Académique Documents
Professionnel Documents
Culture Documents
PERFORMANCE
PAR PAR
Françoise Bergé Catherine Jourdan
Finance & gestion novembre-décembre 2013
du référentiel ?
sur leur dispositif de contrôle
interne et à identifier ainsi des
pistes d’amélioration.
Il est important de rappeler
Référentiel incontournable du contrôle interne depuis 20 ans, le COSO ici que le référentiel COSO
26 nouvelle version vient de voir le jour. Innovations et améliorations de cet n’étant pas une norme, il ne
outil d’analyse. définit pas de pratiques stan-
dards pour la mise en œuvre
des principes. Chaque organi-
PERFORMANCE
sitif. En effet, certains des cession non autorisées d’actifs, Le Conseil fait preuve d’indépendance vis-à-vis du management.
17 principes résonnent parti- analyse des opportunités de 2 Il surveille la mise en place et le bon fonctionnement du dispositif
de contrôle interne.
culièrement avec quelques- modification des registres
Prévenir le risque
Qu’il s’agisse de l’application
de nouvelles réglementations, 10 L’organisation sélectionne et développe les activités de contrôle
qui contribuent à ramener les risques à des niveaux acceptables.
de fraude de la mise en place d’un nou-
L’évaluation et la prévention veau système d’information 11 L’organisation sélectionne et développe des contrôles généraux
informatiques.
du risque de fraude est établi ou d’un centre de services par-
dans le COSO 2013 comme un
principe à part entière du
tagés, les organisations se
transforment en permanence
12 L’organisation met en place les activités de contrôle par le biais
de règles et de procédures qui mettent en œuvre ces règles.
contrôle interne (Principe n°8). pour s’adapter à leur environ- Information et communication
L’organisation doit envisager nement et rester performantes.
plusieurs types de fraude : la Dans ce contexte, l’enjeu en L’organisation génère des informations pertinentes et fiables
communication volontaire matière de contrôle interne est 13 nécessaires au bon fonctionnement des autres composantes
du contrôle interne.
d’informations erronées, le dé- double : adapter le dispositif
tournement d’actifs et la cor- en fonction des évolutions de L’organisation communique en interne les informations
ruption. Pour le COSO, cela l’organisation et assurer que le 14 nécessaires au bon fonctionnement des autres composantes
du contrôle interne.
présuppose que l’organisation niveau de maîtrise des activités
L’organisation communique avec les tiers sur les points
ait défini des règles de conduite
(Principe n°1) et qu’elle s’as-
est maintenu pendant les
phases de transition. Dans le 15 qui affectent le fonctionnement des autres composantes
du contrôle interne.
sure que ces règles sont respec- cas d’une fusion, par exemple,
tées par le management, les un socle commun des Activités de pilotage
collaborateurs et les presta- contrôles-clés peut être défini
L’organisation sélectionne, développe et réalise des évaluations
taires externes (Principes n°5 et
17). Les modalités de suivi pour
sur la base des différents réfé-
rentiels existants en
16 continues et/ou ponctuelles afin de vérifier si les composantes
du contrôle interne sont mises en place et fonctionnent.
les prestataires externes doivent attendant la définition d’un L’organisation évalue et communique en temps voulu
être spécifiquement prévues
dans le cadre de la gestion de la
référentiel de contrôle unique
et adapté aux nouveaux pro-
17 les faiblesses de contrôle interne aux parties chargées
de prendre des mesures correctives.
relation avec ces prestataires. cessus issus de la fusion.
EXPERTISES
PERFORMANCE
qu’elle adopte et décider, par éventuels d’ajustement des dispositifs. nouveaux enjeux de contrôle,
exemple, si tous les contrôles processus. Il est important, Le COSO, dans le Principe n°3 notamment en termes d’inter-
doivent figurer dans le système dans cette perspective, que le sur la définition des rôles et res- faces (humaines ou automati-
ou uniquement les contrôles dispositif de contrôle interne ponsabilités, reprend donc le sées) entre l’organisation et ses
dit « clés ». soit conçu et piloté en mettant concept des « trois lignes de prestataires.
