Vous êtes sur la page 1sur 18

DOSSIER

Le nouveau COSO
et ses 17 principes fondateurs
pour un contrle interne ecient

juin-juillet 2013 - Audit & Contrle internes n215

16

Plaidoyer pour des principes justes et pertinents :


Comment donner du sens aux systmes de contrle
interne ?
Batrice Ki-Zerbo

22

Le COSO 2013 : une mise jour du rfrentiel


dorigine pour mieux matriser les volutions
Serge Villepelet

25

Le COSO 1992 est mort, vive le nouveau COSO


Laurent Arnaudo

29

Le COSO 2013 et le cadre de lAMF ne sexcluent ni ne


sopposent, ils sont complmentaires
Anne Bosche-Lenoir et Raymond Marfaing

15

DOSSIER

Plaidoyer pour des principes


justes et pertinents :
Comment donner du sens aux
systmes de contrle interne ?
Batrice Ki-Zerbo - Directeur de la Recherche, IFACI

a mise jour du rfrentiel


COSO de contrle interne est
formellement caractrise par
lexplicitation de 17 principes complts par des points dattention et des
illustrations. Cette version 2013 est donc
plus prcise et plus aise actionner.
Loin dtre des a priori thoriques et
intemporels, ces principes bnficient de
plusieurs dcennies de pratiques du
contrle interne et de gestion des
risques.
Cet article a bnfici des changes fructueux au sein des groupes de recherche
de lIFACI ; en particulier celui qui avait
t constitu dans le cadre de la consultation publique lance par le COSO en
2012.
Impossible de rsumer ici toute la
richesse de ce rfrentiel dont des professionnels chevronns nous ont avou
quil mritait le dtour. Nous vous proposons donc un survol orient vers ce
qui nous semble tre fondamental pour
un contrle interne efficace : la qualit
de l environnement de contrle et du
pilotage . Ces composantes sont
pourtant les laisses pour compte des
chantiers de contrle interne. Dans le
meilleur des cas, elles sont exaltes lors
de grandes messes suivies de plans dac-

16

tions purement formels dpourvus de


sens ou sans ressources adquates. Au
moindre incident, ce vernis de faade ne
tardera pas se craqueler mettant ainsi
mal la confiance au pouvoir de transformation du contrle interne. Les fossoyeurs du contrle interne ne se
demanderont jamais si les fondations de
ldifice pimpant qui leur tait prsent
taient rellement robustes.
Lide de recourir des principes fondateurs pour une saine gestion nest pas
nouvelle. En 1916 dj, Fayol proposait
14 principes gnraux dadministration
dont la plupart nont rien envier ceux
proposs par le COSO. Cet ingnieur
des mines est reconnu pour son pragmatisme. Il avait galement une vise
universelle de ses principes quil proposait dappliquer ladministration
publique.
Plus proche de nous, Larry Rittenberg
(2007) prsentait les 20 principes du
rfrentiel COSO for smaller public companies comme un moyen de rendre plus
accessibles les fondamentaux dun
contrle interne efficace aux managers
de socits cotes de taille moyenne. Il
notait que ces principes taient tout
fait adapts pour les autres types dorganisations. Les constats de lancien

prsident du COSO ont t suivis deffet. En effet, les 17 principes de la nouvelle version du rfrentiel de contrle
interne sinspirent visiblement de ces 20
principes initiaux. Leur rdaction gagne
nanmoins en clart et met en exergue
les points dattention. Un aperu en est
donn dans le tableau ci-aprs.
Ces principes sont dvelopps dans le
document de rfrence (Framework) et
illustrs dans deux documents complmentaires (llustrative Tools et Internal
Control over External Financial Reporting).
Elments fondateurs et incontournables
de la conception, de la mise en place et
du fonctionnement de tout systme de
contrle interne ayant lambition de
contribuer la performance dune organisation ; ces principes ont isolment
porteur de sens. Nanmoins, leur pouvoir de transformation ne sexprimera
rellement que dans une mise en uvre
concerte. Les principes ne sont donc
pas une fin en soi, cette nouvelle dition
permet de sen servir pour sassurer de
la cohrence globale du systme par une
mise en lumire des interactions entre
composantes. Il est dailleurs dommage
que lillustration sous forme de cube ne
rende pas mieux compte de cette interpntration des composantes. Cest

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Environnement de contrle

1.
2.
3.

4.
5.

Evaluation des risques

6.
7.

8.
9.

L'organisation dmontre son engagement en faveur de l'intgrit et de valeurs


thiques.
Le conseil dadministration fait preuve d'indpendance vis--vis du management. Il
surveille la mise en place et le bon fonctionnement du systme de contrle interne.
La direction, agissant sous la surveillance du conseil dadministration, dfinit les
structures, les rattachements, ainsi que les pouvoirs et les responsabilits appropris
pour atteindre les objectifs.
L'organisation dmontre son engagement attirer, former et fidliser des collaborateurs comptents conformment aux objectifs.
L'organisation instaure pour chacun un devoir de rendre compte de ses responsabilits en matire de contrle interne.
L'organisation spcifie les objectifs de faon susamment claire pour permettre l'identification et l'valuation des risques associs aux objectifs.
L'organisation identifie les risques associs la ralisation de ses objectifs dans l'ensemble
de son primtre de responsabilit et elle procde leur analyse de faon dterminer
les modalits de gestion des risques appropries.
L'organisation intgre le risque de fraude dans son valuation des risques susceptibles de
compromettre la ralisation des objectifs.
L'organisation identifie et value les changements qui pourraient avoir un impact significatif sur le systme de contrle interne.

Activits de contrle

10. L'organisation slectionne et dveloppe les activits de contrle qui contribuent


ramener des niveaux acceptables les risques associs la ralisation des objectifs.
11. L'organisation slectionne et dveloppe des activits de contrle gnral en matire de
systme dinformation pour faciliter la ralisation des objectifs.
12. L'organisation met en place les activits de contrle par le biais de directives qui prcisent
les objectifs poursuivis, et de procdures qui mettent en uvre ces directives.

Information et
communication

13. L'organisation obtient ou gnre puis utilise des informations pertinentes et de qualit
pour faciliter le fonctionnement des autres composantes du contrle interne.
14. L'organisation communique en interne les informations ncessaires au bon fonctionnement des autres composantes du contrle interne, notamment en ce qui concerne les
objectifs et les responsabilits associs au contrle interne.
15. L'organisation communique avec les tiers au sujet des facteurs qui aectent le bon fonctionnement des autres composantes du contrle interne.

Pilotage

16. L'organisation slectionne, met au point et ralise des valuations continues et/ou ponctuelles afin de vrifier si les composantes du contrle interne sont bien mises en place et
fonctionnent.
17. L'organisation value et communique les faiblesses de contrle interne en temps
voulu aux responsables des mesures correctrices, notamment la direction gnrale et au
conseil dadministration.
Aperu des 17 principes proposs par le COSO (Traduction non ocielle)

cette dynamique qui fonde lefficacit de


lensemble du systme de contrle
interne. Comme nous le verrons, sans ce
mouvement densemble impossible de
faire jouer au contrle interne son rle
de traduction des options de gouvernance et de gestion des risques dans
les mtiers.
Dire que tous les 17 principes sont
indispensables nexclut pas une mise en

uvre module selon des critres tels


que :
la taille de lentit ;
lautonomie (groupe vs filiale) ;
la complexit des oprations ;
la maturit des systmes de gestion
des risques et de gouvernance. En
particulier :
- limplication des organes dlibrants et excutifs ;
- la formalisation des valeurs ;

juin-juillet 2013 - Audit & Contrle internes n215

- la qualit du processus de dfinition des objectifs et de lapptence


pour les risques ;
la comptence des collaborateurs (qui
dterminera par exemple les modalits et les objectifs de supervision).
Comme pour lensemble de cette mise
jour, la nouveaut se dcouvre dans
une lecture attentive. Si ces trois objectifs sont connus, le COSO 2013 en tend

17

DOSSIER
la porte et nous alerte sur leur imbrication :
Les objectifs oprationnels concernent l'efficacit et l'efficience des oprations. Au-del de la performance
oprationnelle et financire, le COSO
y inclut explicitement la protection
des actifs.
Les objectifs de reporting sont spcifis : il sagit la fois de la communication interne et externe dinformations financires et extra-financires.
Outre llargissement du champ, il
nous est recommand de ne pas nous
cantonner la fiabilit mais dtre
galement attentif aux attentes des
destinataires internes et externes
notamment en termes de dlais et de
transparence.
Les objectifs de conformit prennent une place de plus en en importante du fait de la multiplication des
lois et rglements applicables aux
organisations. Ils sont sous-tendus
par les deux autres catgories dobjectifs et vice-versa.
Selon les organisations, la place accorde chacune des trois catgories dobjectifs pourra galement tre module.
Cet impratif de modulation montre que
les bnfices de cette nouvelle version
rsultent ncessairement dune appropriation fine et personnalise de son
contenu quil est impossible de rsumer
en quelques pages.
Les lments proposs ci-dessous sont
prendre comme autant de points de
dpart possibles de cette appropriation.

