Modèles D Évaluation Du COSO

1.
Évaluation globale d’un système de contrôle interne
Évaluation globale d’un système de contrôle interne

Entité ou élément de la structure de l’organisation faisant l’objet de
l’évaluation (entité, division, unité opérationnelle, fonction)
Objectif(s) pris en compte dans le périmètre d’évaluation du contrôle interne Considérations concernant le niveau de risque acceptable par le management
Opérations
Reporting
Conformité
Justification de la
Mise en place ? (O/N) Fonctionnement ? (O/N)
conclusion
Environnement de contrôle
Évaluation des risques
Activités de contrôle
Information et communication
Pilotage
Les cinq composantes fonctionnent-elles conjointement de façon

intégrée ?
Évaluer si une combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure*
<Mettre à jour le modèle « Synthèse des déficiences » si nécessaire>
Le système global de contrôle interne est-il efficace ? <O/N>*
Justification de la conclusion
* S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le système de contrôle interne n’est pas efficace.
Internal Control — Integrated Framework • May 2013 1

2. Évaluation des composantes
Évaluation de la composante « Environnement de contrôle »
Mise en place ? (O/N) Fonctionnement ? Justification de la conclusion
(O/N)
1. Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques :
l’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.
N° d’identification Description de la déficience du contrôle interne Évaluation de la sévérité de la déficience du Recenser les déficiences du contrôle interne
contrôle interne : (Déterminer si des contrôles liées à un autre principe qui pourraient avoir un
relatifs à l’application d’autres principes impact sur cette déficience du contrôle interne.
compensent la déficience du contrôle interne.)
La déficience du contrôle Commentaires/Contr

interne est-elle majeure ? ôles compensatoires
(O/N)

(O/N)
2. Réaliser une surveillance effective : le conseil fait preuve d’indépendance vis-à-vis du
management. Il surveille la mise en place et le bon fonctionnement du système de
contrôle interne.

(O/N)

(O/N)
3. Définir des structures, des pouvoirs et des responsabilités : le management,
agissant sous la surveillance du conseil, définit les structures, les rattachements, ainsi
que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.

(O/N)

(O/N)
4. Démontrer son engagement en faveur du développement des compétences :
l’organisation démontre son engagement à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs.

(O/N)

(O/N)
5. Instaurer un devoir de rendre compte : l’organisation instaure pour chacun un devoir
de rendre compte de ses responsabilités en matière de contrôle interne afin d’atteindre
les objectifs.

(O/N)
Évaluation des déficiences au sein de la composante* :
Évaluer si une déficience ou combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure**
Évaluer la composante en faisant appel au jugement, sur la base des principes et des O/N Justification de la conclusion
déficiences**
La composante est-elle mise en place ?
La composante fonctionne-t-elle ?
* Recenser les déficiences dans le modèle « Synthèse des déficiences ».
** S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que la composante n’est pas mise en place et ne fonctionne pas, et que le système de contrôle interne n’est pas efficace.

Évaluation de la composante « Évaluation des risques »
(O/N)
6. Définir des objectifs appropriés : l’organisation définit des objectifs de façon
suffisamment claire pour permettre l’identification et l’évaluation des risques susceptibles
d’affecter leur réalisation.

(O/N)

(O/N)
7. Identifier et analyser les risques : l’organisation identifie les risques susceptibles
d’affecter la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à
leur analyse de façon à déterminer comment ils doivent être gérés.

(O/N)

Évaluation de la composante « Évaluation des risques »
(O/N)
8. Évaluer le risque de fraude : l’organisation intègre le risque de fraude dans son
évaluation des risques susceptibles d’affecter la réalisation des objectifs.

(O/N)

(O/N)
9. Identifier et analyser les changements significatifs : l’organisation identifie et évalue
les changements qui pourraient avoir un impact significatif sur le système de contrôle
interne.

(O/N)

déficiences**

Évaluation de la composante « Activités de contrôle »
Fonctionnement ?
Mise en place ? (O/N) Justification de la conclusion
(O/N)
10. 10. Sélectionner et développer des activités de contrôle : l’organisation sélectionne
et développe des activités de contrôle qui visent à maîtriser et à ramener à un niveau
acceptable les risques susceptibles d’affecter la réalisation des objectifs.

