SAS 70

SAS 70
GEORGES ATAYA
Les entreprises prouvent qu'elles contrôlent leurs
systèmes
Lancé
par l'institut américain des réviseurs
d'entreprises (aicpa.org), ce concept permet aux
sociétés certifiées de prouver un haut niv eau de
contrôle de leurs opérations et de leurs systèmes. Si
cette externalisation de service permet de faire appel à
des fournisseurs spécialisés à des coûts compétitifs,
elle ajoute néanmoins un besoin de contrôle de la part
du client. Celui-ci souhaitant s'assurer que le service
offert est de qualité similaire ou supérieure à celui
réalisé en interne. La certification SAS 70 confirme
que le fournisseur a contrôlé lui-même ses services à
l'aide d'un auditeur indépendant selon un plan de
contrôle spécifique.
La certification SAS 70 est habituellement valable
pour une année. Cette période sera réduite si les
opérations sont modifiées de manière importante. A
l'issu de cette période, les auditeurs seront invités à
procéder à un nouveau contrôle. Actuellement, la
certification SAS 70 prend de l'ampleur. Plusieurs
fournisseurs initient une certification avant même que
leurs clients le leur demande. Une telle certification
apporte plusieurs avantages. Un premier avantage de
cette certification est de pouvoir éviter de multiples
audits réalisés régulièrement par les clients. Imaginez
la situation d'un fournisseur qui sert une centaine de
clients dont la majorité envoie annuellement un ou
plusieurs auditeurs pendant quelques jours. Un
deuxième avantage est relatif à l'image qu'offre une
société certifiée SAS 70 par rapport à ses concurrents
offrants de services
similaires
non
certifiés.
Le
département
de
marketing est alors
parmi les premiers
demandeurs d'une
telle
certification.
Les sociétés qui ont
l'obligation de se
faire auditer selon la loi
américaine de SarbanesOxley, ont l'obligation de
s'assurer que leurs propres
fournisseurs soient en
ordre. La certification
SAS 70 permet à ces fournisseurs de fournir cette
assurance.
Le travail de conception et de documentation
nécessaires pour appuyer une certification SAS 70
peut consommer un temps et un effort important. Il
faudra bien le planifier avant de fixer les dates des
visites de auditeurs. Pour faciliter ce travail, j'ai
régulièrement conseillé d'adopter des cadres de
références connus (ISO17799, Cobit, etc, ...) qui
permettent de parler un langage commun avec les
auditeurs et les responsables chez le client. Ils
permettent aussi de s'assurer qu'un domaine de
contrôle important ne sera pas oublié. Vous êtes
fournisseur de service? Avez-vous pensé ce qu'un
SAS70 peut faire pour vous?
Georges Ataya ([email protected]) est professeur à la Solvay Business School, vice-président international de l’IT Governance Institute et
administrateur délégué de ICT Control SA-NV.
Paru dans le magazine IT Professional N° 11 du 02/11/2006 (www.itprofessional.be)