Les cadres COSO fournissent un leadership éclairé et des conseils aux organisations concernant les contrôles internes, la gestion des risques d’entreprise (ERM), la dissuasion de la fraude et la gouvernance. La conformité à ces cadres détaillés peut être difficile et complexe, et pas toujours facile à intégrer dans les processus commerciaux. Dans cet article, nous expliquons comment la mise en œuvre du bon logiciel GRC peut simplifier votre progression vers la conformité COSO dans les domaines du contrôle interne et de la gestion des risques d’entreprise. Nous explorons les principes fondamentaux des directives fournies par COSO et expliquons comment les cadres de bonnes pratiques, les flux de travail, les modèles et les formulaires fournis par le logiciel GRC peuvent aider les organisations à fonctionner conformément aux directives et à fournir des preuves adéquates de conformité.
Qu’est-ce que le cadre de contrôle interne COSO ?
Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) a publié pour la première fois des directives sur les contrôles internes en 1992, et le cadre a été révisé et publié en mai 2013 pour aider les entreprises à concevoir et à mettre en œuvre des contrôles internes visant à réduire la fraude. Selon l’Association of Certified Fraud Examiners (ACFE), des contrôles internes faibles ou médiocres sont responsables de près de la moitié de toutes les fraudes. Pour s’assurer qu’elles ne deviennent pas une cible facile pour les fraudeurs, de nombreuses organisations choisissent d’adopter le modèle de contrôle interne COSO, mondialement reconnu, pour garantir des contrôles internes efficaces permettant de réduire les risques et la fraude.
Le cadre de contrôle interne COSO définit les exigences d’un système de contrôle interne efficace, énumère cinq principes et explique comment ils doivent être intégrés dans un processus faisant partie des opérations commerciales. Des contrôles internes robustes englobent les ensembles de processus, de normes et de structures qui aident à détecter et à prévenir la fraude interne, y compris les politiques, les valeurs éthiques de l’entreprise, la structure organisationnelle et l’engagement à employer des employés compétents et éthiques, et bien sûr la vérification rigoureuse des données opérationnelles et transactionnelles.
Le cadre COSO se compose de cinq composantes interdépendantes :
Environnement de contrôle : Cette composante définit le ton au sommet de l’organisation et établit les fondements du contrôle interne. Elle englobe des facteurs tels que l’engagement de la direction envers l’intégrité et les valeurs éthiques, la structure organisationnelle, l’attribution de l’autorité et des responsabilités, et la culture de l’organisation.
Évaluation des risques : Les organisations doivent identifier et analyser les risques qui pourraient les empêcher d’atteindre leurs objectifs. Cette composante implique l’évaluation des risques internes et externes, l’évaluation de leur impact potentiel et la détermination de la façon de les gérer ou de les atténuer.
Activités de contrôle : Les activités de contrôle sont les politiques, procédures et pratiques que les organisations mettent en œuvre pour atténuer les risques et atteindre leurs objectifs. Ces activités peuvent inclure la séparation des tâches, les processus d’autorisation, d’approbation et d’escalade, les contrôles physiques, les contrôles informatiques, les examens de performance commerciale et la formation des employés.
Information et communication : Les systèmes de contrôle interne efficaces reposent sur des informations opportunes et pertinentes et des canaux de communication clairs. Cette composante implique de s’assurer que les informations pertinentes sont identifiées, captées et communiquées aux bonnes personnes au sein de l’organisation pour soutenir la prise de décision éclairée et la responsabilisation.
Activités de surveillance : Les activités de surveillance sont essentielles pour évaluer l’efficacité des contrôles internes dans le temps. Cette composante implique la surveillance continue des activités de contrôle, des évaluations périodiques de la performance du système de contrôle interne et le signalement des déficiences ou des faiblesses pour une action corrective.
Le cadre de contrôle interne COSO est une approche complète de la gestion des contrôles internes qui aide les organisations à réduire la fraude et à atteindre leurs objectifs tout en gérant efficacement les risques. Le cadre est conçu pour être appliqué dans tous les secteurs et organisations, quelle que soit leur taille ou leur complexité.
