SAS 70

SAS 70

SAS 70 (Statement on Auditing Standards no.70) est une norme d'origine Américaine reconnue au niveau international, notamment comme élément de conformité à Sarbanes-Oxley.

Elle a été créée par l'American Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés.

Elle se caractérise par des audits indépendants réalisés par des tiers et des vérifications des processus sur site. Cette norme concerne les entreprises qui font appel à des fournisseurs spécialisés pour externaliser leur service. En effet, les entreprises veulent contrôler la qualité du service offert (qui doit être tout aussi voire plus performant que celui réalisé en interne).

Elle comporte deux niveaux (Type I et type II). Le premier porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70 (type II).

Depuis le 15 juin 2011, la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.

Sommaire

Origine de la norme SAS 70

Aujourd’hui, les entreprises se concentrent sur leurs centres de compétences afin d’améliorer l’efficacité de leurs processus de production. Elles ont donc recours à l’externalisation et à la sous-traitance pour des services à faible valeur ajoutée et depuis peu pour des services complets voire pour une activité entière. Cependant, l’externalisation d’une activité nécessite de maîtriser les risques car elle a un impact direct sur les comptes des entreprises et sur leurs informations financières. Les entreprises doivent donc contrôler que leurs prestataires (du service externalisé ou le sous-traitant) ont mis en place des procédures conformes à leur exigence.

Les prestataires subissent donc une hausse de demandes d’information et d’audit de la part de leurs nombreux clients. Une solution alternative est donc envisagée : un certificat émis par un tiers indépendant sur la qualité de leur dispositif de contrôle interne. C’est le but de la norme SAS 70. Elle prévoit la transmission de rapports sur la qualité des procédures de contrôle interne d’un prestataire à l’intention de l’entreprise cliente.

Les prestataires intéressés doivent généralement réaliser des travaux en vue d’éliminer les défauts de leurs procédures de contrôle interne et de rendre ces dernières exhaustives et homogènes. Au final, la norme SAS 70 renforcera la crédibilité des prestataires vis-à-vis de leurs clients.

Types d'Entreprises intéressées par cette norme

La norme SAS 70 s’applique à toutes les entreprises qui offrent des prestations susceptibles d’affecter la situation financière de leurs clients.

Le recours à cette norme est déjà largement répandu à travers le monde. Plus de 450 rapports ont déjà été émis à ce jour:

  • 50% des rapports concernent des prestataires de services financiers (établissements de crédit, gestionnaires d’actifs)
  • 22% concernent des centres de gestion de données
  • 21% des organismes de gestion de la paie et de l’administration du personnel

L’utilisation de cette norme s’est fortement développée aux Etats-Unis. Elle s’applique à toutes les sociétés auditées selon les normes de l’AICPA, ainsi qu’aux sociétés soumises à l’article 404 de la loi Sarbanes-Oxley. Elle commence à se diffuser en Europe, en France notamment, à l’initiative des grands acteurs en matière de compensation de titres et d’administration de fonds.

Cependant que se soit aux États-Unis ou en Europe, il n’existe pas d’obligation légale de la mettre en place, mais elle est largement utilisée par les entreprises Américaines prestataires en matière d’information financière.

Les différentes étapes

Le recours à la norme SAS 70 doit s’inscrire dans un processus comprenant plusieurs étapes. L’entreprise intéressée doit d’abord formaliser précisément son dispositif de contrôle interne, ses objectifs de contrôle et les contrôles liés, puis établir un document décrivant l’ensemble de ce dispositif. C’est sur la base de ce document que le vérificateur, en règle générale un cabinet d’audit, exprimera une opinion.

En pratique, il existe deux types de rapports :

  • un rapport de type I, dans lequel le vérificateur émet une opinion sur la fidélité de la description et sur l’adéquation des contrôles par rapport aux objectifs fixés. Ce type de contrôle s'effectue une fois par an. Les entreprises utilisent généralement ce premier rapport pour déterminer une tendance pour finalement adopter le rapport de type II. Elle a comme inconvénient de ne décrire l'organisation qu'à un temps t et non sur une période
  • un rapport de type II, plus complet du fait d'une étude portée sur une période (de 6 mois minimum en général) et dans lequel le vérificateur émet en plus une opinion sur l’efficacité des contrôles pour atteindre ces objectifs). La certification SAS 70 de type II est donc la certification la plus complète. Elle intègre non seulement un audit au moment de la certification, mais ensuite des contrôles réguliers pour s'assurer que les procédures mises en place restent bien appliquées. Elle constitue une opportunité supplémentaire pour l'entreprise d'améliorer sans relâche son organisation. Pour chaque service audité, une grille de contrôle a été mise en place avec une liste des objectifs de contrôle, des activités contrôlées, des plans de test, des observations et recommandations.

