Groupe Professionnel Contrôle Interne

FICHE DE BONNES PRATIQUES DU CONTROLE INTERNE

COSO 2013

INTRODUCTION
Points clés
▪ Le COSO 2013 est un référentiel internationalement reconnu pour la conception, la mise en place et le pilotage du contrôle interne incluant
l’évaluation de son efficacité. Il a vocation à couvrir les 3 catégories d'objectifs (opérations, reporting et conformité) à tous les niveaux de
l'organisation.
▪ Le COSO segmente le référentiel en 5 composantes, déclinées en 17 principes et 85 points d'attention.
▪ Une assurance raisonnable de la maîtrise des risques et de l'activité implique que chaque principe est à considérer indépendamment des autres ;
un principe défaillant conduit à une défaillance du contrôle interne.
▪ L'objectif de cette fiche est d'apporter des éléments pratiques (contrôle interne ou métier à vérifier par le contrôle interne) à l'application de
chacun des principes.
▪ Ils sont à adapter à l’organisation et peuvent servir d'auto-évaluation.
Note
Le conseil désigne la gouvernance de l’organisation. Celle-ci regroupe la ou les personnes assumant la responsabilité (redevabilité) de l’organisation.
Le cadre de gouvernance est structuré par une raison d’être, des engagements et des valeurs, des relations avec les parties prenantes, une stratégie,
des politiques, une surveillance et un pilotage.
Le management est constitué des responsables internes (hiérarchiques ou transversaux) pilotant et organisant les activités ou processus/flux de
bout en bout aux différents niveaux et rendant compte à la gouvernance.
Dans certains cas, le management n'est pas indépendant de la gouvernance/conseil, néanmoins, le COSO traite ces deux rôles de manière distincte
et indépendante.
▪

PRINCIPES BONNES PRATIQUES

1. L’organisation démontre
son engagement en faveur
de l’intégrité et des valeurs
éthiques
ENVIRONNEMENT DE CONTRÔLE INTERNE
▪ L’organisation définit une démarche éthique s'appuyant sur une raison d'être, une charte de
déontologie, le comité associé et s'assure :
o du déploiement de cette démarche par un réseau éthique, les RH, des relais de conformité et le
management à tous les niveaux ;
o de l'adhésion des collaborateurs à celle-ci ;
o de l'évaluation du respect de cette démarche.
▪ L’organisation réalise périodiquement une communication sur les comportements attendus en
matière d’éthique et sur le dispositif de signalement d’agissements répréhensibles.
La fonction contrôle interne peut contribuer à la formulation et la formalisation de ces éléments, ainsi
qu’à leur suivi et à la gestion des écarts.

2. Le conseil fait preuve
d'indépendance vis-à-vis du
management et surveille la
mise en place et le bon
fonctionnement du contrôle
interne.
▪ Le management de l'organisation établit et communique :
3. Le management, agissant
sous la surveillance du
conseil, définit les
structures, les
rattachements, ainsi que les
pouvoirs et responsabilités
▪ Lors de l'attribution des responsabilités, le management veille à l'absence de conflits d'intérêt
appropriés pour atteindre les
objectifs.
▪ L'organisation nomme un référent pour la mise en œuvre de la fonction contrôle interne. Cette
Les valeurs éthiques comprennent la prévention et la lutte contre la fraude et la corruption, contre le
harcèlement (moral, sexuel, d'identité de genre…) et les agissements qui en découlent, la protection des
données personnelles, la diversité et l'inclusion.
▪ Le conseil structure sa démarche de surveillance du management (comités, membres indépendants,
expertises essentielles, connaissance des parties liées).
▪ Le conseil réalise périodiquement une évaluation de sa composition, son organisation, son
fonctionnement incluant son indépendance (dont l’absence de conflits d’intérêt) ; cette évaluation
porte également sur les comités du conseil.
▪ Le conseil et ses comités s’assurent de la maîtrise des activités (approbation des plans d’audits, revue
des cartographies des risques, développement du dispositif de contrôle interne incluant l'évaluation
de son efficacité et les plans d'action d'amélioration).
o les structures organisationnelles (responsabilités et autorités) avec leurs activités afférentes et
adapte les comités internes en fonction des objectifs et de leurs évolutions (organigrammes, notes
d'organisation, nominations et fiches de poste, …) ;
o chaque activité ou processus/flux de bout en bout est porté par un responsable qui devra s’assurer
que le dispositif de contrôle interne permet de maîtriser les objectifs assignés ;
o les délégations de pouvoir et de signature, systématiquement mises à jour à chaque
changement, doivent respecter les principes de séparation des tâches.
(interne/externe).
fonction dispose d’un accès direct à la gouvernance et d’un positionnement dans l’organisation qui lui
assure l’indépendance de son action.

