Gagner en confiance et en transparence Tirer avantage de la norme SAS 70 et des nouveaux standards ISAE 3402 et SSAE 16

Transcription

1 Gagner en confiance et en transparence Tirer avantage de la norme SAS 70 et des nouveaux standards ISAE 3402 et SSAE 16

2 Contexte et enjeux de l externalisation Dans l objectif d améliorer de façon permanente et durable l efficacité de leurs processus opérationnels, les entreprises se concentrent sur leurs centres de compétences. Les activités sur lesquelles leurs avantages concurrentiels sont moindres sont ainsi confiées à des sous-traitants externes. Le recours à la sous-traitance, qui a d'abord concerné des services à faible valeur ajoutée pour l utilisateur, s'étend aujourd'hui à des services complets, voire à des pans entiers d'activité, favorisant dans certains secteurs l'émergence de véritables centrales spécialisées : technologies de l information ; finance et expertise comptable ; logisticiens ; support clients et services après-vente ; gestion des ressources humaines (gestion de la paie, administration du personnel, conseil social ) ; tiers de confiance pour la conservation des données ; gestionnaires d abonnements ; agents de transferts ; sociétés de gestion de portefeuilles ; dépositaires, teneurs de comptes, conservateurs ; administrateurs de fonds ; compagnies fiduciaires et d assurance. Cependant, l externalisation d une activité nécessite d en maîtriser les risques. Les entreprises bénéficiant de services fournis par des tiers, ayant un impact direct sur la présentation de l information financière ou sur les activités exercées dans l environnement de contrôle interne, se doivent de justifier que des contrôles ont été mis en place et fonctionnent de manière adéquate chez leur prestataire externe. L apparition de la norme SAS 70 a fait prévaloir depuis 1992 la démarche de certification du contrôle interne par un auditeur externe. Les prestataires de services disposant d un rapport SAS 70 bénéficient d un véritable avantage compétitif de par la transparence et l efficience avérées de leur environnement de contrôle et de leurs procédures. Par ailleurs, adopter une démarche de certification du contrôle interne implique d autres gages de qualité : proactivité, flexibilité ou encore fiabilité. La norme SAS 70 a évolué en 2010 sous l impulsion de l IAASB (1) et de l AICPA (2) vers les standards ISAE 3402 et SSAE 16. Les prestataires de services disposant d un rapport SAS 70 bénéficient d un véritable avantage compétitif L IAASB a émis un nouveau standard international, l International Standard on Assurance Engagement 3402 (ISAE 3402) pour encadrer l émission de rapports sur le contrôle interne mis en œuvre chez les prestataires de services. En parallèle, l AICPA a également réécrit la norme SAS 70 qui porte désormais l appellation Statement on Standards for Attestation Engagements (SSAE 16). Les révisions apportées à la norme SAS 70, suite à la publication de l ISAE 3402 et du SSAE16, représentent la première modification significative du SAS 70 depuis sa parution, il y a presque deux décennies. Les directives publiées par l IAASB et l AICPA ne présentent pas de divergences fondamentales entre elles. L élément majeur qui les distingue par rapport à la norme actuelle est l obligation pour la Direction de fournir sa propre évaluation du contrôle interne. Cette exigence sera sans implication majeure pour les entreprises déjà soumises à la loi Sarbanes-Oxley, mais nécessitera potentiellement la mise en œuvre de reportings spécifiques pour les autres établissements. Les autres nouveautés apportées par ISAE 3402 et SSAE 16 sont essentiellement : l obligation pour l auditeur de mentionner dans un rapport de type 2 les travaux qui ont pu être effectués par l audit interne et les diligences qu il a menées sur ces travaux réalisés par une tierce partie ; l obligation d investiguer la nature et les causes des déviations identifiées ; la nécessité de vérifier la conception, l implémentation (type 1) ainsi que l efficacité opérationnelle des contrôles (type 2) sur la base d éléments de preuve obtenus sur la période auditée (donc sans pouvoir réutiliser les travaux des périodes antérieures). (1) IAASB : International Auditing and Assurance Standards Board (2) AICPA : American Institute of Certified Public Accountants 2

