Le Référentiel COSO 2013 : comment optimiser le contrôle interne de votre entité dans un environnement à risques
Que retenir de cette nouvelle version du référentiel COSO ?
Quels impacts de cette mise à jour pour les régulateurs et les parties prenantes ?
Quid de la responsabilisation des principaux acteurs de contrôle interne (3 lignes de maîtrise et Middle Management) ?
Quels Enjeux et problématiques de contrôle interne liés à la communication comptable et financière ?
Depuis plus de vingt ans, le COSO(1) est une référence incontournable pour le dispositif du contrôle interne. La version publiée en 1992 a établi les fondamentaux du contrôle interne et a été utilisé par de nombreuses organisations dans le monde pour définir les bases s’y rapportant. Or, depuis 1992, les organisations et l’environnement dans lequel elles opèrent ont beaucoup changé (prééminence de la technologie, recours croissant à l’externalisation, renforcement des obligations de reporting…). Elles ont dû adapter leurs pratiques de contrôle aux nouveaux enjeux ainsi générés. Reconnaissant ces évolutions de l’environnement et le besoin d’adaptation du contrôle interne en conséquence, COSO a décidé de mettre à jour son référentiel. Le COSO 2013 est paru en mai dernier dans sa version anglaise(2), une version française est actuellement en cours de finalisation par l’IFACI et PwC et sera publiée probablement courant le mois de Mai 2014.
Les principales évolutions apportées par cette nouvelle version du référentiel sont introduites au travers de la codification des 17 principes sous jacents aux 5 composantes du contrôle interne. L’efficacité du contrôle interne reposant sur la déclinaison des 5 composantes et donc dans la version 2013 des 17 principes, le COSO 2013 peut être abordé par les organisations comme un outil mis à leur disposition pour les aider à faire un point sur leur dispositif de contrôle interne et à identifier des pistes d’amélioration.
Il est important de rappeler ici que, le référentiel COSO n’étant pas une norme, il ne définit pas de pratiques standard pour la mise en œuvre des principes. Chaque organisation choisit les pratiques qui lui sont les plus adaptées. Toutefois, afin de permettre aux organisations de faire ce choix, le référentiel développe des points d’attention pour la mise en œuvre de chacun des 17 principes. Il fournit également des exemples issus des pratiques des nombreuses organisations qui ont contribué à son élaboration.Un recueil séparé (COSO Internal Control overExternal Financial Reporting - ICEFR) décrit diverses approches et cas pratiques pour illustrer la mise en œuvre des 17 principes du contrôle interne dans le cadre de l’établissement des rapports financiers. Des recueils similaires pourraient être élaborés par la suite sur l’application des 17 principes à d’autres objectifs comme le reporting non-financier.
En analysant sans a priori et avec pragmatisme les pratiques existantes au regard des 17 principes, les organisations devraient identifier des pistes de réflexion pour améliorer, renforcermais aussi dans certains cas simplifier leur dispositif. En effet certains des 17 principes résonnentparticulièrementavec quelques unes des principales préoccupations des organisations vis-à-vis de leur dispositif de contrôle interne :
- Prévenir le risque de fraude,
- Adapter le contrôle interne aux transformations de l’organisation,
- Mobiliser le management et instaurer le «tone in the middle»,
- Assurer la cohérence entre les dispositifs contribuant à la maîtrise des activités (système de management intégré, éthique et conformité, risk management, audit interne),
- Maîtriser les opérations externalisées.
Ceci étant, il y a lieu de favoriser dans ce qui suit des éléments sur la façon dont le référentiel COSO approche ces thématiques.
Prévenir le risque de fraude
L’évaluation et la prévention du risque de fraude sont établiesdans le COSO 2013 comme un principe à part entière du contrôle interne (Principe n°8). L’organisation doit faire face à plusieurs types de fraude : la communication volontaire d’informations erronées, le détournement d’actifs et la corruption. Pour le COSO, cela présuppose la définitionderègles de conduite (Principe n°1) et que s’assure que ces règles soient respectées par le management, les collaborateurs et les prestataires externes (Principes n°5 et 17). Les modalités de suivi pour les prestataires externes gagnent à être spécifiquement prévues dans le cadre de la gestion des relations avec ces tiers.