4. L’organisation démontre
son engagement à attirer,
former et fidéliser les
personnes compétentes
conformément aux objectifs.
5. L’organisation instaure
pour chacun un devoir de
rendre compte de ses
responsabilités en matière
de contrôle interne afin
d’atteindre les objectifs.
▪ Les objectifs doivent être adaptés aux priorités stratégiques, aux lois, réglementations, contexte en
6. L’organisation définit des
objectifs de façon
▪ La fonction contrôle interne peut aider à décliner les objectifs de l’organisation notamment en termes
suffisamment claire pour
rendre possible
l’identification et l’évaluation
des risques susceptibles
d’affecter leur réalisation.
7. L’organisation identifie les
risques susceptibles
EVALUATION DES RISQUES
d’affecter la réalisation de
ses objectifs dans l’ensemble
de son périmètre et procède
à leur analyse de façon à
déterminer comment ils
doivent être gérés.
8. L’organisation intègre le
risque de fraude dans son
évaluation des risques
susceptibles d'affecter la
réalisation des objectifs.
9. L’organisation identifie et
évalue les changements qui
pourraient avoir un impact
significatif sur le système de
contrôle interne.
Groupe Professionnel Contrôle Interne
▪ L'organisation adapte, en fonction des besoins de sa stratégie, des attentes du marché de l'emploi et
des collaborateurs :
o la culture d'entreprise (par le biais de chartes, codes de conduites, programmes RSE /
développement durable, dont elle fait la promotion en interne comme en externe) ;
o la politique RH (diversité, rémunérations et épargne salariale, formations, évaluations, travail à
distance, mobilité, équilibre vie professionnelle et privée, autres avantages …).
▪ L'organisation travaille sur son image de marque employeur, sa notoriété et sa réputation.
▪ La fonction contrôle interne s'assure que le conseil et le management :
o attribuent et communiquent des responsabilités, clairement définies par rapport aux objectifs ;
o définissent et évaluent régulièrement :
▪ la pertinence des indicateurs de performance (indicateurs quantitatifs, qualitatifs,
avancement des plans d'action…) par rapport aux objectifs,
▪ les incitations et gratifications;
o limitent et évaluent les pressions excessives (objectifs irréalistes, moyens inadaptés, part
variable importante...);
o évaluent l'exercice des responsabilités de contrôle interne, récompensent ou sanctionnent selon
les résultats.
s'assurant qu'ils soient exprimés en termes précis, mesurables ou observables, réalisables, pertinents
et définis dans le temps.
de pertinence et de cohérence, relativement :
o aux opérations ;
o au reporting financier externe ;
o au reporting extra-financier externe ;
o au reporting interne ;
o à la conformité.
▪ L’organisation met en œuvre des démarches d'identification et d'évaluation des risques pour :
o couvrir les niveaux des structures organisationnelles et les activités métiers/transverses ;
o impliquer le bon niveau de management (expertise) et le cas échéant une revue indépendante ;
o prendre en compte les facteurs de risques externes ;
o s’appuyer sur une méthodologie d'analyse de risques1 qui permet d'encadrer et d’apprécier
l'impact et la vraisemblance (probabilité sur la base des éléments de maîtrise existants) ;
o prévoir les modalités de leur traitement (acceptation, évitement ou refus, réduction, partage),
leur suivi, selon l'appétence aux risques de l'organisation ;
o adopter une approche concertée des facteurs de risques communs.
▪ Chaque risque est porté par un référent qui s’assure de la mise en œuvre de ces démarches.
▪ Chaque responsable, veille à la maîtrise de ses risques afférents, en collaboration avec les référents
risques, et s'assure que chaque élément de maîtrise a un responsable.
Quelques références :
• "Fiche des bonnes pratiques CI Achats" sur la base documentaire IFACI "Contrôle Interne – Groupe Professionnel"
• "Fiche des bonnes pratiques CI Ventes" sur la base documentaire IFACI "Contrôle Interne – Groupe Professionnel"
• "Fiche des bonnes pratiques CI RH" sur la base documentaire IFACI "Contrôle Interne – Groupe Professionnel"
• 1 ISO 31000 relative au management (à la gestion) des risques
▪ L'évaluation du risque de fraude doit prendre en compte :
o les réglementations locales applicables ;
o les différents types de fraude (reporting frauduleux, perte éventuelle d'actifs, corruption…) ;
o les facteurs d'incitations, de pressions, d'opportunités… ;
o les comportements inappropriés et leurs justifications.
▪ La fonction contrôle interne s’appuie selon les cas sur une fonction dédiée (exemple : conformité).
Quelques références :
• ISO 37001 et ISO 37301 relatives aux systèmes de management (de gestion) anti-corruption et de la conformité
▪ Afin d'alimenter l'analyse de risques, l'organisation doit détecter les évolutions (veille de
l'environnement externe, surveillance des changements du modèle économique ou du management)
pouvant affecter ses objectifs.
▪ L'organisation met en place un processus de revue de ces évolutions (changements internes
temporaires, permanents ou externalisation) et identifie les impacts sur le dispositif de contrôle
interne, notamment en lien avec l'analyse de risques.

