ECOLE SUPÉRIEURE

D’ECONOMIE

Exposé sur:

Le référentiel COSO
Module: Audit interne

Réalisée par: Responsable:

BELALIA Soumia Mme BELGHOTI

Année universitaire: 2022/2023

 PLAN
 Introduction
 La nécessité du référentiel COSO
 La création du référentiel COSO
 Qu’est-ce qu’un référentiel COSO
 L’évolution du COSO
 Conclusion
 Bibliographie
 INTRODUCTION
Toute organisation cherche d’atteindre les objectifs qu’elle
s’est fixée. Pour ce faire, un mécanisme efficace du
contrôle interne est nécessaire d’être présent en son sein, en
raison du fait qu’il existe une multitude des tâches qui
peuvent être mal exécutées, des risques inhérents liés à son
activité, voire une mauvaise foi de la part des employés
peut affecter sa situation. C’est cette raison qui justifie le
bien-fondé de ce sujet. Pour qu’un mécanisme de contrôle
interne soit efficace, il est nécessaire de se référer à une
norme. Le COSO en tant qu’un cadre de référence puissant
en matière de contrôle interne et de management des
risques détient la capacité de préserver ou bien de rendre un
système de contrôle interne efficace.
 LA NÉCESSITÉ DU
RÉFÉRENTIEL COSO
Dans un contexte de crise économique et financière, précédées
par une série de scandales financiers, les entreprises deviennent
de plus en plus prudentes envers les défaillances de leur système
de contrôle interne.
Plusieurs facteurs expliquent cette situation de déclin : une
mauvaise gestion des dirigeants, une absence d’un système de
contrôle interne voire même une gestion des risques.
La commission Treadway l'une des autorités internationales, a
publié à l'époque l'un des référentiels le plus puissants dans le
monde entier, qui donnent intérêt au contrôle interne et gestion
des risques visant à limiter les tentatives de fraudes dans les
rapports financiers des entreprise. Ainsi, elle n'a pas s'arrêter de le
mettre à jour afin de l'adapter à la turbulence de l'environnement
économique et financier des entreprises.
 LA CRÉATION DU COSO
A l’origine, en 1985, cinq associations professionnelles aux Etats-
Unis, à savoir
The American Accounting Association (AAA)
The American Institute of Certified Public Accountants
(AICPA)
Financial Executives International (FEI)
The Institute of Internal Auditors (IIA)
The National Association of Accountants maintenant appelé The
Institute of Management Accountants (IMA)
se sont alliées pour établir une Commission Nationale appelée «
Treadway Commission ».
L’ensemble des scandales financières ont poussé la commission à
se réunir et réfléchir à la construction d’un cadre commun de
contrôle interne. Une étude a été menée et a abouti en 1992, à
l’émergence du modèle appelé COSO.
 QU’EST QU’UN
RÉFÉRENTIEL COSO
Le référentiel COSO (Internal control – Integrated
Framework) est l’acronyme abrégé de Committee Of
Sponsoring Organizations of the Treadway Commission,
une commission à but non lucratif qui établit en 1992 une
définition standard du contrôle interne et crée un cadre pour
évaluer son efficacité. Par extension ce standard s'appelle
aussi COSO.
Le cadre COSO repose sur les notions d’objectifs et de
composantes.
COSO définit le contrôle interne comme :  « un processus
mis en œuvre par le conseil d’administration, les dirigeants
et le personnel d’une organisation destiné à pourvoir une
assurance raisonnable quant à la réalisation des objectifs
entrant dans les catégories suivantes » :

 La réalisation et optimisation des opérations

 La fiabilité des informations financières
 La conformité aux lois et règlements en vigueur ».

