L’externalisation d’une partie ou de la totalité d’un processus ou activité auprès de prestataires externes est un phénomène de plus en plus développé. Cette pratique se traduit par la nécessité d’intégrer le rôle de ses prestataires dans la gestion de ses risques et dans son dispositif de contrôle interne.
Par Jean de Laforcade, associé, Grant Thornton Risk Management
Deux éléments viennent fortement renforcer le besoin de maîtrise des activités sous-traitées et rappeler les entreprises à leurs responsabilités.
La proposition de loi sur le devoir de vigilance des sociétés mères, votée en première lecture le 30 mars dernier par l’Assemblée nationale. Cette loi les rend civilement responsables des atteintes aux droits de l’homme et à l’environnement qui seraient commises par leurs filiales mais aussi par leurs sous-traitants à l’étranger.
Il en résulte une obligation de mise en œuvre d’un plan de vigilance pour ces entreprises qui devra être rendu public.
La prise en compte de l’actualisation du référentiel de contrôle interne sur lequel les entreprises se basent majoritairement pour construire leur dispositif et émettre leurs rapports du président sur leurs procédures de contrôle interne. Ce référentiel dénommé COSO dans sa version dite de 2013 vient préciser deux éléments clés : l’organisation conserve la responsabilité ultime sur l’efficacité de son dispositif de contrôle interne et celle-ci doit déployer un programme d’évaluation des activités confiées à ses prestataires externes.
1. Quelles conséquences pour une entreprise ?
Toute organisation devra définir l’approche adaptée à mettre en œuvre pour s’assurer que les risques associés à l’externalisation de ses activités sont correctement maîtrisés.
La mise sous contrôle des activités sous-traitées implique pour les donneurs d’ordres de déployer une démarche globale d’analyse et de sécurisation de la relation avec ses partenaires constituant un dispositif complet de surveillance.
Ce dispositif intégrera au-delà des contrôles opérationnels et de second niveau, un programme d’audit et d’évaluation des prestataires.
La mise en place de ce programme d’évaluation des activités confiées à des prestataires doit s’accompagner de la définition d’une méthodologie d’audit ciblée. Cependant, le COSO demeure laconique ne précisant que quelques considérations à prendre en compte en lien avec ses différents principes et composantes mais aucune méthodologie en tant que telle.
A l’heure actuelle, le secteur financier...
