DOSSIER

Le nouveau COSO
et ses 17 principes fondateurs pour un contrle interne efficient

16

Plaidoyer pour des principes justes et pertinents : Comment donner du sens aux systmes de contrle interne ? Batrice Ki-Zerbo

22

Le COSO 2013 : une mise jour du rfrentiel dorigine pour mieux matriser les volutions Serge Villepelet
Le COSO 1992 est mort, vive le nouveau COSO Laurent Arnaudo Le COSO 2013 et le cadre de lAMF ne sexcluent ni ne sopposent, ils sont complmentaires Anne Bosche-Lenoir et Raymond Marfaing

25 29

juin-juillet 2013 - Audit & Contrle internes n215

15

DOSSIER

Plaidoyer pour des principes justes et pertinents : Comment donner du sens aux systmes de contrle interne ?
Batrice Ki-Zerbo - Directeur de la Recherche, IFACI

a mise jour du rfrentiel COSO de contrle interne est formellement caractrise par lexplicitation de 17 principes complts par des points dattention et des illustrations. Cette version 2013 est donc plus prcise et plus aise actionner. Loin dtre des a priori thoriques et intemporels, ces principes bnficient de plusieurs dcennies de pratiques du contrle interne et de gestion des risques. Cet article a bnfici des changes fructueux au sein des groupes de recherche de lIFACI ; en particulier celui qui avait t constitu dans le cadre de la consultation publique lance par le COSO en 2012. Impossible de rsumer ici toute la richesse de ce rfrentiel dont des professionnels chevronns nous ont avou quil mritait le dtour. Nous vous proposons donc un survol orient vers ce qui nous semble tre fondamental pour un contrle interne efficace : la qualit de l environnement de contrle et du pilotage . Ces composantes sont pourtant les laisses pour compte des chantiers de contrle interne. Dans le meilleur des cas, elles sont exaltes lors de grandes messes suivies de plans dac-

tions purement formels dpourvus de sens ou sans ressources adquates. Au moindre incident, ce vernis de faade ne tardera pas se craqueler mettant ainsi mal la confiance au pouvoir de transformation du contrle interne. Les fossoyeurs du contrle interne ne se demanderont jamais si les fondations de ldifice pimpant qui leur tait prsent taient rellement robustes. Lide de recourir des principes fondateurs pour une saine gestion nest pas nouvelle. En 1916 dj, Fayol proposait 14 principes gnraux dadministration dont la plupart nont rien envier ceux proposs par le COSO. Cet ingnieur des mines est reconnu pour son pragmatisme. Il avait galement une vise universelle de ses principes quil proposait dappliquer ladministration publique. Plus proche de nous, Larry Rittenberg (2007) prsentait les 20 principes du rfrentiel COSO for smaller public companies comme un moyen de rendre plus accessibles les fondamentaux dun contrle interne efficace aux managers de socits cotes de taille moyenne. Il notait que ces principes taient tout fait adapts pour les autres types dorganisations. Les constats de lancien

prsident du COSO ont t suivis deffet. En effet, les 17 principes de la nouvelle version du rfrentiel de contrle interne sinspirent visiblement de ces 20 principes initiaux. Leur rdaction gagne nanmoins en clart et met en exergue les points dattention. Un aperu en est donn dans le tableau ci-aprs. Ces principes sont dvelopps dans le document de rfrence (Framework) et illustrs dans deux documents complmentaires (llustrative Tools et Internal Control over External Financial Reporting). Elments fondateurs et incontournables de la conception, de la mise en place et du fonctionnement de tout systme de contrle interne ayant lambition de contribuer la performance dune organisation ; ces principes ont isolment porteur de sens. Nanmoins, leur pouvoir de transformation ne sexprimera rellement que dans une mise en uvre concerte. Les principes ne sont donc pas une fin en soi, cette nouvelle dition permet de sen servir pour sassurer de la cohrence globale du systme par une mise en lumire des interactions entre composantes. Il est dailleurs dommage que lillustration sous forme de cube ne rende pas mieux compte de cette interpntration des composantes. Cest

16

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Environnement de contrle

1. 2. 3.

4. 5.

L'organisation dmontre son engagement en faveur de l'intgrit et de valeurs thiques. Le conseil dadministration fait preuve d'indpendance vis--vis du management. Il surveille la mise en place et le bon fonctionnement du systme de contrle interne. La direction, agissant sous la surveillance du conseil dadministration, dfinit les structures, les rattachements, ainsi que les pouvoirs et les responsabilits appropris pour atteindre les objectifs. L'organisation dmontre son engagement attirer, former et fidliser des collaborateurs comptents conformment aux objectifs. L'organisation instaure pour chacun un devoir de rendre compte de ses responsabilits en matire de contrle interne. L'organisation spcifie les objectifs de faon suffisamment claire pour permettre l'identification et l'valuation des risques associs aux objectifs. L'organisation identifie les risques associs la ralisation de ses objectifs dans l'ensemble de son primtre de responsabilit et elle procde leur analyse de faon dterminer les modalits de gestion des risques appropries. L'organisation intgre le risque de fraude dans son valuation des risques susceptibles de compromettre la ralisation des objectifs. L'organisation identifie et value les changements qui pourraient avoir un impact significatif sur le systme de contrle interne.

Evaluation des risques

6. 7.

8. 9.

Activits de contrle

10. L'organisation slectionne et dveloppe les activits de contrle qui contribuent ramener des niveaux acceptables les risques associs la ralisation des objectifs. 11. L'organisation slectionne et dveloppe des activits de contrle gnral en matire de systme dinformation pour faciliter la ralisation des objectifs. 12. L'organisation met en place les activits de contrle par le biais de directives qui prcisent les objectifs poursuivis, et de procdures qui mettent en uvre ces directives. 13. L'organisation obtient ou gnre puis utilise des informations pertinentes et de qualit pour faciliter le fonctionnement des autres composantes du contrle interne. 14. L'organisation communique en interne les informations ncessaires au bon fonctionnement des autres composantes du contrle interne, notamment en ce qui concerne les objectifs et les responsabilits associs au contrle interne. 15. L'organisation communique avec les tiers au sujet des facteurs qui affectent le bon fonctionnement des autres composantes du contrle interne. 16. L'organisation slectionne, met au point et ralise des valuations continues et/ou ponctuelles afin de vrifier si les composantes du contrle interne sont bien mises en place et fonctionnent. 17. L'organisation value et communique les faiblesses de contrle interne en temps voulu aux responsables des mesures correctrices, notamment la direction gnrale et au conseil dadministration. Aperu des 17 principes proposs par le COSO (Traduction non officielle)

Information et communication

Pilotage

cette dynamique qui fonde lefficacit de lensemble du systme de contrle interne. Comme nous le verrons, sans ce mouvement densemble impossible de faire jouer au contrle interne son rle de traduction des options de gouvernance et de gestion des risques dans les mtiers. Dire que tous les 17 principes sont indispensables nexclut pas une mise en

uvre module selon des critres tels que : la taille de lentit ; lautonomie (groupe vs filiale) ; la complexit des oprations ; la maturit des systmes de gestion des risques et de gouvernance. En particulier : - limplication des organes dlibrants et excutifs ; - la formalisation des valeurs ;