Avantages et inconvénients de cette norme

Avantages

Actuellement les établissements spécialisés nouent un nombre croissant de partenariats afin de proposer leurs services dans des domaines aussi variés que le crédit à la consommation, le crédit-bail, l’affacturage ou le recouvrement. Le recours à la norme SAS 70 présente ainsi un double avantage : il constitue à la fois une réponse appropriée aux exigences du nouveau règlement n° 97-02[1] et un moyen de différenciation commerciale.

Une telle certification apporte bien des avantages. L’un d’eux est de pouvoir éviter de multiples audits réalisés régulièrement par les clients. Cela permet à un fournisseur d’éviter de se faire auditer annuellement par chaque client. En effet, les sociétés qui ont l'obligation de se faire auditer selon la loi américaine de Sarbanes-Oxley, doivent s'assurer que leurs propres fournisseurs soient en ordre. Un autre avantage est relatif à l'image qu'offre une société certifiée SAS 70 par rapport à ses concurrents non certifiés. Le département de marketing est alors parmi les premiers demandeurs d'une telle certification car c’est un moyen de différenciation commerciale. Enfin la force de cette norme c’est qu’elle s’appuie sur le diagnostic et le rapport d'un auditeur externe reconnu.

Inconvénients

Le travail de conception et de documentation nécessaire pour appuyer une certification SAS 70 peut prendre du temps et un effort important. Il faut planifier ce travail avant de fixer les dates des visites des auditeurs. Pour faciliter cette étape, l’entreprise doit adopter des cadres de références connus (ISO27002, Cobit, etc, ...) qui permettent de parler un langage similaire avec les auditeurs et les responsables chez le client. Ils permettent aussi de s'assurer qu'un domaine de contrôle important ne sera pas oublié.

Actualités

Notes et références

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article SAS 70 de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • sas — [ sas ] n. m. • 1380; saaz XIIIe; lat. médiév. setacium, class. seta « soie de porc, crin » 1 ♦ Pièce de tissu (crin, soie, voile) montée sur un cadre de bois, servant à passer diverses matières liquides ou pulvérulentes. Sas à gros trous (⇒… …   Encyclopédie Universelle

  • SAS — or SAS may refer to: Military * Special Air Service, the principal special forces unit of the British Army * Australian Special Air Service Regiment, Australian regiment derived from the British Army regiment * New Zealand Special Air Service (NZ …   Wikipedia

  • SAS-2 — (Small Astronomy Satellite 2) SAS 2 Организация: НАСА Другие названия: SAS B, Explorer 48 Волновой диапазон: Гамма лучи NSSDC ID …   Википедия

  • sas — 1. (sâ) s. m. 1°   Tissu de crin, de soie, etc. entouré d un cercle de bois, et qui sert à passer de la farine, des liquides. Gros sas. Sas délié.    Plâtre au sas, voy. plâtre.    Faire tourner le sas, prétendu mode de divination à l aide d un… …   Dictionnaire de la Langue Française d'Émile Littré

  • SAS — steht als Abkürzung und namentlich für: Computertechnik: Secure Attention Sequence, Terminus für die Tastenkombination Strg+Alt+Entf unter Windows Serial Attached SCSI, Computerschnittstelle, Nachfolger der parallelen SCSI Schnittstelle Server… …   Deutsch Wikipedia

  • Sas — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. {{{image}}}   Sigles d une seule lettre   Sigles de deux lettres > Sigles de trois lettres …   Wikipédia en Français

  • SAS-3 — (Small Astronomy Satellite 3 ) Организация: НАСА Другие названия: SAS C, Explorer 53 …   Википедия

  • SAS-2 — (Explorer 48) Der Small Astronomy Satellite 2 (SAS 2), ein Projekt der NASA, war eines der ersten Weltraumteleskope zum Nachweis kosmischer Gammastrahlung. SAS 2 (auch als SAS B und Explorer 48 bekannt) wurde am 15. November 1972 mit einer Scout… …   Deutsch Wikipedia

  • SAS 2 — Pour les articles homonymes, voir SAS. SAS 2, pour Small Astronomy satellite 2 (litt. « petit satellite [dédié à] l astronomie ») un satellite artificiel mis en œuvre par la NASA, le premier lancé et dédié à l étude des sources… …   Wikipédia en Français

  • sas — SAS. s. m. Tissu de crin attaché à un cercle de bois, & qui sert à passer de la farine, du plastre, &c. Gros sas. sas delié. plastre au sas. de la farine passée au gros sas. On dit prov. De certaines choses qui ont esté examinées avec peu de soin …   Dictionnaire de l'Académie française

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”