Ministère de l’Enseignement Supérieur République de Cote d’Ivoire

Et de la Recherche Scientifique Union_Discipline_Travail

SUPPORT DE COURS
Environnement International de l’Audit

MODULE
LE COSO et LA LOI SARBANES-
OXLEY

CONSULTANT: André Dilo ETUDIANT :……………

CONTACT :05666609 UFR : SED Master2 Prof CAC

1
 Chapitre I : Committee Of Sponsoring Organizations of the Treadway
( COSO)

Définition du mot COSO

Le COSO est un référentiel de contrôle interne visant à limiter les tentatives de fraudes
dans les rapports financiers des entreprises. Il a été défini par le Committee of Sponsoring
Organisation of the Tread way Commission en 1992. Toutefois, ce n'est qu'à partir de 2002
que le modèle COSO a véritablement émergé. Les lois américaines rendant obligatoire
l'évaluation du contrôle interne pour les sociétés faisant appel à l'épargne publique (suite
aux scandales Enron et Worldcom), il est alors adopté comme référentiel. En France, il faut
attendre la loi de sécurité financière de 2003 pour le voir se développer. Le COSO est un
référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the
Treadway Commission. Il est utilisé notamment dans le cadre de la mise en place des
dispositions relevant des lois Sarbanes-Oxley, SOX ou Loi de sécurité financière, LSF,
pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le
référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé
COSO 2.

Historique

COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway

Commission, une commission à but non lucratif qui établit en 1992 une définition standard
du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard
s'appelle aussi COSO.

En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron,

Worldcom…), promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act ou SOX act).
Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle
interne et à en publier leurs conclusions dans les états demandés par la Securities and
Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le
SOX acte a favorisé l'adoption du COSO comme référentiel. En France, la loi de sécurité
financière (dite loi LSF) promulguée peu après en 2003, a également contribué à sa
diffusion.

2
La naissance de la loi Sarbanes-Oxley à partir de l’affaire Enron

Présentation factuelle et historique de l’affaire Enron.

Le contexte.

La société Enron est née en 1985 de la fusion entre Houston Natural Gas et Internorth sous
l’influence de Kenneth Lay qui prendra ensuite la direction de l’entreprise. Très vite cette société
a diversifié ses activités pour que l’activité initiale d’opérateur de gazoduc devienne marginale.
En effet, dès 1989, poussé par les lois fédérales sur la déréglementation, Kenneth Lay décide de
transformer le producteur et transporteur de gaz Enron en une société de négoce en énergie.

Jusque en 1990, date d’entrée de Andrew Fastow, Enron connaissait une croissance régulière
et équilibré supporté par des investissements modérés. Le premier investissement de grande
ampleur, la construction d’une centrale en Inde en 1993, déjà était controversé. L’activité de
trading en électricité s’est généralisée pour devenir l’activité principale en 1994. C’est en 1997
qu’Enron se lance dans un cycle sans fin d’investissements massifs. On retiendra par exemple
l’achat de Portland General Electric pour 32 milliards de $(07/97), la constitution d’Azurix pour
gérer les nombreux investissements de la compagnie à l’étranger (07/98). C’est aussi à partir de
cette date-là qu’Enron s’implante sur le marché des produits dérivés, notamment grâce au concept
de « dérivé météorologiques » censés protéger les entreprises des risques dus aux aléas climatiques.
La société s’est impliquée toujours davantage dans le négoce. Du papier aux fibres optiques, sans
oublier les câbles, la bande passante, le bois… de nombreux domaines sont couvert, souvent sans
rapport avec l’énergie qui constitue pourtant l’activité d’origine.
Supportée par la croissance de la fin du 20ème siècle dû à l’essor des nouvelles technologies, Enron
a connu une évolution positive. La société semble se porter pour le mieux : élevée au rang «

Chiffres d’affaires 180 milliards de $

Actif 47,3 milliards de $

Production d’électricité E.U 7050 Mw
Production d’électricité R-U 2800 Mw
Réseau de gazoducs 49 000 Km
Réseau de fibre optique 25 000 Km
Effectifs 21 000 dans 40 pays
d’Investment grade » Enron a vu son chiffre d’affaire dépasser les 100 milliards de dollars en 2000
et le cours de ces actions dépasser les 90$. Tous les chiffres de la société pour l’année 2000 sont
ceux d’une société de haut rang.

3
Enron a d’ailleurs été classée comme la 7ème société aux Etats-Unis.

2. Le début de la crise, révélation du scandale.

Août 2000 : Premier avertissement : La crise californienne concerne Enron. Aussi des problèmes
avec la filiale holding Azurix apparaissent et le cours de l'action de la holding (garanti par la
maison mère) s'en ressent passant de 19 à 5 $. Usant de sa force de persuasion, Kenneth K. Lay
redonne confiance aux analystes du marché et aux média. Kenneth Lay est élu manager de l'année
aux Etats-Unis.

En janvier 2001, les dirigeants d’Enron savent que les pertes enregistrées par la société s'élèvent à
600 millions de dollars. Wall Street s'inquiète passagèrement ; l'action baisse à 50 $. Pour rassurer
les milieux financiers, Kenneth Lay confie la direction de l'entreprise à son adjoint Jeffrey K.
Skilling. Ces derniers vendent en masse leurs actions. J.K. Skilling empoche par exemple 17,5
millions de dollars, Kenneth Lay 34 millions. Les salariés ne peuvent réaliser leurs stock-options
bloquées qui se dévaluent tout comme la valeur de leurs fonds de pension, constitués sur
recommandation de la direction d'Enron, à plus de 60% d'actions de l'entreprise.

Malgré ces ventes massives de la part des dirigeants, les invitations au personnel à investir dans
la société persistent jusqu’en octobre 2001 ; date à laquelle les pertes sont pour la première fois
officiellement annoncées. La force de persuasion de Kenneth Lay est désormais impuissante à
rassurer l’opinion. Le mois suivant, la SEC lance une enquête. Une série d’événements prépare
ensuite la fin d’Enron. : Dynergie retire sa proposition de rachat de l’entreprise, l’action Enron,
qui constituait une valeur sure est abaissée au rang de junk bond et perd en quelque semaine toute
valeur pour tomber sous le seuil de 1$. Enron se place alors sous le régime de protection du droit
des faillites américaines.

3. Les conséquences de l’affaire

Pour le personnel

Dès le 2 décembre, Enron annonce le licenciement de 8000 employés dont 4000 hors des
Etats-Unis. Suite à la faillite, tous perdront leur emploi. Mais au-delà de leur emploi, ces
employés ont perdu leur droit à la retraite puisque le fond de pension chargé de la gestion
de leurs cotisations avait investi la majeure partie du capital dans des actions Enron.

Pour les actionnaires

4
Les actionnaires ayant investi leur épargne dans les actions Enron ont vu leur capital fondre et
disparaître sans qu’il n’y puisse rien faire. Entre autres, de nombreux employés d’Enron sont dans
cette situation (plaçant leur épargne dans Enron sur les recommandations de la direction) mais
aussi des états tel la Floride (perte de 325 M$) ou la Californie (Perte de 200 M$) travers les fonds
de pensions.
Pour les créanciers
Les créanciers d’Enron perdent les emprunts qu’Enron avait contracté auprès eux et ne seront
jamais remboursés. Pour eux, les 618 m$ de dette partent en fumée. De nombreuses banques sont
concernées, aussi bien aux Etats-Unis qu’en Europe.

Pour les fournisseurs

Pour les fournisseurs et sous-traitants il s’agit d’une perte d’activité. Toutes les entreprises qui
travaillaient pour Enron, perde au moins à court terme leur marché. Donc au-delà des licenciements
directs d’Enron, il faudrait ajouter de nombreux licenciements indirects.

Pour le management et l’audit

Pour le management et l’audit… ces professions sont décréditées.

Ainsi, nombreuses sont les personnes qui ont perdu quelque chose dans cette affaire. Mais
au-delà des personnes lésées c’est le modèle capitaliste déréglementé tel qu’Enron et ses
dirigeants l’ont encouragé qui est remis en cause. Cela implique donc aussi tous ceux qui
ont mis en place soutenu ou appliqué ce modèle. Dans ces conditions il semble difficile de
rendre quelques personnes responsables d’une telle affaire

5
 II. Le difficile partage des responsabilités :

1. Les dirigeants d’Enron…coupables mais pas responsables !

On s’aperçoit que la stratégie de forte expansion choisie par les dirigeants d’Enron explique
en grande partie la dégradation de la situation d’Enron. En effet, les investissements démesurés de
la compagnie visaient à étendre l’activité d’Enron non seulement à toute les énergies, mais aussi à
un grand nombre de produits financiers. Doit-on condamner les responsables d’Enron pour
l’application de cette stratégie ?

- Il convient de rappeler que les actionnaires jugent les performances de l’équipe dirigeante
sur les résultats qu’elle est capable de faire produire à l’entreprise. L’expansion est considérée
comme une preuve de la bonne santé d’une entreprise. C’est cette stratégie a valu à Kenneth Lay
la distinction de meilleur dirigeant des Etats-Unis. Cette stratégie a donc été mise en place sous la
pression des actionnaires (ou tout au moins avec leur consentement) au sens où elle a permis de
produire, au moins temporairement les résultats qu’ils attendaient (hausse du chiffre d’affaire, des
actifs…).

