note d’Évaluation du contrÔle interne

1

72113

COUR DES COMPTES

QUATRIEME CHAMBRE

TROISIEME SECTION

NOTE D’ÉVALUATION DU CONTRÔLE INTERNE

MINISTÈRE DE LA JUSTICE

Article R. 143-9 du code des juridictions financières

5 mars 2015

2

SOMMAIRE

PARTIE I : LA GOUVERNANCE ET LE PILOTAGE DU CONTRÔLE INTERNE ...................................................................... 9

I. LA STRUCTURE DE GOUVERNANCE DU CONTROLE INTERNE ................................................ 9

II. LA STRUCTURE DE PILOTAGE ET D ’ANIMATION DU CONTROLE INTERNE ............................ 12

PARTIE II : LES OUTILS DU CONTRÔLE INTERNE ET LA DOCUMENTATION DES DISPOSITIFS ......................................... 16

I. LA CARTE DES PROCESSUS MINISTERIELS ........................................................................ 16

II. LA CARTE DES RISQUES MINISTERIELS ............................................................................. 18

III. LE PLAN D’ACTION MINISTERIEL ..................................................................................... 22

IV. LE REPORTING DES CONTROLES ....................................................................................... 26

V. LE DEPLOIEMENT DE DISPOSITIFS DE CONTROLE INTERNE ADAPTES A L ’ENVIRONNEMENT ........................................................................................................ 29

PARTIE III : L’APPRÉCIATION PAR LE MINISTÈRE DU DEGRÉ DE MATURITÉ DES DISPOSITIFS DE CONTRÔLE INTERNE ......................................................................................... 32

I. L’ ECHELLE DE MATURITE DE LA GESTION DES RISQUES COMPTABLES ET FINANCIERS (EMR) ........................................................................................................ 32

II. LA FONCTION D ’AUDIT INTERNE MINISTERIEL ................................................................. 33

PARTIE IV : LE DEGRÉ DE MATURITÉ DU CONTRÔLE INTERNE DANS LES SERVICES DÉCONCENTRÉS ET DANS LES ÉTABLISSEMENTS PUBLICS DE L’ÉTAT .................. 36

I. LE DEGRE DE MATURITE DANS LES SERVICES DECONCENTRES .......................................... 36

II. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES ETABLISSEMENTS PUBLICS DE L ’ETAT ......................................................................................................... 39

3

SYNTHÈSE

Le 20 mai 2014, la Cour s’est, pour la huitième fois, prononcée sur les comptes de l’Etat soumis à ses vérifications. Cet exercice a été marqué par la reconduction d’une réserve substantielle et transversale sur les dispositifs ministériels de contrôle et d’audit interne.

La Cour se trouvait en effet dans l’impossibilité de s’appuyer sur les dispositifs de maîtrise des risques déployés dans l’administration pour acquérir une assurance raisonnable sur la qualité des comptes de l’Etat. La Cour relevait ainsi que « la levée de la réserve formulée de manière constante par la Cour depuis 2006 suppose que les administrations soient en mesure de s’engager sur l’effectivité et l’efficacité des dispositifs de maîtrise des risques sur les processus de gestion à enjeux financiers significatifs au sein de leurs périmètres de responsabilité respectifs. Cet engagement doit impérativement reposer sur des travaux conduits plus particulièrement par les structures chargées de l’audit interne, pour tout ou partie des processus de gestion, permettant de l’étayer par des éléments probants suffisants pour permettre à la Cour d’en apprécier le bienfondé »1. Le contrôle interne est défini2 comme l’ensemble des dispositifs ou processus organisés, formalisés et permanents, choisis par l’encadrement et mis en œuvre par les responsables de tous niveaux pour maîtriser le fonctionnement de leurs activités en vue, notamment, de fournir une assurance raisonnable quant à la régularité, la sincérité et la conformité des écritures comptables aux faits à décrire (« image fidèle »). La description de ces activités doit permettre d’identifier les risques qui s’y attachent afin de mettre en œuvre des actions visant à les maîtriser.

Dans ce contexte, l’instruction de la présente note d’évaluation du contrôle interne (NEC) du ministère de la justice pour l’exercice 2014 a été conduite de septembre à décembre 2015. L’instruction s’est appuyée sur des entretiens, des questionnaires et des visites sur place dans les services centraux comme dans les services déconcentrés des trois réseaux du ministère.

La mission Justice comprend six programmes et finance : l’organisation et le fonctionnement des juridictions (programme 166 – Justice Judiciaire) ; les services pénitentiaires (programme 107 – Administration pénitentiaire) ; et la protection judiciaire de la jeunesse (programme 182 – Protection judiciaire de la jeunesse). Ces trois programmes rassemblent 90 % des crédits du ministère, qui était doté en 2014 de 7,8 Md€ (CP, LFI 2014). Par ailleurs, deux programmes transversaux portent d’une part, les crédits de la politique d’accès au droit et à la justice, et d’autre part, les fonctions d’état-major et législatives. Enfin, un programme est dédié au conseil supérieur de la magistrature3. Deux comptes de commerce lui sont également rattachés : la cantine des détenus et travail dans le cadre pénitentiaire et la régie industrielle des établissements pénitentiaires. En outre, le ministère intervient comme Rbop sur le programme 723 - compte d’affectation spécial, relatif à l’immobilier de la justice, et sur le programme 129 relatif aux crédits de la Mildt.

Tout en ayant un périmètre limité, son budget n’atteignant que 2,52 % du budget total de l’Etat en 2014, le ministère de la justice constitue néanmoins une priorité de l’action gouvernementale et voit ses dotations augmenter. À ce titre, la maîtrise par le ministère de ses processus, notamment ses processus comptables et budgétaires, apparaît comme un enjeu majeur.

1 Acte de certification des comptes de l’Etat de l’exercice 2013, paragraphes 120 et 121. 2 Id. paragraphes 114 et 115. 3 Programme 101 - Accès au droit et à la justice ; Programme 310 - conduite et pilotage de la

politique de la justice ; Programme 335 – conseil supérieur de la magistrature.

4

Au niveau comptable, l’exercice 2014 est marqué par l’aboutissement de la régionalisation de l’organisation comptable, avec la mise en place de la PFI de Paris en 2014. Cependant, le schéma d’organisation comptable n’intègre pas encore les fonctions comptables des services judiciaires aux plateformes existantes, même si cette évolution est désormais envisagée. De nouveaux circuits de gestion ont été mis en place, notamment pour réguler les frais de justice, ainsi que de nouvelles formes de traitement de la dépense (dématérialisation des factures, carte achat). De nouveaux modules de traitement des dépenses ont été intégrés, conformément à de précédentes recommandations de la Cour (Chorus DT, évolution de certaines régies).

Le Ministère a poursuivi, en 2014, le déploiement des outils de la DGFIP portant sur le contrôle interne comptable. D’importants efforts ont été fournis et de nombreuses recommandations précédentes de la Cour peuvent en conséquence être levées. Ainsi, le calendrier du pilotage du contrôle interne comptable est stabilisé, une carte des processus a été créée, les indicateurs AIFE sont suivis, le déploiement des EMR a été accéléré, et un outil de suivi de recommandations de l’IGSJ permet d’apprécier la mise en œuvre de ses recommandations.

Toutefois, la mise en œuvre du contrôle interne ne permet pas encore à la Cour d’affirmer que les dispositifs en place au ministère lui permettent de maîtriser suffisamment les processus de gestion à enjeux financiers. Le contrôle interne n’est pas encore reconnu par tous acteurs au sein du ministère comme un instrument de transparence décliné à chaque niveau du ministère, au service de la performance des programmes et de la modernisation du ministère et permettant de résoudre les problèmes de gestion identifiés. L’appropriation de ces outils par les instances de gouvernance et non plus seulement par la structure de pilotage apparaît comme une condition préalable à un nouvel effort de pédagogie et de simplification de ces outils. Elle nécessite une meilleure implication des directions du ministère, autour du secrétaire général, eu égard au rôle que lui confère le décret du 24 juillet 2014. L’élargissement de l’analyse des risques au périmètre « métier », qui est envisagé par le ministère, pourrait aller de pair avec cette appropriation des outils du contrôle interne à un niveau stratégique. Ce retard dans la mise en œuvre effective des instances de gouvernance pour le contrôle interne comme pour l’audit interne et l’absence d’extension du domaine du contrôle interne aux missions spécifiques du ministère expliquent que la « notation synthétique » du ministère (1,31) régresse légèrement entre les exercices 2013 et 2014, en dépit de la levée de nombreuses recommandations (sous les réserves méthodologiques mentionnées ci-dessous).

L’analyse des risques et, plus largement, les outils du contrôle interne et l’audit interne restent en effet, à ce jour, cantonnés au périmètre comptable. Les cadres de structuration du contrôle interne mis en œuvre par les structures de gouvernances de plusieurs établissements publics sous la tutelle du ministère (AGRASC, APIJ) apparaissent toutefois comme des exemples intéressants d’intégration des périmètres métiers à la démarche de maîtrise des risques au service de l’efficacité des organisations.

Enfin, l’effort qualitatif, engagé en 2014 pourrait être poursuivi. L’accent devrait être mis sur la construction et la diffusion, par les directions centrales « métiers », de plans de contrôles simples et adaptés au ministère, pour limiter les risques de sous-contrôles ou à l’inverse la multiplication de contrôles inadaptés ou redondants. Ce travail pourrait être conduit sur des processus ciblés (commande publique, rémunérations par exemple) ainsi que par la remontée des résultats des contrôles. À l’inverse, le niveau de diffusion de certains outils (EMR notamment) pourrait, au moins temporairement, être réévalué afin de recentrer les services sur la mise en œuvre des contrôles ainsi organisés et sur le reporting de leurs résultats auprès des instances de gouvernance. Le dispositif de contrôle interne doit désormais faire la preuve de son efficacité, qui reste une condition de son acceptabilité à tous niveaux.

L’audit interne du ministère a atteint en 2014 un niveau de professionnalisation élevé et constitue un réel atout pour le ministère, qui devra trouver le moyen de capitaliser sur cette

5

expertise pour diffuser la culture et les outils de la maîtrise des risques au sein de l’inspection comme du ministère, dans le respect de son indépendance.

La NEC reconduit cette année le principe d’une cotation permettant d’illustrer la maturité du dispositif de maîtrise des risques au sein de chaque ministère. La cotation est comprise entre 0 (« absence de mise en œuvre ») et 2 (« mise en œuvre »), sauf pour certains items, qui, en raison de leur importance ou de leur complexité, peuvent être cotés à 3 (« point fort »). Par ailleurs, une cotation de 1,5 a été introduite pour restituer les cas de « mise en œuvre partielle ».

En outre, quelques évolutions sont à souligner par rapport à la cotation figurant dans la NEC 2013 :

- les grilles relatives à l’organisation des services et aux systèmes d’information ont été supprimées, fixant ainsi à 11 le nombre de grilles retenues, contre 13 l’année dernière ; - si la plupart des grilles ont les mêmes intitulés, le nombre et la dénomination des items les composant ont pu changer, afin d’affiner les attentes de la Cour et de mieux apprécier les progrès des ministères.

En conséquence, la comparaison des cotations de 2013 et de 2014 doit être relativisée.

7

SYNTHÈSE DES RECOMMANDATIONS

n° Objet de la recommandation Nature* Priorité

1 Donner au comité de maîtrise des risques un fonctionnement effectif dans l’analyse des risques, la validation des outils de pilotage et la conduite des actions correctrices.

A 1

2 Diffuser plus tôt dans l’année les feuilles de route et les outils permettant aux services d’améliorer les processus clefs et les modalités de leur contrôle.

A 3

3 Recentrer le comité de pilotage de mi-année sur les résultats des contrôles sur les processus clefs identifiés en amont ainsi que sur les outils diffusés par la centrale, et adaptés au ministère.

