L’évolution du référentiel COSO : du contrôle interne au management des risques

Cet article a pour objectifs de décrire l’élaboration du premier framework COSO en 1992 dédié au contrôle interne d’une entreprise, la construction d’un second framework COSO 2 en 2004 concernant davantage le management des risques dans l’entreprise et enfin l’actualisation du premier framework COSO en 2013.
Différentes questions se posent : Tout d’abord, quelles sont les raisons qui ont déclenché l’initiative de 5 organisations américaines à élaborer un référentiel méthodologique pour le contrôle interne ? Ensuite, quelles sont les raisons qui ont poussé ces mêmes organisations à dévier vers une vue globale de management des risques et à construire un nouveau référentiel ? Quelles sont les principales différences entre ces deux framework ? Enfin quelles sont les innovations de la dernière version de COSO ?

A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The American Accounting Association (AAA), The American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), The National Association of Accountants maintenant appelé The Institute of Management Accountants (IMA) se sont alliées pour établir une Commission Nationale appelée « Treadway Commission ».

Cette commission est indépendante de chacun des organismes qui la composent et elle se consacre aux fraudes financières. Cette commission, comprenant des représentants de l’industrie, de la comptabilité nationale, des sociétés de placement en immobilier et de la bourse de New York, a mené une étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses et a formulé des recommandations pour les sociétés anonymes et leurs auditeurs indépendants ou pour la Securities and Exchange Commission (SEC) et d’autres régulateurs.

Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses interrogations quant au système comptable, aussi bien au niveau des normes actuelles que de leur mise en œuvre et leur contrôle.
Citons par exemple la faillite de la société Enron qui a subit d’énormes pertes en raison des opérations spéculatives qu’elle a menées sur le marché de l’électricité et qui avaient été maquillées en bénéfices via des manipulations comptables.

Ces scandales, ayant pris une dimension considérable, ont poussé la commission à se réunir et réfléchir à la construction d’un cadre commun de contrôle interne. Une étude a été menée et a abouti en 1992, à l’émergence du modèle appelé COSO (Committee Of Sponsoring Organizations).

La commission définit le Contrôle Interne comme étant :
« Un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quand à la réalisation des objectifs suivants :
– La réalisation et l’optimisation des opérations,
– La fiabilité des informations financières et de gestion,
– La conformité aux lois et aux réglementations en vigueur.

En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau référentiel COSO 2 qui est axé davantage sur le processus de management des risques en entreprise. De nombreux référentiels dans le domaine voient le jour dans les mêmes années.
Cependant, le management des risques n’est pas une nouvelle pratique, il existait bien avant la publication de ces référentiels. Mais ce qui change à l’heure actuelle, c’est principalement le degré de méthodologie et de formalisme du management des risques. En effet, cette tendance peut s’expliquer par deux facteurs :
– D’une part, l’évolution d’un contexte économique de plus en plus risqué pousse les entreprises à se munir d’un processus de maitrise des risques efficace.
– D’autre part, l’apparition d’un renforcement de la gouvernance d’entreprise entraine une surveillance accrue des comités d’administration et une transparence de la part des dirigeants. Cela fait suite aux scandales financiers cités précédemment.

Le contexte économique de ces 30 dernières années et l’émergence de lois financières ont incité les entreprises à renforcer leur système de management des risques et leur gouvernance. Pour cela, la plupart des entreprises se basent sur le référentiel COSO 2 mis en place par la Commission en 2004.

Si l’on s’intéresse maintenant aux différences entre COSO et COSO 2, on peut mettre en exergue plusieurs d’entre elles.
– Tout d’abord, le COSO 2 a la particularité de parler à la fois de risque quand un évènement impacte négativement l’entreprise mais aussi d’opportunité quand l’impact est positif. Le COSO ne traitait pas l’opportunité.
– Le COSO 2 introduit aussi la notion d’ « appétence au risque » qui est le niveau de risque auquel l’entreprise est prête à faire face et la notion de « seuil de tolérance » qui correspond à la variation acceptable du niveau de risque par rapport au niveau d’appétence défini.
– Ensuite, le COSO 2 prend en compte les objectifs stratégiques en plus des objectifs opérationnels, de reporting et de conformité du COSO.
– Le COSO 2 élargit également la palette du dispositif de contrôle interne en ajoutant trois composants : la fixation des objectifs (pour identifier les évènements nuisibles à leur atteinte), l’identification des évènements (risques et opportunités) et le traitement des risques.
– Enfin le COSO 2 donne une dimension d’analyse supplémentaire en instaurant une maitrise des risques de toutes les strates de l’entreprise, filiales comprises.

COSO

COSO

Matrice COSO

COSO 2

Le COSO 2 élargit donc le périmètre du COSO en ajoutant un ou plusieurs éléments à chaque dimension du cube. COSO (et COSO 2) est actuellement le référentiel le plus appliqué par les entreprises européennes.

En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le but de cette mise à jour est de prendre en compte les évolutions des environnements opérationnels et les attentes accrues concernant le contrôle interne. Tout en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés significatives permettant la mise en œuvre d’un dispositif plus agile s’alignant en permanence aux objectifs de l’organisation.

Auteur : Coralie Dalmasso, Consultante chez BPMS

L’évolution du référentiel COSO : du contrôle interne au management des risques