Que doivent faire les organisations pour se conformer au cadre de contrôle interne COSO ?
Pour mettre en œuvre le cadre de contrôle interne COSO, une organisation doit s’engager dans un processus systématique qui implique les étapes clés suivantes nécessitant l’engagement et le soutien du conseil d’administration, de la direction générale et des employés à tous les niveaux.
Évaluer leurs systèmes de contrôle interne existants par rapport aux composantes du cadre COSO.
Identifier les lacunes ou les domaines d’amélioration dans leur environnement de contrôle interne, leurs activités de contrôle, leurs pratiques d’information et de communication, et leurs mécanismes de surveillance.
Mettre en œuvre des changements ou des améliorations pour modifier leurs systèmes de contrôle interne afin de les aligner sur les principes et objectifs du cadre COSO.
Surveiller et évaluer l’efficacité de leurs systèmes de contrôle interne et les ajuster si nécessaire pour faire face à l’évolution des risques et aux changements dans l’environnement commercial.
Comment un logiciel GRC peut-il aider une organisation à répondre aux exigences de contrôle interne COSO ?
Développer un système de contrôle interne bien pensé peut être un processus intimidant et chronophage, et les tableurs et les processus manuels manquent souvent d’automatisation et de gouvernance des données requises. Les plateformes GRC offrent des cadres de bonnes pratiques, des modèles, des flux de travail et des formulaires prêts à l’emploi qui permettent aux entreprises de structurer leurs processus de contrôle interne conformément au cadre de contrôle interne COSO.
Les équipes GRC peuvent configurer une surveillance automatisée des contrôles dans la plateforme GRC. La surveillance des contrôles permet aux organisations de gérer les risques de manière proactive en utilisant des contrôles basés sur des règles prédéfinies pour détecter les risques dans de grands ensembles de données et notifier les parties prenantes concernées. Des transactions irrégulières aux échecs de contrôle, en passant par la non-conformité et les échecs d’audit, les risques et problèmes potentiels peuvent être détectés sur la base de règles prédéterminées et des alertes sont envoyées aux parties prenantes leur permettant de prendre les mesures nécessaires.
Les contrôles peuvent être configurés pour signaler les domaines préoccupants dans l’ensemble de votre programme GRC, y compris les délais non respectés, les anomalies dans les données opérationnelles et transactionnelles, les dépassements de budget, les incidents critiques pour l’entreprise, ou lorsque les KPI ou les indicateurs clés de risque (KRI) atteignent des niveaux intolérables. Ce niveau d’automatisation détecte les risques qui seraient autrement passés inaperçus et fournit une couche supplémentaire d’assurance pour les équipes de gestion des risques.
En outre, la surveillance des contrôles est une composante essentielle de la conformité SOX, car elle permet aux entreprises de maintenir des contrôles internes efficaces sur les rapports financiers, d’identifier et de remédier aux faiblesses ou aux déficiences dans leur cadre de contrôle, et fournit l’assurance que leurs rapports financiers sont précis et fiables. Les contrôles internes assurent une surveillance en temps réel des processus financiers clés, tels que la reconnaissance des revenus, les comptes fournisseurs et la paie, détectant les problèmes tôt et réduisant les risques. Le logiciel GRC automatise l’ensemble du processus de contrôle interne en créant une couche de défense automatisée et en éliminant les longues vérifications manuelles. Le processus d’escalade et de résolution est également automatisé à l’aide de flux de travail prédéfinis pour faciliter les processus étape par étape, y compris les escalades, les approbations, les validations et les notifications. Le logiciel conserve une piste d’audit complète de la façon dont les contrôles sont définis, gérés, escaladés et résolus, fournissant une preuve de conformité aux directives de contrôle interne COSO.
