1.

Le COSO 1
• Le Committee of Sponsoring Organizations of
the Treadway Commission (COSO 1, 1992, révisé
en 2013 et entré en vigueur le 15 décembre
2014) comprend 5 composantes:
• Environnement de contrôle
• Evaluation des risques
• Activités de contrôle
• Information et communication
• pilotage
2. Le référentiel du CI, COSO1- 2013
2.1. Définition du contrôle interne selon le COSO
2013

• Le contrôle interne est un processus mis en

œuvre par le conseil (les instances dirigeantes), le
management et les collaborateurs, et qui est
destiné à fournir une assurance raisonnable
quant à la réalisation d’objectifs liés aux
opérations, au reporting et à la conformité.

3
2.2. Les 17 principes structurants du COSO1 2013
• Les 5 composantes de la version initiale du
COSO sont ici officiellement déclinées :
– en 17 principes
– complétés par des points d'attention
– et des illustrations.
• Le tableau ci-dessous précise ces principes
de base.
• Les 17 principes du COSO1 actualisé
2013, sont entrés en vigueur le 15
décembre 2014
4
5
6
• Les fondamentaux du référentiel COSO-I n'ont pas
changé :
– La définition du contrôle interne,
– les trois objectifs poursuivis :
• opérations
• reporting
• conformité
– et les cinq composantes dans lesquelles se
répartissent les dispositifs de contrôle à mettre en
œuvre sont conserves :
• environnement du contrôle
• évaluation des risques
• activités de contrôle
• information et communication
• pilotage
• La principale nouveauté réside dans ces 17
principes et les points d'attention associés.
• La version initiale de 1992 laissait aux
responsables chargés de la mise en œuvre du
contrôle interne l'initiative de décliner la nature
des différents dispositifs à créer au sein de
chacune des 5 grandes composantes du contrôle
interne.
• Sans pour autant constituer un cadre rigide, la
nouvelle version apporte à ce niveau une aide
indiscutable en guidant l'expert du contrôle
interne dans sa mise en œuvre.
2.3. Quelles actions sont à envisager pour se
mettre en conformité avec le COSO 2013 ?
 Pour se mettre en conformité, l’organisation
peut :
• Faire un diagnostic sur la base des 17 principes pour
identifier les axes d’amélioration nécessaires au niveau
de l'organisation et des entités individuelles;
• Approfondir certains sujets sur la base des 17 principes,
par exemple :
– la prise en compte des tiers dans l’évaluation du contrôle
interne,
– l’utilisation des nouvelles technologies, notamment en ce qui
concerne la sécurité des bases de données et le cloud-
computing qui peut connaître uneSouleymane
ABR Bénin- défaillance,
SERE etc.). 10
3. Les référentiels ou cadre conceptuel de
management des risques du COSO2 (Du
COSO 1 au COSO 2)

• COSO est l’acronyme abrégé de Committee Of

Sponsoring Organizations of the Treadway
Commission : une commission à but non lucratif qui
a établit en 1992 :
– une définition standard du contrôle interne
– et crée un cadre pour évaluer son efficacité.
• Par extension ce référentiel s'appelle aussi COSO
(COSO 1- révisé en 2013).
• Publié en 2004 et traduit en français par
l'IFACI et Price Water House Coopers en 2005
sous le titre Le Management des risques de
l'entreprise, Cadre de référence - Techniques
d'application, le COSO 2 est un cadre de
référence international solide permettant
d'aider les organisations à identifier, évaluer
et gérer efficacement le risque.
Un peu d’histoire
• En réponse à une série de scandales
financiers intervenus dans les années 80 aux
USA (Polly Peck, Maxwell, et Barings,), des
spécialistes de cabinets d'audit et d'expertise
comptable ainsi que des chercheurs se sont
réunis en 1985 à la demande du sénateur
américain Treadway sur le thème de la «
fraude dans le reporting financier ».
La commission Treadway était chargée :
– d'étudier les déterminants des principales causes de
fraudes dans les états financiers
– et de formuler des recommandations pertinentes.

