Vous êtes sur la page 1sur 18

DOSSIER

Le nouveau COSO
et ses 17 principes fondateurs
pour un contrle interne ecient

16 Plaidoyer pour des principes justes et pertinents :


Comment donner du sens aux systmes de contrle
interne ?
Batrice Ki-Zerbo

22 Le COSO 2013 : une mise jour du rfrentiel


dorigine pour mieux matriser les volutions
Serge Villepelet

25 Le COSO 1992 est mort, vive le nouveau COSO


Laurent Arnaudo

29 Le COSO 2013 et le cadre de lAMF ne sexcluent ni ne


sopposent, ils sont complmentaires
Anne Bosche-Lenoir et Raymond Marfaing

juin-juillet 2013 - Audit & Contrle internes n215 15


DOSSIER

Plaidoyer pour des principes


justes et pertinents :
Comment donner du sens aux
systmes de contrle interne ?
Batrice Ki-Zerbo - Directeur de la Recherche, IFACI

L
a mise jour du rfrentiel tions purement formels dpourvus de prsident du COSO ont t suivis def-
COSO de contrle interne est sens ou sans ressources adquates. Au fet. En effet, les 17 principes de la nou-
formellement caractrise par moindre incident, ce vernis de faade ne velle version du rfrentiel de contrle
lexplicitation de 17 principes compl- tardera pas se craqueler mettant ainsi interne sinspirent visiblement de ces 20
ts par des points dattention et des mal la confiance au pouvoir de trans- principes initiaux. Leur rdaction gagne
illustrations. Cette version 2013 est donc formation du contrle interne. Les fos- nanmoins en clart et met en exergue
plus prcise et plus aise actionner. soyeurs du contrle interne ne se les points dattention. Un aperu en est
Loin dtre des a priori thoriques et demanderont jamais si les fondations de donn dans le tableau ci-aprs.
intemporels, ces principes bnficient de ldifice pimpant qui leur tait prsent
plusieurs dcennies de pratiques du taient rellement robustes. Ces principes sont dvelopps dans le
contrle interne et de gestion des document de rfrence (Framework) et
risques. Lide de recourir des principes fonda- illustrs dans deux documents compl-
teurs pour une saine gestion nest pas mentaires (llustrative Tools et Internal
Cet article a bnfici des changes fruc- nouvelle. En 1916 dj, Fayol proposait Control over External Financial Reporting).
tueux au sein des groupes de recherche 14 principes gnraux dadministration Elments fondateurs et incontournables
de lIFACI ; en particulier celui qui avait dont la plupart nont rien envier ceux de la conception, de la mise en place et
t constitu dans le cadre de la consul- proposs par le COSO. Cet ingnieur du fonctionnement de tout systme de
tation publique lance par le COSO en des mines est reconnu pour son prag- contrle interne ayant lambition de
2012. matisme. Il avait galement une vise contribuer la performance dune orga-
Impossible de rsumer ici toute la universelle de ses principes quil propo- nisation ; ces principes ont isolment
richesse de ce rfrentiel dont des pro- sait dappliquer ladministration porteur de sens. Nanmoins, leur pou-
fessionnels chevronns nous ont avou publique. voir de transformation ne sexprimera
quil mritait le dtour. Nous vous pro- Plus proche de nous, Larry Rittenberg rellement que dans une mise en uvre
posons donc un survol orient vers ce (2007) prsentait les 20 principes du concerte. Les principes ne sont donc
qui nous semble tre fondamental pour rfrentiel COSO for smaller public com- pas une fin en soi, cette nouvelle dition
un contrle interne efficace : la qualit panies comme un moyen de rendre plus permet de sen servir pour sassurer de
de l environnement de contrle et du accessibles les fondamentaux dun la cohrence globale du systme par une
pilotage . Ces composantes sont contrle interne efficace aux managers mise en lumire des interactions entre
pourtant les laisses pour compte des de socits cotes de taille moyenne. Il composantes. Il est dailleurs dommage
chantiers de contrle interne. Dans le notait que ces principes taient tout que lillustration sous forme de cube ne
meilleur des cas, elles sont exaltes lors fait adapts pour les autres types dor- rende pas mieux compte de cette inter-
de grandes messes suivies de plans dac- ganisations. Les constats de lancien pntration des composantes. Cest

16 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

Environnement de contrle 1. L'organisation dmontre son engagement en faveur de l'intgrit et de valeurs


thiques.
2. Le conseil dadministration fait preuve d'indpendance vis--vis du management. Il
surveille la mise en place et le bon fonctionnement du systme de contrle interne.
3. La direction, agissant sous la surveillance du conseil dadministration, dfinit les
structures, les rattachements, ainsi que les pouvoirs et les responsabilits appropris
pour atteindre les objectifs.
4. L'organisation dmontre son engagement attirer, former et fidliser des collabora-
teurs comptents conformment aux objectifs.
5. L'organisation instaure pour chacun un devoir de rendre compte de ses responsabili-
ts en matire de contrle interne.

Evaluation des risques 6. L'organisation spcifie les objectifs de faon susamment claire pour permettre l'identifi-
cation et l'valuation des risques associs aux objectifs.
7. L'organisation identifie les risques associs la ralisation de ses objectifs dans l'ensemble
de son primtre de responsabilit et elle procde leur analyse de faon dterminer
les modalits de gestion des risques appropries.
8. L'organisation intgre le risque de fraude dans son valuation des risques susceptibles de
compromettre la ralisation des objectifs.
9. L'organisation identifie et value les changements qui pourraient avoir un impact signifi-
catif sur le systme de contrle interne.

Activits de contrle 10. L'organisation slectionne et dveloppe les activits de contrle qui contribuent
ramener des niveaux acceptables les risques associs la ralisation des objectifs.
11. L'organisation slectionne et dveloppe des activits de contrle gnral en matire de
systme dinformation pour faciliter la ralisation des objectifs.
12. L'organisation met en place les activits de contrle par le biais de directives qui prcisent
les objectifs poursuivis, et de procdures qui mettent en uvre ces directives.

Information et 13. L'organisation obtient ou gnre puis utilise des informations pertinentes et de qualit
communication pour faciliter le fonctionnement des autres composantes du contrle interne.
14. L'organisation communique en interne les informations ncessaires au bon fonctionne-
ment des autres composantes du contrle interne, notamment en ce qui concerne les
objectifs et les responsabilits associs au contrle interne.
15. L'organisation communique avec les tiers au sujet des facteurs qui aectent le bon fonc-
tionnement des autres composantes du contrle interne.

Pilotage 16. L'organisation slectionne, met au point et ralise des valuations continues et/ou ponc-
tuelles afin de vrifier si les composantes du contrle interne sont bien mises en place et
fonctionnent.
17. L'organisation value et communique les faiblesses de contrle interne en temps
voulu aux responsables des mesures correctrices, notamment la direction gnrale et au
conseil dadministration.

Aperu des 17 principes proposs par le COSO (Traduction non ocielle)

cette dynamique qui fonde lefficacit de uvre module selon des critres tels - la qualit du processus de dfini-
lensemble du systme de contrle que : tion des objectifs et de lapptence
interne. Comme nous le verrons, sans ce la taille de lentit ; pour les risques ;
mouvement densemble impossible de lautonomie (groupe vs filiale) ; la comptence des collaborateurs (qui
faire jouer au contrle interne son rle la complexit des oprations ; dterminera par exemple les modali-
de traduction des options de gouver- la maturit des systmes de gestion ts et les objectifs de supervision).
nance et de gestion des risques dans des risques et de gouvernance. En
les mtiers. particulier : Comme pour lensemble de cette mise
- limplication des organes dlib- jour, la nouveaut se dcouvre dans
Dire que tous les 17 principes sont rants et excutifs ; une lecture attentive. Si ces trois objec-
indispensables nexclut pas une mise en - la formalisation des valeurs ; tifs sont connus, le COSO 2013 en tend