(O/N)
Fonctionnement ?
(O/N)
11. Sélectionner et développer des contrôles généraux informatiques : l’organisation
sélectionne et développe des contrôles généraux informatiques pour faciliter la
réalisation des objectifs.

(O/N)

Évaluation de la composante « Activités de contrôle »
Fonctionnement ?
(O/N)
12. Déployer les activités de contrôle par le biais de règles et de procédures :
l’organisation déploie les activités de contrôle par le biais de règles qui précisent les
objectifs poursuivis, et de procédures qui permettent de mettre en œuvre ces règles.

(O/N)

déficiences**

Évaluation de la composante « Information et communication »
Fonctionnement ?
(O/N)
13. Utiliser des informations pertinentes : l’organisation obtient, produit et utilise des
informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne.

(O/N)
Fonctionnement ?
(O/N)
14 Communiquer en interne : l’organisation communique en interne l’information
nécessaire au bon fonctionnement du contrôle interne, notamment les informations
relatives aux objectifs et aux responsabilités du contrôle interne.

(O/N)

Évaluation de la composante « Information et communication »
Fonctionnement ?
(O/N)
15 Communiquer en externe : l’organisation communique aux tiers les éléments qui
peuvent affecter le fonctionnement du contrôle interne.

(O/N)

déficiences**

Évaluation de la composante « Pilotage »
Fonctionnement ?
(O/N)
16 Conduire des évaluations continues et/ou ponctuelles : l’organisation sélectionne,
développe et réalise des évaluations continues et/ou ponctuelles pour s’assurer que les
composantes du contrôle interne sont mises en place et fonctionnent.

(O/N)
Fonctionnement ?
(O/N)
17 Évaluer et communiquer les déficiences du contrôle interne : l’organisation évalue
et communique les déficiences de contrôle interne en temps voulu aux responsables des
mesures correctives, y compris, le cas échéant, à la direction générale et au conseil.

(O/N)

déficiences**

3. Évaluation des principes
Évaluation des principes de la composante « Environnement de contrôle »
Principe n° 1 : Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques
L’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.
Points d’attention :
• faire preuve d’exemplarité : le conseil et le management, à tous les niveaux de l’entité, démontrent à travers leurs instructions, leurs actes et leur comportement,
l’importance de l’intégrité et des valeurs éthiques pour le bon fonctionnement du système de contrôle interne ;
• établir les normes de conduite : les attentes du conseil et de la direction générale quant à l’intégrité et aux valeurs éthiques sont définies dans les normes de
conduite et sont comprises à tous les niveaux de l’organisation, ainsi que par les prestataires externes et autres partenaires ;
• évaluer l’adhésion aux normes de conduite : les processus sont en place pour évaluer la performance individuelle et collective au regard des normes de
conduite définies ;
• gérer les écarts en temps voulu : les écarts par rapport aux normes de conduite de l’entité sont identifiés et résolus en temps voulu et de façon cohérente ;
• (le cas échéant, autres points d’attention spécifiques.)

Synthèse des contrôles relatifs à l’application du principe n° 1
Déficiences liées au principe n° 1
N° d’identification Description de la déficience du contrôle interne Évaluation préliminaire de la sévérité de la Recenser les déficiences du
déficience : (Déterminer si d’autres contrôles contrôle interne liées à un autre
relatifs à l’application de ce principe compensent la principe qui pourraient avoir un
déficience du contrôle interne.) impact sur cette déficience du
contrôle interne.
A priori, la Commentaires/
déficience du Contrôles compensatoires
contrôle interne est-
elle majeure ? (O/N)
Évaluation des déficiences au sein du principe* : <Commentaires>

Évaluer si une déficience ou combinaison de déficiences du contrôle interne au
sein du principe constitue une déficience majeure**
Évaluer le principe en faisant appel au jugement** O/N Justification de la conclusion
Le principe est-il mis en place ?
Le principe fonctionne-t-il ?
** S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le principe n’est pas mis en place et ne fonctionne pas, et que le système de contrôle interne n’est pas efficace.