• Le rapport de la commission Treadway est publié en

septembre 1987.
• Il constitue une base de recommandations pour
prévenir et détecter les fraudes dans les états
financiers.
• Après la publication du rapport Treadway, la
commission COSO a été constituée pour poursuivre
la mise en œuvre ses recommandations.
Les organisations qui ont sponsorisé les travaux du
COSO sont :
– American Accounting Association (AAA): Association
Comptable Américaine
– American Institute of Certified Public Accountants (AICPA):
Institut des experts-comptables
– Financial Executives International (FEI): La fédération
internationale des Directeurs financiers
– Institute of Management Accountants (IMA): l'institut des
professionnels comptables et financiers d'entreprise
– Institute of Internal Auditors (IIA): Institut des auditeurs
internes
• Le COSO est indépendant des organisations
membres.
• Sur la base des recommandations de la
commission Treadway, le COSO a rédigé le
«Internal Control – Integrated Framework» -
cadre conceptuel du contrôle interne intégré -
ou référentiel COSO publié en 1992 (COSO 1).
• Le COSO 1 propose un cadre de référence pour
la gestion du contrôle interne.
3.1 Définition du management des risques par le
COSO 2

• Au sens classique, le Contrôle Interne est « un

ensemble de dispositifs ayant pour but, d'un
côté d'assurer la protection, la sauvegarde du
patrimoine et la qualité de l'information, de
l'autre d'assurer l'application des instructions
de la Direction et de favoriser l'amélioration
des performances ».
Le contrôle interne : L’approche dite « classique»

• Le terme Contrôle Interne est la traduction

littérale de l'expression anglo-saxonne:
« Internal Control» (ou Business Control pour
les Américains) dans lequel le verbe « to
control» signifie conserver la maîtrise de la
situation alors qu'en français le mot
« contrôle » est davantage compris comme le
fait d'exercer une action de surveillance sur
quelque chose pour l'évaluer.
L'« Internal Control» se traduit dans les faits par
2 aspects complémentaires :
1. un état d'esprit dont la responsabilité incombe à
toute personne exerçant quelque autorité dans
l'organisation : planifier les tâches, organiser les
responsabilités, conduire les opérations et en
contrôler la bonne marche;
2. Un ensemble de moyens, mesures et méthodes
pour y parvenir
• Dans sa version originale, « to control » signifie
« exercer une influence volontaire pour
contribuer à la réalisation d’un objectif
préétabli ».

• Cette définition englobe deux concepts

étroitement liés :
– D’une part, pour exercer un contrôle, il est nécessaire
de disposer d’objectifs préétablis ; sans objectif, le
contrôle n’a pas de sens.
– D’autre part, exercer un contrôle signifie,
implicitement, influencer quelqu’un ou quelque
chose – tel que le personnel de l’organisation, une
unité, ou l’ensemble de l’organisation – en vue de
progresser vers la réalisation des objectifs.
• Établir des objectifs et entreprendre des
actions visant à les atteindre sont donc 2
éléments fondamentaux d’une démarche de
contrôle au sens du contrôle interne.

• Par ailleurs, le mot « interne » signifie « qui

est situé en dedans, tourné vers l’intérieur ».
Les mots « en dedans » et « intérieur »
peuvent être considérés comme se rapportant
à une organisation à laquelle s’intègre le
contrôle interne.
• De cette façon, le contrôle interne se rapporte aux
actions des organes de surveillance, du
management ou du personnel de l’organisation, y
compris les auditeurs internes, à l’exclusion des
actions des autorités de tutelle ou des auditeurs
externes, situés en dehors de l’organisation.

• Le contrôle Interne (CI) implique ainsi en premier

lieu l’établissement d’une cartographie des
activités et des processus de l’organisation
(métiers, supports, gestion et pilotage..).
• A ce titre, il mobilise l’ensemble de ses niveaux de
responsabilité.
• Sa conception et sa mise en place passent ensuite
par les étapes suivantes :
– la définition des objectifs généraux et spécifiques pour
chaque processus,
– l’identification et l’évaluation des risques associés à
chacun des objectifs,
– la conception et la formalisation des contrôles
adéquats pour gérer ces risques (par exemple la
prévention, la détection ou la correction).

• La formalisation du dispositif de contrôle interne

passe par la rédaction de référentiels de contrôle
pour chaque activité et processus entrant dans le
périmètre de l’organisation (univers). Le contrôle
interne constitue la clef de voûte de la politique de
maîtrise des risques d’une organisation.
• En ciblant les activités de contrôle sur les opérations
présentant les risques les plus élevés, l’internalisation
du contrôle permet de le rendre plus efficace et de
sensibiliser les responsables des opérations concernées
à ses enjeux.