Lenvironnement de contrle
Selon le principe 1, intgrit et valeurs
thiques sont fixes par les instances
dirigeantes, elles-mmes exemplaires en
la matire. Pour tre comprises tous
les niveaux, elles doivent tre explicites
dans lorganisation mais galement aux
prestataires et aux partenaires. Le
niveau dadhsion ces valeurs est vrifi et des dcisions effectivement mises
en uvre en cas dcart.

18

Le principe 2 met laccent sur lindpendance du conseil dadministration vis--vis du management. Pour ce
faire, le conseil dispose-t-il des comptences et de lexpertise adquate ? Les
administrateurs sont-ils effectivement
conscients de leurs responsabilits en
matire de contrle interne ? Exercentils une surveillance approprie chaque
phase du processus de contrle interne
(conception, mise en uvre, pilotage)?
Le rfrentiel aide trouver des lments de rponses ces questions qui
sont loin dtre binaires. Ainsi, des
exemples dimplication du conseil
dans le suivi de chaque composante
sont donns.
Le principe 3 rappelle ce qui peut paratre tre le B.A-BA du contrle interne :
Dfinir clairement les pouvoirs et responsabilits, assurer la sparation des
tches notamment travers le systme
dinformation. Pourtant, cette vidence
est loin dtre une ralit dans toutes
les organisations. Si tant est que la
rpartition formelle des pouvoirs et responsabilits a t effectue chaque
chelon de la ligne hirarchique, il restera sassurer quils sont tout aussi clairement dfinis au niveau des diffrentes
instances de gouvernance (comits
manations du conseil, comits managriaux), dans les relations entre chaque
entit lgale, dans le rseau de distribution et avec les prestataires. De plus,
pour reprendre les mots de Fayol, en
anglais dans son texte, la dfinition des
rles naura de sens quavec the right
man in the right place .
Ainsi le principe 4 est clairement li au
principe prcdent. Il prsente une
vision dynamique dun lment cl de
lefficacit de toute organisation, la prise
en compte des hommes et des femmes
qui la font fonctionner. Il ne sagit pas
seulement demployer des ressources
qui seraient disposition et inertes. Il
faut pouvoir tre en capacit dattirer,
de dvelopper et de maintenir des
comptences en lien avec les objectifs
de lorganisation. Cette gestion strat-

gique des ressources sappuie bien sr


sur des politiques et des procdures
mais celles-ci ne doivent pas empcher
toute ractivit notamment par rapport
aux besoins futurs.
Dans ses dveloppements sur lvaluation et la rmunration, ce principe est
galement reli au principe 1. Ils sont
empreints des travaux sur la justice
organisationnelle qui selon Langevin et
Mendoza (2013), favorise la satisfaction
au travail, ladhsion la politique de
lentreprise, la rsolution des conflits et
les comportements civiques. Ces trois
derniers objectifs sont explicitement lun
des enjeux des composantes environnement de contrle et pilotage du
COSO (2013). Classiquement, la justice
organisationnelle sentend selon trois
approches :
la justice distributive qui sintresse
lexplicitation des critres dallocation
des ressources et des rcompenses ;
la justice procdurale qui met laccent
sur les conditions de cette allocation.
Est-elle :
- pertinente (en temps opportun,
individualise) ?
- sans biais ?
- fonde sur des informations fiables ?
- rvisable (possibilit de faire appel
et de corriger les injustices) ?
- quilibre (prise en compte de
toutes les parties concernes) ?
- conforme des valeurs thiques et
morales ?
la justice interactionnelle qui interroge
la nature des relations interpersonnelles pendant la mise en uvre des
procdures.
Il nest pas inutile de rappeler limportance de la beaut du geste dans des
organisations qui ont tendance rduire
leur fonctionnement des squences de
procdures et subissent donc une recrudescence du mal-tre au travail.
Le principe 5 sera galement difficile
appliquer sans un minimum de justice
organisationnelle favorisant une adhsion au devoir de rendre compte. Il est

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

reli aux autres principes de lenvironnement de contrle (valeurs de rfrence et propice la confiance, instances
dirigeantes jouant leur rle, responsabilits clairement dfinies, comptences et
pouvoir de rendre compte). Il sappuie
galement sur la robustesse des composantes information et communication et pilotage . Ce principe reflte
la maturit croissante des systmes de
contrle interne qui ne se limitent plus
la matrise des activits. En tant que
systme de pilotage de la performance,
le contrle interne ncessite une information ascendante qui avait peut-tre
t un peu passe sous silence sous le
poids du tone at the top. Sans devoir de
rendre compte, impossible galement de
diriger des entreprises de plus en plus
tendues, soumises la pression de parties prenantes qui ne cessent de clamer
leur droit linformation. Une organisation qui naura pas su anticiper ces
besoins pourra tre mise mal. Le
devoir de rendre compte ne sera bnfique que sil ne rduit pas les acteurs
un statut de simples metteurs dindicateurs. Cest seulement sils sont responsabiliss et srs que leurs messages
seront suivis deffets, que les acteurs
pourront vritablement tirer profit de ce
mcanisme en le mettant au service de
lamlioration continue.

Evaluation des risques


Cest loccasion ici de rappeler que cette
nouvelle publication nest pas un
COSO 3 qui viendrait remplacer le rfrentiel Entreprise Risk Management ,
plus connu en tant que COSO 2. Une
partie de la publication de 2013 est dailleurs consacre la complmentarit
entre les deux rfrentiels. Les objectifs
et les seuils de tolrance dfinis par le
management dans le cadre du systme
de gestion des risques sont des donnes
dentre du systme de contrle interne.
Si le lien avec la composante valuation des risques semble tre le plus
naturel, larticulation avec le systme de
gestion des risques permet de russir la
modulation des principes voque au

dbut de cet article. Elle dtermine lefficience du systme de contrle interne


par la prise en compte dindicateurs de
performance oprationnelle et financire appropris et la correcte allocation
des ressources.

la moins innovante du nouveau rfrentiel. Sans doute parce quelle est inhrente toute forme dorganisation. Et
pourtant, cette approche pourra galement tre matire progrs. Par exemple, ces activits visent-elles un niveau
acceptable des risques ? Ces seuils sontils clairement dfinis dans toutes les
organisations ? Dans laffirmative le
sont-ils par les instances appropries (cf.
principe 2 et 3) ? Veille-t-on retenir
une combinaison optimale des diffrentes catgories de contrle (automatiques vs. manuels / prvention vs.
dtection) au regard des risques matriser ?

