CADRE DE REFERENCE DE LA GESTION DES RISQUES ET DE CONTROLE INTERNE DES

MINISTERES EN CHARGE DE L’ECONOMIE, DES FINANCES, DU BUDGET ET DU

PORTEFEUILLE DE L’ETAT

Version septembre 2022novembre 2018

1
SOMMAIRE

SIGLES ET ABREVIATIONS......................................................................................................................3

CONTEXTE ET ENJEUX...........................................................................................................................4

Première partie : PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE........11

1. Principes généraux de gestion des risques.....................................................................................11

2. Articulation entre la gestion des risques et le contrôle interne...........................................................13

3. Principes généraux de contrôle interne..........................................................................................13

4. Les leviers du contrôle interne.......................................................................................................17

5. Les composantes du contrôle interne.............................................................................................17

6. Périmètre de la gestion des risques et du contrôle interne................................................................29

7. Acteurs de la gestion des risques et du contrôle interne...................................................................29

8. Limites de la gestion des risques et du contrôle interne....................................................................30

Deuxième partie : LES PRINCIPES DIRECTEURS DU CONTROLE INTERNE ET LES COMPOSANTES DU
CONTROLE INTERNE DES MINISTERES EN CHARGE DE L’ECONOMIE, DES FINANCES ET DU BUDGET31

1. Les principes directeurs du contrôle interne....................................................................................31

2. Les composantes du contrôle interne des Ministères en charge de l’Economie, des Finances et du
Budget...............................................................................................................................................31
Troisième partie : ACTEURS DU DISPOSITIF DE CONTROLE INTERNE DES MINISTERES EN CHARGE DE
L’ECONOMIE, DES FINANCES ET DU BUDGET.......................................................................................38

1. Les instances ministérielles..........................................................................................................38

2. Les acteurs du contrôle interne au sein des Directions Générales et services rattaches aux Ministères en
charge de l’Economie, des Finances et du Budget..................................................................................39

ANNEXES..............................................................................................................................................41

Annexe 1 : Questionnaires relatifs aux principes généraux.......................................................................42

Annexe 2 : Dispositifs de maitrise des risques........................................................................................44

Annexe 3 : Grandes étapes de la mise en place du dispositif de contrôle interne........................................51

Annexe 4 : Matrice explicative des composantes - principes - points d’attention du COSO 2013...................55

2
SIGLES ET ABREVIATIONS

ASTER : Progiciel de gestion de la Comptabilité Générale de l’État (CGE) et de suivi des Comptabilités
Auxiliaires (CA) de la dépense et de la Recette
COSO: Committee of Sponsoring Organizations pf the Treadway Commission
DC : Direction Centrale
DG : Direction Générale
DGA : Direction Générale Adjoint
DRH : Direction des Ressources Humaines
EPN : Etablissement public national
IFAC: international federation of accountants
IGF : Inspection Générale des Finances
IIA : Institut de l’Audit Interne
LO-CTGFip : Loi Organique portant Code de Transparence dans la Gestion des Finances
LOLF : Lois organique relative aux lois des Finances
PAP : Projets Annuels de Performance
PTF : Partenaire Technique et Financier
RGCP : Règlement Général sur la Comptabilité Publique
SDLC : Système Développement Life Cycle
SDRFIP : Schéma Directeur de la Réforme des Finances Publiques
SIGEP : Système d'Information et de Gestion des Entreprises Publiques
SIGFIP : Système Intégré de Gestion des Finances Publiques
SIGICI : Système Intégré de Gestion des Impôts en Côte d’Ivoire
SYDAM : Système de Dédouanement Automatisé des Marchandises
SYGMAP : Système de Gestion des Marches Publics
UEMOA : Union Economique et Monétaire Ouest Africaine

3
CONTEXTE ET ENJEUX

1. Fondements juridiques du contrôle interne dans l’administration publique ivoirienne

Le dispositif normatif du contrôle interne dans l’Administration Publique ivoirienne est régi par un corpus
juridique (légal et règlementaire) qui comprend notamment :
- la Loi Organique n°2014-336 du 05 juin 2014 relative aux Lois des Finances ;
- la Loi Organique n°2014-337 du 05 juin 2014 portant Code de Transparence dans la gestion
des finances publiques ;
- le décret n°2014-416 du 09 juillet 2014 portant Règlement Général sur la Comptabilité
Publique.
En effet, la nouvelle Loi Organique n°2014-336 du 05 juin 2014 relative aux Lois de Finances (LOLF
2014) consacre la mise en place du contrôle interne par les ordonnateurs. En particulier, les
dispositions contenues dans les articles 77, 78, 79, 80, 81, 83, 86, stipulent entre autres que :
- le contrôle administratif est le contrôle interne de l’Administration Publique sur ses agents ;
- le contrôle administratif est un contrôle a priori ou a posteriori qui s’exerce sous la forme du
contrôle hiérarchique ou organique par l’intermédiaire de corps et d’organes spécialisés ;
- le contrôle hiérarchique est exercé par un supérieur hiérarchique sur les opérations exécutées
par les agents placés sous son autorité ;
- le contrôle a priori sur l’exécution des lois des finances est exercé par le contrôle financier et le
contrôle budgétaire ;
- le contrôle interne a posteriori sur l’exécution des lois des finances est exercé par des corps et
organes de contrôle à compétence nationale ou sectorielle ;
- les conditions de mise en œuvre du contrôle administratif sont définies par les textes régissant
les corps et les organes de contrôle ;
- la Cour des comptes donne son avis sur le système de contrôle interne et le dispositif du
contrôle de gestion.
Quant à la Loi Organique n°2014-337 du 05 juin 2014 portant Code de Transparence dans la Gestion
des Finances Publiques (LO-CTGFip), elle énonce en son article 60 que « les finances publiques sont
soumises à un double contrôle : interne et externe ».
Elle définit par ailleurs en son article 61 le contrôle interne par son objet comme « un système global de
contrôle qui s’exerce au sein de l’administration par ses services, visant à assurer une bonne
application de la réglementation et des procédures en matière financière. Il consiste en des vérifications
systématiques et permanentes intégrées dans le système d’exécution des dépenses publiques ».

Il convient de souligner que les dispositions ci-dessus énumérées sont précisées par le décret n°2014-
416 du 09 juillet 2014 portant Règlement Général sur la Comptabilité Publique (RGCP) en ses articles
87, 88, 92, 94, 95 et 96. Ces articles énoncent en substance que :
- le contrôle interne est mise en œuvre par les ordonnateurs ;
- le contrôleur financier ou budgétaire adapte les modalités de mise en œuvre de ses contrôles
au regard de la qualité et de l’efficacité du contrôle interne.
Au plan opérationnel, le Gouvernement a adopté en 2014 un Schéma Directeur de la Réforme des
Finances Publiques (SDRFip) dont l’axe 6 intitulé « dispositifs de contrôle et d’audit internes et

4
externes » fait obligation à chaque Ministère de mettre en œuvre un dispositif général d’audit interne à
travers un comité d’audit ministériel présidé par le Ministre et une fonction d’audit interne assurée par
les Inspections générales des Ministères. Cette fonction d’audit interne doit reposer nécessairement sur
un dispositif général de contrôle interne mis en place dans chaque Ministère.
Le contrôle interne s’inscrit désormais dans une démarche structurante, faisant partie intégrante du
management des services publics. Il implique tous les acteurs de la gestion des finances publiques : les
services de l’ordonnateur, les acteurs du contrôle administratif, les comptables publics et le personnel.

2. Enjeux de la mise en œuvre du contrôle interne

A titre non exhaustif, les principaux enjeux recensés du contrôle interne se déclinent comme suit :

2.1. Renforcement de la transparence et de l’efficacité

Le contrôle interne renforce, formalise et standardise l’obligation de reddition, assurant ainsi la

transparence dans la gestion des services publics. Il commande une meilleure articulation entre les
activités d’audit et de contrôle ainsi que la mise en place d’un dispositif complet de gestion des risques.
De la sorte, il limite les possibilités de déperditions dans la gestion des ressources et minimise les
risques liés à la réalisation des activités. Il favorise aussi l’exécution d’opérations ordonnées, éthiques,
économiques, efficientes et efficaces.
Les Ministres en charge de l’Economie et des Finances, du Budget et du Portefeuille de l’Etat peuvent
ainsi renforcer la transparence budgétaire et financière par la mise en œuvre réussie de ce nouveau
dispositif.

2.2. Respect du vote du Parlement

Un contrôle interne efficace donne à l’ensemble des Ministres, l’assurance raisonnable que les objectifs
assignés dans les Projets Annuels de Performance (PAP) seront atteints et que les données contenues
dans leurs Rapports Annuels de Performance (RAP) sont exhaustives et fiables. De la sorte, le contrôle
interne facilite (i) l’exercice de reddition des comptes du Gouvernement de l’exécution des lois de
finances devant le Parlement, (ii) le contrôle de ce dernier sur les activités des Ministres.
Plus spécifiquement les Ministres en charge de l’économie des Finances, du budget et du portefeuille
de l’Etat ont, entre autres, la responsabilité, d’une part, de collecter les ressources nécessaires au
financement des politiques publiques, et d’autre part, d’assurer la régulation budgétaire et financière
pour accompagner la réalisation des programmes. Ce positionnement transversal nécessite la mise en
œuvre d’un contrôle interne efficace afin de contribuer à l’atteinte des objectifs globaux de l’Etat.
Au total, la mise en œuvre du contrôle interne renforce :
- l’efficacité des politiques publiques ;
- la fiabilité du compte rendu de l’exécution des lois de finances, qui permet le contrôle
démocratique ;
- la régularité de la gestion publique, c’est-à-dire la conformité aux lois et règlements.