10. L’organisation
sélectionne et développe
des activités de contrôle qui
visent à maîtriser et à
ramener à un niveau
acceptable les risques
susceptibles d’affecter la
réalisation des objectifs.
ACTIVITES DE CONTROLE
11. L’organisation
sélectionne et développe
des contrôles généraux
informatiques pour faciliter
la réalisation des objectifs.
12. L’organisation déploie les
activités de contrôle par le
biais de règles qui précisent
les objectifs poursuivis, et de
procédures qui permettent
de mettre en œuvre ces
règles.
INFORMATION ET
COMMMUNICATI
13. L'organisation obtient,
produit et utilise des
informations pertinentes et
ON
de qualité pour faciliter le
fonctionnement du contrôle
interne.
Groupe Professionnel Contrôle Interne
Les activités de contrôle désignent les actions définies par les règles et procédures qui visent à apporter
l'assurance raisonnable d'une maîtrise des risques. Les activités de contrôle sont réalisées à tous les
niveaux de l'organisation et à diverses étapes des processus métier.
▪ Le développement des activités de contrôle dépend des particularités de l'organisation (par exemple
: complexité, importance ou criticité des activités…) et de l’évaluation des risques.
▪ Elles peuvent être transverses, spécifiques à une activité, et sont adaptées aux différents niveaux de
l'organisation.
▪ Les activités de contrôle peuvent être manuelles ou automatisées, préventives ou détectives.
▪ Chaque activité de contrôle est définie et suivie par un responsable doté de l'autorité adéquate.
▪ Sur base des risques identifiés, l'organisation observe les activités de contrôles en place, réalise une
analyse d'écart avec le niveau de maîtrise attendu et définit les activités de contrôles à compléter,
ajuster ou mettre en place.
▪ Enfin, l'organisation s'assure régulièrement, via les responsables concernés, de la pertinence, de
l’effectivité et de l’efficacité des activités de contrôle au regard des risques couverts.
L'organisation sélectionne et développe des contrôles :
▪ généraux informatiques pour chaque application et contrôle automatisé soutenant les activités et
processus clés, par exemple :
o gestion des accès et habilitations (prendre en compte les accès tiers),
o séparation des tâches / fonctions,
o séparation des environnements (de développement, de test et de production),
o gestion des changements (tests, recette, autorisation systématique de mise en production, …),
o maintenance,
o sauvegarde et restauration…
▪ complémentaires pour les mesures de sécurité issues d'une analyse des risques de sécurité de
l'information, spécifiques aux menaces et vulnérabilités de l'entreprise.
Afin d'assurer une prise en compte globale des objectifs, l'organisation doit également considérer :
▪ les parties du SI externalisées avec par exemple un rapport ISAE 3402, SOC, … ;
▪ la complexité et la charge de certains contrôles (revue des accès…).
Quelques références :
• "Fiche des bonnes pratiques CI SI" sur la base documentaire IFACI "Contrôle Interne – Groupe Professionnel"
• COBIT, référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information
• ISO/IEC 27001 et ISO/IEC 27002 relatives à la sécurité de l'information, cybersécurité et protection de la vie privée
▪ Le management, avec la collaboration de la fonction contrôle interne, établit, met en place, revoit
périodiquement et actualise :
o les règles définissant les activités de contrôle ;
o les procédures définissant comment sont appliquées ces activités de contrôle.
▪ Le management :
o assigne la responsabilité et le devoir de rendre compte de la mise en œuvre de ces règles et
procédures.
o fait appel à des collaborateurs compétents, dotés de l'autorité adéquate, et leur assigne les
activités de contrôles pour exécution dans des délais impartis ; ceux-ci :
▪ vérifient leur effectivité,
▪ identifient les failles et anomalies éventuelles,
▪ proposent, suivent et documentent leur correction et le traitement des écarts.
▪ Le management, avec la collaboration de la fonction contrôle interne, met en place un processus
d'identification des besoins d'informations nécessaire au bon fonctionnement du CI et contribuant à
la réalisation des objectifs de l'entité.
▪ Ce processus :
o s'appuie sur des données internes et externes, avec l'aide de systèmes d'information ;
o adapte le détail des informations aux enjeux concernés ;
o assure la qualité des informations (exhaustivité, accessibilité, protection, exactitude…).

