Pocket Guide

COSO 2013
Une opportunit
pour optimiser votre
contrle interne
dans un environnement
en mutation
Juillet 2013
Pocket Guide rdig sous la direction de
Jean-Pierre HOTTIN, Associ PwC
Franoise BERGE, Associe PwC
Catherine JOURDAN, Directeur PwC
Alix GUILLON, Senior Manager, PwC
Philippe MOCQUARD, Dlgu Gnral IFACI
A partir de propos tenus lors du Colloque du 21 mai 2013
PwC | 3
Depuis plus de vingt ans, le COSO est une rfrence incontournable
dans le domaine du contrle interne travers le monde.
Le rfrentiel COSO Contrle Interne Une Approche Intgre
publi en 1992 a dfini les fondamentaux du contrle interne.
Cependant, pour mieux tenir compte de lvolution de
lenvironnement conomique et rglementaire dans lequel voluent
les organisations - nouveaux risques, attentes accrues en matire
de gouvernance, rle toujours plus important de la technologie,
recours intensifi lexternalisation, exigences de reporting
au-del de la communication financire - une mise jour du
rfrentiel a vu le jour le 14 mai 2013.
Le rfrentiel de 1992 ainsi que sa mise jour en 2013 ont t
rdigs par PwC, sous lautorit du COSO, dont fait notamment
partie lInstitute of Internal Auditors (IIA). En tant que membre de
lIIA, lIFACI a particip cette laboration. De plus, PwC et lIFACI
se chargent, conjointement, de la traduction en langue franaise.
Le 21 mai 2013, lIFACI et PwC ont organis en partenariat un
colloque pour prsenter le COSO 2013 : une opportunit
doptimiser le contrle interne dans un environnement en
mutation .
Ce Pocket Guide prsente les points cls abords lors du colloque
mettant en avant les enjeux de la mise en uvre du contrle
interne en 2013, observations et tmoignages de bonnes
pratiques date.
Introduction
Sommaire
dContexte et objectifs 7
1. Pourquoi une mise jour du rfrentiel COSO sur le contrle interne? 7
2. Qui a particip llaboration de la mise jour ? 8
3. En quoi consiste le COSO 2013 ? 8
4. Quest-ce qui change par rapport au rfrentiel dorigine ? 9
5. Pourquoi le rfrentiel COSO ERM reste-t-il part ? 10
Des concepts cls 11
6. Comment les 17 principes sont-ils constitus et quelle valeur apportent-ils ? 11
7. Comment utiliser les principes? 12
8. Comment utiliser les points dattention ? 12
Les acteurs du contrle interne 13
9. Comment les rles et responsabilits lis au contrle interne
dans le COSO 2013 sont-ils dfinis ? 13
10. Comment les responsabilits des tiers sont-elles traites ? 14
11. Quelle est larticulation vise entre les auditeurs internes
et les commissaires aux comptes en matire dvaluation de lefficacit
du contrle interne ? 14
Middle Management: Relais Indispensable 15
12. Pourquoi le COSO insiste-t-il sur le tone in the middle? 15
13. Quels sont les apports notables du COSO 2013 pour aider renforcer
ce relais indispensable quest le middle management ? 16
14. Que faire en pratique pour amliorer le tone in the middle ? 16
Application au Domaine Comptable et Financier 17
15. Pourquoi un recueil spar sur le contrle interne sur le reporting financier
externe, et quel apport ? 17
16. Comment utiliser ce recueil ? 18
17. En pratique, quels sont les points ncessitant encore souvent
des efforts? 19
Externalisation et contrle interne 21
18. Pourquoi insister sur lexternalisation ? 21
19. Quels sont les enjeux pour les organisations utilisatrices
de services externaliss ? 22
20. Comment le prestataire de services peut-il rpondre ces attentes ? 22
21. Quelles sont les tapes cls pour grer au mieux les opportunits
et les risques associs lexternalisation et sassurer du bon niveau
de contrle interne ? 23
22. Comment rendre compte ses parties prenantes ? 23
23. Quels sont les apports notables du COSO 2013 relatifs lexternalisation? 24
Transformation et contrle interne 25
24. Pourquoi insister sur la transformation ? 25
25. De quels types de transformations parle-t-on? 26
26. quelles tapes est-il particulirement important dimpliquer
le contrle interne dans les projets de transformation ? 26
27. En quoi le COSO 2013 permet-il lorganisation de fiabiliser et doptimiser
lexcution des priorits, et damliorer sa rsilience et son adaptation
face aux transformations ? 27
Et maintenant? 29
28. Quelle est la date prconise pour ladoption du COSO 2013 ? 29
29. Dans quel cadre le COSO sinscrit-il en France ? 29
30. Qui doit se rfrer au COSO 2013 ? 30
31. Quelle est larticulation entre le Cadre de Rfrence de lAMF
et le COSO 2013 ? 30
32. Quelles actions sont envisager pour se mettre en conformit
avec le COSO 2013 ? 31
Annexes 32
A. Dfinition du contrle interne selon le COSO 2013 32
B. Les 17 principes structurants 32
C. Programme du Colloque 33
D. Liens 35
PwC | 7
Contexte et objectifs
1. Pourquoi une mise jour du rfrentiel COSO sur le contrle interne?
Lobjectif de la mise jour du Rfrentiel
COSO sur le contrle interne est ladaptation
du dispositif de contrle interne aux enjeux
daujourdhui et de demain. Le projet a
permis de prendre du recul par rapport
aux volutions des vingt dernires annes,
depuis la parution du rfrentiel dorigine. En
particulier :
Les risques nouveaux qui mergent et qui
sont autant de nouveaux enjeux de contrle
interne (la cyber-criminalit, le cloud-
computing, etc.);
Le rle toujours plus important de la
technologie (performance, scurit,
continuit, etc.) ;
Le recours intensifi lexternalisation, avec
un enjeu de bonne dfinition des attentes en
matire de contrle interne vis--vis des
prestataires ;
Les attentes accrues en matire de
gouvernance (notamment les rles des
comits au niveau du conseil mais aussi de
la direction gnrale sur des enjeux
importants comme les risques, la
conformit, etc.) ;
La responsabilisation du personnel tous
les niveaux de la hirarchie et dans toutes
les entits de lorganisation (le tone in the
middle et le lien entre les objectifs, les
risques encourus et lvaluation de la
performance) ;
La ncessit de sadapter en permanence
un environnement interne et externe en
mutation;
Lefficacit et lefficience du dispositif de
contrle interne (larticulation entre les
oprationnels, les fonctions support, et
laudit interne) ; et
Les exigences de reporting au-del de la
communication financire (dveloppement
durable, environnement, qualit, etc.).
