29 Mars 2013
COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.
En 2002, le Congrès américain, en réponse aux scandales financiers et comptables « Enron, Worldcom… », Promulgue la Loi Sabranes-Oxley (the Sarbanes-Oxley Act ou SOX act).
Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs conclusions dans les états demandés. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favorisé l'adoption du COSO comme référentiel. En France, la loi LSF » Loi de Sécurité Financière » promulguée peu après en 2003, a également contribué à sa diffusion.
Le référentiel COSO (Internal Control – Integrated Framework) :
Le référentiel COSO est basé sur les principes de base suivants :
Le cadre COSO repose sur les notions d'objectifs et de composants.
Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.
Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il s’agit de :
Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprise (sociétés, entités, fonctions, …). La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.
COSO 2 - Enterprise Risk Management Framework
Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de référence de la gestion des risques.
Pour rappel, le COSO 1 , "Internal Control – Integrated Framework" propose un cadre de référence pour la gestion du contrôle interne. Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). La gestion des risques de l’entreprise est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à :
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de l’entreprise.
La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite » est le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur. Différentes stratégies exposeront l’organisation à différents risques. En conséquence, le « Risk Appetite » doit être pris en compte dans la définition de la stratégie de l’organisation afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite » défini pour l’organisation.