Fonctionnement

L'ISA 402 s'applique quand une entité utilisatrice externalise une activité significative liée à l'audit. Cela ne signifie pas que l'activité doit être externalisée. elle peut être exercée en interne par un service partagé. Cela signifie qu'un prestataire externe, un filiale, ou une unité administrative distincte fournit un service dont les défaillances pourraient produire une anomalie significative dans les états financiers.
Vous en tant qu'auditeur de l'entité utilisatrice ne contrôlez pas directement le prestataire de services. Vous auditez l'entité qui a confié une partie de ses opérations ou de ses contrôles internes. La question clé : quels sont les risques de contrôle qui découlent de cette externalisation ? L'ISA 402.13 vous oblige à considérer si une procédure d'audit ou un rapport du prestataire de services (c'est-à-dire un audit ISA 402 ou un rapport d'audit interne) est pertinent pour votre compréhension des contrôles internes de l'entité utilisatrice.
Le cadre se divise en deux voies. La première : vous examinez le travail d'un auditeur qui a réalisé un audit ISA 402 du prestataire de services. Cette voie s'appelle « Type B ». La deuxième : vous effectuez vos propres procédures chez le prestataire (accès direct, confirmation, observation, tests d'éléments probants). Cette voie s'appelle « Type A ». La plupart des équipes utilisent une combinaison des deux.
L'ISA 402.16 énonce que vous devez évaluer si les contrôles du prestataire de services fournissent une base suffisante pour l'opinion sur les contrôles internes. Sinon, vous devez concevoir et exécuter des procédures supplémentaires pour réduire le risque d'audit à un niveau acceptable.

Exemple pratique : Acme Logistics B.V.

Client : Acme Logistics B.V., société néerlandaise de logistique, revenus 2024 de 180 M EUR, rapporteur sous les IFRS. Le client externalise tous ses traitements de paie et avantages sociaux auprès de Neubauer HR Solutions, un prestataire spécialisé. Neubauer traite les paies mensuelles de 450 collaborateurs, génère tous les registres de paie, effectue les retenues à la source, et produit les déclarations de cotisations sociales aux autorités néerlandaises.
Étape 1 : Identifier l'externalisation significative
Vous évaluez : la paie représente un risque pour les assertions « débours » et « exhaustivité » dans les passifs de paie et les charges. Neubauer est un prestataire de services au sens de l'ISA 402.
Note de documentation : dans le papier de travail d'évaluation des risques, documenter l'identification du prestataire, le type de service, et pourquoi son défaillance pourrait produire une anomalie significative.
Étape 2 : Décider si un audit ISA 402 du prestataire existe
Vous découvrez que Neubauer a réalisé un audit interne selon les normes IIA, mais n'a pas commandé d'audit ISA 402 du prestataire. Les propriétaires du client confirmez : aucun audit Type B disponible. Vous devrez suivre la voie Type A.
Note de documentation : enregistrer que le prestataire ne fournit pas de rapport ISA 402 ; confirmer auprès de la direction qu'un rapport Type B n'est pas disponible ou n'est pas commandé.
Étape 3 : Concevoir des procédures Type A
Vous programmez une visite chez Neubauer pour observer le processus de paie (génération du fichier, approbation des modifications, traitement des retenues). Vous collectez un échantillon de 25 paies mensuelles sur les 12 mois (février, mai, août, novembre, janvier) et vérifiez l'exactitude des calculs de salaire brut, des retenues à la source et des cotisations sociales par rapport aux contrats d'emploi et aux taux d'imposition en vigueur.
Note de documentation : dans le papier de travail de test des contrôles du prestataire, enregistrer la nature et la date des procédures, les résultats de l'observation du processus, et le résultat du test d'échantillonnage (aucune erreur trouvée, ou enregistrer les erreurs de la paie du mois de [date] : écart de [montant] dans le calcul de la retenue à la source pour l'employé [initiales].
Étape 4 : Évaluer l'efficacité
Basé sur votre visite et vos tests, vous concluez que le prestataire maintient des contrôles efficaces sur la paie. Le processus de Neubauer comprend une approbation du fichier de paie avant son traitement et une boucle de réconciliation mensuelle avec la comptabilité. Aucune lacune de contrôle interne significative n'a été identifiée.
Note de documentation : documenter votre conclusion quant à l'efficacité des contrôles du prestataire par rapport aux assertions auditées (débours et exhaustivité).
Conclusion : Acme Logistics conserve la responsabilité de ses états financiers et de ses contrôles internes globaux. Le prestataire a exécuté les activités de paie de manière efficace. Aucun ajustement n'a été nécessaire aux estimations du risque d'audit de paie.