Le contrôle interne, tel que défini par le COSO, comporte

cinq composants. Ces composantes procurent un cadre
pour décrire et analyser le contrôle interne mis en place
dans une organisation. Il s’agit de :
1) Un environnement interne favorable à la
maîtrise des risques :
L’environnement interne de contrôle repose sur une culture de
l’entreprise favorable à la maîtrise des risques. (Délégation
des pouvoirs, sensibilisation du personnel, etc.). Cet
environnement s’appuie notamment sur :
 une définition précise des pouvoirs et des responsabilités,

 une implication du personnel en termes d’intégrité et

d’éthique,
 une organisation claire et appropriée,

 le pilotage des activités,

 la mobilisation des compétences, et aussi des procédures bien

formalisées et communiquées.
2) L’évaluation des risques
L’évaluation des risques dépend de la probabilité du risque
et de son impact. Il y a deux temps pour évaluer les risques :
 identifier les risques tout en analysant les activités
globales, et celles propres à chaque personne de
l’entreprise,
 classer les risques en fonction de leur gravité et de leur
impact sur les objectifs de l’entreprise.
Ensuite, des mesures de maîtrise seront mises en place pour
faire face à ces risques.
3) Les activités de contrôle
Les activités de contrôle comportent les mesures
mises en œuvre pour maîtriser les risques, et les
procédures et les politiques de traitement des
risques, qui sont :
• proportionnés aux enjeux,
• de natures diverses (méthodes, action de
contrôle, action de supervision, etc.).
4) La maîtrise de l’information et de la
communication
La maîtrise de l’information et la communication correspond
à la collecte des informations utiles et à leur identification, à
la communication des informations au dirigeant et enfin à la
communication de la part du dirigeant à l’ensemble du
personnel de l’entreprise. Cette maîtrise comprend :
• la qualité de l’information (contenu, exactitude,
accessibilité),
• la qualité des systèmes stratégiques et d’information,
• la définition des règles et conditions de communication
interne,
• mais aussi la communication externe (information à
l’extérieur de l’entreprise sur la mise en œuvre du contrôle
interne).
5) Le pilotage du contrôle interne
Le pilotage du contrôle interne comprend l’évaluation
permanente et/ou ponctuelle des activités de contrôle
interne, mais aussi la mise à jour des procédures en
fonction des besoins.
Il s’appuie notamment sur :
 l’adaptation du contrôle interne par le personnel qui doit
le mettre en place et doit piloter le système de maîtrise des
risques en fonction de sa responsabilité,
 une sensibilisation du personnel à la maîtrise des activités,

 des processus permanents de mises à jour du système de

contrôle interne,
 des procédés d’évaluation qui sont internes et permanents.
 Le référentiel COSO suggère une vision en trois
dimensions du management des risques. Il est représenté
sous forme de cube. Grâce à ce cube, on peut alors
déterminer, pour chaque niveau de l’organisation (entité,
filiale, direction, unité opérationnelle, etc.), comment les
cinq composantes du contrôle interne permettent
d’atteindre les objectifs du COSO.
Le « cube » COSO est ainsi divisé en 3 catégories d’objectif s x
5 composantes du contrôle interne x n entités. Chaque entité
doit intégrer les cinq composantes pour atteindre les trois
objectifs.
 L’ÉVOLUTION DU COSO
I. COSO ERM (COSO 2) :

En 2004, la commission élargit le périmètre de ses réflexions et

élabore un nouveau référentiel COSO 2 qui est axé davantage sur le
processus de management des risques en entreprise. De nombreux
référentiels dans le domaine voient le jour dans les mêmes années.

Cependant, le management des risques n’est pas une nouvelle

pratique, il existait bien avant la publication de ces référentiels.
Mais ce qui change à l’heure actuelle, c’est principalement le degré
de méthodologie et de formalisme du management des risques. En
effet, cette tendance peut s’expliquer par deux facteurs :
• D’une part, l’évolution d’un contexte économique de plus en plus risqué
pousse les entreprises à se munir d’un processus de maitrise des risques
efficace.

• D’autre part, l’apparition d’un renforcement de la gouvernance

d’entreprise entraine une surveillance accrue des comités
d’administration et une transparence de la part des dirigeants. Cela fait
suite aux scandales financiers cités précédemment.

