Il existe deux types d'audit : - Lgal : prvu par la loi en raison de la forme et/ou de la taille de l'entreprise.

- Contractuel : non obligatoire mais demand par une socit ou un tiers. L'audit consiste en l'examen approfondi du fonctionnement d'une socit en vue de faire un tat des lieux sur son fonctionnement actuel, ses forces et faiblesses, les zones de risques, les points amliorer. Il existe plusieurs catgories d'audit : - Comptable et Financier (appel aussi Commissariat au Comptes) : analyse des comptes de l'entreprise et de son quilibre financier. - Marketing : analyse des gammes, produits, parts de marchs etc. - Ressources humaines, - Stratgiques.

COSO
Le COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway Commission. Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois Loi Sarbanes-Oxley, SOX ou Loi de scurit financire, LSF, pour les entreprises assujetties respectivement aux lois amricaines ou franaises. Le rfrentiel initial appel COSO 1 a volu depuis 2002 vers un second corpus dnomm COSO 2.
o

Historique
COSO est lacronyme abrg de Committee Of Sponsoring Organizations of the Treadway Commission, une commission but non lucratif qui tablit en 1992 une dfinition standa rd du contrle interne et cre un cadre pour valuer son efficacit. Par extension ce standard s'appelle aussi COSO. En 2002, le Congrs amricain, en rponse aux scandales financiers et comptables (Enron, Worldcom, ), promulgue la loi SarbanesOxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les socits faisant appel lpargne publique valuer leur contrle interne et en publier leurs conclusions dans les tats demands par la SEC. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favoris l'adoption du COSO comme rfrentiel. En France, la loi LSF (Loi de scurit financire) promulgue peu aprs en 2003, a galement contribu sa diffusion.

Le rfrentiel COSO (Internal Control Integrated Framework)

Les principes
Le rfrentiel COSO est bas sur les principes de base suivants :
y

y y

Le contrle interne est un processus : cest un moyen, pas une fin ; il ne se cantonne pas un recueil de procdures mais ncessite limplication de tous chaque niveau de lorganisation. Le contrle interne doit procurer lassurance raisonnable (mais non absolue) dun management et dune direction respectueuse des lois. Le contrle interne est adapt la ralisation effective des objectifs.

Le cadre : le cube COSO

Le cadre COSO repose sur les notions d'objectifs et de composants. Les trois objectifs Le rfrentiel COSO dfinit le contrle interne comme un processus mis en uvre par les dirigeants tous les niveaux de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants :
y y y

l'efficacit et l'efficience des oprations, la fiabilit des informations financires, la conformit aux lois et rglements.

On notera que ces objectifs correspondent en grande partie aux proccupations des investisseurs. Les cinq composants Le contrle interne, tel que dfini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour dcrire et analyser le contrle interne mis en place dans une organisation. Il sagit de :
y y y y y

l'environnement de contrle, qui correspond, pour l'essentiel, aux valeurs diffuses dans l'entreprise ; l'valuation des risques l'aune de leur importance et frquence ; les activits de contrle, dfinies comme les rgles et procdures mises en uvre pour traiter les risques, le COSO imposant la matrialisation factuelle des contrles ; l'information et la communication, qu'il s'agit d'optimiser ; la supervision, c'est--dire le contrle du contrle interne.

Le cube Aprs les objectifs et composants, le COSO impose de distinguer les structures de l'entreprises (socits, entits, fonctions, ). La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appel le cube COSO.

COSO 2 - Enterprise Risk Management Framework

Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de rfrence de la gestion des risques. Le prsent chapitre vise en raliser une synthse, notamment en se basant sur les concepts dvelopps dans le COSO 1, "Internal Control Integrated Framework".

Positionnement du COSO 2 par rapport au COSO 1

Pour rappel, le COSO 1 propose un cadre de rfrence pour la gestion du contrle interne. Le contrle interne est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, destin fournir une assurance raisonnable quant la ralisation des objectifs suivants :
y y y

L'efficacit et l'efficience des oprations, La fiabilit des informations financires, La conformit aux lois et aux rglementations en vigueur.

Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise (Enterprise Risk Management Framework). La gestion des risques de lentreprise est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, exploit pour llaboration de la stratgie et transversal lentreprise, destin
y y y

identifier les vnements potentiels pouvant affecter lorganisation, matriser les risques afin quils soient dans les limites du Risk Appetite (apptence au risque) (cf. ci-dessous) de lorganisation, fournir une assurance raisonnable quant la ralisation des objectifs de lorganisation.

