Le Coso 2013 marque une nouvelle étape de la mise en place d’un dispositif de contrôle interne élargi dans les entreprises. Ce référentiel identifie ainsi de nouveaux risques contre lesquels les entreprises devront adapter leur organisation et leurs systèmes d’information.
Publiée en mai 2013 en anglais, la nouvelle version du cadre standard international du contrôle interne du Coso (Committee of Sponsoring Organizations of the Treadway Commission) vient d’être traduite en français le mois dernier. Beaucoup d’entreprises n’ont toutefois pas attendu cette traduction pour travailler à son application. «Celles qui souhaitent se conformer au Coso 2013 peuvent déjà mettre en œuvre ces recommandations depuis janvier dernier, rappelle Philippe Mocquard, délégué général de l’Institut français de l’audit et du contrôle interne (Ifaci). Mais ce référentiel étant encore très récent, la plupart n’en sont encore qu’aux prémices.»
Toutes les entreprises ne sont pas concernées par l’application de ce référentiel définissant le rôle du contrôle interne dans l’organisation. «D’un point de vue réglementaire, aux Etats-unis, la SEC reconnaît explicitement le Coso pour l’application de la loi Sarbanes-Oxley. Il s’y est donc imposé de fait, explique Béatrice Ki-Zerbo, directrice de la recherche de l’Ifaci. En France, les entreprises cotées conservent le choix entre le cadre de référence de l’AMF ou le référentiel international du Coso.» Mais, de fait, beaucoup se conforment volontairement à ce dernier. «Un grand nombre d’entreprises du CAC font référence au Coso, soit en raison de son antériorité – sa première version date de 1992 –, soit parce qu’elles sont ou ont été cotées aux Etats-Unis, soit encore, lorsqu’elles détiennent de nombreuses implantations à l’étranger, parce qu’il s’agit du référentiel le plus communément admis à l’international», confirme Yann Boucraut, directeur central du contrôle interne et de l’audit du groupe Bouygues.