A) L’audit interne

- Définition
- Rôles
- Conditions d’exercice (indépendance)

ENCG Casablanca - Hicham

1
Drissi
 Audit Interne - Définition

« L'Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une

approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité. »
Normes IIA

ENCG Casablanca - Hicham

2
Drissi
 Audit Interne - Définition
 L’ Indépendance :
Désigne le fait de se libérer des conditions qui menacent l’objectivité ou
l’apparence de l’objectivité.

 l’objectivité :
Se définit comme une attitude impartiale grâce à laquelle les auditeurs internes
exécutent leurs missions en étant sincèrement convaincus de la légitimité du
résultat de leur travail . Pour être objectifs, les auditeurs ne doivent pas
subordonner leur jugement à celui d’autrui sur des questions liées à l’audit.

 Activité d’assurance :
Examen objectif dont le but est de fournir une évaluation indépendante des
processus de gouvernance, gestion des risques et contrôle d’une organisation,
exemples des missions portant sur les informations financière, performances, la
ENCG Casablanca - Hicham
sécurité
Drissi des systèmes… 3
Audit Interne - Définition
 Activité de conseil :
Activités de conseil et de service client, dont la nature et le périmètre sont définis
en accord avec le client et qui sont destinées à offrir une valeur ajoutée et à
améliorer la gouvernance d’une organisation, sans que l’auditeur interne soit
responsable de l’encadrement.

 Approche systématique et méthodique :

L’audit interne s’appui sur une démarche structurée pour dérouler son programme
d’audit.

 Risque :
L’incertitude que se produise un événement qui pourrait avoir un impact sur la
réalisation des objectifs d’une entité.

 Processus de Contrôle : 4
 Application 1

Un auditeur interne chargé de vérifier qu’un fournisseur respecte

bien
les normes de qualité des produits se trouve être le cousin du
contrôleur qualité de ce fournisseur. Quelle attitude l’auditeur
interne doit‐il adopter ?
A‐ Accepter la mission, mais éviter les contacts avec le contrôleur
qualité pendant le travail sur le terrain
B‐ Accepter la mission, mais faire part de son lien de parenté dans
les communications finales de la mission
C‐ Avertir le fournisseur qu’il y a un risque de conflit d’intérêt
D‐ Avertir le responsable de l’Audit interne qu’il y a un risque de
conflit d’intérêt

ENCG Casablanca - Hicham

5
Drissi
 Application 2
Le responsable de l’audit interne examine les papiers de travail
élaborés
par un auditeur interne lors d’une investigation sur une fraude. Parmi
les éléments que contiennent ces papiers de travail, figure la
description
d’une information physique.
TAF:
Laquelle des propositions suivantes constitue l’origine la plus
probable de cette information ?
A‐ Observations physique des conditions
B‐ Entretiens individuels

ENCG Casablanca - Hicham

6
Drissi
 Correction
La réponse (A) est juste. L’information physique résulte
de la vérification de l’existence de choses, d’activités ou
d’individus par l’observation, l’inspection ou le
comptage. Elle peut entre autres revêtir la forme de
photographies, de cartes ou de graphiques.
b‐ La réponse (B) est fausse, car les entretiens
produisent de l’information reposant sur des
témoignages.

ENCG Casablanca - Hicham

7
Drissi
 Audit Interne – Rôles
Est dans son périmètre :

• Evaluation = Analyser et évaluer les processus de gouvernement d’entreprise, de management

des risques et de contrôle ;
• Communication = Rendre compte régulièrement des actions entreprises pour corriger les
dysfonctionnements décelés ;
• Conformité = Vérifier que les dispositifs mis en place assurent la conformité aux lois et
réglementations ;
• Participer aux missions d’investigation dans le cadre de fusions/acquisitions ;
• Contribuer à la mise en place du processus de management des risques ;
• Animer, quand elle existe, une démarche d’auto-évaluation des risques et des contrôles.
• …
N’est pas dans son périmètre :