A 2

4 Simplifier la carte des processus de manière à la rendre plus opérationnelle et l’adapter aux spécificités métiers du ministère.

A 1

5 Adopter une présentation de la carte des risques plus synthétique et permettant d’identifier les risques majeurs du ministère.

A 1

6 Recentrer le plan d’action ministériel sur un nombre plus restreint d’actions portant prioritairement sur la préparation par les services centraux des directions métiers, et avec l’appui du RTM, de référentiels de contrôle interne et sur leur déclinaison dans les services déconcentrés.

A 1

7 Mettre en place un dispositif de reporting informant la structure de gouvernance du résultat des actions de maîtrise des risques.

A 1

8 Développer les référentiels de contrôle propres au ministère de manière à faciliter le travail de mise en œuvre des contrôles et des actions de maîtrise des risques par les services opérationnels et limiter les risques de sous-contrôle comme de contrôles inefficaces.

A 1

9 Mettre en place au niveau déconcentré des partenariats avec la DGFIP, de manière à l’associer au mieux à ces contrôles et à l’informer de leurs résultats.

B

(2011/13)

3

10 Faire fonctionner le CMAI de manière effective. B

(2013/20)

1

11 Recentrer le déploiement des outils d’évaluation et de reporting du CIC sur l’échelon interrégional.

A 2

8

12 Mettre en place un cadrage national des points de contrôle articulant CSP et SP sur le processus commande publique et coordonnant mieux les contrôles contemporains et les contrôles a posteriori et faisant apparaître les points de contrôle et les méthodes de contrôle.

A 2

13 Développer les actions de formations à l’outil Chorus notamment à destination des personnels contractuels des plateformes Chorus et des PFI.

A 2

14 Formaliser les résultats des contrôles de manière à mettre en place un suivi des erreurs par type d’anomalies.

A 3

(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre (B), reconduite car non mise en œuvre (C)

(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3)

Suivi des recommandations – Ministère de la justice

Total recommandations NEC 2013 a 20

Recommandations de 2013 non suivies en 2014 b -2

Recommandations de 2013 levées en 2014

(car mises en œuvre ou sans objet) c -18

Recommandations de 2013 reconduites en 2014 d=a

+b+c=e+f +2

car partiellement mises en œuvre e +2

car non mises en œuvre f 0

Recommandations nouvelles en 2014 g +12

Total recommandations NEC 2014 h=d

+g=i+j+k +14

Priorité 1 i +7

Priorité 2 j +4

Priorité 3 k +3

9

PARTIE I : LA GOUVERNANCE ET LE PILOTAGE DU CONTRÔLE INTERNE

La structure de gouvernance ne s’est pas réunie depuis sa création. En pratique, les missions qui lui ont été confiées ont été assumées par la structure de pilotage, qui ne peut pourtant se substituer à elle, et pour le seul périmètre comptable.

L’organisation et le fonctionnement de la structure de pilotage paraissent en revanche stabilisés. L’organisation du contrôle interne comptable repose sur un réseau étendu de référents (PFI, opérateurs, référents locaux) qui partage les mêmes outils.

I. LA STRUCTURE DE GOUVERNANCE DU CONTROLE INTERNE

A. LES PRINCIPALES EVOLUTIONS CONSTATEES EN 2014

Le comité ministériel de maîtrise des risques ne s’est pas réuni depuis sa création alors qu’il tient en théorie une place centrale dans la définition des objectifs du contrôle interne, dans l’évaluation des risques et le suivi et la mise en œuvre des actions correctrices. La Cour ne peut donc porter aucun regard sur son action.

B. L ’ORGANISATION ET LE FONCTIONNEMENT DE LA STRUCTURE DE GOUVERNANCE

Le décret 2011-775 du 28 juin 2011 relatif à l’audit interne dans l’administration avait défini le contrôle interne comme « l'ensemble des dispositifs formalisés et permanents décidés par chaque ministre, mis en œuvre par les responsables de tous les niveaux, sous la coordination du secrétaire général du département ministériel, qui visent à maîtriser les risques liés à la réalisation des objectifs de chaque ministère ».

Les ministères ont mis en place des structures de gouvernance du contrôle interne adaptées à la politique de maîtrise des risques, au pilotage et à la coordination du déploiement du contrôle interne comptable sur l’ensemble des métiers et des activités du ministère

En application de ce décret, le comité ministériel de maîtrise des risques (CMMR) du ministère de la justice a été créé par l’arrêté du 14 août 2013. Il est composé du secrétaire général et des directeurs du ministère4. Il est également prévu que l’inspecteur général des services judiciaires et le responsable de la mission ministérielle d’audit interne assistent aux réunions du comité. Cet arrêté assigne au CMMR la responsabilité de définir la politique de contrôle interne sur les risques liés à la gestion des politiques publiques dont le ministère a la charge, d’établir la cartographie des risques du ministère et de veiller au développement des dispositifs de contrôle interne permettant de maîtriser ces risques. Il est également chargé d’examiner le programme des audits ministériels élaboré par la mission ministérielle d’audit interne (infra).

Celui-ci ne s’est pourtant encore jamais réuni depuis sa création. Aucune date ultérieure de réunion de cette instance n’était arrêtée en décembre 2014. Ce comité doit pourtant jouer un rôle déterminant dans la mise en œuvre efficace du contrôle interne, dans la stratégie de son

4 Article 2 du décret du 14 août 2013 portant création du comité ministériel de maîtrise des risques, du comité ministériel d’audit interne et de la mission ministérielle d’audit interne du ministère de la justice.

10

déploiement, l’implication des directions, au plus haut niveau étant un gage de l’appropriation par les acteurs des objectifs et des outils du contrôle interne.

Ainsi, le contrôle interne du ministère de la justice est encore limité au seul contrôle interne comptable, dans le respect des instructions de la DGFIP. Le décret du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique a en effet, plus spécifiquement s’agissant du contrôle interne comptable, confié au responsable de la fonction financière ministérielle (RFFIM) le soin de s’assurer de la mise en place du contrôle interne pour l’ensemble de l’activité ministérielle ayant un dénouement en comptabilité générale.

L’impulsion du RFFIM est relayée, au plan opérationnel, par le référent contrôle interne ministériel. L’arrêté du 31 décembre 2013 relatif au cadre de référence interministériel du contrôle interne comptable, pris en application de l’article 170 du décret n° 2012-1246 précité, définit le contrôle interne comptable comme un « sous-ensemble du contrôle interne de l’Etat » : « l’ensemble des dispositifs formalisés et permanents qui visent la maîtrise des risques afférents à la poursuite des objectifs de qualité des comptes de l’Etat, depuis le fait générateur d’une opération jusqu’à son dénouement comptable ». C’est dans ce cadre strict que les actions du ministère relevant de la maîtrise des risques se sont inscrites jusqu’à présent. Les missions qui devraient relever de l’instance de gouvernance ont en pratique été portées par l’instance de pilotage (infra).

Le fonctionnement effectif de l’instance de gouvernance du ministère, conformément à l’arrêté du 14 août 2013, apparaît pourtant comme une étape indispensable à la mise en œuvre effective du contrôle interne. Celui-ci doit en effet être positionné à un niveau stratégique, apte à évaluer les risques à la lumière des objectifs d’ensemble du ministère, bien au-delà de la seule qualité comptable qui n’est qu’un sous-ensemble de la « sincérité des comptes » telles que la Cour l’apprécie dans le cadre de sa mission de certification.

Source : ministère de la justice

Mission ministérielle d'audit interne (MMAI)

(Arrêté 14/08/13)Attachée à l'IGSJ

Propose et met en oeuvre les orientations du CMAI- propose le

programme et assure suivi activités audit en lien avec services- Veille à

la diffusion bonnes pratiques AI

Mise en place dispositif d'audit interne MJ confiée à l'IGSJ (Décret 740-14/08/13)L'IGSJ exerce une mission permanente d'animation, de coordination et de réalisation de l'audit interne

Définit la politique d'audit, s'assure de la qualité du dispositif de CI, approuve le programme audits et veille au suivi des actions décidées

Définit la politique de CI, établit la cartographie des risques, veille au développement des dispositifs de CI,

examine le programme des audits

FONCTIONNEMENT DE LA GOUVERNANCE ET DE L'AUDIT

Comité ministériel de maîtrise des risques (CMMR) du MJ(Arrêté 14/08/13)SG + Directeurs

Y assistent : IGSJ + resp. mission ministérielle audit

Comité ministériel d'audit interne (CMAI) placé auprès du ministre justice

(Arrêté 27/03/14)GDS + IGSJ + SG + CBCM + 2 personnalités extérieures

Inst

ance

s de

gou

vern

ance

et d

'aud

it

11

1 - LA STRUCTURE DE GOUVERNANCE DU CONTRÔLE INTERNE

N° Critères d’évaluation Cotation Appréciation synthétique

1

Un comité ministériel de maîtrise des risques a été mis en place au sein du ministère et sa composition garantit l’indépendance du contrôle interne vis-à-vis des structures d’audit interne. Ce comité est directement rattaché au plus haut niveau de l'organisation (secrétaire général).

2 L'arrêté du 14 août 2013 crée le comité

ministériel de maîtrise des risques au ministère de la justice.

2 Ce comité de maîtrise des risques s'est régulièrement réuni en 2014 et il a eu un fonctionnement effectif.

0 Le comité de maîtrise des risques ne s'est

jamais réuni.

3

Ce comité de maîtrise des risques a examiné et validé les outils ministériels de pilotage actualisés au titre de l’exercice 2014 (carte des processus, carte des risques, plan d’action ministériel, reporting).

1 Les outils de maîtrise des risques ont été

examinés par les instances de pilotage, mais pas au niveau requis.

4

L’organisation retenue prévoit un recueil des décisions d’orientation prises par le comité de maîtrise des risques en lien avec le reporting.

1

Il n'y a pas de recueil de décisions d'orientation prises par le comité de maîtrise des risques mais un relevé des échanges de la

structure de pilotage.

5

Les orientations ministérielles sont formalisées dans des feuilles de route diffusées par la structure de pilotage à l'ensemble des directions.

2 Des orientations ministérielles sont

formalisées par la structure de pilotage et diffusées aux directions.

C. RECOMMANDATIONS

° Objet de la recommandation Nature* Priorité**

1 Donner au comité de maîtrise des risques un fonctionnement effectif dans l’analyse des risques, la validation des outils de pilotage et la conduite des actions correctrices.

A 1

(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre (B), reconduite car non mise en œuvre (C).

(**) Gradation du degré de priorité de mise en œuvre des recommandations : forte (1), moyenne (2), faible (3).

12

II. LA STRUCTURE DE PILOTAGE ET D’ANIMATION DU CONTROLE INTERNE


Pour tenir compte des exigences du décret GBCP, de nouveaux référents pour le contrôle interne comptable ont été désignés : un référent des services du secrétariat général, des référents sectoriels sur des problématiques transverses (ressources humaines, systèmes d’information) ainsi que des référents des organismes rattachés, nouveaux (EPLFI, EPNHP, AGRASC).

Les ETPT dédiés à la mise en œuvre du contrôle interne sont en augmentation depuis 2012 et atteignent 29 ETPT.

B. L ’ORGANISATION ET LE FONCTIONNEMENT DE LA STRUCTURE DE PILOTAGE ET D’ANIMATION

Le pilotage et l’animation du contrôle interne relèvent de la secrétaire générale adjointe, qui a été désignée responsable de la fonction financière ministérielle (RFFIM), par arrêté du 28 mars 2014 en application du décret du 7 novembre 2012.

Elle est appuyée par le responsable du bureau du contrôle de gestion et de la qualité comptable, qui assure au titre de sa mission de référent technique ministériel (RTM) le suivi, l’animation et la synthèse du contrôle interne comptable ministériel. Il prépare la carte des risques ministériels, et le plan d’action et assure le suivi de leur mise en œuvre. Depuis 2013, le RTM est également le référent technique directionnel des plates-formes interrégionales (PFI) qui relèvent du secrétaire général.

