Le modèle COSO contrôle interne

Photo of author

Auteur

Le COSO constitue un cadre de référence conceptuel du système de contrôle interne. C’est une norme internationale qui repose sur des principes nouveaux en matière de contrôle interne. Le COSO a permis aux entreprises d’avoir une démarche structurée permettant
d’élaborer leur propre système de contrôle interne selon leurs activités.

Historique du modèle COSO

A la suite d’une série de faillites « anormales » aux Etats-Unis dans les années 80, une commission, sous la responsabilité du sénateur Treadway, entreprend une étude sur un cadre de contrôle. Ce travail aboutit en 1992 au premier instrument de Contrôle Interne : le
COSO. La question élémentaire de ce modèle est « comment faire pour maîtriser au mieux ses activités ? ».

Le modèle COSO est une référence incontournable reconnue par l’IIA (International Institute of Auditors) dans le domaine du contrôle interne à travers le monde, il est considéré aujourd’hui être un des modèles les mieux adaptés.

Le référentiel COSO est le document que le PCAOB (Public Company Accounting Oversight Board) recommande en termes de structuration et d’évaluation du dispositif de contrôle interne.

Définition du contrôle interne selon le COSO

Le COSO propose la définition du contrôle interne suivante : Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel de l’organisation, destiné à fournir une assurance raisonnable quant à la réalisation des
objectifs suivants :

  • la réalisation et l’optimisation des opérations,
  • la fiabilité des informations financières,
  • la conformité aux lois et aux réglementations en vigueur.

Ainsi le Contrôle Interne n’offre pas de garantie absolue car il ne permet pas de réaliser complètement les objectifs fixés par les responsables d’une organisation, mais fournit uniquement « une assurance raisonnable » quant à l’atteinte de ces objectifs.

En ce sens, nous pouvons ajouter que le Contrôle Interne ne rend pas la fraude impossible, ce n’est qu’un moyen préventif de la limiter au maximum ou de découvrir aussitôt que possible.

Le contrôle interne s’appuie sur le modèle COSO 1 (Committee of Sponsoring Organizations of the Tradeway Commission) qui se présente sous la forme d’une matrice à trois axes. Cette représentation nécessite une phase d’appropriation, mais l’approche composantes/ objectifs/ organisation se révèle très complète.

Objectifs du contrôle interne selon le COSO

On remarque donc que le référentiel propose trois catégories d’objectifs qui permettront aux organisations de prendre en compte différents aspects du contrôle interne :

  • Des objectifs liés aux opérations : ils concernent l’efficacité et l’efficience des opérations. Il s’agit notamment des objectifs de performance opérationnelle et financière, ainsi que de sauvegarde des actifs car c’est la performance de l’entreprise qui conditionne son existence, et si les investisseurs exigent une information financière fiable c’est justement pour examiner le niveau de performance assurée par les dirigeants
  • Des objectifs liés au reporting : ils concernent le reporting interne et externe, financier et extra-financier et visent la transparence et la fiabilité de l’information car celle-ci doit être fiable, significative et pertinente pour être utile a ses utilisateurs.

Si les dispositifs de gouvernance contrôlant l’information financière publiée interviennent en aval du processus de création de cette information, le contrôle interne intervient en amont du processus au fur et à mesure que l’information est traitée à l’intérieure de l’entreprise pour garantir une optimisation et un meilleur agencement des ressources et des méthodes aboutissant à sa production.

  • Des objectifs liés à la conformité : ils concernent le respect des lois et règlements applicables à l’entité qui constitue une impérative dont le défaut peut être gravement sanctionné et peut engendrer des risques majeures pour l’entreprise

La pyramide du COSO

La pyramide du COSO repose sur un socle qui est : l’environnement de contrôle. Elle comporte trois étages, telles que :

  • L’évaluation des risques ;
  • Les activités de contrôle ;
  • Le pilotage stratégique.

Le COSO 1 a identifié cinq composantes fondamentales du contrôle interne. Il les a symboliquement représentées sous la forme d’une pyramide universellement connue sous le nom de « Pyramide du COSO ». Cette pyramide est complétée par une vision à trois
dimensions soulignant l’universalité de ces cinq composantes et dans tous les domaines d’activités.

