Definition
La plupart des prestataires proposent un type 1 par défaut. Sur les missions que nous voyons, l'utilisateur final aurait eu besoin d'un type 2 et personne n'a posé la question avant la signature de la lettre de mission.
Tableau comparatif
| Dimension | ISAE 3402 type 1 | ISAE 3402 type 2 |
|---|---|---|
| Objet de l'audit | Conception et existence des contrôles à une date spécifique | Conception, existence ET efficacité opérationnelle des contrôles sur une période |
| Période couverte | Un instant (généralement le dernier jour de l'exercice) | Minimum six mois, généralement douze mois |
| Test des contrôles | Aucun test d'efficacité requis | Tests périodiques tout au long de la période pour vérifier le fonctionnement |
| Assurance fournie | Faible à modérée (description seulement) | Élevée (preuves d'efficacité) |
| Effort d'audit | Une visite courte, généralement quelques jours | Audit étendu, visites multiples, tests continus |
| Coût | Inférieur | Supérieur (deux à trois fois plus élevé) |
| Utilité pour les utilisateurs finaux | Comprendre la structure des contrôles | Connaître le fonctionnement réel des contrôles dans le temps |
Ce qui se passe réellement
Le tableau ci-dessus suggère un arbitrage technique. Dans la pratique, c'est un arbitrage économique. Le prestataire est rémunéré pour livrer un rapport, pas pour livrer la bonne assurance. Type 1 = effort moindre, marge plus élevée, signature plus rapide. Le coût d'une mauvaise classification est porté par l'utilisateur final, pas par le prestataire qui paie le forfait du Commissaire aux comptes (CAC).
Où le jugement intervient : décider si la période réduite (six ou neuf mois au lieu de douze) est acceptable dépend du cycle saisonnier du client utilisateur, pas du budget du prestataire. Et c'est ici que la pression commerciale rencontre l'ISAE 3402.A44.
Quand la distinction compte sur une mission
L'ISAE 3402.A22 exige que l'auditeur clarifie avec le prestataire de services quel type de rapport répond réellement aux besoins des utilisateurs finaux. Cette clarification est souvent escamotée au stade de la planification.
Un prestataire proposera un type 1 parce qu'il est moins coûteux et plus rapide. Mais l'utilisateur final (par exemple, l'auditeur interne du client qui dépend du prestataire) peut avoir besoin d'une assurance sur l'efficacité opérationnelle pour justifier une réduction de ses procédures substantives. Si l'auditeur du prestataire accepte un type 1 sans interroger ce besoin, il génère un rapport qui n'est utile à personne. Pas même au prestataire, qui devra refaire la mission l'année suivante quand son client utilisateur perd un Entité d'intérêt public (EIP) au passage. L'ISAE 3402.35 exige un accord clair sur la portée. Cette clarification se produit avant les tests, pas après.
La seconde distinction matière concerne la période de type 2. L'ISAE 3402.A44 autorise une période inférieure à douze mois « si circonstances particulières le justifient. » Or sur les engagements européens, nous voyons couramment des prestataires proposer des rapports de type 2 couvrant quatre à six mois simplement pour réduire l'effort de test. Ce choix est légalement autorisé. Il change néanmoins le niveau d'assurance que l'utilisateur final reçoit. Six mois de données de contrôle laissent six autres mois de l'année sans couverture. Quand le prestataire choisit la période au doigt mouillé, c'est-à-dire en fonction de son planning interne plutôt que du cycle métier du client, l'auditeur doit refuser, ou documenter pourquoi cette période réduite reste acceptable pour le jugement de contrôle du client.
Deux associés, deux lectures
Sur la même mission, deux CAC expérimentés peuvent diverger.