2.3. Renforcement de la supervision ministérielle

De manière générale, le contrôle interne fournit aux Ministres, par le biais du Comité ministériel de
maitrise des risques et de celui de l’audit interne, un ensemble de leviers permettant :

5
 - d’approuver et de surveiller efficacement les dispositifs de contrôle interne mis en œuvre dans
les services et démembrements ;
- de garantir l’indépendance de la fonction d’audit interne.
En ce qui concerne spécialement les Ministres chargés de l’économie, des finances et du budget, il
permettra la maîtrise des risques et d’améliorer la gestion des politiques économiques et financières.
En effet, la maîtrise des risques contribue notamment à/au :
- l’atteinte effective des objectifs macroéconomiques ;
- l’atténuation de la fraude et de la corruption en matière économique et financière ;
- l’accroissement de la mobilisation des ressources ;
- la limitation des déperditions ;
- l’amélioration de la qualité des services financiers ;
- respect des engagements conclus avec les organismes internationaux, communautaires et
avec les partenaires techniques et financiers.

2.4. Amélioration de la gouvernance et de la performance des services (Directions

Générales et Services rattachés).
La réforme envisagée instaure de nouvelles règles pour l’élaboration, l’exécution et le suivi du budget
de l’État, avec pour objectif d’améliorer l’efficacité et la qualité de la dépense, qui in fine vont impacter
favorablement la mise en œuvre des politiques publiques. Ces exigences d’efficacité et de qualité de la
dépense conduisent à mettre l’accent, non plus sur les moyens financiers eux-mêmes, mais plutôt sur
les résultats concrets attendus de la mobilisation et de l’utilisation des moyens financiers.
Conformément à la charte de gestion des programmes, les Directeurs Généraux, les Responsables
d’EPN, les Directeurs sont appelés à devenir des Responsables de programme, des Responsables de
budget opérationnel de programme ou encore des Responsables d’unité opérationnelle selon le cas.

En outre, le contrôle interne implique et s’applique à tous les niveaux hiérarchiques. Les bénéfices
attendus de la mise en œuvre du contrôle interne se déclinent également pour chaque niveau
hiérarchique.

Pour les premiers responsables :

- l’amélioration de la qualité de l’élaboration des procédures en rapport avec la stratégie et les
objectifs de politique économique et financière;
- l’optimisation des choix de gestion en lien avec les objectifs poursuivis ;
- l’enrichissement du dialogue de gestion entre acteurs de différents niveaux de responsabilité ;
- un meilleur pilotage de la gestion (amélioration de la prise de décision, identification des
marges de manœuvre, réactivité plus forte) ;
- la fluidité de la gestion (réduction des délais de réalisation des activités) et par voie de
conséquence des coûts ;
- l’adaptation des contrôles aux risques et aux enjeux économiques et financiers ;
- une plus grande assurance quant à l’atteinte des résultats escomptés grâce à la maîtrise
préalable des risques et au respect des procédures.

6
Pour les agents :
- la clarification et la sécurisation des tâches qui leur sont assignées, en levant les facteurs
d’incertitude sur les règles à appliquer ou les procédures à respecter, grâce notamment à la
documentation et à la traçabilité des opérations à effectuer ;
- une meilleure définition et une plus grande stabilité dans l’organisation du travail, opérant dans
un chronogramme d’activités mieux adapté ;
- l’allégement des tâches par la mutualisation des bonnes pratiques et le partage d’une base
méthodologique commune.

2.5- Unicité de langage, respect des normes internationales et diffusion des bonnes pratiques.

L’article 95 du décret portant Règlement Général sur la Comptabilité Publique stipule que « les organes
et corps de contrôle exercent leur mission d’inspection, de vérification ou d’audit, conduisent leurs
investigations et élaborent leur rapport conformément aux normes internationales en vigueur ».
Les normes internationales pertinentes s’agissant d’organes de contrôle administratifs sont celles
édictées notamment par l’Institut de l’Audit Interne (IIA) et ces normes reposent sur le système de
contrôle interne IFAC qui leur sert de fondement. Le système de contrôle interne le plus utilisé est le
référentiel COSO.
L’adoption de tels standards internationaux par les Ministères en charge de l’économie et des finances
et du budget assure à la fois unicité de langage, comparabilité des résultats, diffusion de bonnes
pratiques et crédibilité de l’Etat sur les marchés internationaux.

3. Objet du cadre de référence

L’objet du présent référentiel de contrôle interne est de définir un cadre méthodologique et fonctionnel
commun aux Ministères en charge de l’Economie, des Finances et du Budget. Il revient aux Directeurs
Généraux et aux premiers Responsables des Services rattachés de spécifier les dispositifs de contrôle
interne des structures dont ils ont la charge à partir des objectifs du Contrôle Interne en déclinant les
principes et points d’attention reconnus en la matière.
Dans ce cadre, les objectifs du référentiel de contrôle interne des Ministères en charge de l’Economie,
des Finances et du Budget sont pour le contrôle interne :
₋ d’en fixer le cadre d’exercice ;
₋ de l’inscrire dans l’environnement des Directions Générales et Services rattachés ;
₋ d’en renforcer la compréhension pour ses acteurs ;
₋ de sensibiliser les gestionnaires sur les apports possibles du contrôle interne ;
₋ de fournir des références communes ;
₋ de protéger juridiquement des agents, par l’utilisation d’un référentiel normé et opposable à
tiers;
₋ de valoriser les expériences acquises.

Le référentiel est un outil qui contribue à une plus grande homogénéité des concepts devant être
complété en tant que de besoin par des instructions spécifiques ou des guides d’application auxquels il
s’impose. Les modifications éventuelles de dispositions prévues par le référentiel de contrôle interne,
7
qui seraient rendues nécessaires par la mise en œuvre de nouveaux outils, devront être introduites au
niveau de ce référentiel.
Le référentiel précise par ailleurs les leviers de contrôle mobilisables dans le cadre de la maîtrise des
facteurs exogènes, lesquels n’exonèrent pas les Directions Générales et Services rattachés de la mise
en place d’un dispositif de contrôle interne.
Le référentiel s’adresse à la fois aux Directeurs Généraux et aux Directeurs pour lesquels le contrôle
interne est un outil de pilotage et apporte une aide à la résolution des problématiques de gestion et à la
prise de décision. Les Directeurs Généraux approuvent les dispositifs de contrôle et les Directeurs sont
chargés de la mise en œuvre du contrôle interne dans l’ensemble de leurs Services.

Le présent cadre de référence est à compléter par :

₋ des manuels descriptifs des principaux processus ou macro-processus de Directions Générales
et Services rattachés des Ministères en charge de l’Economie, des Finances et du Budget ;
₋ des fiches d’aide à l’élaboration des matrices de contrôle interne associées aux macro-
processus ;
₋ des cahiers pratiques thématiques.

Les macro-processus proposent, pour chaque processus, une documentation de référence sur la
doctrine, les processus, les règles de gestion, les rôles des acteurs et des préconisations en matière
d’organisation.
Les fiches d’aide comprennent une description systématique des risques potentiellement attachés à
chaque groupe d’activités des macro-processus concernant le respect des objectifs.
Les cahiers pratiques thématiques sont consacrés à des problématiques précises auxquelles il est
accordé un traitement particulier.

4. Déclinaison du cadre de référence au sein des Directions Générales et Services rattachés

Le cadre de référence a vocation à être décliné par chaque Direction Générale et Service rattaché sous
forme de dispositifs de contrôle interne.
La déclinaison du cadre de référence se traduit ainsi au sein des Directions Générales et Services
rattachés des Ministères en charge de l’Economie, des Finances et du Budget par la définition d'une
politique de contrôle interne (objectifs et stratégie de déploiement), par l’organisation du dispositif de
contrôle interne et par la mise en œuvre d’un plan d’actions.
La politique de contrôle interne retenue est fonction :
₋ des risques identifiés par les Directions Générales y compris sur ses processus métier
(cartographie des risques métier s’ajoutant à la cartographie des risques par processus et
description des dispositifs de contrôle retenus) ;
₋ de la criticité des risques identifiés.
Il appartient aux Directions Générales et Services rattachés de préciser l’organisation de contrôle
interne qu’ils retiennent.

8
D’une manière générale, les Directions Générales et les Services rattachés rechercheront et
exploiteront les synergies avec l’organisation du contrôle interne et les instances de pilotage et d’audit
existantes.

4.1- Mise en place du contrôle interne des Ministères en charge de l’Economie, des Finances et du
Budget

La démarche du contrôle interne s’appuie sur des cartographies de risques, l’identification des activités
de contrôle qui permettent de maîtriser ces risques, et la mise en œuvre d’un plan d’action pour
sécuriser les activités de contrôle au sein des Directions Générales et Services rattachés desdits
Ministères.
Les Directions Générales et Services rattachés doivent attendre de la mise en place d’un contrôle
interne qu’il fiabilise et facilite les processus de décision en donnant aux responsables et acteurs une
vision complète, actualisée et prospective de la gestion en cours et de ses conséquences
pluriannuelles. Dans ces conditions, ces Directions et Services doivent être attentifs à ce que le gain en
termes de sécurisation et de fluidité des processus soit obtenu sans alourdissement de la charge de
travail des équipes gestionnaires.
La mise en place du contrôle interne pourra être facilitée par :
₋ le déploiement des systèmes d’informations au sein des Directions Générales et Services
rattachés qui rendent disponibles les données nécessaires au pilotage par la production
d’informations exhaustives et conformes au cadre de la Loi Organique relative aux Lois des
finances (LOLF);
₋ les travaux sur les organisations des Directions Générales et Services rattachés qui identifient
les fonctions à remplir et les acteurs associés ;
₋ la sensibilisation des principaux acteurs des Directions Générales et Services rattachés aux
problématiques et aux méthodes du contrôle interne.

4.2- Conditions d’utilisation du contrôle interne dans les Directions Générales et

Services rattachés des Ministères en charge de l’Economie, des Finances et du Budget

Les méthodes présentées dans ce référentiel nécessiteront le plus souvent d’être déclinées au niveau
de chaque Direction Générale et Service rattaché. En ce sens, chaque Direction Générale et Service
rattaché est responsable de la déclinaison et de la mise en œuvre de ce référentiel sur son périmètre.
Dans ce cadre, les Directions Générales et Services rattachés doivent décliner leur dispositif de
contrôle interne en application de ce référentiel qui précise :
₋ le cadre de référence du contrôle interne ;
₋ les structures de pilotage du contrôle interne aux différents niveaux de responsabilités ;
₋ la cartographie des risques et les dispositifs de maîtrise des risques au regard des objectifs du
contrôle interne ;
₋ les dispositifs de maîtrise sur les processus ;
₋ les outils supports à la mise en œuvre du contrôle interne ;
₋ les structures d’audit permettant d’évaluer le contrôle interne et de l’améliorer.

