Les fraudes internes constituent une part importante du risque opérationnel auquel est confrontée toute organisation. C'est particulièrement vrai pour les multinationales qui ont des intérêts commerciaux dans divers pays du monde. En effet, des milliers de personnes occupant des postes importants prennent des décisions commerciales pour le compte de l'entreprise. Il est donc difficile de s'assurer que tous ces employés agissent en permanence conformément aux principes de l'entreprise.

Ce problème a pris de l'ampleur au tournant du siècle. Le scandale Enron, qui a secoué l'économie mondiale au début des années 2000, a également accentué la nécessité de disposer de contrôles internes adéquats au sein de toute organisation. En réponse au scandale Enron, le gouvernement américain a adopté une loi historique, la loi Sarbanes-Oxley (SOX). Conformément à cette loi, la direction et les auditeurs de l'entreprise sont conjointement responsables de la documentation claire des processus de contrôle interne et de leur certification.

Des études ont montré que l'absence de contrôles internes clairement définis est à l'origine de plus de 50 % des fraudes internes dans le monde. Puisque chaque entreprise doit documenter ces processus, le Committee of Sponsoring Organizations (COSO) a élaboré un cadre applicable à toutes les organisations pour développer et documenter leurs contrôles internes. Ce système, conçu par des experts, peut être utilisé par toute organisation pour améliorer sa gestion des risques. Le COSO est un comité composé de cinq grandes associations.

Qu'est-ce que le référentiel COSO ?

Le cadre COSO a été développé pour la première fois en 1992. Au fil des ans, il a connu plusieurs itérations et a été révisé à plusieurs reprises. Le modèle comporte trois dimensions, ce qui explique sa représentation souvent sous forme de cube.

La première dimension : les fonctions

Le cadre COSO mentionne les actions à entreprendre dans trois fonctions distinctes :

1. Opérations: Le cadre COSO suggère que les opérations de l’organisation soient étudiées en profondeur afin de développer des contrôles internes

2. Reporting: Le cadre COSO suggère également que toute source d'information alimentant les rapports internes ou externes doit faire l'objet d'un audit d'exactitude. Ces audits doivent être effectués à intervalles réguliers et garantir que le système d'information de l'entreprise fonctionne de manière opportune, fiable et transparente.

3. Conformité : Enfin, les objectifs de contrôle interne doivent être alignés avec les différentes lois et réglementations que l’entreprise est censée suivre.

Les deuxièmes dimensions : les niveaux

Le cadre COSO suggère que l'organisation doit être divisée en différents niveaux pour gérer les contrôles internes. Ces contrôles doivent faire l'objet d'une surveillance continue à différents niveaux, tels que les filiales, les unités opérationnelles, les divisions et l'entité.

La troisième dimension : l'environnement

1. Environnement interne: L'environnement interne de l'entreprise fait référence à la culture propagée par la direction. L'une des raisons de la débâcle d'Enron est que les valeurs contraires à l'éthique propagées par la direction se sont infiltrées aux échelons inférieurs de l'encadrement. C'est pourquoi le conseil d'administration, ainsi que les parties prenantes externes, sont censés surveiller attentivement l'engagement de la direction à maintenir un environnement interne exempt de fraude au sein de l'entreprise.

2. L'évaluation des risques: Il s'agit d'un système d'identification et de classification systématiques des différents types de risques. L'organisation doit disposer d'un système d'analyse de son environnement pour identifier les causes potentielles de défaillance future.

3. Les activités de contrôle: Les procédures de contrôle sont des activités définies par la direction afin d'atténuer les menaces potentielles. Il s'agit d'activités telles que les approbations, les rapprochements et les vérifications, qui sont réalisées afin d'identifier les risques non pris en compte. Les contrôles internes permettent de détecter les failles du système.

4. Information et communication: Cette étape implique la mise en place d'un système de communication interne solide. Cela signifie que toutes les parties internes doivent être clairement informées de leurs responsabilités. De plus, les attentes doivent être clairement exprimées auprès des parties externes. Des protocoles de remontée des risques entre les parties internes et externes doivent être mis en place afin de garantir une résolution rapide.

5. Surveillance: La dernière étape consiste à surveiller en permanence toutes les mesures prises lors des étapes précédentes. Il est aussi important de surveiller un système de contrôle interne que d'en créer un.

Le modèle COSO met l'accent sur le fait que les cinq composants fonctionnent ensemble comme un système intégré. Le dysfonctionnement de l'un d'eux impacte également tous les autres. L'idée derrière ce cadre est de fournir un ensemble d'outils que chaque entreprise devra utiliser. Chaque organisation peut ensuite décider des méthodes spécifiques à suivre pour les contrôles ou la gestion de l'information. Le modèle standardisé simplifie la mise en œuvre de la gestion des risques.