GESTION Gp
FINANCES PUBLIQUES
La Revue Fondée en 1921
CCOMPTABILITE
Normes et
pratiques comptables
dans la sphére publique
N° 9/10 - Septembre-Octobre 2014Nicolas GASNIER-DUPARC
Assoc Risk & Management Groupe Tuilet
Brigitte VAIRA-BETTENCOURT
Associée Commissaire aux comptes Groupe Tuilet
Spécialiste cu secteur public En charge du pdle audit secteur public
Le contrdle interne : outil de gestion des risques
et levier de performance.
Enjeux et spécificités de sa mise en oeuvre
dans le secteur public
Le contréle interne est devenu un élément clé dans la maitrise des risques
opérationnels de toute organisation. Pour autant, sa mise en ceuvre reste encore
trop souvent un exercice conceptuel. Au-dela d’un outil de gestion des risques,
intégré dans un systéme global de management, il constitue une réelle
opportunité de maitrise des activités et un véritable levier d'optimisation, a
condition d’en intégrer les bons modes de fonctionnement et réflexes.
e secteur public se caractérise entre autres
par un environnement dans lequel la
culture de supervision et de contréle
ordonnateur est moins développée que
dans d'autres secteurs. Ce manque, il faut le
reconnaitre, est bion souvent compensé par la
‘conscience du bien public et la mission de service
public dont sont invests les acteurs
Mais avant de développer tous les bienfaits du
contrdle interne dans la gestion des établis-
serments publics, econnaissons-lul un défeut de
naissance majeur, sa dénomination : contrdle
interne et pour éte plus précis le premier terme
de son nam, «contrdle »
LLacoeption couramment retenue dans la sphere
publique est bien souvent celle d’« inspection »
et percue en tant que telle comme une marque
de défiance du management, voire une pression
psychologique, en somme une pratique de
management ineffciente.
Cette vision restrictive est naturellement peu
propice au développement c'un contrdle interne,
‘pour autant indispensable a la réalisation de la
mission de service public comme nous le verrons,
Comme tras souvent, les techniques de gestion
etde management nous viennent des pays angio-
saxons qui les premiers ont développé leur
+ intemal control» faussement tracuit en frangais
par contrle interne.
En effets notian de « control »en anglais traduit
Une notion de maitrise plus que de contréle. Il
fout en fait comprencre le contrle interne
‘comme le dispositif mis en ceuvre pour maftriser
N° 9/10 Septembre Octobre 2014 / Gestion & Finances Publiquesses processus, son organisation et assurer la
réalsation de ses missions de service public. Le
contréle interne n'est done pas un dispositif de
contrdle et de verification, mais un dispositi
ppermettant & tout manager do créer un environ.
rnement de travail, qui soit propice & un dévelop-
ppement sécuisé et optimisé de ses activités
‘Aurdeld de la sémantique, apprenons donc le
connaite, 8 utiliser et 8 'évaluer avant de le
crtiquer voire de le rejeter.
EH Contréle interne et maitrise des risques
‘Qu’entend-on par contréle interne ?
Face des exigencesréglementairescrossantes, le
contrdle interne s‘impose désormais dans toute
‘organisation, De maniére générale, le contrél in
tere peut étre defini comme un ensemble de
ispositis mis en couvre par les resporsables et le
‘personnel d'une organisation pour mattriser le fonc-
tionnement etles résultats de leu activités et contr-
buer 3 utilisation effciente de leurs ressources,
Ilexiste de multiples definitions le plus souvent
données par des organisations professionnelles.
La definition la plus communément acceptée de
la notion de contrdle interne est celle proposée
parle COSO (Committee OF Sponsoring Organt-
zation) en 1992, et récemment mise a jour en
2013 Elle a le mérite de bien préciser les contours
de ce que recouvre le contiéle interne
« Le contréle intemne est un processus mis
en ceuvre par (e Conseil d’administration, la
Direction Générale, la hiérarchie, le personnel
d'un établissement et destiné fournirune assu:
rance raisonnable quant & la réalisation d‘objec-
tifs suivants:
—Réalisation et optimisation des opérations
Fiabilté des informations fnancidres
~ Conformité aux lois et aux réglementations en
vigueur.»
