Académique Documents
Professionnel Documents
Culture Documents
INTRODUCTION
Points clés
▪ Le COSO 2013 est un référentiel internationalement reconnu pour la conception, la mise en place et le pilotage du contrôle interne incluant
l’évaluation de son efficacité. Il a vocation à couvrir les 3 catégories d'objectifs (opérations, reporting et conformité) à tous les niveaux de
l'organisation.
▪ Le COSO segmente le référentiel en 5 composantes, déclinées en 17 principes et 85 points d'attention.
▪ Une assurance raisonnable de la maîtrise des risques et de l'activité implique que chaque principe est à considérer indépendamment des autres ;
un principe défaillant conduit à une défaillance du contrôle interne.
▪ L'objectif de cette fiche est d'apporter des éléments pratiques (contrôle interne ou métier à vérifier par le contrôle interne) à l'application de
chacun des principes.
▪ Ils sont à adapter à l’organisation et peuvent servir d'auto-évaluation.
Note
Le conseil désigne la gouvernance de l’organisation. Celle-ci regroupe la ou les personnes assumant la responsabilité (redevabilité) de l’organisation.
Le cadre de gouvernance est structuré par une raison d’être, des engagements et des valeurs, des relations avec les parties prenantes, une stratégie,
des politiques, une surveillance et un pilotage.
Le management est constitué des responsables internes (hiérarchiques ou transversaux) pilotant et organisant les activités ou processus/flux de
bout en bout aux différents niveaux et rendant compte à la gouvernance.
Dans certains cas, le management n'est pas indépendant de la gouvernance/conseil, néanmoins, le COSO traite ces deux rôles de manière distincte
et indépendante.
▪
▪ L’organisation définit une démarche éthique s'appuyant sur une raison d'être, une charte de
déontologie, le comité associé et s'assure :
o du déploiement de cette démarche par un réseau éthique, les RH, des relais de conformité et le
management à tous les niveaux ;
o de l'adhésion des collaborateurs à celle-ci ;
1. L’organisation démontre o de l'évaluation du respect de cette démarche.
son engagement en faveur ▪ L’organisation réalise périodiquement une communication sur les comportements attendus en
de l’intégrité et des valeurs matière d’éthique et sur le dispositif de signalement d’agissements répréhensibles.
éthiques
La fonction contrôle interne peut contribuer à la formulation et la formalisation de ces éléments, ainsi
qu’à leur suivi et à la gestion des écarts.
ENVIRONNEMENT DE CONTRÔLE INTERNE
Les valeurs éthiques comprennent la prévention et la lutte contre la fraude et la corruption, contre le
harcèlement (moral, sexuel, d'identité de genre…) et les agissements qui en découlent, la protection des
données personnelles, la diversité et l'inclusion.
▪ Le conseil structure sa démarche de surveillance du management (comités, membres indépendants,
2. Le conseil fait preuve expertises essentielles, connaissance des parties liées).
d'indépendance vis-à-vis du ▪ Le conseil réalise périodiquement une évaluation de sa composition, son organisation, son
management et surveille la fonctionnement incluant son indépendance (dont l’absence de conflits d’intérêt) ; cette évaluation
mise en place et le bon porte également sur les comités du conseil.
fonctionnement du contrôle ▪ Le conseil et ses comités s’assurent de la maîtrise des activités (approbation des plans d’audits, revue
interne. des cartographies des risques, développement du dispositif de contrôle interne incluant l'évaluation
de son efficacité et les plans d'action d'amélioration).