3 Avantages d une démarche de certification du contrôle interne Outil de gestion des risques Les normes de certification du contrôle interne fournissent une vision globale des risques de l organisation et un confort sur l environnement de contrôle. Ainsi, elles constituent un véritable instrument de gouvernance et de pilotage des risques à l usage de la direction générale. Outil d évaluation et d amélioration continue Le rapport de certification du contrôle interne apporte une évaluation de l adéquation des procédures de contrôle et une «assurance raisonnable» de l efficacité opérationnelle des contrôles déployés. Il identifie les principales déficiences des processus et des systèmes constituant de nouveaux axes d amélioration et s inscrivant dans une démarche d amélioration permanente de la qualité des processus. Réduction des interventions d audit Outil marketing Le rapport de certification du contrôle interne est transmis aux clients potentiels familiarisés à la notion de risques opérationnels : renforcement de l image du prestataire ; garantie d une certification indépendante de l environnement de contrôle et fondée sur des normes internationalement reconnues. Outil de formation Le rapport de certification du contrôle interne recense les informations clés en termes d organisation, d activité et de processus opérationnels, et permet aux employés de comprendre les risques à couvrir au regard de l environnement identifié. En augmentant la sensibilité de l ensemble des acteurs, la certification du contrôle interne contribue à accroître la qualité et l efficacité globale de l organisation. Auditeurs internes et externes s appuient sur le rapport de certification du contrôle interne émis par un auditeur externe afin de limiter leur intervention : allégement de la sollicitation des ressources internes ; diminution des coûts d audit pour les clients. Norme SAS 70 et nouveaux standards ISAE 3402 et SSAE 16 3

4 Notre approche SAS Définition du périmètre de la certification 2. Analyse des écarts Evaluation de l'adéquation de l'environnement de contrôle interne, des objectifs de contrôle et des procédures appliquées au regard des objectifs fixés par le management et des risques Identification des principales déficiences du dispositif Rédaction d'un plan d'amélioration fondé sur les meilleures pratiques du marché Identification des prestations délivrées Identification des processus critiques Identification des ressources sollicitées (organisation, systèmes d'information) Réduire le risque de l externalisation en cascade Prestataire de services Certification 3. Suppport à l'amélioration Délivre Prestataire de services Certification Pilotage centralisé du déploiement du plan d'actions Renforcement du dispositif de contrôle interne Assistance à la formalisation de la documentation afférente aux activités de contrôle Gestion du risque Délivre Délivre Prestataire de services Entité utilisatrice 4. Préparation des sections 2 & 3 Description de l'environnement de contrôle interne, des objectifs de contrôle et des procédures appliquées (type 1 et type 2) Réalisation des tests de cheminement afin de vérifier le fonctionnement des procédures décrites (type 1 et type 2) Réalisation des tests de détail pour vérifier l'efficacité opérationnelle des contrôles (type 2) 5. Certification du contrôle interne (type 1 ou type 2) Rapport de l'auditeur : opinion sur la conception des contrôles (type 1 et type 2) et sur l'efficacité opérationnelle des contrôles (type 2) 4

5 Valeur ajoutée de la certification Renforcer l efficacité de votre dispositif de contrôle interne Renforcer l alignement de vos contrôles informatiques avec vos enjeux métiers Développer vos atouts commerciaux en apportant de la transparence et de la confiance à vos clients sur la qualité de votre dispositif de contrôle Obtenir une opinion indépendante sur les procédures et activités de contrôle en place chez votre prestataire Adapter votre dispositif de contrôle interne aux prestations de service que vous offrez à vos clients et à celles de vos fournisseurs Apporter une réponse aux exigences de transparence du marché et des régulateurs en matière de contrôle interne Exemples de missions Pour une société de services informatiques Enjeu : évaluer l environnement de contrôle de l organisation ainsi que les contrôles afférents aux processus de développement d applications et à la tierce maintenance applicative. Apports Deloitte Connaissance des métiers de l informatique et des contrôles clés attendus. Apports méthodologiques pour la formalisation de la documentation des activités de contrôle. Pour un administrateur de fonds Enjeu : apporter dans le cadre de la transposition MIF, une réponse concrète aux sociétés de gestion clientes par la mise à leur disposition d un rapport explicite sur la description des contrôles effectués et sur leur adéquation au regard des objectifs énoncés. Apports Deloitte Connaissance intime des métiers de valorisation d actifs et des processus industriels associés. Planification de l intervention par étapes successives permettant d obtenir des résultats intermédiaires concrets et de prendre en compte les contraintes de production de l administrateur de fonds. Pour une entreprise leader sur le marché des ressources humaines et de la paie Enjeu : émettre une opinion générique sur les offres de paie proposées par l entreprise afin d éviter des audits ciblés demandés par ses clients, pour un périmètre couvrant toute l Europe. Apports Deloitte Pilotage centralisé de l audit à partir d un pays leader. Apport méthodologique à l origine pour la formalisation de la documentation des activités de contrôle. Mise en œuvre d une approche d audit homogène entre les pays. Focus sur les contrôles communs clés. Norme SAS 70 et nouveaux standards ISAE 3402 et SSAE 16 5

