Le Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ a publié le 14 mai, 2013, une version actualisée de son Internal Control-Integrated Framework (le  » Cadre 2013 « ). En outre, le COSO a publié deux documents illustratifs : Illustrative Tools for Assessing Effectiveness of a System of Internal Control (les « Illustrative Tools ») et Internal Control Over External Financial Reporting : A Compendium of Approaches and Examples (le « Compendium ICEFR ») ainsi qu’un résumé du Cadre 2013.

Initialement publié en 1992, le Cadre intégré de contrôle interne du COSO (le « Cadre 1992 ») est devenu l’un des cadres de contrôle interne les plus largement acceptés dans le monde. L’objectif principal du COSO dans la mise à jour et l’amélioration du cadre est de répondre aux changements importants des environnements commerciaux et opérationnels qui ont eu lieu au cours des 20 dernières années.

Le cadre 2013 et les outils illustratifs peuvent être achetés auprès de l’AICPA. Un résumé du cadre de 2013 est disponible gratuitement sur le site Web du COSO.

Vous trouverez ci-dessous un aperçu tiré du bulletin d’information Heads Up de Deloitte publié le 10 juin 2013, des améliorations apportées au cadre de 2013, une discussion des considérations pour les entités qui utilisent le cadre de 1992 pour se conformer à la section 404 de la loi Sarbanes-Oxley de 2002 (SOX), et des renseignements sur la transition du cadre de 1992 au cadre de 2013, y compris les répercussions sur les autres documents liés au COSO. En outre, les annexes du bulletin L’Enjeu du 10 juin comparent le cadre de 2013 à celui de 1992 et mettent en évidence certains des concepts élargis du cadre de 2013. Pour de plus amples renseignements sur les cadres, voir les bulletins L’Enjeu du 6 février 2012 et du 7 août 2012 de Deloitte.

Améliorations du Cadre 2013

Le Cadre 2013 crée une structure plus formelle pour la conception et l’évaluation de l’efficacité du contrôle interne en :

1. Utilisant des principes pour décrire les composantes du contrôle interne. Le Cadre 2013 contient 17 principes qui expliquent les concepts associés aux cinq composantes du Cadre COSO (environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, et activités de surveillance). Lors de l’élaboration des 17 principes, le COSO s’est concentré sur les concepts du cadre de 1992, a pris en compte les principes élaborés et formulés dans le document Internal Control Over Financial Reporting-Guidance for Smaller Public Companies de 2006 du COSO (le « guide pour les petites entreprises ») et a tenu compte des changements importants survenus dans le monde des affaires, les environnements opérationnels et la gouvernance depuis 1992. Le COSO entend que les principes aident les entreprises à concevoir des systèmes efficaces de contrôle interne et à évaluer si ces systèmes fonctionnent efficacement. Le Cadre 2013 part du principe que, puisque les 17 principes sont des concepts fondamentaux des cinq composantes, les 17 principes sont pertinents pour toutes les entités. Par conséquent, si un principe n’est pas présent et ne fonctionne pas, la composante associée n’est pas présente et ne fonctionne pas. Dans de rares cas, en raison de questions liées au secteur, à la réglementation ou à l’exploitation, la direction peut déterminer qu’un principe n’est pas pertinent pour une composante.Pour décrire plus précisément les principes, le Cadre 2013 utilise des points d’intérêt, qui sont généralement des caractéristiques importantes des principes. Bien que les points d’attention puissent aider la direction à concevoir, mettre en œuvre et évaluer le contrôle interne et à déterminer si les principes pertinents sont présents et fonctionnent, ils ne sont pas nécessaires pour évaluer l’efficacité du contrôle interne. La direction peut déterminer que certains des points d’attention ne sont pas appropriés ou pertinents et peut en identifier et en considérer d’autres.

2. Créer une manière plus formelle de concevoir et d’évaluer le contrôle interne conformément aux principes. Voir la discussion ci-dessous sous la rubrique  » Systèmes efficaces de contrôle interne « .

Bien que les concepts fondamentaux du Cadre 2013 soient similaires à ceux du Cadre 1992, le Cadre 2013 ajoute ou développe des discussions sur chaque composante et principe, y compris des améliorations telles que les points d’attention détaillés. Par exemple, bien que le concept d’identification et de réponse aux risques était présent dans le Cadre de 1992, le Cadre de 2013 comprend des discussions plus détaillées sur les concepts d’évaluation des risques, y compris ceux liés au risque inhérent, à la tolérance au risque, à la manière dont les risques peuvent être gérés et au lien entre l’évaluation des risques et les activités de contrôle.

