Embed Size (px)
Citation preview
COUR DES COMPTES
PREMIERE CHAMBRE
4EME SECTION
M. Hervé BOULLANGER
Conseiller référendaire
Mme Sandrine GIMELLO
Experte
Mme Valérie FEVRIER
Attachée principale
M. Eric JOULIN
Expert
Rapporteur(s)
M. Vincent FELLER
Conseiller maître
Contre-rapporteur
NOTE D’EVALUATION DU CONTRÔLE INTERNE
MINISTERES ECONOMIQUES ET FINANCIERS
Communication des résultats définitifs
6 mars 2015
2
SOMMAIRE
PARTIE I : LA GOUVERNANCE ET LE PILOTAGE DU
CONTROLE INTERNE ............................................................................ 22
I. LA STRUCTURE DE GOUVERNANCE DU CONTROLE INTERNE ........................................... 22
II. LA STRUCTURE DE PILOTAGE ET D’ANIMATION DU CONTROLE INTERNE ....................... 27
PARTIE II : LES OUTILS DU CONTROLE INTERNE ET LA
DOCUMENTATION DES DISPOSITIFS .............................................. 33
I. LA CARTE DES PROCESSUS MINISTERIELS ........................................................................ 33
II. LA CARTE DES RISQUES MINISTERIELS ............................................................................ 39
III. LE PLAN D’ACTION MINISTERIEL ..................................................................................... 47
IV. LE REPORTING DES CONTROLES....................................................................................... 51
V. LE DEPLOIEMENT DE DISPOSITIFS DE CONTROLE INTERNE ADAPTES A
L’ENVIRONNEMENT ........................................................................................................... 59
PARTIE III : L’APPRECIATION PAR LE MINISTERE DU DEGRE
DE MATURITE DES DISPOSITIFS DE CONTROLE
INTERNE .................................................................................................... 73
I. L’ECHELLE DE MATURITE DE LA GESTION DES RISQUES COMPTABLES ET
FINANCIERS (EMR) .......................................................................................................... 73
II. LA FONCTION D’AUDIT INTERNE MINISTERIEL ................................................................ 80
PARTIE IV : LE DEGRE DE MATURITE DU CONTROLE
INTERNE DANS LES SERVICES DECONCENTRES ET
DANS LES ETABLISSEMENTS PUBLICS DE L’ETAT .................... 86
I. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES SERVICES
DECONCENTRES DE L’ETAT .............................................................................................. 86
II. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES ETABLISSEMENTS
PUBLICS DE L’ETAT ........................................................................................................... 97
ANNEXES ............................................................................................................ 103
ANNEXE 1 : LES FORCES D’AUDIT DES MINISTERES ......................... 104
I. LE CGEFI ....................................................................................................................... 104
I. L’INSPECTION DES SERVICES DE LA DGDDI ................................................................. 106
II. LA MISSION RISQUES ET AUDIT (MRA) DE LA DGFIP .................................................. 109
3
ANNEXE 2 : VOCABULAIRE NEC ................................................................ 115
III. DEFINITIONS GENERALES ............................................................................................... 115
IV. OUTILS ET DOCUMENTS .................................................................................................. 116
V. AUTRES ........................................................................................................................... 118
VI. SERVICES ......................................................................................................................... 119
ANNEXE 3 : PRINCIPAUX PROCESSUS ET LEURS ENJEUX SUR
LES COMPTES DE L’ETAT ................................................................. 123
4
SYNTHESE
Faits marquants sur le périmètre pour l’exercice 2014
La programmation initiale de 2014 des Ministères Economiques et Financiers
(MEF) a porté sur 25 programmes (contre 32 en 2013) pour lesquels il existe un
document de répartition initiale des crédits et des emplois (DRICE), dont 12 supportent
des dépenses de personnel. L’enjeu en volume de ces programmes représente au total
363 Md€ d’autorisations d’engagements (365 Md€ en crédits de paiement), dont
64 Md€ de crédits de personnel.
En cours d’année, les modifications apportées au périmètre ministériel se
caractérisent par le remplacement du ministère du redressement productif par le
ministère de l’économie, de l’industrie et du numérique et par le rattachement
fonctionnel de l’activité de développement international au ministère des affaires
étrangères (MAE).
Concernant l’organisation financière des programmes, la principale modification
est le regroupement des crédits de personnel de la DGFiP sur le BOP central du
programme 156.
En outre, la direction générale de la compétitivité, de l’industrie et des services
(DGCIS) devient à compter du 15 septembre 2014, la direction générale des entreprises
(DGE).
Les processus à enjeux sont repris en annexe 3.
1. Principaux progrès du contrôle et de l’audit internes relevés sur l’exercice
2014
La poursuite régulière durant toute l’année 2014 du déploiement du contrôle
interne dans les ministères économiques et financiers (MEF) permet de constater des
progrès sur les différents points d’attention soulevés par le certificateur : le pilotage et la
coordination, l’identification des processus et des risques, l’organisation du reporting et
l’auto-évaluation.
Le pilotage et la coordination du contrôle interne ont été dynamisés par le
démarrage des travaux du comité de maîtrise des risques créé en 2013, dont les
décisions sont formalisées dans des feuilles de route diffusées à l’ensemble des
directions. Le secrétariat général (mission audit et contrôle interne - MACI) a poursuivi
activement ses actions visant à accompagner les ministères dans leurs travaux de
déploiement des dispositifs de contrôle interne. La montée en puissance progressive de
la fonction de référent contrôle interne se poursuit aussi bien dans les directions
d’administration centrale que dans les services déconcentrés et dans les établissements
publics. En dehors de l’administration centrale et du réseau de la DGFIP, cette fonction
est exercée à temps partiel, en complément de leur principale mission de pilotage
budgétaire.
5
L’identification des processus a progressé et une version actualisée de la carte
ministérielle des processus a été validée par le comité de maîtrise des risques du 27
novembre 2014. Elle est enrichie des travaux d’actualisation effectués par les directions,
selon les cas en 2013 ou 2014.
La démarche de cartographie des risques ministériels majeurs, initiée sous
l’impulsion du comité d’audit interne avec le concours de l’inspection générale des
finances, constitue une avancée tangible du contrôle interne ministériel. La carte a été
finalisée et présentée aux différents comités au cours du dernier trimestre de l’année.
Complétant la carte ministérielle des risques associés à des processus comptables, cette
démarche couvre un périmètre large et offre au certificateur une vue des risques sur des
processus de gestion à enjeux financiers significatifs.
En parallèle, le secrétariat général a fait évoluer la carte ministérielle des risques
comptables et le plan d’action ministériel (PAM) en s’inspirant des recommandations de
la NEC 2013.
A partir des risques majeurs ainsi recensés, le secrétariat général devra organiser
en 2015 la déclinaison de la démarche d’identification et d’évaluation des risques
propres à chacune des directions des MEF.
Au sein des services déconcentrés et des principaux établissements publics, la
démarche d’analyse des risques et d’adaptation de la carte à cette analyse s’est renforcée
en 2014.
L’organisation du reporting s’est améliorée par la mise en place d’outils
structurés autour d’indicateurs permettant de faire rapport aux instances de gouvernance
sur le déploiement du dispositif de maitrise des risques et son efficacité sur les
processus à enjeu. Son caractère opérationnel reste conditionné par la mise en œuvre de
plans de contrôle de supervision à posteriori qui doivent, par direction, couvrir à terme
l’ensemble des processus significatifs. Les modes de fonctionnement et les outils
utilisés par les services en environnement CHORUS se sont uniformisés dans la quasi-
totalité des directions. Le Centre de Prestations Financières (CPFi) du SG transmet
désormais aux services prescripteurs les restitutions relatives aux anomalies constatées.
Les résultats des contrôles de supervision à posteriori sont reportés soit dans l’outil
AGIR pour l’activité comptable de la DGFIP soit dans des outils spécifiques aux autres
directions.
L’évaluation par le ministère de son contrôle interne a connu des avancées
tant en ce qui concerne la fonction d’audit, que les indicateurs et les échelles de maturité
de la gestion des risques (EMR).
La quasi-totalité des forces d’audit interne des MEF répondent à l’essentiel des
critères de la norme internationale ISA 610 à laquelle se réfère le certificateur pour
utiliser leurs travaux.
Les EMR sont désormais utilisées par la quasi-totalité des directions et leur
nombre a augmenté sensiblement en 2014, y compris sur des processus majeurs, comme
la commande publique, les rémunérations et les interventions.
2. Principales faiblesses du contrôle et de l’audit interne relevées sur l’exercice
2014
6
En dépit des avancées réalisées par le contrôle interne des MEF en 2014 qui
aboutissent à un relèvement significatif de la cotation, ce dispositif devra encore
progresser pour atteindre les standards attendus par le certificateur.
De manière générale, le contrôle interne actuel des MEF est trop focalisé sur la
sphère strictement comptable. L’objectif commun des MEF et de la Cour étant la levée
progressive des réserves, processus par processus, le contrôle interne doit couvrir, non
l’exhaustivité des processus, mais l’ensemble des processus comptables et de gestion à
enjeux financiers ayant un impact significatif sur les comptes. Sur ce point, la Cour
renvoie à ses observations 120 et 130 de l’acte de certification des comptes de l’Etat sur
l’exercice 2013 selon lesquelles : « la levée de la réserve formulée de manière constante
par la Cour depuis 2006 suppose que les administrations soient en mesure de s’engager
sur l’effectivité et l’efficacité des dispositifs de maîtrise des risques sur les processus de
gestion à enjeux financiers significatifs »… d’autant que l’exercice se limite souvent à
la seule partie comptable des processus et peine à s’étendre en amont à la partie «
métier » des processus, qui présentent des risques pouvant avoir une incidence
financière ».
Même si ce n’est pas le cas dans les deux principales directions (DGFiP et
DGDDI), la modestie relative des moyens alloués au pilotage du contrôle interne dans
les autres directions d’administration centrale et déconcentrée des MEF, ne crée pas,
dans ces directions, un environnement propice à la professionnalisation du réseau des
référents et à l’accompagnement du déploiement efficient du contrôle interne.
La documentation des processus1 à enjeux gérés par les MEF est encore
inaboutie alors qu’elle est indispensable pour comprendre les acteurs, les étapes clefs,
les zones de risques et les contrôles des processus qui impactent les comptes. Elle
permet également la conservation des connaissances sur les activités et la diffusion
homogène des bonnes pratiques. En commençant par les processus de gestion
susceptibles d’avoir un impact financier significatif, elle doit couvrir de manière unifiée
les actions des ordonnateurs et des comptables. Par ailleurs, constituée par les
contributions de l’ensemble des directions, la carte ministérielle des processus ressort
trop agrégée et ne permet pas aux instances de gouvernance d’avoir une description
pertinente et exhaustive des processus à enjeux du ministère.
La carte ministérielle des risques comptables ne permet pas encore de
produire une identification et une analyse des risques suffisamment abouties. Quatre
types de lacunes peuvent être relevés dans la carte ministérielle des risques comptables :
- les risques n’y sont pas recensés de façon hiérarchisée selon leur probabilité
d’occurrence et leur impact financier ;
- les risques pesant sur les activités considérées comme métier mais qui
impactent de manière très significative les comptes sont absents (exemples :
le recouvrement des recettes de la DGFIP, la gestion des participations au
sein de l’APE, les crédits d’impôt à la DGFIP et à la DGDDI, évaluation des
engagements de retraite réalisées au sein de la DB) ;
- les risques sont exclusivement ceux portés par l’ordonnateur ; ceux générés
par l’activité du comptable seront reportés dans la carte des risques
comptables de l’Etat qui est en cours d’élaboration ;
1 La documentation des processus comprend les guides de procédures et les référentiels de contrôle
interne
7
- la carte ministérielle des risques comptables et les différentes cartes
directionnelles ne sont pas encore été articulées et harmonisées avec la carte
des risques majeurs élaborée par l’IGF.
Le plan d’action ministériel (PAM) est toujours issu de la synthèse des PAS/
PAD et non de l’identification et de l’évaluation des risques inhérents de la carte
ministérielle des risques. Compte tenu des lacunes de l’analyse des risques rappelées ci-
dessus, le PAM ne permet pas une articulation effective des actions avec les risques.
Cette faiblesse empêche de hiérarchiser les actions en fonction de l’évaluation des
risques, et ainsi d’allouer les ressources en priorité sur les risques majeurs. La structure
du PAM pourrait être simplifiée pour améliorer sa lisibilité en l'intégrant au sein d'un
document commun avec la carte des risques.
L’organisation du reporting : La mise en place tardive ou parcellaire des plans
de contrôle à posteriori au sein de certaines directions, des établissements publics et des
autorités administratives indépendantes n’a permis au secrétariat général de renseigner
que partiellement les indicateurs d’efficacité du contrôle interne sur les processus à
enjeux. Le reporting des contrôles n’étant exploitable pleinement qu’à compter de 2015,
les informations présentées au comité de maîtrise des risques en 2014 n’étaient que
parcellaires.
En l’absence de généralisation d’un logiciel de formalisation des contrôles, de
type AGIR, le suivi des plans de contrôle nécessite des ressaisies pour effectuer des
synthèses au niveau local comme au niveau national. Le déploiement de l’application
AGIR au sein d’autres directions reste encore à l’étude.
Les résultats issus des divers dispositifs ministériels d’auto-évaluation de la
qualité du contrôle interne2 ne sont pas encore synthétisés et analysés de manière
critique dans un rapport annuel. Un tel rapport est pourtant nécessaire pour permettre au
comité de maîtrise des risques, puis au certificateur, d’apprécier le degré de maturité de
la démarche ministérielle de contrôle interne.
L’audit interne ministériel souffre d’une coordination insuffisante des forces
d’audit infra-ministérielles qui se manifeste par le faible nombre d’audits comptables et
financiers de portée ministérielle. La mise en place de protocoles permettrait de
remédier à cette lacune.
2Contribuent à l’auto-évaluation : les EMR, les synthèses nationales des contrôles, les audits internes, les
diagnostics de processus et les indicateurs d’effectivité.
8
N° DOMAINE
Nombre
total
d'items
Nombre d'items
côtés "Non
applicable"
Nombre d'items
côtés "Pas de
mise en œuvre"
Nombre d'items
côtés "Début de
mise en œuvre"
Nombre d'items
côtés "mise en
œuvre partielle"
Nombre d'items
côtés "Mise en
œuvre"
Nombre d'items
côtés "Point
fort"
Appréciation
de synthèseCotation 2013
1La structure de gouvernance
du contrôle interne5 0 0 0 3 2 0 1,70 1,20
2La structure de pilotage et d'animation du contrôle
interne5 0 0 1 1 3 0 1,70 1,67
3 La carte des processus ministériels 3 0 0 0 2 1 0 1,67 1,20
4 La carte des risques 5 0 0 2 2 1 0 1,40 1,20
5 Le plan d'action ministériel 5 0 0 3 0 2 0 1,40 1,33
6 Le reporting des contrôles 5 0 0 1 3 1 0 1,50 1,20
7Le déploiement de dispositifs de contrôle interne
adaptés à l'environnement4 0 0 1 2 1 0 1,50 1,00
8L'échelle de maturité et de gestion des risques
(et autres dispositifs d'évaluation)4 0 0 0 2 2 0 1,75 1,25
9 Le dispositif d'audit interne ministériel 7 0 0 2 2 3 0 1,57 1,50
10Le degré de maturité du dispositif de contrôle interne
en services déconcentés5 0 0 1 1 3 0 1,70 NR
11Le degré de maturité du dispositif de contrôle interne
dans les établissements publics5 0 0 1 4 0 0 1,40 NR
1,57 1,34
Valeurs de la colonne cotation
NR Non renseigné
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
EVALUATION GLOBALE
SYNTHÈSE
9
La Cour reconduit cette année 10 recommandations déjà formulées l’an passé
car partiellement mises en œuvre. Les recommandations non reconduites sont au
nombre de 11 dont 5 recommandations mises en œuvre. Elle formule 4
recommandations nouvelles.
Suivi des recommandations – MEF
Total recommandations NEC 2013 a 21
Recommandations de 2013 non reconduites en 2014 b -6
Recommandations de 2013 levées en 2014
(car mises en œuvre) c -5
Recommandations de 2013 reconduites en 2014 d=a+b+c=e+f +10
car partiellement mises en œuvre e +10
car non mises en œuvre f 0
Recommandations nouvelles en 2014 g +4
Total recommandations NEC 2014 h=d+g=i+j+k +14
Priorité 1 i +9
Priorité 2 j +5
Priorité 3 k +0
6 Recommandations de la NEC 2013 ne sont pas reconduites en 2014 en raison
d’évolutions du contexte :
1. La recommandation n°17 de la NEC 2013 visant à mettre en œuvre les
recommandations de l’audit interne ministériel de la dépense en environnement
CHORUS n’est pas reconduite car elle renvoie à la recommandation plus
générale formulée au niveau de l’audit interne ministériel et relative au suivi
agrégé des recommandations et des actions suite à audits comptables et
financiers ministériels ou directionnels.
2. La recommandation n°21 de la NEC 2013 visant à renseigner dans le module
CHD de CHORUS le CSP en tant que service exécutant afin de pouvoir
identifier dans le cadre de l’exploitation des données du CHD si une anomalie
est imputable au service prescripteur ou au CSP n’est pas reconduite. La mise en
œuvre d’une instruction de juillet 2014 étendant le contenu des restitutions du
CBCM vis-à-vis des services et la restitution des anomalies à compter de 2015
par service prescripteur pour ce qui relève des services des DRAC, des DRJSCS
et de la DGFIP, doivent permettre d’enrichir l’analyse des anomalies.
3. Les recommandations n°9 et n°10 de la NEC 2013 ont été fusionnées dans la
recommandation n°5 de la NEC 2014.
4. Les recommandations n°16 et n°17 de la NEC 2013 ont été fusionnées dans la
recommandation n°12 de la NEC 2014.
5. La recommandation n°14 de la NEC 2013 visant à étendre le périmètre des
utilisations de l’EMR n’est pas reconduite car son utilisation doit se limiter aux
processus les plus significatifs.
10
6. La recommandation n°18 de la NEC 2013 sur la corroboration systématique des
EMR par un audit interne n’est pas reconduite car cette corroboration ne doit
être utilisée que lorsque les enjeux le justifient.
5 recommandations de la NEC 2013 ne sont pas reconduites car elles ont été
mises en œuvre :
1. La recommandation n°3 de la NEC 2013 relative à l’élaboration de feuilles de
route directionnelles déclinant les orientations arrêtées par le comité de maîtrise
des risques a été mise en œuvre.
2. La recommandation n° 4 de la NEC 2013 visant à compléter le dispositif de
reporting par un tableau de bord structuré autour d’indicateurs d’effectivité a été
mise en œuvre.
3. La recommandation n°8 de la NEC 2013 visant à définir de nouvelles actions de
pilotage du contrôle interne ministériel susceptibles d’être mises en œuvre avant
la fin du PAM a été mise en œuvre.
4. La recommandation n°13 de la NEC 2013 visant à élaborer des plans d’actions
stratégiques (PAS) pour les directions qui en étaient dépourvues a globalement
été mise en œuvre. La DGDDI a défini un PAS cette année. La DGFIP a défini
le PACE comme étant son plan d’action stratégique. Pour autant, les plans
d’actions font encore l’objet d’une recommandation afin de réorganiser leur
élaboration pour la simplifier au niveau ministériel et ainsi au niveau
directionnel. L’enjeu est de définir à chaque niveau les actions prioritaires en
cohérence avec les orientations ministérielles en fonction des enjeux financiers
et des risques majeurs.
5. La recommandation n°15 de la NEC 2013 visant à désigner au moins un référent
contrôle interne dans chaque service déconcentré a été mise en œuvre tant pour
les DDFIP, les DIDDI que les DIRECCTE.
11
Les principaux constats sont les suivants :
La structure de gouvernance
La gouvernance du contrôle interne est représentée par le comité de maîtrise des
risques, créé en novembre 2013 et présidé par le secrétaire général des MEF. Ce comité
a eu un fonctionnement régulier durant l’année 2014.
Pour la première fois en 2014, les orientations ministérielles en matière de
déploiement des dispositifs de contrôle interne ont été formalisées dans des feuilles de
route diffusées à l’ensemble des directions. Toutefois, ces feuilles de route ne couvrent
pas l’ensemble du périmètre des MEF. L’Agence des participations de l’Etat3, les
autorités administratives indépendantes et les établissements publics sous tutelle des
MEF n’ont pas été intégrés dans la démarche.
En outre, les indicateurs permettant de mesurer l’effectivité et l’efficacité de la
démarche de maîtrise des risques ont été insuffisamment opérationnels en 2014 pour
permettre au comité de fonder ses décisions sur le degré de maturité du dispositif de CI
dans son ensemble.
La structure de pilotage et d’animation
La MACI du SG a poursuivi ses actions d’accompagnement vis-à-vis des
directions permettant à chacune d’entre elles de disposer d’une carte des risques axée
sur les risques inhérents et d’un cadre méthodologique d’élaboration de plans de
contrôle de supervision. Les actions menées par la MACI ont permis également à 22
établissements publics sur les 35 placés sous la tutelle des MEF de mettre en place des
structures de gouvernance et des outils de pilotage du contrôle interne qui demeurent
néanmoins hétérogènes selon les établissements.
La quasi-totalité des directions disposent de structure de pilotage du contrôle
interne à l’exception de la DGTrésor et de la DB.
A la DGFiP, le comité national risques et audit, présidé par le directeur général,
devra à l’avenir examiner les outils de pilotage actualisés (carte des processus, carte des
risques, plan d’action) ainsi que les résultats des contrôles agrégés au niveau national.
La carte des processus
Une première carte des processus ministériels avait été présentée lors du CMR
du 12 décembre 2013. Au cours de l’année, la MACI a incité l’ensemble des directions
à actualiser ou à finaliser le recensement de leurs processus selon le modèle de carte
proposé par la DGFIP, en l’adaptant si besoin des particularités directionnelles. La carte
des processus ministérielle a ainsi pu être actualisée au cours de l’année et présentée
lors du CMR du 27 novembre 2014 pour validation.
3 L’Agence des participations de l’Etat (APE) n’est plus rattachée à la DGTrésor mais directement au
ministre des finances et des comptes publics et est érigée en service à compétence nationale.
12
Si le MEF a été en capacité de produire une carte actualisée des processus «
comptables », il n’est toujours pas en mesure de présenter, tant au niveau ministériel
qu’au niveau de certaines directions, une documentation complète des processus de
gestion susceptibles d’avoir un impact financier significatif. Cette présentation partielle
ne permet pas aux instances de gouvernance et de pilotage d’avoir une vision pertinente
des activités à enjeu du Ministère.
Pour des questions de lisibilité, la carte formalisée au niveau ministériel ressort
trop agrégée. Elle gagnerait en pertinence en présentant un sous-niveau de processus de
façon à mieux rendre compte du périmètre des activités du Ministère.
La carte ministérielle des risques
La carte ministérielle des risques comptables des MEF validée par le CMR du 27
novembre 2014 a grandement évolué sous l’impulsion de la MACI. Le modèle et la
méthodologie ont évolué afin de prendre en compte nombre de suggestions et
recommandations de la NEC de 2013. Néanmoins, le modèle de carte des risques de la
mission doctrine comptable et contrôle interne comptable (MDCCIC) de la DGFiP n’a
pas évolué malgré les recommandations de la NEC 2013. Or, l’évolution du modèle
ministériel est fortement dépendante de l’évolution du modèle de la DGFIP.
Ainsi, malgré les évolutions, la méthodologie n’a pas permis de produire une
identification et une analyse des risques suffisamment abouties pour assurer la
hiérarchisation des principaux risques impactant les comptes.
Compte tenu du périmètre du contrôle interne comptable, les risques potentiels
au sein des activités considérées comme métier mais qui impactent de manière très
significative les comptes (exemple du recouvrement des recettes fiscales au sein de la
DGFIP, la gestion des participations par l’APE, de l’évaluation des engagements de
retraite réalisée par la DB) ne sont pas intégrés dans la carte ministérielle des risques
comptables. Cette lacune du processus d’identification et d’évaluation des risques
résulte du parti pris d’un contrôle interne comptable restreint à l’objectif de qualité
comptable4
. Or, l’objectif d’une carte ministérielle des risques devrait bien être de
remonter au niveau de la gouvernance les risques impactant le plus fortement les
comptes de manière hiérarchisée sur les processus portant les enjeux financiers les plus
significatifs.
Enfin, en parallèle de la carte ministérielle des risques comptables des MEF, la
carte des risques majeurs élaborée par l’IGF à la demande du CAIM a été finalisée et
présentée au cours du CMR du 27 novembre 2014. Si cette démarche est positive, elle
ne constitue que le point de départ et tout l’enjeu réside maintenant dans la façon dont
celle-ci sera articulée au sein des directions composant le ministère afin de la rendre
opérationnelle.
Le plan d’action ministériel
Le plan d’action ministériel (PAM) a été, comme prévu par les textes, examiné
et validé par les comités de maîtrise des risques du 18 juin et du 27 novembre 2014. Son
élaboration a été enrichie en 2014.
4 Ce constat ne présume pas du niveau de maîtrise des risques de ces activités.
13
Si la note méthodologique relative au PAM précise que les actions programmées
doivent répondre en priorité aux risques résiduels évalués à « fort », et éventuellement
« moyen » si l’enjeu le justifie, dans la carte ministérielle des risques, l’analyse des
documents ministériels validés à la fin novembre 2014 met en exergue des écarts.
Malgré sa conformité aux instructions de la DGFIP, sa structure pourrait être
simplifiée pour améliorer sa lisibilité (par exemple, sur la base du modèle du PACE) en
l'intégrant au sein d'un document unique alliant la carte des risques. Cette fusion des
documents de travail permettrait de faciliter de fait l’articulation entre les risques et les
actions de manière concrète et pragmatique.
Le PAM devrait découler de l’identification et de l’évaluation des risques de la carte
ministérielle des risques plutôt que de la synthèse des PAS/ PAD.
Enfin, seules les actions prioritaires couvrant les risques majeurs pourraient être
remontées au CMR.
Le reporting des contrôles
En complément des outils spécifiques déjà existants tels que les tableaux
organisationnels et documentaires, les plans d’action et les tableaux de suivi des EMR,
la MACI a présenté lors du CMR de juin 2014 de nouveaux états de restitution
structurés autour d’indicateurs d’effectivité relatifs au pilotage et à l’évaluation de la
démarche de contrôle interne au sein des directions. Ces indicateurs doivent permettre
au CMR de disposer d’informations synthétiques et agrégées sur l’état d’avancement du
déploiement de la démarche de contrôle interne dans les directions, ainsi que sur
l’effectivité du dispositif de CI pour les processus à enjeu du Ministère. L’exploitation
du CHD et des opérations d’inventaire continuent de compléter ce dispositif.
Si le cadre formel du reporting structuré autour d’indicateurs permettant de
mesurer l’effectivité et l’efficacité de la démarche ministérielle de contrôle interne a été
approuvé par le CMR, l’efficience de ce dispositif ne pourra être appréciée pleinement
qu’à compter de 2015 au vu de la qualité des restitutions transmises à la MACI par
l’ensemble des directions. Les indicateurs d’efficacité et d’effectivité définis par la
MACI au cours de l’exercice ont pu être présentés lors du CMR du 27 novembre 2014.
Cependant, la mise en place tardive ou parcellaire des plans de contrôle à posteriori au
sein de certaines directions, n’ont permis de renseigner ces indicateurs que de manière
incomplète.
L’organisation du reporting au sein du Ministère gagnerait à ce que les plans de
contrôles de supervision soient définis au cours du dernier trimestre de l’exercice
précédent permettant leur mise en œuvre dès le début de l’exercice suivant. Cet
aménagement du calendrier rendrait possible la présentation d’une synthèse et d’une
analyse partielle des résultats observés sur les processus à enjeu lors du CMR de fin
d’année. L’analyse complète sur la base des résultats définitifs serait présentée au CMR
de juin de l’exercice suivant. Le nouveau dispositif de reporting prévu par la MACI
ressort conforme à ce calendrier mais son caractère efficient ne pourra pleinement être
apprécié que sur l’année 2015.
Le déploiement des dispositifs de contrôle interne adaptés à l’environnement
L’organisation des services en mode CHORUS est demeurée complexe et
éclatée notamment au niveau de l’administration centrale, en dépit des décisions des
ministres d’octobre 2013 préconisant le regroupement des CSP de centrale en un
14
plateau unique. La stratégie organisationnelle définie en 2014 se limite à la réduction de
cinq CSP et à la généralisation du mode facturier à l’horizon 2017. Cette organisation
cible qui permet le maintien d’un nombre conséquent de CSP, de faible taille à
l’échelon local et au niveau des AAI, apparaît modeste pour permettre d’atteindre
l’objectif d’efficience de la fonction financière et de rationalisation des moyens
contribuant à l’amélioration de la qualité comptable.
Les modes de fonctionnement et les outils utilisés sont désormais communs dans
l’ensemble des services, à l’exception de la douane qui ne fonctionne pas en mode
facturier.
Les travaux de documentation des processus (guides des procédures, référentiels
de contrôle interne) se sont poursuivis dans l’ensemble des directions sans pour autant
couvrir à ce stade l’ensemble des processus pouvant impacter de manière significative
les comptes. Toutefois, les outils de CI sont éparpillés au sein des directions ce qui ne
paraît pas approprié à la mutualisation de ces outils au niveau ministériel.
Le défaut de pilotage de certaines directions s’accompagnant souvent d’une
modestie relative des moyens accordés au contrôle interne, ne crée pas un
environnement propice à l’accompagnement des services opérationnels dans leurs
travaux d’élaboration et/ou d’adaptation des outils de documentation des processus de
gestion. La poursuite de ces travaux est d’autant plus urgente que se profilent à
l’horizon d’autres chantiers liés à la réorganisation de la fonction ressources humaines.
Les matrices des contrôles permettant de structurer les contrôles intégrés aux
tâches ont été généralisées à l’ensemble des services. Toutefois, ces matrices demeurent
insuffisamment fondées sur une analyse des risques pour permettre à la Cour de se
prononcer sur l’exhaustivité et la pertinence des points de contrôles définis dans ces
matrices.
Faute d’outil commun, la traçabilité et la formalisation des contrôles opérés par
les différents acteurs (services prescripteurs/centres de services partagés) ont peu
progressé en 2014. A l’avenir, des travaux visant à faire évoluer les fonctionnalités du
module communication de CHORUS formulaires, à l’instar de ceux réalisés en 2014
pour les comptables, pourraient permettre aux services de disposer d’un outil
interministériel de formalisation des résultats des contrôles. Ces travaux devront au
préalable être actés par le comité d’orientation stratégique CHORUS qui réunit
l’ensemble des ministères.
Seul le CPFi du SG est parvenu à transmettre à ses services prescripteurs en
milieu d’année des restitutions relatives aux anomalies constatées, permettant à ces
services de mettre en place des dispositifs appropriés susceptibles d’améliorer à terme la
qualité de leurs opérations.
Les MEF se sont dotés d’un programme ambitieux visant à mettre en place sur
l’ensemble des processus à enjeux et/ou à risques des plans de contrôle de supervision à
postériori. Toutefois, l’impact de ce dispositif sur la qualité comptable est conditionné
par la volonté des directions à s’engager dans cette démarche et par la qualité des
restitutions transmises à la MACI, lui permettant d’établir un bilan agrégé des résultats
des contrôles.
Les groupes de travail constitués par la direction du budget pourraient permettre
à terme de mesurer les apports des différentes comptabilités sur la gestion. L’utilité du
contrôle interne est reconnue par l’ensemble des services et des signes d’amélioration de
la gestion ont été constatés depuis son déploiement. Afin d’éviter l’essoufflement des
15
services dans le déploiement du CI et d’assurer la pérennité du dispositif, il est urgent
d’élargir la démarche à la maîtrise des risques métiers.
Enfin, la DGFiP a contribué à l’adaptation à CHORUS du contrôle interne des
ministères en diffusant en 2014 trois référentiels de contrôle interne5. Toutefois, la
DGFiP doit poursuivre ses travaux afin de permettre aux ministères de disposer, dans un
cadre harmonisé, d’outils de contrôle interne très largement simplifiés dans leur contenu
pour faciliter l’accessibilité des services.
Les dispositifs d’évaluation du contrôle interne
L’appréciation portée sur l’utilité des EMR est différenciée selon les directions
des MEF. Dispositif soutenu par le secrétariat général, il est davantage contesté par
d’autres directions qui font valoir qu’il existe d’autres modes, moins lourds ou plus
performants, d’auto-évaluation du contrôle interne comme les diagnostics/revue de
processus, les contrôles de supervision a posteriori des CQC repris dans AGIR et l’audit
interne. Après la mise en œuvre en 2014 d’une EMR sur le processus interventions par
la DG Trésor, l'EMR est néanmoins utilisée par toutes les directions (sauf la DGAFP
qui a de faibles enjeux).
Le CBCM effectue l’auto-évaluation des contrôles internes dans ses services
mais ne participe pas à la cotation des contrôles internes relevant des gestionnaires. Les
référents techniques directionnels (RTD) sont donc les seuls acteurs, non directement
impliqués dans le processus de gestion à évaluer, qui participent à l’EMR. C’est le cas à
la douane et à la DGFIP, même si pour cette dernière la mission nationale d’audit a
participé à l’EMR sur le processus commande publique.
Le nombre d’EMR a augmenté sensiblement en 2014, y compris sur des
processus majeurs, comme la commande publique, les rémunérations et les
interventions. Certaines directions n’ont déployé l’EMR que sur un processus majeur :
la commande publique pour la DGFIP et l’INSEE, les crédits d’intervention pour la
DGE et la DGT. D’autres l’ont employé sur une gamme plus importante de processus
comme la DGDDI qui a mis en œuvre 7 processus sur 9 en services centraux (dont Parc
immobilier, recettes étrangère à l'impôt et au domaine, commande publique, frais de
déplacement, interventions,...).
Dans les MEF, compte tenu des contraintes sur les ressources d’audit et de
l’autonomie de décision des audits directionnels sur le choix des EMR à corroborer, le
principe est que les résultats des EMR ne sont corroborés par un audit interne que pour
les processus ou démarches à fort enjeux. Ainsi, en 2014, ont été corroborés uniquement
l'EMR de la DGT et de la DGE sur les interventions par l’audit ministériel et l’EMR de
la DGFIP sur le processus commande publique par sa mission d’audit interne. Pour
corroborer les autres EMR, il est simplement demandé aux services évalués de produire
les documents probants issus des outils du contrôle interne justifiant les notes attribuées.
5 Il s’agit du référentiel organisationnel et des référentiels de contrôle interne comptable sur les processus
« engagements donnés » et « commande publique ».
16
La fonction d’audit interne ministériel
Les structures de gouvernance et de pilotage de l’audit interne sont représentées
par le comité d’audit interne, créé en avril 2013 et présidé par le ministre des finances et
des comptes publics et par la mission d’audit interne des ministères (MAIM) qui
rassemble les représentants des corps d’inspection, de contrôle et d’audit des MEF,
conformément aux dispositions du décret du 28 juin 2011.
Le comité d’audit interne a eu un fonctionnement régulier en 2014 et a
notamment approuvé le programme des audits. Toutefois, la programmation des audits
au titre de 2014 demeure insuffisamment fondée sur une analyse des risques formalisée
et documentée, la carte des risques ministériels n’ayant été présentée au comité d’audit
interne qu’en novembre 2014. En outre, les MEF ne disposent toujours pas d’une
programmation unique des audits comptables et financiers, de préférence pluriannuelle.
L’audit interne ministériel a essentiellement mobilisé des ressources issues du
CGEFI et du pôle audit de la DGFiP. Comme les années passées, la tension sur les
ressources constitue un point sensible qui a occasionné cette année encore des retards
dans la mise en œuvre du programme d’audit ministériel. De surcroît, la programmation
n’intègre pas suffisamment d’audits comptables et financiers pour permettre d’assurer à
court ou à moyen terme l’évaluation des dispositifs de CI sur l’ensemble des processus
significatifs.
Les projets de protocole formalisant les relations de travail entre la MAIM et les
directions disposant d’une fonction d’audit interne devraient permettre à court terme
d’améliorer la programmation et la capacité d’audit associée, ainsi que le suivi, de
manière agrégée, des recommandations.
Pour la quasi-totalité des structures d’audit interne, la programmation par les
risques, le pilotage du suivi de la mise en œuvre des recommandations et des actions
suite à audit sont des domaines dans lesquels des progrès sont encore attendus pour
satisfaire pleinement les critères de la norme ISA 610 relative à l’utilisation par la
certificateur des travaux de l’audit interne.
Au niveau ministériel, la référence à la carte des risques ministériels pour la
programmation des audits et la signature des protocoles formalisant l’engagement des
directions dans le dispositif de suivi des audits, doivent permettre à court terme de
réduire les écarts par rapport à la norme internationale.
La maturité du contrôle interne dans les services déconcentrés
La maturité du dispositif de contrôle interne dans les ministères économiques et
financiers est très différenciée selon les directions. Très avancée à la DGFIP, elle
souffre de lacunes notables dans les DIRECCTE tandis que la DGDDI, avec des
moyens beaucoup plus réduits, s’approche des standards de la DGFIP.
Le réseau de référents « contrôle interne » dans les trois services déconcentrés
est entré en 2014 en phase de stabilisation. Il est opérationnel et en capacité
d’accompagner les services gestionnaires dans le déploiement des dispositifs de
contrôle interne à l’échelon local. En dehors de la DGFIP, ces cadres supérieurs
exercent cette fonction à temps partiel, leur principale mission étant le pilotage
budgétaire ou le recouvrement fiscal. Leurs adjoints spécifiquement dédiés au contrôle
interne sont de mieux en mieux formés mais exercent également, sauf à la DGFIP,
d’autres fonctions. Chargés du déploiement des outils de pilotage et de l'exploitation des
17
résultats, ils sont de surcroît amenés, à la DGFIP et à la douane, à exercer, en qualité
d'agents chargés des contrôles, des contrôles de corroboration de second niveau. Les
anomalies, analyses et solutions mentionnées dans les reportings AGIR et hors AGIR
sont utilisées pour améliorer d’une part, au niveau local, les activités opérationnelles au
fil de l’eau et d’autre part, au niveau central, les cartes nationales des processus et des
risques et les plans de contrôle.
Il n'existe pas d'outil de reporting unifié pour l'ensemble des services
déconcentrés du ministère qui permettrait une remontée automatisée des synthèses des
contrôles sans ressaisie manuelle. La DGFIP déploie progressivement l'outil AGIR sur
l'ensemble de ses services déconcentrés et la DGDDI envisage de l’adopter. Dans
l’attente d’un déploiement généralisé d’AGIR sur l’ensemble du ministère, les outils de
reporting permettant de suivre la mise en œuvre des plans de contrôle dans les services
déconcentrés des ministères financiers restent disparates et nécessitent des ressaisies
pour effectuer des synthèses au niveau local comme au niveau national. Ces ressaisies
concernent principalement les DIDDI et les DIRECCTE.