- la qualit du processus de dfinition des objectifs et de lapptence pour les risques ; la comptence des collaborateurs (qui dterminera par exemple les modalits et les objectifs de supervision). Comme pour lensemble de cette mise jour, la nouveaut se dcouvre dans une lecture attentive. Si ces trois objectifs sont connus, le COSO 2013 en tend

juin-juillet 2013 - Audit & Contrle internes n215

17

DOSSIER
la porte et nous alerte sur leur imbrication : Les objectifs oprationnels concernent l'efficacit et l'efficience des oprations. Au-del de la performance oprationnelle et financire, le COSO y inclut explicitement la protection des actifs. Les objectifs de reporting sont spcifis : il sagit la fois de la communication interne et externe dinformations financires et extra-financires. Outre llargissement du champ, il nous est recommand de ne pas nous cantonner la fiabilit mais dtre galement attentif aux attentes des destinataires internes et externes notamment en termes de dlais et de transparence. Les objectifs de conformit prennent une place de plus en en importante du fait de la multiplication des lois et rglements applicables aux organisations. Ils sont sous-tendus par les deux autres catgories dobjectifs et vice-versa. Selon les organisations, la place accorde chacune des trois catgories dobjectifs pourra galement tre module. Cet impratif de modulation montre que les bnfices de cette nouvelle version rsultent ncessairement dune appropriation fine et personnalise de son contenu quil est impossible de rsumer en quelques pages. Les lments proposs ci-dessous sont prendre comme autant de points de dpart possibles de cette appropriation. Le principe 2 met laccent sur lindpendance du conseil dadministration vis--vis du management. Pour ce faire, le conseil dispose-t-il des comptences et de lexpertise adquate ? Les administrateurs sont-ils effectivement conscients de leurs responsabilits en matire de contrle interne ? Exercentils une surveillance approprie chaque phase du processus de contrle interne (conception, mise en uvre, pilotage)? Le rfrentiel aide trouver des lments de rponses ces questions qui sont loin dtre binaires. Ainsi, des exemples dimplication du conseil dans le suivi de chaque composante sont donns. Le principe 3 rappelle ce qui peut paratre tre le B.A-BA du contrle interne : Dfinir clairement les pouvoirs et responsabilits, assurer la sparation des tches notamment travers le systme dinformation. Pourtant, cette vidence est loin dtre une ralit dans toutes les organisations. Si tant est que la rpartition formelle des pouvoirs et responsabilits a t effectue chaque chelon de la ligne hirarchique, il restera sassurer quils sont tout aussi clairement dfinis au niveau des diffrentes instances de gouvernance (comits manations du conseil, comits managriaux), dans les relations entre chaque entit lgale, dans le rseau de distribution et avec les prestataires. De plus, pour reprendre les mots de Fayol, en anglais dans son texte, la dfinition des rles naura de sens quavec the right man in the right place . Ainsi le principe 4 est clairement li au principe prcdent. Il prsente une vision dynamique dun lment cl de lefficacit de toute organisation, la prise en compte des hommes et des femmes qui la font fonctionner. Il ne sagit pas seulement demployer des ressources qui seraient disposition et inertes. Il faut pouvoir tre en capacit dattirer, de dvelopper et de maintenir des comptences en lien avec les objectifs de lorganisation. Cette gestion stratgique des ressources sappuie bien sr sur des politiques et des procdures mais celles-ci ne doivent pas empcher toute ractivit notamment par rapport aux besoins futurs. Dans ses dveloppements sur lvaluation et la rmunration, ce principe est galement reli au principe 1. Ils sont empreints des travaux sur la justice organisationnelle qui selon Langevin et Mendoza (2013), favorise la satisfaction au travail, ladhsion la politique de lentreprise, la rsolution des conflits et les comportements civiques. Ces trois derniers objectifs sont explicitement lun des enjeux des composantes environnement de contrle et pilotage du COSO (2013). Classiquement, la justice organisationnelle sentend selon trois approches : la justice distributive qui sintresse lexplicitation des critres dallocation des ressources et des rcompenses ; la justice procdurale qui met laccent sur les conditions de cette allocation. Est-elle : - pertinente (en temps opportun, individualise) ? - sans biais ? - fonde sur des informations fiables ? - rvisable (possibilit de faire appel et de corriger les injustices) ? - quilibre (prise en compte de toutes les parties concernes) ? - conforme des valeurs thiques et morales ? la justice interactionnelle qui interroge la nature des relations interpersonnelles pendant la mise en uvre des procdures. Il nest pas inutile de rappeler limportance de la beaut du geste dans des organisations qui ont tendance rduire leur fonctionnement des squences de procdures et subissent donc une recrudescence du mal-tre au travail. Le principe 5 sera galement difficile appliquer sans un minimum de justice organisationnelle favorisant une adhsion au devoir de rendre compte. Il est

Lenvironnement de contrle
Selon le principe 1, intgrit et valeurs thiques sont fixes par les instances dirigeantes, elles-mmes exemplaires en la matire. Pour tre comprises tous les niveaux, elles doivent tre explicites dans lorganisation mais galement aux prestataires et aux partenaires. Le niveau dadhsion ces valeurs est vrifi et des dcisions effectivement mises en uvre en cas dcart.

18

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

reli aux autres principes de lenvironnement de contrle (valeurs de rfrence et propice la confiance, instances dirigeantes jouant leur rle, responsabilits clairement dfinies, comptences et pouvoir de rendre compte). Il sappuie galement sur la robustesse des composantes information et communication et pilotage . Ce principe reflte la maturit croissante des systmes de contrle interne qui ne se limitent plus la matrise des activits. En tant que systme de pilotage de la performance, le contrle interne ncessite une information ascendante qui avait peut-tre t un peu passe sous silence sous le poids du tone at the top. Sans devoir de rendre compte, impossible galement de diriger des entreprises de plus en plus tendues, soumises la pression de parties prenantes qui ne cessent de clamer leur droit linformation. Une organisation qui naura pas su anticiper ces besoins pourra tre mise mal. Le devoir de rendre compte ne sera bnfique que sil ne rduit pas les acteurs un statut de simples metteurs dindicateurs. Cest seulement sils sont responsabiliss et srs que leurs messages seront suivis deffets, que les acteurs pourront vritablement tirer profit de ce mcanisme en le mettant au service de lamlioration continue.

dbut de cet article. Elle dtermine lefficience du systme de contrle interne par la prise en compte dindicateurs de performance oprationnelle et financire appropris et la correcte allocation des ressources.

Evaluation des risques

Cest loccasion ici de rappeler que cette nouvelle publication nest pas un COSO 3 qui viendrait remplacer le rfrentiel Entreprise Risk Management , plus connu en tant que COSO 2. Une partie de la publication de 2013 est dailleurs consacre la complmentarit entre les deux rfrentiels. Les objectifs et les seuils de tolrance dfinis par le management dans le cadre du systme de gestion des risques sont des donnes dentre du systme de contrle interne. Si le lien avec la composante valuation des risques semble tre le plus naturel, larticulation avec le systme de gestion des risques permet de russir la modulation des principes voque au

Le rfrentiel de contrle interne envisage les risques sous langle des menaces latteinte des objectifs ; ce nest pas pour autant quil ignore le fait que les organisations doivent galement saisir des opportunits. Nanmoins celles-ci ne sont pas directement gres par le systme de contrle interne. Elles doivent dabord tre analyses dans le cadre Le principe 11 rapdu systme de gespelle des lments tion des risques. Si Lun des atouts dune bonne gouelles sont confirvernance des sysmes par les de ldition de 2013 tmes dinformadirectives des est de clarifier les limites tion. Il invite les instances dirigeantes, elles du systme de contrle interne professionnels du contrle et de deviennent pour mieux lactionner laudit internes explicitement des sintresser des objectifs dont le domaines qui leur sont contrle interne moins familiers tels que lincontribuera la ralisation. frastructure ou la scurit. Ils constiLun des atouts de ldition de tuent pourtant des zones risques par2013 est de clarifier les limites du systiculiers lre de linformatique mobile tme de contrle interne pour mieux et du cloud computing. lactionner. Outre les tapes classiques didentificaLe principe 12 permet dviter des actition et danalyse des risques pour la vits de contrle dpourvues de sens. Il mise en uvre des mesures de traitefait le lien avec les composantes enviment appropris, la nouvelle formularonnement de contrle (il est question tion de la composante valuation des de directives, de responsabilits et de risques met clairement laccent sur le devoir de rendre compte, de personnel risque de fraude (principe 8) et la ncescomptent, dactions correctives), sit dadapter le systme aux change information et communication ments significatifs (principe 9). Sil est (indispensables pour une mise en uvre assez classique de sintresser aux chanen temps opportun) et bien sr de gements significatifs dans lenvironne pilotage (avec lvaluation prioment externe comme menaces potendique des activits de contrle et leur tielles, il sagit dtre galement vigilants mise jour ventuelle). face des changements de business model ou de dirigeants.

