EXPERTISES
PERFORMANCE
PAR
Françoise Bergé
Finance & gestion novembre-décembre 2013
associée PwC
COSO 2013
Que retenir de
cette nouvelle version
du référentiel ?
Référentiel incontournable du contrôle interne depuis 20 ans, le COSO
26 nouvelle version vient de voir le jour. Innovations et améliorations de cet
outil d’analyse.
D epuis plus de vingt
ans, le COSO1 est une référence
incontournable du contrôle
interne. Ce référentiel publié en
1992 en a établi les fondamen-
taux et a été utilisé par de nom-
breuses organisations dans le
monde pour définir les bases de
leur dispositif de contrôle in-
terne. Or, depuis 1992, les orga-
nisations et l’environnement
dans lequel elles opèrent ont
beaucoup changé (préémi-
nence de la technologie, recours
croissant à l’externalisation,
Le COSO 2013 traite
spécifiquement des enjeux
liés aux transformations
renforcement des obligations
de reporting…). Elles ont donc
dû adapter leurs pratiques de
contrôle interne aux nouveaux
enjeux ainsi générés. Recon-
naissant ces évolutions de
l’environnement et par consé-
quent le besoin d’adaptation du
contrôle interne, COSO a décidé
de mettre à jour son référentiel.
Le COSO 2013 est donc paru
en mai dernier dans sa version
anglaise2. Une version fran-
çaise est actuellement en cours
de finalisation par l’IFACI et
PwC. Elle sera publiée d’ici dé-
but 2014.
Les principales évolutions
apportées par cette nouvelle
version du référentiel sont in-
troduites au travers de la codi-
fication des 17 principes sous-
jacents aux 5 composantes du
contrôle interne. L’efficacité du
PAR
Catherine Jourdan
directrice PwC
contrôle interne reposant sur
la déclinaison de ces 5 compo-
santes – et donc dans la version
2013 des 17 principes – le
COSO 2013 peut être abordé
par les organisations comme
un outil mis à leur disposition
pour les aider à faire un point
sur leur dispositif de contrôle
interne et à identifier ainsi des
pistes d’amélioration.
Il est important de rappeler
ici que le référentiel COSO
n’étant pas une norme, il ne
définit pas de pratiques stan-
dards pour la mise en œuvre
des principes. Chaque organi-
sation choisit les pratiques qui
lui sont les plus adaptées.
Toutefois, afin de permettre
aux organisations de faire ce
choix, le référentiel développe
des points d’attention pour la
mise en œuvre de chacun des
17 principes. Il fournit égale-
ment des exemples issus des
pratiques des nombreuses
organisations qui ont contri-
bué à son élaboration. Un re-
cueil séparé (COSO Internal
Control over External Financial
Reporting – ICEFR) décrit di-
verses approches et cas pra-
tiques afin d’illustrer la mise
en œuvre des 17 principes du
contrôle interne dans le cadre
de l’établissement des rap-
ports financiers. Des recueils
similaires pourraient être éla-
borés par la suite sur l’appli-
cation des 17 principes à
d’autres objectifs comme le
reporting non-financier.
 EXPERTISES

PERFORMANCE

En analysant sans a priori et Le COSO fournit également

avec pragmatisme les pratiques
existantes au regard des
17 principes, les organisations
devraient identifier des pistes de
réflexion pour améliorer, ren-
forcer, mais aussi – dans cer-
tains cas – simplifier leur dispo-
des éléments sur l’analyse que
Dix-sept principes sous-jacents
l’organisation doit mettre en
aux cinq composantes du contrôle interne
place pour évaluer le risque de
fraude : analyse des facteurs de Environnement de contrôle
motivation et des pressions,
analyse des opportunités d’ac-
quisition, d’utilisation ou de 1 L’organisation manifeste son engagement
en faveur de l’intégrité et de valeurs éthiques.

sitif. En effet, certains des cession non autorisées d’actifs, Le Conseil fait preuve d’indépendance vis-à-vis du management.
17 principes résonnent parti- analyse des opportunités de 2 Il surveille la mise en place et le bon fonctionnement du dispositif
de contrôle interne.
culièrement avec quelques- modification des registres

Finance & gestion novembre-décembre 2013

unes des principales préoccu-
pations des organisations
vis-à-vis de leur dispositif de
contrôle interne :
- prévenir le risque de fraude ;
comptables, analyse des possi-
bilités de commettre et de justi-
fier des actes inappropriés… En
fonction des résultats de ces
analyses, l’organisation devra
Le management, agissant sous la surveillance du Conseil,
3 définit les structures, les rattachements, ainsi que les pouvoirs
et les responsabilités.
4 L’organisation manifeste son engagement à attirer,
former et fidéliser des collaborateurs compétents.

