COSO

COSO

Le COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission. Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Loi Sarbanes-Oxley, SOX ou Loi de sécurité financière, LSF, pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.

Sommaire

Historique

COSO est lacronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.

En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, …), promulgue la loi SarbanesOxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à lépargne publique à évaluer leur contrôle interne et à en publier leurs conclusions dans les états demandés par la SEC. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favorisé l'adoption du COSO comme référentiel. En France, la loi LSF (Loi de sécurité financière) promulguée peu après en 2003, a également contribué à sa diffusion.

Le référentiel COSO (Internal ControlIntegrated Framework)

Les principes

Le référentiel COSO est basé sur les principes de base suivants :

  • Le contrôle interne est un processus : cest un moyen, pas une fin ; il ne se cantonne pas à un recueil de procédures mais nécessite limplication de tous à chaque niveau de lorganisation.
  • Le contrôle interne doit procurer lassurance raisonnable (mais non absolue) dun management et dune direction respectueuse des lois.
  • Le contrôle interne est adapté à la réalisation effective des objectifs.

Le cadre : le cube COSO

Le cadre COSO repose sur les notions d'objectifs et de composants.

Les trois objectifs

Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de lentreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

  • l'efficacité et l'efficience des opérations,
  • la fiabilité des informations financières,
  • la conformité aux lois et règlements.

On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.

Les cinq composants

Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il sagit de :

  • l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;
  • l'évaluation des risques à l'aune de leur importance et fréquence ;
  • les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les risques, le COSO imposant la matérialisation factuelle des contrôles ;
  • l'information et la communication, qu'il s'agit d'optimiser ;
  • la supervision, c'est-à-dire le « contrôle du contrôle » interne.

Le cube

Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprises (sociétés, entités, fonctions, …).
La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.

COSO 2 - Enterprise Risk Management Framework

Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de référence de la gestion des risques. Le présent chapitre vise à en réaliser une synthèse, notamment en se basant sur les concepts développés dans le COSO 1, "Internal ControlIntegrated Framework".

Positionnement du COSO 2 par rapport au COSO 1

Pour rappel, le COSO 1 propose un cadre de référence pour la gestion du contrôle interne. Le contrôle interne est un processus mis en œuvre par le conseil dadministration, les dirigeants et le personnel dune organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

  • L'efficacité et l'efficience des opérations,
  • La fiabilité des informations financières,
  • La conformité aux lois et aux réglementations en vigueur.

Le COSO 2 propose un cadre de référence pour la gestion des risques de lentreprise (Enterprise Risk Management Framework). La gestion des risques de lentreprise est un processus mis en œuvre par le conseil dadministration, les dirigeants et le personnel dune organisation, exploité pour lélaboration de la stratégie et transversal à lentreprise, destiné à

  • identifier les événements potentiels pouvant affecter lorganisation,
  • maîtriser les risques afin quils soient dans les limites du « Risk Appetite (appétence au risque)» (cf. ci-dessous) de lorganisation,
  • fournir une assurance raisonnable quant à la réalisation des objectifs de lorganisation.

Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de lentreprise.

Une nouvelle notion, le « Risk Appetite »

La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite » est le niveau de prise de risque accepté par lorganisation dans le but daccroître sa valeur. Différentes stratégies exposeront lorganisation à différents risques. En conséquence, le « Risk Appetite » doit être pris en compte dans la définition de la stratégie de lorganisation afin de sassurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite » défini pour lorganisation.

Synthèse des modifications opérées sur le cube COSO

Le modèle du cube et son architecture à trois plans sont conservés:

  1. Niveaux de lorganisation
  2. Éléments de contrôle interne (qui devient Éléments de gestion des risques)
  3. Objectifs de lorganisation

En revanche, les différents plans sont modifiés ou enrichis.

1. Axe "Niveaux de lorganisation"

  • Apport dun cadre plus strict de décomposition de la structure dune organisation
  • Mise en évidence de la nécessité de prendre en compte lensemble de lorganisation pour que le COSO 2 soit appliqué avec succès.