Les référents techniques directionnels (RTD) sont désignés dans les réseaux pour assurer le suivi, l’animation et la synthèse du contrôle interne comptable.

Depuis cette année, des référents techniques sectoriels (RTS) sont chargés de ces missions dans les services centraux et dans les entités déconcentrés ainsi qu’auprès des opérateurs et organismes relevant du ministère. Conformément au décret GBCP, des « organismes », non opérateurs ont été joints au dispositif pour la première fois en 2014 : l’Établissement public national d’exploitation du Livre Foncier Informatisé (programme 166), l’Établissement public national hospitalier pénitentiaire (programme 107) et l’AGRASC (programme 310).

Au niveau local, les responsables financiers ont été désignés « référents techniques locaux » (RTL) au niveau de certaines cours d’appel

En l’absence de fonctionnement effectif de l’instance de gouvernance, un comité de pilotage assume les missions relevant, en principe de l’instance de gouvernance (validation de la carte des processus et des risques, du plan d’action). Présidé par la SGA, le comité est composé des principaux RTD, de représentants du CBCM et de l’IGSJ, des sous-directeurs des réseaux en charge des moyens généraux et de plusieurs représentants des services du SG.

En 2014, le comité s’est réuni à deux reprises, en janvier à l’occasion de la présentation du bilan du CIC et de la réalisation des actions du plan d’action ministériel pour 2013 et en juin à l’occasion de la présentation du bilan de mi-étape des travaux du contrôle interne comptable. Avant chaque réunion de l’instance de pilotage, des réunions bilatérales ont été organisées avec les différents RTD ainsi qu’avec chaque PFI sont organisées par le référent technique ministériel chargé du contrôle interne comptable.

Le comité n’est pas une instance de décision mais une instance de présentation des outils préparés en amont par le référent technique ministériel. Il n’existe pas à ce titre de relevé de décisions, mais le ministère indique que la liste des actions figurant au plan d’action ministériel (PAM) constitue le relevé des décisions d’orientations du comité de pilotage.

Après la réunion du comité de pilotage de janvier et la « validation » du plan d’action ministériel, une feuille de route ministérielle et des feuilles de route directionnelles déclinent les actions au sein des réseaux.

13

Plusieurs critiques peuvent être formulées à l’encontre des feuilles de route qui sont pourtant un maillage essentiel entre l’analyse des risques, le diagnostic des actions prioritaires en centrale d’une part et la mise en œuvre des dispositifs de maîtrise des risques par les acteurs des réseaux d’autre part.

En premier lieu, le délai de transmission des feuilles de route aux services apparaît trop tardif pour permettre aux bilatérales et au suivi de mi-année d’être efficaces dans la préparation du comité de pilotage de mi-année de juin. Les feuilles de route ont en effet été transmises entre le 21 mars (pour les PFI), et le 30 avril (pour la PJJ).

Pourtant, il serait préférable d’adresser au plus vite les feuilles de route et de les recentrer sur les contrôles sans qu’il soit nécessaire d’y faire figurer les actions sur lesquelles les acteurs n’ont pas de prise et qui relèvent du RTM, comme la stabilisation du calendrier du CIC, la mise en œuvre de la carte des processus ou la consolidation les outils du pilotage.

En second lieu, les actions demandées dans les feuilles de route paraissent parfois en décalage avec les ressources des services déconcentrés (mise en place de cartes locales des risques alors que la carte des risques ministérielle ne permet pas d’identifier les risques spécifiques à chacun des réseaux).

L’articulation entre la feuille de route ministérielle et les feuilles de route directionnelles n’est pas toujours manifeste. Ainsi, la feuille de route de la direction de l’administration pénitentiaire fait bien apparaître la priorité ministérielle d’amélioration du processus relatif à la commande publique, et y ajoute le contrôle des frais de déplacement et la sécurisation des régies, alors que ces enjeux n’apparaissent pas dans la feuille de route ministérielle. Par ailleurs, la priorisation des actions à mettre en place n’apparaît plus sur les feuilles de route, obligeant les services à la lecture de multiples documents.

Enfin, les documents remis ne permettent pas d’apprécier l’importance du soutien des services centraux dans la mise en œuvre des actions figurant dans les différentes feuilles de route.

Un tableau de bord de suivi des actions mises en œuvre au titre du CIC est tenu par le RTM. Celui-ci fait état de la mise en œuvre des actions. Une évolution qualitative a été engagée en 2014 (infra). Ainsi, le dispositif de suivi qui porte surtout sur le nombre de cartes des risques, de plans d’action, d’échelles de maturité des risques, d’organigrammes fonctionnels, de formations et sur les données du contrôle hiérarchisé de la dépense, est désormais enrichi d’une analyse qualitative pour chacun des réseaux.

Les actions de pilotage verticales pourraient être complétées par des actions horizontales afin d’accélérer la diffusion des bonnes pratiques.

Un site intranet a été développé pour mettre à disposition des services les informations utiles et la documentation relative au contrôle interne comptable. Ce site et les bilatérales menées avec les RTM et le RTD sont les principaux vecteurs de transmission des informations.

Au niveau local, les plateformes interrégionales peuvent se positionner comme un acteur favorisant les échanges d’information trans-directionnels. Le CIC apparait comme un vecteur pouvant, ponctuellement, favoriser l’intégration des plateformes dans l’environnement des services déconcentrés du ministère. Cependant, au quotidien les services déconcentrés restent isolés. Une seule direction a, une fois en 2014, rassemblé les acteurs du CIC de sa direction.

La DGFIP a déployé en 2014 une plateforme collaborative pour ses agents (wiFiP)5 qui favorise les échanges coopératifs (« bottom-to-bottom »), améliore la diffusion des bonnes pratiques entre

5 Cf. Rapport annuel de la DGFIP, page 49 et s., Juin 2014 : « La transition numérique de la DGFiP est l’un des objectifs de la démarche stratégique. Elle se traduit notamment par le développement d’un réseau professionnel, ou réseau collaboratif d’expertise, permettant à la fois des échanges techniques et des mutualisations de bonnes pratiques, le tout dans un espace sécurisé. Pour répondre à cette attente forte, wiFiP, le réseau collaboratif de la DGFiP a été élaboré. Réalisé à l’aide de logiciels libres, il a pour objectif d’être un lieu de partage de

14

services déconcentrés et participe à la modernisation de ses méthodes de travail. Le déploiement d’un tel outil au ministère de la Justice pour les référents du CIC accélérerait la diffusion des bonnes pratiques.

Les ETPT consacrés au contrôle interne comptable sont en augmentation constante depuis 2012 : ils étaient 22 en 2012 ; 25 en 2013 et atteignent désormais presque 29 ETPT (hors EPN et organismes). Sur la même période, les effectifs physiques correspondants passent de 388 en 2012 à 394 en 2014. En dépit d’une importante mobilisation des services, et d’une forte diffusion des outils du CIC au sein des réseaux et d’un important effort de pilotage, les résultats du contrôle internes apparaissent pourtant encore insuffisamment qualitatifs et leur impact sur la seule qualité comptable reste incertain.

Source : ministère de la justice

connaissances et d’expertises pour :- optimiser la circulation de l’information et diffuser les bonnes pratiques et connaissances métier ;- favoriser l’initiative, l’autonomie et la responsabilisation des utilisateurs des communautés professionnelles ;- permettre le développement de réseaux d’experts ;- atténuer les conséquences des contraintes géographiques par la mise en réseau de collaborateurs pouvant se situer sur tout le territoire ;- et capitaliser les échanges et la connaissance via des espaces partagés »

15

2 - LA STRUCTURE DE PILOTAGE ET D'ANIMATION DU CONT RÔLE INTERNE


1

Une structure (bureau, département) de pilotage du contrôle interne met en œuvre les orientations décidées par la structure de gouvernance.

1 Le RTM met en œuvre les orientations qu'il

prépare et telles qu'adoptées par la structure de pilotage et non de la structure de gouvernance.

2

La structure de pilotage a mis en œuvre un tableau de suivi des orientations décidées par la structure de gouvernance couvrant la totalité du périmètre.

1,5

Le RTM suit les orientations décidées par la structure de pilotage mais ce suivi reste

insuffisamment qualitatif. Le suivi pourrait utilement se concentrer sur les résultats des

actions.

3

Il existe un réseau de référents « contrôle interne » en administration centrale sur lequel s’appuie la structure de pilotage. Le réseau des référents « contrôle interne » s'est régulièrement réuni dans le but d'accompagner les services opérationnels.

1,5

Il existe un réseau large de référents et une animation principalement verticale. Les échanges interdirectionnels et horizontaux visant à diffuser

les bonnes pratiques pourraient être davantage encouragés.

4

La structure de pilotage est en capacité d’adapter les outils de contrôle interne aux spécificités du ministère (OFN, GP, RCI).

1,5

Les efforts d'adaptation et de simplification des outils interministériels doivent être poursuivis,

notamment en ce qui concerne les référentiels de contrôle.

5

En l’absence d’outils interministériels, la structure de pilotage a été en capacité de développer et de diffuser des outils de contrôle interne propres aux spécificités du ministère.

1,5

Les efforts de diffusion d'outils de contrôle interne propres aux spécificités du ministère

doivent être poursuivis en privilégiant les référentiels de contrôle et les remontées qualitatives des résultats des contrôles.

C. RECOMMANDATIONS

n° Objet de la recommandation Nature* Priorité**

2 Diffuser plus tôt dans l’année les feuilles de route et les outils permettant aux services d’améliorer les processus clefs et les modalités de leur contrôle.

A 3

3 Recentrer le comité de pilotage de mi-année sur les résultats des contrôles sur les processus clefs identifiés en amont ainsi que sur les outils diffusés par la centrale, et adaptés au ministère.

A 2

(*) Nature de la recommandation : nouvelle (A), reconduite car partiellement mise en œuvre (B), reconduite car non mise en œuvre (C)

16

PARTIE II : LES OUTILS DU CONTRÔLE INTERNE ET LA DOCUMENTATION DES DISPOSITIFS

Un important travail a été fourni en 2014 pour mettre en œuvre les recommandations précédentes de la Cour et déployer les instruments de la DGFIP : une carte des processus a été créée, la carte des risques a été actualisée et le plan d’action est décliné en feuilles de route transmises à l’ensemble des services. Le reporting informe le comité de pilotage du niveau d’avancement des actions décidées.

Toutefois, en dépit de ces efforts, la mise en œuvre de ces outils reste encore trop formelle ne parvient pas encore à donner à la structure de gouvernance un degré d’assurance suffisant sur la maîtrise par le ministère de ses risques financiers.

I. LA CARTE DES PROCESSUS MINISTERIELS


Le ministère s’est doté, conformément aux recommandations de la Cour, d’une carte des processus. Mais ce document paraît encore trop complexe pour lui donner une réelle portée stratégique et ne permet pas à la Cour d’établir qu’il s’est approprié l’outil.

B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DE LA CARTE DES PROCESSUS MINISTERIELS

En 2013, la Cour avait recommandé au ministère de « mettre en œuvre la carte des processus au niveau central en ciblant en priorité les processus majeurs ».

Une carte des processus a été formalisée, en prenant appui sur le support interministériel diffusé par la MDC-CIC et en associant l’IGSJ et le DCM pour le recoupement des données comptables. La carte a été présentée aux référents du contrôle interne comptable en septembre 2014 et diffusée dans les réseaux.

La carte des processus adoptée est un document excel de 624 lignes et 6 colonnes qui laisse apparaître la valorisation, les procédures, les tâches, les acteurs, le statut, et les systèmes informatiques et applications métiers pour les processus suivants : les états-financiers/centralisation ; les engagements et provisions ; les immobilisations corporelles et incorporelles ; les charges de personnel ; les charges de fonctionnement, les charges de fonctionnement indirectes, les charges d’intervention, les produits de fonctionnement et d’intervention ; la trésorerie et les disponibilités.