Des cartes des risques et des plans d’action et de contrôle, avec dimension
locale, limitée mais réelle, sont en place à la DGFIP et à la DGDDI. Ils permettent de
relever les anomalies qui sont exploitées pour l’amélioration du service et la
programmation des prochains contrôles internes. Ni les PDCI (plan départemental de
contrôle interne) de la DGFIP, ni les PCIC (plans de contrôle interne comptable) de la
DGDDI, ni les programmations de contrôle plus sommaires des DIRECCTE n’agrègent
l’ensemble des contrôles internes de tout le circuit de la dépense alors que cette
faiblesse est relevée depuis la NEC 2012. Les contrôles internes du comptable et des
ordonnateurs restent pour l’essentiel étanches alors que la démarche partenariale sur la
maîtrise des risques devrait être beaucoup plus large : définition des modalités de
contrôle, ajustement et mise en cohérence des PDCI, envoi réciproque des résultats du
CIC ou contrôles conjoints.
L’EMR n’est utilisée en services déconcentrés qu’à titre expérimental car les
directions des MEF lui préfèrent d’autres modes d’auto-évaluation du contrôle interne
tels que les synthèses nationales des contrôles, les audits internes et les diagnostics de
processus.
La maturité du contrôle interne dans les EPN
Les travaux d’accompagnement du déploiement des dispositifs de contrôle
interne dans les établissements nationaux se sont poursuivis en 2014 mais n’ont
cependant pas conduit à élargir le périmètre des entités intégrées dans la démarche
ministérielle de maîtrise des risques. 22 entités y sont intégrés, parmi lesquels les
principaux opérateurs, sur les 25 sous tutelle des MEF.
17 établissements disposent désormais d'un comité de direction qui traite du
sujet maîtrise des risques. C’est le cas à l’INPI et à l’ENA. La conduite du déploiement
du contrôle interne dans les EPN est souvent assurée conjointement par l’agent
comptable et par le référent dédié au contrôle interne auprès de l’ordonnateur, souvent
le secrétaire général ou son adjoint.
La priorité donnée en 2014 à la mise en œuvre des dispositions prévues par le
décret GBCP a ralenti la poursuite des travaux de renforcement du contrôle interne. Au
début de 2014, ni les établissements publics ni les autorités administratives
18
indépendantes ne disposaient de feuilles de route fixant les priorités de l’année en
matière de déploiement du contrôle interne.
Les orientations interministérielles ont été diffusées le 13 août 2014, à travers la
publication d’une circulaire relative au cadre budgétaire et comptable des organismes
publics et des opérateurs de l'Etat. La circulaire impose aux EP de communiquer une
carte des risques et un plan d'action actualisés et validés par l’organe délibérant (le
CMR pour les MEF), un questionnaire de qualité comptable et une échelle de maturité
de la gestion des risques renseignée sur un processus majeur. Une adaptation est prévue
pour les plus petits établissements intégrant à minima l'établissement d'une carte des
risques et un plan d'action.
A partir des informations ainsi recueillies, le tableau d'effectivité du déploiement
du contrôle interne dans les EPN réalisé par le secrétariat général indique le taux de
couverture dans les EP du MEF des différents outils du contrôle interne. Ces
informations sont analysées par le CBCM qui produit annuellement un rapport sur la
qualité comptable des EPN et la mise en œuvre du contrôle interne en leur sein.
Au vu de ce recensement, sur les 25 établissements publics du ministère, 22
disposent d'une carte des risques achevées ou partielle. 19 établissements ont défini un
plan d'action et 15 d'entre eux déclarent avoir élaboré une carte des processus. Les
restitutions relatives au CIC des organismes sont remontées auprès des correspondants
contrôle interne de l’administration centrale. Seuls dix établissements publics sous
tutelle des MEF ont déclaré utiliser l’échelle de maturité de la gestion des risques pour
évaluer leurs dispositifs de maîtrise des risques.
19
Ces constats ont conduit la Cour à formuler et reconduire les recommandations
suivantes :
n° Objet de la recommandation Nature* Priorité** Responsables
1 Présenter au comité de maîtrise des risques un
rapport annuel sur la qualité du contrôle interne
ministériel synthétisant et analysant de manière
critique :
- L’état du déploiement des outils ;
- Les résultats issus des contrôles
réalisés ;
- Les conclusions des différents travaux
d’auto-évaluation du contrôle interne.
B 1 SG
2 Intégrer dans la démarche ministérielle de maîtrise
des risques l’Agence des participations de l’Etat
(APE) et l’Agence du patrimoine immatériel de
l’Etat (APIE).
B 1 SG
APE
3 Mettre en place à la DGTrésor un comité de
pilotage du contrôle interne, présidé par le directeur
général ou son représentant, et composé du référent
technique directionnel et des référents CI nommés
au sein des services métiers de la direction générale.
A 1 DGTrésor
4 Etendre les missions du comité national « risques et
audit », présidé par le directeur général des finances
publiques, à l’examen des outils de pilotage du
contrôle interne et aux résultats des contrôles
agrégés au niveau national et désigner au sein de la
mission « risques et audit » le référent technique
directionnel.
B 2 DGFIP
5 Etablir une carte ministérielle hiérarchisée des
processus à enjeu à partir des cartes directionnelles,
préalablement complétées des processus de gestion
relevant de leur périmètre de compétence.
B 1 SG
20
n° Objet de la recommandation Nature* Priorité** Responsables
6 Améliorer la carte ministérielle des risques
comptables en :
- identifiant clairement les risques
pouvant impacter significativement
les comptes (à partir d’une
évaluation et d’une hiérarchisation
des risques issus des cartes
directionnelles) ;
- y introduisant les risques pesant sur
les activités considérées comme
« métier » mais qui impactent de
manière significative les comptes;
- articulant cette carte ministérielle
des risques comptables et les
différentes cartes directionnelles,
avec la carte ministérielle des
risques majeurs élaborée par l’IGF.
B 1 SG
MDCCIC
Directions
7 Faire évoluer la méthodologie et les outils de
pilotage du contrôle interne proposés par la
MDCCIC, de manière à proportionner les
démarches aux enjeux financiers et à les harmoniser
au sein des différentes directions.
A 1 MDCCIC
8 Assurer une articulation effective entre la carte
ministérielle des risques et le PAM, afin d’identifier
pour chaque risque majeur une action et, pour
chaque action, un responsable, une échéance infra-
annuelle précise et un niveau de priorité décliné au
sein des directions du ministère.
B 1 SG
9 Fusionner les CSP ne disposant pas de la taille
critique, en déléguant la gestion des opérations de
l’administration centrale, des services à compétence
nationale de la DGFiP et des autorités
administratives indépendantes à un CSP unique,
placé au sein du secrétariat général des MEF et
déléguer aux CSP régionaux du « bloc 3 » de la
DGFiP, la gestion des actes de l’ensemble des
services déconcentrés des MEF.
B 1 SG
10 Généraliser la dématérialisation de la formalisation
des contrôles en s’appuyant sur le module
communication de CHORUS « formulaires » et en
utilisant au sein de chaque direction un logiciel de
type AGIR.
B 1 SG
DGFiP
21
n° Objet de la recommandation Nature* Priorité** Responsables
11 Poursuivre en priorité les travaux de documentation
des processus les plus significatifs, à l’aide de
guides de procédures et de référentiels de contrôle
interne et les mettre à la disposition des services sur
un espace commun.
A 1 SG
Directions
12 Généraliser à l’ensemble des CSP le dispositif mis
en place par le CPFi du SG visant à transmettre aux
services prescripteurs, de manière régulière, les
anomalies constatées et à analyser leurs causes
B 2 SG
Directions
13 Soumettre chaque année à l’approbation du comité
d’audit interne des ministères un programme unique
des audits comptables et financiers à réaliser par
l’ensemble des ressources d’audit interne des MEF.
B 2 Audit
ministériel
14 Assurer au niveau ministériel le suivi agrégé des
recommandations et des actions faisant suite à un
audit comptable et financier ministériel et/ou
directionnel.
B 2 Audit
ministériel
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre (B), reconduite car non mise en œuvre
(C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
22
PARTIE I : LA GOUVERNANCE ET LE PILOTAGE DU
CONTROLE INTERNE
I. LA STRUCTURE DE GOUVERNANCE DU CONTROLE INTERNE
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
Le comité de maîtrise des risques (CMR), créée par arrêté du 15 novembre 2013,
a connu en 2014 un fonctionnement régulier puisqu’il s’est réuni à deux reprises (juin et
novembre). Ce comité, présidé par le secrétaire général des MEF, est composé des
directeurs d’administration centrale.
Pour la première fois en 2014, les décisions prises par le CMR en matière de
renforcement de la démarche ministérielle de maîtrise des risques ont été formalisées
dans des feuilles de route diffusées à l’ensemble des directions. Toutefois, ce dispositif
ne couvre pas l’ensemble du périmètre des MEF puisqu’aucune feuille de route n’a été
diffusée à l’Agence des participations de l’Etat6, à l’Agence du patrimoine immatériel
de l’Etat, aux autorités administratives indépendantes et aux établissements publics du
périmètre des MEF. En outre, le dispositif étant récent, son niveau de mise en œuvre ne
pourra être évalué pleinement qu’en 2015.
Le CMR n’a pas disposé de la synthèse du déploiement des outils et des résultats
du contrôle interne agrégée sur le périmètre des MEF. En conséquence, le CMR n’a pas
été en mesure d’apprécier dans son ensemble le degré d’effectivité et d’efficacité de la
démarche de maîtrise des risques, altérant ainsi la portée des orientations ministérielles
prises au titre de 2014.
Si le cadre définissant les indicateurs permettant de mesurer l’effectivité et
l’efficacité de la démarche ministérielle de contrôle interne a été approuvé par le CMR,
l’efficience du dispositif ne pourra être évaluée qu’à compter de 2015 au vu de la
qualité des restitutions transmises à la MACI du SG par l’ensemble des directions.
6 L’Agence des participations de l’Etat n’est plus rattachée à la DGTrésor mais directement au ministre
des finances et des comptes publics et est érigée en service à compétence nationale.
23
B. L’ORGANISATION ET LE FONCTIONNEMENT DE LA STRUCTURE DE
GOUVERNANCE
1. Le comité a connu un fonctionnement régulier en 2014 mais les
orientations ministérielles en matière de contrôle interne ne couvrent pas
l’ensemble du périmètre des MEF
Le comité de maîtrise des risques (CMR), créé par arrêté du 15 novembre 2013
est présidé par le secrétaire général des MEF7. Ce comité, composé des directeurs
d’administration centrale et du chef du service du contrôle budgétaire et comptable
ministériel, a eu en 2014 un fonctionnement régulier puisqu’il s’est réuni à deux
reprises au cours de l’année (juin et novembre)8.
Le CMR de juin 2014 a permis de valider l’actualisation des outils de pilotage
(carte des risques et plan d’action), d’étendre la mise en place des plans de contrôle de
supervision à postériori sur les processus les plus significatifs gérés par les MEF et
d’approuver le cadre des outils susceptibles de mesurer l’effectivité et l’efficacité de la
démarche ministérielle de maîtrise des risques.
Pour la première fois en 2014, les orientations ministérielles arrêtées par le CMR
ont été formalisées, dans des documents9 constituant des feuilles de route du chantier de
renforcement des dispositifs de maîtrise des risques. Ainsi, les décisions prises par le
CMR de juin ont été déclinées dans une note d’orientation ministérielle prescrivant le
dispositif de maîtrise des risques à mettre en œuvre par l’ensemble des directions
accompagnée de notes d’orientation directionnelles explicitant les travaux à finaliser au
niveau de chaque direction.
Les feuilles de route ne couvrent pas l’ensemble du périmètre des MEF puisque
l’Agence des participations de l’Etat, directement rattachée au ministre des finances et
des comptes publics, l’Agence du patrimoine immatériel de l’Etat, les autorités
administratives indépendantes et les établissements publics du périmètre des MEF ne
sont pas intégrés dans ce dispositif.
En outre, le dispositif étant récent, le suivi de la mise en œuvre de ces feuilles de
route, assuré par la MACI, ne pourra être évalué pleinement qu’en 2015.
2. Les indicateurs d’effectivité définis en 2014 n’ont pas permis de mesurer
le degré de maturité de la démarche de maîtrise des risques dans son
ensemble
En complément des outils spécifiques déjà existants tels que les tableaux
organisationnels et documentaires, les plans d’action et les tableaux de suivi des EMR,
la MACI a présenté pour la première fois lors du CMR de juin 2014 qui l’a approuvé,
des indicateurs d’effectivité relatifs au pilotage et à l’évaluation de la démarche de
contrôle interne au sein des directions des MEF. Ces indicateurs doivent permettre au
7 Les ministères économiques et financiers (MEF) sont : le ministère de l’économie, de l’industrie et du
numérique et le ministère des finances et des comptes publics. 8 La DGDDI est représentée par sa directrice générale, La DGFiP par le chef du SCE, la DGTrésor par le
SG, et la DGE par le chef de la mission du contrôle de gestion et des audits. 9 Les documents sont constitués d’une note d’orientation ministérielle et de notes d’orientation
directionnelles
24
CMR de disposer d’informations synthétiques et agrégées sur l’état d’avancement du
déploiement de la démarche de contrôle interne dans les directions.
Or, ces indicateurs qui n’intègrent pas l’Agence des participations de l’Etat, les
établissements publics sous tutelle des MEF et les autorités administratives
indépendantes (AAI) ne mentionnent que l’existence et le degré de mise en œuvre des
plans de contrôle de supervision. A l’avenir, il faudra veiller à ce que ces indicateurs
couvrent l’ensemble du périmètre des MEF et renseignent également sur les résultats
des contrôles, de façon à pouvoir mesurer in fine l’effectivité et l’efficacité de la
démarche ministérielle de maîtrise des risques.
Enfin, la pertinence de ce nouveau dispositif ne pourra être évalué qu’en 2015 au
regard des restitutions transmises par les directions à la MACI.
3. Les orientations ministérielles ont été insuffisamment fondées sur les
constats de l’effectivité et l’efficacité de la démarche ministérielle de
contrôle interne
Les indicateurs d’effectivité mis en place doivent permettre de mesurer
l’efficience et le degré de maturité de la démarche de maîtrise des risques sur le
périmètre des MEF et d’éclairer le CMR sur les orientations à fixer à l’ensemble des
entités en matière de contrôle interne.
Or, si le cadre conceptuel définissant ces indicateurs a été arrêté en milieu
d’année 2014, leur mise en œuvre partielle n’a pas permis au CMR de disposer de la
synthèse du déploiement des outils et des résultats du contrôle interne sur l’ensemble du
périmètre des MEF.
En effet, la DGTrésor et la DGE n’ont pas, en dépit des décisions du CMR, mis
en place de plan de contrôle de supervision malgré les enjeux financiers et le niveau de
risque fort identifié sur les processus « prêts et avances », « participations » et
« interventions ». De surcroît, la mise en place effective des plans de contrôle de
supervision, limitée à quelques directions et à quelques processus comptables, a
restreint la possibilité d’exploiter leurs résultats agrégés au niveau ministériel. Le bilan
définitif des plans de contrôles de supervision ne sera présenté au CMR qu’au printemps
2015.
Dans ce contexte, les orientations prises par le CMR en 2014 ont été
insuffisamment fondées sur l’effectivité de la démarche de maîtrise des risques et sur
l’analyse des résultats des contrôles agrégés sur le périmètre des MEF,
En outre, le CMR n’a pas approuvé la charte ministérielle de la maîtrise des
risques qui lui a été présentée fin 2014. Cette charte doit permettre à terme de définir les
rôles et responsabilités des différents acteurs du dispositif, les outils à mettre en œuvre
et les éléments à remonter au CMR afin qu’il puisse s’assurer de l’effectivité et de
l’efficacité du dispositif ministériel et veiller à la correcte application de ses décisions.
Cependant, l’absence d’approbation de cette charte pourrait conduire à un défaut
d’implication des directions dans la démarche de maîtrise des risques et à la fragilisation
de la gouvernance ministérielle du dispositif.
25
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
1 Présenter au comité de maîtrise des risques au moins une
fois par an une synthèse du déploiement des outils et des
résultats du contrôle interne mis en œuvre sur le périmètre
des MEF
B 1
2 Intégrer dans la démarche ministérielle de maîtrise des
risques l’Agence des participations de l’Etat (APE) et
l’Agence du patrimoine immatériel de l’Etat (APIE)
B 1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
26
1,70
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1
Un comité ministériel de maîtrise des risques a été mis en place au sein du
ministère et sa composition garantit l’indépendance du contrôle interne vis-à-vis
des structures d’audit interne. Ce comité est directement rattaché au plus haut
niveau de l'organisation (secrétaire général)
2 2
Le comité de maîtrise des risques des ministères, créé par arrêté du 15
novembre 2013, est composé des directeurs d'administration centrale. Il est
présidé par le secrétaire général des MEF.
2Ce comité de maîtrise des risques s'est régulièrement réuni en 2014 et il a eu
un fonctionnement effectif1 2
Son fonctionnement en 2014 a été régulier puisque le comité de maîtrise des
risques s'est réuni à deux reprises durant l'année (juin et novembre).
3
Ce comité de maîtrise des risques a examiné et validé les outils ministériels de
pilotage actualisés au titre de l’exercice 2014 (carte des processus, carte des
risques, plan d’action ministériel, reporting)
1 1,5
Les outils de pilotage à l'exception de la carte des processus ministériels ont
été approuvés par le comité de maîtrise des risques en juin 2014. Toutefois, le
comité de maîtrise des risques n'a pas disposé au moment de l'actualisation
des outils ministériels de pilotage d'un document agrégé sur l'effectivité de la
démarche de contrôle interne dans les directions tant en termes d'outils mis en
place que de résultats des contrôles eux-mêmes. Ces informations auraient
pourtant permis au CMR de fonder ses décisions en matière de maîtrise des
risques.
4L’organisation retenue prévoit un recueil des décisions d’orientation prises par
le comité de maîtrise des risques en lien avec le reporting1 1,5
Le comité de maîtrise des risques donne toujours lieu à relevé de décisions. En
outre, l'année 2014 a vu pour la première fois la mise en place d'une note
d'orientation ministérielle reprenant les décisions et les orientations générales
prises par le CMR lors de sa réunion de juin 2014. Toutefois, les outils
permettant de mesurer l'effectivité du dispositif ministériel de contrôle interne
n'ont été mis en place qu'en milieu d'année 2014. Leur efficience sera évaluée en
2015 au vu de la qualité des restitutions transmises par l'ensemble des
directions.
5Les orientations ministérielles sont formalisées dans des feuilles de route
diffusées par la structure de pilotage à l'ensemble des directions1 1,5
L'année 2014 a vu pour la première fois la mise en place de feuilles de route
diffusées par la MACI à l'ensemble des directions. Ces documents reprennent
les principales décisions et orientations du CMR concernant plus
particulièrement chaque direction. Toutefois, les feuilles de route ne couvrent
pas l'ensemble du périmètre des MEF, l'Agence des participations de l'Etat,
l'Agence du patrimoine immatériel de l'Etat, les autorités administratives
indépandantes et les établissement publics du périmètre des MEF ne sont pas
intégrés dans le dispositif.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
1 - LA STRUCTURE DE GOUVERNANCE DU CONTRÔLE INTERNE
27
II. LA STRUCTURE DE PILOTAGE ET D’ANIMATION DU CONTROLE
INTERNE
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
La nomination du secrétaire général en qualité de responsable de la fonction
financière ministérielle (RFFIM) a contribué à affermir la légitimité de la mission
d’audit et de contrôle interne (MACI) en matière de pilotage, d’animation et de
coordination de la démarche ministérielle de maîtrise des risques.
Dans ce contexte, la MACI a poursuivi ses actions d’accompagnement vis-à-vis
des directions permettant à chacune d’entre elles de disposer d’une carte des risques
axée sur les risques inhérents et d’un cadre méthodologique d’élaboration de plans de
contrôle de supervision. De la même manière, vis-à-vis des établissements publics
nationaux, les actions menées ont permis à la quasi-totalité des 20 entités intégrées dans
le dispositif de contrôle interne de mettre en place des instances de gouvernance et des
outils de pilotage (carte des processus, carte des risques, plan d’action).
La MACI est chargée d’assurer le suivi des orientations arrêtées par le CMR au
niveau de chaque direction et d’informer régulièrement le comité du degré d’effectivité
et d’efficacité de la démarche ministérielle de contrôle interne. Or, les feuilles de route
déclinant les orientations prises par le CMR n’ont été diffusées aux directions qu’en
milieu 2014. Le suivi de leur mise en œuvre en année pleine ne pourra être évalué qu’en
2015.
Toutes les directions ne disposent pas encore de structure de pilotage du contrôle
interne. C’est notamment le cas à la DGTrésor et à la DB.
A la DGFiP, le positionnement du RTD au sein du service comptable de l’Etat
apparaît peu approprié au déploiement des dispositifs de contrôle interne au-delà de la
sphère comptable.
La modestie relative des moyens accordés par la majorité des directions au
contrôle interne persiste, ce qui ne crée pas un environnement propice à la
professionnalisation du réseau des référents et à l’accompagnement des services
opérationnels dans leurs travaux de documentation des processus.
B. L’ORGANISATION ET LE FONCTIONNEMENT DE LA STRUCTURE DE PILOTAGE
ET D’ANIMATION
1. La structure ministérielle de pilotage a affermi sa position vis-à-vis des
directions des MEF
La mission « audit et contrôle interne » (MACI), placée au sein de la sous-
direction en charge de la gestion financière et du contrôle interne du secrétariat général
des MEF, s’assure de la déclinaison opérationnelle, de la coordination et du suivi de la
démarche ministérielle de contrôle interne et de gestion des risques.
28
La désignation du secrétaire général en qualité de référent promoteur du contrôle
interne et le fonctionnement régulier du comité de maîtrise des risques ont contribué en
2014 à renforcer la position de la MACI vis-à-vis des directions et services des MEF et
à affermir sa légitimité en matière de pilotage, d’animation et de coordination de la
démarche ministérielle de contrôle interne.
Dans ce contexte, la MACI a rédigé pour la première fois en 2014, à partir des
orientations et décisions du CMR, une note d'orientation ministérielle et des notes
d'orientation directionnelles, signées par le secrétaire général et diffusées à l’ensemble
des directions. Le suivi de leur mise en œuvre au niveau de chaque direction sera assuré
par la MACI qui tiendra régulièrement informé le CMR du degré d’effectivité et
d’efficacité de la démarche ministérielle de contrôle interne.
En outre, la MACI a réuni à deux reprises en 2014 (avril et décembre),
l’ensemble des RTD dans le cadre de l’actualisation des outils de pilotage et du
déploiement de la démarche de contrôle interne. Ces réunions ont évolué dans leur
contenu. En effet, elles sont devenues à la fois des structures de préparation de certaines
décisions du CMR (adoption de la nouvelle version de carte des risques, élaboration du
projet de charte ministérielle de la maîtrise des risques) et des instances qui permettent
de communiquer aux directions les orientations et décisions arrêtées par le CMR.
2. Les actions d’accompagnement de la MACI se sont diversifiées en 2014
La MACI, dont le responsable est le référent technique ministériel de contrôle
interne, s’emploie à accompagner, en partenariat avec le département comptable
ministériel (DCM), le réseau des référents techniques directionnels (RTD) dans le
déploiement des dispositifs de maîtrise des risques en veillant à l’harmonisation des
pratiques directionnelles et à la mutualisation des outils et des méthodes utilisés.
La MACI a poursuivi en 2014 ses actions d’accompagnement vis-à-vis des
directions en leur proposant une aide méthodologique dans le cadre de l’élaboration de
la nouvelle maquette de carte des risques et de la mise en place de plans de contrôle de
supervision à postériori sur les processus les plus significatifs.
En outre, d’autres travaux engagés en 2014 ont permis de finaliser le cadre
conceptuel définissant les instruments de mesure de l’efficience et du degré de maturité
de la démarche de maîtrise des risques par le CMR.
De la même manière, vis-à-vis des établissements publics nationaux, les travaux
d’accompagnement du déploiement des dispositifs de contrôle interne se sont poursuivis
en 2014 mais n’ont cependant pas conduit à élargir le périmètre des entités intégrées
dans la démarche ministérielle de maîtrise des risques (voir partie sur les établissements
publics infra).
3. Le suivi des orientations ministérielles s’est structuré mais a été
insuffisamment opérationnel en 2014
Un tableau permettant de suivre la mise en œuvre des orientations arrêtées par
le CMR a été élaboré puis présenté pour la première fois lors du CMR de juin 2014. La
MACI est chargée d’assurer de manière régulière l’actualisation de ce tableau et
l’information du CMR sur son degré d’avancement.
Or, l’Agence des participations de l’Etat, l’Agence du patrimoine immatériel de
l’Etat, les établissements publics du périmètre des MEF et les autorités administratives
29
indépendantes n’ont pas disposé de feuille de route en 2014 et les orientations
ministérielles arrêtées par le CMR n’ont été diffusées à l’ensemble des directions qu’en
milieu d’année 2014. Ainsi, le suivi de la mise en œuvre des feuilles de route, déclinant
les orientations ministérielles, ne pourra être élaboré en année pleine qu’en 2015
notamment pour ce qui concerne les résultats des plans de contrôle de supervision.
4. Le pilotage infra-ministériel n’a pas encore été finalisé dans l’ensemble
des directions
Le pilotage10 et l’animation directionnels du contrôle interne au sein des MEF se
caractérisent toujours par une hétérogénéité consubstantielle à la diversité des métiers,
des modes d’organisation et des enjeux financiers et comptables très variables d’une
direction à l’autre.
Toutes les directions ne disposent pas de structure de pilotage, ce qui ne paraît
pas propice au déploiement de la démarche de contrôle interne et à la qualité des outils
directionnels de pilotage et de reporting. C’est notamment toujours à la DGTrésor et à la
DB.
En administration centrale, le réseau des référents techniques directionnel (RTD)
sur lequel repose l’animation de la démarche de déploiement des dispositifs de maîtrise
des risques est resté assez stable en 2014 et opérationnel dans l’ensemble des directions.
A la DGFiP, le pilotage de la démarche de maîtrise des risques est assuré par le
comité national risques et audit, présidé par le directeur général. Toutefois, cette
instance n’examine ni les outils de pilotage actualisés (carte des processus, carte des
risques, plan d’action) ni les résultats des contrôles agrégés au niveau national.
En outre, le RTD de la DGFiP est toujours positionné au sein du service
comptable de l’Etat (MDCCIC11) ce qui peut affecter à terme le déploiement de manière
transversale des dispositifs de maîtrise des risques sur l’ensemble des métiers de la
direction générale. Ainsi, la désignation du RTD au sein de la nouvelle mission
« risques et audit » apparaît plus approprié pour favoriser le déploiement de la démarche
au-delà de la sphère comptable à condition d’assurer la coordination avec la MDCCIC
et de veiller à l’indépendance du contrôle interne et de l’audit interne.
De la même manière, la DGTrésor ne dispose toujours pas d’instance de
pilotage susceptible de fixer les orientations en matière de contrôle interne et de valider
les outils directionnels de pilotage (carte des processus, carte des risques et plan
d’action), en dépit d’enjeux financiers significatifs. Afin de constituer le relais
indispensable entre le RTD et les bureaux métiers, des référents contrôle interne ont été
désignés en 2014 au sein de chaque service de la direction générale. Toutefois, la mise
en place tardive de ce réseau de référents en fin d’année 2014 n’a pas favorisé la
progression du déploiement opérationnel des dispositifs de maîtrise des risques.
La direction du budget indique que compte tenu de sa taille et de son rôle
modeste dans les processus financiers, la mise en place d’une structure de pilotage du
CI ne se justifie pas. Hors et à titre d’illustration, certaines de ses activités et notamment
celles qui relèvent de l’exercice de la tutelle financière des organismes publics, de
10
: La structure de pilotage est une instance qui prend des décisions en matière de déploiement du CI alors
que le RTD est un acteur en charge de l’animation et de l’accompagnement du déploiement du CI 11
MDCCIC : mission doctrine comptable et contrôle interne comptable
30
l’évaluation des engagements de retraite et du préfinancement des aides agricoles12
nécessiteraient, compte tenu des enjeux financiers et des risques associés, la
structuration de la démarche de maîtrise des risques avec la mise en place d’une
instance de pilotage en charge de fixer la stratégie de la direction en matière de CI,
d’examiner et de valider les outils de pilotage (carte des processus, carte des risques,
plan d’action) ciblés sur les processus portant des enjeux financiers.
5. La capacité insuffisante du réseau des référents dans le déploiement de la
démarche de contrôle interne
Dans la majorité des directions, à l’exception de la DGFiP, de la DGDDI et du
SG, les moyens alloués à la démarche de maîtrise des risques sont restés stables en
2014. Les RTD consacrent en moyenne moins d’un tiers de leur activité au déploiement
du contrôle interne comptable et n’assurent cette fonction que de manière accessoire en
plus d’autres fonctions budgétaires et financières. Ainsi, la difficulté, déjà signalée les
années passées, dans la modestie relative des moyens accordés au contrôle interne
persiste. Des moyens supplémentaires pourraient être alloués au contrôle interne en
procédant à des redéploiements d’emplois, ce qui permettrait aux directions à enjeux de
mettre en place un poste dédié au déploiement de la démarche de maîtrise des risques et
aux autres directions de disposer d’un RTD consacrant environ la moitié de son temps
de travail à l’animation et à l’accompagnement des services dans cette démarche.
Cette situation ne crée pas un environnement propice à la professionnalisation du
réseau des référents et à l’accompagnement des services opérationnels dans leurs
travaux d’élaboration et d’adaptation des outils de contrôle interne. A titre d’exemple, la
DGTrésor n’est parvenue à élaborer qu’un guide de procédures sur les garanties de
l’Etat et le plan d’action de la direction ne prévoit pas de poursuivre les travaux de
documentation des autres processus significatifs sous forme de guides de procédures et
de référentiels de contrôle interne.
En revanche, compte tenu de leurs spécificités, certaines directions sont
parvenues à mettre en place leurs propres outils de contrôle interne. Il s’agit notamment
du manuel de fiabilisation de la commande publique au SG et des guides de procédures
et des référentiels de contrôle interne comptable sur certains produits régaliens à la
DGDDI.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
12
Pour le financement des aides agricoles, la direction du budget émet les ordres de crédit et de débit au
profit de l’UE
31
3 Mettre en place à la DGTrésor un comité de pilotage du contrôle
interne, présidé par le directeur général ou son représentant, et
composé du référent technique directionnel et des référents CI
nommés au sein des services métiers de la direction générale
A 1
4 Etendre les missions du comité national risques et audit, présidé
par le directeur général des finances publiques, à l’examen des
outils de pilotage du contrôle interne et aux résultats des contrôles
agrégés au niveau national et désigner au sein de la mission
« risques et audit » le référent technique directionnel.
B 2
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
32
1,70
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Une structure (bureau, département) de pilotage du contrôle interne met en
œuvre les orientations décidées par la structure de gouvernance2 2
En 2014, la MACI du SG a tenu deux réunions avec les référents techniques
directionnels. Ces réunions ont été l'occasion d'accompagner les RTD dans
leurs travaux d'actualisation de la nouvelle maquette de carte des risques et de
communiquer aux directions les orientations et décisions arrêtées par le comité
de maîtrise des risques.
2La structure de pilotage a mis en œuvre un tableau de suivi des orientations
décidées par la structure de gouvernance couvrant la totalité du périmètre1 1
Un tableau portant sur l'effectivité de la mise en œuvre du contrôle interne dans
l'ensemble des directions des MEF a été élaboré par la MACI et présenté pour
la première fois au comité de maîtrise des risques du 18 juin 2014. Toutefois, ce
tableau ne renseigne ni sur le déploiement des outils de contrôle interne ni sur
le bilan des résultats des contrôles eux-mêmes. En outre, l'Agence des
participations de l'Etat, l'Agence du patrimoine immatériel de l'Etat, les
établissements publics du périmètre des MEF et les AAI ne figurent pas dans
ce tableau. Par ailleurs, concernant le suivi des orientations ministérielles, le
dispositif visant à diffuser aux directions des feuilles de route étant récent, le
suivi de leur mise en oeuvre ne pourra être évalué pleinement qu'en 2015.
3
Il existe un réseau de référents « contrôle interne » en administration centrale
sur lequel s’appuie la structure de pilotage. Le réseau des référents "contrôle
interne" s'est régulièrement réuni dans le but d'accompagner les services
opérationnels
2 2
Le réseau des RTD est opérationnel dans l'ensemble des directions. Les RTD
ont été réunis à deux reprises en 2014. Les actions d'accompagnement ont
principalement visé en 2014 la présentation de la méthodologie de la nouvelle
carte des risques et la poursuite des travaux d'élaboration de plans de contrôle
de supervision sur les processus les plus significatifs.
4
La structure de pilotage avec l'appui des référents contrôle interne est en
capacité d’adapter les outils de contrôle interne aux spécificités du ministère
(OFN, GP, RCI)
1 1,5
La MACI a poursuivi activement ses actions d'accompagnement des RTD.
Toutefois, les moyens consacrés au déploiement du contrôle interne sont restés
stables en 2014. Dans la majorité des directions, à l'exception de la DGFiP et
de la DGDDI, les RTD n'assurent cette fonction que de manière accessoire
souvent par défaut d'implication de la hiérarchie dans le dispositif de maîtrise
des risques ce qui ne crée pas un environnement propice à l'accompagnement
des services opérationnels.
5
En l’absence d’outils interministériels, la structure de pilotage avec l'appui des
référents contrôle interne a été en capacité de développer et de diffuser des
outils de contrôle interne propres aux spécificités du ministère
2 2
Compte tenu de leurs spécificités, certaines directions sont néanmoins
parvenues à mettre en place leurs propres outils de contrôle interne (guide de
procédures des garanties à la DGTrésor, manuel de fiabilisation de la
commande publique au SG, guide de procédures et référentiel de contrôle
interne sur certains produits régaliens à la DGDDI).
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
2 - LA STRUCTURE DE PILOTAGE ET D'ANIMATION DU CONTRÔLE INTERNE
33
PARTIE II : LES OUTILS DU CONTROLE INTERNE ET LA
DOCUMENTATION DES DISPOSITIFS
I. LA CARTE DES PROCESSUS MINISTERIELS
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
Une première carte des processus ministériels avait été présentée au CMR du 12
décembre 2013. Elle avait été établie sur la base de la carte des processus formalisée par
les directions ayant été associées à cette démarche. Afin de lui conserver un caractère
concis et lisible, elle avait été formalisée au niveau le plus élevé. Elle se présente pour
chaque processus accompagnée de trois informations supplémentaires relatives aux
acteurs, aux systèmes d’information ministériels et aux liens avec la carte des risques.
A l’occasion des travaux d’actualisation des outils de pilotage directionnels, la
MACI a incité l’ensemble des directions à actualiser ou à finaliser le recensement de
leurs processus selon le modèle de carte proposé par la DGFIP, en l’adaptant si besoin
aux particularités directionnelles.
En réponses, les différentes directions ont complété et enrichi leurs cartes. A la
DGGDI, la carte a identifié 3 nouveaux processus. L’ajout de ces trois processus a
permis d’enrichir la carte des risques directionnels. Elle comporte désormais 48
processus ayant une incidence sur la qualité des comptes de l’Etat.
La carte de la DGCCRF décrit désormais à un niveau suffisamment fin les
processus, procédures et taches rattachées aux sous-cycles comptables. Les acteurs
(gestionnaire, ordonnateur, comptable) y ont également été identifiés. Les processus
recensés sont par ailleurs cohérents avec ceux décrits dans la carte des risques.
La carte du secrétariat général, a pu être complétée au cours de l’exercice de
certaines informations relatives aux acteurs et aux applications informatiques supports.
A la DB, le recensement de l’ensemble des activités « métier » ayant un impact à
enjeu sur les comptes de l’Etat a été complété en 2014. La carte des processus
formalisée permet d’associer les activités gestionnaires identifiées aux processus
comptables. Les activités métiers sans impact sur les processus comptable n’y sont
toujours pas décrites alors que certaines d’entre elles peuvent présenter un enjeu
significatif pour l’arrêté des comptes (recensement des engagements pour lesquels le
service fait n’est pas intervenu, données budgétaire pouvant servir de base à des
estimations comptables, conception et suivi de l’exécution du budget,…).
L’AIFE, qui n’avait pas été associé à cette démarche en 2013, a bien produit une
carte des processus au cours de l’année, ainsi que l’ONP.
Le périmètre de la carte des processus de la DGT a été élargi afin de couvrir
l’ensemble des processus de gestion comptable, y compris ceux relevant du périmètre
de l’AFT et de l’APE, ces deux agences n’ayant pas contribué à la formalisation de la
carte des processus au cours de l’année précédente. Les processus transverses de la
DGT ont également été documentés en 4 procédures distinctes (organisation
fonctionnelle, documentation, pilotage, ressources humaines).
34
Sur la base du résultat de ces travaux menés au sein des directions, la carte des
processus ministérielle initialement formalisée fin 2013 a pu être actualisée au cours de
l’année et présentée lors du CMR du 27 novembre 2014 pour validation. Elle n’a subi
que des évolutions mineures par rapport à la carte initiale, et est marquée par les
avancées observées dans la formalisation des travaux effectués au niveau directionnel.
B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DE LA CARTE DES
PROCESSUS MINISTERIELS
La carte des processus revêt une importance particulière car elle constitue la
base du déploiement de la démarche de contrôle interne.
La MACI a poursuivi ses actions d’accompagnement vis-à-vis des directions en
leur proposant une aide méthodologique, si besoin, à l’élaboration des cartes de
processus directionnels. L’ensemble des directions ont été sollicitées afin de formaliser
ou actualiser leur carte des processus directionnels selon le modèle définie par la
DGFIP, Les processus qui y sont renseignés doivent correspondre à ceux retracés dans
la carte des enjeux et des risques. Ces travaux doivent permettre à chaque direction
d’identifier et de décrire précisément ses processus de gestion en explicitant
notamment, pour chacun d’eux, l’enchainement des taches et contrôles, les acteurs et
les applications informatiques supports.
1. Les lacunes méthodologiques de la carte ministérielle des processus
La carte des processus ministérielle s’articule avec les outils de documentation
que sont la carte des enjeux et des risques, le tableau organisationnel et documentaire
(TOD), et les organigrammes fonctionnels (OF).
Une fois cette documentation réalisée, une carte des processus ministériels a pu
être présentée au CMR du 27 novembre 2014 dans sa version actualisée. Les opérations
inscrites dans les cartes, qu’elles soient ministérielle ou directionnelles, ne constituent
cependant pas des processus au sens opérationnel du terme. Fidèles au modèle de carte
des processus proposés par la DGFIP, elles correspondent davantage au découpage
comptable des postes du bilan ou du compte de résultat dans le CGE. Cette présentation
à un niveau trop agrégé ne permet pas d’obtenir une vision suffisamment détaillée des
processus opérationnels du MEF, notamment depuis le fait générateur jusqu’à
l’enregistrement des écritures.