- Le système de rémunération par stock-option est lui aussi responsable car il incite les
dirigeants à gonfler le cours de l’action
- Le système éducatif peut également être mis en cause et constituer pour les dirigeants une
circonstance atténuante : dans la formation des managers américains, tout prédispose au choix de
telles stratégie.
- La conjoncture rend l’application de ces stratégies risquées possibles : l’euphorie des
marchés et les bénéfices conséquents sur les placements qui en résultent, la facilitée de levée des
capitaux… permettent et même incitent à l’achat d’entreprises peu rentables à un coût
disproportionné.
Cependant on peut tout de même inculper les dirigeant pour leur réaction face à
l’évolution de la situation, pour les dissimulations desquelles ils ont eu l’initiative. Mais dans ce
domaine, on s’aperçoit qu’ils ont eu d’autres soutiens.

2. Le soutien des politiques

On critique souvent les relations qui existent entre le monde politique et le monde économique et
financier. Cette critique se trouve être particulièrement adaptée au cas Enron. Le modèle de
développement pensé par Kenneth Lay dépend de l’avancée de la déréglementation en matière de
1
politique énergétique. Enron a su contourner les obstacles à son expansion en accélérant le
processus de déréglementation grâce aux nombreux appuis de K. Lay dans le monde politique.
D’ailleurs K Lay est issu du monde politique puisqu’avant de prendre la direction d’Enron, il était
secrétaire à l'énergie sous Ronald Reagan. G.W. Bush, Dick Cheney, Franck Wisner (ambassadeur
des USA en Indes), Bill Clinton, John Wakeman (conservateur britannique) la liste des politiques
ayant bénéficié des largesses d’Enron en échange de tel ou tel service est longue, tant aux Etats-
Unis qu’à l’étranger.

3. La machinerie des systèmes comptables et financiers

Une telle affaire n’aurait pas été possible sans le concours d’un bon nombre de personnes
du monde de la comptabilité, de la finance et du rating. Comment la vérité aurait-elle pu être aussi
bien dissimulée pendant si longtemps ?

Le premier accusé dans cette catégorie est Arthur Andersen, le cabinet d’audit chargé de la
révision des comptes d’Enron. Ils ont aidé les dirigeant à dissimuler les pertes dans la comptabilité
et à détruire les preuves susceptibles d’être gênantes. Le système compliqué visant à reporter les
dettes d’Enron sur d’autre sociétés non consolidées dans le bilan de l’entreprise (SPE) n’a pu être
établit qu’avec l’aide de professionnel de la finance, capables de trouver une solution et de
maquiller les opérations qu’elles nécessitent. Pour Arthur Andersen, on évoque un conflit d’intérêts
puisque le cabinet était à la fois auditeur et conseiller de l’entreprise. Cependant ce n’est pas la
seule raison.
De nombreuses banques d’affaires ont facilité la réalisation des opérations douteuses
d’Enron. Comment pouvait elle réagir, sans révéler un scandale pesant sur l’ensemble du monde
bancaire et sans renoncer aux millions de dollars de commissions qu’elles réalisaient ? Les agences
de rating, les analystes financiers ont eux aussi leur part de responsabilité. Devant la complexité et
l’opacité des comptes d’Enron, ils ont limité leur contrôle sur la société au lieu de le renforcer
jugeant que la réputation et les résultats dont jouissait Enron étaient preuve suffisante de la solidité
de l’entreprise. Là encore les relations haut placées de Kenneth Lay et les « largesses d’Enron »
ont facilité la dissimulation. On peut par exemple citer Louis Gagliardi, analyste chez John S.
Herold Inc., et dont les propos ont été publiés par le Washington Post : « C’était si compliqué que
tout le monde avait peur de lever la main et de dire je ne comprends pas. Les auditeurs avaient cru
bon d’émettre une opinion positive sur les procédures de contrôle, le comité d’audit était présidé
par Robert Jaedicke, un ancien doyen de la prestigieuse Business School de Stanford, auteur de

2
plusieurs livres de comptabilité, et comprenait d’autres personnalités éminentes de la banque, des
affaires et des marchés à terme… ».
Le durcissement du contexte économique est également évoqué pour justifier la
dissimulation des pertes qui sont considérées comme temporaires, et qui ne nécessite par
conséquent pas d’alarmer les actionnaires. Cependant la baisse de la rentabilité est un problème
structurel qu’il faut résoudre, et non dissimuler (même provisoirement) sous des pratiques
irresponsables

4. Comment les empêcher de nuire à nouveau ?

Le défi consiste donc non pas à identifier quelques responsables mais bien à rendre
impossible les concertations entre les dirigeants d’entreprises, les régulateurs du monde financier
et les politiques à l’origine de cette faillite. Il y a aussi un autre défi à relever, celui pour tous ces
secteurs de retrouver la confiance des actionnaires, et du publique, fortement mise à mal par cette
affaire. Bien que les politiques se soient retirés avec une discrétion étonnante avant que l’affaire ne
prenne de l’ampleur, ceux-ci ont tout de même été éclaboussés par l’affaire. Pour regagner la
confiance peut être devrait il réviser les mesures de déréglementation hâtives qu’ils ont pris sous
l’influence des avantages offerts par de nombreuses compagnies. Cependant le retour sur ces
mesures correspond également à une mise en cause du modèle capitaliste libéral que les Etats-Unis
s’attachent à mettre en place depuis le début des années 80 et vers lequel l’Europe tend également.
Ce modèle est-il le bon, ne peut-il pas être amélioré, comment ? Quel dirigeant politique lancera-
t-il une telle polémique sur ce qui est pourtant un problème essentiel. Comment empêcher une telle
affaire de ce reproduire ? Aussi en repensant le mode de fonctionnement du système de contrôle
des entreprises.

3
 III. Impact de l’affaire sur la comptabilité

1. Pourquoi les comptables ont-ils eu avantages à favoriser ces pratiques

Arthur Andersen a touché en 2001 de la part d’Enron 27 M$ au titre de ses activités de
consulting et 25 M$ pour les fonctions d’audit. Pour conserver son rôle dans le conseil de
l’entreprise, le cabinet a dû satisfaire les dirigeants d’Enron dans le domaine de l’audit. Ce conflit
d’intérêt entre l’auditeur et le consultant a été perçu puisque des mesures ont été prise pour
l’empêcher. Cependant, ces mesures sont-elles suffisantes. On en doute quand on sait qu’une telle
décision avait déjà été prise auparavant et qu’après avoir donné lieu à la séparation entre Andersen
et Accenture, on a vu l’apparition d’un pôle Andersen Consulting au sein du cabinet d’audit. La
révélation des pertes serait la preuve d’une mauvaise gestion, d’une mauvaise stratégie que
l’actionnaire pourrait penser due à de mauvais conseillés souvent à l’origine du fil conducteur des
politiques d’entreprises. C’est ainsi la réputation du cabinet qui est en jeu et qui incite Andersen à
dissimuler les pertes.

2. Les normes vers lesquelles on tend sont-elles les bonnes ?

L’uniformisation en cours des normes comptables au niveau international tend à rapprocher
toutes les consignes comptables du monde des normes américaines, lesdites normes dont les failles
ont justement permis la dissimulation des pertes d’Enron. Cet article de l’expansion du 30 mars
2000 montre dans quelle circonstance les normes US GAAP ont été adoptées par l’IASC, bien que
celles-ci soit critiquables à de nombreux égards. Accoudé au bar d'un hôtel vénitien, il est grand,
un peu voûté et visiblement très fatigué. C'est Karel Van Hulle, le Monsieur Normalisation
comptable de la Commission européenne. Un homme le rejoint et lui tend un document. « Voilà,
c'est ce que le conseil d'administration adoptera demain. - Quand même, on va pouvoir en discuter,
apporter quelques modifications... - Non, insiste l'homme, c'est tout ou rien. » C'est ainsi que le
lendemain, le 19 novembre 1999, l'IASC (International Accounting Standards Committee),
l'institut chargé d'édifier les normes comptables internationales, est passé sous la coupe américaine.
A la suite d'un véritable putsch auquel les Européens non seulement n'ont opposé aucune résistance,
mais dont ils ont même été les premiers complices. Une « humiliation », au dire de René Ricol,
vice-président de l'IFAC (International Federation of Accountants), l'association qui regroupe le
gratin mondial de la comptabilité et dont émane l'IASC. Normes comptables, deux mots plus
efficaces qu'un tube de Valium. C'est pourtant d'elles que dépendent la présentation des comptes
d'une entreprise et donc sa crédibilité. Chaque pays a les siennes, ce qui ne posait pas de problème
tant que chacun restait chez soi. Mais quand 1 200 groupes étrangers viennent rechercher des
capitaux à la Bourse de New York et que les entreprises européennes fusionnent à tour de bras, il

4
devient urgent de pouvoir chausser les mêmes lunettes. Lesquelles ? Les américaines, dites « US
GAAP » ? Politiquement inacceptable et techniquement irréaliste. Les européennes ? Elles
n'existent pas. Les françaises ? Mais alors pourquoi pas les anglaises ou les allemandes ? Créons
donc des normes internationales que reconnaîtraient tous les pays, et en particulier les Etats-Unis,
première place financière mondiale. En 1973, cette tâche est confiée à l'IASC, à laquelle la
Commission européenne se rallie en 1995, ayant renoncé à édifier son propre corpus de règles. En
1997, le travail est achevé à 90 %, mais à peine 10 % des problèmes ont été résolus. En effet, les
Etats-Unis rechignent toujours à reconnaître ces textes. Et pour cause : les entreprises européennes
les utilisent comme bon leur semble, adoptant les clauses qui les servent, rejetant les autres, sans
qu'aucune institution en Europe ne soit en mesure de faire la police. « Je peux, au choix, vous sortir
2 milliards de bénéfices ou de pertes, et cela le plus légalement du monde », affirme un expert-
comptable français de renommée internationale. Pas sérieux. De plus, pour donner des gages aux
Etats-Unis, l'IASC s'est faite plus royaliste que le roi sur certains points. Réaction des entreprises
européennes : « A ce compte-là, adoptons les US GAAP ! »

3. Faut-il repenser la comptabilité ?

Au-delà des normes comptables, n’est-ce pas le fonctionnement de la comptabilité qu’il

faudrait revoir ? Comment ?

