Le SAS 70

Dossier
Dossier : Audit
Le SAS 70, un atout !
“”
Les avantages de la norme d’audit
SAS 70 sont nombreux pour tous les acteurs,
clients comme auditeurs internes et
externes.
Philippe Trouchaud
PricewaterhouseCoopers
Associé
vec le déploiement de la loi
Sarbanes-Oxley, les demandes,
émises par les Commissaires Aux
Comptes des sociétés cotées à New
York (mais pas seulement !), de certification SAS 70 ont refait leur apparition depuis 2003.
A
Face à ces nouvelles demandes, les
sociétés s’interrogent souvent sur la
nature des travaux induits et sur les
bénéfices qu’elles peuvent en tirer
(tant du côté « certifié » que du côté
« destinataire de la certification »).
Un besoin d’assurance sur le
contrôle interne des activités
confiées à un tiers
ace à l’augmentation, ces
dernières années, des activités
confiées par les entreprises à des tiers
(tant en termes de Systèmes d’Information que de processus opérationnels), la question de l’assurance
autour la maîtrise des risques et le
contrôle interne autour de ces activités
externalisées s’est posée tant aux
entreprises clientes qu’à leurs auditeurs ou encore aux régulateurs.
F
Cette problématique a tout d’abord
émergée aux États-Unis. Face à ces
nouvelles interrogations et au besoin
d’avoir recours à l’opinion de tiers
indépendants, l'ordre des experts
comptables américains (AICPA) a élaboré, en 1992, une norme d’audit
(« SAS 70 ») encadrant l’organisation
et la nature des travaux requis pour
qu’un auditeur soit en mesure
d’émettre une opinion en respect
des normes de travail caractérisant sa
profession, permettant ainsi une
approche homogène et acceptée par
l’ensemble des intervenants.
S’il n’existe aucune obligation légale
de l’appliquer aux États Unis, il s’agit
d’une pratique de place largement
suivie par les entreprises américaines,
prestataires de services.
En France, cette norme s’est, dans un
premier temps, fortement développée dans le Secteur Financier (historiquement de culture « plus
anglo-saxonne ») pour répondre aux
contraintes de maîtrise des risques et
de contrôle interne tant réglementaires (ex : AMF) que sectorielles (ex :
CRBF) des prestations « essentielles
externalisées ».
Elle s’est progressivement imposée
car proposant une approche structurée
et homogène :
• Répondant aux attentes des régulateurs, des auditeurs externes et aux
besoins propres (audit interne notamment) de l’entreprise fournissant le
service ;
• Permettant une réduction du nombre d’audits au travers de la production d’un rapport unique, reconnu et
utilisable par l’ensemble des acteurs ;
• Fournissant aux clients une visibilité
sur les risques de leurs activités externalisées, reconnue et utilisée par leurs
propres auditeurs externes.
La Revue / Décembre 08
(14)
Thomas Estève
PricewaterhouseCoopers
Senior Manager
Aboutissement de la reconnaissance
par l’ensemble des acteurs de la
norme « SAS 70 », l’approche a été
reprise par l’ « International Federation of Accountants » (IFAC) au travers de la norme ISA 402.
Quelques messages clefs
autour de la certification
SAS 70
e succès de la norme SAS 70
s’explique par une approche à la
fois :
L
• Flexible : le périmètre est défini
conjointement par l’entreprise fournissant le service et ses clients ; et
• Structurée : une fois le périmètre
défini, la revue du dispositif de
contrôle interne et l’émission de
l’opinion du tiers externe réalisant la
revue sont strictement encadrés.
Le SAS 70 va au-delà des aspects
relatifs au traitement de l'information
et comprend une analyse des
contrôles garantissant la qualité de
l'ensemble des services fournis aux
clients.
Nous touchons là un point essentiel :
le SAS 70 certifie, au travers de l’opinion émise par un tiers indépendant,
un niveau de service entre un client
et son prestataire, selon un périmètre
sur lequel ils se sont préalablement
accordés.
Comme nous avons commencé à
l’évoquer dans les paragraphes précédents, plusieurs acteurs intervien-
• Type I : Opinion sur la conception
des contrôles et leur mise en place
effective (existence) ;
• Type II : Opinion sur la conception
des contrôles, leur mise en place
effective ET sur l’efficacité opérationnelle de ces contrôles (sur une
période de six mois minimum).
