EXPERTISES

epuis plus de vingt

ans, le COSO
1
est une rfrence
incontournable du contrle
interne. Ce rfrentiel publi en
1992 en a tabli les fondamen-
taux et a t utilis par de nom-
breuses organisations dans le
monde pour dfnir les bases de
leur dispositif de contrle in-
terne. Or, depuis 1992, les orga-
nisations et lenvironnement
dans lequel elles oprent ont
beaucoup chang (prmi-
nence de la technologie, recours
croissant lexternalisation,
renforcement des obligations
de reporting). Elles ont donc
d adapter leurs pratiques de
contrle interne aux nouveaux
enjeux ainsi gnrs. Recon-
naissant ces volutions de
lenvironnement et par cons-
quent le besoin dadaptation du
contrle interne, COSO a dcid
de mettre jour son rfrentiel.
Le COSO 2013 est donc paru
en mai dernier dans sa version
anglaise
2
. Une version fran-
aise est actuellement en cours
de finalisation par lIFACI et
PwC. Elle sera publie dici d-
but 2014.
Les principales volutions
apportes par cette nouvelle
version du rfrentiel sont in-
troduites au travers de la codi-
fcation des 17 principes sous-
jacents aux 5 composantes du
contrle interne. Leffcacit du
contrle interne reposant sur
la dclinaison de ces 5 compo-
santes et donc dans la version
2013 des 17 principes le
COSO 2013 peut tre abord
par les organisations comme
un outil mis leur disposition
pour les aider faire un point
sur leur dispositif de contrle
interne et identifer ainsi des
pistes damlioration.
Il est important de rappeler
ici que le rfrentiel COSO
ntant pas une norme, il ne
dfnit pas de pratiques stan-
dards pour la mise en uvre
des principes. Chaque organi-
sation choisit les pratiques qui
lui sont les plus adaptes.
Toutefois, afin de permettre
aux organisations de faire ce
choix, le rfrentiel dveloppe
des points dattention pour la
mise en uvre de chacun des
17 principes. Il fournit gale-
ment des exemples issus des
pratiques des nombreuses
organisations qui ont contri-
bu son laboration. Un re-
cueil spar (COSO Internal
Control over External Financial
Reporting ICEFR) dcrit di-
verses approches et cas pra-
tiques afn dillustrer la mise
en uvre des 17 principes du
contrle interne dans le cadre
de ltablissement des rap-
ports fnanciers. Des recueils
similaires pourraient tre la-
bors par la suite sur lappli-
cation des 17 principes
dautres objectifs comme le
reporting non-fnancier.
D
COSO 2013
Que retenir de
cette nouvelle version
du rfrentiel ?
Rfrentiel incontournable du contrle interne depuis 20 ans, le COSO
nouvelle version vient de voir le jour. Innovations et amliorations de cet
outil danalyse.
Le COSO 2013 traite
spcifquement des enjeux
lis aux transformations
PAR
FRANOISE BERG
ASSOCIE PWC
PAR
CATHERINE JOURDAN
DIRECTRICE PWC

