COSO

Le COSO est un rfrentiel de contrle interne dni par

le Committee Of Sponsoring Organizations of the Treadway Commission. Il est utilis notamment dans le cadre
de la mise en place des dispositions relevant des lois Loi

Sarbanes-Oxley, SOX ou Loi de scurit nancire, LSF,

pour les entreprises assujetties respectivement aux lois
amricaines ou franaises. Le rfrentiel initial appel
COSO 1 a volu depuis 2002 vers un second corpus d- 2.2
nomm COSO 2.

Le contrle interne doit procurer lassurance raisonnable (mais non absolue) dun management et dune
direction respectueuse des lois.
Le contrle interne est adapt la ralisation eective des objectifs.

Le cadre : le cube COSO

Le cadre COSO repose sur les notions d'objectifs et de

composants.

Historique
2.2.1 Les trois objectifs

COSO est lacronyme abrg de Committee Of Sponsoring Organizations of the Treadway Commission, une
commission but non lucratif qui tablit en 1992 une dnition standard du contrle interne et cre un cadre pour
valuer son ecacit. Par extension ce standard sappelle
aussi COSO.

Le rfrentiel COSO dnit le contrle interne comme un

processus mis en uvre par les dirigeants tous les niveaux
de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants :
l'ecacit et l'ecience des oprations,

En 2002, le Congrs amricain, en rponse aux scandales

nanciers et comptables (Enron, Worldcom, ), promulgue la loi SarbanesOxley (the Sarbanes-Oxley Act
ou SOX act). Cette loi oblige les socits faisant appel
lpargne publique valuer leur contrle interne et
en publier leurs conclusions dans les tats demands par
la Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le SOX
act a favoris l'adoption du COSO comme rfrentiel. En
France, la loi de scurit nancire (dite loi LSF) promulgue peu aprs en 2003, a galement contribu sa
diusion.

la abilit des informations nancires,

la conformit aux lois et rglements.
On notera que ces objectifs correspondent en grande partie aux proccupations des investisseurs.
2.2.2 Les cinq composants
Le contrle interne, tel que dni par le COSO, comporte
cinq composants. Ces composants procurent un cadre
pour dcrire et analyser le contrle interne mis en place
dans une organisation. Il sagit de :

Le rfrentiel COSO (Internal

Control Integrated Framework)

2.1

l'environnement de contrle, qui correspond, pour

l'essentiel, aux valeurs diuses dans l'entreprise ;
l'valuation des risques l'aune de leur importance
et frquence ;

Les principes

les activits de contrle, dnies comme les rgles et

procdures mises en uvre pour traiter les risques,
le COSO imposant la matrialisation factuelle des
contrles ;

Le rfrentiel COSO est bas sur les principes de base

suivants :

l'information et la communication, qu'il sagit

d'optimiser ;

Le contrle interne est un processus : cest un moyen,

pas une n ; il ne se cantonne pas un recueil de
procdures mais ncessite limplication de tous
chaque niveau de lorganisation.

le pilotage, c'est--dire le contrle du contrle

interne.
1

3 COSO 2 - ENTERPRISE RISK MANAGEMENT FRAMEWORK

2.2.3

Le cube

Il apparat que le COSO 2 inclut les lments du COSO 1 au travers du troisime point et le complte sur le
Aprs les objectifs et composants, le COSO impose de concept de gestion des risques. Le COSO 2 est bas sur
distinguer les structures de l'entreprise (socits, entits, une vision oriente risques de lentreprise.
fonctions, ).
La combinaison des trois objectifs, des cinq composants
et des structures de l'entreprise, vus comme trois axes 3.2 Une nouvelle notion, le Risk Appetite
d'analyse distincts, constitue ce qui est appel le cube COSO.
La notion de Risk Appetite est nouvelle dans le COSO
2. Le Risk Appetite est le niveau de prise de risque accept par lorganisation dans le but daccrotre sa valeur.
3 COSO 2 - Enterprise Risk Mana- Direntes stratgies exposeront lorganisation dirents risques. En consquence, le Risk Appetite doit
gement Framework
tre pris en compte dans la dnition de la stratgie de
lorganisation an de sassurer que les rsultats de cette
Le COSO 2, Enterprise Risk Management Framework
stratgie sont cohrents avec le Risk Appetite dni
est aujourd'hui le cadre de rfrence de la gestion des
pour lorganisation.
risques. Le prsent chapitre vise en raliser une synthse, notamment en se basant sur les concepts dvelopps dans le COSO 1, Internal Control Integrated Fra- 3.3 Synthse des modications opres sur
mework.