Un rapport SAS 70 « type I » contient
généralement :
nent lors de la réalisation d’un SAS
70 :
• Le tiers indépendant émetteur du
rapport SAS 70 (« Service auditor »).
• Le ou les client(s) ayant externalisée
une activité (« User organisation ») ;
Les interactions entre les différents
acteurs impliqués sont présentées
dans le schéma ci-dessus :
• L’entité réalisant le service (« Service Organisation ») ;
• Le ou les auditeur(s) du ou des
client(s) souhaitant obtenir une assurance sur la fiabilité des informations
financières (« User auditor ») ;
Caractéristiques des tests
d’une revue SAS 70 type II
Période de test du type II
• Une revue type II se fait une période de
temps minimale de six mois – ce qui ne
signifie pas qu’elle doive être refaite tous
les six mois.
• Une pratique courante est de mener une
revue type II annuelle sur une période de
six à douze mois (selon la disponibilité de
la documentation)
• Une revue type II doit donc intervenir, en
toute sécurité, au moins six mois après la
date où la revue type I a été menée.
Types de tests effectués pour un type II
• Vérifier par entretien (« inquiry »)
• Observer le contrôle (« observation »)
• Vérifier sur pièces (« inspection ») : test
sur un échantillon – c’est le test le plus
répandu
• Rejouer le contrôle (« reperformance »)
Tailles indicatives des échantillons (en
nombre d’éléments) préconisées
Fréquence des contrôles
Taille de
l’échantillon
Annuelle
Trimestrielle
Mensuelle
Hebdomadaire
Journalière
Plusieurs fois dans la journée
1
2
2à5
5, 10, 15
20, 30, 40
25, 30, 45, 60
Une question récurrente face à cette
certification est la notion de référentiel à utiliser pour les revues. La
norme en elle-même n’impose l’utilisation d’aucun référentiel. Toutefois,
il est souvent observé l’utilisation
d’un référentiel propre à l’entité
revue, construit en s’appuyant sur
des référentiels reconnus (COSO,
COBIT) mais prenant en compte les
spécificités du service fourni (au travers d’objectifs de contrôle ciblés).
Enfin, il est important de souligner
qu’un élément essentiel à prendre en
compte pour une telle certification
SAS70 est le planning. En effet, tant
les tâches de mise en conformité,
fonction de la maturité initiale de
l’entreprise fournissant le service, que
les travaux d’audit conduisant à
l’émission du rapport nécessitent un
investissement temps important. A
titre illustratif, la conduite d’un audit
depuis les premiers tests jusqu’à
l’émission du rapport s’étale sur une
durée moyenne de six semaines. Il est
en conséquence important de mener
une certification SAS 70 comme un
véritable projet, au travers d’une
démarche structurée et pilotée.
Les différentes certifications
SAS 70 et les éléments
remontés
L
a norme SAS 70 définit deux
types de rapport :
La Revue / Décembre 08
(15)
• Des informations générales sur l’entité qui subit la revue et sur les processus entrant dans le périmètre de
la revue ;
• Une description du dispositif de
contrôle interne de cette entité ;
• Une liste d’objectifs de contrôle et
d’activités de contrôle, choisis par
l’entité, relatifs au périmètre de la
revue ;
• L’opinion de l’auditeur externe sur
l’existence des contrôles et leur capacité à donner une assurance raisonnable que les objectifs de contrôle
sont atteints à une date donnée ;
• Des informations supplémentaires
que l’entité revue souhaite mentionner (par exemple au sujet de son Plan
de Continuité d’Activité).
Un rapport SAS 70 « type II » contient
généralement :
• Les éléments d’un rapport type I ;
• L’opinion de l’auditeur externe sur
la capacité des contrôles à donner
une assurance raisonnable que les
objectifs de contrôle ont été atteints
sur une période de revue d’au moins
six mois (généralement un an).
Un rapport SAS 70 (type I comme
type II)
• est remis à l’entité revue…
• … qui le diffuse elle-même aux
clients à qui elle souhaite le transmettre ou qui en ont fait la demande.
Le rapport est donc public, à diffusion
contrôlée par l’entité.