F
I
N
A
N
C
E

&

G
E
S
T
I
O
N

N
O
V
E
M
B
R
E
-
D

C
E
M
B
R
E

2
0
1
3
26
PERFORMANCE
PERFORMANCE
En analysant sans a priori et
avec pragmatisme les pratiques
exi stantes au regard des
17principes, les organisations
devraient identifer des pistes de
rfexion pour amliorer, ren-
forcer, mais aussi dans cer-
tains cas simplifer leur dispo-
sitif. En ef fet, certains des
17principes rsonnent parti-
culirement avec quelques-
unes des principales proccu-
pations des organisations
vis--vis de leur dispositif de
contrle interne :
- prvenir le risque de fraude ;
- adapter le contrle interne
aux transformations de lorga-
nisation ;
- mobiliser le management et
instaurer le tone in the middle.
- assurer la cohrence entre les
dispositifs contribuant la ma-
trise des activits (systme de
management intgr, thique
et conformit, risk manage-
ment, audit interne) ;
- matriser les oprations exter-
nalises.
La suite de cet article fournit
des lments sur la faon dont
le rfrentiel COSO approche
ces thmatiques.
PRVENIR LE RISQUE
DE FRAUDE
Lvaluation et la prvention
du risque de fraude est tabli
dans le COSO 2013 comme un
principe part entire du
contrle interne (Principe n8).
Lorganisation doit envisager
plusieurs types de fraude : la
communication volontaire
dinformations errones, le d-
tournement dactifs et la cor-
ruption. Pour le COSO, cela
prsuppose que lorganisation
ait dfni des rgles de conduite
(Principe n1) et quelle sas-
sure que ces rgles sont respec-
tes par le management, les
collaborateurs et les presta-
taires externes (Principes n5 et
17). Les modalits de suivi pour
les prestataires externes doivent
tre spcifiquement prvues
dans le cadre de la gestion de la
relation avec ces prestataires.
Le COSO fournit galement
des lments sur lanalyse que
lorganisation doit mettre en
place pour valuer le risque de
fraude : analyse des facteurs de
motivation et des pressions,
analyse des opportunits dac-
quisition, dutilisation ou de
cession non autorises dactifs,
analyse des opportunits de
modification des registres
comptables, analyse des possi-
bilits de commettre et de justi-
fer des actes inappropris En
fonction des rsultats de ces
analyses, lorganisation devra
dfnir des contrles et mettre
alors en place un suivi des prin-
cipales zones de vulnrabilit,
par exemple au travers dana-
lyses de donnes. Le COSO in-
siste enfn sur limportance de
lanalyse a posteriori des cas de
fraude avrs dans le but de
renforcer leffcacit du disposi-
tif de prvention (principe
n17).
ADAPTER
LE CONTRLE INTERNE
EN FONCTION DES
TRANSFORMATIONS
DE LORGANISATION
Quil sagisse de lapplication
de nouvelles rglementations,
de la mise en place dun nou-
veau systme dinformation
ou dun centre de services par-
tags, les organisations se
transforment en permanence
pour sadapter leur environ-
nement et rester performantes.
Dans ce contexte, lenjeu en
matire de contrle interne est
double : adapter le dispositif
en fonction des volutions de
lorganisation et assurer que le
niveau de matrise des activits
est maintenu pendant les
phases de transition. Dans le
cas dune fusion, par exemple,
un s o c l e c o mmun d e s
contrles-cls peut tre dfni
sur la base des diffrents rf-
r e n t i e l s e x i s t a n t s e n
attendant la dfinition dun
rfrentiel de contrle unique
et adapt aux nouveaux pro-
cessus issus de la fusion.
Dix-sept principes sous-jacents
aux cinq composantes du contrle interne
Environnement de contrle
1
Lorganisation manifeste son engagement
en faveur de lintgrit et de valeurs thiques.
2
Le Conseil fait preuve dindpendance vis--vis du management.
Il surveille la mise en place et le bon fonctionnement du dispositif
de contrle interne.
3
Le management, agissant sous la surveillance du Conseil,
dfnit les structures, les rattachements, ainsi que les pouvoirs
et les responsabilits.
4
Lorganisation manifeste son engagement attirer,
former et fdliser des collaborateurs comptents.
5
Lorganisation instaure pour chacun un devoir de rendre
compte de ses responsabilits en matire de contrle interne.
valuation des risques
6
Lorganisation dfnit des objectifs de faon sufsamment
claire pour rendre possible lidentifcation et lvaluation
des risques susceptibles dafecter leur ralisation.
7
Lorganisation identife les risques associs la ralisation de
ses objectifs dans lensemble de son primtre et procde leur
analyse de faon dterminer comment ils doivent tre grs.
8
Lorganisation intgre le risque de fraude dans son valuation
des risques.
9
Lorganisation identife et value les changements qui pourraient
avoir un impact signifcatif sur le systme de contrle interne.
Activits de contrle
10
Lorganisation slectionne et dveloppe les activits de contrle
qui contribuent ramener les risques des niveaux acceptables.
11
Lorganisation slectionne et dveloppe des contrles gnraux
informatiques.
12
Lorganisation met en place les activits de contrle par le biais
de rgles et de procdures qui mettent en uvre ces rgles.
Information et communication
13
Lorganisation gnre des informations pertinentes et fables
ncessaires au bon fonctionnement des autres composantes
du contrle interne.
14
Lorganisation communique en interne les informations
ncessaires au bon fonctionnement des autres composantes
du contrle interne.
15
Lorganisation communique avec les tiers sur les points
qui afectent le fonctionnement des autres composantes
du contrle interne.
Activits de pilotage
16
Lorganisation slectionne, dveloppe et ralise des valuations
continues et/ou ponctuelles afn de vrifer si les composantes
du contrle interne sont mises en place et fonctionnent.
17
Lorganisation value et communique en temps voulu
les faiblesses de contrle interne aux parties charges
de prendre des mesures correctives.

