Lëtzebuerger Gemengen

EMPLOI ET FORMATION

La certification se perfectionne

Les entreprises de services font aujourd’hui l’objet d’audits multiples et de missions d’examen sur la demande de leurs clients ainsi que des auditeurs de ces derniers tout comme des organismes de régulation. C’est dans ce cadre que les rapports SOC ont vu le jour, anciennement SAS 70, en concordance avec les standards internationaux d’audit et d’assurance, ISAE.

«C’est l’organisation matricielle et internationale des entreprises à l’heure actuelle, que ce soit dans le domaine de la finance, de l’industrie ou des services, qui a conduit à la mise sur pied de rapports d’audit très détaillés, les rapports SOC», explique Michael Hofmann, associé au département gestion des risques informatiques chez KPMG Luxembourg.

Les entreprises se concentrent toujours davantage sur leur cœur de métier afin d’améliorer leurs processus de production, et sous-traitent ainsi de plus en plus les services à faible valeur ajoutée, voire même des services plus complets ou plus sophistiqués depuis quelques années. «Il est important de souligner que toute entreprise reste responsable de ses opérations et de ses services», affirme Estefania Rizzo, Senior Manager. Il faut dès lors pouvoir évaluer l’environnement de contrôle en place dans la société de sous-traitance, l’externalisation des services présentant des risques non négligeables.
En d’autres termes, les prestataires doivent se conformer à une hausse de demandes d’informations et d’audit de la part de leurs clients, ce qui n’est pas forcément chose aisée.

Il y a une vingtaine d’années, l'American Institute of Certified Public Accountants (AICPA) avait créé une norme, baptisée SAS 70 (Statement on Auditing Standards n°70), définissant les méthodes auxquelles les organismes chargés du contrôle interne et des audits financiers sur les sociétés devaient recourir. Comme son nom l’indique, il s’agit de rapports effectués à la suite d’audits réalisés par des tiers et de vérifications des processus sur site, afin de donner une opinion indépendante sur l’environnement de contrôle d’une société prestataire de services.

Mais avec une augmentation significative des besoins d’externalisation de services, cette norme américaine, qui ne couvrait que les services ayant un impact sur les aspects financiers, a été remplacée par la norme internationale ISAE/SOC1 en juin 2011, et a permis l’apparition de nouveaux standards : SOC 2 et SOC 3 qui élargissent le champ des compétences afin que d’autres risques, comme ceux liés aux processus opérationnels, soient couverts. Il s’agit là de répondre à de nouvelles demandes émanant notamment du secteur des TIC. «Prenons l’exemple d’une société commerciale qui fait appel à une société spécialisée dans les TIC pour l’évaluation de ses sites Internet ou pour l’hébergement de données sensibles.

Elle aura besoin d’une série d’éléments sur l’environnement de contrôle de la société prestataire de services afin de s’assurer de la disponibilité et de la sécurité de ses sites Internet ou de l’hébergement des données en question. Et ce qui, dans ce contexte, est intéressant dans les standards SOC par rapport à une norme ISO, est le fait qu’elle couvre toute la période du processus d’évaluation et de contrôle ; elle ne s’applique pas uniquement à une date fixe, En outre, les rapports sont beaucoup plus détaillés», précise Christophe Buschmann, Assistant Manager.  

Cette nouvelle approche permet de vérifier l’absence de failles dans le traitement d’opérations sensibles, et est ainsi un gage d’assurance pour les clients, d’autant qu’il est donc reconnu internationalement : «Une société proposant des services IT ici au Grand-Duché a tout intérêt à adopter SOC 2 puisqu’elle est susceptible de s’adresser à des filiales de grands groupes basés à l’étranger. C’est même un critère de différenciation qui peut s’avérer déterminant», affirme Estefania Rizzo.

Dans ce cadre, en tant que société accréditée, KPMG peut aider ses clients à mettre en place la ou les norme(s) appropriée(s) avant de réaliser les certifications correspondantes.  

Au niveau comptable et de la certification, ISAE/SOC marque un grand pas en avant et est le fruit de beaucoup d’années de recherche. Preuve que cette démarche était essentielle, de nombreuses entreprises luxembourgeoises ont déjà opté pour cette certification depuis le début de l’année.