GLQE 2016 – Contrôle interne & COSO

Cet article a déjà été lu 261 fois !

Contrôle interne & COSO

 

 

 

 

Pierre-François Wéry – Governance, Risk and Controls Senior Manager, Internal Audit Leader

Antoine Videment – Governance, Risk and Controls Partner            

 

Introduction :

Depuis plus de vingt ans, le COSO est une référence incontournable dans le domaine du contrôle interne à travers le monde. L’organisation COSO (Committee of Sponsoring Organizations of the Treadway Commission[1]), composée notamment par des organisations professionnelles telles que Financial Executives International, Institute of Management Accountants, AICPA, IIA, … joue un rôle moteur en matière d’élaboration de référentiels concernant le contrôle interne, la gestion des risques et la lutte contre la fraude.

Le référentiel COSO Contrôle Interne (« COSO ») a défini les fondamentaux du contrôle interne et est utilisé comme standard par de nombreuses organisations ou législation, parmi lesquelles la SEC, l’AMF, Solvabilité 2, …

Ce référentiel a su évoluer au fil des années afin de prendre en considération les enjeux d’aujourd’hui et de demain tels que :

  • Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cybercriminalité, le cloudcomputing, etc.) ;
  • Le rôle toujours plus important de la technologie (performance, sécurité, continuité, etc.) ;
  • Le recours intensifié à l’externalisation, avec un enjeu de bonne définition des attentes en matière de contrôle interne vis-à-vis des prestataires ;
  • Les attentes accrues en matière de gouvernance ;
  • La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation (le « tone in the middle » et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;
  • La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;
  • L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions support, et l’audit interne) ; et
  • Les exigences de reporting au-delà de la communication financière (développement durable, environnement, qualité, etc.).

Afin de facilité l’appréhension de ces situations, COSO définit les éléments essentiels du contrôle interne au travers de 17 principes structurants.

 

Les Concepts clés

La définition du contrôle interne est simple et applicable à toute organisation quelle que soit sa taille et son activité : « un processus mis en œuvre par le conseil, le management et les collaborateurs, et qui est destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité. »

Schématisation du contrôle interne selon COSO et articulations autour des 17 principes :

 

COSO décline 17 principes essentiels liés aux cinq composantes du contrôle interne.

Chaque principe a sa raison d’être. Ainsi, dans certains cas un principe peut avoir été établi pour traiter d’un cas particulier.

Par exemple, le principe n°8, portant sur l’évaluation de la fraude, pourrait être perçu comme une déclinaison du principe n°7 qui porte sur l’analyse des risques. De même, le principe n°11, sur les contrôles informatiques, pourrait être compris comme un cas particulier du principe n°10 sur les activités de contrôle. C’est bien l’importance de la lutte contre la fraude et de la maîtrise des moyens informatiques qui justifient l’insertion de ces principes spécifiques. Chaque principe est applicable à tout secteur, nature d’activité, et taille d’organisation.

Il est important que tous ces principes ne soient pas considérés comme des éléments distincts et discontinus, mais qu’au contraire ils fonctionnent conjointement au sein d’un système intégré. Chacun des dix-sept principes fonctionnant conjointement contribue à réduire à un niveau acceptable le risque qu’un objectif ne soit pas atteint.

Au-delà de la formalisation des attentes en matière de contrôle interne, COSO a vocation à :

 

  • Renforcer les contrôles et gagner en confiance sur les opérations, le reporting et les objectifs de conformité ;
  • Identifier les risques nouveaux et définir des dispositifs de maîtrise appropriés ;
  • Analyser comment les ressources, la technologie et les processus peuvent potentiellement causer des défaillances de contrôle et comment les éviter ; et
  • Cibler les contrôles pour mieux répondre aux évolutions de l’environnement.

Illustrations de certains principes

On peut maintenant illustrer ces propos au travers d’exemples propres à un département tel que le Service Achats. Ainsi, prenons l’exemple du risque de fraude au sein du département Achats.

Tout d’abord une réflexion est menée au niveau de l’environnement de contrôle. Dans le principe n°5, l’organisation va définir les responsabilités en termes de contrôle interne et notamment au sein du département Achats. Il s’agira ici de penser la structure dans laquelle évoluent les individus, de définir les responsabilités, ou encore d’établir les incitations (financières ou non) relative à la performance de la fraude.