Plus d’indépendance…
Pour pouvoir être totalement sincères sur les avis qu’ils émettent sur les comptes d’une entreprise,
les cabinets d’audit devraient être tout à fait indépendant des entreprises dont il certifie les comptes.
En effet, l’objectivité semble difficile à obtenir si le contrôleur est lié aux dirigeants qu’il contrôle.
Elle est d’autant plus difficile à atteindre si l’entreprise propose d’autre marché à l’auditeur, plus
ou moins directement (consulting). Pour supprimer toute influence subjective, il ne faut pas non
plus isoler totalement le monde de l’audit du reste de l’économie, car si cette indépendance garantie
la sincérité, elle nuit à la qualité de l’analyse qui se trouverait alors déconnectée de l’économie
réelle. Par contre, on peut imaginer la suppression du lien financier qui rend l’auditeur dépendant
de son client en mettant en place un système ou non seulement l’auditeur n’exerce pas d’autres
fonctions pour son client, mais aussi ou l’entreprise ne choisit pas et ne rémunère pas directement
son auditeur. Un organisme servirait alors d’intermédiaire chargé de missionner les cabinets d’audit
et de les rémunérer (à partir de prélèvements sur les entreprises). On supprime ainsi le lien qui
contraint l’auditeur vis-à-vis de son client ; celui-ci n’est plus tenu de donner un avis conformes
aux attentes de la direction.…Afin de dépasser la distinction entre comptabilité financière et
comptabilité de gestion, l’une à destination des actionnaires montrant souvent l’entreprise et sa
5
direction telles que l’espèrent les apporteurs de capitaux, l’autre à destination des dirigeant biaisée
par les messages que le consultant veut faire passer au dirigeant sur l’évolution de sa stratégie…Le
but est d’atteindre un système de comptabilité unique et destiné à tous reflétant la réalité. Unique
au sens où il ne doit pas y avoir plusieurs versions de la comptabilité selon si elle s’adresse aux
actionnaires, au public, à la direction, au personnel… A long termes les objectifs sont les mêmes
pour chacun : la pérennité et la profitabilité de l’entreprise. La comptabilité devrait donc inciter les
acteurs de la vie économique à acquérir une vision d’ensemble à long terme, dépassant le court
terme où les intérêts divergent (les actionnaires recherchent un résultat élevé rapidement source de
dividendes élevés et de la hausse du cours de l’action ce qui bride les stratégies d’investissement
des entreprises souhaités par les dirigeants).
Pour une comptabilité plus sincère reflétant fidèlement réellement la solidité de l’entreprise.
Cette nouvelle optique rendrait la comptabilité plus fidèle à la réalité. Celle -ci devrait alors être
capable de mettre en reliefs les points forts des entreprises mais aussi leurs vraies difficultés. Un
tel changement imposerait la volonté de tous les partis ; hors il n’est de l’intérêt personnel direct
d’aucun acteur. Il faut donc que les acteurs se portent sinon vers le désintéressement, vers l’intérêt
collectif. Ceci ne peut résulter que d’une prise de conscience réelle des disfonctionnements majeurs
et d’un désir de plus d’intégrité. Cet élan vers l’intégrité ne serait- il pas suffisant à rétablir la
confiance envers le modèle capitaliste, confiance que les nombreuses affaires faisant suite à
l’éclatement de la bulle Internet a profondément miné.

Cette analyse fait donc ressortir les qualités du bon gestionnaire : honnête, économe,
prévoyant

Les principes

Le référentiel COSO est basé sur les principes de base suivants :

 Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne
pas à un recueil de procédures mais nécessite l’implication de tous à chaque niveau
de l’organisation.
 Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un
management et d’une direction respectueuse des lois.
 Le contrôle interne est adapté à la réalisation effective des objectifs.

6
Le cadre : le cube COSO

Le cadre COSO repose sur les notions d'objectifs et de composants.

Les trois objectifs

Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable
quant à la réalisation des trois objectifs suivants :

 l'efficacité et l'efficience des opérations,

 la fiabilité des informations financières,
 la conformité aux lois et règlements.

On notera que ces objectifs correspondent en grande partie aux préoccupations des
investisseurs.

Pour le référentiel COSO, le contrôle interne doit répondre à trois objectifs : un objectif
d'efficacité des opérations, un objectif de fiabilité des informations financières et un objectif
de conformité à la loi. Il définit également cinq composants constitutifs du contrôle interne
: l'environnement de contrôle, l'évaluation des risques, l'information et la communication,
les activités de contrôle et enfin le pilotage du contrôle.Le contrôle interne, tel que défini
par le COSO, comporte cinq composants. Ces composants procurent un cadre pour décrire
et analyser le contrôle interne mis en place dans une organisation. Il s’agit de :

 l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées

dans l'entreprise ;
 l'évaluation des risques à l'aune de leur importance et fréquence ;
 les activités de contrôle, définies comme les règles et procédures mises en œuvre
pour traiter les risques, le COSO imposant la matérialisation factuelle des contrôles ;
 l'information et la communication, qu'il s'agit d'optimiser ;
 le pilotage, c'est-à-dire le « contrôle du contrôle » interne.

7
Les 5 composantes du contrôle interne

Le contrôle interne poursuit un objectif global, la maîtrise par un organisme de ses activités.
Il est explicité ci-dessous via la méthodologie COSO. Même si celle-ci n’est pas la seule à
traiter du contrôle interne, elle est très largement répandue et se révèle adaptée pour
structurer la maîtrise des risques liés à la gestion des politiques publiques.

Le référentiel COSO décline le contrôle interne en quatre objectifs opérationnels :

 le respect des lois, règlements, contrats ;

 la protection du patrimoine, dans une acception aujourd’hui élargie qui comprend,
outre les actifs de l’organisme, ses agents et son image ;
 la fiabilité et l’intégrité des informations financières et opérationnelles (fiables et
vérifiables, exhaustives, pertinentes, disponibles) ;
 l’efficacité et l’efficience des opérations.

1ère composante : un environnement interne favorable à la maîtrise des risques

Il repose notamment sur :

 une implication des responsables en termes d’intégrité et d’éthique,

 le pilotage des activités,
 une organisation appropriée (les différentes instances de gouvernance remplissent
pleinement leur rôle),
 une définition claire des responsabilités et des pouvoirs,
 des procédures formalisées et diffusées,
 la mobilisation des compétences.

2ème composante : une évaluation des risques

Celle-ci comprend deux temps :

 L’identification des risques sur la base d’une analyse des activités, tant au niveau
global de l’organisme qu’au niveau détaillé de chacune de ses activités ;

8
  La hiérarchisation de ces risques en fonction de leur impact en termes d’enjeux pour
l’organisme.

3ème composante : des activités de contrôle qui comprennent les dispositifs mis en
place pour maîtriser les risques de ne pas atteindre les objectifs fixés

 Les dispositifs doivent être proportionnés aux enjeux,

 ils peuvent être transverses à l’organisme, pour faire face à des risques généraux ou
propres à une activité,
 ils sont de natures diverses : mise en place d’une procédure, d’une méthode, action
de contrôle mutuel ou de supervision…

4ème composante : la maîtrise de l’information et de la communication

Elle recouvre :

 la qualité de l’information (contenu, délais de disponibilité, mise à jour, exactitude,

accessibilité) nécessaire au contrôle interne,
 la qualité des systèmes d’information, stratégiques et intégrés aux opérations,
 la définition des règles et modalités de communication interne (implication du
secrétaire général en matière de contrôle interne, bonne connaissance du dispositif
de contrôle interne par les agents),
 la communication externe (information à l’extérieur de l’organisme sur la mise en
œuvre de la démarche de contrôle interne).

5ème composante : le pilotage du contrôle interne

Il repose sur :

 L’appropriation du contrôle interne par chaque responsable qui doit le conduire à

définir, mettre en place, piloter les dispositifs de maîtrise des risques dans son
périmètre de responsabilité ;
 Une sensibilisation des responsables à la nature du contrôle interne (maîtrise des
activités) et à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre
cette appropriation ;
9
  Des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle
interne ;
 Des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par
l’audit interne).

Le cube

Après les objectifs et composants, le COSO impose de distinguer les structures de

l'entreprise (sociétés, entités, fonctions, …).
La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise,
vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.

COSO 2 - Enterprise Risk Management Framework

Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de

référence de la gestion des risques. Le présent chapitre vise à en réaliser une synthèse,
notamment en se basant sur les concepts développés dans le COSO 1, "Internal Control –
Integrated Framework".

Positionnement du COSO 2 par rapport au COSO 1

Pour rappel, le COSO 1 propose un cadre de référence pour la gestion du contrôle interne.
Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :

 L'efficacité et l'efficience des opérations,

 La fiabilité des informations financières,
 La conformité aux lois et aux réglementations en vigueur.

Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise

(Enterprise Risk Management Framework). La gestion des risques de l’entreprise est un
processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une
organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné
à:
10
  Identifier les événements potentiels pouvant affecter l’organisation,
 Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence
au risque)» (cf. ci-dessous) de l’organisation,
 Fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.

Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et
le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision
orientée risques de l’entreprise.