• Prendre des décisions stratégiques et/ou opérationnels,

• Assurer les activités de contrôle interne,
• Mettre en place les recommandations,
• ….
ENCG Casablanca - Hicham
8
Drissi
 Audit Interne - Rôles
Type Activités d’assurance Activités de conseil
Définition Examen objectif dont le but est de fournir une Activités de conseil et de service client, dont la nature
évaluation indépendante des processus de et le périmètre sont définis en accord avec le client et
gouvernance, gestion des risques et contrôle qui sont destinées à offrir une valeur ajoutée et à
d’une organisation. améliorer la gouvernance d’une organisation, ainsi que
Les missions portant sur les informations ses processus de contrôle et de gestion des risques,
financières, les performances, la conformité, la sans que l’auditeur interne soit responsable de
sécurité des systèmes et le professionnalisme en l’encadrement.
sont quelques exemples.
Parties L’auditeur interne détermine la nature et le Les activités de conseil impliquent généralement deux
concernées périmètre de la mission d’assurance. En général, 3 parties.
parties sont impliquées dans les activités - La personne ou le groupe dispensant des conseils
d’assurance. (auditeur interne),
- La personne ou le groupe directement - La personne ou le groupe sollicitant et recevant les
impliqué dans le processus, le système ou conseils (le client de la mission).
tout autre objet d’évaluation : audité,
- L’auditeur interne (personne réalisant
l’évaluation).
- La personne ou le groupe utilisant l’évaluation
: DG, Conseil.
Périmètre L’auditeur interne détermine la nature et le Le client détermine la nature et le périmètre en accord
des périmètre de la mission. avec l’auditeur.
activités
Eléments Une évaluation, une opinion ou une conclusion Conseils et apport d’une valeur ajoutée aux processus
livrables du résultat de la mission d’assurance est de gouvernance, gestion des risques et contrôle de
communiquée.
ENCG Casablanca - Hicham l’organisation.
9
Drissi
 Audit Interne - Outils

Code de déontologie

s
Ch

s
e elle
ar

m
r nn
te

o
N sio
d’a

es
ud

o f
r
it

Cadre de référence international des

pratiques professionnelles de l’audit
ENCG Casablanca - Hicham
interne
10
Drissi
 Audit Interne – Conditions d’exercice
(Indépendance)

L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière

impartiale, leurs responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et
suffisant à l’exercice de ses responsabilités, le responsable de l’audit interne doit avoir un
accès direct et non restreint à la direction générale et au Conseil. Cet objectif peut être
atteint grâce à un double rattachement.

L’indépendance de l’audit interne doit se traduire :

- Au niveau de l’auditeur interne : indépendance vis-vis des activités à auditer, conflit
d’intérêt.
- Au niveau de la conduite de la mission : définition du périmètre, établissement du
programme de travail, accès à l’information, aux documents et aux personnes, et la
communication des résultats,
- Au niveau de l’audit interne et de son positionnement dans l’organisation : accès au
Conseil et au comité d’audit, ressources nécessaires pour la bonne marche de l’activité, …

ENCG Casablanca - Hicham

11
Drissi
 Exercice

Lors de la réunion d’ouverture d’un audit externe, le représentant de la

direction vous informe qu’un audit interne récent a permis de relever
plusieurs non conformités relatives au département achat interne.
L’action corrective a déjà été planifiée. Le représentant de la direction
suggéré donc de déprogrammer ce département du plan d’audit, étant
que le faite de l’auditer à nouveau n’aurait pas vraiment de valeur ajoutée,
et, donc de passer plus de temps au niveau de la production
TAF: citez 5 points que vous incluriez dans votre réponse à cette
demande
ENCG Casablanca - Hicham
12
Drissi
 correction
 Un audit externe doit couvrir tous les processus
associés au domaine d’application et au critère d’audit.
 L’achat ne peut être exclu que si l’exclusion est autorisé
 Si l’achat n’est pas inclus il ne sera pas possible de
recommander la certification.
 Un audit d’achat maintenant pourrait permettre
d’identifier d’autres constats qui pourrait nécessiter un
traitement.
 L’audit peut inclure une revue des actions correctives
planifiées.
ENCG Casablanca - Hicham
13
Drissi
 Audit Interne – Conditions d’exercice (Indépendance)
Double rattachement de l’activité d’audit interne :

Conseil d’administration Attachement

hiérarchique
Attachement
fonctionnel

Direction Comité d’audit

Fonction de l’audit interne

Le RAI doit être rattaché :

- Au conseil et au comité d’audit sur le plan fonctionnel,
- A la direction générale de l’organisation sur le plan hiérarchique
ENCG Casablanca - Hicham
14
Drissi
 Audit Interne – Conditions d’exercice
(Indépendance)

Attachement fonctionnel
• Approuve la charte d’audit,
• Approuve le plan d’audit interne fondé sur l’approche par les risques,
• Soit tenu informé des résultats de l’activité d’audit,
• Approuve les résultats de l’évaluation de la performance, la nomination et la
destitution du RAI,