2. Axe "Objectifs"

  • Apport dun nouvel objectif: « stratégique ».
  • Élargissement de la notion de reporting : cette notion couvre désormais non seulement le reporting financier, mais aussi la remontée dinformations non-financières. De plus, cette notion couvre dorénavant à la fois la remontée dinformations externes mais aussi internes.

3. Axe "Éléments de contrôle"

Enrichissement de laxe « éléments de contrôle » qui devient « éléments de gestion des risques » et qui passe de cinq à huit éléments :

  1. Lélément environnement interne (anciennement environnement de contrôle) est complété de la notion d' « appétence au risque » (qui signifie acceptation et tolérance dun risque, dans le cadre dun niveau defficacité recherchée),
  2. Lélément évaluation des risques est éclaté en quatre éléments dont les notions existaient déjà dans le COSO-1 mais étaient moins détaillées: 2a Définition dobjectifs, 2b Identification des événements, 2c Évaluation des risques, 2d Réponse aux risques,
  3. Lélément activités de contrôle reste inchangé,
  4. Lélément Information et Communication est complété des notions de temps et de granularité de linformation,
  5. Lélément Supervision (ou pilotage) reste inchangé.

Modifications opérées sur l'axe « Niveaux de lorganisation »

Le COSO 2 sapplique à lensemble de lentreprise, aussi bien au niveau le plus haut (« entité ») quau niveau opérationnel (« business unit »). Mais pour appliquer le COSO 2 avec succès, il faut prendre en compte lensemble du périmètre des activités dune organisation. Le COSO 2 considère les activités à différents niveaux de lorganisation :

  • Au niveau de lorganisation (« entity ») pour des activités telles que la planification stratégique ou lallocation des ressources,
  • Au niveau des unités de métier (« business unit ») pour des activités telles que le marketing, et les ressources humaines,
  • Au niveau des processus métier (« business process ») pour des activités telles que la production, les achats,
  • Et aussi aux niveaux des projets ou initiatives qui nont pas encore de place définie dans la structure de lorganisation.

Par rapport au COSO 1, le COSO 2 apporte :

  • un cadre plus strict de décomposition de la structure dune organisation - par niveaux - que le COSO 1 qui ne retient pas de structure de décomposition spécifique pour une organisation. Cette décomposition est utile à la vision en portefeuille de risque (cf. ci-dessous) exposée par le COSO 2.
  • la nécessité de prendre en compte lensemble de lorganisation pour être appliqué avec succès.
La notion de portefeuille de risques (« Portfolio »)

Il est demandé à lorganisation davoir une vision de ses risques sous forme dun portefeuille. Ce portefeuille doit caractériser les risques à chaque niveau de lorganisation. La compilation du portefeuille permet donc davoir une vision globale des risques de lorganisation. Cette vision pourra alors être rapprochée de l’ ”appétence au risquedéfinie pour lorganisation.

De plus, la compilation du portefeuille de risques permet au management :

  • de mettre en évidence des risques qui peuvent être tolérés au niveau dune unité mais qui en sadditionnant ne seraient plus dans les limites de l’ « appétence au risque  » définie pour lorganisation.
  • dappréhender des événements potentiels (au niveau global) plutôt que des risques et donc de mieux comprendre comment les risques interagissent entre eux au niveau de lorganisation. Par exemple, une baisse des taux dintérêt pourrait affecter positivement le coût du capital mais négativement les produits de taux.

Modifications opérées sur l'axe « Objectifs de lorganisation »

Apport dun nouvel objectif : « stratégique ».

Un objectif stratégique est un objectif « high-level », qui soutient et concourt à la mission/vision de lorganisation. Les objectifs stratégiques reflètent les choix du management quant à la recherche de création de valeur par lorganisation pour ses actionnaires.

