controle interne coso

15juin-juillet 2013 - Audit & Contrle internes n215

DOSSIER

Le nouveau COSO et ses 17 principes fondateurspour un contrle interne ecient

Le COSO 1992 est mort, vive le nouveau COSOLaurent Arnaudo

25

Plaidoyer pour des principes justes et pertinents :Comment donner du sens aux systmes de contrleinterne ?Batrice Ki-Zerbo

16

Le COSO 2013 et le cadre de lAMF ne sexcluent ni nesopposent, ils sont complmentairesAnne Bosche-Lenoir et Raymond Marfaing

29

Le COSO 2013 : une mise jour du rfrentieldorigine pour mieux matriser les volutionsSerge Villepelet

22

16

DOSSIER

Audit & Contrle internes n215 - juin-juillet 2013

Plaidoyer pour des principesjustes et pertinents :Comment donner du sens auxsystmes de contrle interne ?

La mise jour du rfrentielCOSO de contrle interne estformellement caractrise parlexplicitation de 17 principes compl-ts par des points dattention et desillustrations. Cette version 2013 est doncplus prcise et plus aise actionner.Loin dtre des a priori thoriques etintemporels, ces principes bnficient deplusieurs dcennies de pratiques ducontrle interne et de gestion desrisques.

Cet article a bnfici des changes fruc-tueux au sein des groupes de recherchede lIFACI ; en particulier celui qui avaitt constitu dans le cadre de la consul-tation publique lance par le COSO en2012. Impossible de rsumer ici toute larichesse de ce rfrentiel dont des pro-fessionnels chevronns nous ont avouquil mritait le dtour. Nous vous pro-posons donc un survol orient vers cequi nous semble tre fondamental pourun contrle interne efficace : la qualitde l environnement de contrle et du pilotage . Ces composantes sontpourtant les laisses pour compte deschantiers de contrle interne. Dans lemeilleur des cas, elles sont exaltes lorsde grandes messes suivies de plans dac-

tions purement formels dpourvus desens ou sans ressources adquates. Aumoindre incident, ce vernis de faade netardera pas se craqueler mettant ainsi mal la confiance au pouvoir de trans-formation du contrle interne. Les fos-soyeurs du contrle interne ne sedemanderont jamais si les fondations deldifice pimpant qui leur tait prsenttaient rellement robustes.

Lide de recourir des principes fonda-teurs pour une saine gestion nest pasnouvelle. En 1916 dj, Fayol proposait14 principes gnraux dadministrationdont la plupart nont rien envier ceuxproposs par le COSO. Cet ingnieurdes mines est reconnu pour son prag-matisme. Il avait galement une viseuniverselle de ses principes quil propo-sait dappliquer ladministrationpublique.Plus proche de nous, Larry Rittenberg(2007) prsentait les 20 principes durfrentiel COSO for smaller public com-panies comme un moyen de rendre plusaccessibles les fondamentaux duncontrle interne efficace aux managersde socits cotes de taille moyenne. Ilnotait que ces principes taient tout fait adapts pour les autres types dor-ganisations. Les constats de lancien

prsident du COSO ont t suivis def-fet. En effet, les 17 principes de la nou-velle version du rfrentiel de contrleinterne sinspirent visiblement de ces 20principes initiaux. Leur rdaction gagnenanmoins en clart et met en exergueles points dattention. Un aperu en estdonn dans le tableau ci-aprs.

Ces principes sont dvelopps dans ledocument de rfrence (Framework) etillustrs dans deux documents compl-mentaires (llustrative Tools et InternalControl over External Financial Reporting). Elments fondateurs et incontournablesde la conception, de la mise en place etdu fonctionnement de tout systme decontrle interne ayant lambition decontribuer la performance dune orga-nisation ; ces principes ont isolmentporteur de sens. Nanmoins, leur pou-voir de transformation ne sexprimerarellement que dans une mise en uvreconcerte. Les principes ne sont doncpas une fin en soi, cette nouvelle ditionpermet de sen servir pour sassurer dela cohrence globale du systme par unemise en lumire des interactions entrecomposantes. Il est dailleurs dommageque lillustration sous forme de cube nerende pas mieux compte de cette inter-pntration des composantes. Cest

Batrice Ki-Zerbo - Directeur de la Recherche, IFACI

17

Le nouveau COSO

juin-juillet 2013 - Audit & Contrle internes n215

cette dynamique qui fonde lefficacit delensemble du systme de contrleinterne. Comme nous le verrons, sans cemouvement densemble impossible defaire jouer au contrle interne son rlede traduction des options de gouver-nance et de gestion des risques dansles mtiers.

Dire que tous les 17 principes sontindispensables nexclut pas une mise en

uvre module selon des critres telsque : la taille de lentit ; lautonomie (groupe vs filiale) ; la complexit des oprations ; la maturit des systmes de gestion

des risques et de gouvernance. Enparticulier :- limplication des organes dlib-

rants et excutifs ;- la formalisation des valeurs ;

- la qualit du processus de dfini-tion des objectifs et de lapptencepour les risques ;

la comptence des collaborateurs (quidterminera par exemple les modali-ts et les objectifs de supervision).

Comme pour lensemble de cette mise jour, la nouveaut se dcouvre dansune lecture attentive. Si ces trois objec-tifs sont connus, le COSO 2013 en tend

Environnement de contrle 1. L'organisation dmontre son engagement en faveur de l'intgrit et de valeursthiques.

2. Le conseil dadministration fait preuve d'indpendance vis--vis du management. Ilsurveille la mise en place et le bon fonctionnement du systme de contrle interne.

3. La direction, agissant sous la surveillance du conseil dadministration, dfinit lesstructures, les rattachements, ainsi que les pouvoirs et les responsabilits approprispour atteindre les objectifs.

4. L'organisation dmontre son engagement attirer, former et fidliser des collabora-teurs comptents conformment aux objectifs.

5. L'organisation instaure pour chacun un devoir de rendre compte de ses responsabili-ts en matire de contrle interne.

Evaluation des risques 6. L'organisation spcifie les objectifs de faon susamment claire pour permettre l'identifi-cation et l'valuation des risques associs aux objectifs.

7. L'organisation identifie les risques associs la ralisation de ses objectifs dans l'ensemblede son primtre de responsabilit et elle procde leur analyse de faon dterminerles modalits de gestion des risques appropries.

8. L'organisation intgre le risque de fraude dans son valuation des risques susceptibles decompromettre la ralisation des objectifs.

9. L'organisation identifie et value les changements qui pourraient avoir un impact signifi-catif sur le systme de contrle interne.

Activits de contrle 10. L'organisation slectionne et dveloppe les activits de contrle qui contribuent ramener des niveaux acceptables les risques associs la ralisation des objectifs.

11. L'organisation slectionne et dveloppe des activits de contrle gnral en matire desystme dinformation pour faciliter la ralisation des objectifs.

12. L'organisation met en place les activits de contrle par le biais de directives qui prcisentles objectifs poursuivis, et de procdures qui mettent en uvre ces directives.

Information etcommunication

13. L'organisation obtient ou gnre puis utilise des informations pertinentes et de qualitpour faciliter le fonctionnement des autres composantes du contrle interne.

14. L'organisation communique en interne les informations ncessaires au bon fonctionne-ment des autres composantes du contrle interne, notamment en ce qui concerne lesobjectifs et les responsabilits associs au contrle interne.

15. L'organisation communique avec les tiers au sujet des facteurs qui aectent le bon fonc-tionnement des autres composantes du contrle interne.

Pilotage 16. L'organisation slectionne, met au point et ralise des valuations continues et/ou ponc-tuelles afin de vrifier si les composantes du contrle interne sont bien mises en place etfonctionnent.

17. L'organisation value et communique les faiblesses de contrle interne en tempsvoulu aux responsables des mesures correctrices, notamment la direction gnrale et auconseil dadministration.

Aperu des 17 principes proposs par le COSO (Traduction non ocielle)

18

DOSSIER


la porte et nous alerte sur leur imbrica-tion : Les objectifs oprationnels concer-

nent l'efficacit et l'efficience des op-rations. Au-del de la performanceoprationnelle et financire, le COSOy inclut explicitement la protectiondes actifs.