juin-juillet 2013 - Audit & Contrle internes n215 17


DOSSIER

la porte et nous alerte sur leur imbrica- Le principe 2 met laccent sur lind- gique des ressources sappuie bien sr
tion : pendance du conseil dadministra- sur des politiques et des procdures
Les objectifs oprationnels concer- tion vis--vis du management. Pour ce mais celles-ci ne doivent pas empcher
nent l'efficacit et l'efficience des op- faire, le conseil dispose-t-il des comp- toute ractivit notamment par rapport
rations. Au-del de la performance tences et de lexpertise adquate ? Les aux besoins futurs.
oprationnelle et financire, le COSO administrateurs sont-ils effectivement Dans ses dveloppements sur lvalua-
y inclut explicitement la protection conscients de leurs responsabilits en tion et la rmunration, ce principe est
des actifs. matire de contrle interne ? Exercent- galement reli au principe 1. Ils sont
Les objectifs de reporting sont spci- ils une surveillance approprie chaque empreints des travaux sur la justice
fis : il sagit la fois de la communi- phase du processus de contrle interne organisationnelle qui selon Langevin et
cation interne et externe dinforma- (conception, mise en uvre, pilotage)? Mendoza (2013), favorise la satisfaction
tions financires et extra-financires. Le rfrentiel aide trouver des l- au travail, ladhsion la politique de
Outre llargissement du champ, il ments de rponses ces questions qui lentreprise, la rsolution des conflits et
nous est recommand de ne pas nous sont loin dtre binaires. Ainsi, des les comportements civiques. Ces trois
cantonner la fiabilit mais dtre exemples dimplication du conseil derniers objectifs sont explicitement lun
galement attentif aux attentes des dans le suivi de chaque composante des enjeux des composantes environ-
destinataires internes et externes sont donns. nement de contrle et pilotage du
notamment en termes de dlais et de COSO (2013). Classiquement, la justice
transparence. Le principe 3 rappelle ce qui peut para- organisationnelle sentend selon trois
Les objectifs de conformit pren- tre tre le B.A-BA du contrle interne : approches :
nent une place de plus en en impor- Dfinir clairement les pouvoirs et res- la justice distributive qui sintresse
tante du fait de la multiplication des ponsabilits, assurer la sparation des lexplicitation des critres dallocation
lois et rglements applicables aux tches notamment travers le systme des ressources et des rcompenses ;
organisations. Ils sont sous-tendus dinformation. Pourtant, cette vidence la justice procdurale qui met laccent
par les deux autres catgories dobjec- est loin dtre une ralit dans toutes sur les conditions de cette allocation.
tifs et vice-versa. les organisations. Si tant est que la Est-elle :
rpartition formelle des pouvoirs et res- - pertinente (en temps opportun,
Selon les organisations, la place accor- ponsabilits a t effectue chaque individualise) ?
de chacune des trois catgories dob- chelon de la ligne hirarchique, il res- - sans biais ?
jectifs pourra galement tre module. tera sassurer quils sont tout aussi clai- - fonde sur des informations fia-
Cet impratif de modulation montre que rement dfinis au niveau des diffrentes bles ?
les bnfices de cette nouvelle version instances de gouvernance (comits - rvisable (possibilit de faire appel
rsultent ncessairement dune appro- manations du conseil, comits mana- et de corriger les injustices) ?
priation fine et personnalise de son griaux), dans les relations entre chaque - quilibre (prise en compte de
contenu quil est impossible de rsumer entit lgale, dans le rseau de distribu- toutes les parties concernes) ?
en quelques pages. tion et avec les prestataires. De plus, - conforme des valeurs thiques et
pour reprendre les mots de Fayol, en morales ?
Les lments proposs ci-dessous sont anglais dans son texte, la dfinition des la justice interactionnelle qui interroge
prendre comme autant de points de rles naura de sens quavec the right la nature des relations interperson-
dpart possibles de cette appropriation. man in the right place . nelles pendant la mise en uvre des
procdures.
Lenvironnement de contrle Ainsi le principe 4 est clairement li au
principe prcdent. Il prsente une Il nest pas inutile de rappeler limpor-
Selon le principe 1, intgrit et valeurs vision dynamique dun lment cl de tance de la beaut du geste dans des
thiques sont fixes par les instances lefficacit de toute organisation, la prise organisations qui ont tendance rduire
dirigeantes, elles-mmes exemplaires en en compte des hommes et des femmes leur fonctionnement des squences de
la matire. Pour tre comprises tous qui la font fonctionner. Il ne sagit pas procdures et subissent donc une recru-
les niveaux, elles doivent tre explicites seulement demployer des ressources descence du mal-tre au travail.
dans lorganisation mais galement aux qui seraient disposition et inertes. Il
prestataires et aux partenaires. Le faut pouvoir tre en capacit dattirer, Le principe 5 sera galement difficile
niveau dadhsion ces valeurs est vri- de dvelopper et de maintenir des appliquer sans un minimum de justice
fi et des dcisions effectivement mises comptences en lien avec les objectifs organisationnelle favorisant une adh-
en uvre en cas dcart. de lorganisation. Cette gestion strat- sion au devoir de rendre compte. Il est

18 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

reli aux autres principes de lenviron- dbut de cet article. Elle dtermine lef- la moins innovante du nouveau rfren-
nement de contrle (valeurs de rf- ficience du systme de contrle interne tiel. Sans doute parce quelle est inh-
rence et propice la confiance, instances par la prise en compte dindicateurs de rente toute forme dorganisation. Et
dirigeantes jouant leur rle, responsabi- performance oprationnelle et finan- pourtant, cette approche pourra gale-
lits clairement dfinies, comptences et cire appropris et la correcte allocation ment tre matire progrs. Par exem-
pouvoir de rendre compte). Il sappuie des ressources. ple, ces activits visent-elles un niveau
galement sur la robustesse des compo- acceptable des risques ? Ces seuils sont-
santes information et communica- Le rfrentiel de contrle interne envi- ils clairement dfinis dans toutes les
tion et pilotage . Ce principe reflte sage les risques sous langle des organisations ? Dans laffirmative le
la maturit croissante des systmes de menaces latteinte des objectifs ; ce sont-ils par les instances appropries (cf.
contrle interne qui ne se limitent plus nest pas pour autant quil ignore le fait principe 2 et 3) ? Veille-t-on retenir
la matrise des activits. En tant que que les organisations doivent galement une combinaison optimale des diff-
systme de pilotage de la performance, saisir des opportunits. Nanmoins rentes catgories de contrle (automa-
le contrle interne ncessite une infor- celles-ci ne sont pas directement gres tiques vs. manuels / prvention vs.
mation ascendante qui avait peut-tre par le systme de contrle interne. dtection) au regard des risques ma-
t un peu passe sous silence sous le Elles doivent dabord tre triser ?
poids du tone at the top. Sans devoir de analyses dans le cadre
rendre compte, impossible galement de du systme de ges- Le principe 11 rap-
diriger des entreprises de plus en plus tion des risques. Si pelle des lments
tendues, soumises la pression de par- elles sont confir- Lun des atouts dune bonne gou-
ties prenantes qui ne cessent de clamer mes par les de ldition de 2013 vernance des sys-
leur droit linformation. Une organisa- directives des tmes dinforma-
tion qui naura pas su anticiper ces instances diri- est de clarifier les limites tion. Il invite les
besoins pourra tre mise mal. Le geantes, elles du systme de contrle interne professionnels du
devoir de rendre compte ne sera bn- deviennent contrle et de
pour mieux lactionner
fique que sil ne rduit pas les acteurs explicitement des laudit internes
un statut de simples metteurs dindica- objectifs dont le sintresser des
teurs. Cest seulement sils sont respon- contrle interne domaines qui leur sont
sabiliss et srs que leurs messages contribuera la ralisation. moins familiers tels que lin-
seront suivis deffets, que les acteurs Lun des atouts de ldition de frastructure ou la scurit. Ils consti-
pourront vritablement tirer profit de ce 2013 est de clarifier les limites du sys- tuent pourtant des zones risques par-
mcanisme en le mettant au service de tme de contrle interne pour mieux ticuliers lre de linformatique mobile
lamlioration continue. lactionner. et du cloud computing.
Outre les tapes classiques didentifica-
Evaluation des risques tion et danalyse des risques pour la Le principe 12 permet dviter des acti-
mise en uvre des mesures de traite- vits de contrle dpourvues de sens. Il
Cest loccasion ici de rappeler que cette ment appropris, la nouvelle formula- fait le lien avec les composantes envi-
nouvelle publication nest pas un tion de la composante valuation des ronnement de contrle (il est question
COSO 3 qui viendrait remplacer le rf- risques met clairement laccent sur le de directives, de responsabilits et de
rentiel Entreprise Risk Management , risque de fraude (principe 8) et la nces- devoir de rendre compte, de personnel
plus connu en tant que COSO 2. Une sit dadapter le systme aux change- comptent, dactions correctives),
partie de la publication de 2013 est dail- ments significatifs (principe 9). Sil est information et communication
leurs consacre la complmentarit assez classique de sintresser aux chan- (indispensables pour une mise en uvre
entre les deux rfrentiels. Les objectifs gements significatifs dans lenvironne- en temps opportun) et bien sr de
et les seuils de tolrance dfinis par le ment externe comme menaces poten- pilotage (avec lvaluation prio-
management dans le cadre du systme tielles, il sagit dtre galement vigilants dique des activits de contrle et leur
de gestion des risques sont des donnes face des changements de business mise jour ventuelle).
dentre du systme de contrle interne. model ou de dirigeants.
Si le lien avec la composante valua- Information et communication
tion des risques semble tre le plus Activits de contrle
naturel, larticulation avec le systme de Dsormais, les technologies permettent
gestion des risques permet de russir la Une lecture rapide des principes 10 12 de gnrer et de diffuser des milliers de
modulation des principes voque au pourrait laisser penser que cest la partie donnes en interne ou en externe.

