Lundi 10 Décembre 2007
Ludo Vic

Contrôle interne et externalisation : Tirer avantage d’une démarche service bureau de type SAS70

Les entreprises, dans l’objectif d’améliorer de façon permanente et durable l’efficacité de leurs processus de production, se polarisent sur leurs centres de compétences. Le recours à l’externalisation et à la sous-traitance, qui ont d'abord concerné des services à faible valeur ajoutée pour le mandant (utilisateur), s'étend aujourd'hui à des services complets, voire à des pans entiers d'activité, favorisant dans certains secteurs l'émergence de véritables centrales spécialisées.


Cependant, l’externalisation d’une activité nécessite d’en maîtriser les risques. Les entreprises bénéficiant de services fournis par des tiers ayant un impact direct sur leurs comptes et la présentation de l’information financière ou sur les activités exercées dans l’environnement du contrôle interne se doivent de justifier que des contrôles ont été mis en place et fonctionnent de manière adéquate, tant chez le prestataire.

Cette préoccupation est partagée par les autorités de tutelle et plus particulièrement eu égard aux différentes réglementations françaises (Loi de Sécurité Financière) et internationales (du type Sarbanes-Oxley).

Deux grandes questions se posent désormais aux entreprises :
• Comment obtenir une assurance raisonnable sur la qualité du dispositif de contrôle interne mis en œuvre par le sous-traitant/ la société externe ?
• Comment améliorer l’efficacité du dispositif global de contrôle interne ?

Une seule réponse : La démarche service bureau type SAS70
La norme SAS70 répond à l’objectif d’établir des rapports qualifiant les procédures de contrôle interne d’un prestataire à destination de ses utilisateurs ou auditeurs.
Principalement utilisé par les prestataires de services pour affirmer l’intégrité de leurs contrôles, la norme SAS70 est désormais l’outil incontournable des dirigeants d’entreprises utilisatrices. Elle vise tous les organismes de services délivrant une prestation affectant les états financiers de leurs clients : gestionnaires de paie et d’administration du personnel, centres de traitement informatique, tiers de confiance pour la conservation des données, gestionnaires d’abonnement, supports clients et services après-vente, logisticiens, agents de transfert, dépositaires, conservateurs, teneurs de comptes, administrateurs de fond, compagnies fiduciaires et d’assurance, etc.

En France, la norme « service bureau » de la Compagnie Nationale des Commissaires aux comptes édictent des principes similaires.

Pour Frédéric Moulin, Associé chez Deloitte, les bénéfices d’une démarche SAS70 se présentent ainsi :

Pour le prestataire : le rapport SAS70 permet de :
• de fournir une réponse structurée aux exigences de transparence de leurs clients (ou de leurs auditeurs) en matière de contrôle interne, et ainsi de minimiser le nombre de demandes d’audit externe,
• d’établir l’adéquation des contrôles au regard des objectifs fixés par le management,
• d’avoir un éclairage sur sa propre activité, ce qui a pour conséquence induite de rehausser le niveau de qualité des services fournis,
• de s’appuyer sur le diagnostic et le rapport d’un auditeur externe reconnu.

Pour l’utilisateur, le rapport SAS70 du prestataire :
• constitue une opinion indépendante sur les procédures et les activités de contrôle en place chez le prestataire,
• permet d’adapter son dispositif de contrôle,
• apporte une réponse aux exigences de transparence en matière de contrôle interne,
• peut être un élément discriminant lors du choix d’un nouveau prestataire.
* constitue pour les auditeurs de l’utilisateur, la réponse ad-hoc par rapport à la réglementation (américaine, notamment) des travaux spécifiques sur le contrôle interne des processus externalisés.

L’approche de Deloitte consiste à accompagner ses clients dans la mise en place d’une démarche SAS 70. L’étude de faisabilité, le pré audit ou « audit à blanc » du dispositif de contrôle interne et la connaissance des objectifs et activités de contrôle des organismes utilisateurs basée sur les meilleures pratiques du marché permettent ainsi aux entreprises de tirer avantage d’une telle démarche.

Pour Olivier Mauduit, Associé chez Deloitte, « l’étude de faisabilité réalisée en amont de la phase de vérification des mécanismes de contrôle interne constitue un facteur clé de succès de la méthodologie développée par Deloitte car elle permet d’identifier les principales déficiences de contrôle interne et permet de favoriser la mise en œuvre par l’organisme d’un plan d’amélioration basé sur les meilleurs pratiques du marché et l’expérience éprouvée des auditeurs du cabinet. »

Enfin, selon Olivier Mauduit, « si la pratique des SAS 70 est encore peu répandue en France et en Europe, elle tend à s’accentuer fortement pour répondre aux exigences réglementaires,. Si actuellement avoir un SAS 70 est déjà un atout lors des appels d’offres pour les prestataires, il sera clairement d’ici quelques années un standard incontournable et donc un facteur clé de succès pour celui qui en disposera. »
www.deloitte.fr

A propos de Deloitte en France
Deloitte & Associés est la firme membre de Deloitte Touche Tohmatsu en France et les services professionnels sont rendus par Deloitte & Associés, ses filiales et ses affiliés.
Deloitte mobilise des compétences diversifiées pour répondre à l'éventail des services attendus par ses clients, de toutes tailles et de tous secteurs – des grandes entreprises multinationales aux micro-entreprises locales, en passant par les entreprises moyennes.
Les 6 000 collaborateurs et associés incarnent le dynamisme et la réussite de la firme par leur engagement auprès de leurs clients et leur souci permanent de garantir l'excellence des prestations qu'ils assurent. Celles-ci couvrent une palette d'offres très large : audit, consulting et risk services, juridique et fiscal, expertise comptable et corporate finance, conformément à la stratégie pluridisciplinaire de Deloitte et suivant une démarche éthique.
www.deloitte.fr

A propos de Deloitte Touche Tohmatsu
Deloitte fait référence à Deloitte Touche Tohmatsu – un Verein suisse –, à ses cabinets membres et aux différentes entités qui leur sont associées. Deloitte Touche Tohmatsu est une organisation composée de cabinets membres, spécialisés dans des services professionnels à forte valeur ajoutée, au travers d'une stratégie partagée dans plus de 140 pays et appliquée localement. Fort du capital intellectuel de 150 000 personnes dans le monde, Deloitte propose des services de quatre natures : audit, fiscalité, corporate finance et consulting.
Deloitte compte plus de 80% des plus grandes entreprises mondiales parmi ses clients, ainsi que de nombreuses grandes entreprises nationales, des institutions publiques et des milliers d'entreprises de croissance. Les services mentionnés ne sont pas fournis par le Verein Deloitte Touche Tohmatsu, et pour des raisons réglementaires ou de toute autre nature, certains cabinets membres ne proposent pas l'ensemble de ces services.
Deloitte Touche Tohmatsu est un Verein suisse (association), et, à ce titre, ni Deloitte Touche Tohmatsu ni aucun de ses cabinets membres ne peuvent être tenus pour responsables des actes ou manquements des autres cabinets membres. Chaque cabinet membre est une entité indépendante et juridiquement distincte, intervenant sous les noms “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu” ou autres noms apparentés.
www.deloitte.com

Articles similaires