• Le rapport est utilisé par les auditeurs des clients de l’entité (« the
users ») afin de définir les travaux
d’audit à mener auprès de l’entité
(« the services »).
• Si l’existence, le design, ou l’efficience
En anglais
• Independent Auditor’s report.
• Overview of Operations.
• Relevant Aspects of the Control Environment, Risk Assessment and Monitoring.
(type II) du contrôle concerné ne sont pas
compromis : pas de mention dans le rapport.
• Information technology.
• Control Objectives and Related Controls
Différents niveaux d’anomalies
peuvent être rencontrés au cours
de la revue
• Si l’existence, le design, ou l’efficience
(type II) du contrôle concerné sont incorrects mais que l’objectif de contrôle est
toujours atteint avec une assurance
raisonnable : mention dans le corps du rapport, pas de mention dans notre opinion.
• Si les auditeurs en charge de la réalisation du SAS 70 ne disposent pas de l’assurance raisonnable qu’un objectif de
contrôle est atteint, ou si un contrôle revu
n’existe pas : mention de l’objectif ou du
contrôle dans notre opinion au début du
rapport.
Un rapport SAS 70 structuré
et encadré
Les thèmes couverts dans un rapport
SAS 70 (TYPE I ou TYPE II) se déclinent comme suit : (voir tableau
ci-dessus).
Focus : Pourquoi les Plans de
Continuité de l’Activité (PCA) ne
sont-ils pas inclus dans le corps
des revues SAS 70 ?
Un plan de Continuité de l’Activité traite de
la manière dont une organisation limite
des risques futurs tandis que les tests
réalisés lors de la revue portent sur les
contrôles effectivement en place autour de
l’exécution d’un service.
Du fait de cette ambiguïté, l’AICPA a donc
émis la précision suivante reléguant la
continuité d’activité dans une partie descriptive du rapport : « A service organization's plans related to business continuity
and contingency planning generally is of
interest to the management of user organizations. If a service organization wishes
to describe its business continuity and
contigency plans, such information may be
included in Section Four (4), "Other Information Provided by the Service Organization." Because plans are not controls, a
service organization should not include in
its description of controls (Section Two of
the report) a control objective that addresses business continuity or contingency
planning. »
(including Auditor’s Tests of Operating
Effectiveness, if any.
• Other Information provided by the Service
Provider.
• Other information provided by the Independent Auditor.
En français
• Rapport de l’auditeur externe.
• Périmètre des activités couvertes.
• Description par l’entité de l’environnement de contrôle, de l’évaluation des risques
et des contrôles de pilotage.
• Systèmes d’information.
• Objectifs de contrôle, contrôles clés
associés et, le cas échéant, tests d’application effective menés par l’auditeur.
• Autres informations fournies par le prestataire de services.
• Autres informations fournies par l’auditeur externe.
En synthèse, quatre sections principales se dégagent :
ment (« User Control Considerations »).
I. « Independent Service Auditor’s
Report » : Opinion (Type I) de l’auditeur externe sur la pertinence des
contrôles clés existants pour atteindre, à une date donnée, les objectifs
de contrôle retenus par l’entité
revue, plus, le cas échéant, opinion
(Type II) sur l’efficacité opérationnelle desdits contrôles clés à atteindre ces objectifs de contrôle au
cours d’une période donnée.
III. « Information provided by the
service auditor » :
II. « Description of Controls » : Description du contexte et de l’environnement de l’entité auditée
suivant, notamment, cinq axes :
b. Description du plan de secours,
des tests du plan de secours et de
toute autre information jugée utile
par l’entité revue. Ces informations
ne font pas partie du périmètre du
rapport.
