COSO (Committee Of Sponsoring Organizations of the Treadway

COSO est un référentiel de contrôle interne développé par le Committee Of Sponsoring Organizations of the Treadway Commission. Dans sa première version (Colbert et Bowen, 1996), publiée officiellement pour la première fois en 1992, propose un référentiel de contrôle interne à partir duquel les organisations peuvent évaluer et améliorer leurs systèmes de contrôle (Davis et al., 2011). Dans sa deuxième version (COSO, 2004), publiée en 2004, il vise à élargir sa portée en matière de gestion des risques, offrant ainsi une meilleure compréhension des procédés d’identification, d’évaluation et de traitement des risques. Cette deuxième version de COSO a été largement influencée par la venue en force de la loi Sarbanes-Oxley (SOX) qui a été imposée aux entreprises en bourse dès 2002 pour donner suite aux scandales et fraudes financiers de Enron, Tyco International, Adelphia, Peregrine Systems et WorldCom (Addison-Hewitt, 2002). Cette loi a pris effet afin de ramener la confiance des investisseurs et des actionnaires de compagnie publiques en imposant des contrôles de processus qui sont à la fois transparents et forcent l’engagement des dirigeants des organisations. À titre de référentiel de contrôle interne, COSO définit la notion de contrôle interne comme étant « un processus de l’organisation qui est défini et mis en place sous la responsabilité de cette dernière, et qui vise à fournir une assurance raisonnable quant à la réalisation des objectifs ».

Le référentiel COSO énonce les principes de base suivants (Davis et al., 2011) :

- Le contrôle interne est un processus, ce n’est qu’un moyen pour atteindre une fin et n’est pas une fin en soi;

- Le contrôle interne est assigné à des individus. Il ne s’agit pas d’appliquer juste les politiques et les manuels de procédures, au contraire tout le monde doit être impliqué et responsable, et ce, à tous les niveaux de l’organisation;

- Le contrôle interne est tenu de ne fournir qu'une assurance raisonnable, et n’est pas tenu à une assurance absolue;

- Le contrôle interne doit être adapté à la réalisation des objectifs d’une ou plusieurs catégories indépendantes de l’organisation, susceptibles de se chevaucher.

Dans sa première version, le référentiel COSO définit les cinq composants d’un contrôle interne, à savoir (Autorité des Marchés Financiers, 2007) :

- L’environnement de contrôle : l’environnement interne dans lequel se déroule le contrôle. Cela correspond à la culture et l’esprit de l’organisation ainsi que les qualités individuelles de ses collaborateurs, leur intégrité et leur éthique;

- L’évaluation des risques : analyser les risques en fonction de leurs probabilités de se produire et de leurs impacts sur l’organisation. Cette évaluation servira à la mitigation des risques;

- Les activités de contrôle : l’ensemble des mesures et politiques mises en place en vue de veiller à l’application effective des mesures établies pour la mitigation des risques;

- L’information et la communication : les informations pertinentes, fiables, dont la connaissance permet à chaque acteur dans l’organisation d’exercer ses responsabilités. Elles doivent être identifiées, collectées et communiquées dans un format facilitant leurs échanges et communications, tout en respectant les délais. La circulation de l’information doit être efficace, aussi bien verticalement que transversalement au travers de toutes les directions de l’organisation;

- Le pilotage : il supervise les processus de contrôle interne par le biais des activités de vérifications internes permanentes ou par le biais de procédures d’évaluation indépendantes externes mises en place à cette fin.

Concernant la gestion des risques, trois processus sont imposés : la fixation des objectifs, l’identification des évènements et le traitement des risques. Avant d’aborder ces processus en détail, il est nécessaire de définir la notion de gestion des risques. Selon COSO, la gestion des risques est un processus mis en œuvre par le conseil d’administration, la direction

générale, les gestionnaires et l'ensemble des collaborateurs de l’organisation. La gestion des risques doit être prise en compte lors de l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Elle est responsable de l’identification d’évènements potentiels susceptibles d’affecter l’organisation et permet de les gérer dans les limites de son appétence pour le risque. La gestion des risques vise donc à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation (IFACI, PriceWaterhouse-Coopers et Landwell, 2005). Le référentiel COSO propose donc trois processus pour la gestion du risque :

- La fixation des objectifs : il est nécessaire de fixer, au préalable, les objectifs de l’organisation afin de définir les évènements potentiels susceptibles d’affecter la réalisation;

- L’identification des évènements : il faut identifier tous les évènements externes et internes qui peuvent subvenir et affecter la réalisation ou l’atteinte d’objectifs fixés par l’organisation, tout en faisant la distinction entre risques et opportunités;

- Le traitement des risques : il faut aussi proposer des stratégies, des solutions et des mesures à prendre pour faire face aux risques identifiés (c.-à-d. l’évitement, l’acceptation, la réduction ou le partage).

Une question peut se poser : quelle est la relation entre « contrôle interne » et « gestion des risques » ?

Le référentiel COSO considère que le contrôle interne est une partie intégrante du dispositif de gestion des risques. Pour cette raison, la deuxième version de COSO (orienté vers la gestion des risques) intègre totalement COSO 1 (orienté vers le contrôle interne). Ce dernier a fait ses preuves et constitue le fondement des règles, règlementations ou lois actuellement en vigueur et est actuellement le référentiel le plus important de contrôle interne des organisations (Davis et al., 2011; IFACI, PriceWaterhouse-Coopers et Landwell, 2005). Il est clair que le référentiel de contrôle interne et de gestion des risques proposé par COSO offre plusieurs avantages aux organisations. Cependant, ce référentiel, aussi bien conçu et appliqué soit-il, ne peut pas fournir une garantie absolue quant à la réalisation des objectifs de la société (Autorité des Marchés Financiers, 2007). Ces limites résultent principalement

des facteurs suivants (Autorité des Marchés Financiers, 2007; IFACI, PriceWaterhouse- Coopers et Landwell, 2005) :

- Les erreurs de jugement lors de prise de décisions;

- Les contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs individus;

- La nécessité de prendre en compte le rapport couts/bénéfices dans le choix de mesures à prendre concernant les risques comparé au cout des contrôles internes afin d’atteindre un équilibre raisonnable.

Un contrôle COSO est principalement composé : - D’un objectif de contrôle;

- De pratiques de contrôle; - De risques à mitiger.

Le tableau 1.3 présente un exemple de contrôle COSO (COSO, 2012) tel qu’il est représenté dans une organisation.

Tableau 1.3 Exemple de contrôle COSO Adapté de COSO (2012)

Objectif de contrôle Pratiques de contrôle Risques à mitiger « Avoir un personnel

hautement qualifié, opérant selon les objectifs de

l’organisation et ses valeurs d’éthique »;

- Documenter la phase de test du logiciel tout en spécifiant les outils utilisés, les étapes suivies et les résultats de chacune de ces étapes. Cette documentation va permettre la formation de nouveaux employés et jouer le rôle d’un outil de

référence pour les employés actuels et protéger les logiciels financiers de l’organisation;

- Vérifier si la formation en qualité logiciel (que le personnel doit suivre) est conforme aux valeurs d’éthique et d’intégrité de

l’organisation;

- Vérifier si la formation en qualité logiciel (que le personnel doit suivre) est conforme aux plans stratégiques de l’organisation.

- Risque d’introduction d’instructions

frauduleuses dans les logiciels financiers de l’entreprise ;

- Personnel non qualifié;

- Les valeurs d’éthique de l’entreprise ne sont pas transférées à ses employés;

- Personnel non qualifié.