Ecole Supérieur d’Economie d’Oran

2eme année Second Cycle.

Spécialité : Finance et Digitalisation Bancaire.
Module : Audit Interne.

Sujet :

Le référentiel COSO

 Elaborer par :
- BELALIA Soumia
 Groupe : 03

Année Universitaire : 2021/2022

1
  Plan
 Introduction..................................................................................1
 La nécessité du référentiel COSO...............................................2
 La création du référentiel COSO................................................3
 Qu’est-ce qu’un référentiel COSO..............................................4
 L’évolution du COSO...................................................................5
 Conclusion.....................................................................................6
 Bibliographie.................................................................................7

2
 Introduction

Toute organisation cherche d’atteindre les objectifs qu’elle s’est fixée. Pour ce faire, un
mécanisme efficace du contrôle interne est nécessaire d’être présent en son sein, en raison du
fait qu’il existe une multitude des tâches qui peuvent être mal exécutées, des risques inhérents
liés à son activité, voire une mauvaise foi de la part des employés peut affecter sa situation.
C’est cette raison qui justifie le bien-fondé de ce sujet. Pour qu’un mécanisme de contrôle
interne soit efficace, il est nécessaire de se référer à une norme. Le COSO en tant qu’un cadre
de référence puissant en matière de contrôle interne et de management des risques détient la
capacité de préserver ou bien de rendre un système de contrôle interne efficace.

La nécessité du référentiel COSO

Dans un contexte de crise économique et financière, précédées par une série de scandales
financiers, les entreprises deviennent de plus en plus prudentes envers les défaillances de leur
système de contrôle interne. Ce dernier a été placé au centre des préoccupations des
dirigeants, des managers et des responsables.

Le nombre des entreprises tombées en échec, et se disparaissent par la suite, augmente le jour
au jour. Plusieurs facteurs expliquent cette situation de déclin : une mauvaise gestion des
dirigeants, une absence d’un système de contrôle interne voire même une gestion des risques.

La commission Treadway l'une des autorités internationales, a publié à l'époque l'un des
référentiels le plus puissants dans le monde entier, qui donnent intérêt au contrôle interne et
gestion des risques. Ainsi, elle n'a pas s'arrêter de le mettre à jour afin de l'adapter à la
turbulence de l'environnement économique et financier des entreprises.

La création du COSO

A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The

American Accounting Association (AAA), The American Institute of Certified Public
Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal
Auditors (IIA), The National Association of Accountants maintenant appelé The Institute of
Management Accountants (IMA) se sont alliées pour établir une Commission Nationale
appelée « Treadway Commission ».

3
Cette commission est indépendante de chacun des organismes qui la composent et elle se
consacre aux fraudes financières. Cette commission, comprenant des représentants de
l’industrie, de la comptabilité nationale, des sociétés de placement en immobilier et de la
bourse de New York, a mené une étude sur les facteurs pouvant inciter à fournir des
informations financières frauduleuses et a formulé des recommandations pour les sociétés
anonymes et leurs auditeurs indépendants ou pour la Securities and Exchange Commission
(SEC) et d’autres régulateurs.

Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-Unis et

soulèvent de sérieuses interrogations quant au système comptable, aussi bien au niveau des
normes actuelles que de leur mise en œuvre et leur contrôle.
Citons par exemple la faillite de la société Enron qui a subi d’énormes pertes en raison des
opérations spéculatives qu’elle a menées sur le marché de l’électricité et qui avaient été
maquillées en bénéfices via des manipulations comptables.

Ces scandales, ayant pris une dimension considérable, ont poussé la commission à se réunir et
réfléchir à la construction d’un cadre commun de contrôle interne. Une étude a été menée et
a abouti en 1992, à l’émergence du modèle appelé COSO.

Qu’est qu’un référentiel COSO

Le référentiel COSO (Internal control – Integrated Framework) est l’acronyme abrégé de

Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but
non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre
pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.

Le cadre COSO repose sur les notions d’objectifs et de composantes.

COSO définit le contrôle interne comme : un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation destiné à pourvoir une
assurance raisonnable quant à la réalisation des objectifs entrant dans les catégories
suivantes :

 La réalisation et optimisation des opérations

 La fiabilité des informations financières
 La conformité aux lois et règlements en vigueur ».