▪ Le management de l'organisation établit et communique :
o les structures organisationnelles (responsabilités et autorités) avec leurs activités afférentes et
adapte les comités internes en fonction des objectifs et de leurs évolutions (organigrammes, notes
3. Le management, agissant
d'organisation, nominations et fiches de poste, …) ;
sous la surveillance du
o chaque activité ou processus/flux de bout en bout est porté par un responsable qui devra s’assurer
conseil, définit les
que le dispositif de contrôle interne permet de maîtriser les objectifs assignés ;
structures, les
o les délégations de pouvoir et de signature, systématiquement mises à jour à chaque
rattachements, ainsi que les
changement, doivent respecter les principes de séparation des tâches.
pouvoirs et responsabilités
▪ Lors de l'attribution des responsabilités, le management veille à l'absence de conflits d'intérêt
appropriés pour atteindre les
(interne/externe).
objectifs.
▪ L'organisation nomme un référent pour la mise en œuvre de la fonction contrôle interne. Cette
fonction dispose d’un accès direct à la gouvernance et d’un positionnement dans l’organisation qui lui
assure l’indépendance de son action.
Groupe Professionnel Contrôle Interne
▪ L'organisation adapte, en fonction des besoins de sa stratégie, des attentes du marché de l'emploi et
4. L’organisation démontre des collaborateurs :
son engagement à attirer, o la culture d'entreprise (par le biais de chartes, codes de conduites, programmes RSE /
former et fidéliser les développement durable, dont elle fait la promotion en interne comme en externe) ;
personnes compétentes o la politique RH (diversité, rémunérations et épargne salariale, formations, évaluations, travail à
conformément aux objectifs. distance, mobilité, équilibre vie professionnelle et privée, autres avantages …).
▪ L'organisation travaille sur son image de marque employeur, sa notoriété et sa réputation.
▪ La fonction contrôle interne s'assure que le conseil et le management :
o attribuent et communiquent des responsabilités, clairement définies par rapport aux objectifs ;
5. L’organisation instaure o définissent et évaluent régulièrement :
pour chacun un devoir de ▪ la pertinence des indicateurs de performance (indicateurs quantitatifs, qualitatifs,
rendre compte de ses avancement des plans d'action…) par rapport aux objectifs,
responsabilités en matière ▪ les incitations et gratifications;
de contrôle interne afin o limitent et évaluent les pressions excessives (objectifs irréalistes, moyens inadaptés, part
d’atteindre les objectifs. variable importante...);
o évaluent l'exercice des responsabilités de contrôle interne, récompensent ou sanctionnent selon
les résultats.
▪ Les objectifs doivent être adaptés aux priorités stratégiques, aux lois, réglementations, contexte en
s'assurant qu'ils soient exprimés en termes précis, mesurables ou observables, réalisables, pertinents
6. L’organisation définit des
et définis dans le temps.
objectifs de façon
▪ La fonction contrôle interne peut aider à décliner les objectifs de l’organisation notamment en termes
suffisamment claire pour
de pertinence et de cohérence, relativement :
rendre possible
o aux opérations ;
l’identification et l’évaluation
o au reporting financier externe ;
des risques susceptibles
o au reporting extra-financier externe ;
d’affecter leur réalisation.
o au reporting interne ;
o à la conformité.
▪ L’organisation met en œuvre des démarches d'identification et d'évaluation des risques pour :
o couvrir les niveaux des structures organisationnelles et les activités métiers/transverses ;
o impliquer le bon niveau de management (expertise) et le cas échéant une revue indépendante ;
o prendre en compte les facteurs de risques externes ;
o s’appuyer sur une méthodologie d'analyse de risques1 qui permet d'encadrer et d’apprécier
7. L’organisation identifie les l'impact et la vraisemblance (probabilité sur la base des éléments de maîtrise existants) ;
risques susceptibles o prévoir les modalités de leur traitement (acceptation, évitement ou refus, réduction, partage),
EVALUATION DES RISQUES
Les activités de contrôle désignent les actions définies par les règles et procédures qui visent à apporter
l'assurance raisonnable d'une maîtrise des risques. Les activités de contrôle sont réalisées à tous les
niveaux de l'organisation et à diverses étapes des processus métier.