Associé A : « Type 1 suffit si l'utilisateur final a déjà des contrôles compensatoires. Pourquoi payer trois fois plus pour un type 2 dont 80 % du contenu sera ignoré ? Le rapport finit dans le classeur, personne ne le lit, et le prestataire a perdu cinquante mille euros en frais d'audit. »
Associé B : « Type 1 ne fournit aucune assurance opérationnelle. Si l'utilisateur final s'appuie sur le rapport pour réduire ses procédures substantives, l'absence de test sur la période est un défaut majeur. Type 2 est le minimum, et les findings de la Haute autorité de l'audit (H2A) et du Public Company Accounting Oversight Board (PCAOB) sur l'insuffisance de preuves en type 2 montrent que même le type 2 est souvent mal exécuté. Type 1 n'est pas une simplification. C'est un tampon. »
Notre lecture, partiellement avec A, partiellement avec B : type 1 est défendable quand l'utilisateur final ne s'appuie pas sur le rapport pour réduire ses substantives. Sinon, type 2 sur douze mois reste la base. La conversation se tient avant la lettre de mission, pas après.
Exemple pratique : Atelier Mécanique Méditerranéen S.A.R.L.
Prestataire : Atelier Mécanique Méditerranéen S.A.R.L., sous-traitant de maintenance informatique, basé à Marseille. Service : gestion du helpdesk et administration des serveurs clients. Chiffre d'affaires du prestataire : 8,2 M EUR. Trois clients majeurs dépendent de ce service.
Étape 1 : identification du type requis L'auditeur du client (Distribution Automobile Europe S.A., distributeur de pièces automobiles) demande : quel rapport me permet de réduire mes procédures substantives sur le contrôle d'accès informatique ? Réponse : un rapport de type 2 testant l'efficacité des contrôles sur au moins douze mois. Un rapport de type 1 (snapshot d'un jour) ne fournirait pas l'assurance nécessaire. Note de documentation : le choix du type est enregistré dans le mémo de planification avec justification métier.
Étape 2 : accord sur la période et la portée Le prestataire propose une période de type 2 : janvier à décembre année N (12 mois complets). L'auditeur vérifie que cela couvre le cycle complet d'activité du client, y compris les augmentations saisonnières et les mises à jour de sécurité critiques. Note de documentation : accord formalisé dans la lettre de mission ISAE 3402.35 datée et signée.
Étape 3 : tests de contrôle en type 2 Pour chaque contrôle pertinent (approbation des accès, logs de révision mensuelle), l'auditeur teste au minimum un échantillon de preuves couvrant toute la période de douze mois. Par exemple, pour le contrôle « révision des accès des utilisateurs supprimés chaque mois », l'auditeur collecte les logs de suppression pour janvier, avril, août et décembre, puis vérifie que chaque suppression a été approuvée. Note de documentation : chaque test enregistre la date d'exécution, l'intervalle testé et le résultat (effectif/ineffectif). Les logs sont exportés et classés par date dans le dossier PT.
Étape 4 : la complication qui arrive au mauvais moment En août, le prestataire change de système ITSM (passage de Jira Service Desk à ServiceNow). La période de test se retrouve divisée en deux régimes de contrôles. Les logs d'avant-août et d'après-août ne sont plus comparables. L'ISAE 3402.A49 exige que l'auditeur évalue si cette défaillance de continuité est rapportable. Ici, le jugement n'est pas mécanique. Soit l'auditeur traite la transition comme une exception (et documente la preuve que les contrôles équivalents ont été reconstitués sous ServiceNow), soit il limite la portée du rapport à l'un des deux régimes. La première option préserve l'utilité du rapport pour l'utilisateur final. La seconde protège l'auditeur.
Les tests révèlent par ailleurs que le contrôle de révision d'accès a échoué en juin (aucune révision effectuée ce mois-là). Le prestataire corrige en juillet. Une défaillance d'un mois sur douze est documentée dans le rapport comme exception, assortie de preuves que la correction a fonctionné en juillet et août. Note de documentation : exception enregistrée avec date de début, date de correction, preuve de fonctionnement post-correction, et mémo séparé sur la transition ITSM avec évaluation de continuité.