Les objectifs de reporting sont spci-fis : il sagit la fois de la communi-cation interne et externe dinforma-tions financires et extra-financires.Outre llargissement du champ, ilnous est recommand de ne pas nouscantonner la fiabilit mais dtregalement attentif aux attentes desdestinataires internes et externesnotamment en termes de dlais et detransparence.

Les objectifs de conformit pren-nent une place de plus en en impor-tante du fait de la multiplication deslois et rglements applicables auxorganisations. Ils sont sous-tenduspar les deux autres catgories dobjec-tifs et vice-versa.

Selon les organisations, la place accor-de chacune des trois catgories dob-jectifs pourra galement tre module.Cet impratif de modulation montre queles bnfices de cette nouvelle versionrsultent ncessairement dune appro-priation fine et personnalise de soncontenu quil est impossible de rsumeren quelques pages.

Les lments proposs ci-dessous sont prendre comme autant de points dedpart possibles de cette appropriation.

Lenvironnement de contrle

Selon le principe 1, intgrit et valeursthiques sont fixes par les instancesdirigeantes, elles-mmes exemplaires enla matire. Pour tre comprises tousles niveaux, elles doivent tre explicitesdans lorganisation mais galement auxprestataires et aux partenaires. Leniveau dadhsion ces valeurs est vri-fi et des dcisions effectivement misesen uvre en cas dcart.

Le principe 2 met laccent sur lind-pendance du conseil dadministra-tion vis--vis du management. Pour cefaire, le conseil dispose-t-il des comp-tences et de lexpertise adquate ? Lesadministrateurs sont-ils effectivementconscients de leurs responsabilits enmatire de contrle interne ? Exercent-ils une surveillance approprie chaquephase du processus de contrle interne(conception, mise en uvre, pilotage)?Le rfrentiel aide trouver des l-ments de rponses ces questions quisont loin dtre binaires. Ainsi, desexemples dimplication du conseildans le suivi de chaque composantesont donns.

Le principe 3 rappelle ce qui peut para-tre tre le B.A-BA du contrle interne :Dfinir clairement les pouvoirs et res-ponsabilits, assurer la sparation destches notamment travers le systmedinformation. Pourtant, cette videnceest loin dtre une ralit dans toutesles organisations. Si tant est que larpartition formelle des pouvoirs et res-ponsabilits a t effectue chaquechelon de la ligne hirarchique, il res-tera sassurer quils sont tout aussi clai-rement dfinis au niveau des diffrentesinstances de gouvernance (comitsmanations du conseil, comits mana-griaux), dans les relations entre chaqueentit lgale, dans le rseau de distribu-tion et avec les prestataires. De plus,pour reprendre les mots de Fayol, enanglais dans son texte, la dfinition desrles naura de sens quavec the rightman in the right place .

Ainsi le principe 4 est clairement li auprincipe prcdent. Il prsente unevision dynamique dun lment cl delefficacit de toute organisation, la priseen compte des hommes et des femmesqui la font fonctionner. Il ne sagit passeulement demployer des ressourcesqui seraient disposition et inertes. Ilfaut pouvoir tre en capacit dattirer,de dvelopper et de maintenir descomptences en lien avec les objectifsde lorganisation. Cette gestion strat-

gique des ressources sappuie bien srsur des politiques et des procduresmais celles-ci ne doivent pas empchertoute ractivit notamment par rapportaux besoins futurs. Dans ses dveloppements sur lvalua-tion et la rmunration, ce principe estgalement reli au principe 1. Ils sontempreints des travaux sur la justiceorganisationnelle qui selon Langevin etMendoza (2013), favorise la satisfactionau travail, ladhsion la politique delentreprise, la rsolution des conflits etles comportements civiques. Ces troisderniers objectifs sont explicitement lundes enjeux des composantes environ-nement de contrle et pilotage duCOSO (2013). Classiquement, la justiceorganisationnelle sentend selon troisapproches : la justice distributive qui sintresse

lexplicitation des critres dallocationdes ressources et des rcompenses ;

la justice procdurale qui met laccentsur les conditions de cette allocation.Est-elle :- pertinente (en temps opportun,

individualise) ?- sans biais ?- fonde sur des informations fia-

bles ?- rvisable (possibilit de faire appel

et de corriger les injustices) ?- quilibre (prise en compte de

toutes les parties concernes) ?- conforme des valeurs thiques et

morales ? la justice interactionnelle qui interroge

la nature des relations interperson-nelles pendant la mise en uvre desprocdures.

Il nest pas inutile de rappeler limpor-tance de la beaut du geste dans desorganisations qui ont tendance rduireleur fonctionnement des squences deprocdures et subissent donc une recru-descence du mal-tre au travail.

Le principe 5 sera galement difficile appliquer sans un minimum de justiceorganisationnelle favorisant une adh-sion au devoir de rendre compte. Il est

19

Le nouveau COSO


reli aux autres principes de lenviron-nement de contrle (valeurs de rf-rence et propice la confiance, instancesdirigeantes jouant leur rle, responsabi-lits clairement dfinies, comptences etpouvoir de rendre compte). Il sappuiegalement sur la robustesse des compo-santes information et communica-tion et pilotage . Ce principe refltela maturit croissante des systmes decontrle interne qui ne se limitent plus la matrise des activits. En tant quesystme de pilotage de la performance,le contrle interne ncessite une infor-mation ascendante qui avait peut-tret un peu passe sous silence sous lepoids du tone at the top. Sans devoir derendre compte, impossible galement dediriger des entreprises de plus en plustendues, soumises la pression de par-ties prenantes qui ne cessent de clamerleur droit linformation. Une organisa-tion qui naura pas su anticiper cesbesoins pourra tre mise mal. Ledevoir de rendre compte ne sera bn-fique que sil ne rduit pas les acteurs un statut de simples metteurs dindica-teurs. Cest seulement sils sont respon-sabiliss et srs que leurs messagesseront suivis deffets, que les acteurspourront vritablement tirer profit de cemcanisme en le mettant au service delamlioration continue.

Evaluation des risques

Cest loccasion ici de rappeler que cettenouvelle publication nest pas unCOSO 3 qui viendrait remplacer le rf-rentiel Entreprise Risk Management ,plus connu en tant que COSO 2. Unepartie de la publication de 2013 est dail-leurs consacre la complmentaritentre les deux rfrentiels. Les objectifset les seuils de tolrance dfinis par lemanagement dans le cadre du systmede gestion des risques sont des donnesdentre du systme de contrle interne.Si le lien avec la composante valua-tion des risques semble tre le plusnaturel, larticulation avec le systme degestion des risques permet de russir lamodulation des principes voque au

dbut de cet article. Elle dtermine lef-ficience du systme de contrle internepar la prise en compte dindicateurs deperformance oprationnelle et finan-cire appropris et la correcte allocationdes ressources.

Le rfrentiel de contrle interne envi-sage les risques sous langle desmenaces latteinte des objectifs ; cenest pas pour autant quil ignore le faitque les organisations doivent galementsaisir des opportunits. Nanmoinscelles-ci ne sont pas directement grespar le systme de contrle interne.Elles doivent dabord treanalyses dans le cadredu systme de ges-tion des risques. Sielles sont confir-mes par lesdirectives desinstances diri-geantes, ellesd e v i e n n e n texplicitement desobjectifs dont lecontrle internecontribuera la ralisation.Lun des atouts de ldition de2013 est de clarifier les limites du sys-tme de contrle interne pour mieuxlactionner.Outre les tapes classiques didentifica-tion et danalyse des risques pour lamise en uvre des mesures de traite-ment appropris, la nouvelle formula-tion de la composante valuation desrisques met clairement laccent sur lerisque de fraude (principe 8) et la nces-sit dadapter le systme aux change-ments significatifs (principe 9). Sil estassez classique de sintresser aux chan-gements significatifs dans lenvironne-ment externe comme menaces poten-tielles, il sagit dtre galement vigilantsface des changements de businessmodel ou de dirigeants.