Depuis 1992, nos entreprises ont chang. Nous sommes
tous dans un rythme de transformation rapide. Nous nous
sommes dvelopps, globaliss, avons vu le renforcement
des systmes dinformations et avons externalis une partie
de notre activit, autant de situations nouvelles sur
lesquelles la version dorigine du rfrentiel napportait
pas tout lclairage ncessaire.
Florence Vincent, Michelin
8 | COSO 2013 |
2. Qui a particip llaboration de la mise jour ?
Le projet de mise jour a t commandit
et pilot par le conseil dadministration du
COSO. Celui-ci a engag PwC pour mener
le projet et rdiger la mise jour, avec
lappui dun comit (Advisory Council ),
compos de reprsentants de cabinets de
conseil, dexperts comptables, dassociations
professionnelles (telles que Financial
Executives International, Institute of
Management Accountants, AICPA, ISACA,
IFAC, etc.), de reprsentants dorganisations
utilisatrices de rfrentiels (par ex. Pfizer,
Campbell Soup, Community Trust Bank,
GAVI Alliance, etc.), et dauditeurs internes
(Institute of Internal Auditors).
Au-del de lenqute initiale lance par le
COSO en janvier 2011, le projet a fait lobjet
de deux phases de consultations publiques,
qui ont gnr plus de 1000 commentaires
provenant du monde entier.
3. En quoi consiste le COSO 2013 ?
Le COSO 2013 comprend :
Un rsum ;
Le rfrentiel et ses annexes qui dfinissent
le contrle interne, le positionnent par
rapport trois catgories dobjectifs,
prsentent les cinq composantes du contrle
interne, dclines en 17 principes
structurants, et dcrivent les exigences en
matire defficacit ;
Des outils qui prsentent des tableaux
dvaluation et de synthse, divers
scenarios pour faciliter lvaluation des
17principes qui constituent un dispositif
de contrle interne efficace ; et
Un recueil dapproches et dexemples dans
le domaine du reporting financier externe
(Internal Control over External Financial
Reporting, ICEFR ) qui propose des
exemples de mise en pratique des
17principes dans le cadre de la ralisation
des tats financiers.
PwC | 9
4. Quest-ce qui change par rapport au rfrentiel dorigine ?
Le rfrentiel de 2013 reprend les lments
essentiels du rfrentiel COSO de 1992,
en particulier la dfinition, les cinq
composantes, et les critres dvaluation.
Les principales volutions concernent:
1. Llargissement du domaine dapplication
au-del du reporting financier (par exemple la
responsabilit sociale et environnementale);
2. Le renforcement des attentes en matire de
gouvernance (par exemple les rles des comits
et lalignement avec le business model) ;
3. La gestion des collaborateurs cls du contrle
interne (par exemple plans de successions
pour la direction gnrale) ;
4. Larticulation des 3 lignes de matrise dans
lorganisation (les oprationnels, les fonctions
support, et laudit interne) ;
5. La relation entre risque, performance et
rmunration (notamment le principe portant
sur la responsabilisation) ;
6. Larticulation du tone at the top avec les
comportements travers lorganisation
(tone in the middle ) ;
7. La prise en compte des sous-traitants et des
autres intervenants cls (par exemple leur
adhsion au code de conduite, au respect des
contrles au-del du reporting financier) ; et
8. Lexigence de ladaptabilit et ladquation du
dispositif par rapport lvolution de
lorganisation, lie par exemple la mise en
place de nouveaux processus, rles,
structures, systmes dinformation, centres
de services partags, primtre dactivit, etc.
Enfin, le COSO 2013 dfinit les lments
essentiels du contrle interne au travers de
17principes structurants (cf. Annexe).
La mise en uvre des bonnes pratiques est
illustre de manire plus concrte par des
approches et des exemples.
Lintrt de ce nouveau rfrentiel est quil largit le
spectre couvert : il ne sagit plus simplement des domaines
comptables et financiers, de la conformit, et des sujets
oprationnels, mais aussi toute la communication extra-
financire, le reporting sur la responsabilit sociale et
environnementale, la scurit, tant dlments essentiels
la bonne gouvernance.
Serge Villepelet, PwC
10 | COSO 2013 |
5. Pourquoi le rfrentiel COSO ERM reste-t-il part ?
Le COSO 2013 est une mise jour du
rfrentiel de 1992 portant sur le contrle
interne. Il nlargit donc pas, ce stade, le
primtre du contrle interne aux objectifs
stratgiques, lapptence pour le risque ou
autres sujets du ressort de lEnterprise Risk
Management et du rfrentiel de 2004. En
effet, dans la pratique, les deux concepts
correspondent toujours des usages distincts.
Cependant, le COSO 2013 apporte un
clairage utile sur des sujets minemment
pertinents pour lERM. Il intgre des
lments du rfrentiel ERM de 2004 sur les
sujets pertinents pour le contrle interne,
tels que les facteurs dvaluation des risques,
limpact du changement de lenvironnement,
etc.
Le COSO 2013 sarticule logiquement avec le
COSO ERM, le contrle interne tant dfini
comme une partie intgrante de lERM (cf.
AnnexeG du rfrentiel COSO 2013).
Le COSO 2013 reste distinct du rfrentiel ERM. Cependant
on constate quil en intgre certains lments. Lenjeu pour
nos organisations soumises une diversit de
rglementations et rfrentiels est en effet la convergence
entre ceux-ci.
Marie-Hlne Laimay, Sanofi
PwC | 11
Des concepts cls
6. Comment les 17 principes sont-ils constitus et quelle valeur
apportent-ils ?
Le COSO 2013 dcline 17 principes essentiels
lis aux cinq composantes du contrle interne
(cf. Annexe).
Chaque principe a sa raison dtre. Ainsi,
dans certains cas un principe peut avoir
t tabli pour traiter dun cas particulier.