Le rfrentiel de contrle interne envisage les risques sous langle des


menaces latteinte des objectifs ; ce
nest pas pour autant quil ignore le fait
que les organisations doivent galement
saisir des opportunits. Nanmoins
celles-ci ne sont pas directement gres
par le systme de contrle interne.
Elles doivent dabord tre
analyses dans le cadre
Le principe 11 rapdu systme de gespelle des lments
tion des risques. Si
Lun des atouts
dune bonne gouelles sont confirvernance des sysmes par les
de ldition de 2013
tmes dinformadirectives des
est de clarifier les limites
tion. Il invite les
instances dirigeantes, elles du systme de contrle interne professionnels du
contrle et de
deviennent
pour mieux lactionner
laudit internes
explicitement des
sintresser des
objectifs dont le
domaines qui leur sont
contrle
interne
moins familiers tels que lincontribuera la ralisation.
frastructure ou la scurit. Ils constiLun des atouts de ldition de
tuent pourtant des zones risques par2013 est de clarifier les limites du systiculiers lre de linformatique mobile
tme de contrle interne pour mieux
et du cloud computing.
lactionner.
Outre les tapes classiques didentificaLe principe 12 permet dviter des actition et danalyse des risques pour la
vits de contrle dpourvues de sens. Il
mise en uvre des mesures de traitefait le lien avec les composantes enviment appropris, la nouvelle formularonnement de contrle (il est question
tion de la composante valuation des
de directives, de responsabilits et de
risques met clairement laccent sur le
devoir de rendre compte, de personnel
risque de fraude (principe 8) et la ncescomptent, dactions correctives),
sit dadapter le systme aux change information et communication
ments significatifs (principe 9). Sil est
(indispensables pour une mise en uvre
assez classique de sintresser aux chanen temps opportun) et bien sr de
gements significatifs dans lenvironne pilotage (avec lvaluation prioment externe comme menaces potendique des activits de contrle et leur
tielles, il sagit dtre galement vigilants
mise jour ventuelle).
face des changements de business
model ou de dirigeants.

Information et communication
Activits de contrle
Une lecture rapide des principes 10 12
pourrait laisser penser que cest la partie

juin-juillet 2013 - Audit & Contrle internes n215

Dsormais, les technologies permettent


de gnrer et de diffuser des milliers de
donnes en interne ou en externe.

19

DOSSIER
Dterminer celles qui sont vraiment
pertinentes ; y accder en toute lgalit
et les traiter de manire efficiente
constitue un enjeu de gouvernance.
Le principe 14 permet dorganiser le
systme de contrle interne selon le
sens donn au niveau de lenvironnement de contrle et en fonction des
signaux des composantes valuation
des risques ; activits de contrle
et pilotage . Sans communication
interne adquate (en termes de dlais,
de destinataires, de contenu) difficile
dassumer ses responsabilits en
matire de contrle interne. Deux
canaux de communication sont particulirement dtaills : celle qui concerne le
conseil dadministration et celle qui peut
tre mobilise dans des circonstances
exceptionnelles (par exemple les lignes
dalerte thique).
Le principe 15 concernant la communication externe tient compte de la multiplication des interlocuteurs externes
(actionnaires, analystes, rgulateurs,
clients, fournisseurs, associations)
ayant parfois des centres dintrt diffrents. Au-del, de la matrise des messages de lorganisation notamment
concernant la fiabilit du contrle
interne, nous sommes invits contribuer une exploitation efficace de la
communication entrante. Il sagira par
exemple de sassurer de ladquation
des moyens, de la conformit des processus ou de la pertinence des donnes.

Pilotage
Le principe 16 a le plus grand nombre
de points dattention. Ils peuvent tre
rsums par des mots cls tels que :
quilibre (entre valuations permanentes et priodiques). En pratique
cette complmentarit pourra se fonder sur le modle des trois lignes de
dfense ;
adaptation ( ltat du systme, au
rythme des changements dans lenvironnement et dans les mtiers) ;
intgration (des valuations perma-

20

nentes dans les processus mtiers) ;


flexibilit (primtre et rythme des
valuations priodiques) ;
objectivit (des valuations priodiques) ;
comptence. Ainsi, la description des
rles et responsabilits des auditeurs
internes est conforme aux normes
professionnelles IIA.
Le principe 17 est celui de la boucle de
retour. Le mcanisme nest pas nouveau
mais la mise jour nous invite dpasser une dmarche incrmentale pour
une vision globale. En effet, le management et le conseil dadministration doivent disposer de linformation adquate
pour dcider des actions correctives en
temps opportun et suivre leur mise en
uvre.
De plus, les principes prcdents et en
particuliers ceux de lenvironnement de
contrle nont de sens que sils sont surveills et que des actions sont effectivement mises en uvre en cas
dcart (modification de la cible ou du
plan de matrise).

Les rdacteurs ont russi le pari dtre


suffisamment gnrique pour une utilisation dans diffrents contextes tout en
donnant plusieurs pistes pour le
dploiement de systmes de contrle
interne justes. Bien que tombe en
dsutude nous prfrons nous rfrer
cette notion de justice plutt que dinvoquer le bon sens . En effet, elle
recouvre plusieurs caractristiques dun
systme de contrle interne efficace qui
se doit dtre : raisonn, intgre, adquat, raisonnable, pertinent, exact, prcis
Le document nintgre sans doute pas
assez une vision plus positive des personnes qui ne sont pas tous des fraudeurs en devenir. Le jugement du
management est clairement mis en
avant mais un lecteur non avis ne sera
pas forcment sensibilis aux variables
culturelles (et non pas uniquement
structurelles) du contrle interne. Il est
pourtant
indispensable
davoir
conscience de ces asprits pour ne pas
se bercer de lillusion dun contrle
interne sans failles (cf. Atwood et al,
2012).

*
*

En conclusion, lide de sappuyer sur


des principes pour la bonne marche
dune organisation nest pas nouvelle.
Nanmoins loriginalit de la proposition du COSO vient de larticulation
dynamique de plusieurs axes. Il permet
ainsi de viser, avec la mme approche,
plusieurs objectifs et de grer leur interconnexion. Il est plus ais didentifier les
domaines sous contrle et les zones de
faiblesses pour prioriser les actions.
Nous avons pu mettre en vidence des
rsonnances entre principes et composantes. Toutes les composantes ressortent grandies de cette mise jour. Celles
relatives lvaluation des risques et aux
activits de contrle bnficient des
avances de lERM. Les formulations et
illustrations des trois autres composantes devraient en faciliter ladoption.

Bref, un vaste programme pour les


managers, une opportunit dinnovation
pour les professionnels de laudit et du
contrle internes, et de nouveaux chantiers pour la recherche commencer par
lactualisation de nos publications sur le
contrle interne. Je pense en particulier
aux cahiers de la recherche sur La cration valeur par le contrle interne , Des
cls pour la mise en uvre et loptimisation
du contrle interne , Les variables culturelles du contrle interne accessibles sur
notre site internet mais qui mriteront
dtre revisits pour profiter des propositions particulirement intressantes du
COSO.

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Rfrences bibliographiques
Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37
COSO. 2006. Internal Control over Financial Reporting Guidance for Smaller Public Companies
COSO. 2013. Internal Control Integrated Framework, llustrative Tools for Assessing Eectiveness of a System of
Internal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches
and examples. Traduction paratre
Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence socitale, PRESAJE, Dalloz
Fayol H. 1962. Administration industrielle et gnrale Prvoyance, organisation, commandement,
coordination, contrle, Dunod 151p
IFACI et PWC. 2005. Le management des risques de lentreprise. Editions Eyrolles. Traduction de Entreprise Risk
Management publi en 2004 par le COSO
Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrle ? Revue Comptabilit Contrle Audit,
tome 19, vol.1, pp 33-58
Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal of
Accountancy (March): 46-50
Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performance
and commitment, Harvard Business Press
Tysiac, K. 2012. Internal control revisited. Prominent COSO ocials discuss proposed updates to framework. Journal
of Accountancy (March): 24-29

juin-juillet 2013 - Audit & Contrle internes n215

21

DOSSIER

Le COSO 2013 : une mise jour


du rfrentiel dorigine pour
mieux matriser les volutions
Les piliers du nouveau COSO 2013 restent les mmes que ceux du COSO 1992.
Cependant, les volutions des vingt dernires annes ont ncessit des prises en
compte dexigences nouvelles la hauteur des nouveaux enjeux. Le COSO 2013 rassemble des perspectives plus larges que celles des organismes fondateurs qui sont
des organisations comptables et financires ; sa vocation est bien dtendre son
application au-del de ce qui est comptable et financier.

Serge Villepelet
Prsident, PwC France

Le nouveau COSO
Louis Vaurs : Le COSO 1 sur le contrle
interne vient de faire lobjet dune mise
jour publie le 14 mai 2013 aux Etats-Unis.
Pouvez-vous indiquer nos lecteurs les raisons qui ont pouss le Committee of
Sponsoring Organisations procder
cette mise jour :
Sagit-il dune simple mise jour ou
dune refonte ?
De quels lments se compose le nouveau
package ?
Quelles en sont les principales nouveauts ?