Le tout est supporté par une charpente : l’information et la communication.

Figure 1 : La pyramide du COSO 1

La pyramide du COSO 1
Source: Renard J., Comprendre et mettre en œuvre le contrôle interne, Eyrolles, 2012, 258 P.

Les composantes du contrôle interne selon COSO

Le COSO classe les dispositifs qu’un organisme doit définir afin de maîtriser au mieux ses activités en 5 composantes à savoir : L’environnement de contrôle, l’évaluation des risques, les activités de contrôle, l’information et la communication et enfin le pilotage ou le
contrôle du contrôle. Ces 5 composantes sont déclinées pour chacun des 3 objectifs précédemment cités (objectifs liés aux opérations, au reporting et à la conformité) et à tous les niveaux de l’organisation (entité, unités, direction…)

Figure 2 : Le modèle COSO

Les composantes du contrôle interne selon COSO
Source: Noirot P., Walter J., Le contrôle interne, Afnor éditions, 2009, 175 P.

Le cube se découpe donc en :

  • 3 catégories d’objectifs
  • 5 composantes
  • N processus ou niveaux de l’organisation

L’environnement de contrôle

Selon le COSO, l’environnement de contrôle est un élément très important de la culture d’une entreprise et détermine le niveau de sensibilisation du personnel au besoin de contrôle. Cet environnement constitue le fondement de tous les autres éléments du contrôle interne puisque de celui-ci découlent la discipline et l’organisation de l’entreprise.

L’environnement de contrôle, c’est la base et c’est le milieu dans lequel va se développer et s’organiser le contrôle interne. Sa qualité va conditionner la qualité du contrôle interne et c’est pourquoi l’environnement de contrôle constitue la base de la pyramide : « il est le socle sur lequel tout va se construire ».

Il détermine le niveau de sensibilisation du personnel au besoin de contrôle. Sans environnement de contrôle favorable, il est inutile d’espérer à un résultat significatif et donc à une maîtrise satisfaisante des activités.

C’est donc un élément essentiel qui constitue le fondement de tous les autres éléments du contrôle ; il symbolise la culture. L’entreprise est une mosaïque de cultures composant la culture globale.

Cette dimension de l’environnement de contrôle comprend notamment cinq principes : l’intégrité et éthique ; indépendance et expertise du conseil d’administration ; structures, pouvoirs et responsabilités, formation et fidélisation des collaborateurs et responsabilisation.

L’intégrité et l’éthique : si la morale a une dimension universelle, l’éthique a une dimension personnelle. La mise en œuvre des valeurs d’intégrité et d’éthique passe par l’adoption de codes de conduite valorisant l’adhésion aux valeurs de l’organisation, les conflits d’intérêts, ou les normes de comportement éthique des individus, que ce soit pour les employés de l’entreprise ou pour toutes les autres parties prenantes. Ces facteurs sont favorables à la qualité de l’environnement de contrôle.

L’indépendance et l’expertise du conseil d’administration : les responsables de la supervision doivent être compétents et faire preuve d’objectivité.

La mise en place de structures, de pouvoirs et de responsabilités : si les deux premiers principes de l’environnement de contrôle ont remis l’accent sur les dimensions humaines et éthiques, le rôle du contrôle interne est principalement de mettre en place les structures qui évitent de placer les personnes en situation de fragilité ou de tentation. Une bonne structure de travail contribue à un meilleur fonctionnement de l’entreprise.

L’engagement vers la compétence : la formation et la fidélisation des collaborateurs.

L’exigence de responsabilité suppose la capacité à remplir ses fonctions, c’est-à-dire l’adéquation des connaissances et des expériences professionnelles aux responsabilités assumées.

Un bon environnement de contrôle exige compétence et intégrité dans la gestion des ressources humaines.

La responsabilisation : l’environnement de contrôle facilite donc l’exercice du contrôle interne quand les responsabilités et les pouvoirs correspondent à la répartition stratégique et claire des activités, et des processus au sein de l’entreprise.

L’évaluation des risques

Compte tenu de l’évolution permanente de l’environnement, du contexte réglementaire et des conditions d’exploitation, l’évaluation des risques consiste en l’ensemble des méthodes permettant d’identifier et de maîtriser les risques spécifiques liés au changement.