Activits de contrle

Une lecture rapide des principes 10 12pourrait laisser penser que cest la partie

la moins innovante du nouveau rfren-tiel. Sans doute parce quelle est inh-rente toute forme dorganisation. Etpourtant, cette approche pourra gale-ment tre matire progrs. Par exem-ple, ces activits visent-elles un niveauacceptable des risques ? Ces seuils sont-ils clairement dfinis dans toutes lesorganisations ? Dans laffirmative lesont-ils par les instances appropries (cf.principe 2 et 3) ? Veille-t-on retenirune combinaison optimale des diff-rentes catgories de contrle (automa-tiques vs. manuels / prvention vs.dtection) au regard des risques ma-

triser ?

Le principe 11 rap-pelle des lmentsdune bonne gou-vernance des sys-tmes dinforma-tion. Il invite lesprofessionnels ducontrle et de

laudit internes sintresser des

domaines qui leur sontmoins familiers tels que lin-

frastructure ou la scurit. Ils consti-tuent pourtant des zones risques par-ticuliers lre de linformatique mobileet du cloud computing.

Le principe 12 permet dviter des acti-vits de contrle dpourvues de sens. Ilfait le lien avec les composantes envi-ronnement de contrle (il est questionde directives, de responsabilits et dedevoir de rendre compte, de personnelcomptent, dactions correctives), information et communication (indispensables pour une mise en uvreen temps opportun) et bien sr de pilotage (avec lvaluation prio-dique des activits de contrle et leurmise jour ventuelle).

Information et communication

Dsormais, les technologies permettentde gnrer et de diffuser des milliers dedonnes en interne ou en externe.

Lun des atoutsde ldition de 2013

est de clarifier les limitesdu systme de contrle interne

pour mieux lactionner

20

DOSSIER


Dterminer celles qui sont vraimentpertinentes ; y accder en toute lgalitet les traiter de manire efficienteconstitue un enjeu de gouvernance.

Le principe 14 permet dorganiser lesystme de contrle interne selon lesens donn au niveau de lenvironne-ment de contrle et en fonction dessignaux des composantes valuationdes risques ; activits de contrle et pilotage . Sans communicationinterne adquate (en termes de dlais,de destinataires, de contenu) difficiledassumer ses responsabilits enmatire de contrle interne. Deuxcanaux de communication sont particu-lirement dtaills : celle qui concerne leconseil dadministration et celle qui peuttre mobilise dans des circonstancesexceptionnelles (par exemple les lignesdalerte thique).

Le principe 15 concernant la communi-cation externe tient compte de la mul-tiplication des interlocuteurs externes(actionnaires, analystes, rgulateurs,clients, fournisseurs, associations)ayant parfois des centres dintrt diff-rents. Au-del, de la matrise des mes-sages de lorganisation notammentconcernant la fiabilit du contrleinterne, nous sommes invits contri-buer une exploitation efficace de lacommunication entrante. Il sagira parexemple de sassurer de ladquationdes moyens, de la conformit des pro-cessus ou de la pertinence des donnes.

Pilotage

Le principe 16 a le plus grand nombrede points dattention. Ils peuvent trersums par des mots cls tels que : quilibre (entre valuations perma-nentes et priodiques). En pratiquecette complmentarit pourra se fon-der sur le modle des trois lignes dedfense ;

adaptation ( ltat du systme, aurythme des changements dans lenvi-ronnement et dans les mtiers) ;

intgration (des valuations perma-

nentes dans les processus mtiers) ; flexibilit (primtre et rythme des

valuations priodiques) ; objectivit (des valuations prio-

diques) ; comptence. Ainsi, la description des

rles et responsabilits des auditeursinternes est conforme aux normesprofessionnelles IIA.

Le principe 17 est celui de la boucle deretour. Le mcanisme nest pas nouveaumais la mise jour nous invite dpas-ser une dmarche incrmentale pourune vision globale. En effet, le manage-ment et le conseil dadministration doi-vent disposer de linformation adquatepour dcider des actions correctives entemps opportun et suivre leur mise enuvre.

De plus, les principes prcdents et enparticuliers ceux de lenvironnement decontrle nont de sens que sils sont sur-veills et que des actions sont effecti-vement mises en uvre en casdcart (modification de la cible ou duplan de matrise).

* **

En conclusion, lide de sappuyer surdes principes pour la bonne marchedune organisation nest pas nouvelle.Nanmoins loriginalit de la proposi-tion du COSO vient de larticulationdynamique de plusieurs axes. Il permetainsi de viser, avec la mme approche,plusieurs objectifs et de grer leur inter-connexion. Il est plus ais didentifier lesdomaines sous contrle et les zones defaiblesses pour prioriser les actions.Nous avons pu mettre en vidence desrsonnances entre principes et compo-santes. Toutes les composantes ressor-tent grandies de cette mise jour. Cellesrelatives lvaluation des risques et auxactivits de contrle bnficient desavances de lERM. Les formulations etillustrations des trois autres compo-santes devraient en faciliter ladoption.

Les rdacteurs ont russi le pari dtresuffisamment gnrique pour une utili-sation dans diffrents contextes tout endonnant plusieurs pistes pour ledploiement de systmes de contrleinterne justes. Bien que tombe endsutude nous prfrons nous rfrer cette notion de justice plutt que din-voquer le bon sens . En effet, ellerecouvre plusieurs caractristiques dunsystme de contrle interne efficace quise doit dtre : raisonn, intgre, ad-quat, raisonnable, pertinent, exact, pr-cis

Le document nintgre sans doute pasassez une vision plus positive des per-sonnes qui ne sont pas tous des frau-deurs en devenir. Le jugement dumanagement est clairement mis enavant mais un lecteur non avis ne serapas forcment sensibilis aux variablesculturelles (et non pas uniquementstructurelles) du contrle interne. Il estpourtant indispensable davoirconscience de ces asprits pour ne passe bercer de lillusion dun contrleinterne sans failles (cf. Atwood et al,2012).

Bref, un vaste programme pour lesmanagers, une opportunit dinnovationpour les professionnels de laudit et ducontrle internes, et de nouveaux chan-tiers pour la recherche commencer parlactualisation de nos publications sur lecontrle interne. Je pense en particulieraux cahiers de la recherche sur La cra-tion valeur par le contrle interne , Descls pour la mise en uvre et loptimisationdu contrle interne , Les variables cultu-relles du contrle interne accessibles surnotre site internet mais qui mriterontdtre revisits pour profiter des propo-sitions particulirement intressantes duCOSO.

21

Le nouveau COSO


Rfrences bibliographiques

Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37

COSO. 2006. Internal Control over Financial Reporting Guidance for Smaller Public Companies

COSO. 2013. Internal Control Integrated Framework, llustrative Tools for Assessing Eectiveness of a System ofInternal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approachesand examples. Traduction paratre

Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence socitale, PRESAJE, Dalloz

Fayol H. 1962. Administration industrielle et gnrale Prvoyance, organisation, commandement,coordination, contrle, Dunod 151p

IFACI et PWC. 2005. Le management des risques de lentreprise. Editions Eyrolles. Traduction de Entreprise RiskManagement publi en 2004 par le COSO

Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrle ? Revue Comptabilit Contrle Audit,tome 19, vol.1, pp 33-58

Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal ofAccountancy (March): 46-50

Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performanceand commitment, Harvard Business Press

Tysiac, K. 2012. Internal control revisited. Prominent COSO ocials discuss proposed updates to framework. Journalof Accountancy (March): 24-29

22

DOSSIER


Le nouveau COSO

Louis Vaurs : Le COSO 1 sur le contrleinterne vient de faire lobjet dune mise jour publie le 14 mai 2013 aux Etats-Unis.Pouvez-vous indiquer nos lecteurs les rai-sons qui ont pouss le Committee ofSponsoring Organisations procder cette mise jour : Sagit-il dune simple mise jour oudune refonte ?

De quels lments se compose le nouveaupackage ?

Quelles en sont les principales nouveau-ts ?

