En réponse au développement de la sous-traitance d’activités conjugué à la crise de confiance qui a ébranlé le système économique et financier international, l’utilisation de rapports d’assurance sur les contrôles de prestataires de services de type SAS70 n’a cessé de s’accroître.

En effet, dans un objectif d’efficacité et rationalisation des coûts, les entreprises se concentrent davantage sur le cœur de leurs compétences et sous-traitent de façon croissante les activités pour lesquelles leurs avantages concurrentiels sont moindres.

Cependant l’externalisation d’activités nécessite d’en maîtriser les risques. Ainsi, les entreprises bénéficiant de services fournis par des tiers, ayant un impact direct sur la présentation de l’information financière, doivent s’assurer que des dispositifs de contrôle pertinents ont été mis en place et fonctionnent de façon adéquate chez leurs prestataires externes.

Jusqu’à présent, la norme SAS70 constituait la référence internationalement reconnue en la matière et les prestataires de services disposant d’un rapport de ce type bénéficiaient d’un véritable avantage concurrentiel pour se positionner face aux attentes de leurs clients.

Or, le 15 juin 2011 marque la disparition définitive de la norme SAS70 et son remplacement au profit de deux nouvelles normes, l’une internationale (ISAE 3402) et l’autre américaine (SSAE 16) qui sont désormais d’application pour tout rapport couvrant une période se terminant le 15 juin 2011 ou postérieure à cette date.

Quels sont les impacts induits par l’introduction de ces nouvelles normes ainsi que les modalités de transition à appréhender pour les prestataires de services qui disposaient jusqu’à présent de rapports SAS70 ?

Les raisons de la modification et du remplacement de la norme SAS70

Depuis sa création en 1992 par l’American Institute of Certified Public Accountants (AICPA), la norme Statements on Auditing Standards No. 70 (SAS 70) s’est avérée être une norme efficace et l’on peut dès lors s’interroger sur les raisons qui motivent son extinction et son remplacement par de nouvelles normes.

Une des raisons de cette évolution tient au fait qu’il n’existait pas de norme internationale pour ce type de rapport d’assurance sur les contrôles de prestataires de services. Bien qu’elle ait été la norme la plus répandue sur le plan international, la norme SAS70 était en effet une norme américaine.

Ainsi, l’International Auditing and Assurance Standards Board (IAASB) a émis une nouvelle norme internationale, l’International Standard on Assurance Engagements No. 3402 (ISAE 3402). En parallèle, l’American Institute of Certified Public Accountants (AICPA) a également révisé la norme SAS70 et l’a remplacée par le Statement on Standards for Attestation Engagements No. 16 (SSAE 16).

Ces deux nouvelles normes n’ont pas pour but de révolutionner la manière dont ces missions d’assurance sur les contrôles sont menées. Elles ont en fait été élaborées pour davantage répondre aux demandes du marché actuel et s’aligner sur les normes de missions d’assurance les plus modernes.

Pour ce qui concerne l’exigence d’indépendance pour les missions d’assurance ISAE 3402 et SSAE16, tout comme pour les SAS70, il n’y a pas pour l’auditeur mandaté à cet effet d’incompatibilité avec l’audit externe du prestataire de services, ni de nécessité d’être indépendant de chacune des entreprises utilisatrices des rapports ISAE 3402 et SSAE16.

Le changement le plus majeur par rapport à la norme SAS 70

Les révisions apportées à la norme SAS 70 représentent la première modification significative depuis sa parution, il y a presque deux décennies. Le changement le plus important introduit par les normes ISAE 3402 et SSAE 16 concerne l’obligation pour la direction du prestataire de services de fournir une assertion écrite attestant que les contrôles sont présentés de façon adéquate, que la conception et l’implémentation des contrôles sont appropriées (pour un rapport de type 1) et que l’efficacité opérationnelle de ces derniers est prouvée (pour un rapport de type 2).

Afin de pouvoir fournir cette assertion, la direction devra disposer d’une base raisonnable se fondant sur des critères clairement définis, ce qui peut impliquer la nécessité pour la direction de développer ses propres processus d’évaluation du contrôle interne, si ces derniers ne sont pas déjà en place ou insuffisamment formalisés.