Le COSO 2013 traite égale- l’accent sur la contribution du défense » (lines of defence).La Par ailleurs, puisque l’organi-
ment spécifiquement des en- contrôle interne à la maîtrise première ligne est de la respon- sation garde la responsabilité
jeux liés aux transformations des opérations. sabilité du management qui ultime des activités qu’elle dé-
en introduisant le Principe n°9 conçoit et met en place des lègue, elle doit définir contrac-
sur l’évaluation du change- Dans le COSO 2013, l’impli- contrôles au sein de leurs acti- tuellement ses attentes en
ment. Ce principe met en avant cation du management passe vités. Les fonctions support, en matière de contrôle interne et
le besoin d’anticiper les change- par la définition claire des rôles seconde ligne, apportent exper- être en capacité de porter un
ments pour mieux y répondre. et des responsabilités (Principe tise et conseil au management regard sur l’ef ficacité du
Toutefois, la capacité d’antici- n°3), l’appui de spécialistes du et pilotent les dispositifs en contrôle interne exercé par ses
pation dépendra aussi de l’exis- contrôle interne et l’instaura- transverse. En dernière ins- prestataires. Afin d’y parvenir,
tence de flux de communica- tion pour chacun d’un devoir tance (troisième ligne), l’audit elle peut s’appuyer sur des indi-
tion internes adaptés (Principe de rendre compte de ses res- interne apporte un regard indé- cateurs communiqués par les
n°14) qui doivent permettre ponsabilités en matière de pendant sur l’efficacité des dis- prestataires (key risks indica-
28 d’identifier les changements à contrôle interne (Principe n°5). positifs. Ces trois lignes contri- tors…), des audits conduits par
venir, d’analyser leur impact Les modalités de mise en œuvre buent alors à l’amélioration en le service d’audit interne ou des
sur le dispositif de contrôle in- de ce dernier principe ont une continu. Dans une position rapports d’audit émis par un
terne de l’organisation et de grande influence sur le niveau commune « Trois lignes de tiers (Third Party Assurance)
cadrer la contribution du d’implication du management. maîtrise pour une meilleure selon les normes ISAE 3402,
contrôle interne tout au long Il pourra par exemple s’agir performance » publiée en ISAE 3000… Les 17 principes
du projet de transformation. d’intégrer la responsabilité du juin 2013, l’IFACI et de fournissent donc à l’organisa-
contrôle interne dans les objec- l’AMRAE développent ce tion un cadre pour établir ses
Mobiliser tifs des managers, notamment concept. attentes et évaluer l’efficacité
le management la tenue d’une revue annuelle Par ailleurs, la mise en cohé- des dispositifs mis en œuvre par
et instaurer le tone du contrôle interne qui ne se rence des dispositifs repose les prestataires pour y ré-
in the middle portera pas uniquement sur les aussi, dans la mesure du pos- pondre. l
La définition des attentes besoins de mise en place de sible, sur la mise en commun
(Principe n°1) et l’engagement nouveaux contrôles mais qui des référentiels et des outils. La
de la direction générale (tone at traitera aussi des résultats des plupart des éditeurs ont au-
the top), au travers notamment contrôles réalisés et du traite- jourd’hui pris en compte ce
de la supervision qu’elle effec- ment des écarts ou des dysfonc- besoin et proposent des solu-
tue, sont primordiaux pour tionnements ainsi repérés. tions logicielles traitant au sein
l’efficacité du contrôle interne. Toutefois, pour que toutes ces d’un même environnement le
Mais c’est au niveau du mana- dispositions aient une portée risk management, le contrôle
gement opérationnel de l’orga- réelle, l’ensemble des dispositifs interne, la conformité et l’audit 1. COSO Internal Control – Integrated
nisation que le contrôle in- contribuant à la maîtrise des interne. Framework
terne est effectivement mis en opérations (système de mana-
2. Le référentiel d’origine ainsi que sa
œuvre ou non. L’efficacité du gement intégré, éthique et Maîtriser les mise à jour ont été rédigés par PwC,
dispositif de contrôle interne conformité, risk management, opérations sous l’autorité du COSO (Committee
repose en grande partie sur audit interne) doivent être « li- externalisées of Sponsoring Organizations of the
l’implication du management sibles » pour le management. Les organisations font de plus Treadway Commission), duquel fait
notamment partie l’Institute of
opérationnel dans la définition Or, cette « lisibilité » nécessite en plus souvent appel à des Internal Auditors (IIA). En tant que
des contrôles et le suivi des ré- une définition claire des rôles, partenaires commerciaux et à membre de l’IIA, l’IFACI a participé
sultats des contrôles effectués des responsabilités des acteurs des prestataires de services à cette élaboration.