En septembre 2009, nous nous rappelons avoir assisté à un séminaire à Soleure sur les expériences dans la mise en place de contrôle interne dans les administrations publiques[1]. Au second semestre 2013 a eu lieu la diffusion d’un Livre blanc français sur la gestion des risques et le contrôle interne dans les collectivités territoriales [2]. Entre ces deux dates quel chemin parcouru. Des premières expériences de mise en place du contrôle interne (CI) souvent orientée sur les processus financiers (facturation, paiement, etc.) à une approche globale généralement basée sur le référentiel COSO.

Le Livre blanc est le fruit d’un groupe de travail français composé de personnes provenant d’horizons variés : audit interne, qualité, contrôle de gestion, sécurité, gestion de crises, consultance, cour des comptes, risques. Nous avons eu la chance de participer à titre personnel au premier et collaborons à présent au second qui sera plus orienté sur le déploiement pratique du CI public.
Relevons en Suisse romande l’existence du Groupe ERFA des collectivités publiques. Depuis plusieurs années des séminaires permettent de traiter de sujets liés au contrôle interne et aux risques dans le secteur public. Cela démontre l’actualité du sujet et que nulle entité ne peut y échapper.

La situation du CI en Suisse nous est connue que de manière imparfaite, à l’exception dans une certaine mesure de celle de Genève et d’expériences qui nous ont été rapportées dans le cadre du Groupe ERFA. A ce propos n’y aurait-il pas un relatif manque d’échanges intra suisse en matière de SCI?
Quelle est la mise en perspective entre le contenu du Livre blanc, qui pourrait en réalité s’appliquer à tout type d’organismes publics, et la réalité suisse à ce stade de mise en place du SCI? Autrement dit quels sont les points de convergence et de divergence tels qu’ils nous sont apparus? Il ne s’agit pas ici d’un comparatif à caractère scientifique et les avis exprimés dans cet article n’engagent d’aucune manière les organisations dont l’auteur fait, ou a fait, partie.


Les premiers constats et questionnements, qui pourraient susciter quelques débats, peuvent se résumer ainsi:

1. La poule et l’œuf

Est-ce que le CI découle de la gestion des risques en traitant un risque identifié, ou est-ce que la gestion des risques est une composante du CI? Finalement la réponse n’a pas vraiment d’importance car elle dépend notamment de la chronologie des événements. Cependant dans tous les cas il importe que ces deux dispositifs ne fonctionnent pas « en silo »; autrement dit, ils doivent être pleinement intégrés à la vie opérationnelle. Une question complémentaire peut être posée : Est-il possible de faire de la gestion des risques sans forcément faire du CI? L’inverse serait-il aussi envisageable?

2. Top-down ou bottom-up pour les risques?

Dans l’idéal ces deux approches devraient se combiner. Cependant la pratique semble démontrer que le top-down, pour différents motifs, serait privilégié dans un premier temps du moins. De plus cette approche aurait le mérite d’être plus « légère » à mettre en place. Pour notre part nous pensons que le bottom-up, basé sur les risques associés aux processus, motive les opérationnels. En effet non seulement ils acquièrent une excellente connaissance du fonctionnement de leur entité mais en plus ils en définissent eux-mêmes les risques de façon rigoureuse, et par conséquent les contrôles à réaliser.

3. Initiateur(s) au démarrage de la gestion des risques

Finalement il n’est pas si important de déterminer qui en est l’initiateur ; c’est le résultat final qui compte et surtout la pérennité du SCI. Par conséquent même si, par exemple, l’audit interne en assumait le démarrage cela ne nous choquerait pas outre mesure. Néanmoins si cette situation venait à perdurer il y aurait alors un télescopage avec sa mission de base. En parallèle il faut l’émergence d’une réelle culture du risque afin de ne pas être qu’un gadget ou un alibi. De plus la démarche doit perdurer dans le temps.

4. Prérequis et conditions-cadres

Ils sont multiples et de nature différente. On peut par exemple citer:
  • Ressources humaines en quantité et qualité tant au niveau de l’opérationnel que des « animateurs » (professionnels) du CI.
  • Soutien marqué de la plus haute instance (Conseil d’administration, Conseil d’Etat, etc.).
  • Appui des élus.
  • Implication du management à tous les niveaux.
  • Discours clair quant aux objectifs, soit la maîtrise des opérations et non pas une forme de contrôle de plus.
  • Mise en place d’un comité d’audit.
  • Modification dans la philosophie et l’organisation des contrôles.
  • Non superposition du contrôle interne (qui couvre une réalité plus large) et du contrôle financier.

5. Volontarisme ou démarche imposée

Le volontarisme se retrouve essentiellement dans des entités qui pratiquaient déjà du CI mais sans s’en rendre compte. Il s’agit par exemple de celles axées sur le versement de prestations sociales pour des montants totaux très importants. Dans ces cas c’est de manière plus intuitive que les contrôles à mettre en place étaient définis. Par conséquent ils ne découlaient pas toujours d’une identification fine des risques en amont.
La mise en œuvre systématique d’une démarche formalisée de contrôle interne (et de gestion des risques) s’est déclenchée directement ou indirectement dans le secteur public par des voies multiples:

  • décret du Premier Ministre;
  • élément d’une loi spécifique au secteur public (par exemple dès 1995 à Genève);
  • Code des obligations suisse pour le SCI lié au bouclement des comptes;
  • pression internationale (Sarbannes Oxley) et règles de bonne gouvernance;
  • autorités de surveillance : Autorité des marchés financiers français (AMF), FINMA, etc.;
  • besoins en contrôle de gestion (par ailleurs très développé en France);
  • organismes spécialisés comme l’IFACI (Institut français d’audit et de contrôle interne);
  • contrats de prestations signés avec des subventionnés;
  • nécessité de devoir rendre compte aux citoyens;
  • contraintes budgétaires;
  • dynamique créée par la Loi Organique relative aux Lois de Finances – LOLF;
  • impératifs de bonne gouvernance et de transparence;
  • pression des citoyens;
  • environnement qui se complexifie;
  • nécessité d’améliorer le service aux usagers.

