Gros plan : Les nouveaux modèles d’entreprise

Externalisation des fonctions financières: conséquences pour le comité d’audit et l’audit externe

Bruno Rossi
Associé, Audit

Les fonctions financières sont de plus en plus regroupées au sein de l’entreprise et concentrées sur un site, ou elles sont externalisées à des prestataires externes. Cela ne change rien à la responsabilité du comité d’audit d’un conseil d’administration, mais il se peut que le niveau de complexité de la surveillance augmente. De même, les tâches et les objectifs de contrôle de l’audit externe ne changent pas. En revanche, une externalisation a des conséquences sur la nature, l’étendue, le moment et l’organisation des opérations de vérification.

Le comité d’audit surveille le reporting financier, le respect des directives («compliance») ainsi que la gestion des risques de l’entreprise au sens large. Il assume ces tâches pour le compte du conseil d’administration sans pour autant l’affranchir de sa responsabilité finale. Rien ne change non plus à cet égard dans le cas d’une externalisation des fonctions ou des services financiers à un tiers (outsourcing) [1] ou d’une délocalisation à l’étranger (offshoring) [2].

[1] Externalisation organisationnelle d’activités vers un partenaire externe à l’entreprise qui fournit les prestations externalisées en fonction de Service levels (niveaux de qualité des services) fixés contractuellement et à des coûts prédéfinis. L’externalisation signifie exclusivement que les services sont fournis par un partenaire qui ne fait pas partie de l’entreprise. Ce terme ne contient donc encore aucune information sur le site (national/international).

[2] Désigne le transfert géographique d’activités dans des pays éloignés et moins onéreux. L’externalisation vers l’étranger peut se faire dans une unité interne à l’entreprise ou vers un partenaire externe à l’entreprise (externalisation).


Obligation d’information du comité d’audit

La mise en œuvre de l’externalisation et de l’offshoring relève de la responsabilité de la direction. Le comité d’audit doit comprendre comment la direction s’est assurée qu’une telle stratégie ne poserait pas de gros problèmes à l’entreprise.

Une société tierce, qui reprend les fonctions financières externalisées, devient le prestataire externe responsable du domaine transféré. Cependant, l’attribution de l’ordre ne dédouane pas de sa responsabilité finale l’entreprise qui externalise au prestataire. Par exemple, si une entreprise suisse externalise tous ses services financiers à une entreprise externe située en Inde, le conseil d’administration de l’entreprise suisse continue d’assumer l’entière responsabilité des états financiers. Ceci vaut également lorsque l’entreprise suisse regroupe tous ses collaborateurs dans un centre de services interne, sur un site indien.

Si une externalisation ou un offshoring est envisagé(e), planifié(e) et réalisé(e), le comité d’audit a le devoir de s’informer en se renseignant auprès du CFO. Il est parfois nécessaire d’interroger ensemble le CFO et un représentant du centre de services sur les conséquences en matière de comptabilité, de compliance et de gestion des risques. Plus les éventuelles conséquences et les risques y afférents sont importants, plus le comité d’audit doit suivre de près l’externalisation. Il est recommandé de consacrer suffisamment de temps au sujet, surtout lors de la phase d’introduction.

Modifications du système de contrôle interne

En règle générale, l’externalisation et l’offshoring entraînent une adaptation des déroulements et des processus, et donc aussi du système de contrôle interne (SCI). Comme il est rare que toutes les activités d’un même service soient externalisées, il convient de vérifier si la partie qui reste au sein de la société continue de fonctionner de la même manière qu’auparavant. Il faut en particulier se demander quels processus ont changé et de quelle manière, et si les activités de contrôle antérieures restent appropriées dans la nouvelle structure organisationnelle. Une attention toute particulière doit être accordée aux interfaces entre les processus de l’entreprise et ceux du prestataire.

Si, dans le cadre d’un offshoring au sein de l’entreprise, la vérification des processus est simple, cette tâche se complique dans le cas d’une externalisation à un prestataire externe. Le fait que l’entreprise qui externalise puisse ou non surveiller la qualité directement auprès de l’entreprise tierce dépend du contenu du contrat d’externalisation. L’entreprise qui externalise peut contrôler les processus de l’entreprise tierce mandatée uniquement si elle s’est arrogée préalablement le droit de l’auditer dans le cadre du Service Level Agreement, ou si l’entreprise tierce lui accorde un droit d’audit. Dans ces cas seulement, l’entreprise a la possibilité soit de mener elle-même des actes de vérification (par exemple en recourant à son propre audit interne), soit de nommer un auditeur indépendant.

L’entreprise qui externalise peut contrôler les processus de l’entreprise tierce mandatée uniquement si elle s’est arrogé préalablement le droit de l’auditer dans le cadre du Service Level Agreement, ou si l’entreprise tierce lui accorde un droit d’audit.

En règle générale cependant, le prestataire veille lui-même à obtenir une certification. Selon l’International Auditing and Assurance Standards Board (IAASB) et son International Standard on Assurance Engagements (ISAE) 3402 «Assurance Reports on Controls at a Service Organization», il existe deux types d’attestations relatives aux contrôles effectués auprès d’une entreprise de services. Dans le type 1, le rapport de l’auditeur inclut l’opinion d’audit sur la description du système du prestataire, les objectifs des vérifications et les contrôles y afférents, et sur le caractère adéquat des contrôles pour atteindre les objectifs des vérifications. Dans le type 2, le rapport de l’opinion d’audit contient en plus une déclaration sur l’efficacité des contrôles du prestataire.