le cube COSO

3.1

Le modle du cube et son architecture trois plans sont

Positionnement du COSO 2 par rap- conservs :

port au COSO 1

Pour rappel, le COSO 1 propose un cadre de rfrence

pour la gestion du contrle interne. Le contrle interne est
un processus mis en uvre par le conseil dadministration,
les dirigeants et le personnel dune organisation, destin
fournir une assurance raisonnable quant la ralisation
des objectifs suivants :
L'ecacit et l'ecience des oprations,
La abilit des informations nancires,
La conformit aux lois et aux rglementations en vigueur.

1. Niveaux de lorganisation
2. lments de contrle interne (qui devient lments
de gestion des risques)
3. Objectifs de lorganisation
En revanche, les dirents plans sont modis ou enrichis.
1. Axe Niveaux de lorganisation
Apport dun cadre plus strict de dcomposition de la
structure dune organisation
Mise en vidence de la ncessit de prendre en
compte lensemble de lorganisation pour que le COSO 2 soit appliqu avec succs.

Le COSO 2 propose un cadre de rfrence pour la gestion

des risques de lentreprise (Enterprise Risk Management
Framework). La gestion des risques de lentreprise est un 2. Axe Objectifs
processus mis en uvre par le conseil dadministration,
les dirigeants et le personnel dune organisation, exploit
Apport dun nouvel objectif : stratgique .
pour llaboration de la stratgie et transversal lentre largissement de la notion de reporting : cette noprise, destin
tion couvre dsormais non seulement le reporting nancier, mais aussi la remonte dinformations non identier les vnements potentiels pouvant aecter
nancires. De plus, cette notion couvre dornavant
lorganisation,
la fois la remonte dinformations externes mais
aussi internes.
matriser les risques an quils soient dans les limites
du Risk Appetite (apptence au risque) (cf. ci3. Axe "lments de contrle
dessous) de lorganisation,
Enrichissement de laxe lments de contrle qui de fournir une assurance raisonnable quant la ralisa- vient lments de gestion des risques et qui passe de
tion des objectifs de lorganisation.
cinq huit lments :

3.3

Synthse des modications opres sur le cube COSO

1. Llment environnement interne (anciennement

environnement de contrle) est complt de la notion
d' apptence au risque (qui signie acceptation
et tolrance dun risque, dans le cadre dun niveau
decacit recherche),

La notion de portefeuille de risques ( Portfolio )