6 Rappel méthodologique 1. Définition du périmètre de la certification Identification des prestations délivrées Identification des processus critiques Identification des ressources sollicitées (organisation, systèmes d information) Présentation synoptique des différentes normes : SAS 70, SSAE 16 et ISAE 3402 Date de mise en application Attestation de la direction Rapport spécifique Norme SAS 70 existante Norme américaine SSAE 16 Norme internationale ISAE 3402 Applicable pour tous les rapports dont les périodes de référence courent jusqu au 15 juin Après le 15 juin 2011, les rapports SAS 70 pourront toujours être utilisés par les entités utilisatrices qui pourront s appuyer sur ceux-ci, sous réserve qu il n y ait pas d écarts significatifs entre la date du rapport et celle de la fin de période fiscale de l entité utilisatrice. La norme SAS 70 requiert que la direction rédige une lettre de représentation attestant que le design des contrôles est approprié, ou que le design et l efficacité opérationnelle des contrôles sont appropriés. Néanmoins, la direction n est pas tenue de fournir une lettre portant sur sa propre évaluation du contrôle interne, les auditeurs se reposant sur les contrôles réalisés au niveau de la société de services. Accepté dans le cadre de la norme actuelle. Tous les rapports dont la couverture s achève à compter du 15 juin 2011 inclus doivent être publiés selon l une (ou les deux) nouvelles normes. Néanmoins, les sociétés de services peuvent adopter les nouvelles exigences issues de ces normes avant le 15 juin La direction sera tenue de fournir sa propre évaluation du contrôle interne tout en fournissant une lettre de représentation, même si le cabinet d audit externe continuera à fournir une assurance sur le sujet (les contrôles sont présentés avec exactitude, le design et l implémentation des contrôles sont appropriés et, dans un rapport de type 2, l efficacité opérationnelle est prouvée). Si une société de services utilise la méthode «inclusive», la société sous-traitante devra alors également fournir une lettre portant sur sa propre évaluation du contrôle interne incluse, soit dans la description du système, soit dans un document annexe au rapport. L émission d un rapport spécifique, dans le cas où la société de services n a pas conçu elle-même les contrôles, n est pas réalisable selon les nouvelles normes. 6

7 Restrictions sur l utilisation du rapport Ecarts et exceptions Evénements postérieurs à la date de certification («subsequent events») Utilisation de l audit interne Documents de preuve obtenus dans le cadre d audits préalables Norme SAS 70 existante Norme américaine SSAE 16 Norme internationale ISAE 3402 Le rapport du cabinet d audit externe inclut une déclaration qui restreint l utilisation du rapport à la direction et aux entités métiers de la société de services ainsi qu aux sociétés clientes et à leurs auditeurs. Ne permet pas à un cabinet d audit externe de conclure qu un écart identifié lors d une campagne de tests (basée sur une règle d échantillonnage) n est pas représentatif de la population totale toutes les exceptions sont exposées dans le rapport. Le cabinet d audit externe doit envisager d exposer, au travers de son opinion, les événements postérieurs à la date de certification. Cette présentation peut intervenir si ceux-ci ne sont pas déjà inclus dans la description des systèmes, afin que les entités utilisatrices ne soient pas induites en erreur sur le fait que ces événements postérieurs n impactent pas leur opinion (pour les événements postérieurs de type 1 ou de type 2). L utilisation des travaux d une équipe d audit interne est autorisée, néanmoins les tests réalisés par l audit interne ne sont pas exposés. Un cabinet d audit externe a la possibilité d utiliser les preuves récoltées par un autre cabinet d audit externe dans le cadre d une mission précédente. Ceci permet de réduire la nature, la durée et l étendue des tests d efficacité opérationnelle des contrôles. Permet l utilisation d une équipe d audit interne (y compris en assistance directe) ; néanmoins, dans ce cas, les tests de l audit interne ainsi que ceux du cabinet d audit externe sur les travaux de l audit interne sont présentés dans le rapport. Le rapport devra spécifier qu il est destiné uniquement aux sociétés clientes ainsi qu à leurs auditeurs. Des limitations d usage pourront être incluses. Permet à un cabinet d audit externe de conclure qu un écart identifié (lors d une campagne de tests basée sur une règle d échantillonnage) est isolé et constitue une anomalie. Restreint les cabinets d audit externes à l exposition des seuls événements postérieurs qui pourraient impacter leur opinion. Ne permet pas de s appuyer directement sur une structure d audit interne (pas d assistance directe). Si la fonction d audit interne est sollicitée, les tests réalisés par cette dernière sont dévoilés ainsi que les tests de reperformance portant sur les travaux de l audit interne réalisés par le cabinet d audit externe. Les preuves obtenues lors de missions d audit précédentes et dans le cadre de tests d efficacité opérationnelle ne sont pas une base suffisante permettant de réduire les travaux de testing, même si ces preuves sont complétées par de plus récentes. Dans le cas où des écarts existaient au préalable, l étendue des travaux de testing réalisés dans la période d audit en cours pourrait néanmoins être accrue. Norme SAS 70 et nouveaux standards ISAE 3402 et SSAE 16 7