Par exemple, le principe n8, portant sur
lvaluation de la fraude, pourrait tre peru
comme une dclinaison du principe n7 qui
porte sur lanalyse des risques. De mme, le
principe n11, sur les contrles informatiques,
pourrait tre compris comme un cas
particulier du principe n10 sur les activits
de contrle. Cest bien limportance de la lutte
contre la fraude et de la matrise des moyens
informatiques qui justifient linsertion de ces
principes spcifiques.
Chaque principe est applicable tout secteur,
nature dactivit, et taille dorganisation.
Au-del de la formalisation des attentes en
matire de contrle interne, le COSO 2013 a
vocation :
Renforcer les contrles et gagner en
confiance sur les oprations, le reporting et
les objectifs de conformit ;
Identifier les risques nouveaux et dfinir
des dispositifs de matrise appropris ;
Analyser comment les ressources, la
technologie et les processus peuvent
potentiellement causer des dfaillances de
contrle et comment les viter ; et
Cibler les contrles pour mieux rpondre
aux volutions de lenvironnement.
12 | COSO 2013 |
Les 17 principes du COSO 2013 ne doivent pas simplement
tre prsents et fonctionner, mais ils doivent aussi interagir
entre eux .
Catherine Jourdan, PwC
8. Comment utiliser les points dattention ?
Le COSO 2013 identifie 81 points dattention
associs aux principes. Ceux-ci reprsentent
des caractristiques importantes des
principes. Il peut arriver que, lors de la
conception et de la mise en place dun
dispositif de contrle interne, la direction
gnrale estime que certaines de ces
caractristiques ne sont pas pertinentes
au regard de la situation spcifique de
lorganisation et quelle tienne compte
dautres critres plus appropris. Le
Rfrentiel nexige pas que la direction
gnrale value la mise en uvre de chaque
point dattention de faon exhaustive.
En revanche, le management peut sappuyer
sur les points dattention pour concevoir,
mettre en place et piloter le systme de
contrle interne et pour valuer dans quelle
mesure les principes sont effectivement mis
en place et sils fonctionnent correctement.
7. Comment utiliser les principes?
La mise en place des 17 principes permet un
contrle interne efficace. Il est important
quils ne soient pas considrs comme des
lments distincts et discontinus, mais quau
contraire ils fonctionnent conjointement au
sein dun systme intgr. Chacun des dix-
sept principes fonctionnant conjointement
contribue rduire un niveau acceptable le
risque quun objectif ne soit pas atteint.
Un principe non mis en uvre ou des
principes ne fonctionnant pas conjointement
met le dispositif risque.
A titre illustratif :
Lvaluation des changements (principe
n9) lis lexternalisation de certaines
activits de contrle (principes n10) fait
appel, notamment, une redfinition des
structures, des rles et des responsabilits
(principe n3), des canaux de
communication avec des tiers sur des
problmatiques de contrle interne
(principe n15) et des activits dvaluation
continues et ponctuelles (principe n16).
Les activits de pilotage (principe n16) qui
dtectent les rsultats non conformes aux
attentes et en analysent les causes
permettent de matriser le risque derreur
rcurrente dans le traitement des
transactions (principen7).
Les efforts dploys par lorganisation pour
maintenir et accrotre les comptences des
collaborateurs (principe n4) et les
responsabiliser sur le dispositif de contrle
interne (principe n5) rduisent le risque
derreur dans les activits de contrle
(principes n10, 11 et 12).
PwC | 13
Les acteurs du
contrle interne
9. Comment les rles et responsabilits lis au contrle interne dans le
COSO 2013 sont-ils dfinis ?
Le contrle interne demeure la responsabilit
de tous au sein de lorganisation. Le COSO
2013 utilise le modle des trois lignes de
matrise pour dcrire les responsabilits
essentielles de chaque grande fonction :
En premier lieu, ce sont les oprationnels
(par exemple les chargs de production,
des ventes, etc.) qui doivent sassurer de la
bonne conception et du bon
fonctionnement du dispositif de contrle
interne ;
En second lieu, les fonctions support (par
exemple les chargs de conformit,
scurit, gestion des risques) apportent
expertise et conseil par rapport aux
objectifs de performance et de contrle ; et
En dernire instance, laudit interne
permet un regard indpendant et des
revues varies dans un but, notamment,
damliorer le contrle interne de
lorganisation.
Auparavant, les oprationnels comptaient essentiellement
sur laudit interne ou sur les fonctions risques et
conformit. Dsormais, comptez un peu moins sur eux, vous
tes responsables .
Alain Lemarcis, SNCF
14 | COSO 2013 |
10. Comment les responsabilits des tiers sont-elles traites ?
Bien que lorganisation puisse faire appel
un prestataire de services extrieur charg
de mettre en uvre les processus, les rgles
et les procdures pour le compte de lentit, la
direction gnrale demeure responsable en
dernier ressort du respect des conditions fixes
par le rfrentiel en matire defficacit du
dispositif de contrle interne.
Les tiers qui interagissent avec lentit, tels
que les auditeurs externes et les rgulateurs,
ne font pas partie du systme de contrle
interne. Ils ne font donc pas non plus partie
du processus dvaluation managriale du
systme.
Cela ne veut pas dire pour autant quil faille
ignorer leur travaux. Une coordination
efficace contribue viter les redondances
et assurer que les risques majeurs sont bien
couverts.
11. Quelle est larticulation vise entre les auditeurs internes et les
commissaires aux comptes en matire dvaluation de lefficacit
du contrle interne ?
Cette articulation passe par une grande
transparence mutuelle de ces deux instances sur
la nature et le primtre de leurs travaux. Il est
fondamental que les commissaires aux comptes
disposent dune vision prcise des travaux
raliss par laudit interne qui concernent la
revue du contrle interne comptable et financier.
Des lments cls prendre en compte sont:
les changes sur le plan daudit interne
et externe, lorganisation de rendez-vous
rguliers de partage dinformation, et
la transmission des rapports daudit qui
concernent le contrle interne.
Comme le soulignent non seulement le COSO
2013 mais aussi dautres guides tels que celui
de lIFA de novembre 2009 sur les Comits
dAudit et Commissaires aux Comptes, le
Comit dAudit, en troite relation avec les
commissaires aux comptes et les auditeurs
internes, a un rle majeur jouer pour
encourager et faciliter les changes. Le
Comit dAudit est dailleurs le premier
bnficiaire dune bonne communication
entre ces deux instances de contrle car il
en tire une vision beaucoup plus complte
et plus intgre de la gestion des risques de
lorganisation.
