Accueil🇫🇷Chercher

SAS 70

SAS 70 (Statement on Auditing Standards no.70) est une norme d'origine américaine reconnue au niveau international, notamment comme élément de conformité à Sarbanes-Oxley.

Elle a été créée par l'American Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés.

Elle se caractérise par des audits indépendants réalisés par des tiers et des vérifications des processus sur site. Cette norme concerne les entreprises qui font appel à des fournisseurs spécialisés pour externaliser leur service. En effet, les entreprises veulent contrôler la qualité du service offert (qui doit être tout aussi voire plus performant que celui réalisé en interne).

Elle comporte deux niveaux (Type I et type II). Le premier porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70 (type II).

Depuis le , la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.

Origine de la norme SAS 70

Aujourd’hui, les entreprises se concentrent sur leurs centres de compétences afin d’améliorer l’efficacité de leurs processus de production. Elles ont donc recours à l’externalisation et à la sous-traitance pour des services à faible valeur ajoutée et depuis peu pour des services complets voire pour une activité entière. Cependant, l’externalisation d’une activité nécessite de maîtriser les risques car elle a un impact direct sur les comptes des entreprises et sur leurs informations financières. Les entreprises doivent donc contrôler que leurs prestataires (du service externalisé ou le sous-traitant) ont mis en place des procédures conformes à leur exigence.

Les prestataires subissent donc une hausse de demandes d’information et d’audit de la part de leurs nombreux clients. Une solution alternative est donc envisagée : un certificat émis par un tiers indépendant sur la qualité de leur dispositif de contrôle interne. C’est le but de la norme SAS 70. Elle prévoit la transmission de rapports sur la qualité des procédures de contrôle interne d’un prestataire à l’intention de l’entreprise cliente.

Les prestataires intéressés doivent généralement réaliser des travaux en vue d’éliminer les défauts de leurs procédures de contrôle interne et de rendre ces dernières exhaustives et homogènes. Finalement, la norme SAS 70 renforcera la crédibilité des prestataires vis-à-vis de leurs clients.

Types d'Entreprises intéressées par cette norme

La norme SAS 70 s’applique à toutes les entreprises qui offrent des prestations susceptibles d’affecter la situation financière de leurs clients.

Le recours à cette norme est déjà largement répandu à travers le monde. Plus de 450 rapports ont déjà été émis à ce jour :

  • 50 % des rapports concernent des prestataires de services financiers (Ă©tablissements de crĂ©dit, gestionnaires d’actifs)
  • 22 % concernent des centres de gestion de donnĂ©es
  • 21 % des organismes de gestion de la paie et de l’administration du personnel

L’utilisation de cette norme s’est fortement développée aux États-Unis. Elle s’applique à toutes les sociétés auditées selon les normes de l’AICPA, ainsi qu’aux sociétés soumises à l’article 404 de la loi Sarbanes-Oxley. Elle commence à se diffuser en Europe, en France notamment, à l’initiative des grands acteurs en matière de compensation de titres et d’administration de fonds.

Cependant que ce soit aux États-Unis ou en Europe, il n’existe pas d’obligation légale de la mettre en place, mais elle est largement utilisée par les entreprises Américaines prestataires en matière d’information financière.

Les différentes étapes

Le recours à la norme SAS 70 doit s’inscrire dans un processus comprenant plusieurs étapes. L’entreprise intéressée doit d’abord formaliser précisément son dispositif de contrôle interne, ses objectifs de contrôle et les contrôles liés, puis établir un document décrivant l’ensemble de ce dispositif. C’est sur la base de ce document que le vérificateur, en règle générale un cabinet d’audit, exprimera une opinion.

En pratique, il existe deux types de rapports :

  • un rapport de type I, dans lequel le vĂ©rificateur Ă©met une opinion sur la fidĂ©litĂ© de la description et sur l’adĂ©quation des contrĂ´les par rapport aux objectifs fixĂ©s. Ce type de contrĂ´le s'effectue une fois par an. Les entreprises utilisent gĂ©nĂ©ralement ce premier rapport pour dĂ©terminer une tendance pour finalement adopter le rapport de type II. Elle a comme inconvĂ©nient de ne dĂ©crire l'organisation qu'Ă  un temps t et non sur une pĂ©riode
  • un rapport de type II, plus complet du fait d'une Ă©tude portĂ©e sur une pĂ©riode (de 6 mois minimum en gĂ©nĂ©ral) et dans lequel le vĂ©rificateur Ă©met en plus une opinion sur l’efficacitĂ© des contrĂ´les pour atteindre ces objectifs). La certification SAS 70 de type II est donc la certification la plus complète. Elle intègre non seulement un audit au moment de la certification, mais ensuite des contrĂ´les rĂ©guliers pour s'assurer que les procĂ©dures mises en place restent bien appliquĂ©es. Elle constitue une opportunitĂ© supplĂ©mentaire pour l'entreprise d'amĂ©liorer sans relâche son organisation. Pour chaque service auditĂ©, une grille de contrĂ´le a Ă©tĂ© mise en place avec une liste des objectifs de contrĂ´le, des activitĂ©s contrĂ´lĂ©es, des plans de test, des observations et recommandations.

Avantages et inconvénients de cette norme

Avantages

Actuellement les établissements spécialisés nouent un nombre croissant de partenariats afin de proposer leurs services dans des domaines aussi variés que le crédit à la consommation, le crédit-bail, l’affacturage ou le recouvrement. Le recours à la norme SAS 70 présente ainsi un double avantage : il constitue à la fois une réponse appropriée aux exigences du nouveau règlement n° 97-02[1] et un moyen de différenciation commerciale.

Une telle certification apporte bien des avantages. L’un d’eux est de pouvoir éviter de multiples audits réalisés régulièrement par les clients. Cela permet à un fournisseur d’éviter de se faire auditer annuellement par chaque client. En effet, les sociétés qui ont l'obligation de se faire auditer selon la loi américaine de Sarbanes-Oxley, doivent s'assurer que leurs propres fournisseurs soient en ordre. Un autre avantage est relatif à l'image qu'offre une société certifiée SAS 70 par rapport à ses concurrents non certifiés. Le département de marketing est alors parmi les premiers demandeurs d'une telle certification car c’est un moyen de différenciation commerciale. Enfin la force de cette norme c’est qu’elle s’appuie sur le diagnostic et le rapport d'un auditeur externe reconnu.

Inconvénients

Le travail de conception et de documentation nécessaire pour appuyer une certification SAS 70 peut prendre du temps et un effort important. Il faut planifier ce travail avant de fixer les dates des visites des auditeurs. Pour faciliter cette étape, l’entreprise doit adopter des cadres de références connus (ISO27002, Cobit, etc., ...) qui permettent de parler un langage similaire avec les auditeurs et les responsables chez le client. Ils permettent aussi de s'assurer qu'un domaine de contrôle important ne sera pas oublié.

Actualités

Voir aussi

Notes et références

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.