14. L’organisation
communique en interne les
informations nécessaires au
bon fonctionnement du
contrôle interne, notamment
les informations relatives aux
objectifs et aux
responsabilités du contrôle
interne.
15. L’organisation
communique aux tiers les
éléments qui peuvent
affecter le fonctionnement
du contrôle interne.
16. L’organisation
sélectionne, développe et
réalise des évaluations
continues et/ou ponctuelles
pour s'assurer que les
composantes du contrôle
interne sont mises en place
et fonctionnent.
PILOTAGE
17. L’organisation évalue et
communique les déficiences
de contrôle interne en temps
voulu aux responsables des
mesures correctives, y
compris, le cas échéant, à la
direction générale et au
conseil.
Groupe Professionnel Contrôle Interne
▪ L'organisation s'assure de dispositifs de communication des informations du contrôle interne afin de :
o permettre au management et au conseil de disposer des informations nécessaires à la maîtrise
des objectifs de contrôle interne (points de situation du contrôle interne, répartition des rôles
et responsabilités…) ;
o permettre aux collaborateurs de comprendre et exercer leurs responsabilités de contrôle interne
(le conseil et le management ont communiqué les objectifs et ont veillé à leur compréhension,
procédures et politiques accessibles par intranet, réunions de présentation du DG des objectifs,
résultats et messages clés, réunions de service…) ;
o transmettre les informations de manière adaptée aux objectifs de celle-ci (instances, tableau de
bord, mails, formations, documentation à signer et archiver, communication légale…).
▪ Des dispositifs sont mis en place afin de remonter des alertes anonymes ou confidentielles, internes
ou externes, lorsque les canaux usuels sont inadaptés.
Les tiers sont toutes les relations externes avec l'organisation (actionnaires, partenaires, propriétaires,
régulateurs et/ou autorités administratives, clients, prestataires/fournisseurs, analystes financiers,
associations et certificateurs, auditeurs externes, organismes publics, ONG, médias, fiduciaires…).
▪ L'organisation s'assure que les services utilisent les canaux et les dispositifs de communication
appropriés permettant un bon fonctionnement en termes de contrôle interne. Doivent être pris en
compte :
o la nature de l'information (dispositifs d'alerte, informations confidentielles…) ;
o les destinataires (vers ou depuis les tiers – comment est utilisée cette information -) ;
o les enjeux (délais, obligations légales, réglementaires…) et attentes.
▪ L'organisation s'assure que les informations clés sont communiquées au management et au conseil.
▪ L'organisation réalise des évaluations des dispositifs de contrôle interne sur :
o la conception et la mise en œuvre de celui-ci ;
o le fonctionnement opérationnel des activités de contrôle.
▪ Pour ce faire, l'organisation adapte la démarche d'évaluation (ainsi que le périmètre et la fréquence)
en intégrant :
o une combinaison d'évaluations continues, ponctuelles et/ou périodiques ;
o les changements des activités et les évolutions des risques;
o la documentation des activités, processus, flux ;
o les précédentes évaluations et plans d'actions associés ;
o des collaborateurs expérimentés et/ou objectifs, le contrôle interne avec les experts métiers
concernés, l'audit interne ou des tiers.
▪ L'organisation procède, notamment selon le niveau/criticité de risque à :
o des vérifications régulières et des autoévaluations (première ligne de maîtrise : points de
contrôle, questionnaires, revue d’activité de processus…) ;
o des évaluations pilotées par la deuxième ligne de maîtrise accompagnée éventuellement
d'experts externes ;
o des audits internes.
▪ La fonction contrôle interne :
o coordonne et tient à jour le programme des évaluations de la première et deuxième lignes ;
o met à disposition du management et du conseil des tableaux de bord à des fins de revue et de
pilotage.
▪ A tous les niveaux de l’organisation, le management avec la collaboration de la fonction contrôle
interne :
o réalise une analyse des résultats des évaluations (continues et/ou ponctuelles) ;
o s'assure que les résultats, y compris les déficiences, sont communiqués aux responsables des
activités de contrôle ;
o s'assure que les mesures correctrices (élimination de la non-conformité) et/ou correctives
(traitement de la cause) sont définies (responsable, action, délai) et réalisées en temps
approprié.
▪ La fonction contrôle interne :
o s'assure que le management et le conseil disposent d'une synthèse des informations
significatives sur l'évaluation, les déficiences et les mesures mises en place au regard de l'atteinte
des objectifs.