COSO

Le COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission.


Catégories :

Gouvernance d'entreprise

Recherche sur Google Images :


Source image : big4guy.com
Cette image est un résultat de recherche de Google Image. Elle est peut-être réduite par rapport à l'originale et/ou protégée par des droits d'auteur.

Page(s) en rapport avec ce sujet :

  • Le COSO est un référentiel de contrôle interne défini par le Committee... Le COSO 2 est basé sur une vision orientée risques de l'entreprise.... l'obligation de prendre en compte la totalité de l'organisation pour être... (source : viadeo)

Le COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission. Il est utilisé surtout dans le cadre de la mise en place des dispositions relevant des lois Loi Sarbanes-Oxley, SOX ou Loi de sécurité financière, LSF, pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel d'origine nommé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.

Historique

COSO est l'acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard se nomme aussi COSO.

En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, ... ), promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à l'épargne publique à évaluer leur contrôle interne ainsi qu'à en publier leurs conclusions dans les états demandés par la SEC. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favorisé l'adoption du COSO comme référentiel. En France, la loi LSF (Loi de sécurité financière) promulguée peu après en 2003, a aussi contribué à sa diffusion.

Le référentiel COSO (Internal Control – Integrated Framework)

Les principes

Le référentiel COSO est basé sur les principes de base suivants :

Le cadre : le cube COSO

Le cadre COSO repose sur les notions d'objectifs et de composants.

Les trois objectifs

Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à l'ensemble des niveaux de l'entreprise et conçu pour apporter une assurance raisonnable quant à la réalisation des trois objectifs suivants :

On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.

Les cinq composants

Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il s'agit de :

Le cube

Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprises (sociétés, entités, fonctions, ... ).
La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse différents, forme ce qui est nommé le cube COSO.

COSO 2 - Enterprise Risk Management Framework

Le COSO 2, "Enterprise Risk Management Framework" est actuellement le cadre de référence de la gestion des risques. Le présent chapitre vise à en réaliser une synthèse, surtout en se basant sur les concepts développés dans le COSO 1, "Internal Control – Integrated Framework".

Positionnement du COSO 2 comparé au COSO 1

Pour rappel, le COSO 1 propose un cadre de référence pour la gestion du contrôle interne. Le contrôle interne est un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, conçu pour apporter une assurance raisonnable quant à la réalisation des objectifs suivants :

Le COSO 2 propose un cadre de référence pour la gestion des risques de l'entreprise (Enterprise Risk Management Framework). La gestion des risques de l'entreprise est un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, exploité pour l'élaboration de la stratégie et transversal à l'entreprise, conçu pour

Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de l'entreprise.

Une nouvelle notion, le «Risk Appetite»

La notion de «Risk Appetite» est nouvelle dans le COSO 2. Le «Risk Appetite» est le niveau de prise de risque accepté par l'organisation dans l'objectif d'accroître sa valeur. Différentes stratégies exposeront l'organisation à différents risques. En conséquence, le «Risk Appetite» doit être pris en compte dans la définition de la stratégie de l'organisation pour s'assurer que les résultats de cette stratégie sont cohérents avec le «Risk Appetite» défini pour l'organisation.

Synthèse des modifications opérées sur le cube COSO

Le modèle du cube et son architecture à trois plans sont conservés :

  1. Niveaux de l'organisation
  2. Eléments de contrôle interne (qui devient Eléments de gestion des risques)
  3. Objectifs de l'organisation

En revanche, les différents plans sont modifiés ou enrichis.

1. Axe "Niveaux de l'organisation"

2. Axe "Objectifs"

3. Axe "Eléments de contrôle"

Enrichissement de l'axe «éléments de contrôle» qui devient «éléments de gestion des risques» et qui passe de cinq à huit catégories :

  1. L'élément environnement interne est complété de la notion de «Risk Appetite»,
  2. L'élément évaluation des risques est éclaté en quatre éléments dont les notions existaient déjà dans le COSO 1 mais sous forme moins détaillée : définition d'objectifs, Identification des événements, Evaluation des risques, Réponse aux risques,
  3. L'élément activités de contrôle reste inchangé,
  4. L'élément Information et Communication est complété des notions de temps et de granularité de l'information,
  5. L'élément pilotage reste inchangé.

