ISAE 3402

l’ISAE 3402 (International Standard on Assurance Engagements n°3402) est un standard mis en place le 15 juin 2011 permettant aux utilisateurs de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services.

Il tend à devenir le nouveau standard international dans le domaine des risques et de l’externalisation (outsourcing) de services, en remplacement de la norme SAS 70 d'origine américaine.

Ce standard a été développé par l’AICPA (American Institute of Certified Public Accountants) et ensuite recommandé par deux grands organismes internationaux que sont l’IAASB (International Auditing and Assurance Standards Board) et L’IFAC (International Federation of Accountants).

Il existe deux types de niveaux de contrôle :

• Un rapport de type I : attestation de l’existence d’un contrôle interne adapté
• Un rapport de type II : attestation de l’efficacité du contrôle interne (évaluation réalisée pendant 6 mois)

ISAE 3402 n'est pas une certification, les documents officiels d'ISAE3402 définissent les objectifs d'ISAE3402 comme :

1. l'obtention d'une assurance raisonnable que l'information financière pro forma a été établie par la partie responsable sur la base des critères applicables.
2. Rendre compte des conclusions de l’exécutant

Le rapport ISAE 3402 est souvent fourni aux auditeurs SOX ou autres d'une entreprise pour leur permettre d'avoir une assurance raisonnable sur les contrôles effectués dans une branche d'une entreprise ou chez un fournisseur pour éviter aux auditeurs d'auditer cette partie du système d'information de l'entreprise.

Origine de l'ISAE 3402[modifier | modifier le code]

Une des raisons de cette évolution tient au fait qu’il n’existait pas de norme internationale pour ce type de contrôle. La norme SAS 70 était la plus répandue sur le plan international mais n’en restait pas moins une norme américaine

En raison de la crise de confiance qui perturbe le système économique et l’augmentation de la sous-traitance d’activité, le développement des rapports d’assurance n’ont cessé de croître depuis ces dernières années.

Les rapports d’assurance fournis par l'ISAE 3402 permettent aux entreprises qui externalisent, de s’assurer en permanence de la fiabilité de leurs prestataires.

Les prestataires de services qui hébergent et traitent les données de leurs clients doivent apporter des garanties satisfaisantes, notamment dans les domaines suivants :

• gestion de paie
• gestion des stocks
• maintenance des systèmes d’information

Le changement essentiel avec la norme SAS 70 réside dans l’obligation, pour le prestataire de services, de développer des procédures qui vont leur permettre de surveiller et d’évaluer leurs contrôles. Par la suite un compte rendu des procédures doit être réalisé. Pour décrire cette obligation, le management de l'entreprise (niveau direction générale) doit rédiger un document intitulé "Assertion by the Service Organization" et qui constitue la section 2 du rapport.

Les étapes de l'ISAE 3402[modifier | modifier le code]

On peut distinguer 4 phases représentées sur le schéma ci dessous :

1. La première étant une analyse des impacts associée à une planification détaillée.
2. Dans la phase 2, on instaure un cadre de contrôle.
3. Au cours de la phase 3, on familiarise l'entreprise à ce cadre de contrôle. L'audit apparaît lors de cette phase.
4. Lors de la phase 4 on assiste à l’amélioration du processus de contrôle grâce aux conclusions de l'audit.

Avantages de l'ISAE 3402[modifier | modifier le code]

Les avantages de l'ISAE 3402 sont de plusieurs types :

• Reconnaissance internationale avec une recommandation de grand organisme.

• Évite de multiples audits réalisés régulièrement par les clients du fait de son analyse multi-dimensionnelle.

• Donne une meilleure image par rapport aux concurrents notamment parce que les diagnostics sont réalisés par des auditeurs reconnus.

Inconvénients de l'ISAE 3402[modifier | modifier le code]

Les inconvénients de L'ISAE 3402 sont aussi nombreux :

• Pas d’obligation que l’auditeur soit indépendant de l’entreprise (il sera donc nécessaire d'être particulièrement prudent sur le contexte de réalisation et de vérification de l'audit.). Il faut d'ailleurs noter que le site de référence (néerlandais) pour l'ISAE 3402, ne propose aucune procédure pour une réelle certification mais seulement l'enregistrement de la validation de l'audit qui peut rappelons le, n'être qu'une référence interne à l'entreprise.

• Temps et effort importants pour obtenir la validation de l'audit réalisé.

• Pour faciliter la validation de l'audit, il faut mettre en place des cadres de référence connus assez coûteux, ce qui rend la structure rigide (ex : COBIT, CMMI…)

Notes et références[modifier | modifier le code]

Liens externes[modifier | modifier le code]

• Texte de référence du standard ISAE 3402 sur le site internet de l'IFAC
• http://isae3402.fr
• http://isae3402.com/
• http://isae3402.co.uk/
• http://isae3402.nl/

• Portail du management
• Portail des entreprises