Il est demand lorganisation davoir une vision de ses
risques sous forme dun portefeuille. Ce portefeuille doit
caractriser les risques chaque niveau de lorganisation.
La compilation du portefeuille permet donc davoir une
vision globale des risques de lorganisation. Cette vision
2. Llment valuation des risques est clat en quatre pourra alors tre rapproche de l apptence au risque
lments dont les notions existaient dj dans le dnie pour lorganisation.
COSO-1 mais taient moins dtailles : 2a Dnition dobjectifs, 2b Identication des vne- De plus, la compilation du portefeuille de risques permet
ments, 2c valuation des risques, 2d Rponse au management :
aux risques,
de mettre en vidence des risques qui peuvent tre
3. Llment activits de contrle reste inchang,
tolrs au niveau dune unit mais qui en sadditionnant ne seraient plus dans les limites de l app4. Llment Information et Communication est
tence au risque dnie pour lorganisation.
complt des notions de temps et de granularit de
dapprhender des vnements potentiels (au niveau
linformation,
global) plutt que des risques et donc de mieux com5. Llment Supervision (ou pilotage) reste inchang.
prendre comment les risques interagissent entre eux
au niveau de lorganisation. Par exemple, une baisse
des taux dintrt pourrait aecter positivement le
3.3.1 Modications opres sur l'axe Niveaux de
cot du capital mais ngativement les produits de
lorganisation
taux.
Le COSO 2 sapplique lensemble de lentreprise, aussi
bien au niveau le plus haut ( entit ) quau niveau opra- 3.3.2 Modications opres sur l'axe Objectifs de
tionnel ( business unit ). Mais pour appliquer le COSO
lorganisation
2 avec succs, il faut prendre en compte lensemble du
primtre des activits dune organisation. Le COSO 2 Apport dun nouvel objectif : stratgique .
considre les activits dirents niveaux de lorganisaUn objectif stratgique est un objectif high-level , qui
tion :
soutient et concourt la mission/vision de lorganisation.
Les objectifs stratgiques retent les choix du manage Au niveau de lorganisation ( entity ) pour des ac- ment quant la recherche de cration de valeur par lortivits telles que la planication stratgique ou lal- ganisation pour ses actionnaires.
location des ressources,
Les trois autres types dobjectifs : oprationnel, repor Au niveau des units de mtier ( business unit ) ting, et rglementaire, sont dpendants des objectifs strapour des activits telles que le marketing, et les res- tgiques. Ils sont appels les related objectifs. Par
exemple, pour une organisation, il sagira de dnir :
sources humaines,
Au niveau des processus mtier ( business process ) pour des activits telles que la production,
les achats,
Et aussi aux niveaux des projets ou initiatives qui
nont pas encore de place dnie dans la structure
de lorganisation.
Par rapport au COSO 1, le COSO 2 apporte :

Quelle est sa mission/vision,

Quels sont les objectifs stratgiques soutenant cette
mission/vision,
Quelle est la stratgie mettre en uvre pour atteindre ces objectifs stratgiques,
Et en dduire les related objectifs qui soutiennent
la stratgie mise en uvre.

un cadre plus strict de dcomposition de la structure dune organisation - par niveaux - que le COSO
1 qui ne retient pas de structure de dcomposition
spcique pour une organisation. Cette dcomposition est utile la vision en portefeuille de risque (cf.
ci-dessous) expose par le COSO 2.

la dirence du COSO 1, la mise en uvre de COSO

2 ncessite donc davoir une vision des objectifs stratgiques de lentreprise en plus des related objectifs.

la ncessit de prendre en compte lensemble de lorganisation pour tre appliqu avec succs.

non seulement le reporting nancier, mais aussi la

remonte dinformations non-nancires,

largissement de la notion de reporting

Par rapport au COSO 1, cette notion couvre dsormais :

3 COSO 2 - ENTERPRISE RISK MANAGEMENT FRAMEWORK

non seulement la remonte dinformations externes
mais aussi la remonte dinformations internes.

3.3.3

Modications opres sur l'axe lments

pour lvaluation des risques (risque inhrent, risque

rsiduel),
pour les rponses aux risques (catgorisation des
types de rponses).

Laxe lments de contrles , qui devient lments de Ce bloc comporte les cinq lments suivants :
gestion des risques , a t lgrement modi et surtout
enrichi : Llment environnement de contrle est com1. Dnition dobjectifs
plt de la notion d apptence au risque ,
2. Identication des vnements
Llment valuation des risques est clat en quatre
lments dont les notions existaient dj dans le COSO 1 mais sous forme moins dtaille : dnition
dobjectifs, Identication des vnements, valuation des risques, Rponse aux risques,

3. valuation des risques

4. Rponses aux risques
5. Activits de contrle

Le management doit tout dabord se xer des objectifs(1)

en dehors des vnements susceptibles de venir les per Llment Information et Communication est com- turber. Ces objectifs sont de quatre types : stratgiques,
plt des notions de temps et de granularit de lin- oprationnels, lis au reporting et ladquation avec la
rglementation.
formation,
Llment activits de contrle reste inchang,

Llment pilotage reste inchang.

