Les entreprises, dans l'objectif d'améliorer de façon permanente et durable l'efficacité de leurs processus de production, se polarisent sur leurs centres de compétences. Le recours à l'externalisation et à la sous-traitance, qui ont d'abord concerné des services à faible valeur ajoutée pour le mandant (utilisateur), s'étend aujourd'hui à des services complets, voire à des pans entiers d'activité, favorisant dans certains secteurs l'émergence de véritables centrales spécialisées.



Cependant, l'externalisation d'une activité nécessite d'en maîtriser les risques. Les entreprises bénéficiant de services fournis par des tiers ayant un impact direct sur leurs comptes et la présentation de l'information financière ou sur les activités exercées dans l'environnement du contrôle interne se doivent de justifier que des contrôles ont été mis en place et fonctionnent de manière adéquate, tant chez le prestataire.



Cette préoccupation est partagée par les autorités de tutelle et plus particulièrement eu égard aux différentes réglementations françaises (Loi de Sécurité Financière) et internationales (du type Sarbanes-Oxley).



Deux grandes questions se posent désormais aux entreprises :

• Comment obtenir une assurance raisonnable sur la qualité du dispositif de contrôle interne mis en œuvre par le sous-traitant/ la société externe?

• Comment améliorer l'efficacité du dispositif global de contrôle interne ?



Une seule réponse : La démarche service bureau type SAS70

La norme SAS70 répond à l'objectif d'établir des rapports qualifiant les procédures de contrôle interne d'un prestataire à destination de ses utilisateurs ou auditeurs.

Principalement utilisé par les prestataires de services pour affirmer l'intégrité de leurs contrôles, la norme SAS70 est désormais l'outil incontournable des dirigeants d'entreprises utilisatrices. Elle vise tous les organismes de services délivrant une prestation affectant les états financiers de leurs clients : gestionnaires de paie et d'administration du personnel, centres de traitement informatique, tiers de confiance pour la conservation des données, gestionnaires d'abonnement, supports clients et services après-vente, logisticiens, agents de transfert, dépositaires, conservateurs, teneurs de comptes, administrateurs de fond, compagnies fiduciaires et d'assurance, etc.





En France, la norme « service bureau » de la Compagnie Nationale des Commissaires aux comptes édictent des principes similaires.





Pour Frédéric Moulin, Associé chez Deloitte, les bénéfices d'une démarche SAS70 se présentent ainsi :





Pour le prestataire : le rapport SAS70 permet de :

• de fournir une réponse structurée aux exigences de transparence de leurs clients (ou de leurs auditeurs) en matière de contrôle interne, et ainsi de minimiser le nombre de demandes d'audit externe,

• d'établir l'adéquation des contrôles au regard des objectifs fixés par le management,

• d'avoir un éclairage sur sa propre activité, ce qui a pour conséquence induite de rehausser le niveau de qualité des services fournis,

• de s'appuyer sur le diagnostic et le rapport d'un auditeur externe reconnu.



Pour l' utilisateur, le rapport SAS70 du prestataire :

• constitue une opinion indépendante sur les procédures et les activités de contrôle en place chez le prestataire,

• permet d'adapter son dispositif de contrôle,

• apporte une réponse aux exigences de transparence en matière de contrôle interne,

• peut être un élément discriminant lors du choix d'un nouveau prestataire.

* constitue pour les auditeurs de l'utilisateur, la réponse ad-hoc par rapport à la réglementation (américaine, notamment) des travaux spécifiques sur le contrôle interne des processus externalisés.



L'approche de Deloitte consiste à accompagner ses clients dans la mise en place d'une démarche SAS 70. L'étude de faisabilité, le pré audit ou « audit à blanc » du dispositif de contrôle interne et la connaissance des objectifs et activités de contrôle des organismes utilisateurs basée sur les meilleures pratiques du marché permettent ainsi aux entreprises de tirer avantage d'une telle démarche.



Pour Olivier Mauduit, Associé chez Deloitte, « l'étude de faisabilité réalisée en amont de la phase de vérification des mécanismes de contrôle interne constitue un facteur clé de succès de la méthodologie développée par Deloitte car elle permet d'identifier les principales déficiences de contrôle interne et permet de favoriser la mise en œuvre par l'organisme d'un plan d'amélioration basé sur les meilleurs pratiques du marché et l'expérience éprouvée des auditeurs du cabinet. »



Enfin, selon Olivier Mauduit, « si la pratique des SAS 70 est encore peu répandue en France et en Europe, elle tend à s'accentuer fortement pour répondre aux exigences réglementaires,. Si actuellement avoir un SAS 70 est déjà un atout lors des appels d'offres pour les prestataires, il sera clairement d'ici quelques années un standard incontournable et donc un facteur clé de succès pour celui qui en disposera.