Il apparat que le COSO 2 inclut les lments du COSO 1 au travers du troisime point et le complte sur le concept de gestion des risques. Le COSO 2 est bas sur une vision oriente risques de lentreprise.

Une nouvelle notion, le Risk Appetite

La notion de Risk Appetite est nouvelle dans le COSO 2. Le Risk Appetite est le niveau de prise de risque accept par lorganisation dans le but daccrotre sa valeur. Diffrentes stratgies exposeront lorganisation diffrents risques. En consquence, le Risk Appetite doit tre pris en compte dans la dfinition de la stratgie de lorganisation afin de sassurer que les rsultats de cette stratgie sont cohrents avec le Risk Appetite dfini pour lorganisation.

Synthse des modifications opres sur le cube COSO

Le modle du cube et son architecture trois plans sont conservs: 1. Niveaux de lorganisation 2. Elments de contrle interne (qui devient Elments de gestion des risques) 3. Objectifs de lorganisation

En revanche, les diffrents plans sont modifis ou enrichis. 1. Axe "Niveaux de lorganisation"
y y

Apport dun cadre plus strict de dcomposition de la structure dune organisation Mise en vidence de la ncessit de prendre en compte lensemble de lorganisation pour que le COSO 2 soit appliqu avec succs.

2. Axe "Objectifs"
y y

Apport dun nouvel objectif: stratgique . Elargissement de la notion de reporting : cette notion couvre dsormais non seulement le reporting financier, mais aussi la remonte dinformations non-financires. De plus, cette notion couvre dornavant la fois la remonte dinformations externes mais aussi internes.

3. Axe "Elments de contrle" Enrichissement de laxe lments de contrle qui devient risques et qui passe de cinq huit catgories : lments de gestion des

1. Llment environnement interne est complt de la notion de Risk Appetite , 2. Llment valuation des risques est clat en quatre lments dont les notions existaient dj dans le COSO 1 mais sous forme moins dtaille: dfinition dobjectifs, Identification des vnements, Evaluation des risques, Rponse aux risques, 3. Llment activits de contrle reste inchang, 4. Llment Information et Communication est complt des notions de temps et de granularit de linformation, 5. Llment pilotage reste inchang. Modifications opres sur l'axe Niveaux de lorganisation Le COSO 2 sapplique lensemble de lentreprise, aussi bien au niveau le plus haut ( entit ) quau niveau oprationnel ( business unit ). Mais pour appliquer le COSO 2 avec succs, il faut prendre en compte lensemble du primtre des activits dune organisation. Le COSO 2 considre les activits diffrents niveaux de lorganisation :
y y y y

Au niveau de lorganisation ( entity ) pour des activits telles que la planification stratgique ou lallocation des ressources, Au niveau des units de mtier ( business unit ) pour des activits telles que le marketing, et les ressources humaines, Au niveau des processus mtier ( business process ) pour des activits telles que la production, les achats, Et aussi aux niveaux des projets ou initiatives qui nont pas encore de place dfinie dans la structure de lorganisation.

Par rapport au COSO 1, le COSO 2 apporte :

y

un cadre plus strict de dcomposition de la structure dune organisation - par niveaux que le COSO 1 qui ne retient pas de structure de dcomposition spcifique pour une

organisation. Cette dcomposition est utile la vision en portefeuille de risque (cf. cidessous) expose par le COSO 2. la ncessit de prendre en compte lensemble de lorganisation pour tre appliqu avec succs.

La notion de portefeuille de risques ( Portfolio )

Il est demand lorganisation davoir une vision de ses risques sous forme dun portefeuille. Ce portefeuille doit caractriser les risques chaque niveau de lorganisation. La compilation du portefeuille permet donc davoir une vision globale des risques de lorganisation. Cette vision pourra alors tre rapproche du Risk Appetite dfini pour lorganisation. De plus, la compilation du portefeuille de risques permet au management :
y

de mettre en vidence des risques qui peuvent tre tolrs au niveau dune unit mais qui en sadditionnant seraient plus dans les limites du Risk Appetite dfini pour lorganisation. dapprhender des vnements potentiels (au niveau global) plutt que des risques et donc de mieux comprendre comment les risques interagissent entre eux au niveau de lorganisation. Par exemple, une baisse des taux dintrt pourrait affecter positivement le cot du capital mais ngativement les produits de taux.

