Contrôle interne et bonnes pratiques limitent les risques de la sous-traitance
Face aux aléas de l'externalisation, deux associations publient un livre blanc
Plus que jamais, les risques liés à la sous-traitance informatique méritent d'être encadrés. Le contexte s'y prête, si l'on en juge l'accroissement des offres de services hébergés mais aussi des prestataires s'initiant aux métiers de l'infogérance, de l'externalisation et de l'hébergement. Sans oublier le nombre grandissant d'entreprises utilisatrices qui souhaitent renouveler leurs sous-traitants et exigent d'eux des contrôles et des audits répétés.Face à cet état de fait, l'Afai (Association française de l'audit et du conseil informatique) et l'Ae-SCM (Association pour la promotion des bonnes pratiques de sourcing) ont rapproché deux modèles liés à la prestation de service : la norme de contrôle interne SAS 70 et le référentiel de bonnes pratiques eSCM. Un livre blanc, intitulé “ eSCM et SAS 70 : l'assurance vie du client ”, a ainsi été publié cet été.Le standard SAS 70 a été choisi car il fournit des outils pour auditer la prestation externalisée d'un fournisseur. “ Les exigences de Sarbanes-Oxley ont remis au goût du jour le contrôle interne. Le périmètre de l'entreprise ne s'arrêtant pas à ses portes, le contrôle doit cibler les services externalisés ”, explique Serge Yablonsky, président d'honneur de l'Afai. Cette norme fournit une évaluation indépendante sous forme de rapports codifiés listant l'ensemble des objectifs et des dispositifs de contrôle mis en place. C'est une attestation à faire valoir aux entreprises clientes souhaitant s'assurer de l'efficacité des contrôles internes de leurs prestataires. Enfin, SAS 70 recouvre un “ avantage concurrentiel. Il nous fait gagner un contrat sur trois et peut même nous éliminer si nos rapports ne sont pas assez précis ”, détaille Franck Mahé, directeur de la sécurité chez ADP, prestataire spécialisé dans les ressources humaines.Le processus d'audit ne se limite pas à une norme. Il lui faut également un référentiel de bonnes pratiques sur lequel s'appuyer. Spécialisé dans la gouvernance et l'audit des systèmes d'information, Cobit peut jouer ce rôle, “ mais, pour chaque mission d'externalisation, il faut rechercher les tests et les objectifs de contrôle nécessaires à la certification SAS 70 ”, poursuit Serge Yablonsky.
Votre opinion