jeudi 10 avril 2014

Note sur les Référentiels du Contrôle Interne « COSO1 et COSO 2 »

 
 
COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.
En 2002, le Congrès américain, en réponse aux scandales financiers et comptables «  Enron, Worldcom… », Promulgue la Loi Sabranes-Oxley (the Sarbanes-Oxley Act ou SOX act).
Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs conclusions dans les états demandés. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favorisé l'adoption du COSO comme référentiel. En France, la loi LSF » Loi de Sécurité Financière » promulguée peu après en 2003, a également contribué à sa diffusion.
 
Le référentiel COSO (Internal Control – Integrated Framework) :
 
Le référentiel COSO est basé sur les principes de base suivants :
  • Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne pas à un recueil de procédures mais nécessite l’implication de tous à chaque niveau de l’organisation.
  • Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et d’une direction respectueuse des lois.
  • Le contrôle interne est adapté à la réalisation effective des objectifs.
 
Le cadre COSO repose sur les notions d'objectifs et de composants.
Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
  • L'efficacité et l'efficience des opérations,
  • La fiabilité des informations financières,
  • La conformité aux lois et règlements.
On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.
 
Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il s’agit de :
  • L'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;
  • L'évaluation des risques à l'aune de leur importance et fréquence ;
  • Les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les risques, le COSO imposant la matérialisation factuelle des contrôles ;
  • L'information et la communication, qu'il s'agit d'optimiser ;
  • Le pilotage, c'est-à-dire le « contrôle du contrôle » interne.
 
Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprise (sociétés, entités, fonctions, …). La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.
 
COSO 2 - Enterprise Risk Management Framework
 
Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de référence de la gestion des risques.
Pour rappel, le COSO 1 , "Internal Control – Integrated Framework" propose un cadre de référence pour la gestion du contrôle interne. Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

  • L'efficacité et l'efficience des opérations,
  • La fiabilité des informations financières,
  • La conformité aux lois et aux réglementations en vigueur.
 
Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). La gestion des risques de l’entreprise est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à :

  • Identifier les événements potentiels pouvant affecter l’organisation,
  • Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» de l’organisation,
  • Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.
 
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de l’entreprise.
 
La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite » est le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur. Différentes stratégies exposeront l’organisation à différents risques. En conséquence, le « Risk Appetite » doit être pris en compte dans la définition de la stratégie de l’organisation afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite » défini pour l’organisation.
http://univers-audit-interne.over-blog.com/article-note-sur-les-referentiels-du-controle-interne-coso1-et-coso-2-116640838.html

Qu'est-ce que le COSO ?

Le Committee Of Sponsoring Organizations de la Commission Treadway est un groupe de réflexion constitué aux Etats-Unis en 1985.
 
Ce groupe a développé un référentiel méthodologique d’analyse du contrôle interne, dénommé « le COSO » qui a été édité en France en 1992 sous le titre « La pratique du contrôle interne ».
Selon le rapport du COSO, le contrôle interne est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel de l’entreprise, pour fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
  • La réalisation et l’optimisation des opérations,
  • La fiabilité des opérations financières,
  • La conformité aux lois et règlements.
 
En résumé, le COSO structure l’analyse du contrôle interne selon les trois objectifs cités précédemment et pour chacun d’eux selon cinq composantes :
  • L’environnement de contrôle,
  • L’évaluation des risques,
  • Les activités de contrôle,
  • L’information et la communication,
  • Le pilotage (du contrôle interne).
 
Ce cadre d’analyse se décline sur chaque activité et fonction de l’entreprise. Ce référentiel méthodologique est représenté schématiquement par un cube, couvrant l’ensemble des dimensions du contrôle interne de l’entreprise, dit Cube COSO.
 
Source : "Pocket Guide" - PricewaterhouseCoopers 
http://univers-audit-interne.over-blog.com/article-qu-est-ce-que-le-coso-116333915.html