Le COSO définit 5 composants interdépendants : environnement de contrôle, évaluation des risques, activités de contrôle, information & communication, et pilotage, tous applicables à une PME, mais avec des moyens proportionnés.

Mis à jour en 2013 et complété en mai 2023, il est le référentiel international de contrôle interne le plus utilisé dans le monde. Il est indépendant de la taille de l'organisation : ses 5 composants et 17 principes s'appliquent à toute structure, publique ou privée, quelle que soit son activité. Pour une PME, l'enjeu n'est pas de répliquer le dispositif d'un grand groupe mais de calibrer chaque composant à ses ressources et à ses risques réels.

Les 5 composants sont :

1. Environnement de contrôle ("Tone at the top") : le COSO attend un engagement visible de la direction envers l'éthique et la rigueur, une structure organisationnelle claire avec des responsabilités définies, des compétences requises identifiées pour chaque poste sensible, un processus RH intégrant les dimensions de contrôle interne et un code de conduite ou charte éthique formalisé et diffusé. En pratique pour la PME, le dirigeant incarne lui-même les règles qu'il impose avec un organigramme à jour avec délégations de pouvoir documentées, une séparation des tâches sur les opérations sensibles (paiements, stocks), un règlement intérieur à jour, signé par tous les collaborateurs et des entretiens annuels incluant un volet éthique et conformité.

2. - Evaluation des risques : le COSO attend des objectifs définis à chaque niveau de l'organisation, l'identification des risques internes et externes pouvant les compromettre, l'analyse croisée impact × probabilité pour chaque risque identifié, la prise en compte des risques de fraude spécifiquement et la cartographie mise à jour à chaque changement significatif. En pratique pour la PME, il faut disposer d'un outil (type tableau Excel) de cartographie avec 10 à 20 risques clés, la revue semestrielle avec le dirigeant et les responsables de processus, le focus sur les risques opérationnels (rupture fournisseur, perte de compétences clés), les scénarios de fraude interne identifiés sur les processus caisse, achats, paie, la mise à jour obligatoire en cas de nouveau produit, marché ou réglementation.

3. Activités de contrôle : le COSO attend des politiques et procédures couvrant les risques prioritaires, des contrôles préventifs (avant l'erreur) et détectifs (après l'erreur), les contrôles sur les systèmes d'information et les accès, la séparation des tâches sur les fonctions incompatibles et des ontrôles physiques sur les actifs sensibles (stocks, caisse, équipements). En pratique pour la PME, il est nécessaire de mettre en place une double validation sur les paiements au-delà d'un seuil défini, un rapprochement bancaire mensuel réalisé par une personne différente de celle qui saisit, un inventaire physique trimestriel des stocks avec écart documenté, une gestion des accès informatiques : revue annuelle des droits, suppression immédiate lors des départs et une procédure d'achat : bon de commande signé avant engagement, bon de réception avant paiement.

4. Information et communication : le COSO attent une information pertinente identifiée, capturée et transmise en temps utile, la communication interne permettant à chacun d'exercer ses responsabilités de contrôle, la communication externe avec les parties prenantes (clients, fournisseurs, régulateurs), les systèmes d'information fiables, intègres et disponibles et les canaux de remontée d'alerte accessibles et protégés. En pratique pour la PME, il faut disposer d'un tableau de bord mensuel partagé avec les responsables de service : indicateurs financiers, opérationnels, RH, organiser des réunions de direction mensuelle avec compte-rendu diffusé et archivé, disposer d'une procédure de signalement des anomalies : qui contacte qui, sous quel délai, disposer de la sauvegarde et sécurité des données : politique documentée, tests de restauration et diffuser une information des salariés sur leurs droits et responsabilités en matière de contrôle.