• Au lieu d’être pratiqués de façon intrusive et parfois

redondante par un contrôleur externe, les contrôles
sont intégrés au sein des processus de travail.
• Le contrôle interne est donc une démarche
particulièrement adaptée aux organisations de grande
taille, justement les plus exposées aux risques
d’inefficience.
• Il permet à tous les acteurs fonctionnels et
opérationnels de s’affranchir des contrôles inutiles ou
redondants dans une logique d’optimisation continue
de leurs procédures de travail.
L'approche actuelle est donc plus large que l'approche
classique (voir articles 13 de la directive n°6 UEMOA
2009 sur les Lois de finances et 13 ET 12 de la LOLF
Malienne de 2013) :
– le Contrôle Interne est abordé en termes de processus et
plus seulement en termes de techniques et de dispositifs
de sécurité;
– elle replace l'ensemble du personnel de l'organisation au
cœur du Contrôle Interne.
– le management et les Instances dirigeantes ne peuvent
attendre du contrôle interne qu'une assurance
raisonnable, et non une assurance absolue ;
– le contrôle interne est axé sur la réalisation d'objectifs
dans un ou plusieurs domaines qui sont distincts mais qui
se recoupent.
• En privilégiant la démarche de performance et en
imposant l’obligation de rendre compte, notamment
par les rapports annuels de performance, la Directive
N°6 de l’UEMOA et la LOLF Malienne fournissent un
environnement favorable à l’essor du contrôle et de
l’audit internes.

• Elles conduisent le législateur à adopter chaque année,

en loi de finances, :
– les objectifs stratégiques assignés au Gouvernement dans
son ensemble et, en son sein, à chacun des ministères.
– Les responsables de programme déclinent ensuite ces
objectifs au niveau de chaque responsable de budget
opérationnel de programme (BOP) et de chaque unité
opérationnelle (UO).
• Or, comme cela a déjà été souligné, une
démarche de contrôle et d’audit internes n’a
de sens que par rapport aux objectifs de
l’organisation.
• La Directive N°6 de l’UEMOA et la LOLF
Malienne de 2013, fournissent donc un cadre
pour l’analyse et l’évaluation des risques au
niveau du programme et au niveau des unités
opérationnelles, ainsi que la base d’une
cartographie formalisée des risques.
• Il importe toutefois de ne pas fonder à court
terme des attentes excessives sur une approche
globale des risques et d’éviter certains errements
trop souvent observés :
– caractère informel de l’exercice de cartographie des
risques,
– concentration sur les risques généraux ne pouvant faire
l’objet de mesures concrètes de gestion et n’ayant pas
d’impact direct sur les activités à l’échelon opérationnel.

• De plus, il convient de souligner que les normes

applicables au secteur public accordent parfois, un
poids renforcé aux objectifs de l’organisation par
rapport à la maîtrise des risques dans la
programmation des audits.
• L’obligation de rendre compte, suppose en
effet que les responsables de programme, les
ministres et le Gouvernement soient en
mesure :
– de vérifier la réalisation des objectifs fixés par la
loi de finances,
– d’expliquer les écarts constatés
– et de proposer le cas échéant des mesures
correctrices ou une remise en cause de certains
objectifs de performance (Contrôle de gestion).
Le Référentiel de Base – Le Modèle COSO1 - le cube à 3
dimensions

Les 3 Objectifs:
• Rendre compte
• Conformité
• Opérations

Les 5 Composantes:
• Environnement de contrôle(culture du contrôle, éthique et
style de management, engagement de la direction,…)
• Evaluation des risques(définition des objectifs,
identification des risques, plans d’actions pour les
maîtriser…)
• Activités de contrôle(mettre en place et activer les
dispositifs, s’assurer de la correcte application des
directives, maîtriser les risques,…)
• Information et communication (interne, externe,
informelle, formelle,…)
• Pilotage (pilotage de gestion, évaluation et autoévaluation,
organes de contrôle)

NB: INTOSAI a adopté COSO (2013 et 2).

NB: INTOSAI a adopté COSO
• En 2002, le Congrès américain, en réponse à d’autres
scandales financiers et comptables (Enron, Worldcom,
...), promulgue la loi Sarbanes–Oxley (the Sarbanes-
Oxley Act ou SOXact).

• Cette loi oblige les sociétés faisant appel à l’épargne

publique à évaluer leur contrôle interne et à en publier
leurs conclusions.