10. L’organisation ▪ Le développement des activités de contrôle dépend des particularités de l'organisation (par exemple
sélectionne et développe : complexité, importance ou criticité des activités…) et de l’évaluation des risques.
des activités de contrôle qui ▪ Elles peuvent être transverses, spécifiques à une activité, et sont adaptées aux différents niveaux de
visent à maîtriser et à l'organisation.
ramener à un niveau ▪ Les activités de contrôle peuvent être manuelles ou automatisées, préventives ou détectives.
acceptable les risques ▪ Chaque activité de contrôle est définie et suivie par un responsable doté de l'autorité adéquate.
susceptibles d’affecter la ▪ Sur base des risques identifiés, l'organisation observe les activités de contrôles en place, réalise une
réalisation des objectifs. analyse d'écart avec le niveau de maîtrise attendu et définit les activités de contrôles à compléter,
ajuster ou mettre en place.
▪ Enfin, l'organisation s'assure régulièrement, via les responsables concernés, de la pertinence, de
l’effectivité et de l’efficacité des activités de contrôle au regard des risques couverts.
L'organisation sélectionne et développe des contrôles :
▪ généraux informatiques pour chaque application et contrôle automatisé soutenant les activités et
processus clés, par exemple :
o gestion des accès et habilitations (prendre en compte les accès tiers),
o séparation des tâches / fonctions,
ACTIVITES DE CONTROLE
Quelques références :
• "Fiche des bonnes pratiques CI SI" sur la base documentaire IFACI "Contrôle Interne – Groupe Professionnel"
• COBIT, référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information
• ISO/IEC 27001 et ISO/IEC 27002 relatives à la sécurité de l'information, cybersécurité et protection de la vie privée
▪ Le management, avec la collaboration de la fonction contrôle interne, établit, met en place, revoit
périodiquement et actualise :
o les règles définissant les activités de contrôle ;
12. L’organisation déploie les
o les procédures définissant comment sont appliquées ces activités de contrôle.
activités de contrôle par le
▪ Le management :
biais de règles qui précisent
o assigne la responsabilité et le devoir de rendre compte de la mise en œuvre de ces règles et
les objectifs poursuivis, et de
procédures.
procédures qui permettent
o fait appel à des collaborateurs compétents, dotés de l'autorité adéquate, et leur assigne les
de mettre en œuvre ces
activités de contrôles pour exécution dans des délais impartis ; ceux-ci :
règles.
▪ vérifient leur effectivité,
▪ identifient les failles et anomalies éventuelles,
▪ proposent, suivent et documentent leur correction et le traitement des écarts.
▪ Ce processus :
de qualité pour faciliter le
o s'appuie sur des données internes et externes, avec l'aide de systèmes d'information ;
fonctionnement du contrôle
o adapte le détail des informations aux enjeux concernés ;
interne.
o assure la qualité des informations (exhaustivité, accessibilité, protection, exactitude…).
Groupe Professionnel Contrôle Interne
d'experts externes ;
o des audits internes.
▪ La fonction contrôle interne :
o coordonne et tient à jour le programme des évaluations de la première et deuxième lignes ;
o met à disposition du management et du conseil des tableaux de bord à des fins de revue et de
pilotage.
▪ A tous les niveaux de l’organisation, le management avec la collaboration de la fonction contrôle
interne :
17. L’organisation évalue et o réalise une analyse des résultats des évaluations (continues et/ou ponctuelles) ;
communique les déficiences o s'assure que les résultats, y compris les déficiences, sont communiqués aux responsables des
de contrôle interne en temps activités de contrôle ;
voulu aux responsables des o s'assure que les mesures correctrices (élimination de la non-conformité) et/ou correctives
mesures correctives, y (traitement de la cause) sont définies (responsable, action, délai) et réalisées en temps
compris, le cas échéant, à la approprié.
direction générale et au ▪ La fonction contrôle interne :
conseil. o s'assure que le management et le conseil disposent d'une synthèse des informations
significatives sur l'évaluation, les déficiences et les mesures mises en place au regard de l'atteinte
des objectifs.