les audits des contrôles de sociétés de services soc i – soc ii – soc iii

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

31 Mars 2015

© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.

Agenda

1. Historique et compréhension des besoins2. L’audit des contrôles3. La description du système de la société de services produite par la

direction4. L’assertion de la direction5. Les considérations des sous-traitants de la société de services6. L’étendue de l’audit7. Les réserves et les exceptions de l’auditeur8. L’utilisation des travaux de la fonction d’audit interne9. L’utilisation des rapports par le « client »Annexe A ‒ Exemple d'assertion de la direction d'une société de services

1 Les audits des contrôles de sociétés de services


Historique et compréhension des besoins



Vocabulaire/acronymes du rapport de l’auditeur d’une société de services

AICPA « American Institute of Certified Public Accountants »SSAE « Standards for Attestation Engagements »ISAE « International Standards for Assurance Engagements »SOC « Service Organizational Controls »CNVC Conseil des normes de vérification et de certificationNCMC Norme canadienne de missions de certification

3

Normes existantes Nouvelles normesÉtats-Unis Canada International États-Unis Canada

Les noms des rapports de l’auditeur d’une société de services

SAS 70 5970 ISAE 3402 SSAE 16 NCMC 3416

Les audits des contrôles de sociétés de services


La « chaîne » d’interdépendance

Un besoin accru d’établir un lien de confiance avec les parties prenantes et les partenaires


Impa

rtiti

onTI

Fournisseurs

Organismesrèglementaires

Employés

Clients Société de services et partenaires

Direction et administrateurs

Entitéutilisatrice

Impartition

TI

Société de services et partenaires

Confiance? ConfianceConfiance?


Quel est l’objectif d’un rapport indépendant sur les contrôles d’une société de services?Objectif : Fournir une assurance que les contrôles décrits sont en place et fournir une opinion sur le fonctionnement des contrôles.

5

Services

Sociétéde services

Auditeurde la sociétéde services

Entitéutilisatrice

A

Entitéutilisatrice

B

Entitéutilisatrice

C

Cibles

Organismesrèglementaires

Rapport indépendant

sur les contrôles

Auditeurde l’entitéutilisatrice

C


B


A



Quels sont les bénéfices d’un rapport sur les contrôles d’une société de services?Bénéfices pour la société de services

• Crédibilité• Marketing• Avantage concurrentiel• Gestion de risques• Réduction des efforts d’audit

Bénéfices pour l’entité utilisatrice• Confiance • Gestion de risques• Satisfaction des auditeurs ou des organismes règlementaires• Réduction des coûts



Secteurs qui obtiennent des rapports sur les contrôles d’une société de services?

• Traitement de paiements• Gestion d’actifs• Affaires bancaires et marchés boursiers• Gouvernement et secteur public• Gestion immobilière• Hébergement TI• Télécommunications• Assurance• Traitement de la paie• Impartition du service des finances• Infonuagique (cloud computing)• Fournisseur de services applicatifs (SaaS)



L’audit des contrôles



L’audit des contrôles

• La direction définit les objectifs de contrôle et les contrôles conçus pour l’atteinte des dits objectifs de contrôle.

• La direction fournit la liste des contrôles complémentaires qui sont censés être en place dans les entités utilisatrices.

• L’auditeur de la société de services va continuer d’auditer les contrôles.

• L’auditeur de la société de services donne une opinion sur :˗ Type 1 – la mise en place et la conception des contrôles˗ Type 2 – la mise en place, la conception et le fonctionnement efficace des

contrôles

• Pour les audits de type 2, l’auditeur de la société de services divulgue pour chaque contrôle, selon les types de rapports :

˗ Le détail des tests exécutés˗ Les résultats des tests exécutés



La description du système de la société de services produite par la direction



La description du système de la société de services produite par la direction

Étapes pour établir efficacement une description de système

1. Établir l’étendue2. Déterminer les objectifs de contrôle3. Identifier les risques pour chaque objectif de contrôle4. Déterminer les contrôles 5. Développer une stratégie pour les écarts, le cas échéant6. Identifier les autres aspects clefs de la description du système7. Développer le cadre de contrôle à divulguer

a) Environnement de contrôleb) Évaluation des risquesc) Information et communicationd) Surveillance du contrôle interne

8. Développer les autres divulgations



Critères valables

Qu’entend-t-on par critères valables?