A titre d’exemple, le processus « provisions pour risques et charges » au lieu
d’être recensé comme tel devrait être rattaché aux différents processus métiers à partir
desquels ces provisions sont générées (exemple : les provisions pour charges
d’intervention sont rattachables au processus « interventions »).
Par ailleurs, les processus sont définis en délimitant un périmètre beaucoup trop
large. Ils mériteraient d’être davantage recentrés sur les activités du ministère, au besoin
en présentant un sous-niveau de détail, comme le montre les exemples repris dans
l’encadré ci-dessous :
35
Exemples de processus de la carte ministérielle trop généraux et méritant
d’être affinés
- le processus des « participations » pourrait ainsi être décrit à une maille
plus fine en distinguant la « gestion des participations contrôlées », la « gestion des
participations non contrôlées », la « participation au sein du FMI » ;
- le processus « interventions » englobe une réalité très complexe où
chaque dispositif d’intervention suit des modalités spécifiques. Il pourrait être découpé
en nommant les grands types d’interventions : subventions pour charges de service
public, contributions aux organisations internationales, subventions d'équilibre,
dotations aux collectivités, rentes viagères, autres… ;
- le processus « provisions pour risques et charges regroupe un ensemble
de dispositifs au niveau ministériel (litiges fiscaux, CET, allocation d’aide au retour
d’emploi…) qui mériteraient d’être déclinés pour les plus significatifs ;
- le processus « produits régaliens» englobe également une multiplicité de
recettes dont les principales relèvent du périmètre d’activité de la DGFIP et de la
DGDDI. Au-delà de la distinction opérée entre « impositions de toutes nature recouvrée
par voie de rôle ou titre » et « imposition de toute nature recouvrées sans rôle ou titre »
la carte pourrait présenter à un niveau plus fin et complémentaire les principaux impôts
comme l’IS, la TVA, l’IR, la TIPP et autres taxes à enjeu financier ;
- des processus significatifs comme la « gestion des entités ad hoc », la «
gestion des investissements d’avenir », la « gestion des PPP », et les « engagements de
retraite » ne sont pas décrits spécifiquement dans la carte des processus.
2. Le manque d’exhaustivité de la carte ministérielle des processus
Certains processus restent insuffisamment documentés, comme celui des «
participations ». L’Agence des participations de l’Etat (APE) est un acteur majeur de ce
processus en gérant environ 80 participations de l’Etat. Or, certains des processus
spécifiquement gérés par l’APE ne sont inclus ni dans la carte du MEF, ni dans celle de
la DG Trésor. La documentation du processus des participations présentée dans la carte
de la DGT se limite en effet à ceux gérés par cette direction pour son propre compte.
Certains travaux de l’APE délégués à la DGT et ceux gérées par l’APE elle-même dans
le cadre de son activité ne sont pas recensés.
Afin de compléter la documentation des processus déjà mise en place par les
autres intervenants (DGT, CBCM) sur le processus des participations, l’APE doit
documenter ses propres processus métiers dont les plus significatifs seraient repris dans
la carte ministérielle. Ces travaux permettraient d’identifier les sous-processus
spécifiques aux participations gérées par l’APE, tels que les entrées et les sorties de
participations, la mise à jour du périmètre des participations, le suivi des engagements
donnés.
Les travaux menés par l’IGF pour formaliser la carte des risques des ministères
économiques et financiers ont permis d’identifier des processus de gestion clés pouvant
avoir une incidence financière et qui ne sont repris ni dans les carte des directions qui en
sont propriétaires, ni dans la carte ministérielle. A titre d’exemple, la carte des processus
de la DGCCRF pourrait ainsi être complétée des processus « investigation et
intervention dans le cadre de la lutte contre la fraude » et « recouvrement et
36
encaissement des amendes suite à sanctions administratives ». De la même façon, les
processus « recouvrement et encaissement de l’impôt et des autres recettes » pour la
DGFIP et le processus « valorisation des intérêts patrimoniaux de l’Etat » pour l’APE,
constituent des processus de gestion à enjeu devant être décrits tant au niveau de la carte
des processus de ces directions que dans la carte ministérielle
Enfin, certains processus couvrant des activités supports et transverses comme la
gestion du système d’information financière de l’Etat, les activités de pilotage et de
coordination des directions au sein du Ministère et de pilotage des réseaux
déconcentrés, ne sont pas pris en compte dans la carte des processus, tant au niveau
ministériel qu’au niveau directionnel à quelques exceptions près. De la même manière,
la carte des processus formalisée par l’AIFE, qui n’avait pas été associée à cette
démarche en 2013, reste partielle puisqu’elle se limité à présenter les processus
comptables. Cette approche ne permet pas de décrire l’ensemble des processus de
gestion relevant de la responsabilité de cette direction. Les activités touchant aux
études, développements, exploitation et supports, planification et organisation des
systèmes d’informations ne sont pas décrites alors qu’elles présentent un réel enjeu, en
particulier pour la production des états financiers de l’Etat, tant au niveau directionnel
que ministériel.
3. La problématique des processus de gestion
Si les MEF ont été en capacité de produire une carte actualisée des processus «
comptables » en 2014, ils ne sont pas toujours pas en mesure de présenter, tant au
niveau ministériel qu’au niveau de certaines directions, une documentation complète
des principaux processus de gestion. Cette présentation partielle ne permet pas aux
instances de gouvernance et de pilotage d’avoir une vision pertinente des activités à
enjeu du Ministère.
Or, la démarche de contrôle interne ne peut se limiter uniquement à la sphère
comptable mais doit également pouvoir couvrir les activités de maitrise des risques
relevant des processus de gestion et qui contribuent, en amont, à la qualité des
enregistrements comptables. A ce titre, la carte des processus a vocation à démontrer
que l’ensemble des processus de gestion pouvant impacter les comptes ont bien été
identifiés afin de s’assurer qu’un dispositif de maitrise des risques a bien été déployé
pour couvrir les risques en question.
Cette démarche est conforme aux principes énoncés dans la norme ISA 315 à
laquelle la Cour se réfère dans sa mission de certification, et qui prévoit bien que
l’ensemble des dispositifs de maitrise des risques, y compris les risques liés à l’activité,
doivent être couverts par la démarche de l’auditeur externe. En particulier, la Norme
prévoit que l’auditeur doit prendre connaissance des activités de l’entité ainsi que des
objectifs et stratégies de l’entité et risques liés à l’activité pouvant engendrer des
anomalies significatives dans les comptes.
37
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
5 Etablir une carte ministérielle hiérarchisée des processus à enjeu à
partir des cartes directionnelles préalablement complétées des
processus de gestion relevant de leur périmètre de compétence
B 1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
38
1,67
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Les principaux processus métiers ont été recensés dans une carte des
processus2 2
En 2013, une première carte des processus ministériels avait été établie sur la
base des cartes formalisées au niveau directionnel. Elle avait été validée lors du
CMR du 12 décembre 2013, mais certaines directions n'avaient pas été
associées à cette démarche, alors que d'autres n'avaient que partiellement
formalisé leurs travaux. Au cours de l’exercice, toutes les directions à enjeu
ont été associées à ces travaux, les processus de l'APE et de l'AFT étant
repris dans la carte de la DGT. Ces travaux ont permis à la MACI de présenter
une carte des processus actualisée à la marge lors du CMR de fin d’année.
Seuls les processus ayant un impact sur les comptes de l’Etat y sont
formalisés. L’approche par processus comptable retenu au sein du ministère ne
permet pas de conclure sur le caractère exhaustif des processus « métiers »,
qu’ils aient ou pas un impact sur les états financiers
2La carte des processus permet d’identifier pour les processus les plus
significatifs les acteurs et les applications supports associés1 1,5
La carte ministérielle renseigne pour l'ensemble des processus ayant un impact
sur les Etats financiers les acteurs (directions) ainsi que les applications
supports portant les informations nécessaires à la traduction comptable des
évènements de gestion associés. Elle est la synthèse des cartes formalisées
au niveau directionnel et qui renseignent à une maille plus fine pour les
processus identifiés les acteurs et les applications support associés. Le
caractère exhaustif ne peut être apprécié l’exercice ayant été limité au périmètre
des processus comptables.
3
La carte des processus est régulièrement (au moins une fois par an) actualisée
pour tenir compte des évolutions ministérielles (périmètre, réglementation,
activité, …) en amont de sa validation annuelle par la structure de gouvernance
du contrôle interne
1 1,5
Une première carte des processus avait été présentée lors du CMR de
décembre 2013. Une carte des processus actualisée a été présentée et validée
lors du CMR du 27 novembre 2014.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
3 - LA CARTE DES PROCESSUS MINISTÉRIELS
39
II. LA CARTE DES RISQUES MINISTERIELS
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
La carte ministérielle des risques comptables des MEF a été examinée et validée
par le CMR du 27 novembre 2014. Sous l’impulsion de la MACI, le modèle et la
méthodologie ont évolué afin de prendre en compte les recommandations de la NEC de
2013. La principale évolution a consisté à insérer les notions de risques inhérents et
résiduels. La méthodologie a également été précisée en insérant les critères
d’appréciation de la probabilité de survenance du risque et de l’impact financier. Ces
précisions, qui représentent des avancées positives, permettront à terme d’obtenir des
évaluations homogènes des risques entre les différentes directions des MEF. Les règles
d’évaluation du risque résiduel ont été formalisées.
Néanmoins, le modèle de carte des risques de la mission doctrine comptable et
contrôle interne comptable (MDCCIC) de la DGFiP, qui a un impact déterminant sur le
modèle ministériel, n’a pas évolué malgré nos recommandations de la synthèse des
NEC de 2013.
Ainsi, malgré les évolutions proposées par la MACI, la méthodologie ne permet
pas encore de produire une identification et une analyse des risques suffisamment
abouties. Les risques ne sont pas identifiés clairement et évalués unitairement en
fonction de leur probabilité de survenance et de leur impact financier. Seuls les macro-
processus sont évalués globalement. Le niveau de granularité de l’analyse des risques
devrait être proportionné aux enjeux financiers portés par les processus.
Le périmètre des travaux de cartographie des risques ont légèrement évolué en
2014 afin d’intégrer l’APE, par l’intermédiaire de la DGT, qui a également élargi son
périmètre de processus. Néanmoins, au sein même de l’APE, les travaux
d’identification des risques n’ont pas été déployés et formalisés.
Compte tenu du périmètre du contrôle interne comptable, les risques potentiels
au sein des activités considérées comme métier mais qui impactent de manière très
significative les comptes (exemple du recouvrement des recettes fiscales au sein de la
DGFIP, la gestion des participations au sein de l’APE, l’évaluation des engagements de
retraite réalisée par la DB, les crédits d’impôts au sein de la DGFIP et de la DGDDI) ne
sont pas intégrés dans la carte ministérielle des risques comptables. Cette lacune du
processus d’identification et d’évaluation des risques résulte du parti pris d’un contrôle
interne comptable restreint à l’objectif de qualité comptable13
. Or, l’objectif d’une carte
ministérielle des risques devrait bien être de remonter au niveau de la gouvernance les
risques impactant le plus fortement les comptes de manière hiérarchisée sur les
processus portant les enjeux financiers les plus significatifs.
La Cour souligne la portée et l’intérêt de la démarche impulsée par le comité
ministériel d’audit interne en demandant une carte des risques ministériels majeurs à
l’IGF. Les trente risques majeurs ont été présentés aux instances de gouvernance à la fin
de l’année 2014. L’enjeu du SG consiste maintenant à orchestrer la déclinaison de cette
démarche de manière cohérente au sein des directions afin de la rendre opérationnelle.
13
Ce constat ne présume pas du niveau de maîtrise des risques de ces activités.
40
B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DE LA CARTE DES
RISQUES
1. Les lacunes persistantes de la méthodologie et du modèle de carte des
risques
La carte ministérielle des risques comptables permet d’identifier les niveaux de
sensibilité des processus aux risques mais ne dresse pas la liste des risques majeurs
potentiels afin de les évaluer et d’en assurer un suivi précis.
Les informations remontées dans la carte ministérielle des risques comptables
sont trop génériques et peu étayées et ne permettent pas de savoir quelles sont les
directions concernées par le risque, ni le risque spécifique par direction. Les critères
d’évaluation peuvent même être différents d’une direction à une autre.
Même si l’approche est mieux appréhendée cette année, les notions de risques ne
sont pas suffisamment maîtrisées. La note méthodologique de cartographie ministérielle
des risques élaborée par la MACI « identifie trois types de risques : les risques
inhérents, les risques de contrôle et les risques résiduels. » Or, il n’existe qu’un seul
type de risque qui est évalué à des moments différents : avant (inhérent) et après
(résiduel) prise en compte du dispositif de maîtrise des risques.
Le risque de contrôle n’existe pas. Il s’agit d’une notion développée en audit afin
de déterminer le risque d’audit. L’usage de cette terminologie au lieu des concepts de
maîtrise des risques utilisés parmi les bonnes pratiques de place porte à confusion.
Pour que les risques soient évalués correctement, il faut pour cela qu’ils soient
formulés précisément. Le nouveau modèle de carte des risques intègre bien un champ
pour les risques inhérents mais les informations auxquelles ils se réfèrent sont des
facteurs de risques génériques sans lien avec les objectifs des processus (exemple :
« multiplicité des acteurs », « complexité de la règlementation », « montant élevé »).
Pour rappel, un risque est tout événement pouvant entraver l’atteinte des
objectifs. Pour identifier correctement les événements porteurs de risque, il faut
préalablement s’interroger sur les objectifs de chacun des processus. L’objectif de
qualité comptable est trop générique en soi et se traduit différemment selon les
processus.
A titre d’illustration, les objectifs du processus participations permettant
d’atteindre la qualité comptable en bout de chaine peuvent être analysés de la façon
suivante : assurer l’exhaustivité des participations et en obtenir une évaluation fiable.
Ainsi, les risques14 pourraient être :
- Une absence de fiabilité des évaluations des participations en raison de
l’hétérogénéité des référentiels comptables appliqués par les opérateurs et
l’absence de retraitements comptables selon le référentiel comptable de l’Etat ;
- Une absence de fiabilité des évaluations des participations en raison des
calendriers de clôture trop tardifs d’une part significative d’opérateurs ;
14
Ces exemples sont donnés à titre purement indicatif et ne sont pas issus d’une analyse
approfondie qui pourrait être réalisée avec les sachants.
41
- La perte des données des participations non contrôlées en raison de
l’obsolescence de l’application « compte 26 ».
Dans ce dernier exemple, une partie des informations figurent pourtant dans la
carte des risques mais ces informations ont été insérées dans le champ de la
« justification de l’évaluation des risques de contrôle ».
Par ailleurs, la note méthodologique a bien pris en compte les remarques de la
NEC de 2013 en définissant les critères d’évaluation de la fréquence de survenance du
risque et de l’impact financier. Afin de renforcer le caractère concret des évaluations, la
probabilité de survenance pourrait être encore précisée en indiquant l’horizon temporel.
Par exemple, une probabilité de survenance faible est appréciée quand l’événement est
susceptible de se produire exceptionnellement. Préciser que le caractère exceptionnel
peut être évalué quand l’événement se produit une fois tous les trois ans peut faciliter
l’exercice de cotation et accroître l’homogénéité des évaluations. Une bonne pratique
consiste d’ailleurs à aligner cet horizon temporel sur la périodicité des plans stratégiques
de l’entité (ou encore des cycles budgétaires).
Pour autant, ces éléments permettant de justifier l’évaluation du risque
(probabilité et impact) n’ont pas été retranscrits dans la carte ministérielle des risques.
Ainsi, afin que la carte des risques soit plus pertinente, les risques des processus
les plus significatifs, et ce de manière proportionnée aux enjeux financiers, doivent être
identifiés ligne par ligne afin de permettre une évaluation unitaire de chaque risque qui
devra détailler la probabilité de survenance et l’impact financier pour justifier
l’évaluation du risque inhérent.
L’intérêt de cette évaluation de chaque risque est à l’instar de la carte des
risques IGF de hiérarchiser les risques pour cibler et arbitrer les actions à réaliser
en priorité.
2. Une conception du dispositif dans son ensemble à faire évoluer pour
faciliter le suivi des risques majeurs au niveau ministériel
Le modèle de carte des risques actuel présente comme défaut de ne pas avoir été
conçu dans une optique de consolidation. Dès lors, l’élaboration de la carte ministérielle
des risques nécessite une analyse intellectuelle non formalisée très consommatrice de
temps. Simplifier les modèles de carte ministérielle des risques et de cartes
directionnelles de risques permettrait une productivité plus grande.
La carte ministérielle des risques comptables et financiers devrait pouvoir à
terme ne présenter que les risques majeurs impactant les comptes de l’Etat des
directions composant les MEF sur les processus à enjeux financiers.
Selon le rapport de mission intermédiaire du sous-cycle 1.1, les propositions
suivantes ont été rédigées à destination de la MDCCIC : « la cartographie des risques
pourrait être réalisée sur la base d’un modèle simplifié, comme proposé ci-dessous
(pour plus de lisibilité, la vue est décomposée en deux parties) :
- une partie dédiée à l’identification et l’évaluation des risques inhérents :
42
Ministère Direction Service ProcessusSous-
processusRisque identifié
Propriétaire
du risqueProbabilité Gravité
Criticité
brute
Entité de l'EtatEvaluation du risque
inhérentIdentification du risque inhérent
- une partie dédiée à l’identification et à l’évaluation du dispositif de maîtrise du
risque existant, l’évaluation du risque résiduel et les actions à mettre en œuvre
le cas échéant :
Niveau de maîtrise
du risque résiduel
Activités de maîtrise en place Responsable
Niveau de maîtrise
du risque de par le
dispositif existant?Criticité nette
Description du plan
d'action
Responsable
du plan
d'action
Échéance Priorité StatutAvancement
(en %)
Plans d'actionDispositif de maîtrise du risque
Le dispositif de maîtrise des risques ministériels pourrait être conçu, à titre
d’exemple, de la façon suivante :
- chaque direction anime et déploie la démarche de maîtrise des risques en
identifiant, évaluant (selon les critères d’appréciation définis par la
MACI) et hiérarchisant les risques attachés aux principaux processus
puis décrivent les activités de maîtrise et les actions à mettre en œuvre
si nécessaire ;
- une fois par an (ou deux fois), chaque direction remonte à la MACI le
tableau ci-dessus contenant les dix (ou quinze, ou vingt) risques les plus
élevés ;
- sur cette base, la MACI consolide ces données et analyse l’ensemble des
risques remontés des directions en identifiant par exemple l’existence
de risques communs à plusieurs directions, en réévaluant si besoin ces
risques pour une meilleure hiérarchisation et en identifiant les actions
qui mériteraient d’être menées de manière conjointe dans une optique
de partage des meilleurs pratiques et d’optimisation des ressources
humaines. Cette analyse pourra permettre de fournir une vision agrégée
et hiérarchisée des risques majeurs des directions du ministère.
Le modèle pourra même être semi-automatisé grâce à une utilisation avancée des
fonctions d’Excel afin de pouvoir faciliter les travaux de consolidation et dégager du
temps pour l’analyse et les échanges avec les directions.
3. La méthode d’actualisation doit évoluer vers une analyse prospective,
directe et ciblée sur les enjeux financiers
La méthodologie d’actualisation des cartes directionnelles des risques n’a pas
évolué en 2014 et repose sur une multiplicité de sources d’informations et notamment
l’exploitation documentaire des contrôles réalisés (restitutions du comptable et du
contrôle hiérarchisé de la dépense, les constats des missions d’audit interne, les réserves
de la certification des comptes de la Cour).
Cette méthode permet finalement d’identifier les risques avérés et ce a posteriori
mais ne permet pas d’identifier les risques potentiels a priori.
43
Pour ce faire, la méthode de collecte des risques directement auprès des
responsables des activités ou de processus doit être privilégiée afin d’impliquer les
responsables opérationnels dans la maîtrise de leurs risques majeurs. L’exploitation des
résultats des contrôles doit permettre seulement dans un second temps de corroborer le
niveau de maîtrise ou le risque de contrôle évalué. La question : « quels sont vos risques
qui vous empêche d’atteindre vos objectifs ? » doit être posée aux acteurs opérationnels.
Si l’arrêt du projet ONP a été correctement appréhendé et pris en compte dans
l’évaluation du risque inhérent du processus rémunérations, les risques spécifiques au
projet de refonte de l’application PAY15 n’apparaissent pas, ni ceux relatifs aux projets
de réforme des pensions (CIR) et de déploiement de Chorus Portail Pro en lien avec la
règlementation sur la dématérialisation. Le risque résiduel du pilotage des systèmes
d’information a notamment été évalué à un niveau faible alors même qu’il était évalué à
un niveau moyen en 2013. Compte tenu des dérives des projets de refonte des systèmes
d’information liés au ressources humaines ou encore des problèmes rencontrés lors du
changement d’architecture technique de Chorus, cette baisse du niveau de risque
résiduel n’est pas justifiée.
4. Une démarche unique et commune à déployer sur l’ensemble des
directions et des processus de manière décloisonnée (métier, budgétaire,
comptable)
Il est à noter l’existence de différentes démarches de cartographie des risques
parallèles et divergentes entre elles portant sur des périmètres différents (IGF,
MDCCIC, DGFIP, MACI et bientôt sur les risques budgétaires). La démarche et les
outils devraient être uniques et s’appliquer de manière homogène qu’ils s’agissent du
périmètre métier, budgétaire ou comptable. D’autant qu’un processus peut être
concernée par les trois approches.
Au sein même de la DGFIP, deux démarches de maîtrise existent (MRA et
MDCCIC) et divergent également. Par ailleurs, les risques majeurs issus de l’analyse de
la MRA ne sont pas remontés à la MACI. De ce fait, un certain nombre de risques
associés à des processus du périmètre de la DGFIP ayant un impact important sur les
comptes, comme les processus de pilotage des emplois du réseau, les processus de
gestion des fichiers contenant les données d'assiette des différentes impositions, le
pilotage du recouvrement des produits fiscaux, les processus de droits d'enregistrements
et taxe de publicité foncière, ... n’apparaissent pas dans la carte ministérielle des risques
alors que l'analyse des risques au cœur du métier de la DGFIP devrait y être inclue
compte tenu des enjeux financiers significatifs qu’elle porte.
Il en est de même pour d’autres directions telles que la DB16, l’APE…, dont
certaines activités métiers impactent significativement les comptes, mais ne sont pas
intégrées dans le périmètre du contrôle interne comptable et donc dans la carte
ministérielle des risques comptables.
Disjointe de la carte ministérielle des risques, en raison de sa nature
interministérielle, la carte des risques comptables de l’Etat n’a quant à elle pas été
finalisée par la DGFIP. Cette analyse des risques scindée entre les risques ordonnateurs
15
Calculateur de la paie de tous les ministères sauf du MINDEF.
16 Portant par exemple l’évaluation des engagements de retraite de l’Etat représentant 1.500 Md€.
44
d’une part et les risques comptables d’autre part, peut amener à s’interroger sur la vision
transverse de l’analyse des risques qui en résultera, outre la redondance des exercices.
Les travaux de cartographie des risques initiés par l’IGF ont impulsé une
nouvelle démarche, qui répond aux bonnes pratiques de place17, sous réserve que le
risque puisse être spécifié de manière plus précise par sa cause et sa conséquence.
A titre d’exemple, le risque majeur « le pilotage, la coordination et la maîtrise
des finances publiques » couvre un périmètre de 28 processus clés comme le suivi et le
pilotage de l’exécution budgétaire, le maintien en conditions opérationnelles de Chorus,
la gestion du patrimoine immobilier, la gestion du patrimoine immatériel, la gestion des
achats, l’octroi et la gestion des garanties... De la même manière, le risque majeur « les
données budgétaires et comptables », dont le propriétaire du risque est le SG et le
CBCM, couvre 3 processus clés dont la production des comptes de l’Etat.
L’attribution formelle des risques à des propriétaires des risques est une très
bonne pratique qui permet d’impliquer les dirigeants au plus haut niveau et ainsi de
généraliser la culture des risques au sein du ministère.
Ainsi, la démarche doit pouvoir se décliner et se diffuser au sein de chaque
direction du ministère au regard des risques majeurs identifiés. Bien évidemment, la
déclinaison de ces risques majeurs devra permettre de spécifier les risques de manière
plus précise et plus détaillée au niveau des directions.
L’enjeu réside maintenant dans la méthode choisie pour décliner la démarche au
sein de chaque direction afin d’harmoniser et d’articuler au mieux les travaux dans un
objectif commun et à une maille d’analyse adaptée selon les enjeux et le niveau de
risque évalué.
A partir des risques majeurs recensés et hiérarchisés par l’IGF, les
directions, sous l’égide du SG, doivent décliner cette démarche de maîtrise des
risques sur l’ensemble des processus clés.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
6 Améliorer la carte ministérielle des risques comptables
en :
- identifiant clairement les risques pouvant impacter
significativement les comptes et les évaluer afin
de les hiérarchiser ;
- introduisant les risques pesant sur les activités
considérés comme métier mais qui impactent de
manière très significative les comptes;
- articulant la carte ministérielle des risques
comptables et les différentes cartes
directionnelles avec la carte ministérielle des
risques majeurs élaborée par l’IGF.
B 1
17
Sur la base de la synthèse des risques majeurs du MEF obtenu par la Cour le 19/01/2015.
45
7 Faire évoluer la méthodologie et les outils de pilotage du
contrôle interne proposés par la MDCCIC de manière à
proportionner les démarches par rapport aux enjeux financiers
et harmoniser les démarches au sein des différentes directions
A 1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
46
1,40
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1
Une carte des risques a été formalisée au niveau
ministériel et permet de couvrir tous les services et entités
rattachés (ministère, services déconcentrés, opérateurs)
1 1,5
La carte ministérielle des risques a été formalisée sur la base des cartes directionnelles des risques. Le périmètre couvre globalement
l'ensemble des directions du ministère mais le périmètre est confiné au domaine strictement comptable et ne couvre pas les serivces métiers
qui pourraient impacter fortement les comptes.
A titre d'exemple, seulement la carte des risques comptables de la DGFIP "ordonnateur" est remontée à la MACI. Les risques métiers portés
par les services de la DGFIP, analysés par la MRA (selon une démarche différente), ne sont pas intégrés dans la carte ministérielle des
risques comptables car considérés comme métier. Or, ces activités ont pour un certains nombres d'entre elles un impact significatif sur les
comptes, comme les processus de gestion des fichiers contenant les données d'assiette aux différentes impositions, le pilotage du
recouvrement des produits fiscaux, les processus de droits d'enregistrements et taxe de publicité foncière, ...
L'APE a été officiellement intégrée dans la démarche de contrôle interne par la MACI. Néanmoins, l'analyse des risques a été englobée par la
DGT et la lecture de la carte des risques de la DGT ne permet pas d'individuer les risques spécifiques portés par l'APE.
La DB, de la même manière, portant les évaluations des engagements de retraite notamment, ne remontent aucun risques sur la partie
considérée du métier, alors que les risques impactant les comptes sont bien situés au niveau du métier.
2
La carte ministérielle des risques est consolidée,
examinée et validée par la structure de gouvernance de la
maîtrise des risques
2 2 La carte ministérielle des risques a été examinée et validée lors des comités de maîtrise des risques du 18 juin 2014 et au 27 novembre 2014.
3La carte des risques est actualisée annuellement (à fin N-
1 pour l'exercice N)1 1,5
La carte ministérielle des risques a été actualisée en deux temps :
- sur la base des observations de la Cour (NEC, rapport de certification des comptes de l'Etat) ou de l'audit interne lors de l'actualisation pour
le CMR du 18 juin ;
- sur la base des cartographies directionnelles des risques actualisées en date du 30 juin pour présentation au CMR du 27 novembre.
Toutefois, la Cour préconise de faire évoluer le calendrier d'actualisation afin que les cartes directionnelles et donc ministérielles des risques
soient actualisées pour la fin d'année au plus proche de la date de CMR et afin que les plans d'actions soient mis en oeuvre sur le même
calendrier que l'exercice comptable.
La méthode d'actualisation centrée sur les restitutions du comptable et les rapports de la Cour doit évoluer et ne servir uniquement à corroborer
l'identification, l'évaluation et la hiérarchisation qui aura pu être effectuée en amont.
Les projets structurants ont bien été pris en compte dans l'évaluation des processus, comme sur le processus "Rémunérations" et
"Pensions", conformément à nos constats de la NEC 2013. Néanmoins, les nouveaux risques liés à la refonte à isofonctionnalités de
l'application PAY (calculateur de la paie de tous les ministères sauf du MINDEF) ou sur la réforme des pensions (CIR) ne sont pas
mentionnés. De la même manière, les risques pouvant être portés par le déploiement de Chorus Portail Pro en lien avec la règlementation sur
la dématérialisation (ordonnance xx) ne sont pas mentionnés également alors qu'on pourrait s'attendre à voir figurer des risques liés à ces
projets.
4
La structure de cette carte permet d’identifier les risques
inhérents par processus et les dispositifs de maîtrise
existants ou les actions à mettre en œuvre ainsi que les
niveaux de risques résiduels
1 1
La MACI a fait évoluer de manière partagée avec les RTD le format de carte ministérielle/ directionnelle des risques au sein des MEF en tenant
compte de certains constats de la NEC 2013. Ainsi, le modèle de carte des risques distingue les risques inhérents, les risques de contrôle et
les risques résiduels. Néanmoins, même si le format permet d'identifier les risques inhérents, les risques de contrôle et le risque résiduel, le
risque inhérent indiqué à ce stade reprend les facteurs de risques standards proposés dans le modèle de la MDCCIC. Cette carte des risques,
malgré les améliorations apportées, reste trop orientée sur les risques de contrôles et ne permet pas de connaître les risques inhérents
majeurs et leur niveau de risques résiduels sur les processus portant les enjeux financiers les plus significatifs au niveau ministériel.
5
La structure de cette carte couvre l'ensemble des
processus à enjeux figurant dans la carte des processus
du ministère
1 1
La carte ministérielle des risques ne couvre pas l'ensemble des processus décrits dans la cartographie ministérielle des processus.
Par ailleurs, du fait de l'absence de remontée de la MRA, un certain nombre de processus du périmètre de la DGFIP ayant un impact
important sur les comptes, comme les processus de pilotage des emplois du réseau, les processus de gestion des fichiers contenant les
données d'assiette aux différentes impositions, le pilotage du recouvrement des produits fiscaux, les processus de droits d'enregistrements et
taxe de publicité foncière, ... ne sont pas inclus dans l'analyse des risques remontée à la MACI alors qu'il s'agit du coeur du métier de la
DGFIP, portant des enjeux financiers significatifs, et devraient être, à ce titre, inclus dans la carte ministérielle des risques.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
4 - LA CARTE DES RISQUES
18
18
La cotation ne tient pas compte de la carte ministérielle des risques majeurs élaborée par l’IGF.
47
III. LE PLAN D’ACTION MINISTERIEL
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
Le plan d’action ministériel (PAM) a été, comme prévu par les textes, examiné
et validé par les comités de maîtrise des risques du 18 juin et du 27 novembre 2014. Son
élaboration a été enrichie en 2014.
Au titre de l’année 2014, le PAM présente sept actions de pilotage dont cinq
nouvelles actions concernant respectivement l’amélioration du reporting ministériel, la
redéfinition de la méthodologie de la cartographie des risques ainsi que sur le pilotage
du déploiement de la démarche au sein des DIRECCTE. Les deux autres nouvelles
actions concernent l’accompagnement des opérateurs.
Sur son volet relatif aux processus comptables, le PAM présente seize actions
dont sept nouvelles de 2014, huit datant de 2012 et une datant de 2013. Les actions de
2014 concernent les processus rémunérations, pensions, avances aux collectivités
locales, prêts et avances, les régimes suspensifs de la DGDDI et les provisions pour
litiges.
La méthode d’élaboration du PAM n’a pas subi de changement en 2014. Sa
formalisation a néanmoins été améliorée en prenant en compte certaines
recommandations de la NEC 2013 : les actions du volet « pilotage » sont référencées
dans la carte des risques, les actions du volet processus sont priorisées et les bureaux
responsables de l’action au sein des directions ont été ajoutés au sein du volet
« indicateurs ».
Toutefois, le PAM reste trop complexe dans sa présentation et ne permet pas une
correcte articulation avec les risques majeurs. Si la note méthodologique relative au
PAM précise que les actions programmées doivent répondre en priorité aux risques
résiduels évalués à « fort », et éventuellement « moyen » si l’enjeu le justifie, dans la
carte ministérielle des risques, l’analyse des documents ministériels validés à la fin
novembre 2014 met en exergue des écarts. Malgré sa conformité aux instructions de la
DGFIP, sa structure pourrait être simplifiée pour améliorer sa lisibilité (par exemple, sur
la base du modèle du PACE) en l'intégrant au sein d'un document unique alliant la carte
des risques. Cette fusion des documents de travail permettrait de faciliter de fait
l’articulation entre les risques et les actions de manière concrète et pragmatique.
Les actions ne disposant toujours pas d’échéances plus fines permettant un
pilotage par objectifs, leur mise en œuvre est étendue dans le temps. La note
méthodologique préconise un délai de réalisation de trois ans, en précisant qu’ « à
l’issue de ce délai, les actions sont retirées du plan en vigueur ». Par ailleurs, compte
tenu du caractère très générique des actions inscrites au PAM et de ses modalités
d’élaboration compilant plusieurs sous actions de différentes directions, le degré
d'avancement des actions du volet « processus » ne retranscrit pas la réalité. En
analysant le détail des sous-actions du volet « indicateurs », les principales actions
opérationnelles n’ont que très peu évolué sur 2014.
Enfin, seules les actions prioritaires couvrant les risques majeurs pourraient être
remontées au CMR.
48
B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DU PLAN D’ACTION
MINISTERIEL
Le modèle de PAM utilisé se décompose en trois volets, un volet « pilotage », un
volet « processus comptables » et un volet « indicateurs » afférents aux processus
comptables.
Le PAM est mis à jour en intégrant les actions spécifiques des PAS des
directions, ou des plans d’actions directionnels (PAD) le cas échéant, et des conclusions
d’audit interne, lorsque les risques résiduels d’un processus sont évalués à un niveau
« fort » ou parfois « moyen ».
Les actions inscrites au sein du volet « processus comptables » sont la synthèse
de différentes actions des directions issues des PAS/ PAD. Il en ressort des actions
génériques dont le détail est fourni dans le volet « indicateurs » du PAM. L’ajout de ce
niveau de lecture en cascade complexifie la lecture et l’articulation avec les risques.
1. Le PAM est trop complexe dans sa présentation
La complexité excessive du PAM apparait à plusieurs reprises. A titre
d’exemple, l’action 2014-1 portant sur le processus Rémunérations : « définir la
méthode et les outils de développement d’un dispositif de contrôle interne approprié »
concerne à la fois la DGFIP et la DGDDI. Le PAM au 31 décembre 2013 présentait un
taux d’avancement de 88% contre un taux de 40% au 30 juin 2014. Afin de connaître le
détail des actions, il faut se référer au volet « indicateurs » qui détaille les sous-actions
afférentes : la sous-action opérationnelle n°1 de la DGFIP dont le taux d’avancement de
80% est inchangé par rapport à 2013 et la sous-action opérationnelle n°2 de la DGDDI
dont le taux d’avancement de 0% contre 95% à fin 2013. L’information reportée en
synthèse fausse la lisibilité sur la réalité des actions.
S'il répond formellement aux attentes, sa structure pourrait être simplifiée pour
améliorer sa lisibilité (par exemple, sur la base du modèle du PACE) en l'intégrant au
sein d'un document unique alliant la carte des risques. L’utilisation d’un support unique
reliant risque et action devrait notamment contribuer à la définition d’actions plus
pertinentes et à une hiérarchisation en lien direct avec le niveau de risque résiduel.
2. Les actions sont mal articulées avec les risques
L’articulation des actions avec les risques et l’interrelation entre le niveau de
risque et la priorité des actions ne ressort pas suffisamment. Si le lien avec les actions a
été inséré dans la carte ministérielle des risques, la référence aux risques n’a pas été
intégrée dans le PAM.
Les processus évalués à un niveau de risque "fort" comportent une action inscrite
au PAM 2014 ainsi que la plupart des risques évalués à niveau de risque "moyen".
Néanmoins, l'analyse plus approfondie du PAM a mis en exergue que le processus
"participations" évalué à un niveau de risque "fort" ne comporte pas d'actions au PAM
même si une action apparaît référencée, cette dernière a été finalisée et ne permet pas de
réduire les risques cités sur ce processus. De la même manière, les actions du PAM
articulées avec les processus d'impositions ne répondent que partiellement aux risques
évoqués. Dans d'autres cas, les actions sont trop génériques pour conclure que l'action
s'articule effectivement bien avec le risque (exemple: "action 2014-7: Consolider le
dispositif de contrôle interne sur les provisions pour litiges"). Cette articulation pourrait
être grandement améliorée en individuant chaque risque majeur identifié et en
49
fusionnant les outils de carte des risques et PAM sur la base du modèle proposé dans le
rapport de mission intermédiaire 2014 du sous-cycle 1.1.
Par ailleurs, le PACE qui est remonté à la MACI est de bonne facture.
Néanmoins, l'absence d'analyse des risques formalisée en amont ne permet pas de
conclure sur la couverture des risques majeurs.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
8 Assurer une articulation effective entre la carte ministérielle
des risques et le PAM afin d’identifier pour chaque risque
majeur une action et pour chaque action, un responsable, une
échéance infra-annuelle précise et un niveau de priorité
décliné au sein des directions du ministère
B 1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
50
1,40
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Un plan d’action ministériel a été formalisé et est actualisé régulièrement
consécutivement à l’actualisation de la carte des risques (à fin N-1) 2 2
Le plan d'action ministériel est formalisé et a été actualisé pour validation lors du Comité de Maîtrise des
Risques du 18 juin 2014 et celui du 27 novembre 2014. Il a été actualisé sur la base des PAD et des
conclusions d'audit interne (insertion de 5 actions nouvelles). Néanmoins, s'il répond formellement aux
attentes, sa structure pourrait être simplifié pour améliorer sa lisibilité (par exemple, sur la base du modèle
du PACE) en l'intégrant au sein d'un document unique alliant la carte des risques.
2Le plan d’action ministériel est examiné régulièrement par la structure de
gouvernance qui assure la validation du document 2 2
Le PAM a été examiné et validé lors des comités de maîtrise des risques du 18 juin 2014 et au 27 novembre
2014.
3
Les actions du plan d’action ministériel sont articulées de manière
satisfaisante de façon à couvrir les risques majeurs identifiés dans la carte des
risques
1 1
Les processus évalués à un niveau de risque "fort" comportent une action inscrite au PAM 2014 ainsi que la
plupart des risques évalués à niveau de risque "moyen". Néanmoins, l'analyse plus approfondie du PAM a
mis en exergue que le processus "participations" évalué à un niveau de risque "fort" ne comporte pas
d'actions au PAM même si une action apparaît référencée, cette dernière a été finalisée et ne permet pas de
réduire les risques cités sur ce processus. De la même manière, les actions du PAM articulées avec les
processus d'impositions ne répondent que partiellement aux risques évoqués. Dans d'autres cas, les actions
sont trop génériques pour conclure que l'action s'articule effectivement bien avec le risque (exemple: "action
2014-7: Consolider le dispositif de contrôle interne sur les provisions pour litiges"). Cette articulation pourrait
être grandement améliorer en fusionnant les outils de carte des risques et PAM sur la base du modèle
proposé dans le rapport de mission intermédiaire 2014 du sous-cycle 1.1.