Suite à une externalisation, les tâches et les compétences du système de contrôle interne (SCI) s’étendent et les contrôles deviennent nettement plus complexes. Il faut non seulement suivre et vérifier systématiquement les processus internes et leurs contrôles, mais également chaque processus qui se termine dans les interfaces avec le prestataire. Il convient en outre de surveiller la qualité du prestataire lui-même.

Possibilités limitées de l’audit interne

L’audit interne est un instrument efficace du conseil d’administration pour soumettre des faits précis à un examen approfondi. Tant que les fonctions financières et autres services sont transférés au sein de l’entreprise, les droits de contrôle de l’audit interne sont incontestés. La possibilité de confier également le contrôle d’un prestataire externe à l’audit interne dépend (comme susmentionné) des règles convenues entre la société qui externalise et l’entreprise tierce.

Dans ces deux cas cependant, il est déterminant que l’audit interne dispose de suffisamment de capacités et de connaissances spécifiques afin de pouvoir contrôler et évaluer une entité spécialisée. La plupart du temps, les centres de services internes et les spécialistes externes mandatés travaillent de manière plus standardisée que ne le faisaient les services équivalents de l’entreprise externalisante. Pour l’audit interne comme pour l’audit externe, la question est de savoir comment procéder au contrôle.

Opérations d’audit de l’audit externe

Pour l’audit externe, il est également essentiel de savoir si les services sont centralisés sur un site interne à l’entreprise, ou s’il s’agit d’une externalisation. Si, dans le cadre d’une centralisation de services internes au groupe, tous les collaborateurs sont transférés en Pologne, il est fort probable que l’auditeur doive lui aussi effectuer une grande partie de son travail en Pologne. Sur place, il visera les justificatifs, mènera des discussions et examinera les processus et contrôles sous-jacents dans le but de se forger une opinion fondée. Lors d’un offshoring, il est important que l’auditeur externe comprenne dans quelle mesure les processus et contrôles ont été harmonisés et standardisés sur le nouveau site ou s’ils ont été traités conformément à l’organisation d’origine. Plus les processus sont standardisés et harmonisés, plus l’auditeur externe peut organiser son contrôle de manière efficace.

À cela s’ajoute la délimitation entre l’audit de groupe et l’audit statutaire. L’établissement des comptes annuels est soumis au droit du pays concerné; les comptes consolidés doivent généralement être établis selon un référentiel internationalement reconnu comme les International Financial Reporting Standards (IFRS) ou les US Generally Accepted Accounting Principles (US GAAP). Lorsque l’établissement des comptes annuels de toutes les sociétés du groupe est centralisé à un endroit, leur contrôle sera le plus efficace possible s’il est mené au même endroit et par une équipe centrale. L’équipe d’audit centrale fera à son tour partie de l’équipe d’audit, qui est responsable de la société nationale concernée. Cela signifie qu’elle documente ses contrôles et accorde à l’équipe d’audit de la société nationale le droit d’accéder aux résultats afin d’en tirer ses propres conclusions pour l’opinion d’audit.

Les plus grands défis qui se posent à l’audit externe sont généralement liés à l’externalisation. Si l’externalisation à une entreprise tierce entraîne de grands changements, l’auditeur doit non seulement se demander ce qui a changé et comment les nouveaux rapports fonctionnent, mais aussi qui détient les informations pertinentes et comment les vérifier. Il faut souvent un temps d’adaptation plus long avant d’atteindre un statut stable et pour que les audits reprennent leur cours normal.

Plus l’externalisation des fonctions financières et d’autres services aura des conséquences importantes pour l’entreprise, plus elle en aura aussi sur les opérations de contrôle de l’auditeur externe. C’est pourquoi les rapports d’audit établis selon l’IASE 3402 sont essentiels pour l’auditeur externe. Ils constituent une source d’information importante qui lui permet de juger s’il peut ou non se baser sur les contrôles du prestataire pour faire son travail.

Interaction des contrôles externes en cas d’externalisation de fonctions de services

Conclusion

Pour le comité d’audit et les auditeurs externes, le défi consiste donc à savoir comment assumer leur responsabilité et contrôler que tout fonctionne bien dans le cadre d’une centralisation des services sur un site ou lors d’une externalisation. La qualité des comptes annuels et du reporting financier doit être entièrement garantie. Le comité d’audit et les auditeurs externes obtiennent les principales informations pour leurs évaluations en interrogeant le CFO et les représentants du prestataire, ainsi que par le biais de rapports écrits de tiers. Une question supplémentaire se pose pour l’audit externe: comment les fonctions de service centralisées ou externalisées se répercutent-elles sur le plan de l’audit, son lieu et la fourniture de preuves?

Le comité d’audit et l’audit externe doivent contrôler, vérifier et couvrir les risques inhérents à la centralisation de services internes ou à une externalisation. Cela soulève des questions stratégiques générales pour le comité d’audit, tandis que la direction et l’audit externe doivent clarifier de nombreuses questions détaillées. Toutes les parties impliquées doivent veiller à atteindre à la fois les objectifs d’une externalisation réussie et d’un audit efficace. L’expérience montre qu’un certain temps est nécessaire pour y parvenir. En effet, les processus du prestataire (qu’il s’agisse d’un prestataire centralisé en interne ou d’un fournisseur externe) sont rarement efficaces dès le départ. De même, il faudra un certain temps pour que l’audit externe s’adapte entièrement aux nouvelles conditions.

Nous contacter

Bruno Rossi

Bruno Rossi

Assurance Partner, PwC Switzerland

Tel : +41 58 792 59 75

Follow us