1.1.2.5 La supervision c'est-à-dire le
« contrôle du contrôle » interne.
Les principaux critères Coso à cet égard
sont:
· La surveillance permanente;
· Le contrôle spécial; rapport sur les
points faibles identifiés par le contrôle et l'élimination
de ces points.
L'efficacité du contrôle interne
devrait être contrôlée en permanence. Il est garanti que le
SCI demeure efficace par le biais d'activités de contrôle
permanentes et/ou d'évaluations séparées (contrôles
spéciaux) ainsi que par la correction des points faibles
identifiés. Les contrôles effectués et les résultats
doivent être enregistrés le plus concrètement possible sous
une forme appropriée. Il faut tenir dûment compte de
l'évolution des conditions internes et externes de l'entreprise.
Différents changements peuvent donner lieu à des mesures de
contrôle appropriées: introduction de nouveaux produits,
croissance rapide de certains domaines/activités, fluctuation du
personnel, nouveaux systèmes d'information, changement
de structure d'organisation, fusions, modification de
l'environnement législatif et réglementaire ou changement
d'activité internationale. Si des écarts et lacunes sont
constatés, il faut s'assurer que des mesures de correction sont mises en
oeuvre. Les fonctions et échelons hiérarchiques concernés
doivent être informés à temps des problèmes en
question et le conseil d'administration ainsi que la direction avisés
des cas graves.
Le Coso 1 que nous venons de décrire
présente quelques insuffisances que va palier le Coso 2 à travers
le modèle de Enterprise risk management.
Figure. 1: Cube C.O.S.O
Information et communication
Activités de pilotage et de contrôle
Environnement de pilotage et de contrôle
Evaluation des risques
Contrôle
Source: John J.Flaherty et Tony
Maki, (2004), La pratique du contrôle
interne COSO report, paris, AICPA, p5.
1.1.3 Le modèle proposé
par « Enterprise risk management » (ERM)
Le modèle proposé par Enterprise
risk management est un modèle de gestion ciblée des risques et
constitue le Coso 2 dans la mesure où le Coso 1 semble oublier
l'élément « risque » ; il est
basé sur une vision orientée sur le risque de l'entreprise .Ici
la notion de « risk appetite » est nouvelle, il s'agit du
niveau de risque accepté par l'organisation dans le but
d'accroître sa valeur. Ainsi la non prise en considération du
risque expose toute l'entreprise de par ses stratégies à
différents risques. En conséquence, le « risk
appetite » doit être pris en compte dans la définition
de la stratégie de l'organisation afin de s'assurer que les
résultats de cette stratégie sont cohérents avec le
« risk appetite » défini pour l'organisation. Ce
modèle comporte huit éléments contrairement au premier
modèle du Coso. Le modèle du cube du Coso et son architecture
à trois plans sont conservés :
Ø Niveaux de l'organisation ;
Ø Eléments de contrôle interne (qui
devient Eléments de gestion des risques) ;
Ø Objectifs de l'organisation.
En revanche, les différents plans sont modifiés
ou enrichis.
Tout d'abord au niveau de
· l'axe « Niveaux de l'organisation »
l'on note :
- L'apport d'un cadre plus strict de décomposition de
la structure d'une organisation ;
- La mise en évidence en la nécessité de
prendre en compte l'ensemble de l'organisation pour que le Coso 2 soit
appliqué avec succès.
Ensuite
· l'axe « Objectifs » où il y
a eu : Apport d'un nouvel objectif :
« Stratégique ».
- L'élargissement de la notion de reporting :
cette notion couvre désormais non seulement le reporting financier, mais
aussi la remontée d'informations non-financières. De plus, cette
notion couvre dorénavant à la fois la remontée
d'informations externes mais aussi internes.
· Enfin l'axe « Eléments de
contrôle » :
L'enrichissement de l'axe
« éléments de contrôle » qui devient
« éléments de gestion des risques » et qui
passe de cinq à huit catégories (cf. figure. 2 page suivante)
Figure. 2 : Modèle COSO
ERM
Risk Management Philosophy - Risk Culture - Board of Directors
- Integrity and Ethical Values - Commitment to Competence - Management's
Philosophy and Operating Style -Risk Appetite - Organizational Structure
- Assignment of Authority and Responsibility - Human Resource
Policies and Practices
OBJECTIVE SETTING
STTTT
STR
Event identification
Risk assessment
Risk Response
Control Activities
Information and Communication
Monitoring
Source: John
J.Flaherty et Tony Maki, (2004), La pratique du
contrôle interne COSO report, paris,
AICPA, p10.
| 