9
La démarche consiste, à partir des risques identifiés au niveau de chaque Direction Générale et Service
rattaché, à estimer leur impact sur chaque périmètre puis à évaluer la nécessité de déployer les
activités de contrôle mentionnées dans le référentiel de contrôle interne des Ministères en charge de
l’Economie, des Finances et du Budget.

Il s’agit ici d’identifier les dysfonctionnements du service et d’y apporter les solutions idoines. Pour ce
faire, chaque service met en œuvre les activités de contrôle pertinentes pour leur périmètre
d’intervention. L’ensemble de ces dispositifs sera apprécié par les structures d’audit interne.
Les dispositions prévues dans le présent référentiel constituent donc le socle méthodologique commun
à l’ensemble des structures des Ministères en charge de l’Economie, des Finances et du Budget
chargées de mettre en œuvre le contrôle interne.
Toutefois, le périmètre du présent référentiel est plus large et il a vocation à couvrir à terme l’ensemble
des processus et des ressources des Directions Générales et Services rattachés une fois le dispositif
déployé dans son intégralité.

5. Plan du référentiel

Le document est structuré autour de trois parties :

₋ la première partie du référentiel s’attache à présenter les principes généraux de gestion des
risques et de contrôle interne ;
₋ la deuxième partie décrit les composantes du contrôle interne des Ministères en charge de
l’Economie, des Finances et du Budget ;
₋ la troisième partie présente les acteurs du dispositif de contrôle interne des Ministères en charge
de l’Economie, des Finances et du Budget.

10
Première partie : PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET
DE CONTRÔLE INTERNE
La prise de risque est inhérente à toute organisation. Il n’existe pas de croissance, ni de création de
valeur dans une organisation, sans prise de risque. S’ils ne sont pas correctement gérés et maîtrisés,
ces risques peuvent affecter la capacité de l’organisation à atteindre ses objectifs. En continuant à
prévenir et à gérer les risques, les dispositifs de gestion de risques et de contrôle interne jouent un rôle
clé dans la conduite et le pilotage des différentes activités.

1. Principes généraux de gestion des risques

1.1. Définition
La gestion des risques est l’affaire de tous les acteurs de l’organisation. Elle vise à être globale et à
couvrir l’ensemble des activités, processus et actifs de l’organisation.
La gestion des risques est un dispositif dynamique de l’organisation, défini et mis en œuvre sous sa
responsabilité.
La gestion des risques comprend un ensemble de moyens, de comportements, de procédures et
d’actions adaptés aux caractéristiques de chaque organisation qui permet aux dirigeants de maintenir
les risques à un niveau acceptable pour l’organisation.

1.1.1 La notion de risques

Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient
susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de l’organisation ou sa
réputation. Le risque se mesure en termes d’impact et de probabilité.

1.2. Les objectifs de la gestion des risques

La gestion des risques est un levier de gestion de l’organisation qui contribue à :

 Créer et préserver la valeur, les actifs et la réputation de l’organisation :

La gestion des risques permet d’identifier et d’analyser les principales menaces et
opportunités potentielles de l’organisation. Elle vise à anticiper les risques au lieu de les subir,
et ainsi à préserver la valeur, les actifs et la réputation de l’organisation.

 Sécuriser la prise de décision et les processus de l’organisation pour favoriser l’atteinte des
objectifs :
La gestion des risques vise à identifier les principaux événements et situations susceptibles
d’affecter de manière significative la réalisation des objectifs de l’organisation. La maîtrise de
ces risques permet ainsi de favoriser l’atteinte desdits objectifs.La gestion des risques est
intégrée aux processus décisionnels et opérationnels de l’organisation. Elle est un des outils
de pilotage et d’aide à la décision.
La gestion des risques permet de donner aux dirigeants une vision objective et globale des
menaces et opportunités potentielles de l’organisation, de prendre des risques mesurés et

11
 réfléchis et d’appuyer ainsi leurs décisions quant à l’attribution des ressources humaines et
financières.
 Favoriser la cohérence des actions avec les valeurs de l’organisation :
De nombreux risques sont le reflet d’un manque de cohérence entre les valeurs de
l’organisation et les décisions et actions quotidiennes. Ces risques affectent principalement la
crédibilité de l’organisation.
 Mobiliser les collaborateurs de l’organisation autour d’une vision commune des principaux
risques et les sensibiliser aux risques inhérents à leur activité.

1.3. Composantes du dispositif de gestion des risques

Il appartient à chaque organisation de mettre en place un dispositif de gestion des risques adapté à ses
caractéristiques propres.
Le dispositif de gestion des risques prévoit :
 Un cadre organisationnel comprenant :
o une organisation qui définit les rôles et responsabilités des acteurs, établit les
procédures et les normes claires et cohérentes du dispositif,
o une politique de gestion des risques qui formalise les objectifs du dispositif en
cohérence avec la culture de l’ organisation, le langage commun utilisé, la démarche
d’identification, d’analyse et de traitement des risques, et le cas échéant, les limites que
l’organisation détermine (tolérance pour le risque),
o un système d’information qui permet la diffusion en interne d’informations relatives aux
risques.

 Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à
l’organisation, trois étapes :
o Identification des risques : étape permettant de recenser et de centraliser les principaux
risques, menaçant l’atteinte des objectifs. Un risque représente une menace ou une
opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et
une ou plusieurs conséquences. L’identification des risques s’inscrit dans une
démarche continue.
o Analyse des risques : étape consistant à examiner les conséquences potentielles des
principaux risques (conséquences qui peuvent être notamment financières, humaines,
juridiques, ou de réputation) et à apprécier leur possible occurrence. Cette démarche
est continue.
o Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus
adapté(s) à l’organisation. Pour contenir les risques dans les limites acceptables,
plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression
ou l’acceptation d’un risque. Le choix de traitement s’effectue notamment en arbitrant
entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant
en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.

12
  Un pilotage en continu du dispositif de gestion des risques :
o Le dispositif de gestion des risques fait l’objet d’une surveillance et d’une revue
régulière, son suivi permet l’amélioration continue du dispositif. L’objectif est d’identifier
et d’analyser les principaux risques, et de tirer des enseignements des risques
survenus.

2. Articulation entre la gestion des risques et le contrôle interne

Le développement d’un contrôle interne efficace ne peut se concevoir sans une analyse préalable et
pertinente des risques.
Les dispositifs de gestion des risques et de contrôle interne participent de manière complémentaire à la
maîtrise des activités de l’organisation :
o Le dispositif de gestion des risques vise à identifier et analyser les principaux risques
de l’organisation. Les risques, dépassant les limites acceptables fixées par
l’organisation, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers
peuvent prévoir la mise en place de contrôles, un transfert des conséquences
financières (mécanisme d’assurance ou équivalent) ou une adaptation de
l’organisation. Les contrôles à mettre en place relèvent du dispositif de contrôle interne.
Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les
activités de l’organisation ;
o De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des
risques pour identifier les principaux risques à maîtriser ;
o En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles,
relevant du dispositif de contrôle interne, destinés à sécuriser son bon fonctionnement.

L'articulation et l'équilibre conjugué des deux dispositifs sont conditionnés par l'environnement de
contrôle, qui constitue leur fondement commun, notamment : la culture du risque et du contrôle propres
à l’organisation et les valeurs éthiques de l’organisation.

3. Principes généraux de contrôle interne

3.1 La définition du contrôle interne
Le contrôle interne est l’ensemble des dispositifs formalisés et permanents décidés par chaque
Direction Générale et Service rattaché mis en œuvre par les responsables de tous les niveaux pour
maîtriser le fonctionnement de leurs activités en vue de fournir une assurance raisonnable quant à la
réalisation, dans le cadre de leurs missions, des objectifs généraux suivants :
₋ exécution d’opérations ordonnées, éthiques, économiques, efficientes et efficaces ;
₋ application des instructions et des orientations fixées par la direction générale ;
₋ respect des obligations de rendre compte ;
₋ conformité aux lois et réglementations en vigueur ;
₋ la fiabilité des informations ;
₋ protection des ressources contre les pertes, les mauvais usages et les dommages.

13
Ces dispositifs doivent avoir pour effet de réduire le risque d’erreurs ou d’omissions significatives et
d’assurer le respect de l’autorisation parlementaire dans ses dimensions annuelles et pluriannuelles.

Il comprend un ensemble de moyens, de comportements, de procédures et d’actions, adaptés aux

caractéristiques propres de chaque Direction Générale et Services rattachés, qui contribuent à la
maîtrise de leurs processus, à l’efficacité de leurs opérations et à l’utilisation efficiente de leurs
ressources.

Le contrôle interne contribue donc à prévenir et maîtriser les risques de ne pas atteindre les objectifs. Il
joue un rôle clé dans la conduite et le pilotage des différentes activités des Directions Générales et les
Services rattachés aux Ministères en charge de l’Economie, des Finances et du Budget.

3.2 Les objectifs du contrôle interne

Les objectifs du contrôle interne sont les suivants :
₋ la conformité aux lois et règlements ;
₋ l’application des instructions et des orientations fixées par les Directions Générales et les
Services rattachés aux Ministères en charge de l’Economie, des Finances et du Budget;
₋ le bon fonctionnement des processus internes, notamment ceux concourant à la sauvegarde de
ses actifs ;
₋ la fiabilité des informations internes et externes.