Une nouvelle notion, le « Risk Appetite »

La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite » est le
niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur.
Différentes stratégies exposeront l’organisation à différents risques. En conséquence, le
« Risk Appetite » doit être pris en compte dans la définition de la stratégie de l’organisation
afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite »
défini pour l’organisation.

Synthèse des modifications opérées sur le cube COSO

Le modèle du cube et son architecture à trois plans sont conservés:

1. Niveaux de l’organisation
2. Éléments de contrôle interne (qui devient Éléments de gestion des risques)
3. Objectifs de l’organisation

En revanche, les différents plans sont modifiés ou enrichis.

1. Axe "Niveaux de l’organisation"

 Apport d’un cadre plus strict de décomposition de la structure d’une organisation

 Mise en évidence de la nécessité de prendre en compte l’ensemble de l’organisation
pour que le COSO 2 soit appliqué avec succès.

2. Axe "Objectifs"
11
  Apport d’un nouvel objectif: « stratégique ».
 Élargissement de la notion de reporting : cette notion couvre désormais non
seulement le reporting financier, mais aussi la remontée d’informations non-
financières. De plus, cette notion couvre dorénavant à la fois la remontée
d’informations externes mais aussi internes.

3. Axe "Éléments de contrôle"

Enrichissement de l’axe « éléments de contrôle » qui devient « éléments de gestion des

risques » et qui passe de cinq à huit éléments :

1. L’élément environnement interne (anciennement environnement de contrôle) est

complété de la notion « d’appétence au risque » (qui signifie acceptation et tolérance
d’un risque, dans le cadre d’un niveau d’efficacité recherchée),
2. L’élément évaluation des risques est éclaté en quatre éléments dont les notions
existaient déjà dans le COSO-1 mais étaient moins détaillées : 2a Définition
d’objectifs, 2b Identification des événements, 2c Évaluation des risques, 2d
Réponse aux risques,
3. L’élément activités de contrôle reste inchangé,
4. L’élément Information et Communication est complété des notions de temps et de
granularité de l’information,
5. L’élément Supervision (ou pilotage) reste inchangé.

Modifications opérées sur l'axe « Niveaux de l’organisation »

Le COSO 2 s’applique à l’ensemble de l’entreprise, aussi bien au niveau le plus haut

(« entité ») qu’au niveau opérationnel (« business unit »). Mais pour appliquer le COSO 2
avec succès, il faut prendre en compte l’ensemble du périmètre des activités d’une
organisation. Le COSO 2 considère les activités à différents niveaux de l’organisation :

 Au niveau de l’organisation (« entity ») pour des activités telles que la planification

stratégique ou l’allocation des ressources,
 Au niveau des unités de métier (« business unit ») pour des activités telles que le
marketing, et les ressources humaines,

12
  Au niveau des processus métier (« business process ») pour des activités telles que
la production, les achats,
 Et aussi aux niveaux des projets ou initiatives qui n’ont pas encore de place définie
dans la structure de l’organisation.

Par rapport au COSO 1, le COSO 2 apporte :

 un cadre plus strict de décomposition de la structure d’une organisation - par niveaux

- que le COSO 1 qui ne retient pas de structure de décomposition spécifique pour
une organisation. Cette décomposition est utile à la vision en portefeuille de risque
(cf. ci-dessous) exposée par le COSO 2.
 la nécessité de prendre en compte l’ensemble de l’organisation pour être appliqué
avec succès.

La notion de portefeuille de risques (« Portfolio »)

Il est demandé à l’organisation d’avoir une vision de ses risques sous forme d’un
portefeuille. Ce portefeuille doit caractériser les risques à chaque niveau de l’organisation.
La compilation du portefeuille permet donc d’avoir une vision globale des risques de
l’organisation. Cette vision pourra alors être rapprochée de l’ ”appétence au risque ” définie
pour l’organisation.

De plus, la compilation du portefeuille de risques permet au management :

 de mettre en évidence des risques qui peuvent être tolérés au niveau d’une unité mais
qui en s’additionnant ne seraient plus dans les limites de l’ « appétence au risque »
définie pour l’organisation.
 d’appréhender des événements potentiels (au niveau global) plutôt que des risques
et donc de mieux comprendre comment les risques interagissent entre eux au niveau
de l’organisation. Par exemple, une baisse des taux d’intérêt pourrait affecter
positivement le coût du capital mais négativement les produits de taux.

Modifications opérées sur l'axe « Objectifs de l’organisation »

Apport d’un nouvel objectif : « stratégique ».

13
Un objectif stratégique est un objectif « high-level », qui soutient et concourt à la
mission/vision de l’organisation. Les objectifs stratégiques reflètent les choix du
management quant à la recherche de création de valeur par l’organisation pour ses
actionnaires.

Les trois autres types d’objectifs : opérationnel, reporting, et réglementaire, sont dépendants
des objectifs stratégiques. Ils sont appelés les « related » objectifs. Par exemple, pour une
organisation, il s’agira de définir :

 Quelle est sa mission/vision,

 Quels sont les objectifs stratégiques soutenant cette mission/vision,
 Quelle est la stratégie à mettre en œuvre pour atteindre ces objectifs stratégiques,
 Et en déduire les « related » objectifs qui soutiennent la stratégie mise en œuvre.

À la différence du COSO 1, la mise en œuvre de COSO 2 nécessite donc d’avoir une vision
des objectifs stratégiques de l’entreprise en plus des « related » objectifs.

Élargissement de la notion de reporting

Par rapport au COSO 1, cette notion couvre désormais :

 non seulement le reporting financier, mais aussi la remontée d’informations non-

financières,
 non seulement la remontée d’informations externes mais aussi la remontée
d’informations internes.

Modifications opérées sur l'axe « Éléments »

L’axe « éléments de contrôles», qui devient « éléments de gestion des risques », a été
légèrement modifié et surtout enrichi : L’élément environnement de contrôle est complété
de la notion d’ « appétence au risque »,

 L’élément évaluation des risques est éclaté en quatre éléments dont les notions
existaient déjà dans le COSO 1 mais sous forme moins détaillée : définition

14
 d’objectifs, Identification des événements, Évaluation des risques, Réponse aux
risques,
 L’élément activités de contrôle reste inchangé,
 L’élément Information et Communication est complété des notions de temps et de
granularité de l’information,
 L’élément pilotage reste inchangé.

À la suite de ces modifications, la lecture de ce nouveau plan met en évidence un bloc

homogène que l’on peut qualifier «de bloc d'éléments de risques »* et qui contient les cinq
éléments : définition d’objectifs, identification des évènements, évaluation des risques,
réponse au risque et activités de contrôle.

* cette notion de bloc d'éléments de risques n’est pas présente dans le COSO 2. Elle est ici
proposée au lecteur dans un but pédagogique.

Remarque :

La pyramide qui schématisait la partie « éléments de contrôle interne » disparaît dans le

COSO 2.

Environnement interne

L’élément environnement interne reprend les notions de l’élément environnement de

contrôle du COSO 1 : importance des individus (compétence, éthique), du style de
management, de la délégation des responsabilités,…

En revanche, ce nouvel élément s’enrichit d’une nouvelle notion : celle d’ Appétence au

risque : c’est-à-dire la prise de risque acceptée par l’entreprise dans le but d’accroître sa
valeur. Cette « appétence au risque » permet ensuite de déterminer le niveau de la tolérance
de risque aux différents niveaux de l’organisation. Cette notion est nécessaire et précède la
définition de la stratégie de l’entreprise.

15
Le bloc « Éléments de risques »

Par rapport à COSO 1, les différents composants de ce bloc sont plus détaillés et fixent un
cadre plus précis :

 pour l’identification des événements potentiels (tendances, événements passés)

 pour l’évaluation des risques (risque inhérent, risque résiduel),
 pour les réponses aux risques (catégorisation des types de réponses).

Ce bloc comporte les cinq éléments suivants :

1. Définition d’objectifs
2. Identification des événements
3. Évaluation des risques
4. Réponses aux risques
5. Activités de contrôle

Le management doit tout d’abord se fixer des objectifs(1) en dehors des événements
susceptibles de venir les perturber. Ces objectifs sont de quatre types : stratégiques,
opérationnels, liés au reporting et à l’adéquation avec la réglementation.

Puis le management détermine pour chacun de ses objectifs les événements (2) susceptibles
d’avoir des impacts, que ceux-ci soient positifs ou négatifs. Les événements avec impacts
négatifs représentent des risques, ceux avec des impacts positifs représentent des
opportunités. L’identification des événements potentiels passe par l’utilisation de
combinaison de méthodes : tendances, événements déclencheurs, corrélation avec les
événements passés.

On passe ensuite à une évaluation des risques (3) pour les événements négatifs. Cette
évaluation doit déterminer la probabilité que cet événement survienne et les impacts alors
engendrés. Cette évaluation des risques doit présenter dans un premier temps le risque
inhérent, c’est-à-dire le risque qui existe si le management ne met en place aucune action
corrective. Dans un second temps, lorsque l’élément de réponse au risque aura été traité, il
sera possible de déterminer un risque résiduel. (Boucle unique de processus itératif). Il est

16
suggéré d’utiliser un système d’unité de mesure cohérent entre la mesure des « Définition
d’objectifs » et l’évaluation des risques.

Le risque évalué, il est ensuite demandé de définir les différentes parades possibles. C’est
la réponse au risque (4). Plusieurs options sont parfois possibles. Il est alors nécessaire de
les expliciter. Ces réponses peuvent être classées dans les quatre catégories suivantes :
l’évitement, la réduction, la mutualisation ou l’acceptation du risque. Si la méthode de
formalisation (option, classification) est incluse dans le périmètre de COSO 2, le choix de
la solution n’en fait en revanche pas partie. Une fois la réponse au risque définie,
l’organisation peut s’assurer que le risque résiduel correspond à sa tolérance de risque (3).

