Afin de respecter la norme ISA 402, l’obtention d’un rapport sur la base de la norme ISAE 3402 est-il obligatoire lors de l’audit d’une société qui fait appel à une société de services, telle qu’un secrétariat social ? Si oui, faut-il le demander chaque année ?

Publié le 15 mai 2015

les normes ISA et ISRE > questions relatives aux démarches d'audit

Réponse:

Le respect de la norme ISA 402 n'implique pas l’obtention systématique d’un rapport établi sur la base de la norme ISAE 3402. Si le rapport est jugé nécessaire et si les circonstances restent identiques durant l'exercice suivant, il sera obtenu annuellement. Le réviseur d'entreprises doit s'interroger chaque année sur la nécessité d'obtenir un rapport.

C'est en effet lors de la démarche d'audit que l'auditeur déterminera si un rapport (norme ISAE 3402) est nécessaire. Le jugement de l'auditeur peut se résumer comme suit.

L’organe de gestion de l’entité contrôlée est responsable de la mise en place du contrôle interne qu’il estime nécessaire pour permettre l’établissement d’états financiers ne comportant pas d’anomalies significatives, même si une partie de la gestion des données s'effectue auprès d'un tiers. Bon nombre d’entités confient certains aspects de leur gestion opérationnelle à des sociétés de services, telles que des secrétariats sociaux ou des sociétés de gestion informatique. La nature et l’étendue des travaux à réaliser par l’auditeur de l’entité utilisatrice lorsque cette dernière fait appel à une société de services dépendent de la nature et de l’importance de ces prestations pour l’entité utilisatrice et de la pertinence de celles-ci pour l’audit des états financiers.

La norme ISA 402 « Facteurs à considérer pour l’audit d’une entité faisant appel à une société de services » impose à l’auditeur de l’entité utilisatrice de déterminer, conformément à la norme ISA 315, s’il a acquis une connaissance suffisante du contrôle interne pertinent pour l’audit. Dans ce contexte, l’auditeur de l’entité utilisatrice doit évaluer la conception et la mise en œuvre des contrôles pertinents au sein de l’entité utilisatrice relatifs aux prestations fournies par la société de services, y compris les contrôles effectués sur les opérations traitées par cette dernière (ISA 402, par. 10).

L’entité utilisatrice peut elle-même juger utile d'obtenir un rapport établi suivant la norme ISAE 3402 ou établir des contrôles sur les prestations de la société de services qui peuvent être testés par l’auditeur de l’entité utilisatrice et permettre à celui-ci de conclure que les contrôles mis en œuvre par cette dernière fonctionnent efficacement pour certaines ou pour l’ensemble des assertions concernées, sans devoir tenir compte des contrôles mis en œuvre par la société de services.

Lorsqu’une entité utilisatrice, par exemple, a recours à une société de services pour traiter les salaires, elle peut établir des contrôles sur la soumission et la réception des informations concernant la paie qui peuvent prévenir ou détecter des anomalies significatives. Ces contrôles peuvent inclure:

  •        la comparaison des données soumises à la société de services avec les rapports d’informations reçus de cette dernière après que les données aient été traitées (par. A12)  ;
  •        le re-calcul d’un échantillon de montants de salaire dans le but d’en vérifier l’exactitude arithmétique et la revue du montant total de la paie pour en vérifier le caractère raisonnable (par. A12); et
  •        l'analyse du caractère raisonnable de différents montants (précompte professionnel, charges sociales, avantages en nature, frais de déplacement, etc.).

En l'absence de contrôles ou de contrôles satisfaisants de l'entité utilisatrice, l'auditeur examinera la possibilité de mettre en œuvre des procédures alternatives lui permettant de recueillir les éléments probants suffisants et appropriés.

Parfois, les procédures alternatives ne peuvent être mises en œuvre, par exemple parce que le volume des données est trop important.

Finalement, si les éléments probants suffisants et appropriés énoncés ci-dessus n'ont pu être recueillis, l'auditeur obtiendra de la société de services un rapport de type 1 ou de type 2. Les rapports de type 1 ou de type 2 peuvent être établis selon la norme ISAE 3402, « Rapport d’assurance sur les contrôles au sein d’une société de services ». (ISA 402, par. 12) Ce rapport est souvent spécifique au client et doit être demandé annuellement par l’entité contrôlée auprès de sa (ses) société(s) de services. Les coûts du rapport doivent être pris en charge par l’entité qui en fait la demande.

Page précédente

______________________________

Disclaimer : Les réponses de la Fondation Centre d’Information du Révisorat d’Entreprises (ICCI) sont données de manière autonome par rapport à l’Institut des Réviseurs d’Entreprises (IRE) et ne peuvent donc pas être considérées comme constituant le point de vue officiel du Conseil de l’IRE. Ce point de vue officiel ne peut être obtenu qu’en s’adressant directement aux organes officiels de l’IRE à savoir le Conseil ou, le cas échéant, le Comité exécutif. Bien que l’ICCI s’entoure des compétences voulues et traite les questions reçues avec toute la rigueur possible, il ne donne aucune garantie quant aux réponses qu’il formule et n’assume aucune responsabilité, ni contractuelle, ni extra-contractuelle, pour l’éventuel dommage qui pourrait résulter d’erreurs de fait ou de droit commises dans le cadre des réponses et informations données. Les FAQ concernant les normes ISA, ISRE et ISQC1 ont été rédigés en concertation avec le groupe de travail ISA & ISQC 1 et la Commission des normes de l’IRE.