- adapter le contrôle interne définir des contrôles et mettre

aux transformations de l’orga-
nisation ;
- mobiliser le management et
instaurer le tone in the middle.
- assurer la cohérence entre les
dispositifs contribuant à la maî-
trise des activités (système de
management intégré, éthique
et conformité, risk manage-
ment, audit interne) ;
- maîtriser les opérations exter-
nalisées.
La suite de cet article fournit
des éléments sur la façon dont
alors en place un suivi des prin- 5 L’organisation instaure pour chacun un devoir de rendre
compte de ses responsabilités en matière de contrôle interne.
cipales zones de vulnérabilité,
par exemple au travers d’ana- Évaluation des risques
lyses de données. Le COSO in-
L’organisation définit des objectifs de façon suffisamment
siste enfin sur l’importance de
l’analyse a posteriori des cas de 6 claire pour rendre possible l’identification et l’évaluation
des risques susceptibles d’affecter leur réalisation.
fraude avérés dans le but de L’organisation identifie les risques associés à la réalisation de
renforcer l’efficacité du disposi-
tif de prévention (principe
7 ses objectifs dans l’ensemble de son périmètre et procède à leur
analyse de façon à déterminer comment ils doivent être gérés.
n°17).
8 L’organisation intègre le risque de fraude dans son évaluation
des risques.
Adapter
le contrôle interne
en fonction des
9 L’organisation identifie et évalue les changements qui pourraient
avoir un impact significatif sur le système de contrôle interne. 27

le référentiel COSO approche transformations Activités de contrôle

ces thématiques. de l’organisation

Prévenir le risque
de fraude
L’évaluation et la prévention
du risque de fraude est établi
dans le COSO 2013 comme un
principe à part entière du
Qu’il s’agisse de l’application
de nouvelles réglementations, 10 L’organisation sélectionne et développe les activités de contrôle
qui contribuent à ramener les risques à des niveaux acceptables.
de la mise en place d’un nou-
veau système d’information 11 L’organisation sélectionne et développe des contrôles généraux
informatiques.
ou d’un centre de services par-
tagés, les organisations se
transforment en permanence
12 L’organisation met en place les activités de contrôle par le biais
de règles et de procédures qui mettent en œuvre ces règles.