• Imposant en outre l'utilisation d'un cadre conceptuel,

le SOX act a favorisé l'adoption du COSO comme
référentiel.
• En France, la loi LSF (Loi de sécurité financière)
promulguée peu après en 2003, a également contribué
à sa diffusion.
 Les référentiels mondialement reconnus pour le
contrôle interne
• Même si tous les cadres de référence ci-après comprennent des
éléments de contrôle interne, les cadres mondialement les plus
reconnus par le management, les auditeurs externes et les
professionnels de l'audit interne sont :
– La nouvelle pratique du contrôle interne (ou COSO report), d’origine
américaine, publiée par le COSO en 1992 et traduit en 1993 en français par
l'IFACI et PWC, et révisé en 2013 (COSO1-2013) ;
– Les Lignes directrices publiées en 2004 par l’Organisation internationale des
institutions supérieures de contrôle des finances publiques (INTOSAI) sur les
normes de contrôle interne à promouvoir dans le secteur public, prenant en
compte les prescriptions du cadre de référence du contrôle interne du COSO1
– Les Recommandations sur le contrôle interne, publiées en 1995 par l’Institut
canadien des comptables agréés, Canada et connu sous le nom de CoCo
– Internal Control d’origine britannique de 2005 : Revised Guide for Directors on
the Combined Code (connu sous le nom de rapport Turnbull),
– Référentiel « AMF », Autorité des Marchés Financiers, 2007 et 2010 (France)
– COBIT 4.0, IT Governance Institute, États-Unis, 2007 (cadre de contrôle interne
des systèmes d'information (SI))
Remarque
• Il n'existe pas de différences fondamentales
entre le COSO, le CoCo, le référentiel « AMF »
et le rapport Turnbull.
• Ils comportent tous des définitions présentant
le contrôle interne comme « un processus qui
apporte une assurance raisonnable quant à la
réalisation des objectifs d'une organisation
dans trois catégories spécifiques : efficacité et
efficience des opérations, fiabilité de la
communication financière et conformité ».
 Ces quatre cadres s'accordent également sur la
responsabilité du contrôle interne : ils l'attribuent
non seulement aux Instances dirigeantes, mais
aussi à chaque individu au sein de l'organisation.

• Malgré une désignation différente d'un cadre à

l'autre, leurs composantes sont assez similaires et
peuvent être examinées d'après les termes
figurant dans le COSO :
1. environnement de contrôle,
2. évaluation des risques,
3. activités de contrôle,
4. information et communication,
5. et pilotage.
3.2 Le cadre de référence ou conceptuel du
management des risques COSO 2 (Enterprise Risk
Management Framework)

• Le référentiel initial appelé COSO 1-1992 a évolué

depuis 2002 vers un second corpus dénommé COSO 2.
• Le « coso 2 » est une étude réalisée à la suite de
Sarbanes-Oxley Act (SOX).
• Il ne propose pas un référentiel de Contrôle Interne
(à l'instar du COSO1) mais un modèle de gestion des
risques.
• Ainsi le COSO 2 propose un cadre de référence pour la
gestion des risques de l’entreprise (Enterprise Risk
Management Framework). Il s'appuie sur le COSO1
révisé en 2013 (COSO 2013) comme référentiel de
Contrôle Interne.
• L’INTOSAI a adopté le COSO 2 en 2007, voir
normes de contrôle interne à promouvoir
dans le secteur public - Informations
complémentaires sur la gestion des risques
des entités de l’INTOSAI : INTOSAI GOV 9130
Le système de management des risques de l’entreprise (ou
d’entité), c’est quoi ?

• Le COSO2 définit le management des risques de l'entreprise

comme : « Le processus mis en œuvre par le Conseil
d'administration, la direction générale, le management et
l'ensemble des collaborateurs de l'organisation. Il est pris en
compte dans l'élaboration de la stratégie ainsi que dans toutes
les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d'affecter l'organisation et
pour gérer les risques dans les limites de son appétence au
risque. Il vise à fournir une assurance raisonnable quant à
l'atteinte des objectifs de l'organisation. »

Il apparaît que le COSO 2 inclut les éléments du COSO 1-2013 et

est basé essentiellement sur une vision orientée risques de
l’entreprise.
La définition ci- dessus très large reflète certains
concepts fondamentaux.

Le dispositif de management des risques :

– est un processus permanent qui irrigue toute
l’organisation;
– est mis en œuvre par l’ensemble des collaborateurs, à
tous les niveaux de l’organisation;
– est pris en compte dans l’élaboration de la stratégie;
– est mis en œuvre à chaque niveau et dans chaque
unité de l’organisation et permet d’obtenir une vision
globale de son exposition aux risques (cartographie),
• Est destiné à :
– identifier les événements potentiels susceptibles
d’affecter l’organisation;
– et à gérer les risques dans le cadre de l’appétence
pour le risque;
– Donne aux Instances dirigeantes une assurance
raisonnable (quant à la réalisation des objectifs de
l’organisation);
– Est orienté vers l’atteinte d’objectifs des
différentes unités,
N.B. Le cadre de référence de management du
risque (COSO 2) est la base du ERM et de
l’ABR.

• La définition intègre les principaux concepts

sur lesquels s’appuient les organisations pour
définir leur dispositif de management des
risques et se veut une base pour la mise en
œuvre d’un tel dispositif au sein :
– D’une organisation,
– D’un secteur industriel,
– ou d’un secteur d activité.