• « Critères » – les normes ou les points de référence utilisés pour mesurer et présenter l’élément considéré et par rapport auxquels l’auditeur de la société de services évalue cet élément.

• Le « caractère valable » des critères doit être identifié pour chaque type d’opinion émise :

1. Opinion sur la présentation fidèle de la description du système produite par la direction (Type 1 et type 2).

2. Opinion sur l’adéquation de la conception des contrôles (Type 1 et type 2).

3. Opinion sur l’efficacité du fonctionnement des contrôles (Type 2).



L’assertion de la direction




Une assertion écrite de la direction de la société de services indiquant si, dans tous leurs aspects significatifs, et au regard de critères adéquats :

1. La description du système de la société de services produite par la direction donne une image fidèle du système de la société de services tel qu’il a été conçu et était en place tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1).

2. La conception des contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction était adéquate pour l’atteinte de ces objectifs de contrôle tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1).

3. Les contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction ont fonctionné efficacement tout au long de la période spécifiée pour permettre d’atteindre ces objectifs de contrôle (Type 2).

L’assertion de la direction est presque analogue à l’opinion de l’auditeur.




• La direction doit toujours fournir une lettre d’affirmation à l’auditeur de la société de services.

• La lettre d’affirmation doit faire référence à l’assertion de la direction.




• La direction doit avoir une base raisonnable pour supporter l’assertion.

• Les normes NCMC 3416 et SSAE 16 ne prescrivent pas comment la direction doit supporter son assertion ou ce que constitue une « base raisonnable ».

• Il y a plusieurs approches possibles et facteurs à considérer, à titre d’exemples :

˗ Maturité du cadre de contrôle et des risques existants;˗ Complexité des affaires et le niveau de changement;˗ Stabilité des processus dans l’étendue;˗ Historique des erreurs et faiblesses au plan contrôle;˗ Autres sources internes d’assurance (par exemple, audit interne, tests pour

la certification des contrôles (CEO/CFO), conformité, gestion des risques); ˗ Autres sources externes d’assurance (autre que l’auditeur de la société de

services).




• L’assertion de la direction peut être incorporée à la description du système ou en annexe à celle-ci.

• Le norme 3416 ne spécifie pas qui de la société de services doit fournir l’assertion.

• L’auditeur de la société de services doit déterminer les personnes appropriées en considérant qui détient les responsabilités appropriées et les connaissances eu égard au sujet.

• Les sociétés de services peuvent choisir d’utiliser un processus de sous-certification en cascade pour supporter l’assertion.

Bien que l’auditeur de la société de services doit recevoir une lettre d’assertion signée, la signature n’a pas besoin d’apparaitre dans le

rapport 3416 bien que ce soit une pratique courante de le faire.



L’assertion de la direction Gouvernance : Exemples d’activités

Niv

eau

d’as

sert

ion

Aucunebase

Surveillancecontinue

Exemplesdeprocédures

• L’auditeur de la société de services exécute des tests et produit un rapport

• Rapport de la direction et autres activités de surveillance

• Évaluation des risques par la direction

• Tests et surveillance de l’audit interne

• Examen réglementaire indépendant

• Évaluation indépendante des risques

• Évaluation indépendante ou par la direction du fonctionnement efficace des contrôles

Documentation de support

• Aucune • Documentation de la surveillance de la direction

• Documentation de l’évaluation des risques de la direction

• Rapports réglementaires

• Rapports de l’audit interne

• Résultats de l’évaluation indépendante des risques

• Éléments probants des tests sur le fonctionnement efficace des contrôles

*Une combinaison d’une surveillance continue et des évaluations séparées vont habituellement favoriser l’efficacité des contrôles dans le temps.


