Présentation de la norme SAS 70, édictée par l'ordre des experts comptables américains et conseillée pour les prestataires de services d'investissement.
[...] III - Avantages de faire un rapport de type SAS 70 Le rapport SAS 70 est un standard international reconnu comme audit standard. Il en découle que le prestataire de services qui a établi un tel rapport a fait l'objet d'un processus indépendant d'audit en profondeur de ses activités de contrôle, incluant généralement les contrôles relatifs au système d'informations et des processus associés. Cette certification, valable généralement durant un an, permet de pouvoir éviter de multiples audits réalisés régulièrement par ses clients. [...]
[...] SAS 70 La norme SAS 70 (Statement of Audit Standards) est une norme édictée par l'ordre des experts comptables américains (AICPA) en 1992 et révisée en 2002. Il ne s'agit pas d'une obligation légale, même s'il est conseillé aux prestataires de service d'investissement (PSI) de disposer de cette certification. Elle s'applique à toutes les entreprises qui offrent des prestations susceptibles d'affecter la situation financière de leurs clients. Le SAS 70 va au-delà des aspects relatifs au traitement de l'information et comprend une analyse des contrôles garantissant la qualité et l'équité des services fournis aux clients. [...]
[...] La certification SAS 70 permet à ces fournisseurs de fournir cette assurance. Pour le prestataire, le rapport SAS 70 permet : - de fournir une réponse structurée aux exigences de transparence de leurs clients (ou de leurs auditeurs) en matière de contrôle interne et ainsi de minimiser le nombre de demandes d'audit externe, - d'établir l'adéquation des contrôles au regard des objectifs fixés par le management, - d'avoir un éclairage sur sa propre activité, ce qui a pour conséquence induite de rehausser le niveau de qualité des services fournis, - de s'appuyer sur le diagnostic et le rapport d'un auditeur externe reconnu. [...]
[...] IV - Impact de cette norme sur les processus La réalisation de ce rapport implique une étude approfondie des processus en place chez le prestataire. Si à la suite de cette étude des processus l'auditeur met en évidence une défaillance du contrôle interne, il faudra alors revoir l'organisation de l'entreprise afin de garantir un système de contrôle interne complet et efficace répondant aux exigences du métier. [...]
[...] Les travaux aboutissant à ce type de rapport sont effectués sur les contrôles durant une période de six mois minimum, période à la suite de laquelle l'auditeur donne une opinion sur leur design, leur existence et leur fonctionnement correct tout au long de la période. Un rapport SAS 70 comprend différentes parties : - Le rapport de l'auditeur externe, - Le périmètre des activités couvertes, - La description par l'entité de l'environnement de contrôle, de l'évaluation des risques et des contrôles de pilotage, - Le Système d'Informations, - Les objectifs de contrôle, contrôle clés associés et, le cas échéant, des tests d'application effective menés par l'auditeur, - D'autres informations fournies par le prestataire de services, - D'autres informations fournies par l'auditeur externe. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture