Академический Документы
Профессиональный Документы
Культура Документы
Le nouveau COSO
et ses 17 principes fondateurs
pour un contrle interne ecient
16
22
25
29
15
DOSSIER
16
prsident du COSO ont t suivis deffet. En effet, les 17 principes de la nouvelle version du rfrentiel de contrle
interne sinspirent visiblement de ces 20
principes initiaux. Leur rdaction gagne
nanmoins en clart et met en exergue
les points dattention. Un aperu en est
donn dans le tableau ci-aprs.
Ces principes sont dvelopps dans le
document de rfrence (Framework) et
illustrs dans deux documents complmentaires (llustrative Tools et Internal
Control over External Financial Reporting).
Elments fondateurs et incontournables
de la conception, de la mise en place et
du fonctionnement de tout systme de
contrle interne ayant lambition de
contribuer la performance dune organisation ; ces principes ont isolment
porteur de sens. Nanmoins, leur pouvoir de transformation ne sexprimera
rellement que dans une mise en uvre
concerte. Les principes ne sont donc
pas une fin en soi, cette nouvelle dition
permet de sen servir pour sassurer de
la cohrence globale du systme par une
mise en lumire des interactions entre
composantes. Il est dailleurs dommage
que lillustration sous forme de cube ne
rende pas mieux compte de cette interpntration des composantes. Cest
Le nouveau COSO
Environnement de contrle
1.
2.
3.
4.
5.
6.
7.
8.
9.
Activits de contrle
Information et
communication
13. L'organisation obtient ou gnre puis utilise des informations pertinentes et de qualit
pour faciliter le fonctionnement des autres composantes du contrle interne.
14. L'organisation communique en interne les informations ncessaires au bon fonctionnement des autres composantes du contrle interne, notamment en ce qui concerne les
objectifs et les responsabilits associs au contrle interne.
15. L'organisation communique avec les tiers au sujet des facteurs qui aectent le bon fonctionnement des autres composantes du contrle interne.
Pilotage
16. L'organisation slectionne, met au point et ralise des valuations continues et/ou ponctuelles afin de vrifier si les composantes du contrle interne sont bien mises en place et
fonctionnent.
17. L'organisation value et communique les faiblesses de contrle interne en temps
voulu aux responsables des mesures correctrices, notamment la direction gnrale et au
conseil dadministration.
Aperu des 17 principes proposs par le COSO (Traduction non ocielle)
17
DOSSIER
la porte et nous alerte sur leur imbrication :
Les objectifs oprationnels concernent l'efficacit et l'efficience des oprations. Au-del de la performance
oprationnelle et financire, le COSO
y inclut explicitement la protection
des actifs.
Les objectifs de reporting sont spcifis : il sagit la fois de la communication interne et externe dinformations financires et extra-financires.
Outre llargissement du champ, il
nous est recommand de ne pas nous
cantonner la fiabilit mais dtre
galement attentif aux attentes des
destinataires internes et externes
notamment en termes de dlais et de
transparence.
Les objectifs de conformit prennent une place de plus en en importante du fait de la multiplication des
lois et rglements applicables aux
organisations. Ils sont sous-tendus
par les deux autres catgories dobjectifs et vice-versa.
Selon les organisations, la place accorde chacune des trois catgories dobjectifs pourra galement tre module.
Cet impratif de modulation montre que
les bnfices de cette nouvelle version
rsultent ncessairement dune appropriation fine et personnalise de son
contenu quil est impossible de rsumer
en quelques pages.
Les lments proposs ci-dessous sont
prendre comme autant de points de
dpart possibles de cette appropriation.
Lenvironnement de contrle
Selon le principe 1, intgrit et valeurs
thiques sont fixes par les instances
dirigeantes, elles-mmes exemplaires en
la matire. Pour tre comprises tous
les niveaux, elles doivent tre explicites
dans lorganisation mais galement aux
prestataires et aux partenaires. Le
niveau dadhsion ces valeurs est vrifi et des dcisions effectivement mises
en uvre en cas dcart.
18
Le principe 2 met laccent sur lindpendance du conseil dadministration vis--vis du management. Pour ce
faire, le conseil dispose-t-il des comptences et de lexpertise adquate ? Les
administrateurs sont-ils effectivement
conscients de leurs responsabilits en
matire de contrle interne ? Exercentils une surveillance approprie chaque
phase du processus de contrle interne
(conception, mise en uvre, pilotage)?
Le rfrentiel aide trouver des lments de rponses ces questions qui
sont loin dtre binaires. Ainsi, des
exemples dimplication du conseil
dans le suivi de chaque composante
sont donns.
Le principe 3 rappelle ce qui peut paratre tre le B.A-BA du contrle interne :
Dfinir clairement les pouvoirs et responsabilits, assurer la sparation des
tches notamment travers le systme
dinformation. Pourtant, cette vidence
est loin dtre une ralit dans toutes
les organisations. Si tant est que la
rpartition formelle des pouvoirs et responsabilits a t effectue chaque
chelon de la ligne hirarchique, il restera sassurer quils sont tout aussi clairement dfinis au niveau des diffrentes
instances de gouvernance (comits
manations du conseil, comits managriaux), dans les relations entre chaque
entit lgale, dans le rseau de distribution et avec les prestataires. De plus,
pour reprendre les mots de Fayol, en
anglais dans son texte, la dfinition des
rles naura de sens quavec the right
man in the right place .
Ainsi le principe 4 est clairement li au
principe prcdent. Il prsente une
vision dynamique dun lment cl de
lefficacit de toute organisation, la prise
en compte des hommes et des femmes
qui la font fonctionner. Il ne sagit pas
seulement demployer des ressources
qui seraient disposition et inertes. Il
faut pouvoir tre en capacit dattirer,
de dvelopper et de maintenir des
comptences en lien avec les objectifs
de lorganisation. Cette gestion strat-
Le nouveau COSO
reli aux autres principes de lenvironnement de contrle (valeurs de rfrence et propice la confiance, instances
dirigeantes jouant leur rle, responsabilits clairement dfinies, comptences et
pouvoir de rendre compte). Il sappuie
galement sur la robustesse des composantes information et communication et pilotage . Ce principe reflte
la maturit croissante des systmes de
contrle interne qui ne se limitent plus
la matrise des activits. En tant que
systme de pilotage de la performance,
le contrle interne ncessite une information ascendante qui avait peut-tre
t un peu passe sous silence sous le
poids du tone at the top. Sans devoir de
rendre compte, impossible galement de
diriger des entreprises de plus en plus
tendues, soumises la pression de parties prenantes qui ne cessent de clamer
leur droit linformation. Une organisation qui naura pas su anticiper ces
besoins pourra tre mise mal. Le
devoir de rendre compte ne sera bnfique que sil ne rduit pas les acteurs
un statut de simples metteurs dindicateurs. Cest seulement sils sont responsabiliss et srs que leurs messages
seront suivis deffets, que les acteurs
pourront vritablement tirer profit de ce
mcanisme en le mettant au service de
lamlioration continue.
la moins innovante du nouveau rfrentiel. Sans doute parce quelle est inhrente toute forme dorganisation. Et
pourtant, cette approche pourra galement tre matire progrs. Par exemple, ces activits visent-elles un niveau
acceptable des risques ? Ces seuils sontils clairement dfinis dans toutes les
organisations ? Dans laffirmative le
sont-ils par les instances appropries (cf.
principe 2 et 3) ? Veille-t-on retenir
une combinaison optimale des diffrentes catgories de contrle (automatiques vs. manuels / prvention vs.
dtection) au regard des risques matriser ?
Information et communication
Activits de contrle
Une lecture rapide des principes 10 12
pourrait laisser penser que cest la partie
19
DOSSIER
Dterminer celles qui sont vraiment
pertinentes ; y accder en toute lgalit
et les traiter de manire efficiente
constitue un enjeu de gouvernance.
Le principe 14 permet dorganiser le
systme de contrle interne selon le
sens donn au niveau de lenvironnement de contrle et en fonction des
signaux des composantes valuation
des risques ; activits de contrle
et pilotage . Sans communication
interne adquate (en termes de dlais,
de destinataires, de contenu) difficile
dassumer ses responsabilits en
matire de contrle interne. Deux
canaux de communication sont particulirement dtaills : celle qui concerne le
conseil dadministration et celle qui peut
tre mobilise dans des circonstances
exceptionnelles (par exemple les lignes
dalerte thique).
Le principe 15 concernant la communication externe tient compte de la multiplication des interlocuteurs externes
(actionnaires, analystes, rgulateurs,
clients, fournisseurs, associations)
ayant parfois des centres dintrt diffrents. Au-del, de la matrise des messages de lorganisation notamment
concernant la fiabilit du contrle
interne, nous sommes invits contribuer une exploitation efficace de la
communication entrante. Il sagira par
exemple de sassurer de ladquation
des moyens, de la conformit des processus ou de la pertinence des donnes.
Pilotage
Le principe 16 a le plus grand nombre
de points dattention. Ils peuvent tre
rsums par des mots cls tels que :
quilibre (entre valuations permanentes et priodiques). En pratique
cette complmentarit pourra se fonder sur le modle des trois lignes de
dfense ;
adaptation ( ltat du systme, au
rythme des changements dans lenvironnement et dans les mtiers) ;
intgration (des valuations perma-
20
*
*
Le nouveau COSO
Rfrences bibliographiques
Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37
COSO. 2006. Internal Control over Financial Reporting Guidance for Smaller Public Companies
COSO. 2013. Internal Control Integrated Framework, llustrative Tools for Assessing Eectiveness of a System of
Internal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches
and examples. Traduction paratre
Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence socitale, PRESAJE, Dalloz
Fayol H. 1962. Administration industrielle et gnrale Prvoyance, organisation, commandement,
coordination, contrle, Dunod 151p
IFACI et PWC. 2005. Le management des risques de lentreprise. Editions Eyrolles. Traduction de Entreprise Risk
Management publi en 2004 par le COSO
Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrle ? Revue Comptabilit Contrle Audit,
tome 19, vol.1, pp 33-58
Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal of
Accountancy (March): 46-50
Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performance
and commitment, Harvard Business Press
Tysiac, K. 2012. Internal control revisited. Prominent COSO ocials discuss proposed updates to framework. Journal
of Accountancy (March): 24-29
21
DOSSIER
Serge Villepelet
Prsident, PwC France
Le nouveau COSO
Louis Vaurs : Le COSO 1 sur le contrle
interne vient de faire lobjet dune mise
jour publie le 14 mai 2013 aux Etats-Unis.
Pouvez-vous indiquer nos lecteurs les raisons qui ont pouss le Committee of
Sponsoring Organisations procder
cette mise jour :
Sagit-il dune simple mise jour ou
dune refonte ?
De quels lments se compose le nouveau
package ?
Quelles en sont les principales nouveauts ?
22
Le nouveau COSO
Le COSO 2013 a donc bien pour vocation dtendre son application au-del
de ce qui est comptable et financier.
L. V. : LAMF a labor deux cadres de rfrence de contrle interne, lun pour les socits dune certaine importance, lautre pour
les valeurs moyennes et petites. A qui plus
particulirement le COSO 1 nouveau
sadresse-t-il ?
S. V. : Le COSO 1 nouveau intgre ces
deux visions. Il met jour non seulement le rfrentiel de 1992 mais aussi
celui de 2006 Guidance for Smaller
Public Companies moins connu en
France car il navait pas t traduit en
langue franaise. Le COSO 2013 vient
donc remplacer ces deux documents car
il sappuie en premier lieu sur des principes applicables toute taille dorganisation, et en second lieu met en avant
des spcificits particulires aux plus
petites structures travers le rfrentiel,
ses approches et ses exemples.
23
DOSSIER
Auditeurs internes vs
commissaires aux comptes
L. V. : La coordination des travaux entre
auditeurs internes et commissaires aux
comptes prvue par les normes de lIIA
savre indispensable. Comment concrtement cette coordination sopre-t-elle sur le
terrain ?
S. V. : Cette coordination passe par une
grande transparence mutuelle de ces
deux instances sur la nature et le primtre de leurs travaux. Il est fondamental que les commissaires aux comptes
disposent dune vision prcise des travaux raliss par laudit interne qui
concernent la revue du contrle interne
comptable et financier.
L. V. : Comment, selon vous, cette coordination devrait-elle sorganiser ?
S. V. : Jidentifie immdiatement les lments suivants : changes sur le plan
daudit interne et externe, organisation
de rendez-vous rguliers de partage
dinformation, transmission des rapports daudit qui concernent le contrle
interne.
Au del de ces lments, il est vident
que le comit daudit qui est en troite
relation avec les commissaires aux
comptes et les auditeurs internes a un
rle majeur jouer pour encourager et
faciliter les changes. Ces comits daudit seront dailleurs les premiers bnficiaires dune communication accrue
entre ces deux instances de contrle car
ils en retireront une vision beaucoup
plus intgre de la gestion des risques
de lentreprise.
Enfin, les oprationnels eux aussi bnficieront dune meilleure coordination
entre les commissaires aux comptes et
laudit interne en vitant que des missions similaires soient ralises par les
deux organes de contrle.
24
L. V. : Quelles sont les conditions qui pourraient permettre aux CAC de sappuyer sur
les travaux des auditeurs internes ?
S. V. : Tout dabord il faut bien videmment que les sujets daudit aient port
sur des thmatiques qui apporteront du
confort au CAC pour sa mission. En
effet, souvent une part importante des
travaux des auditeurs internes porte sur
des processus trs oprationnels, de
lamlioration de processus, des dues
diligences
interne
L. V. : Avant les grands scandales comptables et financiers de la fin des annes 90 et
des premires annes 2000, lexternalisation
de laudit interne tait en vogue aux EtatsUnis mais avait peu touch la France. On
parle actuellement davantage de co-sourcing. Comment voit-on chez PwC la coopration avec les services daudit interne ?
S. V. : La cotraitance est quasiment
devenue une ncessit pour laudit
interne.
En effet, les processus des entreprises se
sont considrablement complexifis ces
Le nouveau COSO
Laurent Arnaudo
Senior vice-prsident audit interne
groupe, Sodexo
Il est vrai quil a fait son temps, ce rfrentiel du contrle interne. Envisag ds
1985 par The Committee of Sponsoring
Organizations of the Treadway Commission
(COSO) , il ne fut publi quen 1992. A
cette poque, il ne fut utilis, en France,
que par un certain nombre de grands
groupes prsents linternational. Il
gagna rellement ses lettres de noblesse
avec larrive du Sarbanes-Oxley Act et
de la Loi de Scurit Financire, dans les
annes 2000. Cest alors devenu le rfrentiel incontournable, que de nombreuses entreprises ont souhait suivre
et mettre en avant dans leur document
de rfrence.
On a bien essay de lui redonner un
petit coup de jeune partir de 2006, avec
la publication de deux documents, mais
aujourdhui, il est sous respiration artificielle.
25
DOSSIER
26
Le nouveau COSO
27
DOSSIER
tionnement de son dispositif de contrle
Concrtement, dans les entreprises reninterne. Cest une vritable rvolution,
contres qui rflchissent la mise en
car dans le COSO de 1992, il ny avait
place du COSO 2013, les actions suipas ces principes si explicitement dfinis
vantes sont en route :
par des points dattention. Le jugement
Renforcer
lautomatisation
des
de chacun joue toujours un grand rle,
contrles dans les systmes grce aux
mais les directives sont beaucoup plus
outils ACL, IDEA, Magnifier et bien
claires. On sait ce quil faut mettre en
dautres. Cela nous permet dallouer
place pour tre en conformit avec le
nos contrleurs / auditeurs des
COSO 2013.
tches plus forte valeur ajoute, tout
en amliorant le primtre de couverPour ceux qui sont soumis aux rgles de
ture puisque lensemble des transacSarbanes-Oxley, les changements ne
tions sont examines en continu.
seront pas majeurs : lattestation sur lef Les auditeurs et contrleurs internes
ficacit du dispositif de
ne doivent pas oublier les
contrle interne relatif
contrles qui sont chez
aux
informations
les prestataires. Les
comptables
et
auditeurs doivent
financires
sapaller faire des
Il faut mettre en place
puiera sur le
audits chez eux
un
plan
dactions
permettant
COSO 2013.
aprs
avoir
de
rpondre
aux
nouveauts
Les 17 nouvrifi lexisveaux
principes
tence
de
du COSO de 2013 avant le
permettront de
clauses daudit
15 dcembre 2014
clarifier comment
dans les contrats,
appliquer le rfou en sappuyant
rentiel et aideront
sur des formes dvavaluer lefficacit des
luations externes, faites par
contrles
internes dans leur
des entreprises indpendantes et
conception et leur fonctionnement opobjectives.
rationnel. Les seules diffrences rside Les contrles et les audits de conforront dans la classification des faiblesses
mit reviennent en force dans nos
de contrle interne, dans la documentarfrentiels et dans nos plans daudit.
tion du processus didentification des
Les entreprises ne peuvent plus se
risques, et enfin dans la ncessit de
passer de solides programmes antirecalculer le seuil de matrialit au
fraude (identification, communicamoment de la clture :
tion, prvention et dtection des
Le COSO 2013 parle de dficiences
fraudes). Les comits daudit doivent
majeures et de dficience de contrle
poser des questions sur leur existence
interne alors que le PCAOB qualifie
et leur efficacit.