En outre, contrairement au Cadre de 1992, le Cadre de 2013 inclut explicitement le concept de prise en compte du potentiel de risque de fraude lors de l’évaluation des risques pour la réalisation des objectifs d’une organisation (voir le principe 8). Le Cadre de 2013 explique que  » dans le cadre du processus d’évaluation des risques, l’organisme doit identifier les différentes façons dont les rapports frauduleux peuvent se produire, en considérant :

• Les biais de la direction, par exemple dans le choix des principes comptables
• Degré d’estimations et de jugements dans les rapports externes
• Schémas et scénarios de fraude communs aux secteurs industriels et aux marchés dans lesquels l’entité opère
• Régions géographiques où l’entité fait des affaires
• Incitations qui peuvent motiver un comportement frauduleux
• Nature. de la technologie et de la capacité de la direction à manipuler l’information
• Transactions inhabituelles ou complexes soumises à une influence significative de la direction
• Vulnérabilité à la neutralisation de la direction et aux stratagèmes potentiels visant à contourner les activités de contrôle existantes »

Le principe 8 traite également des considérations relatives à la neutralisation de la direction, la sauvegarde des actifs, les incitations et les pressions, les possibilités d’actes inappropriés, ainsi que les attitudes et les rationalisations qui peuvent justifier des actions inappropriées. (Voir l’analyse supplémentaire du principe 8 à l’annexe A de L’Enjeu, volume 20, numéro 17.)

En outre, le COSO a ajouté des considérations tout au long du Cadre 2013 concernant :

• L’utilisation de fournisseurs de services externalisés (voir l’annexe B de L’Enjeu, volume 20, numéro 17).
• La pertinence accrue des technologies de l’information (voir l’annexe C dans L’Enjeu, volume 20, numéro 17).

Le tableau ci-dessous résume les principes par composante. L’annexe A fait correspondre les principes aux sections thématiques du Cadre de 1992 (selon le cas) et résume, à un niveau élevé, certains des concepts améliorés du Cadre de 2013.

Composantes et principes du contrôle

Systèmes efficaces de contrôle interne

Dans un système efficace de contrôle interne selon le Cadre de 2013 :

1. Chacune des cinq composantes et les principes pertinents doivent être présents et fonctionner. Selon le Cadre de 2013 :

• La présence est définie comme « la détermination que les composantes et les principes pertinents existent dans la conception et la mise en œuvre du système de contrôle interne pour atteindre les objectifs spécifiés. »
• Le fonctionnement est défini comme « la détermination que les composantes et les principes pertinents continuent d’exister dans la conduite du système de contrôle interne pour atteindre les objectifs spécifiés. »

2. Les cinq composantes doivent fonctionner ensemble de manière intégrée. Le Cadre 2013 explique que :

• Le fait de fonctionner ensemble fait référence à « la détermination que les cinq composantes réduisent collectivement, à un niveau acceptable, le risque de ne pas atteindre un objectif. »
• La direction peut démontrer que les composantes fonctionnent ensemble lorsque 1) « Les « composantes sont présentes et fonctionnent » et 2) « Les déficiences du contrôle interne agrégées entre les composantes ne permettent pas de déterminer qu’il existe une ou plusieurs déficiences majeures. »

Note de l’éditeur : Selon les règles de la SEC relatives à la conformité à la section 404 de la SOX,  » l’évaluation du contrôle interne d’une société sur le reporting financier doit être basée sur des procédures suffisantes à la fois pour évaluer sa conception et pour tester son efficacité opérationnelle. « ² De même, la norme d’audit 5³ du PCAOB exige que l’auditeur évalue la conception et l’efficacité opérationnelle du contrôle interne sur le reporting financier. Nous pensons que « présent » et « fonctionnement » sont équivalents à « conception » et « efficacité opérationnelle », respectivement.

Le Cadre 2013 utilise les termes « déficience du contrôle interne » et « déficience majeure » pour décrire les degrés de gravité des déficiences du contrôle interne. Selon le Cadre de 2013, une déficience du contrôle interne fait référence à une  » insuffisance d’une ou de plusieurs composantes et d’un ou de plusieurs principes pertinents qui réduit la probabilité que l’entité atteigne ses objectifs « , et une déficience majeure fait référence à une  » déficience ou une combinaison de déficiences du contrôle interne qui réduit fortement la probabilité que l’entité puisse atteindre ses objectifs « . En outre, le Cadre 2013 explique qu’une déficience majeure existe lorsqu' »une composante et un ou plusieurs principes pertinents ne sont pas présents ou ne fonctionnent pas » ou lorsque « les composantes ne fonctionnent pas ensemble. » En outre, si une déficience majeure existe, l’organisation ne peut pas conclure qu’elle a satisfait aux exigences d’un système de contrôle interne efficace.