Ensuite, dans la section concernant l’évaluation des risques, le principe n°8 est un sujet primordial pour les Acheteurs. En effet, les 4 caractéristiques importantes relatives à ce principe concernent directement les acheteurs puisque l’organisation doit :

  • Considérer différents types de fraude ;
  • Evaluer les incitations financières et les pressions ;
  • Evaluer les opportunités de fraude ;
  • Evaluer les comportements et leurs justifications possibles.

Après l’étape d’évaluation des risques, l’organisation va se concentrer sur les activités de contrôle. Dans ce cas, le département Achats a un pouvoir de contrôle important au travers des vérifications qu’il peut réaliser. Dans les principes 10, 11 et 12, l’organisation utilise les éléments énoncés lors de l’évaluation des risques pour sélectionner et développer les activités de contrôle nécessaires à réduire les risques à un niveau acceptable. L’impact se fera ainsi sur le nombre, la fréquence ou encore le type de contrôles comme la mise en place de matrices de responsabilités, l’accès restreint à la maintenance du Vendor Master File, le suivi des remises/ristournes, la coordination avec le service Logistique etc…Ainsi, tous ces contrôles vont permettre à l’acheteur d’atteindre ses objectifs.

Ensuite, les services Achats sont aussi concernés par l’activité d’information et de communication. C’est notamment le point repris par le principe 14. Pour que chacun ait les moyens de répondre à ses responsabilités vis-à-vis de ses objectifs propres, il est nécessaire de développer des processus de communication de l’information (que ce soit en termes de responsabilité, d’objectifs, de confidentialité, etc.) entre les Achats, la Direction et les autres départements.

Enfin, comme de nombreux autres services de l’entreprise, les acheteurs sont impliqués dans le pilotage du contrôle interne. Le principe 17 reprend les activités de pilotage et va avoir un impact sur les services Achats dans la mesure où le but est de réaliser un suivi régulier afin de corriger les erreurs en temps utile. Ainsi, selon le principe 17, les Achats communiquent leurs faiblesses de contrôle interne aux parties chargées de prendre les mesures correctives (Direction, Informatique, légal …)

Les activités de contrôle sont souvent les premiers éléments concrets de contrôle interne mis en œuvre. Cependant, il reste souvent bien du chemin à parcourir pour que les Achats, ses processus et ses outils viennent s’inscrire dans un dispositif global de contrôle interne. Concrètement :

 

  • Environnement de contrôle : un conseil d’administration qui challenge les Achats ; les compétences nécessaires à tous les niveaux des Achats ; des structures de reporting clairement établies ; le « tone at the top » ;
  • Évaluation des risques : veille constante et une analyse des risques internes et externes à l’organisation ; dispositif efficace de prévention et de détection de fraude ; capacité de réaction et d’intégration du changement ;
  • Activités de contrôle : établissement d’un nombre limité de contrôles aux bons endroits dans les processus (contrôles de cohérence, séparation des tâches, contrôles compensatoires, etc.) ; déclinaison des politiques et procédures financières et autres à travers l’organisation, « tone in the middle » ;
  • Information et Communication : Qualité et pertinence de l’information financière ou non financière circulant au sein de l’organisation ; et
  • Pilotage : Identification et suivi des défaillances de contrôle interne (autoévaluation de l’efficacité du contrôle, audit interne puissant fonctionnant sur la base de la cartographie des risques) ; remontée de l’information significative et pertinente au conseil d’administration via son comité d’audit.

 

COSO, une opportunité de développer son rôle et sa reconnaissance

 L’utilisation d’un outil tel que le COSO permet à tout département concerné de se conformer efficacement à ses obligations, permettant ainsi une adaptation continue des dispositifs de contrôle interne vis-à-vis des évènements internes ou externes qui affectent l’atteinte des objectifs fixés. Etant conçu pour tout type d’organisation, il est suffisamment flexible pour permettre la mise en place d’un contrôle interne efficace adapté et adaptable aux challenges actuels.

Lors de ses missions de conseil en contrôle interne, PwC utilise COSO en tant que référence en la matière et permet à ses clients de se situer par rapport à ce cadre internationalement reconnu.

 

 

 

 

 

 

 

[1] www.coso.org