Enfin, les oprationnels bnficieront
galement dune meilleure coordination
entre les Commissaires aux comptes et laudit
interne, les missions redondantes tant ainsi
vites.
PwC | 15
Middle Management:
Relais Indispensable
12. Pourquoi le COSO insiste-t-il sur le tone in the middle?
Passe la dfinition des attentes, cest
au niveau du middle management que
seffectue rellement la mise en uvre du
contrle interne, ou non... Cest en effet
ce niveau oprationnel de lorganisation
que se croisent de multiples directives
relatives la performance et linnovation
mais aussi la rduction des cots et aux
restructurations, sans dlaisser pour autant
le bon fonctionnement du contrle interne.
Il sagit alors de sassurer que le middle
management dfinisse, communique et
applique les priorits, de manire ce que
les bons contrles soient effectus aux bons
endroits.
Si lengagement de la direction reste primordial, le middle
management est aussi une cible et un relais cl pour faire
voluer la culture de la gestion des risques et du contrle
interne.
Isabelle Dreyss, ADP
16 | COSO 2013 |
Un bon moyen damliorer le tone in the middle est
dintgrer des objectifs de contrle interne dans les lettres
de mission et/ou contrats de gestion des managers. La
ralisation de ces objectifs est value et prise en compte
dans la dtermination de leur rmunration variable.
Cette approche savre efficace !
Marie-Hlne Sinnassamy, GDF Suez
13. Quels sont les apports notables du COSO 2013 pour aider
renforcer ce relais indispensable quest le middle management ?
Le COSO 2013 accorde une importance
significative au middle management,
notamment au travers des principes
suivants:
Lengagement en faveur de lintgrit et des
valeurs thiques (principe n1), qui
consiste donner lexemple, tablir les
normes de conduite, valuer ladhsion
aux normes de conduite, et grer les
carts en temps voulu ;
La dfinition des structures, des
rattachements, ainsi que des pouvoirs et
des responsabilits appropris pour
atteindre les objectifs (principe n3) ; et
Linstauration pour chacun dun devoir de
rendre compte de ses responsabilits en
matire de contrle interne (principe n5),
passant par ltablissement et le suivi
dindicateurs de performance et de
mesures dincitation, en tant vigilant face
aux pressions excessives.
14. Que faire en pratique pour amliorer le tone in the middle ?
Dans cette perspective, il est important de
mettre laccent sur la contribution du contrle
interne la matrise des oprations. Cela
peut notamment se faire dans le cadre de
revues managriales au cours desquelles les
responsables de lentit et le responsable du
contrle interne changent sur les rsultats
des contrles raliss et le traitement des
carts ou dysfonctionnements reprs.
Lobjectif est de dgager la contribution
du contrle interne lamlioration de la
performance.
La filire contrle interne doit se positionner
en appui et lcoute du management
pour laider concevoir un dispositif de
contrle interne rpondant ses attentes et
permettant de couvrir les risques mtiers
et transverses. Pour gagner en lisibilit,
il y a un intrt fort mettre en synergie
les dmarches qualit/processus (quand
elles existent), management des risques et
contrle interne.
Un autre axe est dintgrer la responsabilit
du contrle interne dans les objectifs et
critres dvaluation.
PwC | 17
Application au
Domaine Comptable
et Financier
15. Pourquoi un recueil spar sur le contrle interne sur le reporting
financier externe, et quel apport ?
On constate que le COSO est devenu une
rfrence universelle en matire de contrle
interne, particulirement dans le cadre
comptable et financier. En effet, bon nombre
de rglementations travers le monde y font
rfrence de manire explicite (par exemple
la SEC aux tats-Unis pour lapplication de
la loi Sarbanes-Oxley) ou de fait sappuient
dessus (par exemple le Tabaksblat aux Pays-
Bas). Il a ainsi t jug utile de dcliner au
domaine comptable et financier les concepts
de ce rfrentiel mis jour pour en faciliter
lapplication.
Le recueil COSO Internal Control over
External Financial Reporting (ICEFR) 2013
a pour but dapporter diverses approches et
cas pratiques pour illustrer la mise en uvre
des 17 principes du contrle interne relatif
ltablissement des rapports financiers.
Il se concentre ainsi sur une sous-partie des
objectifs dune organisation. Par exemple,
par rapport au principe n6 portant sur
ltablissement des objectifs, lICEFR illustre
comment tenir compte de la matrialit,
revoir et mettre jour la comprhension des
normes applicables.
Il est concevable que des recueils similaires
soient labors par la suite sur lapplication
des 17 principes dautres objectifs, tels
que le reporting non-financier et les divers
reporting internes, la conformit ou
loprationnel.
18 | COSO 2013 |
Le recueil ICEFR apporte pour chacun des 17 principes
plusieurs approches et exemples pour aider confirmer la
bonne mise en uvre, ou au contraire aider identifier des
axes damlioration.
Nicolas Brunetaud, PwC
16. Comment utiliser ce recueil ?
LICEFR sarticule autour des 17 principes et
points dattention tablis dans le rfrentiel,
comme illustr ci-dessous.
5 Composantes 17 Principes
85 Points
dattention
illustratifs
Approches Exemples
1. Environnement
de contrle
Principes 1 5 20 points dattention
25 points dattention
dont les suivants pour
le Principe 6 :
Respecte les normes
comptables
applicables
Tient compte de
lu muteiiulite
Dispose d'un
iepoiting ieetunt
les activits de
l'entit

2. valuation
des risques
Principe 6 :
Dennii des objectils
appropris
Principe 7 :
Principe 8 :
Principe 9 :
Identinei les ciiteies de
qualit dans les tats
nnuncieis
Dennii les objectils en
mutieie de iepoiting
nnunciei
Dterminer la
matrialit
Revoii et mettie u joui
la comprhension des
normes applicables
Prendre en compte les
domaines d'activit
de l'entit
...
tablir des liens entre
les comptes, les ciiteies
de qualit et les risques
valuer la pertinence
des objectils nxes
Dterminer la
matrialit pour les
etuts nnuncieis d'une
socit non cote
Revoir et mettre
joui lu compielension
des normes applicables
Prendre en compte
l'tendue des activits
d'valuation

3. Activits
de contrle
Principes 10 12 16 points dattention
14 points dattention
10 points dattention

4. Information
et communication
Principes 13 15

5. Pilotage Principes 16 et 17

PwC | 19
17. En pratique, quels sont les points ncessitant encore souvent
des efforts?