Le COSO fournit des éléments sur l’analyse que l’organisation doit mettre en place pour évaluer le risque de fraude : analyse des facteurs de motivation et des pressions, analyse des opportunités d'acquisition, d'utilisation ou de cession non autorisées d'actifs, analyse des opportunités de modification des registres comptables, analyse des possibilités de commettre etde justifier des actes inappropriés…En fonction des résultats de l’analyse, l’organisation devra définir des contrôles et mettre en place un suivi des principales zones de vulnérabilité.Le COSO insiste enfin sur l’importance de l’analyse a posteriori des cas de fraude avérés dans le but de renforcer l’efficacité du dispositif de prévention (Principe n°17).
Adapterle contrôle interne en fonction des transformations de l’organisation
Qu’il s’agisse de l’application de nouvelles réglementations, de la mise en place d’un nouveau système d’information ou d’un centre de services partagés, les organisations se transforment en permanence pour s’adapter à leur environnement et rester performantes. Dans ce contexte, l’enjeu en matière de contrôle interne est double : adapter le dispositif en fonction des évolutions de l’organisation etassurer que le niveau de maîtrise des activités est maintenu pendant les phases de transition (dans le cas d’une fusion par exemple, un socle commun des contrôles clés peut être défini sur la base des différents référentiels existants en attendant la définition d’un référentiel de contrôles unique adapté aux nouveaux processus issus de la fusion).Par ailleurs, le dispositif mis en place par l’organisation ne doit pas générer trop de rigidité lors des changements. Cela est particulièrement critique lorsque l’organisation implémente une solution logicielle dédiée au contrôle interne (l’organisation devra notamment définir le niveau de documentation qu’elle adopte et décider par exemple si tous les contrôles doivent figurer dans le système ou uniquement les contrôles dit clés).
Le COSO 2013 traite spécifiquement des enjeux liés aux transformations en introduisant le Principe n°9sur l’évaluation du changement. Ce principe met en avant le besoin d’anticiper les changements pour mieux y répondre. Toutefois la capacité d’anticipation dépendra aussi de l’existence de flux de communication interne adaptés (Principe n°14) qui doivent permettre d’identifier les changements à venir, d’analyser leur impact sur le dispositif de contrôle interne de l’organisation et de cadrer la contribution du contrôle interne tout au long du projet de transformation.
Mobiliser le management et instaurer le «tone in the middle»
La définition des attentes (Principe n°1) et l’engagement de la direction générale («toneat the top») à travers notamment de la supervision qu’elle effectue sont primordiaux pour l’efficacité du contrôle interne. Mais c’est au niveau du management opérationnel de l’organisation que le contrôle interne est effectivement mis en œuvre ou non... L’efficacité du dispositif de contrôle interne repose en grande partie sur l’implication du management opérationnel dans la définition des contrôles et le suivi des résultats des contrôles effectués afin d’identifier des besoins éventuels d’ajustement des processus.Il est important dans cette perspective que le dispositif de contrôle interne soit conçu et piloté en mettant l’accent sur la contribution du contrôle interne à la maîtrise des opérations.
Dans le COSO 2013, l’implication du management passe par la définition claire des rôles et responsabilités (Principe n°3), l’appui de spécialistes du contrôle interne et l’instauration pour chacun d’un devoir de rendre compte de ses responsabilités en matière de contrôle interne (Principe n°5). Les modalités de mise en œuvre de ce dernier principe ont une grande influence sur le niveau d’implication du management. Il pourra par exemple s’agir d’intégrer la responsabilité du contrôleinterne dans les objectifs des managers et notamment la tenue d’une revue annuelle du contrôle interne qui ne se portera pas uniquement sur les besoins de mise en place de nouveaux contrôles mais traitera aussi des résultats des contrôles réalisés et du traitement des écarts ou dysfonctionnements ainsi repérés.
Toutefois, pour que toutes ces mesures aient une portée réelle, l’ensemble des dispositifs contribuant à la maîtrise des opérations(système de management intégré, éthique et conformité, risk management, audit interne) doivent être «lisibles» pour le management. Or cette «lisibilité» nécessiteune définition claire des rôles et responsabilités des acteurs et une grande cohérence des dispositifs.
Le Principe n°3 du COSO portant sur la définition des rôles et responsabilités reprend le concept des «trois lignes de défense» («lines of defence») : la première ligne est de la responsabilité du top management qui conçoit et met en place des contrôles au sein de leurs activités, les fonctions support en seconde ligne apportent expertise et conseil au management et pilotent les dispositifs en transverse, et en dernière instance (troisième ligne) l’audit interne apporte un regard indépendant sur l’efficacité des dispositifs ; les trois lignes contribuant à l’amélioration en continu.
Par ailleurs, la mise en cohérence des dispositifs repose aussi, dans la mesure du possible, sur la mise en commun des référentiels et des outils (la plupart des éditeurs ont aujourd’hui pris en compte ce besoin et proposent des solutions logicielles traitant au sein d’un même environnement le risk management, le contrôle interne, la conformité et l’audit interne).