Suite ces modications, la lecture de ce nouveau plan
met en vidence un bloc homogne que lon peut qualier de bloc d'lments de risques * et qui contient les
cinq lments : dnition dobjectifs, identication des
vnements, valuation des risques, rponse au risque et
activits de contrle.
* cette notion de bloc d'lments de risques nest pas prsente
dans le COSO 2. Elle est ici propose au lecteur dans un but pdagogique.

Puis le management dtermine pour chacun de ses objectifs les vnements (2) susceptibles davoir des impacts, que ceux-ci soient positifs ou ngatifs. Les vnements avec impacts ngatifs reprsentent des risques,
ceux avec des impacts positifs reprsentent des opportunits. Lidentication des vnements potentiels passe par
lutilisation de combinaison de mthodes : tendances, vnements dclencheurs, corrlation avec les vnements
passs.

On passe ensuite une valuation des risques (3) pour

les vnements ngatifs. Cette valuation doit dterminer la probabilit que cet vnement survienne et les imRemarque :
pacts alors engendrs. Cette valuation des risques doit
La pyramide qui schmatisait la partie lments de prsenter dans un premier temps le risque inhrent, cest-dire le risque qui existe si le management ne met en
contrle interne disparat dans le COSO 2.
place aucune action corrective. Dans un second temps,
lorsque llment de rponse au risque aura t trait, il
Environnement interne Llment environnement in- sera possible de dterminer un risque rsiduel. (Boucle
terne reprend les notions de llment environnement de unique de processus itratif). Il est suggr dutiliser un
contrle du COSO 1 : importance des individus (comp- systme dunit de mesure cohrent entre la mesure des
tence, thique), du style de management, de la dlgation Dnition dobjectifs et lvaluation des risques.
des responsabilits,
Le risque valu, il est ensuite demand de dnir les difEn revanche, ce nouvel lment senrichit dune nouvelle frentes parades possibles. Cest la rponse au risque (4).
notion : celle d Apptence au risque : cest--dire la prise Plusieurs options sont parfois possibles. Il est alors ncesde risque accepte par lentreprise dans le but daccrotre saire de les expliciter. Ces rponses peuvent tre classes
sa valeur. Cette apptence au risque permet ensuite dans les quatre catgories suivantes : lvitement, la rde dterminer le niveau de la tolrance de risque aux dif- duction, la mutualisation ou lacceptation du risque. Si la
frents niveaux de lorganisation. Cette notion est nces- mthode de formalisation (option, classication) est insaire et prcde la dnition de la stratgie de lentreprise. cluse dans le primtre de COSO 2, le choix de la solution
nen fait en revanche pas partie. Une fois la rponse au
Le bloc lments de risques Par rapport COSO risque dnie, lorganisation peut sassurer que le risque
1, les dirents composants de ce bloc sont plus dtaills rsiduel correspond sa tolrance de risque (3).
et xent un cadre plus prcis :

Il est ensuite ncessaire de mettre en place des activits de

contrle (5) qui se concrtisent sous la forme de normes
pour lidentication des vnements potentiels (ten- ( ce qui doit tre fait ) et se voient dcline en procdances, vnements passs)
dures ( comment le faire ).

5
Information et communication Par rapport COSO
1, COSO 2 apporte les concepts suivants :
la ncessit de considrer que les informations sont
issues des vnements passs, prsents et futurs.
Cette vision doit notamment permettre :

Il revoit le portefeuille de risques et eectue son rapprochement avec le Risk Appetite

Il est inform des risques les plus signicatifs et de
la pertinence de la prise en charge de ces risques.