Par ailleurs, le PACE qui est remonté à la MACI est de très bonne facture. Néanmoins, l'absence d'analyse
des risques formalisée en amont, ne permet pas de conclure sur la couverture des risques majeurs.
4
Le degré de mise en œuvre des actions de l'exercice N, prévues au plan
d’action ministériel, est satisfaisant (au moins 40% à fin juin et au moins 80%
à fin décembre) et correspond aux délais de mise en œuvre définis initialement
1 1
D'une façon générale, les actions ne comportent pas d'échéance, ce qui ne permet pas d'évaluer la tenue des
délais de mise en oeuvre. Les actions doivent être mises en œuvre sur la durée du PAM (3 ans).
Les actions ont un degré d'avancement qui évolue relativement peu dans l'ensemble.
5
Un reporting sur l'état d'avancement des actions prévues au plan d'action
ministériel est remonté régulièrement à la structure de gouvernance de la
maîtrise des risques pour assurer le suivi de sa mise en œuvre
1 1
L'avancement des actions est remonté pour le CMR du 27 novembre 2014 sur la base des PAD remontés au
30 juin 2014. Par ailleurs, l'état d'avancement des actions sur le volet "processus" du PAM est une
compilation des degrés d'avancement des sous-actions figurant dans le volet "indicateurs" qui ne permet pas
de fournir une vision fidèle de l'avancement des actions.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
5 - LE PLAN D'ACTION MINISTÉRIEL
51
IV. LE REPORTING DES CONTROLES
L’organisation du reporting ministériel sur le CI a pour objectif de permettre au CMR
d’avoir une assurance sur l’effectivité et l’efficacité du dispositif de maitrise des risques mis en
œuvre dans chaque direction, de définir au niveau ministériel les orientations de CIC et
d’alimenter la stratégie ministérielle de maitrise des risques lors de l’actualisation de la carte des
risques et de la définition du plan d’action ministériel.
La précédente NEC avait mis en avant qu’à ce stade de déploiement du dispositif de
maitrise des risques, l’organisation du reporting des contrôles internes et l’analyse de leurs
résultats ne permettait pas aux instances de gouvernance et de pilotage (MACI et CMR) de
disposer d’éléments probants suffisants leur permettant d’attester de l’efficacité et de
l’effectivité du CI au sein des ministères financiers. A l’exception du rapport annuel sur le
contrôle interne comptable de l’Etat établi en même temps que le compte général de l’Etat,
l’organisation du reporting au sein du ministère ne permettait pas de consolider le résultat des
actions de contrôle principalement du fait de l’absence de plans de contrôle généralisés à
l’ensemble des directions.
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
De nouveaux outils relatifs au pilotage et à l’évaluation de la démarche de contrôle
interne au sein des directions ont été conçus par la MACI au cours de l’année 2014. En
complément des outils spécifiques déjà existants tels que les tableaux organisationnels et
documentaires, les plans d’action et les tableaux de suivi des EMR, la MACI a présenté lors
du CMR de juin 2014 de nouveaux états de restitution structurés autour d’indicateurs
d’effectivité du contrôle interne. Ces indicateurs doivent permettre au CMR de disposer
d’informations synthétiques et agrégées sur l’avancement du déploiement de la démarche dans
les directions, pour les processus.
Ces informations sont de deux ordres.
1. Un premier tableau de bord portant sur l’effectivité de la démarche de contrôle
interne rend compte de l’organisation de la gouvernance directionnelle et de la mise en œuvre
des outils de pilotage et d’évaluation. Il entend répondre au besoin de mettre à la disposition
des instances de gouvernance un outil d’information synthétique sur l’effectivité de la
démarche au sein des directions. Ce tableau est renseigné sur la base des informations
restituées par l’ensemble des directions au travers des éléments suivants :
- Le questionnaire relatif à l’organisation du contrôle interne directionnel ;
- Le tableau organisationnel et documentaire (TOD) ;
- Les EMR ;
- Le résultat des plans de contrôle définis par direction sur les processus à enjeu.
2. En complément de ce premier tableau de bord, la MACI enrichit un tableau de
bord ministériel permettant d’apprécier l’efficacité du dispositif de maitrise des risques
en se fondant pour partie sur le résultat des plans de contrôle de supervision a posteriori
des RTD . Le CMR de juin 2014 a ainsi décidé des orientations relatives à la finalisation des
travaux associés au levier « traçabilité » de la démarche de CI reposant sur la mise en œuvre,
52
au sein de l’ensemble des directions, de plans de contrôle de supervision à posteriori portant
sur 17 processus à enjeux19.
Les processus retenus ont été intégrés aux actions à mettre en œuvre prescrites dans les
notes d’orientation directionnelles formalisées en juillet, chaque direction devant indiquer à la
MACI le calendrier de mise en œuvre des plans de contrôles.
Le résultat et l’analyse de ces travaux sur les processus doivent permettre à la MACI
de renseigner une série de tableaux de bord constituée par:
- Un tableau de synthèse mesurant par processus l’évolution du taux de
réalisation des actions du plan d’action ministériel de maitrise des risques comptables entre le
31 décembre de l’exercice précédent et le 30 juin et le 31 décembre de l’exercice en cours.
- Un graphique présentant le niveau de réalisation des plans de contrôle de
supervision a posteriori validés lors du dernier CMR et dont la mise en œuvre a été demandée
dans les notes d’orientation directionnelles, ainsi que le nombre de plans de contrôle ayant
soulevé des risques ;
- Un graphique comparant, pour les processus à risque inhérent fort ou moyen, le
risque inhérent (avant l’intervention du contrôle interne) avec le risque résiduel (après
l’intervention du contrôle interne). Cette comparaison donne une vision concrète de
l’efficacité du contrôle interne en mettant en valeur le fait que celui-ci permet de réduire le
niveau de risque sur 8 processus parmi les 21 qui ont un niveau de risque inhérent fort ou
moyen. Elle permet aussi d’identifier les processus devant faire l’objet d’actions prioritaires
- Un tableau de synthèse permettant d’apprécier par processus comptable
l’évolution du niveau de risque résiduel entre le 31 décembre de l’exercice précédent et celui
mesurer au 30 juin et au 31 décembre de l’exercice suivant. Ces données sont établies à partir
des cartes des risques actualisées.
B. L’EVALUATION DU REPORTING DES CONTROLES INTERNES
Comme indiqué supra dans la partie IV consacrée au reporting des contrôles, ce reporting
est pénalisé en services déconcentrés par la faiblesse des outils automatisés. L'amélioration et la
structuration du reporting sont à présent conditionnées par l'éventuelle mutualisation de
l'application AGIR ou de toute autre application automatisant, pour chaque direction, la collecte
des données.
1. Le degré de maturité du dispositif de contrôle interne atteint par certaines
directions permet la mise en œuvre d’un reporting structuré, bien que perfectible.
A la DGFiP, comme indiqué dans la partie infra consacrée au contrôle interne dans les
services déconcentrés, l’absence d’outil unique de suivi des plans départementaux n’a pas
permis au cours de l’année 2014 d’optimiser l’exploitation des résultats des contrôles dans le
cadre d’une démarche de maîtrise des risques élargie au-delà de la stricte sphère comptable.
Sur le volet comptable, l’application AGIR dédiée à la traçabilité des contrôles a
19
Dont Provisions pour litiges, Recettes fiscales, Commande publique, Engagements hors bilan, Avances
et prêts, Interventions, Rémunérations, Trésorerie, Parc immobilier. Crédit d’impôts.
53
posteriori permet de disposer d’éléments de reporting régulier des actions de contrôles prévues
au plan national de contrôle interne. Les informations portées par cette application constituent
une composante significative des analyses et données du rapport annuel sur le contrôle interne
comptable. Les fonctionnalités de cette application permettent de rendre compte du bilan des
contrôles par unité de travail et par thème de contrôle.
Pour les autres métiers de la DGFIP, le reporting des contrôles inscrits au PNCI continue
d’être réalisés à partir d’outils bureautiques. Les résultats sont consolidés au niveau de chaque
inter-région puis transmis au bureau métier et à la MRA, sans que la MACI ait accès au résultat
de ces travaux. Les expérimentations engagés en 2013 pour élargir le périmètre des contrôles
suivis dans AGIR aux pôles Gestion fiscale et Ressources se sont poursuivis positivement au
cours de l’année, de sorte que son utilisation sera généralisée en 2015
Depuis la fin de l’année 2013, la MACI dispose d’un accès en consultation aux données
portées par l’application AGIR. Néanmoins, la portée de cette évolution reste encore limitée
dans la mesure où elle ne donne accès qu’aux résultats PNCI de la DGFIP sur le volet
comptable, et n’est pas accompagné d’une analyse de ces résultats. Cette analyse n’est diffusée
que plus tardivement à l’occasion de l’émission du rapport sur le contrôle interne de l’Etat. En ce
sens, la MACI n’a pas été en mesure de procéder à une analyse des résultats pour le CMR du 27
novembre 2014.
Le reporting de la DGDDI repose sur l’exploitation par les services centraux des bilans
des plans de contrôle des services déconcentrés ainsi que, en matière de dépenses, des
restitutions du CHD et des données du contrôle des opérations d’inventaire. L’administration
centrale élabore chaque année un plan de contrôle (de supervision et de second niveau) que les
services déconcentrés doivent décliner en l'adaptant à leur programmation triennale.
La formalisation du plan de contrôle annuel par les services centraux devrait permettre
une diffusion aux services déconcentrés en octobre/novembre. Cette transmission plus en amont
dans le temps devrait permettre à ces derniers d’établir de façon plus opérationnelle leurs plans
de contrôle locaux pour l’exercice suivant. Les effets de cette mesure ne seront cependant
perceptibles qu’à compter de 2015, les plans de contrôle mis en œuvre en 2014 ne permettant
pas à ce stade d’obtenir une restitution des résultats observés.
Les services déconcentrés établissent un bilan sur la base d'un modèle harmonisé diffusé
par l'ISDGDDI. Le reporting des résultats est assuré à partir d’une matrice des bilans des plans
de contrôles. Le résultat des contrôles réalisés par les services déconcentrés fait l'objet de la part
de l'IS d'une analyse et d'une synthèse, à destination du Comité de contrôle interne. Une
restitution est faite également aux services déconcentrés, de façon à leur indiquer les pistes
d'amélioration en vue de la prochaine campagne d'actualisation des outils de pilotage locaux.
Le reporting tiré de la carte des risques nationale actualisée est complété du résultat des
EMR réalisé en services centraux sur 16 processus. La DGDDI adresse l'ensemble de ses outils
de pilotage actualisés à la MACI, accompagnés du bilan méthodologique tiré de l'analyse des
bilans locaux ainsi que des EMR et des restitutions du CHD. La MACI dispose ainsi de
l'ensemble du reporting de la douane.
En 2015, les efforts devront porter sur l’amélioration qualitative du reporting des services
déconcentrés vers la direction générale, d’une part et de la DG vers la MACI à partir de
restitutions consolidées, d’autre part. Cependant, la douane continue de se heurter à une
difficulté liée à l’absence d’outil permettant d’automatiser la programmation et la restitution du
résultat des contrôles. Cette difficulté pourrait être surmontée par l’éventuel recours à
l’application AGIR dont l’utilisation permettrait d’améliorer les modalités du reporting dans sa
forme et ses délais A ce titre, la douane envisage une dématérialisation rapide des supports
54
permettant de fluidifier la transmission de l’information.
Au sein du secrétariat général, le reporting continue d’être assuré au travers de la
communication systématique par les services prescripteurs de tous les comptes rendus (réunions,
points d’étape, analyse du bilan des contrôles) ainsi que de la communication du résultat de
l’ensemble des EMR. Chaque trimestre, le RTD adresse aux responsables de processus des
formulaires "bilan des contrôles" et "évolution de l'environnement" qu'ils doivent renseigner des
anomalies relevées au sein de leurs services. L'exploitation des restitutions de ces contrôles
trimestriels permet d'établir un bilan des anomalies détectées par processus et d'obtenir ainsi un
pourcentage annuel d'anomalies décliné par critère de qualité comptable. Les résultats sont
présentés en comité de pilotage de contrôle interne et servent de support à l’analyse des risques
sur les processus de la dépense. Pour 2014, les plans de contrôle se sont concentrés sur les
processus « commande publique », « interventions » et « rémunérations ».
2. Une mise en œuvre tardive ou partielle des plans de contrôle de supervision à
posteriori ne permettant pas d’en restituer les résultats au niveau ministériel
Dans les autres directions, l’absence de définition de plans de contrôle de supervision ou
leur mise en œuvre tardive ne permet pas d’en agréger les résultats et d’en effectuer une analyse
permettant d’obtenir une vision synthétique de la maturité et de l’efficacité du dispositif. Même
si les informations portées dans la carte des risques actualisée par direction améliore cette vision,
l’hétérogénéité du reporting des actions de contrôles d’une direction à l’autre ne permet pas
d’appréhender et de mesurer de façon documentée et synthétique l’efficacité du dispositif de
maitrise des risques.
A ce stade, les contrôles mise en œuvre à la DGT sont limités aux processus gérés dans
Chorus. Ces contrôles étant formalisés depuis peu (juin 2014), aucun bilan ne sera réalisé cette
année sur le résultat de ces contrôles. L’organisation du reporting au sein de cette direction ne
permet pas par ailleurs de restituer le résultat des plans de contrôle mis en œuvre par l’APE sur
le processus à enjeu « Participations ».
Compte tenu de sa taille et des missions qui lui sont attribuées, le reporting de la DB n’a
pas évolué. Elle n’a toujours pas mis en place d’outil pour assurer le reporting et l’analyse des
actions de contrôle initiées dans le cadre de son dispositif de CI. Le reporting repose
principalement sur l’actualisation semestrielle du plan d’action directionnel à laquelle sont
associés les services gestionnaires, ainsi que de la carte des risques.
La maturité du dispositif de contrôle interne de la DGCCRF ne permet toujours pas la
mise en place d’un reporting structuré. La mise en place d’un tableau de recensement et de suivi
des événements et anomalies notés en interne, ayant ou pouvant avoir des incidences sur la
qualité comptable, ainsi que l’organisation d’un reporting du pilotage et de l'animation du CIC,
constituent deux actions inscrites au PAD depuis 2013. Ces actions n’ont été que très
partiellement mises en œuvre au cours de l’exercice, la réalisation de ces actions étant reportées
sur 2015. Des plans de contrôle portant essentiellement sur le processus commande publique
ont été définis, mais aucune synthèse des résultats n’a pu être restituée à ce stade.
Le dispositif de CI de la direction des affaires juridique (DAJ) concerne principalement
trois processus comptables dans le cadre du programme 218 : «commande publique»,
«provisions pour risques et charges», «produits non régaliens» (titres de perception exécutoire
ou sur décision de justice). Un plan de contrôle de supervision a posteriori a été établi au début
de l’année 2014 et une synthèse des résultats du plan de contrôle au 30 juin 2014 a été transmise
à la MACI, principalement pour ce qui concerne le processus « commande publique ». Celle-ci
doit être complétée ultérieurement des résultats des contrôles n’ayant pu être finalisés à cette
date.
55
A l’AIFE, les efforts se sont concentrés au cours du premier semestre sur la prévention et
la détection des anomalies et à la fiabilisation de la qualité comptable sur les processus à enjeu
de la direction (commande publique, provisions pour risques et charges). Si un plan de contrôle à
posteriori a bien été défini pour les principaux processus la concernant, le début de leur
exécution n’a été effectué que tardivement ne permettant pas à ce stade d’en restituer les
résultats. L’organisation du reporting du résultat de ces contrôles reste par ailleurs perfectible.
En l'absence de structure d'audit interne qui lui soit propre, il est prévu à terme de mettre en
place un reporting sur l'évaluation du CI.
A la DGE, le plan de contrôle à posteriori porte principalement sur le processus
interventions. Sa mise en œuvre tardive n’a pas encore permis d’en restituer les résultats à ce
stade au titre du présent exercice.
De manière générale, on peut ainsi constater que la mise en place effective des plans de
contrôle de supervision, limitée à quelques directions et à quelques processus comptables, a
restreint l’exploitation de leurs résultats agrégés au niveau ministériel, ne permettant pas de
présenter une analyse même partielle du résultat de ces actions lors du CMR de novembre. Le
bilan définitif des plans de contrôles de supervision ne sera présenté au CMR qu’au printemps
2015.
3. Une organisation du reporting enrichie sur le volet comptable de l’analyse des
restitutions du CHD (contrôle hiérarchisé de la dépense) et de l’ l’analyse des
opérations d’inventaire
a. L’analyse des restitutions du CHD
Les restitutions relatives au CHD opérées par le DCM constituent un élément de
reporting des contrôles mis en œuvre sur la dépense. La consolidation des données au niveau
national permet de faire apparaître par grandes catégories de dépenses (par processus
comptables) l’enjeu financier du processus de dépense concerné, le taux d’anomalie global par
processus, l’origine et la nature des anomalies constatées.
Depuis fin 2012, les restitutions du CHD du comptable sont communiquées aux services
prescripteurs tous les semestres. En revanche, les restitutions transmises aux services
prescripteurs ne permettent toujours pas de renseigner si l’anomalie est imputable au service
prescripteur ou au CSP auquel il est rattaché, le CSP n’étant pas identifié dans le module CHD
de Chorus en tant que service exécutant. Une part importante des anomalies est pourtant
constituée par l’absence, à la date d’arrivée de la facture au SFACT, de certification du service
fait dont les CSP sont chargés. L’identification du service à l’origine de l’anomalie (service
prescripteur ou CSP) permettrait probablement d’améliorer la situation.
Une instruction de juillet 2014 vise à élargir le contenu des restitutions du CBCM vis-à-
vis des services. Ainsi, les restitutions CHD ont été enrichies d’informations relatives aux
recettes non fiscales et aux immobilisations. La consolidation de ces restitutions (services
déconcentrés et administration centrale) ne concerne que le réseau de la DGFiP, les DIRECCTE
ayant des enjeux financiers moindres.
En revanche, les anomalies relevant du traitement des dépenses des services déconcentrés
ne figurent toujours pas dans les documents produits par le CBCM. Il est cependant prévu qu’à
compter de 2015, les anomalies puissent être restituées par service prescripteur pour les DRAC,
les DRJSCS et la DGFIP.
56
b. L’analyse des opérations d’inventaire
Compte tenu des enjeux spécifiques au sein du MEF, le CBCM enrichit son propre PNCI
de contrôles locaux dans AGIR. Un plan d’action et une synthèse annuelle sont réalisés sur la
base des résultats des contrôles et communiqués à la MDCCIC mais pas à la MACI. A l’inverse,
sur le volet comptable, l’analyse des travaux d’inventaire du précédent exercice menée par le
CBCM constitue une composante du reporting dont la MACI est destinataire. La valorisation des
contrôles effectués permet ainsi de tirer des éléments propres à enrichir la carte des risques
comptables pour les processus à enjeu charges à payer, produits à recevoir, immobilisations et
stocks, provisions pour risques et charges. Les analyses menées s’appuient pour l’essentiel sur
les contrôles de clôture en administration centrale, ce qui n’exclut pas un éventuel élargissement
vers les niveaux déconcentrés pour les directions à réseau. Ces travaux se heurtent à une
difficulté concernant le réseau de la DGFIP. L’absence de responsable d’inventaire unique par
dispositif rend difficile l’analyse globale de la qualité des différents travaux d’inventaire.
Si le cadre formel du reporting structuré autour d’indicateurs permettant de mesurer
l’effectivité et l’efficacité de la démarche ministérielle de contrôle interne a été approuvé par le
CMR, l’efficience de ce dispositif ne pourra être appréciée pleinement qu’à compter de 2015 au
vu de la qualité des restitutions transmises à la MACI par l’ensemble des directions. Les
indicateurs d’efficacité et d’effectivité définis par la MACI au cours de l’exercice ont pu être
présentés lors du CMR du 27 novembre 2014. Cependant, a mise en place tardive ou parcellaire
des plans de contrôle à posteriori au sein de certaines directions, n’ont permis de renseigner
certains de ces indicateurs que de manière incomplète.
L’organisation du reporting au sein du Ministère gagnerait à ce que les plans de contrôles
de supervision soient définis au cours du dernier trimestre de l’exercice précédent permettant
leur mise en œuvre dès le début de l’exercice suivant. Cet aménagement du calendrier
permettrait qu’une analyse partielle des résultats observés sur les processus à enjeu soit
présentée par la MACI lors du CMR de fin d’année, l’analyse complète sur la base des résultats
définitifs étant présentée au CMR de juin de l’exercice suivant.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
10 Généraliser la dématérialisation de la formalisation des contrôlés en
s’appuyant sur le module communication de CHORUS formulaires,
et en utilisant au sein de chaque direction un progiciel de type
AGIR.
B 1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
57
1,50
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Un dispositif de reporting permettant de suivre et de mesurer l’effectivité
du contrôle interne a été mis en place2 2
Sous l'impluslsion de la MACI, le cadre organisant le reporting au sein du Minsitère a été validé lors
du CMR du 18 juin 2014. Il repose sur différents outils permettant de mesurer l'effectivité et
l'efficacité du dispositif ministériel de CIC sur la base des informations restituées par les directions. Il
s'articule autour d'un questionnaire relatif à l'organisation du contrôle interne directionnel, de
l'actualisation du tableau organisationnel et documentaire (TOD) qui renseigne sur le déploiement, au
sein des directions, des outils de CI par processus comptable, et de la restitution du résultat des
plans de contrôle de supervision à postériori décliné dans chaque direction.
2Ce dispositif permet de couvrir l’essentiel du périmètre ministériel en
termes de processus métiers significatifs1 1,5
Suite au CMR du 18 juin 2014, des notes d'orientation directionnelles ont été diffusées à l'ensemble
des directions accompagnées d'une liste des processus comptable à enjeu pour lequels les
directions sont tenues de mettre en place un plan de contrôle de supervision à posteriori. Les
limites observées sur la carte des processus et la mise en oeuvre partielle ou tardive des plans de
contrôle dans certaines directions ne permettent pas d'assurer la couverture de l'essentiel du
périmètre ministériel par ce dispositif.
3
La fréquence de transmission des résultats du reporting à la structure
de gouvernance de la maîtrise des risques est adaptée au calendrier
comptable et au fonctionnement de la structure de gouvernance
1 1,5
Le calendrier de transmission par les directions du résultat des plans de contrôle ainsi que du TOD
ressort adaptée au calendrier comptable et au fonctionnement du CMR. Il prévoit une première
synthèse avant la fin de l'exercice comptable complété d'un bilan complet des actions présenté lors
du CMR se tenant au cours du 1er semestre de l'exercice suivant.
4
Le résultat des plans de contrôle, définis en début d'année et mis en
œuvre tout au long de l'année, sont consolidés au moins une fois par
an (fin de l'année en cours) au niveau ministériel
1 1,5
La précédente NEC avait conclu qu'à l’exception du rapport annuel sur le contrôle interne comptable
de l’état établi en même temps que le CGE, l'organisation du reporting ne permettait pas de
consolider au niveau ministériel le résultat des actions de contrôle, principalement du fait de
l’absence de plans de contrôle généralisés à l’ensemble des directions. Le nouveau dispositif
exposé dans la note d'orientation ministérielle est conçu pour mesurer l'effectivité et l'efficacité du
dispositif de maitrise des risques pour les processus comptables à enjeu du ministère sur la base
du résultat des plans de contrôle à posteriori . La robustesse de ce dispositif reste conditionné par la
capacité des directions à mettre en oeuvre leurs plans de contrôle au plus tôt et à en restituer les
résultats et les analyses dans les délais impartis par les instances de pilotage et de gouvernance.
5
Les résultats des actions de contrôle sont corroborés et font l’objet
d’une synthèse et d’une analyse annuelle réalisée par la structure de
pilotage à destination de l'instance de gouvernance
1 1
A l'exception de la DGFIP et de la DGDDI, le résultat des actions de contrôle menées au niveau
directionnel n'est pas systématiquement corroboré. La note d'orientation ministérielle 2014 prévoit
que soit transmis à la MACI avant le CMR de novembre une première synthèse du résultat des
contrôles de supervision à posteriori mis en oeuvre sur l'exercice, ainsi qu'une synthèse pour chaque
thème de contrôle du nombre d'anomalie constatée, des corrections apportées ainsi que des
mesures de renforcement du dispositif identifiées. Un bilan complet des plans de contrôles sera
également demandé au printemps de l'exercice suivant afin d'en présenter la synthèse au CMR se
tenant au cours du 1er semestre de l'exercice suivant. La MACI a présenté les indicateurs
d’efficacité prévus dans le nouveau dispositif de reporting au CMR du 27 novembre 2014, mais ces
derniers restent incomplets du fait de la mise en œuvre partielle ou tardive dans certaines directions
des plans de contrôle à posteriori .
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
6 - LE REPORTING DES CONTROLES
58
59
V. LE DEPLOIEMENT DE DISPOSITIFS DE CONTROLE INTERNE ADAPTES A
L’ENVIRONNEMENT
A. LA SITUATION A FIN 2014
L’organisation des services en mode CHORUS a très peu évolué en 2014 et est
restée complexe et éclatée notamment au niveau de l’administration centrale qui
conserve sept CSP, en dépit des décisions des ministres d’octobre 2013 prévoyant le
regroupement des CSP de centrale en un plateau unique. En revanche, les contrats de
service, les modes de fonctionnement et les outils d’échanges entre les services sont
désormais plus similaires, à l’exception de la douane qui ne fonctionne toujours pas en
mode facturier et qui utilise des outils différents.
Dans le cadre des décisions interministérielles en matière de modernisation de la
fonction financière, les MEF ont défini une stratégie qui comprend un volet relatif à
l’amélioration du processus de la dépense et un volet organisationnel qui doit conduire à
l’horizon 2017 à la fusion de cinq CSP et à la généralisation du mode facturier.
Toutefois, l’organisation cible apparaît modeste au regard de l’objectif
d’efficience de la fonction financière et de rationalisation des moyens. Le maintien d’un
nombre conséquent de CSP, de faible taille à l’échelon local et au niveau des AAI, ne
favorise pas la conception transversale et harmonisée de dispositifs de contrôle interne
pouvant déboucher sur une meilleure qualité comptable.
Faute d’outil commun, la documentation des processus gérés par les MEF,
éparpillée au sein des directions, offre un cadre peu propice à la mutualisation des outils
de contrôle interne.
Les travaux de révision des outils de documentation des processus composés des
guides de procédures et des référentiels de contrôle interne se sont poursuivis en 2014
mais sont insuffisamment aboutis pour permettre de couvrir l’ensemble des processus
de gestion significatifs. A titre d’illustration, à la DGFiP, les référentiels de CI
actualisés le cas échéant couvrent à peine 60 % des processus à risques élevés identifiés
par la direction, contre 50 % en 2013. A la DGTrésor, certains processus à enjeux
majeurs dans les comptes de l’Etat, tels que les participations ou les prêts et avances, ne
disposent d’aucune documentation actualisée sous forme de guide de procédure ou de
référentiel de CI.
La poursuite de ces travaux est d’autant plus urgente que se profilent à l’horizon
d’autres chantiers liés au déploiement du système d’information RH (SIRHIUS) et à la
réorganisation des services en mode centres de services ressources humaines (CSRH).
Les matrices des contrôles, initialement diffusées aux acteurs du « bloc 3 » ont
été enrichies sur les immobilisations et les recettes non fiscales et ont été généralisées en
fin 2014 à l’ensemble des services d’administration centrale. Toutefois, les matrices
sont insuffisamment fondées sur une analyse des risques documentée et formalisée. La
Cour ne peut donc pas se prononcer sur l’exhaustivité et la pertinence des points de
contrôles définis dans ces matrices qui de surcroît n’intègrent toujours pas les contrôles
relatifs aux opérations d’inventaire.
L’absence d’outil commun de formalisation des contrôles n’a pas favorisé les
restitutions aux services prescripteurs des anomalies constatées par les CSP, à
60
l’exception du CPFi SG qui est parvenu à mettre en place en milieu d’année 2014 de
telles restitutions. Cette bonne pratique mériterait d’être généralisée à l’ensemble des
CSP. Elle permettrait d’améliorer la coordination entre les services, le recensement et
l’analyse des anomalies constatées par les CSP et la mise en place de dispositifs
appropriés susceptibles d’améliorer la qualité des opérations.
Des travaux visant à faire évoluer les fonctionnalités du module communication,
à l’instar de ceux réalisés en 2014 pour les comptables, pourraient permettre à terme aux
services de disposer d’un outil interministériel de traçabilité et de formalisation des
contrôles. Ces travaux devront au préalable être actés par le comité d’orientation
stratégique CHORUS qui réunit l’ensemble des ministères.
Les MEF se sont dotés en 2014 d’un programme de plans de contrôle de
supervision qui doit permettre à terme de couvrir les processus à enjeux et à risques
comptables. Toutefois, l'effectivité de ces plans est trop limitée pour permettre de
mesurer les résultats sur 2014. L’impact de ce dispositif ne pourra être évalué qu’en
2015 au regard de l’engagement des directions à mettre en place ces plans de contrôle et
du bilan agrégé de leurs résultats.
Les groupes de travail constitués par la direction du budget pourraient permettre
à terme de mesurer les apports des différentes comptabilités sur la gestion. L’utilité de
la démarche de CI est reconnue par l’ensemble des services et des signes d’amélioration
de la gestion ont été relevés depuis son déploiement. Cependant, pour assurer la
pérennité du CI et éviter l’essoufflement des services dans le déploiement du dispositif,
les outils de CI proposés par la DGFiP devront être simplifiés et la démarche ne devra
pas être cloisonnée au strict champ comptable mais être élargie à la maîtrise des risques
métiers.
Enfin, la DGFiP a contribué à l’adaptation en environnement CHORUS du
contrôle interne des ministères en diffusant en 2014 le référentiel organisationnel ainsi
que des référentiels de CI sur les processus « engagements donnés » et « commande
publique ». Mais de nombreux outils restent à concevoir et/ou à diffuser pour permettre
aux ministères de mettre en place des dispositifs de maîtrise des risques efficients.
B. LA PERTINENCE DE L’ORGANISATION DES SERVICES ET L’EFFECTIVITE DES
OUTILS MINISTERIELS DE CONTROLE INTERNE
1. Des organisations en mode CHORUS toujours trop éclatées pour
contribuer à l’optimisation de la fonction financière
a. La situation à fin 2014 de l’organisation financière et comptable des services
des MEF
Les multiples modèles d’organisation mis en place depuis le déploiement de
CHORUS coexistent toujours et peu d’évolutions ont été constatées en 2014 (cf. tableau
ci-dessous). La DGDDI est toujours la seule direction à ne pas fonctionner en mode
facturier et à n’utiliser qu’à titre expérimental le module communication de CHORUS
formulaires.
Au niveau de l’administration centrale, les actes de gestion dans CHORUS
sont toujours traités par sept CSP qui fonctionnent selon des procédures désormais plus
harmonisées, à de rares exceptions près.
61
Au niveau de l’administration centrale de la DGFiP et de ses services à
compétence nationale, les 3 CSP existants ont été maintenus et leurs modes de
fonctionnement n’ont pas évolué en 2014. L’ensemble des services prescripteurs
disposent d’un accès à CHORUS.
Au niveau de la direction générale des douanes, les actes de gestions dans
CHORUS sont traités par le CSP de la douane situé à Paris et tous les services
prescripteurs ont un accès à CHORUS.
La DGTrésor dispose toujours de son propre CSP et ses services prescripteurs
disposent tous d’un accès à CHORUS.
Dans les réseaux (hors INSEE20), les services prescripteurs de la DGDDI sont
partagés entre les CSP de Paris et de Lyon tandis que ceux de la DGFiP sont rattachés
aux CSP régionaux du « bloc 3 ». La seule évolution constatée est la fusion en
novembre 2014 des deux CSP de la DRFiP de Paris.
Les autorités administratives indépendantes à l’exception de l’ARJEL ont
souhaité, malgré l’absence de taille critique, conserver leur propre CSP. En revanche,
leurs services prescripteurs ne disposent d’aucun accès à CHORUS.
20
Les actes de gestion des directions régionales de l’INSEE sont traités par un CSP unique placé au sein
du secrétariat général de la direction générale.
62
CSP Services prescripteursServices prescripteurs ayant
accès à CHORUSSFACT
Utilisation de
CHORUS
formulaires
Utilisation du
module
communication de
CHORUS
Evolution de
l'organisationOutils annexes utilisés
CPFi de l'administration centrale
(SG/SAFI)
SG, AIFE, DAJ, DB, DGAFP,
DGCCRF, DGE, DLF, ONP, SAE
et ARJEL
Tous les services à l'exception de
la DGCCRFDCM Finances Oui Oui BERGER
CPFi de l'INSEE (SG de la direction
générale)
Services de la direction générale
et toutes les directions régionalesAucun DCM Finances
Oui mais
partiellement
Oui mais
partiellement
Rattachement au
CPFi du SG prévu
en 2017
fiches-navettes
CSP de la DG Trésor (SG) Services de la direction générale Tous les services DCM Finances Non Non
Rattachement au
CPFi du SG prévu
en 2017
fiches-navettes
CSP pour chaque AAI (CRE,
ARCEP et autorité de la
concurrence)
Tous les serrvices de ces
autorités administratives
indépendantes
Aucun DCM Finances Non Non fiches-navettes
CSP de la DGFiP ("bloc 3")
Tous les services de
l'administration centrale et les
services à compétence nationale
de la direction générale
Tous les services DCM Finances Oui OuiFusion des trois
CSP prévue en 2017fiches-navettes
CSP DRFiP ("bloc 3")DIRECCTE, DRJSCS, DRAC,
DRFiP, DDCS, DDCSPP, DDPPTous les services SFACT DRFiP Oui Oui
Fusion des deux
CSP de la DRFiP 75
en 2014
fiches-navettes
CSP DGDDI (y compris le réseau
déconcentré)
Tous les services de la direction
générale et des directions inter-
régionales des douanes
Tous les services NonOui mais
partiellement
En cours
d'expérimentation
Passage en mode
facturier prévu en
2017
OSCAR et fiches-navettes
OSCAR est une plate-forme d'échanges entre les services qui se substitue au module communication de CHORUS formulaires
pour les échanges, la transmission de pièces justificatives, la formalisation et la traçabilité des anomalies et à CHORUS formulaires pour certaines
demandes de prestations financières. Cet outil n'est pas interfacé à CHORUS.
Au niveau des services déconcentrés de l'Etat, le déploiement de CHORUS s'est accompagné de la création de 3 blocs pluri-ministériels
Les CSP du "bloc 1" du ministère de l'intérieur, placés en préfectures, traitent les opérations du ministère de l'intérieur et d'autres ministères dont le préfet assurent l'exécution des dépenses
Les CSP qui ne sont pas tous adossés à un service facturier ont été régionalisés en 2014
Les CSP du "bloc 2" des ministères de l'écologie et de l'agriculture , placés soit en DREAL soit en DRAAF, traitent les opérations des 2 ministères y compris celles des
services vétérinaires des DDPP ou des DDCSPP. En 2015, les CSP du "bloc 2" traiteront l'ensemble des opérations des DDCSPP et des DDPP. Les CSP ne sont pas adossés à un service facturier
Les CSP du "bloc 3" de la DGFiP, placés en DRFiP, traitent les opérations des DIRECCTE, DRJSCS, DRAC, DRFiP, DDCS, DDCSPP (hors services vétérinaires) et
DDPP (hors services vétérinaires). En 2015, les actes de gestion des DDPP et des DDCSPP seront ratachés au "bloc 2". Les CSP sont adossés à un SFACT.
Les différents modèles d'organisation en mode CHORUS
63
b. L’organisation cible définie au sein des MEF apparaît très modeste au regard
de l’objectif d’efficience et de rationalisation de la fonction financière
La lettre des ministres21 du 29 octobre 2013 relative à la mutualisation des
fonctions support au sein des MEF préconisait un regroupement des CSP de centrale, en
un plateau unique, sous coordination du secrétaire général. En outre, une circulaire des
ministres22 du 30 octobre 2014 relative à la modernisation de la fonction financière de
l’Etat détaille les chantiers à mettre en œuvre dans le respect des décisions du comité
interministériel pour la modernisation de l’action publique (CIMAP) du 18 décembre
2013 en matière d’efficience et de rationalisation de la fonction financière dans
l’ensemble des ministères à l’horizon 2017.
Dans ce contexte, les MEF ont élaboré en juin 2014 une feuille de route
relative à la réorganisation de la fonction financière dont le calendrier de mise en œuvre
s’étale jusqu’en 2017. Cette feuille de route qui formalise l’engagement des MEF en
matière d’optimisation de la fonction financière comprend deux volets : le premier
relatif à l’amélioration du processus de la dépense regroupe le respect des indicateurs23
d’exécution de la dépense et la généralisation de la dématérialisation des actes de
gestion; le deuxième volet organisationnel est issu des travaux menés avec les directions
pour identifier des pistes de regroupent des CSP
Au niveau de l’administration centrale, l’objectif en matière d’organisation
des CSP, n’est pas de se conformer à la décision des ministres d’octobre 2013 mais de
mettre en place de manière très progressive une organisation tendant au respect de la
rationalisation du nombre de CSP tout en limitant les risques de rupture de service en
cas de conflits sociaux. Ainsi, il est prévu que d’ici 2017, le CPFi du SG assure
l’ensemble des opérations confiées actuellement aux CSP de la DGTrésor et de
l’INSEE.
S’agissant du réseau de la DGFiP, le regroupement des trois CSP de
l’administration centrale en un CSP unique est envisagé à compter de 2017. En
revanche, au niveau du réseau déconcentré, aucune décision de regroupent de CSP n’a
encore été prise malgré la taille très modeste des CSP (moins de 10 agents) dans
certaines régions. En outre, la décision du CIMAP de décembre 2013 concernant le
rattachement de l’ensemble des opérations financières des DDCSPP et des DDPP au
« bloc 2 » conduira en 2015 à la réduction du nombre d’actes traités par les CSP du
« bloc 3 ». Cette situation aurait dû s’accompagner d’une réorganisation du réseau des
CSP du « bloc 3 ». Mais, la DGFiP souhaite mener des réflexions sur l’évolution de la
fonction financière en les replaçant dans un contexte plus large de réforme de
l’organisation territoriale de l’Etat. Le SG indique par ailleurs que des travaux vont être
engagés avec les CSP du « bloc 3 » afin qu’ils disposent à terme d’une taille critique
suffisante.