Ce que les réviseurs et les praticiens comprennent mal

  • Constats d'inspection Tier 1 : La H2A a constaté dans 18 dossiers examinés en 2023 une absence totale de test des contrôles du prestataire de services ou une documentation insuffisante du travail effectué chez le prestataire. Le rapport de la H2A indique : « Dans les cas où des services significatifs sont externalisés, l'auditeur doit évaluer si le rapport de travail du prestataire ou l'observation directe suffit pour réduire le risque d'audit. L'absence de test n'est pas justifiée par la seule existence d'un rapport d'assurance interne. »
  • Erreur Tier 2 : Les équipes confondent un rapport d'audit interne du prestataire avec un audit ISA 402 Type B. L'ISA 402.13 exige que vous examiniez le rapport d'un auditeur indépendant de l'entité utilisatrice ou d'un auditeur désigné par celle-ci spécifiquement pour la finalité Type B. Un rapport d'assurance interne généré par l'unité d'audit interne du prestataire lui-même ne satisfait pas à cette exigence. Vous devez soit engager un auditeur externe pour réaliser le travail Type B, soit faire vous-même des tests Type A.
  • Lacune pratique Tier 3 : Les équipes identifient correctement le prestataire de services et documentent les risques, mais ne mettent pas en place une stratégie de test formalisée avant le travail. L'ISA 402.16(b) exige une évaluation préalable de l'efficacité des contrôles du prestataire. Dans la pratique, cela signifie définir les assertions auditées, les risques de contrôle spécifiques, et les procédures à exécuter avant de visiter le prestataire. Omettre cette documentation étape antérieure produit un travail désorganisé et une conclusion défendable.

Entité utilisatrice vs. Filiale : quand la distinction compte en audit

La distinction entre une entité utilisatrice (ISA 402) et une filiale (consolidation, éventuellement ISA 600) détermine votre stratégie d'audit.
Entité utilisatrice (ISA 402) : Vous auditez l'entité qui a externalisé un service ou une activité. La filiale, l'unité partagée, ou le prestataire tiers fournit un service dont les défaillances pourraient être significatives dans les états financiers de l'utilisateur. Vous devez comprendre les contrôles du prestataire, mais vous ne consolidez pas ses états financiers dans ceux de l'utilisateur.
Filiale (ISA 600) : Vous auditez un groupe et l'une des entités du groupe a externalisé une activité. L'externalisation s'ajoute à la consolidation. Vous devez à la fois auditer les contrôles du prestataire (voie ISA 402) et gérer l'externalisation dans le contexte de votre audit du groupe (voie ISA 600). ISA 600.A48 confirme que l'externalisation par une entité du groupe ne supprime pas votre responsabilité à l'égard des assertions du groupe.
En pratique : un groupe consolidé externalise la paie. Vous mettez en place la procédure ISA 402 pour la paie, mais c'est à titre d'audit de composante au sein de votre audit du groupe (ISA 600), pas en tant qu'audit autonome de l'entité utilisatrice.

Termes connexes

  • Prestataire de services: L'entité externe ou interne qui exécute l'activité ou le contrôle externalisé.
  • Rapport de travail du prestataire: Le rapport d'audit ou d'assurance produit par ou pour le prestataire de services, examiné par vous en tant qu'auditeur de l'entité utilisatrice.
  • Risque d'audit: Le risque que vous exprimiez une opinion inappropriée. Pour une entité utilisatrice, ce risque inclut les défaillances de contrôle du prestataire de services.
  • Contrôles internes: Les politiques et procédures de l'entité utilisatrice, y compris celles du prestataire de services qui affectent les assertions auditées.
  • Assertion: La catégorie de risque que vous testez (débours, exhaustivité, droits et obligations, évaluation, présentation). Les contrôles du prestataire doivent être liés aux assertions.
  • ISA 402 Type A et Type B: Les deux voies d'audit d'un prestataire de services.

Utiliser la matrice d'évaluation des prestataires de services

Ciferi fournit une matrice d'évaluation et de test des prestataires de services. Utilisez-la pour classifier chaque prestataire par risque (paie, trésorerie, immobilisations, recouvrement clients), enregistrer si un rapport ISA 402 Type B existe, et planifier vos procédures Type A en conséquence. La matrice génère un résumé des risques par assertion pour votre documentation de planification ISA 315.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.