Modifications opérées sur l'axe «Niveaux de l'organisation»

Le COSO 2 s'applique à la totalité de l'entreprise, autant au niveau le plus haut («entité») qu'au niveau opérationnel («business unit»). Mais pour appliquer le COSO 2 avec succès, il faut prendre en compte la totalité du périmètre des activités d'une organisation. Le COSO 2 considère les activités à différents niveaux de l'organisation :

Comparé au COSO 1, le COSO 2 apporte :

La notion de portefeuille de risques («Portfolio»)

Il est demandé à l'organisation d'avoir une vision de ses risques sous forme d'un portefeuille. Ce portefeuille doit caractériser les risques à chaque niveau de l'organisation. La compilation du portefeuille permet par conséquent d'avoir une vision globale des risques de l'organisation. Cette vision pourra alors être rapprochée du ”Risk Appetite” défini pour l'organisation.

De plus, la compilation du portefeuille de risques permet au management :

Modifications opérées sur l'axe «Objectifs de l'organisation»

Apport d'un nouvel objectif : «stratégique».

Un objectif stratégique est un objectif «high-level», qui soutient et concourt à la mission/vision de l'organisation. Les objectifs stratégiques reflètent les choix du management quant à la recherche de création de valeur par l'organisation pour ses actionnaires.

Les trois autres types d'objectifs : opérationnel, reporting, et réglementaire, sont dépendants des objectifs stratégiques. Ils sont nommés les «related» objectifs. A titre d'exemple, pour une organisation, il s'agira de définir :

A la différence du COSO 1, la mise en œuvre de COSO 2 nécessite par conséquent d'avoir une vision des objectifs stratégiques de l'entreprise en plus des «related» objectifs.

Elargissement de la notion de reporting

Comparé au COSO 1, cette notion couvre désormais :

Modifications opérées sur l'axe «Eléments»

L'axe «éléments de contrôles», qui devient «éléments de gestion des risques», a été un peu modifié et en particulier enrichi : L'élément environnement de contrôle est complété de la notion de «Risk Appetite»,

Suite à ces modifications, la lecture de ce nouveau plan met en évidence un bloc homogène qu'on peut qualifier «de bloc d'éléments de risques»* et qui contient les cinq éléments : définition d'objectifs, identification des évènements, évaluation des risques, réponse au risque et activités de contrôle.

* cette notion de bloc d'éléments de risques n'est pas présente dans le COSO 2. Elle est ici proposée au lecteur dans un but pédagogique.

Remarque :

La pyramide qui schématisait la partie «éléments de contrôle interne» disparaît dans le COSO 2.

Environnement interne

L'élément environnement interne reprend les notions de l'élément environnement de contrôle du COSO 1 : importance des individus (compétence, éthique), du style de management, de la délégation des responsabilités, ...

En revanche, ce nouvel élément s'enrichit d'une nouvelle notion : celle de Risk Appetite : c'est-à-dire la prise de risque acceptée par l'entreprise dans l'objectif d'accroître sa valeur. Ce «Risk Appetite» permet ensuite de déterminer le niveau de la tolérance de risque aux divers niveaux de l'organisation. Cette notion est indispensable et précède la définition de la stratégie de l'entreprise.

Le bloc «Eléments de risques»

Comparé à COSO 1, les différents composants de ce bloc sont plus détaillés et fixent un cadre plus précis :

Ce bloc comporte les cinq éléments suivants :

  1. Définition d'objectifs
  2. Identification des évènements
  3. Évaluation des risques
  4. Réponses aux risques
  5. Activités de contrôle

Le management doit dans un premier temps se fixer des objectifs (1) en dehors des événements susceptibles de venir les perturber. Ces objectifs sont de quatre types : stratégiques, opérationnels, liés au reporting ainsi qu'à l'correction avec la réglementation.