Il est ensuite nécessaire de mettre en place des activités de contrôle (5) qui se concrétisent
sous la forme de normes (« ce qui doit être fait ») et se voient déclinée en procédures
(« comment le faire »).

Information et communication

Par rapport à COSO 1, COSO 2 apporte les concepts suivants :

 la nécessité de considérer que les informations sont issues des événements passés,
présents et futurs. Cette vision doit notamment permettre :
o une comparaison des performances de l’organisation (passées, et potentielles
futures) et l’identification des évolutions et tendances de l’activité de
l’organisation,
o l’aide à la détection des potentiels événements futurs qui affectent le profil de
risques actuel de l’organisation, ce profil de risques devant donc être
rapproché de l’ « appétence au risque ».
 la nécessité de s’assurer que la granularité des informations (niveau de détail et
périodicité), est suffisante pour identifier, analyser, et répondre aux risques et ainsi
rester dans les limites de son « appétence au risque ».

De plus, COSO 2 insiste sur le concept de présentation de l’information pour communiquer,

i.e. l’information doit être communiquée sous une forme adaptée en fonction de
l’interlocuteur destinataire.

17
Pilotage

Pas d’ajout sur l’élément « Pilotage ».

Rôles et responsabilités

Le COSO 2 souligne l’importance de la prise de responsabilité dans une entreprise et

détaille ce qu’elle recouvre pour chacun des acteurs. On retrouve dans cette partie des
analogies fortes avec la loi Sarbanes-Oxley.

Par rapport au COSO 1, le COSO 2 apporte quelques modifications aux rôles des
intervenants :

 Un nouveau rôle apparaît: le « Risk officer »,

 Le rôle du board of directors est plus étendu que dans le COSO 1.

Les acteurs responsables (« Responsible parties »)

 Niveau 1: Opérationnelles
 Niveau 2: Fonction filière risque
 Niveau 3: Audit-inspection
 Niveau 4: Organe délibérant / Organe executif

Le Board of directors supervise avec attention la gestion des risques :

 Il connaît le périmètre de couverture efficace de gestion des risques mis en place par
le management de l’organisation,
 Il connaît et est en accord avec le « Risk appetite » de l’organisation,
 Il revoit le portefeuille de risques et effectue son rapprochement avec le « Risk
Appetite »
 Il est informé des risques les plus significatifs et de la pertinence de la prise en charge
de ces risques.

18
Le « Risk Officer»

Le Risk Officer (RO) est le facilitateur de la mise en œuvre du COSO 2. Il travaille avec
les autres responsables afin de les aider à mettre en place une gestion efficace des risques
pour leur périmètre de responsabilité. Sans être exhaustif, ses attributions pourraient être :

 l’élaboration de procédures de gestion des risques (incluant les rôles,

responsabilités),
 l’élaboration d’un langage commun de gestion des risques (uniformisation des
mesures de probabilité et d’impact, des catégories de risques..),
 l’accompagnement des managers dans l’élaboration de leur réponse aux risques
(aide directe, formation…),
 la supervision des managers pour l’élaboration des tolérances de risques,
 l’accompagnement des managers pour l’établissement des activités de contrôles,
 la supervision du processus de reporting de gestion des risques,

Son intervention porte donc sur l’ensemble des éléments de gestion des risques.

Les auditeurs internes

De la même manière que dans COSO 1, ceux-ci n’ont pas la responsabilité première de la
mise en œuvre de COSO 2. Par contre, ils ont un rôle prépondérant dans l’évaluation du
système de gestion des risques.

Les auditeurs externes

Ceux-ci travaillent au niveau « entité ». Ils donnent une opinion sur la constitution des états
financiers.

et l'approche moderne pour se prononcer sur les états, consiste en l'évaluation du système
de contrôle interne suivant les normes de travail de l'audit.

19
COSO III : la nouvelle version mise en application le 15 décembre 2014.

COSO : Ce référentiel aide les organisations dans l’évolution de leur dispositif de contrôle
interne et de gestion des risques en fonction de l’environnement dans lequel elles opèrent.

Le but de cette nouvelle version est de prendre en compte les évolutions des environnements
opérationnels et les attentes accrues en matière de contrôle interne.

Cette nouvelle version apporte plusieurs nouveautés significatives qui facilitent le

développement d’un dispositif pertinent et efficace.

 L’élargissement du domaine d’application au-delà du reporting financier (qualité,

RSE…) ;
 La gouvernance – renforcement des attentes (rôles des comités, alignement avec le
business model…) ;
 La gestion des collaborateurs clés au contrôle interne ;
 L’articulation des 3 « lignes de défense » dans l’entreprise (management, fonctions
support, audit interne) ;
 Le rapprochement entre risques, performance et rémunération ;
 L’articulation du « tone at the top » avec les comportements à travers l’entreprise («
tone in the middle ») ;
 La prise en compte des sous-traitants / autres intervenants clés (adhésion au code de
conduite, respect des contrôles au-delà du reporting financier) ;
 L’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’entreprise
(processus, rôles, structures, SI, CSP, périmètre d’activité…).

Ce référentiel COSO III est accompagnée de deux documents applicatifs :

 le premier : « Exemples d’outils d’évaluation de l’efficacité d’un système de contrôle

interne », fournit divers scénarii pour faciliter l’évaluation des dispositifs ;

le second, « Le contrôle interne sur le reporting financier : recueil d’approches et

d’exemples » a été mis au point pour accompagner les utilisateurs du référentiel lors
l’application du volet concernant les objectifs de la communication financière externe.

20
COSO / Analyse de risques

Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) est une

initiative commune de cinq organisations privées créée en 1992. Le comité a pour objectif
de devenir leader dans le développement de cadres de référence et de conseils dans les
domaines du contrôle interne, du management des risques en entreprise et de la dissuasion
des fraudes.
L’objectif inhérent de ces cadres de référence COSO est l’amélioration de la performance
et de la gouvernance des entreprises ainsi que la réduction des fraudes au sein des
organisations.

Un dispositif de management des risques efficace est centré sur l’atteinte des objectifs fixés
pour une entreprise donnée. La méthodologie COSO vise à aider l’organisation à atteindre
ces objectifs classés en quatre catégories :
– Stratégique : objectifs stratégiques servant la mission de l’organisation
– Opérationnel : objectifs visant l’utilisation efficace et efficiente des ressources
– Reporting : objectifs liés à la fiabilité du reporting
– Conformité : objectifs de conformité aux lois et aux réglementations en vigueur

Le dispositif de management des risques comprend huit éléments

1- Environnement interne : appréhension des risques, conception du management,

appétence ( Le nom appétence désigne une tendance qui porte tout être vers ce qui satisfait
ses instincts, ses besoins) pour le risque, intégrité, va leurs éthiques et environnement
2- Fixation des objectifs : processus de fixation des objectifs en ligne avec la mission de
l’entité et son appétence pour le risque
3- Identification des évènements : évènements internes et externes susceptibles d’affecter
l’atteinte des objectifs et distinction entre risques et opportunités
4- Evaluation des risques : analyse des risques avec leur probabilité et leurs impacts et
évaluation des risques inhérents et des risques résiduels

5-Traitement des risques : mesures pour déterminer le niveau des risques en fonction du
seuil de tolérance et de l’appétence et proposition de solutions (évitement, acceptation,
réduction ou partage)
21
6- Activités de contrôle : politiques et procédures déployées pour veiller à l’application
effective des mesures de traitement des risques
7- Information et communication : informations identifiées, collectées et communiquées
verticalement et transversalement au sein de l’organisation
8-Pilotage : activités permanentes de management, évaluations indépendantes

Il existe une relation directe entre les objectifs à atteindre et les éléments du dispositif de
management des risques. Cette relation est illustrée par la matrice en trois dimensions
suivante :

– Les quatre catégories d’objectifs sont représentées par les colonnes

– Les huit éléments du management des risques par les lignes
– Les unités de l’organisation par la troisième dimension

Cette représentation illustre la façon d’appréhender le management des risques dans sa

globalité ou par catégorie d’objectifs, par élément, par unité ou bien en les combinant.

22
Points forts

Les huit éléments de la matrice constituent un critère d’efficacité du dispositif de

management des risques. Un dispositif efficace exclut toute faiblesse majeure dans l’un de
ces éléments et peut justifier que le niveau des risques soit contenu dans les limites de
l’appétence pour le risque et l’organisation.

Points faibles

Les limites du COSO qui pourraient compromettre l’atteinte des objectifs :

1- Il est mis en œuvre par des hommes : il subsiste toujours des possibilités de défaillances
humaines, de collusion ou d’erreurs de jugement dans la prise de décision
2- Les activités de contrôle permettent difficilement de maitriser l’exceptionnel (ex : gestion
de crise). Tous les cas ne peuvent être prévus dans les procédures
3- Il nécessite une prise en compte du rapport coûts/bénéfices dans le choix du traitement
des risques et la mise en place de contrôles
4- Le management peut outrepasser les décisions prises en matière de gestion des risques

Chapitre II : LA LOI SARBANES-OXLEY

Audit financier et contrôle interne : l’apport de la loi Sarbanes-Oxley

( Hervé Stolowy, Edouard Pujol, Mauro Molinari, Groupe HEC )

Résumé

La loi Sarbanes-Oxley a pour objectif d’augmenter la responsabilité des sociétés et de mieux

protéger les investisseurs, ainsi que redonner confiance aux investisseurs et aux petits
épargnants. Cette loi comporte un volet qui nous étudions spécifiquement dans cet article :
l’obligation pour les dirigeants des sociétés américaines d’évaluer l’efficacité et la qualité de
leur système de contrôle interne. Cette loi américaine va avoir d’importantes conséquences, tant
en termes d’organisation des entreprises qu’au plan mondial, ainsi qu’en atteste en France la
toute récente loi sur la sécurité financière.