la moins innovante du nouveau rfrentiel. Sans doute parce quelle est inhrente toute forme dorganisation. Et pourtant, cette approche pourra galement tre matire progrs. Par exemple, ces activits visent-elles un niveau acceptable des risques ? Ces seuils sontils clairement dfinis dans toutes les organisations ? Dans laffirmative le sont-ils par les instances appropries (cf. principe 2 et 3) ? Veille-t-on retenir une combinaison optimale des diffrentes catgories de contrle (automatiques vs. manuels / prvention vs. dtection) au regard des risques matriser ?

Information et communication Activits de contrle

Une lecture rapide des principes 10 12 pourrait laisser penser que cest la partie Dsormais, les technologies permettent de gnrer et de diffuser des milliers de donnes en interne ou en externe.

juin-juillet 2013 - Audit & Contrle internes n215

19

DOSSIER
Dterminer celles qui sont vraiment pertinentes ; y accder en toute lgalit et les traiter de manire efficiente constitue un enjeu de gouvernance. Le principe 14 permet dorganiser le systme de contrle interne selon le sens donn au niveau de lenvironnement de contrle et en fonction des signaux des composantes valuation des risques ; activits de contrle et pilotage . Sans communication interne adquate (en termes de dlais, de destinataires, de contenu) difficile dassumer ses responsabilits en matire de contrle interne. Deux canaux de communication sont particulirement dtaills : celle qui concerne le conseil dadministration et celle qui peut tre mobilise dans des circonstances exceptionnelles (par exemple les lignes dalerte thique). Le principe 15 concernant la communication externe tient compte de la multiplication des interlocuteurs externes (actionnaires, analystes, rgulateurs, clients, fournisseurs, associations) ayant parfois des centres dintrt diffrents. Au-del, de la matrise des messages de lorganisation notamment concernant la fiabilit du contrle interne, nous sommes invits contribuer une exploitation efficace de la communication entrante. Il sagira par exemple de sassurer de ladquation des moyens, de la conformit des processus ou de la pertinence des donnes. nentes dans les processus mtiers) ; flexibilit (primtre et rythme des valuations priodiques) ; objectivit (des valuations priodiques) ; comptence. Ainsi, la description des rles et responsabilits des auditeurs internes est conforme aux normes professionnelles IIA. Le principe 17 est celui de la boucle de retour. Le mcanisme nest pas nouveau mais la mise jour nous invite dpasser une dmarche incrmentale pour une vision globale. En effet, le management et le conseil dadministration doivent disposer de linformation adquate pour dcider des actions correctives en temps opportun et suivre leur mise en uvre. De plus, les principes prcdents et en particuliers ceux de lenvironnement de contrle nont de sens que sils sont surveills et que des actions sont effectivement mises en uvre en cas dcart (modification de la cible ou du plan de matrise). Les rdacteurs ont russi le pari dtre suffisamment gnrique pour une utilisation dans diffrents contextes tout en donnant plusieurs pistes pour le dploiement de systmes de contrle interne justes. Bien que tombe en dsutude nous prfrons nous rfrer cette notion de justice plutt que dinvoquer le bon sens . En effet, elle recouvre plusieurs caractristiques dun systme de contrle interne efficace qui se doit dtre : raisonn, intgre, adquat, raisonnable, pertinent, exact, prcis Le document nintgre sans doute pas assez une vision plus positive des personnes qui ne sont pas tous des fraudeurs en devenir. Le jugement du management est clairement mis en avant mais un lecteur non avis ne sera pas forcment sensibilis aux variables culturelles (et non pas uniquement structurelles) du contrle interne. Il est pourtant indispensable davoir conscience de ces asprits pour ne pas se bercer de lillusion dun contrle interne sans failles (cf. Atwood et al, 2012). Bref, un vaste programme pour les managers, une opportunit dinnovation pour les professionnels de laudit et du contrle internes, et de nouveaux chantiers pour la recherche commencer par lactualisation de nos publications sur le contrle interne. Je pense en particulier aux cahiers de la recherche sur La cration valeur par le contrle interne , Des cls pour la mise en uvre et loptimisation du contrle interne , Les variables culturelles du contrle interne accessibles sur notre site internet mais qui mriteront dtre revisits pour profiter des propositions particulirement intressantes du COSO.

* *

Pilotage
Le principe 16 a le plus grand nombre de points dattention. Ils peuvent tre rsums par des mots cls tels que : quilibre (entre valuations permanentes et priodiques). En pratique cette complmentarit pourra se fonder sur le modle des trois lignes de dfense ; adaptation ( ltat du systme, au rythme des changements dans lenvironnement et dans les mtiers) ; intgration (des valuations perma-

En conclusion, lide de sappuyer sur des principes pour la bonne marche dune organisation nest pas nouvelle. Nanmoins loriginalit de la proposition du COSO vient de larticulation dynamique de plusieurs axes. Il permet ainsi de viser, avec la mme approche, plusieurs objectifs et de grer leur interconnexion. Il est plus ais didentifier les domaines sous contrle et les zones de faiblesses pour prioriser les actions. Nous avons pu mettre en vidence des rsonnances entre principes et composantes. Toutes les composantes ressortent grandies de cette mise jour. Celles relatives lvaluation des risques et aux activits de contrle bnficient des avances de lERM. Les formulations et illustrations des trois autres composantes devraient en faciliter ladoption.

20

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Rfrences bibliographiques Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37 COSO. 2006. Internal Control over Financial Reporting Guidance for Smaller Public Companies COSO. 2013. Internal Control Integrated Framework, llustrative Tools for Assessing Effectiveness of a System of Internal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and examples. Traduction paratre Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence socitale, PRESAJE, Dalloz Fayol H. 1962. Administration industrielle et gnrale Prvoyance, organisation, commandement, coordination, contrle, Dunod 151p IFACI et PWC. 2005. Le management des risques de lentreprise. Editions Eyrolles. Traduction de Entreprise Risk Management publi en 2004 par le COSO Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrle ? Revue Comptabilit Contrle Audit, tome 19, vol.1, pp 33-58 Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal of Accountancy (March): 46-50 Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performance and commitment, Harvard Business Press Tysiac, K. 2012. Internal control revisited. Prominent COSO officials discuss proposed updates to framework. Journal of Accountancy (March): 24-29

juin-juillet 2013 - Audit & Contrle internes n215

21

DOSSIER

Le COSO 2013 : une mise jour du rfrentiel dorigine pour mieux matriser les volutions
Les piliers du nouveau COSO 2013 restent les mmes que ceux du COSO 1992. Cependant, les volutions des vingt dernires annes ont ncessit des prises en compte dexigences nouvelles la hauteur des nouveaux enjeux. Le COSO 2013 rassemble des perspectives plus larges que celles des organismes fondateurs qui sont des organisations comptables et financires ; sa vocation est bien dtendre son application au-del de ce qui est comptable et financier.

Serge Villepelet
Prsident, PwC France

Le nouveau COSO
Louis Vaurs : Le COSO 1 sur le contrle interne vient de faire lobjet dune mise jour publie le 14 mai 2013 aux Etats-Unis. Pouvez-vous indiquer nos lecteurs les raisons qui ont pouss le Committee of Sponsoring Organisations procder cette mise jour : Sagit-il dune simple mise jour ou dune refonte ? De quels lments se compose le nouveau package ? Quelles en sont les principales nouveauts ?

