L’avis de... Marc Ayadi, associé en charge des activités sécurité et risques d’audit dans les systèmes d’information pour le secteur financier chez Ernst & Young

« Le contrat doit intégrer une clause d’audit »

le 18/11/2010 L'AGEFI Hebdo

Comment limiter les risques induits par l’externalisation dès la conclusion du contrat avec un prestataire ?

Le contrat doit impérativement intégrer une clause d’audit, de préférence dès le début de la relation. Car lorsque cette clause est ajoutée ultérieurement, cela peut inquiéter les prestataires. Intégrer de telles clauses semble une évidence, mais concrètement, quand il entre en négociation, le client n’a pas toujours défini l’ensemble de ses besoins et des service level agreements (SLA, engagements de qualité de service, NDLR) correspondants.

Les obligations imposées par le CRBF 97-02 liées à la responsabilité des banques constituent-elles un frein à l’externalisation ?

Non, l’externalisation, en France ou à l’étranger, est dictée par des contraintes opérationnelles ou stratégiques. Les obligations de contrôle sont destinées à l’encadrer, pas à l’empêcher. Lorsqu’une relation est bien encadrée, les risques sont maîtrisés. De plus, aucune banque n’externalise 100 % d’un processus, ce qui est un facteur de limitation des risques.

Quelles tendances observez-vous en matière d’externalisation ?

Depuis plusieurs années, les départements de développement informatiques sont couramment « outsourcés » en Inde, au Maroc, ou dans d’autres pays, souvent à travers l’inhouse offshoring auprès d’une filiale ou d’une coentreprise. On assiste aussi au regroupement de prestataires internes au sein de GIE informatiques. Dans ce cadre, même si elles sont moins aiguës que dans le cadre de l’externalisation à l’étranger, les questions de contrôle sont identiques.

A lire aussi