Et pour concevoir et mettre en œuvre un système de contrôle interne de bonne facture, relativement cohérent, il faut également connaître les risques susceptibles de faire obstacle.

Cette dimension intègre quatre principes : la spécification des objectifs, l’identification et l’analyse des risques, l’évaluation des risques de fraude et l’identification et l’évaluation du changement.

La spécification des objectifs : c’est l’étape préliminaire et obligatoire à l’évaluation des risques. Les objectifs généraux de l’entreprise doivent être suffisamment synthétiques pour donner une vision d’ensemble de la situation de l’entreprise, et suffisamment spécifiques pour prendre en compte les spécificités de l’entreprise, son histoire, ses ressources disponibles, et son secteur d’activité.

L’identification et l’analyse des risques : la performance de l’entreprise peut être compromise par des facteurs, internes ou externes, qui affectent les objectifs explicites ou implicites. L’identification des risques se base d’une analyse des activités, tant au niveau global de l’organisme qu’au niveau détaillé de chacune de ses activités ;

En ce qui concerne l’analyse des risques, elle consiste en la hiérarchisation de ces derniers en fonction de leur impact en termes d’enjeux pour l’organisme.

L’évaluation des risques de fraude : L’évaluation des risques réside dans la détection et l’analyse des facteurs susceptibles de perturber la réalisation des objectifs.

L’identification et l’évaluation du changement : pour saisir pleinement les opportunités liées au changement, il est préférable d’avoir mis en place un processus d’identification des facteurs de changement et d’avoir anticipé sur les processus ou les activités à modifier pour s’y adapter.

Les activités de contrôle

Selon le COSO, les activités de contrôle peuvent se définir comme l’application des normes et des procédures définies par la direction qui contribuent à garantir la mise en œuvre des orientations émanant du management dans la dynamique de la réalisation des objectifs et de la maîtrise des risques.

Les activités de contrôle, c’est le troisième étage de la pyramide, ces activités ne sont pas seulement « l’application des normes et procédures », ce sont les dispositifs spécifiques que chacun va mettre en œuvre pour faire face à ses risques de ne pas atteindre les objectifs fixés.

Les activités de contrôle correspondent à trois principes : la sélection et le développement des contrôles ; les contrôles sur la technologie informatique et les règles et procédures.

  • La sélection et le développement des activités de contrôle : puisque chaque entreprise poursuit ses propres objectifs et met en œuvre sa propre stratégie, les activités de contrôle interne seront nécessairement distinctes selon chaque entreprise.
  • Les contrôles sur la technologie informatique : les contrôles des systèmes d’information peuvent être généraux ou spécifiques à une application informatique. La cohérence entre les différents mécanismes de contrôle et la prise en compte des interactions possibles constituent des enjeux majeurs pour la performance et la sécurité des systèmes d’information.
  • Le déploiement par les règles et les procédures : les règles permettent d’établir ce qui doit être fait, alors que les procédures détaillent les actions que les employés doivent accomplir pour respecter les principes. Les règles et les procédures doivent permettre de s’assurer que les directives des dirigeants sur le contrôle des risques sont réellement mises en œuvre.

Pour soutenir cet ensemble, il faut une charpente qui va venir renforcer la cohérence de l’ensemble : ce sont la communication et l’information.

La maîtrise de l’information et de la communication

Les systèmes d’information et de communication sont des éléments fondamentaux du contrôle interne.

Les systèmes de contrôle interne doivent assurer la pertinence de l’information et l’efficacité de la communication tant interne qu’externe.

L’objectif d’un système d’information et de communication efficace est de permettre au personnel de recueillir et d’échanger les informations nécessaires à la conduite, la gestion et le contrôle des opérations.

Les systèmes d’information produisent des données opérationnelles, financières, ou encore liées au respect des obligations légales et réglementaires, qui permettent de gérer et contrôler l’activité. En outre, ces systèmes traitent non seulement des données produites par l’entreprise, mais également celles qui sont liées à l’environnement externe, sont nécessaires à la prise de décisions pertinentes comme au reporting externe.

a) La communication :

On doit distinguer la communication interne et la communication externe, destinée aux acteurs situés en dehors de l’organisation.