Principe n° 2 : Réaliser une surveillance effective
Le conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du système de
contrôle interne.
• établir les responsabilités de surveillance : le conseil appréhende et accepte ses responsabilités de surveillance dans le cadre des exigences et des attentes
définies ;
• mettre en œuvre l’expertise requise : le conseil définit, maintient et évalue périodiquement les compétences et l’expertise requises parmi ses membres pour leur
permettre de poser des questions pertinentes à la direction générale et de suivre les actions qui s’imposent ;
• agir en toute indépendance : le conseil compte suffisamment de membres indépendants du management et agissant objectivement dans leurs évaluations et
leurs prises de décisions ;
• assurer la surveillance du système de contrôle interne : le conseil a la responsabilité de la surveillance concernant la conception, la mise en œuvre et le pilotage
du contrôle interne par le management :
– environnement de contrôle : établir les attentes en matière d’intégrité et de valeurs éthiques, d’instances de surveillance, de pouvoirs et de responsabilités,
ainsi que les attentes concernant les compétences et le devoir de rendre compte au conseil,
– évaluation des risques : surveiller l’évaluation faite par le management des risques susceptibles d’affecter la réalisation des objectifs, notamment l’impact
potentiel de changements significatifs, de fraudes et du contournement par le management des principes de contrôle interne,
– activités de contrôle : surveiller les actions de la direction générale pour s’assurer de la mise en place et du bon fonctionnement des activités de contrôle,
– information et communication : analyser et discuter des informations sur la réalisation des objectifs de l’entité,
– pilotage : apprécier et surveiller la nature et le périmètre des activités de pilotage, ainsi que l’évaluation par le management des déficiences et les mesures
prises pour y remédier ;

contrôle interne.




Principe n° 3 : Définir des structures, des pouvoirs et des responsabilités
Le management, agissant sous la surveillance du conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les
responsabilités appropriés pour atteindre les objectifs.
• prendre en compte l’ensemble des structures de l’entité : le management et le conseil prennent en compte la complexité des structures organisationnelles
(unités opérationnelles, entités juridiques, distribution géographique et prestataires externes) qui contribuent à la réalisation des objectifs ;
• établir les rattachements : le management définit et évalue les rattachements pour chaque structure de l’entité afin de favoriser l’exercice des pouvoirs et des
responsabilités et le flux d’informations nécessaires à la gestion des activités de l’entité ;
• définir, assigner et délimiter les pouvoirs et les responsabilités : le management et le conseil délèguent les pouvoirs, définissent les responsabilités, utilisent des
processus et des systèmes d’information appropriés pour assigner les responsabilités et séparer les tâches comme il convient aux différents niveaux de
l’organisation :
– le conseil détient en dernier ressort le pouvoir de procéder à des décisions et à des révisions significatives concernant l’établissement et la délimitation des
pouvoirs et des responsabilités du management,
– la direction générale définit les instructions, les lignes directrices et les contrôles afin de permettre au management et aux collaborateurs de comprendre et
d’exercer leurs responsabilités de contrôle interne,
– le management guide et facilite l’exécution des instructions de la direction générale au sein de l’entité et de ses unités,
– les collaborateurs comprennent les normes de conduite de l’entité, les risques susceptibles d’affecter la réalisation des objectifs et les activités de contrôle
associées à leurs niveaux respectifs, les flux de communication et d’information attendus, et les activités de pilotage utiles pour la réalisation des objectifs,
– les prestataires externes adhèrent à la définition par le management de l’étendue de leurs pouvoirs et de leurs responsabilités ;

contrôle interne.



Principe n° 4 : Démontrer son engagement en faveur du développement des compétences
L’organisation démontre son engagement à attirer, former et fidéliser des personnes compétentes conformément aux objectifs.
• établir des politiques et des modalités pratiques : les politiques et les modalités pratiques reflètent les compétences attendues, nécessaires à la réalisation des
objectifs ;
• évaluer les compétences disponibles et remédier aux insuffisances : le conseil et le management évaluent les compétences disponibles dans l’ensemble de
l’organisation et chez les prestataires externes au regard de politiques et de modalités pratiques établies, et le cas échéant, prennent des mesures pour
remédier aux insuffisances ;
• attirer, former et fidéliser les personnes : l’organisation prévoit le mentorat et la formation nécessaires pour attirer, former et fidéliser suffisamment de salariés
compétents et de prestataires externes pour réaliser ses objectifs ;
• planifier et préparer la succession : la direction générale et le conseil élaborent des plans pour assurer la continuité des responsabilités clés en matière de
contrôle interne ;


contrôle interne.