4
Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces
composantes procurent un cadre pour décrire et analyser le contrôle interne mis en place dans
une organisation. Il s’agit de :

1) Un environnement interne favorable à la maîtrise des risques :

L’environnement interne de contrôle repose sur une culture de l’entreprise favorable à la

maîtrise des risques. (Délégation des pouvoirs, sensibilisation du personnel, etc.). Cet
environnement s’appuie notamment sur :

 une définition précise des pouvoirs et des responsabilités,

 une implication du personnel en termes d’intégrité et d’éthique,
 une organisation claire et appropriée,
 le pilotage des activités,
 la mobilisation des compétences, et aussi des procédures bien formalisées et
communiquées.

2) L’évaluation des risques

L’évaluation des risques dépend de la probabilité du risque et de son impact. Il y a deux

temps pour évaluer les risques :

 identifier les risques tout en analysant les activités globales, et celles propres à chaque
personne de l’entreprise,
 classer les risques en fonction de leur gravité et de leur impact sur les objectifs de
l’entreprise.
Ensuite, des mesures de maîtrise seront mises en place pour faire face à ces risques.

3) Les activités de contrôle

Les activités de contrôle comportent les mesures mises en œuvre pour maîtriser les
risques, et les procédures et les politiques de traitement des risques, qui sont :

 proportionnés aux enjeux,

 de natures diverses (méthodes, action de contrôle, action de supervision, etc.).

4) La maîtrise de l’information et de la communication

5
La maîtrise de l’information et la communication correspond à la collecte des informations
utiles et à leur identification, à la communication des informations au dirigeant et enfin
à la communication de la part du dirigeant à l’ensemble du personnel de l’entreprise.
Cette maîtrise comprend :

 la qualité de l’information (contenu, exactitude, accessibilité),

 la qualité des systèmes stratégiques et  d’information,
 la définition des règles et conditions de communication interne,
 mais aussi la communication externe (information à l’extérieur de l’entreprise sur la
mise en œuvre du contrôle interne).

5) Le pilotage du contrôle interne

Le pilotage du contrôle interne comprend l’évaluation permanente et/ou ponctuelle des

activités de contrôle interne, mais aussi la mise à jour des procédures en fonction des
besoins.

Il s’appuie notamment sur :

 l’adaptation du contrôle interne par le personnel qui doit le mettre en place et doit
piloter le système de maîtrise des risques en fonction de sa responsabilité,
 une sensibilisation du personnel à la maîtrise des activités,
 des processus permanents de mises à jour du système de contrôle interne,
 des procédés d’évaluation qui sont internes et permanents.

Le référentiel COSO suggère une vision en trois dimensions du management des risques. Il
est représenté sous forme de cube. Grâce à ce cube, on peut alors déterminer, pour chaque
niveau de l’organisation (entité, filiale, direction, unité opérationnelle, etc.), comment les cinq
composantes du contrôle interne permettent d’atteindre les objectifs du COSO.

6
Le « cube » COSO est ainsi divisé en 3 catégories d’objectif s x 5 composantes du contrôle
interne x n entités. Chaque entité doit intégrer les cinq composantes pour atteindre les trois
objectifs.

L’évolution du COSO
I. COSO ERM (COSO 2) :

En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau

référentiel COSO 2 qui est axé davantage sur le processus de management des risques en
entreprise. De nombreux référentiels dans le domaine voient le jour dans les mêmes années.

Cependant, le management des risques n’est pas une nouvelle pratique, il existait bien avant la
publication de ces référentiels. Mais ce qui change à l’heure actuelle, c’est principalement le
degré de méthodologie et de formalisme du management des risques. En effet, cette tendance
peut s’expliquer par deux facteurs :

- D’une part, l’évolution d’un contexte économique de plus en plus risqué pousse les
entreprises à se munir d’un processus de maitrise des risques efficace.

7
- D’autre part, l’apparition d’un renforcement de la gouvernance d’entreprise entraine une
surveillance accrue des comités d’administration et une transparence de la part des
dirigeants. Cela fait suite aux scandales financiers cités précédemment.

Le contexte économique de ces 30 dernières années et l’émergence de lois financières ont

incité les entreprises à renforcer leur système de management des risques et leur
gouvernance. Pour cela, la plupart des entreprises se basent sur le référentiel COSO 2 mis en
place par la Commission en 2004.