Serge Villepelet : Il sagit en effet essentiellement dune mise jour plutt que dune refonte. Notamment, la dfinition, les composantes et les concepts cls restent les mmes que ceux du rfrentiel dorigine qui date de 1992. Ceci tant, il est ncessaire de reconnatre limpact des volutions de ces 20 dernires annes en matire de technologie (par exemple : la cyber criminalit), dexternalisation, dattentes plus fortes en matire de transparence, et bien dautres. Toutes ces volutions ncessitent plus dagilit et de rsilience de la part des entreprises pour faire face de tels enjeux. Cest par le biais de 17 principes structurants que le COSO 2013 dfinit les lments essentiels en matire de contrle interne pour aider les organisations quels que soient leur taille ou leur domaine dactivit faire face dans un monde qui devient de plus en plus complexe.

Les principales nouveauts sont donc : 1. Llargissement du domaine dapplication au-del du reporting financier (par ex. : responsabilit sociale et environnementale). 2. Le renforcement des attentes en matire de gouvernance (par ex. : les rles des comits et lalignement avec le business model). 3. La gestion des collaborateurs cls au contrle interne (par ex. : la direction gnrale). 4. Larticulation des 3 lignes de dfense dans lorganisation ( savoir les oprationnels, les fonctions support et laudit interne). 5. Le rapprochement entre risque, performance et rmunration (notamment lun des principes portant sur la responsabilisation pour le contrle interne). 6. Larticulation du tone at the top avec les comportements travers lentreprise ( tone in the middle ). 7. La prise en compte des sous-trai-

22

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

tants / autres intervenants cls (par ex. : leur adhsion au code de conduite, respect des contrles audel du reporting financier). 8. Lexigence de ladaptabilit et ladquation du dispositif par rapport lvolution de lentreprise (telles que de nouveaux processus, rles, structures, SI, CSP, primtre dactivit, etc.). L. V. : Depuis toujours, PwC est directement associ llaboration de ce rfrentiel. Quel est plus prcisment son rle ? S. V. : En effet, le COSO nous avait sollicit pour crire le rfrentiel sur le contrle interne de 1992 ainsi que lEnterprise Risk Management en 2004 et bon nombre dautres lments de thought leadership que nous avons labor ensemble. Nous avons une relation de travail continue fonde sur un change en continu par rapport aux volutions pour pouvoir ensemble livrer au march des rflexions pertinentes et des rfrentiels qui apportent de la valeur aux entreprises. Cest ainsi que nous travaillons depuis toujours troitement avec le COSO. L. V. : Le Committee of Sponsoring Organisations est compos essentiellement dorganisations comptables et financires alors que le cadre de rfrence de lAMF a t labor avec un groupe de Place o lAFEP / MEDEF ont jou un rle non ngligeable. Nest-ce pas un handicap pour le COSO qui a voulu laborer un rfrentiel de contrle interne oprationnel ? S. V. : Le COSO rassemble des perspectives bien plus larges que celles de ces organismes fondateurs qui sont, certes, des organisations comptables et financires (pour rappel : American Institute of Certified Public Accountants, American Accounting Association, Financial Executives International, Institute of Internal Auditors, et Institute of Management Accountants).

Au cours de ce projet dlaboration du rfrentiel COSO 2013, le COSO a obtenu lapport de bien dautres : 1) au dbut du projet, une enqute a t lance depuis le site du COSO, annonc par divers communiqus de presse, et collectant plus de 700 rponses travers le monde ; audel des 35 % de voies issues du monde comptable et financier, les rponses provenaient largement des fonctions de la gestion de risques, de la conformit, des oprations, de lIT, de la RSE, et dautres ; 2) une consultation publique sur le rfrentiel recueillant plus de 200 rponses ; 3) puis, une dernire consultation publique portant sur lensemble des publications COSO 2013 recueillant encore une bonne cinquantaine de rponses, avec un dcoupage dmographique similaire. Le COSO 2013 a donc bien pour vocation dtendre son application au-del de ce qui est comptable et financier. L. V. : LAMF a labor deux cadres de rfrence de contrle interne, lun pour les socits dune certaine importance, lautre pour les valeurs moyennes et petites. A qui plus particulirement le COSO 1 nouveau sadresse-t-il ? S. V. : Le COSO 1 nouveau intgre ces deux visions. Il met jour non seulement le rfrentiel de 1992 mais aussi celui de 2006 Guidance for Smaller Public Companies moins connu en France car il navait pas t traduit en langue franaise. Le COSO 2013 vient donc remplacer ces deux documents car il sappuie en premier lieu sur des principes applicables toute taille dorganisation, et en second lieu met en avant des spcificits particulires aux plus petites structures travers le rfrentiel, ses approches et ses exemples. L. V. : Le COSO 1 nouveau nest pas un

COSO 3. Il ne remplace pas non plus le COSO 2 qui est consacr au management des risques de lentreprise. Est-il envisag toutefois un toilettage du COSO 2 ? S. V. : Une rvision du rfrentiel portant sur lERM nest pas envisage ce stade. A cet effet, deux sujets ont t longuement dbattus : 1) Lintgration CI et ERM, mais le march semblait globalement ne pas vouloir un amalgame des deux concepts. Le contrle interne est dfini comme tant une sous-partie de lERM (labor en annexe G du rfrentiel COSO 2013).

2) La mise jour en parallle du rfrentiel ERM, mais son contenu et son articulation avec le contrle interne, en particulier le COSO 2013, sont vus comme tant toujours valables aujourdhui. Le COSO 2013 intgre toutefois les lments du rfrentiel ERM de 2004 sur les sujets pertinents au contrle interne. Le COSO continue donc apporter des rflexions sur ces sujets, mais davantage en matire dclairages sur la pratique que sur les fondements des rfrentiels de 2004 et 2013 ce stade.

juin-juillet 2013 - Audit & Contrle internes n215

23

DOSSIER
Auditeurs internes vs commissaires aux comptes
L. V. : La coordination des travaux entre auditeurs internes et commissaires aux comptes prvue par les normes de lIIA savre indispensable. Comment concrtement cette coordination sopre-t-elle sur le terrain ? S. V. : Cette coordination passe par une grande transparence mutuelle de ces deux instances sur la nature et le primtre de leurs travaux. Il est fondamental que les commissaires aux comptes disposent dune vision prcise des travaux raliss par laudit interne qui concernent la revue du contrle interne comptable et financier. L. V. : Comment, selon vous, cette coordination devrait-elle sorganiser ? S. V. : Jidentifie immdiatement les lments suivants : changes sur le plan daudit interne et externe, organisation de rendez-vous rguliers de partage dinformation, transmission des rapports daudit qui concernent le contrle interne. Au del de ces lments, il est vident que le comit daudit qui est en troite relation avec les commissaires aux comptes et les auditeurs internes a un rle majeur jouer pour encourager et faciliter les changes. Ces comits daudit seront dailleurs les premiers bnficiaires dune communication accrue entre ces deux instances de contrle car ils en retireront une vision beaucoup plus intgre de la gestion des risques de lentreprise. Enfin, les oprationnels eux aussi bnficieront dune meilleure coordination entre les commissaires aux comptes et laudit interne en vitant que des missions similaires soient ralises par les deux organes de contrle. L. V. : Quelles sont les conditions qui pourraient permettre aux CAC de sappuyer sur les travaux des auditeurs internes ? S. V. : Tout dabord il faut bien videmment que les sujets daudit aient port sur des thmatiques qui apporteront du confort au CAC pour sa mission. En effet, souvent une part importante des travaux des auditeurs internes porte sur des processus trs oprationnels, de lamlioration de processus, des dues diligences dernires annes sous limpulsion de nouvelles rglementations, le dploiement de nouveaux outils informatiques et linternationalisation des implantations gographiques.