Cette definition confirme bien nos propos arguant
du faitque le contrdle interme n’est pas un simple
dispositif de contrdle, mais bien un processus
famélioration continue et de maitrse des pro:
ccessus opérationnels. Il consttue, comme le pré-
cise le cadre conceptvel, un « moyen darriver &
ses fins, et non pas une fin en soi.
Il est cYailleursintéressant de noter que des tois
objectifs cités, le premier est la réalisation et
optimisation des opérations. Cela sigifie ni plus
ri moins que le contréle interme s‘adresse en
premier lieu au management de proximité. I
Constitue pour ce demier un outil lui permettant
cforganiser son périmatre de responsabilité de ma-
rire & remplirlarrission quiluia été assignée, tout
er1optimisant les moyens que la colecivité pubique
lui met disposition et dontil est comptable
Par aillous, le contrdle interne ne se résume pas,
comme bien souvent on veut le caricature, un
corpus de procédures et de régles figées, C'est
tn processus de progrés continu qui vit travers
les incivicus quile mettent en ceuvre, Il est porté
et incarné par ensemble du personnel, & tous les
niveau de la hiérarchie de organisation,
Entin il est important de souligner que le contréle
inteme doit apporter une assurance raisonnable
et non pas une assurance absolve.
Le cadre de référence
Le contréle interne est devenu un paint de pas-
sage obligé, incontournable face aux exigences
réglementaires croissantes et a la pression
des contrdleurs externes (Centficateurs, Audits
externes, Cour des comptes, IGAS...)
Intioduit dans les années 80, le contre interne @
\éritablement pris son essor dans es années 2000
2 la suite des nombreux scandoles financiers et
comptables, De nowreles lois et églementations
ont instaurées (Loi de Sécurité Financier (LSP),
Sarbanes-Oxley Act (50%), 4, 7* et 8 Diractives
européennes...) imposant aux organisations une
nouvelle gouvernance et une meilleure cornmuni-
cation en matiére de gestion des risques et
contrdle interne.
Face & ce souci de sécurisation et de transpa-
rence, la Loi Organique relative aux Lois de
Finances {LOLF), adoptée en 2001 et son appli-
cation en 2006, est venue campléter le dispositif
en introduisant obligation de contre interne
pour les entités du secteur public.
(Cestextesimposent utilisation d'un cacke concep:
‘uel mais ne citent aucun référentiel, Des standards
francais ont été développés en France (Ordre des
Experts Comptablas en 1977 et Autorité des Mar-
chés Financiers en 2006). Cependant, le COSO
reste, en matire de contrdle interne et de mane-
cgerent des risques, le référentie e plus courarn
ment utilisé. propose un cadre conceptuel et un
guide méthodalogique.
Pour le secteur public, les référentiels proposés
parla DGFIP (Référentiel de contidle interne de
Etat, Circulaires CICF, Audit interne...) et le dé-
IN 9/10 Septembre Octobre 2014 / Gestion & Finances Publiques
HU
35o//
COSO, un référentiel reconnu et évolutif
COSO ‘Committee OF Sponsoring Organizations of the Treadway
Commission) est une commission & but non lucratif ayant insttué aux
fnats-Unis en 1992 le premier standard de controle inteme « Internal
Control ~ Integrated Framework », econnu au plan international
(€OSO 2013 est la mise & jour de COSO 1, complétant sa definition par
17 principes elés aidant sa mise en oeuvre.
