Fonctionnement

L'ISAE 3402 crée deux catégories de rapports pour les prestataires de services. Un rapport de Type I (ISAE 3402.34) décrit la conception et l'existence des contrôles à une date donnée. généralement la date d'audit ou de clôture. Un rapport de Type II (ISAE 3402.35–41) va plus loin. Il décrit non seulement les contrôles, mais aussi comment ils ont fonctionné réellement pendant une période d'exploitation. Cette période doit être suffisamment longue pour que l'auditeur puisse évaluer l'efficacité opérationnelle. L'ISAE 3402.A46 indique que six mois minimum est généralement approprié, mais la période peut être plus longue selon la nature du processus et la fiabilité requise.
L'auditeur d'un rapport Type II sélectionne un échantillon de transactions ou d'événements qui ont traversé chaque contrôle pendant cette période et teste si le contrôle a produit le résultat prévu. Si un contrôle ne fonctionne pas comme prévu dans plus d'un cas isolé, cela doit être signalé. Un défaut d'efficacité d'un contrôle clé doit être inclus dans les constatations du rapport (ISAE 3402.40). Cela peut influencer considérablement la façon dont l'utilisateur du rapport (typiquement l'auditeur du prestataire) ajuste son approche d'audit.
La distinction entre Type I et Type II n'est pas académique. Les deux rapports servent des fins différentes. Un Type I répond à la question : « ces contrôles existent-ils et sont-ils conçus correctement ? » Un Type II répond à : « ces contrôles ont-ils réellement empêché ou détecté les erreurs au cours des six derniers mois ? »

