Contrôle interne et gestion des risques
Toutes les entités, y compris celles du secteur public, sont exposées à des risques externes et internes en matière d’intégrité, comme la fraude et la corruption. En l’absence de mécanismes permettant de détecter, d’analyser et de combattre ces risques, ces derniers peuvent se traduire par des conséquences néfastes : pertes économiques ou atteintes à la sécurité ou à la réputation. À leur tour, ces conséquences sont susceptibles d’éroder la confiance des citoyens à l’égard des services publics et des administrations publiques.
Des dispositifs performants de contrôle interne et de gestion des risques sont essentiels pour préserver l’intégrité des entités du secteur public, en particulier dans des domaines à hauts risques comme la gestion financière, les technologies de l’information et les marchés publics. En adoptant une approche axée sur les risques, les entités du secteur public peuvent, sans coûts excessifs, appliquer des dispositifs de contrôle qui renforcent la supervision sans surcharger l’entité concernée et nuire à son efficience. Parallèlement, cela peut réduire la perception d’un contrôle trop strict sur le personnel et renforcer ainsi leur adhésion intrinsèque aux principes d’intégrité.
La responsabilité du système de contrôle interne d’une entité échoit avant tout à ses gestionnaires, qui constituent la première ligne de défense (IIA, 2013). Les gestionnaires sont, plus précisément, chargés de concevoir, de mettre en œuvre, de suivre et d’améliorer le système de contrôle interne et l’activité de gestion des risques. Les lois et politiques de nombreux pays reflètent cette réalité. L’existence de lois confiant aux gestionnaires la responsabilité de ces activités peut constituer une incitation pour eux, et aider les pays à parvenir à davantage de supervision et de responsabilité. La majorité des pays indiquent qu’au sein de l’exécutif, ce sont les gestionnaires qui, en vertu de la loi, sont chargés du suivi et de la mise en œuvre des activités de contrôle (26 pays) et de gestion des risques (22 pays). En outre, environ la moitié des pays étudiés (16 pays) ont adopté des lois qui tiennent les gestionnaires pour responsables, en particulier, des politiques de gestion des risques en matière d’intégrité.
Les pays font également face à des difficultés de mise en œuvre s’agissant de systématiser les activités de contrôle interne dans les systèmes de gestion et le fonctionnement quotidien. Ainsi, 11 des pays de l’OCDE interrogés font état de difficultés modérées à fortes à faire comprendre que le contrôle interne est un outil permettant de favoriser l’intégrité et d’améliorer les performances de l’entité, et non un simple exercice bureaucratique et déconnecté des autres activités. Neuf pays de l’OCDE notent que la faiblesse du soutien assuré par les dirigeants politiques et le sommet de la hiérarchie administrative constitue une difficulté modérée à forte.
L’existence d’un service central d’audit interne, surtout lorsque celui-ci compte l’intégrité parmi ses objectifs stratégiques, peut renforcer la cohérence et l’harmonisation de l’action administrative face aux risques en matière d’intégrité. Contrôler de multiples entités de façon centralisée peut permettre de mieux exploiter les ressources d’audit disponibles (concentration de spécialistes de la fraude ou de la cybersécurité, par exemple) ; de mieux détecter les problèmes de nature systémique et transversale ; et d’adopter des mesures permettant de réagir à l’échelle de l’ensemble de l’administration. Dans le même temps, un service central d’audit interne peut être perçu comme extérieur, et comme étranger aux systèmes et au fonctionnement de l’entité concernée, qu’il connaît mal. Quinze pays de l’OCDE indiquent être dotés d’un service central d’audit interne qui est chargé de contrôler plus d’un ministère. Dans dix de ces pays, les services centraux d’audit font état d’objectifs spécifiques en matière d’intégrité dans leurs mandats ou leurs stratégies.
Les données ont été recueillies dans le cadre de l’Enquête 2016 de l’OCDE sur l’intégrité dans le secteur public.
L’expression « contrôle interne » désigne « le processus conçu, mis en œuvre et géré par ceux qui sont chargés de la gouvernance et de la direction ou par d’autres agents d’une entité en vue de fournir une assurance raisonnable concernant la réalisation de ses objectifs en matière de fiabilité de l’information financière, d’efficacité et d’efficience des opérations et de respect des lois et règlements applicables ». Pour en savoir plus, voir www.coso.org/IC.htm.
La gestion des risques fait partie intégrante du système de gestion d’une entité, et elle est réalisée par son personnel de direction, par des gestionnaires intermédiaires et par d’autres membres du personnel en vue de repérer, de cerner et d’évaluer les risques et possibilités potentiels pour l’entité (ainsi que leurs liens d’interdépendance) ; et de gérer ces risques et ces possibilités de façon à les maintenir dans les limites du niveau de tolérance au risque de l’entité, afin de fournir une information adéquate et une assurance raisonnable concernant la réalisation des objectifs de l’entité.
Pour en savoir plus
Institut des auditeurs internes (2013), “Three Lines of Defense in Effective Risk Management and Control”, IIA Position Paper, Institut des auditeurs internes, Altamonte Springs, www.theiia.org/goto/3Lines.
Notes relatives aux graphiques
Les notes relatives aux graphiques sont accessibles dans les StatLinks.