Principe n° 5 : Instaurer un devoir de rendre compte
L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne afin d’atteindre les
objectifs.
• instaurer un devoir de rendre compte à travers les structures, les pouvoirs et les responsabilités : le management et le conseil déterminent les mécanismes de
communication des responsabilités individuelles en matière de contrôle interne et de devoir de rendre compte, et prennent, si nécessaire, les mesures
correctives ;
• établir des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil établissent des indicateurs de performance,
des mesures d’incitation et des gratifications adaptés aux responsabilités à tous les échelons de l’entité, en tenant compte du niveau approprié de performance
et des normes de conduite attendues, ainsi que de la réalisation des objectifs à court et à long terme ;
• évaluer en continu la pertinence des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil alignent les
mesures d’incitation et les gratifications sur la réalisation des responsabilités liées au contrôle interne en vue de la réalisation des objectifs ;
• tenir compte des pressions excessives : le management et le conseil évaluent et limitent les pressions associées à la réalisation des objectifs lorsqu’ils
assignent les responsabilités, définissent les indicateurs de performance et évaluent les performances ;
• évaluer les performances individuelles et récompenser ou sanctionner les personnes : le management et le conseil évaluent l’exercice des responsabilités liées
au contrôle interne, notamment le respect des normes de conduite et les niveaux de compétence attendus et récompensent ou sanctionnent selon le cas ;


contrôle interne.



Évaluation des principes de la composante « Évaluation des risques »
Principe n° 6 : Définir des objectifs appropriés
L’organisation définit des objectifs de façon suffisamment claire pour permettre l’identification et l’évaluation des risques susceptibles
d’affecter leur réalisation.
Objectifs liés aux opérations
• refléter les choix du management : les objectifs liés aux opérations reflètent les choix du management concernant la structure, le secteur d’activité et la
performance de l’entité ;
• prendre en compte les seuils de tolérance au risque : le management prend en compte les écarts acceptables par rapport à l’atteinte des objectifs liés aux
opérations ;
• intégrer des cibles de performance opérationnelle et financière : les performances opérationnelles et financières souhaitées sont reflétées dans les objectifs liés
aux opérations ;
• constituer les bases de l’allocation des ressources : le management se base sur les objectifs liés aux opérations pour affecter les ressources nécessaires à la
réalisation de la performance opérationnelle et financière souhaitée ;
Objectifs liés au reporting financier externe

• respecter les normes comptables applicables : les objectifs liés au reporting financier sont cohérents avec les principes comptables adéquats et applicables à
l’entité. Les principes comptables retenus sont appropriés aux circonstances ;
• tenir compte de l’importance relative : le management tient compte de l’importance relative dans la présentation des états financiers ;
• refléter les activités de l’entité : le reporting externe reflète les transactions et les événements sous-jacents, dans le respect des critères de qualité
communément admis ;
Objectifs liés au reporting extra-financier externe

• respecter les normes et les référentiels externes : le management définit des objectifs conformes aux lois et aux règlements, ou aux normes et aux référentiels
d’organismes externes reconnus ;
• prendre en compte le niveau de précision requis : le management prend en compte le niveau de précision et d’exactitude requis pour les besoins des utilisateurs
et des critères fixés par les tiers pour le reporting extra-financier ;
• refléter les activités de l’entité : le reporting externe reflète les transactions et les événements sous-jacents dans des limites acceptables ;
Objectifs liés au reporting interne