les faiblesses de contrles pour Sar Enfin, si ce nest pas dj fait, il faut
banes-Oxley comme soit une erreur
passer la vitesse suprieure et mettre
matrielle ( material deficiency ) soit
en place un vritable modle de gesune dficience significative ( signifition des risques intgrs (ERM), avec
cant deficiency ). Le PCAOB devra se
une mthodologie et un langage
positionner, dans les mois venir, sur
commun.
un alignement (ou pas) avec la dfinition du COSO. Mais finalement, cela
Il faut dornavant valuer de faon
ne change pas grand chose pour un
beaucoup plus formelle chacun des 17
grand nombre dentreprises. En
principes cls allous aux 5 composantes
interne, nous vitions dj dutiliser le
du COSO pour conclure au bon fonc-
28
Le nouveau COSO
Raymond Marfaing
Directeur adjoint en charge des risques
et du contrle interne, SNCF
Anne Bosche-Lenoir
Directrice de laudit et des risques, SNCF
La sortie du COSO 2013 provoque une remise en question et des choix quant lutilisation de tel ou tel rfrentiel. Le cadre de rfrence de lAMF, retenu par SNCF, prsente, entre autres avantages, celui dtre cohrent avec le COSO, dtre trs concret,
adapt la culture SNCF, et tourn vers la mise en uvre oprationnelle. Nanmoins, le COSO 2013 est une source denrichissement dont lAMF doit tenir compte.
Le cadre de rfrence de
lAMF : un cadre souple et
agile tourn vers la mise en
uvre
La sortie du COSO 2013 est un vnement important pour nous responsables
29
DOSSIER
La direction de laudit et des risques dans lorganisation de la SNCF
Comit daudit, des
comptes et des risques
Conseil dadministration
Direction de laudit
et des risques
Audits
Direction de laudit
et des risques
Management
des risques
Scurit des SI
du groupe
Contrle interne
Rseau de risk
managers
Rseau de
RSSI
Rseau de
contrleurs internes
Management de branches
30
Lgende :
Rattachement fonctionnel
Rattachement hirarchique
Le nouveau COSO
Le new COSO :
un enrichissement pour nos
travaux
Nous nopposons pas le COSO et le
cadre de rfrence de lAMF. Nous prfrons y voir davantage une complmentarit. Pour nous, le COSO 2013 va
nous aider avoir un nouveau regard
sur le contrle interne et identifier des
pistes damlioration. Cest clairement
un enrichissement pour tous nos travaux.
Nous avons aussi besoin de continuit
dans les objectifs affichs. Nous avons
largement communiqu sur le fait quil
fallait que lenvironnement de contrle
et les 14 processus du guide dapplication sur le contrle interne de linforma-
31
DOSSIER
Ces raisons font que dans limmdiat, il
est difficilement imaginable de revenir
sur le choix du cadre de rfrence de
lAMF.
SNCF - Troismille
Le COSO 2013 introduit des changements importants comme sur les valeurs
thiques, limportance de lintgrit sur
lesquels nous ne pouvons quadhrer.
Ce sont dailleurs des axes forts SNCF.
Le COSO 2013 pointe galement des
sujets de fond comme la RSE, larticulation des 3 lignes de dfenses, larticulation du tone at the top avec les comportements, la prise en compte des
sous-traitants
Ces volutions ne sont pas incompatibles avec le cadre de rfrence de lAMF.
En effet, la lecture approfondie du
cadre AMF, on voit que la partie II sur
les principes gnraux de gestion des
risques et de contrle interne portent
sur un primtre qui ne se limite pas au
domaine comptable et financier. Ce sont
les parties relatives au questionnaire et
au guide dapplication qui ciblent sur ces
domaines.
Compte tenu des apports du COSO
2013, il est important que le cadre de
rfrence de lAMF en tienne compte
tout en gardant son ct souple, agile et
facile daccs qui constitue pour nous
utilisateurs un atout et une attente.
32
SNCF PROXIMITS
SNCF VOYAGES
Gestion, exploitation,
maintenance du rseau
pour RFF et ingnierie
dinfrastructure
Services de transport
Transport ferroviaire de
public urbain, priurbain voyageurs grande
et rgional pour les
vitesse
voyageurs du quotidien Europe (France, Espagne,
SNCF GEODIS
120 pays
5 continents
1 Md (4%)