La communication interne : un système de contrôle interne doit garantir la communication des comportements non conformes quand ceux-ci peuvent affecter de façon significative le fonctionnement de l’organisation. La communication interne permet de remonter l’information et donc de donner l’alerte en cas d’urgence.

La communication externe : le système de contrôle interne doit assurer un suivi et un archivage tant des informations communiquées à l’extérieur que des informations reçues des diverses parties prenantes et ayant conduit à des prises de décision ou à des actions
significatives.

La communication externe concerne toutes les parties prenantes externes : journalistes, assurances, banques, autorités de contrôle et régulateurs, médias divers, auditeurs externes…

La communication est l’outil indispensable pour la transmission de l’information ; notamment les directives de la Direction Générale ; et ses caractéristiques essentielles sont l’efficacité et la clarté.

Mais l’essentiel dans la communication c’est l’information qu’elle véhicule.

b) L’information

L’information doit être pertinente, exacte, précise, transmise dans les délais et aux bons destinataires pour une utilisation efficace. Sa circulation doit être multidirectionnelle (descendante, ascendante et transversale). Le système d’information de l’entreprise doit
être maîtrisé, c’est-à-dire faire l’objet d’une gouvernance rigoureuse.

Le pilotage du contrôle interne (supervision : c’est-à-dire « le contrôle du contrôle » interne)

Le pilotage « précédemment dénommé supervision » vise à s’assurer de l’efficacité « la capacité à réduire et maîtriser les risques » et de l’efficience « la maîtrise des risques en minimisant les ressources consommées et en évitant les restrictions à l’innovation » des
systèmes de contrôle interne.

Piloter c’est, pour chaque responsable, se sentir concerné, donc s’approprier son propre contrôle interne et du même coup le maintenir efficace et analyser ses faiblesses pour l’améliorer. Pour ce faire, il faut à la fois sensibiliser, coordonner, évaluer et mettre à jour.

a) Sensibiliser : il est impérativement nécessaire de mettre en place une politique de sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités) et à ce qu’ils doivent faire pour le mettre en vigueur de façon à permettre cette appropriation.

b) Coordonner : il faut que l’action de chacun soit coordonnée avec l’action de tous, il faut bien qu’il y ait une politique commune.

c) Evaluer : un système de contrôle interne piloté est un système qui est régulièrement évalué : évaluation globale pour le contrôle interne de l’organisation toute entière afin de faire apparaître les points de faiblesse et évaluation par chaque manager dans son périmètre
de responsabilité dans le même but pour la partie qui le concerne.

L’évaluation aboutit à une nécessaire mise à jour car piloter c’est aussi mettre à jour.

d) Mettre à jour : dans un monde en mouvement, où les risques apparaissent et disparaissent, les processus d’actualisation et la veille permanente des dispositifs de contrôle interne est un devoir absolu.

Le contrôle permanent et périodique : le pilotage permet d’évaluer les contrôles critiques sur les risques significatifs. Le processus de supervision selon le COSO est ordonné autour de quatre étapes :

Figure 3 : le processus de supervision selon le COSO

le processus de supervision selon le COSO
Source: COSO (2008, Guidance on Monitoring Design & Implementation Progression).

Pour s’assurer que le système de contrôle interne est bien conçu et qu’il fonctionne harmonieusement, il est nécessaire de disposer d’une information qui soit suffisante, pertinente, fiable et actuelle.

Le système de pilotage permet de valider que le Contrôle Interne est efficace. Il doit intégrer le traitement, l’évaluation et la communication des faiblesses de contrôle interne détectées. L’ensemble du processus doit permettre de confirmer la pertinence attendue du contrôle interne dans le but de renforcer l’atteinte des objectifs.

Ce système permet au management d’assumer son rôle de maître d’œuvre du dispositif de contrôle interne.

La lecture du modèle COSO

La lecture du modèle COSO doit être globale et systémique. Il s’applique à l’entreprise dans son ensemble et permet à chacun de se situer dans l’entreprise et de mesurer sa contribution individuelle à l’atteinte des objectifs globaux.

Le contrôle interne s’est progressivement élaboré à partir de divers référentiels dont le plus connu et le premier est le COSO 1 qui sert encore largement de référence et a été complété au plan de la gestion des risques par le COSO 2.