Exemple concret : Prestataire de services de paie européenne

Client : Altis Paie S.A.R.L., entreprise de traitement de la paie basée à Lyon, France. Environs 50 salariés, 2 500 clients, chiffre d'affaires annuel de 8,2 M EUR. Rapporte selon IFRS pour les besoins de consolidation de ses utilisateurs.
Contexte : Six auditeurs de cabinets de taille intermédiaire (cabinets régionaux français et belges) utilisent les rapports ISAE 3402 d'Altis pour évaluer le risque de fiabilité des données de paie de leurs propres clients. Altis a demandé un rapport Type II couvrant la période du 1er janvier au 30 juin 2024.
Étape 1 : Sélection des contrôles clés à tester
L'auditeur d'Altis a identifié quatre contrôles clés dans le cycle de traitement de la paie : (1) validation de la masse salariale brute par rapport aux feuilles de temps dans le système RH ; (2) vérification que seules les modifications de données salariales autorisées sont traitées ; (3) rapprochement des montants nets des salaires payés par rapport à l'ordre de paiement bancaire ; (4) archivage des bulletins de paie avec horodatage et identification du processeur.
Note de documentation : Le rapport Type II identifie d'abord les contrôles pertinents pour les utilisateurs (ceux qui réduisent le risque de fraude, d'erreur de calcul ou de non-conformité aux règlements fiscaux). L'ISAE 3402.A27 exige que la description des contrôles soit suffisamment détaillée pour permettre à l'utilisateur d'évaluer leur pertinence.
Étape 2 : Conception du plan de test
Pour chaque contrôle, l'auditeur a défini un échantillon testable. Pour le contrôle (1), validation de la masse salariale brute : 40 cycles de paie sur les 26 du semestre (soit un peu plus d'une année de données) ont été sélectionnés. Pour le contrôle (4), archivage des bulletins : une sélection systématique de 80 bulletins parmi les 195 000 générés au cours de la période.
Note de documentation : La dimension de l'échantillon n'est pas déterminée par une formule ISA (l'ISAE 3402 n'utilise pas d'échantillonnage d'audit formel comme ISA 530), mais par le jugement professionnel sur la suffisance des éléments probants. L'ISAE 3402.A49 indique que la taille de l'échantillon et la méthode de sélection doivent être documentées.
Étape 3 : Exécution des tests
Pour le contrôle (1), l'auditeur a obtenu 38 des 40 ordres de modification de masse salariale et a rapproché la brute à la feuille de temps source. Deux cycles (février et mai) présentaient des écarts (brute supérieure de 0,3 % et 0,1 % respectivement) qui n'avaient pas été détectés ni corrigés par le contrôle de validation. Le responsable de la paie avait saisi les données manuellement avant la comparaison automatisée, créant une fenêtre temporelle où les erreurs n'étaient pas contrôlées.
Pour le contrôle (4), archivage, tous les 80 bulletins échantillonnés étaient horodatés et identifiés de façon cohérente, sans exception.
Note de documentation : Les résultats des tests (incluant les exceptions) sont documentés dans le rapport Type II section D. L'ISAE 3402.40 exige que tout contrôle jugé inefficace (c'est-à-dire où des défauts ont été observés) soit identifié comme tel. Une efficacité partielle (deux exceptions sur 40 tests) est généralement considérée comme un défaut suffisamment significatif pour être signalé.
Étape 4 : Évaluation de l'efficacité opérationnelle
L'auditeur a conclu que le contrôle (1) présentait une défaillance opérationnelle modérée. Bien que le mécanisme existait et était conçu correctement, l'exécution a permis à deux écarts de ne pas être détectés avant que la paie soit finalisée et payée. Le contrôle (2) sur les modifications de données salariales était efficace (zéro exception sur 35 tests). Le contrôle (3) était également efficace. Le contrôle (4) était efficace.
Note de documentation : Le rapport Type II exprime explicitement la conclusion sur chaque contrôle testé. L'ISAE 3402.41 exige une déclaration sur la fiabilité du contrôle au cours de la période. La conclusion est généralement présentée comme : « Sur la base des tests effectués, nous avons observé que [le contrôle] a fonctionné de façon efficace pour atteindre l'objectif de contrôle établi au cours de la période du 1er janvier au 30 juin 2024, sauf pour les défauts documentés à la section [X]. »
Conclusion : Le rapport Type II d'Altis a inclus un constat : le contrôle de validation de la masse salariale présentait une inefficacité opérationnelle identifiée. Les auditeurs des 50 clients d'Altis qui utilisent ce rapport doivent maintenant ajuster leur évaluation du risque d'anomalies de paie chez chacun de ces clients, ou implémenter des procédures supplémentaires pour vérifier que les montants de paie reçus correspondent aux directives convenues. Certains cabinets ont décidé d'effectuer un rapprochement détaillé des bulletins individuels pour deux mois du semestre testé ; d'autres ont élargir l'évaluation du risque de contrôle relatif à la saisie de données. La divulgation d'une inefficacité de contrôle modifie la manière dont les utilisateurs utilisent le rapport.

Ce que les auditeurs et les réviseurs se trompent

  • Confusion entre période d'observation et période de fonctionnement réel : Un rapport Type II qui couvre seulement trois mois est insuffisant selon l'ISAE 3402.A46. Plusieurs cabinets acceptent des rapports couvrant une « période sélectionnée » sans vérifier que la durée était suffisante pour évaluer l'efficacité. L'ISAE 3402.35 exige que la période soit longue « pour permettre à l'auditeur de dresser des conclusions sur l'efficacité opérationnelle. » Trois mois peuvent être insuffisants si les contrôles tournent ou si les transactions sont saisonnières.
  • Acceptation d'un rapport sans constatations sans vérifier la couverture des tests : Un rapport Type II sans défauts signalés peut indiquer soit une véritable efficacité, soit une insuffisance des tests. L'ISAE 3402.A49 note que le jugement sur la suffisance des éléments probants s'appuie sur le type de contrôle, sa fréquence d'exécution, et l'importance des risques adressés. Un auditeur qui accepte un rapport attestant de 100 % d'efficacité sans examiner le plan de test peut rater des contrôles testé sur un petit échantillon ou dans des conditions non représentatives.
  • Absence de recalibrage du risque de contrôle après identification de défauts dans le rapport Type II : L'ISAE 3402 n'émet pas une conclusion globale « approuvé » ou « réjeté ». Elle énumère l'efficacité de chaque contrôle. Certains auditeurs lisent « inefficacité identifiée pour le contrôle X » et ignorent d'ajuster leur évaluation du risque de contrôle au niveau du groupe de transactions affecté par le contrôle X. Le standard exige une conclusion explicite sur la fiabilité de chaque contrôle au cours de la période (ISAE 3402.41): ce qui doit conduire à une modification de l'approche d'audit.