Pour que laudit interne puisse livrer des travaux de qualit savoir une assurance raisonnable sur les processus audits mais galement des lments de benchmark et des ides pour amliorer le fonctionnement des processus il devient quasiment impossible de se passer dexperts pour raliser les audits Il faut ensuite que laudit internes. Force est de constainterne dmontre une ter quil est trs difficile forte indpendance pour les dpartevis--vis du manaments daudit gement et pour interne de main Il devient quasiment cela il faut sattenir des compimpossible de se passer tacher comtences spcialiprendre quelles ses et de trs dexperts pour raliser les sont ses lignes haut niveau dans audits internes relles de reportous les domaines ting et dinfluence. (par ex. : valorisation, modlisation, Enfin, il faut avoir une technologie, etc.). Nancertaine assurance quant la moins, la prsence des audiqualit des travaux produits par laudit teurs internes reste une ncessit forte interne et pour cela une revue de leur car ceux-ci sont garants de la mthodoorganisation, outils et livrables est une logie daudit, connaissent les enjeux de faon simple de se constituer une opilentreprise, les contingences politiques nion. et peuvent assurer la mise en perspective et la transversalisation des conclusions. Sous-traitance de laudit

interne
L. V. : Avant les grands scandales comptables et financiers de la fin des annes 90 et des premires annes 2000, lexternalisation de laudit interne tait en vogue aux EtatsUnis mais avait peu touch la France. On parle actuellement davantage de co-sourcing. Comment voit-on chez PwC la coopration avec les services daudit interne ? S. V. : La cotraitance est quasiment devenue une ncessit pour laudit interne. En effet, les processus des entreprises se sont considrablement complexifis ces Alors oui, il faut maintenant penser la cotraitance tout en disposant dun dpartement daudit interne senior et sponsoris par la direction gnrale ! Pour les socits de tailles infrieures le problme est diffrent : la sous-traitance reste un modle bien adapt car il permet lentreprise de disposer dauditeurs internes professionnels avec des structures dquipe adaptes chaque mission, incluant les bons experts.

24

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le COSO 1992 est mort, vive le nouveau COSO

Le COSO 1992 a fait son temps. Il sera remplac par le COSO 2013 la fin de lanne 2014. Reconnaissons tout de mme que le COSO 1992 a permis de franchir une tape supplmentaire et de renforcer les dispositifs existants ; il nous a conforts sur les directions prendre en matire de contrle interne ; il a permis de sattaquer aux vrais sujets. Lobjectif du COSO 2013 est de rduire les risques, accrotre la conformit aux lois, politiques et procdures et renforcer les systmes de contrle interne. Cest un beau programme.

Laurent Arnaudo
Senior vice-prsident audit interne groupe, Sodexo

oici une phrase bien connue que lon proclame lors de lavnement dun nouveau monarque. Cest exactement ce qui nous arrive dans le royaume du contrle et de laudit internes car, depuis quelque temps, nous avons appris que notre Grand Roi, le COSO 92, se portait mal et allait tout doucement se retirer, pour mourir le 15 dcembre 2014. Nous allons donc perdre notre rfrence, notre roi qui rgnait depuis plus de 20 ans. Et pourtant, la plupart de ses sujets ne semblent pas si tristes

Il est vrai quil a fait son temps, ce rfrentiel du contrle interne. Envisag ds 1985 par The Committee of Sponsoring Organizations of the Treadway Commission (COSO) , il ne fut publi quen 1992. A cette poque, il ne fut utilis, en France, que par un certain nombre de grands groupes prsents linternational. Il gagna rellement ses lettres de noblesse avec larrive du Sarbanes-Oxley Act et de la Loi de Scurit Financire, dans les annes 2000. Cest alors devenu le rfrentiel incontournable, que de nombreuses entreprises ont souhait suivre et mettre en avant dans leur document de rfrence. On a bien essay de lui redonner un petit coup de jeune partir de 2006, avec la publication de deux documents, mais aujourdhui, il est sous respiration artificielle.

et de laudit internes, le conseil du COSO a dj identifi et mme prsent son successeur : le fabuleux COSO 2013. Il est tout jeune et a beaucoup de bonnes ides. Il est n le 14 mai 2013. Pour tous ceux qui ont mis en place le COSO version 1992 dans leur entreprise, il y a eu de vrais changements. Ce rfrentiel a permis de franchir une tape supplmentaire et renforcer les dispositifs existants. Il nous a donn un cadre et surtout, il nous a confort sur les directions prendre en matire de contrle interne : en mettant des mots derrire des contrles que nous avions dj identifis, le COSO a apport une structure nos matrices de risques et de contrles existants ; en identifiant des activits de contrles que nous souhaitions dployer dans nos entreprises mais pour lesquelles nous avions besoin dun soutien et dune certaine crdibilit auprs des oprationnels et des dirigeants. Le fait de montrer leur

Le Coso 1992 est mort, vive le Coso 2013

Comme les choses sont toujours bien faites dans le beau royaume du contrle

juin-juillet 2013 - Audit & Contrle internes n215

25

DOSSIER
contrle interne, des activits de contrles ralistes et pragmatiques que nous pouvions tester, en tant quauditeurs internes. Comment vrifier que la structure de son organisation est efficace cest-dire quelle permet de porter la stratgie dfinie par son entreprise ? Comment tester que le style de management de sa socit est adquat et adapt ? Autant de bonnes questions qui mritaient de la rflexion et du partage dexpriences. Encore un autre exemple : comment mettre en place un dispositif de remontes des incidents ? Ce ntait pas un dispositif banal en France jusque dans les annes 2010. Lide tait certes trs intressante et riche dinformations mais il fallait comprendre jusquo nous pouvions aller. La CNIL nous a beaucoup aids sur ce sujet en encadrant la mise en place du dispositif dalerte professionnel. Cela demeure toujours un vritable sujet. Exemple de tests pour les lments du COSO : le conseil et la direction gnrale montrent lexemple en ce qui concerne limportance du contrle interne et notamment les normes de conduites attendues. Il existe un code dthique. Il existe une communication faite par la direction gnrale sur lthique au cours de ces 12 derniers mois. Il existe des messages de la DG sur lintranet, des brochures, etc., destins lensemble des employs. La direction explique dans un document communiqu au personnel ce qui est permis et ce qui ne lest pas (en matire de dpenses avec des clients par exemple). Il existe des programmes de formation sur le code dthique (e-learning). Toutes les populations dites sensibles (commerciaux, acheteurs) ont suivi ce programme de sensibilisation. Prendre un cas de non-respect du code / dcart de bonne conduite au cours de ces 12 derniers mois et examiner les sanc-

existence dans le COSO nous permettait de prouver quil sagissait des meilleures pratiques. Avant larrive du COSO, de nombreuses personnes, dans nos socits, avaient une vision assez limite du contrle interne : il sagissait des rapprochements bancaires, des inventaires physiques, de la sparation des tches, des procdures, etc., et plus gnralement de tout ce qui tait formel et relatif au domaine de la comptabilit et de la finance. Il sagissait principalement des activits de contrles. Les auditeurs se battaient pour dmontrer que le contrle interne tait bien plus large que cela. Tous les lments informels, en dehors du champ de la comptabilit, taient malheureusement bien souvent oublis. Ces lments sont, bien entendu, les plus difficiles apprhender et dployer. Expliquer, en runion de clture, que le fait de travailler la porte ouverte cre un bon environnement de contrle nest pas toujours vident. Ceux qui ont essay sont sans doute passs pour des extra-terrestres, jusque dans les annes 2000. Et si on les voyait, le vendredi soir dans les couloirs, en train de tester ces contrles, ils passaient pour des fous. Le COSO 1992, nous a vraiment permis de mettre sur la table les vrais sujets que nous avions du mal aborder dans le pass : le mode de rmunration des dirigeants et la pression sur les rsultats, le rle du conseil dadministration, lorganisation des structures de la socit,