Les trois autres types dobjectifs : opérationnel, reporting, et réglementaire, sont dépendants des objectifs stratégiques. Ils sont appelés les « related » objectifs. Par exemple, pour une organisation, il sagira de définir :

  • Quelle est sa mission/vision,
  • Quels sont les objectifs stratégiques soutenant cette mission/vision,
  • Quelle est la stratégie à mettre en œuvre pour atteindre ces objectifs stratégiques,
  • Et en déduire les « related » objectifs qui soutiennent la stratégie mise en œuvre.

A la différence du COSO 1, la mise en œuvre de COSO 2 nécessite donc davoir une vision des objectifs stratégiques de lentreprise en plus des « related » objectifs.

Élargissement de la notion de reporting

Par rapport au COSO 1, cette notion couvre désormais :

  • non seulement le reporting financier, mais aussi la remontée dinformations non-financières,
  • non seulement la remontée dinformations externes mais aussi la remontée dinformations internes.

Modifications opérées sur l'axe « Éléments »

Laxe « éléments de contrôles», qui devient « éléments de gestion des risques », a été légèrement modifié et surtout enrichi : Lélément environnement de contrôle est complété de la notion d’ « appétence au risque  »,

  • Lélément évaluation des risques est éclaté en quatre éléments dont les notions existaient déjà dans le COSO 1 mais sous forme moins détaillée : définition dobjectifs, Identification des événements, Évaluation des risques, Réponse aux risques,
  • Lélément activités de contrôle reste inchangé,
  • Lélément Information et Communication est complété des notions de temps et de granularité de linformation,
  • Lélément pilotage reste inchangé.

Suite à ces modifications, la lecture de ce nouveau plan met en évidence un bloc homogène que lon peut qualifier «de bloc d'éléments de risques »* et qui contient les cinq éléments : définition dobjectifs, identification des évènements, évaluation des risques, réponse au risque et activités de contrôle.

* cette notion de bloc d'éléments de risques nest pas présente dans le COSO 2. Elle est ici proposée au lecteur dans un but pédagogique.

Remarque :

La pyramide qui schématisait la partie « éléments de contrôle interne » disparaît dans le COSO 2.

Environnement interne

Lélément environnement interne reprend les notions de lélément environnement de contrôle du COSO 1 : importance des individus (compétence, éthique), du style de management, de la délégation des responsabilités,…

En revanche, ce nouvel élément senrichit dune nouvelle notion : celle dAppétence au risque  : cest-à-dire la prise de risque acceptée par lentreprise dans le but daccroître sa valeur. Cette « appétence au risque  » permet ensuite de déterminer le niveau de la tolérance de risque aux différents niveaux de lorganisation. Cette notion est nécessaire et précède la définition de la stratégie de lentreprise.

Le bloc « Éléments de risques »

Par rapport à COSO 1, les différents composants de ce bloc sont plus détaillés et fixent un cadre plus précis :

  • pour lidentification des événements potentiels (tendances, événements passés)
  • pour lévaluation des risques (risque inhérent, risque résiduel),
  • pour les réponses aux risques (catégorisation des types de réponses).

Ce bloc comporte les cinq éléments suivants :

  1. Définition dobjectifs
  2. Identification des évènements
  3. Évaluation des risques
  4. Réponses aux risques
  5. Activités de contrôle

Le management doit tout dabord se fixer des objectifs(1) en dehors des événements susceptibles de venir les perturber. Ces objectifs sont de quatre types : stratégiques, opérationnels, liés au reporting et à ladéquation avec la réglementation.

Puis le management détermine pour chacun de ses objectifs les événements (2) susceptibles davoir des impacts, que ceux-ci soient positifs ou négatifs. Les événements avec impacts négatifs représentent des risques, ceux avec des impacts positifs représentent des opportunités. Lidentification des événements potentiels passe par lutilisation de combinaison de méthodes : tendances, événements déclencheurs, corrélation avec les événements passés.