21
Il s’agit du ministre de l’économie et des finances et du ministre délégué chargé du budget 22
Il s’agit du ministre des finances et des comptes publics, du secrétaire d’Etat chargé du budget et du
secrétaire d’Etat chargé de la réforme de l’Etat et de la simplification. 23
Les indicateurs du processus de la dépense sous CHORUS (MP3) ont été développés par l’AIFE et la
DB pour évaluer la qualité et la fluidité de la chaîne de la dépense dans son intégralité (hors subventions,
décisions diverses et baux). Il existe 13 indicateurs qui sont classés en 4 groupes : demande d’achat,
engagement juridique, service fait et demande de paiement.
64
S’agissant du réseau de la DGDDI, le passage en mode facturier devrait être
effectif à l’horizon 2017. Concernant le regroupement de ses deux CSP, la douane
souligne que le calendrier de cette éventuelle réorganisation devra tenir compte de la
trajectoire du « projet stratégique douanier ».
En revanche, s’agissant des autorités administratives indépendantes24 (hors
ARJEL), le schéma d’organisation arrêté par les MEF prévoit le maintien d’un CSP au
sein de chacune d’entre elles, qui ne dispose pourtant pas de la taille critique leur
permettant de déployer leur contrôle interne en mode CHORUS. Aucun obstacle
technique ou d’indépendance juridique n’empêche de confier l’ensemble des opérations
des AAI au CSP de l’administration centrale25. Le fait que ces entités ne soient pas
soumises aux dispositions de la loi du 10 août 1992 relative au contrôle financier, ne fait
cependant pas obstacle à la délégation de gestion de leurs opérations par un CSP situé
hors de leur périmètre. Cette disposition est d’ailleurs renforcée par l’article 76 du
GBCP qui prévoit la possibilité pour l’ordonnateur, par une délégation de gestion, de
« confier au responsable d’un centre de services partagés tout ou partie de l’exécution
des opérations lui incombant ».
Dans ce contexte, le schéma d’organisation, prévu à l’horizon 2017, des centres
de services partagés au sein des MEF apparaît à ce stade très modeste au regard de la
décision des ministres visant à regrouper en un CSP unique l’ensemble des actes de
gestion de l’administration centrale. Ainsi, malgré la fusion à terme de cinq CSP,
l’organisation des MEF demeurera encore éclatée au niveau central, entre secrétariat
général et directions de centrale et au niveau local, entre réseaux. Cette organisation
cible ne sera pas suffisante pour permettre de dégager des gains de productivité
significatifs et pour favoriser la conception transversale et harmonisée de dispositifs de
contrôle interne. En outre, elle constitue un obstacle à la mutualisation des outils de
contrôle interne et des contrôles eux-mêmes ainsi qu’à leur suivi agrégé sur le périmètre
des MEF.
24
Il s’agit de l’ARCEP, de la CRE et de l’autorité de la concurrence.
25 Une autorité administrative indépendante (AAI) est une institution de l’État chargée, en son nom,
d’assurer la régulation des activités économiques et ou de protéger les droits des citoyens. Elles disposent
d’un certain nombre de pouvoirs et de délégations de compétences normalement dévolues à
l’administration (recommandation, décision, pouvoir réglementaire, sanction). Leur indépendance
juridique à l’égard des secteurs contrôlés et des pouvoirs publics est assurée par leur composition,
l’irrévocabilité des mandats et leur placement en dehors du pouvoir hiérarchique des pouvoirs publics.
Selon la définition donnée par le Conseil d’Etat, les autorités administratives indépendantes (AAI),
lorsqu’elles ne sont pas dotées de la personnalité morale, sont des organes de l’administration dotés de
pouvoirs propres et d’une organisation particulière les faisant échapper l’exercice de la mission de conseil
ou de régulation qui leur est confiée tant au pouvoir hiérarchique qu’à la tutelle des ministres : « Pour être
appelées à prendre une certaine distance par rapport au Gouvernement, elles n’en sont pas moins une
partie inhérente de l’État, dont elles ne constituent dès lors pas un démembrement, et à ce titre sont
soumises, hormis les dispositions spécifiques les concernant précisées par la loi, au régime de droit
commun des organismes administratifs de l’État. » (Rapport public 2001, pages 298-299). Le règlement
sur la gestion budgétaire et comptable publique, le décret du 28 juin 2011 et les textes pris pour leur
application sont ainsi de plein-droit applicables aux AAI. Les dispositions relatives au contrôle interne
font partie intégrante de l’ensemble des mécanismes de vérifications nécessaires à la certification des
comptes de l’Etat. A cette fin, les AAI ne peuvent échapper à l’obligation de communiquer au teneur des
comptes la description et les résultats de ces mécanismes, selon une présentation commune à l’ensemble
des services de l’Etat, permettant au certificateur de disposer de la vision d’ensemble de ces dispositifs
requise par sa mission.
65
2. L’organisation et le fonctionnement des services en mode CHORUS sont
désormais formalisés et mieux harmonisés à de rares exceptions près
a. La convergence des circuits de gestion et des outils d’échanges entre les
acteurs
Les travaux d’harmonisation des procédures métiers entre les CSP du « bloc 3 »
et ceux de l’administration centrale se sont poursuivis en 2014 y compris en matière de
dématérialisation de l’envoi des bons de commande par le CSP qui s’est
progressivement généralisée à l’ensemble des services. Ces travaux sont désormais
finalisés dans l’ensemble des services de l’administration centrale à l’exception de
l’INSEE où des évolutions sont encore attendues.
En revanche, la poursuite des travaux de convergence des procédures et du
fonctionnement en mode CHORUS avec les CSP de la douane est conditionnée à la
mise en place du mode facturier qui est prévue à l’horizon 2017.
Par ailleurs, les échanges entre les différents acteurs de la chaîne de traitement
CHORUS (services prescripteurs, CSP, SFACT) s’effectuent depuis l’abandon de
FICUS à partir d’outils communs à de rares exceptions près.
L’outil FICUS, a été abandonné en 2014 au bénéfice du module communication
de CHORUS formulaires déjà utilisé depuis sa création par les services du « bloc 3 » de
la DGFiP. L’AIFE a fait évoluer les fonctionnalités du module communication afin que
ce dernier puisse intégrer les résultats des contrôles opérés par le comptable dans le
cadre du contrôle hiérarchisé de la dépense.
Ainsi, le module communication de CHORUS formulaires est désormais le seul
outil d’échanges entre les services utilisé au sein des MEF, à l’exception de la DGDDI
et dans une moindre mesure de l’INSEE. A l’INSEE, le module communication n’est
utilisé que par le CPFi et les échanges entre les services prescripteurs et le CPFi
s’effectuent toujours à partir de boîtes aux lettres fonctionnelles. Il est prévu qu’à
compter de 2015, les services prescripteurs utilisent également le module
communication.
En revanche, les services de la douane n’utilisent toujours pas CHORUS
formulaires et leurs échanges sont encore formalisés à partir de l’outil OSCAR et de
boîtes aux lettres fonctionnelles. Cependant, le module communication est actuellement
en cours d’expérimentation sur le périmètre de la douane.
b. La généralisation des contrats de service tripartites à une exception près
Les travaux visant à généraliser sur le périmètre des MEF les contrats de service
tripartites sur le modèle des contrats déjà existants pour les services du « bloc 3 » de la
DGFiP ont été finalisés en 2014, à une exception près.
Ainsi, la mise en place d’un modèle unique de document partagé par l’ensemble
des services des MEF répond aux exigences fixées par la circulaire des ministres du 30
octobre 2014 relative à la modernisation de la fonction financière de l’Etat. Ce nouveau
dispositif doit permettre d’intensifier les relations entre les services prescripteurs et les
comptables dans un souci d’amélioration de la qualité comptable.
En revanche, au niveau de la DGDDI, la mise en place d’un contrat de service
tripartite est conditionnée par le passage en mode facturier prévu en 2017.
66
3. Les progrès constatés en termes de documentation des processus26 et de
contrôles
a. Les travaux de documentation des processus se sont poursuivis dans
l’ensemble des directions
Au niveau interministériel, la DGFiP a contribué à l’adaptation en
environnement CHORUS du contrôle interne des ministères en diffusant en 2014 le
référentiel organisationnel ainsi que des RCIC sur les processus « engagements
donnés » et « commande publique », ce qui porte à huit les processus documentés par
des référentiels de contrôle interne.
Au niveau ministériel, les travaux d’adaptation des outils de documentation des
processus à l’évolution de l’environnement administratif et financier se sont poursuivis
en 2014 dans l’ensemble des directions, avec néanmoins des situations variables selon
les directions (voir tableau 1 ci-après).
b. Les travaux portant sur les contrôles ont progressé dans la plupart des
directions
Les travaux d’enrichissement de la matrice des contrôles du « bloc 3 », mise en
place et diffusée aux acteurs de ce bloc en 2012, ont permis de définir le positionnement
des points de contrôle sur les opérations d’immobilisations et de recettes non fiscales.
D’autres travaux visant à transposer la matrice des contrôles du « bloc 3 » à
l’administration centrale, pilotés par la mission NPESIBEC du SG, ont été finalisés en
2014. La matrice a été diffusée en fin 2014 à l’ensemble des services. En outre, elle est
désormais systématiquement annexée aux contrats de service.
En complément des contrôles définis supra, un programme de mise en place de
plans de contrôle de supervision à postériori a été approuvé par le comité de maîtrise
des risques qui s’est réuni en juin 2014. Il identifie les processus à enjeux et à risques
comptables pour lesquels les directions sont invitées à mettre en œuvre leurs plans de
contrôle de supervision.
Toutefois, les travaux de révision des référentiels de contrôle interne sont
insuffisamment aboutis, empêchant la Cour de se prononcer sur la pertinence des plans
de contrôle de supervision.
c. Les progrès réalisés en termes de restitutions aux services prescripteurs
Au niveau de l’administration centrale, la principale évolution en termes de
reporting est la transmission régulière depuis juillet 2014 de restitutions aux services
prescripteurs des anomalies constatées par le CPFi du SG sur les opérations de dépenses
et de recettes non fiscales. Ces restitutions font systématiquement l’objet d’une analyse
par le CPFi. Des réunions sont organisées avec les services prescripteurs au cours
desquelles le bilan des anomalies est examiné afin de déterminer avec les services
prescripteurs des axes d’amélioration. Les principales anomalies relevées en 2014
portent sur les intérêts moratoires, l’imputation comptable, la fiabilisation des tiers, le
taux de TVA, la régie et les recettes non fiscales.
26
Il s’agit des guides de procédures (GP) et des référentiels de contrôle interne (RCI) ou matrice des
risques et des contrôles
67
Toutefois, les dispositions appliquées par le CPFi en la matière n’ont pas été
généralisées à l’ensemble des CSP des MEF. Ce point pourrait pourtant être abordé
dans le cadre du comité de pilotage du « bloc 3 » instauré en 2014 auquel participent la
mission NPESIBEC, la DGFiP et l’ensemble des ministères relevant du « bloc 3 ».
4. Les lacunes constatées en termes de maîtrise des risques sur les processus
à enjeux et/ou à risques gérés par les MEF
a. Les travaux de documentation des processus ne permettent pas de couvrir les
processus les plus significatifs
Au niveau interministériel, les travaux d’adaptation des référentiels de contrôle
interne comptable (RCIC) à l’évolution de l’environnement ont peu progressé en 2014
et seuls huit processus sont actuellement documentés. En outre, la DGFiP n’a pas défini
de calendrier de déploiement des outils interministériels.
De nombreux outils restent encore à concevoir et/ou à diffuser pour permettre
aux ministères de mettre en place, dans un cadre homogène, des dispositifs de contrôle
interne efficients. En outre, la documentation interministérielle des processus et
notamment les référentiels de contrôle interne devront être simplifiés dans leur contenu
afin de faciliter leur usage et leur appropriation par les services opérationnels.
Au niveau ministériel, les travaux de documentation des processus ne permettent
pas de couvrir l’ensemble des processus significatifs tant en termes d’enjeux que de
risques.
Toutefois, le tableau ci-après met en évidence que les travaux de révision des
outils de documentation des processus sont insuffisamment aboutis pour permettre la
couverture des risques les plus significatifs y compris ceux liés au fonctionnement en
mode CHORUS. La poursuite de ces travaux est d’autant plus urgente que se profilent à
l’horizon d’autres chantiers liés au déploiement du système d’information RH
(SIRHIUS) et à la réorganisation des services en mode centres de services ressources
humaines.
Tableau n° 1 : Situation des outils de documentation des processus dans les
différentes directions
Directions
Guides des procédures comptables
adaptés aux spécificités de la direction et
actualisés
Référentiels de contrôle interne
comptable adaptés aux spécificités de la
direction et actualisés
DGFIP
Sur les 175 processus à risques majeurs
identifiés par la direction, la plupart d’entre
eux sont désormais couverts
Seuls 60 % des processus à risques majeurs
sont couverts (contre 50 % en 2013)
DGDDI
La plupart des processus sont couverts à
l’exception des processus « rémunérations »,
« pensions », « interventions », « stocks » et
certains produits régaliens
La plupart des processus sont couverts à
l’exception des processus « rémunérations »,
« pensions », « interventions », « stocks » et
certains produits régaliens
SG
La plupart des processus gérés par le SG
sont couverts mais les outils ne sont pas
adaptés à la réorganisation de la fonction
ressources humaines
La plupart des processus gérés par le SG
sont couverts mais les outils ne sont pas
adaptés à la réorganisation de la fonction
ressources humaines
DGT processus « garanties de l’Etat » Aucun
DGE processus « interventions » Aucun
68
Directions
Guides des procédures comptables
adaptés aux spécificités de la direction et
actualisés
Référentiels de contrôle interne
comptable adaptés aux spécificités de la
direction et actualisés
INSEE
Tous les processus gérés par l’INSEE ne
sont pas couverts par des outils de contrôle
interne actualisés y compris ceux relatifs au
processus rémunérations impactés par le
déploiement de SIRHIUS et la nouvelle
organisation en mode CSRH.
Tous les processus gérés par l’INSEE ne
sont pas couverts par des outils de contrôle
interne actualisés y compris ceux relatifs au
processus rémunérations impactés par le
déploiement de SIRHIUS et la nouvelle
organisation en mode CSRH.
Source : Cour des comptes
A la DGFiP, on constate, que certains processus, tels que la trésorerie, les états
financiers et les dettes financières ne figurent pas dans le tableau ce qui ne permet pas
de connaître l’état de déploiement des outils de CI sur ces processus. En outre, ce
tableau ne renseigne ni sur les travaux de documentation des processus à mettre en
œuvre ni sur l’échéance à laquelle ces travaux seront finalisés.
De surcroît, la direction doit encore mener une réflexion quant à la méthodologie
qu’il conviendra d’utiliser pour assurer l’actualisation régulière des outils de
documentation des processus mis à la disposition des services de la direction générale à
partir de l’outil POLARIS.
A la DGTrésor, bien que les processus « participations » et « prêts » constituent
des enjeux majeurs dans les comptes de l’Etat, il n’existe à ce jour aucun référentiel de
contrôle interne adapté à l’environnement CHORUS.
Les travaux d’élaboration et d’actualisation de la documentation, tels que les
référentiels de contrôle interne et les guides de procédures, des principaux processus
gérés par la DGTrésor doivent être poursuivis par la MDCCIC en lien étroit avec les
différents acteurs concernés (DGTrésor, APE, MACI, CBCM).
Par ailleurs, les directions mettent à la disposition des services opérationnels, le
plus souvent sur un espace intranet dédié, la documentation des processus qu’elles
élaborent. Cependant, les MEF ne disposent pas d’un outil commun de type POLARIS
utilisé par la DGFiP qui permettrait de regrouper l’ensemble de la documentation et
serait accessible par tous les services. L’éparpillement de la documentation des
processus gérés par les MEF ne permet ni d’avoir une vision consolidée des outils de
documentation existants ni de mutualiser ces outils entre les directions.
b. Les travaux ministériels portant sur les contrôles demeurent perfectibles
Les matrices des contrôles définies supra présentent d’importantes lacunes :
- elles ne couvrent toujours pas les opérations d’inventaire qui pourtant
concernent l’ensemble des acteurs ;
- elles sont insuffisamment fondées sur une analyse des risques documentée et
formalisée pour permettre à la Cour de se prononcer sur l’exhaustivité et la pertinence
des points de contrôles identifiés dans ces matrices.
La traçabilité et la formalisation des contrôles opérés par l’ensemble des acteurs,
à partir des matrices des contrôles, ne sont pas assurées. De surcroît, aucune pièce
relative aux contrôles opérés par les acteurs n’est requise lors de la transmission d’un
dossier et aucune vérification n’est opérée par le CSP ou le SFACT pour s’assurer de
l’effectivité des contrôles réalisés par les services situés en amont.
69
Si les MEF se sont dotés en milieu d’année d’un programme ambitieux de
déploiement de plans de contrôles de supervision à postériori, l’effectivité de leur mise
en place a été limitée en 2014 à quelques directions et à quelques processus comptables,
rendant impossible l’exploitation de leurs résultats au niveau ministériel. Dans la
plupart des directions qui ont initié le déploiement de plans de contrôle de supervision,
leur mise en œuvre n’est pas finalisée en fin 2014 et les résultats des contrôles opérés
par les services ne seront disponibles qu’en 2015.
Le tableau ci-après met en évidence les processus pour lesquels les directions
n’ont pas souhaité s’engager dans la mise en place de plans de contrôles de supervision.
Tableau 2 : Liste des plans de contrôle de supervision manquants pour les
processus comptables à fort enjeux
Processus DGT et DGE DGFIP DGDDI
Participations X
Prêts et avances X
Engagements hors bilan X
Provisions pour risques et charges X
Interventions X
Avances aux collectivités X
Pensions X
Provisions pour dépréciation de créances X
Trésorerie X
Rémunérations X
Source : Cour des comptes
c. Faute d’outil commun, les restitutions aux services prescripteurs sont
lacunaires dans la plupart des directions
Peu d’évolutions ont été constatées en matière de reporting aux services
prescripteurs des anomalies constatées par les CSP compte tenu essentiellement de
l’absence d’outil permettant de tracer et de formaliser les résultats des contrôles (cf.
reporting des contrôles). En outre, malgré la révision en 2014 des contrats de service,
ces derniers ne mentionnent toujours pas de manière explicite la transmission aux
services prescripteurs de restitutions relatives aux anomalies constatées par les CSP.
Au niveau du « bloc 3 », le service stratégie, pilotage et budget (SPIB) de la
DGFiP assure le pilotage et l’animation du réseau des CSP du « bloc 3 » avec la mise en
place depuis 2013 d’une démarche qualité. Dans ce contexte, le séminaire des CSP de
novembre 2014 a notamment été l’occasion de présenter le mode de restitution à mettre
en place afin d’informer de manière régulière les services prescripteurs sur la qualité de
leurs opérations et d’identifier et réduire le nombre d’anomalies. Toutefois, la
performance de ce nouveau dispositif qui n’est pas encore effectif sur l’ensemble du
réseau des CSP du « bloc 3 » ne pourra être évaluée par la Cour qu’en 2015.
De la même manière, à la DGDDI, les modalités de reporting sur les anomalies
entre les CSP et les services prescripteurs n’ont pas évolué en 2014 et la douane n’a pas
réalisé de travaux visant à transmettre aux services prescripteurs des restitutions
relatives aux anomalies constatées par les CSP et à analyser leurs causes.
Néanmoins, la douane a souhaité s’engager en 2014 dans une expérimentation
du module communication de CHORUS formulaires qui permet de formaliser les
70
échanges entre les CSP et les services prescripteurs. Le module communication est
utilisé pour la transmission des actes et documents initialement transmis aux CSP à
partir des boîtes fonctionnelles. Il permet également aux CSP de référencer les
anomalies rencontrées grâce à un référentiel intégré et de les signaler aux services. Un
bilan de cette expérimentation sera réalisé en fin 2014 en vue d’une éventuelle
généralisation de l’outil à l’ensemble des services en 2015.
Par ailleurs, l’AIFE a fait évoluer en 2014 les fonctionnalités du module
communication afin que ce dernier puisse intégrer les résultats des contrôles opérés par
le SFACT dans le cadre du contrôle hiérarchisé de la dépense (CHD). Grâce à ces
évolutions, le SFACT est en mesure de transmettre aux services gestionnaires (CSP ou
services prescripteurs) des restitutions, élaborées à partir du module communication, sur
les anomalies constatées à l’issue de ses contrôles. Toutefois, cette nouvelle
fonctionnalité est limitée aux anomalies constatables par le comptable et aucune autre
évolution fonctionnelle de l’outil n’est prévue à ce stade.
De manière générale, on pourrait à terme envisager que le module
communication puisse devenir un outil interministériel de traçabilité et de formalisation
des contrôles opérés par les acteurs. La mise en place d’un tel outil faciliterait
également la transmission régulière aux services des résultats des contrôles et de leur
analyse. Toutefois, sa mise en œuvre nécessiterait que l’AIFE accepte d’engager des
travaux à l’instar de ceux réalisés en 2014 pour les comptables afin de faire évoluer les
fonctionnalités de l’outil.
Dans l’attente de la réalisation de ces travaux, le dispositif mis en place par le
CPFi du SG devrait être généralisé à l’ensemble des CSP des MEF afin de favoriser le
recensement et l’analyse régulière des anomalies ainsi que la mise en place de
dispositifs appropriés susceptibles de réduire leur occurrence.
5. L’’impact du contrôle interne comptable sur la gestion des MEF est
difficilement mesurable
Le dispositif de contrôle interne comptable a pour vocation prioritaire de garantir
un haut niveau de qualité et de sécurisation des processus comptables. Selon les travaux
parlementaires préparatoires à la LOLF, il devait aussi être indirectement un moteur
d’amélioration de la gestion. Or, son déploiement n’a eu à ce stade qu’un impact très
limité sur le fonctionnement et la gestion des services. Les groupes de travail constitués
au niveau interministériel par la direction du budget pourraient permettre à terme de
mesurer les apports des différentes comptabilités sur la gestion.
Le déploiement du contrôle interne comptable a incontestablement permis
d’améliorer l’organisation des services, de fiabiliser les imputations budgétaires et
comptables et d’améliorer le pilotage budgétaire grâce à une meilleure connaissance des
crédits engagés. La fluidité et la simplification du traitement des opérations financières
constituent également les caractéristiques positives de son déploiement. En outre, les
contrôles de supervision à postériori peuvent être utilisés par les chefs de services
comme un outil de management.
Ces avancées positives ont besoin d’être consolidées par d’autres apports. A
défaut, le contrôle interne comptable pourrait continuer à être considéré, comme
aujourd’hui, par certains RPROG et RBOP comme un reporting formaliste et
contraignant sans utilité directe pour leurs services. Ces nouveaux apports attendus
sont :
71
- la simplification des outils proposés par la DGFiP et notamment les référentiels
de contrôle interne comptable afin d’être plus rapidement et aisément
appréhendés et adaptés à leurs besoins par les services gestionnaires ;
- la mise en place de la comptabilité analytique élaborée à partir de données
comptables fiables qui devrait avoir in fine des incidences directes et positives
sur l’optimisation et la rationalisation de la gestion des services ;
- le déploiement du contrôle interne sur la maîtrise des risques métiers.
Afin de maintenir l’engagement des services dans la démarche, le dispositif de
contrôle interne devra s’étendre progressivement à la maîtrise des risques métiers
pouvant potentiellement impactés les comptes et qui sont plus directement orientés vers
la recherche d’amélioration de la gestion que le contrôle interne comptable. La
méthodologie et les outils utilisés depuis des années par les services pour mettre en
place le contrôle interne comptable doivent être mis au service du déploiement du
contrôle interne « métiers ». L’optimisation de la gestion et du fonctionnement des
services ne pourra être obtenue qu’à partir de la mise en place d’une démarche
d’identification et de maîtrise des risques globalisée sur l’ensemble des processus
significatifs, le contrôle interne comptable n’en constituant qu’un des composants.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
9 Fusionner les CSP qui ne disposent pas de la taille critique en
délégant la gestion des opérations de l’administration centrale, des
services à compétence nationale de la DGFiP et des autorités
administratives indépendantes à un CSP unique placé au sein du
secrétariat général des MEF et déléguer aux CSP régionaux du
« bloc 3 » de la DGFiP, la gestion des actes de l’ensemble des
services déconcentrés des MEF
B 1
11 Poursuivre les travaux de documentation des processus les plus
significatifs en priorité à l’aide de guides de procédures et de
référentiels de contrôle interne et les mettre à la disposition des
services sur un espace commun
A 1
12 Généraliser à l’ensemble des CSP le dispositif mis en place par le
CPFi du SG visant à transmettre aux services prescripteurs de
manière régulière les anomalies constatées et à analyser leurs
causes
B 2
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
72
1,50
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1
Les processus significatifs du ministère sont documentés par un guide de
procédures (GP) et un référentiel de contrôle interne (RCI ou matrice des
risques et contrôles) à jour des dernières évolutions de l'environnement
1 1,5
Les travaux de documentation des processus les plus significatifs se sont
poursuivis en 2014. Toutefois, le degré de mise en oeuvre des actions du PAM
relatives à l'élaboration ou à l'adaptation à l'évolution de l'environnement
(CHORUS, SIRHIUS) des outils de contrôle interne est faible pour la plupart des
processus, les travaux devront donc se poursuivre en 2015. A titre d'exemple, à
la DGFiP, les travaux d'élaboration des référentiels de contrôle interne couvrent
à ce stade environ 60% des processus à risques majeurs identifiés par la
direction. La DGTrésor n'a élaboré à ce stade qu'un guide de procédures sur les
garanties de l'Etat.
2
Les outils de contrôle interne (GP, RCI…) sont diffusés (mise à disposition sur
l'intranet, sessions de formation, communication, réunions …) à l'ensemble des
acteurs concernés du ministère
1 1,5
La MACI a ouvert aux référents un intranet qui met à leur disposition toutes les
informations utiles à leur fonction et notamment les outils du contrôle interne qui
sont présentés lors des réunions semestrielles des référents. Toutefois, cet
intranet n'intègre pas l'ensemble des outils élaborés au niveau des directions. La
généralisation au niveau ministériel d'un outil commun de type POLARIS
permettrait de regrouper l'ensemble de la documentation relative aux processus
gérés par les MEF.
3Les organisations et les circuits de gestion associés sont formalisés dans des
documents type (contrats de service, conventions de délégation de gestion)1 2
Au niveau de l'administration centrale (hors DGFiP et DGDDI qui ne fonctionne
pas en mode facturier), le contrat de service a été revu en 2014 dans le but
d'être désormais tripartite (SP/CPFi/SFACT).
4Il existe une démarche d’identification des améliorations de la gestion du
ministère directement liées à la mise en œuvre du contrôle interneNA 1
Aucune réflexion n'a été menée au niveau ministériel portant sur l'articulation
entre le contrôle interne comptable et ses incidences sur la gestion du
ministère. Si l'intérêt du contrôle interne dans la formalisation des contrôles
préexistants n'a pas été recensé, la Cour a néanmoins pu constater sur le
terrain la réalité de son utilité. Le déploiement attendu par la Cour des dispositifs
de maîtrise des risques portant sur les métiers ou les fonctions support devrait
être plus directement orienté vers la recherche d'amélioration de la gestion que
le strict contrôle interne comptable.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
7 - LE DEPLOIEMENT DES DISPOSITIFS DE CONTRÔLE INTERNE ADAPTES A L'ENVIRONNEMENT
73
PARTIE III : L’APPRECIATION PAR LE MINISTERE DU DEGRE
DE MATURITE DES DISPOSITIFS DE CONTROLE INTERNE
I. L’ECHELLE DE MATURITE DE LA GESTION DES RISQUES
COMPTABLES ET FINANCIERS (EMR)
L’appréciation portée sur l’utilité des EMR est différenciée selon les directions
des MEF. Dispositif soutenu par le secrétariat général, il est davantage contesté par
d’autres directions qui font valoir qu’il existe d’autres modes, moins lourds ou plus
performants, d’auto-évaluation du contrôle interne comme les diagnostics/revue de
processus, les contrôles de supervision a posteriori des CQC repris dans AGIR et l’audit
interne.
Après la mise en œuvre en 2014 d’une EMR sur le processus interventions par la
DG Trésor, l'EMR est néanmoins utilisée par toutes les directions (sauf la DGAFP qui a
de faibles enjeux).
Le CBCM effectue l’auto-évaluation des contrôles internes dans ses services
mais ne participe pas à la cotation des contrôles internes relevant des gestionnaires. Les
référents techniques directionnels (RTD) sont donc les seuls acteurs, non directement
impliqués dans le processus de gestion à évaluer, qui participent à l’EMR. C’est le cas à
la douane et à la DGFIP, même si pour cette dernière la mission nationale d’audit a
participé à l’EMR sur le processus commande publique.
Le nombre d’EMR a augmenté sensiblement en 2014, y compris sur des
processus majeurs, comme la commande publique, les rémunérations et les
interventions. Certaines directions n’ont déployé l’EMR que sur un processus majeur :
la commande publique pour la DGFIP et l’INSEE, les crédits d’intervention pour la
DGE et la DGT. D’autres l’ont employé sur une gamme plus importante de processus
comme la DGDDI qui a mis en œuvre 7 processus sur 9 en services centraux (dont Parc
immobilier, recettes étrangère à l'impôt et au domaine, commande publique, frais de
déplacement, interventions,...).
Dans les MEF, compte tenu des contraintes sur les ressources d’audit et de
l’autonomie de décision des audits directionnels sur le choix des EMR à corroborer, le
principe est que les résultats des EMR ne sont corroborés par un audit interne que pour
les processus ou démarches à fort enjeux. Ainsi, en 2014, ont été corroborés uniquement
l'EMR de la DGT et de la DGE sur les interventions par l’audit ministériel et l’EMR de
la DGFIP sur le processus commande publique par sa mission d’audit interne. Pour
corroborer les autres EMR, il est simplement demandé aux services évalués de produire
les documents probants issus des outils du contrôle interne justifiant les notes attribuées.
74
A. LA SITUATION A FIN 2014
1. L’utilisation de l’EMR (ou d'autres dispositifs d’évaluation) dans le
ministère
a. L’appréciation différenciée au sein des MEF de l’utilité des EMR
Les différentes directions insistent sur le fait que l'absence d'EMR ne veut pas
dire absence d'évaluation et d'éléments d'appréciation sur l'effectivité du déploiement du
contrôle interne. L’EMR est principalement utilisé dans les directions qui disposent
d’un degré de maturité du CI plus élevé (DGDDI et SG notamment).
Le secrétariat général considère l’EMR de manière positive en tant que mesure
de l’effectivité du dispositif déployé sur chaque processus. Il souhaite appliquer l’EMR
à tous les processus qu’il gère.
Son utilisation de l’EMR en 2014 a permis de planifier des actions programmées
dans le plan d’action sur la documentation (élaborer un support de foire aux questions
relatif aux remboursements des frais de transport domicile/travail), la formation
(dispenser des formations au module Chorus Communication) et la traçabilité.
A contrario, d’autres directions sont plus réservées sur une généralisation des
EMR.
Bien qu’à l’origine de cet outil qu’elle continue à mettre à jour27, la DGFIP
considère que l’EMR n’est qu’un vecteur d’auto-évaluation au même titre que les
diagnostics/revue de processus, les contrôles de supervision a posteriori des CQC repris
dans AGIR et l’audit interne et, en aucun cas, un support contraignant. La DGFiP, dans
le cadre de sa mission d’accompagnement des ministères, invite ces derniers à choisir
les dispositifs d’évaluations les mieux adaptés à leurs risques, enjeux et organisation
afin de permettre une appropriation effective des supports par les acteurs et la
gouvernance.
A propos de l’extension de l’EMR au processus « intervention » programmé au
PAD 2015, pour les subventions d’équilibres aux régimes spéciaux de retraite, la
direction du Budget, indique que cela ne servira pas à sécuriser ce processus à risque
faible et particulièrement maitrisé, mais seulement à «afficher des actions dans un plan
de contrôle interne ministériel… pour donner des gages au certificateur ». Plus
généralement, la DB estime que l’EMR est un dispositif lourd à gérer au regard de ce
qu’elle estime ses faibles enjeux et risques comptables.
La DGTrésor a critiqué la maquette de l’EMR qui lui paraît insuffisamment
adaptée à ses spécificités et incapable de mettre en évidence de manière objective les
faiblesses qui s’attachent au dispositif de CI.
27
En 2014, la DGFIP (MDCCIC) a révisé la grille d’évaluation du 19 juin 2013, impactant l’échelle de
notation, certains critères d’appréciation ont été déplacés dans l’échelle des notations entraînant parfois
une diminution de la note obtenue.
75
b. L’utilisation de l’EMR par les différentes directions
Après la mise en œuvre en 2014 d’une EMR sur le processus interventions par la
DG Trésor, l'EMR est utilisée par toutes les directions (sauf la DGAFP qui a de faibles
enjeux).
La direction du budget utilise l’EMR pour couvrir les tâches qui lui incombent
en propre dans la procédure de la provision CET. Elle estime que l’EMR n’apporte pas
de gain d’efficience sur la connaissance du processus étudié.
La DGFiP utilise l’échelle de maturité des risques, au niveau de l’administration
centrale, pour le processus commande publique, dans l’optique d’une lettre
d’affirmation.
A la DGDDI, l'EMR a été déployée sur 16 processus en services centraux sur 48
désormais identifiés (dépenses et recettes). Un petit nombre de processus
supplémentaires devrait être couvert en services centraux avant la fin 2014.
La DGE a réalisé une EMR, comme la DGT, dans le cadre de l’audit ministériel
sur le processus « interventions ». De par le caractère extrêmement marginal des crédits
d’intervention gérés en déconcentré, l’EMR est centrée sur les dispositifs gérés par
l’administration centrale.
La DGCCRF n’a pas réalisé d’EMR depuis 2010. Les actions qui prévoyaient
son utilisation en 2014 pour les processus interventions et rémunérations ont été
reportées à 2015.
La DGTrésor était restée jusqu’à cette année en marge des EMR car elle
considérait, que le dispositif de CI n’était pas suffisamment mature. La MACI a donc
utilisé le levier d’un audit interne ministériel lancé fin 2013 afin de réaliser une
première EMR sur le processus « interventions ».
2. La participation à la cotation du CBCM et autres acteurs non directement
impliqués
a. La participation du CBCM
Pour chaque EMR, le CBCM effectue l’auto-évaluation des contrôles internes
dont il est directement chargé. Il ne participe pas à la cotation des contrôles internes
relevant des gestionnaires. En 2014, seule l’EMR de la DB, centrée uniquement sur le
processus CET, a été réalisée, par le gestionnaire, sans participation du comptable.
En 2014, le SG a associé la MACI et le CBCM, afin de bénéficier de leurs
conseils pour engager une analyse via l’EMR sur le processus « Personnel - Frais de
déplacement » (anticiper le changement de SI et d’organisation du service) et sur le
processus « Impôts et taxes » et sur le volet pilotage en mars 2014.
b. La participation des autres acteurs non directement impliqués dans les
processus de gestion à évaluer
A l’exception du CBCM sur la partie qui le concerne, les référents techniques
directionnels (RTD) sont donc les seuls acteurs, non directement impliqués dans le
processus de gestion évalué, qui participent à l’EMR. Les RTD sont à la fois les
initiateurs et les accompagnateurs méthodologiques des EMR.
La participation d’acteurs non directement impliqués dans les processus de
gestion à évaluer doit en effet se situer dans un équilibre entre une absence complète de
76
ces acteurs qui nuirait à l’objectivité de l’auto-évaluation et une extériorité trop grande
qui aboutirait à priver de sens le principe de l’auto-évaluation de l’EMR et le
transformerait en audit.
C’est la raison pour laquelle le secrétariat général ne participe pas, autrement
que sous forme de conseil, aux jugements d’évaluation des EMR au même niveau que
la direction et le comptable. L'appui du secrétariat général est uniquement
méthodologique, car il ne dispose pas, contrairement aux opérationnels et RTD, de la
légitimité nécessaire pour proposer des éléments de notation dans les EMR auxquelles il
participe. La MACI réalise l’appui méthodologique des directions dans la mise en
œuvre de l'EMR, en particulier lors de la première évaluation par une direction ou lors
d'une première évaluation d'un processus.
Après un premier accompagnement, la MACI participe aux évaluations au côté
des directions, dès lors que celles-ci en font la demande. Dans ce dernier cas, la MACI
intervient au moment de la phase finale de l’EMR, pour livrer son analyse sur les notes
attribuées au vu des éléments probants fournis. Elle est destinataire des EMR en fin
d’année et elle peut demander aux directions de mener des évaluations spécifiquement
sur un des processus qu’elles ont choisis.
A la DGFIP, le RTD est la MCCIC. Les cotations proposées par les acteurs pour
l’unique EMR sur le processus commande publique ont fait l'objet d'une expertise par
les auditeurs de la DGFiP (MRA) qui est une entité extérieure complétement
indépendante du processus.
En douane, l'EMR est également réalisée par les bureaux métiers de la direction
générale accompagnés en termes de méthodologie par le RTD, sur la base des
préconisations de la MACI. Le positionnement spécifique du RTD en douane, au sein
de l'Inspection des services, structure rattachée directement à la directrice générale et
réalisant des fonctions de contrôle interne et d’audit interne augmente « l’extériorité de
son analyse de l’EMR ».
3. La couverture des processus significatifs, y compris en services
déconcentrés
La recommandation n°18 de la NEC 2012 et la recommandation n°16 de la NEC
2013 demandait au ministère de poursuivre l’extension progressive de l’EMR à
l’ensemble du périmètre du ministère dans le but d’atteindre d’ici fin 2014 l’ensemble
des directions et des processus significatifs
En 2013, 7 EMR avaient été réalisés auprès de 3 directions. Le nombre d’EMR a
augmenté sensiblement en 2014, y compris sur des processus majeurs. La liste complète
des EMR effectués en 2014 figure dans le tableau d'effectivité diffusé lors du CMR.
La DGFIP n’a déployé l’EMR que sur le processus « commande publique ».
La DGDDI, s’était fixé comme objectifs pour 2014 d’étendre le déploiement de
l’EMR d’une part à l'ensemble des processus jugés par la direction générale matures en
matière de contributions indirectes (fiscalité énergétique notamment) et de charges
(rémunérations, en particulier) et d’autre part aux services déconcentrés, sous forme
d’expérimentation sur quelques directions-test, en recettes et en processus gestion.
En réalité, l'EMR a été déployé en 2014 sur 9 processus en services centraux. La
DGDDI repousse désormais à une échéance plus lointaine le déploiement en services
déconcentrés. Elle estime qu’il faut attendre que le degré d'appropriation des outils de
77
pilotage actuel soit suffisant et que ces outils soient stabilisés (en particulier la carte des
risques). Selon elle, sur le plan technique, la réalisation des EMR dans 40
circonscriptions en recettes et une vingtaine de BOP en dépenses sur un nombre
important de processus sera difficile à mettre en œuvre et nécessitera une réflexion sur
les modalités d'accompagnement. En 2015, la DGDDI envisage d'élargir
progressivement son déploiement à tous les autres processus, toujours en services
centraux, « en fonction de ses ressources et de ses priorités ».
