COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission Entreprise Risk Management) est très utilisé pour le contrôle interne et la gestion des risques. Il reste au programme actuel de la certification CISSP, inclus dans le domaine 1 des connaissances à maitriser pour réussir l'examen.
Le COSO découpe les éléments du contrôle interne en 5 parties, chacune représentant plusieurs thématiques de contrôle. L'environnement de contrôle (control environment) L'environnement de contrôle constitue la base de la construction du contrôle interne COSO.
En effet, pour mettre en place un système de contrôle interne, il est nécessaire de choisir un référentiel. Le référentiel le plus utilisé est le COSO (Committee Of Sponsoring Organisations). Il s'adapte à toute entreprise et traite les points les plus importants du contrôle interne.
Le COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission.
Le cadre COSO indique : « Pour atteindre ses objectifs, l'organisation peut s'appuyer sur cinq composantes du contrôle interne, à savoir : L'environnement de contrôle, l'évaluation des risques, les activités de contrôle, l'information et la communication et Le pilotage.
Le COSO a surtout pour vocation d'améliorer le reporting financier par une bonne gestion d'entreprise, un comportement éthique et des contrôles internes efficaces. Depuis la publication de l'« Internal Control – Integrated Framework » en 1992, ce référentiel est sans doute le plus connu de tous.
Tous les acteurs de l'entité sont impliqués dans le système de contrôle interne : les organes de surveillance (ministre et cabinet, comités exécutifs, de direction, des risques, d'audit…), les organes exécutifs (la direction générale, les directeurs et tous les agents).
Le Responsable du contrôle interne est un professionnel qui a pour mission de veiller à la bonne gestion des risques au sein de l'entreprise. Il est chargé de mettre en place des procédures de contrôle interne afin de garantir la fiabilité des informations financières et comptables de l'entreprise.
L'audit interne est une opération ponctuelle et le contrôle interne est continu. Ce sont deux fonctions de l'entreprise souvent confondues. La raison ? Le fait que ces deux activités soient liées à la notion de contrôle.
Chaque objectif est décliné en cinq composantes : l'environnement de contrôle, l'évaluation des risques, les activités de contrôle en tant que telles, l'information et la communication, la supervision.
assurer la protection, la sauvegarde du patrimoine et la qualité de l'information ; assurer la conformité par rapport aux lois et aux règlements ; et également d'assurer l'application des instructions de la direction en vue d'améliorer les performances de l'entreprise.
Pratiquer le contrôle interne, c'est s'assurer que les risques d'exploitation d'une entreprise sont connus, maîtrisés et évalués régulièrement par des procédures adaptées. Le contrôle de gestion permet de mesurer des performances grâce à des indicateurs utiles pour le pilotage de l'entreprise.
Cadre de Référence International des Pratiques Professionnelles de l'audit interne (CRIPP) Le Cadre de Référence International des Pratiques Professionnelles de l'audit interne (CRIPP) comprend les lignes directrices approuvées par l'Institute of Internal Auditors.
Le contrôle interne requiert une parfaite maîtrise de diffusion des informations, aussi bien en interne qu'en externe. Il s'agit de transmettre une information de bonne qualité : exacte, précise et fiable. Mais aussi de bien définir les conditions de communication.
Sont concernées les faiblesses significatives de contrôle interne qui sont caractérisées par l'absence ou l'incapacité d'un contrôle nécessaire pour prévenir, détecter ou corriger des anomalies dans les comptes du fait de sa conception et de son fonctionnement.
Dans l'entreprise, le contrôle interne assume ces deux rôles : il vise à maîtriser les risques, mais aussi à vérifier la bonne application des règles permettant d'atteindre cet objectif. En pratique, anticiper les événements à risques exige de disposer d'une organisation optimisée.
- Des risques patrimoniaux : ne pas préserver le patrimoine humain et physique de l'entreprise et ne pas assurer son renouvellement. - Des risques liés à la fiabilité de l'information opérationnelle, économique et financière : élaborer des états financiers erronés, s'appuyer sur des bases non fiables pour décider.
Globalement il existe 6 assertions : exhaustivité, réalité, propriété, correcte évaluation, séparation des exercices, correcte imputation. Pour valider ces assertions, l'auditeur va mettre en œuvre des procédures d'audit. Il va ensuite consigner tous ses travaux dans un dossier de travail.
Le contrôle interne est un processus qui fonctionne en continu à tous les niveaux. et clairement définie entre les tâches de chaque employé et la façon dont celles-ci doivent être accomplies, et ce en fonction des objectifs de l'Organisation.