieurs mois de données transactionnelles réelles |
| Risque d'audit réduit | Réduit uniquement si les auditeurs utilisateurs procèdent à des tests complémentaires | Réduit de manière significative, l'auditeur utilisateur peut réduire ses tests substantifs |
| Coût typique pour le prestataire | Moins élevé. Travail de conception et d'enquête | Plus élevé. Nécessite des tests opérationnels sur plusieurs mois |
| Acceptation par les utilisateurs | Limitée. La plupart des auditeurs externes exigent un type II ou acceptent à titre subsidiaire | Standard du marché pour les prestataires de services importants |
Quand cette distinction compte en mission
Un auditeur évalue un fournisseur de services cloud qui gère le traitement des salaires pour un portefeuille de clients européens. Le fournisseur propose un rapport ISAE 3402 de type I, daté de juillet 2024, couvrant six semaines. L'auditeur doit décider s'il peut s'en tenir à ce rapport ou s'il doit exiger un type II.
Selon l'ISAE 3402.A7, un rapport de type I documente uniquement la conception et l'existence des contrôles à un moment donné. Le rapport du fournisseur affirme que « la séparation des fonctions entre les approbateurs et les exécutants est conçue et existe ». Cela signifie que les rôles d'utilisateur sont configurés dans le système et que la politique de séparation des fonctions est documentée. Mais pendant les six semaines couvertes, cette séparation a-t-elle réellement fonctionné ? Des approbateurs ont-ils contourné les contrôles ? Des incidents de sécurité ont-ils été gérés selon la procédure prévue ? Le rapport de type I ne le dit pas.
L'auditeur doit alors évaluer son propre risque d'audit. S'il accepte le rapport de type I sans tests supplémentaires, il accepte un risque accru que les contrôles du fournisseur n'aient pas fonctionné comme prévu. L'ISAE 3402.19 exige que l'auditeur responsable évalue si les informations dans le rapport de type I sont suffisantes pour réduire son risque de fraude ou d'erreur. Dans les dossiers que nous voyons, la réponse est non. L'auditeur procédera à des tests substantifs complémentaires (examen de dossiers de traitement des salaires, entretiens avec le personnel du fournisseur, inspection des journaux de contrôle d'accès) pour compenser l'absence de preuves d'efficacité opérationnelle.
Un rapport de type II, en revanche, aurait couvert une période de 12 mois. Le même auditeur aurait pu voir des résultats réels : nombre d'exceptions de séparation des fonctions détectées, processus de résolution appliqué à chacune, tendance des incidents de sécurité sur la période, et preuves échantillonnées pour chaque mois. Avec ces preuves, son risque d'audit aurait pu être ramené à un niveau acceptable sans tests supplémentaires aussi extensifs.
Là où le jugement commence : la décision n'est pas « type I ou type II » dans l'absolu, mais « le type I que j'ai en main couvre-t-il la période et les contrôles dont mon opinion dépend, et si non, quelle quantité de procédures de gap suis-je prêt à exécuter pour combler l'écart ? » Le type I réduit le travail d'audit du prestataire et déplace ce travail vers l'auditeur utilisateur. Le type II déplace le travail vers le prestataire et réduit considérablement le volume de tests que l'auditeur utilisateur doit effectuer.
Quand deux associés signataires divergent raisonnablement
Sur un même dossier, deux associés expérimentés ne tranchent pas toujours dans le même sens. L'associé A accepte un rapport de type I daté du 30 septembre, complété par une lettre de représentation de la direction du prestataire confirmant qu'aucun changement significatif n'est intervenu depuis cette date, dès lors que la composante du prestataire pèse moins de 10 % des comptes audités et que les contrôles compensatoires chez le client sont robustes. Pour lui, le rapport de type I plus les représentations plus les tests compensatoires forment un faisceau de preuves suffisant à coût raisonnable. L'associé B insiste pour obtenir un type II couvrant l'intégralité de l'exercice du client, ou à défaut un rapport de type II plus une bridge letter pour la période non couverte. Son raisonnement : l'ISAE 3402.19 exige une évaluation explicite des preuves d'efficacité opérationnelle, et une lettre de représentation de la direction du prestataire n'est pas une preuve d'audit au sens de l'ISA 500. Les deux positions tiennent debout en revue, et la H3C ne tranche pas mécaniquement en faveur de l'une ou de l'autre. Ce qui se passe en pratique, je l'avoue, c'est que la position retenue dépend autant du budget temps disponible que du risque réel.
Ce que les auditeurs et les inspecteurs ne comprennent pas
- La FRC (Financial Reporting Council) a constaté dans ses rapports d'inspection 2023-2024 que plus de 40 % des auditeurs qui acceptaient un rapport de type I ne complétaient pas suffisamment les tests de contrôle chez le fournisseur de services. L'ISAE 3402.19 exige une évaluation documentée du risque accepté. La plupart des dossiers examinés présentaient une acceptation implicite du rapport sans évaluation écrite.
- Les auditeurs confondent fréquemment « existence » avec « efficacité ». L'ISAE 3402.8 distingue clairement les deux. Un contrôle peut exister (la politique existe, le rôle d'utilisateur est configuré) mais ne pas fonctionner (les approbateurs contournent le contrôle de routine, les éléments configurés ne sont jamais exécutés). Un rapport de type I ne vous dit rien sur cette dernière catégorie.
- L'incitation perverse vient des deux côtés. Les prestataires de services facturent un rapport de type II nettement plus cher qu'un type I (souvent deux à trois fois le prix), et présentent le type I comme « équivalent » lors des appels d'offres pour décrocher le mandat. Côté cabinet, le budget temps de la mission est souvent fixé en supposant qu'un rapport de type II sera fourni : quand il ne l'est pas, l'équipe n'a ni le temps ni le forfait pour exécuter les procédures de gap qui s'imposent. Le résultat structurel : le rapport de type I est accepté au doigt mouillé, et l'évaluation documentée que l'ISAE 3402.19 exige se résume à un paragraphe générique copié d'un dossier précédent.
Termes associés
- ISAE 3402 : la norme qui gouverne les rapports de fournisseurs de services et distingue les deux types. - Efficacité opérationnelle des contrôles : ce qu'un type I ne teste pas et ce qu'un type II teste obligatoirement. - Risque d'audit lié aux fournisseurs : la raison pour laquelle le choix entre type I et type II compte pour votre évaluation du risque d'audit global. - Rapports de fournisseurs de services : le contexte plus large dans lequel un rapport ISAE 3402 est produit. - Tests de contrôle : ce que l'auditeur utilisateur doit souvent effectuer pour compenser un rapport de type I. - Avis sur les contrôles de l'organisation de services : la conclusion que l'auditeur spécialisé exprime dans chaque type.
Outil de calcul d'efficacité des fournisseurs de services
Le calculateur de risque des fournisseurs de services ciferi.com vous aide à décider si un rapport de type I est suffisant pour votre mission ou si vous devez exiger un type II. En entrant le type de fournisseur (traitement des salaires, cloud, banque de données), la criticité de la fonction, et les contrôles clés identifiés, l'outil produit une évaluation du risque résiduel et une recommandation quant aux tests de contrôle complémentaires que vous devez effectuer.
Accéder au calculateur de risque fournisseur
---