L’objectif du SG en 2014 était d’appliquer l’EMR à tous ses processus. Il a en
fait déployé 7. Le périmètre de l’EMR au secrétariat général concerne quasiment tous
les services du SG (services prescripteurs et CPFi) ainsi que pratiquement tous ses
processus. En 2014, onze processus ont été couverts dont 4 processus évalués pour la
première fois.
La DGE a choisi un processus (les crédits d’intervention) qui est géré en
administration centrale. En services déconcentrés, 4 DIRECCTE ont expérimenté l'outil
en 2014.
L’INSEE prévoyait en 2014 d’actualiser l’EMR commande publique-flux 4 et
de réaliser l’EMR sur le processus parc immobilier. Elle a effectivement réalisé l’EMR
sur la commande publique.
L'ONP a réalisé en 2014 deux EMR (commande publique et logiciels produits
en interne).
4. L’adossement des résultats par un audit interne ou externe récent
a. La position du ministère sur les corroborations d’EMR
La recommandation 24 de la NEC 2013 demandait de corroborer les résultats de
l’EMR par l’appréciation de l’audit interne selon le principe d’assurance raisonnable.
Au MEF, le principe est que les résultats des EMR ne sont corroborés par un
audit interne que pour les processus à fort enjeux. Le ministère n’estime pas possible de
transposer aux EMR une corroboration aussi systématique que celles que réalisent les
CQC sur les grilles d'autoanalyse des services déconcentrés de la DGFIP.
Le secrétariat général indique que cette évaluation ne résulte pas uniquement des
EMR, mais également de la réalisation d'audits internes
Ainsi, au début de 2014, la corroboration de l'EMR a été réalisée à l'occasion de
l'audit ministériel sur les interventions de la DGT et de la DGE, annexée au rapport
d’audit et qui fera l’objet d’une actualisation par ces deux directions. Par ailleurs, les
EMR effectuées par la DGFIP sur le processus commande publique afin de servir
d’élément probant ont été corroborées par son audit interne (MNA).
Compte tenu de leurs ressources contraintes, les structures d’audit interne du
ministère ne sont en effet en mesure de réaliser qu’un nombre limité de corroboration
d’EMR. A la DGDDI, l'audit des EMR est réalisé à l'occasion d'audits internes plus
larges englobant l'appréciation du dispositif de contrôle interne sur le processus
considéré par la cellule contrôle interne de l'IS lors de la mise en œuvre des EMR par
les bureaux.
Les enrichissements croisés entre audits et EMR peuvent prendre d’autres
formes que la corroboration. En tant que leviers du contrôle interne repris dans la carte
des risques, et en tant qu’analyse des faiblesses, les EMR participent à l'analyse de
78
priorisation qui fonde la programmation des audits. Le secrétariat général ne préside
plus le comité ministériel d’audit et n’a plus de pouvoir de coordination impérative.
Chaque audit interne directionnel demeure seule décisionnaire pour choisir les EMR qui
seront corroborées. La sélection des audits de corroboration se déroule désormais au
sein du dialogue annuel entre le SG et les audits directionnels lors de la phase de pré
cadrage des audits ministériels comptables et financiers. La MACI du SG signalent à
chaque direction les processus à soumettre prioritairement aux EMR dans les annexes
directionnelles qu’elle produit chaque année. Le Comité d'audit se prononce ensuite sur
le choix des audits à réaliser en fonction de ces critères.
Par ailleurs, les principaux points évalués par l'EMR recoupent exactement la
liste des points à auditer dans la méthodologie de l'audit comptable et financier mise en
pratique par les auditeurs de la MRA. Par conséquent, l'audit procède systématiquement
à la validation ou à l'infirmation des notes de l'EMR dans la liste des points forts/points
faibles et dans la matrice des risques du rapport d'audit définitif.
Au secrétariat général, la MACI n’est pas une instance de contrôle de second
niveau et ne procède donc pas à des corroborations. Néanmoins, lorsqu’elle participe à
la phase de finalisation des projets d’EMR, elle balaie avec les RTD (souvent en
présence d’un représentant du DCM) les notes attribuées à chaque critère et, sur la base
de ses interrogations et des documents probants présentés, donne son analyse de la
pertinence de la note. Cet avis non contraignant est pour l’instant suivi par les RTD.
B. RECOMMANDATION
Voir recommandation n°1
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
79
1,75
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1L’échelle de maturité de la gestion des risques comptables (ou un autre
dispositif d'évaluation) est utilisée dans le ministère1 1,5
L'EMR est utilisée dans toutes les directions du ministère (sauf DGFAP qui a de
faibles enjeux)
2
La cotation est assurée avec la participation systématique du CBCM ou
d’autres acteurs non directement impliqués dans les processus de gestion à
évaluer (référent contrôle interne, cellules de qualité comptable de la DGFiP, …)
2 2
Dans le ministère, l'EMR est réalisé de manière tripartite : par les opérationnels
(bureau métiers des administrations centrales), le CBCM et les RTD. L'appui de
la MACI est méthodologique. Les auditeurs internes peuvent intervenir de
manière ponctuelle comme pour le processus commande publique à la DGFIP.
3Une part importante des processus significatifs est couverte, y compris la part
gérée en services déconcentrés1 1,5
Le nombre d’EMR a augmenté sensiblement en 2014, y compris sur des
processus majeurs, comme la commande publique, les rémunérations et les
interventions
4 Les résultats sont confortés par un audit interne ou externe récent 1 2 Les rapports d'audit ministériel procède à la vérification des notes de l'EMR
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
8 - L'ÉCHELLE DE MATURITÉ ET DE GESTION DES RISQUES (ET AUTRES DISPOSITIFS D'ÉVALUATION)
80
II. LA FONCTION D’AUDIT INTERNE MINISTERIEL
A. LES PRINCIPALES EVOLUTION CONSTATEES EN 2014
Les structures de gouvernance et de pilotage de l’audit interne ministériel sont
représentées par le comité d’audit interne, créé par décret du 23 avril 2013 et présidé par
le ministre des finances et des comptes publics et par la mission d’audit interne des
ministères (MAIM) qui rassemble les représentants des corps d’inspection, de contrôle
et d’audit des MEF et assure le secrétariat permanent du comité d’audit interne.
Le comité d’audit interne a eu un fonctionnement régulier en 2014 puisqu’il
s’est réuni à deux reprises (en février et en novembre). Il a notamment approuvé le
programme d’audit de 2014 en février 2014 et celui de 2015 en novembre 2014.
Toutefois, le programme de travail est demeuré annuel et les MEF ne disposent pas
encore d’un document unique de programmation des audits soumis à la validation du
comité d’audit interne.
L’audit interne ministériel a essentiellement mobilisé des ressources issues du
CGEFI et du pôle audit de la DGFiP. Comme les années passées, des retards ont été
constatés dans la mise en œuvre du programme d’audit qui, de surcroît, n’intègre pas
suffisamment d’audits comptables et financiers pour permettre d’assurer à court ou à
moyen terme l’évaluation des dispositifs de CI sur l’ensemble des processus
significatifs.
A l’avenir, la référence à la carte des risques ministériels et la signature des
protocoles formalisant les relations de travail entre la MAIM et les directions disposant
d’une fonction d’audit interne devraient permettre d’améliorer la programmation des
audits, la gestion des ressources disponibles et le dispositif de suivi des audits.
B. L’AUDIT INTERNE MINISTERIEL
1. Les acteurs et les structures de gouvernance et de pilotage
L’instance ministérielle de gouvernance de l’audit interne ministériel est
représentée par le comité d’audit interne des ministères (CAIM), créé par décret du 23
avril 2013, présidé par le ministre des finances et des comptes publics, est composé de
trois personnalités extérieures (Conseil d’Etat, CNP et SNCF), de la chef du service de
l’inspection générale des finances et du chef du service du contrôle général, économique
et financier, nommés par arrêté du 29 juillet 2013.
Ce comité définit la politique d’audit interne des ministères et approuve le
programme d’audit interne des ministères. Il adopte la charte d’audit interne et approuve
la méthode d’élaboration de l’audit et de sa programmation. Sous l'autorité du ministre
des finances et des comptes publics, la mission d’audit interne des ministères (MAIM)
assure le secrétariat permanent du comité d’audit interne des ministères. Elle dispose de
l’appui des services du secrétariat général des MEF, ce qui permet d’assurer une bonne
circulation de l’information entre les deux structures.
81
En complément de ce comité, la fonction d’audit interne est assurée au niveau
ministériel par la mission d’audit interne des ministères (MAIM) qui rassemble les
représentants des corps d’inspection, de contrôle et d’audit des MEF. Elle pilote et
anime la fonction d’audit interne en définissant la méthodologie qui lui est applicable et
en élaborant le programme d’audit interne des ministères sur la base d’une analyse
fondée sur les risques. Elle met en œuvre le programme d’audit interne et s’assure des
suites données aux recommandations adoptées à l’issue des audits. Cependant, la
mission qui ne dispose pas de moyens permanents, mobilise les différentes ressources
d’audit des MEF qui, parallèlement, interviennent dans leurs sphères de compétences
respectives. Cette option n’est par conséquent pas de nature à garantir que les ressources
qui seront affectées par les structures d’audit infra-ministérielles seront suffisantes et
adéquates pour mettre en œuvre de manière efficace le programme d’audit, la mission
ministérielle ne disposant d’aucun pouvoir hiérarchique pour préempter des ressources
auprès des différentes structures d’audit interne. A ce titre, les projets de protocole
formalisant les relations de travail entre la MAIM et les directions disposant d’une
fonction d’audit interne devraient ainsi préciser que par exemple 20 % des ressources
d’audit infra-ministérielles doivent être consacrées à chaque année à la mise en œuvre
du programme d’audit ministériel.
Par ailleurs, le comité d’harmonisation de l’audit interne (CHAI) veille à la
cohérence de l’ensemble des dispositifs ministériels d’audit interne (voir en annexe II la
présentation du CHAI et son activité en 2014).
2. L’indépendance
Les directions opérationnelles sont désormais exclues du comité ministériel
d’audit interne qui est en outre rattaché directement au ministre. Ces dispositions
permettent de garantir l’indépendance de ce comité, conformément à la norme
internationale ISA 610.
3. Les équipes d’audit
A l’identique de la situation constatée l’année passée, les travaux de l’audit
interne ministériel ont reposé essentiellement, en 2014, sur les ressources d’audit du
conseil général économique et financier (CGEFI) qui a assumé trois missions d’audit et
sur celles de la mission « risques et audits » de la DGFiP qui a participé également à
trois missions en 2014.
En revanche, l’ISDGDDI, l’IGF, le conseil général de l’industrie, de l’énergie et
des technologies (CGIET) et l’inspection générale de la DGTrésor n’assument cette
année chacun qu’une mission d’audit.
Comme les années précédentes, ni la mission de contrôle de gestion et des audits
de la DGCIS, ni l’inspection des services de la DGCCRF, qui sont de petites structures,
n’ont été sollicitées pour contribuer au programme des audits.
4. Programmation
Conformément aux normes internationales, la programmation des audits doit
être établie sur la base d’une analyse des risques. Cette analyse doit pouvoir s’appuyer
sur une carte des risques ministériels.
82
La mission confiée à l’IGF par le comité d’audit interne visant à élaborer une
carte ministérielle des risques sur laquelle la programmation des audits doit reposer, n’a
été présentée dans sa version finale qu’en novembre 2014 au comité d’audit interne.
La programmation de l’audit interne pour 2014, approuvée par le comité d’audit
interne en février 2014 ne résulte toujours pas, au même titre que les années précédentes
d’une analyse d’ensemble des risques au niveau des MEF, comme le nécessitent
pourtant les critères de la norme internationale ISA 610.
Pour la première fois en 2014, le comité d’audit interne a approuvé un
programme ministériel d’audit qui comprend trois missions d’audits comptables et
financiers à la DGFiP. En revanche, les MEF ne disposent toujours pas d’un document
unique de programmation qui intégrerait l’ensemble des audits comptables et financiers
des MEF, y compris au niveau des directions. La coordination entre le niveau
ministériel et infra-ministériel demeure donc perfectible. A titre d’exemple, les audits
programmés sur les établissements publics nationaux ne figurent pas dans le programme
des audits approuvé par le comité.
En vertu de l’article 172 du décret relatif à la gestion budgétaire et comptable
publique, la programmation d’audits portant sur des opérations ayant un impact sur les
comptes de l’Etat doit être soumise à l’approbation du comité d’audit interne.
La charte de l’audit interne vient préciser ce dispositif en mentionnant que les
responsables des structures d’audit interne doivent communiquer à la MAIM, les
thèmes sur lesquels des missions d’audit comptable et financier sont programmées au
sein des ministères. A partir de ces éléments, la MAIM établit un document agrégé et
validé par le comité d’audit interne des MEF qui doit s’assurer au préalable que les
risques sont couverts de façon adéquate.
A l’avenir, un document unique de programmation ministérielle des audits
consolidé sur l’ensemble des entités d’audit interne devra être approuvé par le comité
d’audit interne. Pour ce faire, les projets de protocole organisant les relations entre la
MAIM et les différentes structures d’audit interne doivent améliorer l’articulation des
calendriers de programmation des audits et la remontée des informations.
En outre, une programmation pluriannuelle des audits pourrait contribuer à
optimiser l’emploi de la capacité d’audit. La tension sur les ressources demeure cette
année encore un point sensible : sur les sept missions prévues au programme 2014, 5
audits, contre trois en 2013, ont été engagés, un audit a été annulé28 et seul l’audit relatif
aux provisions pour litiges a été finalisé en fin 2014.
Le programme d’audit n’intègre pas suffisamment d’audits comptables et
financiers et ne couvre pas, par des audits récents, l’ensemble des processus majeurs.
Parmi les sept missions d’audit prévues en 2014, seules trois d’entre elles sont des
audits comptables et financiers : les arrêtés trimestriels dans les services des comptables
publics, l’optimisation des écritures manuelles et des transferts29 et les provisions pour
litiges. Parmi les autres missions figurent deux audits métiers30 et un audit conseil31.
28
Il s’agit de l’audit sur les aspects comptables liés à l’application RSP-MEDOC 29
Cette mission n’est pas engagée 30
Il s’agit de l’audit sur la gestion des compétences au sein des MEF et de l’audit sur la continuité de
service en situation de crise. 31
Il s’agit du déploiement du dispositif ministériel de contrôle interne budgétaire.
83
5. La nature des travaux
La programmation des audits pour 2014 intègre une mission de conseil relative
au déploiement du dispositif de contrôle interne budgétaire. Afin de garantir le respect
du critère d’objectivité de l’audit interne, il conviendra de veiller à ce que cette mission
n’apporte pas un conseil aux services dans la conception d’outils de CI.
6. Le suivi des audits
Les modalités de mises en œuvre des recommandations et de suivi des audits
sont définies dans charte ministérielle d’audit, approuvée par le comité d’audit interne
en fin 2013. Cette charte prévoit l’obligation de définir un plan d’action par l’autorité
hiérarchique de l’entité ou des services audités. Ce plan définit les moyens par lesquels
les recommandations de l’audit, validées à l’issue de la phase contradictoire, seront
mises en œuvre par les responsables identifiés. Ce plan est arrêté conjointement par le
chef de la mission d’audit interne des ministères et les responsables des entités auditées
qui informent périodiquement la mission d’audit interne des ministères de son état
d’avancement. Par ailleurs, la charte mentionne que le chef de la mission d’audit interne
tient à jour un tableau de bord de suivi de la mise en œuvre des recommandations et en
rende compte périodiquement au comité d’audit interne des ministères.
Des tableaux de suivi ont été soumis à l’approbation du comité d’audit interne de
juillet 2014, conformément aux recommandations de la Cour. Toutefois, ces tableaux ne
devraient être opérationnels qu’en 2015. Il s’agira cependant de s’assurer que ce
dispositif permette à terme de couvrir l’ensemble des audits qu’ils soient de niveau
ministériel ou directionnel.
Dans l’attente de la mise en place effective de ces outils, la MACI du SG,
comme les années précédentes, a continué d’élaborer et de suivre chaque plan d’action
suite à audit sur la base du rapport définitif en lien avec les référents directionnels du
contrôle interne à l’occasion des outils de pilotage.
Les actions portées dans les plans d’action opérationnels des directions à la suite
d’un audit ne font pas systématiquement référence à l’audit en question et restent trop
souvent confondues avec les actions programmées à l’initiative des services. Cette
situation ne favorise ni le suivi régulier des actions suite à audit ni sa consolidation au
niveau ministériel.
Les projets de protocole formalisant les relations de travail entre la mission
d’audit interne des ministères et les directions disposant d’une fonction d’audit interne
devraient favoriser la consolidation au niveau ministériel du suivi des recommandations
et des actions suite à audit. Ce suivi qui devrait se mettre en place en 2015 devra être
quantitatif mais également qualitatif afin de s’assurer de l’efficience des dispositifs mis
en œuvre suite à audit. Il conviendra également de transmettre régulièrement au comité
de maîtrise des risques des ministères un document agrégé sur l’ensemble du périmètre.
7. Les méthodes
Les corps d’audit, d’inspection et de contrôle des MEF se réfèrent aux normes
internationales d’audit et mettent en œuvre des référentiels correspondant aux normes
professionnelles internationales de l’audit interne. Conformément au décret du 23 avril
2013, les travaux d’audit sont supervisés par le chef de la mission d’audit interne des
ministères qui peut déléguer cette fonction en tant que de besoin à un autre membre de
la mission.
84
En outre, les travaux du CHAI ont permis d’élaborer des outils de référence en
matière d’audit interne qui sont utilisés à l’occasion des missions d’audit.
8. La communication
Le protocole formalisant les relations de travail entre la mission d’audit interne
des ministères et la Cour a été revu en mars 2014 pour tenir compte de la mise en place
des nouvelles structures de pilotage de l’audit interne ministériel.
9. Les conclusions
Les vérifications de la Cour indiquent que l’audit interne ministériel des MEF
est conforme à l’essentiel des critères de la norme internationale ISA 610. Cette
conformité justifie l’échange de lettre (ou protocole) formalisant les relations de travail
avec le certificateur.
Les outils mis en place prochainement pour assurer le suivi consolidé des
recommandations et des actions suite à audit doivent permettre à court terme de réduire
les écarts résiduels par rapport à la norme internationale.
Enfin, les progrès attendus en matière de coordination des forces d’audit infra-
ministérielles conjuguée à la mise en place d’une programmation commune, de
préférence pluriannuelle, des audits, fondée sur l’évaluation des risques, devraient
permettre à terme d’optimiser les ressources d’audit et d’augmenter le nombre de
missions réalisées chaque année. A ce stade, tous les processus significatifs ne sont pas
couverts par des audits récents et aucun audit de suivi n’a encore été réalisé. A titre
d’illustration, la réalisation d'audit sur les opérations d'inventaire ou sur les systèmes
d'information financière n'est pas prévue à ce stade, ce qui pourtant devrait contribuer à
l'amélioration de la qualité comptable.
C. RECOMMANDATIONS
n° Objet de la recommandation Nature* Priorité**
14 Soumettre chaque année à l’approbation du comité d’audit interne
des ministères un programme unique des audits comptables et
financiers à réaliser par l’ensemble des ressources d’audit interne
des MEF.
B 2
15 Assurer au niveau ministériel le suivi agrégé des recommandations
et des actions suite à audit comptable et financier ministériel et/ou
directionnel
B 2
(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre(B), reconduite car non mise en œuvre (C)
(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)
85
1,57
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Il existe un comité ministériel d’audit interne conformément au décret du 28 juin
2011 et à la circulaire du Premier ministre du 30 juin 20112 2
Le comité d'audit interne des ministères, présidé par le ministre et composé par
des personnalités extérieures et le Chef du CGEFI, a été créé par décret du 23
avril 2013. Ce décret a permis également de créer une mission d'audit interne au
niveau ministériel
2Le comité fonctionne de manière effective (ses membres sont nommés, il se
réunit au moins une fois par an en décembre N-1, etc. …)2 2
Le comité a eu en 2014 un fonctionnement effectif puisqu'il s'est réuni à deux
reprises (juillet et novembre 2014).
3Les critères de la norme ISA 610 sont respectés et permettent à la Cour
d’exploiter le résultat des travaux d’audit interne2 2
Des progrès ont été accomplis en 2014, notamment en matière d'articulation
entre l'évaluation des risques et la programmation des audits grâce à
l'élaboration de la carte des risques ministériels. Toutefois, la carte des risques
n'ayant été finalisée qu'en octobre 2014, ses effets sur la programmation des
audits ne pourront être évalués qu'à compter de 2015. Par ailleurs, des travaux
ont été engagés par la mission d'audit interne des ministères visant à améliorer
la hiérarchisation des recommandations dans les rapports d'audit et le suivi de
leur mise en oeuvre. En outre, la forme et le contenu des plans d'action suite à
audit ont été révisés en 2014.
4Un programme d’audit interne pluriannuel a été élaboré et approuvé par le
comité d’audit interne1 1,5
Le programme d'audit pour 2014 a été approuvé par le comité d'audit de février
2014. Toutefois, les MEF ne dispose toujours pas d'un document unique de
programmation des audits agrégé sur l'ensemble des entités d'audit interne. En
outre, une programmation sur deux ans devrait contribuer à optimiser les
ressources d'audit et à augmenter de manière significative le nombre d'audits de
processus. En effet, l'audit interne ministériel dépend exclusivement des
moyens alloués par les différentes structures d'audit interne des MEF.
5Le programme de travail intègre une part significative d’audits de processus
permettant d’évaluer le contrôle interne1 1,5
En 2014, 3 ACF ont été programmés. Parmi ces 3 audits, deux d'entre eux sont
en phase contradictoire et les travaux ne devraient être finalisés qu'au début
2015. En revanche, l'audit relatif à l'optimisation des écritures manuelles et des
transferts n'est pas encore engagé. Seul l'audit du processus "interventions"
(programmé au titre de l'exercice 2013) a été finalisé en 2014 et communiqué à
la Cour.
6Tous les processus significatifs ont été couverts par des audits comptables et
financiers récents1 1
En moyenne, la mission d'audit interne des ministères réalise chaque année un
ou deux audits comptables et financiers sur des processus transverses au
ministère. Toutefois, les processus audités ne couvrent pas l'ensemble des
enjeux et des risques les plus significatifs des MEF. Ainsi, la réalisation d'audit
sur les opérations d'inventaire ou sur les systèmes d'information financière n'est
pas prévue, ce qui pourtant devrait contribuer à l'amélioration de la qualité
comptable.
7 Les suites données aux audits sont systématiquement examinées 1 1
En 2014, un tableau de suivi des recommandations a été élaboré au niveau
ministériel. Ce tableau doit permettre à terme d'agréger les recommandations de
l’ensemble des ACF qu’ils soient de niveau ministériel ou infra-ministériel et
d'informer régulièrement le comité d'audit interne de l'effectivité de la mise en
oeuvre de ces recommandations. Toutefois, ce dispositif ne sera opérationnel
qu'à compter de 2015.
9 - LE DISPOSITIF D'AUDIT INTERNE MINISTÉRIEL
86
PARTIE IV : LE DEGRE DE MATURITE DU CONTROLE
INTERNE DANS LES SERVICES DECONCENTRES ET DANS
LES ETABLISSEMENTS PUBLICS DE L’ETAT
I. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES
SERVICES DECONCENTRES DE L’ETAT
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
La montée en puissance progressive de la fonction de référents dans les services
déconcentrés se poursuit en 2014. En dehors de la DGFIP, ces cadres supérieurs
exercent cette fonction à temps partiel, leur principale mission étant le pilotage
budgétaire ou le recouvrement fiscal. Leurs adjoints spécifiquement dédiés au contrôle
interne et de mieux en mieux formés exercent également, sauf à la DGFIP, d’autres
fonctions. Chargés du déploiement des outils de pilotage et de l'exploitation des
résultats, ils sont de surcroît amenés, [à la DGFIP et] à la douane, à exercer, en qualité
d'agents chargés des contrôles, des contrôles de corroboration de second niveau ». Les
anomalies, analyses et solutions mentionnées dans les reportings AGIR et hors AGIR
sont utilisées pour améliorer d’une part, au niveau local, les activités opérationnelles au
fil de l’eau et d’autre part, au niveau central, les carte nationales des processus et des
risques et les plans de contrôle. Les cartes de processus ne connaissent en effet pas
d’adaptation locale et les cartes locales de risques des adaptations à la marge.
Dans l’attente d’un déploiement généralisé d’AGIR qui devrait concerner pour
commencer la DGFIP en 2015, les outils de reporting permettant de suivre la mise en
œuvre des plans de contrôle dans les services déconcentrés des ministères financiers
restent disparates et nécessitent des ressaisies pour effectuer des synthèses au niveau
local comme au niveau national. Ces ressaisies concernent principalement les services
déconcentrés de la douane et les DIRECCTE.
Ni les PDCI (plan départemental de contrôle interne) de la DGFIP, ni les PCIC
(plans de contrôle interne comptable) de la DGDDI, ni les programmations de contrôle
plus sommaires des DIRECCTE n’agrègent l’ensemble des contrôles internes de tout le
circuit de la dépense alors que cette faiblesse est relevée depuis la NEC 2012. Les
contrôles internes du comptable et des ordonnateurs restent pour l’essentiel étanches
alors que la démarche partenariale sur la maîtrise des risques doit être beaucoup plus
large : définition des modalités de contrôle, ajustement et mise en cohérence des PDCI,
envoi réciproque des résultats du CIC ou contrôles conjoints.
L’EMR est utilisée en services déconcentrés qu’à titre expérimental car les directions
des MEF lui préfèrent d’autres modes d’auto-évaluation du contrôle interne tels que les
synthèses nationales des contrôles, les audits internes et les diagnostics de processus.
87
B. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES SERVICES
DECONCENTRES DE L’ETAT
Ces observations s’appuient sur cinq missions réalisées auprès des directions
départementales des finances publiques du Maine et Loire et du Val d’Oise et auprès de
la direction régionale des douanes et droits indirects de Lille et auprès des DIRECCTE
Ile de France (IDF) et Rhône-Alpes. Au cours de chacune des trois missions DDFIP et
DRDDI, le rapporteur a réalisé, avec les agents de services, des contrôles internes
prévus au plan local de contrôle interne.
1. L’activité du réseau des référents contrôle interne en services
déconcentrés
a. Points communs
La montée en puissance progressive de la fonction de référents dans les services
déconcentrés se poursuit en 2014. Dans les trois directions, ce sont des cadres
supérieurs n-1 ou n-2 du RBOP. En dehors de la DGFIP, ils exercent cette fonction à
temps partiel, leur principale mission étant le pilotage budgétaire (ordonnateurs des trois
directions) ou le recouvrement fiscal (réseaux comptables DGFIP et DGDDI). Leur
adjoint spécifiquement dédié au contrôle interne exerce également, sauf à la DGFIP,
d’autres fonctions.
Le noyau dur des missions des référents contrôle interne dans les trois directions
déconcentrées du MEF consiste en:
- l’interface entre l’administration centrale et les services déconcentrés (relais
des instructions de la direction générale en matière de CI, formation) ;
- actualisation des outils de pilotage (carte des risques, plan d’action, plan de
contrôle) suite aux recommandations formulées par l’audit, aux résultats des
opérations de contrôle interne et aux instructions de l’administration
centrale ;
- synthèse et exploitations du reporting des fiches de contrôle (contrôles de
supervision contemporain et a posteriori) ;
- réalisation des contrôles de corroboration (pour la DGFIP et la DGDDI). A
la DGFIP ; les contrôles de corroboration portent sur un peu plus de 20% des
contrôles de supervision.
On relève un effort de formation au contrôle interne dans l’ensemble des
directions.
b. DGFIP
Une mission départementale des risques et de l’audit (MDRA) rattachée au
directeur départemental est présente dans toutes les directions départementales des
finances publiques. Dirigée par un cadre supérieur membre du comité de direction
(AGEFIP), elle a pour mission d’animer la politique départementale de maîtrise des
risques. Elle regroupe deux composantes : les cellules de qualité comptable (CQC) et
les auditeurs internes, c’est-à-dire les composantes « risques » et « audit » qui font
l'objet d'un pilotage unifié dans les départements depuis le début d'année 2014.
88
Les CQC sont chargées d’animer en continu localement le noyau dur des
missions de CI évoquées supra. Les auditeurs internes sont chargés d’auditer
ponctuellement une thématique comptable ou métier.
Les MDRA sont désormais totalement intégrées à l’activité opérationnelle des
directions départementales et les tâches de contrôle interne leur incombant sont réalisées
suivant un calendrier précis et respecté. Les moyens mis à leur disposition (2 pour la
CQC et 5 auditeurs dans le Maine-et-Loire pour 925 agents et 4 à la CQC et 9 auditeurs
pour 1338 agents dans le Val d’Oise) permettent de couvrir les enjeux et sont stabilisés.
Des indicateurs locaux d’activité (IQCE32, taux de réalisation du PDCI, indice de
conformité de la comptabilité Etat, taux de mise à jour des organigrammes fonctionnels
et taux d’exécution des plans d’action suite à audits) permettent de mesurer l’efficience
du réseau.
L’offre de service des directeurs des pôles gestion publique des DDFIP adressée
systématiquement aux autres services déconcentrés de l’Etat dans le département, dont
la DDFIP est assignataire, reste modeste (10% de leur travail) et prend, le plus souvent,
la forme d’une réunion annuelle d’information et d’échange de bonnes pratiques des
référents locaux du contrôle interne. Cette action reste insuffisante pour accompagner
les services déconcentrés des autres ministères dans leurs travaux de déploiement du
contrôle interne.
Au regard de l’ensemble de ces actions pérennes, le réseau local des contrôleurs
internes de la DGFIP peut être considéré comme opérationnel. Il ne nécessite plus de
réforme significative au regard de la qualité du contrôle interne.
c. DGDDI
En 2014, le réseau de référents CI est opérationnel pour les CSP, les recettes et
les directions interrégionales. Ces référents réalisent la totalité des missions du noyau
dur évoqué supra. Le recensement effectué par la cellule contrôle interne pour le Comité
de contrôle interne en octobre 2014 fait état de 35/40 agents catégorie A référents en
recettes régionales (compte tenu des mutations et départs à la retraite non encore
remplacés) et de 17/20 agents référents en dépenses, cadres adjoints aux R BOP.
Seul le responsable du contrôle interne de la recette régionale est employé à
plein temps sur cette fonction, les responsables CI des directions interrégionales y
consacrent 20% de leur temps.
Dans les recettes régionales des douanes, le référent est un agent de catégorie A
placé sous l'autorité du receveur régional. Dans les DI, le référent est l’adjoint du
directeur interrégional, chef de BOP-GRH qui dirige toutes les activités de la
circonscription pour les questions budgétaires, stratégiques, de logistiques et de
performance. Il a donc parmi ses attributions la direction du pôle « performance-
contrôle » qui réalise des fonctions budgétaires et de suivi des indicateurs de
performance en plus du noyau dur des missions de CI. Les contrôles de supervision
contemporains sont réalisés par le chef de service de la comptabilité et le chef du pôle
logistique et informatique (PLI), en complément de leurs missions métiers.
Il n’existe pas à ce stade d’indicateurs locaux dédiés spécifiquement à
l’évaluation de l’efficience du réseau déconcentré des CI. L’effort de formation en
32
Indice de qualité des comptes de l'Etat
89
contrôle interne a connu une avancée en 2014 avec la mise en place d’une e-formation
dédiée à cette matière (471 participants en train de la suivre dans la DI de Lille sur une
population cible de 1045 agents). La formation aux définitions et aux enjeux du contrôle
interne sur la base du module 1, diffusé en septembre 2014, est obligatoire pour tous les
services et tous les agents des douanes.
D. DIRECCTE
Les référents contrôle interne sont les chefs du service budgétaire et financier
(SBF) régional directement rattaché au secrétariat général des DIRECCTE ou
directement le secrétaire général dans les plus petites directions. Leur mission principale
est le pilotage budgétaire. Ils assurent aussi la supervision de l’agent de catégorie A
dédiée au contrôle interne. En 2014 le réseau a connu un turn-over de 32% sur cette
fonction. Ce dernier exerce les fonctions classiques de préparation des cartes de risques
et plans de contrôle et de préparation des contrôles de troisième niveau lorsqu’il y en a.
Par sa validation finale des actes budgétaires, le service budgétaire et financier régional,
divisé en un pôle « commande publique » et un pôle « subvention » exerce une fonction
de contrôle interne contemporain de supervision (contrôle de bonne imputation
budgétaire et comptable).
Le réseau des cellules financières permet de partager les expériences. Ce réseau,
animé par le SBF, réunit les gestionnaires des services en unités territoriales comme en
unités régionales
La formation des agents au contrôle interne est intégrée aux formations
budgétaires et comptables. Selon les réponses apportées au questionnaire qui leur avait
été soumis et dont le taux de réponses est à ce jour de 68%, 10 % des référents ont suivi
une formation, et 74 % ont mené des actions de formation-sensibilisation en interne
dans leur structure. Bien que les conventions de délégation et les offres de service
prévoient une assistance à la mise en œuvre du contrôle interne, on peut regretter que les
relations avec les CQC de la DGFIP et avec le CSP, dans ce domaine, soient
marginales. Les comités locaux prévus à cet effet ne se réunissent pas.
2. Le reporting des contrôles réalisés par les services déconcentrés
a. Points communs
Dans tous les services déconcentrés des ministères financiers, il existe des outils
de reporting permettant de suivre la mise en œuvre des plans de contrôle. Ces outils sont
disparates et nécessitent des ressaisies pour effectuer des synthèses au niveau local
comme au niveau national. Le déploiement progressif du progiciel AGIR au sein de la
DGFIP à partir de 2012 et sa généralisation prévue en 2015, permet d’envisager une
extension de l’outil à l’ensemble du ministère afin de disposer à terme d’un outil unique
et commun.
A la DGFIP et à la DGDDI, le reporting fait l’objet de synthèse tant au niveau
du BOP (DI, DR ou DD selon les cas) que du niveau national. Dans les DIRECCTE, les
seules synthèses réalisées sont régionales.
Les anomalies, analyses et solutions mentionnées dans les reportings AGIR et
hors AGIR sont réellement utilisées pour améliorer d’une part les activités
opérationnelles au fil de l’eau et d’autre part les cartes nationales des risques et les plans
de contrôle n+1.
90
b. DGFIP
En 2014, il n’y a toujours pas d’outil unique de reporting pour l’ensemble des
services déconcentrés de la DGFIP.
Seuls les contrôles réalisés par les divisions « opérations de l’État » des DDFIP,
sont tracés et suivis dans AGiR (comptabilité et dépenses de l’Etat). Un compte-rendu
de ces contrôles est adressé trimestriellement par la CQC au pôle gestion publique (chef
de division et chefs de service), lors de la validation de la balance.
En 2014, le contrôle interne de la totalité des opérations métiers non comptables
(gestion fiscale, secteur public local, ressources) est donc encore exclusivement géré
hors AGiR, sur un outil bureautique. Les chefs de service transmettent, sous cette
forme, à la MDRA leurs comptes rendus de contrôle interne accompagnés d’éléments
d’analyse.
Les expérimentations d’élargissement du périmètre d’AGIR au-delà des
contrôles réalisés par les divisions « opérations de l’État » des DDFIP sont menées dans
certains services déconcentrés mais la généralisation de cet outil à l’ensemble des
services de la DGFiP initialement prévue en 2014 est désormais prévue pour 2015.
Les axes d'amélioration identifiés dans AGIR relèvent majoritairement de
l'organisation (attribution des tâches, points de contrôle) et de la documentation (respect
de la réglementation, existence d'une documentation).
Les contrôles ordonnés par les axes nationaux prioritaires donnent lieu à
synthèse et restitution à la Délégation du directeur général dans chaque inter-région. Les
constats, mesures correctives, plans d'action et actions de mutualisation sont repris sur
les documents support du dialogue de performance, pour évocation entre les chefs de
service et la direction.
A l’exception du périmètre d’AGIR, les synthèses réalisées au niveau du
département, de l’inter-région ou au niveau national sont réalisées par ressaisie
manuelle.
Les échéances de restitution des contrôles précisées dans le PDCI font l’objet
d’un suivi mensuel du respect des dates par la MDRA qui se charge des relances des
services n'ayant pas répondu au-delà d'une semaine.
c. DGDDI
En 2014, la douane a accepté le principe d’adopter à terme l’outil AGIR qu’elle
contestait précédemment. Elle participe désormais au travail sur l’évolution de ses
fonctionnalités afin qu’il réponde davantage à ses besoins. Dans l’attente d’une telle
mutualisation d’AGIR, la douane continue d’utiliser les grilles bureautiques (fiche
d’autocontrôle et fiche de supervision permettant la mention des anomalies constatées et
des solutions préconisées) réalisées par l’administration centrale mais qui
n’incrémentent pas automatiquement les synthèses des résultats du CI. Ces synthèses
nécessitent donc de lourdes ressaisies à chaque étape (bilans interrégionaux des plans de
contrôle en dépense, bilans régionaux en recettes, synthèse nationale de l’inspection des
services mis à disposition des bureaux métiers de la direction générale pour exploitation
via un espace de travail informatisé partagé).
Les anomalies constatées sont effectivement utilisées pour déterminer la carte
nationale des risques et pour mettre en œuvre des actions locales correctrices (révision
des processus de remboursement).
91
Pour le reporting des contrôles, les services déconcentrés de la DGDDI
n’utilisent pas le module communication CHORUS qui est toujours, comme en 2013, en
phase de test.
D. DIRECCTE
Les fiches d’autocontrôle contemporain (fiches pour l’instruction et la gestion
des demandes de subvention, fiches de constat du service fait) ne sont pas uniformisées
pour l’ensemble des DIRECCTE bien qu’un modèle commun ait été conçu et proposé
par la MACI et la DFAS des ministères sociaux dans la feuille de route 2014. Les
agents chargés de la validation finale des saisies CHORUS au service budgétaire et
financier régional utilisent ces fiches de contrôle pour vérifier et certifier les saisies tant
sur la partie comptable, que juridique et budgétaire. Ces fiches de contrôle, avant d’être
archivées, sont recensées par les chefs de pôle afin de disposer d’un suivi mensuel. Les
formulaires CHORUS mis à disposition (demande d’achat, demande de subvention,
constatation du SF, création de tiers fournisseurs) permettent des restitutions mensuelles
par unité territoriale et par niveau régional mais il ne s’agit pas de reporting de contrôle.
Un reporting à l’administration centrale doit être effectué par courriel et
enregistré dans l’extranet commun à la centrale et aux services déconcentrés : MIOGA.
Des synthèses sont réalisées pour les besoins des directions régionales (synthèses
annuelle pour les dépenses de fonctionnement, synthèse pour les réunions des cellules
financières de la région pour les dépenses d’intervention
3. L’identification des risques sur les processus significatifs dans les services
déconcentrés
a. Points communs
Les cartes de processus, définies au niveau national, ne connaissent pas
d’adaptation locale. Les cartes locales de risques sont constituées par les cartes
nationales enrichies le cas échéant de certains risques identifiés localement (contrôle
normal ou renforcé).