• refléter les choix du management : le reporting interne fournit au management des informations exactes et exhaustives sur ses choix, et celles dont il a besoin
pour gérer l’entité ;
• prendre en compte le niveau de précision requis : le management prend en compte le niveau de précision et d’exactitude requis pour les besoins des utilisateurs
dans le cadre des objectifs liés au reporting extra-financier, et l’importance relative dans le cadre des objectifs liés au reporting financier ;
• refléter les activités de l’entité : le reporting interne reflète les transactions et les événements sous-jacents dans des limites acceptables ;
Objectifs liés à la conformité

• refléter les lois et règlements externes : les lois et règlements fixent des normes minimales de conduite que l’entité intègre dans ses objectifs liés à la
conformité ;
• prendre en compte les seuils de tolérance au risque : le management prend en compte les écarts acceptables par rapport à l’atteinte des objectifs liés à la
conformité ;

contrôle interne.



Principe n° 7 : Identifier et analyser les risques
L’organisation identifie les risques susceptibles d’affecter la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à
leur analyse de façon à déterminer comment ils doivent être gérés.
• englober l’entité, les filiales, les divisions, les unités opérationnelles et les services fonctionnels : l’organisation identifie et évalue les risques à l’échelle de
l’entité, au niveau des filiales, des divisions, des unités opérationnelles et des services fonctionnels impliqués dans la réalisation des objectifs ;
• analyser les facteurs internes et externes : l’identification des risques tient compte des facteurs internes et externes et de leur impact sur la réalisation des
objectifs ;
• impliquer les niveaux appropriés du management : l’organisation met en place des dispositifs efficaces d’évaluation des risques qui impliquent les niveaux
appropriés du management ;
• estimer l’importance des risques identifiés : les risques identifiés sont analysés grâce à un processus qui inclut l’estimation de l’importance potentielle des
risques ;
• déterminer les modalités de traitement des risques : l’évaluation des risques permet de définir la façon dont le risque doit être géré et s’il doit être accepté, évité,
réduit ou partagé ;
contrôle interne.



Principe n° 8 : Évaluer le risque de fraude
L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles d’affecter la réalisation des objectifs.
• envisager différents types de fraude : l’évaluation du risque de fraude couvre le reporting frauduleux, la perte éventuelle d’actifs, et la corruption découlant des
différentes possibilités de survenance d’une fraude ou d’un comportement répréhensible ;
• évaluer les incitations et les pressions : l’évaluation du risque de fraude tient compte des incitations et des pressions ;
• évaluer les opportunités : l’évaluation du risque de fraude prend en considération les opportunités d’acquisition, d’utilisation ou de cession non autorisées
d’actifs, de modification des registres comptables ou d’autres agissements inappropriés ;
• évaluer les comportements et les justifications : l’évaluation du risque de fraude tient compte de la façon dont le management et les collaborateurs pourraient
commettre ou justifier des actes inappropriés ;

contrôle interne.



Principe n° 9 : Identifier et analyser les changements significatifs
L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
• évaluer les évolutions de l’environnement externe : le processus d’identification des risques tient compte des évolutions de l’environnement réglementaire,
économique et physique dans lequel l’entité exerce ses activités ;
• évaluer les évolutions du modèle économique : l’organisation tient compte de l’impact potentiel de nouvelles lignes d’activité, des changements en profondeur
affectant les lignes existantes, et des activités acquises ou cédées sur le système de contrôle interne, d’une croissance rapide, de l’évolution de la dépendance
vis-à-vis d’autres zones géographiques, et des nouvelles technologies ;
• évaluer les changements de management : l’organisation tient compte de l’effet des changements de management et des évolutions du comportement et de la
philosophie de management sur le système de contrôle interne ;
contrôle interne.