22

Serge Villepelet : Il sagit en effet


essentiellement dune mise jour plutt
que dune refonte. Notamment, la dfinition, les composantes et les concepts
cls restent les mmes que ceux du rfrentiel dorigine qui date de 1992. Ceci
tant, il est ncessaire de reconnatre
limpact des volutions de ces 20 dernires annes en matire de technologie
(par exemple : la cyber criminalit), dexternalisation, dattentes plus fortes en
matire de transparence, et bien dautres. Toutes ces volutions ncessitent
plus dagilit et de rsilience de la
part des entreprises pour faire face de
tels enjeux.
Cest par le biais de 17 principes structurants que le COSO 2013 dfinit les
lments essentiels en matire de
contrle interne pour aider les organisations quels que soient leur taille ou
leur domaine dactivit faire face
dans un monde qui devient de plus en
plus complexe.

Les principales nouveauts sont donc :


1. Llargissement du domaine dapplication au-del du reporting financier
(par ex. : responsabilit sociale et
environnementale).
2. Le renforcement des attentes en
matire de gouvernance (par ex. : les
rles des comits et lalignement
avec le business model).
3. La gestion des collaborateurs cls au
contrle interne (par ex. : la direction
gnrale).
4. Larticulation des 3 lignes de
dfense dans lorganisation (
savoir les oprationnels, les fonctions support et laudit interne).
5. Le rapprochement entre risque, performance et rmunration (notamment lun des principes portant sur
la responsabilisation pour le
contrle interne).
6. Larticulation du tone at the top
avec les comportements travers
lentreprise ( tone in the middle ).
7. La prise en compte des sous-trai-

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

tants / autres intervenants cls (par


ex. : leur adhsion au code de
conduite, respect des contrles audel du reporting financier).
8. Lexigence de ladaptabilit et ladquation du dispositif par rapport
lvolution de lentreprise (telles que
de nouveaux processus, rles, structures, SI, CSP, primtre dactivit,
etc.).
L. V. : Depuis toujours, PwC est directement
associ llaboration de ce rfrentiel. Quel
est plus prcisment son rle ?
S. V. : En effet, le COSO nous avait sollicit pour crire le rfrentiel sur le
contrle interne de 1992 ainsi que lEnterprise Risk Management en 2004 et bon
nombre dautres lments de thought
leadership que nous avons labor
ensemble. Nous avons une relation de
travail continue fonde sur un change
en continu par rapport aux volutions
pour pouvoir ensemble livrer au march
des rflexions pertinentes et des rfrentiels qui apportent de la valeur aux
entreprises. Cest ainsi que nous travaillons depuis toujours troitement
avec le COSO.
L. V. : Le Committee of Sponsoring
Organisations est compos essentiellement
dorganisations comptables et financires
alors que le cadre de rfrence de lAMF a
t labor avec un groupe de Place o
lAFEP / MEDEF ont jou un rle non
ngligeable. Nest-ce pas un handicap pour
le COSO qui a voulu laborer un rfrentiel
de contrle interne oprationnel ?
S. V. : Le COSO rassemble des perspectives bien plus larges que celles de ces
organismes fondateurs qui sont, certes,
des organisations comptables et financires (pour rappel : American Institute of
Certified Public Accountants, American
Accounting Association, Financial Executives International, Institute of Internal
Auditors, et Institute of Management
Accountants).

Au cours de ce projet dlaboration du


rfrentiel COSO 2013, le COSO a
obtenu lapport de bien dautres :
1) au dbut du projet, une enqute a
t lance depuis le site du COSO,
annonc par divers communiqus
de presse, et collectant plus de 700
rponses travers le monde ; audel des 35 % de voies issues du
monde comptable et financier, les
rponses provenaient largement des
fonctions de la gestion de risques, de
la conformit, des oprations, de lIT,
de la RSE, et dautres ;
2) une consultation publique sur le
rfrentiel recueillant plus de 200
rponses ;
3) puis, une dernire consultation
publique portant sur lensemble des
publications COSO 2013 recueillant
encore une bonne cinquantaine de
rponses, avec un dcoupage dmographique similaire.

COSO 3. Il ne remplace pas non plus le


COSO 2 qui est consacr au management
des risques de lentreprise. Est-il envisag
toutefois un toilettage du COSO 2 ?
S. V. : Une rvision du rfrentiel portant
sur lERM nest pas envisage ce stade.
A cet effet, deux sujets ont t longuement dbattus :
1) Lintgration CI et ERM, mais le
march semblait globalement ne pas
vouloir un amalgame des deux
concepts. Le contrle interne est
dfini comme tant une sous-partie
de lERM (labor en annexe G du
rfrentiel COSO 2013).

Le COSO 2013 a donc bien pour vocation dtendre son application au-del
de ce qui est comptable et financier.
L. V. : LAMF a labor deux cadres de rfrence de contrle interne, lun pour les socits dune certaine importance, lautre pour
les valeurs moyennes et petites. A qui plus
particulirement le COSO 1 nouveau
sadresse-t-il ?
S. V. : Le COSO 1 nouveau intgre ces
deux visions. Il met jour non seulement le rfrentiel de 1992 mais aussi
celui de 2006 Guidance for Smaller
Public Companies moins connu en
France car il navait pas t traduit en
langue franaise. Le COSO 2013 vient
donc remplacer ces deux documents car
il sappuie en premier lieu sur des principes applicables toute taille dorganisation, et en second lieu met en avant
des spcificits particulires aux plus
petites structures travers le rfrentiel,
ses approches et ses exemples.

2) La mise jour en parallle du rfrentiel ERM, mais son contenu et


son articulation avec le contrle
interne, en particulier le COSO
2013, sont vus comme tant toujours
valables aujourdhui. Le COSO 2013
intgre toutefois les lments du
rfrentiel ERM de 2004 sur les
sujets pertinents au contrle interne.
Le COSO continue donc apporter des
rflexions sur ces sujets, mais davantage
en matire dclairages sur la pratique
que sur les fondements des rfrentiels
de 2004 et 2013 ce stade.

L. V. : Le COSO 1 nouveau nest pas un

juin-juillet 2013 - Audit & Contrle internes n215

23

DOSSIER
Auditeurs internes vs
commissaires aux comptes
L. V. : La coordination des travaux entre
auditeurs internes et commissaires aux
comptes prvue par les normes de lIIA
savre indispensable. Comment concrtement cette coordination sopre-t-elle sur le
terrain ?
S. V. : Cette coordination passe par une
grande transparence mutuelle de ces
deux instances sur la nature et le primtre de leurs travaux. Il est fondamental que les commissaires aux comptes
disposent dune vision prcise des travaux raliss par laudit interne qui
concernent la revue du contrle interne
comptable et financier.
L. V. : Comment, selon vous, cette coordination devrait-elle sorganiser ?
S. V. : Jidentifie immdiatement les lments suivants : changes sur le plan
daudit interne et externe, organisation
de rendez-vous rguliers de partage
dinformation, transmission des rapports daudit qui concernent le contrle
interne.
Au del de ces lments, il est vident
que le comit daudit qui est en troite
relation avec les commissaires aux
comptes et les auditeurs internes a un
rle majeur jouer pour encourager et
faciliter les changes. Ces comits daudit seront dailleurs les premiers bnficiaires dune communication accrue
entre ces deux instances de contrle car
ils en retireront une vision beaucoup
plus intgre de la gestion des risques
de lentreprise.
Enfin, les oprationnels eux aussi bnficieront dune meilleure coordination
entre les commissaires aux comptes et
laudit interne en vitant que des missions similaires soient ralises par les
deux organes de contrle.

24

L. V. : Quelles sont les conditions qui pourraient permettre aux CAC de sappuyer sur
les travaux des auditeurs internes ?
S. V. : Tout dabord il faut bien videmment que les sujets daudit aient port
sur des thmatiques qui apporteront du
confort au CAC pour sa mission. En
effet, souvent une part importante des
travaux des auditeurs internes porte sur
des processus trs oprationnels, de
lamlioration de processus, des dues
diligences

dernires annes sous limpulsion de


nouvelles rglementations, le dploiement de nouveaux outils informatiques
et linternationalisation des implantations gographiques.