Les fonctionnalités de conformité et d’audit du logiciel GRC peuvent également être utilisées pour maintenir la conformité aux directives COSO. Les entreprises peuvent créer une « bibliothèque d’obligations » qui inclut toutes les exigences énoncées dans le cadre COSO et surveiller la conformité à chaque aspect. Tout audit interne par rapport aux exigences COSO peut également être effectué dans la plateforme.
Qu’est-ce que le cadre de gestion des risques d’entreprise COSO ?
Dernièrement mis à jour en 2017, le cadre de gestion des risques d’entreprise (ERM) COSO fournit des directives approfondies aux entreprises concernant la gestion des risques d’entreprise intégrée à la stratégie et à la performance. Il est conçu pour aider les organisations à devenir plus adaptables au changement et à réfléchir stratégiquement à l’impact que le risque pourrait avoir sur leur succès, leur stratégie et leur performance à long terme.
Le cadre de gestion des risques d’entreprise COSO exige que les organisations mettent en œuvre un programme ERM de bonnes pratiques pour gérer les risques avec un registre des risques actif, des contrôles, des indicateurs clés de risque (KRI), des évaluations régulières des risques et une surveillance et un reporting continus des risques. Mais en plus de la gestion traditionnelle des risques, le cadre de gestion des risques d’entreprise COSO met fortement l’accent sur la liaison entre le risque et les objectifs stratégiques et la performance de l’entreprise pour soutenir la prise de décision au niveau du conseil d’administration.
Le cadre de gestion des risques COSO décrit clairement l’implication du conseil d’administration dans l’établissement de la stratégie, l’appétit pour le risque et l’alignement de la stratégie et des objectifs avec la mission, la vision et les valeurs de l’entreprise. Il aborde la façon dont le conseil devrait gérer les fluctuations de performance de l’entreprise et leur implication dans les décisions commerciales importantes comme les fusions et acquisitions, les incitations des employés, la rémunération et l’allocation de capital et le financement des projets.
Le cadre se compose de principes organisés en cinq composantes connectées :
Gouvernance et culture : Les entreprises doivent mettre en œuvre une bonne gouvernance pour établir le ton de l’organisation, en soulignant l’importance de définir les responsabilités de surveillance pour la gestion des risques d’entreprise. Les entreprises doivent également établir une bonne culture qui se rapporte aux valeurs éthiques, aux comportements souhaités et à la sensibilisation aux risques au sein de l’entité.
Stratégie et définition des objectifs : La gestion des risques d’entreprise, la stratégie et la définition des objectifs doivent être intégrées dans le processus de planification stratégique. Un appétit pour le risque doit être défini et aligné sur la stratégie, tandis que les objectifs commerciaux et la stratégie doivent servir de base pour identifier, évaluer et répondre aux risques.
Performance : Les risques qui pourraient affecter la réalisation des objectifs stratégiques et commerciaux doivent être identifiés et évalués. Les risques doivent être priorisés en fonction de leur gravité par rapport à l’appétit pour le risque. L’organisation doit sélectionner des réponses appropriées aux risques et adopter une vue globale du risque global assumé. Les résultats de ce processus sont communiqués aux principales parties prenantes.
Revue et révision : Les organisations doivent examiner la performance de l’ERM. COSO stipule qu’une organisation doit évaluer l’efficacité des composantes de la gestion des risques d’entreprise au fil du temps et comprendre comment les niveaux de risque fluctuent en fonction des décisions commerciales et des changements opérationnels, déterminant les révisions nécessaires.
Information, communication et reporting : COSO affirme qu’une gestion efficace des risques d’entreprise nécessite une collecte et un partage continus d’informations pertinentes provenant de sources internes et externes, une bonne communication doit assurer qu’elle circule vers le haut, vers le bas et à travers l’organisation.
Le cadre de gestion des risques d’entreprise COSO garantit qu’une organisation a une vue holistique et cohérente des risques qui peuvent affecter ses objectifs, ses opérations, sa réputation et ses parties prenantes. Il soutient également l’alignement de la gestion des risques avec la stratégie, la vision et les valeurs de l’organisation. Le cadre de gestion des risques d’entreprise COSO est conçu pour améliorer le reporting, la mesure de la performance et la prise de décision, fournissant l’assurance aux parties prenantes que l’organisation gère efficacement ses risques.
