Definition

L'entité utilisatrice est la société dont les états financiers sont audités, et qui a externalisé une activité ou un contrôle interne significatif vers un prestataire de services. Le commissaire aux comptes de l'entité utilisatrice doit comprendre comment les contrôles du prestataire affectent les assertions des états financiers, sans pour autant auditer le prestataire lui-même.

Le constat H2A qui revient

Sur les 18 dossiers d'externalisation revus par la H2A en 2023, le même reproche revient : absence de test des contrôles du prestataire ou documentation insuffisante du travail effectué. La citation exacte du rapport : « Dans les cas où des services significatifs sont externalisés, l'auditeur doit évaluer si le rapport de travail du prestataire ou l'observation directe suffit pour réduire le risque d'audit. L'absence de test n'est pas justifiée par la seule existence d'un rapport d'assurance interne. »

Ce qui se joue ici n'est pas une difficulté technique. C'est une économie de budget temps. Visiter un prestataire de paie pendant deux jours pour observer le processus, c'est deux jours de manager senior facturés au forfait. Beaucoup de chefs de mission préfèrent s'appuyer sur le rapport d'audit interne fourni par le prestataire et passer à autre chose. La H2A relève systématiquement ces dossiers, et c'est cohérent avec ISA 402.

Ce que la norme exige

L'ISA 402 s'applique quand une entité utilisatrice externalise une activité significative liée à l'audit. Externalisée ne veut pas dire transférée à un tiers : un service partagé interne au groupe, une filiale, ou une unité administrative distincte peut tout autant être un prestataire de services au sens de la norme, dès lors que ses défaillances pourraient produire une anomalie significative dans les états financiers.

Vous, en tant que CAC de l'entité utilisatrice, ne contrôlez pas directement le prestataire. Vous auditez l'entité qui lui a confié une partie de ses opérations. La question centrale : quels risques de contrôle découlent de cette externalisation ? L'ISA 402.13 vous oblige à considérer si une procédure d'audit ou un rapport du prestataire (typiquement un rapport ISA 3402, voir le rapport d'audit interne pour la distinction) est pertinent pour votre compréhension des contrôles internes de l'entité utilisatrice.

Le cadre se divise en deux voies. Type A : vous effectuez vos propres procédures chez le prestataire (accès direct, observation, tests d'éléments probants). Type B : vous examinez le travail d'un auditeur indépendant qui a réalisé un audit ISAE 3402 Type 2 du prestataire. La plupart des équipes utilisent une combinaison des deux selon les services concernés.

L'ISA 402.16 énonce que si les contrôles du prestataire ne fournissent pas une base suffisante pour l'opinion, vous devez concevoir et exécuter des procédures supplémentaires pour réduire le risque d'audit à un niveau acceptable.

Où le jugement intervient

La distinction entre rapport d'audit interne et rapport Type 2 est l'endroit où le jugement professionnel se concentre — et l'endroit où les équipes les plus pressées se trompent. Un rapport produit par l'audit interne du prestataire lui-même ne satisfait pas à l'exigence de l'ISA 402.13. Pourquoi ? Parce que l'auditeur indépendant doit avoir conduit le travail selon les normes ISAE 3402 (Service Organization Control) et avoir émis une opinion sur la conception et l'efficacité opérationnelle des contrôles, pas seulement attesté que les procédures internes ont été suivies.

Sur ce point, deux pratiques coexistent dans les cabinets que nous croisons. La première : exiger systématiquement un rapport ISAE 3402 Type 2 dès qu'une externalisation est significative, et planifier le Type A par défaut si le Type 2 n'existe pas. La seconde : accepter un rapport d'audit interne du prestataire comme élément de preuve partiel, à condition de compléter par des tests Type A ciblés. Les deux positions ont leur logique. La première est plus défendable en inspection. La seconde tient si la documentation du raisonnement est solide. Le pire des deux mondes est de prétendre s'appuyer sur le rapport interne sans le compléter, ce que la H2A relève comme une lacune méthodologique.

Exemple pratique : Acme Logistics B.V.

Client : Acme Logistics B.V., société néerlandaise de logistique, revenus 2024 de 180 M EUR, IFRS reporter. Le client externalise tout le traitement de paie et des avantages sociaux auprès de Neubauer HR Solutions, un prestataire spécialisé. Neubauer traite les paies mensuelles de 450 collaborateurs, génère les registres de paie, effectue les retenues à la source et produit les déclarations de cotisations sociales aux autorités néerlandaises.

Étape 1 : Identifier l'externalisation significative La paie représente un risque pour les assertions « droits et obligations » et « exhaustivité » dans les passifs de paie et les charges. Neubauer est un prestataire de services au sens de l'ISA 402.

Note documentaire : papier d'évaluation des risques — identification du prestataire, type de service, raison pour laquelle une défaillance pourrait produire une anomalie significative.

Étape 2 : Décider de la voie Type A ou Type B Neubauer a réalisé un audit interne selon les normes IIA, mais n'a pas commandé d'audit ISAE 3402 Type 2. Confirmé par la direction du client : aucun rapport Type 2 disponible. Voie Type A retenue.

Note documentaire : enregistrer que le prestataire ne fournit pas de rapport ISAE 3402 Type 2, confirmer auprès de la direction qu'aucun rapport n'est commandé.