juin-juillet 2013 - Audit & Contrle internes n215 19


DOSSIER

Dterminer celles qui sont vraiment nentes dans les processus mtiers) ; Les rdacteurs ont russi le pari dtre
pertinentes ; y accder en toute lgalit flexibilit (primtre et rythme des suffisamment gnrique pour une utili-
et les traiter de manire efficiente valuations priodiques) ; sation dans diffrents contextes tout en
constitue un enjeu de gouvernance. objectivit (des valuations prio- donnant plusieurs pistes pour le
diques) ; dploiement de systmes de contrle
Le principe 14 permet dorganiser le comptence. Ainsi, la description des interne justes. Bien que tombe en
systme de contrle interne selon le rles et responsabilits des auditeurs dsutude nous prfrons nous rfrer
sens donn au niveau de lenvironne- internes est conforme aux normes cette notion de justice plutt que din-
ment de contrle et en fonction des professionnelles IIA. voquer le bon sens . En effet, elle
signaux des composantes valuation recouvre plusieurs caractristiques dun
des risques ; activits de contrle Le principe 17 est celui de la boucle de systme de contrle interne efficace qui
et pilotage . Sans communication retour. Le mcanisme nest pas nouveau se doit dtre : raisonn, intgre, ad-
interne adquate (en termes de dlais, mais la mise jour nous invite dpas- quat, raisonnable, pertinent, exact, pr-
de destinataires, de contenu) difficile ser une dmarche incrmentale pour cis
dassumer ses responsabilits en une vision globale. En effet, le manage-
matire de contrle interne. Deux ment et le conseil dadministration doi- Le document nintgre sans doute pas
canaux de communication sont particu- vent disposer de linformation adquate assez une vision plus positive des per-
lirement dtaills : celle qui concerne le pour dcider des actions correctives en sonnes qui ne sont pas tous des frau-
conseil dadministration et celle qui peut temps opportun et suivre leur mise en deurs en devenir. Le jugement du
tre mobilise dans des circonstances uvre. management est clairement mis en
exceptionnelles (par exemple les lignes avant mais un lecteur non avis ne sera
dalerte thique). De plus, les principes prcdents et en pas forcment sensibilis aux variables
particuliers ceux de lenvironnement de culturelles (et non pas uniquement
Le principe 15 concernant la communi- contrle nont de sens que sils sont sur- structurelles) du contrle interne. Il est
cation externe tient compte de la mul- veills et que des actions sont effecti- pourtant indispensable davoir
tiplication des interlocuteurs externes vement mises en uvre en cas conscience de ces asprits pour ne pas
(actionnaires, analystes, rgulateurs, dcart (modification de la cible ou du se bercer de lillusion dun contrle
clients, fournisseurs, associations) plan de matrise). interne sans failles (cf. Atwood et al,
ayant parfois des centres dintrt diff- 2012).
rents. Au-del, de la matrise des mes- * *
sages de lorganisation notamment * Bref, un vaste programme pour les
concernant la fiabilit du contrle managers, une opportunit dinnovation
interne, nous sommes invits contri- En conclusion, lide de sappuyer sur pour les professionnels de laudit et du
buer une exploitation efficace de la des principes pour la bonne marche contrle internes, et de nouveaux chan-
communication entrante. Il sagira par dune organisation nest pas nouvelle. tiers pour la recherche commencer par
exemple de sassurer de ladquation Nanmoins loriginalit de la proposi- lactualisation de nos publications sur le
des moyens, de la conformit des pro- tion du COSO vient de larticulation contrle interne. Je pense en particulier
cessus ou de la pertinence des donnes. dynamique de plusieurs axes. Il permet aux cahiers de la recherche sur La cra-
ainsi de viser, avec la mme approche, tion valeur par le contrle interne , Des
Pilotage plusieurs objectifs et de grer leur inter- cls pour la mise en uvre et loptimisation
connexion. Il est plus ais didentifier les du contrle interne , Les variables cultu-
Le principe 16 a le plus grand nombre domaines sous contrle et les zones de relles du contrle interne accessibles sur
de points dattention. Ils peuvent tre faiblesses pour prioriser les actions. notre site internet mais qui mriteront
rsums par des mots cls tels que : Nous avons pu mettre en vidence des dtre revisits pour profiter des propo-
quilibre (entre valuations perma- rsonnances entre principes et compo- sitions particulirement intressantes du
nentes et priodiques). En pratique santes. Toutes les composantes ressor- COSO.
cette complmentarit pourra se fon- tent grandies de cette mise jour. Celles
der sur le modle des trois lignes de relatives lvaluation des risques et aux
dfense ; activits de contrle bnficient des
adaptation ( ltat du systme, au avances de lERM. Les formulations et
rythme des changements dans lenvi- illustrations des trois autres compo-
ronnement et dans les mtiers) ; santes devraient en faciliter ladoption.
intgration (des valuations perma-

20 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

Rfrences bibliographiques

Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37
COSO. 2006. Internal Control over Financial Reporting Guidance for Smaller Public Companies
COSO. 2013. Internal Control Integrated Framework, llustrative Tools for Assessing Eectiveness of a System of
Internal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches
and examples. Traduction paratre
Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence socitale, PRESAJE, Dalloz
Fayol H. 1962. Administration industrielle et gnrale Prvoyance, organisation, commandement,
coordination, contrle, Dunod 151p
IFACI et PWC. 2005. Le management des risques de lentreprise. Editions Eyrolles. Traduction de Entreprise Risk
Management publi en 2004 par le COSO
Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrle ? Revue Comptabilit Contrle Audit,
tome 19, vol.1, pp 33-58
Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal of
Accountancy (March): 46-50
Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performance
and commitment, Harvard Business Press
Tysiac, K. 2012. Internal control revisited. Prominent COSO ocials discuss proposed updates to framework. Journal
of Accountancy (March): 24-29

juin-juillet 2013 - Audit & Contrle internes n215 21


DOSSIER

Le COSO 2013 : une mise jour


du rfrentiel dorigine pour
mieux matriser les volutions

Les piliers du nouveau COSO 2013 restent les mmes que ceux du COSO 1992.
Cependant, les volutions des vingt dernires annes ont ncessit des prises en
compte dexigences nouvelles la hauteur des nouveaux enjeux. Le COSO 2013 ras-
semble des perspectives plus larges que celles des organismes fondateurs qui sont
des organisations comptables et financires ; sa vocation est bien dtendre son
application au-del de ce qui est comptable et financier.