COSO 2 a introduit en 2002 un cadre de référence pour un systéme de
‘management global des risques (Enterprise Risk Management Framework)
cret GBCP reletif la gestion budgétaire et comp-
table publique, ontintroduit une vraieréforme de
la démarche de contréle interne au sain de la
sphere publique. tls s'appuient notamment surles
rélérentials du COSO,
Orientés au départ surla fraude, la protection des
ressources et la sincérité de information comp=
table et financire, les nouveaux standards du
contréle interne ont désormais comme ambition
de favoriser la réalisation efective d'objectfs stra-
tégiques et la mattrise des risques associé,
Le fameux « Cube COSO » (cf. figure 1) denne une
vision « 3D » du systéme de gestion des ques avec
trcis axes danalyse distinct : objec, compo
sants du contéle interne et structures de orga
Figure 2
ers des risques défini par le FERMA
igure 1~Le « Cube COSO »
nisrme. Cela permet de téconcilie la vision mana-
‘ériale des risques ota vision opérationnelle
Le périmatre des risques
Le risque peut atre défini de manire générale
comme un événement susceptible d'empéchar
Vattente des objecifs de organisation Il convient
sinsi identifier tous les événomonts suscopibles
d'avoir un impact sur les objectits définis (straté-
iques, opératonnels financiers, conforms.) et
dle courirlstoalté du périmatre activité
ERENT
Cito tucaa ls
ORIGINE EXTERNE
36
9/10 Septembre-Octobre 2014
Source ERMA
Gestion & Finances PubliquesLa notion d« Univers de risques » est essentialle
pour identifier les risques majeurs, préalable
indispensable & la mise en place du systime
de contréle inteme, Le management des risques
tol que entend le COSO 2 couvre un spectre de
risques trés large qui peut éte ilustré par funivers
des risques produit par le FERMA (Federation
of European Risk Management Associations)
Stratégiques, Opétationnels, Financiers et Pétils,
Le matrise des risques opérationnels telle que
Ventend le COSO 1 du contréleinteme se focalise
uniquement sur les risques opérationnels issus
des processus (ef, encadré figure 2)
lune approche méthodologique rigoureuse
Les étapes du déploiement
du contréle interne
La culture de contréle interne ne se décréte
pas et s‘inscrit dans la durée. Lenvironnement
de contréle interne constitue un pré-requis
incontournable, C'est un élément majeur de
la culture d'une organisation.
Le contre interne sexprime désormais dans une
vision plus large, comme élément de maitrise de
activité. Il ne se limite plus & une fonction de
contrdle et joue un réle clé dans la conduite et
le pilotage des activité. IIcontribue & améliorer
Veffcacit lige & certains processus décisionnels.
La gestion publique inrockitepar ls LOLFanotam-
‘ment conduit limiterla place du contéle préalable
de conforrité effects par es contyleurs financiers
ulproft oun contréle a posterioride Vefcacité de
la gestion et dela dépense publique.
Cest une évolution importante de la démarche
de contréle, Traditionnellement, les contrdles
sefaisaiont de maniére ponctuele comme des au-
dits, Dans une démarche de contrdle interne, on
cherche & mettre en place des contrdles perma-
nents, qui doivent vivre dans toute lorganisation.
Deux points clés du déploiement sont donc la
notion de « dispositifousysteme » et de « perma-
rence des contréles »
En pratique, la mise en ceuvre d'un dispositif de
maitrise des risques reste complexe, nécessitant
une approche méthodologique ‘rigoureuse,
conforme aux bonnes pratiques de la place, et la
rmattrise des outils associés. Il ne faut pas nier la
dimension technique du contrdle inteme. Il néces-
site une organisation structurée, des outils et
Lune bonne gouvernance. Le déploiement d'un
systéme de gostion des risques se gére en
‘mode projet. La composante «Animation et Plo-
tage » est une des concitions essentielles dans la
‘ussite de la mise en ceuvre du dapositit
Si 'on se référe & la pyramide du COSO 1 (ef.
figure 3}, qui a le mérite de bien structurer
les étapes, on distingue traditiomellement cing
composantes du contrdle interne
Figure 3 - La pyramide du contrdle interne COSO 1
Ces composantes procurent un cadre pour
décrite et analyser le contre interne mis en place
dans une organisation, Ils'agit de
—Henvironnement de contrdle, qui correspond,
pour l'essentiel, aux valeurs diffusées dans lor
gatisation @);
~ Véveluation des risques 'aune de leurimpor-
tance et fréquence (@;
— les activités de contrdle, définies comme les
ragles et procedures mises en ceuvre pour trai-
ter les risques, le COSO imposant la material
sation factuelle des contrdles (@);
le pilotage et la supervision, cest-dcire le
«contre du contre» interne
—linformation et a communication, qu'il sagit
doptimiser (@)
La réalisation de l'ensemble des phases est
nécessaire pour le déploiement complet, la
dlemiére phase étant constituée par''anayse des
résultats et a proposition d actions correctives
(On distingue traditionnellement deux phases
tune premiere phase d'stats des lieuxet ‘analyse
N° 9/10 Seplembre-Octobre 2014 / Gestion & Finances Publiques
Me
37W//
38
etune deuxiéme phase d évaluation et d'optimi-
sation du systéme. Le déploiement de la seconde
phase ui induit implication des services opéra-
tionnels est souvent plus longue et plus delicate
8 mettre en place.