5. Pilotage : le COSO attend des évaluations permanentes (contrôles intégrés aux processus quotidiens), des évaluations ponctuelles (audits internes ou externes périodiques), la communication des déficiences identifiées aux personnes responsables, des actions correctives documentées et suivies jusqu'à clôture et la mise à jour du dispositif selon l'évolution des risques et de l'organisation. Pour la PME en pratique, il faut disposer d'une auto-évaluation annuelle du contrôle interne : questionnaire simplifié sur chacun des 5 composants, mettre en place un audit externe ponctuel par le commissaire aux comptes ou un prestataire spécialisé, mettre en place un plan d'actions correctives avec responsable désigné et date de clôture, la revue annuelle de la cartographie des risques et des procédures en vigueur et l'intégration des leçons tirées des incidents (fraudes, erreurs, plaintes clients).

L'œil du consultant : Le piège le plus fréquent en PME : investir beaucoup d'énergie sur les activités de contrôle (procédures, checklists) sans avoir d'abord posé l'environnement de contrôle. Résultat : les procédures existent mais personne ne les applique, car le dirigeant lui-même les contourne quand ça l'arrange. Le COSO l'a bien identifié : l'environnement de contrôle est la fondation. Une procédure de double validation des paiements ne vaut rien si le dirigeant passe outre sans justification. Commencez toujours par le composant 1 : est-ce que le dirigeant incarne lui-même les règles qu'il impose ? C'est le premier signal que regarde un auditeur.

Le contrôle permanent vérifie les opérations au quotidien, par les métiers (N1) puis par les fonctions de supervision (N2). Le contrôle périodique, c'est l'audit interne : il évalue a posteriori si les deux premiers niveaux fonctionnent vraiment.

L'Institute of Internal Auditors (IIA) a publié en janvier 2024 de nouvelles normes internationales, effectives depuis janvier 2025, qui structurent la gouvernance des risques autour du modèle des 3 lignes pour insister sur la collaboration plutôt que la séparation étanche. Le contrôle permanent et le contrôle périodique correspondent aux deux grandes catégories de ce modèle. La défaillance de l'un n'est pas compensée par l'autre : un audit interne robuste ne remplace pas des contrôles permanents déficients.

Le contrôle permanent de première ligne :

• Menés par les collaborateurs et managers opérationnels, toute personne qui réalise une opération et des responsables de processus (achat, vente, production, RH…).

• Par exemple : rapprochement de caisse en fin de journée par le caissier, vérification d'une facture avant validation par le responsable achats, contrôle qualité d'un produit avant expédition, double signature sur un bon de commande au-delà d'un seuil.

Le contrôle permanent de deuxième ligne :

• Mené par le contrôle de gestion, la conformité, le risk management, la qualité, le juridique et le DPO, rattachés à la direction générale, indépendantes des métiers.

• Par exemple : le contrôleur de gestion qui analyse les écarts budgétaires mensels, le DPO qui vérifie la conformité des nouveaux traitements au RGPD, le responsable conformité qui teste l'efficacité du dispositif anticorruption, la fonction qualité qui réalise des audits de processus internes

Le contrôle périodique :

• Mené par l'audit interne, rattaché au plus haut niveau de gouvernance (direction générale ou comité d'audit) et peut être externalisée (co-sourcing) ou confiée au commissaire aux comptes.

• Par exemple : Mission d'audit du processus achats : les contrôles N1 sont-ils réellement appliqués ? Revue du dispositif anticorruption : les formations ont-elles bien eu lieu ? Audit de la sécurité informatique : les droits d'accès sont-ils cohérents avec les fonctions ? Évaluation de l'efficacité du contrôle de gestion (N2) sur un périmètre donné

L'œil du consultant : Le piège le plus fréquent en mission : une entreprise qui confond l'audit interne et le contrôle de gestion et demande au contrôleur de gestion (N2) d'auditer ses propres tableaux de bord. Ce n'est pas de l'audit interne, c'est un auto-contrôle. L'indépendance est la condition sine qua none du contrôle périodique. Une autre confusion courante : croire qu'un audit externe (commissaire aux comptes) remplace l'audit interne. Non, l'auditeur externe certifie les comptes pour des tiers ; l'audit interne produit une assurance pour la gouvernance sur l'ensemble des processus. Les deux sont complémentaires, pas substituables.