Les activits de contrle sont souvent les
premiers lments concrets de contrle
interne mis en uvre. Cependant, il reste
souvent bien du chemin parcourir pour
que lorganisation dans son ensemble, ses
processus et ses outils viennent sinscrire
dans un dispositif global de contrle interne.
Concrtement :
Environnement de contrle : un conseil
dadministration qui challenge le
management ; les comptences ncessaires
tous les niveaux de lorganisation,
notamment dans la fonction financire et
comptable ; des structures de reporting
clairement tablies ; le tone at the top ;
valuation des risques : veille constante et
une analyse des risques internes et
externes lorganisation ; dispositif
efficace de prvention et de dtection de
fraude ; capacit de raction et
dintgration du changement ;
Activits de contrle : tablissement dun
nombre limit de contrles aux bons
endroits dans les processus (contrles de
cohrence, sparation des tches,
contrles compensatoires, etc.) ;
dclinaison des politiques et procdures
comptables, financires et autres travers
lorganisation, tone in the middle ;
Information et Communication : Qualit et
pertinence de linformation financire ou
non financire circulant au sein de
lorganisation ; et
Pilotage : Identification et suivi des
dfaillances de contrle interne (auto-
valuation de lefficacit du contrle, audit
interne puissant fonctionnant sur la base
de la cartographie des risques) ; remonte
de linformation significative et pertinente
au conseil dadministration via son comit
daudit.
Un sondage ralis lors du Colloque auprs des participants
rvle que lvaluation du dispositif de contrle interne se
fait souvent par uneauto-valuation ou une valuation
indpendante, mais surtout par une combinaison des deux
20 | COSO 2013 |
PwC | 21
18. Pourquoi insister sur lexternalisation ?
On constate de plus en plus de recours des
partenaires commerciaux et prestataires de
services tous niveaux de la chane de valeur
ainsi quau niveau des fonctions support. Ces
structures peuvent apporter des expertises
cls, une ouverture sur de nouveaux
marchs, des opportunits de rduction
de cot, et dautres avantages. Cependant,
elles prsentent galement des enjeux de
matrise des risques associs ce mode de
fonctionnement en entreprise tendue.
Il sagit dassurer un contrle interne
efficace, tant chez le prestataire que dans
lorganisation utilisatrice, et aux interfaces
entre les deux. Le COSO 2013 reflte ces
attentes travers lensemble des 17 principes.
Les 17 principes sappliquent tous les niveaux de
lorganisation, mais aussi aux partenaires commerciaux et
prestataires essentiels de lorganisation.
Anne-Christine Marie, PwC
Externalisation et
contrle interne
22 | COSO 2013 |
La finalit de la matrise des risques est la mme que sans
externalisation. Mais les moyens mettre en uvre peuvent
tre diffrents. Ce nest pas parce que lon paie pour un
service que lon a toutes les assurances de la bonne matrise
des risques.
Yann Boucrault, Bouygues
19. Quels sont les enjeux pour les organisations utilisatrices de
services externaliss ?
Au-del dun niveau de performance
recherch, lorganisation doit sassurer que le
niveau de contrle interne de ses prestataires
est adquat. En particulier :
La transparence relative aux risques et aux
contrles mis en place (protection de
donnes confidentielles client, proprit
intellectuelle, fiabilit des donnes, etc.)
Le maintien de la responsabilit ultime au
niveau de lentreprise utilisatrice et le bon
pilotage des activits travers toute la
chaine de valeur, y compris les rles, les
responsabilits et les interfaces humaines
et automatises (par le biais dindicateurs
tels que des Key Performance Indicators,
Key Risk Indicators ou Key Process
Indicators) ; et
La cohrence du dispositif de contrle
interne du prestataire par rapport aux
attentes de lorganisation utilisatrice (les
activits de contrle mais aussi
lenvironnement de contrle, le pilotage,
etc.).
20. Comment le prestataire de services peut-il rpondre ces attentes ?
En premier lieu il est important pour le
prestataire et lorganisation utilisatrice de
services de dfinir ensemble les attentes
respectives. La contractualisation entre ces
parties se doit alors de porter non seulement
sur le niveau de performance requis mais
aussi sur les attentes en matire dactivits
de contrle, dadhsion aux valeurs de
lorganisation, de droit de regard, daudit et
dassurance donne par un tiers. Ensuite,
les processus et les outils informatiques mis
en uvre doivent permettre, de manire
efficace, daccder aux informations
sous-jacentes requises par lorganisation
utilisatrice.
On constate que le niveau de satisfaction et
dalignement par rapport aux attentes dpend
souvent particulirement de :
La nature des services externaliss
(prestation essentielle, forte visibilit, ou
non);
La qualit et la frquence des procdures
de sensibilisation et de rappel, et de la
surveillance du respect des normes de
conduite par ses collaborateurs ;
Lenvergure et la complexit des processus
du prestataire et de son modle conomique.
Ainsi, le succs de lexternalisation dpend
bien souvent du niveau deffort des deux
parties.
PwC | 23
21. Quelles sont les tapes cls pour grer au mieux les opportunits et
les risques associs lexternalisation et sassurer du bon niveau
de contrle interne ?
1. La slection du prestataire est une tape
fondamentale. Cest ce stade que sont
dfinis les critres (cot, mais aussi
adquation et efficacit des contrles, plan de
continuit dactivit, etc.) qui formeront la
base pour la contractualisation. La due
diligence prestataire est ensuite effectue
pour valuer les processus, structures et
outils informatiques pour sassurer de leur
fiabilit. Au-del des experts techniques
(pour la ngociation achats, la
contractualisation, lexpertise mtier, etc.),
les responsables du contrle interne doivent
apporter un regard critique sur ladquation
du dispositif du prestataire. Ces changes ont
pour objectif de permettre la slection dun
prestataire capable de rpondre aux attentes
de performance mais aussi de sinsrer dans
le dispositif de contrle interne de
lorganisation utilisatrice des services.
2. Ltablissement et le suivi du contrat
donnent une base dvaluation de la qualit
de la relation prestataire-client. La direction
des achats, les juristes et les experts mtier
jouent un rle important. Les responsables du
contrle interne se doivent daider dfinir le
niveau de matrise requis. Le contrle interne
soutient ainsi la direction gnrale qui doit
accepter les risques lis la mise en place
dun processus dexternalisation.