Conclusion Le rapport de type 2 sur douze mois fournit une assurance suffisante pour que l'auditeur du client réduise ses procédures substantives sur le contrôle d'accès de 40 %. Un rapport de type 1 n'aurait pas permis cette réduction. La complication ITSM, traitée correctement, ne dégrade pas l'utilité du rapport. Mal traitée, elle l'aurait annulée.
Ce que les inspections trouvent réellement
Constat régulatoire répété Les rapports d'inspection de l'IAASB sur ISAE 3402 identifient comme constat récurrent l'absence de documentation suffisante de l'efficacité des contrôles en type 2. Beaucoup d'auditeurs testent les contrôles mais enregistrent les résultats sous forme de résumés plutôt que de preuves détaillées. Le paragraphe ISAE 3402.A48 exige que les preuves d'efficacité opérationnelle soient documentées de façon à ce que d'autres auditeurs comprennent ce qui a été testé, quand et avec quel résultat. Les constats H2A vont dans le même sens : un type 2 mal documenté équivaut, en pratique, à un type 1 cher.
Erreur pratique standard Les auditeurs confondent fréquemment « existence du contrôle » et « efficacité du contrôle ». Pour un type 1, il suffit de vérifier que le contrôle existe (par exemple, une procédure écrite d'approbation d'accès). Pour un type 2, vous devez tester que ce contrôle fonctionne réellement sur la période, y compris documenter les rejets ou les exceptions. Les deux évaluations sont nécessaires.
Pratique de cabinet documentée L'ISAE 3402.A44 autorise les périodes inférieures à douze mois en cas de circonstances particulières. Beaucoup de cabinets, y compris les Bigs, utilisent cette flexibilité pour proposer des rapports de six ou neuf mois sans justification métier documentée. L'absence de justification crée une ambiguïté : le client et ses utilisateurs finaux ne savent pas si la période réduite reflète un risque accepté ou simplement une optimisation des coûts. Documenter la justification du choix de la période dans la lettre de mission élimine cette ambiguïté. Et protège l'auditeur le jour où la H2A demande pourquoi.
L'angle que personne ne formule
ISAE 3402 ne protège l'utilisateur final que si l'auditeur du prestataire a la liberté de dire non au type 1 quand le besoin est type 2. Cette liberté dépend du forfait. Et du rapport de force commercial entre le cabinet et le prestataire. Quand le prestataire est un client récurrent à fort volume, l'incitation à dire « type 1 suffit » est structurelle, pas individuelle. Le standard ne corrige pas ce déséquilibre. Le mandat du CAC, oui (en théorie). En pratique, c'est l'associé signataire qui tranche, et il tranche avec le forfait en tête.
Termes associés
- ISA 402 vs ISAE 3402 : ISA 402 est l'ISA qui s'applique quand l'auditeur du client externalise un processus. ISAE 3402 est l'audit que le prestataire subit pour générer le rapport utilisé par l'auditeur du client. Mêmes faits, deux angles. - Rapport de type 1 (snapshot) : photographie statique des contrôles à une date donnée, sans test d'efficacité. Utile quand l'utilisateur final ne réduit pas ses substantives. - Rapport de type 2 (série temporelle) : série de preuves couvrant une période montrant que les contrôles ont fonctionné dans le temps. Le minimum quand l'utilisateur final s'appuie sur le rapport pour réduire ses tests. - Utilisateurs finaux : les auditeurs du client qui dépendent du rapport ISAE 3402 pour évaluer les contrôles du prestataire. Pas la direction du prestataire, qui est cliente du cabinet. - Procédures substantives réduites : quand un type 2 fournit une assurance suffisante, l'auditeur du client peut réduire son audit direct du même processus chez le client. C'est la valeur économique du type 2. - Lettre de mission ISAE 3402 : accord formel entre le prestataire et l'auditeur clarifiant le type, la portée, les risques pertinents et la période. Requise par ISAE 3402.35. Souvent signée trop tard.
Calculateur ISAE 3402
Utilisez le calculateur de choix de type pour déterminer quel rapport (type 1 ou type 2) répond réellement aux besoins de vos utilisateurs finaux et documenter cette justification.
Accéder au calculateur ISAE 3402
---