Repères

Même si celle-ci n’est pas la seule à traiter du contrôle interne, elle est très largement répandue et se révèle adaptée pour structurer la maîtrise des risques liés à la gestion des politiques publiques.

Le référentiel COSO décline le contrôle interne en quatre objectifs opérationnels :

• le respect des lois, règlements, contrats ;
• la protection du patrimoine, dans une acception aujourd’hui élargie qui comprend, outre les actifs de l’organisme, ses agents et son image ;
• la fiabilité et l’intégrité des informations financières et opérationnelles (fiables et vérifiables, exhaustives, pertinentes, disponibles) ;
• l’efficacité et l’efficience des opérations.

Le COSO classe en 5 composantes les dispositifs qu’un organisme doit définir et mettre en œuvre pour maîtriser au mieux ses activités. Ces 5 composantes de dispositifs sont déclinées pour chacun des 4 objectifs décrits ci-dessus et à tous les niveaux de l’organisation : entité, directions, unités opérationnelles, opérateurs (entités contrôlées).

1^ère composante : un environnement interne favorable à la maîtrise des risques

Il repose notamment sur :

• une implication des responsables en termes d’intégrité et d’éthique,
• le pilotage des activités,
• une organisation appropriée (les différentes instances de gouvernance remplissent pleinement leur rôle),
• une définition claire des responsabilités et des pouvoirs,
• des procédures formalisées et diffusées,
• la mobilisation des compétences.

2^ème composante : une évaluation des risques

Celle-ci comprend deux temps :

• l’identification des risques sur la base d’une analyse des activités, tant au niveau global de l’organisme qu’au niveau détaillé de chacune de ses activités ;
• la hiérarchisation de ces risques en fonction de leur impact en termes d’enjeux pour l’organisme.

3^ème composante : des activités de contrôle qui comprennent les dispositifs mis en place pour maîtriser les risques de ne pas atteindre les objectifs fixés

• Les dispositifs doivent être proportionnés aux enjeux,
• ils peuvent être transverses à l’organisme, pour faire face à des risques généraux ou propres à une activité,
• ils sont de natures diverses : mise en place d’une procédure, d’une méthode, action de contrôle mutuel ou de supervision…

4^ème composante : la maîtrise de l’information et de la communication

Elle recouvre :

• la qualité de l’information (contenu, délais de disponibilité, mise à jour, exactitude, accessibilité) nécessaire au contrôle interne,
• la qualité des systèmes d’information, stratégiques et intégrés aux opérations,
• la définition des règles et modalités de communication interne (implication du secrétaire général en matière de contrôle interne, bonne connaissance du dispositif de contrôle interne par les agents),
• la communication externe (information à l’extérieur de l’organisme sur la mise en œuvre de la démarche de contrôle interne).

5^ème composante : le pilotage du contrôle interne

Il repose sur :

• l’appropriation du contrôle interne par chaque responsable qui doit le conduire à définir, mettre en place, piloter les dispositifs de maîtrise des risques dans son périmètre de responsabilité ;
• une sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités) et à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre cette appropriation ;
• des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle interne ;
• des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par l’audit interne).