Pour que laudit interne puisse livrer des


travaux de qualit savoir une assurance raisonnable sur les processus
audits mais galement des lments de
benchmark et des ides pour amliorer le
fonctionnement des processus il
devient quasiment impossible de se passer dexperts pour raliser les audits
Il faut ensuite que laudit
internes. Force est de constainterne dmontre une
ter quil est trs difficile
forte indpendance
pour les dpartevis--vis du manaments
daudit
gement et pour
interne de main Il devient quasiment
cela il faut sattenir des compimpossible
de
se
passer
tacher comtences spcialiprendre quelles
ses et de trs
dexperts pour raliser les
sont ses lignes
haut niveau dans
audits internes
relles de reportous les domaines
ting et dinfluence.
(par ex. : valorisation,
modlisation,
Enfin, il faut avoir une
technologie, etc.). Nancertaine assurance quant la
moins, la prsence des audiqualit des travaux produits par laudit
teurs internes reste une ncessit forte
interne et pour cela une revue de leur
car ceux-ci sont garants de la mthodoorganisation, outils et livrables est une
logie daudit, connaissent les enjeux de
faon simple de se constituer une opilentreprise, les contingences politiques
nion.
et peuvent assurer la mise en perspective et la transversalisation des conclusions.
Sous-traitance de laudit

interne
L. V. : Avant les grands scandales comptables et financiers de la fin des annes 90 et
des premires annes 2000, lexternalisation
de laudit interne tait en vogue aux EtatsUnis mais avait peu touch la France. On
parle actuellement davantage de co-sourcing. Comment voit-on chez PwC la coopration avec les services daudit interne ?
S. V. : La cotraitance est quasiment
devenue une ncessit pour laudit
interne.
En effet, les processus des entreprises se
sont considrablement complexifis ces

Alors oui, il faut maintenant penser la


cotraitance tout en disposant dun
dpartement daudit interne senior et
sponsoris par la direction gnrale !
Pour les socits de tailles infrieures le
problme est diffrent : la sous-traitance
reste un modle bien adapt car il permet lentreprise de disposer dauditeurs internes professionnels avec des
structures dquipe adaptes chaque
mission, incluant les bons experts.

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le COSO 1992 est mort,


vive le nouveau COSO
Le COSO 1992 a fait son temps. Il sera remplac par le COSO 2013 la fin de lanne
2014. Reconnaissons tout de mme que le COSO 1992 a permis de franchir une
tape supplmentaire et de renforcer les dispositifs existants ; il nous a conforts
sur les directions prendre en matire de contrle interne ; il a permis de sattaquer
aux vrais sujets. Lobjectif du COSO 2013 est de rduire les risques, accrotre la conformit aux lois, politiques et procdures et renforcer les systmes de contrle interne.
Cest un beau programme.

Laurent Arnaudo
Senior vice-prsident audit interne
groupe, Sodexo

oici une phrase bien connue que


lon proclame lors de lavnement dun nouveau monarque.
Cest exactement ce qui nous arrive dans
le royaume du contrle et de laudit
internes car, depuis quelque temps,
nous avons appris que notre Grand Roi,
le COSO 92, se portait mal et allait tout
doucement se retirer, pour mourir le 15
dcembre 2014. Nous allons donc perdre notre rfrence, notre roi qui rgnait
depuis plus de 20 ans. Et pourtant, la
plupart de ses sujets ne semblent pas si
tristes

Il est vrai quil a fait son temps, ce rfrentiel du contrle interne. Envisag ds
1985 par The Committee of Sponsoring
Organizations of the Treadway Commission
(COSO) , il ne fut publi quen 1992. A
cette poque, il ne fut utilis, en France,
que par un certain nombre de grands
groupes prsents linternational. Il
gagna rellement ses lettres de noblesse
avec larrive du Sarbanes-Oxley Act et
de la Loi de Scurit Financire, dans les
annes 2000. Cest alors devenu le rfrentiel incontournable, que de nombreuses entreprises ont souhait suivre
et mettre en avant dans leur document
de rfrence.
On a bien essay de lui redonner un
petit coup de jeune partir de 2006, avec
la publication de deux documents, mais
aujourdhui, il est sous respiration artificielle.

Le Coso 1992 est mort, vive le


Coso 2013
Comme les choses sont toujours bien
faites dans le beau royaume du contrle

juin-juillet 2013 - Audit & Contrle internes n215

et de laudit internes, le conseil du


COSO a dj identifi et mme prsent
son successeur : le fabuleux COSO 2013.
Il est tout jeune et a beaucoup de
bonnes ides. Il est n le 14 mai 2013.
Pour tous ceux qui ont mis en place le
COSO version 1992 dans leur entreprise, il y a eu de vrais changements. Ce
rfrentiel a permis de franchir une
tape supplmentaire et renforcer les
dispositifs existants. Il nous a donn un
cadre et surtout, il nous a confort sur
les directions prendre en matire de
contrle interne :
en mettant des mots derrire des
contrles que nous avions dj identifis, le COSO a apport une structure nos matrices de risques et de
contrles existants ;
en identifiant des activits de
contrles que nous souhaitions
dployer dans nos entreprises mais
pour lesquelles nous avions besoin
dun soutien et dune certaine crdibilit auprs des oprationnels et des
dirigeants. Le fait de montrer leur

25

DOSSIER

existence dans le COSO nous permettait de prouver quil sagissait des


meilleures pratiques.
Avant larrive du COSO, de nombreuses personnes, dans nos socits,
avaient une vision assez limite du
contrle interne : il sagissait des rapprochements bancaires, des inventaires
physiques, de la sparation des tches,
des procdures, etc., et plus gnralement de tout ce qui tait formel et relatif
au domaine de la comptabilit et de la
finance. Il sagissait principalement des
activits de contrles. Les auditeurs se
battaient pour dmontrer que le
contrle interne tait bien plus large que
cela. Tous les lments informels, en
dehors du champ de la comptabilit,
taient malheureusement bien souvent
oublis. Ces lments sont, bien
entendu, les plus difficiles apprhender et dployer. Expliquer, en runion
de clture, que le fait de travailler la
porte ouverte cre un bon environnement de contrle nest pas toujours vident. Ceux qui ont essay sont sans
doute passs pour des extra-terrestres,
jusque dans les annes 2000. Et si on les
voyait, le vendredi soir dans les couloirs,
en train de tester ces contrles, ils passaient pour des fous.
Le COSO 1992, nous a vraiment permis
de mettre sur la table les vrais sujets que
nous avions du mal aborder dans le
pass :
le mode de rmunration des dirigeants et la pression sur les rsultats,
le rle du conseil dadministration,
lorganisation des structures de la
socit,

26

les mesures disciplinaires en cas de


non-respect des politiques et procdures du groupe,
le systme de remont des incidents,
le processus didentification et dvaluation des risques,
etc.
Cest surtout pour ceux qui devaient se
mettre en conformit avec la Loi Sarbanes-Oxley, dans les annes 2006, que
le rfrentiel du COSO a t dune
grande aide. Lexercice de conformit a
t ralis en large partie grce la mise
en place de ce document. Dans les
annes 2006, nous avions lIFACI
mont un groupe de travail SOX. Lobjectif, pour plusieurs entreprises franaises concernes par la loi amricaine,
tait de discuter des pratiques et didentifier des positions communes. Le
COSO tait un sujet trs souvent abord
dans ce groupe de travail car de nombreuses entreprises ne comprenaient
pas comment le mettre en uvre
concrtement.
Nos discussions portaient principalement sur lenvironnement de contrle et
la gestion des risques, qui taient les
composantes les plus complexes
apprhender. Certains points taient
franchement difficiles imposer nos
socits qui se demandaient pourquoi
nous allions dans ces activits, si loignes de notre primtre de travail.
Nous tions, en fait, dans le cur de
notre mtier.
Lautre tche souvent prise en charge
par ce groupe de travail consistait
identifier, pour chaque composante du