3.3 Les principes directeurs du contrôle interne

3.3.1 Un effort de contrôle adapté en permanence aux risques et aux enjeux

Le contrôle interne s’appuie sur une analyse des risques dont le résultat est formalisé dans une
cartographie des risques.
Les étapes de l’analyse des risques donnent une première vision du degré de la maîtrise des risques,
elles permettent d'identifier les zones d'absence de contrôle interne, les zones de sur contrôle ou de
contrôle interne défaillant.
Pour porter un jugement sur la réductibilité des risques, le contrôle interne est analysé en fonction de
trois critères :
₋ capacité de prévention
₋ capacité de détection
₋ capacité à réduire l'impact du risque
Un plan d’action permet ensuite le cas échéant de faire évoluer et de compléter les dispositifs de
maîtrise des risques.
La cartographie ou la matrice des risques, mise à jour périodiquement, est un élément à part entière du
dispositif de contrôle interne.

3.3.2 Principe d’organisation : Un dispositif fonctionnel décliné à différents niveaux

Le contrôle interne repose sur un socle de contrôles permanents et périodiques dans le cadre d’une
organisation où sont clairement définis les procédures, les pouvoirs et les responsabilités.

14
Le contrôle interne concerne tous ceux dont l’activité peut avoir un impact sur les processus. En
conséquence, le contrôle interne est exercé par tous et porté par l’encadrement.
Il est décliné à chaque niveau de l’entité dans une logique de délégation fonctionnelle : l’organisation du
contrôle interne s’appuie avant tout sur le principe de subsidiarité qui se définit comme la prise en
charge d’une action par l’échelon de l’organisation le plus pertinent en fonction de critère d’efficience et
de régularité.
L’échelon supérieur intervient sur l’échelon subordonné en permanence, au titre du contrôle de
supervision pour s’assurer de la qualité des actions accomplies par ce dernier et de la pertinence de
ses décisions.
L’existence d’un contrôle interne totalement déployé est le garant du respect de la subsidiarité des
interventions des uns et des autres. Le contrôle de supervision permet en effet de donner à chaque
échelon supérieur l’assurance que l’activité est maîtrisée. Une chaîne continue des contrôles doit être
mise en place et auditée pour donner aux échelons décisionnels une assurance raisonnable que les
informations produites sont d’un niveau de qualité suffisant pour leur permettre de prendre des
décisions éclairées.
S'agissant de l’organisation, le dispositif retenu repose sur un découpage en trois niveaux articulés sur
les niveaux de responsabilité.
Le premier niveau de maîtrise dit « technique » s'exerce sur les activités de programmation et
d’exécution des entités attributaires des tâches conformément aux macro-processus et à leur
déclinaison au sein de l’organisation. Il se matérialise par l’identification des points de contrôle définis
dans les procédures. Ce niveau de maîtrise vise à s’assurer en premier lieu du respect des critères de
qualité des processus au sein d’une entité donnée. Ces contrôles sont intégrés au fonctionnement
courant du service. Ces dispositifs sont mis en œuvre par les services exécutants sur l’ensemble des
activités de programmation et d’exécution. En ce sens, il procède d'une démarche de maîtrise des
risques.
Le deuxième niveau de maîtrise dit « opérationnel » se traduit par les modalités de mise en œuvre
opérationnelle des orientations stratégiques. A ce titre, ce niveau est en charge, sur un périmètre
donné, d’une part d’effectuer des actions de contrôle en propre, et d’autre part, de piloter et de contrôler
le dispositif de maîtrise des risques de premier niveau. Il permet en conséquence de s’assurer de la
fiabilité du dispositif de maîtrise de premier niveau.
A ce titre, ce niveau est en charge de définir, sur un périmètre donné, un dispositif de maîtrise des
risques en conformité avec les orientations définies par le niveau stratégique. Par ailleurs, il aide les
acteurs relevant du niveau de maîtrise technique :
o à identifier les processus et groupes d’activités du périmètre nécessitant des contrôles
particuliers.
o à conduire une analyse des risques résultant de l’exécution par le contrôle interne de premier
niveau des procédures et tâches qu’il a décrites, au vu des objectifs.
o à déterminer ensuite le positionnement et la nature des contrôles réalisés par le contrôle interne
de premier niveau (autocontrôles, contrôles mutuels, contrôles de supervision), afin de maîtriser
ces risques.
Sur ce périmètre, il effectue des actions de contrôle en propre, et il organise, décrit, pilote, et contrôle le
dispositif de maîtrise des risques de premier niveau. Il permet en conséquence de s’assurer de la
fiabilité du dispositif de niveau technique. Ce niveau est porté par les Directeurs Centraux qui en

15
définissent les principes d’organisation ; le cas échéant, en liaison avec les entités organiques pour la
mise en œuvre.
Le troisième niveau de maîtrise dit « stratégique » est un niveau de conception, d'animation et de
pilotage du dispositif de contrôle interne. A ce titre, il assure principalement cinq fonctions liées :
₋ un rôle de conception du dispositif de maîtrise des risques. Il décrit les choix et les priorités
d’intervention permettant d’atteindre les buts définis ;
₋ un rôle d’élaboration et de validation du plan d’action annuel ;
₋ un rôle de pilotage et de coordination dans la mise en œuvre du contrôle interne;
₋ un rôle de suivi de certains thèmes pour lesquels les risques et/ou les enjeux sont considérés
comme particulièrement importants en raison de leur impact potentiel, direct ou indirect ;
₋ un rôle d’identification des risques susceptibles de mettre en péril l’équilibre physico-financier
de l’organisation, qui ne peuvent pas être appréhendés par les niveaux de maîtrise technique et
opérationnel.
Ce niveau est porté par les Directeurs Généraux.
Le Comité de Contrôle et d’audit internes assure la définition du cadre de référence et son pilotage aux
niveaux ministériels.

Pour une organisation et une coordination efficientes des acteurs du contrôle interne au sein de
l’organisation, il faut :
₋ impliquer tous les acteurs ;
₋ clarifier le rôle des organes de gouvernance ;
₋ renforcer le rôle du comité d'audit ;
₋ concilier indépendance et insertion opérationnelle des acteurs du contrôle interne ;
₋ coordonner l'action des acteurs du contrôle interne ;
₋ disposer d'un langage commun et partager les résultats des travaux ;
₋ adapter en permanence les moyens du contrôle interne aux missions des Directions Générales
et Services rattachés.

16
 4. Les leviers du contrôle interne
La mise en place d’un contrôle interne est une démarche propre à chaque Direction Générale et Service
rattaché.
Elle s’appuie sur :
- le présent cadre de référence ;
- le recueil des règles en matière économique et financière ;
- des procédures documentées sur les processus qui composent les macro-processus ou leurs
déclinaisons ;
- des outils supports de la programmation ;
- une cartographie et un dispositif de maîtrise des risques ;
- des ressources d’animation du contrôle interne ;
- des structures de pilotage du contrôle interne aux différents niveaux de responsabilité ;
- des structures ministérielles d’audit interne chargées notamment d’évaluer le contrôle interne et
de contribuer, par les missions effectuées, à l’améliorer ;
- un dispositif de communication et de reporting.

5. Les composantes du contrôle interne

Préalables
Les grandes orientations en matière de contrôle interne sont déterminées en fonction des objectifs de
l’organisation. Ces objectifs doivent être déclinés dans l’organisation et clairement communiquées aux
collaborateurs afin que ces derniers comprennent et adhèrent à la politique de l’organisation en matière
de risques et de contrôle interne. Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des
règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les
collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel
pourraient survenir des manquements graves à l’éthique des affaires. En effet, le dispositif de contrôle
interne ne peut empêcher lui seul que des personnes de l’organisation commettent une fraude,
contreviennent aux dispositions légales ou réglementaires, ou communiquent à l’extérieur de
l’organisation des informations trompeuses sur sa situation. Dans ce contexte, l’exemplarité constitue
un vecteur essentiel de diffusion des valeurs au sein de l’organisation.

Composantes
Selon le COSO 2013, le référentiel de contrôle interne universellement adopté et préconisé par les
textes de l’UEMOA relatifs aux Finances publiques, les composantes du contrôle interne sont au
nombre de cinq (5).

5.1 L’environnement de contrôle

L’environnement dans lequel les personnes accomplissent leurs tâches et assument leurs
responsabilités, ainsi que les qualités individuelles des collaborateurs, leur intégrité, leur éthique et leur
compétence, constituent le socle de toute organisation.

17
L’environnement de contrôle est la « culture » du contrôle interne au sein des Directions Générales et
Services rattachés des Ministères en charge de l’Economie, des Finances et du Budget. Il constitue le
fondement de tous les autres éléments du contrôle interne.
L’environnement de contrôle comprend :
- le degré d’engagement des responsables des Ministères et des directions générales dans la
démarche de contrôle interne;
- une organisation appropriée, structurée autour des macros processus représentant le cadre
dans lequel les activités nécessaires à la réalisation des objectifs sont planifiées, exécutées,
suivies et contrôlées ;
- la définition claire des responsabilités sur les macros processus, ainsi que des délégations de
signature et de pouvoir, en fonction des objectifs des Directions Générales et Services
rattachés et en respectant le principe de séparation des tâches;
- la politique de gestion des ressources humaines qui devrait permettre de recruter des
personnes possédant les connaissances et compétences nécessaires à l’exercice de leurs
responsabilités et à l’atteinte des objectifs actuels et futurs des Directions Générales et
Services rattachés;
- des systèmes d’informations urbanisés garantissant la traçabilité, la fiabilité et l’auditabilité des
données ;
- les procédures et les pratiques communément admises au sein des Directions Générales et
Services rattachés.
Principes et points d’attention de l’environnement de contrôle
L’environnement de contrôle est caractérisé par cinq principes, eux-mêmes expliqués par les vingt
points d’attention listés ci-après :

Principe 1 : L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques :

- fait preuve d’exemplarité - Le conseil et le management, à tous les niveaux de l'entité,
démontrent à travers leurs instructions, leurs actes et leur comportement, l'importance de
l'intégrité et des valeurs éthiques pour le bon fonctionnement du système de contrôle interne ;
- établit les normes de conduite - Les attentes du conseil et de la direction générale quant à
l'intégrité et les valeurs éthiques sont définies dans les normes de conduite et sont comprises à
tous les niveaux de l'organisation, ainsi que par les prestataires externes et autres partenaires ;
- évalue l'adhésion aux normes de conduite - Les processus sont en place pour évaluer la
performance individuelle et collective au regard des normes de conduite définies ;
- gère les écarts en temps voulu- Les écarts par rapport aux normes de conduite de l'entité sont
identifiés et résolus en temps voulu et de façon cohérent.