Serge Villepelet : Il sagit en effetessentiellement dune mise jour pluttque dune refonte. Notamment, la dfi-nition, les composantes et les conceptscls restent les mmes que ceux du rf-rentiel dorigine qui date de 1992. Cecitant, il est ncessaire de reconnatrelimpact des volutions de ces 20 der-nires annes en matire de technologie(par exemple : la cyber criminalit), dex-ternalisation, dattentes plus fortes enmatire de transparence, et bien dau-tres. Toutes ces volutions ncessitentplus dagilit et de rsilience de lapart des entreprises pour faire face detels enjeux.

Cest par le biais de 17 principes struc-turants que le COSO 2013 dfinit leslments essentiels en matire decontrle interne pour aider les organisa-tions quels que soient leur taille ouleur domaine dactivit faire facedans un monde qui devient de plus enplus complexe.

Les principales nouveauts sont donc :1. Llargissement du domaine dappli-

cation au-del du reporting financier(par ex. : responsabilit sociale etenvironnementale).

2. Le renforcement des attentes enmatire de gouvernance (par ex. : lesrles des comits et lalignementavec le business model).

3. La gestion des collaborateurs cls aucontrle interne (par ex. : la directiongnrale).

4. Larticulation des 3 lignes dedfense dans lorganisation (savoir les oprationnels, les fonc-tions support et laudit interne).

5. Le rapprochement entre risque, per-formance et rmunration (notam-ment lun des principes portant surla responsabilisation pour lecontrle interne).

6. Larticulation du tone at the top avec les comportements traverslentreprise ( tone in the middle ).

7. La prise en compte des sous-trai-

Les piliers du nouveau COSO 2013 restent les mmes que ceux du COSO 1992.Cependant, les volutions des vingt dernires annes ont ncessit des prises encompte dexigences nouvelles la hauteur des nouveaux enjeux. Le COSO 2013 ras-semble des perspectives plus larges que celles des organismes fondateurs qui sontdes organisations comptables et financires ; sa vocation est bien dtendre sonapplication au-del de ce qui est comptable et financier.

Le COSO 2013 : une mise jourdu rfrentiel dorigine pourmieux matriser les volutions

Serge Villepelet

Prsident, PwC France

23

Le nouveau COSO


tants / autres intervenants cls (parex. : leur adhsion au code deconduite, respect des contrles au-del du reporting financier).

8. Lexigence de ladaptabilit et lad-quation du dispositif par rapport lvolution de lentreprise (telles quede nouveaux processus, rles, struc-tures, SI, CSP, primtre dactivit,etc.).

L. V. :Depuis toujours, PwC est directementassoci llaboration de ce rfrentiel. Quelest plus prcisment son rle ?

S. V. : En effet, le COSO nous avait sol-licit pour crire le rfrentiel sur lecontrle interne de 1992 ainsi que lEn-terprise Risk Management en 2004 et bonnombre dautres lments de thoughtleadership que nous avons laborensemble. Nous avons une relation detravail continue fonde sur un changeen continu par rapport aux volutionspour pouvoir ensemble livrer au marchdes rflexions pertinentes et des rf-rentiels qui apportent de la valeur auxentreprises. Cest ainsi que nous tra-vaillons depuis toujours troitementavec le COSO.

L. V. : Le Committee of SponsoringOrganisations est compos essentiellementdorganisations comptables et financiresalors que le cadre de rfrence de lAMF at labor avec un groupe de Place olAFEP / MEDEF ont jou un rle nonngligeable. Nest-ce pas un handicap pourle COSO qui a voulu laborer un rfrentielde contrle interne oprationnel ?

S. V. : Le COSO rassemble des perspec-tives bien plus larges que celles de cesorganismes fondateurs qui sont, certes,des organisations comptables et finan-cires (pour rappel : American Institute ofCertified Public Accountants, AmericanAccounting Association, Financial Execu-tives International, Institute of InternalAuditors, et Institute of ManagementAccountants).

Au cours de ce projet dlaboration durfrentiel COSO 2013, le COSO aobtenu lapport de bien dautres :1) au dbut du projet, une enqute a

t lance depuis le site du COSO,annonc par divers communiqusde presse, et collectant plus de 700rponses travers le monde ; au-del des 35 % de voies issues dumonde comptable et financier, lesrponses provenaient largement desfonctions de la gestion de risques, dela conformit, des oprations, de lIT,de la RSE, et dautres ;

2) une consultation publique sur lerfrentiel recueillant plus de 200rponses ;

3) puis, une dernire consultationpublique portant sur lensemble despublications COSO 2013 recueillantencore une bonne cinquantaine derponses, avec un dcoupage dmo-graphique similaire.

Le COSO 2013 a donc bien pour voca-tion dtendre son application au-delde ce qui est comptable et financier.

L. V. : LAMF a labor deux cadres de rf-rence de contrle interne, lun pour les soci-ts dune certaine importance, lautre pourles valeurs moyennes et petites. A qui plusparticulirement le COSO 1 nouveausadresse-t-il ?

S. V. : Le COSO 1 nouveau intgre cesdeux visions. Il met jour non seule-ment le rfrentiel de 1992 mais aussicelui de 2006 Guidance for SmallerPublic Companies moins connu enFrance car il navait pas t traduit enlangue franaise. Le COSO 2013 vientdonc remplacer ces deux documents caril sappuie en premier lieu sur des prin-cipes applicables toute taille dorgani-sation, et en second lieu met en avantdes spcificits particulires aux pluspetites structures travers le rfrentiel,ses approches et ses exemples.

L. V. : Le COSO 1 nouveau nest pas un

COSO 3. Il ne remplace pas non plus leCOSO 2 qui est consacr au managementdes risques de lentreprise. Est-il envisagtoutefois un toilettage du COSO 2 ?

S. V. : Une rvision du rfrentiel portantsur lERM nest pas envisage ce stade.A cet effet, deux sujets ont t longue-ment dbattus :1) Lintgration CI et ERM, mais le

march semblait globalement ne pasvouloir un amalgame des deuxconcepts. Le contrle interne estdfini comme tant une sous-partiede lERM (labor en annexe G durfrentiel COSO 2013).

2) La mise jour en parallle du rf-rentiel ERM, mais son contenu etson articulation avec le contrleinterne, en particulier le COSO2013, sont vus comme tant toujoursvalables aujourdhui. Le COSO 2013intgre toutefois les lments durfrentiel ERM de 2004 sur lessujets pertinents au contrle interne.

Le COSO continue donc apporter desrflexions sur ces sujets, mais davantageen matire dclairages sur la pratiqueque sur les fondements des rfrentielsde 2004 et 2013 ce stade.

24

DOSSIER


Auditeurs internes vscommissaires aux comptes

L. V. : La coordination des travaux entreauditeurs internes et commissaires auxcomptes prvue par les normes de lIIAsavre indispensable. Comment concrte-ment cette coordination sopre-t-elle sur leterrain ?

S. V. : Cette coordination passe par unegrande transparence mutuelle de cesdeux instances sur la nature et le pri-mtre de leurs travaux. Il est fondamen-tal que les commissaires aux comptesdisposent dune vision prcise des tra-vaux raliss par laudit interne quiconcernent la revue du contrle internecomptable et financier.

L. V. : Comment, selon vous, cette coordina-tion devrait-elle sorganiser ?

S. V. : Jidentifie immdiatement les l-ments suivants : changes sur le plandaudit interne et externe, organisationde rendez-vous rguliers de partagedinformation, transmission des rap-ports daudit qui concernent le contrleinterne.

Au del de ces lments, il est videntque le comit daudit qui est en troiterelation avec les commissaires auxcomptes et les auditeurs internes a unrle majeur jouer pour encourager etfaciliter les changes. Ces comits dau-dit seront dailleurs les premiers bnfi-ciaires dune communication accrueentre ces deux instances de contrle carils en retireront une vision beaucoupplus intgre de la gestion des risquesde lentreprise.

Enfin, les oprationnels eux aussi bn-ficieront dune meilleure coordinationentre les commissaires aux comptes etlaudit interne en vitant que des mis-sions similaires soient ralises par lesdeux organes de contrle.

L. V. : Quelles sont les conditions qui pour-raient permettre aux CAC de sappuyer surles travaux des auditeurs internes ?