Les cartes des risques couvrent le contrôle de la dépense (tous les processus ne
sont pas couverts dans les DIRECCTE) et le contrôle des recettes (processus d’assiette
et de recouvrement des différentes fiscalités).
b. DGFIP
Seule la carte nationale des processus sous Polaris est utilisée dans la direction.
Il n’existe pas de dimension locale de la carte des processus. Les cartes de processus
dépendent du seul service comptable de l’État, que ce soit au niveau de ses modalités
fonctionnelles ou de sa conception informatique. Par ailleurs, pour la DGFiP, cette carte
est par nature interministérielle puisque les comptables de la DGFiP sont les comptables
de l’ensemble des services de l’État.
La carte nationale des risques, mise à jour tous les deux ans (la dernière
actualisation de 2014 comprend désormais 114 processus de niveau élevé et très élevé
contre 174 en 2012.), est également le principal outil utilisé dans les DDFIP. Elle est
dotée d’un effet cliquet qui permet à la DDFIP de définir des risques plus élevés que le
niveau national, susceptibles de déboucher sur des axes de contrôle départementaux
spécifiques. La part des processus faisant l'objet d'une cotation risque départementale
plus élevée qu'au plan national est donc très faible (1,7% des opérations métiers
recensés dans le Maine-et-Loire, dont 1,1 % avec des risques élevés ou très élevés).
92
En revanche, il n’est pas possible de réduire la cotation des axes prioritaires
ordonnés par la direction générale.
Le nombre de procédures à risque élevé et très élevé dans la carte nationale (174
dans l’édition 2012 de la carte). Cette situation sature les capacités de contrôle des
services et limite leur capacité à y ajouter des sur-cotations locales.
c. DGDDI
La carte des processus est fixée par la direction générale. Les cartes locales
douanières en dépenses et en recettes comportent un périmètre de processus constitué à
la fois des thèmes de contrôle d'initiative locale et de la déclinaison des consignes
nationales, ces dernières représentant 90% du contenu des cartes locales. Celles-ci
varient d’une année sur l’autre, les contrôles renforcés obligatoires étant peu nombreux.
La part d'initiatives locales résiduelles concerne l'introduction de processus faisant
partie de l'activité locale et le retrait corrélatif d'autres processus sans objet, ainsi que la
modulation (à la hausse ou à la baisse) de la cotation des risques sur l'ensemble des
processus contrôlés (hormis les thèmes de contrôle rendus obligatoire par la direction
générale, qui sont par nature renforcés).
La carte nationale des risques s'appuie sur les bilans des contrôles réalisés
localement et sur les autres sources locales d'analyse de risques (facteurs d'évolutions,
constats d'audit etc.). En 2014, le nouveau « pas-à-pas » mis à disposition
respectivement des services centraux et déconcentrés pour construire la carte des risques
professionnalise la démarche.
d. DIRECCTE
Les DIRECCTE ne disposent pas de carte de processus unifié. La
recommandation n°13 de la NEC 2012 qui demandait d’élaborer une carte locale des
risques limitée aux processus « commande publique » et «interventions/subventions »,
et qui n’avait pas été mise en œuvre en 2013, est effective en 2014. Le document
commun (carte des risques et plan d’action), qui reste encore incomplet dans certaines
DIRECCTE ou mal articulé dans ses deux volets, est établi à partir du modèle proposé
en juillet 2012 par la DAGEMO. Les autres processus (provisions pour risques et
charges, EHB (engagements hors bilan), rémunération, provisions pour charges de
personnel) doivent être traités en 2015. Un modèle de cartographie des processus a été
élaboré et doit être déployé dans les services déconcentrés. En fin d’année 2014, 17
régions sur 28 ont communiqué leur outil via courriel ou via MIOGA.
Les cartes qui remontent à la MACI sont communiquées à la DGE et à la
DGCCRF pour intégration dans leur propre analyse des risques directionnels en
fonction de l’importance de ces risques.
4. La mise en œuvre et le suivi des plans d’action locaux
a. Points communs
Il existe des plans locaux de contrôle interne dans les trois directions du
ministère mais les PDCI (plan départemental de contrôle interne) de la DGFIP et les
PCIC (plans de contrôle interne comptable) de la DGDDI sont plus exhaustifs et
détaillés que les programmations de contrôle des DIRECCTE.
Aucun de ces plans n’agrège l’ensemble des contrôles internes de tout le circuit
de la dépense alors que cette faiblesse est relevée depuis la NEC 2012. Le CHD du
93
comptable suivi au moyen d’un tableau de bord mensuel et le CI sur l'émission de la
demande de paiement de l’ordonnateur restent séparés. La démarche partenariale ou
collégiale entre services prescripteurs, centres de services partagés (CSP), services
facturiers (SFACT) et CPCM (centre de prestations mutualisées comptables33) est
limitée à la restitution du contrôle hiérarchisé de la dépense sous forme de grilles de
contrôle adaptées à l’environnement CHORUS alors qu’elle pourrait être beaucoup plus
large : définition des modalités de contrôle, ajustement et mise en cohérence des PDCI,
envoi réciproque des résultats du CIC ou contrôles conjoints.
A cette absence de coordination entre les contrôles de l’ordonnateur et ceux du
comptable, s’ajoute, au sein même du champ comptable, la multiplicité des plans de
contrôle (PDCI et CHD). Il conviendra à terme de réaliser un plan de contrôle unique et
partagé par tous les acteurs de l’ordonnateur au comptable en passant par le CSP.
b. DGFIP
Un seul PDCI porte l’ensemble des contrôles a posteriori, qu’ils soient
comptables ou non. Les contrôles comptables sont identifiés dans AGIR et les contrôles
métiers hors AGIR Le volet « métier » du PDCI comprend des axes nationaux
(orientations nationales) et des axes départementaux. Le volet comptable du PDCI est
défini à partir des points de sensibilité identifiés en n-1, à l'issue d'un passage en revue
des principales procédures utilisées au cours d'un exercice.
Le PDCI comptable repose donc essentiellement sur des thématiques élaborées
par l’échelon national, complétées, en tant que de besoin, par des contrôles locaux. Il est
la déclinaison locale des axes nationaux. Outre les axes obligatoires, les DDFIP ont
ajouté à ce PDCI en 2014 une part des contrôles recommandés nationaux (5 dans le 47
et 6 dans le 95).
S'agissant des contrôles « métiers », les axes nationaux obligatoires représentent
plus de la moitié des PDCI (59 % dans le 47 et 52% dans le 95), les axes
départementaux initiés par la direction ou proposés par les chefs de service du réseau
composant le surplus.
Des outils d'aide à la réalisation des contrôles de supervision sont
systématiquement mis à la disposition des chefs de service : référentiels de contrôle
interne nationaux (Polaris), outils méthodologiques recensés sur le site de la Délégation
Ouest. A défaut d'outils existant, une fiche méthodologique et une grille de
dépouillement sont systématiquement élaborées par les divisions métiers et la MDRA (.
La mise en œuvre du PDCI est suivie par le RDRA.
c. DGDDI
Les PCIC de la DGDDI sont exhaustifs sur l'ensemble des processus
comptables. La programmation nationale comporte quelques thèmes de contrôle
contraignants, mais fondamentalement, les spécificités du plan de contrôle régional
s'apprécient au travers de la stratégie de contrôle retenue localement (thèmes de contrôle
d'initiative locale, niveaux et fréquence des contrôles).
33
Equivalent du CSP pour l’agriculture et l’écologie
94
d. DIRRECTE
Le modèle commun de cartographie des risques et de plan d’action a été élaboré
conjointement par la MACI et par la DAGEMO en 2012, suite à un atelier commun
organisé pour les directions régionales en juin 2012.Les contrôles internes prennent la
forme d’autocontrôles et de contrôles contemporains de supervision. Des contrôles de
supervision a posteriori sont également réalisés mais uniquement sur les deux processus
prioritaires « subventions » et « commande publique » qui représentent les principaux
enjeux.
Des états ont été transmis en 2014 à la DIRECCTE IDF sur les travaux du CSP
ou SFACT en matière de CIC (tableau de bord CSP et CHD) mais sans commentaire ni
réunion de travail pour les exploiter, comme cela se fait ailleurs (par exemple à la
Direccte Alsace).
5. Evaluation de la maturité du dispositif de maîtrise des risques au niveau
local et actions d’audit ciblées
a. Points communs
L’EMR n’est pas utilisé en services déconcentrés. Les responsables du contrôle
interne des ministères économiques et financiers considèrent que ce mode d’évaluation
n’est qu’un des multiples outils mis à disposition pour porter un regard sur la qualité du
contrôle interne. Ils considèrent que les synthèses nationales des contrôles, les audits
internes et les diagnostics de processus peuvent être mieux adaptés et substituables aux
EMR.
b. DGFIP
La DGFiP a veillé à accompagner les ministères, ainsi que la MACI pour les
directions des ministères économiques et financiers, dans le déploiement de cet outil.
Pour son propre compte, elle a privilégié la mise œuvre de plans de contrôles
dont le suivi est assuré dans AGIR et le travail de ses équipes départementales d’audit
interne des MDRA.
c. DGDDI
Les audits comptables et financiers menés sur les 39 postes comptables de la
douane entre 2011 et 2014 n’ont pas utilisé les EMR mais ont comporté
systématiquement un volet sur le pilotage du dispositif de contrôle interne comptable
local. Les constats et recommandations de ces audits sont exploités à la fois par le RTD
et les bureaux métiers de la direction générale afin d'améliorer la démarche de contrôle
interne.
d. DIRECCTE
A défaut d’EMR, l’administration centrale a lancé en 2014 une campagne
annuelle d’audit sur les dispositifs d’intervention et les marchés régionaux. Lors de la
réunion des référents contrôle interne de mai 2014, un projet d’expérimentation d’EMR
prévu pour 2015 a été présenté.
95
C. RECOMMANDATIONS
Néant
96
1,70
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1Il existe un réseau de référents « contrôle interne » actif en services
déconcentrés1 2
Le réseau local des référents est actif dans toutes les directions du ministère.
Selon les directions, il s'agit d'un tâche à temps complet (DGFIP) ou à temps
partiel (Direccte , DGDDI)
2
Il existe un outil de reporting permettant de couvrir de manière exhaustive les
problématiques de CI, mis à jour régulièrement, qui remonte des services
déconcentrés
1 2
Le réseau local des référents est actif dans toutes les directions du ministère.
Selon les directions, il s'agit d'un tâche à temps complet (DGFIP) ou à temps
partiel (Direccte , DGDDI)
3Les risques sur les processus significatifs sont identifiés et déclinés localement
dans les services déconcentrés1 1,5
Il n'existe pas d'outil de reporting unifié pour l'ensemble des services
déconcentrés du ministère. Au sein même de chaque direction, les outils sont
divers. La DGFIP déploie progressivement l'outil AGIR sur l'ensemble de ses
SD. Les Dirrecte ne réalisent pas de synthèse nationale des reportings.
4Les services déconcentrés disposent de plans d’action locaux adaptés, dont la
mise en œuvre est effective et fait l’objet d’un suivi formalisé2 2
Des plans locaux de contrôle avec un suivi formalisée ont été mis en place dans
toutes les DDFIP et DIDDI. A l'exception du déploiement progressif d'AGIR à la
DGFIP, les différentes consolidations et synthèses régionales ou nationales
sont réalisées par de lourdes resaisies manuelles. Certaines Dirrecte ne
5
Les services déconcentrés ont mis en œuvre un dispositif d’évaluation de la
maturité de leur dispositif de maîtrise des risques (type EMR) dont les résultats
ont été confortés par des actions d’audit ciblées
0 1
L'EMR n'est utilisée dans les services déconcentrés qu'à titre expérimental. Les
audits internes comptables en région sont les principaux outils d'évaluation de la
maturité de la maîtrise locale des risques. Les contrôles de supervision jouent
également un rôle dans ce domaine.
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
NR Non renseigné
10 - LE DEGRÉ DE MATURITÉ DU DISPOSITIF DE CONTRÔLE INTERNE EN SERVICES DÉCONCENTRÉS
97
II. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES
ETABLISSEMENTS PUBLICS DE L’ETAT
A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014
Les travaux d’accompagnement du déploiement des dispositifs de contrôle
interne dans les établissements nationaux se sont poursuivis en 2014 mais n’ont
cependant pas conduit à élargir le périmètre des entités intégrées dans la démarche
ministérielle de maîtrise des risques. 22 entités y sont intégrés, parmi lesquels les
principaux opérateurs, sur les 25 sous tutelle des MEF.
17 établissements disposent désormais d'un comité de direction qui traite du
sujet maîtrise des risques. C’est le cas à l’INPI et à l’ENA. La conduite du déploiement
du contrôle interne dans les EPN est souvent assurée conjointement par l’agent
comptable et par le référent dédié au contrôle interne auprès de l’ordonnateur, souvent
le secrétaire général ou son adjoint.
La priorité donnée en 2014 à la mise en œuvre des dispositions prévues par le
décret GBCP a ralenti la poursuite des travaux de renforcement du contrôle interne. Au
début de 2014, ni les établissements publics ni les autorités administratives
indépendantes ne disposaient de feuilles de route fixant les priorités de l’année en
matière de déploiement du contrôle interne.
Les orientations ministérielles arrêtées par le CMR ont été diffusées le 13 août
2014, à travers la publication d’une circulaire relative au cadre budgétaire et comptable
des organismes publics et des opérateurs de l'Etat. La circulaire impose aux EP de
communiquer une carte des risques et un plan d'action actualisés et validés par l’organe
délibérant, un questionnaire de qualité comptable et une échelle de maturité de la
gestion des risques renseignée sur un processus majeur. Une adaptation est prévue pour
les plus petits établissements intégrant à minima l'établissement d'une carte des risques
et un plan d'action.
A partir des informations ainsi recueillies, le tableau d'effectivité du déploiement
du contrôle interne dans les EPN réalisé par le secrétariat général indique le taux de
couverture dans les EP du MEF des différents outils du contrôle interne. Ces
informations sont analysées par le CBCM qui produit annuellement un rapport sur la
qualité comptable des EPN et la mise en œuvre du contrôle interne en leur sein.
Au vu de ce recensement, sur les 25 établissements publics du ministère, 22
disposent d'une carte des risques achevées ou partielle. 19 établissements ont défini un
plan d'action et 15 d'entre eux déclarent avoir élaboré une carte des processus. Les
restitutions relatives au CIC des organismes sont remontées auprès des correspondants
contrôle interne de l’administration centrale. Seuls dix établissements publics sous
tutelle des MEF ont déclaré utiliser l’échelle de maturité de la gestion des risques pour
évaluer leurs dispositifs de maîtrise des risques.
98
B. LE CONTROLE INTERNE DANS LES ETABLISSEMENTS PUBLICS DE L’ETAT
L’instruction a été menée sous forme de questionnaires auprès du secrétariat
général, du CBCM et de la DGFIP. Deux établissements publics ont fait l’objet d’une
analyse spécifique : l’ENA (école nationale d’administration) sous forme de
questionnaire et l’INPI (institut national de la propriété industrielle) sous forme
d’entretien sur place.
La priorité donnée en 2014 à la mise en œuvre des dispositions prévues par le
décret GBCP a ralenti la poursuite des travaux de renforcement du contrôle interne. Ce
décret prévoit que le ministre chargé du budget s’assure de la mise en œuvre du contrôle
interne comptable dans les EP. Concrètement, pour ce qui concerne les EP sous tutelle
du MEF, cette tâche est confiée à Bercy aux directions de tutelle. Ainsi, par exemple, la
DGE, à laquelle sont rattachés des EPN à fort enjeux, a pris en charge le déploiement
des structures de gouvernance dédiées au contrôle interne comptable.
Le SG et la DGFIP anime un groupe de travail sur le contrôle interne avec les
EPN du ministère qui se réunit deux fois par an.
1. La qualité de la gouvernance et des structures de mise en œuvre du
contrôle interne dans les établissements publics
a. Gouvernance
Dans les entreprises, la maîtrise des risques relève réglementairement de
l’organe délibérant (conseil d’administration) qui peut confier la préparation de ses
décisions dans ce domaine à un comité d’audit. L’organe exécutif de direction (conseil
de direction) peut également se faire assister par un comité ad-hoc pour instruire les
sujets de maîtrise des risques.
Ce degré de sophistication de la comitologie de maîtrise des risques n’est pas
encore en application dans les établissements publics. La taille des établissements
relevant des MEF ne permet pas systématiquement de créer un comité exclusivement
dédié à la maîtrise des risques comptables. Le contrôle interne peut être porté par un
organe délibérant ou de direction qui traite de plusieurs activités gérées par
l'établissement, dont la maitrise des risques. Il convient néanmoins que cet organe soit
conscient de ses responsabilités dans ce domaine en inscrivant régulièrement des sujets
de contrôle interne à l’ordre du jour de ses réunions.
En 2014, 17 établissements disposent d'un comité de direction ou d'un copil qui
traite du sujet maîtrise des risques. A l’INPI, c’est le comité de direction qui est la
structure de gouvernance du contrôle interne. Au sein de l’ANFR, les questions
relatives au CIC sont évoquées en comité de direction. A l’ENA, c’est le comité de
gouvernance qui est chargé de cette fonction.
b. Structures de mise en œuvre du contrôle interne
Au-delà des décisions d’orientation prises par la gouvernance, les
établissements publics doivent disposer d’un service ou d’une personne dédiée, au
moins à temps partiel, au contrôle interne. Ainsi, la quasi-totalité des 20 établissements
intégrés dans la démarche de contrôle interne ont déclaré avoir désigné des référents
contrôle interne.
A l’INPI, le référent contrôle interne est la direction « qualité organisation
management des risques ». En 2014, il s’est consacré au déploiement des plans de
99
contrôle, aux actions de formation sur le contrôle interne à destination des services
opérationnels et de l’encadrement. L’agent comptable a pris une part active dans le
déploiement du contrôle interne.
A l’ENA, il n’y a pas d’agent dédié à cette fonction. Elle est assurée
conjointement par l’agent comptable, le secrétaire général adjoint, le chef du service du
budget et l’assistant budgétaire.
2. La remontée d’informations en provenance des outils de contrôle interne
des établissements publics
A la suite de l'expérimentation menée en 2013 avec succès, il a été décidé, par
note du 1er octobre 2014, la généralisation du dispositif de remontée des restitutions
CIC des organismes auprès des correspondants ministériels CIC.
Ces informations sont analysées par le CBCM qui produit annuellement un
rapport sur la qualité comptable des EPN et la mise en œuvre du contrôle interne en leur
sein. Ce document est examiné par le CAIM.
3. Existence d’une démarche d’analyse de risques associée à des plans
d’actions formalisés
Au début de 2014, les établissements publics sous tutelle des MEF ne
disposaient pas de feuille de route sur le déploiement de leur contrôle interne. Les
orientations interministérielles n’ont été diffusées que le 13 août 2014, par la
publication d’une circulaire relative au cadre budgétaire et comptable des organismes
publics et des opérateurs de l'Etat, qui présentait les travaux attendus des EP en matière
de CIC.
La mise en œuvre de cette circulaire par la DGFiP, en lien avec la MACI couvre
l'ensemble des EP dont ceux du MEF. Ils doivent communiquer au secrétariat général
une carte des risques et un plan d'action actualisés et validés par l’organe délibérant, un
questionnaire de qualité comptable et une échelle de maturité de la gestion des risques
renseignée sur un processus majeur.
Une adaptation est prévue pour les plus petits établissements intégrant à minima
l'établissement d'une carte des risques et un plan d'action. Pour ce faire, ils peuvent,
avec l'accord de leur ministère de tutelle, ne renseigner que l'outil processus-risque-
action (OPRA) qui combine une analyse des risques et un plan d'action adaptés aux
moyens de ces petits établissements.
Au vu du dernier recensement, sur les 25 établissements publics du ministère34
,
15 disposent d'une carte des risques achevées et 7, non exhaustive, soit 22 au total. 18
établissements ont défini un plan d'action, dont 14 exhaustifs. Les MEF prévoient que le
périmètre de déploiement de la démarche soit exhaustif en 2015.
Cette diversité de mise en œuvre du contrôle interne avait déjà été relevée par le
sous-cycle 4.1 au titre de la mission finale 2013. Ainsi, il a été constaté qu’alors que
l’institut mines télécom (ex : groupe des écoles des télécommunications GET) et
l’institut de la propriété industrielle n’avaient mis en place pratiquement aucun contrôle
interne, la masse des douanes de son côté avait commencé sa mise en œuvre.
34
Trois entités ont été dissoutes en 2014. Il s’agit de : l’agence nationale de services à la personne
(ANSP), l’établissement public de financement et de restructuration (EPFR) et l’établissement public de
gestion de la contribution exceptionnelle de France Télécom (EPGCEFT).
100
A l’INPI, il existe des plans d’actions par processus. A chaque revue de
processus (semestriel), le plan d’actions par processus est remis à jour. Le suivi de la
mise en œuvre du plan d’action est réalisé par le référent qui en rend compte à la
gouvernance. A l’ENA, le plan d’action est mis à jour par le comité de pilotage et
entériné par le comité de gouvernance en octobre.
4. Le recensement des processus
Selon les informations communiquées par les 25 établissements publics, 15
d'entre eux déclarent avoir élaboré une carte des processus et un organigramme
fonctionnel.
A l’INPI, ont été réalisés des guides de procédures, des référentiels de contrôle
interne et un organigramme fonctionnel nominatif pour l’agence comptable. Le
dispositif de revue de qualité comptable et financière (RCQF) a été déployé à l’INPI en
2010.
Le déploiement du contrôle interne a permis dans ces deux établissements une
simplification de la chaîne de traitement comptable (création du service facturier à
l’ENA, dématérialisation de la certification du service fait), l’anticipation des besoins
des services en matière d’achat public, une amélioration de la circulation de
l’information, une hiérarchisation des risques, une prise de conscience par les métiers
non financiers des risques comptables et la valorisation des contrôles qui préexistaient
mais qui n’était pas retracés.
5. La mise en œuvre d’un dispositif d’évaluation de la maturité de la
maîtrise des risques et sa corroboration par des actions d’audit ciblées
L'effectivité du déploiement du contrôle interne est contrôlée par un
questionnaire annuel et l’envoi des documents de pilotage adressés fin novembre au
secrétariat général des MEF (MACI) dans le cadre de la circulaire annuelle DB-DGFIP.
Cette modalité d’échange a remplacé en 2014 le questionnaire adressé par le SG avant
chaque réunion semestrielle avec les établissements publics. Ces données servent à
établir le tableau d'effectivité du déploiement du contrôle interne qui indique notamment
le taux de couverture des EP du MEF par une carte des risques et un plan d'action.
Seuls dix établissements publics sous tutelle des MEF ont déclaré utiliser
l’échelle de maturité de la gestion des risques pour évaluer leurs dispositifs de maîtrise
des risques. En réalité, seules l’INPI et l’AFII ont commencé à mettre en œuvre l’EMR.
La circulaire du 5 août 2013 relative au cadre budgétaire et comptable des opérateurs de
l'Etat et des établissements publics nationaux pour 2014, ne prescrit en effet l'EMR que
sous certaines conditions (de taille et de figurer dans une liste recensant ceux d'entre eux
répondant à ce critère) qui pour les ministères financiers ne s'appliquent qu'à l'INPI qui
l'a réalisé après une venue sur place de la MACI. Pour autant, la MACI a présenté
l'outil EMR à l'ensemble des opérateurs qu'elle réunit régulièrement. En 2013, s’étaient
engagées dans la mise en œuvre de l’échelle de maturité : l’école des Mines de Nantes
(sur les achats non formalisés) et l’école nationale supérieure des Mines de Paris
(évaluation globale).
L’INPI a réalisé un EMR sur le processus commande publique en 2013 et sur le
pilotage du dispositif du contrôle interne en 2014. L’ENA prévoit de ne recourir à
l’EMR qu’en 2015.La DGFiP, en lien avec la MACI, ont prévu de déployer en 2015 les
EMR sur un processus majeur par chaque EP significatif selon les priorités définies par
la circulaire du 13 août 2014.
101
En ce qui concerne l'évaluation du déploiement du contrôle interne, les MEF
appliquent dans les EP les mêmes principes que ceux qui prévalent pour les directions
d’administration centrale et les services déconcentrés. Comme indiqué supra, les EMR y
sont considérés comme l’un des outils possibles dans l’éventail des modalités
d’évaluation du contrôle interne. Le secrétariat général indique que cette évaluation ne
résulte pas uniquement des EMR, mais également de la réalisation d'audits internes
(MRA/CGEFI/CMR). En 2014, la DGFiP n'a toutefois mené aucun audit sur un EPN
relevant du périmètre des ministères financiers.
C. RECOMMANDATIONS
Néant
102
1,40
N° Critères d’évaluation Cotation 2013 Cotation 2014 Appréciation synthétique du rapporteur
1
Les établissements publics relevant du ministère disposent d’une gouvernance
appropriée en termes de contrôle interne et d’audit interne et des structures
afférentes appropriées pour déployer le contrôle interne au sein de l'organisation
1,5 1,5
18 établissements disposent d’une instance de gouvernance chargée du CI. Il
peut s'agir soit d'une instance exclusivement dédiée à la maîtrise des risques
(COPIL CIC), soit du comité de direction, en particulier lorsque l’organisme est
de petite taille.
2
Un dispositif de remontée des outils de pilotage du contrôle interne des
établissements publics relevant du ministère a été mis en place conformément
aux instructions de la DGFiP
NA 1
La remontée des informations en provenance des outils de pilotage du CI prend
la forme de réponses à un questionnaire annuel et l’envoi des documents de
pilotage.
3
Les établissements publics relevant du ministère ont mis en place une
démarche d’analyse des risques associée à la mise en place de plans d’action
adaptés, dont la mise en œuvre est effective et fait l’objet d’un suivi formalisé
NA 1,5
Au vu du dernier recensement, sur les 25 établissements publics du ministère,
15 disposent d'une cartographie des risques achevées et 7, non exhaustive, soit
22 au total. 19 établissements ont défini un plan d'action, dont 14 exhaustifs.
4
Les établissements publics relevant du ministère ont identifié et documenté
(descriptif et matrice de risques et contrôles) l’ensemble des processus les
plus significatifs
NA 1,5
Selon les informations communiquées par les 25 établissements publics, 15
d'entre eux déclarent avoir élaboré une cartographie des processus et un
organigramme fonctionnel. Ces résultats attestent une mise en œuvre partielle.
5
Les établissements publics relevant du ministère ont mis en œuvre un dispositif
d’évaluation de la maturité de leur dispositif de maîtrise des risques (type EMR)
dont les résultats ont été confortés par des actions d’audit ciblées
1,5 1,5L'EMR est en cours de déploiement dans les EP ayant la taille critique. 7
établissements (dont l'INPI) ont mis en œuvre l'EMR en 2014
Valeurs de la colonne cotation
NA Non applicable
0 Pas de mise en œuvre
1 Début de mise en œuvre
1,5 Mise en œuvre partielle
2 Mise en œuvre
3 Point fort
NR Non renseigné
11 - LE DEGRÉ DE MATURITÉ DU DISPOSITIF DE CONTRÔLE INTERNE DANS LES ÉTABLISSEMENTS PUBLICS
103
ANNEXES
ANNEXE 1 : LES FORCES D’AUDIT DES MINISTERESERREUR ! SIGNET NON DEFINI.
I. LE CGEFI ............................................................................. ERREUR ! SIGNET NON DEFINI.
II. L’INSPECTION DES SERVICES DE LA DGDDI ....................... ERREUR ! SIGNET NON DEFINI.
III. LA MISSION RISQUES ET AUDIT (MRA) DE LA DGFIP ........ ERREUR ! SIGNET NON DEFINI.
ANNEXE 2 : VOCABULAIRE NEC ............ ERREUR ! SIGNET NON DEFINI.
I. DEFINITIONS GENERALES ..................................................... ERREUR ! SIGNET NON DEFINI.
II. OUTILS ET DOCUMENTS ........................................................ ERREUR ! SIGNET NON DEFINI.
III. AUTRES ................................................................................. ERREUR ! SIGNET NON DEFINI.
IV. SERVICES ............................................................................... ERREUR ! SIGNET NON DEFINI.
ANNEXE 3 : PRINCIPAUX PROCESSUS ET LEURS ENJEUX SUR
LES COMPTES DE L’ETAT ............. ERREUR ! SIGNET NON DEFINI.
104
ANNEXE 1 : LES FORCES D’AUDIT DES
MINISTERES
I. LE CGEFI
a. Les missions
En matière d’audit comptable et financier, la mission des audits du CGEFI a
inscrit à son programme de travail pour 2014 :
- 3 audits d’établissements publics nationaux réalisés conjointement avec la
mission d’audit interne de la mission « risques et audits » (MRA) de la
DGFiP à la demande du service comptable de l’Etat (SCE), contre 4 en
2013 ;
- 3 audits d’établissements publics nationaux menés par le CGEFI seul dans le
cadre d’une programmation coordonnée avec le SCE, contre 4 en 2013 ;
- 3 audits diligentés par le comité ministériel d’audit interne (dont 2 audits
métiers et 1 audit conseil sur le déploiement du contrôle interne budgétaire),
contre 2 en 2013.
En 2015, 5 à 6 audits d’EPN devraient être programmés en ciblant
essentiellement les CROUS et les établissements publics fonciers.
b. La programmation des audits
Les modalités de préparation et de validation de la programmation des travaux
d’audit des établissements publics qui découlent des propositions de la DGFiP et des
missions de contrôle du CGEFI ont sensiblement évoluées par rapport à celles de 2013.
Le programme est toujours établi à partir d’une liste d’entités transmise par le
service comptable de l’Etat de la DGFiP, complétée par le CGEFI à partir des éléments
issus de l’outil de carte des risques par entité et des remontées d’informations des
contrôleurs généraux.
L’outil de cartographie des risques couvre un périmètre d’environ 600 entités. Il
est élaboré à partir de 5 axes d’analyse de risques (axes stratégiques, contrôle interne,
etc. …) sur lesquels une cotation de la maturité des risques est déterminée. Pour chacun
des organismes figurant dans cet outil, une fiche permet d’identifier les risques
inhérents ainsi que les dispositifs de couverture des risques mis en place. Des
restitutions permettent d’extraire les principaux EPN en termes de risques et d’enjeux.
La mise en place de ce dispositif a conduit à la levée de la non-conformité au
référentiel professionnel constatée par l’IFACI dans le cadre de l’audit de suivi de juillet
2014. Ces travaux ont donc permis d’améliorer la qualité de la programmation des
audits désormais mieux articulée avec la démarche d’évaluation des risques.
c. Le cadre d’intervention
L’existence du CGEFI en tant qu’auditeur interne est consacrée par l’arrêté du 9
mai 2005 relatif à l’organisation et au fonctionnement du CGEFI.
105
Le protocole qui devait être établi entre le CGEFI et la mission d’audit interne
des ministères afin de renforcer le rôle d’animation et de pilotage du CGEFI dans le
dispositif ministériel, n’a finalement pas été formalisé. La mission d’audit interne des
ministères a privilégié cette année la formalisation des échanges avec les différentes
structures d’audit interne directionnel afin d’assurer la remontée des informations
permettant d’élaborer un programme d’audit consolidé au niveau ministériel et d’assurer
le suivi des recommandations sur l’ensemble des audits comptables et financiers.
d. Le statut
Le statut de corps de contrôle du CGEFI et son niveau de rattachement
constituent des gages de son indépendance.
e. La communication
Les modalités de communication entre le CGEFI et le certificateur sont régies
par un échange de lettre (ou protocole) qui ont été actualisées en février 2013 pour tenir
compte de la réalisation autonome par le CGEFI d’audits comptables et financiers.
f. Les suites
Les travaux engagés par le CGEFI en 2013 dans le cadre du plan d’action suite à
certification de la mission par l’IFACI, ont permis à la mission des audits d’accomplir
des progrès en matière de suivi des recommandations et des plans d’action suite à audit
qui ont conduit à la levée de l’ensemble des non-conformité à la norme professionnelle
constatées par l’IFACI dans ces domaines.
Pour ce qui concerne le suivi des recommandations reprises par les audités, il
est assuré de manière régulière (tous les semestres) par les contrôleurs généraux. Pour
les recommandations de priorité 1, l’audité doit systématiquement fournir des éléments
probants permettant de justifier la mise en œuvre des recommandations.
Toutefois, les recommandations non retenues par les audités, soit environ 8 %
des recommandations, ne font l’objet d’aucun suivi.
En outre, s’agissant du suivi des actions correctives, un calendrier de mise en
œuvre des recommandations et des actions correctives qui en découlent est
systématiquement établi.
g. Les compétences techniques
La mission des audits compte 19 membres à fin 2014, contre 18 en 2013,
auxquels s’ajoute un vivier de 51 auditeurs (contrôleurs généraux) potentiels à fin 2014
(contre 49 à fin 2013). Les auditeurs suivent systématiquement un programme de
formation (IGPDE, IFACI, DGFiP).
h. Les incompatibilités
Comme les années précédentes, le vivier de contrôleurs auditeurs est constitué
dans le respect des principes d’indépendance et d’objectivité vis-à-vis des entités
auditées. Ils ne peuvent pas auditer un organisme dont ils assurent le contrôle ou qui
relève du champ de contrôle de la mission dont ils font partie.
106
i. Le référentiel et le contrôle qualité
Le CGEFI met à jour régulièrement les référentiels utilisés dans son « kit de
l’auditeur pour les audits comptables et financiers », et en assure l’appropriation par
les équipes d’audit via des sessions de formation et des présentations en réunions de
mission. Ces référentiels sont issus pour l’essentiel du CHAI (CRAIE, cahiers
pratiques de l’audit comptable…), de la DGFiP et de la direction du Budget.
L’utilisation par la mission des audits de ces outils de référence (notamment les
cahiers pratiques élaborés et diffusés par le CHAI) devrait contribuer à améliorer la
qualité et la méthodologie des travaux d’audit du CGEFI.
j. La certification
L’audit de suivi suite à certification de la mission des audits du CGEFI a été
réalisé par l’IFACI en juillet 2014. En effet, la certification a été donnée à la mission
des audits par l’IFACI pour une période de 3 ans avec un audit de suivi réalisé chaque
année par l’IFACI permettant de mesurer les axes d’amélioration.
A l’issue de cet audit, l’IFACI a levé les trois points de non-conformité au
référentiel professionnel qui demeuraient en 2013. Ainsi, des progrès importants ont
été accomplis par la mission des audits du CGEFi en matière de programmation par les
risques, de priorisation des recommandations et de suivi des recommandations et des
actions suite à audit.
k. Les conclusions
La mission des audits du CGEFI répond à l’essentiel des critères de la norme
ISA 610 à laquelle se réfère le certificateur, des progrès ayant été accomplis en matière
de programmation par les risques, de formulation et de suivi des recommandations et
des actions suite à audit.
Toutefois, il conviendra en 2015 d’analyser en détail le contenu des
recommandations non retenues par les audités qui ne font pas l’objet d’un suivi à ce jour
afin de s’assurer qu’aucune d’entre elles sont prioritaires.
I. L’INSPECTION DES SERVICES DE LA DGDDI
a. Les missions
L’ISDGDDI réalise trois types d’audits :
- des audits internes liés à l’organisation, au fonctionnement et aux procédures
douanières qui peuvent selon les thèmes intégrer un volet comptable ;
- des audits comptables ou de processus réalisés dans le cadre ministériel (une
mission en 2014 comme en 2013) ;
- et des audits comptables des postes comptables réalisés par la cellule d’audit et
de vérification des recettes régionales composée de 3 auditeurs cadres supérieurs
(contre 4 en 2013). 9 audits ont été finalisés en 2014 contre 8 en 2013. L’objectif
est atteint, les 39 postes comptables ayant été audités.
107
b. La programmation des audits
La méthodologie sur laquelle repose la programmation des audits comptables a
évolué par rapport à 2013. La programmation s’appuie sur une analyse des risques
établie à partir de fiches de situation permettant de cibler les postes à auditer en fonction
de différents critères : bilan des contrôles opérés sur l’exercice précédent, plan de
contrôle interne de l’exercice en cours, carte des risques et éléments quantitatifs et
qualitatifs en matière comptable.
Désormais, l’analyse des risques décrite supra est formalisée dans un document
unique et consolidé : la matrice des risques par processus accompagnée d’une fiche
méthodologique qui permet de mettre en évidence l’exposition aux risques de la
structure auditée.
Cette amélioration de la démarche d’identification des risques sur l’ensemble
des processus de gestion de la douane a permis de faire progresser la programmation des
audits par les risques. Toutefois, l’identification des risques est encore trop axée sur les
risques de contrôle au détriment de l’identification des risques inhérents à chacun des
processus de gestion.
c. Le cadre d’intervention
L’arrêté du 30 avril 2002 fixant les compétences des services d’administration
centrale de la DGDDI définit le cadre de son intervention.
d. Le statut
Son statut de service placé sous l’autorité directe du directeur général est un
gage d’indépendance par rapport aux services audités.
Si l’ISDGDDI assume des fonctions de pilotage de la démarche de contrôle
interne, celles-ci sont clairement identifiées et séparées de ses missions d’audit.
Tout en préservant la distinction des fonctions de contrôle et d’audit internes, la
cellule d’audit vérifie systématique à chaque mission le dispositif de contrôle interne
mis en place localement tant en terme de pilotage que de déploiement des outils. Ce lien
entre contrôle interne et audit interne développé depuis 2012 devrait à l’avenir être
approfondi et enrichi, non seulement au sein de l’IS, entre les deux cellules, mais
également entre la cellule d’audit et les bureaux métiers de la direction générale.
En revanche, la procédure mise en place en 2013 qui consiste à faire élaborer les
plans d’action par les auditeurs doit être transitoire car elle pourrait à terme nuire au
respect des critères de la norme ISA 610 en matière d’objectivité de la fonction d’audit
interne vis-à-vis des structures auditées.
e. La communication
Un échange de lettres (ou protocole) formalisant les relations de travail avec les
équipes de certification de la Cour a été signé le 11 octobre 2011.
f. Les suites
Les recommandations de l’audit interne, désormais priorisés (deux niveaux de
priorités définis), figurent systématiquement dans le rapport et la cellule d’audit
sollicite, environ 12 mois après la fin de la mission, la structure auditée afin de
108
connaître l’état d’avancement des recommandations. Toutefois, leur nombre, encore
trop élevé, pourrait être limité à dix recommandations en moyenne par mission. En
outre, il conviendrait de distinguer clairement dans le tableau qui figure en début de
rapport, les recommandations prioritaires.
Par ailleurs, elles sont systématiquement diffusées par la cellule d’audit aux
différentes sous-directions concernées par les anomalies constatées et au bureau B1 en
tant que responsable du réseau comptable.
Cependant la cellule d’audit n’a pas encore établi un bilan consolidé de ces
recommandations notamment en termes de taux de réalisation global et de taux de
réalisation par région qui pourrait être présenté chaque année à la direction générale et
intégré dans le bilan public annuel de la douane. Des travaux sont d’ores et déjà engagés
afin d’adapter la méthodologie de travail et la mise en place de nouveaux outils de suivi
en conformité avec les recommandations du comité d’audit interne des MEF.