 Le contexte économique de ces 30 dernières années et l’émergence de

lois financières ont incité les entreprises à renforcer leur système de
management des risques et leur gouvernance . Pour cela, la plupart
des entreprises se basent sur le référentiel COSO 2 mis en place par la
Commission en 2004.
II. La différence entre COSO 1 et COSO 2 :
 Tout d’abord, le COSO 2 a la particularité de parler à la fois
de risque quand un évènement impacte négativement
l’entreprise mais aussi d’opportunité quand l’impact est
positif. Le COSO ne traitait pas l’opportunité.

 Le COSO 2 introduit aussi la notion d’ « appétence au

risque » qui est le niveau de risque auquel l’entreprise est
prête à faire face et la notion de « seuil de tolérance » qui
correspond à la variation acceptable du niveau de risque par
rapport au niveau d’appétence défini.
 Ensuite, le COSO 2 prend en compte les objectifs
stratégiques en plus des objectifs opérationnels, de
reporting et de conformité du COSO
 Le COSO 2 élargit également la palette du dispositif de
contrôle interne en ajoutant trois composants : la fixation
des objectifs (pour identifier les évènements nuisibles à
leur atteinte), l’identification des évènements (risques et
opportunités) et le traitement des risques.
 Enfin le COSO 2 donne une dimension d’analyse
supplémentaire en instaurant une maitrise des risques de
toutes les strates de l’entreprise, filiales comprises.

Donc le COSO 2 élargit le périmètre du COSO en ajoutant

un ou plusieurs éléments à chaque dimension du cube
COSO.
III. COSO 3

En matière de contrôle interne, une version actualisée du

COSO est parue le 14 Mai 2013. Le but de cette mise à jour
est de prendre en compte les évolutions des
environnements opérationnels et les attentes accrues
concernant le contrôle interne. Tout en se reposant sur les
principes fondamentaux de la version initiale, cette mise à
jour apporte plusieurs nouveautés significatives permettant
la mise en œuvre d’un dispositif plus agile s’alignant en
permanence aux objectifs de l’organisation.
IV. COSO 4
Après quatre ans de l’élaboration de COSO 3 une
nouvelle version de COSO est née « COSO ERM 2017 ».
Intitulé d’une démarche à intégrer avec la stratégie et la
performance, ce nouveau COSO a été mis en place afin de
répondre aux enjeux actuels des organes de
gouvernances.
Le COSO ERM 2017 vise principalement donc à la fois
pragmatique et connecté aux problématiques actuelles et
futures de la gouvernance. Surement la clef du succès
pour faire une gestion de risques un outil de gestion à la
fois efficace, accepté et pertinent.
 CONCLUSION
Un système de contrôle interne efficace est une composante
essentielle de la gestion d'une institution et constitue le fondement
d'un fonctionnement sûr et prudent. Il concerne l’institution dans
toutes ses activités et s'applique aux biens, aux individus et aux
informations, quelles que soient les circonstances ou l'époque de
l'année. Toutefois, on ne peut contrôler que ce qui est organisé.

En conséquence, l'ensemble des activités de l’institution doit, au

préalable, être structuré : définition des niveaux de contrôle,
organisation rigoureuse de la fonction. Pour tout ce qui précède,
l’adoption d’un référentiel dédié au contrôle interne s’avère
indispensable.
 BIBLIOGRAPHIE
o https://www.academia.edu/12231097/Limpact_de_l
%C3%A9volution_du_r%C3%A9f
%C3%A9renciel_COSO_sur_lactivation_du_contr
%C3%B4le_interne_dans_lentreprise_avec_r%C3%A9f
%C3%A9rence_au_cas_de_lAlg%C3%A9rie
o https://www.bpms.info/levolution-du-referentiel-coso-du-
controle-interne-au-management-des-risques/
o http://controle-interne-et-risque-management.blogspot.com/
p/blog-page_10.html?m=1#:~:text=COSO%20est
%20l'acronyme%20abr%C3%A9g%C3%A9,cadre%20pour
%20%C3%A9valuer%20son%20efficacit%C3%A9.
o https://fr.scribd.com/document/509744277/COSO-3
o https://valoxy.org/blog/coso-systeme-controle-interne/
Merci de votre
attention