contrle interne, des activits de


contrles ralistes et pragmatiques que
nous pouvions tester, en tant quauditeurs internes.
Comment vrifier que la structure de
son organisation est efficace cest-dire quelle permet de porter la stratgie dfinie par son entreprise ?
Comment tester que le style de management de sa socit est adquat et
adapt ?
Autant de bonnes questions qui mritaient de la rflexion et du partage dexpriences. Encore un autre exemple :
comment mettre en place un dispositif
de remontes des incidents ? Ce ntait
pas un dispositif banal en France jusque
dans les annes 2010. Lide tait certes
trs intressante et riche dinformations
mais il fallait comprendre jusquo nous
pouvions aller. La CNIL nous a beaucoup aids sur ce sujet en encadrant la
mise en place du dispositif dalerte professionnel. Cela demeure toujours un
vritable sujet.
Exemple de tests pour les lments du
COSO : le conseil et la direction gnrale
montrent lexemple en ce qui concerne limportance du contrle interne et notamment
les normes de conduites attendues.
Il existe un code dthique.
Il existe une communication faite par la
direction gnrale sur lthique au cours
de ces 12 derniers mois. Il existe des messages de la DG sur lintranet, des brochures, etc., destins lensemble des
employs.
La direction explique dans un document
communiqu au personnel ce qui est permis et ce qui ne lest pas (en matire de
dpenses avec des clients par exemple).
Il existe des programmes de formation
sur le code dthique (e-learning).
Toutes les populations dites sensibles
(commerciaux, acheteurs) ont suivi ce
programme de sensibilisation.
Prendre un cas de non-respect du code /
dcart de bonne conduite au cours de ces
12 derniers mois et examiner les sanc-

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

tions et mesures prises par la direction.


Ces sanctions sont-elles cohrentes et
homognes dun cas lautre ?
Les incidents potentiels et les carts de
bonne conduite donnent lieu rapidement
des investigations, faites par des professionnels indpendants et objectifs.
Le conseil dadministration demande
suivre les incidents les plus significatifs
et les actions prises.

Cest justement ce qui a pouss sa


naissance :
Les sujets du Roi, eux-mmes,
demandaient un rfrentiel plus comprhensible et plus utilisable.
Lensemble des parties prenantes qui
finanait le Royaume, rclamaient
depuis longtemps plus de transparence et un systme permettant une
meilleure gouvernance, gestion des
risques, prvention et dtection des
fraudes.
Et puis notre Royaume a beaucoup
chang en 20 ans. Nous avons des
nouveaux risques, notamment dans le
domaine IS&T. Les systmes dinformation sont maintenant intgrs
nos dispositifs. Notre environnement
nest plus du tout le mme. Il est
devenu global et beaucoup plus complexe.
Il fallait ragir. Le COSO 2013 a
annonc son objectif : il veut rduire les
risques, accrotre la conformit aux lois,
politiques et procdures et renforcer les
systmes de contrle interne. Cest un
beau programme.

Larrive du nouveau COSO 2013 nest


pas passe inaperue. Mais beaucoup
dentre nous ne voient pas de rvolution. Ce nouveau rfrentiel nest finalement que le digne fils de son pre. Il
suit le mme programme et son contenu
na pas ou peu chang. Sa mise en place
sera toujours aussi difficile surtout pour les
petites structures disent certains. Tout
cela restera encore trs thorique pour nos
entreprises disent dautres. Ou encore,
Il ny a rien de nouveau, mais il est vrai
que les points identifis tomberont maintenant dans notre radar . Il existe donc
beaucoup de sceptiques.

Le nouveau monarque a des


ides rvolutionnaires !
Je ne suis pas daccord. La rvolution est
en marche car le COSO 2013 prsente
de nombreux aspects novateurs.

Bien entendu, la dfinition du contrle


interne na pas chang. Les trois objectifs et les cinq composantes sont toujours les mmes. Ils doivent permettre
dvaluer lefficacit du dispositif de
contrle interne. Le changement rside
principalement dans les 17 nouveaux
principes attachs aux composantes et
ses points dattention, dans le renforcement du reporting extra financier et enfin
dans la prise en compte des petites
entreprises.
Trois domaines sont clarifis :
La responsabilit de lentreprise
quand elle dcide dexternaliser des
services, notamment (mais pas seulement) dans le domaine informatique.
En matire de contrle interne, il est
maintenant clair que la responsabilit
reste dans nos entreprises cette responsabilit ne se transfre pas.

juin-juillet 2013 - Audit & Contrle internes n215

La fraude revient sur le devant de la


scne. Ce ne sont plus des activits de
contrles dilus un peu partout que
nous devons valuer.
Les systmes dinformation sont partout dans nos entreprises et doivent
tre encore plus intgrs dans la
nature de nos contrles.

Laurent Arnaudo a dbut sa carrire en 1990 chez Ernst & Young


Paris puis San Francisco, aprs
avoir obtenu une matrise de gestion lUniversit de ParisDauphine. En 1997, il rejoint
lquipe daudit interne dAlcatel o
il y occupera direntes fonctions
dont celle de directeur daudit pour
la rgion dEurope du Sud, Afrique
et Proche-Orient. En 2004, il
devient directeur des projets
Sarbanes-Oxley et LSF pour Alcatel,
couvrant les 34 entits majeures du
groupe. Aprs la fusion AlcatelLucent en 2006, il est nomm directeur de laudit interne avec une
quipe de 80 personnes, bases
Paris, New Providence (New Jersey USA) et Shanghai. Il est lui-mme
bas aux Etats-Unis.
En 2009, il rejoint le groupe Sodexo
en tant que senior vice-prsident
audit interne groupe o il dirige
une quipe de 25 auditeurs, bass
Londres, Washington et Paris.
Laurent Arnaudo est CIA, CCSA et
CRMA. Il est membre du conseil
dadministration et vice-prsident
de lIFACI. Il est galement trs actif
au sein de lIIA (The Institute of
Internal Auditors) aprs avoir t
membre de son conseil dadministration.

27

DOSSIER
tionnement de son dispositif de contrle
Concrtement, dans les entreprises reninterne. Cest une vritable rvolution,
contres qui rflchissent la mise en
car dans le COSO de 1992, il ny avait
place du COSO 2013, les actions suipas ces principes si explicitement dfinis
vantes sont en route :
par des points dattention. Le jugement
Renforcer
lautomatisation
des
de chacun joue toujours un grand rle,
contrles dans les systmes grce aux
mais les directives sont beaucoup plus
outils ACL, IDEA, Magnifier et bien
claires. On sait ce quil faut mettre en
dautres. Cela nous permet dallouer
place pour tre en conformit avec le
nos contrleurs / auditeurs des
COSO 2013.
tches plus forte valeur ajoute, tout
en amliorant le primtre de couverPour ceux qui sont soumis aux rgles de
ture puisque lensemble des transacSarbanes-Oxley, les changements ne
tions sont examines en continu.
seront pas majeurs : lattestation sur lef Les auditeurs et contrleurs internes
ficacit du dispositif de
ne doivent pas oublier les
contrle interne relatif
contrles qui sont chez
aux
informations
les prestataires. Les
comptables
et
auditeurs doivent
financires
sapaller faire des
Il faut mettre en place
puiera sur le
audits chez eux
un
plan
dactions
permettant
COSO 2013.
aprs
avoir
de
rpondre
aux
nouveauts
Les 17 nouvrifi lexisveaux
principes
tence
de
du COSO de 2013 avant le
permettront de
clauses daudit
15 dcembre 2014
clarifier comment
dans les contrats,
appliquer le rfou en sappuyant
rentiel et aideront
sur des formes dvavaluer lefficacit des
luations externes, faites par
contrles
internes dans leur
des entreprises indpendantes et
conception et leur fonctionnement opobjectives.
rationnel. Les seules diffrences rside Les contrles et les audits de conforront dans la classification des faiblesses
mit reviennent en force dans nos
de contrle interne, dans la documentarfrentiels et dans nos plans daudit.
tion du processus didentification des
Les entreprises ne peuvent plus se
risques, et enfin dans la ncessit de
passer de solides programmes antirecalculer le seuil de matrialit au
fraude (identification, communicamoment de la clture :
tion, prvention et dtection des
Le COSO 2013 parle de dficiences
fraudes). Les comits daudit doivent
majeures et de dficience de contrle
poser des questions sur leur existence
interne alors que le PCAOB qualifie
et leur efficacit.
les faiblesses de contrles pour Sar Enfin, si ce nest pas dj fait, il faut
banes-Oxley comme soit une erreur
passer la vitesse suprieure et mettre
matrielle ( material deficiency ) soit
en place un vritable modle de gesune dficience significative ( signifition des risques intgrs (ERM), avec
cant deficiency ). Le PCAOB devra se
une mthodologie et un langage
positionner, dans les mois venir, sur
commun.
un alignement (ou pas) avec la dfinition du COSO. Mais finalement, cela
Il faut dornavant valuer de faon
ne change pas grand chose pour un
beaucoup plus formelle chacun des 17
grand nombre dentreprises. En
principes cls allous aux 5 composantes
interne, nous vitions dj dutiliser le
du COSO pour conclure au bon fonc-

