COSO

COSO est un référentiel avant tout dédié à la caractérisation des risques financiers et à la mise en œuvre des contrôles internes. C‟est un référentiel transversal à une organisation. Il concerne, à ce titre, l‟ensemble des systèmes de gouvernance. Il est utilisé pour définir les risques inhérents au SI et les activités de contrôle associées.

Les sections suivantes présentent plus précisément les usages du référentiel COSO et le méta-modèle que nous considérons dans cette étude.

6.2.3.1. Historique et usages du référentiel COSO

COSO, issu des travaux de la Commission Treadway, est mis en place en 1985 aux Etats-Unis. La commission avait pour mission de travailler sur le thème de la fraude dans le reporting financier. Son rapport est publié en septembre 1987 et il constitue une base de recommandations pour prévenir et détecter ce type de fraude.

Bonne pratique

Objectif

Volume ^{décrit 1..*}

1

mis en oeuvre par¹ 1 Processus Ressource Document Application KPI _Service

Service TI Service Métier

documente 1 1

Besoin métier Besoin Client

Matériel Acteur 1..* 1..* 1..* 1..* utilise 0..* 0..* manipule 0..* 0..* mesure 1..* 1..* contient 0..* 1 associé à 1 0..* propriétaire 0..* 0..* Information

152 Le COSO (Committee Of Sponsoring Organizations) regroupe aux USA les associations et instituts dans les domaines de la Comptabilité et de l‟Audit Interne qui ont soutenus les travaux de cette commission. Le référentiel du COSO, rédigé sur la base des recommandations de la commission Treadway, est publié en 1992.

Plus précisément, le référentiel COSO pose trois principes du contrôle interne :

1. Le contrôle interne est un processus : c‟est un mécanisme transversal qui nécessite l‟implication des acteurs à chaque niveau de l‟organisation.

2. Le contrôle interne doit vérifier qu‟une organisation, dans son management est respectueuse des lois.

3. Le contrôle interne est modulé suivant les priorités de réalisation des objectifs.

Les objectifs de contrôle, que le COSO assigne, correspondent en majorité aux préoccupations des investisseurs assurant le financement des organisations. Pour COSO il s‟agit ainsi : d‟assurer l‟efficacité et l‟efficience des opérations, la fiabilité des informations financières, et la conformité aux lois et aux règlements.

Au regard des objectifs précédemment établis, COSO décrit le cadre pour piloter le contrôle interne d‟une organisation. Il découpe ce cadre en cinq composants :

 L‟environnement de contrôle : c‟est l‟état des lieux de l‟organisation, ses valeurs, qui forment la situation pour les audits internes.

 L‟évaluation des risques : elle consiste à mesurer l‟importance des risques, leurs impacts sur les objectifs de l‟organisation ainsi que leur fréquence.

 La définition des activités de contrôle : COSO impose la matérialisation des procédures de contrôle. Il s‟agit de définir précisément les règles et procédures de contrôle pour traiter les risques.

 L‟information et la communication : ces dernières sont nécessaires pour le partage de la connaissance liée aux risques, aux contrôles et à la traçabilité des reportings.

 La supervision : elle consiste à assurer la pérennité des activités de contrôle. Il s‟agit du « contrôle du contrôle » interne.

Nous venons de présenter le socle des objectifs du COSO ainsi que ses composants. La représentation très connue du COSO sous forme de cube à trois facettes (Fig 6.5) permet de visualiser la répartition des objectifs et des composants du COSO sur la structure d‟une entreprise.

153 Figure 6.5. Le cube COSO

La dernière version du COSO (COSO II) met l‟accent sur la nécessité d‟intégrer les informations et les risques non financiers au contrôle interne en élargissant la notion de reporting. D‟autre part, l‟axe de la communication et de l‟information intègre maintenant la notion temps qui permet aux audits de se référer à une capitalisation de la connaissance passée des événements. Enfin les responsabilités sont soulignées par la définition du rôle du comité directoire dans la supervision de la gestion des risques et de celle du CRO (ou Directeur des Risques) qui a la responsabilité de l‟implémentation de COSO.

154

6.2.3.2. Conceptualisation de COSO

Figure 6.6. Diagramme de classe des concepts de COSO (Sienou, 2007).

(Sienou, 2007) propose une formalisation des concepts du COSO. Nous reprenons le méta-modèle issu de ces recherches. La figure 6.6 mentionne les principales notions considérées par le COSO. Nous proposons une description textuelle de ce méta-modèle. Dans la suite, les concepts de COSO sont mentionnés en italique.

Une entité se réfère à l‟organisation définie pour une mission donnée qui consiste en la réalisation d’objectifs qui supporteront une stratégie plus globale. L’entité dispose d‟une appétence au

risque. C'est-à-dire d‟une définition de ce qui est acceptable ou non en terme de risque au regard des

objectifs. A un instant donné, une entité dispose ainsi d‟une tolérance au risque. La caractérisation du degré de réalisation des objectifs est rendu possible par l‟analyse des indicateurs de performance qui mesurent la capacité des objectifs à satisfaire les facteurs de succès. COSO distingue quatre types ou

catégories d’objectifs : la conformité aux lois, la fiabilité du reporting, les objectifs opérationnels et

les objectifs stratégiques.

Un événement peut avoir une origine endogène ou exogène suivant qu‟il ait été induit par un

facteur interne ou un facteur externe. L’événement est caractérisé par l’impact et la probabilité de son occurrence. Plus précisément une occurrence est une manifestation capable d‟affecter positivement ou

négativement la réalisation d‟un objectif. Dans le premier cas l‟occurrence d‟un événement est considérée comme une opportunité et dans le second cas il s‟agit d‟un risque.

Activité de

contrôle _traitement^{Action de}

-benefice: int -coût: int est surveillée à l'aide de

Risque résiduel donne lieu à Risque Risque inhérent * Impact Probabilité Cause Facteur Evénement Occurence d'événement Opportunité a un effet sur a un effet sur résulte en induit interdépendance peut donner lieu à

Origine du facteur Catégorie d'événement Catégorie d'objectif Objectif Priorité Stratégie Facteur

interne externe^Facteur

peut déterminer appartient à effet négatif sur

appartient à 1..*

effet positif sur

Objectif opérationnel Fiabilité du reporting Conformité aux lois Objectif stratégique Facteur de succès Indicateur de performance prend en compte Entité réalise évalue réalise affecte Appétence au risque Partie prenante Tolérance au risque affecte dispose d'une dispose d'une a un effet sur a un effet sur

155 Une action de traitement est une action corrective ou préventive qui a pour effet de limiter le

risque initialement identifié. Une action préventive aura un effet sur la probabilité d‟apparition de l’événement originaire du risque, alors qu‟une action corrective consistera à limiter l’impact de l’événement. Dans le cas où le risque ne peut être totalement circonspect par une action de traitement,

cela donne lieu à la considération d‟un risque résiduel. Les risques et les actions de traitement sont supervisés par des activités de contrôle.