Serge Villepelet : Il sagit en effet Les principales nouveauts sont donc :


essentiellement dune mise jour plutt 1. Llargissement du domaine dappli-
que dune refonte. Notamment, la dfi- cation au-del du reporting financier
nition, les composantes et les concepts (par ex. : responsabilit sociale et
cls restent les mmes que ceux du rf- environnementale).
Serge Villepelet rentiel dorigine qui date de 1992. Ceci 2. Le renforcement des attentes en
tant, il est ncessaire de reconnatre matire de gouvernance (par ex. : les
Prsident, PwC France
limpact des volutions de ces 20 der- rles des comits et lalignement
nires annes en matire de technologie avec le business model).
(par exemple : la cyber criminalit), dex- 3. La gestion des collaborateurs cls au
Le nouveau COSO ternalisation, dattentes plus fortes en contrle interne (par ex. : la direction
matire de transparence, et bien dau- gnrale).
Louis Vaurs : Le COSO 1 sur le contrle tres. Toutes ces volutions ncessitent 4. Larticulation des 3 lignes de
interne vient de faire lobjet dune mise plus dagilit et de rsilience de la dfense dans lorganisation (
jour publie le 14 mai 2013 aux Etats-Unis. part des entreprises pour faire face de savoir les oprationnels, les fonc-
Pouvez-vous indiquer nos lecteurs les rai- tels enjeux. tions support et laudit interne).
sons qui ont pouss le Committee of 5. Le rapprochement entre risque, per-
Sponsoring Organisations procder Cest par le biais de 17 principes struc- formance et rmunration (notam-
cette mise jour : turants que le COSO 2013 dfinit les ment lun des principes portant sur
Sagit-il dune simple mise jour ou lments essentiels en matire de la responsabilisation pour le
dune refonte ? contrle interne pour aider les organisa- contrle interne).
De quels lments se compose le nouveau tions quels que soient leur taille ou 6. Larticulation du tone at the top
package ? leur domaine dactivit faire face avec les comportements travers
Quelles en sont les principales nouveau- dans un monde qui devient de plus en lentreprise ( tone in the middle ).
ts ? plus complexe. 7. La prise en compte des sous-trai-

22 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

tants / autres intervenants cls (par Au cours de ce projet dlaboration du COSO 3. Il ne remplace pas non plus le
ex. : leur adhsion au code de rfrentiel COSO 2013, le COSO a COSO 2 qui est consacr au management
conduite, respect des contrles au- obtenu lapport de bien dautres : des risques de lentreprise. Est-il envisag
del du reporting financier). 1) au dbut du projet, une enqute a toutefois un toilettage du COSO 2 ?
8. Lexigence de ladaptabilit et lad- t lance depuis le site du COSO,
quation du dispositif par rapport annonc par divers communiqus S. V. : Une rvision du rfrentiel portant
lvolution de lentreprise (telles que de presse, et collectant plus de 700 sur lERM nest pas envisage ce stade.
de nouveaux processus, rles, struc- rponses travers le monde ; au- A cet effet, deux sujets ont t longue-
tures, SI, CSP, primtre dactivit, del des 35 % de voies issues du ment dbattus :
etc.). monde comptable et financier, les 1) Lintgration CI et ERM, mais le
rponses provenaient largement des march semblait globalement ne pas
L. V. : Depuis toujours, PwC est directement fonctions de la gestion de risques, de vouloir un amalgame des deux
associ llaboration de ce rfrentiel. Quel la conformit, des oprations, de lIT, concepts. Le contrle interne est
est plus prcisment son rle ? de la RSE, et dautres ; dfini comme tant une sous-partie
2) une consultation publique sur le de lERM (labor en annexe G du
S. V. : En effet, le COSO nous avait sol- rfrentiel recueillant plus de 200 rfrentiel COSO 2013).
licit pour crire le rfrentiel sur le rponses ;
contrle interne de 1992 ainsi que lEn- 3) puis, une dernire consultation
terprise Risk Management en 2004 et bon publique portant sur lensemble des
nombre dautres lments de thought publications COSO 2013 recueillant
leadership que nous avons labor encore une bonne cinquantaine de
ensemble. Nous avons une relation de rponses, avec un dcoupage dmo-
travail continue fonde sur un change graphique similaire.
en continu par rapport aux volutions
pour pouvoir ensemble livrer au march Le COSO 2013 a donc bien pour voca-
des rflexions pertinentes et des rf- tion dtendre son application au-del
rentiels qui apportent de la valeur aux de ce qui est comptable et financier.
entreprises. Cest ainsi que nous tra-
vaillons depuis toujours troitement L. V. : LAMF a labor deux cadres de rf-
avec le COSO. rence de contrle interne, lun pour les soci-
ts dune certaine importance, lautre pour
L. V. : Le Committee of Sponsoring les valeurs moyennes et petites. A qui plus
Organisations est compos essentiellement particulirement le COSO 1 nouveau
dorganisations comptables et financires sadresse-t-il ?
alors que le cadre de rfrence de lAMF a
t labor avec un groupe de Place o S. V. : Le COSO 1 nouveau intgre ces 2) La mise jour en parallle du rf-
lAFEP / MEDEF ont jou un rle non deux visions. Il met jour non seule- rentiel ERM, mais son contenu et
ngligeable. Nest-ce pas un handicap pour ment le rfrentiel de 1992 mais aussi son articulation avec le contrle
le COSO qui a voulu laborer un rfrentiel celui de 2006 Guidance for Smaller interne, en particulier le COSO
de contrle interne oprationnel ? Public Companies moins connu en 2013, sont vus comme tant toujours
France car il navait pas t traduit en valables aujourdhui. Le COSO 2013
S. V. : Le COSO rassemble des perspec- langue franaise. Le COSO 2013 vient intgre toutefois les lments du
tives bien plus larges que celles de ces donc remplacer ces deux documents car rfrentiel ERM de 2004 sur les
organismes fondateurs qui sont, certes, il sappuie en premier lieu sur des prin- sujets pertinents au contrle interne.
des organisations comptables et finan- cipes applicables toute taille dorgani-
cires (pour rappel : American Institute of sation, et en second lieu met en avant Le COSO continue donc apporter des
Certified Public Accountants, American des spcificits particulires aux plus rflexions sur ces sujets, mais davantage
Accounting Association, Financial Execu- petites structures travers le rfrentiel, en matire dclairages sur la pratique
tives International, Institute of Internal ses approches et ses exemples. que sur les fondements des rfrentiels
Auditors, et Institute of Management de 2004 et 2013 ce stade.
Accountants). L. V. : Le COSO 1 nouveau nest pas un

