EXPERTISES epuis plus de vingt ans, le COSO1 est une référence incontournable d

EXPERTISES epuis plus de vingt ans, le COSO1 est une référence incontournable du contrôle interne. Ce référentiel publié en 1992 en a établi les fondamen- taux et a été utilisé par de nom- breuses organisations dans le monde pour définir les bases de leur dispositif de contrôle in- terne. Or, depuis 1992, les orga- nisations et l’environnement dans lequel elles opèrent ont beaucoup changé (préémi- nence de la technologie, recours croissant à l’externalisation, renforcement des obligations de reporting…). Elles ont donc dû adapter leurs pratiques de contrôle interne aux nouveaux enjeux ainsi générés. Recon- naissant ces évolutions de l’environnement et par consé- quent le besoin d’adaptation du contrôle interne, COSO a décidé de mettre à jour son référentiel. Le COSO 2013 est donc paru en mai dernier dans sa version anglaise2. Une version fran- çaise est actuellement en cours de finalisation par l’IFACI et PwC. Elle sera publiée d’ici dé- but 2014. Les principales évolutions apportées par cette nouvelle version du référentiel sont in- troduites au travers de la codi- fication des 17 principes sous- jacents aux 5 composantes du contrôle interne. L’efficacité du contrôle interne reposant sur la déclinaison de ces 5 compo- santes – et donc dans la version 2013 des 17 principes – le COSO 2013 peut être abordé par les organisations comme un outil mis à leur disposition pour les aider à faire un point sur leur dispositif de contrôle interne et à identifier ainsi des pistes d’amélioration. Il est important de rappeler ici que le référentiel COSO n’étant pas une norme, il ne définit pas de pratiques stan- dards pour la mise en œuvre des principes. Chaque organi- sation choisit les pratiques qui lui sont les plus adaptées. Toutefois, afin de permettre aux organisations de faire ce choix, le référentiel développe des points d’attention pour la mise en œuvre de chacun des 17 principes. Il fournit égale- ment des exemples issus des pratiques des nombreuses organisations qui ont contri- bué à son élaboration. Un re- cueil séparé (COSO Internal Control over External Financial Reporting – ICEFR) décrit di- verses approches et cas pra- tiques afin d’illustrer la mise en œuvre des 17 principes du contrôle interne dans le cadre de l’établissement des rap- ports financiers. Des recueils similaires pourraient être éla- borés par la suite sur l’appli- cation des 17 principes à d’autres objectifs comme le reporting non-financier. D COSO 2013 Que retenir de cette nouvelle version du référentiel ? Référentiel incontournable du contrôle interne depuis 20 ans, le COSO nouvelle version vient de voir le jour. Innovations et améliorations de cet outil d’analyse. Le COSO 2013 traite spécifiquement des enjeux liés aux transformations PAR Françoise Bergé associée PwC PAR Catherine Jourdan directrice PwC Finance & gestion novembre-décembre 2013 26 PERFORMANCE PERFORMANCE En analysant sans a priori et avec pragmatisme les pratiques existantes au regard des 17 principes, les organisations devraient identifier des pistes de réflexion pour améliorer, ren- forcer, mais aussi – dans cer- tains cas – simplifier leur dispo- sitif. En effet, certains des 17 principes résonnent parti- culièrement avec quelques- unes des principales préoccu- pations des organisations vis-à-vis de leur dispositif de contrôle interne : - prévenir le risque de fraude ; - adapter le contrôle interne aux transformations de l’orga- nisation ; - mobiliser le management et instaurer le tone in the middle. - assurer la cohérence entre les dispositifs contribuant à la maî- trise des activités (système de management intégré, éthique et conformité, risk manage- ment, audit interne) ; - maîtriser les opérations exter- nalisées. La suite de cet article fournit des éléments sur la façon dont le référentiel COSO approche ces thématiques. Prévenir le risque de fraude L’évaluation et la prévention du risque de fraude est établi dans le COSO 2013 comme un principe à part entière du contrôle interne (Principe n°8). L’organisation doit envisager plusieurs types de fraude : la communication volontaire d’informations erronées, le dé- tournement d’actifs et la cor- ruption. Pour le COSO, cela présuppose que l’organisation ait défini des règles de conduite (Principe n°1) et qu’elle s’as- sure que ces règles sont respec- tées par le management, les collaborateurs et les presta- taires externes (Principes n°5 et 17). Les modalités de suivi pour les prestataires externes doivent être spécifiquement prévues dans le cadre de la gestion de