6. COSO, méthodologies utilisées, niveau de maturité du SCI et visibilité du CI

Le Commitee of sponsoring Organizations of the Treawy Commission est l’initiateur (américain) du principal référentiel en matière de contrôle interne dans les secteurs privé et public. Après le COSO 1 et 2 qui, pour ce dernier est pratiqué de manière importante en France et en Suisse, un Numéro 3 vient juste de voir le jour. Notre première impression est favorable en tenant mieux compte notamment des réalités du monde des organisations. Les méthodologies sont quant à elles proches et les différences se jouent plus dans le détail voire liées à certaines spécificités propres aux deux secteurs publics.
Le débat est aussi ouvert en se limitant, nous semble-t-il, à la Suisse pour l’instant: Quel niveau de maturité du SCI faut-il atteindre? Sur les cinq niveaux connus il nous apparaît que la question se pose essentiellement entre le Standardisé et le Maîtrisé (ou Surveillé). Parfois on mentionne un Standardisé+ ou un Maîtrisé-.
Enfin il s’agit de voir quelle est la « visibilité » que l’on donner au CI (et à la gestion des risques si elle est séparée), par exemple par son rattachement puis sous sa forme : fonction structurée (ou pas) au niveau central, d’un département et/ou dans les services opérationnels?

7. Contrôle interne financier et/ou contrôle interne opérationnel

Même si ces deux facettes font partie intégrantes du SCI elles tendent à être distinguées. La première a souvent été un catalyseur pour la seconde. Principalement pour des motifs légaux et historiques, le contrôle interne a d’abord concerné le volet bouclement des comptes/états financiers. Dans un second temps il s’est diffusé sur l’opérationnel en cela répondant à la vision développée dans le COSO 3 même si beaucoup n’ont pas attendu cette clarification.
Néanmoins ce constat n’est pas absolu car le CI opérationnel était souvent déjà présent de manière moins formalisé et documenté d’une part, parfois le management de la qualité posait (et continue à le faire) de bonnes bases pour le CI d’autre part. Que peut-on dire de la Confédération:

  • Le Contrôle fédéral des finances et/ou les départements communiquent (déjà à Soleure en 2009) de différentes manières sur la gestion des risques et le CI.
  • Le DFAE indiquait dans le descriptif d’une annonce toute récente pour le recrutement d’un haut cadre : « …L’organisation de la gestion des risques et du système de contrôle interne (SCI) vous est familière. ».
  • La direction est prise pour un SCI au sens large cela d’autant que la base légale existe (Loi fédérale sur les finances) avec un niveau de maturité Surveillé (Maîtrisé).

En guise de première conclusion le lecteur a dû rapidement comprendre qu’il n’y a, à notre sens, aucune différence sur le fond ! Ce constat est en soi rassurant voire logique comme le COSO sert de référentiel commun. De plus les ouvrages [3] qui existent, au demeurant parfois ardus, ont au moins généralement le même tronc commun. In fine nous le laissons le lecteur seul juge en fonction de son propre vécu. Des différences de forme peuvent exister comme dans la manière d’implémenter la gestion des risques ou de la dissocier, ou pas, d’une démarche de contrôle interne.

Pour clore cet article, nous pensons essentiel de reprendre ces quelques lignes qui termine le Livre blanc et qui pourraient aussi résumer les motifs de réussite, de remise en question, ou de relatif échec tant dans la mise en œuvre et – surtout – de la maintenance:
En mot de conclusion, rappelons le caractère pragmatique de la démarche de gestion des risques et de contrôle interne. La mise en place d’un système de contrôle interne doit être proportionnée et adaptée aux enjeux et aux besoins. Elle a vocation de se cristalliser autour de l’expérience des agents sur le terrain. Une des principales qualités des animateurs du contrôleur interne est le bon sens! [page 85].


Sur l’auteur:

Benedikt Cordt-Møller est Dr ès sciences économiques et sociales. Présentement il est directeur du service du contrôle interne du département de l’emploi, des affaires sociales et de la santé (DEAS) au sein du Canton de Genève. Il a occupé divers postes de nature différente dans le secteur public majoritairement et privé.

[1] Le séminaire "Système de contrôle interne – Expériences dans la mise en place de contrôle interne dans les administrations publiques" organisé par l’Association pour les finances publiques et la comptabilité publique – 08.09.2009

[2] La gestion des risques et le contrôle interne dans les collectivités territoriales (Livre blanc) – DFCG & CGI – 2013 [cf. page 110 qui contient plusieurs références]

[3] Quelques ouvrages :
  • Comprendre et mettre en œuvre Le contrôle interne – J. Renard – Eyrolles – 2012
  • Contrôle interne (3ème édition) – F. Bernard, R. Gayraud, L. Rousseau – Maxima – 2010
  • 100 questions pour comprendre et agir Le contrôle interne – P. Noirot, J. Walter – Afnor – 2009
  • Le contrôle interne pour créer de la valeur ! – P. Noirot, J. Walter – Afnor – 2008
  • COSO. Référentiel intégré de contrôle interne. Principes de mise en œuvre et de pilotage – PWC, Eyrolles, ifaci – 2013