F
I
N
A
N
C
E

&

G
E
S
T
I
O
N

N
O
V
E
M
B
R
E
-
D

C
E
M
B
R
E

2
0
1
3
27
EXPERTISES
PERFORMANCE
Par ailleurs, le dispositif mis
en place par lorganisation ne
doit pas gnrer trop de rigi-
dit lors des changements.
Cela est particulirement cri-
tique lorsque lorganisation
implmente une solution logi-
cielle ddie au contrle in-
terne. Lorganisation devra
alors notamment dfinir le
niveau de documentation
quelle adopte et dcider, par
exemple, si tous les contrles
doivent fgurer dans le systme
ou uniquement les contrles
dit cls .
Le COSO 2013 traite gale-
ment spcifiquement des en-
jeux lis aux transformations
en introduisant le Principe n9
sur lvaluation du change-
ment. Ce principe met en avant
le besoin danticiper les change-
ments pour mieux y rpondre.
Toutefois, la capacit dantici-
pation dpendra aussi de lexis-
tence de flux de communica-
tion internes adapts (Principe
n14) qui doivent permettre
didentifer les changements
venir, danalyser leur impact
sur le dispositif de contrle in-
terne de lorganisation et de
cadrer la contribution du
contrle interne tout au long
du projet de transformation.
MOBILISER
LEMANAGEMENT
ET INSTAURER LE TONE
IN THE MIDDLE
La dfinition des attentes
(Principe n1) et lengagement
de la direction gnrale (tone at
the top), au travers notamment
de la supervision quelle effec-
tue, sont primordiaux pour
leffcacit du contrle interne.
Mais cest au niveau du mana-
gement oprationnel de lorga-
nisation que le contrle in-
terne est effectivement mis en
uvre ou non. Leffcacit du
dispositif de contrle interne
repose en grande partie sur
limplication du management
oprationnel dans la dfnition
des contrles et le suivi des r-
sultats des contrles effectus
afin didentifier des besoins
ventuels dajustement des
processus. Il est important,
dans cette perspective, que le
dispositif de contrle interne
soit conu et pilot en mettant
laccent sur la contribution du
contrle interne la matrise
des oprations.
Dans le COSO 2013, limpli-
cation du management passe
par la dfnition claire des rles
et des responsabilits (Principe
n3), lappui de spcialistes du
contrle interne et linstaura-
tion pour chacun dun devoir
de rendre compte de ses res-
ponsabilits en matire de
contrle interne (Principe n5).
Les modalits de mise en uvre
de ce dernier principe ont une
grande infuence sur le niveau
dimplication du management.
Il pourra par exemple sagir
dintgrer la responsabilit du
contrle interne dans les objec-
tifs des managers, notamment
la tenue dune revue annuelle
du contrle interne qui ne se
portera pas uniquement sur les
besoins de mise en place de
nouveaux contrles mais qui
traitera aussi des rsultats des
contrles raliss et du traite-
ment des carts ou des dysfonc-
tionnements ainsi reprs.
Toutefois, pour que toutes ces
dispositions aient une porte
relle, lensemble des dispositifs
contribuant la matrise des
oprations (systme de mana-
gement intgr, thique et
conformit, risk management,
audit interne) doivent tre li-
sibles pour le management.
Or, cette lisibilit ncessite