Plusieurs évolutions donneraient à cet outil une portée plus stratégique :

- Il serait utile de construire une carte des processus simplifiée (pouvant être visualisée sur 2 pages en A4), faisant apparaître les principaux processus à enjeux du ministère déclinés selon ses différents métiers. Ainsi, à titre d’exemple, le processus « commande publique » pourrait être déclinée en fonction des principaux enjeux métiers, par programme ou par nature: les frais de justice, les loyers des PPP, dépenses informatiques..etc. La segmentation des processus réalisée par le service d’audit interne pourrait servir de base à ce travail.

- En abscisse, il n’apparait pas utile dans la carte des processus de décliner les taches rattachées car elles complexifient inutilement le document ; les acteurs doivent en revanche être

17

définis de manière plus précise, en indiquant l’identité des services concernés par le processus en centrale comme en services déconcentrés, y compris lorsqu’ils ne relèvent pas du ministère de la justice mais d’un autre ministère (ministère de l’intérieur notamment) ou d’un établissement public (AGRASC par exemple). La description des taches constitue en revanche une information utile dans les référentiels de contrôle des processus et sous-processus.

- La valorisation financière est un élément substantiel du document. Une notice doit faire apparaître clairement la nature du montant indiqué (budgétaire ou comptable) ainsi que la source (LF, restitution Chorus, CBCM) ainsi que le programme.

- La colonne relative aux systèmes d’information et applications doit être remplie et faire mention de l’interfaçage éventuel avec Chorus.

- Enfin, un renvoi à la documentation décrivant plus en détail les sous-processus et les taches pour chacune des directions pour les processus recensés faciliterait l’identification des processus à enjeux non couverts par une documentation simple, et adaptée au ministère.

De manière paradoxale, le ministère de la justice ne dispose pas d’un accès à Chorus lui permettant de documenter les processus sous un angle comptable. Tout en étant responsable de la maîtrise des risques financiers, c’est-à-dire budgétaires et comptables, le ministère est donc privé de l’accès à l’unique système d’information comptable, dont l’accès en lecture est réservé au service du CBCM.

3 - LA CARTE DES PROCESSUS MINISTÉRIELS


1

Les principaux processus métiers ont été recensés dans une carte des processus.

1 Les principaux processus métiers ne sont pas couverts par la carte des processus.

2

La carte des processus permet d’identifier pour les processus les plus significatifs les acteurs et les applications supports associés.

1

Les acteurs pourraient être identifiés de manière plus précise sur un nombre plus restreint de processus. Les applications et la documentation de référence ne sont pas renseignées.

3

La carte des processus est régulièrement (au moins une fois par an) actualisée pour tenir compte des évolutions ministérielles (périmètre, réglementation, activité, …) en amont de sa validation annuelle par la structure de gouvernance du contrôle interne.

1

La carte des processus a été mise au point cette année pour la première fois. Elle est peu adaptée à l'environnement du ministère et ne fait pas l'objet d'une validation par la structure de gouvernance.

18

C. RECOMMANDATIONS


4 Simplifier la carte des processus, de manière à la rendre plus opérationnelle, et l’adapter aux spécificités métiers du ministère.

A 1



II. LA CARTE DES RISQUES MINISTERIELS


La carte des risques ministériels a été actualisée en janvier 2014, après sa présentation de la carte au comité de pilotage du contrôle interne comptable. L’évaluation y figure désormais sur une échelle à 5 niveaux (au lieu de trois jusqu’alors) et distingue les risques inhérents et les risques de contrôle. Les modalités de cotations ne sont néanmoins pas traçables ni homogènes entre les différentes directions. La cotation sous-estime les risques réels de certains processus. La carte des risques ne permet pas d’identifier les risques majeurs du ministère.

B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DE LA CARTE DES RISQUES

Un effort très substantiel a été fourni pour remplir les nombreux items de la carte des risques ministériels comptables. L’actualisation de la carte par le référent technique ministériel repose sur les observations de la Cour des comptes, de l’audit interne, des remontées des services, des résultats du contrôle hiérarchisé de la dépense. Comme la Cour l’avait relevé en 2013, l’organisation calendaire des travaux permet désormais au RTM de réaliser un chainage vertueux en fin d’année pour actualiser la carte des risques. Des cartes des risques sont réalisées par certaines directions.

Les risques financiers ne peuvent être appréhendés qu’au regard d’objectifs propres au ministère, et ils devraient être définis et analysés par les instances de direction. Ils peuvent avoir des déterminants de natures distinctes : risque juridique, risque opérationnel lié à la situation des infrastructures, risque social. La qualité comptable n’est qu’un de ces objectifs. Les modalités de la cotation des risques devraient être définies à la lumière de ces objectifs. Une fois les risques évalués, ces-derniers doivent être en effet analysés en tenant compte de la probabilité de survenance du risque et en tenant compte des facteurs, internes ou externes aggravant la probabilité de survenance du risque, comme une réforme majeure de l’organisation, du cadre réglementaire ou les changements de systèmes d’information.

En l’espèce, la cartographie des risques, c’est-à-dire le processus conduisant l’établissement de la carte des risques, n’est pas documenté. Cette absence est d’autant plus paradoxale que le ministère a choisi de passer d’une échelle de 3 niveaux de risque (faible, moyen, fort) à 4 niveaux de risques (le cinquième niveau n’est pas exploité dans la hiérarchisation des risques).

19

Des objectifs spécifiques au ministère et les modalités d’évaluation des risques ne sont pas définis ce qui limite l’intérêt de la carte des risques. Formellement les quatre onglets de la carte placent au même plan des éléments non homogènes :

- « l’animation et le pilotage » qui n’est ni un objectif ni un risque ;

- « la sécurité financière et juridique » dans lequel figure certains processus (rémunérations, pensions, commande publique, interventions, baux) ;

- « patrimoine », qui comprend le parc immobilier, dans sa dimension budgétaire, les immobilisations incorporelles, les participations et prêts et avances (qui n’ont pas d’existence au ministère de la justice), et les stocks ;

- « gestion des créances » qui rassemble les impôts et taxes, les amendes et condamnations pécuniaires, les produits des jeux et produits domaniaux, autres recettes (recouvrement de l’aide juridictionnelle, et des frais de justice, indus de paie) ;

- « information financière », avec notamment les provisions et les engagements hors bilan.

Plusieurs améliorations pourraient être apportées pour rendre cette carte des risques plus opérationnelle et exploitable à un niveau stratégique comme dans les services déconcentrés.

En premier lieu, une carte plus synthétique (une page A4), à l’instar de la matrice proposée par l’audit interne, permettrait de croiser l’évaluation du risque et le montant financier du processus concerné et de prioriser les actions par la suite.

Ensuite, l’appréciation du risque parait nettement sous-évaluer les risques des principaux processus à enjeux du ministère. Ainsi, le processus rémunérations (4,5 Md d’€) est évalué à un risque modéré, alors que l’audit interne le cote au niveau du risque maximal dans son analyse des risques financiers. De même, de manière tout à fait paradoxale, l’onglet « patrimoine » fait apparaître le parc immobilier en risque modéré et le montant financier en jeu qui est mentionné est budgétaire (392 M€), alors que d’un point de vue comptable, il s’agit du principal enjeu financier du ministère (11,4 Md€). L’appréciation globale du risque y est justifiée par la formule suivante : « mettre en place un EMR sur le processus » et « modifications d’écritures comptables pour 2015, recommandations de l’audit PPP »

En outre, certains processus ne figurent pas dans la carte : charges de personnel, subventions aux opérateurs, frais de poursuites, dommages, réparations et intérêts, charges à payer, régies etc.

Il convient donc de poursuivre les travaux relatifs à la cartographie et à la carte des risques ministérielle pour leur donner une portée plus stratégique. Ce travail pourrait s’appuyer sur la matrice préparée par l’audit interne (ci-après) pour les besoins de sa programmation et sur les réflexions relatives à la structuration du processus de cotation (p. 26 du guide de programmation de l’audit interne), qui devrait être simple et homogène pour l’ensemble des directions.

20

4 - LA CARTE DES RISQUES


1

Une carte des risques a été formalisée au niveau ministériel et permet de couvrir tous les services et entités rattachés (ministère, services déconcentrés, opérateurs).

1,5

La carte des risques n'est que partiellement liée à la carte des processus. Les établissements et organismes ne sont pas couverts.

2

La carte ministérielle des risques est consolidée, examinée et validée par la structure de gouvernance de la maîtrise des risques.

1

La carte des risques n'est pas examinée par la structure de gouvernance mais seulement par la structure de pilotage. La carte des risques devait être présentée de manière simplifiée à la structure de gouvernance et accorder une place moindre à la description des risques de contrôle.

3 La carte des risques est actualisée annuellement (à fin N-1 pour l'exercice N).

1

La carte des risques a été actualisée mais la méthode d'actualisation, et le processus de cotation n'est pas fiable ni traçable.

4

La structure de cette carte permet d’identifier les risques inhérents par processus et les dispositifs de maîtrise existants ou les actions à mettre en œuvre ainsi que les risques résiduels.

1

Les risques inhérents et résiduels apparaissent dans la carte des risques mais la notion de risque résiduel est mal comprise.

5 La structure de cette carte couvre l'ensemble des processus à enjeux figurant dans la carte des processus du ministère.

1 La nature du risque pourrait être mieux définie.

C. RECOMMANDATIONS


5 Adopter une présentation de la carte des risques plus synthétique et permettant d’identifier les risques majeurs du ministère.

A 1



21

Représentation de la cotation des risques financiers par l’audit interne du ministère de la justice

22

III. LE PLAN D’ACTION MINISTERIEL


D’un point de vue strictement formel, le plan d’action couvre les principaux processus à enjeux du ministère. La structuration du plan respecte les orientations interministérielles. Le plan d’action est décliné dans les feuilles de route directionnelles et transmis dans l’ensemble des services déconcentrés. La mise en œuvre fait l’objet d’un suivi quantitatif et d’un reporting à la structure de pilotage.

Pourtant, ce niveau de déploiement, qui mobilise de nombreux acteurs, ne parvient pas à mettre sur pied un dispositif de maîtrise des risques capable d’améliorer les processus. Les instruments du contrôle interne comptable n’existent souvent qu’en tant que tel, sans réelle appropriation par les services centraux ou déconcentrés. De plus une part trop significative des actions porte sur le pilotage ou la gouvernance du contrôle interne comptable, au détriment des actions portant sur les processus. Les principales actions de fond souffrent d’être insuffisamment précises et de ne pas toujours être accompagnées de référentiels ou d’outils permettant d’alléger la charge des services déconcentrés.

Il convient de recentrer le dispositif sur un nombre plus restreint d’actions, en prenant appui sur les recommandations et les travaux de l’audit interne, de mobiliser les services centraux sur la construction de stratégies de contrôle permettant une allocation optimale des moyens, afin de recentrer les services déconcentrés sur la mise en œuvre des contrôles plus que sur la construction, à leur niveau des instruments du CIC.

B. LE PROCESSUS D’ACTUALISATION ET DE FORMALISATION DU PLAN D ’ACTION MINISTERIEL

Le plan d’action du ministère est très ambitieux.

Le plan d'action ministériel est préparé par le référent technique directionnel du

ministère de la justice. Il est soumis au comité de pilotage lors du premier comité de pilotage de janvier et son état d’avancement est présenté en juin.

D'un point de vue formel, le plan d'action ministérielle se présente sous la forme d'un fichier Excel en deux parties, la première présentant les huit actions portant sur le pilotage du contrôle interne comptable et la deuxième, les dix actions choisies, en lien avec les processus comptables.