S. V. : Tout dabord il faut bien videm-ment que les sujets daudit aient portsur des thmatiques qui apporteront duconfort au CAC pour sa mission. Eneffet, souvent une part importante destravaux des auditeurs internes porte surdes processus trs oprationnels, delamlioration de processus, des duesdiligences

Il faut ensuite que lauditinterne dmontre uneforte indpendancevis--vis du mana-gement et pourcela il faut sat-tacher com-prendre quellessont ses lignesrelles de repor-ting et dinfluence.

Enfin, il faut avoir unecertaine assurance quant laqualit des travaux produits par lauditinterne et pour cela une revue de leurorganisation, outils et livrables est unefaon simple de se constituer une opi-nion.

Sous-traitance de lauditinterne

L. V. : Avant les grands scandales compta-bles et financiers de la fin des annes 90 etdes premires annes 2000, lexternalisationde laudit interne tait en vogue aux Etats-Unis mais avait peu touch la France. Onparle actuellement davantage de co-sour-cing. Comment voit-on chez PwC la coop-ration avec les services daudit interne ?

S. V. : La cotraitance est quasimentdevenue une ncessit pour lauditinterne. En effet, les processus des entreprises sesont considrablement complexifis ces

dernires annes sous limpulsion denouvelles rglementations, le dploie-ment de nouveaux outils informatiqueset linternationalisation des implanta-tions gographiques.

Pour que laudit interne puisse livrer destravaux de qualit savoir une assu-rance raisonnable sur les processusaudits mais galement des lments debenchmark et des ides pour amliorer lefonctionnement des processus ildevient quasiment impossible de se pas-ser dexperts pour raliser les audits

internes. Force est de consta-ter quil est trs difficile

pour les dparte-ments dauditinterne de main-tenir des comp-tences spciali-ses et de trshaut niveau dans

tous les domaines(par ex. : valorisa-

tion, modlisation,technologie, etc.). Nan-

moins, la prsence des audi-teurs internes reste une ncessit fortecar ceux-ci sont garants de la mthodo-logie daudit, connaissent les enjeux delentreprise, les contingences politiqueset peuvent assurer la mise en perspec-tive et la transversalisation des conclu-sions.

Alors oui, il faut maintenant penser lacotraitance tout en disposant dundpartement daudit interne senior etsponsoris par la direction gnrale !

Pour les socits de tailles infrieures leproblme est diffrent : la sous-traitancereste un modle bien adapt car il per-met lentreprise de disposer daudi-teurs internes professionnels avec desstructures dquipe adaptes chaquemission, incluant les bons experts.

Il devient quasimentimpossible de se passer

dexperts pour raliser lesaudits internes

Voici une phrase bien connue quelon proclame lors de lavne-ment dun nouveau monarque.Cest exactement ce qui nous arrive dansle royaume du contrle et de lauditinternes car, depuis quelque temps,nous avons appris que notre Grand Roi,le COSO 92, se portait mal et allait toutdoucement se retirer, pour mourir le 15dcembre 2014. Nous allons donc per-dre notre rfrence, notre roi qui rgnaitdepuis plus de 20 ans. Et pourtant, laplupart de ses sujets ne semblent pas sitristes

Il est vrai quil a fait son temps, ce rf-rentiel du contrle interne. Envisag ds1985 par The Committee of SponsoringOrganizations of the Treadway Commission(COSO) , il ne fut publi quen 1992. Acette poque, il ne fut utilis, en France,que par un certain nombre de grandsgroupes prsents linternational. Ilgagna rellement ses lettres de noblesseavec larrive du Sarbanes-Oxley Act etde la Loi de Scurit Financire, dans lesannes 2000. Cest alors devenu le rf-rentiel incontournable, que de nom-breuses entreprises ont souhait suivreet mettre en avant dans leur documentde rfrence.On a bien essay de lui redonner unpetit coup de jeune partir de 2006, avecla publication de deux documents, maisaujourdhui, il est sous respiration arti-ficielle.

Le Coso 1992 est mort, vive leCoso 2013

Comme les choses sont toujours bienfaites dans le beau royaume du contrle

et de laudit internes, le conseil duCOSO a dj identifi et mme prsentson successeur : le fabuleux COSO 2013.Il est tout jeune et a beaucoup debonnes ides. Il est n le 14 mai 2013.

Pour tous ceux qui ont mis en place leCOSO version 1992 dans leur entre-prise, il y a eu de vrais changements. Cerfrentiel a permis de franchir unetape supplmentaire et renforcer lesdispositifs existants. Il nous a donn uncadre et surtout, il nous a confort surles directions prendre en matire decontrle interne : en mettant des mots derrire des

contrles que nous avions dj iden-tifis, le COSO a apport une struc-ture nos matrices de risques et decontrles existants ;

en identifiant des activits decontrles que nous souhaitionsdployer dans nos entreprises maispour lesquelles nous avions besoindun soutien et dune certaine crdi-bilit auprs des oprationnels et desdirigeants. Le fait de montrer leur

25

Le nouveau COSO


Le COSO 1992 a fait son temps. Il sera remplac par le COSO 2013 la fin de lanne2014. Reconnaissons tout de mme que le COSO 1992 a permis de franchir unetape supplmentaire et de renforcer les dispositifs existants ; il nous a confortssur les directions prendre en matire de contrle interne ; il a permis de sattaqueraux vrais sujets. Lobjectif du COSO 2013 est de rduire les risques, accrotre la confor-mit aux lois, politiques et procdures et renforcer les systmes de contrle interne.Cest un beau programme.

Laurent Arnaudo

Senior vice-prsident audit internegroupe, Sodexo

Le COSO 1992 est mort,vive le nouveau COSO

26

DOSSIER


existence dans le COSO nous per-mettait de prouver quil sagissait desmeilleures pratiques.

Avant larrive du COSO, de nom-breuses personnes, dans nos socits,avaient une vision assez limite ducontrle interne : il sagissait des rappro-chements bancaires, des inventairesphysiques, de la sparation des tches,des procdures, etc., et plus gnrale-ment de tout ce qui tait formel et relatifau domaine de la comptabilit et de lafinance. Il sagissait principalement desactivits de contrles. Les auditeurs sebattaient pour dmontrer que lecontrle interne tait bien plus large quecela. Tous les lments informels, endehors du champ de la comptabilit,taient malheureusement bien souventoublis. Ces lments sont, bienentendu, les plus difficiles apprhen-der et dployer. Expliquer, en runionde clture, que le fait de travailler laporte ouverte cre un bon environne-ment de contrle nest pas toujours vi-dent. Ceux qui ont essay sont sansdoute passs pour des extra-terrestres,jusque dans les annes 2000. Et si on lesvoyait, le vendredi soir dans les couloirs,en train de tester ces contrles, ils pas-saient pour des fous.

Le COSO 1992, nous a vraiment permisde mettre sur la table les vrais sujets quenous avions du mal aborder dans lepass : le mode de rmunration des diri-

geants et la pression sur les rsultats, le rle du conseil dadministration, lorganisation des structures de la

socit,

les mesures disciplinaires en cas denon-respect des politiques et proc-dures du groupe,

le systme de remont des incidents, le processus didentification et dva-

luation des risques, etc.

Cest surtout pour ceux qui devaient semettre en conformit avec la Loi Sar-banes-Oxley, dans les annes 2006, quele rfrentiel du COSO a t dunegrande aide. Lexercice de conformit at ralis en large partie grce la miseen place de ce document. Dans lesannes 2006, nous avions lIFACImont un groupe de travail SOX. Lob-jectif, pour plusieurs entreprises fran-aises concernes par la loi amricaine,tait de discuter des pratiques et diden-tifier des positions communes. LeCOSO tait un sujet trs souvent aborddans ce groupe de travail car de nom-breuses entreprises ne comprenaientpas comment le mettre en uvreconcrtement.

Nos discussions portaient principale-ment sur lenvironnement de contrle etla gestion des risques, qui taient lescomposantes les plus complexes apprhender. Certains points taientfranchement difficiles imposer nossocits qui se demandaient pourquoinous allions dans ces activits, si loi-gnes de notre primtre de travail.Nous tions, en fait, dans le cur denotre mtier.

