Définition du mot COSO

Le COSO est un référentiel de contrôle interne visant à limiter les tentatives de fraudes dans les
rapports financiers des entreprises. Il a été défini par le Committee of Sponsoring Organisation of
the Tread way Commission en 1992. Toutefois, ce n'est qu'à partir de 2002 que le modèle COSO a
véritablement émergé. Les lois américaines rendant obligatoire l'évaluation du contrôle interne pour
les sociétés faisant appel à l'épargne publique (suite aux scandales Enron et Worldcom), il est alors
adopté comme référentiel. En France, il faut attendre la loi de sécurité financière de 2003 pour le
voir se développer
Pour le référentiel COSO, le contrôle interne doit répondre à trois objectifs : un objectif d'efficacité
des opérations, un objectif de fiabilité des informations financières et un objectif de conformité à la
loi. Il définit également cinq composants constitutifs du contrôle interne : l'environnement de
contrôle, l'évaluation des risques, l'information et la communication, les activités de contrôle et enfin
le pilotage du contrôle.

L’évolution du référentiel COSO : du contrôle interne au

management des risques
Cet article a pour objectifs de décrire l’élaboration du premier framework COSO en
1992 dédié au contrôle interne d’une entreprise, la construction d’un second
framework COSO 2 en 2004 concernant davantage le management des risques
dans l’entreprise et enfin l’actualisation du premier framework COSO en 2013.
Différentes questions se posent : Tout d’abord, quelles sont les raisons qui ont
déclenché l’initiative de 5 organisations américaines à élaborer un référentiel
méthodologique pour le contrôle interne ? Ensuite, quelles sont les raisons qui ont
poussé ces mêmes organisations à dévier vers une vue globale de management des
risques et à construire un nouveau référentiel ? Quelles sont les principales
différences entre ces deux framework ? Enfin quelles sont les innovations de la
dernière version de COSO ?

A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The

American Accounting Association (AAA), The American Institute of Certified Public
Accountants (AICPA), Financial Executives International (FEI), The Institute of
Internal Auditors (IIA), The National Association of Accountants maintenant appelé
The Institute of Management Accountants (IMA) se sont alliées pour établir une
Commission Nationale appelée « Treadway Commission ».

Cette commission est indépendante de chacun des organismes qui la composent et

elle se consacre aux fraudes financières. Cette commission, comprenant des
représentants de l’industrie, de la comptabilité nationale, des sociétés de placement
en immobilier et de la bourse de New York, a mené une étude sur les facteurs
pouvant inciter à fournir des informations financières frauduleuses et a formulé des
recommandations pour les sociétés anonymes et leurs auditeurs indépendants ou
pour la Securities and Exchange Commission (SEC) et d’autres régulateurs.

Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-

Unis et soulèvent de sérieuses interrogations quant au système comptable, aussi
bien au niveau des normes actuelles que de leur mise en œuvre et leur contrôle.
Citons par exemple la faillite de la société Enron qui a subit d’énormes pertes en
raison des opérations spéculatives qu’elle a menées sur le marché de l’électricité et
qui avaient été maquillées en bénéfices via des manipulations comptables.

Ces scandales, ayant pris une dimension considérable, ont poussé la commission à
se réunir et réfléchir à la construction d’un cadre commun de contrôle interne. Une
étude a été menée et a abouti en 1992, à l’émergence
du modèle appelé COSO (Committee Of Sponsoring Organizations).

La commission définit le Contrôle Interne comme étant :

« Un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le
personnel d’une organisation, destiné à fournir une assurance raisonnable quand à
la réalisation des objectifs suivants :
– La réalisation et l’optimisation des opérations,
– La fiabilité des informations financières et de gestion,
– La conformité aux lois et aux réglementations en vigueur.

En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau

référentiel COSO 2 qui est axé davantage sur le processus de management des
risques en entreprise. De nombreux référentiels dans le domaine voient le jour dans
les mêmes années.
Cependant, le management des risques n’est pas une nouvelle pratique, il existait
bien avant la publication de ces référentiels. Mais ce qui change à l’heure actuelle,
c’est principalement le degré de méthodologie et de formalisme du management
des risques. En effet, cette tendance peut s’expliquer par deux facteurs :
– D’une part, l’évolution d’un contexte économique de plus en plus risqué pousse les
entreprises à se munir d’un processus de maitrise des risques efficace.
– D’autre part, l’apparition d’un renforcement de la gouvernance d’entreprise entraine
une surveillance accrue des comités d’administration et une transparence de la part
des dirigeants. Cela fait suite aux scandales financiers cités précédemment.

Le contexte économique de ces 30 dernières années et l’émergence de lois

financières ont incité les entreprises à renforcer leur système de management des
risques et leur gouvernance. Pour cela, la plupart des entreprises se basent sur le
référentiel COSO 2 mis en place par la Commission en 2004.