Évaluation des principes de la composante « Activités de contrôle »
Principe n° 10 : Sélectionner et développer des activités de contrôle
L’organisation sélectionne et développe des activités de contrôle qui visent à maîtriser et à ramener à un niveau acceptable les risques
susceptibles d’affecter la réalisation des objectifs.
• relier les activités de contrôle à l’évaluation des risques : les activités de contrôle permettent de s’assurer que les modalités de traitement sont mises en œuvre
pour gérer et maîtriser les risques ;
• tenir compte des facteurs propres à l’entité : le management tient compte de la façon dont l’environnement, la complexité, la nature et l’étendue de ses activités,
ainsi que les spécificités de son organisation, affectent la sélection et le développement des activités de contrôle ;
• se focaliser sur les processus métier pertinents : le management détermine les processus nécessitant des activités de contrôle ;
• combiner différents types d’activités de contrôle : les activités de contrôle englobent un large éventail de contrôles et peuvent comprendre un ensemble équilibré
d’approches destinées à maîtriser les risques, dont des contrôles manuels et automatisés ainsi que d’autres, préventifs et détectifs ;
• tenir compte du niveau auquel doivent s’appliquer les activités de contrôle : le management apprécie la nécessité de développer des activités de contrôle aux
différents niveaux de l’entité ;
• tenir compte de la séparation des tâches : le management sépare les tâches incompatibles et lorsqu’il n’est pas possible de le faire, il sélectionne et développe
des activités de contrôle alternatives ;
contrôle interne.



Principe n° 11 : Sélectionner et développer des contrôles généraux informatiques
L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
• prendre en compte le lien entre l’utilisation des systèmes d’information dans les processus métier et les contrôles généraux informatiques : le management
comprend et détermine la dépendance et le lien entre processus métier, activités de contrôle automatisées et contrôles généraux ;
• mettre en place les contrôles pertinents liés à l’infrastructure informatique : le management sélectionne et développe des contrôles relatifs à l’infrastructure
informatique, qui sont conçus et mis en œuvre afin de contribuer à l’exhaustivité, à l’exactitude et à la disponibilité du traitement informatique ;
• mettre en place les contrôles pertinents au sein des processus de gestion de la sécurité : le management sélectionne et développe des contrôles conçus et mis
en œuvre afin de restreindre les habilitations informatiques aux utilisateurs autorisés dans la limite de leurs responsabilités, mais également afin de protéger les
actifs de l’entité contre les menaces externes ;
• mettre en place les contrôles pertinents liés aux processus d’acquisition, de développement et de maintenance des systèmes d’information : afin de réaliser ses
objectifs, le management sélectionne et développe des contrôles liés à l’acquisition, au développement et à la maintenance des systèmes d’information et de
son infrastructure ;

contrôle interne.



Principe n° 12 : Déployer les activités de contrôle par le biais de règles et de procédures
L’organisation déploie les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui permettent
de mettre en œuvre ces règles.
• définir des règles et des procédures à l’appui du déploiement des instructions du management : le management établit, grâce à des règles fixant ce qui est
attendu et à des procédures précisant les mesures associées, les contrôles qui seront intégrés au cœur des processus métier et des activités quotidiennes des
collaborateurs ;
• établir la responsabilité et le devoir de rendre compte de la mise en œuvre des règles et des procédures : le management assigne la responsabilité et le devoir
de rendre compte des activités de contrôle au personnel d’encadrement (ou à d’autres collaborateurs) de l’unité opérationnelle ou de la fonction concernée par
le risque ;
• exécuter des contrôles en temps voulu : le collaborateur à qui la responsabilité des contrôles a été assignée les exécute dans les délais définis par les règles et
les procédures ;
• prendre les mesures correctives : le collaborateur à qui la responsabilité des contrôles a été assignée effectue des vérifications et prend des mesures pour
traiter les points identifiés dans le cadre des activités de contrôle ;
• faire appel à des collaborateurs compétents pour réaliser les contrôles : des collaborateurs compétents, dotés de l’autorité adéquate, exécutent les activités de
contrôle avec la diligence et l’attention qui s’imposent ;
• réévaluer les règles et les procédures autant que de besoin : le management revoit périodiquement les contrôles afin de s’assurer qu’ils restent pertinents, et si
nécessaire les actualise ;
contrôle interne.