les mesures disciplinaires en cas de non-respect des politiques et procdures du groupe, le systme de remont des incidents, le processus didentification et dvaluation des risques, etc. Cest surtout pour ceux qui devaient se mettre en conformit avec la Loi Sarbanes-Oxley, dans les annes 2006, que le rfrentiel du COSO a t dune grande aide. Lexercice de conformit a t ralis en large partie grce la mise en place de ce document. Dans les annes 2006, nous avions lIFACI mont un groupe de travail SOX. Lobjectif, pour plusieurs entreprises franaises concernes par la loi amricaine, tait de discuter des pratiques et didentifier des positions communes. Le COSO tait un sujet trs souvent abord dans ce groupe de travail car de nombreuses entreprises ne comprenaient pas comment le mettre en uvre concrtement. Nos discussions portaient principalement sur lenvironnement de contrle et la gestion des risques, qui taient les composantes les plus complexes apprhender. Certains points taient franchement difficiles imposer nos socits qui se demandaient pourquoi nous allions dans ces activits, si loignes de notre primtre de travail. Nous tions, en fait, dans le cur de notre mtier. Lautre tche souvent prise en charge par ce groupe de travail consistait identifier, pour chaque composante du

26

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

tions et mesures prises par la direction. Ces sanctions sont-elles cohrentes et homognes dun cas lautre ? Les incidents potentiels et les carts de bonne conduite donnent lieu rapidement des investigations, faites par des professionnels indpendants et objectifs. Le conseil dadministration demande suivre les incidents les plus significatifs et les actions prises.

Cest justement ce qui a pouss sa naissance : Les sujets du Roi, eux-mmes, demandaient un rfrentiel plus comprhensible et plus utilisable. Lensemble des parties prenantes qui finanait le Royaume, rclamaient depuis longtemps plus de transparence et un systme permettant une meilleure gouvernance, gestion des risques, prvention et dtection des fraudes. Et puis notre Royaume a beaucoup chang en 20 ans. Nous avons des nouveaux risques, notamment dans le domaine IS&T. Les systmes dinformation sont maintenant intgrs nos dispositifs. Notre environnement nest plus du tout le mme. Il est devenu global et beaucoup plus complexe. Il fallait ragir. Le COSO 2013 a annonc son objectif : il veut rduire les risques, accrotre la conformit aux lois, politiques et procdures et renforcer les systmes de contrle interne. Cest un beau programme.

La fraude revient sur le devant de la scne. Ce ne sont plus des activits de contrles dilus un peu partout que nous devons valuer. Les systmes dinformation sont partout dans nos entreprises et doivent tre encore plus intgrs dans la nature de nos contrles.

Larrive du nouveau COSO 2013 nest pas passe inaperue. Mais beaucoup dentre nous ne voient pas de rvolution. Ce nouveau rfrentiel nest finalement que le digne fils de son pre. Il suit le mme programme et son contenu na pas ou peu chang. Sa mise en place sera toujours aussi difficile surtout pour les petites structures disent certains. Tout cela restera encore trs thorique pour nos entreprises disent dautres. Ou encore, Il ny a rien de nouveau, mais il est vrai que les points identifis tomberont maintenant dans notre radar . Il existe donc beaucoup de sceptiques.

Bien entendu, la dfinition du contrle interne na pas chang. Les trois objectifs et les cinq composantes sont toujours les mmes. Ils doivent permettre dvaluer lefficacit du dispositif de contrle interne. Le changement rside principalement dans les 17 nouveaux principes attachs aux composantes et ses points dattention, dans le renforcement du reporting extra financier et enfin dans la prise en compte des petites entreprises. Trois domaines sont clarifis : La responsabilit de lentreprise quand elle dcide dexternaliser des services, notamment (mais pas seulement) dans le domaine informatique. En matire de contrle interne, il est maintenant clair que la responsabilit reste dans nos entreprises cette responsabilit ne se transfre pas.

Laurent Arnaudo a dbut sa carrire en 1990 chez Ernst & Young Paris puis San Francisco, aprs avoir obtenu une matrise de gestion lUniversit de ParisDauphine. En 1997, il rejoint lquipe daudit interne dAlcatel o il y occupera diffrentes fonctions dont celle de directeur daudit pour la rgion dEurope du Sud, Afrique et Proche-Orient. En 2004, il devient directeur des projets Sarbanes-Oxley et LSF pour Alcatel, couvrant les 34 entits majeures du groupe. Aprs la fusion AlcatelLucent en 2006, il est nomm directeur de laudit interne avec une quipe de 80 personnes, bases Paris, New Providence (New Jersey USA) et Shanghai. Il est lui-mme bas aux Etats-Unis. En 2009, il rejoint le groupe Sodexo en tant que senior vice-prsident audit interne groupe o il dirige une quipe de 25 auditeurs, bass Londres, Washington et Paris. Laurent Arnaudo est CIA, CCSA et CRMA. Il est membre du conseil dadministration et vice-prsident de lIFACI. Il est galement trs actif au sein de lIIA (The Institute of Internal Auditors) aprs avoir t membre de son conseil dadministration.

Le nouveau monarque a des ides rvolutionnaires !

Je ne suis pas daccord. La rvolution est en marche car le COSO 2013 prsente de nombreux aspects novateurs.