juin-juillet 2013 - Audit & Contrle internes n215 23


DOSSIER

Auditeurs internes vs L. V. : Quelles sont les conditions qui pour- dernires annes sous limpulsion de
commissaires aux comptes raient permettre aux CAC de sappuyer sur nouvelles rglementations, le dploie-
les travaux des auditeurs internes ? ment de nouveaux outils informatiques
L. V. : La coordination des travaux entre et linternationalisation des implanta-
auditeurs internes et commissaires aux S. V. : Tout dabord il faut bien videm- tions gographiques.
comptes prvue par les normes de lIIA ment que les sujets daudit aient port
savre indispensable. Comment concrte- sur des thmatiques qui apporteront du Pour que laudit interne puisse livrer des
ment cette coordination sopre-t-elle sur le confort au CAC pour sa mission. En travaux de qualit savoir une assu-
terrain ? effet, souvent une part importante des rance raisonnable sur les processus
travaux des auditeurs internes porte sur audits mais galement des lments de
S. V. : Cette coordination passe par une des processus trs oprationnels, de benchmark et des ides pour amliorer le
grande transparence mutuelle de ces lamlioration de processus, des dues fonctionnement des processus il
deux instances sur la nature et le pri- diligences devient quasiment impossible de se pas-
mtre de leurs travaux. Il est fondamen- ser dexperts pour raliser les audits
tal que les commissaires aux comptes Il faut ensuite que laudit internes. Force est de consta-
disposent dune vision prcise des tra- interne dmontre une ter quil est trs difficile
vaux raliss par laudit interne qui forte indpendance pour les dparte-
concernent la revue du contrle interne vis--vis du mana- ments daudit
comptable et financier. gement et pour interne de main-
cela il faut sat-
Il devient quasiment tenir des comp-
L. V. : Comment, selon vous, cette coordina- tacher com- impossible de se passer tences spciali-
tion devrait-elle sorganiser ? prendre quelles dexperts pour raliser les ses et de trs
sont ses lignes haut niveau dans
audits internes
S. V. : Jidentifie immdiatement les l- relles de repor- tous les domaines
ments suivants : changes sur le plan ting et dinfluence. (par ex. : valorisa-
daudit interne et externe, organisation tion, modlisation,
de rendez-vous rguliers de partage Enfin, il faut avoir une technologie, etc.). Nan-
dinformation, transmission des rap- certaine assurance quant la moins, la prsence des audi-
ports daudit qui concernent le contrle qualit des travaux produits par laudit teurs internes reste une ncessit forte
interne. interne et pour cela une revue de leur car ceux-ci sont garants de la mthodo-
organisation, outils et livrables est une logie daudit, connaissent les enjeux de
Au del de ces lments, il est vident faon simple de se constituer une opi- lentreprise, les contingences politiques
que le comit daudit qui est en troite nion. et peuvent assurer la mise en perspec-
relation avec les commissaires aux tive et la transversalisation des conclu-
comptes et les auditeurs internes a un Sous-traitance de laudit sions.
rle majeur jouer pour encourager et interne
faciliter les changes. Ces comits dau- Alors oui, il faut maintenant penser la
dit seront dailleurs les premiers bnfi- L. V. : Avant les grands scandales compta- cotraitance tout en disposant dun
ciaires dune communication accrue bles et financiers de la fin des annes 90 et dpartement daudit interne senior et
entre ces deux instances de contrle car des premires annes 2000, lexternalisation sponsoris par la direction gnrale !
ils en retireront une vision beaucoup de laudit interne tait en vogue aux Etats-
plus intgre de la gestion des risques Unis mais avait peu touch la France. On Pour les socits de tailles infrieures le
de lentreprise. parle actuellement davantage de co-sour- problme est diffrent : la sous-traitance
cing. Comment voit-on chez PwC la coop- reste un modle bien adapt car il per-
Enfin, les oprationnels eux aussi bn- ration avec les services daudit interne ? met lentreprise de disposer daudi-
ficieront dune meilleure coordination teurs internes professionnels avec des
entre les commissaires aux comptes et S. V. : La cotraitance est quasiment structures dquipe adaptes chaque
laudit interne en vitant que des mis- devenue une ncessit pour laudit mission, incluant les bons experts.
sions similaires soient ralises par les interne.
deux organes de contrle. En effet, les processus des entreprises se
sont considrablement complexifis ces

24 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

Le COSO 1992 est mort,


vive le nouveau COSO

Le COSO 1992 a fait son temps. Il sera remplac par le COSO 2013 la fin de lanne
2014. Reconnaissons tout de mme que le COSO 1992 a permis de franchir une
tape supplmentaire et de renforcer les dispositifs existants ; il nous a conforts
sur les directions prendre en matire de contrle interne ; il a permis de sattaquer
aux vrais sujets. Lobjectif du COSO 2013 est de rduire les risques, accrotre la confor-
mit aux lois, politiques et procdures et renforcer les systmes de contrle interne.
Cest un beau programme.

Il est vrai quil a fait son temps, ce rf- et de laudit internes, le conseil du
rentiel du contrle interne. Envisag ds COSO a dj identifi et mme prsent
1985 par The Committee of Sponsoring son successeur : le fabuleux COSO 2013.
Organizations of the Treadway Commission Il est tout jeune et a beaucoup de
(COSO) , il ne fut publi quen 1992. A bonnes ides. Il est n le 14 mai 2013.
Laurent Arnaudo cette poque, il ne fut utilis, en France,
que par un certain nombre de grands Pour tous ceux qui ont mis en place le
Senior vice-prsident audit interne
groupes prsents linternational. Il COSO version 1992 dans leur entre-
groupe, Sodexo
gagna rellement ses lettres de noblesse prise, il y a eu de vrais changements. Ce
avec larrive du Sarbanes-Oxley Act et rfrentiel a permis de franchir une
de la Loi de Scurit Financire, dans les tape supplmentaire et renforcer les
annes 2000. Cest alors devenu le rf- dispositifs existants. Il nous a donn un
rentiel incontournable, que de nom- cadre et surtout, il nous a confort sur

V
oici une phrase bien connue que breuses entreprises ont souhait suivre les directions prendre en matire de
lon proclame lors de lavne- et mettre en avant dans leur document contrle interne :
ment dun nouveau monarque. de rfrence. en mettant des mots derrire des
Cest exactement ce qui nous arrive dans On a bien essay de lui redonner un contrles que nous avions dj iden-
le royaume du contrle et de laudit petit coup de jeune partir de 2006, avec tifis, le COSO a apport une struc-
internes car, depuis quelque temps, la publication de deux documents, mais ture nos matrices de risques et de
nous avons appris que notre Grand Roi, aujourdhui, il est sous respiration arti- contrles existants ;
le COSO 92, se portait mal et allait tout ficielle. en identifiant des activits de
doucement se retirer, pour mourir le 15 contrles que nous souhaitions
dcembre 2014. Nous allons donc per- Le Coso 1992 est mort, vive le dployer dans nos entreprises mais
dre notre rfrence, notre roi qui rgnait Coso 2013 pour lesquelles nous avions besoin
depuis plus de 20 ans. Et pourtant, la dun soutien et dune certaine crdi-
plupart de ses sujets ne semblent pas si Comme les choses sont toujours bien bilit auprs des oprationnels et des
tristes faites dans le beau royaume du contrle dirigeants. Le fait de montrer leur

juin-juillet 2013 - Audit & Contrle internes n215 25


DOSSIER

contrle interne, des activits de


contrles ralistes et pragmatiques que
nous pouvions tester, en tant quaudi-
teurs internes.
Comment vrifier que la structure de
son organisation est efficace cest--
dire quelle permet de porter la stra-
tgie dfinie par son entreprise ?
Comment tester que le style de mana-
existence dans le COSO nous per- les mesures disciplinaires en cas de gement de sa socit est adquat et
mettait de prouver quil sagissait des non-respect des politiques et proc- adapt ?
meilleures pratiques. dures du groupe,
le systme de remont des incidents, Autant de bonnes questions qui mri-
Avant larrive du COSO, de nom- le processus didentification et dva- taient de la rflexion et du partage dex-
breuses personnes, dans nos socits, luation des risques, priences. Encore un autre exemple :
avaient une vision assez limite du etc. comment mettre en place un dispositif
contrle interne : il sagissait des rappro- de remontes des incidents ? Ce ntait
chements bancaires, des inventaires Cest surtout pour ceux qui devaient se pas un dispositif banal en France jusque
physiques, de la sparation des tches, mettre en conformit avec la Loi Sar- dans les annes 2010. Lide tait certes
des procdures, etc., et plus gnrale- banes-Oxley, dans les annes 2006, que trs intressante et riche dinformations
ment de tout ce qui tait formel et relatif le rfrentiel du COSO a t dune mais il fallait comprendre jusquo nous
au domaine de la comptabilit et de la grande aide. Lexercice de conformit a pouvions aller. La CNIL nous a beau-
finance. Il sagissait principalement des t ralis en large partie grce la mise coup aids sur ce sujet en encadrant la
activits de contrles. Les auditeurs se en place de ce document. Dans les mise en place du dispositif dalerte pro-
battaient pour dmontrer que le annes 2006, nous avions lIFACI fessionnel. Cela demeure toujours un
contrle interne tait bien plus large que mont un groupe de travail SOX. Lob- vritable sujet.
cela. Tous les lments informels, en jectif, pour plusieurs entreprises fran-
dehors du champ de la comptabilit, aises concernes par la loi amricaine, Exemple de tests pour les lments du
taient malheureusement bien souvent tait de discuter des pratiques et diden- COSO : le conseil et la direction gnrale
oublis. Ces lments sont, bien tifier des positions communes. Le montrent lexemple en ce qui concerne lim-
entendu, les plus difficiles apprhen- COSO tait un sujet trs souvent abord portance du contrle interne et notamment
der et dployer. Expliquer, en runion dans ce groupe de travail car de nom- les normes de conduites attendues.
de clture, que le fait de travailler la breuses entreprises ne comprenaient Il existe un code dthique.
porte ouverte cre un bon environne- pas comment le mettre en uvre Il existe une communication faite par la
ment de contrle nest pas toujours vi- concrtement. direction gnrale sur lthique au cours
dent. Ceux qui ont essay sont sans de ces 12 derniers mois. Il existe des mes-
doute passs pour des extra-terrestres, Nos discussions portaient principale- sages de la DG sur lintranet, des bro-
jusque dans les annes 2000. Et si on les ment sur lenvironnement de contrle et chures, etc., destins lensemble des
voyait, le vendredi soir dans les couloirs, la gestion des risques, qui taient les employs.
en train de tester ces contrles, ils pas- composantes les plus complexes La direction explique dans un document
saient pour des fous. apprhender. Certains points taient communiqu au personnel ce qui est per-
franchement difficiles imposer nos mis et ce qui ne lest pas (en matire de
Le COSO 1992, nous a vraiment permis socits qui se demandaient pourquoi dpenses avec des clients par exemple).
de mettre sur la table les vrais sujets que nous allions dans ces activits, si loi- Il existe des programmes de formation
nous avions du mal aborder dans le gnes de notre primtre de travail. sur le code dthique (e-learning).
pass : Nous tions, en fait, dans le cur de Toutes les populations dites sensibles
le mode de rmunration des diri- notre mtier. (commerciaux, acheteurs) ont suivi ce
geants et la pression sur les rsultats, programme de sensibilisation.
le rle du conseil dadministration, Lautre tche souvent prise en charge Prendre un cas de non-respect du code /
lorganisation des structures de la par ce groupe de travail consistait dcart de bonne conduite au cours de ces
socit, identifier, pour chaque composante du 12 derniers mois et examiner les sanc-