Lorganisation est alors en mesure de mettre
en uvre les moyens ncessaires pour grer
et piloter de manire oprationnelle le contrat
(indicateurs vrifier, clause daudit
exercer).
3. Les contrles de cohrence au fil de leau
par les oprationnels utilisateurs sont
importants dans la mesure o ils confrent un
niveau dassurance rgulier. Dans ce sens, il
est souvent utile de dsigner dans
lorganisation un propritaire du processus
dexternalisation, permettant de centraliser
la connaissance et la supervision des
contrles dlgus.
22. Comment rendre compte ses parties prenantes ?
La confiance quant la fiabilit des services
rendus et des contrles associs peut tre
renforce par des audits conduits par le
service daudit interne et par le biais dune
assurance donne par un tiers (Third
Party Assurance), produisant des rapports
norms selon ISAE 3402, ISAE 3000, etc.
Cela ncessite de lexpertise en matire
dvaluation de contrle interne, mais permet
une harmonisation de lapproche et une
rduction des temps requis pour permettre
lvaluation et une meilleure transparence,
voire mme un avantage concurrentiel.
Une valuation du contrle interne des
prestataires permet didentifier, le cas
chant, les amliorations apporter au
dispositif pour rpondre aux attentes des
parties prenantes.
24 | COSO 2013 |
23. Quels sont les apports notables du COSO 2013 relatifs
lexternalisation?
Le COSO sapplique dans son intgralit
lexternalisation. Cest--dire que lensemble
des 17 principes doivent tre mis en uvre
tant dans lorganisation utilisatrice de
services que chez le prestataire, avec une
articulation logique entre leurs dispositifs.
Par exemple, lidentification et lvaluation des
risques associs la ralisation des objectifs
(principe n7) doivent donner une vision
complte des risques et des activits de contrle
mises en face (principe n10) sur lensemble
du processus, tant pour les parties ralises en
interne que celles qui sont externalises.
PwC | 25
Transformation et
contrle interne
24. Pourquoi insister sur la transformation ?
Des transformations mal conduites
peuvent dboucher sur un constat de
cot trop lev, un manque de matrise des
nouveaux processus/outils, une dtrioration
temporaire de la performance, ou dautres
dcalages par rapport aux objectifs de
lorganisation. On constate que les projets
de transformation impactent souvent
directement les fondamentaux du contrle
interne. La question est alors : comment
raliser les bnfices attendus des projets
de transformation (tels que la mutualisation
de certaines activits, lacclration de la
production, la rduction des cots, etc.) sans
dgrader le niveau de matrise des risques
associs ?
La transformation dans les organisations
ncessite un regard proactif en matire de
contrle interne tout au long du projet de
transformation. Ce regard se doit dtre
port par un ensemble de responsables du
contrle interne, de la gestion des risques et
de laudit interne, en liaison troite avec les
oprationnels impliqus dans le projet de
transformation.
26 | COSO 2013 |
26. quelles tapes est-il particulirement important dimpliquer le
contrle interne dans les projets de transformation ?
Le contrle interne se doit daccompagner la
transformation de bout en bout. En amont, il
apporte une perspective dans les tudes de
faisabilit et dimpact de la transformation.
En effet, il value le dispositif de contrle
interne par rapport aux objectifs de
lorganisation. Il contribue galement
dfinir des facteurs cls de succs lis
au projet de transformation (qualit
oprationnelle, communication adquate,
matrise des risques, conformit, etc.).
Au cours du projet, le contrle interne joue
un rle essentiel dans llaboration ou la
refonte des contrles, lharmonisation
ou la refonte des dispositifs (processus
mtier, plans de continuit dactivit,
reporting, etc.), la gestion du changement
(communications, formations, etc.), et le
pilotage des indicateurs cls. Lenjeu est de
suivre et de responsabiliser, par exemple au
moyen de primes ne portant pas uniquement
sur la performance court terme mais aussi
la bonne matrise des risques, ou par la
ralisation daudits pour identifier les lacunes
de comptences.
En aval, le contrle interne peut apporter
un regard sur ladquation et lefficacit de
lensemble du dispositif de contrle interne
post-transformation. Il facilite alors la
remonte et correction de dfaillances de
contrle interne constates.
Ladaptation du dispositif de contrle interne
commence la conception dune transformation
organisationnelle et continue au cours de sa
ralisation.
France Hanniet, Orangina Schweppes
25. De quels types de transformations parle-t-on?
On sintresse ici aux changements que
lorganisation peut conduire, tels que :
Le changement de systme dinformation ;
Ladoption de nouvelles technologies
(media sociaux, etc.) ;
La mise en place dun centre de services
partags ;
Lexternalisation ou tablissement
dalliances (joint ventures, etc.) ;
Lapplication dune nouvelle
rglementation ou lvolution des attentes
des organes de gouvernance ;
Louverture vers de nouveaux marchs ; et
Lvolution du primtre dactivit de
lentreprise (fusions, acquisitions, cessions,
etc.).
Tous ces changements vont bouleverser les
rles et responsabilits, la nature des risques,
les contrles ncessaires, etc. Bref, les 17
principes sont concerns.
Le changement (interne et externe) est permanent, et
lorganisation se doit de sadapter et se transformer en
continu.
Annie Bressac, Consultante
PwC | 27
27. En quoi le COSO 2013 permet-il lorganisation de fiabiliser et
doptimiser lexcution des priorits, et damliorer sa rsilience et
son adaptation face aux transformations ?
Le COSO 2013 met en avant limportance
de ladaptabilit du dispositif de contrle
interne face aux changements. Un principe
essentiel du COSO porte sur lvaluation
du changement (principe n9). En effet, la
capacit danticipation et dadaptation au
changement, de se remettre de tout type
dvnement risque (y compris les situations
indites) et den saisir les opportunits est
importante pour fiabiliser et optimiser
lexcution des priorits de lorganisation.
Ceci tant, ce principe essentiel se doit
dinteragir avec les autres principes du
COSO. Ainsi, cette capacit dpend de et
alimente les autres principes de contrle
interne, tels que la responsabilisation pour
le contrle interne (principe n5), les flux de
communication interne (principe n14), et
le pilotage (processus, outils) permettant la
transparence sur lavancement des chantiers
de transformation et sur latteinte des
objectifs dfinis (taux de ralisation, seuils
de tolrance, etc.) permettant dvaluer,
de remonter et dadresser des dfaillances
ventuelles en matire de contrle interne
(principe n17).