Les axes du modèle COSO

C’est à partir de ces composantes du contrôle interne que s’apprécie l’efficacité du contrôle interne : on vérifie que chacun des éléments est en place et fonctionne correctement.

a) L’axe des objectifs

Il se décline à partir des objectifs globaux et stratégiques à tous les niveaux de l’entreprise.

Par conséquent, nous trouverons une déclination des objectifs aux différents niveaux de pilotage de l’entreprise (entreprise, stratégique, activité).

b) L’axe des composantes

L’axe des composantes est organisant de l’entreprise. Les flux financiers, ainsi que tous les processus doivent être étudiés de bout en bout. A partir d’un fait générateur, il est nécessaire de suivre le cheminement de l’actif matériel ou immatériel jusqu’à sa sortie de l’entreprise ou de sa transcription comptable.

c) L’axe organisation

Selon les délégations de responsabilité au sein de l’entreprise, l’axe des organisations permet de décliner, gérer et consolider les informations au niveau de granularité pertinent.

La pérennité de l’axe organisation est courte. En effet, les changements d’organisation fréquents peuvent se révéler perturbants si on ne prend pas les précautions nécessaires qui s’imposent au niveau du contrôle interne et au niveau de sa mise à jour.

L’analyse du modèle COSO

Chaque axe du modèle COSO (composantes, objectifs, organisation) est à appliquer à l’entreprise dans sa globalité, avant d’être ensuite décliné dans les différentes mailles de l’organisation, qu’elles soient fonctionnelles ou hiérarchiques.

Comme tout référentiel, le modèle COSO n’est pas parfait et il est amené à évoluer. Ce modèle est passé d’une modélisation de cinq à huit composantes entre le COSO 1 et le COSO 2, et il a fait l’objet de recommandations particulières plus précises sur sa composante de pilotage.

Les ressources nécessaires à chaque maille de l’organisation étant identifiées, la mesure des ratios de productivité est intégrée de façon native dans la lecture du modèle COSO.

Le modèle COSO est représenté sous la forme d’un cube (figure2 ci-dessus) qui permet de croiser les objectifs avec la structure de l’entreprise et avec les cinq éléments composant le contrôle interne.

Le COSO 1 est un modèle de gestion qui propose un cadre de référence pour le contrôle interne (Internal Control Integrated Framework), qui est défini comme un dispositif (ou processus) mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable de la réalisation des objectifs.

Le COSO 2 est une étude réalisée aux Etats-Unis à la suite de la loi Sarbanes-Oxley-Sox, c’est une évolution du COSO 1 qui propose un cadre de référence pour la gestion des risques de l’entreprise (Entreprise Risk Management Framework). La gestion des risques de l’entreprise est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une entreprise.

Ce processus transverse est exploité pour l’élaboration de la stratégie et vise à :

  • Identifier les événements potentiels pouvant affecter l’organisation,
  • Maîtriser les risques, afin qu’ils soient dans les limites de l’appétence au risque « ou risk appetite » de l’organisation,
  • Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation (base du COSO1).

Le système de management COSO 2 est basé sur une vision de l’entreprise orientée sur les risques. Il enrichit et complète le COSO 1 sur ce plan.

L’appétence au risque est le niveau de prise de risque accepté par l’entreprise. C’est une notion absente du COSO 1 qui rejoint l’idée du niveau de tolérance, tolérer étant l’un des quatre comportements face au risque. L’appétence au risque est conditionnée par les objectifs de manière générale, et plus particulièrement par la déclination par objectifs stratégiques de la vision ou des ambitions de l’entreprise.

S’il conserve la représentation sous la forme d’un cube « enrichi », le COSO 2 apporte un quatrième élément à l’axe des objectifs : la stratégie, auquel les trois autres éléments d’objectifs du COSO 1 sont reliés.

Dans son essence, le contrôle interne ne norme pas, il assure que les normes (les standards) sont bien respectées.

Le contrôle interne normalisé tend désormais à s’assurer que la façon de faire est conforme aux règles et aux normes. C’est la conformité qui s’impose aux processus.

Conclusion

Cet article nous a permis de mettre en évidence le modèle COSO, qui est considéré comme une référence remarquable en matière de mise en œuvre et maintenance du dispositif du contrôle interne.

Laisser un commentaire