Attachement hiérarchique
• Donner les moyens nécessaires à l’accomplissement de sa mission,
• Donner les moyens nécessaires pour la mise en place des recommandations,
• Faciliter la communication interne et le flux d’information,

ENCG Casablanca - Hicham

15
Drissi
 Audit Interne – Conditions d’exercice
(Indépendance)

La charte d’audit annonce le cadre de l’exercice de l’activité d’audit interne au sein d’une
entreprise,

Document signé par le Président du Comité d’audit, la Direction Générale et le Responsable

d’audit interne et transmis à l’ensemble du personnel,

Ce document spécifie la fonction, les pouvoirs et les responsabilités du service d’audit

interne, y compris le rattachement au comité d’audit, les accès nécessaires à l’exécution du
travail d’audit, toutes les restrictions de périmètre et/ou de pouvoir, le respect d’un code de
déontologie et des normes d’audit interne, ainsi que les relations avec les auditeurs
externes.

Ce document est revu périodiquement pour garantir son adéquation au fonctionnement de

l’activité.

ENCG Casablanca - Hicham

16
Drissi
 Audit Interne – Conditions d’exercice (Indépendance)
Le Comité d’audit est une émanation du Conseil d’administration. Il l’assiste sur le plan de la surveillance
des règles de conformité des rapports financiers, du respect des prescriptions juridiques et
réglementaires, ainsi que de la qualification, de l’indépendance et de l’action, des auditeurs externes.
 Il donne avis, au Conseil d’administration, sur le dispositif de contrôle interne, la qualité des comptes, les
performances ainsi que sur toute question se rapportant au système d’information et de gestion de la
Société.

 Il est constitué de 2 à 3 administrateurs, membres du Conseil. La bonne gouvernance stipule que l’un d’eux doit être
un administrateur indépendant, et de préférence ayant des connaissances en matière de gouvernance, gestion de
risques ou encore en contrôle interne.
 Le secrétariat du Comité d’audit interne est généralement tenu par le Responsable d’audit interne.
 le Comité d’audit tient ses réunions selon un planning défini et avant la tenue du Conseil. L’ordre du jour de ses
réunions est établi en collaboration avec le Responsable de l’audit interne :
 La gouvernance de l’entreprise,
 La gestion des risques,
 Les arrêtés comptables,
 Les rapports d’audit interne,
 Les rapports du commissaires aux comptes, …
 Le comité d’audit va s’appuyer sur les avis des experts, et surtout celui du commissaire aux comptes , qui est
systématiquement présent dans les réunions du comité d’audit (pour alimenter le Comité mais aussi pour observer
les
ENCGtravaux de ce- Hicham
Casablanca dernier).
17
 Drissi
Comme pour l’audit interne, le Comité d’audit se dote d’une charte de fonctionnement qui va préciser son
 B) Les champs d’évaluation de l’audit interne

- Contrôle interne- cadre de référence

: le COSO I
- Management des risques- COSO II
- COSO III
- Rôle de l’audit interne

ENCG Casablanca - Hicham

18
Drissi
 Définition du contrôle Interne
le contrôle interne est l’ensemble des
sécurités contribuant à la maîtrise de
l’entreprise. Il a pour but d’assurer la
protection, la sauvegarde du patrimoine et
la qualité de l’information d’une part et de
l’autre, l’application des instructions de la
direction, et de favoriser l’amélioration des
ENCG Casablanca - Hicham
Drissi
19
 Historique du COSO
• de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses
interrogations quant au système comptable et de management, aussi bien au niveau des
normes actuelles que de leur mise en œuvre et leur contrôle.
•
COSO (Committee Of Sponsoring Organizations of the Treadway Commission) établit en 1992
une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par
extension ce standard s'appelle aussi COSO.

• En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron,

Worldcom, …), promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act ou SOX act). Cette
loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à
en publier leurs conclusions dans les états demandés par la
Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre
conceptuel, le SOX act a favorisé l'adoption du COSO comme référentiel.
• EnENCG
Drissi
Casablanca - Hicham
France, la loi de sécurité financière (dite loi LSF) promulguée peu après en 2003,
20 a
 Historique du COSO
• En 2004, la commission élargit le périmètre de ses réflexions et
élabore un nouveau référentiel COSO 2 qui est axé davantage
sur le processus de management des risques en entreprise
(notion d’opportunité, appétence au risques, objectifs
stratégiques, élargissement du périmètre aux filiales, ..).