Ladoption du COSO facilite ainsi la rsilience
en ce quelle permet ladoption dun langage
commun dans le cadre des transformations
de lorganisation.
Des transformations en cours au ministre rendent
ncessaire un contrle interne sur le champ mtier,
oprationnel. Ceci nous permet notamment de
hirarchiser les risques lis nos missions.
Arnauld Marrou, Ministre de lcologie, du Dveloppement
Durable et de lnergie
PwC | 29
Et maintenant?
28. Quelle est la date prconise pour ladoption du COSO 2013 ?
Le COSO laisse disposition le rfrentiel
de 1992 jusquau 15 dcembre 2014,
date laquelle il sera retir du march
et dfinitivement remplac par la mise
jour de 2013. Il ne pourra donc plus tre
fait rfrence lancien COSO partir de
cette date (par exemple pour une clture
au 31dcembre 2014), et le primtre du
contrle interne prendre en compte alors
sera celui du COSO 2013.
29. Pourquoi utiliser le nouveau COSO ?
La vie des organisations, les vnements
internes ou externes qui les affectent
ncessitent une remise en cause permanente
des dispositifs de contrle interne.
Dune part, on constate que de nombreuses
escroqueries relvent de principes
fondamentaux de contrle interne (double
signature, mise jour des pouvoirs bancaires,
suivi des comptes de bilan, etc.). Chacun a
en tte galement des exemples de fraudes
comptables, dampleur plus ou moins
importante, ainsi que des affaires plus
graves dans le domaine de la sant ou dans
le domaine alimentaire qui peuvent soulever
une incomprhension du public sur la nature
des contrles raliss, par exemple par les
contrleurs publics ou les organismes externes
- sans pour autant interroger les dispositifs de
contrle interne propres lorganisation.
Dautre part, les organisations se retrouvent
bien souvent devant une dmultiplication des
dispositifs par rapport aux diverses attentes
(contrles de qualit oprationnelle, scurit,
prvention contre le fraude, la corruption,
le blanchiment, etc.) souvent avec des
redondances mais aussi des manquements. Il
en ressort un besoin de meilleure articulation
logique et dune meilleure efficacit des
dispositifs de contrle interne pour viter les
trous dans la raquette tout en optimisant les
budgets allous.
Par ailleurs, les obligations particulires
lies la huitime directive relative au droit
des socits en Europe, exigent des socits
cotes une communication formelle sur les
facteurs de risque et les dispositifs de gestion
de ces risques (chapitre Facteurs de Risque
du document de rfrence), et description
30 | COSO 2013 |
30. Qui doit se rfrer au COSO 2013 ?
Les organisations qui utilisent actuellement
le COSO dans leur document de rfrence ou
leur rapport au prsident doivent dornavant
utiliser le COSO 2013.
Les organisations qui nont pas dobligation
lgale auront un avantage utiliser le COSO
2013 car il constitue une remarquable
rfrence en matire de mise en uvre et
maintenance du dispositif de contrle interne.
31. Quelle est larticulation entre le Cadre de Rfrence de lAMF
et le COSO 2013 ?
Le Cadre de Rfrence de lAMF repose
notamment sur les concepts labors dans le
rfrentiel COSO dorigine, qui voluent dans
le COSO 2013.
Une rflexion est en cours pour dterminer si une mise
jour du Cadre de Rfrence est raliser
Martine Charbonnier, AMF
des dispositifs de contrle interne dans le
Rapport du Prsident.
Lutilisation dun outil tel que le COSO 2013
en complment du cadre de rfrence de
lAMF en France permet aux organisations
concernes de se conformer efficacement
ces obligations. Ces pratiques de gestion des
risques et de contrle interne sont dailleurs
prises comme rfrence non seulement par
les socits cotes mais aussi les socits non
cotes et, au-del, au sein du secteur public et
associatif.
Le COSO 2013 est un outil qui aide les organisations
mettre en uvre et faire voluer leurs dispositifs de
contrle interne afin quils restent adapts leurs besoins.
Jean-Pierre Hottin, PwC
PwC | 31
32. Quelles actions sont envisager pour se mettre en conformit avec
le COSO 2013 ?
Pour se mettre en conformit, lorganisation
peut :
Faire un diagnostic sur la base des
17principes pour identifier les axes
damlioration ncessaires au niveau du
groupe et des entits ;
Approfondir certains sujets sur la base des
17principes (par exemple la prise en
compte des tiers dans lvaluation du
contrle interne, lutilisation des nouvelles
technologies, notamment en ce qui
concerne la scurit des bases de donnes
et le cloud-computing qui peut connatre
une dfaillance, etc.).
Et cela tout en veillant larticulation
effective de ces 17 principes.
Environnement
de Contrle
Evaluation des
Risques
Activits de
Contrle
Information et
Communication
Activits de
Surveillance
Intgrit
et thique
Indpendance,
expertise du conseil
d'administration
Structures,
pouvoirs et
responsabilits
Formation et
fidlisation des
collaborateurs
Responsabilisation
Spcification
des objectifs
Identification et
analyse des risques
Evaluation des
risques de fraude
Identification et
valuation du
changement
Slection et
dveloppement de
contrles
Contrles sur la
technologie
informatique
Rgles et
procdures
Pertinence de
l'information
Communication
interne
Communication
externe
Contrle permanent
et priodique
Evaluation et
communication de
faiblesses
32 | COSO 2013 |
A. Dfinition du contrle interne selon le COSO 2013
Le contrle interne est un processus mis en uvre par le conseil, le management et les
collaborateurs, et qui est destin fournir une assurance raisonnable quant la ralisation
dobjectifs lis aux oprations, au reporting et la conformit.
B. Les 17 principes structurants
Composantes Principes
Environnement
de contrle
1. Lorganisation manifeste son engagement en faveur de lintgrit et
de valeurs thiques.
2. Le Conseil fait preuve dindpendance vis--vis du management. Il
surveille la mise en place et le bon fonctionnement du dispositif de
contrle interne.
3. Le management, agissant sous la surveillance du Conseil, dnit
les structures, les rattachements, ainsi que les pouvoirs et les
responsabilits appropris pour atteindre les objectifs.