Les actions associées au contrôle interne comptable prévoient la mise en place d'une carte des risques et de plans d'action au niveau local, ainsi que la mise en place d'outils de reporting du contrôle interne comptable et de plans de contrôle de supervision. Quatre actions concernent la structuration de l'organisation comptable : la mise en place de la plate-forme interdirectionnelle de Paris ; structuration de l'organisation en matière d'ordonnancement secondaire avec revue des délégations des ordonnateurs secondaires ; les indicateurs de suivi ; la mise en place des modalités de dématérialisation dans Chorus.

23

Les actions relevant des processus comptables concernent les principaux processus enjeux du ministère : les rémunérations, la commande publique, le parc immobilier ainsi que la répétition de l'indu et les provisions pour risques et charges. Les actions sont de natures diverses : si certaines relèvent de mesures d’organisation comme la neuvième action, qui prévoit de mettre en place un schéma de gouvernance du contrôle interne comptable sur le processus rémunérations et de confectionner des organigrammes fonctionnels, d'autres sont beaucoup plus larges. A titre d'exemple, l'action 10 a pour intitulé : « respecter les principes de la chaîne de la dépense ».

Chacune des 18 actions du plan est priorisée sur une échelle de un à trois. Les outils structurants relevant de l’action, le périmètre de déploiement, le responsable, et l'origine de la recommandation sont également mentionnés pour chaque action. Un calendrier d'achèvement indique également la date de réalisation attendue de l'action. Des indicateurs de suivi sont également mentionnés ainsi que certaines observations formulées de manière plus qualitatives par l'ensemble des directions du ministère.

Le plan d’action n’est pas, en tant que tel un outil opérationnel. Il est décliné ensuite par

les différentes directions dans plusieurs feuilles de route ministérielles et directionnelles, qui ont une vocation plus technique. Ces feuilles de route sont des documents assez courts et renvoient à d’autres guides devant être transmis ultérieurement par les services centraux aux services déconcentrés pour la mise en œuvre de ces actions. Le déploiement des actions fait l’objet d’un reporting quantitatif par le référent technique ministériel mais ne parait pas en mesure de réduire significativement les risques de gestion ni d’informer réellement les instances de gouvernance du niveau de maîtrise des risques.

Comme en 2013, la Cour salue l’effort de quantification de l’état d’avancement de ce plan qui permet d’identifier les retards éventuels pris dans leur mise en œuvre. Si le taux de réalisation des actions parait souvent satisfaisant, il n’est pourtant pas certain que ces actions aient systématiquement conduit à un résultat acceptable au regard de l’objectif initialement imparti.

Ainsi, le comité de pilotage du juin 2014 indiquait un taux de réalisation de l’action 10 « respecter les principes de la chaîne de la dépense » de 70 %. Pourtant, les rapports relatifs à ce processus, déposés quelques mois plus tard par l’audit interne du ministère, soulignaient les lacunes importantes dans la maîtrise des risques de ce processus. Un rapport portant sur le processus de la commande publique des réseaux déconcentrés du ministère de la Justice déposé en octobre 2014 est en effet venu compléter les travaux de l’année 2013 sur la commande publique en administration centrale.

Dans ces rapports, l’inspection générale des services judiciaires (IGSJ) démontre une maîtrise très incertaine des circuits de la commande publique, ce dont témoignent notamment : - des libérations irrégulières de crédit : pour la direction de l’administration pénitentiaire,

une absence d’AE disponibles dès le mois de septembre, qui entraine des passations de commandes sans saisie sur Chorus et un suivi extra Chorus, « au mieux sous tableur Excel » ;

- le non-respect du l’article 27 du code des marchés publics (computation des seuils), et l’absence de directives centrales relatives aux modalités d’imputation ;

- la signature des marchés avant leur enregistrement dans Chorus ; - le défaut global de régularité du circuit de la commande publique : « le circuit de la

commande publique n’est ni assimilé ni maîtrisé par les SP, et un fort volume de dépenses est engagé comptablement après la livraison » ; « dans certains SP, les DA en régularisation avoisinent les 100 % » ;

24

- l’utilisation des EJ prévisionnels pour réserver des AE sur une période courte et réduire le volume de DA, en dehors de toute dérogation ;

- l’absence de pilotage budgétaire et de contrôle de la disponibilité des crédits via Chorus, préalable à l’engagement des dépenses ;

- l’absence de respect du principe de rattachement des charges à l’exercice ; - la constatation du service fait à la réception de la facture, traduisant un défaut avéré de

contrôle à réception ; - la certification en masse des services faits, sans réalisation du contrôle entre le montant

de l’EJ et le montant du service fait ; - le fort volume de services faits non payés dans Chorus : pour le seul périmètre des

services déconcentrés du ministère de la justice, 22 millions d’EJ (dont 12,5 antérieurs au 31 mars 2014) n’ont fait l’objet d’aucun paiement alors que le service fait a été certifié ;

- la non-conformité à la loi n°2013-100, relative aux sanctions en cas de retard de paiement ; l’absence de contrôle et d’analyse sur les intérêts moratoires.

En outre, l’IGSJ établit que la sincérité des comptes est affectée par plusieurs pratiques : - l’absence de liquidation des intérêts moratoires ; - les erreurs sur les dates de base ; - l’absence d’enregistrement des dépenses, en fin d’année faute d’AE/CP ; - la saisie des sommes pour le montant TTC au lieu du montant HT.

La mise en place des SFACT en 2015 pourrait encore aggraver l’importance de ces dysfonctionnements. Le CBCM comme l’audit interne estiment que ce passage constitue un point de vigilance particulier. Le plan d’action devrait être recentré sur un nombre plus restreint d’actions et faire l’objet d’un pilotage plus qualitatif, mettan t en avant les résultats du contrôle interne.

Une importance plus large devrait être accordée dans le plan d’action aux actions relevant des processus. Le résultat des actions de contrôle devrait faire l’objet d’une analyse qualitative plus approfondie pour recentrer les efforts de déploiement du contrôle interne sur les instruments les plus utiles à l’amélioration des processus, et au niveau les plus adaptés.

Dans son rapport sur la commande publique en service déconcentré (précité) l’IGSJ a ainsi formulé des propositions d’amélioration du dispositif de contrôle interne déployé sur le processus commande publique: « si le dispositif de contrôle interne cible s’avère très ambitieux, notamment en terme de déploiement des cartographies des risques, son appropriation par les services prescripteurs et les CSP est insuffisante tandis que le pilotage qui en est assuré au niveau central doit désormais prendre une dimension plus qualitative. Il importe désormais que les services adoptent une stratégie de contrôle plus structurée, reposant sur une analyse plus simple et opérationnelle des risques et développent de réels contrôles de supervision ». Le CBCM a été associé à la construction du plan d’action. Il estime que celui-ci reprend parfaitement les orientations de la NEC 2013. Il relève que les outils proposés par la DGFIP sont bien diffusés. Il souligne les efforts, portés dans les feuilles de route dans le déploiement de contrôle de supervision axé, en 2013 comme en 2014, sur la revue des habilitations et le contrôle de la qualité des informations liées à l’engagement juridique et au service fait. Mais il souligne également « la fragilité du ministère quant à la qualité des informations portées dans Chorus », « les indicateurs développés par l'AIFE mettent en évidence des points de fragilité quant au respect de la chaîne de la dépense dans Chorus, les contrôles de supervision doivent permettre de quantifier les dysfonctionnements dans la perspective de la mise en œuvre d'un plan d'action pour les structures concernées ».

25

Un groupe de travail, associant les services du secrétariat général à ceux du CBCM, a été constitué : « une remise à plat de la chaîne de la dépense est programmée de novembre 2014 à mars 2015 pour mettre en évidence les éventuels dysfonctionnements, un plan d'action sera alors mis en œuvre en fonction des conclusions ».

Enfin, le CBCM a demandé la préparation d’un plan de contrôle interne, dans les services de la Direction des services judiciaires sur les risques de doubles paiements liés à la signature des transactions : « il a été demandé la signature d'un plan de contrôle dont l'objectif est d'éviter que les mémoires, apurés par les transactions, ne soient à nouveau réglés en régie ou via le portail Chorus ».

Cette implication conjointe des services du CBCM, du secrétariat général, et de l’audit interne, autour du diagnostic partagé de la défaillance du circuit de la commande publique est à saluer. Il convient néanmoins de s’assurer de la bonne coordination entre l’ensemble des groupes de travail et les divers documents destinés à aider les services déconcentrés et centraux. Les instances et les instruments de la maîtrise des risques devraient en effet, en principe, être au service de cette coordination. Ces constats mettent surtout en évidence l’incapacité des dispositifs actuels de contrôle interne à alerter la structure de gouvernance sur l’origine et l’ampleur des défaillances observées.

5 - LE PLAN D'ACTION MINISTÉRIEL


1

Un plan d’action ministériel a été formalisé et est actualisé régulièrement consécutivement à l’actualisation de la carte des risques (à fin N-1).

2

Le plan d'action est formalisé et actualisé consécutivement à l'actualisation de la carte des risques.

2

Le plan d’action ministériel est examiné régulièrement par la structure de gouvernance qui assure la validation du document.

1

Le plan d'action n'est pas soumis à la structure de gouvernance. Il est en revanche décliné dans des feuilles de route directionnelles.

3

Les actions du plan d’action ministériel sont articulées de manière satisfaisante de façon à couvrir les risques majeurs identifiés dans la carte des risques.

1,5

Le plan d'action doit accorder une place moindre aux dispositifs de pilotage au bénéfice des actions relevant des principaux processus. Les actions devraient porter tout particulièrement sur la mise en œuvre des instruments de maîtrise des risques de ces processus, déclinés en centrale de manière à avoir une portée opérationnelle en SD.

4

Le degré de mise en œuvre des actions de l'exercice N, prévues au plan d’action ministériel, est satisfaisant (au moins 40% à fin juin et au moins 80% à fin décembre) et correspond aux délais de mise en œuvre définis initialement.

1

L'état d'avancement est satisfaisant d'un point de vue formel, mais ne reflète pas la réalité des progrès dans la maîtrise des risques.

5

Un reporting sur l'état d'avancement des actions prévues au plan d'action ministériel est remonté régulièrement à la structure de gouvernance de la maîtrise des risques pour assurer le suivi de sa mise en œuvre.

1

Il n'y a pas de remontée vers la structure de gouvernance mais seulement vers la structure de pilotage.

26

C. RECOMMANDATIONS


6 Recentrer le plan d’action ministériel sur un nombre plus restreint d’actions portant prioritairement sur la préparation, par les services centraux des directions métiers, avec l’appui du RTM, de référentiels de contrôle interne et leur déclinaison dans les services déconcentrés.

A 1



IV. LE REPORTING DES CONTROLES


Les outils de reporting élaborés par le RTM et les RTD ont été revus en 2014, avec pour objectif que les services transmettent des données plus qualitatives. Une synthèse quantitative des travaux menés est produite et fait l’objet d’une présentation devant le comité de pilotage. Cependant aucun système de reporting du résultat des contrôles n’est réalisé. En outre les données reportées ne sont pas corroborés par de réels contrôles de supervision.

In fine, les dispositifs de reporting n’apportent aux structures de gouvernance qu’une information limitée sur le risque résiduel.

B. L ’EVALUATION DU REPORTING DES CONTROLES INTERNES

La levée de la réserve formulée de manière constante par la Cour depuis 2006 sur le contrôle interne suppose que les secrétaires généraux soient en mesure de s’engager sur l’effectivité et l’efficacité des dispositifs de maîtrise des risques comptables au sein de leurs périmètres de responsabilité. Cet objectif suppose que ceux-ci disposent des outils et des procédures leur permettant de se prononcer, avec une assurance raisonnable, sur la qualité du dispositif mis en place sur l’ensemble, ou sur une partie, de leur périmètre.