Principe 2 : Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en

place et le bon fonctionnement du dispositif de contrôle interne :
- établit les responsabilités de surveillance - Le conseil appréhende et accepte ses
responsabilités de surveillance dans le cadre des exigences et des attentes exprimées ;
- met en œuvre l'expertise requise- Le conseil définit, maintient et évalue périodiquement les
compétences et l'expertise requises parmi ses membres pour leur permettre de poser des
questions pertinentes à la direction générale et de suivre les actions qui s'imposent ;

18
 - agit en toute indépendance - Le conseil compte suffisamment de membres indépendants du
management et agissant objectivement dans leurs évaluations et leurs prises de décisions ;
- assure la surveillance du système de contrôle interne - Le conseil a la responsabilité de la
surveillance concernant la conception, la mise en œuvre et le pilotage du contrôle interne par le
management.

Principe 3 : Le management, agissant sous la surveillance du Conseil, définit les structures, les
rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs :
- prend en compte l'ensemble des structures de l'entité - Le management et le conseil prennent
en compte la complexité des structures organisationnelles (unités opérationnelles, entités
juridiques, distribution géographique et prestataires externes) utilisées pour contribuer à la
réalisation des objectifs ;
- Établit les rattachements - Le management définit et évalue les rattachements pour chaque
structure de l'entité afin de favoriser l'exercice des pouvoirs et des responsabilités et le flux
d'informations nécessaires à la gestion des activités de l'entité ;
- définit, assigne et délimite les pouvoirs et les responsabilités - Le management et le conseil
délèguent les pouvoirs, définissent les responsabilités, utilisent des processus et des systèmes
d’information appropriés pour assigner les responsabilités et séparer les tâches comme il
convient aux différents niveaux de l'organisation.

Principe 4 : L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs
compétents conformément aux objectifs :
- établit des règles et des pratiques - Les règles et les pratiques reflètent les compétences
attendues, nécessaires à la réalisation des objectifs ;
- évalue les compétences disponibles et remédie aux carences - Le conseil et le management
évaluent les compétences disponibles dans l'ensemble de l'organisation et chez les prestataires
externes au regard de règles et de pratiques établies, et le cas échéant, prennent des mesures
pour remédier aux carences ;
- attire, forme et fidélise les personnes - L'organisation prévoit le mentorat et la formation
nécessaires pour attirer, former et fidéliser suffisamment de collaborateurs compétents et de
prestataires externes pour réaliser ses objectifs ;
- planifie et prépare la succession - La direction générale et le conseil élaborent des plans pour
assurer la continuité des responsabilités clés en matière de contrôle interne.

Principe 5 : l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en
matière de contrôle interne afin d’atteindre ses objectifs :
- instaure un devoir de rendre compte à travers les structures, les pouvoirs et les responsabilités
- Le management et le conseil déterminent les mécanismes pour la communication et le devoir
de rendre compte de chacun en matière de contrôle interne, et prennent, si nécessaire, les
mesures correctives ;
- établit des indicateurs de performance, les mesures d'incitation et les gratifications - Le
management et le conseil établissent des indicateurs de performance, des mesures d'incitation
et des gratifications pour les responsabilités à tous les échelons de l'entité, en tenant compte du

19
 niveau de performance et des normes de conduite attendus, ainsi que de la réalisation des
objectifs à court et à long termes ;
- évalue en continu la pertinence des indicateurs de performance, des mesures d'incitation et des
gratifications – Le management et le conseil alignent les mesures d'incitation et les
gratifications sur la réalisation des responsabilités liées au contrôle interne en vue de la
réalisation des objectifs ;
- tient compte des pressions excessives - Le management et le conseil évaluent et limitent les
pressions associées à la réalisation des objectifs lorsqu'ils assignent les responsabilités,
définissent les indicateurs de performance et évaluent les performances ;
- évalue les performances individuelles et récompense ou sanctionne les personnes - Le
management et le conseil évaluent l'exercice des responsabilités liées au contrôle interne,
notamment le respect des normes de conduite et les niveaux de compétence attendus et
récompensent ou sanctionnent selon le cas.

5.2 L’évaluation des risques

L’évaluation des risques repose sur l’existence des étapes suivantes :
- une définition des objectifs stratégiques, opérationnels, de qualité de l’information et de
conformité aux lois et règlements et des limites explicites d’exposition assumée au risque ou de
tolérance au risque de l’entité ;
- une identification des opportunités et des risques inhérents aux activités métier ;
- une évaluation des risques débouchant sur une cartographie des risques, à la fois au niveau
des Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances et du Budget (macro évaluation) et au niveau de chaque périmètre de gestion (micro
évaluation). La cartographie des risques restitue la gravité et la fréquence évaluées des risques
identifiés, sur la base d’une nomenclature des risques ;
- un traitement du risque (politiques de prévention ou de protection) en tenant compte du rapport
coût/bénéfice.
L’évaluation des risques doit être réalisée en prenant en compte l’impact qu’ils peuvent avoir sur
l’atteinte des objectifs.

Principes et points d’attention de l’évaluation des risques

L’évaluation des risques est caractérisée par quatre (4) principes, eux-mêmes caractérisés par les
vingt-sept (27) points d’attention listés ci-après :

Principe 1 : L’organisation définit des objectifs de façon suffisamment claire pour rendre possible
l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
Les objectifs liés aux opérations :
- reflètent les choix du management - Les objectifs opérationnels reflètent les choix du
management concernant la structure, le secteur d’activité et la performance de l’entité ;
- prennent en compte les seuils de tolérance au risque - Le management établit les écarts
acceptables par rapport à l’atteinte des objectifs opérationnels ;

20
 - englobent des cibles de performance opérationnelle et financière - Les performances
opérationnelles et financières souhaitées sont reflétées dans les objectifs opérationnels ;
- constituent les bases de l'allocation des ressources - Le management se base sur les objectifs
opérationnels pour affecter les ressources nécessaires à la réalisation de la performance
opérationnelle et financière souhaitée.

Les objectifs liés au reporting financier externe :

- respectent les normes comptables applicables - Les objectifs de reporting financier sont
cohérents avec les principes comptables adéquats et pertinents pour l’entité. Les principes
comptables retenus sont appropriés aux circonstances ;
- tiennent compte de la matérialité - Le management tient compte de la matérialité dans la
présentation des états financiers ;
- reflètent les activités de l’entité - Le reporting externe reflète les transactions et les événements
sous-jacents, dans le respect des critères de qualité communément admis.

Les objectifs liés au reporting extra-financier externe :

- respectent les normes et les référentiels externes - Le management définit des objectifs
conformes aux lois et règlements, ou aux normes et aux référentiels d'organismes externes
reconnus ;
- prennent en compte le niveau de précision requis- Le management prend en compte le niveau
de précision et d'exactitude requis pour les besoins des utilisateurs et des critères fixés par les
tiers pour le reporting extra financier ;
- reflètent les activités de l'entité - Le reporting externe reflète les transactions et les événements
sous-jacents dans des limites acceptables.

Les objectifs liés au reporting interne :

- reflètent les choix du management - Le reporting interne fournit au management des
informations exactes et exhaustives sur ses choix, et celles dont il a besoin pour gérer l’entité ;
- tiennent compte du niveau de précision requis- Le management tient compte du niveau de
précision et d'exactitude requis pour les besoins de l'utilisateur en termes d'objectifs de
reporting extra-financier et de matérialité dans le cadre des objectifs de reporting financier ;
- reflètent les activités de l’entité - Le reporting interne reflète les transactions et les événements
sous-jacents dans des limites acceptables.

Les objectifs liés à la conformité :

- reflètent les lois et règlements externes - Les lois et règlements fixent des normes de conduite
minimales que l'entité intègre dans ses objectifs de conformité ;
- prennent en compte les seuils de tolérances au risque - Le management prend en compte les
variations acceptables dans l’atteinte des objectifs de conformité.

21
Principe 2 : L'organisation identifie les risques susceptibles d’affecter la réalisation de ses objectifs dans
l'ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être
gérés :
- englobe l’entité, les filiales, les divisions, les unités opérationnelles et les services fonctionnels -
L'organisation identifie et évalue les risques à l'échelle globale, au niveau des filiales, des
divisions, des unités opérationnelles et des services fonctionnels impliqués dans la réalisation
des objectifs ;
- analyse les facteurs internes et externes - L'identification des risques tient compte des facteurs
internes et externes et de leur impact sur la réalisation des objectifs ;
- implique les niveaux appropriés du management - L'organisation met en place des dispositifs
efficaces d'évaluation des risques qui impliquent les niveaux appropriés du management ;
- estime l'importance des risques identifiés- Les risques identifiés sont analysés grâce à un
processus qui inclut l'estimation de l'importance potentielle des risques ;
- détermine les modalités de traitement des risques - L'évaluation des risques permet de définir
la façon dont le risque doit être géré et s'il doit être accepté, évité, réduit ou partagé.

Principe 3 : L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de
compromettre la réalisation des objectifs :
- envisage différents types de fraude - L'évaluation du risque de fraude couvre la communication
frauduleuse, la perte éventuelle d'actifs, et la corruption découlant des différentes possibilités
de survenance d'une fraude ou d'un comportement répréhensible ;
- évalue les incitations et les pressions - L'évaluation du risque de fraude tient compte des
incitations et des pressions ;
- évalue les opportunités - L'évaluation du risque de fraude considère les opportunités
d'acquisition, d'utilisation ou de cession non autorisées d'actifs, de modification des registres
comptables ou d'autres agissements inappropriés ;
- évalue les comportements et les justifications - L'évaluation du risque de fraude tient compte de
la façon dont le management et les collaborateurs pourraient commettre ou justifier des actes
inappropriés.