8 2. Analyse des écarts Évaluation de l adéquation de l environnement de contrôle interne, des objectifs de contrôle et des procédures appliquées au regard des objectifs fixés par le management et des risques ; Identification des principales déficiences du dispositif ; Rédaction d un plan d amélioration fondé sur les meilleures pratiques du marché. 3. Support à l amélioration Pilotage centralisé du déploiement du plan d actions ; Renforcement du dispositif de contrôle interne ; Assistance à la formalisation de la documentation afférente aux activités de contrôle. 4. Préparation des sections 2 & 3 Description de l environnement de contrôle interne, des objectifs de contrôle et des procédures appliquées (type 1 et type 2) ; Réalisation des tests de cheminement afin de vérifier le fonctionnement des procédures décrites (type 1 et type 2) ; Réalisation des tests de détail pour vérifier l efficacité opérationnelle des contrôles (type 2). 5. Certification du contrôle interne (type 1 ou type 2) Rapport de l auditeur : opinion sur la conception des contrôles (type 1 et type 2) et sur l efficacité opérationnelle des contrôles (type 2). Section 1 Rapport de l auditeur Section 2 Informations fournies par la société prestataire de services Section 3 Informations fournies par l auditeur Section 4 Autres informations fournies par la société prestataire de services (facultative) SAS 70 type 1 SAS 70 type 2 Opinion du vérificateur à une date donnée sur la fidélité de la description, sur l adéquation ainsi que sur la conception des contrôles par rapport aux objectifs de contrôle fixés Description des contrôles internes et des objectifs de contrôle Sans objet Informations complémentaires que la société prestataire de services souhaite communiquer et sur lesquelles l auditeur n émet pas d opinion (par exemple, le plan de continuité d activité) Opinion du vérificateur sur la période considérée (comprise entre 6 mois et 1 an) sur la conception et l efficacité opérationnelle des contrôles pour atteindre les objectifs fixés Description des contrôles internes et des objectifs de contrôle Résultats des tests d efficacité opérationnelle incluant les exceptions identifiées Informations complémentaires que la société prestataire de services souhaite communiquer et sur lesquelles l auditeur n émet pas d opinion (par exemple, le plan de continuité d activité) 8

9 Définitions SAS 70 Statement on Auditing Standards n 70. Norme d audit édictée par l Ordre des experts-comptables américain AICPA (American Institute of Certified Public Accountants) et ayant pour objectif d établir des rapports qualifiant les procédures de contrôle interne d un prestataire à destination de ses utilisateurs ou auditeurs. SSAE 16 Statement on Standards for Attestation Engagements. Nouvelle norme émise par l AICPA en remplacement de la norme SAS 70 applicable à partir de juin 2011, impliquant l engagement du management de l entité certifiée. ISAE 3402 International Standard on Assurance Engagements Norme internationale publiée par l IAASB (International Auditing and Assurance Standards Board), applicable à partir de juin 2011, impliquant l engagement du management de l entité certifiée. AICPA IAASB Conseil des normes internationales d'audit et d'assurance (International Auditing and Assurance Standards Board). Il sert l'intérêt public en définissant, de manière indépendante et de sa propre autorité, des normes de haute qualité portant sur l'audit, la révision, les autres services d'assurance, de contrôle de qualité et les services connexes, et en facilitant la convergence des normes nationales avec les normes internationales. COSO Référentiel de contrôle interne défini par le Committee of Sponsoring Organizations of the Treadway Commission. Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2. PCAOB La Public Company Accounting Oversight Board est une société créée par la loi américaine Sarbanes-Oxley en 2002 afin de superviser les audits des sociétés cotées. American Institute of Certified Public Accountants. L AICPA établit les normes de déontologie de la profession ainsi que les normes de vérification américaines relatives au contrôle de gestion des entreprises privées, publiques, du gouvernement fédéral, des États, des administrations locales et des organismes sans but lucratif. En outre, il élabore et corrige l'examen uniforme de CPA (Certified Public Accountant). Norme SAS 70 et nouveaux standards ISAE 3402 et SSAE 16 9