23
Introduction

L’économie américaine, portée par la nouvelle économie, la globalisation et les nouveaux

instruments financiers, et alimentée par des marchés boursiers en pleine euphorie, a enregistré
tout au long des années 1990 sa croissance la plus longue de l’après-guerre (Rioux, 2003). Cette
évolution s’est appuyée sur quelques schémas simples : forte exigence de la part des
investisseurs en termes de rentabilité, augmentation dans des proportions très fortes de la valeur
boursière de certaines valeurs dites « technologiques », plus-values colossales réalisées en
bourse, stratégies de croissance externe démesurées…

Cependant, pour pouvoir satisfaire les nombreuses exigences de leurs différentes « parties
prenantes » (stakeholders), certains dirigeants n’ont pas hésité à user (voire abuser) de pratiques
comptables dites « créatives »1 ou « agressives »2 allant, dans plusieurs cas, jusqu’à des
comportements totalement frauduleux.

1
La comptabilité créative peut être définie comme un ensemble de procédés visant à modifier le niveau de résultat,
dans un souci d’optimisation ou de minimisation, ou la présentation des états financiers, sans que ces objectifs
s’excluent mutuellement. Les procédés mis en œuvre s’appuient sur les choix offerts par la réglementation
comptable ainsi que sur les possibilités ouvertes par les faiblesses et les carences des textes comptables ou bien
encore sur les divergences entre les règles françaises et les règles internationales, mais aussi sur des montages pour
lesquels la comptabilité peut intervenir selon deux schémas opposés : la détermination de la traduction comptable
d’une opération juridico-financière ou l’élaboration d’un montage juridico-financier dans un objectif de
modification du résultat ou des états financiers (Stolowy, 2000).

24
Le retournement de la conjoncture boursière, initié en 2000, s’est traduit, en mars 2001, par l’«
éclatement de la bulle spéculative » et de nombreuses pratiques évoquées ci-dessus ont été
découvertes, notamment parce qu’elles n’étaient plus « tenables » pour les entreprises dont le
cours de bourse constituait le « soubassement » de leurs turpitudes3.

Les nombreux scandales qui ont alors frappé les Etats-Unis en 2001 et au début de l’année 2002
(avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont entraîné, comme
le rappelle Descheemaeker (2003), une réaction brutale du législateur américain et l’adoption
de la loi dite « Sarbanes-Oxley »4, votée par le Congrès des Etats-Unis et ratifiée par le président
Bush le 30 juillet 20025.

Cette loi Sarbanes-Oxley constitue la plus importante réforme aux Etats-Unis depuis la crise
des années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance
aux Etats-Unis. Elle est guidée par trois grands principes : l’exactitude et l’accessibilité de
l’information, la responsabilité des gestionnaires et l’indépendance des organes vérificateurs.
La loi a pour objectif d’augmenter la responsabilité de la société et de mieux protéger les
investisseurs, ainsi que redonner confiance aux investisseurs et aux petits épargnants (Rioux,
2003). Cette loi comporte un volet qui nous préoccupe directement dans cet article : l’obligation
pour les dirigeants des sociétés américaines d’évaluer l’efficacité et la qualité de leur système
de contrôle interne. Ainsi, après avoir présenté brièvement les principaux éléments de cette loi
(§ 1), nous développerons les dispositions portant sur le contrôle interne (§ 2). Mais il convient
de ne pas négliger les conséquences de cette loi américaine, tant en termes d’organisation des
entreprises (§ 3) qu’au plan mondial. La loi sur la sécurité financière fournit un excellent aperçu
des possibles conséquences en France (§ 4).

2
Le terme d’agressive accounting a été très en vogue aux Etats-Unis pendant toute la période d’euphorie boursière
des années 1990. Sans faire l’objet d’une définition unanimement reconnue, il correspond, selon nous, à
l’utilisation, dans des conditions extrêmes, des options laissées par les règles comptables.
3
Il a été notamment prouvé qu’Enron a utilisé ses propres titres comme garantie dans de nombreux montages et
que la chute des cours de bourse a fait s’effondrer les montages comme un château de cartes.
4
Le texte précise que la loi peut être citée en tant que « Sarbanes-Oxley Act of 2002 ». Elle tient son nom des
deux membres du congrès qui en ont été les rédacteurs : le sénateur démocrate Paul Sarbanes, Président de la
Commission des affaires bancaires, et le représentant républicain Michael Oxley, Président de la Commission des
services financiers.
5
Le texte intégral de la loi peut être facilement trouvé sur internet, notamment à l’adresse suivante :
http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf

25
1. Le contenu de la loi Sarbanes-Oxley

La loi contient six axes principaux (Rioux, 2003, Descheemaeker, 2003).

1.1 Certification des comptes

Le Directeur Général (Chief Executive Officer - CEO) et le Directeur Financier (Chief Financial
Officer - CFO) sont obligés de certifier les états financiers publiés, au moyen d’une déclaration
signée (loi Sarbanes-Oxley, section 302).

1.2 Contenu des rapports

Les entreprises doivent fournir à la Securities and Exchange Commission (SEC) des
informations supplémentaires afin d’améliorer l’accès à l’information et la fiabilité de cette
information. Les entreprises doivent rendre publics les ajustements comptables identifiés par
les auditeurs, les engagements hors bilan, ainsi que les changements dans la propriété des actifs
détenus par les dirigeants. En outre, les dirigeants doivent rédiger un rapport sur les procédures
du contrôle interne (voir ci-après) et préciser si un code d’éthique a été adopté.

1.3 Contrôle de la SEC

La SEC devra procéder à un contrôle régulier des sociétés cotées, ce contrôle devant intervenir
au moins une fois tous les trois ans.

1.4 Comités d’audit et règles d’audit

Les entreprises doivent mettre en place un comité d’audit indépendant pour superviser le
processus de vérification. Ce comité est responsable du choix, de la désignation, de la
rémunération et la supervision des auditeurs. Il doit également mettre en place des procédures
pour recevoir et traiter les réclamations mettant en cause la comptabilité, les contrôles internes
comptables et l’audit, et pour garantir le traitement confidentiel des observations émanant du
personnel de la société concernant des problèmes comptables ou d’audit (loi Sarbanes-Oxley,
section 301).

26
En outre, la loi prévoit la rotation des auditeurs externes (section 203). Par ailleurs, dans le souci
de réduire les conflits d’intérêts, les auditeurs externes ne peuvent offrir à l’entreprise dont ils
vérifient les comptes, des services autres que ceux qui sont directement reliés à cette activité
(notamment des services liés à la mise en place de systèmes d’information) (loi Sarbanes-Oxley,
section 201).

1.5 Création du Public Company Accounting Oversight Board (PCAOB)

Dans le cadre de la loi (sections 101-109), un nouvel organisme de réglementation et de

surveillance est créé, le Public Company Accounting Oversight Board. Cet organisme doit
superviser les cabinets d’audit, établir des normes, mener des enquêtes et sanctionner les
personnes physiques ou morales qui ne respectent pas les règles. Dépendant de la SEC, ce
nouvel organisme de contrôle comprend cinq membres nommés par celle-ci, et dispose de
pouvoirs d’enquête et de sanction.

1.6 Sanctions

Des sanctions pénales sont créées et d’autres considérablement renforcées. Nous retiendrons à
titre d’exemple que la certification d’états financiers non conformes à la réglementation est
passible d’une amende d’un million de dollars ou d’un emprisonnement de 10 ans au plus. En
outre, la commission intentionnelle de la même infraction fait passer l’amende à 5 millions de
dollars et l’emprisonnement à 20 ans (section 906 de la Loi Sarbanes-Oxley).

La falsification de documents dans le but de faire obstacle à une enquête fait l’objet d’une
amende à laquelle peuvent venir s’ajouter des peines de prison pouvant atteindre 20 ans (section
802)6.

2. Le contrôle interne dans la loi Sarbanes-Oxley

Dans le cadre de l’amélioration du contenu des rapports évoquée ci-dessus, la loi Sarbanes-
Oxley contient divers articles concernant les nouvelles responsabilités des dirigeants
d’entreprise en matière de contrôle interne. Il s’agit notamment des sections 302 et 404. Il

6
Cette nouvelle sanction semble être l’une des conséquences de la destruction des documents de la société Enron
par le bureau du Cabinet Andersen à Houston.

27
paraît cependant utile de fournir brièvement une définition de la notion de contrôle interne et
de s’interroger sur l’éventuel diagnostic sur les insuffisances du contrôle interne sous-jacent à
la loi Sarbanes-Oxley.

2.1 Définition du contrôle interne

L’Ordre des experts comptables français fournit une définition qui nous paraît claire et
d’application universelle (OECCA, 1977, pp. 8-9) : le contrôle interne est « l’ensemble des
sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la
protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, d’assurer
l’application des instructions de la direction et de favoriser l’amélioration des performances. Il
se manifeste par l’organisation, les méthodes et procédures de chacune des activitiés de
l’entreprise pour maintenir la pérennité de celle-ci ».