Principe 4 : L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif
sur le système de contrôle interne :
- évalue les évolutions de l'environnement externe - Le processus d'identification des risques
tient compte des évolutions de l'environnement réglementaire, économique et physique dans
lequel l'entité exerce ses activités ;
- évalue les évolutions du modèle économique- L'organisation tient compte de l'impact potentiel
de nouvelles lignes d'activité, des changements en profondeur affectant les lignes existantes, et
des activités acquises ou cédées sur le système de contrôle interne, d’une croissance rapide,
de l'évolution de la dépendance vis-à-vis de l’étranger, et des nouvelles technologies ;

22
 - évalue les changements de management- L'organisation tient compte de l’effet des
changements de management et des évolutions de comportement et de philosophie de
management sur le système de contrôle interne.

5.3 Les activités de contrôle

Les activités de contrôle sont les dispositifs visant à maîtriser ou à minorer l’impact ou l’occurrence des
risques budgétaires identifiés.
Ils sont propres aux Directions Générales et Services rattachés aux Ministères en charge de
l’Economie, des Finances et du Budget pour faire face à des risques généraux. Ils sont regroupés en
familles de dispositifs et il convient d’en assurer la cohérence d’ensemble.
Les activités de contrôle reposent sur :
- une comitologie qui pilote ces dispositifs afin qu’ils fournissent une assurance raisonnable que
les informations produites sont d’un niveau de qualité suffisant pour permettre aux comités de
prendre des décisions éclairées sur le domaine financier ;
- des acteurs chargés de mettre en œuvre ces activités de contrôle. Il peut aussi s’agir des
acteurs responsables en final de l'activité et du résultat, qui prennent des décisions pour faire
avancer le dispositif de contrôle dans leur limite de délégation ;
- des matrices de maîtrise des risques qui identifient les dispositifs à mobiliser dans le cadre de
la prévention ou la correction des risques et les acteurs associés ;
- des outils ou instruments de travail (guides méthodologiques, modélisation, bureautique,
informatique) qui doivent être adaptés aux besoins de chacun et auxquels chaque utilisateur
doit être dûment formé ;
- des référentiels partagés et cohérents entre eux permettant de garantir la traçabilité, la fiabilité
et l’auditabilité des données financières.

Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans toute fonction,
qu’il s’agisse de contrôles orientés vers la prévention ou la détection, de contrôles manuels ou
informatiques ou encore de contrôles hiérarchiques.
Les activités de contrôle doivent être déterminées en fonction de la nature des objectifs auxquels elles
se rapportent et être proportionnées aux enjeux de chaque processus. Dans ce cadre, une attention
toute particulière devrait être portée aux contrôles des processus de construction et de fonctionnement
des systèmes d’information.

Principes et points d’attention des activités de contrôle

Les activités de contrôle sont caractérisées par trois (3) principes, eux-mêmes caractérisés par les
seize (16) points d’attention listés ci-après :

23
Principe 1 : L'organisation sélectionne et développe des activités de contrôle qui visent à maîtriser et à
ramener à un niveau acceptable les risques susceptibles d’affecter la réalisation des objectifs. A ce titre,
elle :
- relie les activités de contrôle à l'évaluation des risques - Les activités de contrôle permettent de
s'assurer que les modalités de traitement sont mises en œuvre pour gérer et maîtriser les
risques ;
- tient compte des facteurs propres à l'entité - Le management tient compte de la façon dont
l'environnement, la complexité, la nature et l'étendue de ses activités, ainsi que les spécificités
de son organisation, affectent la sélection et le développement des activités de contrôle ;
- se focalise sur les processus métier pertinents - Le management détermine les processus
nécessitant des activités de contrôle ;
- combine différents types d'activités de contrôle - Les activités de contrôle englobent un large
éventail de contrôles et peuvent comprendre un ensemble d'approches équilibrées destinées à
maîtriser les risques, dont des contrôles manuels et automatisés ainsi que des contrôles
préventifs et détectifs ;
- tient compte du niveau auquel doivent s'appliquer les activités de contrôle - Le management
apprécie la nécessité de développer des activités de contrôle aux différents niveaux de l'entité ;
- tient compte de la séparation des tâches - Le management sépare les tâches incompatibles et
lorsqu'il n'est pas possible de le faire, il sélectionne et développe des activités de contrôle
alternatives.

Principe 2 : L'organisation sélectionne et développe des contrôles généraux informatiques pour faciliter
la réalisation des objectifs. A ce titre, elle :
- prend en compte le lien entre l'utilisation des systèmes d’information dans les processus métier
et les contrôles généraux informatiques - Le management comprend et détermine la
dépendance et le lien entre processus métier, contrôles applicatifs et contrôles généraux ;
- met en place les activités pertinentes pour les infrastructures informatiques - Le management
sélectionne et développe les contrôles relatifs à l'infrastructure informatique, qui sont conçus et
mis en œuvre afin de contribuer à l'exhaustivité, l'exactitude et la disponibilité du traitement
informatique ;
- met en place les contrôles pertinents au sein des processus de gestion de la sécurité - Le
management sélectionne et développe des contrôles conçus et mis en œuvre afin de
restreindre les habilitations informatiques aux utilisateurs autorisés dans la limite de leurs
responsabilités, mais également afin de protéger les actifs de l'entité contre les menaces
externes ;
- met en place les contrôles pertinents liés aux processus d'acquisition, de développement et de
maintenance des systèmes d’information - Afin de réaliser ses objectifs, le management
sélectionne et développe des contrôles liés à l'acquisition, au développement et à la
maintenance des systèmes d’information et de son infrastructure.

24
Principe 3 : L'organisation déploie les activités de contrôle par le biais de règles qui précisent les
objectifs poursuivis, et de procédures qui permettent de mettre en œuvre ces règles. A ce titre, elle :
- définit des règles et des procédures à l'appui du déploiement des instructions du management.
Le management établit, grâce à des règles fixant ce qui est attendu et à des procédures
précisant les mesures associées, les contrôles qui seront intégrés aux processus métier et aux
activités quotidiennes du personnel ;
- établit la responsabilité et le devoir de rendre compte de la mise en œuvre des règles et des
procédures. Le management assigne la responsabilité et le devoir de rendre compte des
activités de contrôle au personnel d'encadrement (ou à d'autres collaborateurs) de l'unité
opérationnelle ou de la fonction concernés par le risque ;
- exécute des contrôles en temps voulu. Le collaborateur qui a la responsabilité des contrôles a
été assignée, les exécute dans les délais définis par les règles et les procédures ;
- prend les mesures correctives. Le collaborateur à qui la responsabilité des contrôles a été
assignée, effectue des vérifications et prend des mesures pour traiter les points identifiés dans
le cadre des activités de contrôle ;
- fait appel à des collaborateurs compétents pour réaliser les contrôles. Des collaborateurs
compétents dotés de l'autorité adéquate exécutent les activités de contrôle avec la diligence et
l'attention qui s'imposent ;
- réévalue les règles et les procédures autant que de besoin. Le management revoit
périodiquement les contrôles afin de s'assurer qu'ils restent pertinents, et si nécessaire les
actualise.

5.4 L’information et la communication

Les systèmes d’information et de communication rendent possible l’identification, l’acquisition et
l’échange d’informations sous une forme et dans des délais qui permettent aux personnes concernées
d’exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et
transversalement au sein de l’organisation de façon efficace.
Il s’agit de s’assurer que les acteurs ont la capacité d’avoir accès à des données de qualité et
échangent de manière adéquate l’information dont ils ont besoin pour piloter et contrôler les opérations
sur leur périmètre de responsabilité.
Cet accès à l’information réalisé de manière sécurisée et partagée est ce qui permet de mener à bien
une partie des activités de contrôle. Des procédures sont définies afin de garantir la qualité à la fois de
la gestion et du contenu des systèmes d’information ainsi que de la communication des informations.
Ces procédures sont appliquées, testées et mises à jour en cas d’évolution de l’environnement, de
l’organisation, des systèmes d’information et des besoins des utilisateurs.

5.4.1 La qualité et la disponibilité des informations et des systèmes d’information

25
Les systèmes d’information jouent un rôle majeur dans la mise en œuvre de la stratégie et du contrôle
interne des Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances et du Budget. Les responsables en tirent toutes les conséquences en termes de gouvernance
de ces systèmes et de suivi de leur fonctionnement.
L’ensemble des systèmes d’informations (SYGMAP, SIGFIP, ASTER, SYDAM WORLD, SIGICI,
SIGEP, etc…) des différents services opérationnels des Directions Générales et Services rattachés aux
Ministères en charge de l’Economie, des Finances et du Budget constituent le système de référence en
matière de production des données.
Les stratégies des Directions Générales et Services rattachés aux Ministères en charge de l’Economie,
des Finances et du Budget se traduisent dans le pilotage du système d'information décisionnel. L’enjeu
est de donner une information pertinente, fiable, traçable et auditable, et à échéance attendue aux
responsables pour leur permettre d’accomplir leur action de pilotage et de contrôle de manière efficiente
et efficace.
Les procédures décrivent comment les processus de gestion des systèmes d'information sont organisés
dans le cadre de leur gouvernance. Elles répartissent les responsabilités (définition, mise en place,
renseignement, test, approbation des changements apportés, utilisation, accès), notamment quant à la
gestion des systèmes d'information, aux applications qui les composent, aux transactions mises en
place et aux données des systèmes d’information.
Les procédures prévoient les éléments de reporting et de communication sur ces sujets. Elles
définissent également les processus d’évolution de ces systèmes afin de les adapter aux nouveaux
besoins des utilisateurs ou prescripteurs. Elles incluent également un dispositif assurant la remontée et
le traitement des anomalies rencontrées lors de l’utilisation des différentes applications constituant les
systèmes d’information.