contrôle interne (Principe n°8).
L’organisation doit envisager
plusieurs types de fraude : la
communication volontaire
d’informations erronées, le dé-
tournement d’actifs et la cor-
ruption. Pour le COSO, cela
présuppose que l’organisation
ait défini des règles de conduite
(Principe n°1) et qu’elle s’as-
sure que ces règles sont respec-
tées par le management, les
collaborateurs et les presta-
taires externes (Principes n°5 et
17). Les modalités de suivi pour
les prestataires externes doivent
être spécifiquement prévues
dans le cadre de la gestion de la
relation avec ces prestataires.
pour s’adapter à leur environ-
nement et rester performantes.
Dans ce contexte, l’enjeu en
matière de contrôle interne est
double : adapter le dispositif
en fonction des évolutions de
l’organisation et assurer que le
niveau de maîtrise des activités
est maintenu pendant les
phases de transition. Dans le
cas d’une fusion, par exemple,
un socle commun des
contrôles-clés peut être défini
sur la base des différents réfé-
rentiels existants en
attendant la définition d’un
référentiel de contrôle unique
et adapté aux nouveaux pro-
cessus issus de la fusion.
Information et communication
L’organisation génère des informations pertinentes et fiables
13 nécessaires au bon fonctionnement des autres composantes
du contrôle interne.
L’organisation communique en interne les informations
14 nécessaires au bon fonctionnement des autres composantes
du contrôle interne.
L’organisation communique avec les tiers sur les points
15 qui affectent le fonctionnement des autres composantes
du contrôle interne.
Activités de pilotage
L’organisation sélectionne, développe et réalise des évaluations
16 continues et/ou ponctuelles afin de vérifier si les composantes
du contrôle interne sont mises en place et fonctionnent.
L’organisation évalue et communique en temps voulu
17 les faiblesses de contrôle interne aux parties chargées
de prendre des mesures correctives.
 EXPERTISES
PERFORMANCE
Par ailleurs, le dispositif mis
en place par l’organisation ne
doit pas générer trop de rigi-
dité lors des changements.
Cela est particulièrement cri-
tique lorsque l’organisation
implémente une solution logi-
cielle dédiée au contrôle in-
terne. L’organisation devra
alors notamment définir le
niveau de documentation
Finance & gestion novembre-décembre 2013
qu’elle adopte et décider, par
exemple, si tous les contrôles
doivent figurer dans le système
ou uniquement les contrôles
dit « clés ».
Le COSO 2013 traite égale-
ment spécifiquement des en-
jeux liés aux transformations
en introduisant le Principe n°9
sur l’évaluation du change-
ment. Ce principe met en avant
le besoin d’anticiper les change-
ments pour mieux y répondre.
Toutefois, la capacité d’antici-
pation dépendra aussi de l’exis-
tence de flux de communica-
tion internes adaptés (Principe
n°14) qui doivent permettre
28 d’identifier les changements à
venir, d’analyser leur impact
sur le dispositif de contrôle in-
terne de l’organisation et de
cadrer la contribution du
contrôle interne tout au long
du projet de transformation.
Mobiliser
le management
et instaurer le tone
in the middle
La définition des attentes
(Principe n°1) et l’engagement
de la direction générale (tone at
the top), au travers notamment
de la supervision qu’elle effec-
tue, sont primordiaux pour
l’efficacité du contrôle interne.
Mais c’est au niveau du mana-
gement opérationnel de l’orga-
nisation que le contrôle in-
terne est effectivement mis en
œuvre ou non. L’efficacité du
dispositif de contrôle interne
repose en grande partie sur
l’implication du management
opérationnel dans la définition
des contrôles et le suivi des ré-
sultats des contrôles effectués
L’organisation doit mettre
en place des éléments pour
évaluer le risque de fraude
afin d’identifier des besoins
éventuels d’ajustement des
processus. Il est important,
dans cette perspective, que le
dispositif de contrôle interne
soit conçu et piloté en mettant
l’accent sur la contribution du
contrôle interne à la maîtrise
des opérations.
Dans le COSO 2013, l’impli-
cation du management passe
par la définition claire des rôles
et des responsabilités (Principe
n°3), l’appui de spécialistes du
contrôle interne et l’instaura-
tion pour chacun d’un devoir
de rendre compte de ses res-
ponsabilités en matière de
contrôle interne (Principe n°5).
Les modalités de mise en œuvre
de ce dernier principe ont une
grande influence sur le niveau
d’implication du management.
Il pourra par exemple s’agir
d’intégrer la responsabilité du
contrôle interne dans les objec-
tifs des managers, notamment
la tenue d’une revue annuelle
du contrôle interne qui ne se
portera pas uniquement sur les
besoins de mise en place de
nouveaux contrôles mais qui
traitera aussi des résultats des
contrôles réalisés et du traite-
ment des écarts ou des dysfonc-
tionnements ainsi repérés.
Toutefois, pour que toutes ces
dispositions aient une portée
réelle, l’ensemble des dispositifs
contribuant à la maîtrise des
opérations (système de mana-
gement intégré, éthique et
conformité, risk management,
audit interne) doivent être « li-
sibles » pour le management.
Or, cette « lisibilité » nécessite
une définition claire des rôles,
des responsabilités des acteurs
et une grande cohérence des
dispositifs.
Le COSO, dans le Principe n°3
sur la définition des rôles et res-
ponsabilités, reprend donc le
concept des « trois lignes de
défense » (lines of defence).La
première ligne est de la respon-
sabilité du management qui
conçoit et met en place des
contrôles au sein de leurs acti-
vités. Les fonctions support, en
seconde ligne, apportent exper-
tise et conseil au management
et pilotent les dispositifs en
transverse. En dernière ins-
tance (troisième ligne), l’audit
interne apporte un regard indé-
pendant sur l’efficacité des dis-
positifs. Ces trois lignes contri-
buent alors à l’amélioration en
continu. Dans une position
commune « Trois lignes de
maîtrise pour une meilleure
performance » publiée en
juin 2013, l’IFACI et de
l’AMRAE développent ce
concept.
Par ailleurs, la mise en cohé-
rence des dispositifs repose
aussi, dans la mesure du pos-
sible, sur la mise en commun
des référentiels et des outils. La
plupart des éditeurs ont au-
jourd’hui pris en compte ce
besoin et proposent des solu-
tions logicielles traitant au sein
d’un même environnement le
risk management, le contrôle
interne, la conformité et l’audit
interne.
Maîtriser les
opérations
externalisées
Les organisations font de plus
en plus souvent appel à des
partenaires commerciaux et à
des prestataires de services
(internes ou externes) à tous
les niveaux de la chaîne de
valeur ainsi qu’au sein des
fonctions supports. Ces choix
organisationnels permettent de
standardiser et de rationaliser
les processus. Ils présentent
ainsi des opportunités de meil-
leure maîtrise des opérations et
de réduction des coûts. Cepen-
dant, ils présentent aussi de
nouveaux enjeux de contrôle,
notamment en termes d’inter-
faces (humaines ou automati-
sées) entre l’organisation et ses
prestataires.
Par ailleurs, puisque l’organi-
sation garde la responsabilité
ultime des activités qu’elle dé-
lègue, elle doit définir contrac-
tuellement ses attentes en
matière de contrôle interne et
être en capacité de porter un
regard sur l’ef ficacité du
contrôle interne exercé par ses
prestataires. Afin d’y parvenir,
elle peut s’appuyer sur des indi-
cateurs communiqués par les
prestataires (key risks indica-
tors…), des audits conduits par
le service d’audit interne ou des
rapports d’audit émis par un
tiers (Third Party Assurance)
selon les normes ISAE 3402,
ISAE 3000… Les 17 principes
fournissent donc à l’organisa-
tion un cadre pour établir ses
attentes et évaluer l’efficacité
des dispositifs mis en œuvre par
les prestataires pour y ré-
pondre. l
1. COSO Internal Control – Integrated
Framework
2. Le référentiel d’origine ainsi que sa
mise à jour ont été rédigés par PwC,
sous l’autorité du COSO (Committee
of Sponsoring Organizations of the
Treadway Commission), duquel fait
notamment partie l’Institute of
Internal Auditors (IIA). En tant que
membre de l’IIA, l’IFACI a participé
à cette élaboration.