Le dispositif de reporting du ministère a été est mis en place à partir de 2010. Des outils dédiés au reportent ont été créés : le KIT CIC, transmis à tous les référents du contrôle interne comptable. Un kit de de bilan à l’attention des RTD est également transmis. Comme l’a noté la Cour, le déploiement de ces outils a été d’abord inégal mais des progrès significatifs ont été apportés depuis lors.

28

Le système de reporting est directement adossé au plan d’action, ce qui est un gage de cohérence entre les deux outils. La fréquence et le périmètre du reporting sont satisfaisants.

Le dispositif de reporting gagnerait toutefois à constituer le vecteur de remontée d’information qualitative sur le résultat des contrôles pour les processus à enjeux. Ces résultats pourraient alors être corroborés avec les indicateurs AIFE. Des contrôles du RTM ou des RTD devraient commencer à être initiés pour corroborer les résultats des actions de contrôle. En l’état, ces outils ne peuvent être utilisés pour apprécier de la qualité et de l’effectivité des dispositifs de contrôle interne, ou le niveau du risque résiduel.

6 - LE REPORTING DES CONTROLES


1

Un dispositif de reporting permettant de suivre et de mesurer l’effectivité du contrôle interne a été mis en place.

1,5

Le dispositif permet, sur une base déclarative, d'évaluer de la mise en œuvre des actions, sans

toutefois permettre de suivi du résultat des contrôles.

2

Ce dispositif permet de couvrir l’essentiel du périmètre ministériel en termes de processus métiers significatifs.

0 Les processus métiers ne sont pas couverts.

3

La fréquence de transmission des résultats du reporting à la structure de gouvernance de la maîtrise des risques est adaptée au calendrier comptable et au fonctionnement de la structure de gouvernance.

1

La fréquence de transmission est maîtrisée et soutenue mais ne concerne que l’instance de

pilotage et non pas de gouvernance. Le reporting devra s’adapter au fonctionnement de

la structure de gouvernance.

4

Le résultat des plans de contrôle, définis en début d'année et mis en œuvre tout au long de l'année, sont consolidés au moins une fois par an (fin de l'année en cours) au niveau ministériel.

1 Le résultat des plans de contrôle fait l’objet

d’une remontée qualitative qui doit être poursuivie.

5

Les résultats des actions de contrôle sont corroborés et font l’objet d’une synthèse et d’une analyse annuelle réalisée par la structure de pilotage à destination de l'instance de gouvernance.

1

Le référent technique ministériel réalise un rapport annuel, mais seul le bilan des actions figurant au PAM est synthétisé, sans qu'un

bilan des résultats des actions de contrôle ne soit réalisé.

29

C. RECOMMANDATIONS

° Objet de la recommandation Nature Priorité**

7 Mettre en place un dispositif de reporting informant la

structure de gouvernance du résultat des actions de maîtrise des risques.

A 1



V. LE DEPLOIEMENT DE DISPOSITIFS DE CONTROLE INTERNE ADAPTES A L’ENVIRONNEMENT

A. LA SITUATION A FIN 2014

En 2013, la Cour avait souligné les progrès enregistrés dans l’adaptation du contrôle interne à l’environnement. Ces efforts se matérialisaient notamment par les revues d’habilitations, la confection d’organigrammes fonctionnels et par l’appropriation des restitutions et des contrôles d’imputation. Ces efforts se sont poursuivis en 2014. Les organigrammes fonctionnels et les restitutions AIFE constituent l’essentiel des documents structurants du contrôle interne.

B. LA PERTINENCE DE L ’ORGANISATION DES SERVICES ET L ’EFFECTIVITE DES OUTILS MINISTERIELS DE CONTROLE INTERNE

La Cour a constaté la très large diffusion de certains outils comme les organigrammes fonctionnels. Leur revue est organisée annuellement et systématiquement. A la DSJ presque 100 % des organigrammes fonctionnels étaient réalisés fin 2013. L’IGSJ note que le déploiement des organigrammes fonctionnels fait apparaitre de manière satisfaisante les délégations de signature et habilitations informatiques. Il convient désormais de donner à ces outils toute leur portée, pour analyser qualitativement ces éléments, identifier les problèmes et trouver des solutions, par exemple aux problèmes de suppléance ou de séparation des taches.

En outre, en 2014, une démarche tendant à mieux structurer les actions de contrôle, notamment au niveau local a été mise en place. Ainsi à la DSJ, une maquette de plan de contrôle de supervision a été diffusée. À la DAP, la sécurisation des régies a fait l’objet d’un plan de contrôle spécifique (alors qu’il ne s’agissait pas d’un processus identifié à risque fort dans la carte des processus). À la DPJJ, le soutien a porté sur le contrôle des imputations. Des actions ont en outre été réalisées pour la gestion du parc automobile, pour la mise en place de la carte achat. Ces référentiels n’ont toutefois pas été transmis et il n’est pas possible d’identifier la part de ces référentiels qui relève de l’action, de celle qui relève des dispositifs de maîtrise de ces actions. En dehors de ces dispositifs, seuls les documents interministériels sont diffusés, au besoin en les simplifiant pour le niveau local. Le ministère indique que « toute latitude est laissée aux acteurs de la démarche CIC pour simplifier la documentation existante ou établir des fiches de procédure spécifique afin de mieux se l’approprier. »

30

Comme le relève le ministère, « si l’accent a été mis en 2014 sur la diffusion, la réalisation, et l’appropriation des outils CIC, 2015 visera à rendre le CIC plus opérationnel en ciblant quelques processus à enjeux et en proposant des outils concrets sur ces derniers. » L’IGSJ, dans son rapport sur la commande publique en service déconcentré avait d’ailleurs souligné les lacunes et la complexité des référentiels existants. Encore embryonnaire, cette démarche d’accompagnement dans la mise en œuvre même des contrôles doit donc être poursuivie car elle est porteuse de synergies et un facteur indispensable à l’amélioration des processus comme à la gestion des changements.

Cette démarche doit être construite de manière à limiter les risques de sous-contrôle ou à l’inverse de sur-contrôle, en veillant tout particulièrement à articuler les contrôles des services prescripteurs avec ceux des CSP. L’audit interne relève en effet, dans le rapport précité que cette articulation constitue un point nécessitant une attention toute particulière : « les CSP n’ont en effet pas encore conduit de réflexion sur l’organisation de leurs contrôles : de ce fait, il existe un véritable risque de sur-contrôle sur des opérations à faible enjeu ou à l’inverse, notamment en période de pic d’activité, de sous-contrôle. Or, le rythme heurté de libération des crédits favorise les à-coups en matière d’ordonnancement. De plus, bien qu’ils disposent souvent des informations, les CSP ne réalisent pas encore d’analyse systématique des erreurs commises par les services prescripteurs. Ceci leur permettrait pourtant d’adapter au mieux leurs travaux de contrôle et de conseil à ces derniers, afin de les aider à améliorer leur ordonnancement. (…) Au final, les contrôles réalisés a posteriori par les SP et les CSP ne permettent pas de conclure de manière pertinente sur la maîtrise par une structure de ses activités, ni de mettre en place une rationalisation des contrôles contemporain. Ils peuvent en outre générer une charge de travail conséquente pour un résultat limité, en l’absence de réflexion sur l’architecture globale des contrôles mis en place au sein même de la structure.» L’audit interne observe ainsi que certains actes ont fait l’objet au minimum de 7 vérifications depuis la saisie de la DA jusqu’à la seconde vérification de la DP.

7 - LE DÉPLOIEMENT DE DISPOSITIFS DE CONTRÔLE INTER NE ADAPTÉS À L'ENVIRONNEMENT


1

Les processus significatifs du ministère sont documentés par un guide de procédures (GP) et un référentiel de contrôle interne (RCI ou matrice des risques et contrôles) à jour des dernières évolutions de l'environnement.

1

Les référentiels de contrôle interne devraient être adaptés, complétés,

simplifiés et rendus plus opérationnels.

2

Les outils de contrôle interne (GP, RCI…) sont diffusés (mise à disposition sur l'intranet, sessions de formation, communication, réunions …) à l'ensemble des acteurs concernés du ministère.

2 Les outils existants sont disponibles sur l'intranet et diffusés aux acteurs

concernés.

3

Les organisations et les circuits de gestion associés sont formalisés dans des documents type (contrats de service, conventions de délégation de gestion).

1,5 L'organisation est formalisée mais

les circuits ne sont pas suffisamment respectés.

4

Il existe une démarche d’identification des améliorations de la gestion du ministère directement liées à la mise en œuvre du contrôle interne.

0

Il n'existe pas de démarche d'identification des améliorations de la gestion du ministère directement liée à la mise en œuvre du contrôle

interne, indépendamment du dispositif de suivi de la mise en

œuvre des actions.

31

C. RECOMMANDATIONS

Objet de la recommandation Nature* Priorité*

8 Développer les référentiels de contrôle propres au ministère, de manière à faciliter le travail de mise en œuvre coordonné des contrôles par les services opérationnels et limiter les risques de sous-contrôle ou de contrôles inappropriés.

A 1

9 Mettre en place au niveau déconcentré des partenariats avec la DGFIP, de manière à l’associer au mieux à ces contrôles et à l’informer de leurs résultats.

B 3



32

PARTIE III : L’APPRÉCIATION PAR LE MINISTÈRE DU DEGRÉ DE MATURITÉ DES DISPOSITIFS DE CONTRÔLE INTERNE

La fonction d’audit interne ministériel constitue à ce jour le principal vecteur d’information effectif au service de l’information de la structure de gouvernance et de l’amélioration des processus, en dépit de l’absence de fonctionnement effectif son instance de gouvernance (CMAI), qui ne s’est réunie qu’une seule fois à l’occasion de son installation en septembre 2014.

Elle devra notamment veiller à ce que la cellule d’audit interne transmette son expertise au sein de l’inspection comme du ministère, dans le respect de son indépendance. L’extension du domaine d’intervention de l’audit interne au-delà du seul périmètre comptable et budgétaire, qui est envisagée par le ministère est de nature à enrichir ses travaux.

Le déploiement des EMR s’est poursuivi en 2014 dans l’ensemble des directions. Le niveau de déploiement des EMR pourrait néanmoins être ajusté en tenant compte de leur contribution à l’amélioration des processus.

I. L’ECHELLE DE MATURITE DE LA GESTION DES RISQUES COMPTABLES ET FINANCIERS (EMR)


En 2012, la Cour avait relevé le faible déploiement de l’EMR au sein du ministère. En 2013, elle observait des progrès notables puisque les outils étaient déployés dans les trois réseaux, tout en invitant le ministère à accélérer le déploiement des EMR et à renforcer la justification des cotations relevées dans l’échelle de maturité des risques en mentionnant les éléments matériels conduisant à cette appréciation.

Le large déploiement des outils et la mise en œuvre d’une approche plus qualitative permettent de lever ces recommandations en 2014.

B. L ’APPRECIATION DE L ’UTILISATION DE L ’EMR (OU D'AUTRES DISPOSITIFS D’EVALUATION )

La démarche d’appropriation de l’outil s’est poursuivie en 2014. Les EMR portent sur plusieurs processus significatifs : la commande publique, les frais de justice, les rémunérations, les ressources humaines, le parc immobilier, les provisions pour litiges. Les critères de cotation sont mieux définis, et l’introduction d’une colonne observation pour le processus commande permet une analyse plus objective et plus qualitative des cotations. Les services du CBCM sont associés à la construction des EMR portant sur les services centraux.

Les EMR ne sont pas corroborées par les référents ministériels ou directionnels, ou par l’audit interne. De fait, la cotation est souvent excessivement optimiste et leur agrégation depuis le niveau le plus fin jusqu’au niveau central n’est pas exploitable. Au niveau déconcentré, les EMR sont en effet diffusées jusqu’au niveau de l’établissement, et les résultats sont ensuite agrégés au niveau interrégional. Ainsi que le souligne l’audit interne, les EMR pourraient être renseignés au seul niveau interrégional par les référents techniques locaux. L’approche plus qualitative engagée cette année doit être confortée pour que les EMR ne constituent plus seulement une charge pour les services mais un outil au service de l’amélioration de la chaîne comptable.