28

vocabulaire du PCAOB qui restait le


jargon des auditeurs externes. Nous
prfrons parler de faiblesses de
contrle interne.
Il faut dornavant aussi expliquer, plus
en dtail, comment la slection des
risques a t ralise (et donc la slection des comptes, processus, et entits
significatifs pour la clture de lexercice). On pourra, par exemple,
dmontrer lutilisation dateliers avec
des oprationnels et fonctionnels, etc.
Il faut aussi sassurer que la qualification des faiblesses et la slection des
contrles (dans les comptes, les processus, les entits) en fonction du
seuil de matrialit calcul en dbut
dexercice reste toujours valable en fin
danne, aprs la clture des rsultats.
Dans le court terme, les actions mener
sont les suivantes : il faut lire le rfrentiel COSO 2013 ! Les membres des
comits daudit doivent demander leur
contrleur ou auditeur internes des
explications sur ce nouveau COSO. Ils
doivent comprendre quelles seront les
modifications apporter dans lentreprise. Sils ne le demandent pas, il faut
leur en parler et les duquer sur les nouveaux lments du COSO 2013. Enfin,
pour les socits utilisant dj le COSO
de 1992, il faut mettre en place un plan
dactions permettant de rpondre aux
nouveauts du COSO de 2013 avant le
15 dcembre 2014. Cela se fera sans
douleur et permettra sans doute de rassurer sur les forces. Pour les entreprises
qui nont pas mis en place le COSO
1992, leffort sera plus grand mais les
directives donnes sont maintenant
beaucoup plus claires et permettent de
mieux comprendre comment dployer
le rfrentiel. Cest un nouveau Roi qui
a un bel avenir devant lui, ce COSO.
Longue vie au COSO 2013

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le COSO 2013 et le cadre


de lAMF ne sexcluent
ni ne sopposent, ils sont
complmentaires
sinterroger sur nos rfrentiels : doit-on
les faire voluer voire en changer ?

Raymond Marfaing
Directeur adjoint en charge des risques
et du contrle interne, SNCF

Anne Bosche-Lenoir
Directrice de laudit et des risques, SNCF

La sortie du COSO 2013 provoque une remise en question et des choix quant lutilisation de tel ou tel rfrentiel. Le cadre de rfrence de lAMF, retenu par SNCF, prsente, entre autres avantages, celui dtre cohrent avec le COSO, dtre trs concret,
adapt la culture SNCF, et tourn vers la mise en uvre oprationnelle. Nanmoins, le COSO 2013 est une source denrichissement dont lAMF doit tenir compte.

Le cadre de rfrence de
lAMF : un cadre souple et
agile tourn vers la mise en
uvre
La sortie du COSO 2013 est un vnement important pour nous responsables

daudit, de contrle interne et de management des risques. Cest loccasion de


se remettre en question, dabord de se
familiariser avec les volutions, puis
didentifier nos points forts, nos points
faibles et enfin de revoir ventuellement
nos objectifs. Cest aussi loccasion de

juin-juillet 2013 - Audit & Contrle internes n215

Le contrle interne SNCF est anim


par la direction de laudit et des risques
en liaison avec la direction financire
groupe. La direction de laudit et des
risques dfinit les mthodes et outils,
fixe les objectifs et assure le reporting et
lvaluation densemble. Elle coordonne
llaboration des rfrentiels de contrle
interne et pilote les dmarches dautovaluation. De leur ct, les diffrentes
branches dactivit (Business units)
conoivent leur organisation du contrle
interne sur leur primtre, dfinissent
avec la direction de laudit et des risques
leurs objectifs, organisent leur valuation et assurent leur rendu compte.

Le choix du cadre de rfrence


de lAMF : un choix naturel
Fin 2009, SNCF, la direction de laudit
et des risques et la direction financire
groupe ont dcid de mettre en place
une nouvelle organisation du contrle
interne afin de le rendre plus efficace
tout en accompagnant les volutions
managriales de lentreprise qui renforait son fonctionnement par branche
dactivits : SNCF Voyages, SNCF Proximits, SNCF GEODIS, Gares et
Connexions et SNCF Infra. Notre
constat tait que beaucoup dacteurs

29

DOSSIER
La direction de laudit et des risques dans lorganisation de la SNCF
Comit daudit, des
comptes et des risques

Conseil dadministration

Direction de laudit
et des risques

Audits

Direction de laudit
et des risques

Management
des risques

Scurit des SI
du groupe

Contrle interne

Rseau de risk
managers

Rseau de
RSSI

Rseau de
contrleurs internes

Management de branches

travaillaient sur le contrle interne mais


que leurs travaux taient peu connects
entre eux et ntaient pas tirs par
une politique dentreprise. Une des
consquences tait que le contrle
interne ntait pas vraiment peru par le
management comme un moyen de matriser ses oprations ni comme un outil
lui permettant de mieux assumer ses
responsabilits.
Nous avons alors dfini des objectifs
simples : russir en 3 ans mettre en
place une organisation claire au service
du management tout en limitant les frais
de structure. Pour cela, nous avons
dabord prcis le rle des diffrents
acteurs depuis le comit daudit
jusquaux oprationnels tout en prenant
en compte les chelons fonctionnels. Ce
premier travail nous a permis de montrer que le contrle interne ne peut se
concevoir que dans une chane qui
concerne toute lentreprise et qui
implique tous les acteurs.

30

Lgende :
Rattachement fonctionnel
Rattachement hirarchique

Aprs ce premier travail, trs vite sest


pose la question du rfrentiel suivre,
quel cadre de travail commun devionsnous prendre. Assez naturellement nous
nous sommes tourns vers le cadre de
rfrence de lAMF. Nous avions pralablement adopt ce cadre pour le rapport du prsident sur le contrle interne
et tions dj, la direction de laudit et
des risques de SNCF, familiariss avec
ce cadre. De plus, ce cadre lpoque
voluait dans la suite de la transposition
des 4mes et 8mes directives europennes.
Ce cadre prsentait nos yeux beaucoup davantages :
trs adapt notre culture, un environnement franais ;
trs concret, facilement communicable ;
tourn vers la mise en uvre oprationnelle avec en particulier le questionnement et le guide dapplication
quil propose.
Il faut galement ajouter quil offrait
lavantage avec sa rvision de traiter en

un seul document du contrle interne et


de la gestion des risques en intgrant les
travaux les plus rcents en la matire. Le
cadre de rfrence sappuie en effet sur
les volutions constates lpoque
dans les principaux rfrentiels internationaux et notamment le COSO II et la
norme ISO 31 000. Pour une direction
qui runit audit, contrle interne et
risques, ctait trs apprciable.
Nous ne nous sommes pas trop interrogs sur la possibilit de prendre comme
rfrence le COSO dans la mesure o,
comme nous venons de le dire, le cadre
de rfrence de lAMF est cohrent avec
le COSO et que nous trouvions dans le
cadre AMF un guide rpondant nos
attentes. Nous avons alors dfini un
objectif clair : avoir mis sous contrle
chance 2013 notre environnement de
contrle et les 14 processus identifis
par lAMF dans son guide dapplication
sur le contrle interne de linformation
comptable et financire.