II. La différence entre COSO 1 et COSO 2 :

– Tout d’abord, le COSO 2 a la particularité de parler à la fois de risque quand un évènement

impacte négativement l’entreprise mais aussi d’opportunité quand l’impact est positif. Le
COSO ne traitait pas l’opportunité.

– Le COSO 2 introduit aussi la notion d’ « appétence au risque » qui est le niveau de risque
auquel l’entreprise est prête à faire face et la notion de « seuil de tolérance » qui correspond à
la variation acceptable du niveau de risque par rapport au niveau d’appétence défini.

– Ensuite, le COSO 2 prend en compte les objectifs stratégiques en plus des objectifs
opérationnels, de reporting et de conformité du COSO.

– Le COSO 2 élargit également la palette du dispositif de contrôle interne en ajoutant trois

composants : la fixation des objectifs (pour identifier les évènements nuisibles à leur atteinte),
l’identification des évènements (risques et opportunités) et le traitement des risques.

– Enfin le COSO 2 donne une dimension d’analyse supplémentaire en instaurant une maitrise
des risques de toutes les strates de l’entreprise, filiales comprises.

Donc le COSO 2 élargit le périmètre du COSO en ajoutant un ou plusieurs éléments à chaque

dimension du cube COSO.

COSO 2 est actuellement le référentiel le plus appliqué par les entreprises européennes.

III. COSO 3

En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le
but de cette mise à jour est de prendre en compte les évolutions des environnements
opérationnels et les attentes accrues concernant le contrôle interne. Tout en se reposant sur les
principes fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés

8
significatives permettant la mise en œuvre d’un dispositif plus agile s’alignant en
permanence aux objectifs de l’organisation.

IV. COSO 4

Après quatre ans de l’élaboration de COSO 3 une nouvelle version de COSO est née « COSO
ERM 2017 ». Intitulé d’une démarche à intégrer avec la stratégie et la performance, ce
nouveau COSO a été mis en place afin de répondre aux enjeux actuels des organes de
gouvernances.

Le COSO ERM 2017 vise principalement donc à la fois pragmatique et connecté aux
problématiques actuelles et futures de la gouvernance. Surement la clef du succès pour faire
une gestion de risques un outil de gestion à la fois efficace, accepté et pertinent.

Conclusion

Un système de contrôle interne efficace est une composante essentielle de la gestion d'une
institution et constitue le fondement d'un fonctionnement sûr et prudent. Il concerne
l’institution dans toutes ses activités et s'applique aux biens, aux individus et aux
informations, quelles que soient les circonstances ou l'époque de l'année. Toutefois, on ne
peut contrôler que ce qui est organisé.

En conséquence, l'ensemble des activités de l’institution doit, au préalable, être structuré :

définition des niveaux de contrôle, organisation rigoureuse de la fonction. Pour tout ce qui
précède, l’adoption d’un référentiel dédié au contrôle interne s’avère indispensable.

Comme cité au paravent, après les différents scandales financiers dans le monde, le Contrôle
Interne est devenu une réalité publique. De nombreuses dispositions ont été prises dans les
pays avancés pour le rendre obligatoire. L'Algérie, elle aussi, a pris des dispositions légales
concernant la mise en place d'une structure d'Audit Interne au sein des Entreprises Publiques
Economiques (EPE).

Cependant, l'application ou le respect de ces obligations de la part des responsables

d'entreprises algériennes reste encore insuffisant. Cela est dû à la fois au manque de contrôle
de la part des Institutions de l'Etat sur la mise en œuvre de ces lois, mais aussi au peu
d'importance que donnent certains responsables d'entreprises au Contrôle Interne

9
 Bibliographie

[Link]
%C3%A9f%C3%A9renciel_COSO_sur_lactivation_du_contr
%C3%B4le_interne_dans_lentreprise_avec_r%C3%A9f
%C3%A9rence_au_cas_de_lAlg%C3%A9rie

[Link]
management-des-risques/

[Link]
page_10.html?m=1#:~:text=COSO%20est%20l'acronyme%20abr%C3%A9g
%C3%A9,cadre%20pour%20%C3%A9valuer%20son%20efficacit%C3%A9.

[Link]

[Link]

10