26 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

tions et mesures prises par la direction. Cest justement ce qui a pouss sa La fraude revient sur le devant de la
Ces sanctions sont-elles cohrentes et naissance : scne. Ce ne sont plus des activits de
homognes dun cas lautre ? Les sujets du Roi, eux-mmes, contrles dilus un peu partout que
Les incidents potentiels et les carts de demandaient un rfrentiel plus com- nous devons valuer.
bonne conduite donnent lieu rapidement prhensible et plus utilisable. Les systmes dinformation sont par-
des investigations, faites par des pro- Lensemble des parties prenantes qui tout dans nos entreprises et doivent
fessionnels indpendants et objectifs. finanait le Royaume, rclamaient tre encore plus intgrs dans la
Le conseil dadministration demande depuis longtemps plus de transpa- nature de nos contrles.
suivre les incidents les plus significatifs rence et un systme permettant une
et les actions prises. meilleure gouvernance, gestion des
risques, prvention et dtection des
fraudes.
Et puis notre Royaume a beaucoup
chang en 20 ans. Nous avons des
nouveaux risques, notamment dans le Laurent Arnaudo a dbut sa car-
domaine IS&T. Les systmes dinfor- rire en 1990 chez Ernst & Young
mation sont maintenant intgrs Paris puis San Francisco, aprs
nos dispositifs. Notre environnement avoir obtenu une matrise de ges-
nest plus du tout le mme. Il est tion lUniversit de Paris-
devenu global et beaucoup plus com- Dauphine. En 1997, il rejoint
plexe. lquipe daudit interne dAlcatel o
il y occupera direntes fonctions
Il fallait ragir. Le COSO 2013 a dont celle de directeur daudit pour
annonc son objectif : il veut rduire les la rgion dEurope du Sud, Afrique
risques, accrotre la conformit aux lois, et Proche-Orient. En 2004, il
politiques et procdures et renforcer les devient directeur des projets
systmes de contrle interne. Cest un Sarbanes-Oxley et LSF pour Alcatel,
beau programme. couvrant les 34 entits majeures du
groupe. Aprs la fusion Alcatel-
Larrive du nouveau COSO 2013 nest Bien entendu, la dfinition du contrle Lucent en 2006, il est nomm direc-
pas passe inaperue. Mais beaucoup interne na pas chang. Les trois objec- teur de laudit interne avec une
dentre nous ne voient pas de rvolu- tifs et les cinq composantes sont tou- quipe de 80 personnes, bases
tion. Ce nouveau rfrentiel nest fina- jours les mmes. Ils doivent permettre Paris, New Providence (New Jersey -
lement que le digne fils de son pre. Il dvaluer lefficacit du dispositif de USA) et Shanghai. Il est lui-mme
suit le mme programme et son contenu contrle interne. Le changement rside bas aux Etats-Unis.
na pas ou peu chang. Sa mise en place principalement dans les 17 nouveaux
sera toujours aussi difficile surtout pour les principes attachs aux composantes et En 2009, il rejoint le groupe Sodexo
petites structures disent certains. Tout ses points dattention, dans le renforce- en tant que senior vice-prsident
cela restera encore trs thorique pour nos ment du reporting extra financier et enfin audit interne groupe o il dirige
entreprises disent dautres. Ou encore, dans la prise en compte des petites une quipe de 25 auditeurs, bass
Il ny a rien de nouveau, mais il est vrai entreprises. Londres, Washington et Paris.
que les points identifis tomberont mainte-
nant dans notre radar . Il existe donc Trois domaines sont clarifis : Laurent Arnaudo est CIA, CCSA et
beaucoup de sceptiques. La responsabilit de lentreprise CRMA. Il est membre du conseil
quand elle dcide dexternaliser des dadministration et vice-prsident
Le nouveau monarque a des services, notamment (mais pas seule- de lIFACI. Il est galement trs actif
ides rvolutionnaires ! ment) dans le domaine informatique. au sein de lIIA (The Institute of
En matire de contrle interne, il est Internal Auditors) aprs avoir t
Je ne suis pas daccord. La rvolution est maintenant clair que la responsabilit membre de son conseil dadminis-
en marche car le COSO 2013 prsente reste dans nos entreprises cette res- tration.
de nombreux aspects novateurs. ponsabilit ne se transfre pas.

