L’entreprise qui sous-traite demeure – quels que soient les engagements de résultats de ses sous-traitants et leur couverture en assurance – responsable en première ligne, tant vis-à-vis de ses distributeurs et clients, de ses collaborateurs, que des régulateurs de tout ordre.
Par Florian Abegg, directeur, Grant Thornton
Cette responsabilité, qui engage sa réputation, peut être mise à mal comme le témoigne la récente condamnation publique par la CNIL d’une entreprise qui n’a pas suffisamment protégé les données des visiteurs de son site Internet, dont le développement avait été confié à un prestataire.
Sur un marché particulièrement concurrentiel, comme celui de la paie, les acteurs qui peuvent communiquer des rapports sur leurs contrôles ont ainsi clairement un avantage compétitif. Toutefois, du côté des prestataires, il est souvent fastidieux de répondre à la fois aux questions relatives aux risques dans les appels d’offres et aux demandes d’audit des clients existants qui se multiplient. Enfin, les processus d’externalisation en cascade rendent de plus en plus complexes et difficiles l’accès à l’information sur toute la chaîne d’externalisation, et cela est d’autant plus vrai en cas d’absence de rapports sur le contrôle interne des différents prestataires.
Illustration de cette prise de conscience des acteurs – notamment soumis à des régulations liées à leurs activités ou qui externalisent la gestion de données sensibles –, les rapports ISAE («International Standard on Assurance Engagements») deviennent la norme. Ils sont même devenus un «deal breaker» car la sécurité des données est pour eux une priorité absolue. L’auditeur indépendant, grâce à des tests portant sur la conception et sur l’efficacité opérationnelle des contrôles peut accompagner un prestataire pour l’émission d’un rapport...