Modifications opres sur l'axe Objectifs de lorganisation Apport dun nouvel objectif : stratgique . Un objectif stratgique est un objectif high-level , qui soutient et concourt la mission/vision de lorganisation. Les objectifs stratgiques refltent les choix du management quant la recherche de cration de valeur par lorganisation pour ses actionnaires. Les trois autres types dobjectifs : oprationnel, reporting, et rglementaire, sont dpendants des objectifs stratgiques. Ils sont appels les related objectifs. Par exemple, pour une organisation, il sagira de dfinir :
y y y y

Quelle est sa mission/vision, Quels sont les objectifs stratgiques soutenant cette mission/vision, Quelle est la stratgie mettre en uvre pour atteindre ces objectifs stratgiques, Et en dduire les related objectifs qui soutiennent la stratgie mise en uvre.

A la diffrence du COSO 1, la mise en uvre de COSO 2 ncessite donc davoir une vision des objectifs stratgiques de lentreprise en plus des related objectifs. Elargissement de la notion de reporting Par rapport au COSO 1, cette notion couvre dsormais :
y y

non seulement le reporting financier, mais aussi la remonte dinformations nonfinancires, non seulement la remonte dinformations externes mais aussi la remonte dinformations internes.

Modifications opres sur l'axe Elments Laxe lments de contrles, qui devient lments de gestion des risques , a t lgrement modifi et surtout enrichi : Llment environnement de contrle est complt de la notion de Risk Appetite ,
y

y y y

Llment valuation des risques est clat en quatre lments dont les notions existaient dj dans le COSO 1 mais sous forme moins dtaille : dfinition dobjectifs, Identification des vnements, Evaluation des risques, Rponse aux risques, Llment activits de contrle reste inchang, Llment Information et Communication est complt des notions de temps et de granularit de linformation, Llment pilotage reste inchang.

Suite ces modifications, la lecture de ce nouveau plan met en vidence un bloc homogne que lon peut qualifier de bloc d'lments de risques * et qui contient les cinq lments : dfinition dobjectifs, identification des vnements, valuation des risques, rponse au risque et activits de contrle.
* cette notion de bloc d'lments de risques nest pas prsente dans le COSO 2. Elle est ici propose au lecteur dans un but pdagogique.

Remarque : La pyramide qui schmatisait la partie lments de contrle interne disparat dans le COSO 2.
Environnement interne

Llment environnement interne reprend les notions de llment environnement de contrle du COSO 1 : importance des individus (comptence, thique), du style de management, de la dlgation des responsabilits, En revanche, ce nouvel lment senrichit dune nouvelle notion : celle de Risk Appetite : cest--dire la prise de risque accepte par lentreprise dans le but daccrotre sa valeur. Ce Risk Appetite permet ensuite de dterminer le niveau de la tolrance de risque aux diffrents niveaux de lorganisation. Cette notion est ncessaire et prcde la dfinition de la stratgie de lentreprise.
Le bloc Elments de risques

Par rapport COSO 1, les diffrents composants de ce bloc sont plus dtaills et fixent un cadre plus prcis :
y y y

pour lidentification des vnements potientiels (tendances, vnements passs) pour lvaluation des risques (risque inhrent, risque rsiduel), pour les rponses aux risques (catgorisation des types de rponses).

Ce bloc comporte les cinq lments suivants :

1. 2. 3. 4. 5.

Dfinition dobjectifs Identification des vnements valuation des risques Rponses aux risques Activits de contrle