10 Pourquoi Deloitte? Une équipe d experts internationaux sur les normes de certification Au sein des activités Audit & Risk Services et FSI (Financial Services), nous avons constitué une équipe de professionnels spécialistes de la norme SAS 70, plus particulièrement attentifs à l évolution des obligations réglementaires et aux besoins du marché. Ces professionnels maîtrisent les principaux référentiels et meilleures pratiques du marché (par exemple Cobit, COSO, PCAOB). Deloitte a travaillé activement dans les groupes de travail sur les nouvelles normes, ce qui permet à nos professionnels d être toujours en possession de l information la plus récente et d en faire bénéficier nos clients. Deloitte a également publié un livre blanc sur les nouvelles normes, les similitudes et différences qu elles offrent entre elles et avec le SAS 70 ainsi que sur leurs enjeux et implications pour les entreprises, afin de les accompagner dans l adoption de ces nouveaux standards du marché. Les collaborateurs de nos équipes participent à des sessions intensives de formation et mettent en œuvre des processus éprouvés au sein du réseau Deloitte pour la production des rapports de certification du contrôle interne. Des équipes multidisciplinaires et la force d un réseau international Pour vous assister dans vos démarches de certification du contrôle interne, nous vous proposons une maîtrise et une intégration de l ensemble de vos problématiques grâce à une synergie forte entre nos équipes spécialisées sur les SAS 70 et les autres métiers de Deloitte : spécialisés par industrie ou segment d industrie, systèmes d information et processus, transactions financières, fiscalité en collaboration avec les fiscalistes du réseau Deloitte, pour répondre à l ensemble des besoins à appréhender dans le cadre de l émission de rapports de certification du contrôle interne. 10

11 Vos contacts Pôle industries et services Olivier Mauduit Tél. : 33(0) Laurence Molinier lmolinier@deloitte.fr Tél. : 33(0) Pôle institutions financières Pascal Koenig pkoenig@deloitte.fr Tél. : 33(0) Rédouane Bellefqih rbellefqih@deloitte.fr Tél. : 33(0) Elisabeth Bordes ebordes@deloitte.fr Tél. : 33(0) Les nouvelles normes Livre blanc publié par Deloitte Pour permettre aux prestataires de services de se préparer à l adoption des nouvelles normes ISAE 3402 et SSAE 16. Maîtriser les risques de l'entreprise Service à l'audit interne Pour une implication optimale des spécialistes de l'audit interne dans l'évaluation des risques liés aux engagements de l'entreprise avec des tiers. Un contrôle interne adapté à vos enjeux Vers l'intelligence des risques Pour maîtriser les risques de l'entreprise et développer un contrôle interne adapté à vos enjeux. Sécurité de l'information Une composante essentielle de la maîtrise des risques et de l'amélioration de la performance Pour sécuriser vos systèmes d'information et protéger les accès à l'information. Mettez du confort dans vos zones de risque Neuf principes pour devenir une Risk Intelligence Enterprise Pour mettre en place un dispositif dynamique et pérenne de gestion des risques de l'entreprise. Norme SAS 70 et nouveaux standards ISAE 3402 et SSAE 16 11

12 Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais («private company limited by guarantee»), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets membres, consulter En France, Deloitte SA est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés. Deloitte fournit des services professionnels dans les domaines de l audit, de la fiscalité, du consulting et du financial advisory à ses clients des secteurs public ou privé, de toutes tailles et de toutes activités. Fort d un réseau de cabinets membres dans plus de 140 pays, Deloitte allie des compétences de niveau international à des expertises locales pointues afin d accompagner ses clients dans leur développement partout où ils opèrent. Nos professionnels sont animés par un objectif commun, faire de Deloitte la référence en matière d excellence de service. En France, Deloitte mobilise un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs des grandes entreprises multinationales aux microentreprises locales, en passant par les entreprises moyennes. Fort de l expertise de ses collaborateurs et associés, Deloitte en France est un acteur de référence en audit et risk services, consulting, financial advisory, juridique & fiscal et expertise comptable, dans le cadre d une offre pluridisciplinaire et de principes d action en phase avec les exigences de notre environnement. Pour en savoir plus, Deloitte 185, avenue Charles-de-Gaulle Neuilly-sur-Seine Cedex Tél. : 33 (0) Fax : 33 (0) Décembre 2010 Deloitte Conseil - Tous droits réservés - Member of Deloitte Touche Tohmatsu Limited Studio graphique Neuilly Document imprimé sur papier certifié PEFC