5.4.2 La sécurité des informations et des systèmes d’information

L’organisation et le fonctionnement de l’ensemble des systèmes d’information font l’objet de règles
précises en matière d’accès au système, de validation des traitements et de procédure de clôture, de
conservation des données et de vérifications des enregistrements. Ces éléments sont décrits dans les
procédures concernant la gestion des systèmes d’information.
L’accès aux applications et aux données est sécurisé. Des protocoles de sécurité sont définis, qui
portent en particulier sur la gestion des habilitations et les accès aux systèmes d’information (y compris
accès à distance).
La gestion des habilitations garantit les règles de séparation des fonctions (exemple : séparation des
fonctions d’administrateur système et d’utilisateur).
Les procédures prévoient la vérification de l’efficacité du système de sécurité. Des systèmes de suivi
permettent de réagir aux éventuelles interruptions de l'activité notamment celles dues à des incidents
causés par des intrusions malveillantes. Les infractions à la sécurité et les autres incidents sont
systématiquement enregistrés et revus pour en tirer les enseignements et ajuster les protocoles en
conséquence.

26
Les procédures prennent également en compte les problématiques d’archivage des documents papiers
et numériques et incluent la sauvegarde des données (fréquence, sensibilité des données, lieux de
sauvegarde, ...).

Principes et points d’attention de l’Information et la communication

L’information et la communication sont caractérisées par trois (3) principes, eux-mêmes caractérisés
par les quatorze (14) points d’attention listés ci-après :

Principe 1 : L'organisation obtient, produit et utilise des informations pertinentes et de qualité pour
faciliter le fonctionnement du contrôle interne. A ce titre, elle :
- identifie les besoins d'information - un processus est en place afin d'identifier les besoins
d'informations nécessaires au fonctionnement du contrôle interne et à la réalisation des
objectifs de l’entité ;
- s’appuie sur des données d’origine interne et externe - les systèmes d’information permettent
d'accéder aux sources internes et externes de données ;
- traite les données pertinentes - les systèmes d’information utilisent des données pertinentes
pour les transformer en informations ;
- garantit la qualité tout au long du traitement - les systèmes d’information produisent en temps
voulu des informations à jour, exactes, exhaustives, accessibles, protégées, vérifiables et
conservées. Les informations sont examinées afin d'évaluer leur pertinence dans le cadre de la
mise en œuvre des composantes du contrôle interne ;
- prend en compte le rapport coûts/bénéfices - la nature, la quantité et la précision des
informations communiquées sont proportionnées aux objectifs, et contribuent à leur réalisation.

Principe 2 : L'organisation communique en interne l’information nécessaire au bon fonctionnement du

contrôle interne, notamment les informations relatives aux objectifs et aux responsabilités du contrôle
interne. A ce titre, elle :
- communique des informations relatives au contrôle interne - un processus est en place afin de
communiquer les informations nécessaires pour permettre à l'ensemble des collaborateurs de
comprendre et d'exercer leurs responsabilités en matière de contrôle interne ;
- communique avec le conseil - le management et le conseil communiquent de telle sorte que
ces deux organes détiennent les informations nécessaires pour remplir leur rôle dans la
poursuite des objectifs de l’entité ;
- offre des canaux de communication spécifiques - des canaux de communication spécifiques,
tels que des dispositifs d'alerte, sont en place à titre de mécanismes de sécurité permettant une
communication anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou
inefficaces ;
- sélectionne un mode de communication adéquat - le mode de communication est choisi en
tenant compte de la nature, des destinataires et des délais de transmission des informations.

27
Principe 3 : L'organisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du
contrôle interne. A ce titre, elle :
- communique aux tiers - des processus sont en place pour communiquer en temps voulu des
informations pertinentes aux tiers, notamment aux actionnaires, partenaires, propriétaires,
régulateurs, clients, analystes financiers et autres tiers ;
- permet de recevoir des communications - des canaux de communication ouverts permettent de
recevoir des informations provenant de clients, consommateurs, fournisseurs, auditeurs
externes, régulateurs, analystes financiers et d'autres tiers, de sorte que le management et le
conseil disposent d'informations pertinentes ;
- communique avec le conseil - les informations pertinentes découlant d'évaluations réalisées par
des tiers sont communiquées au conseil ;
- met à disposition des canaux de communication spécifiques. Des canaux de communication
spécifiques, tels que des dispositifs d'alerte, sont en place comme mécanismes de sécurité
permettant une communication anonyme ou confidentielle lorsque les canaux habituels sont
inopérants ou inefficaces ;
- sélectionne un mode de communication approprié- le choix du mode de communication tient
compte de la nature et des destinataires de la communication, des aspects liés au délai, des
obligations légales, réglementaires ou fiduciaires et des attentes.

5.5 Le pilotage
L’efficacité du contrôle interne doit elle-même être contrôlée grâce à la mise en place d’évaluations
périodiques (audit interne et externe) et d’un système de pilotage permanent. Comme tout système, le
dispositif de contrôle interne doit faire l’objet d’un pilotage permanent. Il s’agit de vérifier sa pertinence
et son adéquation aux objectifs fixés par les Directions Générales et Services rattachés en matière de
qualité des informations.
Ce pilotage doit notamment prendre en compte l’analyse des principaux écarts constatés, le résultat
des contrôles réalisés ainsi que des travaux effectués par l’audit interne.
Par ailleurs, le pilotage du dispositif de contrôle interne peut utilement être complété par une veille
active sur les meilleures pratiques en matière de contrôle interne conduisant, si nécessaire, à la mise en
œuvre d’actions correctives et à l’adaptation du dispositif de contrôle interne.
Pour assurer la mise en œuvre de ces attendus, le dispositif de pilotage du contrôle interne s’appuie sur
:
- Un dispositif de gouvernance propre au contrôle interne ;
- Une mesure de la performance du dispositif de contrôle interne ;
- Une mesure du niveau de mise en œuvre du plan d’action de contrôle interne.

28
Principes et points d’attention du Pilotage
Le pilotage est caractérisé par deux (2) principes, eux-mêmes caractérisés par les dix (10) points
d’attention listés ci-après :

Principe 1 : L'organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles
pour s'assurer que les composantes du contrôle interne sont mises en place et fonctionnent. A ce titre,
elle :
- envisage une combinaison d'évaluations continues et d'évaluations ponctuelles- le
management combine de manière équilibrée les évaluations continues et les évaluations
ponctuelles ;
- prend en compte le rythme des changements- le management tient compte du rythme de
changement des activités et des processus métier lors de la sélection et du développement des
évaluations continues ou ponctuelles ;
- s’appuie sur un niveau de référence - un état des lieux de la conception et de l'état du système
de contrôle interne permet de définir le niveau de référence des évaluations continues ou
ponctuelles ;
- fait appel à des collaborateurs avertis- les collaborateurs chargés des évaluations continues ou
ponctuelles possèdent des connaissances suffisantes pour comprendre les processus évalués ;
- intègre les évaluations continues dans le cœur des processus métier- les évaluations continues
sont intégrées dans les processus métier et peuvent être modifiées en fonction de l'évolution du
contexte ;
- ajuste le périmètre et la fréquence- le management modifie le périmètre et la fréquence des
évaluations ponctuelles en fonction des risques ;
- évalue objectivement- des évaluations ponctuelles sont réalisées périodiquement afin d'obtenir
des informations objectives.

Principe 2 : L'organisation évalue et communique les déficiences de contrôle interne en temps voulu
aux responsables des mesures correctives, y compris, le cas échéant, à la direction générale et au
conseil. A ce titre, elle :
- évalue les résultats-le management et/ou le conseil, selon le cas, évaluent les résultats des
évaluations continues et des évaluations ponctuelles ;
- communique les déficiences - les déficiences sont communiquées aux parties chargées de
prendre des mesures correctives ainsi qu'à la direction générale et au conseil, le cas échéant ;
- effectue le suivi des mesures correctives - le management effectue un suivi afin de s'assurer
que les déficiences sont corrigées dans des délais appropriés.

6. Périmètre de la gestion des risques et du contrôle interne

Il appartient à chaque organisation de mettre en place des dispositifs gestion des risques et de contrôle
interne adaptés à sa situation.

29
 7. Acteurs de la gestion des risques et du contrôle interne
La gestion des risques et du contrôle interne est l’affaire de tous, des organes de gouvernance à
l’ensemble des collaborateurs de l’organisation.

8. Limites de la gestion des risques et du contrôle interne

Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien appliqués
soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de l’organisation.
La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de l’organisation. Il existe en
effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs,
notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de
dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples
erreurs.
Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à saisir et le
coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence
et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses.

30
Deuxième partie : LES PRINCIPES DIRECTEURS DU CONTROLE
INTERNE ET LES COMPOSANTES DU CONTROLE INTERNE DES
MINISTÈRES EN CHARGE DE L’ECONOMIE, DES FINANCES, DU
BUDGET ET DU PORTEFEUILLE DE L’ETAT

1. Les principes directeurs du contrôle interne

Le contrôle interne au sein des Directions Générales et Services rattachés des Ministères en charge de
l’Economie, des Finances, du Budget et du Portefeuille de l’Etat s’appuie sur une analyse des risques
économique, financière, monétaire, budgétaire, douanière et fiscale en plus des risques opérationnels
dont le résultat est formalisé dans une cartographie des risques mise à jour périodiquement.
Le dispositif de contrôle interne retenu dans les Directions Générales et Services rattachés des
Ministères en charge de l’Economie, des Finances et du Budget repose sur un découpage en trois
niveaux articulés sur les niveaux de responsabilité.
Le premier niveau de maîtrise dit « technique » s'exerce sur les activités de programmation et
d’exécution des entités attributaires des tâches conformément aux macro-processus et à leur
déclinaison au sein des Directions Générales et Services rattachés. Ce niveau est porté par les chefs
de service et le personnel.
Le deuxième niveau de maîtrise dit « opérationnel » se traduit par les modalités de mise en œuvre
opérationnelle des orientations stratégiques. Ce niveau est porté par les Directeurs Centraux.
Le troisième niveau de maîtrise dit « stratégique » est un niveau de conception, d'animation et de
pilotage du dispositif de contrôle interne. Ce niveau est porté par les Directeurs Généraux.
Le Comité de Contrôle et d’audit internes assure la définition du cadre de référence et son pilotage aux
niveaux ministériels.