a. Description globale de tous les
services procurés par l’entité revue
à ses clients, déclinés par localisation en précisant ceux qui sont
compris dans le périmètre du rapport et ceux qui ne le sont pas ;
b. Description de l’environnement
de contrôle (le cas échéant en
déclinant les axes d’un référentiel
type « COSO ») ;
c. Description de l’environnement
tant en termes de Systèmes d’Information que de processus. Description, le cas échéant, des prestations
réalisées par des tiers (« Sub service
Organizations ») ;
d. Description des objectifs de
contrôle par process, des contrôles
associés et des tests effectués par
les auditeurs externes ;
e. Description des conditions sur le
contrôle interne des organisations
utilisatrices pour que les contrôles
sous revue fonctionnent correcteLa Revue / Décembre 08
(16)
IV. « Other information provided by
the company » : Deux informations
sont généralement reprises dans
cette section :
a. Réponse du Management aux
défaillances identifiées dans le
cadre des travaux d’audit des activités de contrôle ;
Le SAS 70, un véritable atout
La principale force d’un SAS 70 réside
dans l’assurance qu’apporte une
approche homogène et optimisée et
un unique rapport à l’ensemble des
acteurs, et notamment :
• Les régulateurs qui y trouvent une
réponse à leurs recommandations ;
• Tant le management que l’Audit
Interne ou même le Comité d’Audit
de l’entité fournissant le service qui
obtiennent une vision de la maîtrise
de leurs risques et peuvent la communiquer tant à leurs auditeurs externes
qu’au Marché ;
• Les clients qui complètent ainsi la
vision de leur dispositif de contrôle et
peuvent communiquer une opinion
indépendante et reconnue à leurs
auditeurs externes.
Ainsi, guide reconnu vers les meilleures pratiques du secteur d’activité,
le SAS 70 permet :
• La mise en conformité et l’évaluation du dispositif de contrôle interne
par rapport aux meilleures pratiques
d’organisation des contrôles au sein
d’un métier ;
• L’évaluation sur base annuelle de
l'efficacité des contrôles en place, en
insistant de manière circonstanciée
sur la nécessité de structurer et
documenter le contrôle interne et de
retenir les « best-practices »:
– Mesure dans le temps de son
amélioration/ détérioration ;
– Précision de la taille des échantillons en fonction de la fréquence
des contrôles.
En produisant un rapport unique,
reconnu et utilisable par l’ensemble
des acteurs, cette démarche évite la
multiplicité des audits. Ainsi, la moindre sollicitation des équipes opérationnelles et du management, du fait
de la réduction du nombre des audits
qui pourraient être demandés par les
clients, permet de gagner du temps
Exemple de plan détaillé
d’un rapport SAS 70
I – Independent Service Auditor’s Report
II – Description of Controls
A – Overview of Services Provided
B – Control Environment
1. Organization
2. Management Control
3. Controls Related to Personnel
4. Other considerations
a. Corporate Governance
Ouvrage
en vente sur
www.afai.fr ou
www.isaca.ch
b. Internal Control System
c. Risk Assessment and Monitoring
5. Internal Audit
C – Scope of the Report
D – Information and communication
1. Description of Information Systems
a. Systems Architecture
b. Description of Systems and
Major Applications
c. Security / Access
d. Application development /
Maintenance
et de répondre plus facilement et
rapidement aux besoins des clients
ou de leurs auditeurs.
Enfin, dernier avantage et non des
moindres, le SAS 70 est un outil marketing et un avantage concurrentiel permettant de :
• Promouvoir la qualité du contrôle
et de la sécurité de l’environnement
du prestataire ;
• Promouvoir l’efficacité de l’environnement d’exploitation et de son adéquation par rapport aux besoins des
clients. ■
e. System Control Policies
2. Description of Transaction Processing
E – Sub service Organizations
F – Description of Control Structure
Features by Function
G – User Control Considerations
III. Information provided by the service
auditor
IV. Other information provided by the
company
Guide d
’audit de
informa s applications
tiques
Une appr
oche insp
irée des
/PWFNCSF
audits fi
nanciers
s métier
Processu
ions
Applicat
s IT
Système
©
IT
A
C
ucture IT
S
Infrastr
Tra
in
in
g
"VUFVST
1FUFS3#
JUUFSMJt+à
%BOJFM,
SH#SVOt
àOHt"O
5IPNBT
ESFBT 5PH
#VDIFSt
HXZMFSt
#SJHJUUF
%BOJFM8
$ISJTUt#
ZOJHFSt
FSOIBSE
(FPSHFT
)BNCFSH
#FSXFJMF
FSt.JDI
SSFWVFE
FM)VJTTPV
FMBUSBE
E
VDUJPOGS
BOÎBJTF
La Revue / Décembre 08
(17)