COSO 3

Historique :
Depuis plus de vingt ans, le COSO est une référence incontournable dans le domaine du
contrôle interne à travers le monde. Il a été défini par le Committee of Sponsoring Organisation of
the Tread way Commission en 1992 dans le but de limiter les tentatives de fraudes dans les rapports
financiers des entreprises et l’adaptation du dispositif de contrôle interne aux enjeux
d’aujourd’hui et de demain.
Elaboré par PwC en 2013 Le « COSO 3 » constitue un référentiel majeur en matière de contrôle
interne. Il intègre les nouveaux risques, les attentes en matière de gouvernance, le recours à
l’externalisation, la communication non financière, la fraude etc… et d’une manière générale les
évolutions de l’environnement économique, technologique et organisationnel des entreprises.
Composantes :
Le référentiel COSO 2013 contient les éléments essentiels du référentiel COSO de 1992, en
particulier la définition, les cinq composantes, et les critères d’évaluation, en ajoutant 17
principes qui reposent sur la déclinaison des cinq composantes et aussi développe des points
d’attention pour la mise en œuvre de chacun des 17 principes.

5 Composantes 17 Principes 85 Points d’attention illustratifs

1. Environnement de contrôle Principes 1 à 5 20 points d’attention

Évaluation des risques Principes 6 à 9 25 points d’attention

Activités de contrôle Principes 10 à 12 16 points d’attention

Information et communication Principes 13 à 15 14 points d’attention

Activités de pilotage Principes 16 et 17 10 points d’attention

En analysant sans a priori et avec pragmatisme les pratiques existantes au regard des 17 principes, les
organisations devraient identifier des pistes de réflexion pour améliorer, renforcer mais aussi dans
certains cas simplifier leur dispositif. En effet certains des 17 principes résonnent particulièrement
avec quelques-unes des principales préoccupations des organisations vis-à-vis de leur dispositif de
contrôle interne :

 Prévenir le risque de fraude,

 Adapter le contrôle interne aux transformations de l’organisation,
 Mobiliser le management et instaurer le «tone in the middle»,
 Assurer la cohérence entre les dispositifs contribuant à la maîtrise des activités (système de
management intégré, éthique et conformité, risk management, audit interne),
 Maîtriser les opérations externalisées.

COSO 4

Après quatre ans de l’élaboration de COSO 3 une nouvelle version de COSO est née « COSO
ERM 2017 ». Intitulé d’une démarche à intégrer avec la stratégie et la performance, ce nouveau
COSO a été mis en place afin de répondre aux enjeux actuels des organes de gouvernances :
 Transparence et fiabilité demandé auprès des parties prenantes
 Contexte de plus en plus complexe, centré sur les nouvelles technologies
 Prise de conscience suite aux incident (crises, attaques, cybercriminalité…)

Composantes :
Le cadre de référence de COSO 4 qui est basé sur Le management des risques de l’entreprise propose un
ensemble de vingt principes organisés en cinq composantes interdépendantes :

1. Gouvernance et culture :
La gouvernance donne le ton dans l’organisation, en persistant sur l’importance du management des
risques de l’entreprise et en identifiant les responsabilités de surveillance de cette démarche. La culture
correspond aux valeurs éthiques, aux comportements souhaités et à la compréhension des risques dans
l’entité.

Cette composante contient les 5 premiers principes :

- Exercer une surveillance des risques par le conseil

- Définir les structures organisationnelles

- Définir la culture souhaitée

- Démontrer l’engagement en faveur de valeurs fondamentales

- Attirer, former et fidéliser des personnes compétentes.

2. Stratégie et définition des objectifs :
Le management des risques de l’entreprise, la stratégie et la définition des objectifs participent
simultanément à la procédure de planification stratégique. L’appétence pour le risque est définie et
ajustée à la stratégie.

Les principes de cette composante sont de 6 à 9

3. Performance :
Les risques qui peuvent affecter la réalisation de la stratégie et des objectifs opérationnels doivent être
identifiés et évalués. Les risques sont priorisés d'après leur criticité dans le contexte de l’appétence pour
le risque de l’organisation. L'organisation nomine ensuite les modalités de traitement des risques et
analyse en matière de portefeuille le niveau de risque assumé.

La composante performance contient les principes de 10 à 14

4. Revue et amendement :
En examinant la performance de l’entité, une organisation peut prendre en considération la façon dont
les composantes du management des risques fonctionnent au fil du temps, et en fonction des
changements substantiels, ainsi que les potentiels amendements nécessaires.

Cette quatrième composante englobe les principes (15,16 et 17)

5. Information, communication et reporting :

Le management des risques de l’entreprise requis un processus permanent d’obtention et de
distribution des informations nécessaires, provenant de sources internes et externes, qui sont
communiqués de façon ascendante, descendantes ou transversales dans l’organisation.

La dernière composante contient les 3 derniers principes de 18 à 20.

Synthèse :
Le COSO ERM 2017 vise principalement donc à la fois pragmatique et connecté aux problématiques
actuelles et futures de la gouvernance. Sûrement la clef du succès pour faire une gestion de risques un
outil de gestion à la fois efficace, accepté et pertinent.