Nous savons d’expérience qu’il peut être difficile de respecter les diverses exigences en matière de conformité, surtout si le point de départ n’est pas évident. Nos conseillers sont bien outillés pour vous accompagner dans votre mise en conformité, où que vous en soyez dans le processus, et vous aider à mieux concevoir votre approche en matière de rapports produits par des tiers. Communiquez avec nous pour savoir comment nous pouvons être utiles à votre entreprise.
Publié le : 10 janvier 2024
Mis à jour le : 10 janvier 2024
Nos collègues de BDO USA ont publié la version originale de cet article le 12 juin 2023. Vous pouvez le lire ci-dessous.
Les modifications récemment apportées au processus de présentation des rapports SOC 1 ont une incidence importante sur de nombreuses entreprises. L’Auditing Standards Board de l’American Institute of Certified Public Accountants (« AICPA ») a approuvé la publication d’une mise à jour du Guide SOC 1 de l’AICPA, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1).
Si vous avez déjà un rapport SOC 1 ou prévoyez en produire un ultérieurement, il est essentiel que vous compreniez l’incidence de ces modifications. Il faut déployer des efforts considérables pour sélectionner les rapports, les fichiers ou d’autres données de sortie importants mis à la disposition des entités utilisatrices relativement à leurs contrôles internes à l’égard de l’information financière. Les sociétés de services devront collaborer étroitement avec leurs auditeurs pour sélectionner ces rapports, ces fichiers et ces autres données de sortie, en déterminer la pertinence, puis cerner et tester les contrôles appropriés avant de les inclure dans le rapport SOC 1. La planification précoce permet aux entreprises de demeurer conformes.
Le Guide rédigé par le groupe de travail sur les rapports SOC 1 de l’AICPA est destiné aux professionnels en exercice ayant pour mission d’examiner et de délivrer un rapport sur les contrôles d’une société de services qui sont utiles au contrôle interne de l’information financière des entités utilisatrices. Les changements apportés viennent bonifier les indications de mise en œuvre à l’intention des auditeurs et des entités utilisatrices en clarifiant plusieurs questions sectorielles soulevées récemment dans le but de promouvoir la qualité et la cohérence de la présentation de l’information.
Résumé des modifications
Les mises à jour apportées par l’AICPA aux examens SOC 1 étant considérables, les entreprises qui ont déjà un rapport SOC 1 ou qui prévoient en produire un devront sans doute y consacrer plus de temps et d’attention. Parmi les principaux changements, notons les suivants :
- L’ajout de nouvelles normes de certification (p. ex., la norme SSAE 20, qui harmonise la définition de l’importance relative figurant dans les normes de certification avec celle du système judiciaire américain et des normes d’audit du Public Company Accounting Oversight Board, de la U.S. Securities and Exchange Commission et du Financial Accounting Standards Board; la norme SSAE 21, qui ajoute un nouveau chapitre AT-C 206, Direct Examination Engagements);
- La précision selon laquelle la description du système de la société de services que fait la direction devrait généralement comprendre des données de sortie importantes, telles que des rapports ou des fichiers fournis aux entités utilisatrices, s’ils sont utiles au contrôle interne à l’égard de l’information financière de ces entités;
- La clarification des limites liées aux responsabilités de l’auditeur de société de services relativement à la communication des informations négatives sur les sous-traitants d’une société de services détachée, puisqu’il doit déterminer la présentation fidèle des contrôles de la société de services conçus pour surveiller les services fournis par le sous-traitant, et non l’adéquation de la conception des contrôles et l’efficacité de leur fonctionnement. Des limites sont imposées, puisque la description des responsabilités ne comprend généralement pas un objectif de contrôle relatif à la surveillance des activités du sous-traitant d’une société de services. De plus, les contrôles de surveillance de celui-ci ne concernent que ceux que la société de services a le pouvoir de mettre en œuvre;
- L’ajout d’indications pour évaluer les résultats des tests de contrôle qu’effectue la direction sur un échantillon d’opérations (p. ex., un contrôle conçu pour vérifier l’exactitude des procédés de sélection manuels des opérations).
Mises à jour supplémentaires
Afin d’illustrer l’application des normes, l’AICPA a fourni d’autres indications au moyen d’exemples :
- de rapports et de déclarations de la direction, révisés dans le but d’indiquer que la direction de la société de services est responsable de la description de son système ainsi que de son assertion;
- d’un rapport SOC 1, Type 1, de l’auditeur de la société de services et de l’assertion de la direction;
- de contrôles complémentaires de l’entité utilisatrice et de contrôles complémentaires d’optimisation des services de sous-traitance;
- d’objectifs de contrôle adéquats et de précisions sur leur nature;
- d’évaluation de l’exhaustivité des objectifs de contrôle d’un organisme de services en particulier;
- de paragraphes distincts à ajouter au rapport de l’auditeur de la société de services selon différents cas de figure observés pendant les tests sur l’efficacité du fonctionnement des contrôles (p. ex., lorsque les contrôles n’ont pas fonctionné adéquatement tout au long de la période visée par les tests).