33

Enfin, l’approche de la DSJ qui s’appuie sur l’EMR pour objectiver la cotation du risque doit être confortée car elle conduit à une meilleure appropriation de l’outil EMR.

8 - L'ÉCHELLE DE MATURITÉ ET DE GESTION DES RISQUES (ET AUTRES DISPOSITIFS D'ÉVALUATION)


1

L’échelle de maturité de la gestion des risques comptables (ou un autre dispositif d'évaluation) est utilisée dans le ministère.

2

Les EMR sont largement utilisées dans le ministère, au sein des trois réseaux,

en centrale comme en service déconcentrés.

2

La cotation est assurée avec la participation systématique du CBCM ou d’autres acteurs non directement impliqués dans les processus de gestion à évaluer (référent contrôle interne, cellules de qualité comptable de la DGFiP, …).

2 Le CBCM participe à la cotation des

processus centraux.

3 Une part importante des processus significatifs est couverte, y compris la part gérée en services déconcentrés.

2 Le périmètre de couverture est large.

4 Les résultats sont confortés par un audit interne ou externe récent.

1

Les résultats des travaux d'évaluation de certains processus contrastent avec les résultats des cotations issues des

EMR.

II. LA FONCTION D’AUDIT INTERNE MINISTERIEL

A. LES PRINCIPALES EVOLUTION CONSTATEES EN 2014

Depuis 2008, l’inspection générale des services judiciaires a reçu la mission de déployer l’audit comptable au sein du ministère. En 2012, la Cour avait relevé les difficultés rencontrées, notamment au niveau du recrutement, pour mener à bien cette mission.

Elle avait ensuite indiqué, en 2013, que les choses avaient évolué favorablement, et avait notamment souligné que le décret instituant un comité ministériel d’audit interne et créant la mission ministérielle d’audit interne auprès de l’inspecteur général avait été pris le 14 août 2013. Un arrêté du 27 mars 2014 a désigné les personnalités qualifiées appelées à siéger au comité ministériel d’audit interne ainsi que les membres de la mission ministérielle d’audit interne. Le comité ministériel d’audit interne s’est réuni pour la première fois à l’occasion de son installation le 11 septembre 2014. Présidé par le ministre, il est composé du secrétaire général, du CBCM, de l’inspecteur général et de deux personnalités indépendantes.

B. L ’EVALUATION DE LA FONCTION D ’AUDIT INTERNE

La cellule d’audit interne financier (CAIF), chargée au sein de l’IGSJ des audits comptables, rend des rapports dont la qualité et la précision doivent être soulignées. Elle constitue un véritable atout pour le ministère dans le déploiement effectif du contrôle interne, au service de l’information du Ministre.

34

Si, en théorie, tous les inspecteurs des services judicaires membres de l’IGSJ sont susceptibles d’être désignés sur les missions d’audit ministériel, en pratique les audits menés sont limités au champ comptable et budgétaire. Ils ont été confiés à des spécialistes de l’audit interne et des finances publiques, regroupés au sein de la CAIF. Placée sous la responsabilité d’une inspectrice des services judiciaires anciennement détachée à la Cour, cette cellule comprend désormais six agents, dont trois contractuels experts-comptables/commissaires aux comptes, un commissaire de l’armée et un inspecteur principal des finances publiques.

Elle dispose d’une méthodologie solide de travail, qui s’appuie sur un vade-mecum de l’audit interne comptable au ministère de la justice, un code de déontologie, ainsi que des documents méthodologiques de qualité (logigrammes, matrice des risques par processus, etc). Les auditeurs participent à un ensemble de formations de base (Chorus, contrôle interne budgétaire, formation à la gestion des crédits et des emplois, formations dispensées par la mission nationale d’audit), et sont envoyés en immersion en juridiction et au sein de la PJJ et de la DAP. Ces formations initiales sont complétées par des formations spécifiques en lien avec les audits à mener, comme par exemple la gestion de la masse salariale en 2014.

La programmation est définie de manière pluriannuelle, avec une déclinaison annuelle. Elle prend appui sur une analyse des processus comptables et budgétaires du ministère ainsi que sur une évaluation des risques qui s’y rattachent. Le cadencement de la programmation prévoit une couverture des principaux enjeux financiers d’ici 2018 et intègre des audits de suivi. L’année 2014 a été marquée par la conduite d’un audit sur la commande publique en réseaux déconcentrés, qui complétait un audit précédent sur ce processus dans les services centraux. Cinq autres audits ont été réalisés, ils portent sur le fond d’indemnisation des avoués, les provisions pour litiges, la masse salariale de la DAP, et le secteur associatif habilité. Un suivi de l’audit sur la commande publique en centrale a également été diligenté.

La programmation de l’année 2015 prévoit trois audits sur des processus à risque élevé : les dépenses de rémunération et indus de paie, les frais de justice, et le parc immobilier. Ils seront complétés par deux audits budgétaires, portant sur l’allocation et la gestion du titre 5 ainsi que sur l’élaboration du budget. Enfin, ces audits seront complétés par un audit sur un processus à risque moindre, portant sur les provisions pour charge ainsi que par des audits de suivi. La programmation 2015 est ainsi marquée par la volonté d’extension du périmètre d’intervention de la CAIF aux problématiques budgétaires.

Les rapports d’audit intègrent des analyses relatives à la mise en œuvre du contrôle interne, dont il ressort que les dispositifs sont trop théoriques, peu opérationnels pour les acteurs de la chaîne et marqué par l’absence de contrôle a posteriori sur la réalité et la qualité de l’atteinte des objectifs. La CAIF relève également que le pilotage souffre d’un défaut de transversalité entre les directions mais également au sein d’un même réseau, et que la communication ascendante comme descendante reste insuffisante.

L’examen de deux dossiers d’audit et les entretiens menés à l’IGSJ établissent qu’une majorité des critères requis par la norme ISA 610 sont satisfaits. Les conditions relatives à la compétence et la conscience professionnelle sont remplies, compte tenu du niveau de qualification des membres de la CAIF et du soin apporté au dispositif de formation continue. La carte des processus et la carte des risques témoignent de l’existence d’une approche systématisée des risques. La tenue et la transparence des dossiers d’audit répondent aux exigences relatives à l’assurance qualité. Enfin un suivi des recommandations est mis en place, mais n’a pas fait l’objet d’une présentation au CMAI.

La mise en place du comité ministériel d’audit interne a en revanche pris un certain retard et sa place dans la politique de l’audit interne du ministère reste limitée à ce jour. La réunion d’installation du CMAI, le 11 septembre 2014, lui a permis d’adopter la charte ministérielle d’audit interne et de dresser un bilan de l’activité de la CAIF. En revanche, le CMAI n’a examiné la question de la programmation que pour constater l’état de l’avancement des discussions avec les directions et approuver les orientations qui en résultent. Le CMAI a toutefois pris acte de l’intention du secrétaire général d’installer avant la fin de l’année 2014 le

35

comité ministériel de maîtrise des risques pour établir une première version de la carte ministérielle des risques, et prévu de se réunir de nouveau pour examiner une programmation de missions d’audit pour 2015. Un tel examen n’a cependant pas eu lieu.

9 - LE DISPOSITIF D'AUDIT INTERNE MINISTÉRIEL


1

Il existe un comité ministériel d’audit interne conformément au décret du 28 juin 2011 et à la circulaire du Premier ministre du 30 juin 2011.

2 Le comité ministériel d'audit interne a été réuni à

l'occasion de son installation, pour la première fois en septembre 2014.

2

Le comité fonctionne de manière effective (ses membres sont nommés, il se réunit au moins une fois par an en décembre N-1, etc. …).

1 Le comité ne fonctionne pas encore de manière

effective, il ne s'est réuni qu'une seule fois.

3

Les critères de la norme ISA 610 sont respectés et permettent à la Cour d’exploiter le résultat des travaux d’audit interne.

2

Le niveau de professionnalisation atteint par l'audit interne constitue un atout pour le ministère et permet à la Cour d'exploiter les résultats de ses travaux, pour

l'évaluation du degré de maîtrise des risques du ministère.

4 Un programme d’audit interne pluriannuel a été élaboré et approuvé par le comité d’audit interne.

1,5 Le comité d'audit interne ne s'est réuni qu'une seule

fois. Il joue encore un rôle trop limité dans l'élaboration du programme d'audit interne.

5

Le programme de travail intègre une part significative d’audits de processus permettant d’évaluer le contrôle interne.

2 Les audits intègrent des analyses des dispositifs de

contrôle interne.

6 Tous les processus significatifs ont été couverts par des audits comptables et financiers récents.

2 Les audits financiers récents couvrent des processus

significatifs.

7 Les suites données aux audits sont systématiquement examinées.

2 Les suites données aux audits sont examinées. Une

base de données tient à jour le suivi des recommandations.

C. RECOMMANDATIONS

Objet de la recommandation Nature* Priorité**

10 Faire fonctionner le CMAI de manière effective. B 1

36

PARTIE IV : LE DEGRÉ DE MATURITÉ DU CONTRÔLE INTERNE DANS LES SERVICES DÉCONCENTRÉS ET DANS LES ÉTABLISSEMENTS PUBLICS DE L’ÉTAT

Les services déconcentrés sont fortement mobilisés dans la mise en œuvre du contrôle interne. Mais les instruments du contrôle interne ne sont pas encore utilisés comme un instrument de pilotage des risques. La présentation qui est faite des objectifs du contrôle interne est souvent limitée à la qualité comptable, ce qui nuit à son appropriation par les services. Un effort de pédagogie resituant le contrôle interne dans le métier plus que dans la seule sphère comptable devrait contribuer à une meilleure compréhension du dispositif. La conduite d’actions de formation à l’environnement du ministère comme à Chorus, destinées notamment aux agents contractuels des services déconcentrés, pourrait utilement être intégrée aux plans d’action.

Des correspondants ont été désignés au sein des établissements publics sous la tutelle du ministère. La synthèse de la mise en œuvre du contrôle interne dans ces opérateurs est transmise à la DGFIP par le référent technique ministériel. Plusieurs opérateurs ont mis en place des dispositifs de contrôle interne intégrant la dimension métier et destiné à éclairer leurs conseils d’administration sur les risques liés à leur activité. Leur approche doit être confortée.

I. LE DEGRE DE MATURITE DANS LES SERVICES DECONCENTRES


Un réseau de référents a été constitué dans chacun des réseaux des services déconcentrés (DAP, PJJ, DSJ, PFI). Les référents locaux sont désignés au niveau des BOP et disposent de correspondants dans les UO. Les outils du contrôle interne sont déployés à un niveau très fin, rendant parfois ardue leur consolidation aux niveaux supérieurs. Les EMR sont largement déployés, et portent notamment sur le processus de la commande publique. Les résultats d’un audit interne sur ce processus ne corroborent pas les auto-évaluations de maîtrise des risques sur ce processus.

B. L ’APPRECIATION DU DEGRE DE MATURITE DU DISPOSITIF DE CONTROLE INTER NE

Les outils du contrôle interne comptable sont largement déployés en services déconcentrés

Des plans d’action locaux sont transmis à l’administration centrale, à l’exception de la DSJ qui envisage de mettre en place un questionnaire en ligne. Les plans d’actions locaux s’inscrivent dans l’action 2 du plan d’action ministériel qui prévoit de mettre en place des plans d’actions locaux. Au titre des actions figurant au plan d’action local, le rapporteur a pu constater qu’y figure souvent l’action « mettre en place un plan d’action local ».

