Le COSO 2 souligne l'importance de la prise de responsabilité dans une entreprise et détaille ce qu'elle recouvre pour chacun des acteurs. On retrouve dans cette partie des analogies fortes avec la loi Sarbanes-Oxley.
Le COSO découpe les éléments du contrôle interne en 5 parties, chacune représentant plusieurs thématiques de contrôle. L'environnement de contrôle (control environment) L'environnement de contrôle constitue la base de la construction du contrôle interne COSO.
COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission Entreprise Risk Management) est très utilisé pour le contrôle interne et la gestion des risques. Il reste au programme actuel de la certification CISSP, inclus dans le domaine 1 des connaissances à maitriser pour réussir l'examen.
En effet, pour mettre en place un système de contrôle interne, il est nécessaire de choisir un référentiel. Le référentiel le plus utilisé est le COSO (Committee Of Sponsoring Organisations). Il s'adapte à toute entreprise et traite les points les plus importants du contrôle interne.
L'application du COSO au reporting non financier. Les 17 principes du COSO s'articulent en cinq grands groupes : environnement de contrôle, évaluation des risques, activités de contrôle, information et communication et activités de pilotage.
Chaque objectif est décliné en cinq composantes : l'environnement de contrôle, l'évaluation des risques, les activités de contrôle en tant que telles, l'information et la communication, la supervision.
Pratiquer le contrôle interne, c'est s'assurer que les risques d'exploitation d'une entreprise sont connus, maîtrisés et évalués régulièrement par des procédures adaptées. Le contrôle de gestion permet de mesurer des performances grâce à des indicateurs utiles pour le pilotage de l'entreprise.
Cadre de Référence International des Pratiques Professionnelles de l'audit interne (CRIPP) Le Cadre de Référence International des Pratiques Professionnelles de l'audit interne (CRIPP) comprend les lignes directrices approuvées par l'Institute of Internal Auditors.
L'audit interne doit être réalisé par un auditeur indépendant.
Le cadre du COSO vise à permettre aux entités d'évaluer l'efficacité du système de contrôle interne quant à l'atteinte des objectifs déterminés par la direction. À l'instar du cadre de 1992, celui de 2013 décrit trois catégories d'objectifs.
Le Responsable du contrôle interne est un professionnel qui a pour mission de veiller à la bonne gestion des risques au sein de l'entreprise. Il est chargé de mettre en place des procédures de contrôle interne afin de garantir la fiabilité des informations financières et comptables de l'entreprise.
Le contrôle interne permet la réalisation et l'optimisation des opérations, assure la fiabilité de l'information financière et comptable. Enfin, il garantit la conformité des opérations et des procédures aux lois et à la réglementation en vigueur.
Sont concernées les faiblesses significatives de contrôle interne qui sont caractérisées par l'absence ou l'incapacité d'un contrôle nécessaire pour prévenir, détecter ou corriger des anomalies dans les comptes du fait de sa conception et de son fonctionnement.
L'audit interne est une opération ponctuelle et le contrôle interne est continu. Ce sont deux fonctions de l'entreprise souvent confondues. La raison ? Le fait que ces deux activités soient liées à la notion de contrôle.
Parmi les principes fondamentaux du contrôle interne, on peut citer : Tenir des registres. Assurer les actifs avec les employés clés. Séparation des tâches.
Il existe en effet des limites inhérentes à tout système de Contrôle Interne. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l'exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison d'une défaillance humaine ou d'une simple erreur.
- Des risques patrimoniaux : ne pas préserver le patrimoine humain et physique de l'entreprise et ne pas assurer son renouvellement. - Des risques liés à la fiabilité de l'information opérationnelle, économique et financière : élaborer des états financiers erronés, s'appuyer sur des bases non fiables pour décider.
Le contrôle interne requiert une parfaite maîtrise de diffusion des informations, aussi bien en interne qu'en externe. Il s'agit de transmettre une information de bonne qualité : exacte, précise et fiable. Mais aussi de bien définir les conditions de communication.
Les contrôles préventifs sont des contrôles de sécurité conçus pour empêcher qu'un événement ne se produise.
L'objectif de la conformité est d'encourager et d'afficher des pratiques industrielles et économiques transparentes, éthiques et légales, tout en protégeant le client et les salariés.