• En 2013, la commission met à jour le 1er référentiel COSO I axé

sur le contrôle interne afin d’adapter le référentiel aux
évolutions de l’environnement et de l’entreprise : nouveaux
risques émergeants comme la cybercriminalité, le rôle de la
technologie, les problématiques d’externalisation, les nouveaux
enjeux de- Hicham
ENCG Casablanca la gouvernance, … 21
Drissi
Historique du COSO

• 1992  Référentiel du contrôle interne  COSO I

• 2004  Référentiel du management du risques  COSO II
• 2013 Référentiel du contrôle interne (actualisation du
référentiel de 1992) COSO III

ENCG Casablanca - Hicham

22
Drissi
 Contrôle interne – cadre de référence COSO I
Définition

Selon le COSO I :
« le contrôle interne est un processus mis en œuvre par le
Conseil d’administration, les dirigeants et le personnel d’une
organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
- La réalisation et l’optimisation des opérations,
- La fiabilité des informations financières,
- La conformité aux lois et aux réglementations en vigueur. »
Les 5 composants du contrôle interne.
ENCG Casablanca - Hicham
23
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne

L’environnement de contrôle constitue le milieu dans lequel

les personnes accomplissent leurs tâches et assument leurs
responsabilités en matière de contrôle. Il sert de base pour les
autres éléments du contrôle interne. Dans cet
environnement, les dirigeants évaluent les risques
susceptibles de mettre en cause la réalisation des objectifs
spécifiques. Les activités de contrôle sont mises en place
pour permettre à la direction de s’assurer que ses directives
visant à traiter ces risques ont été exécutées. Entre temps, les
informations pertinentes sont recueillies et communiquées à
l’ensemble de l’organisation.

Le processus complet fait l’objet d’un pilotage et de

modifications le cas échéant.

 Pour répondre aux 3 objectifs du contrôle interne.

COSO I
ENCG Casablanca - Hicham
24
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
L’environnement de contrôle
L’intégrité et Culture de l’entreprise, état d’esprit des dirigeants  code de conduite,
éthique Incitations : pressions pour atteindre des objectifs irréalisables, à court terme,
formules de rémunération basée fortement sur les performances, …
Tentations : contrôles inexistants ou inefficaces (mauvaise séparation des
tâches par ex), forte décentralisation des responsabilités, …
Les compétences Le niveau de compétences et de connaissance requis,
Critères de recrutement,
Formation et évaluation objective des performances,
Compétences Vs coût.
Conseil s’assurer du bon fonctionnement du système de contrôle interne :
d’administration et + compétences appropriées,
Comité d’audit + administrateurs indépendants, …
Philosophie et style Niveau de risques accepté par les dirigeants,
de management Modèle de gestion adopté (conventionnel, informel),
des dirigeants Niveau de délégation ou de centralisation des pouvoirs et les outils de
contrôle mis en place.

ENCG Casablanca - Hicham

25
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
L’environnement de contrôle
Structure de - Organigramme détaillé,
l’entreprise - Descriptifs des activités, Fiches de postes et descriptifs de l’organisation
(hiérarchie pyramidale, structure matricielle, …),
Délégation de - Système clair de délégation des pouvoirs et des responsabilités,
pouvoirs et - Définition des périmètres et les limites de prises de décisions, et de
domaine de remontée d’information,
responsabilité - Respect du principe de séparation des tâches (autorisation, engagement et
règlements) doit être respecté.

Politique en - Traduire les exigences en matière d’intégrité, d’éthique et de

matière de compétences.
ressources - Doit englober : le recrutement, la gestion des carrières, la
humaines formation, les évaluations individuelles, les promotions et
rémunération, …
Les différences et - Tenir compte des différences de cultures et des environnements
leurs conséquences dans les cas de sociétés à répartition géographique importante
ENCG Casablanca - Hicham (société mère et filiales installées dans différents pays par ex).
26
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
L’évaluation des risques

Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.

Identifier les risques par process critique liés aux objectifs de l’entreprises,
Facteurs Interne / externe
Organisation, techniques, réglementaire, …

Evaluer les risques : Son importance, Sa probabilité

Elaboration de la cartographie des

risques : permettre une vision
synthétique des risques pris par
ENCG Casablanca - Hicham l’entreprise sur ses métiers
27
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
Les activités de contrôle

L’application des normes et procédures destinées à assurer l’exécution des directives émises
par le management en vue de maitriser les risques.