une dfnition claire des rles,
des responsabilits des acteurs
et une grande cohrence des
dispositifs.
Le COSO, dans le Principe n3
sur la dfnition des rles et res-
ponsabilits, reprend donc le
concept des trois lignes de
dfense (lines of defence).La
premire ligne est de la respon-
sabilit du management qui
conoit et met en place des
contrles au sein de leurs acti-
vits. Les fonctions support, en
seconde ligne, apportent exper-
tise et conseil au management
et pilotent les dispositifs en
transverse. En dernire ins-
tance (troisime ligne), laudit
interne apporte un regard ind-
pendant sur leffcacit des dis-
positifs. Ces trois lignes contri-
buent alors lamlioration en
continu. Dans une position
commune Trois lignes de
matrise pour une meilleure
performance publie en
j ui n 2013, l IFACI et de
l AMRAE dvel oppent ce
concept.
Par ailleurs, la mise en coh-
rence des dispositifs repose
aussi, dans la mesure du pos-
sible, sur la mise en commun
des rfrentiels et des outils. La
plupart des diteurs ont au-
jourdhui pris en compte ce
besoin et proposent des solu-
tions logicielles traitant au sein
dun mme environnement le
risk management, le contrle
interne, la conformit et laudit
interne.
MATRISER LES
OPRATIONS
EXTERNALISES
Les organisations font de plus
en plus souvent appel des
partenaires commerciaux et
des prestataires de services
(internes ou externes) tous
les niveaux de la chane de
valeur ainsi quau sein des
fonctions supports. Ces choix
organisationnels permettent de
standardiser et de rationaliser
les processus. Ils prsentent
ainsi des opportunits de meil-
leure matrise des oprations et
de rduction des cots. Cepen-
dant, ils prsentent aussi de
nouveaux enjeux de contrle,
notamment en termes dinter-
faces (humaines ou automati-
ses) entre lorganisation et ses
prestataires.
Par ailleurs, puisque lorgani-
sation garde la responsabilit
ultime des activits quelle d-
lgue, elle doit dfnir contrac-
tuellement ses attentes en
matire de contrle interne et
tre en capacit de porter un
regard sur lef f icacit du
contrle interne exerc par ses
prestataires. Afn dy parvenir,
elle peut sappuyer sur des indi-
cateurs communiqus par les
prestataires (key risks indica-
tors), des audits conduits par
le service daudit interne ou des
rapports daudit mis par un
tiers (Third Party Assurance)
selon les normes ISAE 3402,
ISAE 3000 Les 17 principes
fournissent donc lorganisa-
tion un cadre pour tablir ses
attentes et valuer leffcacit
des dispositifs mis en uvre par
les prestataires pour y r-
pondre. l
1. COSO Internal Control Integrated
Framework
2. Le rfrentiel dorigine ainsi que sa
mise jour ont t rdigs par PwC,
sous lautorit du COSO (Committee
of Sponsoring Organizations of the
Treadway Commission), duquel fait
notamment partie lInstitute of
Internal Auditors (IIA). En tant que
membre de lIIA, lIFACI a particip
cette laboration.
Lorganisation doit mettre
en place des lments pour
valuer le risque de fraude

F
I
N
A
N
C
E

&

G
E
S
T
I
O
N

N
O
V
E
M
B
R
E
-
D

C
E
M
B
R
E

2
0
1
3
28
EXPERTISES