Le commissaire aux comptes ne vous demande pas un rapport parfait mais il cherche des preuves que vos contrôles existent, fonctionnent et sont appliqués de façon constante. Trois formats couvrent 90 % de ses attentes : la description narrative, la matrice des contrôles et les pièces justificatives.

La NEP 315 révisée (homologuée le 13 novembre 2024, applicable aux exercices ouverts depuis cette date) impose au commissaire aux comptes de prendre connaissance du contrôle interne de l'entité pour évaluer le risque lié au contrôle — c'est-à-dire le risque qu'une anomalie significative ne soit ni prévenue ni détectée par vos procédures. S'il prévoit de s'appuyer sur vos contrôles pour réduire ses tests de substance, il doit en tester l'efficacité. S'il ne s'y appuie pas, il élargit ses propres tests. Dans les deux cas, une documentation solide de votre part réduit son temps d'intervention et limite le risque de réserves.

La NEP 265 précise par ailleurs que le CAC doit vous communiquer les faiblesses significatives de contrôle interne qu'il identifie. Une documentation absente ou incohérente est elle-même signalée comme faiblesse — et peut déclencher une lettre de recommandation ou une observation dans son rapport.

3 formats sont acceptés :

• La description narrative : un texte décrivant le processus étape par étape, qui fait quoi, à quelle fréquence, avec quelle validation. Idéale pour les processus simples ou les petites structures.

• Le diagramme de flux (ou flowchart / logigramme) : une représentation visuelle du circuit d'un processus avec les points de contrôle intégrés. Permet au CAC de visualiser instantanément la séparation des tâches et les validations.

• La matrice des contrôles (RCM) : un tableau listant un risque couvert → une assertion comptable → un contrôle mis en place → une fréquence → un responsable → une preuve d'exécution. Format directement exploitable par les équipes d'audit.

Nb : des pièces justificatives doivent être produites (comme des rapprochements bancaires signés, des bons de commande validés, des inventaires datés, journaux d'accès, comptes rendus de revues). Ce sont les preuves d'exécution des contrôles décrits.

Les 5 attributs d'un contrôle bien documenté.

Le CAC évalue chaque contrôle selon des assertions comptables (réalité, exhaustivité, exactitude, séparation des exercices, classification). Pour chaque contrôle documenté, votre dossier doit répondre aux 5 questions suivantes :

• Qui contrôle ? : nom ou rôle nominatif, pas seulement "un responsable". La séparation des tâches doit être visible : la personne qui saisit ne peut pas être celle qui valide ;

• Quand contrôler ? : au quotidien, hebdomadairement, mensuellement ou ad hoc. La fréquence doit être cohérente avec le risque couvert, par exemple : un rapprochement bancaire mensuel ne couvre pas un risque d'erreur quotidien sur les encaissements ;

• Quel(s) risque(s) couvert(s) ? : lier chaque contrôle à un risque identifié dans la cartographie et à une assertion comptable (ex : le rapprochement bancaire couvre le risque d'exhaustivité des encaissements comptabilisés) ;

• Comment contrôler ? : par contrôle manuel ou automatique, préventif ou détectif, de premier ou second niveau. Précisez la procédure et l'objectif : "rapprochement du relevé bancaire avec le grand livre, ligne par ligne, avec investigation de tout écart supérieur à 500 €" ;

• Quelle(s) preuve(s) ? : signature sur le document de travail, email de validation, log informatique, tampon, visa dans le système. Sans trace tangible, le contrôle ne peut pas être testé par le CAC et est réputé absent.

L'œil du consultant : Le meilleur réflexe à donner à un client qui prépare sa clôture : tenir à jour en cours d'exercice un "dossier permanent de contrôle interne", comme un classeur numérique avec un onglet par processus, contenant la description du contrôle, la fréquence, le responsable, et les 3 dernières pièces justificatives. Quand le CAC arrive, il est prêt en 30 minutes. Sans ce dossier, la première semaine d'audit est consacrée à collecter des pièces éparses, ce qui allonge la mission, augmente les honoraires, et génère des tensions. La documentation du contrôle interne n'est pas une charge administrative : c'est ce qui évite les mauvaises surprises en fin d'exercice.