Étape 3 : Concevoir les procédures Type A Visite chez Neubauer pour observer le processus de paie (génération du fichier, approbation des modifications, traitement des retenues). Échantillon de 25 paies mensuelles sur 12 mois (février, mai, août, novembre, janvier). Vérification de l'exactitude des calculs de salaire brut, des retenues à la source et des cotisations sociales par rapport aux contrats d'emploi et aux taux d'imposition en vigueur.

Note documentaire : papier de test des contrôles du prestataire — nature et date des procédures, résultats de l'observation, conclusion du test d'échantillonnage (aucune erreur trouvée, ou écarts identifiés).

Étape 4 : La complication Lors de la visite, nous découvrons que Neubauer a changé son logiciel de paie en juillet 2024 (passage de SD-Worx à un système interne). Le rapport d'audit interne fourni couvre la période janvier-juin sous l'ancien système. Pour la période juillet-décembre, aucune assurance interne n'a encore été produite. Notre échantillon initial sous-représentait la période post-bascule. Nous étendons l'échantillon à 15 paies supplémentaires sur août-décembre et identifions deux écarts mineurs sur les cotisations sociales (régularisés par le client). La conclusion change : les contrôles sont efficaces, mais la documentation initiale était insuffisante pour couvrir la bascule logicielle, et le rapport d'audit interne du prestataire ne suffisait clairement pas.

Note documentaire : justification de l'extension d'échantillon, enregistrement des deux écarts identifiés, position du client sur la régularisation.

Étape 5 : Conclure sur l'efficacité Sur la base de la visite et des tests étendus, le prestataire maintient des contrôles efficaces sur la paie. Le processus comprend une approbation du fichier avant traitement et une réconciliation mensuelle avec la comptabilité. Aucune lacune significative non régularisée.

Note documentaire : conclusion sur l'efficacité des contrôles par rapport aux assertions auditées (droits et obligations, exhaustivité).

Conclusion factuelle : Acme Logistics conserve la responsabilité de ses états financiers. Le prestataire a exécuté les activités de paie de manière efficace. Aucun ajustement nécessaire.

Ce que les CAC et les praticiens comprennent mal

- Confusion entre rapport d'audit interne et rapport ISAE 3402 Type 2. L'ISA 402.13 exige que vous examiniez le rapport d'un auditeur indépendant désigné spécifiquement pour la finalité Type B. Un rapport produit par l'audit interne du prestataire ne satisfait pas à cette exigence. Soit vous engagez un auditeur externe pour le travail Type B, soit vous faites des tests Type A vous-même.

- Stratégie de test non formalisée avant la visite. L'ISA 402.16(b) exige une évaluation préalable de l'efficacité des contrôles du prestataire. En pratique, cela suppose de définir les assertions auditées, les risques de contrôle spécifiques, et les procédures à exécuter avant de poser le pied chez le prestataire. Omettre cette planification produit un travail désorganisé et une conclusion difficile à défendre.

- Sous-test des changements de système chez le prestataire. Quand le prestataire change de logiciel ou de processus en cours d'exercice, l'échantillon doit couvrir les deux périodes. Un échantillon de 25 paies tirées uniformément sur 12 mois peut sous-représenter la période post-bascule. C'est une lacune que la H2A relève quand elle apparaît dans les dossiers.

Entité utilisatrice contre filiale : quand la distinction compte

La distinction entre une entité utilisatrice (ISA 402) et une filiale (consolidation, éventuellement ISA 600) détermine la stratégie d'audit.

Entité utilisatrice (ISA 402) : vous auditez l'entité qui a externalisé un service. Le prestataire (filiale, unité partagée, tiers externe) fournit un service dont les défaillances pourraient être significatives dans les états financiers de l'utilisateur. Vous comprenez les contrôles du prestataire mais ne consolidez pas ses états financiers.

Filiale (ISA 600) : vous auditez un groupe et l'une des entités du groupe a externalisé une activité. L'externalisation s'ajoute à la consolidation. Vous auditez les contrôles du prestataire (voie ISA 402) et gérez l'externalisation dans le contexte de l'audit du groupe (voie ISA 600). L'ISA 600.A48 confirme que l'externalisation par une entité du groupe ne supprime pas votre responsabilité à l'égard des assertions du groupe.

En pratique : un groupe consolidé externalise la paie. Vous appliquez la procédure ISA 402 pour la paie, mais à titre d'audit de composante au sein de votre audit du groupe (ISA 600), pas comme audit autonome de l'entité utilisatrice.

Termes connexes

- Prestataire de services : entité externe ou interne qui exécute l'activité ou le contrôle externalisé. - Rapport de travail du prestataire : rapport d'audit ou d'assurance produit par ou pour le prestataire, examiné par le CAC de l'entité utilisatrice. - Risque d'audit : risque d'exprimer une opinion inappropriée. Pour une entité utilisatrice, ce risque inclut les défaillances de contrôle du prestataire. - Contrôles internes : politiques et procédures de l'entité utilisatrice, y compris celles du prestataire qui affectent les assertions auditées. - Assertion : catégorie de risque testée (droits et obligations, exhaustivité, évaluation, présentation). Les contrôles du prestataire doivent être liés aux assertions. - ISA 402 Type A et Type B : les deux voies d'audit d'un prestataire de services.

Utiliser la matrice d'évaluation des prestataires

Ciferi fournit une matrice d'évaluation et de test des prestataires de services. Elle classe chaque prestataire par risque (paie, trésorerie, immobilisations, recouvrement clients), enregistre l'existence d'un rapport ISAE 3402 Type 2, et planifie les procédures Type A en conséquence. La matrice génère un résumé des risques par assertion pour la documentation de planification ISA 315.

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.