Tests (SOX)Évaluationsséparées

Base raisonnable pour l’assertion de

la direction*

18


Contrôles − Risque de non-conformité

Importance

x

x

x

x

x

x

x

x

19

• Accès logique

• Gestion des changements

• Privilèges d’accès à haut niveau

x

Risque de non-conformité



L’assertion de la directionLes choses à faire et à ne pas faire

• Ce que les sociétés de services ne peuvent pas faire :˗ S’appuyer uniquement sur le travail de l’auditeur de la société de services.

• Ce que les sociétés de services n’ont pas besoin de faire :˗ Créer ou utiliser la fonction existante d’audit interne pour exécuter des tests

pour supporter l’assertion de la direction (Fils de SOx).˗ Mandater un cabinet d’audit pour exécuter des tests.

• Ce qu’il est recommandé de faire :˗ S’appuyer sur les contrôles de surveillance existants ou en ajouter.˗ Tirer avantage des pratiques existantes en matière de risques et de

contrôles. ˗ Démontrer une base raisonnable pour l’assertion de la direction.



Les considérations des sous-traitants de la société de services



Sous-traitants de la société de services

• Établir si le sous-traitant est important.˗ Est-ce que les services et les contrôles sont importants pour l’audit des

états financiers de l’entité utilisatrice?

• Si c’est important ça doit être décrit selon l’une ou l’autre des méthodes suivantes :˗ méthode d’exclusion;˗ méthode d’inclusion.



Sous-traitants de la société de services – Méthode d’exclusion• Si la méthode d’exclusion est utilisée, la nature des prestations fournies

par le sous-traitant est incluse dans la description du système de la société de services. Les objectifs de contrôle pertinents du sous-traitant et ses contrôles correspondants sont toutefois exclus.

• Le sous-traitant est alors exclu de l’étendue de l’audit : ˗ Mention explicite de l’exclusion dans l’opinion de l’auditeur;˗ Mention explicite dans la description du système produite par la direction;˗ Mention explicite dans l’assertion de la direction.

Aux États-Unis, dans la majorité des rapports impliquant des sous-traitants, la méthode d’exclusion est utilisée.



Sous-traitants de la société de services – Méthode d’inclusion

• Si la méthode d’inclusion est utilisée, la description du système de la société de services produite par la direction comprend une description de la nature des prestations fournies par le sous-traitant ainsi que les objectifs de contrôle et les contrôles correspondants du sous-traitant qui sont pertinents.

• Les contrôles exercés par le sous-traitant sont inclus dans l’étendue de l’audit.

• Les contrôles exercés par le sous-traitant sont inclus dans la section du rapport qui décrit les tests d’audit exécutés et les résultats des tests.

Si la méthode d’inclusion est utilisée, l’assertion de la direction et une lettre d’affirmation doivent être obtenues de la direction

du sous-traitant. L’assertion de la direction sera incluse au rapport d’audit.



Sous-traitants de la société de services – Méthode d’inclusion

• L’expérience à date montre que les sous-traitants ne sont pas prêts à fournir une assertion de la direction (leur conseiller juridique les avise de ne pas le faire).

• Conséquemment, la méthode d’exclusion sera probablement celle qui sera la plus utilisée.

Les sociétés qui ont des sous-traitants doivent décider si elles veulent utiliser la méthode d’inclusion avant de réaliser les travaux.

Si c’est le cas, les discussions doivent être entreprises avec la direction des sous-traitants, pour obtenir son accord sur le fait

qu’une assertion de la direction devra être fournie.



L’étendue de l’audit



Rapports « Service Organization Control » :« SOC1 », « SOC2 » et « SOC3 »

Rapports SOC1 Rapports SOC2 Rapports SOC3

Normes professionnelles

NCMC 3416SSAE 16

CPA Canada 5025AT 101

CPA Canada 5025AT 101

Sujet Contrôles pertinentspour le contrôle interne de l’information financière.

Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée.

Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée.

But Supporter les audits d’états financiers des entités utilisatrices.

Fournir une opinion à savoir si les principes des services Trust sont rencontrés.

Fournir une opinion à savoir si les principes des services Trust sont rencontrés.

Entités utilisatrices

Usage restreint ‒ La direction de la sociétéde services, la direction des entités utilisatrices, les auditeurs des entités utilisatrices.