2.2 Insuffisances du contrôle interne

Alors que la loi Sarbanes-Oxley contient des dispositions très importantes en matière de
contrôle interne (voir ci-dessous), nous ne trouvons pas trace d’un éventuel diagnostic sur les
insuffisances de ce contrôle. Par exemple, dans le rapport du Sénat américain (2002) publié à
la suite de l’affaire Enron, plusieurs causes de la débâcle sont avancées : non-respect des
obligations fiduciaires (manque de contrôle du conseil d’administration), comptabilité à haut
risque, conflits d’intérêts indésirables, importance du « hors bilan », rémunérations excessives
et manque d’indépendance (du conseil d’administration et des auditeurs). Le contrôle interne
n’est aucunement mentionné comme ayant été un « problème » dans le cadre de l’affaire Enron.
Aussi, les dispositions de la loi Sarbanes-Oxley sur le contrôle interne sont souvent présentées
sans motivation spécifique mais comme contribuant à l’amélioration de l’information financière
(voir Rioux, 2002 et Descheemaeker, 2003).

2.3 Section 302. Certification des états financiers7

Avant d’aborder le contrôle interne proprement dit, il convient de mentionner le fait que, aux
termes de la section 302 de la Loi8, le Directeur Général (CEO) et le Directeur Financier

7
Section 302: Corporate Responsibility For Financial Reports.

28
(CFO) de l’entreprise doivent préparer une déclaration, accompagnant le rapport des auditeurs,
qui certifie la validité des états financiers et des indications hors bilan contenues dans le rapport
annuel (ou les rapports périodiques). Cette déclaration doit aussi signaler que les états financiers
présentent de manière sincère, dans tous leurs aspects significatifs, la situation financière et les
résultats de l’activité de l’entreprise.

Cet article qui impose une « certification des états financiers » par les dirigeants a également
des conséquences en matière de contrôle interne puisque les dirigeants attestent qu’ils :

- sont responsables de la mise en place et du maintien du contrôle interne9 ;

- ont conçu ce contrôle de telle sorte que toute information significative concernant
l’entreprise et les sociétés consolidées est connue par les dirigeants, notamment pendant la
période de préparation des rapports périodiques ;
- ont évalué l’efficacité du contrôle interne de l’entreprise à moins de 90 jours de la
publication des rapports ;
- ont présenté dans leur rapport leurs conclusions concernant l’efficacité du contrôle interne
fondées sur leur évaluation.

En outre, les dirigeants doivent signaler aux auditeurs et au comité d’audit les déficiences dans
le contrôle interne et les fraudes liées au contrôle interne. Enfin, les dirigeants doivent
mentionner dans leur rapport s’il y a eu des changements significatifs dans le contrôle interne
après la date d’évaluation.

8
Eu égard à l’importance de l’article 302 de la Loi, nous en reproduisons une partie du texte en encadré.
9
La Loi Sarbanes-Oxley utilise souvent le pluriel : internal controls (contrôles internes). Par habitude par
rapport à la pratique française, nous préférons utiliser le singulier pour désigner l’ensemble des systèmes et
procédures de contrôle interne.

29
 Article 302 de la Loi Sarbanes-Oxley

« (a) Regulations required – The Commission shall, by rule, require, for each company filing periodic reports
under section 13(a) or 15(d) of the Securities Exchange Act of 1934 (…), that the principal executive officer or
officers and the principal financial officer or officers (…), certify in each annual or quarterly report filed or
submitted (…) that-
1. The signing officer has reviewed the report;
2. Based on the officer’s knowledge, the report does not contain any untrue statement of a material fact or
omit to state a material fact necessary in order to make the statements made, in light of circumstances
under which such statements were made, not misleading;
3. Based on such officer’s knowledge, the financial statements, and other financial information included in
the report, fairly present in all material respects the financial condition and results of operations of the
issuer as of, and for, the periods presented in the report;
4. The signing officers-
A. are responsible for establishing and maintaining internal controls;
B. have designed such internal controls to ensure that material information relating to the issuer and
its consolidated subsidiaries is made known to such officers by others within those entities,
particularly during the period in which the periodic reports are being prepared;
C. have evaluated the effectiveness of the issuer’s internal controls as of a date within 90 days prior
to the report; and
D. have presented in the report their conclusions about the effectiveness of their internal controls
based on their evaluation as of that date;
5. The signing officers have disclosed to the issuer’s auditors and the audit committee of the board of
directors (…)-
A. all significant deficiencies in the design or operation of internal controls which could adversely
affect the issuer’s ability to record, process, summarize, and report financial data and have
identified for the issuer’s auditors any material weaknesses in internal controls; and
B. any fraud, whether or not material, that involves management or other employees who have a
significant role in the issuer’s internal controls; and;
6. The signing officers have indicated in the report whether or not there were significant changes in internal
controls or in other factors that could significantly affect internal controls subsequent to the date of their
evaluation, including any corrective actions with regard to significant deficiencies and material
weaknesses. (…). »

2.4 Section 404. Evaluation du contrôle interne10

La Loi11 exige que chaque rapport annuel contienne un rapport sur le contrôle interne qui :

- confirme que la direction est responsable de la mise en place et de la gestion d’une

structure de contrôle interne adéquate et de procédures pour la communication financière.
- contienne une évaluation de l’efficacité de la structure de contrôle interne et des
procédures de communication financière, à la date de clôture des comptes.

Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur l’évaluation du
contrôle interne réalisée par la direction de l’entreprise.

10
Section 404: Management Assessment of Internal Controls.
11
Eu égard à l’importance de l’article 404 de la Loi, nous en reproduisons le texte intégral en encadré.

30
 Article 404 de la Loi Sarbanes-Oxley

« (a) Rules required – The Commission shall prescribe rules requiring each annual report required by section 13(a)
or 15(d) of the Securities Exchange Act of 1934 (…) to contain an internal control report, which shall:
1) State the responsibility of management for establishing and maintaining an adequate internal control
structure and procedures for financial reporting; and
2) Contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of
the internal control structure and procedures of the issuer for financial reporting.
(b) Internal control evaluation and reporting. – With respect to the internal control assessment required by
subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall
attest to, and report on, the assessment made by the management of the issuer. An attestation made under this
subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board.
Any such attestation shall not be the subject of a separate engagement ».

2.5 Commentaires

Depuis longtemps, la SEC avait essayé de faire adopter des propositions sur le reporting du
contrôle interne, mais toute tentative avait échoué jusqu’en 2002, quand la mise en place de la
loi Sarbanes-Oxley fournit l’occasion notamment pour définir les obligations des sociétés au
sujet du contrôle interne (Barlas, 2003).

La réaction des groupes cotés n’a pas été enthousiaste : les réticences qui avaient joué contre
les anciennes propositions étant toujours présentes, mais le pouvoir de négociation des sociétés
s’est trouvé affaibli suite à la série de scandales des années 2001-2002.

Les objections à l’encontre des dispositions de la loi sur le contrôle interne sont notamment les
suivantes (Barlas, 2003) :

- le coût des procédures d’attestation et du rapport fourni par des auditeurs indépendants
pourrait être trop élevé et finalement dépasser la valeur de l’information apportée aux
investisseurs.
- les normes qui doivent être élaborés par le PCAOB (organisme évoqué précédemment)
concernant l’émission des rapports sur le contrôle interne ne sont pas encore publiées. Or
une telle publication sur le contrôle interne va inévitablement soulever une problématique
coûts/bénéfices. Quelle information publier ? Cette information est-elle utile ? Cette
information n’est-elle pas trop coûteuse ? Dans ce contexte, les sociétés américaines
souhaitaient voir reportée l’application des normes sur le contrôle interne. Elles ont de ce

31
 point de vue été entendues puisque la SEC a décidé en mai 2003 de leur donner une année
supplémentaire pour appliquer les dispositions de l’article 404, en publiant le rapport sur le
contrôle interne dans le cadre des exercices comptables se clôturant à partir du 15 juin 2004.

3. Conséquences de la loi Sarbanes-Oxley sur l’organisation de l’entreprise

La loi Sarbanes-Oxley, et notamment ses composantes traitant du contrôle interne, va tout

d’abord avoir des conséquences sur les entreprises elles-mêmes.

L’objectif de la SEC avec la loi Sarbanes-Oxley est, rappelons-le, de s’assurer qu’une société
met bien en place les procédures nécessaires à la collecte, l’analyse et la diffusion de toute
information qui doit être incluse dans les rapports financiers. En conséquence, en raison de
l’obligation de certifier les états financiers par la direction de l’entreprise (sec. 302 de la loi),
les sociétés doivent considérer le fait d’adopter des procédures internes particulières pour
délivrer ces certifications.

Dans ce contexte, le Directeur Général et le Directeur Financier doivent discuter avec le Comité
d’Audit, le Conseil d’Administration et les auditeurs externes, toute déclaration concernant les
états financiers de l’entreprise mentionnée dans les rapports périodiques.

Si l’on en vient au contrôle interne, la loi oblige les entreprises à évaluer, sous la responsabilité
de la Direction, l’efficacité de la conception et la mise en place des procédures de contrôle.
Cette évaluation a pour objectif d’identifier les points faibles de chaque procédure ainsi que
toute faiblesse qui puisse mettre en cause la capacité de l’entreprise à collecter, analyser et
révéler l’information exigée dans un délai de temps défini. Tout changement dans les
procédures de contrôle, y compris les actions correctives qui ont été prises suite à
l’identification de faiblesses ou déficiences, doit également être évalué. Avant la publication du
rapport annuel, les résultats de cette évaluation doivent être communiqués et réexaminés par la
Direction et par le Conseil d’Administration de l’entreprise (Sullivan, 2002).

