SAS 70
SAS 70 (Statement on Auditing Standards no.70) est une norme d'origine américaine reconnue au niveau international, notamment comme élément de conformité à Sarbanes-Oxley.
Elle a été créée par l'American Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés.
Elle se caractérise par des audits indépendants réalisés par des tiers et des vérifications des processus sur site. Cette norme concerne les entreprises qui font appel à des fournisseurs spécialisés pour externaliser leur service. En effet, les entreprises veulent contrôler la qualité du service offert (qui doit être tout aussi voire plus performant que celui réalisé en interne).
Elle comporte deux niveaux (Type I et type II). Le premier porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70 (type II).
Depuis le , la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.
Origine de la norme SAS 70
Aujourd’hui, les entreprises se concentrent sur leurs centres de compétences afin d’améliorer l’efficacité de leurs processus de production. Elles ont donc recours à l’externalisation et à la sous-traitance pour des services à faible valeur ajoutée et depuis peu pour des services complets voire pour une activité entière. Cependant, l’externalisation d’une activité nécessite de maîtriser les risques car elle a un impact direct sur les comptes des entreprises et sur leurs informations financières. Les entreprises doivent donc contrôler que leurs prestataires (du service externalisé ou le sous-traitant) ont mis en place des procédures conformes à leur exigence.
Les prestataires subissent donc une hausse de demandes d’information et d’audit de la part de leurs nombreux clients. Une solution alternative est donc envisagée : un certificat émis par un tiers indépendant sur la qualité de leur dispositif de contrôle interne. C’est le but de la norme SAS 70. Elle prévoit la transmission de rapports sur la qualité des procédures de contrôle interne d’un prestataire à l’intention de l’entreprise cliente.
Les prestataires intéressés doivent généralement réaliser des travaux en vue d’éliminer les défauts de leurs procédures de contrôle interne et de rendre ces dernières exhaustives et homogènes. Finalement, la norme SAS 70 renforcera la crédibilité des prestataires vis-à-vis de leurs clients.
Types d'Entreprises intéressées par cette norme
La norme SAS 70 s’applique à toutes les entreprises qui offrent des prestations susceptibles d’affecter la situation financière de leurs clients.
Le recours à cette norme est déjà largement répandu à travers le monde. Plus de 450 rapports ont déjà été émis à ce jour :
- 50 % des rapports concernent des prestataires de services financiers (établissements de crédit, gestionnaires d’actifs)
- 22 % concernent des centres de gestion de données
- 21 % des organismes de gestion de la paie et de l’administration du personnel
L’utilisation de cette norme s’est fortement développée aux États-Unis. Elle s’applique à toutes les sociétés auditées selon les normes de l’AICPA, ainsi qu’aux sociétés soumises à l’article 404 de la loi Sarbanes-Oxley. Elle commence à se diffuser en Europe, en France notamment, à l’initiative des grands acteurs en matière de compensation de titres et d’administration de fonds.
Cependant que ce soit aux États-Unis ou en Europe, il n’existe pas d’obligation légale de la mettre en place, mais elle est largement utilisée par les entreprises Américaines prestataires en matière d’information financière.
Les différentes étapes
Le recours à la norme SAS 70 doit s’inscrire dans un processus comprenant plusieurs étapes. L’entreprise intéressée doit d’abord formaliser précisément son dispositif de contrôle interne, ses objectifs de contrôle et les contrôles liés, puis établir un document décrivant l’ensemble de ce dispositif. C’est sur la base de ce document que le vérificateur, en règle générale un cabinet d’audit, exprimera une opinion.
En pratique, il existe deux types de rapports :
- un rapport de type I, dans lequel le vérificateur émet une opinion sur la fidélité de la description et sur l’adéquation des contrôles par rapport aux objectifs fixés. Ce type de contrôle s'effectue une fois par an. Les entreprises utilisent généralement ce premier rapport pour déterminer une tendance pour finalement adopter le rapport de type II. Elle a comme inconvénient de ne décrire l'organisation qu'à un temps t et non sur une période
- un rapport de type II, plus complet du fait d'une étude portée sur une période (de 6 mois minimum en général) et dans lequel le vérificateur émet en plus une opinion sur l’efficacité des contrôles pour atteindre ces objectifs). La certification SAS 70 de type II est donc la certification la plus complète. Elle intègre non seulement un audit au moment de la certification, mais ensuite des contrôles réguliers pour s'assurer que les procédures mises en place restent bien appliquées. Elle constitue une opportunité supplémentaire pour l'entreprise d'améliorer sans relâche son organisation. Pour chaque service audité, une grille de contrôle a été mise en place avec une liste des objectifs de contrôle, des activités contrôlées, des plans de test, des observations et recommandations.
Avantages et inconvénients de cette norme
Avantages
Actuellement les établissements spécialisés nouent un nombre croissant de partenariats afin de proposer leurs services dans des domaines aussi variés que le crédit à la consommation, le crédit-bail, l’affacturage ou le recouvrement. Le recours à la norme SAS 70 présente ainsi un double avantage : il constitue à la fois une réponse appropriée aux exigences du nouveau règlement n° 97-02[1] et un moyen de différenciation commerciale.
Une telle certification apporte bien des avantages. L’un d’eux est de pouvoir éviter de multiples audits réalisés régulièrement par les clients. Cela permet à un fournisseur d’éviter de se faire auditer annuellement par chaque client. En effet, les sociétés qui ont l'obligation de se faire auditer selon la loi américaine de Sarbanes-Oxley, doivent s'assurer que leurs propres fournisseurs soient en ordre. Un autre avantage est relatif à l'image qu'offre une société certifiée SAS 70 par rapport à ses concurrents non certifiés. Le département de marketing est alors parmi les premiers demandeurs d'une telle certification car c’est un moyen de différenciation commerciale. Enfin la force de cette norme c’est qu’elle s’appuie sur le diagnostic et le rapport d'un auditeur externe reconnu.
Inconvénients
Le travail de conception et de documentation nécessaire pour appuyer une certification SAS 70 peut prendre du temps et un effort important. Il faut planifier ce travail avant de fixer les dates des visites des auditeurs. Pour faciliter cette étape, l’entreprise doit adopter des cadres de références connus (ISO27002, Cobit, etc., ...) qui permettent de parler un langage similaire avec les auditeurs et les responsables chez le client. Ils permettent aussi de s'assurer qu'un domaine de contrôle important ne sera pas oublié.
Actualités
Voir aussi
- Norme ISAE 3402.