Le management doit tout dabord se fixer des objectifs(1) en dehors des vnements susceptibles de venir les perturber. Ces objectifs sont de quatre types : stratgiques, oprationnels, lis au reporting et ladquation avec la rglementation. Puis le management dtermine pour chacun de ses objectifs les vnements (2) susceptibles davoir des impacts, que ceux-ci soient positifs ou ngatifs. Les vnements avec impacts ngatifs reprsentent des risques, ceux avec des impacts positifs reprsentent des opportunits. Lidentification des vnements potentiels passe par lutilisation de combinaison de mthodes : tendances, vnements dclencheurs, corrlation avec les vnements passs. On passe ensuite une valuation des risques (3) pour les vnements ngatifs. Cette valuation doit dterminer la probabilit que cet vnement survienne et les impacts alors engendrs. Cette valuation des risques doit prsenter dans un premier temps le risque inhrent, cest--dire le risque qui existe si le management ne met en place aucune action corrective. Dans un second temps, lorsque llment de rponse au risque aura t trait, il sera possible de dterminer un risque rsiduel. (Boucle unique de processus itratif). Il est suggr dutiliser un systme dunit de mesure cohrent entre la mesure des Dfinition dobjectifs et lvaluation des risques. Le risque valu, il est ensuite demand de dfinir les diffrentes parades possibles. Cest la rponse au risque (4). Plusieurs options sont parfois possibles. Il est alors ncessaire de les expliciter. Ces rponses peuvent tre classes dans les quatre catgories suivantes : lvitement, la rduction, la mutualisation ou lacceptation du risque. Si la mthode de formalisation (option, classification) est incluse dans le primtre de COSO 2, le choix de la solution nen fait en revanche pas partie. Une fois la rponse au risque dfinie, lorganisation peut sassurer que le risque rsiduel correspond sa tolrance de risque (3). Il est ensuite ncessaire de mettre en place des activits de contrle (5) qui se concrtisent sous la forme de normes ( ce qui doit tre fait ) et se voient dcline en procdures ( comment le faire ).
Information et communication

Par rapport COSO 1, COSO 2 apporte les concepts suivants :

y

la ncessit de considrer que les informations sont issues des vnements passs, prsents et futurs. Cette vision doit notamment permettre : o une comparaison des performances de lorganisation (passes, et potentielles futures) et lidentification des volutions et tendances de lactivit de lorganisation, o laide la dtection des potentiels vnements futurs qui affectent le profil de risques actuel de lorganisation, ce profil de risques devant donc tre rapproch du Risk Appetite .

la ncessit de sassurer que la granularit des informations (niveau de dtail et priodicit), est suffisante pour identifier, analyser, et rpondre aux risques et ainsi rester dans les limites de son Risk Appetite .

De plus, COSO 2 insiste sur le concept de prsentation de linformation pour communiquer, i.e. linformation doit tre communique sous une forme adapte en fonction de linterlocuteur destinataire.
Pilotage

Pas dajout sur llment Pilotage .

Rles et responsabilits
Le COSO 2 souligne limportance de la prise de responsabilit dans une entreprise et dtaille ce quelle recouvre pour chacun des acteurs. On retrouve dans cette partie des analogies fortes avec la loi Sarbanes-Oxley. Par rapport au COSO 1, le COSO 2 apporte quelques modifications aux rles des intervenants :
y y

Un nouveau rle apparat: le Risk officer , Le rle du board of directors est plus tendu que dans le COSO 1.

Les acteurs responsables ( Responsible parties )[modifier]

Le Board of directors [modifier]

Le Board of directors supervise avec attention la gestion des risques :

y y y y

Il connat le primtre de couverture efficace de gestion des risques mis en place par le management de lorganisation, Il connat et il est daccord avec le Risk appetite de lorganisation, Il revoit le portefeuille de risques et effectue son rapprochement avec le Risk Appetite Il est inform des risques les plus significatifs et de la pertinence de la prise en charge de ces risques.

Le Risk Officer[modifier]

Le Risk Officer est le facilitateur de la mise en uvre du COSO 2. Il travaille avec les autres responsables afin de les aider mettre en place une gestion efficace des risques pour leur primtre de responsabilit. Sans tre exhaustif, ses attributions pourraient tre :
y y y y

llaboration de procdures de gestion des risques (incluant les rles, responsabilits), llaboration dun langage commun de gestion des risques (uniformisation des mesures de probabilit et dimpact, des catgories de risques..), laccompagnement des managers dans llaboration de leur rponse aux risques (aide directe, formation), la supervision des managers pour llaboration des tolrances de risques,

y y

laccompagnement des managers pour ltablissement des activits de contrles, la supervision du processus de reporting de gestion des risques,

Son intervention porte donc sur lensemble des lments de gestion des risques.
Les auditeurs internes[modifier]

De la mme manire que dans COSO 1, ceux-ci nont pas la responsabilit premire de la mise en uvre de COSO 2. Par contre, ils ont un rle prpondrant dans lvaluation du systme de gestion des risques. Les auditeurs externes[modifier] Ceux-ci travaillent au niveau entit . Ils donnent une opinion sur la constitution des tats financiers. et l'approche moderne pour se prononcer sur les etats, consiste en l'valuation du systme de contrle interne suivant les normes de travail de l'audit.