Lautre tche souvent prise en chargepar ce groupe de travail consistait identifier, pour chaque composante du

contrle interne, des activits decontrles ralistes et pragmatiques quenous pouvions tester, en tant quaudi-teurs internes. Comment vrifier que la structure de

son organisation est efficace cest--dire quelle permet de porter la stra-tgie dfinie par son entreprise ?

Comment tester que le style de mana-gement de sa socit est adquat etadapt ?

Autant de bonnes questions qui mri-taient de la rflexion et du partage dex-priences. Encore un autre exemple :comment mettre en place un dispositifde remontes des incidents ? Ce ntaitpas un dispositif banal en France jusquedans les annes 2010. Lide tait certestrs intressante et riche dinformationsmais il fallait comprendre jusquo nouspouvions aller. La CNIL nous a beau-coup aids sur ce sujet en encadrant lamise en place du dispositif dalerte pro-fessionnel. Cela demeure toujours unvritable sujet.

Exemple de tests pour les lments duCOSO : le conseil et la direction gnralemontrent lexemple en ce qui concerne lim-portance du contrle interne et notammentles normes de conduites attendues. Il existe un code dthique. Il existe une communication faite par ladirection gnrale sur lthique au coursde ces 12 derniers mois. Il existe des mes-sages de la DG sur lintranet, des bro-chures, etc., destins lensemble desemploys.

La direction explique dans un documentcommuniqu au personnel ce qui est per-mis et ce qui ne lest pas (en matire dedpenses avec des clients par exemple).

Il existe des programmes de formationsur le code dthique (e-learning).Toutes les populations dites sensibles (commerciaux, acheteurs) ont suivi ceprogramme de sensibilisation.

Prendre un cas de non-respect du code /dcart de bonne conduite au cours de ces12 derniers mois et examiner les sanc-

27

Le nouveau COSO


tions et mesures prises par la direction.Ces sanctions sont-elles cohrentes ethomognes dun cas lautre ?

Les incidents potentiels et les carts debonne conduite donnent lieu rapidement des investigations, faites par des pro-fessionnels indpendants et objectifs.

Le conseil dadministration demande suivre les incidents les plus significatifset les actions prises.

Larrive du nouveau COSO 2013 nestpas passe inaperue. Mais beaucoupdentre nous ne voient pas de rvolu-tion. Ce nouveau rfrentiel nest fina-lement que le digne fils de son pre. Ilsuit le mme programme et son contenuna pas ou peu chang. Sa mise en placesera toujours aussi difficile surtout pour lespetites structures disent certains. Toutcela restera encore trs thorique pour nosentreprises disent dautres. Ou encore, Il ny a rien de nouveau, mais il est vraique les points identifis tomberont mainte-nant dans notre radar . Il existe doncbeaucoup de sceptiques.

Le nouveau monarque a desides rvolutionnaires !

Je ne suis pas daccord. La rvolution esten marche car le COSO 2013 prsentede nombreux aspects novateurs.

Cest justement ce qui a pouss sanaissance : Les sujets du Roi, eux-mmes,

demandaient un rfrentiel plus com-prhensible et plus utilisable.

Lensemble des parties prenantes quifinanait le Royaume, rclamaientdepuis longtemps plus de transpa-rence et un systme permettant unemeilleure gouvernance, gestion desrisques, prvention et dtection desfraudes.

Et puis notre Royaume a beaucoupchang en 20 ans. Nous avons desnouveaux risques, notamment dans ledomaine IS&T. Les systmes dinfor-mation sont maintenant intgrs nos dispositifs. Notre environnementnest plus du tout le mme. Il estdevenu global et beaucoup plus com-plexe.

Il fallait ragir. Le COSO 2013 aannonc son objectif : il veut rduire lesrisques, accrotre la conformit aux lois,politiques et procdures et renforcer lessystmes de contrle interne. Cest unbeau programme.

Bien entendu, la dfinition du contrleinterne na pas chang. Les trois objec-tifs et les cinq composantes sont tou-jours les mmes. Ils doivent permettredvaluer lefficacit du dispositif decontrle interne. Le changement rsideprincipalement dans les 17 nouveauxprincipes attachs aux composantes etses points dattention, dans le renforce-ment du reporting extra financier et enfindans la prise en compte des petitesentreprises.

Trois domaines sont clarifis : La responsabilit de lentreprise

quand elle dcide dexternaliser desservices, notamment (mais pas seule-ment) dans le domaine informatique.En matire de contrle interne, il estmaintenant clair que la responsabilitreste dans nos entreprises cette res-ponsabilit ne se transfre pas.

La fraude revient sur le devant de lascne. Ce ne sont plus des activits decontrles dilus un peu partout quenous devons valuer.

Les systmes dinformation sont par-tout dans nos entreprises et doiventtre encore plus intgrs dans lanature de nos contrles.

Laurent Arnaudo a dbut sa car-rire en 1990 chez Ernst & YoungParis puis San Francisco, aprsavoir obtenu une matrise de ges-tion lUniversit de Paris-Dauphine. En 1997, il rejointlquipe daudit interne dAlcatel oil y occupera direntes fonctionsdont celle de directeur daudit pourla rgion dEurope du Sud, Afriqueet Proche-Orient. En 2004, ildevient directeur des projets Sarbanes-Oxley et LSF pour Alcatel,couvrant les 34 entits majeures dugroupe. Aprs la fusion Alcatel-Lucent en 2006, il est nomm direc-teur de laudit interne avec unequipe de 80 personnes, bases Paris, New Providence (New Jersey -USA) et Shanghai. Il est lui-mmebas aux Etats-Unis.

En 2009, il rejoint le groupe Sodexoen tant que senior vice-prsident audit interne groupe o il dirigeune quipe de 25 auditeurs, bass Londres, Washington et Paris.

Laurent Arnaudo est CIA, CCSA etCRMA. Il est membre du conseildadministration et vice-prsidentde lIFACI. Il est galement trs actifau sein de lIIA (The Institute ofInternal Auditors) aprs avoir tmembre de son conseil dadminis-tration.

28

DOSSIER


Concrtement, dans les entreprises ren-contres qui rflchissent la mise enplace du COSO 2013, les actions sui-vantes sont en route : Renforcer lautomatisation des

contrles dans les systmes grce auxoutils ACL, IDEA, Magnifier et biendautres. Cela nous permet dallouernos contrleurs / auditeurs destches plus forte valeur ajoute, touten amliorant le primtre de couver-ture puisque lensemble des transac-tions sont examines en continu.

Les auditeurs et contrleurs internesne doivent pas oublier lescontrles qui sont chezles prestataires. Lesauditeurs doiventaller faire desaudits chez euxaprs avoirvrifi lexis-tence declauses dauditdans les contrats,ou en sappuyantsur des formes dva-luations externes, faites pardes entreprises indpendantes etobjectives.

Les contrles et les audits de confor-mit reviennent en force dans nosrfrentiels et dans nos plans daudit.Les entreprises ne peuvent plus sepasser de solides programmes anti-fraude (identification, communica-tion, prvention et dtection desfraudes). Les comits daudit doiventposer des questions sur leur existenceet leur efficacit.

Enfin, si ce nest pas dj fait, il fautpasser la vitesse suprieure et mettreen place un vritable modle de ges-tion des risques intgrs (ERM), avecune mthodologie et un langagecommun.

Il faut dornavant valuer de faonbeaucoup plus formelle chacun des 17principes cls allous aux 5 composantesdu COSO pour conclure au bon fonc-

tionnement de son dispositif de contrleinterne. Cest une vritable rvolution,car dans le COSO de 1992, il ny avaitpas ces principes si explicitement dfinispar des points dattention. Le jugementde chacun joue toujours un grand rle,mais les directives sont beaucoup plusclaires. On sait ce quil faut mettre enplace pour tre en conformit avec leCOSO 2013.