Usage généralement restreinte ‒ Parties qui connaissent les services, les interactions, le contrôle interne et les critères.

Rapports à des fins d’utilisation générale.



Principes Trust (1/2)

Les rapports SOC 2 et SOC 3 répondent à un ou plusieurs des cinqattributs clés suivants. Ces attributs sont mieux connus comme étant des principes tel que définis ci-dessous :

1. Sécurité – Le système est protégé contre les accès non autorisés(physiques et logiques).

2. Disponibilité – Le système est disponible pour les opérations et l’utilisation tel que convenu ou accepté.

3. Intégrité des traitements – Le traitement du système est complet, exact, en temps opportun et autorisé.

4. Confidentialité – L’information identifié comme étant confidentielle est protégé tel que convenu et accepté.

5. Vie privée – L’information personnelle est recueillie, utilisée, conservée, publiée et détruite selon les ententes de confidentialité (privacy notice) et selon les critères généralement acceptés concernant la protection des informations personnelles publiées par l’AICPA et CPA Canada.



Principes Trust (2/2)

Quatre sections récurrentes dans les principes :1. Définition des politiques2. Communication des politiques3. Mise en place des procédures4. Surveillance

1. Sécurité – Page 7 à 16.2. Disponibilité – Page 17 à 28.3. Intégrité des traitements – Page 29 à 46.4. Confidentialité – Page 47 à 59.5. Vie privée – Page 59 à 62 .

Référence :http://www.webtrust.org/principles-and-criteria/item27818.pdf



Quel est le bon rapport SOC pour vous?

Description Réponse Norme d’auditapplicable

Est-ce que le rapport est requis par les entités utilisatrices et leurs auditeurs pour planifier et réaliser l’audit des états financiers et/ou la certification du contrôle interne?

Oui Rapport SOC 1

Est-ce que le rapport est requis par les entités utilisatrices comme partie intégrante à leur programme de conformité à 52-109 / Sarbanes-Oxley ou autre règlementation similaire?

Oui Rapport SOC 1

Est-ce que le rapport est utilisé par les entités utilisatrices ou parties prenantes pour accroître le niveau de confiance et s’appuyer sur les système de la société de services?

Oui Rapport SOC 2 Rapport SOC 3

Est-il requis de rendre le rapport accessible au grand public? Oui Rapport SOC 3

Est-ce que les entités utilisatrices nécessitent une compréhension des processus et des contrôles de la société de services, des tests réalisés par l’auditeur et des résultats de ce dernier?

Oui Rapport SOC 2

Non Rapport SOC 3



Introduction SOC 2

• Survol˗ Plusieurs entités impartissent des tâches ou des fonctions entière à des

société de services qui opèrent, collectent, traitent, transmettent, stockent, organisent, maintiennent et détruisent des informations pour les entités utilisatrices.

• Étendue et utilisation˗ Critères prédéfinis.˗ Exigences et directrice dans « AT Section 101, Attest Engagements, of

Statements on Standards for Attestation Engagements (SSAE) (AICPA, Professional Standards, vol. 1) » – Équivalent canadien du chapitre 5025 de CPA Canada.

˗ Utilisation restreinte : Contrairement au SOC 1, l’utilisation primaire d’un rapport SOC 2 n’est pas pour l’utilisation des auditeurs, mais bien pour la direction de la société de services et la direction des entités utilisatrices.

˗ Rapports de type 1 ou type 2 peuvent être émis.



Introduction SOC 3

• Survol˗ Les entreprises qui vendent des produits et services par téléphone ou sur

Internet ont des clients qui sont préoccupés par les moyens pris par l’entreprise pour gérer et traiter l’information des clients.

• Étendue et utilisation˗ Mêmes critères que SOC 2.˗ Un rapport SOC 3 est un rapport sommaire à usage général qui ne décrit

pas les procédures d’audit et les résultats.



Les réserves et les exceptions de l’auditeur



Les réserves et les exceptions

• Les exceptions notées lors de l’exécution des tests sont divulguées dans la section « Résultats des tests d’audit » du rapport.

• Les réserves sont reflétées dans l’opinion de l’auditeur.