Couvrent :
- Le domaine opérationnel : réalisation et optimisation des opérations,
- La fiabilité de l’information comptable et financière,
- Le respect des règlements et lois en vigueur.

ENCG Casablanca - Hicham

28
Drissi
 Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
L’information et communication

L’information pertinente doit être identifiée, recueillie et diffusée dans les meilleures
conditions de forme et de délai :

 Production de rapports de performance répondant aux critères définis par l'entreprise,

 Alignement des systèmes d'information et de communication avec la stratégie de
l'entreprise,
 Engagement de l'entreprise pour développer, tester et superviser les systèmes
d'informations,
 Plan de secours et plan de continuité informatique.

ENCG Casablanca - Hicham

29
Drissi
Contrôle interne – cadre de référence COSO I
Eléments composants le contrôle interne
Le pilotage

 Évaluation périodique des contrôles internes,

 Mise en place de recommandations pour amélioration,
 Fonction d'audit interne structurée pour superviser les activités de contrôle.

ENCG Casablanca - Hicham

30
Drissi
Contrôle interne – cadre de référence COSO II
Définition

• Le management des risques traite des risques et des opportunités ayant une
incidence sur la création ou la préservation de la valeur. Il se définit comme suit :

– «  Un processus mis en œuvre par le conseil d administration, la direction

générale, le management et l'ensemble des collaborateurs de l’organisation. Il est
pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l'organisation.

– Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’

organisation et pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs
de l'organisation. »
– Casablanca - Hicham
ENCG Source : COSO II 31
Drissi
Contrôle interne – cadre de référence COSO II
Eléments composants le contrôle interne

Objectifs du Management de risques :

• Stratégique objectifs stratégiques servant la mission

de l’organisation,
• Opérationnel objectifs visant l utilisation efficace et
efficiente des ressources,
• Reporting objectifs liés à la fiabilité du reporting,
• Conformité objectifs de conformité aux lois et aux
réglementations en vigueur.

ENCG Casablanca - Hicham

32
Drissi
Contrôle interne – cadre de référence COSO II
Eléments composants le contrôle interne
Le dispositif de management des risques comprend huit éléments. Ces éléments résultent de la
façon dont l’organisation est gérée et sont intégrés au processus de management :

Environnement interne L’environnement interne englobe la culture et l’esprit de

l’organisation. Il structure la façon dont les risques sont appréhendés et pris en compte par
l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception du
management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et
l’environnement dans lequel l’organisation opère.

Fixation des objectifs Les objectifs doivent avoir été préalablement définis pour que le
management puisse identifier les événements potentiels susceptibles d’en affecter la
réalisation. Le management des risques permet de s’assurer que la direction a mis en place un
processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité
ainsi qu’avec son appétence pour le risque.

Identification des événements Les événements internes et externes susceptibles d’affecter

l’atteinte des objectifs
ENCG Casablanca - Hicham d’une organisation doivent être identifiés en faisant la distinction entre
33
risques
Drissi et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la
 Contrôle interne – cadre de référence COSO II
Eléments composants le contrôle interne
Evaluation des risques Les risques sont analysés, tant en fonction de leur probabilité que de
leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent être gérés.
Les risques inhérents et les risques résiduels sont évalués.

Traitement des risques Le management définit des solutions permettant de faire face aux
risques évitement, acceptation, réduction ou partage. Pour ce faire le management élabore
un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil
de tolérance et l’appétence pour le risque de l’organisation.

Activités de contrôle Des politiques et procédures sont définies et déployées afin de veiller à la
mise en place et l application effective des mesures de traitement des risques.

Information et communication Les informations utiles sont identifiées, collectées, et

communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs
responsabilités. Plus globalement, la communication doit circuler verticalement et
transversalement au sein de l organisation de façon efficace.
ENCG Casablanca - Hicham
34
Pilotage
Drissi Le processus de management des risques est piloté dans sa globalité et modifié en
 Contrôle interne – cadre de référence COSO
COSO III
En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le but
de cette mise à jour est de prendre en compte les évolutions des environnements opérationnels
et les attentes accrues concernant le contrôle interne. Tout en se reposant sur les principes
fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés significatives
permettant la mise en œuvre d’un dispositif plus agile s’alignant en permanence aux objectifs
de l’organisation.

• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle
interne (la cyber-criminalité, le cloudcomputing, etc.) ;
• En matière de gouvernance (notamment les rôles des comités au niveau du conseil mais
aussi de la direction générale sur des enjeux importants comme les risques, la conformité,
etc.) ;
• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les
entités de l’organisation (le « tone in the middle » et le lien entre les objectifs, les risques
encourus et l’évaluation de la performance) ;
• La nécessité de s’adapter en permanence à un environnement interne et externe en
mutation ;
• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les
opérationnels,
ENCG Casablancales fonctions support, et l’audit interne) ; et
- Hicham
35
Drissi
• Les exigences de reporting au-delà de la communication financière (développement durable,
Contrôle interne – cadre de référence COSO
COSO III

Le COSO III :
« le contrôle interne est un processus mis en œuvre par le conseil, le management et les
collaborateurs, et qui est destiné à fournir une assurance raisonnable quant à la
réalisation d’objectifs liés aux opérations, au reporting et à la conformité. »

Mise en œuvre à partir du 16 décembre 2014.

ENCG Casablanca - Hicham

36
Drissi
 Contrôle interne – cadre de référence COSO
COSO III
Objectifs de contrôle interne :
1992
Réalisation et optimisation des opérations
Fiabilité des informations financières
2013
Les opérations : réalisation de la mission de
l’entité, comprennent la protection du
patrimoine, …
Le Reporting : externe et interne, financier
et non financier

Conformité aux lois et règlements en La conformité : lois, règlements,

vigueur procédures, notes internes, …

17 Principes de contrôle interne et 81 points

d’attention pour la mise en œuvre des 5
composantes du contrôle interne.
ENCG Casablanca - Hicham
37
Drissi
 Contrôle interne – cadre de référence COSO
COSO III
Le COSO 2013 comprend :

• Un résumé ;
• Le référentiel et ses annexes qui définissent le contrôle interne, le positionnent par rapport
à trois catégories d’objectifs, présentent les cinq composantes du contrôle interne, déclinées
en 17 principes structurants, et décrivent les exigences en matière d’efficacité ;
• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour
faciliter l’évaluation des 17 principes qui constituent un dispositif de contrôle interne
efficace ; et
• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe
(Internal Control over External Financial Reporting, « ICEFR ») qui propose des exemples de
mise en pratique des 17 principes dans le cadre de la réalisation des états financiers.

ENCG Casablanca - Hicham

38
Drissi
 Contrôle interne – cadre de référence COSO
COSO III
Les principales évolutions concernent :
1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité
sociale et environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et
l’alignement avec le business model) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la
direction générale) ;
4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support,
et l’audit interne) ;
5. La relation entre risque, performance et rémunération (notamment le principe portant sur la
responsabilisation) ;
6. L’articulation du « tone at the top » avec les comportements à travers l’organisation (« tone in the
middle ») ;
7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au
code de conduite, au respect des contrôles au-delà du reporting financier) ; et
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée
par exemple à la mise en place de nouveaux processus, rôles, structures, systèmes d’information, centres
de services partagés, périmètre d’activité, etc.
Le périmètre du contrôle interne n’élargit pas aux objectifs stratégiques, à l’appétence pour le risque ou
autres sujets du ressort de l’Enterprise Risk Management et du référentiel de 2004 (COSOII). Le COSO
2013 s’articule logiquement avec le COSO ERM, le contrôle interne étant défini comme une partie
ENCG Casablanca - Hicham
intégrante de l’ERM. 39
Drissi
Contrôle interne – cadre de référence COSO
COSO III
Composantes Principes
Environnement 1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.
de contrôle 2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon
fonctionnement du dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, défi nit les structures, les rattachements, ainsi que
les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents
conformément aux objectifs.
5. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses
responsabilités en matière de contrôle interne.

Evaluation des 6. L’organisation défi nit des objectifs de façon suffisamment claire
risques pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre
et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre
la réalisation des objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le
système de contrôle interne.
Activités de 10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des niveaux
contrôle acceptables les risques associés à la réalisation des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation
des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs
poursuivis, et de procédures qui mettent en œuvre ces règles.
Information et 13. L’organisation obtient ou génère, et utilise, des informations pertinentes et fi ables pour faciliter le
communication fonctionnement des autres composantes du contrôle interne.
14. L’organisation communique en interne les informations nécessaires
au bon fonctionnement des autres composantes du contrôle interne, notamment en matière d’objectifs et de
responsabilités associés au contrôle interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres
composantes du contrôle interne.

Activités de 16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de
pilotage vérifier si les composantes du contrôle interne sont mise en place et fonctionnent.
ENCG Casablanca - Hicham 17. L’organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties
40le cas.
chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil, selon
Drissi