On passe ensuite à une évaluation des risques (3) pour les événements négatifs. Cette évaluation doit déterminer la probabilité que cet événement survienne et les impacts alors engendrés. Cette évaluation des risques doit présenter dans un premier temps le risque inhérent, cest-à-dire le risque qui existe si le management ne met en place aucune action corrective. Dans un second temps, lorsque lélément de réponse au risque aura été traité, il sera possible de déterminer un risque résiduel. (Boucle unique de processus itératif). Il est suggéré dutiliser un système dunité de mesure cohérent entre la mesure des « Définition dobjectifs » et lévaluation des risques.

Le risque évalué, il est ensuite demandé de définir les différentes parades possibles. Cest la réponse au risque (4). Plusieurs options sont parfois possibles. Il est alors nécessaire de les expliciter. Ces réponses peuvent être classées dans les quatre catégories suivantes : lévitement, la réduction, la mutualisation ou lacceptation du risque. Si la méthode de formalisation (option, classification) est incluse dans le périmètre de COSO 2, le choix de la solution nen fait en revanche pas partie. Une fois la réponse au risque définie, lorganisation peut sassurer que le risque résiduel correspond à sa tolérance de risque (3).

Il est ensuite nécessaire de mettre en place des activités de contrôle (5) qui se concrétisent sous la forme de normes (« ce qui doit être fait ») et se voient déclinée en procédures (« comment le faire »).

Information et communication

Par rapport à COSO 1, COSO 2 apporte les concepts suivants :

  • la nécessité de considérer que les informations sont issues des événements passés, présents et futurs. Cette vision doit notamment permettre :
    • une comparaison des performances de lorganisation (passées, et potentielles futures) et lidentification des évolutions et tendances de lactivité de lorganisation,
    • laide à la détection des potentiels événements futurs qui affectent le profil de risques actuel de lorganisation, ce profil de risques devant donc être rapproché de l’ « appétence au risque  ».
  • la nécessité de sassurer que la granularité des informations (niveau de détail et périodicité), est suffisante pour identifier, analyser, et répondre aux risques et ainsi rester dans les limites de son « appétence au risque  ».

De plus, COSO 2 insiste sur le concept de présentation de linformation pour communiquer, i.e. linformation doit être communiquée sous une forme adaptée en fonction de linterlocuteur destinataire.

Pilotage

Pas dajout sur lélément « Pilotage ».

Rôles et responsabilités

Le COSO 2 souligne limportance de la prise de responsabilité dans une entreprise et détaille ce quelle recouvre pour chacun des acteurs. On retrouve dans cette partie des analogies fortes avec la loi Sarbanes-Oxley.

Par rapport au COSO 1, le COSO 2 apporte quelques modifications aux rôles des intervenants :

  • Un nouveau rôle apparaît: le « Risk officer »,
  • Le rôle du board of directors est plus étendu que dans le COSO 1.

Les acteurs responsables (« Responsible parties »)

Le « Board of directors »

Le Board of directors supervise avec attention la gestion des risques :

  • Il connaît le périmètre de couverture efficace de gestion des risques mis en place par le management de lorganisation,
  • Il connaît et il est daccord avec le « Risk appetite » de lorganisation,
  • Il revoit le portefeuille de risques et effectue son rapprochement avec le « Risk Appetite »
  • Il est informé des risques les plus significatifs et de la pertinence de la prise en charge de ces risques.
Le « Risk Officer»

Le Risk Officer est le facilitateur de la mise en œuvre du COSO 2. Il travaille avec les autres responsables afin de les aider à mettre en place une gestion efficace des risques pour leur périmètre de responsabilité. Sans être exhaustif, ses attributions pourraient être :

  • lélaboration de procédures de gestion des risques (incluant les rôles, responsabilités),
  • lélaboration dun langage commun de gestion des risques (uniformisation des mesures de probabilité et dimpact, des catégories de risques..),
  • laccompagnement des managers dans lélaboration de leur réponse aux risques (aide directe, formation…),
  • la supervision des managers pour lélaboration des tolérances de risques,
  • laccompagnement des managers pour létablissement des activités de contrôles,
  • la supervision du processus de reporting de gestion des risques,

Son intervention porte donc sur lensemble des éléments de gestion des risques.