Puis le management détermine pour chacun de ses objectifs les événements (2) susceptibles d'avoir des impacts, que ceux-ci soient positifs ou négatifs. Les événements avec impacts négatifs représentent des risques, ceux avec des impacts positifs représentent des opportunités. L'identification des événements potentiels passe par l'utilisation de combinaison de méthodes : tendances, événements déclencheurs, corrélation avec les événements passés.

On passe ensuite à une évaluation des risques (3) pour les événements négatifs. Cette évaluation doit déterminer la probabilité que cet événement survienne et les impacts alors génèrés. Cette évaluation des risques doit présenter tout d'abord le risque inhérent, c'est-à-dire le risque qui existe si le management ne met en place aucune action corrective. Dans un second temps, quand l'élément de réponse au risque aura été traité, il sera envisageable de déterminer un risque résiduel. (Boucle unique de processus itératif). Il est suggéré d'utiliser un dispositif d'unité de mesure cohérent entre la mesure des «Définition d'objectifs» et l'évaluation des risques.

Le risque évalué, il est ensuite demandé de définir les différentes parades envisageables. C'est la réponse au risque (4). Plusieurs options sont quelquefois envisageables. Il est alors indispensable de les expliciter. Ces réponses peuvent être classées dans les quatre catégories suivantes : l'évitement, la réduction, la mutualisation ou l'acceptation du risque. Si la méthode de formalisation (option, classification) est incluse dans le périmètre de COSO 2, le choix de la solution n'en fait par contre pas partie. Une fois la réponse au risque définie, l'organisation peut s'assurer que le risque résiduel correspond à sa tolérance de risque (3).

Il est ensuite indispensable de mettre en place des activités de contrôle (5) qui se concrétisent sous la forme de normes («ce qui doit être fait») et se voient déclinée en procédures («comment le faire»).

Information et communication

Comparé à COSO 1, COSO 2 apporte les concepts suivants :

De plus, COSO 2 insiste sur le concept de présentation de l'information pour communiquer, i. e. l'information doit être communiquée sous une forme adaptée selon l'interlocuteur destinataire.

Pilotage

Pas d'ajout sur l'élément «Pilotage».

Rôles et responsabilités

Le COSO 2 souligne l'importance de la prise de responsabilité dans une entreprise et détaille ce qu'elle recouvre pour chacun des acteurs. On retrouve dans cette partie des ressemblances fortes avec la loi Sarbanes-Oxley.

Comparé au COSO 1, le COSO 2 apporte quelques modifications aux rôles des intervenants :

Les acteurs responsables («Responsible parties»)

Le «Board of directors»

Le Board of directors supervise avec attention la gestion des risques :

Le «Risk Officer»

Le Risk Officer est le facilitateur de la mise en œuvre du COSO 2. Il travaille avec les autres responsables pour les aider à mettre en place une gestion efficace des risques pour leur périmètre de responsabilité. Sans être exhaustif, ses attributions pourraient être :

Son intervention porte par conséquent sur la totalité des éléments de gestion des risques.

Les auditeurs internes

De la même manière que dans COSO 1, ceux-ci n'ont pas la responsabilité première de la mise en œuvre de COSO 2. Par contre, ils ont un rôle prépondérant dans l'évaluation du dispositif de gestion des risques.

Les auditeurs externes

Ceux-ci travaillent au niveau «entité». Ils donnent une opinion sur la constitution des états financiers.

et l'approche moderne pour se prononcer sur les etats, consiste en l'évaluation du dispositif de contrôle interne suivant les normes de travail de l'audit.

Voir aussi

Bibliographie

Liens externes

Recherche sur Amazone (livres) :



Principaux mots-clés de cette page : risques - coso - organisation - objectifs - contrôle - éléments - risk - interne - notions - informations - gestion - événements - entreprises - appetite - niveau - cadre - management - activités - lois - réponse - évaluation - vision - stratégique - œuvre - axes - niveaux - mise - place - framework - processus -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/COSO.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 04/11/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.
Accueil Recherche Aller au contenuDébut page
ContactContact ImprimerImprimer liens d'évitement et raccourcis clavierAccessibilité
Aller au menu