juin-juillet 2013 - Audit & Contrle internes n215 27


DOSSIER

Concrtement, dans les entreprises ren- tionnement de son dispositif de contrle vocabulaire du PCAOB qui restait le
contres qui rflchissent la mise en interne. Cest une vritable rvolution, jargon des auditeurs externes. Nous
place du COSO 2013, les actions sui- car dans le COSO de 1992, il ny avait prfrons parler de faiblesses de
vantes sont en route : pas ces principes si explicitement dfinis contrle interne.
Renforcer lautomatisation des par des points dattention. Le jugement Il faut dornavant aussi expliquer, plus
contrles dans les systmes grce aux de chacun joue toujours un grand rle, en dtail, comment la slection des
outils ACL, IDEA, Magnifier et bien mais les directives sont beaucoup plus risques a t ralise (et donc la slec-
dautres. Cela nous permet dallouer claires. On sait ce quil faut mettre en tion des comptes, processus, et entits
nos contrleurs / auditeurs des place pour tre en conformit avec le significatifs pour la clture de lexer-
tches plus forte valeur ajoute, tout COSO 2013. cice). On pourra, par exemple,
en amliorant le primtre de couver- dmontrer lutilisation dateliers avec
ture puisque lensemble des transac- Pour ceux qui sont soumis aux rgles de des oprationnels et fonctionnels, etc.
tions sont examines en continu. Sarbanes-Oxley, les changements ne Il faut aussi sassurer que la qualifica-
Les auditeurs et contrleurs internes seront pas majeurs : lattestation sur lef- tion des faiblesses et la slection des
ne doivent pas oublier les ficacit du dispositif de contrles (dans les comptes, les pro-
contrles qui sont chez contrle interne relatif cessus, les entits) en fonction du
les prestataires. Les aux informations seuil de matrialit calcul en dbut
auditeurs doivent comptables et dexercice reste toujours valable en fin
aller faire des Il faut mettre en place financires sap- danne, aprs la clture des rsultats.
audits chez eux puiera sur le
aprs avoir
un plan dactions permettant COSO 2013. Dans le court terme, les actions mener
vrifi lexis- de rpondre aux nouveauts Les 17 nou- sont les suivantes : il faut lire le rfren-
tence de du COSO de 2013 avant le veaux principes tiel COSO 2013 ! Les membres des
clauses daudit permettront de comits daudit doivent demander leur
dans les contrats,
15 dcembre 2014 clarifier comment contrleur ou auditeur internes des
ou en sappuyant appliquer le rf- explications sur ce nouveau COSO. Ils
sur des formes dva- rentiel et aideront doivent comprendre quelles seront les
luations externes, faites par valuer lefficacit des modifications apporter dans lentre-
des entreprises indpendantes et contrles internes dans leur prise. Sils ne le demandent pas, il faut
objectives. conception et leur fonctionnement op- leur en parler et les duquer sur les nou-
Les contrles et les audits de confor- rationnel. Les seules diffrences rside- veaux lments du COSO 2013. Enfin,
mit reviennent en force dans nos ront dans la classification des faiblesses pour les socits utilisant dj le COSO
rfrentiels et dans nos plans daudit. de contrle interne, dans la documenta- de 1992, il faut mettre en place un plan
Les entreprises ne peuvent plus se tion du processus didentification des dactions permettant de rpondre aux
passer de solides programmes anti- risques, et enfin dans la ncessit de nouveauts du COSO de 2013 avant le
fraude (identification, communica- recalculer le seuil de matrialit au 15 dcembre 2014. Cela se fera sans
tion, prvention et dtection des moment de la clture : douleur et permettra sans doute de ras-
fraudes). Les comits daudit doivent Le COSO 2013 parle de dficiences surer sur les forces. Pour les entreprises
poser des questions sur leur existence majeures et de dficience de contrle qui nont pas mis en place le COSO
et leur efficacit. interne alors que le PCAOB qualifie 1992, leffort sera plus grand mais les
Enfin, si ce nest pas dj fait, il faut les faiblesses de contrles pour Sar- directives donnes sont maintenant
passer la vitesse suprieure et mettre banes-Oxley comme soit une erreur beaucoup plus claires et permettent de
en place un vritable modle de ges- matrielle ( material deficiency ) soit mieux comprendre comment dployer
tion des risques intgrs (ERM), avec une dficience significative ( signifi- le rfrentiel. Cest un nouveau Roi qui
une mthodologie et un langage cant deficiency ). Le PCAOB devra se a un bel avenir devant lui, ce COSO.
commun. positionner, dans les mois venir, sur Longue vie au COSO 2013
un alignement (ou pas) avec la dfini-
Il faut dornavant valuer de faon tion du COSO. Mais finalement, cela
beaucoup plus formelle chacun des 17 ne change pas grand chose pour un
principes cls allous aux 5 composantes grand nombre dentreprises. En
du COSO pour conclure au bon fonc- interne, nous vitions dj dutiliser le

28 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

Le COSO 2013 et le cadre


de lAMF ne sexcluent
ni ne sopposent, ils sont
complmentaires
sinterroger sur nos rfrentiels : doit-on
les faire voluer voire en changer ?

Le contrle interne SNCF est anim


par la direction de laudit et des risques
en liaison avec la direction financire
groupe. La direction de laudit et des
risques dfinit les mthodes et outils,
fixe les objectifs et assure le reporting et
lvaluation densemble. Elle coordonne
llaboration des rfrentiels de contrle
interne et pilote les dmarches dauto-
valuation. De leur ct, les diffrentes
branches dactivit (Business units)
conoivent leur organisation du contrle
Raymond Marfaing Anne Bosche-Lenoir interne sur leur primtre, dfinissent
avec la direction de laudit et des risques
Directeur adjoint en charge des risques Directrice de laudit et des risques, SNCF
et du contrle interne, SNCF leurs objectifs, organisent leur valua-
tion et assurent leur rendu compte.

La sortie du COSO 2013 provoque une remise en question et des choix quant luti- Le choix du cadre de rfrence
lisation de tel ou tel rfrentiel. Le cadre de rfrence de lAMF, retenu par SNCF, pr- de lAMF : un choix naturel
sente, entre autres avantages, celui dtre cohrent avec le COSO, dtre trs concret,
adapt la culture SNCF, et tourn vers la mise en uvre oprationnelle. Nan- Fin 2009, SNCF, la direction de laudit
moins, le COSO 2013 est une source denrichissement dont lAMF doit tenir compte. et des risques et la direction financire
groupe ont dcid de mettre en place
une nouvelle organisation du contrle
interne afin de le rendre plus efficace
Le cadre de rfrence de daudit, de contrle interne et de mana- tout en accompagnant les volutions
lAMF : un cadre souple et gement des risques. Cest loccasion de managriales de lentreprise qui renfor-
agile tourn vers la mise en se remettre en question, dabord de se ait son fonctionnement par branche
uvre familiariser avec les volutions, puis dactivits : SNCF Voyages, SNCF Proxi-
didentifier nos points forts, nos points mits, SNCF GEODIS, Gares et
La sortie du COSO 2013 est un vne- faibles et enfin de revoir ventuellement Connexions et SNCF Infra. Notre
ment important pour nous responsables nos objectifs. Cest aussi loccasion de constat tait que beaucoup dacteurs

juin-juillet 2013 - Audit & Contrle internes n215 29


DOSSIER

La direction de laudit et des risques dans lorganisation de la SNCF

Comit daudit, des


Conseil dadministration
comptes et des risques

Direction de laudit Direction de laudit


et des risques et des risques

Management Scurit des SI


Audits Contrle interne
des risques du groupe

Rseau de risk Rseau de Rseau de


managers RSSI contrleurs internes

Management de branches
Lgende :
Rattachement fonctionnel
Rattachement hirarchique

travaillaient sur le contrle interne mais Aprs ce premier travail, trs vite sest un seul document du contrle interne et
que leurs travaux taient peu connects pose la question du rfrentiel suivre, de la gestion des risques en intgrant les
entre eux et ntaient pas tirs par quel cadre de travail commun devions- travaux les plus rcents en la matire. Le
une politique dentreprise. Une des nous prendre. Assez naturellement nous cadre de rfrence sappuie en effet sur
consquences tait que le contrle nous sommes tourns vers le cadre de les volutions constates lpoque
interne ntait pas vraiment peru par le rfrence de lAMF. Nous avions pra- dans les principaux rfrentiels interna-
management comme un moyen de ma- lablement adopt ce cadre pour le rap- tionaux et notamment le COSO II et la
triser ses oprations ni comme un outil port du prsident sur le contrle interne norme ISO 31 000. Pour une direction
lui permettant de mieux assumer ses et tions dj, la direction de laudit et qui runit audit, contrle interne et
responsabilits. des risques de SNCF, familiariss avec risques, ctait trs apprciable.
ce cadre. De plus, ce cadre lpoque
Nous avons alors dfini des objectifs voluait dans la suite de la transposition Nous ne nous sommes pas trop interro-
simples : russir en 3 ans mettre en des 4mes et 8mes directives europennes. gs sur la possibilit de prendre comme
place une organisation claire au service Ce cadre prsentait nos yeux beau- rfrence le COSO dans la mesure o,
du management tout en limitant les frais coup davantages : comme nous venons de le dire, le cadre
de structure. Pour cela, nous avons trs adapt notre culture, un envi- de rfrence de lAMF est cohrent avec
dabord prcis le rle des diffrents ronnement franais ; le COSO et que nous trouvions dans le
acteurs depuis le comit daudit trs concret, facilement communica- cadre AMF un guide rpondant nos
jusquaux oprationnels tout en prenant ble ; attentes. Nous avons alors dfini un
en compte les chelons fonctionnels. Ce tourn vers la mise en uvre opra- objectif clair : avoir mis sous contrle
premier travail nous a permis de mon- tionnelle avec en particulier le ques- chance 2013 notre environnement de
trer que le contrle interne ne peut se tionnement et le guide dapplication contrle et les 14 processus identifis
concevoir que dans une chane qui quil propose. par lAMF dans son guide dapplication
concerne toute lentreprise et qui sur le contrle interne de linformation
implique tous les acteurs. Il faut galement ajouter quil offrait comptable et financire.
lavantage avec sa rvision de traiter en