la relation avec ces prestataires. Le COSO fournit également des éléments sur l’analyse que l’organisation doit mettre en place pour évaluer le risque de fraude : analyse des facteurs de motivation et des pressions, analyse des opportunités d’ac- quisition, d’utilisation ou de cession non autorisées d’actifs, analyse des opportunités de modification des registres comptables, analyse des possi- bilités de commettre et de justi- fier des actes inappropriés… En fonction des résultats de ces analyses, l’organisation devra définir des contrôles et mettre alors en place un suivi des prin- cipales zones de vulnérabilité, par exemple au travers d’ana- lyses de données. Le COSO in- siste enfin sur l’importance de l’analyse a posteriori des cas de fraude avérés dans le but de renforcer l’efficacité du disposi- tif de prévention (principe n°17). Adapter le contrôle interne en fonction des transformations de l’organisation Qu’il s’agisse de l’application de nouvelles réglementations, de la mise en place d’un nou- veau système d’information ou d’un centre de services par- tagés, les organisations se transforment en permanence pour s’adapter à leur environ- nement et rester performantes. Dans ce contexte, l’enjeu en matière de contrôle interne est double : adapter le dispositif en fonction des évolutions de l’organisation et assurer que le niveau de maîtrise des activités est maintenu pendant les phases de transition. Dans le cas d’une fusion, par exemple, u n s o c l e c o m mu n d e s contrôles-clés peut être défini sur la base des différents réfé- r e n t i e l s e x i s t a n t s e n attendant la définition d’un référentiel de contrôle unique et adapté aux nouveaux pro- cessus issus de la fusion. Dix-sept principes sous-jacents aux cinq composantes du contrôle interne Environnement de contrôle 1 L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques. 2 Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne. 3 Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités. 4 L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents. 5 L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne. Évaluation des risques 6 L’organisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation. 7 L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés. 8 L’organisation intègre le risque de fraude dans son évaluation des risques. 9 L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne. Activités de contrôle 10 L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener les risques à des niveaux acceptables. 11 L’organisation sélectionne et développe des contrôles généraux informatiques. 12 L’organisation met en place les activités de contrôle par le biais de règles et de procédures qui mettent en œuvre ces règles. Information et communication 13 L’organisation génère des informations pertinentes et fiables nécessaires au bon fonctionnement des autres composantes du contrôle interne. 14 L’organisation communique en interne les informations nécessaires au bon fonctionnement des autres composantes du contrôle interne. 15 L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle interne. Activités de pilotage 16 L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont mises en place et fonctionnent. 17 L’organisation évalue et communique en temps voulu les faiblesses de contrôle interne aux parties chargées de prendre des mesures correctives. Finance & gestion novembre-décembre 2013 27 EXPERTISES PERFORMANCE Par ailleurs, le dispositif mis en place par l’organisation ne doit pas générer trop de rigi- dité lors des changements. Cela est particulièrement cri- tique lorsque l’organisation implémente une solution logi- cielle dédiée au contrôle in- terne. L’organisation devra alors notamment définir le niveau de documentation qu’elle adopte et décider, par exemple, si tous les contrôles doivent figurer dans le système ou uniquement les contrôles dit « clés ». Le COSO 2013 traite égale- ment spécifiquement des en- jeux liés aux transformations en introduisant le Principe n°9 sur l’évaluation du change- ment. Ce principe met en avant le besoin d’anticiper les change- ments pour mieux y répondre. Toutefois, la capacité d’antici- pation dépendra aussi de l’exis- tence de flux de communica- tion internes adaptés (Principe n°14) qui doivent permettre d’identifier les changements à venir, d’analyser leur impact sur le dispositif de contrôle in- terne de l’organisation et de uploads/Management/ coso-2013-article-coso.pdf

  • 12
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Nov 26, 2022
  • Catégorie Management
  • Langue French
  • Taille du fichier 0.1124MB