La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation. Chaque
entreprise doit plutôt développer les procédures qui s’adaptent le mieux à sa gestion et au

32
déroulement de ses activités. Néanmoins, la SEC propose la création d’un comité dépendant de
la Direction qui serait responsable de l’évaluation du caractère significatif des informations
obtenues (materiality of information) et de la détermination de l’opportunité de leur publication
(determining disclosure obligations on a timely basis ).

Selon la SEC, ce comité peut être formé par les membres suivants (Sullivan, 2002) :

- Chef comptable (principal accounting officer )

- Responsable juridique ou membre du management qui rend compte au responsable
juridique (the general counsel or other senior legal official with responsibility for disclosure
matters who reports to the general counsel )
- Responsable de la gestion des risques (principal risk management officer )
- Responsable des relations avec les actionnaires (chief investor relations officer )
- Autres membres du management ou employés, y compris des personnes qui participent aux
différentes activités, si la société le juge nécessaire.

Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne augmenteront
sensiblement le coût de l’audit pour les groupes cotés aux Etats-Unis (Accounting Office
Management & Administration Report, 2002) : les auditeurs voudront avoir la certitude que le
processus de contrôle choisi par le management est rigoureux, ce qui comportera un
renforcement des vérifications. Les contrôles financiers devront être dûment documentés et
communiqués à toutes les personnes concernées, et leur efficacité testée. Inévitablement, ces
lourdes procédures risquent de focaliser l’attention du management sur la forme des contrôles,
et de faire passer au deuxième plan le contenu.

4. Les conséquences de la Loi Sarbanes-Oxley à l’étranger

4.1 Généralités

Dans certains pays, les lois nationales prévoient des déclarations semblables à celles demandées
par la SEC : c’est le cas du Royaume Uni, où le Conseil d’administration (Board of Directors)
doit expliquer comment les procédures de contrôle interne ont été vérifiées (Hughes, 2003).
Dans la pratique les deux législations ont le même but, mais la mise en œuvre est différente :
aux Etats-Unis, il faut expliquer si le contrôle interne a détecté des problèmes

33
ou pas. Il faut publier cette information et surtout il faut la faire valider par un auditeur externe,
ce qui engendre trois différences essentielles avec les normes britanniques.

4.2 Le contexte français : la loi sur la sécurité financière

Dans le contexte de l’adoption de la loi Sarbanes-Oxley aux Etats-Unis, un projet de loi sur la
sécurité financière a été diffusé en France et déposé au Sénat le 5 février 2003. Il a été adopté
sous la forme de la loi n° 2003-706 du 1er août 2003 de sécurité financière (JO du 2 août 2003)12.
Le texte a pour ambition de ramener la confiance sur les marchés financiers, ébranlés par la
crise ouverte née des scandales financiers aux Etats-Unis. Les différentes dispositions
s’articulent autour de trois axes :

1. la modernisation des autorités de contrôle avec la création de l’Autorité des Marchés

Financiers,
2. le renforcement de la sécurité des épargnants et
3. l’amélioration du contrôle des comptes des entreprises.

Dans le présent article, nous nous intéresserons plus particulièrement au troisième aspect du
projet. Dans le titre III « Modernisation du contrôle légal des comptes et transparence »,
Chapitre II « De la transparence dans les entreprises », l’article 117 prévoit deux dispositions
qui concernent le contrôle interne :

- « L’article L. 225-37 est complété par un alinéa ainsi rédigé : ‘Le président du conseil
d’administration rend compte, dans un rapport joint au rapport mentionné aux articles L.
225-100, L. 225-102, L. 225-102-1 et L. 233-26 des conditions de préparation et
d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en
place par la société. (…) ».
- « L’article L. 225-68 est complété par un alinéa ainsi rédigé : ‘Le président du conseil de
surveillance rend compte, dans un rapport joint au rapport mentionné à l’alinéa précédent
et à l’article L. 233-26, des conditions de préparation et d’organisation des travaux du
conseil ainsi que des procédures de contrôle interne mises en place par la société’ ».

12
Le texte intégral de la loi, du projet de loi, des amendements, des comptes rendus de débats ainsi que des rapports
parlementaires concernant cette réforme est disponible sur les sites internet du Sénat (www.senat.fr) et de
l’Assemblée Nationale (www.assemblee-nationale.fr).

34
Précisons que l’article L. 225-37 concerne les SA classiques tandis que l’article L. 225-68 vise
les SA à directoire. En outre, ces dispositions entrent en vigueur pour les exercices comptables
ouverts à partir du 1er janvier 2003. Le rapport sera donc présenté en 2004, lors de l’assemblée
générale des actionnaires statuant sur les comptes 2003.

Concrètement, le rapport sur le contrôle interne devra être joint au rapport de gestion. Cette
formule offre l’avantage de rendre public le rapport joint, puisqu’il sera déposé au greffe comme
le rapport de gestion13.

Par ailleurs, l’article 120 de la loi prévoit que « L’article L. 225-235 du code de commerce est
ainsi modifié : (…) 3° Il est complété par un alinéa ainsi rédigé : ‘Les commissaires aux comptes
présentent, dans un rapport joint au rapport mentionné au deuxième alinéa de l’article L. 225-
100, leurs observations sur le rapport mentionné, selon le cas, à l’article
L. 225-37 ou à l’article L. 225-68, pour celles des procédures de contrôle interne qui sont
relatives à l’élaboration et au traitement de l’information comptable et financière’ ».

Ce texte prévoit que le rapport consignant les observations du commissaire aux comptes sur les
procédures de contrôle interne de la société sera joint au rapport du commissaire aux comptes
sur la certification des comptes14. Notons que la mission du commissaire aux comptes est
étendue et va au-delà de la certification « traditionnelle » de la régularité, de la sincérité et de
l’image fidèle des comptes. Cependant, la loi restreint l’intervention des commissaires aux
comptes aux procédures de contrôle interne qui sont liées à l’information comptable et
financière.

Conclusion

L’attention autour de la loi Sarbanes-Oxley a porté surtout sur les aspects les plus frappants
introduits dans la législation américaine, comme par exemple les lourdes conséquences pénales
pour les dirigeants fautifs (Rosen et Kramer, 2003 ; Martin et Robinson, 2002). En revanche,
les pratiques quotidiennes à mettre en place pour être en conformité avec la loi en

13
Intervention de J.J. Hyest, Débats Sénat, séance du 20 mars 2003.
14
Amendement du Sénat, intervention de J.J. Hyest, Débats Sénat, séance du 20 mars 2003.

35
matière de contrôle interne (Scanlon et Wakefield, 2002), ont été négligées, alors que la date
limite pour la mise en place des procédures est proche, même si elle a été récemment reportée.

De nombreux points restent donc encore en suspens :

- Comment les entreprises américaines vont-elles concrètement organiser la « certification

du contrôle interne » ?
- La loi sur la sécurité financière ayant confirmé les intentions du projet en matière de
contrôle interne en France, comment les entreprises françaises mettront-elles en œuvre, à
leur tour, une telle obligation ?

L’avenir proche sera encore plein d’intérêt et le contrôle interne a de beaux jours devant lui.

Remerciements

Nous remercions l’évaluateur anonyme pour les remarques très constructives qui ont été
formulées et qui ont permis d’améliorer l’article.

Références bibliographiques

Accounting Office Management & Administration Report. « How CPA firms can foster a
‘renaissance’ in auditing », Vol. 2, No 12, décembre, p. 1 et 13, 2002.

S. Barlas, « Companies not excited about prospective internal controls report », Strategic Finance,
Vol. 84, No 8, p. 23-24, 2003.

P. Descheemaeker, « Nouvelle régulation internationale des sociétés cotées : les principales dispositions
du Sarbanes-Oxley Act of 2002 », Bulletin Joly Sociétés, janvier, p. 5-11, 2003.

M. Hughes, « Some devil in the detail: Businesses could be underestimating their responsibilities on the
need for internal controls under the Sarbanes-Oxley Act », Financial Times, 27 février, p. 2,
2003.

D. Martin. et G. Robinson, « CEO and CFO certifications and new filing deadlines for annual and
quarterly reports », Covington & Burling – Securities Practice Group, 2002.

Ordre des experts comptables et des comptables agréés (OECCA), « Le contrôle interne », rapport du
32ème congrès, 1977.

M. Rioux, « À la rescousse du capitalisme américain : la loi Sarbanes-Oxley », Observatoire des

Amériques, janvier, 6 pages, 2003.

36
R. Rosen. et D. Kramer, « Litigation implications of the CEO and CFO certification requirements of the
Sarbanes-Oxley Act », Insights; the Corporate & Securities Law Advisor, Vol. 17, No 1, p. 2-8,
2002.

M. Scanlon et A. Wakefield, « Additional SEC rulemaking to implement the Sarbanes-Oxley Act »,

Insights; the Corporate & Securities Law Advisor, Vol. 16, No 12, p. 33-36, 2002.

Sénat américain : Le rôle du conseil d’administration dans la chute d’Enron. Rapport préparé par la Sous-
commission permanente d’enquête de la commission des affaires gouvernementales, Sénat des
Etats-Unis, 8 juillet 2002, 107ème congrès, 2ème session, rapport 107-70. In « Les leçon d’Enron »,
dirigé par Frison-Roche, M.A., Autrement, pp. 57-143, 2003.

H. Stolowy, « Comptabilité créative » in Encyclopédie de Comptabilité, Contrôle de Gestion et Audit

(sous la direction de B. Colasse), Economica, pp. 157-178, 2000.

T. Sullivan, « CEO and CFO certification requirements », Memorandum. Hinshaw & Culbertson, 12 août
2002.

37