Évaluation des principes de la composante « Information et communication »
Principe n° 13 : Utiliser des informations pertinentes
L’organisation obtient, produit et utilise des informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne.
• identifier les besoins en matière d’information : un processus est en place afin d’identifier les besoins d’information nécessaires au fonctionnement des autres
composantes du contrôle interne et à la réalisation des objectifs de l’entité ;
• s’appuyer sur des données d’origine interne et externe : les systèmes d’information permettent d’accéder aux sources internes et externes de données ;
• traiter les données pertinentes : les systèmes d’information utilisent des données pertinentes pour les transformer en informations ;
• garantir la qualité tout au long du traitement : les systèmes d’information produisent en temps voulu des informations à jour, exactes, exhaustives, accessibles,
protégées, vérifiables et conservées. Les informations sont examinées afin d’évaluer leur pertinence dans le cadre de la mise en œuvre des composantes du
contrôle interne ;
• prendre en compte le rapport coûts/bénéfices : la nature, la quantité et la précision des informations communiquées sont proportionnées aux objectifs, et
contribuent à leur réalisation ;

contrôle interne.



Principe n° 14 : Communiquer en interne
L’organisation communique en interne les informations nécessaires au bon fonctionnement du contrôle interne, notamment les
informations relatives aux objectifs et aux responsabilités du contrôle interne.
• communiquer des informations relatives au contrôle interne : un processus est en place afin de communiquer les informations nécessaires, permettant à
l’ensemble des collaborateurs de comprendre et d’exercer leurs responsabilités en matière de contrôle interne ;
• communiquer avec le conseil : le management et le conseil communiquent de telle sorte que ces deux organes détiennent les informations nécessaires pour
remplir leur rôle dans la poursuite des objectifs de l’entité ;
• mettre à disposition des canaux de communication spécifiques : des canaux de communication spécifiques, tels que des dispositifs d’alerte, sont en place
comme mécanismes de sécurité permettant une communication anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou inefficaces ;
• sélectionner un mode de communication adéquat : le mode de communication est choisi en tenant compte de la nature, des destinataires et des délais de
transmission des informations ;
contrôle interne.



Principe n° 15 : Communiquer en externe
L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du contrôle interne.
• communiquer aux tiers : des processus sont en place pour communiquer en temps voulu des informations pertinentes aux tiers, notamment aux actionnaires,
partenaires, propriétaires, régulateurs, clients, analystes financiers ;
• faciliter la réception des communications : des canaux de communication ouverts permettent de recevoir des informations provenant de clients, de
consommateurs, fournisseurs, auditeurs externes, régulateurs, analystes financiers et autres tiers, de sorte que le management et le conseil disposent
d’informations pertinentes ;
• communiquer avec le conseil : les informations pertinentes découlant d’évaluations réalisées par des tiers sont communiquées au conseil ;
• mettre à disposition des canaux de communication spécifiques : des canaux de communication spécifiques, tels que des dispositifs d’alerte, sont en place
comme mécanismes de sécurité permettant une communication anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou inefficaces ;
• sélectionner un mode de communication approprié : le choix du mode de communication tient compte de la nature et des destinataires de la communication,
des aspects liés au délai, des obligations légales, réglementaires ou fiduciaires et des attentes ;

contrôle interne.


Évaluation des principes de la composante « Pilotage »
Principe n° 16 : Conduire des évaluations continues et/ou ponctuelles
L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles pour s’assurer que les composantes du
contrôle interne sont mises en place et fonctionnent.
• envisager une combinaison d’évaluations continues et d’évaluations ponctuelles : le management combine de manière équilibrée les évaluations
continues et les évaluations ponctuelles ;
• prendre en compte le rythme des changements : le management tient compte du rythme de changement des activités et des processus métier lors de la
sélection et du développement des évaluations continues ou ponctuelles ;
• s’appuyer sur un niveau de référence : un état des lieux de la conception et de l’état du système de contrôle interne permet de définir le niveau de référence
des évaluations continues ou ponctuelles ;
• faire appel à des collaborateurs avertis : les collaborateurs chargés des évaluations continues ou ponctuelles possèdent des connaissances suffisantes pour
comprendre les processus évalués ;
• intégrer les évaluations continues au cœur des processus métier : les évaluations continues sont intégrées au cœur des processus métier et peuvent être
modifiées en fonction de l’évolution du contexte ;
• ajuster le périmètre et la fréquence : le management modifie le périmètre et la fréquence des évaluations ponctuelles en fonction des risques ;
• évaluer objectivement : des évaluations ponctuelles sont réalisées périodiquement afin d’obtenir des informations objectives ;

contrôle interne.