4. Lorganisation manifeste son engagement attirer, former et
dliser des collaborateurs comptents conformment aux objectifs.
5. An datteindre ses objectifs, lorganisation instaure pour chacun
un devoir de rendre compte de ses responsabilits en matire de
contrle interne.
valuation des
risques
6. Lorganisation dnit des objectifs de faon sufsamment claire
pour rendre possible lidentication et lvaluation des risques
susceptibles daffecter leur ralisation.
7. Lorganisation identie les risques associs la ralisation de ses
objectifs dans lensemble de son primtre et procde leur analyse
de faon dterminer comment ils doivent tre grs.
8. Lorganisation intgre le risque de fraude dans son valuation des
risques susceptibles de compromettre la ralisation des objectifs.
9. Lorganisation identie et value les changements qui pourraient
avoir un impact signicatif sur le systme de contrle interne.
Activits de
contrle
10. Lorganisation slectionne et dveloppe les activits de contrle
qui contribuent ramener des niveaux acceptables les risques
associs la ralisation des objectifs.
11. Lorganisation slectionne et dveloppe des contrles gnraux
informatiques pour faciliter la ralisation des objectifs.
12. Lorganisation met en place les activits de contrle par le biais de
rgles qui prcisent les objectifs poursuivis, et de procdures qui
mettent en uvre ces rgles.
Annexes
PwC | 33
Composantes Principes
Information &
communication
13. Lorganisation obtient ou gnre, et utilise, des informations
pertinentes et ables pour faciliter le fonctionnement des autres
composantes du contrle interne.
14. Lorganisation communique en interne les informations ncessaires
au bon fonctionnement des autres composantes du contrle interne,
notamment en matire dobjectifs et de responsabilits associs au
contrle interne.
15. Lorganisation communique avec les tiers sur les points qui
affectent le fonctionnement des autres composantes du contrle
interne.
Activits de
pilotage
16. Lorganisation slectionne, dveloppe et ralise des valuations
continues et/ou ponctuelles an de vrier si les composantes du
contrle interne sont mise en place et fonctionnent.
17. Lorganisation value et communique les faiblesses de contrle
interne en temps voulu aux parties charges de prendre des
mesures correctives, notamment la direction gnrale et au
Conseil, selon le cas.
C. Programme du Colloque
Prsident de sance
Florence Vincent, Directeur Audit Interne et Risk Management Groupe, Michelin
8h30-9h00 ACCUEIL
9h00-9h15 OUVERTURE
Farid Aractingi, Prsident, IFACI et Directeur Audit, Matrise des Risques et
Organisation, Renault
Serge Villepelet, Prsident, PwC France
9h15-10h30 TABLE-RONDE (en anglais) : Contexte et objectifs de la mise jour du rfrentiel
Modrateur : Margie Bastolla, IIA Research Foundation, Vice President
Catherine Jourdan, Directeur, PwC Risk Assurance & Advisory Services
Marie-Hlne Laimay, Senior Vice President Audit & Internal Control
Assessment, Sanofi et Prsidente, ECIIA
Christopher Page, Directeur de lAudit Interne Groupe, Eurotunnel
10h30-11h00 PAUSE
11h00-12h00 TABLE-RONDE : Le middle management : relais indispensable
dans un dispositif de contrle interne efficient
Modrateur : Isabelle Dreyss, Responsable du Contrle Interne, Aroports de Paris
Alain Lemarcis, Responsable du Contrle Interne, SNCF
Marie-Hlne Sinnassamy, Directrice Contrle Interne Risques Achats
Immobilier Logistique, GDF SUEZ
Grgory de Lagrange Chancel, Responsable Risque Oprationnel, Socit Gnrale
34 | COSO 2013 |
12h00-13h00 TABLE-RONDE : Prsentation du guide dapplication au domaine comptable
et financier
Modrateur : Nicolas Brunetaud, Associ, PwC Audit
Sandra Bues-Piquet, Directeur Contrle interne, Veolia Environnement
Jean-Marie Pivard, Directeur dAudit interne, Nexans
Alain Josserand, Responsable du Contrle Interne Comptable de ltat, DGFiP,
Ministre de lconomie et des Finances
13h00-14h15 DJEUNER
14h15-15h30 Atelier A : Sous-traitance et contrle interne : pour une plus grande matrise
des dispositifs
Modrateur : Anne-Christine Marie, Associe, PwC Risk Assurance & Advisory
Services
Yann Boucraut, Directeur Central Contrle Interne et Audit, Bouygues
Jean-Denis Malpelet, Directeur dAudit Interne, Allianz France
Atelier B : Transformation, gestion des risques et contrle interne
Modrateur : Annie Bressac, Consultante
France Hanniet, Group Risk & Compliance Director, Orangina Schweppes
Alain Hocquet, Risk Manager Corporate, Orange
Arnauld Marrou, Responsable Adjoint de la Mission dappui ministriel daudit
interne, Ministre de lEcologie, du Dveloppement Durable et de lnergie
15h30-16h00 PAUSE
16h00-16h30 DEBRIEFING DES ATELIERS : Prsentation des travaux
Anne-Christine Marie, Associe, PwC Risk Assurance & Advisory Services
Annie Bressac, Consultante
16h30-17h15 TABLE-RONDE : Ce quengendre cette mise jour pour les parties prenantes
et les rgulateurs
Modrateur : Jean-Pierre Hottin, Associ, PwC Risk Assurance & Advisory
Services
Martine Charbonnier, Secrtaire Gnral Adjoint, Autorit des Marchs
Financiers
Michel Behar, Administrateur ETI, membre de l APIA, Responsable de la Rgion
Ile-de-France
Tmoignage dun Directeur Financier
17h15-17h30 CLTURE : Optimisation du dispositif grce lapplication
des trois lignes de matrise
Farid Aractingi, Prsident, IFACI et Directeur Audit, Matrise des Risques et
Organisation, Renault
PwC | 35
D. Liens
www.coso.org/CI
pour accder au rfrentiel (payant)
www.pwc.fr/accompagner_votre_service_audit_interne_a_chaque_etape_de_
son_developpement.html
10 minutes : un rsum de lessentiel sur le COSO 2013 pour les dirigeants
Building agility and empowerment into internal control sur la base du COSO 2013
www.ifaci.com/coso2013
pour accder la documentation du Colloque du 21 mai
www.pwc.fr