Rapport de Type II vs. Rapport de Type I

| Dimension | Type I | Type II |
|---|---|---|
| Moment couvert | Une date (p. ex. 31 décembre 2024) | Une période (p. ex. 1er janvier – 30 juin 2024) |
| Objet de l'évaluation | Existence et conception des contrôles | Efficacité opérationnelle réelle |
| Cible d'audit | Description de contrôles + tests de conception | Description + tests de fonctionnement (échantillonnage de transactions) |
| Conclusion | Contrôles conçus correctement pour adresser les risques | Contrôles ont fonctionné efficacement pour adresser les risques au cours de la période |
| Durée du rapport | 4–8 pages généralement | 8–20 pages généralement (résultats des tests détaillés) |
| Utilité pour l'auditeur du client | Planification : identification des contrôles existants | Exécution : ajustement du risque de contrôle basé sur l'efficacité observée |
| Risque de sur-reliance | Plus élevé (absence de preuve de fonctionnement réel) | Réduit (preuve basée sur des transactions réelles) |

Quand la distinction compte dans une mission

Un auditeur des comptes annuels d'une entreprise cliente utilise les services d'un prestataire de traitement de paie ou de traitement des paiements clients. À la planification, l'auditeur évalue si le prestataire possède un rapport ISAE 3402. Si le prestataire dispose uniquement d'un rapport de Type I daté de septembre 2023, et qu'il n'y a pas eu d'audit des contrôles depuis, l'auditeur sait que :
L'auditeur ne peut pas baisser le risque de contrôle au-dessous d'un seuil minimum sur la base d'un rapport Type I seul, car il n'y a pas de preuve que les contrôles ont fonctionné. Si au lieu de cela le prestataire fournit un rapport Type II couvrant janvier–juin 2024, l'auditeur dispose de preuve de fonctionnement réel pendant six mois. Cette preuve permet à l'auditeur de baisser le risque de contrôle pour le groupe de transactions couvert par les contrôles testés et efficaces. La différence entre Type I et Type II modifie directement le volume de procédures substantives que l'auditeur doit effectuer.

  • Les contrôles existaient et étaient conçus correctement en septembre 2023 ; mais
  • Aucune preuve n'existe sur leur fonctionnement au cours des 12 mois suivants.

Termes connexes

  • ISAE 3402 : Norme d'audit d'assurance définissant à la fois les rapports de Type I et Type II pour les prestataires de services.
  • Rapport de Type I : Rapport ISAE 3402 décrivant les contrôles à une date donnée sans tester leur efficacité opérationnelle.
  • Rapport d'assurance : Catégorie large incluant les rapports d'audit, les examens limités, et les rapports ISAE 3402 Type I et Type II.
  • Risque de contrôle : Risque qu'une anomalie significative ne soit pas prévenue ou détectée par les contrôles d'une entité ou d'un prestataire.
  • Efficacité opérationnelle : Mesure dans laquelle un contrôle a fonctionné comme prévu au cours d'une période donnée.
  • Prestataire de services : Entité externe qui traite, enregistre ou effectue d'autres services affectant les données financières d'un client.

Description meta

Un rapport de Type II documente l'efficacité opérationnelle réelle des contrôles d'un prestataire au cours d'une période spécifiée, permettant à l'auditeur du client de baisser le risque de contrôle. Régi par ISAE 3402.35–41.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.