Le COSO dans le domaine non financier : plus de transparence, plus de confiance

Le référentiel COSO

Le COSO a surtout pour vocation d’améliorer le reporting financier par une bonne gestion d’entreprise, un comportement éthique et des contrôles internes efficaces. Depuis la publication de l’« Internal Control – Integrated Framework » en 1992, ce référentiel est sans doute le plus connu de tous. Depuis sa révision en 2013, on peut désormais aussi l’appliquer à d’autres domaines que les informations financières classiques.

Ce reporting non financier englobe des thèmes opérationnels comme la responsabilité d’entreprise (« corporate responsibility »). Les entreprises sont de plus en plus mesurées et se mesurent elles-mêmes à l’aune de leurs objectifs de développement durable. Pour cela, elles traitent des informations sur leur impact social, économique et fiscal ainsi que sur leur nuisance pour l’environnement, qu’elles mettent à disposition des groupes de dialogue intéressés.

Le référentiel COSO offre une base complète qui permet aux entreprises d’élaborer et d’introduire leurs systèmes de contrôle interne pour le reporting non financier ou d’élargir et d’améliorer les contrôles existants. Ainsi, elles répondent dans ce domaine aussi aux exigences de qualité croissantes des parties prenantes internes et externes.

L’application du COSO au reporting non financier

Les 17 principes du COSO s’articulent en cinq grands groupes : environnement de contrôle, évaluation des risques, activités de contrôle, information et communication et activités de pilotage. L’application de ces principes au reporting non financier peut représenter un défi de taille dans la pratique, comme l’illustre ci-après notre exemple sur la responsabilité d’entreprise.

Environnement de contrôle

L’environnement de contrôle constitue le fondement d’un bon système de contrôle interne. Il définit notamment le « Tone at the Top », influence la prise de conscience en matière de contrôle et par là même des facteurs intrinsèques comme les valeurs éthiques, l’intégrité ou la compétence des collaborateurs impliqués dans le reporting. La définition et la mise en œuvre du système de contrôle interne dépendent fortement de la manière dont le conseil d’administration (CA) et la direction l’organisent.

Notre expérience montre que le CA et la direction ne soutiennent pas ou du moins pas suffisamment le reporting non financier. En conséquence, l’entreprise ne dispose que d’un cadre incomplet pour le reporting sur la responsabilité d’entreprise ; l’organisation, les processus et les contrôles ne sont pas aussi développés que pour le reporting financier. Des systèmes d’incitation pour les collaborateurs font souvent défaut, ce qui se répercute négativement sur la qualité des informations présentées.

Évaluation des risques

D’après le COSO, l’entreprise doit identifier, analyser et évaluer ses risques importants liés au reporting non financier de la même manière que pour le reporting financier, dans le cadre d’un processus systématique et continu.

Pourtant, en pratique, l’évaluation et le pilotage des risques de responsabilité d’entreprise ne sont presque jamais intégrés dans les processus d’entreprise. Ils se font de manière informelle ou sont même inexistants. L’expérience montre que les collaborateurs responsables n’ont pas ou peu de lien direct avec l’évaluation et le pilotage des risques, et que leur conscience des risques est limitée en matière de reporting sur la responsabilité d’entreprise. Car ces risques sont difficiles à appréhender et à mesurer. Ils n’ont pas de conséquence financière directe puisqu’il s’agit la plupart du temps de risques de réputation.

Activités de contrôle

Conformément au COSO, les processus et contrôles doivent être définis, mis en œuvre et systématiquement exécutés et documentés. L’entreprise peut ainsi garantir qu’elle atteint les objectifs opérationnels de ses contrôles et qu’elle traite les risques clés identifiés dans l’évaluation des risques.

Toutefois, dans la pratique, ni les processus ni les contrôles ne sont exécutés, car il n’existe aucune directive contraignante du CA et de la direction et parce que les risques liés au reporting sur la responsabilité d’entreprise ne sont pas identifiés. Les techniciens d’une société de production ne savent pas, par exemple, que les données sur la consommation locale d’eau doivent être exhaustives et justes, et que les écarts peuvent se répercuter directement sur l’exactitude du reporting non financier. Cette dépendance aux ressources humaines au lieu de processus automatisés entraîne en outre une qualité fluctuante des informations saisies, qui dépend du collaborateur compétent.

Information et communication

Le reporting non financier permet à l’entreprise de prendre des décisions importantes pour la marche des affaires et de fournir des informations essentielles aux parties prenantes internes et externes. Cela présuppose toutefois que les données pertinentes soient communiquées de manière exhaustive, exacte et rapide aux responsables des contrôles. Nous savons d’expérience que, du fait du caractère informel des processus appliqués en matière de responsabilité d’entreprise, la communication n’est pas souvent garantie et les collaborateurs impliqués ne mesurent parfois pas complètement la portée de leur travail. Les techniciens évoqués précédemment n’ont pas conscience, la plupart du temps, qu’ils jouent un rôle central dans le système de contrôle global. Ils considèrent plutôt leur tâche de saisie des données comme une charge supplémentaire, ce qui se répercute négativement sur la qualité des données.

Activités de pilotage 

L’entreprise devrait surveiller régulièrement son système de contrôle interne afin de s’assurer de l’efficacité de ses processus et contrôles. Cette tâche de pilotage peut être assumée, par exemple, par les structures hiérarchiques, le service d’audit interne ou encore une société d’audit externe.

Le reporting non financier – comme celui en matière de responsabilité d’entreprise – est bien souvent négligé au profit du reporting financier. Il n’est pas rare que les supérieurs compétents effectuent les activités de contrôle seulement de manière informelle et que l’audit interne ne s’intéresse que ponctuellement à ce sujet. En l’absence de directives légales et réglementaires, l’entreprise n’est pas tenue de réaliser un examen régulier de son reporting non financier.