Important, le Cadre de 2013 reconnaît que, pour évaluer les déficiences du contrôle interne, les régulateurs, les normalisateurs et d’autres parties peuvent établir des critères pour définir la gravité des déficiences du contrôle interne, les évaluer et les communiquer. Pour se conformer aux exigences de reporting du contrôle interne en vertu de la SOX, la direction continuera à utiliser la terminologie de la SEC relative aux déficiences significatives et aux faiblesses matérielles, et les auditeurs continueront à utiliser la même terminologie en vertu des normes du PCAOB. Par conséquent, lorsqu’une société évalue la conception et l’efficacité opérationnelle de son contrôle interne sur les rapports financiers externes (ICEFR) (c’est-à-dire, si les principes sont présents et fonctionnent) et qu’elle identifie une déficience, la société serait tenue d’utiliser les définitions et les directives de la SEC pour évaluer la gravité de la déficience, et l’auditeur serait tenu d’utiliser les définitions et les directives des normes du PCAOB.

Directives de transition du COSO et impact sur les autres documents du COSO

Durant le processus de commentaires publics sur l’exposé-sondage du Cadre 2013, diverses parties prenantes ont demandé que le COSO fournisse une date précise pour l’achèvement de la transition du Cadre 1992 au Cadre 2013. Sur la base de ces commentaires, le COSO a fourni quelques précisions sur la transition et encourage les utilisateurs à « faire passer leurs applications et la documentation connexe au Cadre actualisé dès que possible, compte tenu de leur situation particulière ». Le COSO a également déclaré qu’il « continuera à mettre à disposition son cadre original pendant la période de transition qui s’étend jusqu’au 15 décembre 2014, après quoi le COSO le considérera comme remplacé ». En outre, le chef comptable de la SEC, Paul Beswick, a déclaré que « le personnel de la SEC prévoit de surveiller la transition pour les émetteurs utilisant le cadre de 1992 afin d’évaluer si des actions du personnel ou de la Commission deviennent nécessaires ou appropriées à un moment donné dans le futur. » Il a également déclaré qu’à l’heure actuelle, il « renvoie simplement les utilisateurs du cadre du COSO aux déclarations que le COSO a faites au sujet de leur nouveau cadre et à leurs réflexions sur la transition. »

Pendant la période de transition (du 14 mai 2013 au 15 décembre 2014), le COSO suggère que toute « application de son Internal Control – Integrated Framework qui implique des rapports externes devrait clairement indiquer si la version originale ou la version 2013 a été utilisée ». Par conséquent, lorsque les entreprises fournissent leur évaluation annuelle de l’ICEFR conformément à la SOX, il serait approprié d’indiquer le cadre COSO exact qu’elles ont utilisé pour effectuer l’évaluation.

Note de l’éditeur : La norme d’audit 5 du PCAOB stipule que « l’auditeur doit utiliser le même cadre de contrôle approprié et reconnu pour effectuer son audit du contrôle interne sur l’information financière que celui utilisé par la direction pour son évaluation annuelle de l’efficacité du contrôle interne de l’entreprise sur l’information financière ». Par conséquent, le moment où l’auditeur effectuera la transition vers le Cadre 2013 pour l’audit de l’ICEFR dépendra du moment de la transition de l’entreprise. Si la société utilise le Cadre de 1992 pour l’année civile se terminant le 31 décembre 2013, l’auditeur utilisera également le Cadre de 1992. Nous pensons que, de manière cohérente avec l’approche de divulgation du cadre COSO exact utilisé dans l’évaluation de l’ICEFR par la direction, il serait approprié d’indiquer dans le rapport de l’auditeur le cadre exact utilisé.

Le Guide des petites entreprises du CHF sera remplacé par le Compendium ICEFR après le 15 décembre 2014.

Le Cadre intégré de gestion des risques d’entreprise (le  » Cadre ERM « ) du CHF n’a pas été remplacé par le Cadre 2013. Bien que le Cadre GRE et le Cadre 2013 soient censés avoir des centres d’intérêt différents, les deux cadres sont conçus pour se compléter. Le COSO estime que même si le Cadre GRE comprend des parties du texte du Cadre de 1992, le Cadre GRE continue de convenir à la conception, à la mise en œuvre, à la conduite et à l’évaluation de la gestion des risques d’entreprise.