Que doivent faire les organisations pour se conformer au cadre de gestion des risques d’entreprise COSO ?
Pour mettre en œuvre le cadre de gestion des risques d’entreprise COSO, une organisation doit mettre en œuvre un programme ERM de bonnes pratiques lié à ses objectifs stratégiques et à la performance de l’entreprise. Cela leur permettra de comprendre facilement l’impact du risque sur la performance opérationnelle et la performance globale de l’entreprise et d’apporter les changements nécessaires. Voici 5 processus clés qu’une entreprise peut mettre en œuvre pour répondre aux exigences de gestion des risques d’entreprise COSO.
Mettre en place un processus de gestion des risques selon les bonnes pratiques qui comprend l’établissement d’un registre des risques, la réalisation d’évaluations régulières des risques, la définition d’indicateurs clés de risque, la définition d’un appétit pour le risque et son respect, l’établissement de stratégies de réponse et d’atténuation des risques, la surveillance des niveaux de risque et la résolution des problèmes, et un reporting détaillé sur les risques.
Établir des contrôles suffisants pour réduire les risques et surveiller et tester régulièrement les contrôles pour assurer leur efficacité.
Définir une stratégie qui s’aligne sur la mission et les valeurs de l’organisation et établir des étapes claires pour atteindre la stratégie, en gérant soigneusement tout risque stratégique.
Lier la performance commerciale au risque, permettant de comprendre l’impact du risque sur la performance globale de l’entreprise.
Créer une culture consciente des risques dans toute l’organisation avec une structure de gouvernance établie, une formation adéquate et des directives claires pour l’implication du conseil d’administration.
Comment un logiciel GRC peut-il aider une organisation à répondre aux exigences de gestion des risques d’entreprise COSO ?
L’utilisation des plateformes logicielles GRC consolide les processus, systèmes et sources de données de risque disparates en une vue holistique, fournissant un aperçu approfondi du profil de risque, du statut et de la performance d’une organisation. Les organisations peuvent utiliser la plateforme pour établir un registre des risques complet en ligne, où plusieurs départements peuvent directement enregistrer et prendre la responsabilité des risques. Les équipes peuvent utiliser des modèles d’évaluation des risques en ligne et des questionnaires pour calculer la probabilité, la gravité et l’impact du risque et générer des notations de risque. Les données transactionnelles et opérationnelles peuvent être importées dans la solution depuis d’autres systèmes et sources de données via des connexions API permettant aux équipes de définir des indicateurs clés de risque (KRI) et de définir des tolérances au risque basées sur des données réelles. Cela permet aux organisations de définir un cadre d’appétit pour le risque et d’opérer dans ses limites.
Une fois le système établi et le registre des risques complété, les équipes peuvent définir des contrôles pour surveiller les risques de manière continue et des notifications et alertes automatisées sont envoyées lorsque le degré de risque atteint un niveau intolérable. Les équipes peuvent exécuter des rapports instantanés et visualiser des tableaux de bord en direct pour obtenir un aperçu complet de leur profil de risque et approfondir les détails pour résoudre les zones problématiques.
Le logiciel engage l’ensemble de l’organisation dans le processus de gestion des risques et garantit que toutes les parties prenantes à travers l’entreprise peuvent prendre en charge les risques. Cela rend la gestion des risques plus accessible, responsable, traçable et résoluble, fournissant une visibilité de l’exposition aux risques aux équipes de direction conformément au cadre de gestion des risques COSO. Les flux de travail automatisés font gagner du temps et des ressources précieuses et accélèrent le processus de remédiation des risques. Les plateformes GRC découvrent des opportunités potentielles de croissance. Au lieu de simplement utiliser l’outil pour atténuer les risques, la plateforme utilise des capacités d’analyse pour évaluer les résultats potentiels permettant une prise de risque calculée.