Les missions d’audit sont systématiquement assorties depuis 2013 d’un plan
d’action qui est toujours préparé par les auditeurs puis examiné et discuté avec les
audités lors de la réunion de clôture de la mission. Cette procédure doit évoluer car elle
pourrait nuire à terme au respect des critères de la norme internationale ISA 610 en
matière d’objectivité vis-à-vis de la structure auditée.
A compter de 2015, des audits de suivi seront mis en œuvre, toutes les recettes
régionales ayant été auditées.
Plus largement, l’ambition est de parvenir à tirer profit des travaux d’audit du
dispositif de contrôle interne au-delà du champ comptable. L’analyse systématique des
conclusions d’audits, qu’ils ou non sur le champ comptable, constitue un support
d’identification des dysfonctionnements mais également un révélateur des bonnes
pratiques engagées au niveau déconcentré. Cette articulation entre audit et contrôle
internes doit permettre d’améliorer l’action des services en harmonisant les outils mis à
leur disposition et de renforcer la démarche de maîtrise des risques.
g. Les compétences techniques
A chaque prise de fonction, les auditeurs de l’ISDGDDI reçoivent une formation
aux fondamentaux de l’audit dispensée par l’IFACI ainsi qu’une formation à la
comptabilité et au recouvrement. Par ailleurs, ils ont tous bénéficié d’une formation au
contrôle interne.
En revanche, aucun auditeur n’est certifié.
h. Le référentiel et le contrôle qualité
L’ISDGDDI dispose depuis plusieurs années d’une méthodologie et d’une charte
d’audit conformes au référentiel de l’IFACI.
Le contrôle qualité est assuré à partir d’outils méthodologiques de conduite et de
restitution des travaux d’audit qui sont régulièrement actualisés pour tenir des
évolutions notamment en matière de programmation et de suivi des audits.
Le dispositif de supervision et de revue des audits est organisé et formalisé.
i. Les conclusions
Les tests menés sur une mission d’audit des recettes régionales réalisée en 2014
ont permis de conclure que l’ISDGDDI répond à l’essentiel des critères de la norme
109
internationale ISA 610 à laquelle se réfère le certificateur, nonobstant quelques écarts
par rapport à la norme professionnelle d’audit interne en matière d’évaluation des
risques notamment inhérents auxquels les structures sont exposées, de formalisation et
de suivi des recommandations et des plans d’action suite à audit.
Des travaux d’ores et déjà engagés en lien avec la mission d’audit interne des
ministères devraient permettre à court terme de définir la méthodologie et les outils de
suivi des audits.
Par ailleurs, un bilan des points forts et des principales faiblesses ainsi qu’un
tableau récapitulatif des recommandations sont désormais intégrés en début de rapport.
A l’avenir, une synthèse des principaux constats pourrait également figurer en début de
rapport afin d’améliorer la lisibilité du document et de permettre aux responsables de la
structure auditée de disposer aisément d’une vision consolidée de la situation.
II. LA MISSION RISQUES ET AUDIT (MRA) DE LA DGFIP
a. Les missions
La principale évolution en matière de pilotage de l'audit interne comptable
concerne la finalisation de la mise en place de la nouvelle organisation des risques et
de l’audit. En conséquence, la charte de l’audit a été modifiée, notamment pour
prendre en compte cette évolution mais également pour formaliser la référence au
cadre de référence de l’audit interne de l’Etat (CRAIE).
S'agissant de la MRA, aucune modification de fond n'est intervenue en 2014
quant à la politique de recrutement et les moyens du pôle audit national, déjà limités par
le passé, ont diminué en 2014 (24 en 2014 contre 25 en 2013). A ces 24 auditeurs,
s’ajoutent 3 chefs de mission et 3 cadres dédiés notamment à l’analyse des fraudes, au
suivi des recommandations d’audit et aux normes d’audit.
S'agissant du réseau, aucune modification n'a eu lieu dans la politique de
recrutement des auditeurs, après la mise en place du concours commun de recrutement
des inspecteurs principaux des finances publiques en 2012, et les moyens sont restés
stables avec 460 auditeurs au niveau local qui consacrent environ 85 % de leur temps à
l’audit.
En revanche, la part des audits comptables et financiers dans le programme de la
MRA a encore diminué en 2014 par rapport à l’année passée (29 % en 2014 contre 36
% en 2013 et 43 % en 2012), la réduction des ressources d’audit du pôle audit de la
MRA n’a pas favorisé la montée en puissance des audits comptables et financiers.
Enfin, la DGFiP participe activement aux groupes de travail du CHAI visant à
élaborer des référentiels et des outils méthodologiques en matière d’audit interne. La
MRA dirige notamment le groupe de travail relatif aux audits comptables et financiers.
En outre, les auditeurs de la MRA participent aux sessions de formation organisées par
le CHAI, la MRA ayant rédigé le module de formation relatif à la conduite d’une
mission d’audit.
110
b. La programmation des audits
Dans le cadre de la certification du pôle audit de la MRA par l’IFACI, quelques
écarts mineurs avaient été relevés par rapport au référentiel professionnel de l’audit
interne notamment en matière d’évaluation des risques aux différents échelons de
l’organisation. La mise en place d’un plan d’action spécifique devait permettre de
réduire à terme ces lacunes.
Au niveau national, les modalités de programmation des audits pour 2014 n’ont
pas évolué et découlent toujours des réunions organisées avec l’ensemble des chefs de
services métiers de la direction générale et la MRA, en amont de l’élaboration du
programme national d’audit. En outre, chaque proposition d’audit est formalisée par une
fiche qui fait référence au risque associé, en lien avec la carte des risques de la direction.
La programmation pour 2015 serait désormais basée sur les risques stratégiques
de la direction générale formalisés et documentés dans la carte des risques ministériels.
La programmation aurait privilégié les zones de risques non couvertes sur lesquelles
une plus-value de l’audit est attendue. Toutefois, la carte des risques ministériels et les
modalités de son élaboration n’ayant pas été présentées à la Cour, il n’est pas possible
de juger de la pertinence du programme d’audits.
Le programme d’audit est validé en fin d’année par le comité national « risques
et audit ».
En 2014, moins d’un tiers du programme des audits portait sur les activités
comptables. La répartition des audits comptables et financiers inscrits au programme
2014 de la MRA était la suivante : 14 % d’audits internes35 à la DGFiP avec parfois la
participation du réseau (contre 15 % en 2013), 14 % d’audits internes ministériels36 sans
la participation d’autres services d’inspection ou d’audit des MEF (contre 18 % en
2013) et 71 % d’audits menés en partenariat avec d’autres ministères37 (contre 67 % en
2013). A ces activités, s’ajoutaient des audits d’établissements publics réalisés par les
auditeurs du réseau avec ou sans le CGEFI38.
Par ailleurs, il est constaté que dans le cadre d’audits de processus menés par des
corps d’audit extérieurs aux MEF, les auditeurs n’ont pas la possibilité d’effectuer leurs
diligences d’audit sur le champ comptable de manière conventionnelle. Ainsi, l’audit de
la partie comptable du processus n’est basé que sur les réponses des comptables aux
questionnaires et les auditeurs n’ont pas la possibilité de procéder à des tests.
35
La programmation initiale prévoyait trois ACF : les arrêtés trimestriels dans les services des
comptables publics (audit en phase de contradiction), l’optimisation des écritures manuelles et des
transferts (audit non engagé car conditionné à la finalisation des travaux en cours dans CHORUS visant à
simplifier les opérations) et les aspects comptables de RSP MEDOC (audit annulé compte tenu des
travaux en cours sur l’outil). 36
Il s’agit de l’audit sur les provisions pour litiges (en phase contradictoire) 37
Il s’agit pour le ministère de l’intérieur de l’audit sur les provisions pour charges de personnel
relatives au CET, pour le ministère de la justice de l’audit sur la commande publique dans les services
déconcentrés, pour le ministère de l’écologie de l’audit des processus « engagements hors bilan » et
« provisions pour charges », pour les services du Premier ministre de l’audit de la fonction budgétaire et
comptable de la direction de l’information légale et administrative (DILA), pour le ministère de
l’éducation nationale de l’audit sur le remboursement des frais de jury d’examens et de concours
nationaux et pour le ministère de la culture de l’audit sur les frais de déplacement dans CHORUS DT. 38
Il s’agit de 7 audits d’EPN dont 4 d’entre eux sont réalisés uniquement par les auditeurs locaux
de la DGFiP. Parmi les 4 audits réalisés sans le CGEFI, 3 d’entre eux concernent des CROUS.
111
Au niveau local, la programmation découle d’une part, des axes prioritaires
mais non obligatoires diffusés par le niveau central et d’autre part, de décisions prises
au niveau de chaque direction départementale. La règle qui s’impose à l’ensemble des
services est d’auditer les postes comptables tous les cinq ans au plus.
La nomination en 2014 de correspondants « risques et audit » (PRAI) au niveau
de chaque inter-région qui se réunit trois fois par an, permet d’assurer la coordination
avec la MRA en matière d’audit interne. A l’avenir, la mise en place de ce réseau doit
permettre d’élaborer un document agrégé de programmation des audits locaux et
d’assurer le suivi consolidé des audits et des recommandations suite à audits.
Le programme d’audit est validé en fin d’année par le comité départemental
« risques et audit ».
c. Le cadre d’intervention
Le cadre d’intervention de la MRA est formalisé par l’arrêté du 10 septembre
2013 portant organisation de la DGFiP et par la circulaire du 30 juillet 2009 relative à
l’audit.
d. Le statut
Le positionnement du pôle audit au sein de la mission « risques et audit »
rattachée directement au directeur général est un gage d’indépendance de la fonction
d’audit.
Cette nouvelle organisation qui s’est mise progressivement en place s’est
attachée à séparer distinctement les fonctions de pilotage de la démarche de maîtrise
des risques de celles relatives à l’audit interne afin de préserver l’objectivité de l’audit
interne vis-à-vis des services audités. Ainsi, chaque pôle de la MRA exerce sa mission
sous l’autorité d’un responsable différent. En outre, les auditeurs n’interviennent en
aucune façon dans les travaux de la maîtrise des risques.
e. La communication
Les modalités de communication avec la Cour et la MAEC – l’un des deux
services fusionnés pour créer la MNA – étaient régies par un échange de lettre (ou
protocole).
Le projet de nouveau protocole est en cours afin de tenir compte de la fusion de
la MNA et de la MNMR au sein de la nouvelle mission « risques et audit », d’une part
et des audits menés avec le CGEFI, d’autre part. Toutefois, des travaux en cours au
CHAI peuvent être susceptibles d’en modifier le contenu.
f. Le référentiel et le contrôle qualité
La MRA fait application des normes de l'audit définies par l'IIA et déclinées par
l'IFACI. En outre, les pratiques d’audit sont conformes au cadre de référence de l’audit
interne de l’Etat (CRAIE) élaboré par le CHAI. A ce titre, les fiches de procédures et les
modèles de documents élaborés dans le cadre de la démarche de certification permettent
112
de répondre à chacune des exigences de ces normes. Cette démarche est pleinement
mise en œuvre au niveau national, où se concentrent les plus forts enjeux. Les
référentiels actuellement utilisés sont communs aux 2 filières (fiscale et gestion
publique).
Au niveau local, des outils ont été diffusés, concernant les modalités
d'archivage et la revue-qualité des dossiers d'audit.
La charte d’audit a été révisée à la suite de la parution de l’arrêté du 10
septembre 2013 modifiant l’organisation de la DGFiP et s’agissant du rapprochement
du pilotage de l’audit et de la maîtrise des risques.
Par ailleurs, lors des audits d’EPN, les auditeurs examinent les outils de
pilotage et d’évaluation du contrôle interne élaborés par la structure auditée mais pas
de manière systématique car peu d’établissements disposent à ce stade d’outils de
pilotage complets - des cartes des risques et des plans d’action partiels sont cependant
plus répandus et l’outil d’évaluation (EMR) est encore rarement utilisé. En revanche,
pour les audits nationaux hors EPN, cette évaluation est systématique. De la même
manière concernant l’EMR, elle est consultée par les auditeurs et évaluée lorsqu'elle
existe. Ils peuvent, si besoin, recommander des modifications s'ils établissent que
certains risques ont été mal évalués.
Enfin, la démarche qualité a été maintenue en 2014 ce qui implique que le
dispositif de planification, de supervision et de revue des audits est organisé et
formalisé.
g. Les suites
Les modalités de suivi des recommandations suite à audit national sont
désormais formalisées dans la charte d’audit qui prévoit que le responsable de la MRA
assure le suivi des recommandations et rend compte annuellement au comité national
risques et audit du degré de mise en œuvre des recommandations.
Tous les audits donnent lieu donnent lieu à l’émission de recommandations, y
compris au plan local, et à l’élaboration par l’audité d’un plan d’actions, dont la
pertinence est systématiquement examinée par les auditeurs.
Un nouvel outil, nommé ISA, de suivi des recommandations et des actions suite
à audit mené par la MRA depuis 2011, a été développé et ouvert en début 2014 à
l’ensemble des bureaux métiers de la direction générale. Dans ce cadre, les bureaux
métiers de l’administration centrale peuvent renseigner l'état d’avancement des actions
leur incombant et justifier de la réalisation des travaux en joignant des pièces
justificatives.
Enfin, l’outil ISA met à disposition des outils de synthèse et de pilotage ce qui
permet à la mission « risques et audit » d’apprécier en temps réel l’avancement des
plans d’actions par année, par audit ou par service. La mise en place de cet outil a
permis d’approfondir l’analyse du suivi des recommandations et de détecter le cas
échéant l’insuffisante réactivité de certains bureaux métiers justifiant ainsi la réalisation
d’audits de suivi.
Au niveau du réseau déconcentré, les recommandations et les actions suite à
audits locaux (hors audits EPN) sont suivies par les missions départementales « risques
et audits ».
113
En revanche, le suivi des recommandations et des actions suite à audits
partenariaux ou à audits d’EPN, menés par les auditeurs locaux sans le CGEFI, est
lacunaire. En effet, le suivi des audits partenariaux est assuré par les ministères
commanditaires et celui des audits d’EPN relève des CBCM. Ainsi, la MRA ne dispose
que de peu d’informations quant à la mise en œuvre effective des recommandations et
des plans d’actions pour ces audits.
Par ailleurs, la MRA participe à un groupe de travail initié par la MACI du SG
visant à mettre en place un outil permettant de consolider au niveau ministériel le suivi
des recommandations suite à audit. Il s’agira cependant de s’assurer que cet outil
permettra à terme de couvrir l’ensemble des audits qu’ils soient de niveau ministériel ou
directionnel.
h. Les compétences techniques
A la MRA, 1 auditrice et 1 chef de mission sont certifiés CIA. 2 auditeurs et un
chef de mission disposent de la certification en audit informatique CISA. De plus, 2
membres de la MRA suivent également le parcours qualifiant du CIA.
Dans le réseau, 1 auditeurs est certifié CIA. En outre, un responsable
interrégional de l'audit est certifié CIA et CISA.
i. La certification
A l’issue de l’audit de suivi de l’IFACI en janvier 2014, le pôle audit de la
MRA a obtenu la reconduction de la certification assortie de deux points de non-
conformité mineurs au référentiel professionnel de l’audit interne. Des progrès sont
encore attendus en matière de programmation par les risques, d’évaluation des
dispositifs de contrôle interne au-delà du champ comptable et de pilotage du suivi de la
mise en œuvre des recommandations et des actions correctives qui en découlent.
Dans ce contexte, la MRA a élaboré un plan d’action visant à réduire les écarts
relevés par l’IFACI. La mise en production du nouvel outil ISA, le pilotage récent du
suivi des audits par la mission « risques et audit » et la référence aux risques
opérationnels dans le cadre de la programmation des audits constituent des marges de
progrès qui doivent permettre à court terme de réduire les écarts avec le référentiel
professionnel.
En outre, la certification n’est pas à ce stade envisagée pour d’autres services
d’audit du réseau.
j. Les conclusions
Le pôle audit de la MRA répond à l’essentiel des critères de la norme
internationale d’audit ISA 610, nonobstant quelques écarts mineurs relevés par les
auditeurs de l’IFACI dans le cadre de la certification notamment en matière de
programmation par les risques, d’évaluation des dispositifs de contrôle interne aux
différents échelons de la direction générale et de pilotage du suivi des recommandations
et des actions formulées suite à audit.
Ces écarts ne font cependant pas obstacle à la révision du protocole formalisant
les relations de travail avec le certificateur pour tenir compte de la création de la
nouvelle mission « risques et audits ».
114
Le pilotage du suivi des audits par la MRA et la référence aux risques
stratégiques identifiés dans la carte des risques ministériels en tant que support de la
programmation des audits doit permettre à court terme de réduire les écarts avec le
référentiel professionnel.
En revanche, la part des audits comptables et financiers dans le programme
d’audit de la DGFiP (29 % en 2014 contre 36 % en 2013 et 43 % en 2012) paraît
insuffisante pour permettre la couverture par des audits récents des processus les plus
significatifs.
115
ANNEXE 2 : VOCABULAIRE NEC
III. DEFINITIONS GENERALES
A. CONTROLE INTERNE
Contrôle interne : plusieurs définitions existent mais toutes convergent. La plus connue est
celle du COSO qui définit le contrôle interne comme un processus élaboré et exécuté par le
conseil d’administration, la direction et l’ensemble du personnel, destiné à fournir une
assurance raisonnable quant à l’atteinte des objectifs de l’entité :
- fiabilité de l’information financière ;
- efficacité et efficience des opérations ;
- conformité aux lois et règlementations applicables.
Le contrôle interne a été conceptualisé par le COSO en le découpant en 5 composantes :
- environnement de contrôle ;
- évaluation des risques ;
- activités de maîtrise ;
- information et communication ;
- pilotage.
Les NEC ont été élaborées sur la base de ces composantes.
B. RISQUE
Risque : événement pouvant affecter l’atteinte des objectifs de l’entité. Il est analysé à deux
niveaux :
- risque inhérent (ou brut) : découlant de l’activité de l’entité, avant la prise en
compte du contrôle interne ou du dispositif de maîtrise du risque ;
- risque résiduel (ou net) : après la prise en compte du contrôle interne ou du
dispositif de maîtrise du risque.
Schéma représentatif du risque inhérent et résiduel après prise en compte du contrôle
interne
X
XRisque résiduel
Risque inhérent
Risque de contrôle : (terme utilisé en audit) le risque qu’une anomalie significative dans les
comptes ne soit ni prévenue ni détectée par le contrôle interne de l’entité et donc non
corrigée en temps voulu. Dans le cadre de contrôle interne élaboré par la DGFiP, il s’agit du
risque lié à un dysfonctionnement du dispositif de contrôle interne.
116
IV. OUTILS ET DOCUMENTS
A. PILOTAGE DU CONTROLE INTERNE
Selon le cadre élaboré par la DGFiP, le contrôle interne est piloté grâce aux outils suivants :
Carte des processus comptables : recense l’ensemble des processus comptables du
ministère.
Carte des risques comptables : support de pilotage des risques comptables : elle donne une
photographie consolidée et régulièrement actualisée des risques potentiels et de leur niveau
de maîtrise. Ce document formalise ainsi l’analyse des risques en hiérarchisant les enjeux
par processus en fonction du niveau de risques et de leur volume financier. L’identification
des risques permet de les hiérarchiser mais surtout de définir les mesures adéquates à mettre
en œuvre pour les couvrir. La carte des risques débouche donc naturellement sur
l’établissement d’un plan d’action pluriannuel pour couvrir les risques détectés.
Les Plan d’action ministériel ou directionnel (PAM ou PAD) sont issus d’un support
élaboré par la DGFiP destiné à regrouper les actions à mettre en œuvre à l’issue de l’analyse
des risques portée dans la carte des risques. Le plan d’action ministériel se décline en plan
d’actions directionnel et plan d’action régional.
B. DOCUMENTATION DES PROCESSUS
Selon le cadre élaboré par la DGFiP, les processus sont documentés grâce aux outils
suivants :
- organigramme fonctionnel (O.F.N.) ou « organigramme fonctionnel nominatif »:
document définissant la répartition des tâches et responsabilités de chaque personne
d’un service.
- guide de procédure (GP) : document permettant de décrire les opérations d’une
partie d’un processus.
- référentiel de contrôle interne (RCI) ou référentiel de contrôle interne:
document recensant pour un processus donné les risques liés à chaque étape du
processus et décrivant pour chacun les contrôles clés permettant de les maîtriser,
constitue une source documentaire indispensable à l’encadrement intermédiaire des
services comptables et ordonnateurs. Le RCIC peut ne pas couvrir certains risques
propres à la structure ministérielle, qui nécessitent dès lors des mesures de
couverture particulières. En conséquence, le référentiel de contrôle interne comptable
doit être adapté au niveau de chaque ministère en fonction des spécificités
organisationnelles et de l’environnement informatique.
C. LES CONTROLES
● Contrôle de 1er
niveau :
Le contrôle de premier niveau correspond aux contrôles contemporains (au fur et à mesure
du processus) réalisé par l’agent chargé de l’opération (autocontrôle), par son collègue
(contrôle mutuel) ou par le supérieur hiérarchique du service (contrôle de supervision). Ils
117
peuvent prendre la forme d’une validation, d’un rapprochement de données, une
autorisation, d’une séparation de fonctions, de vérification, d’une supervision…
Pour garantir l’auditabilité du dispositif de contrôle interne, les contrôles clés doivent être
documentés et tracés de façon à savoir qui a réalisé le contrôle, selon quelle procédure, à
quel moment, la portée du contrôle, le périmètre (exhaustif ou échantillon à préciser), les
points analysés (critères de qualité comptable), les constats opérés, les mesures à mettre en
œuvre pour remédier aux anomalies détectées. Cette formalisation constitue une condition
sine qua non pour un auditeur externe afin de s’assurer de l’existence et de l’efficacité des
mesures de contrôle développées par l’organisation. Un contrôle de supervision non
formalisé est réputé ne pas exister.
● Contrôle de 2ème niveau : Le deuxième niveau de contrôle interne comptable correspond
au pilotage de la fonction comptable de l’État au niveau de chaque comptable public –
hormis le CCCE –, et à la garantie de la qualité des comptes. Le contrôle interne comptable
de 2ème niveau relève de la cellule de qualité comptable, distincte des acteurs du premier
niveau de contrôle interne. A la DGFiP, ces contrôles dits d’expertise sont réalisés par les
cellules de qualité comptable, services intégrés aux missions départementales de maîtrise des
risques. Ils consistent à s’assurer que les contrôles de supervision de 1er
niveau ont été
correctement faits.
Le Plan de contrôle de supervision a posteriori est destiné à ré-effectuer des contrôles clés
(normalement décrits dans les RCI) sur des zones à risques majeurs pour s’assurer du bon
fonctionnement de ces contrôles. Ils font partie des contrôles de deuxième niveau.
● Contrôle de 3ième
niveau : Le troisième niveau de contrôle interne comptable correspond à
un rôle de surveillance des opérations comptables et de l’environnement comptable au
niveau national. Le contrôle interne comptable de 3ème niveau relève du CCCE et est réalisé
par le bureau de contrôle de la qualité des comptes CE1D au sein de la DGFiP.
Le Contrôle hiérarchisé de la dépense (CHD) : est une forme de contrôle de supervision :
contrôle de supervision de la régularité des dépenses effectué par le comptable (DCM) en
fonction des risques et de seuils financiers. Le CHD est un contrôle par échantillonnage
portant sur les opérations qui présentent les risques et enjeux financiers les plus significatifs.
Le CHD se déplie à travers l’application CHD-SL (module d’Helios). Le contrôle
hiérarchisé de la dépense (CHD) s’exerce en deux temps : le chef de service contrôle les
actes de gestion (supervision, contrôle de premier niveau) et le service chargé du
mandatement (N+2 par rapport à l’agent) contrôle une dernière fois avant d’autoriser la
dépense (contrôle de deuxième niveau).
Le CPCM (Centre de prestations mutualisées comptables) est chargé, pour l’ordonnateur
(CSP), du contrôle interne. A ce titre, les agents du CPCM contrôlent l'émission de la
demande de paiement (DP) dont ils sont responsables et les opérations comptables dont ils
ont l'initiative.
a) Le reporting des contrôles
Reporting du contrôle interne : reporting qui vise à assurer le suivi régulier du
déploiement du dispositif de contrôle interne ainsi que de son efficacité et son effectivité de
par notamment le résultat des contrôles des plans de contrôles. Pour cela, un certain nombre
d’indicateurs doivent être définis afin d’en assurer un suivi pour être en mesure d’être un
vecteur de communication à différents niveaux hiérarchiques (et aux instances de
gouvernance) et un outil de pilotage du contrôle interne.
118
AGIR : Outil de programmation et de formalisation des contrôles du service. AGIR ne
concerne que les contrôles des opérations de l’Etat (ne concerne pas le contrôle interne des
opérations locales de la DGFIP).
D. OUTIL D’AUTO-EVALUATION DU CONTROLE INTERNE
Echelle de maturité de la gestion des risques (EMR) : outil élaboré par la DGFiP afin
d’autoévaluer le niveau de déploiement du dispositif de maîtrise des risques selon une
échelle prédéfinie sur un processus donné.
C’est un outil d’évaluation synthétique chiffrée (l’évaluation repose sur un dispositif de
notation, allant de 1 niveau le moins avancé à 5 niveau optimal) permettant de lister les
attentes en matière de renforcement du dispositif de CI et de permettre aux ministères et
établissements de se situer en évaluant la maturité de leur dispositif de contrôle interne
comptable. L’EMR doit s’appuyer sur des éléments probants et sur des avis objectifs de
l’ordonnateur et du comptable. L’EMR est renseignée « par dires d’experts », faisant
intervenir une pluralité d’acteurs : les gestionnaires concernés (prescripteurs, CSP le cas
échéant), le comptable public (CBCM-DCM), la MACI et le RTD. L’objectif des échanges
intervenant au cours des travaux d’évaluation est de faire émerger, s’agissant des notes
portées dans l’EMR, un consensus proposé à la validation du référent. Cette méthode entend
limiter les risques de subjectivité. L’EMR ne peut cependant constituer à elle seule un outil
d’évaluation de la qualité, de l’effectivité et de l’efficacité du contrôle interne sur les
processus concernés. C’est pourquoi la Cour recommande au ministère de corroborer les
résultats de l’EMR par l’appréciation de l’audit interne.
V. AUTRES
SIFE : système d’information financière de l’Etat.
FICUS : Plate-forme d’échanges entre services d’administration centrale (y compris CBCM
mais hors douane).
CHAI : Le comité d’harmonisation de l’audit interne (CHAI),, installé depuis avril 2012, est
chargé de s’assurer de l’application du cadre de référence de l’audit interne (CRAIE),
d’harmoniser la méthodologie de travail des ministères en matière d’audit et diffuser en leur
sein les bonnes pratiques et d’examiner chaque année la politique d’audit des départements
ministériels et formuler des recommandations.
A l’issue d’un peu plus de deux ans d’existence, le CHAI a produit le code de déontologie
des auditeurs de l’Etat, les normes de qualification auxquelles doivent se conformer les
services d’audit ainsi que les normes de fonctionnement que les services d’audit doivent
mettre en œuvre. Cet ensemble de documents constituent désormais le cadre de référence de
l’audit interne dans l’administration de l’Etat (CRAIE), adopté le 27 juin 2013.
Le CHAI a contribué en 2014 à la définition de la méthodologie d’élaboration de la carte des
risques ministériels. Il a également élaboré, dans le cadre de groupes de travail, des outils
destinés aux auditeurs en charge de missions comptables et budgétaires. Ces outils qui
répondent à une logique d’harmonisation et de mutualisation des méthodes de travail, sont
composés de quatre guides d’audit portant sur des fonctions transversales (fonction achat,
119
systèmes d’information, marchés publics et ressources humaines). Ces documents
permettent aux ministères de disposer d’outils de référence en matière d’audit.
Enfin, le CHAI s’attachera à compter de 2015 à évaluer la fonction d’audit interne en
examinant annuellement la politique d’audit des ministères et en formulant à cette occasion
des recommandations. Il s’agira notamment pour le CHAI de s’assurer que les ministères
disposent d’une carte des risques, d’un programme d’audit fondé sur l’évaluation des risques
et approuvé par le comité d’audit interne.
VI. SERVICES
A. NOM DES SERVICES
Fonction comptable de l’Etat (FCE) :
Selon le cadre de référence du CI de l’Etat, la fonction comptable de l’Etat est constitué de
l’ensemble des tâches, acteurs et systèmes d’information concourant la constatation des
droits et obligations de l’Etat, à l’inventaire de ses biens et à la tenue et l’établissement de
ses comptes, depuis le fait générateur d’une opération jusqu’à son dénouement comptable.
Elle a pour objet de recenser l’ensemble de ces éléments dans une logique de cycles et de
processus au sein d’une base documentaire unique couvrant l’ensemble des activités «
métier » du MEF.
AIFE : L'Agence pour l'informatique financière de l'État (AIFE) est un service à
compétence nationale (SCN) rattaché au ministre du Budget, des Comptes publics et de la
Réforme de l'Etat décret du 11 février 2005. L'AIFE est chargée de mettre en œuvre la
stratégie informatique financière de l'Etat et notamment les évolutions fonctionnelles et
applicatives du SI Chorus. L’AIFE réalise ses missions en coordination avec les directions
règlementaires de Bercy (Direction du Budget, Direction Générale des Finances Publiques)
et avec les ministères, dans une logique interministérielle
Rappel : L’ordonnateur est la personne qui engage la dépense et constate le service fait.
Le comptable paie la dépense après avoir vérifié la régularité de l’opération. Il comptabilise
la dépense.
Le service prescripteur (SP), placé auprès du responsable de programme ou de BOP est
compétent pour :
- la programmation et le dialogue de gestion ;
- le pilotage et l’exécution des autorisations d’engagements et des crédits de
paiements, pour lesquelles il conserve toutes ses prérogatives (décision d’achat ou de
subvention, choix du fournisseur, prestataire, opérateur ou partenaire, initialisation
de l’engagement juridique, constatation du service fait et la fourniture des éléments
utiles à la demande de paiement). Il est vis-à-vis du CSP un donneur d’ordre pour la
réalisation des actes comptables relatifs aux dépenses et aux recettes, au moyen de
formulaires ad hoc.
Le CSP centres de services partagés (auprès de l’ordonnateur, c’est-à-dire du service
prescripteur) : unité fonctionnelle de prestations de service regroupant et mutualisant les
fonctions support (ou soutien) dans le domaine budgétaire et comptable au sein de trois «
120
blocs ministériels » (intérieur, financiers, agriculture et écologie). Il réalise, pour le compte
du service prescripteur :
- des actes de gestion afférents à l’exécution de la dépense (gestion des engagements
juridiques (« EJ »), certification du service fait, gestion des demandes de paiement
pour celles non traitées par un SFACT, centralisation de la saisie des opérations
d’inventaire),
- la gestion des recettes non fiscales (engagement de tiers, titre de perception).
- des activités de pilotage et de reporting (restitutions aux services prescripteurs).
Le SFACT (service facturier) est auprès du comptable. Il constitue un type particulier de
CSP en charge du traitement de la demande de paiement (contrôle de sa validité,
rapprochement avec l’engagement juridique et le service fait, paiement). En mode facturier,
la facture arrivera directement chez le comptable qui procédera à la création de la demande
de paiement après rapprochement des pièces justificatives et de la certification du service
fait. Le SFACT peut également être en charge de la production de restitutions nécessaires au
pilotage financier. Il convient de souligner que le déploiement de Chorus n’impose pas la
création de SFACT dans les services ministériels. A l’exception du paiement, tous les actes
réalisés par le SFACT peuvent être confiés au CSP.
SP CSP SFACT
Décision de dépense et choix de son bénéficiaire X / /
Constatation du service fait X
Certification du service fait et contrôle des PJ X X
Création de la demande de paiement X X
Paiement / / X
Inventaire, reporting CI X X X
B. GESTION
Les 4 Flux : Ce processus est appelé « flux 1 ». Il existe également des situations dans
lesquelles le service fait est concomitant à l’engagement juridique (flux 2) telles que les
subventions sans conditions de réalisation ainsi que lorsque le service fait est concomitant à
la DP avec un engagement juridique préalable (flux 3) telles que les décisions de justice, les
abonnements aux revues, les subventions avec conditions de réalisation. Certaines dépenses
peuvent être payées sans engagement juridique préalable, la consommation des AE étant
fictivement effectuée au moment de la demande de paiement (flux4). Ces exceptions sont
naturellement limitativement énumérées et autorisées par la DB et la DGFIP : dépenses
urgences en début d’année ou dépenses récurrentes sans enjeux financiers majeurs telles que
les frais de déplacement, frais de changement de résidence, dépenses de personnel hors
PSOP ou dépenses de carte achat.
La convention de délégation de gestion découle de l’organisation financière et comptable
décidée dans les services déconcentrés des ministères. Elle est établie conformément aux
dispositions du décret du 14 octobre 2004 relatif à la délégation de gestion dans les services
de l’Etat. Pour les chefs de service ayant la qualité d’ordonnateur secondaire délégué, la
convention de délégation de gestion est établie entre le chef de service, le chef de service
régional dans lequel est implanté le CSP, le préfet duquel le chef du service délégant tient la
délégation d’ordonnancement et le préfet de région duquel le chef du service régional tient
sa propre délégation. Pour les chefs de service ayant la qualité d’ordonnateur secondaire, la
121
convention de délégation de gestion doit être visée uniquement par le préfet de région
duquel le chef du service régional tient sa propre délégation. La convention de délégation de
gestion doit également permettre la délégation de signature au sein du CSP.
Le contrat de service est un document qui permet de compléter la convention de délégation
de gestion lorsqu’elle est nécessaire en apportant des précisions quant aux modalités de
collaboration entre les services (prescripteur, CSP, SFACT). Ce document formalise
l’organisation et les attributions respectives de chacun des services, les relations entre le
CSP ou SFACT et le service délégant (responsabilités et engagements respectifs des
signataires, compte-rendu d’activité, indicateurs de suivi des prestations et de qualité de
service …).
Blocs : Les 3 blocs ministériels de CSP sont :
- Ministère de l’intérieur (bloc 1)
- Ministère de l’alimentation, de l’agroalimentaire et de la forêt – ministère de l’écologie, du
développement durable et de l’énergie (bloc 2)
- Ministère de l’économie, des finances et de l’industrie – ministère du budget, des comptes
publics et de la réforme de l’Etat – ministère de la fonction publique - ministère de la culture
et de la communication – ministère du travail, de l’emploi, de la formation professionnelle et
du dialogue social – ministère des affaires sociales et de la santé (bloc 3 : DRFIP,
DIRECCTE, DDFIP, DRJSCS, DDCS, DDSPP (hors DDSVI) et DDPP (hors DDSVI).
Les cellules de qualité comptable (CQC) doivent apporter un appui méthodologique et
technique essentiel pour l’élaboration des supports et des leviers de maîtrise des risques que
constituent la carte des risques et le plan d’action locaux.
C. INTERLOCUTEURS PERSONNES PHYSIQUES
Secrétariat général des ministères économiques et financiers
- Laurent de Jekhowsky, Secrétaire Général
- Roland Sparfel, service des affaires financières et immobilières - SAFI
- Brice Cantin, sous-direction de la gestion financière et du contrôle interne (SAFI2)
- Laurent Mathis, Patrick Soury, Thomas Nowacki , Emile Pineau, mission audit et de
contrôle interne (MACI)
- Guillaume Duchesne, mission nouveaux processus et systèmes d’information
budgétaires et comptables (NPESIBEC)
- Frédéric de Vaugiraud, Centre de Prestations Financières (CPFi)
DGFIP
- Gilles Viault, Marc Jung, Anne Seguy, Stéphane Maurizot, Clara Barilari, mission
risques et audits (MRA)
- Alain Josserand, Stéphanie Ledoux, Dany Busnel, mission doctrine comptable et
contrôle interne comptable (MDCCIC)
- Anne-Marie Amigues, service stratégie, pilotage et budget (SPIB)
DGDDI
- Philippe Defins, Inspection des services de la douane (ISDGDDI)
122
- Nicole Difede, Cellule d’audit interne de l’ISDGDDI
DGTrésor
- Mohammed Loucif, référent technique directionnel
APE
- Jérôme Baron, secrétaire général, référent technique directionnel
- Philippe Marseille, responsable du pôle audit
Audit interne
- Danièle Lajoumard, mission d’audit interne des ministères
- René-Marc Viala, mission des audits du CGEFI
SCBCM
- Didier Maupas, Hervé Chalamel, Jean Muller
Dans les services déconcentrés
DGFIP : Le RDRA (AGEFIP responsable de la mission départementale des risques et de
l’audit (MDRA) rattachée en directeur départemental. Elle a pour mission d’animer la
politique départementale de maîtrise des risques. Elle regroupe deux composantes : les
cellules de qualité comptable (CQC) et les auditeurs internes, les composantes « risques » et
« audit » faisant l'objet d'un pilotage unifié dans les départements depuis le début d'année
2014.
123
ANNEXE 3 : PRINCIPAUX PROCESSUS ET LEURS
ENJEUX SUR LES COMPTES DE L’ETAT
Eval. impact
bilan 2013
Eval. impact
CDR 2013
États financiers infra-annuels
États financiers annuels
Union européenne 22
Engagements donnés
Engagements reçus N/D
Provisions pour risques 16
Provisions pour charges 8 8
Dette financière négociable 1 476 42
Autres emprunts et dettes financières 5 1
Instruments financiers à terme
Immobilisations incorporelles et autres immobilisations corporelles 8 0
Parc immobilier 7
Participations
Avances et prêts 25
Gestion des investissements d'avenir 29
Pensions 52
Rémunérations 63
Commande publique 3
Interventions 21
Transferts aux ménages 3
Transferts aux entreprises 2
Transferts aux collectivités 13
Transferts aux autres collectivités 3
Subventions pour charge de service public 0
Avances aux collectivités sur le produit des impôts 220
Crédits d'impôts
Impositions par voie de rôle
Impositions sans voie de rôle
Amendes et condamnations pécuniaires 4
Produits domaniaux
Recettes étrangères à l'impôt et au Domaine
Compte bancaire
Numéraire
Trésorerie à court terme
Caisse des Dépôts
Dépôts de fonds au Trésor
Collectivités territoriales
Trésorerie - Autres composantes Consignations et dépôts des tiers versés au Trésor
Légende
< 1 Md € Impact non significatif sur les comptes
1 Md€ à 10 Md€ Impact peu significatif sur les comptes
10 Md€ à 50 Md€ Impact significatif sur les comptes
> 50 Md€ Impact très significatif sur les comptes
Produits de fonctionnement
Trésorerie - Disponibilités
Trésorerie - Correspondants
Immobilisations financières
États financiers
Produits régaliens
Source: Rapport de mission intermédiaire 2014- sous-cycle 1.1. Données en Md€
Dettes financières
Immobilisations corporelles et
incorporelles, stocks
Charges de personnel
Charges de fonctionnement et
d'intervention
Sous-cycles Processus
MEF
Engagements et provisions