juin-juillet 2013 - Audit & Contrle internes n215

27

DOSSIER
tionnement de son dispositif de contrle Concrtement, dans les entreprises reninterne. Cest une vritable rvolution, contres qui rflchissent la mise en car dans le COSO de 1992, il ny avait place du COSO 2013, les actions suipas ces principes si explicitement dfinis vantes sont en route : par des points dattention. Le jugement Renforcer lautomatisation des de chacun joue toujours un grand rle, contrles dans les systmes grce aux mais les directives sont beaucoup plus outils ACL, IDEA, Magnifier et bien claires. On sait ce quil faut mettre en dautres. Cela nous permet dallouer place pour tre en conformit avec le nos contrleurs / auditeurs des COSO 2013. tches plus forte valeur ajoute, tout en amliorant le primtre de couverPour ceux qui sont soumis aux rgles de ture puisque lensemble des transacSarbanes-Oxley, les changements ne tions sont examines en continu. seront pas majeurs : lattestation sur lef Les auditeurs et contrleurs internes ficacit du dispositif de ne doivent pas oublier les contrle interne relatif contrles qui sont chez aux informations les prestataires. Les comptables et auditeurs doivent financires sapaller faire des Il faut mettre en place puiera sur le audits chez eux un plan dactions permettant COSO 2013. aprs avoir de rpondre aux nouveauts Les 17 nouvrifi lexisveaux principes tence de du COSO de 2013 avant le permettront de clauses daudit 15 dcembre 2014 clarifier comment dans les contrats, appliquer le rfou en sappuyant rentiel et aideront sur des formes dvavaluer lefficacit des luations externes, faites par contrles internes dans leur des entreprises indpendantes et conception et leur fonctionnement opobjectives. rationnel. Les seules diffrences rside Les contrles et les audits de conforront dans la classification des faiblesses mit reviennent en force dans nos de contrle interne, dans la documentarfrentiels et dans nos plans daudit. tion du processus didentification des Les entreprises ne peuvent plus se risques, et enfin dans la ncessit de passer de solides programmes antirecalculer le seuil de matrialit au fraude (identification, communicamoment de la clture : tion, prvention et dtection des Le COSO 2013 parle de dficiences fraudes). Les comits daudit doivent majeures et de dficience de contrle poser des questions sur leur existence interne alors que le PCAOB qualifie et leur efficacit. les faiblesses de contrles pour Sar Enfin, si ce nest pas dj fait, il faut banes-Oxley comme soit une erreur passer la vitesse suprieure et mettre matrielle ( material deficiency ) soit en place un vritable modle de gesune dficience significative ( signifition des risques intgrs (ERM), avec cant deficiency ). Le PCAOB devra se une mthodologie et un langage positionner, dans les mois venir, sur commun. un alignement (ou pas) avec la dfinition du COSO. Mais finalement, cela Il faut dornavant valuer de faon ne change pas grand chose pour un beaucoup plus formelle chacun des 17 grand nombre dentreprises. En principes cls allous aux 5 composantes interne, nous vitions dj dutiliser le du COSO pour conclure au bon foncvocabulaire du PCAOB qui restait le jargon des auditeurs externes. Nous prfrons parler de faiblesses de contrle interne. Il faut dornavant aussi expliquer, plus en dtail, comment la slection des risques a t ralise (et donc la slection des comptes, processus, et entits significatifs pour la clture de lexercice). On pourra, par exemple, dmontrer lutilisation dateliers avec des oprationnels et fonctionnels, etc. Il faut aussi sassurer que la qualification des faiblesses et la slection des contrles (dans les comptes, les processus, les entits) en fonction du seuil de matrialit calcul en dbut dexercice reste toujours valable en fin danne, aprs la clture des rsultats. Dans le court terme, les actions mener sont les suivantes : il faut lire le rfrentiel COSO 2013 ! Les membres des comits daudit doivent demander leur contrleur ou auditeur internes des explications sur ce nouveau COSO. Ils doivent comprendre quelles seront les modifications apporter dans lentreprise. Sils ne le demandent pas, il faut leur en parler et les duquer sur les nouveaux lments du COSO 2013. Enfin, pour les socits utilisant dj le COSO de 1992, il faut mettre en place un plan dactions permettant de rpondre aux nouveauts du COSO de 2013 avant le 15 dcembre 2014. Cela se fera sans douleur et permettra sans doute de rassurer sur les forces. Pour les entreprises qui nont pas mis en place le COSO 1992, leffort sera plus grand mais les directives donnes sont maintenant beaucoup plus claires et permettent de mieux comprendre comment dployer le rfrentiel. Cest un nouveau Roi qui a un bel avenir devant lui, ce COSO. Longue vie au COSO 2013

28

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le COSO 2013 et le cadre de lAMF ne sexcluent ni ne sopposent, ils sont complmentaires

sinterroger sur nos rfrentiels : doit-on les faire voluer voire en changer ? Le contrle interne SNCF est anim par la direction de laudit et des risques en liaison avec la direction financire groupe. La direction de laudit et des risques dfinit les mthodes et outils, fixe les objectifs et assure le reporting et lvaluation densemble. Elle coordonne llaboration des rfrentiels de contrle interne et pilote les dmarches dautovaluation. De leur ct, les diffrentes branches dactivit (Business units) conoivent leur organisation du contrle interne sur leur primtre, dfinissent avec la direction de laudit et des risques leurs objectifs, organisent leur valuation et assurent leur rendu compte.

Raymond Marfaing
Directeur adjoint en charge des risques et du contrle interne, SNCF

Anne Bosche-Lenoir
Directrice de laudit et des risques, SNCF

La sortie du COSO 2013 provoque une remise en question et des choix quant lutilisation de tel ou tel rfrentiel. Le cadre de rfrence de lAMF, retenu par SNCF, prsente, entre autres avantages, celui dtre cohrent avec le COSO, dtre trs concret, adapt la culture SNCF, et tourn vers la mise en uvre oprationnelle. Nanmoins, le COSO 2013 est une source denrichissement dont lAMF doit tenir compte.

Le choix du cadre de rfrence de lAMF : un choix naturel

Fin 2009, SNCF, la direction de laudit et des risques et la direction financire groupe ont dcid de mettre en place une nouvelle organisation du contrle interne afin de le rendre plus efficace tout en accompagnant les volutions managriales de lentreprise qui renforait son fonctionnement par branche dactivits : SNCF Voyages, SNCF Proximits, SNCF GEODIS, Gares et Connexions et SNCF Infra. Notre constat tait que beaucoup dacteurs

Le cadre de rfrence de lAMF : un cadre souple et agile tourn vers la mise en uvre
La sortie du COSO 2013 est un vnement important pour nous responsables

daudit, de contrle interne et de management des risques. Cest loccasion de se remettre en question, dabord de se familiariser avec les volutions, puis didentifier nos points forts, nos points faibles et enfin de revoir ventuellement nos objectifs. Cest aussi loccasion de

juin-juillet 2013 - Audit & Contrle internes n215

29

DOSSIER
La direction de laudit et des risques dans lorganisation de la SNCF
Comit daudit, des comptes et des risques

Conseil dadministration

Direction de laudit et des risques

Direction de laudit et des risques

Audits

Management des risques

Scurit des SI du groupe

Contrle interne

Rseau de risk managers

Rseau de RSSI

Rseau de contrleurs internes

Management de branches

Lgende : Rattachement fonctionnel Rattachement hirarchique

travaillaient sur le contrle interne mais que leurs travaux taient peu connects entre eux et ntaient pas tirs par une politique dentreprise. Une des consquences tait que le contrle interne ntait pas vraiment peru par le management comme un moyen de matriser ses oprations ni comme un outil lui permettant de mieux assumer ses responsabilits. Nous avons alors dfini des objectifs simples : russir en 3 ans mettre en place une organisation claire au service du management tout en limitant les frais de structure. Pour cela, nous avons dabord prcis le rle des diffrents acteurs depuis le comit daudit jusquaux oprationnels tout en prenant en compte les chelons fonctionnels. Ce premier travail nous a permis de montrer que le contrle interne ne peut se concevoir que dans une chane qui concerne toute lentreprise et qui implique tous les acteurs.

Aprs ce premier travail, trs vite sest pose la question du rfrentiel suivre, quel cadre de travail commun devionsnous prendre. Assez naturellement nous nous sommes tourns vers le cadre de rfrence de lAMF. Nous avions pralablement adopt ce cadre pour le rapport du prsident sur le contrle interne et tions dj, la direction de laudit et des risques de SNCF, familiariss avec ce cadre. De plus, ce cadre lpoque voluait dans la suite de la transposition des 4mes et 8mes directives europennes. Ce cadre prsentait nos yeux beaucoup davantages : trs adapt notre culture, un environnement franais ; trs concret, facilement communicable ; tourn vers la mise en uvre oprationnelle avec en particulier le questionnement et le guide dapplication quil propose. Il faut galement ajouter quil offrait lavantage avec sa rvision de traiter en

un seul document du contrle interne et de la gestion des risques en intgrant les travaux les plus rcents en la matire. Le cadre de rfrence sappuie en effet sur les volutions constates lpoque dans les principaux rfrentiels internationaux et notamment le COSO II et la norme ISO 31 000. Pour une direction qui runit audit, contrle interne et risques, ctait trs apprciable. Nous ne nous sommes pas trop interrogs sur la possibilit de prendre comme rfrence le COSO dans la mesure o, comme nous venons de le dire, le cadre de rfrence de lAMF est cohrent avec le COSO et que nous trouvions dans le cadre AMF un guide rpondant nos attentes. Nous avons alors dfini un objectif clair : avoir mis sous contrle chance 2013 notre environnement de contrle et les 14 processus identifis par lAMF dans son guide dapplication sur le contrle interne de linformation comptable et financire.