Les orientations du COSO sur la surveillance des systèmes de contrôle interne, qui ont été rédigées pour aider les organisations à comprendre et à appliquer les activités de surveillance dans un système de contrôle interne, continuent également de rester pertinentes (c’est-à-dire qu’elles n’ont pas été remplacées par le Cadre de 2013). L’annexe F du Cadre de 2013 indique que les  » changements apportés aux principes du Cadre ne modifieront pas substantiellement les approches développées pour le Guide du COSO sur la surveillance des systèmes de contrôle interne. « 

Contrôle interne de l’information financière externe

L’impact du Cadre de 2013 sur l’évaluation par la direction de l’efficacité de l’ICEFR (c’est-à-dire pour se conformer à la section 404 de la SOX) dépendra de la façon dont une entreprise a appliqué et interprété les concepts du Cadre de 1992. Par exemple, un système de contrôle interne existant peut ne pas démontrer ou documenter clairement que tous les principes pertinents sont présents et fonctionnent. Le COSO a élaboré le Compendium ICEFR pour aider les entreprises à appliquer le Cadre 2013. Les approches discutées dans le document décrivent comment les organisations peuvent appliquer les principes dans leur système d’ICEFR, et ses exemples illustrent l’application de chaque principe. Les entreprises qui utilisent le COSO pour rendre compte de l’ICEFR peuvent envisager :

1. Lire le Cadre 2013 et identifier les nouveaux concepts et les changements.

2. Évaluer leurs besoins en matière de formation et d’éducation.

3. Déterminer comment le Cadre 2013 affecte la conception et l’évaluation de l’ICEFR en :

a. Évaluant la couverture des principes par les processus existants et les contrôles connexes et en considérant les points d’intérêt.

b. Évaluer les processus, les activités et la documentation disponible actuels liés à l’application des principes.

c. Identifier toute lacune dans ce qui précède.

4. Identifier les étapes, le cas échéant, à réaliser pour effectuer la transition vers le Cadre 2013, et :

a. Formuler un plan pour effectuer la transition d’ici le 15 décembre 2014 (c’est-à-dire que les entreprises en fin d’année civile qui se conforment à la section 404 de la SOX devraient effectuer la transition vers le Cadre de 2013 pour les périodes de déclaration se terminant après le 31 décembre 2014).

b. Envisager d’utiliser les activités réalisées en 2013 (par exemple, les walkthroughs, les tests des contrôles pertinents, l’évaluation des déficiences) pour identifier les changements nécessaires et piloter ou tester sur le terrain l’application du Cadre 2013.

c. Confirmer la divulgation appropriée du cadre utilisé pendant la période de transition et au moment de l’adoption du Cadre 2013.

5. Coordonner et communiquer en interne avec tous les groupes qui sont responsables de la mise en œuvre, de la surveillance et de l’établissement de rapports sur l’ICEFR de l’organisation.

6. Discuter et coordonner les activités avec l’audit interne (le cas échéant) et l’auditeur externe.

Outils illustratifs

Les outils illustratifs du CHF fournissent des exemples de la façon dont une entreprise peut appliquer le Cadre 2013 pour évaluer l’efficacité de son système de contrôle interne. Le document fournit des modèles illustratifs et comprend des scénarios avec des exemples de la façon de remplir divers modèles. Toutefois, les outils illustratifs ne sont pas destinés à :

• Satisfaire à toute exigence réglementaire d’évaluation des déficiences du contrôle interne.
• Illustrer la sélection par la direction des contrôles pour effectuer les principes ou traiter les risques identifiés.
• Illustrer les décisions concernant la nature, le calendrier ou l’étendue des tests des contrôles pour garantir un système efficace de contrôle interne.

-Produit par Jennifer Burns et Brent Simer, Deloitte LLP

Endnotes
1. Le COSO est une initiative conjointe de cinq organisations du secteur privé et se consacre à fournir un leadership éclairé en développant des cadres et des conseils sur la gestion des risques d’entreprise, le contrôle interne et la dissuasion de la fraude. Les cinq organisations du secteur privé sont l’American Accounting Association, l’American Institute of Certified Public Accountants, Financial Executives International, l’Institute of Management Accountants et l’Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 and S7-06-03 (August 14, 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

4.