L’externalisation accrue des activités nécessite le renforcement des contrôles

le 18/11/2010 L'AGEFI Hebdo

Les prestataires des établissements financiers sont soumis à des audits réguliers, voire à des certifications.

Un centre d’appels à Madagascar ou au Maroc, qui recueille des données sauvegardées en Inde, elles-mêmes exploitées et traitées dans un autre pays par un sous-traitant, voire par un sous-traitant du sous-traitant : cette situation, assez fréquente, n’est pas sans risques. A tel point que « la diversité et la multiplicité des activités externalisées posent de plus en plus de problèmes de contrôle et de maîtrise des risques aux délégataires, alerte Guillaume Almeras, directeur Banque chez Compass. Prenez l’exemple de l’externalisation de la gestion des comptes courants : sept à neuf types de risques opérationnels sont liés à cette activité. Cela signifie que sept à neuf responsables des risques devraient être amenés à formaliser les procédures de contrôle explicitées dans les ‘service level agreements’ (engagements de qualité de service). Une telle complexité devient rapidement difficile à gérer ».

Pour autant, la réglementation bancaire française impose un contrôle rigoureux des activités externalisées : les modifications du CRBF 97-02, applicables depuis 2006, incluent des exigences spécifiques pour les établissements externalisant des activités essentielles (voir l’illustration), telles que les opérations d’infogérance ou d’exploitation informatique. « Dans certains cas, un progiciel peut être considéré comme une PSEE (prestation de service essentielle externalisée, NDLR) », estime Marie-Agnès Nicolet, présidente du cabinet Audisoft Consultants, qui a ainsi conduit une mission d’audit pour le compte d’une vingtaine de banques afin de s’assurer de la qualité et de la conformité des prestations de maintenance de l’éditeur du progiciel. Et le caractère essentiel est encore plus flagrant dans le cadre de l’externalisation de certains processus métiers (BPO - business process outsourcing, très en vogue dans le secteur bancaire), tels le processus d’octroi de crédit ou la gestion de comptes courants. Dans ce cadre, « la responsabilité des risques ne se délègue pas. En tant qu’opérateur, il y a deux lignes rouges à ne pas franchir : la confidentialité des données et la prise de décision quant au niveau de risque acceptable », avertit Philippe Vidal, responsable du secteur Banque d’Accenture France.

Droit de suite

De fait, la notion de « caractère essentiel » de l’activité externalisée étant laissée à l’appréciation des banques, il semblerait qu’elles considèrent de plus en plus de prestations comme essentielles, ce qui les avantage parfois en termes de négociation contractuelle. En particulier, des clauses d’audit sont prévues dans le cadre du CRBF 97-02. Pour s’assurer du respect de leurs obligations quant à la sécurité des données et au contrôle des risques, les banques doivent en effet prévoir dans leurs contrats avec leurs sous-traitants des clauses spécifiques : « Les points de contrôle opérationnels déposés dans les schémas d’audit sont reproduits chez le sous-traitant », indique Pierre-Louis Seguin, responsable BPO pour le secteur financier d’Accenture en Europe. Et les contrats doivent également prévoir un « droit de suite » du régulateur, c’est-à-dire la possibilité d’un audit par les autorités de contrôle bancaire - ACP (Autorité de contrôle prudentiel) ou autre régulateur étranger équivalent - si les besoins d’une enquête le justifient. « Outre un plan d’audit interne, des consultations sont prévues au minimum une fois par an sur nos sites et chez nos sous-traitants. Ces derniers sont par ailleurs obligatoirement déclarés à l’avance dans les contrats », explique Mathieu Stricker, directeur du département du secteur privé chez Extelia, sous-traitant historique du traitement des chèques qui réalise aussi du business process outsourcing pour le compte de banques. « Cela signifie par exemple que les contrats comportent obligatoirement une clause relative au droit d’audit dans le cadre des contrôles permanents ou périodiques réalisés par nos clients, qui viennent chez nous pour contrôler les opérations et les pièces des dossiers les concernant, explique Etienne Fauveau, directeur commercial de ProCapital Securities Services, externalisateur de prestations liées au métier titres des clients particuliers. Cela fait partie du quotidien d’un externalisateur. Le respect des contraintes d’audit est aussi un argument commercial. »

Respect des normes

Il y a quelques années, les sous-traitants étaient parfois réticents à se soumettre à ces contrôles. La prise de conscience des risques et du dispositif de contrôle croisé a modifié ce genre d’attitudes, « même si, lorsque le prestataire pèse plusieurs dizaines de fois la taille de son client, cet exercice reste un peu théorique », estime Julien Lobel, associé de 99 Partners Advisory.

Dans ces conditions, l’un des moyens permettant d’améliorer le contrôle des activités externalisées consiste à exiger du prestataire le respect de normes telles que SAS 70, ISO, ou encore de s’assurer que des standards de type Coso et Cobit sont respectés par les sous-traitants. Seul un commissaire aux comptes peut signer un rapport type SAS 70. Cette norme certifie que les objectifs et les procédures de contrôle ont été revus et validés, sur un périmètre donné : cycle de développement applicatif ou d’hébergement par exemple. Renouvelée chaque année, elle peut être réalisée à la demande du fournisseur lui-même ou à la demande du client. « Afin d’optimiser les procédures de contrôle et de rassurer nos clients, nous avons décidé de nous faire certifier SAS 70 et ISO 20000 », explique ainsi Etienne Fauveau. « Dans un contexte de renforcement des dispositifs de contrôle interne, de nombreux établissements financiers ont engagé des démarches de certification de type SAS 70 dans les secteurs de la gestion d’actifs, des moyens de paiement, ou des prestations de service effectuées par des SSII (société de services en ingénierie informatique, NDLR) ou GIE (groupements d’intérêt économique) informatiques, ou encore via des structures de type nearshore ou offshore », confirme Redouane Bellefqih, associé conseil chez Deloitte. Chez Atos Wordline, Pierre Poquet observe pour sa part que « la norme SAS 70 est moins utilisée en France que dans d’autres pays européens, comme la Belgique ou l’Allemagne où nos activités de paiement sont certifiées SAS 70 niveau 2 ». Les standards Coso Cobit, utilisés par les auditeurs, définissent quant à eux les processus de contrôle servant de cadre à l’audit informatique. Quant à la norme ISO 27002, elle permet de mesurer les pratiques en matière de sécurité et de confidentialité des données.

Mais si, sur le papier, les procédures de contrôle sont formalisées, « la vérification de leur mise en œuvre est plus délicate à exercer, surtout dans le cas de traitements disséminés dans le monde entier », estime Guillaume Almeras. Et malgré des précautions contractuelles qui tendent à se renforcer, il semblerait que les banques et assurances françaises ne soient pas les meilleures élèves en matière de protection des données personnelles : « Peu de banques ou de compagnies d’assurances ont validé auprès de la Cnil (Commission nationale de l’informatique et des libertés) des ‘binding corporate rules’, c’est-à-dire des règles qui définissent leurs obligations en matière de transfert de données de l’Union européenne vers des pays tiers au sein d’une même entreprise ou d’un même groupe », signale Frédéric Saffroy, associé du cabinet d’avocats Alerion.

A lire aussi