Les cartes des risques sont transmises en fin d’année à l’administration centrale. La DSJ souligne « l’amélioration qualitative du renseignement des cartographies des risques », même si l’exercice fait apparaître des difficultés pour la consolidation au niveau des BOP à UO multiples. Les principaux outils du contrôle interne comptable ont en effet été déployés à un niveau parfois très fin (directions territoriales). L’évaluation des risques paraît toutefois aléatoire. Les valorisations du risque ne sont pas corroborées par des contrôles de supervision mais font l’objet d’une analyse à l’occasion des restitutions et échanges avec la centrale.

37

Les directions centrales relèvent que les outils du CIC ont permis d’améliorer l’organisation des services grâce à la mise en place des organigrammes fonctionnels.

Dans le cadre de sa mission d’évaluation du contrôle interne, l’IGSJ a formulé plusieurs réserves sur le degré de maîtrise des risques et sur le pilotage du contrôle interne. Dans son rapport de 2014 sur la commande publique en service déconcentré, l’IGSJ interroge les modalités de déploiement du contrôle interne dans les services déconcentrés du ministère. Les critiques portent sur le niveau du déploiement du dispositif, sur sa lourdeur, et sur son incapacité à servir de levier pour remédier aux dysfonctionnements observés :

« Il est permis de s’interroger sur la pertinence de l’exercice, à un niveau aussi atomisé, alors que les actions de base du contrôle interne ne sont pas encore mises en œuvre. De plus, lorsque des cartographies sont établies, la pertinence des indications et cotations portées n’est pas toujours avérée. » ;

« L’approche quantitative adoptée jusqu’à présent par l’administration centrale du ministère de la Justice pour s’assurer du déploiement effectif des outils doit désormais s’accompagner d’une approche visant à s’assurer de la qualité des documents centralisés, de leur réelle appropriation par les services. En effet, les documents sont encore trop souvent produits par obligation et ne constituent pas encore pour les services un outil de pilotage et de sécurisation de leur fonctionnement. »

« La multiplication des documents qu’il est demandé aux services de renseigner nuit à la lisibilité et à l’acceptabilité du dispositif dans son ensemble alors même que la notion de contrôle interne n’est pas toujours assimilée par les services déconcentrés ».

Les documents auxquels la Cour a eu accès ainsi que les entretiens menés dans les services déconcentrés conduisent la Cour à partager ces constats.

L’IGSJ relève que les services déconcentrés au niveau interrégionnal comme infra fournissent un important effort de documentation (rédaction de fiches d’aides au contrôle et de grilles d’aide à l’imputation). Cette situation résulterait du fait qu’une partie des supports diffusés par l’administration sont perçus comme trop complexes par les services déconcentrés. Il serait souhaitable que l’administration concentre ses efforts sur la diffusion de supports plus simples, notamment sur les points de contrôle et les méthodes de contrôle. Un cadrage national des points de contrôle articulant notamment CSP et SP sur le processus commande publique devrait être préparé. En effet, au niveau local, il n’existe pas en effet de coordination dans la conduite des contrôles entre services prescripteurs et CSP, entre les contrôles contemporains et les contrôles a posteriori. Cette lacune constitue un risque à la fois de sur-contrôle et de contrôle de mauvaise qualité.

En outre, ce cadrage national pourrait utilement s’accompagner d’un dispositif d’identification et de suivi des erreurs par type d’anomalies. Un tel cadrage pourrait s’appuyer sur la valorisation et la diffusion d’instruments construits, de manière occasionnelle, par les services déconcentrés.

Enfin, la Cour, comme l’audit interne, observent que de nombreuses difficultés trouvent leur origine dans le recrutement massif et temporaire de personnels contractuels non formés à l’environnement du ministère et aux outils informatiques (Chorus).

38

10 - LE DEGRÉ DE MATURITÉ DU DISPOSITIF DE CONTRÔLE INTERNE EN SERVICES DÉCONCENTRÉS


1 Il existe un réseau de référents « contrôle interne » actif en services déconcentrés.

2 Le réseau des référents est stabilisé.

2

Il existe un outil de reporting permettant de couvrir de manière exhaustive les problématiques de CI, mis à jour régulièrement, qui remonte des services déconcentrés.

1 Le reporting porte davantage sur les outils du CIC que sur les résultats des contrôles eux-

mêmes.

3

Les risques sur les processus significatifs sont identifiés et déclinés localement dans les services déconcentrés.

1,5

Un effort de priorisation a été fait par les réseaux, mais il ne se traduit pas par une

amélioration de la situation sur le processus à enjeux.

4

Les services déconcentrés disposent de plans d’action locaux adaptés, dont la mise en œuvre est effective et fait l’objet d’un suivi formalisé.

1 La mise en œuvre des plans d'action ne

permet pas de remédier aux dysfonctionnements observés.

5

Les services déconcentrés ont mis en œuvre un dispositif d’évaluation de la maturité de leur dispositif de maîtrise des risques (type EMR) dont les résultats ont été confortés par des actions d’audit ciblées.

1 Les résultats des audits ne corroborent pas les

résultats des EMR sur le processus commande publique.

C. RECOMMANDATIONS

° Objet de la recommandation Nature* Priorité**

11 Recentrer le déploiement des outils d’évaluation

et de reporting du CIC sur l’échelon interrégional. A 2

12

Mettre en place un cadrage national des points de contrôle, articulant CSP et SP sur le processus commande publique, coordonnant mieux les contrôles contemporains et les contrôles a posteriori et faisant apparaître les points de contrôle et les méthodes de contrôle.

A 2

13 Développer les actions de formations à l’outil

Chorus notamment à destination des personnels contractuels des plateformes Chorus.

A 2

14 Formaliser les résultats des contrôles de manière

à mettre en place un suivi des erreurs par type d’anomalies.

A 3

39

II. LE DEGRE DE MATURITE DU CONTROLE INTERNE DANS LES ETABLISSEMENTS PUBLICS DE L’ETAT


Le référent technique ministériel a été nommé référent du contrôle interne comptable pour les opérateurs. Il est à ce titre chargé de rassembler les données relatives au déploiement du CIC et de transmettre un document de synthèse à la DGFIP. Un dispositif simplifié a été mis en place dans les organismes non opérateurs.

Certains établissements font preuve d’une réelle maturité dans la mise en œuvre du dispositif de maîtrise des risques, qui fait l’objet d’un suivi par la structure de gouvernance et constitue un levier de performance pour ces établissements.

Les éléments de mise en œuvre du contrôle interne dans ces EPN ne font pas encore l’objet d’une synthèse en centrale et les établissements ne sont pas intégrés dans le périmètre des outils du contrôle interne du ministère, notamment dans la carte des risques et dans la carte des processus. L’intégration des problématiques métiers dans les dispositifs de contrôle interne, notamment à l’AGRASC et à l’APIJ doit être confortée.

B. L ’APPRECIATION DE L ’EFFICIENCE DU PILOTAGE MINISTERIEL ET DU DEGRE DE MATURITE DU DISPOSITIF DE CONTROLE INTERNE

Les principaux opérateurs du ministère de la justice ont mis en place une carte des risques et un plan d’action, relevant du contrôle interne comptable. Ce déploiement concerne :

-L’école national de la magistrature (ENM)

-L’agence publique pour l’immobilier de la justice (APIJ)

-L’établissement public du palais de justice de Paris (EPPJP)

-L’école nationale d’administration pénitentiaire (ENAP)

Deux opérateurs ont développé une EMR (ENAP et ENM) et l’APIJ a réalisé un bilan du contrôle interne au titre des années 2012 et 2013.

Les référents locaux informent leur référent technique directionnel, en centrale, de l’avancement des travaux du contrôle interne comptable.

Trois autres organismes, non opérateurs, ont été rattachés au dispositif cette année. Un dispositif simplifié de maîtrise des risques leur a été transmis. Il recense dans un même document les processus concernés, les risques identifiés, l’origine du risque, l’action correctrice et l’acteur en charge de cette action, et les échéances de mise en œuvre.

La pertinence de la carte des risques de l’AGRASC, et du bilan du contrôle interne de l’APIJ doit être soulignée. Tout en restant perfectibles, ces documents traduisent une réelle maturité dans la compréhension des enjeux du contrôle interne.

Particulièrement synthétique, la carte des risques de l’AGRASC intègre en effet les processus « métiers ». Elle identifie, dans l’activité de l’agence, ou dans les actions de ses interlocuteurs (juridictions notamment), les processus mal maîtrisé ayant un impact financier et sur lesquels des actions doivent être entreprises. Le contrôle interne est ici directement perçu comme un instrument au service de la performance de l’organisation. Les risques sont directement mis en perspective avec les objectifs assignés à l’organisation par le conseil d’administration. L’absence d’actualisation du document, daté de 2011 semble toutefois regrettable.

40

Carte des risques de l’AGRASC (extrait) (source : AGRASC)

S’agissant de l’APIJ, un effort semblable de pédagogie a été formalisé dans le document de bilan du contrôle interne pour la période 2012-2013. Il témoigne d’une réelle appropriation des principes du contrôle interne, y compris par les instances de gouvernance. La démarche du contrôle interne est fortement adaptée aux spécificités et à l’environnement de l’établissement. Elle intègre en effet les risques relevant de l’organisation, de la sécurité, de l’organisation informatique. L’identification des risques a mis en évidence les faiblesses de l’organisation et des actions correctrices ont été entreprises. Des actions d’audit interne (de l’APIJ) ont été engagées pour corroborer l’état d’avancement des actions de correction (respect des délégations de signature et conformité des marchés notamment).

Une partie seulement des documents relatifs à la mise en œuvre du contrôle interne dans les établissements et organismes relevant du ministère ont été transmis au rapporteur. La Cour n’a pas eu accès à un document de synthèse portant une appréciation sur leur maturité dans le déploiement du contrôle interne. Ces organismes n’ont par ailleurs jamais fait l’objet d’un audit de la part de l’IGSJ.

Sous cette double réserve, la maturité du contrôle interne dans les établissements publics du ministère peut être relevée, notamment en ce qu’il est intégré au dispositif de gouvernance qui en fait un instrument de pilotage au service de sa performance.

41

11 - LE DEGRÉ DE MATURITÉ DU DISPOSITIF DE CONTRÔLE INTERNE DANS LES ÉTABLISSEMENTS PUBLICS


1

Les établissements publics relevant du ministère disposent d’une gouvernance appropriée en termes de contrôle interne et d’audit interne et des structures afférentes appropriées pour déployer le contrôle interne au sein de l'organisation.

2

Dans la limite des informations transmises à la Cour, plusieurs établissements ont mis en place des outils de contrôle interne en lien avec la performance de l'établissement et faisant l'objet d'un pilotage par les organes de gouvernance.

2

Un dispositif de remontée des outils de pilotage du contrôle interne des établissements publics relevant du ministère a été mis en place conformément aux instructions de la DGFiP.

2

Le dispositif de remontée des outils de pilotage de la DGFIP est en cours de déploiement. Le déploiement de ces outils ne doit pas se substituer aux instruments de contrôle interne qui intègrent la dimension métier de l'EPN, le contrôle interne comptable n'étant qu'un sous-ensemble du contrôle interne.

3

Les établissements publics relevant du ministère ont mis en place une démarche d’analyse des risques associée à la mise en place de plans d’action adaptés, dont la mise en œuvre est effective et fait l’objet d’un suivi formalisé.

1,5 La mise en œuvre des actions et leur suivi sont très variables selon les établissements.

4

Les établissements publics relevant du ministère ont identifié et documenté (descriptif et matrice de risques et contrôles) l’ensemble des processus les plus significatifs.

2 Certains établissements ont identifié les processus en intégrant la dimension métier.

5

Les établissements publics relevant du ministère ont mis en œuvre un dispositif d’évaluation de la maturité de leur dispositif de maîtrise des risques (type EMR) dont les résultats ont été confortés par des actions d’audit ciblées.

0 L'audit interne n'a pas conduit de travaux relatifs aux établissements publics du ministère.

* *

*

note d’Évaluation du contrÔle interne

Documents