Les normes ISAE 3402 et SSAE 16 décrivent à cet égard des exigences précises auxquelles la direction doit se conformer afin de préparer l’évaluation du contrôle interne. La direction doit notamment :

• sélectionner des critères appropriés pour la préparation des descriptions, l’évaluation du caractère approprié de la conception des contrôles et, pour un rapport de type 2, l’évaluation du fonctionnement efficace des contrôles sur la période couverte par le rapport. Les critères sélectionnés devront être spécifiques, mesurables et adaptés aux contrôles et devront être clairement décrits dans l’assertion écrite qui sera produite par la direction.
• identifier les risques auxquels l’entreprise fait face et qui pourraient menacer l’atteinte des objectifs de contrôle définis dans le rapport.
• identifier et évaluer les contrôles en place de sorte à disposer d’une assurance raisonnable quant à la maîtrise de ces risques et l’atteinte des objectifs de contrôle afférents.

Ainsi, les prestataires de services qui n’ont pas encore développé de façon structurée de tels processus leur permettant de surveiller et d’évaluer leurs contrôles pourraient se retrouver face à un défi de taille dans le cadre de l’implémentation des normes ISAE 3402 et SSAE16 ou de la transition de la norme SAS70 vers ces nouvelles normes.

Il convient également de noter que si le prestataire de services dépend lui-même de contrôles réalisés par un sous-traitant et que la direction choisit de les traiter dans le cadre de la méthode d’inclusion (c’est-à-dire si la description faite par la direction du système de contrôle inclut les contrôles prestés par le sous-traitant), la direction devra également évaluer le système de contrôle interne chez le sous-traitant et obtenir une assertion écrite préparée par la direction du sous-traitant.

Quelles autres nouveautés ?

Parmi les autres nouveautés apportées par les normes ISAE 3402 et SSAE 16, il convient notamment de noter les éléments suivants :

• Dans un rapport de type 2, si le travail de l’auditeur interne a été sollicité, les tests réalisés par ce dernier seront décrits ainsi que les tests de reperformance portant sur les travaux de l’audit interne réalisés par l’auditeur.
• Les normes ISAE 3402 et SSAE 16 imposent d’investiguer la nature et les causes des déviations identifiées.
• Les preuves obtenues lors de missions d’assurance précédentes et dans le cadre de tests d’efficacité opérationnelle des contrôles ne constituent plus une base suffisante permettant de réduire l’étendue des tests.

Quelle norme faut-il utiliser ?

Dans de nombreux cas, le choix de la norme à appliquer sera aisé. SSAE 16 sera la norme utilisée pour les entreprises se situant et opérant aux Etats-Unis tandis qu’ISAE 3402 sera la norme utilisée par toutes les autres entreprises.

Cependant, dans un contexte de globalisation de l’économie, un grand nombre de prestataires de services réalisent leurs opérations et/ou ont leurs clients à la fois aux Etats-Unis et dans le reste du monde.

Grâce aux efforts déployés par l’AICPA pour faire converger la norme SSAE 16 vers la norme internationale ISAE 3402, les deux normes ne présentent in fine pas de divergences fondamentales entre elles. Ainsi, il est possible pour un prestataire de services d’établir un rapport combiné ISAE 3402 / SSAE16 satisfaisant aux deux normes.

Que faire maintenant ?

La transition de la norme SAS70 vers les nouvelles normes ISAE 3402 et/ou SSAE 16 nécessite un travail d’analyse pour notamment assurer que la direction disposera d’une base raisonnable lui permettant de produire son assertion écrite.

Même si l’on peut raisonnablement présumer que les entreprises qui disposaient déjà d’un rapport SAS70 devraient vraisemblablement disposer d’un certain nombre d’éléments leur permettant de répondre aux nouvelles exigences, la direction de ces entreprises ne devrait toutefois pas sous-estimer leur importance et l’impact que des manquements pourraient avoir sur leur rapport ISAE 3402 et/ou SSAE16 à venir.