Pour ceux qui sont soumis aux rgles deSarbanes-Oxley, les changements neseront pas majeurs : lattestation sur lef-

ficacit du dispositif decontrle interne relatif

aux informationscomptables et

financires sap-puiera sur leCOSO 2013.Les 17 nou-veaux principespermettront de

clarifier commentappliquer le rf-

rentiel et aideront valuer lefficacit des

contrles internes dans leurconception et leur fonctionnement op-rationnel. Les seules diffrences rside-ront dans la classification des faiblessesde contrle interne, dans la documenta-tion du processus didentification desrisques, et enfin dans la ncessit derecalculer le seuil de matrialit aumoment de la clture : Le COSO 2013 parle de dficiences

majeures et de dficience de contrleinterne alors que le PCAOB qualifieles faiblesses de contrles pour Sar-banes-Oxley comme soit une erreurmatrielle ( material deficiency ) soitune dficience significative ( signifi-cant deficiency ). Le PCAOB devra sepositionner, dans les mois venir, surun alignement (ou pas) avec la dfini-tion du COSO. Mais finalement, celane change pas grand chose pour ungrand nombre dentreprises. Eninterne, nous vitions dj dutiliser le

vocabulaire du PCAOB qui restait lejargon des auditeurs externes. Nousprfrons parler de faiblesses decontrle interne.

Il faut dornavant aussi expliquer, plusen dtail, comment la slection desrisques a t ralise (et donc la slec-tion des comptes, processus, et entitssignificatifs pour la clture de lexer-cice). On pourra, par exemple,dmontrer lutilisation dateliers avecdes oprationnels et fonctionnels, etc.

Il faut aussi sassurer que la qualifica-tion des faiblesses et la slection descontrles (dans les comptes, les pro-cessus, les entits) en fonction duseuil de matrialit calcul en dbutdexercice reste toujours valable en findanne, aprs la clture des rsultats.

Dans le court terme, les actions menersont les suivantes : il faut lire le rfren-tiel COSO 2013 ! Les membres descomits daudit doivent demander leurcontrleur ou auditeur internes desexplications sur ce nouveau COSO. Ilsdoivent comprendre quelles seront lesmodifications apporter dans lentre-prise. Sils ne le demandent pas, il fautleur en parler et les duquer sur les nou-veaux lments du COSO 2013. Enfin,pour les socits utilisant dj le COSOde 1992, il faut mettre en place un plandactions permettant de rpondre auxnouveauts du COSO de 2013 avant le15 dcembre 2014. Cela se fera sansdouleur et permettra sans doute de ras-surer sur les forces. Pour les entreprisesqui nont pas mis en place le COSO1992, leffort sera plus grand mais lesdirectives donnes sont maintenantbeaucoup plus claires et permettent demieux comprendre comment dployerle rfrentiel. Cest un nouveau Roi quia un bel avenir devant lui, ce COSO.Longue vie au COSO 2013

Il faut mettre en placeun plan dactions permettantde rpondre aux nouveautsdu COSO de 2013 avant le

15 dcembre 2014

29

Le nouveau COSO


Le cadre de rfrence delAMF : un cadre souple etagile tourn vers la mise enuvre

La sortie du COSO 2013 est un vne-ment important pour nous responsables

daudit, de contrle interne et de mana-gement des risques. Cest loccasion dese remettre en question, dabord de sefamiliariser avec les volutions, puisdidentifier nos points forts, nos pointsfaibles et enfin de revoir ventuellementnos objectifs. Cest aussi loccasion de

sinterroger sur nos rfrentiels : doit-onles faire voluer voire en changer ?

Le contrle interne SNCF est animpar la direction de laudit et des risquesen liaison avec la direction financiregroupe. La direction de laudit et desrisques dfinit les mthodes et outils,fixe les objectifs et assure le reporting etlvaluation densemble. Elle coordonnellaboration des rfrentiels de contrleinterne et pilote les dmarches dauto-valuation. De leur ct, les diffrentesbranches dactivit (Business units)conoivent leur organisation du contrleinterne sur leur primtre, dfinissentavec la direction de laudit et des risquesleurs objectifs, organisent leur valua-tion et assurent leur rendu compte.

Le choix du cadre de rfrencede lAMF : un choix naturel

Fin 2009, SNCF, la direction de lauditet des risques et la direction financiregroupe ont dcid de mettre en placeune nouvelle organisation du contrleinterne afin de le rendre plus efficacetout en accompagnant les volutionsmanagriales de lentreprise qui renfor-ait son fonctionnement par branchedactivits : SNCF Voyages, SNCF Proxi-mits, SNCF GEODIS, Gares etConnexions et SNCF Infra. Notreconstat tait que beaucoup dacteurs

Raymond Marfaing

Directeur adjoint en charge des risqueset du contrle interne, SNCF

Anne Bosche-Lenoir

Directrice de laudit et des risques, SNCF

Le COSO 2013 et le cadrede lAMF ne sexcluentni ne sopposent, ils sontcomplmentaires

La sortie du COSO 2013 provoque une remise en question et des choix quant luti-lisation de tel ou tel rfrentiel. Le cadre de rfrence de lAMF, retenu par SNCF, pr-sente, entre autres avantages, celui dtre cohrent avec le COSO, dtre trs concret,adapt la culture SNCF, et tourn vers la mise en uvre oprationnelle. Nan-moins, le COSO 2013 est une source denrichissement dont lAMF doit tenir compte.

30

DOSSIER


travaillaient sur le contrle interne maisque leurs travaux taient peu connectsentre eux et ntaient pas tirs parune politique dentreprise. Une desconsquences tait que le contrleinterne ntait pas vraiment peru par lemanagement comme un moyen de ma-triser ses oprations ni comme un outillui permettant de mieux assumer sesresponsabilits.

Nous avons alors dfini des objectifssimples : russir en 3 ans mettre enplace une organisation claire au servicedu management tout en limitant les fraisde structure. Pour cela, nous avonsdabord prcis le rle des diffrentsacteurs depuis le comit dauditjusquaux oprationnels tout en prenanten compte les chelons fonctionnels. Cepremier travail nous a permis de mon-trer que le contrle interne ne peut seconcevoir que dans une chane quiconcerne toute lentreprise et quiimplique tous les acteurs.

Aprs ce premier travail, trs vite sestpose la question du rfrentiel suivre,quel cadre de travail commun devions-nous prendre. Assez naturellement nousnous sommes tourns vers le cadre derfrence de lAMF. Nous avions pra-lablement adopt ce cadre pour le rap-port du prsident sur le contrle interneet tions dj, la direction de laudit etdes risques de SNCF, familiariss avecce cadre. De plus, ce cadre lpoquevoluait dans la suite de la transpositiondes 4mes et 8mes directives europennes.Ce cadre prsentait nos yeux beau-coup davantages : trs adapt notre culture, un envi-

ronnement franais ; trs concret, facilement communica-

ble ; tourn vers la mise en uvre opra-

tionnelle avec en particulier le ques-tionnement et le guide dapplicationquil propose.

Il faut galement ajouter quil offraitlavantage avec sa rvision de traiter en

un seul document du contrle interne etde la gestion des risques en intgrant lestravaux les plus rcents en la matire. Lecadre de rfrence sappuie en effet surles volutions constates lpoquedans les principaux rfrentiels interna-tionaux et notamment le COSO II et lanorme ISO 31 000. Pour une directionqui runit audit, contrle interne etrisques, ctait trs apprciable.

Nous ne nous sommes pas trop interro-gs sur la possibilit de prendre commerfrence le COSO dans la mesure o,comme nous venons de le dire, le cadrede rfrence de lAMF est cohrent avecle COSO et que nous trouvions dans lecadre AMF un guide rpondant nosattentes. Nous avons alors dfini unobjectif clair : avoir mis sous contrle chance 2013 notre environnement decontrle et les 14 processus identifispar lAMF dans son guide dapplicationsur le contrle interne de linformationcomptable et financire.

La direction de laudit et des risques dans lorganisation de la SNCF

Management de branches

Conseil dadministration

Direction de lauditet des risques

Direction de lauditet des risques

Scurit des SIdu groupe Contrle interne

Rseau de riskmanagers

Rseau deRSSI

Rseau decontrleurs internes

Comit daudit, descomptes et des risques

Audits Managementdes risques

Lgende :Rattachement fonctionnelRattachement hirarchique

Le nouveau COSO


Le fait davoir utilis le guide dapplica-tion a galement constitu un levierinterne. Cela nous a permis de mettre enmouvement les propritaires de pro-cessus. Nous avons alors commenc parles processus prsentant le plus denjeuxpour lentreprise, que ce soit en termesdeuros ou en termes de risques, savoirla paie, les achats et les immobilisations.Nous avions dans le cadre un guidefacile daccs, ce qui est important pourapprhender ces processus qui sontcomplexes pour une entreprise de lataille de SNCF.