Maîtriser les opérations externalisées
Les organisations font de plus en plus appel à des partenaires commerciaux et à des prestataires de services (internes ou externes) à tous les niveaux de la chaîne de valeur ainsi qu’au sein des fonctions support. Ces choix organisationnels permettent de standardiser et de rationaliser les processus et présentent ainsi des opportunités de meilleure maîtrise des opérations et de réduction des coûts. Cependant, ils présentent aussi de nouveaux enjeux de contrôle,notamment en termes d’interfaces (humaines ou automatisées) entre l’organisation et ses prestataires.
Par ailleurs,l’organisation gardant la responsabilité ultime des activités qu’elle délègue, elle devraitdéfinir contractuellement ses attentes en matière de contrôle interneet être en capacité de porter un regard sur l’efficacité du contrôle interne exercé par ses prestataires.Elle peut s’appuyer pour ce faire sur des indicateurs communiqués par les prestataires (key risksindicators…), des audits conduits par le service d’audit interne ou des rapports d’audit émis par un tiers (Third Party Assurance) selon les normes ISAE 3402, ISAE3000…Les 17 principes fournissent donc à l’organisation un cadre pour établir ses attentes et évaluer l’efficacité des dispositifs mis en œuvre par les prestataires pour y répondre.
De par son rôle central dans le marché local, PwC Tunisie organise, le Mardi 20 mai 2014 (de 09h à 16h à l’hôtel Concorde), un séminaire au tour des enjeux et des opportunités du nouveau référentiel COSO en vue d’optimiser davantage votre système de contrôle interne dans un environnement en mutation.
PwC Advisory Tunisie, un maillon du réseau mondial, a le plaisir de vous convier à une rencontre sur le thème : «Le Référentiel COSO 2013 : Une opportunité pour optimiser votre contrôle interne dans un environnement en mutation».
PwC Tunisie envisage de faire de cette rencontre un espace d’échange et de partage autour des préoccupations de gouvernance, de transparence et de création de valeur auxquelles est exposée l’entreprise tunisienne.
Il s’agit d’examiner les moyens les meilleurs conduisant à la conception et la mise en œuvre de dispositifs de contrôle interne adéquat eu égard aux risques spécifiques à chaque entité, à chaque domaine d’activité et à chaque groupe d’acteurs.
Au cours de cette rencontre, Catherine JOURDAN et Moez KAMOUN, Associés au sein de PwC Advisory auront le plaisir de partager avec vous leurs retours d’expériences sur le sujet. Catherine JOURDAN est l’un des principaux contributeurs de PwC lors de la rédaction de la version anglaise et la préparation de la version française du référentiel COSO 2013.
En table-ronde participative ou en atelier interactif, nous vous invitons à venir nombreux pour échanger avec les intervenants sur l’application des nouveautés du COSO 2013 :
Contexte et objectifs de la mise à jour du référentiel ;
- Le middle management : relais indispensable dans un dispositif de contrôle interne efficient ;
- Présentation du guide d’application au domaine comptable et financier ;
- Ce qu’engendre cette mise à jour pour les parties prenantes et les régulateurs ;
- Optimisation du dispositif grâce à l’application des trois lignes de maîtrise.
17 principes sous jacents aux 5 composantes du contrôle interne
Environnement de contrôle
1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.
2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents.
5. L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne.
Evaluation des risques
6. L’organisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
Activités de contrôle
10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener les risques à des niveaux acceptables.
11. L’organisation sélectionne et développe des contrôles généraux informatiques.
12. L’organisation met en place les activités de contrôle par le biais de règles et de procédures qui mettent en œuvre ces règles.
Information et communication
13. L’organisation génère des informations pertinentes et fiables nécessaires au bon fonctionnement des autres composantes du contrôle interne.
14. L’organisation communique en interne les informations nécessaires au bon fonctionnement des autres composantes du contrôle interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle interne.
Activités de pilotage
16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont mises en place et fonctionnent.
17. L’organisation évalue et communique en temps voulu les faiblesses de contrôle interne aux parties chargées de prendre des mesures correctives.
(1)COSO Internal Control – Integrated Framework (2013 Framework)
(2)Le référentiel d’origine ainsi que sa mise à jour ont été rédigés par PwC, sous l’autorité du COSO (Committee of Sponsoring Organizations of the Treadway Commission), duquel fait notamment partiel’Institute of InternalAuditors (IIA).