• Les réserves sont basées sur le jugement professionnel de l’auditeur.



Les réserves – Manuel de CPA Canada

Exemple 1 • Opinion avec réserve dans un rapport de type 2 : la description du système de la

société de services ne donne pas une image fidèle du système dans tous ses aspects significatifs.

Exemple 2 • Opinion avec réserve : la conception des contrôles n'est pas adéquate pour fournir

l'assurance raisonnable que les objectifs de contrôle énoncés dans la description du système de la société de services produite par la direction seraient atteints dans l'hypothèse d'un fonctionnement efficace des contrôles.

Exemple 3 • Opinion avec réserve dans un rapport de type 2 : le fonctionnement des contrôles n'a

pas été efficace tout au long de la période pour permettre l'atteinte des objectifs de contrôle énoncés dans la description du système de la société de services.

Exemple 4 • Opinion avec réserve : l'auditeur de la société de services est incapable d'obtenir des

éléments probants suffisants et appropriés.

Les audits des contrôles de sociétés de services 35


Les réserves et les exceptions de l’auditeur – Impact sur l’assertion de la direction

• Un nombre raisonnable d’exceptions non identifiées d’abord par la direction ne devrait pas poser problème.

• Un nombre excessif d’exceptions non identifiées d’abord par la direction va amener l’auditeur à s’interroger sur l’efficacité de la surveillance exercée par la direction et sur la « base raisonnable » de l’assertion de la direction.

• Si des réserves sont identifiées, elles devront être reflétées dans l’assertion de la direction et dans l’opinion de l’auditeur.

En pratique, la direction va fournir son assertion une fois que l’audit est complété et elle devrait refléter les réserves qui sont

mentionnées au rapport d’audit.



L’utilisation des travaux de la fonction d’audit interne



L’utilisation des travaux de la fonction d’audit interne

• Si des travaux de la fonction d’audit interne sont utilisés pour tester des contrôles, la section « Résultats des tests d’audit » du rapport devra décrire les travaux exécutés par la fonction d’audit interne de même que les procédures exécutées par l’auditeur concernant ces travaux.

Les règles relatives à l’utilisation des travaux de la fonction d’audit interne n’ont pas changé. Le changement est que maintenant c’est

décrit de façon plus transparente au rapport.



L’utilisation des rapports par le « client »



Utilisation du rapport par le « client » – Direction

• S’assurer que les objectifs et activités de contrôles couvrent les risques pertinents selon les responsabilités de l’organisme de services.

• S’assurer que la production d’un rapport sur les contrôles exercés par une société de services est prévue au contrat.

• Revoir l’opinion et les résultats des tests de l’auditeur et considérer les éléments suivants :

˗ Période couverte suffisante˗ Environnements visés par l’opinion˗ Réserves˗ Exception aux procédures de tests˗ Contrôles complémentaires et travaux additionnels requis˗ Méthode inclusive ou d’exclusion˗ La compétence de l’auditeur



Utilisation du rapport par le « client » – Direction

• Description des systèmes :˗ Changements significatifs en cours d’année ou à venir

˗ Plans d’action ou commentaires sur les exceptions

Est-ce que le rapport répond aux besoins et quel est l’impact des résultats?



Utilisation du rapport par le « client » ‒ Auditeurs

• En plus des questions au point précédent, l’auditeur externe du « client » devrait considérer les éléments suivants :

˗ Évaluer l’impact des résultats sur : L’approche d’audit interne/externe Les efforts requis pour valider les contrôles complémentaire Travaux additionnels pour compenser les exceptions/réserves

˗ Processus de communication à l’interne des exceptions/réserves˗ Suivi des mesures correctives



Questions?



Nos coordonnées

David Liberatore, M.Sc., CPA, CA, CISA, CISSP Directeur de service | Service Risques d’entreprisesLigne directe : [email protected]



Annexe A ‒ Exemple d'assertion de la direction d'une société de services



Exemple d'assertion de la direction d'une société de services *


L'assertion de la direction de la société de services peut être fournie dans le corps ou en annexe de la description du système de la société de services.