En plus de permettre aux entreprises de mettre en œuvre des processus ERM selon les bonnes pratiques, de nombreuses plateformes GRC modernes permettent aux entreprises de cartographier les risques par rapport aux objectifs stratégiques et à la performance de l’entreprise pour mieux aligner leurs processus sur les exigences du cadre de gestion des risques d’entreprise COSO. Les entreprises peuvent utiliser les capacités de planification stratégique des plateformes GRC pour établir leurs plans stratégiques. Les plateformes GRC avec des capacités de planification stratégique permettent aux organisations de décomposer leurs objectifs et buts stratégiques globaux en programmes, projets, tâches et actions plus petits, qui peuvent être distribués à travers l’entreprise à diverses parties prenantes. Chaque tâche se voit attribuer un propriétaire, un calendrier, un budget, des SLA et des KPI pour assurer son achèvement.
Au fur et à mesure que les informations sont saisies et que les tâches sont terminées, les progrès peuvent être facilement suivis à chaque niveau de la stratégie. Des vues arborescentes simples aident les dirigeants à visualiser les progrès et des notifications automatisées signalent les délais manqués et les actions incomplètes. Lorsque les tâches sont terminées, les flux de travail notifient les personnes concernées afin qu’elles puissent passer à l’étape suivante de la stratégie, leur permettant de procéder à la tâche suivante. Ces outils garantissent que les employés à tous les niveaux comprennent leur rôle dans la réalisation de la stratégie de l’organisation, permettant aux dirigeants de surveiller les progrès et de résoudre les problèmes, et simplifient le processus de cascade des changements stratégiques. Les entreprises qui gèrent les risques et la stratégie dans la même plateforme intégrée peuvent facilement cartographier les risques par rapport à leurs objectifs stratégiques, leur permettant de contrôler tous les risques stratégiques qui pourraient avoir un impact sur leur stratégie et de prendre des risques calculés dans la poursuite de leurs objectifs stratégiques. Cette fonctionnalité permet aux organisations de s’aligner facilement sur les exigences de gestion des risques d’entreprise COSO.
Les plateformes GRC modernes offrent une grande variété d’intégrations API leur permettant d’importer des données transactionnelles et opérationnelles d’autres tableurs et systèmes dans la plateforme GRC. Cela permet aux entreprises de comprendre l’impact du risque sur la performance opérationnelle, par exemple si un niveau de risque était élevé, la performance a-t-elle chuté ? Si la prise d’un risque n’a pas impacté la performance, l’organisation pourrait vouloir prendre des risques similaires à l’avenir. Ou si un risque était élevé et que la performance a significativement baissé, ils voudront probablement introduire plus de contrôles pour réduire le risque. Lier le risque et la performance de l’entreprise aide les équipes dirigeantes à prendre les bonnes décisions pour développer l’organisation, facilite les décisions concernant l’allocation des budgets et des ressources et révèle les opportunités où la récompense l’emporte sur le risque. La cartographie de ces deux domaines peut être difficile lorsque les données sont dispersées entre différents départements, mais en intégrant les données de risque et de performance dans une plateforme holistique unique, les entreprises peuvent cartographier ces domaines interconnectés et facilement générer des rapports sur la façon dont les niveaux de risque impactent la performance de l’entreprise, tant positivement que négativement.
Découvrez comment l’adoption des référentiels COSO peut soutenir votre organisation
Dans l’environnement commercial en rapide évolution d’aujourd’hui, suivre les directives des référentiels COSO pour le contrôle interne et la gestion des risques d’entreprise est un excellent moyen pour toute organisation de fonctionner efficacement et de manière responsable. Riskonnect propose une plateforme intégrée pour simplifier la mise en œuvre et la gestion des principes COSO. Alignez harmonieusement les risques avec les objectifs commerciaux tout en assurant une gestion robuste des risques et des contrôles internes. Demandez une démonstration aujourd’hui pour découvrir comment Riskonnect peut aider votre organisation à aligner ses opérations sur les exigences COSO et à atteindre la conformité.