Principe n° 17 : Évaluer et communiquer les déficiences du contrôle interne
L’organisation évalue et communique les déficiences de contrôle interne en temps voulu aux responsables des mesures correctives, y
compris, le cas échéant, à la direction générale et au conseil.
• évaluer les résultats : le management et/ou le conseil, selon le cas, évaluent les résultats des évaluations continues et des évaluations ponctuelles ;
• communiquer les déficiences : les déficiences sont communiquées aux parties chargées de prendre des mesures correctives ainsi qu’à la direction générale
et au conseil, le cas échéant ;
• effectuer le suivi des mesures correctives : le management effectue un suivi afin de s’assurer que les déficiences sont corrigées en temps voulu ;
contrôle interne.


4. Synthèse des déficiences
Synthèse des déficiences
N° ID Origine de la déficience du Description de Considérations La déficience du Responsable Plan d'actions Impact sur la Recenser toutes les déficiences du
contrôle interne la déficience relatives à la contrôle interne correctives mise en place/le contrôle interne liées à d'autres
interne sévérité de la est-elle fonctionnement principes qui pourraient avoir
déficience majeure ? (O/N) engendré cette déficience du
contrôle interne
Composante Principe
Ce modèle est un exemple de synthèse des déficiences. Le management peut adapter ce modèle en ajoutant des colonnes supplémentaires afin de le compiler avec d’autres
informations pertinentes.

Modèles D Évaluation Du COSO

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Modèles D Évaluation Du COSO

Transféré par

Droits d'auteur :

Formats disponibles

1.

Évaluation globale d’un système de contrôle interne

Évaluation globale d’un système de contrôle interne

Évaluation des risques

Les cinq composantes fonctionnent-elles conjointement de façon

Le système global de contrôle interne est-il efficace ? <O/N>*

Internal Control — Integrated Framework • May 2013 1

La déficience du contrôle Commentaires/Contr

Mise en place ? (O/N) Fonctionnement ? Justification de la conclusion

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 2

La déficience du contrôle Commentaires/Contr

Mise en place ? (O/N) Fonctionnement ? Justification de la conclusion

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 3

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 4

La déficience du contrôle Commentaires/Contr

Mise en place ? (O/N) Fonctionnement ? Justification de la conclusion

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 5

La déficience du contrôle Commentaires/Contr

Mise en place ? (O/N) Fonctionnement ? Justification de la conclusion

La déficience du contrôle Commentaires/Contr

Évaluation des déficiences au sein de la composante* :

Internal Control — Integrated Framework • May 2013 6

La déficience du contrôle Commentaires/Contr

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 7

La déficience du contrôle Commentaires/Contr

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

Internal Control — Integrated Framework • May 2013 8

La déficience du contrôle Commentaires/Contr

La déficience du contrôle Commentaires/Contr

Internal Control — Integrated Framework • May 2013 9

La déficience du contrôle Commentaires/Contr

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

Internal Control — Integrated Framework • May 2013 10

La déficience du contrôle Commentaires/Contr

La déficience du contrôle Commentaires/Contr

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

Internal Control — Integrated Framework • May 2013 11

L’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.

• (le cas échéant, autres points d’attention spécifiques.)

Déficiences liées au principe n° 1

Évaluation des déficiences au sein du principe* : <Commentaires>

Évaluer le principe en faisant appel au jugement** O/N Justification de la conclusion

Le principe est-il mis en place ?

Internal Control — Integrated Framework • May 2013 12

• (le cas échéant, autres points d’attention spécifiques.)

Synthèse des contrôles relatifs à l’application du principe n° 2

Déficiences liées au principe n° 2

Évaluation des déficiences au sein du principe* : <Commentaires>

Évaluer le principe en faisant appel au jugement** O/N Justification de la conclusion

Le principe est-il mis en place ?

Internal Control — Integrated Framework • May 2013 13

Internal Control — Integrated Framework • May 2013 14

• (le cas échéant, autres points d’attention spécifiques.)

Déficiences liées au principe n° 3

Évaluation des déficiences au sein du principe* : <Commentaires>