L’exemple qui suit est un exemple d'assertion destinée à être incluse dans le corps de la description.

L’exemple d'assertion de la direction qui suit n’est fourni qu'à titre indicatif et il ne se veut ni exhaustif ni applicable à toutes les situations.

Exemple 1 : Assertion de la direction d'une société de services dans le cas d'un rapport de type 2Assertion de la société de services XYZ

Nous avons préparé la description du système [type ou nom du système] (description) de la société de services XYZ pour les entités utilisatrices du système durant tout ou partie de la période du [date] au [date] ainsi que pour les auditeurs indépendants de ces entités qui sont dotés d'une compréhension suffisante pour pouvoir en tenir compte, de pair avec d'autres informations, y compris des informations sur les contrôles mis en place par les entités utilisatrices du système elles-mêmes, lorsqu'ils évaluent le risque que les états financiers des entités utilisatrices comportent des anomalies significatives. Nous confirmons, au mieux de notre connaissance et en toute bonne foi :

* Cet exemple provient de l’annexe 4 de la norme 3416.


Exemple d'assertion de la direction d'une société de services (suite)


a) que la description donne une image fidèle du système [type ou nom du système] mis à la disposition des entités utilisatrices du système pendant tout ou partie de la période du [date] au [date] pour le traitement de leurs opérations [ou mention de la fonction remplie par le système]. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants :i. la description indique comment le système mis à la disposition des entités utilisatrices a été

conçu et mis en place pour traiter les opérations pertinentes, et fournit notamment les informations suivantes :a. les catégories d'opérations traitées,b. les procédures suivies, tant dans les systèmes manuels que dans les systèmes

automatisés, pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la correction au besoin des opérations, ainsi que pour leur report dans les rapports transmis aux entités utilisatrices du système,

c. les enregistrements comptables correspondants, les informations justificatives et les comptes spécifiques qui sont utilisés pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la communication par rapport des opérations; cela comprend la correction des informations erronées et la manière dont les informations sont reportées dans les rapports transmis aux entités utilisatrices du système,




d. la façon dont le système saisit et traite les situations et les événements importants autres que les opérations,

e. le processus de préparation des rapports ou des autres documents d'information fournis aux entités utilisatrices du système,

f. les objectifs de contrôle spécifiés et les contrôles conçus pour les atteindre, g. les autres aspects de notre environnement de contrôle, de notre processus d'évaluation

des risques, de nos systèmes d'information et de communication (y compris les processus opérationnels connexes), de nos activités de contrôle et de nos contrôles de suivi qui sont pertinents pour le traitement et la communication par rapport des opérations des entités utilisatrices du système,

ii. la description n'omet pas ni ne déforme des informations pertinentes au regard de l'étendue du système [type ou nom du système], étant toutefois entendu que cette description a été préparée afin de répondre aux besoins communs d'un grand nombre d'entités utilisatrices du système et de leurs auditeurs indépendants et qu'il se peut donc qu'elle ne couvre pas tous les aspects du système [type ou nom du système] que les diverses entités utilisatrices, prises individuellement, et leur auditeur peuvent juger importants dans le contexte propre à chacune;

b) que la description précise, en fournissant les détails pertinents, les modifications apportées au système de la société de services pendant la durée de la période couverte par la description;




c) que la conception des contrôles correspondant aux objectifs de contrôle énoncés dans la description était adéquate et leur fonctionnement efficace tout au long de la période du [date] au [date] pour l'atteinte de ces objectifs de contrôle. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants :i. les risques pouvant compromettre l'atteinte des objectifs de contrôle énoncés dans la

description ont été identifiés par la société de services;ii. les contrôles identifiés dans la description sont de nature à fournir, s'ils fonctionnent

conformément à la description, une assurance raisonnable que ces risques n'empêchent pas l'atteinte des objectifs de contrôle énoncés dans la description;

iii. les contrôles ont été systématiquement appliqués tels qu'ils ont été conçus, et notamment les contrôles manuels ont été appliqués par des personnes possédant les compétences et l'autorité requises.

les audits des contrôles de sociétés de services soc i – soc ii – soc iii

Technology