Aprs plus de 2 ans de travail, nousavons atteint ainsi les objectifs fixs etrespectons notre tableau de marche.Mme sil reste bien sr beaucoup faire, nous estimons que nous avonsatteint un bon niveau de maturit dansplusieurs domaines : lanalyse et la des-cription des processus, lidentificationdes points de contrle cls, la rdactionde guides de contrle interne, la forma-tion des acteurs, le dploiement de cam-pagnes dauto-valuation auprs denombreux acteurs en entits mais aussien centres de services partags. Nouspensons que le fait davoir choisi lecadre AMF nous a aids ; les avantagesque nous pressentions se sont confirmsdans les faits.

La grande similitude COSO /cadre de lAMF a tdterminante

Mme si nous navons pas retenu leCOSO, la similitude COSO / cadre derfrence AMF a t pour nous un l-ment important. Dabord, nous avionsune garantie quil ny aurait pas decontradiction. Nous utilisons le COSOdans nos travaux internes la directionde laudit et des risques de SNCF. Il resteune rfrence essentielle pour benchmar-ker nos travaux daudit et former nosauditeurs et/ou nos spcialistes decontrle interne. Ne pas avoir cettegarantie de cohrence aurait risqu de

nous mettre en forte difficult voire delever des incomprhensions avec desnon spcialistes.

Notamment, il est important et rassu-rant de constater que les 5 composantesdu contrle interne sont les mmes quelques carts minimes prs. Lalogique est prserve : lorganisation / ladiffusion dinformation / le dispositif degestion des risques / les activits decontrle / la surveillance. Pour nous celaest essentiel. Il sagit principalementdcarts de terminologie. Dailleurs,lAMF disait en 2007 propos duCOSO : le groupe de place sest inspirdes cinq composantes du COSO mme silon ne retrouve pas lidentique, dans ledocument de place, la terminologie utilisepar le rfrentiel amricain .

Certes le COSO est un bon guide etdonne beaucoup dexemples mais lecadre de rfrence, comme nous lavonsvu plus haut, avec son questionnementet son guide dapplication, est davantageorient vers la mise en uvre ; le travaildadaptation / transcription au contextede lentreprise savre relativement sim-ple et ais.

Le new COSO :un enrichissement pour nostravaux

Nous nopposons pas le COSO et lecadre de rfrence de lAMF. Nous pr-frons y voir davantage une compl-mentarit. Pour nous, le COSO 2013 vanous aider avoir un nouveau regardsur le contrle interne et identifier despistes damlioration. Cest clairementun enrichissement pour tous nos tra-vaux.

Nous avons aussi besoin de continuitdans les objectifs affichs. Nous avonslargement communiqu sur le fait quilfallait que lenvironnement de contrleet les 14 processus du guide dapplica-tion sur le contrle interne de linforma-

Anne Bosche-Lenoir est directricede laudit et des risques du groupeSNCF depuis avril 2013. Diplmede lENA et de HEC, elle a occupplusieurs postes la direction dubudget au ministre de lEconomieet des Finances dont celui de sousdirectrice en charge des AairesEuropennes. Elle a galement tSenior Banker la Banque Euro-penne pour la Reconstruction et leDveloppement (BERD), responsa-ble du montage et du financementde projets dans les secteurs publicset privs en lien avec les banqueslocales. Elle a ensuite t DGAFinances, Audit et Contrle de ges-tion au Conseil Rgional dIle-de-France dans une priode o le bud-get de la Rgion a cr de 70 % et leseectifs ont t multiplis par six.

Raymond Marfaing, diplm delEcole Centrale de Paris, a exercdirents postes de responsabilit SNCF dans les directions cen-trales, aux achats, lorganisation,aux ressources humaines et dans ladirection rgionale de Paris-Rive-Gauche o il tait directeur dl-gu gestion finances. Il a rejoint ladirection de laudit et des risques en2001 comme chef de mission puiscomme directeur adjoint en chargedes risques et du contrle interne.

31

32

DOSSIER


tion comptable et financire soient souscontrle. Nous considrons que toutevolution de la cible serait un facteur defragilisation. Beaucoup dacteurs,notamment les oprationnels, commen-cent bien comprendre ce quest lecontrle interne et ce quon attenddeux. Ils ne peroivent plus ce sujetcomme un sujet de spcialiste danslequel ils auront du mal entrer. Lacontinuit est essentielle pour nous.

En revanche, le COSO 2013, commenous venons de le dire est une sourcedenrichissement. On le voit bien lalecture des thmes suivants : la prise en compte des risques extra-

financiers ; la mise en exergue du risque sous-

traitance ;

lidentification de 17 principes sur lesattentes en matire de contrleinterne ;

la prsentation de 81 points datten-tion avec pour chaque point des ques-tions qui traduisent les grandes carac-tristiques des principes.

Pour nous cela est une aide prcieusemais surtout dans nos missions de res-ponsable de la politique de contrleinterne, en tant quentit qui dfinit lesprincipes. En 2010, nous avons claire-ment dfini une priorit : treconforme AMF sur les 14 processus etsur lenvironnement de contrle. Dansun premier temps, cela doit constituer lenoyau dur de notre approche. Dans undeuxime temps, nous travaillerons surles thmes autres que financiers.

Ces raisons font que dans limmdiat, ilest difficilement imaginable de revenirsur le choix du cadre de rfrence delAMF.

LAMF doit prendre en comptele COSO 2013

Le COSO 2013 introduit des change-ments importants comme sur les valeursthiques, limportance de lintgrit surlesquels nous ne pouvons quadhrer.Ce sont dailleurs des axes forts SNCF.Le COSO 2013 pointe galement dessujets de fond comme la RSE, larticula-tion des 3 lignes de dfenses, larticula-tion du tone at the top avec les com-portements, la prise en compte dessous-traitants

Ces volutions ne sont pas incompati-bles avec le cadre de rfrence de lAMF.En effet, la lecture approfondie ducadre AMF, on voit que la partie II surles principes gnraux de gestion desrisques et de contrle interne portentsur un primtre qui ne se limite pas audomaine comptable et financier. Ce sontles parties relatives au questionnaire etau guide dapplication qui ciblent sur cesdomaines.

Compte tenu des apports du COSO2013, il est important que le cadre derfrence de lAMF en tienne comptetout en gardant son ct souple, agile etfacile daccs qui constitue pour nousutilisateurs un atout et une attente.

SNCF

- Troism

ille

Le groupe SNCF fin 2012 : 5 branches / 33,8 milliards de chire daaires

SNCF INFRA

Gestion, exploitation,maintenance du rseaupour RFF et ingnieriedinfrastructureActivit en France + ingnierieen Europe, Asie, Moyen-Orient,Afrique, Amriques

5,5 Mds (15%)

SNCF PROXIMITS

Services de transportpublic urbain, priurbainet rgional pour lesvoyageurs du quotidienTER, Transilien et Intercits enFrance, Trains dEquilibre du Ter-ritoire (TET) Keolis en France,Europe, USA, Canada et Austra-lie

12,8 Mds (35%)

SNCF VOYAGES

Transport ferroviaire devoyageurs grandevitesseEurope (France, Espagne,Royaume-Uni, Belgique, Pays-bas, Allemagne, Autriche, Suisseet Italie)

7,5 Mds (20%)

SNCF GEODIS

Oprateur global multi-modal de transport etlogistique de marchan-dises120 pays5 continents

9,5 Mds (26%)

GARES & CONNEXIONS

Gestion et dveloppe-ment des gares (ind-pendamment de lacti-vit de transporteur)3 000 gares franaises et acti-vit de lAREP au niveau inter-national

1 Md (4%)

controle interne coso

Documents