Le Risk Ocer Le Risk Ocer (RO) est le facilitateur de la mise en uvre du COSO 2. Il travaille avec
les autres responsables an de les aider mettre en place
une gestion ecace des risques pour leur primtre de
responsabilit. Sans tre exhaustif, ses attributions pour laide la dtection des potentiels vnements raient tre :
futurs qui aectent le prol de risques actuel de
llaboration de procdures de gestion des risques
lorganisation, ce prol de risques devant donc
(incluant les rles, responsabilits),
tre rapproch de l apptence au risque .
une comparaison des performances de lorganisation (passes, et potentielles futures) et
lidentication des volutions et tendances de
lactivit de lorganisation,

la ncessit de sassurer que la granularit des informations (niveau de dtail et priodicit), est sufsante pour identier, analyser, et rpondre aux
risques et ainsi rester dans les limites de son apptence au risque .
De plus, COSO 2 insiste sur le concept de prsentation de
linformation pour communiquer, i.e. linformation doit
tre communique sous une forme adapte en fonction
de linterlocuteur destinataire.
Pilotage

3.4

Pas dajout sur llment Pilotage .

Rles et responsabilits

llaboration dun langage commun de gestion des

risques (uniformisation des mesures de probabilit
et dimpact, des catgories de risques..),
laccompagnement des managers dans llaboration
de leur rponse aux risques (aide directe, formation),
la supervision des managers pour llaboration des
tolrances de risques,
laccompagnement des managers pour ltablissement des activits de contrles,
la supervision du processus de reporting de gestion
des risques,
Son intervention porte donc sur lensemble des lments
de gestion des risques.

Le COSO 2 souligne limportance de la prise de responsabilit dans une entreprise et dtaille ce quelle recouvre
pour chacun des acteurs. On retrouve dans cette partie des Les auditeurs internes De la mme manire que dans
analogies fortes avec la loi Sarbanes-Oxley.
COSO 1, ceux-ci nont pas la responsabilit premire de
Par rapport au COSO 1, le COSO 2 apporte quelques mo- la mise en uvre de COSO 2. Par contre, ils ont un rle
prpondrant dans lvaluation du systme de gestion des
dications aux rles des intervenants :
risques.
Un nouveau rle apparat : le Risk ocer ,
3.4.2 Les auditeurs externes
Le rle du board of directors est plus tendu que
dans le COSO 1.
Ceux-ci travaillent au niveau entit . Ils donnent une
opinion sur la constitution des tats nanciers.
Les acteurs responsables ( Responsible par- et l'approche moderne pour se prononcer sur les etats,
consiste en l'valuation du systme de contrle interne
ties )
suivant les normes de travail de l'audit.
Le Board of directors Le Board of directors supervise avec attention la gestion des risques :
3.4.1

4 Voir aussi
Il connat le primtre de couverture ecace de gestion des risques mis en place par le management de 4.1 Bibliographie
lorganisation,
COSO 1, Internal Control Integrated Framework
Il connat et est en accord avec le Risk appetite
de lorganisation,
COSO 2, Enterprise Risk Management Framework

4.2

Articles connexes

Gestion du risque
Contrle interne
Loi Sarbanes-Oxley

4.3

Liens externes

(fr) COSO Cadre de rfrence du management des

risques de l'entreprise.
(en) Site du Committee of Sponsoring Organizations
of the Treadway Commission. COSO

Portail du management

VOIR AUSSI

Sources, contributeurs et licences du texte et de limage

5.1

Texte

COSO Source : [Link] Contributeurs : Keriluamox, Sherbrooke, Genepi2, Mbzt, FlaBot,

Alecs.y, Jerome66, Floo, Oxo, Vol de nuit, Cqui, Claude S, Rei-bot, GillesAuriault, URSS, VolkovBot, Chicobot, Rowlor, ZX81-bot,
Lilyu, Expertom, HerculeBot, ZetudBot, Micbot, RedBot, EmausBot, Antaj7co, Addbot et Anonyme : 23

5.2

Images

Fichier:Sierpinski_arrowhead_3d_stage_5.png
Source
:
[Link]
arrowhead_3d_stage_5.png Licence : CC-BY-SA-3.0 Contributeurs : Own work, created with Mathematica 6 Artiste dorigine :
Robert Dickau

5.3

Licence du contenu

Creative Commons Attribution-Share Alike 3.0