2. Le COSO est un référentiel de contrôle interne
visant à limiter les tentatives de fraudes dans les
rapports financiers des entreprises.
Il a été défini par le Committee of Sponsoring
Organisation of the Tread way Commission en
1992.
Toutefois, ce n'est qu'à partir de 2002 que le
modèle COSO a véritablement émergé. Les lois
américaines rendant obligatoire l'évaluation du
contrôle interne pour les sociétés faisant appel à
l'épargne publique (suite aux scandales Enron et
Worldcom), il est alors adopté comme référentiel.
En France, il faut attendre la loi de sécurité
3. Pour le référentiel COSO, le contrôle interne doit
répondre à trois :
Il définit également cinq
constitutives du contrôle interne :
4. Le contrôle interne, aussi bien conçu et aussi
bien appliqué soit-il, ne peut offrir qu'une
assurance raisonnable quant à la réalisation des
objectifs
en raison des limites suivantes :
Les jugements exercés
lors des prises de décision
peuvent se révéler défaillants
La contrainte
rapport coût-avantage
impose une contingence
aux procédures et dispositifs
de contrôle à mettre en place
Les mesures de contrôle
ne peuvent pas,
en toute circonstance,
empêcher la survenance
d'un dysfonctionnement
ou d'une défaillance humaine
ou d'une erreur
La collusion
entre plusieurs personnes
peut faire échouer les
contrôles
Le management
peut passer outre les
procédures
et ne pas respecter
le système de contrôle
interne
5. Si l’on s’intéresse maintenant aux différences entre COSO et
COSO 2, on peut mettre en évidence plusieurs d’entre elles :
Tout d’abord, le COSO 2 a la particularité de parler à la fois du
risque quand un évènement impacte négativement l’entreprise
mais aussi d’opportunité quand l’impact est positif.
Le COSO ne traitait pas l’opportunité.
Le COSO 2 introduit aussi la notion d’ « appétence au risque »
qui est le niveau du risque auquel l’entreprise est prête à faire
face et la notion de « seuil de tolérance » qui correspond à la
variation acceptable du niveau de risque par rapport au niveau
d’appétence défini.
Ensuite, le COSO 2 prend en compte les objectifs
stratégiques en plus des objectifs opérationnels, de reporting et
de conformité du COSO.
6. Le COSO 2 élargit également la palette du dispositif de
contrôle interne en ajoutant trois composantes :
*la fixation des objectifs (pour identifier les évènements
nuisibles à leur atteinte),
*l’identification des évènements (risques et opportunités),
*le traitement des risques.
Enfin le COSO 2 donne une dimension d’analyse
supplémentaire en instaurant une maitrise des risques
de toutes les strates de l’entreprise, filiales comprises.
Le COSO 2 élargit donc le périmètre du COSO en
ajoutant un ou plusieurs éléments à chaque dimension
du cube.
8. COSO et COSO 2 sont actuellement les référentiels les plus appliqués par les entreprises
européennes malgré l’apparition du
COSO 3 (COSO 2013).
En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013.
Le but de cette mise à jour est de prendre en compte les évolutions des environnements opérationnels
et les attentes accrues concernant le contrôle interne.
Tout en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte
plusieurs nouveautés significatives permettant la mise en œuvre d’un dispositif plus agile s’alignant en
permanence aux objectifs de l’organisation.