30

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le fait davoir utilis le guide dapplication a galement constitu un levier interne. Cela nous a permis de mettre en mouvement les propritaires de processus. Nous avons alors commenc par les processus prsentant le plus denjeux pour lentreprise, que ce soit en termes deuros ou en termes de risques, savoir la paie, les achats et les immobilisations. Nous avions dans le cadre un guide facile daccs, ce qui est important pour apprhender ces processus qui sont complexes pour une entreprise de la taille de SNCF. Aprs plus de 2 ans de travail, nous avons atteint ainsi les objectifs fixs et respectons notre tableau de marche. Mme sil reste bien sr beaucoup faire, nous estimons que nous avons atteint un bon niveau de maturit dans plusieurs domaines : lanalyse et la description des processus, lidentification des points de contrle cls, la rdaction de guides de contrle interne, la formation des acteurs, le dploiement de campagnes dauto-valuation auprs de nombreux acteurs en entits mais aussi en centres de services partags. Nous pensons que le fait davoir choisi le cadre AMF nous a aids ; les avantages que nous pressentions se sont confirms dans les faits.

nous mettre en forte difficult voire de lever des incomprhensions avec des non spcialistes. Notamment, il est important et rassurant de constater que les 5 composantes du contrle interne sont les mmes quelques carts minimes prs. La logique est prserve : lorganisation / la diffusion dinformation / le dispositif de gestion des risques / les activits de contrle / la surveillance. Pour nous cela est essentiel. Il sagit principalement dcarts de terminologie. Dailleurs, lAMF disait en 2007 propos du COSO : le groupe de place sest inspir des cinq composantes du COSO mme si lon ne retrouve pas lidentique, dans le document de place, la terminologie utilise par le rfrentiel amricain . Certes le COSO est un bon guide et donne beaucoup dexemples mais le cadre de rfrence, comme nous lavons vu plus haut, avec son questionnement et son guide dapplication, est davantage orient vers la mise en uvre ; le travail dadaptation / transcription au contexte de lentreprise savre relativement simple et ais.

Le new COSO : un enrichissement pour nos travaux

Nous nopposons pas le COSO et le cadre de rfrence de lAMF. Nous prfrons y voir davantage une complmentarit. Pour nous, le COSO 2013 va nous aider avoir un nouveau regard sur le contrle interne et identifier des pistes damlioration. Cest clairement un enrichissement pour tous nos travaux. Nous avons aussi besoin de continuit dans les objectifs affichs. Nous avons largement communiqu sur le fait quil fallait que lenvironnement de contrle et les 14 processus du guide dapplication sur le contrle interne de linforma-

La grande similitude COSO / cadre de lAMF a t dterminante

Mme si nous navons pas retenu le COSO, la similitude COSO / cadre de rfrence AMF a t pour nous un lment important. Dabord, nous avions une garantie quil ny aurait pas de contradiction. Nous utilisons le COSO dans nos travaux internes la direction de laudit et des risques de SNCF. Il reste une rfrence essentielle pour benchmarker nos travaux daudit et former nos auditeurs et/ou nos spcialistes de contrle interne. Ne pas avoir cette garantie de cohrence aurait risqu de

Anne Bosche-Lenoir est directrice de laudit et des risques du groupe SNCF depuis avril 2013. Diplme de lENA et de HEC, elle a occup plusieurs postes la direction du budget au ministre de lEconomie et des Finances dont celui de sous directrice en charge des Affaires Europennes. Elle a galement t Senior Banker la Banque Europenne pour la Reconstruction et le Dveloppement (BERD), responsable du montage et du financement de projets dans les secteurs publics et privs en lien avec les banques locales. Elle a ensuite t DGA Finances, Audit et Contrle de gestion au Conseil Rgional dIle-deFrance dans une priode o le budget de la Rgion a cr de 70 % et les effectifs ont t multiplis par six. Raymond Marfaing, diplm de lEcole Centrale de Paris, a exerc diffrents postes de responsabilit SNCF dans les directions centrales, aux achats, lorganisation, aux ressources humaines et dans la direction rgionale de Paris-RiveGauche o il tait directeur dlgu gestion finances. Il a rejoint la direction de laudit et des risques en 2001 comme chef de mission puis comme directeur adjoint en charge des risques et du contrle interne.

juin-juillet 2013 - Audit & Contrle internes n215

31

DOSSIER
Ces raisons font que dans limmdiat, il est difficilement imaginable de revenir sur le choix du cadre de rfrence de lAMF.

LAMF doit prendre en compte le COSO 2013

Le COSO 2013 introduit des changements importants comme sur les valeurs thiques, limportance de lintgrit sur lesquels nous ne pouvons quadhrer. Ce sont dailleurs des axes forts SNCF. Le COSO 2013 pointe galement des sujets de fond comme la RSE, larticulation des 3 lignes de dfenses, larticulation du tone at the top avec les comportements, la prise en compte des sous-traitants Ces volutions ne sont pas incompatibles avec le cadre de rfrence de lAMF. En effet, la lecture approfondie du cadre AMF, on voit que la partie II sur les principes gnraux de gestion des risques et de contrle interne portent sur un primtre qui ne se limite pas au domaine comptable et financier. Ce sont les parties relatives au questionnaire et au guide dapplication qui ciblent sur ces domaines. Compte tenu des apports du COSO 2013, il est important que le cadre de rfrence de lAMF en tienne compte tout en gardant son ct souple, agile et facile daccs qui constitue pour nous utilisateurs un atout et une attente.

SNCF - Troismille

tion comptable et financire soient sous contrle. Nous considrons que toute volution de la cible serait un facteur de fragilisation. Beaucoup dacteurs, notamment les oprationnels, commencent bien comprendre ce quest le contrle interne et ce quon attend deux. Ils ne peroivent plus ce sujet comme un sujet de spcialiste dans lequel ils auront du mal entrer. La continuit est essentielle pour nous. En revanche, le COSO 2013, comme nous venons de le dire est une source denrichissement. On le voit bien la lecture des thmes suivants : la prise en compte des risques extrafinanciers ; la mise en exergue du risque soustraitance ;

lidentification de 17 principes sur les attentes en matire de contrle interne ; la prsentation de 81 points dattention avec pour chaque point des questions qui traduisent les grandes caractristiques des principes. Pour nous cela est une aide prcieuse mais surtout dans nos missions de responsable de la politique de contrle interne, en tant quentit qui dfinit les principes. En 2010, nous avons clairement dfini une priorit : tre conforme AMF sur les 14 processus et sur lenvironnement de contrle. Dans un premier temps, cela doit constituer le noyau dur de notre approche. Dans un deuxime temps, nous travaillerons sur les thmes autres que financiers.

Le groupe SNCF fin 2012 : 5 branches / 33,8 milliards de chiffre daffaires

SNCF INFRA Gestion, exploitation, maintenance du rseau pour RFF et ingnierie dinfrastructure
Activit en France + ingnierie en Europe, Asie, Moyen-Orient, Afrique, Amriques

SNCF PROXIMITS

SNCF VOYAGES

SNCF GEODIS Oprateur global multimodal de transport et logistique de marchandises

120 pays 5 continents

GARES & CONNEXIONS Gestion et dveloppement des gares (indpendamment de lactivit de transporteur)
3 000 gares franaises et activit de lAREP au niveau international

Services de transport Transport ferroviaire de public urbain, priurbain voyageurs grande et rgional pour les vitesse voyageurs du quotidien Europe (France, Espagne,
TER, Transilien et Intercits en France, Trains dEquilibre du Territoire (TET) Keolis en France, Europe, USA, Canada et Australie Royaume-Uni, Belgique, Paysbas, Allemagne, Autriche, Suisse et Italie)

5,5 Mds (15%)

12,8 Mds (35%)

7,5 Mds (20%)

9,5 Mds (26%)

1 Md (4%)

32

Audit & Contrle internes n215 - juin-juillet 2013