Audit & Contrle internes n215 - juin-juillet 2013

Le nouveau COSO

Le fait davoir utilis le guide dapplication a galement constitu un levier


interne. Cela nous a permis de mettre en
mouvement les propritaires de processus. Nous avons alors commenc par
les processus prsentant le plus denjeux
pour lentreprise, que ce soit en termes
deuros ou en termes de risques, savoir
la paie, les achats et les immobilisations.
Nous avions dans le cadre un guide
facile daccs, ce qui est important pour
apprhender ces processus qui sont
complexes pour une entreprise de la
taille de SNCF.
Aprs plus de 2 ans de travail, nous
avons atteint ainsi les objectifs fixs et
respectons notre tableau de marche.
Mme sil reste bien sr beaucoup
faire, nous estimons que nous avons
atteint un bon niveau de maturit dans
plusieurs domaines : lanalyse et la description des processus, lidentification
des points de contrle cls, la rdaction
de guides de contrle interne, la formation des acteurs, le dploiement de campagnes dauto-valuation auprs de
nombreux acteurs en entits mais aussi
en centres de services partags. Nous
pensons que le fait davoir choisi le
cadre AMF nous a aids ; les avantages
que nous pressentions se sont confirms
dans les faits.

La grande similitude COSO /


cadre de lAMF a t
dterminante
Mme si nous navons pas retenu le
COSO, la similitude COSO / cadre de
rfrence AMF a t pour nous un lment important. Dabord, nous avions
une garantie quil ny aurait pas de
contradiction. Nous utilisons le COSO
dans nos travaux internes la direction
de laudit et des risques de SNCF. Il reste
une rfrence essentielle pour benchmarker nos travaux daudit et former nos
auditeurs et/ou nos spcialistes de
contrle interne. Ne pas avoir cette
garantie de cohrence aurait risqu de

nous mettre en forte difficult voire de


lever des incomprhensions avec des
non spcialistes.
Notamment, il est important et rassurant de constater que les 5 composantes
du contrle interne sont les mmes
quelques carts minimes prs. La
logique est prserve : lorganisation / la
diffusion dinformation / le dispositif de
gestion des risques / les activits de
contrle / la surveillance. Pour nous cela
est essentiel. Il sagit principalement
dcarts de terminologie. Dailleurs,
lAMF disait en 2007 propos du
COSO : le groupe de place sest inspir
des cinq composantes du COSO mme si
lon ne retrouve pas lidentique, dans le
document de place, la terminologie utilise
par le rfrentiel amricain .
Certes le COSO est un bon guide et
donne beaucoup dexemples mais le
cadre de rfrence, comme nous lavons
vu plus haut, avec son questionnement
et son guide dapplication, est davantage
orient vers la mise en uvre ; le travail
dadaptation / transcription au contexte
de lentreprise savre relativement simple et ais.

Le new COSO :
un enrichissement pour nos
travaux
Nous nopposons pas le COSO et le
cadre de rfrence de lAMF. Nous prfrons y voir davantage une complmentarit. Pour nous, le COSO 2013 va
nous aider avoir un nouveau regard
sur le contrle interne et identifier des
pistes damlioration. Cest clairement
un enrichissement pour tous nos travaux.
Nous avons aussi besoin de continuit
dans les objectifs affichs. Nous avons
largement communiqu sur le fait quil
fallait que lenvironnement de contrle
et les 14 processus du guide dapplication sur le contrle interne de linforma-

juin-juillet 2013 - Audit & Contrle internes n215

Anne Bosche-Lenoir est directrice


de laudit et des risques du groupe
SNCF depuis avril 2013. Diplme
de lENA et de HEC, elle a occup
plusieurs postes la direction du
budget au ministre de lEconomie
et des Finances dont celui de sous
directrice en charge des Aaires
Europennes. Elle a galement t
Senior Banker la Banque Europenne pour la Reconstruction et le
Dveloppement (BERD), responsable du montage et du financement
de projets dans les secteurs publics
et privs en lien avec les banques
locales. Elle a ensuite t DGA
Finances, Audit et Contrle de gestion au Conseil Rgional dIle-deFrance dans une priode o le budget de la Rgion a cr de 70 % et les
eectifs ont t multiplis par six.
Raymond Marfaing, diplm de
lEcole Centrale de Paris, a exerc
dirents postes de responsabilit
SNCF dans les directions centrales, aux achats, lorganisation,
aux ressources humaines et dans la
direction rgionale de Paris-RiveGauche o il tait directeur dlgu gestion finances. Il a rejoint la
direction de laudit et des risques en
2001 comme chef de mission puis
comme directeur adjoint en charge
des risques et du contrle interne.

31

DOSSIER
Ces raisons font que dans limmdiat, il
est difficilement imaginable de revenir
sur le choix du cadre de rfrence de
lAMF.

SNCF - Troismille

LAMF doit prendre en compte


le COSO 2013

tion comptable et financire soient sous


contrle. Nous considrons que toute
volution de la cible serait un facteur de
fragilisation. Beaucoup dacteurs,
notamment les oprationnels, commencent bien comprendre ce quest le
contrle interne et ce quon attend
deux. Ils ne peroivent plus ce sujet
comme un sujet de spcialiste dans
lequel ils auront du mal entrer. La
continuit est essentielle pour nous.
En revanche, le COSO 2013, comme
nous venons de le dire est une source
denrichissement. On le voit bien la
lecture des thmes suivants :
la prise en compte des risques extrafinanciers ;
la mise en exergue du risque soustraitance ;

lidentification de 17 principes sur les


attentes en matire de contrle
interne ;
la prsentation de 81 points dattention avec pour chaque point des questions qui traduisent les grandes caractristiques des principes.
Pour nous cela est une aide prcieuse
mais surtout dans nos missions de responsable de la politique de contrle
interne, en tant quentit qui dfinit les
principes. En 2010, nous avons clairement dfini une priorit : tre
conforme AMF sur les 14 processus et
sur lenvironnement de contrle. Dans
un premier temps, cela doit constituer le
noyau dur de notre approche. Dans un
deuxime temps, nous travaillerons sur
les thmes autres que financiers.

Le COSO 2013 introduit des changements importants comme sur les valeurs
thiques, limportance de lintgrit sur
lesquels nous ne pouvons quadhrer.
Ce sont dailleurs des axes forts SNCF.
Le COSO 2013 pointe galement des
sujets de fond comme la RSE, larticulation des 3 lignes de dfenses, larticulation du tone at the top avec les comportements, la prise en compte des
sous-traitants
Ces volutions ne sont pas incompatibles avec le cadre de rfrence de lAMF.
En effet, la lecture approfondie du
cadre AMF, on voit que la partie II sur
les principes gnraux de gestion des
risques et de contrle interne portent
sur un primtre qui ne se limite pas au
domaine comptable et financier. Ce sont
les parties relatives au questionnaire et
au guide dapplication qui ciblent sur ces
domaines.
Compte tenu des apports du COSO
2013, il est important que le cadre de
rfrence de lAMF en tienne compte
tout en gardant son ct souple, agile et
facile daccs qui constitue pour nous
utilisateurs un atout et une attente.

Le groupe SNCF fin 2012 : 5 branches / 33,8 milliards de chire daaires


SNCF INFRA

32

SNCF PROXIMITS

SNCF VOYAGES

Gestion, exploitation,
maintenance du rseau
pour RFF et ingnierie
dinfrastructure

Services de transport
Transport ferroviaire de
public urbain, priurbain voyageurs grande
et rgional pour les
vitesse
voyageurs du quotidien Europe (France, Espagne,

Activit en France + ingnierie


en Europe, Asie, Moyen-Orient,
Afrique, Amriques

TER, Transilien et Intercits en


France, Trains dEquilibre du Territoire (TET) Keolis en France,
Europe, USA, Canada et Australie

Royaume-Uni, Belgique, Paysbas, Allemagne, Autriche, Suisse


et Italie)

5,5 Mds (15%)

12,8 Mds (35%)

7,5 Mds (20%)

SNCF GEODIS

GARES & CONNEXIONS

Oprateur global multimodal de transport et


logistique de marchandises

Gestion et dveloppement des gares (indpendamment de lactivit de transporteur)

120 pays
5 continents

3 000 gares franaises et activit de lAREP au niveau international

9,5 Mds (26%)

1 Md (4%)

Audit & Contrle internes n215 - juin-juillet 2013