30 Audit & Contrle internes n215 - juin-juillet 2013


Le nouveau COSO

Le fait davoir utilis le guide dapplica- nous mettre en forte difficult voire de
tion a galement constitu un levier lever des incomprhensions avec des
interne. Cela nous a permis de mettre en non spcialistes.
mouvement les propritaires de pro-
cessus. Nous avons alors commenc par Notamment, il est important et rassu-
les processus prsentant le plus denjeux rant de constater que les 5 composantes
pour lentreprise, que ce soit en termes du contrle interne sont les mmes
deuros ou en termes de risques, savoir quelques carts minimes prs. La
la paie, les achats et les immobilisations. logique est prserve : lorganisation / la
Nous avions dans le cadre un guide diffusion dinformation / le dispositif de
facile daccs, ce qui est important pour gestion des risques / les activits de
apprhender ces processus qui sont contrle / la surveillance. Pour nous cela
complexes pour une entreprise de la est essentiel. Il sagit principalement
taille de SNCF. dcarts de terminologie. Dailleurs,
lAMF disait en 2007 propos du
Aprs plus de 2 ans de travail, nous COSO : le groupe de place sest inspir Anne Bosche-Lenoir est directrice
avons atteint ainsi les objectifs fixs et des cinq composantes du COSO mme si de laudit et des risques du groupe
respectons notre tableau de marche. lon ne retrouve pas lidentique, dans le SNCF depuis avril 2013. Diplme
Mme sil reste bien sr beaucoup document de place, la terminologie utilise de lENA et de HEC, elle a occup
faire, nous estimons que nous avons par le rfrentiel amricain . plusieurs postes la direction du
atteint un bon niveau de maturit dans budget au ministre de lEconomie
plusieurs domaines : lanalyse et la des- Certes le COSO est un bon guide et et des Finances dont celui de sous
cription des processus, lidentification donne beaucoup dexemples mais le directrice en charge des Aaires
des points de contrle cls, la rdaction cadre de rfrence, comme nous lavons Europennes. Elle a galement t
de guides de contrle interne, la forma- vu plus haut, avec son questionnement Senior Banker la Banque Euro-
tion des acteurs, le dploiement de cam- et son guide dapplication, est davantage penne pour la Reconstruction et le
pagnes dauto-valuation auprs de orient vers la mise en uvre ; le travail Dveloppement (BERD), responsa-
nombreux acteurs en entits mais aussi dadaptation / transcription au contexte ble du montage et du financement
en centres de services partags. Nous de lentreprise savre relativement sim- de projets dans les secteurs publics
pensons que le fait davoir choisi le ple et ais. et privs en lien avec les banques
cadre AMF nous a aids ; les avantages locales. Elle a ensuite t DGA
que nous pressentions se sont confirms Le new COSO : Finances, Audit et Contrle de ges-
dans les faits. un enrichissement pour nos tion au Conseil Rgional dIle-de-
travaux France dans une priode o le bud-
La grande similitude COSO / get de la Rgion a cr de 70 % et les
cadre de lAMF a t Nous nopposons pas le COSO et le eectifs ont t multiplis par six.
dterminante cadre de rfrence de lAMF. Nous pr-
frons y voir davantage une compl- Raymond Marfaing, diplm de
Mme si nous navons pas retenu le mentarit. Pour nous, le COSO 2013 va lEcole Centrale de Paris, a exerc
COSO, la similitude COSO / cadre de nous aider avoir un nouveau regard dirents postes de responsabilit
rfrence AMF a t pour nous un l- sur le contrle interne et identifier des SNCF dans les directions cen-
ment important. Dabord, nous avions pistes damlioration. Cest clairement trales, aux achats, lorganisation,
une garantie quil ny aurait pas de un enrichissement pour tous nos tra- aux ressources humaines et dans la
contradiction. Nous utilisons le COSO vaux. direction rgionale de Paris-Rive-
dans nos travaux internes la direction Gauche o il tait directeur dl-
de laudit et des risques de SNCF. Il reste Nous avons aussi besoin de continuit gu gestion finances. Il a rejoint la
une rfrence essentielle pour benchmar- dans les objectifs affichs. Nous avons direction de laudit et des risques en
ker nos travaux daudit et former nos largement communiqu sur le fait quil 2001 comme chef de mission puis
auditeurs et/ou nos spcialistes de fallait que lenvironnement de contrle comme directeur adjoint en charge
contrle interne. Ne pas avoir cette et les 14 processus du guide dapplica- des risques et du contrle interne.
garantie de cohrence aurait risqu de tion sur le contrle interne de linforma-

juin-juillet 2013 - Audit & Contrle internes n215 31


DOSSIER

Ces raisons font que dans limmdiat, il


est difficilement imaginable de revenir
sur le choix du cadre de rfrence de
lAMF.

LAMF doit prendre en compte


le COSO 2013

Le COSO 2013 introduit des change-


ments importants comme sur les valeurs
thiques, limportance de lintgrit sur
lesquels nous ne pouvons quadhrer.
Ce sont dailleurs des axes forts SNCF.
SNCF - Troismille

Le COSO 2013 pointe galement des


sujets de fond comme la RSE, larticula-
tion des 3 lignes de dfenses, larticula-
tion du tone at the top avec les com-
portements, la prise en compte des
tion comptable et financire soient sous lidentification de 17 principes sur les sous-traitants
contrle. Nous considrons que toute attentes en matire de contrle
volution de la cible serait un facteur de interne ; Ces volutions ne sont pas incompati-
fragilisation. Beaucoup dacteurs, la prsentation de 81 points datten- bles avec le cadre de rfrence de lAMF.
notamment les oprationnels, commen- tion avec pour chaque point des ques- En effet, la lecture approfondie du
cent bien comprendre ce quest le tions qui traduisent les grandes carac- cadre AMF, on voit que la partie II sur
contrle interne et ce quon attend tristiques des principes. les principes gnraux de gestion des
deux. Ils ne peroivent plus ce sujet risques et de contrle interne portent
comme un sujet de spcialiste dans Pour nous cela est une aide prcieuse sur un primtre qui ne se limite pas au
lequel ils auront du mal entrer. La mais surtout dans nos missions de res- domaine comptable et financier. Ce sont
continuit est essentielle pour nous. ponsable de la politique de contrle les parties relatives au questionnaire et
interne, en tant quentit qui dfinit les au guide dapplication qui ciblent sur ces
En revanche, le COSO 2013, comme principes. En 2010, nous avons claire- domaines.
nous venons de le dire est une source ment dfini une priorit : tre
denrichissement. On le voit bien la conforme AMF sur les 14 processus et Compte tenu des apports du COSO
lecture des thmes suivants : sur lenvironnement de contrle. Dans 2013, il est important que le cadre de
la prise en compte des risques extra- un premier temps, cela doit constituer le rfrence de lAMF en tienne compte
financiers ; noyau dur de notre approche. Dans un tout en gardant son ct souple, agile et
la mise en exergue du risque sous- deuxime temps, nous travaillerons sur facile daccs qui constitue pour nous
traitance ; les thmes autres que financiers. utilisateurs un atout et une attente.

Le groupe SNCF fin 2012 : 5 branches / 33,8 milliards de chire daaires

SNCF INFRA SNCF PROXIMITS SNCF VOYAGES SNCF GEODIS GARES & CONNEXIONS
Gestion, exploitation, Services de transport Transport ferroviaire de Oprateur global multi- Gestion et dveloppe-
maintenance du rseau public urbain, priurbain voyageurs grande modal de transport et ment des gares (ind-
pour RFF et ingnierie et rgional pour les vitesse logistique de marchan- pendamment de lacti-
dinfrastructure voyageurs du quotidien Europe (France, Espagne, dises vit de transporteur)
Activit en France + ingnierie TER, Transilien et Intercits en Royaume-Uni, Belgique, Pays- 120 pays 3 000 gares franaises et acti-
en Europe, Asie, Moyen-Orient, France, Trains dEquilibre du Ter- bas, Allemagne, Autriche, Suisse 5 continents vit de lAREP au niveau inter-
Afrique, Amriques ritoire (TET) Keolis en France, et Italie) national
Europe, USA, Canada et Austra-
lie

5,5 Mds (15%) 12,8 Mds (35%) 7,5 Mds (20%) 9,5 Mds (26%) 1 Md (4%)

32 Audit & Contrle internes n215 - juin-juillet 2013