Les auditeurs internes

De la même manière que dans COSO 1, ceux-ci nont pas la responsabilité première de la mise en œuvre de COSO 2. Par contre, ils ont un rôle prépondérant dans lévaluation du système de gestion des risques.

Les auditeurs externes

Ceux-ci travaillent au niveau « entité ». Ils donnent une opinion sur la constitution des états financiers.

et l'approche moderne pour se prononcer sur les etats, consiste en l'évaluation du système de contrôle interne suivant les normes de travail de l'audit.

Voir aussi

Bibliographie

  • COSO 1, "Internal ControlIntegrated Framework"
  • COSO 2, "Enterprise Risk Management Framework"

Articles connexes

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article COSO de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать курсовую

Regardez d'autres dictionnaires:

  • Coso — or COSO may refer to: Coso Coso, California Coso (former settlement), California Coso artifact, found in 1961 Coso Hot Springs, in the Coso Volcanic Field Coso Junction, California Coso People, Native American tribe associated with the Coso Range …   Wikipedia

  • Coso — Saltar a navegación, búsqueda El nombre de Coso puede referirse a: coso taurino donde se lidian los toros; al dios Coso del noroeste de la península ibérica; a la pedanía Coso del ayuntamiento de San Justo, comarca de Sanabria en la provincia de… …   Wikipedia Español

  • coso — sustantivo masculino 1. Plaza de toros: El coso de la Maestranza de Sevilla se considera la catedral del toreo. 2. Uso/registro: restringido en España. Origen: Argentina, Uruguay. Cosa de nombre desconocido, chisme, trasto. 3 …   Diccionario Salamanca de la Lengua Española

  • ćóso — m 〈G ē〉 razg., {{c=1}}v. {{ref}}ćosavac{{/ref}} …   Veliki rječnik hrvatskoga jezika

  • coso — / kɔso/ s.m. [da cosa ], fam. [termine col quale si indicano oggetti o persone di cui non si sa o non si ricorda il nome, o che non si vogliono nominare, spesso con senso spreg.: dammi quel c. lì ] ▶◀ aggeggio, arnese, cosa, oggetto, roba.… …   Enciclopedia Italiana

  • ćoso — ćóso m <G ē> DEFINICIJA v. ćosavac ETIMOLOGIJA vidi ćosavac …   Hrvatski jezični portal

  • COSO — Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und… …   Deutsch Wikipedia

  • coso — I (Probablemente del lat. cursus, carrera.) ► sustantivo masculino 1 TAUROMAQUIA Plaza de toros: ■ uno de los espontáneos que salió al coso fue corneado por el novillo. 2 Calle principal de algunas poblaciones que sirve de paseo: ■ se encontraron …   Enciclopedia Universal

  • coso — {{#}}{{LM C10725}}{{〓}} {{SynC10984}} {{[}}coso{{]}} ‹co·so› {{《}}▍ s.m.{{》}} {{<}}1{{>}} Plaza, sitio o lugar cercado donde se lidian toros y se celebran otras fiestas públicas: • Fue un torero célebre y aplaudido en los mejores cosos de… …   Diccionario de uso del español actual con sinónimos y antónimos

  • coso — cò·so s.m. AU 1. fam., termine con il quale si indica un oggetto di cui non si conosce il nome o non si ricorda per la foggia inconsueta, o che non si vuole nominare per motivi di pudore: passami quel coso Sinonimi: affare, aggeggio, arnese. 2.… …   Dizionario italiano

Share the article and excerpts

Direct link
https://fr-academic.com/dic.nsf/frwiki/258768 Do a right-click on the link above
and select “Copy Link”