Reconnaitre la complexité
déploiement d’un de
contréle interne dans le secteur public
Déployer un dispositif de contrdle interne au sein
lun établissement public, nécessite, dans un pre-
rmier temps, ce bien traduire son organisation in-
teine et ses missions & travers une cartographie
des processus. Dans un deuxidme temps, ces pro-
cossus de management métier et support sont
décrits de maniére a faire apparaitre les acteurs,
les systarnes d'informations sollicités et 'enchai-
nement des taches.
Phase 1 : Etat des lieux
Ubjectf est de mete en eohérence les actions
de maitrse avecles risques
Cet exercice doit couvrir aussi bien le champ de
Vordonnateur que celui du comptable. En effet,
Vanalyse des risques et de le performance ne
sorte pas & la frontiére des responsabilités
defines par décret de ces deux acteurs, qui sont
cenla matire co-tesponsables du déploiement et
de l'eficacité du dispositif de contrdle interme.
La notion de bonne pratique est fondarentale.
Ello est au coour de toutes ces démarches. C'est
ce que tout professionnel expériments « sat quil
devrait mettre en ceuvre mais qu'lln'spplique pas
toujours»
Un point de vigilance est d'intégrer a cartogra
phie des systémes d'information et de tenir
compte des contréles embarqués. Bien souvent,
nous observons que le systéme d‘information est
largement sous utilisé dans un objectifde maitrise
des risques. II constitue a contrario souvent un
facteur de risque plus qu'un élément de maitise.
Dans cet exercice, les établissements publics se
trouvent souvent confrontés 8 des dificutés qui
sont propres a leur organisation et qui rendent
perfois difficile soit cette description, sot a defi-
nition du contour des activités qui doivent étre
décrites. Par exemple, ilartive que des établisse-
ments utlisent des systémes d'information, pour
tant coeur de métier, mais qui sont développés et
rmaintenus par d'autres structures indépendantes,
ou encore que des établissements mettent en
delegation ou sous mandet de gestion tout ou
partie de leurs processus meétiers, mais aussi, is
se trouvent confrontés la complenité de la régle-
entation applicable & leur domaine dactivte
tatilication, modalits d'octii d aides, champ de
compétence, ce qui rend parois complexe a des-
cription des taches... Ces éléments devront ire
intégrés méme si ces demniers ne sont pas direc-
tement maitrisables par 'établisserent et sous $0
responsabilité direct. Il comviendra, aors,de trouver
cles reais, des pratiques et des solutions perfoisin-
navantes pour matter son risque « 8 distance »
Une phase essentielle : construire la
cartographie des risques
La cartographie des risques estle sacle de toute
démarche de contréle interne, La qualité du
eksposiil repose en effet sur la complétude et le
pertinence dela cantographie
Pour autant, 'objectif& travers le systéme de ges-
tion des risques ast de mesurer le risque résiduel
2 travers une assurance raisonnable, lI convient
done de ne pas vouloir étre trop exhaustit
et de cibler les risques clés, stratégiques pour
Vrorganisation,
En effet, lexercice d’analyse des risques dans le
secteur public, notamment sur les processus,
métier est souvent rendu difficile a la fois du fait
de lunicité de activité qui rend impossible tout
parangonnage avec les standards métiers qui
existent dans le pri, mais aussi par Vorgenisation
parfois complexe. Pour les pallier, il convient
de réaliser une analyse des risques qui croise
plusieurs sources,
La certographie des risques, établie selon une