Le COSO est un référentiel de contrôle interne

visant à limiter les tentatives de fraudes dans les

rapports financiers des entreprises.

Il a été défini par le Committee of Sponsoring

Organisation of the Tread way Commission en

1992.

Toutefois, ce n'est qu'à partir de 2002 que le

modèle COSO a véritablement émergé. Les lois

américaines rendant obligatoire l'évaluation du

contrôle interne pour les sociétés faisant appel à

l'épargne publique (suite aux scandales Enron et

Worldcom), il est alors adopté comme référentiel.

En France, il faut attendre la loi de sécurité

financière de 2003 pour le voir se développer.

Pour le référentiel COSO, le contrôle interne doit

répondre à trois :

Il définit également cinq

constitutives du contrôle interne :

Le contrôle interne, aussi bien conçu et aussi

bien appliqué soit-il, ne peut offrir qu'une

assurance raisonnable quant à la réalisation des

objectifs

en raison des limites suivantes :

Les jugements exercéslors des prises de décision

peuvent se révéler défaillants

La contrainte rapport coût-avantage

impose une contingenceaux procédures et dispositifs de contrôle à mettre en place

Les mesures de contrôle ne peuvent pas,

en toute circonstance, empêcher la survenance d'un dysfonctionnement

ou d'une défaillance humaine ou d'une erreur

La collusion entre plusieurs personnes

peut faire échouer les contrôles

Le management peut passer outre les

procédures

et ne pas respecterle système de contrôle

interne

Si l’on s’intéresse maintenant aux différences entre COSO et

COSO 2, on peut mettre en évidence plusieurs d’entre elles :

Tout d’abord, le COSO 2 a la particularité de parler à la fois du

risque quand un évènement impacte négativement l’entreprise

mais aussi d’opportunité quand l’impact est positif.

Le COSO ne traitait pas l’opportunité.

Le COSO 2 introduit aussi la notion d’ « appétence au risque »

qui est le niveau du risque auquel l’entreprise est prête à faire

face et la notion de « seuil de tolérance » qui correspond à la

variation acceptable du niveau de risque par rapport au niveau

d’appétence défini.

Ensuite, le COSO 2 prend en compte les objectifs

stratégiques en plus des objectifs opérationnels, de reporting et

de conformité du COSO.

Le COSO 2 élargit également la palette du dispositif de

contrôle interne en ajoutant trois composantes :

*la fixation des objectifs (pour identifier les évènements

nuisibles à leur atteinte),

*l’identification des évènements (risques et opportunités),

*le traitement des risques.

Enfin le COSO 2 donne une dimension d’analyse

supplémentaire en instaurant une maitrise des risques

de toutes les strates de l’entreprise, filiales comprises.

Le COSO 2 élargit donc le périmètre du COSO en

ajoutant un ou plusieurs éléments à chaque dimension

du cube.

CO

SO

1C

OS

O 2

d

i

m

e

n

s

i

o

n

composante

composante

composante

COSO et COSO 2 sont actuellement les référentiels les plus appliqués par les entreprises

européennes malgré l’apparition du

COSO 3 (COSO 2013).

En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013.

Le but de cette mise à jour est de prendre en compte les évolutions des environnements opérationnels

et les attentes accrues concernant le contrôle interne.

Tout en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte

plusieurs nouveautés significatives permettant la mise en œuvre d’un dispositif plus agile s’alignant en

permanence aux objectifs de l’organisation.