Si l’on s’intéresse maintenant aux différences entre COSO et COSO 2, on peut

mettre en exergue plusieurs d’entre elles.
– Tout d’abord, le COSO 2 a la particularité de parler à la fois de risque quand un
évènement impacte négativement l’entreprise mais aussi d’opportunité quand
l’impact est positif. Le COSO ne traitait pas l’opportunité.
– Le COSO 2 introduit aussi la notion d’ « appétence au risque » qui est le niveau
de risque auquel l’entreprise est prête à faire face et la notion de « seuil de
tolérance » qui correspond à la variation acceptable du niveau de risque par rapport
au niveau d’appétence défini.
– Ensuite, le COSO 2 prend en compte les objectifs stratégiques en plus des
objectifs opérationnels, de reporting et de conformité du COSO.
– Le COSO 2 élargit également la palette du dispositif de contrôle interne en
 ajoutant trois composants : la fixation des objectifs (pour identifier les évènements
nuisibles à leur atteinte), l’identification des évènements (risques et opportunités) et
le traitement des risques.
– Enfin le COSO 2 donne une dimension d’analyse supplémentaire en instaurant une
maitrise des risques de toutes les strates de l’entreprise, filiales comprises.

COSO 2

Le COSO 2 élargit donc le périmètre du COSO en ajoutant un ou plusieurs éléments

à chaque dimension du cube. COSO (et COSO 2) est actuellement le référentiel le
plus appliqué par les entreprises européennes.

En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai

2013. Le but de cette mise à jour est de prendre en compte les évolutions des
environnements opérationnels et les attentes accrues concernant le contrôle interne.
Tout en se reposant sur les principes fondamentaux de la version initiale, cette mise
à jour apporte plusieurs nouveautés significatives permettant la mise en œuvre
d’un dispositif plus agile s’alignant en permanence aux objectifs de l’organisation.

Les 5 composantes du contrôle interne

Date de mise à jour 
26/05/2014
Le contrôle interne poursuit un objectif global, la maîtrise par un organisme de ses activités. Il
est explicité ci-dessous via la méthodologie COSO. Même si celle-ci n’est pas la seule à traiter
du contrôle interne, elle est très largement répandue et se révèle adaptée pour structurer la
maîtrise des risques liés à la gestion des politiques publiques.
 Le référentiel COSO décline le contrôle interne en quatre objectifs opérationnels :

 le respect des lois, règlements, contrats ;

 la protection du patrimoine, dans une acception aujourd’hui élargie qui comprend, outre les
actifs de l’organisme, ses agents et son image ;

 la fiabilité et l’intégrité des informations financières et opérationnelles (fiables et vérifiables,

exhaustives, pertinentes, disponibles) ;
 l’efficacité et l’efficience des opérations.
 
Le COSO classe en 5 composantes les dispositifs qu’un organisme doit définir et mettre en œuvre
pour maîtriser au mieux ses activités. Ces 5 composantes de dispositifs sont déclinées pour chacun
des 4 objectifs décrits ci-dessus et à tous les niveaux de l’organisation : entité, directions, unités
opérationnelles, opérateurs (entités contrôlées).
 
1ère composante : un environnement interne favorable à la maîtrise des risques
Il repose notamment sur :

 une implication des responsables en termes d’intégrité et d’éthique,

 le pilotage des activités,

 une organisation appropriée (les différentes instances de gouvernance remplissent

pleinement leur rôle),

 une définition claire des responsabilités et des pouvoirs,

 des procédures formalisées et diffusées,

 la mobilisation des compétences.

 
2ème composante : une évaluation des risques
Celle-ci comprend deux temps :

 l’identification des risques sur la base d’une analyse des activités, tant au niveau global de
l’organisme qu’au niveau détaillé de chacune de ses activités ;

 la hiérarchisation de ces risques en fonction de leur impact en termes d’enjeux pour

l’organisme.
 
3ème composante : des activités de contrôle qui comprennent les dispositifs mis en place pour
maîtriser les risques de ne pas atteindre les objectifs fixés

 Les dispositifs doivent être proportionnés aux enjeux,

 ils peuvent être transverses à l’organisme, pour faire face à des risques généraux ou propres
à une activité,

 ils sont de natures diverses : mise en place d’une procédure, d’une méthode, action de
contrôle mutuel ou de supervision…
 
4ème composante : la maîtrise de l’information et de la communication
Elle recouvre :

 la qualité de l’information (contenu, délais de disponibilité, mise à jour, exactitude,

accessibilité) nécessaire au contrôle interne,

 la qualité des systèmes d’information, stratégiques et intégrés aux opérations,

 la définition des règles et modalités de communication interne (implication du secrétaire
général en matière de contrôle interne, bonne connaissance du dispositif de contrôle interne par les
agents),

 la communication externe (information à l’extérieur de l’organisme sur la mise en œuvre de la

démarche de contrôle interne).
 
5ème composante : le pilotage du contrôle interne
Il repose sur :

 l’appropriation du contrôle interne par chaque responsable qui doit le conduire à définir,
mettre en place, piloter les dispositifs de maîtrise des risques dans son périmètre de responsabilité ;

 une sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités) et
à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre cette appropriation ;

 des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle interne ;

 des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par l’audit
interne).