Definition

| Dimension | Type I | Type II |

Tableau comparatif : Type I vs Type II

| Dimension | Type I | Type II |
|-----------|--------|---------|
| Période couverte | Généralement 3 à 6 mois | 6 mois minimum, souvent 12 mois |
| Évaluation de la conception | Oui, à une date donnée | Oui, tout au long de la période |
| Évaluation de l'efficacité opérationnelle | Non. Les contrôles existent, mais l'auditeur ne teste pas s'ils ont fonctionné | Oui. Tests de fonctionnement et résultats observés pendant la période |
| Nombre de transactions testées | Zéro. Examen des politiques et procédures uniquement | Plusieurs mois de données transactionnelles réelles |
| Risque d'audit réduit | Réduit uniquement si les auditeurs utilisateurs procèdent à des tests complémentaires | Réduit de manière significative, l'auditeur utilisateur peut réduire ses tests substantifs |
| Coût typique pour le prestataire | Moins élevé. Travail de conception et d'enquête | Plus élevé. Nécessite des tests opérationnels sur plusieurs mois |
| Acceptation par les utilisateurs | Limitée. La plupart des auditeurs externes exigent un type II ou acceptent à titre subsidiaire | Standard du marché pour les prestataires de services importants |

Quand cette distinction compte en mission

Un auditeur évalue un fournisseur de services cloud qui gère le traitement des salaires pour un portefeuille de clients européens. Le fournisseur propose un rapport ISAE 3402 de type I, daté de juillet 2024, couvrant six semaines. L'auditeur doit décider s'il peut s'en tenir à ce rapport ou s'il doit exiger un type II.
Selon l'ISAE 3402.A7, un rapport de type I documente uniquement la conception et l'existence des contrôles à un moment donné. Le rapport du fournisseur affirme que « la séparation des fonctions entre les approbateurs et les exécutants est conçue et existe ». Cela signifie que les rôles d'utilisateur sont configurés dans le système et que la politique de séparation des fonctions est documentée. Mais pendant les six semaines couvertes, cette séparation a-t-elle réellement fonctionné ? Des approbateurs ont-ils contourné les contrôles ? Y a-t-il eu des incidents de sécurité qui ont été gérés ? Le rapport de type I ne le dit pas.
L'auditeur doit alors évaluer son propre risque d'audit. S'il accepte le rapport de type I sans tests supplémentaires, il accepte un risque accru que les contrôles du fournisseur n'aient pas fonctionné comme prévu. L'ISAE 3402.19 exige que l'auditeur responsable évalue si les informations dans le rapport de type I sont suffisantes pour réduire son risque de fraude ou d'erreur. Dans la plupart des cas, la réponse est non. L'auditeur procédera à des tests substantifs complémentaires (examen de dossiers de traitement des salaires, entretiens avec le personnel du fournisseur, inspection des journaux de contrôle d'accès) pour compenser l'absence de preuves d'efficacité opérationnelle.
Un rapport de type II, en revanche, aurait couvert une période de 12 mois. Le même auditeur aurait pu voir des résultats réels : nombre d'exceptions de séparation des fonctions détectées, processus de résolution appliqué à chacune, tendance des incidents de sécurité sur la période. Avec ces preuves, son risque d'audit aurait pu être ramené à un niveau acceptable sans tests supplémentaires aussi extensifs.
Conclusion : Le type I réduit le travail d'audit du fournisseur de services mais augmente le travail de l'auditeur utilisateur. Le type II déplace le travail vers le fournisseur et réduit considérablement le volume de tests que l'auditeur utilisateur doit effectuer.

Ce que les auditeurs et les inspecteurs ne comprennent pas

  • La FRC (Financial Reporting Council) a constaté dans ses rapports d'inspection 2023-2024 que plus de 40 % des auditeurs qui acceptaient un rapport de type I ne complétaient pas suffisamment les tests de contrôle chez le fournisseur de services. L'ISAE 3402.19 exige une évaluation documentée du risque accepté. La plupart des dossiers examinés présentaient une acceptation implicite du rapport sans évaluation écrite.
  • Les auditeurs confondent fréquemment « existence » avec « efficacité ». L'ISAE 3402.8 distingue clairement les deux. Un contrôle peut exister (la politique existe, le rôle d'utilisateur est configuré) mais ne pas fonctionner (les approbateurs contournent le contrôle de routine, les éléments configurés ne sont jamais exécutés). Un rapport de type I ne vous dit rien sur cette dernière catégorie.
  • Pour les prestataires de services mid-tier, le choix entre un type I et un type II est souvent dicté par le budget client, pas par le risque réel. Bon nombre de prestataires proposent d'abord un type I parce que c'est moins coûteux, puis acceptent un type II si le client l'exige. À l'inverse, certains auditeurs acceptent un type I pour des raisons de calendrier (le rapport est disponible plus tôt) sans reconnaître que l'absence de preuves d'efficacité augmente leur propre risque d'audit.
  • L'ISAE 3402.A14 exige que la période couverte par le rapport de type II soit alignée avec la période d'audit de l'utilisateur. Un rapport de type II couvrant janvier à juin est insuffisant pour un audit couvrant l'année complète. L'auditeur doit alors soit obtenir un rapport complémentaire pour juillet à décembre, soit effectuer des tests supplémentaires pour la période non couverte. L'absence de cette couverture temporelle est un constat récurrent des inspections.

Termes associés

  • ISAE 3402 : la norme qui gouverne les rapports de fournisseurs de services et distingue les deux types.
  • Efficacité opérationnelle des contrôles : ce qu'un type I ne teste pas et ce qu'un type II teste obligatoirement.
  • Risque d'audit lié aux fournisseurs : la raison pour laquelle le choix entre type I et type II compte pour votre évaluation du risque d'audit global.
  • Rapports de fournisseurs de services : le contexte plus large dans lequel un rapport ISAE 3402 est produit.
  • Tests de contrôle : ce que l'auditeur utilisateur doit souvent effectuer pour compenser un rapport de type I.
  • Avis sur les contrôles de l'organisation de services : la conclusion que l'auditeur spécialisé exprime dans chaque type.

Outil de calcul d'efficacité des fournisseurs de services

Le calculateur de risque des fournisseurs de services ciferi.com vous aide à décider si un rapport de type I est suffisant pour votre mission ou si vous devez exiger un type II. En entrant le type de fournisseur (traitement des salaires, cloud, banque de données), la criticité de la fonction, et les contrôles clés identifiés, l'outil produit une évaluation du risque résiduel et une recommandation quant aux tests de contrôle complémentaires que vous devez effectuer.
Accéder au calculateur de risque fournisseur
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.