2. Les composantes du contrôle interne des Ministères en charge de l’Economie,

des Finances, du Budget et du Portefeuille de l’Etat
2.1 L’environnement de contrôle
2.1.1. De responsables impliqués
 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat manifestent leur engagement en faveur de
l’intégrité et de valeurs éthiques. A ce titre, ils :
o définissent les normes de conduite ;
o font preuve d’exemplarité en matière d’intégrité et d’éthique ;
o évaluent le respect des normes de conduite par le management et les collaborateurs,
les prestataires externes et les partenaires ;
o établissent des processus de signalement et de traitement rapide des manquements
aux normes de conduite.

31
 2.1.2 Des responsabilités et des pouvoirs clairement définis

 Le comité ministériel de maîtrise des risques (ou le comité de contrôle interne) fait preuve
d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement
du dispositif de contrôle interne. A ce titre, il :
o définit les rôles, les responsabilités et la délégation de pouvoirs du cabinet ministériel ;
o définit les politiques et les modalités pratiques régissant les réunions entre le conseil et
le management ;
o identifie et examine les candidatures des membres du comité ministériel de maîtrise
des risques ;
o revoit les déclarations et les jugements du management ;
o obtient l’avis de tiers ;
o examine les informations recueillies dans le cadre de dispositifs d’alerte.

 Les Directeurs Généraux, agissant sous la surveillance du comité ministériel de maîtrise des
risques (ou le comité de contrôle interne), définissent les structures, les rattachements, ainsi
que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs. A ce titre, ils :
o définissent les rôles et les rattachements et en évalue la pertinence ;
o définissent les pouvoirs aux différents niveaux du management ;
o établissent et mettent à jour les descriptions de postes et les contrats de services ;
o définissent le rôle des auditeurs internes.

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat instaurent pour chacun un devoir de rendre
compte de ses responsabilités en matière de contrôle interne afin d’atteindre ses objectifs. A ce
titre, ils :
o définissent et confirment les responsabilités ;
o mettent en place des indicateurs de performance et des mesures d’incitation
équilibrées ;
o évaluent les indicateurs de performance et vérifient qu’ils ont l’incidence voulue ;
o établissent un lien entre la rémunération et autres avantages et les performances.

2.1.3 Des compétences mobilisées

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat manifestent leur engagement à attirer, former et
fidéliser des collaborateurs compétents conformément aux objectifs. A ce titre, ils :
o définissent les connaissances, les compétences et l’expertise requises ;
o établissent un lien entre les politiques et les modalités pratiques de recrutement, de
formation et de fidélisation et les critères de compétence des collaborateurs ;
o identifient et mettent en place les programmes de formation nécessaires en matière de
reporting ;
o sélectionnent des prestataires externes appropriés ;

32
 o évaluent les compétences et les comportements des collaborateurs ;
o identifient des successeurs potentiels pour les postes clés en matière de reporting.
2.1.4 Des procédures définies et diffusées
 Des procédures ou modes opératoires précisent la manière dont doit s’accomplir une action ou
un processus et sont diffusés à l’ensemble des agents concernés.

2.1.5 Une organisation appropriée

 Les Directions générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat doivent fournir le cadre dans lequel les activités
nécessaires à la réalisation des objectifs sont planifiées, exécutées, suivies et contrôlées. Les
schémas d'organisation sont adaptés à la taille, aux implantations et aux activités. Ils sont
amenés à évoluer en tant que de besoin en fonction des évolutions de l'environnement, en
particulier en termes institutionnels ou en termes opérationnels (systèmes d'information,
regroupements de services).

2.2 L’évaluation des risques

2.2.1 La fixation et la diffusion des objectifs

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat définissent des objectifs de façon suffisamment
claire pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur
réalisation. A ce titre, ils :
o identifient les informations à publier ainsi que leurs critères de qualité ;
o définissent les objectifs lies au reporting ;
o revoient et mettent à jour la compréhension des normes applicables ;
o prennent en compte les domaines d’activités de l’entité.

2.2.2 L’identification des risques

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat identifient les risques susceptibles d’affecter la
réalisation de leurs objectifs dans l'ensemble de leur périmètre et procèdent à leur analyse de
façon à déterminer comment ils doivent être gérés. A ce titre, ils :
o mettent en œuvre un processus d’identification des risques ;
o évaluent les risques sur la base de la cartographie des risques définie ;
o s’entretiennent avec les collaborateurs de l’entité ;
o évaluent la probabilité et l’importance des risques identifies ;
o prennent en compte les facteurs internes et externes ;
o évaluent les modalités de traitement des risques.

33
 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat intègrent le risque de fraude dans leur
évaluation des risques susceptibles de compromettre la réalisation des objectifs. A ce titre, ils :
o évaluent le risque de fraude ;
o prennent en compte les méthodes visant à contourner les contrôles ou à y déroger ;
o prennent en compte les risques de fraude dans le plan d’audit interne.

2.2.3 La gestion des changements

 Les Directions Générales et Services rattachés Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat identifient et évaluent les changements qui
pourraient avoir un impact significatif sur le système de contrôle interne. A ce titre, ils :
o évaluent les évolutions de l’environnement externe ;
o évaluent les risques liés aux changements significatifs ;
o prennent en compte les changements en matière de succession.

2.3 Les activités de contrôle

2.3.1 L’adaptation continue de l’effort de contrôle aux risques et aux enjeux

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat sélectionnent et développent des activités de
contrôle qui visent à maîtriser et à ramener à un niveau acceptable les risques susceptibles
d’affecter la réalisation des objectifs. A ce titre, ils :
o utilisent des matrices, des ateliers ou un inventaire des activités de contrôle afin de
relever les risques identifiés aux activités de contrôle ;
o mettent en place ou pilotent les activités de contrôle en cas d’externalisation ;
o prennent en compte les activités de contrôle permettant de compenser l’absence de
séparation des tâches ;
o identifient les tâches incompatibles.

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat sélectionnent et développent des contrôles
généraux informatiques pour faciliter la réalisation des objectifs. A ce titre, ils :
o utilisent des matrices de risques et de contrôles pour documenter la dépendance vis-à-
vis des systèmes d’information ;
o évaluent les applications développées par les utilisateurs finaux (End-User
Computing) ;
o mettent en place ou pilotent les activités de contrôle en cas d’externalisation des
prestations informatiques ;
o configurent l’infrastructure des systèmes d’information de façon à permettre la
restriction des accès et la séparation des tâches ;
o configurent les systèmes d’information de façon à renforcer l’exhaustivité, l’exactitude
et la validité du traitement des transactions et des données

34
 o gèrent la sécurité et les accès ;
o appliquent un modèle de développement SDLC (System Development Life Cycle) aux
progiciels ;
o appliquent un modèle de développement SDLC (System Development Life Cycle) aux
logiciels développés en interne.

2.3.2 L’application des règles et procédures

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat déploient les activités de contrôle par le biais de
règles qui précisent les objectifs poursuivis, et de procédures qui permettent de mettre en
œuvre ces règles. A ce titre, ils :
o mettent en place et documentent les règles et procédures ;
o déploient les activités de contrôle par le biais des responsables d’unités opérationnelles
ou de fonctions ;
o réalisent des évaluations régulières et ponctuelles des activités de contrôle.

2.4 L’information et la communication

2.4.1 L’information
2.4.1.1 La qualité et la disponibilité des informations et des systèmes d’information

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat obtiennent, produisent et utilisent des
informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne. A ce
titre, ils :
o inventorient les besoins en matière d’information ;
o obtiennent des informations auprès de sources externes ;
o obtiennent des informations auprès du management (en dehors des services
financiers) ;
o créent et maintiennent des bases de données ;
o utilisent une application pour transformer les données en informations ;
o accroissent la qualité de l’information grâce à un programme de gouvernance des
données ;
o Identifient, protègent et conservent l’information et les données.

2.4.1.2 La sécurité des informations et des systèmes d’information

L’organisation et le fonctionnement de l’ensemble des systèmes d’information font l’objet de règles
précises en matière d’accès aux systèmes, de validation des traitements et de procédure de clôture, de
conservation des données, et de vérification des enregistrements. Ces éléments sont décrits dans les
procédures concernant la gestion des systèmes d’information.

35
Celles-ci prévoient en outre des rapports réguliers aux organes de gouvernance sur le niveau de
sécurité au sein du Ministère ou au niveau interministériel.
L’accès aux applications et aux données est sécurisé. Des protocoles de sécurité sont définis, qui
portent en particulier sur la gestion des habilitations et des bases de données ainsi que les accès aux
systèmes d’information (y compris accès à distance).
La gestion des habilitations garantit les règles de séparation des fonctions (par exemple : séparation
des fonctions d’administrateur système et d’utilisateur).
Les procédures prévoient la vérification de l’efficacité du système de sécurité. Des systèmes de suivi
permettent de réagir aux éventuelles interruptions de l'activité dues à des incidents causés par des
intrusions malveillantes et aux éventuelles manipulations frauduleuses des données. Les infractions à la
sécurité et les autres incidents sont systématiquement enregistrés et revus pour en tirer les
enseignements et ajuster les protocoles en conséquence.
Les procédures prennent également en compte les problématiques d’archivage des documents papiers
et numériques et incluent la sauvegarde des données (fréquence, sensibilité des données, lieux de
sauvegarde...).
Un plan de continuité d'activité est mis en place qui est régulièrement testé et actualisé pour tenir
compte des différentes évolutions de l'environnement (activités, acteurs).
La sécurité physique des infrastructures informatiques est organisée. Le niveau de cette sécurité doit
être adapté à la nature de l'activité de l'entité et à ses moyens (humains et matériels).
Des audits de sécurité informatique sont conduits à intervalles réguliers et leurs résultats sont transmis
aux organes de gouvernance et au comité d'audit dont les systèmes audités relèvent.

2.4.2 La communication
2.4.2.1 La communication interne

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat communiquent en interne l’information
nécessaire au bon fonctionnement du contrôle interne, notamment les informations relatives
aux objectifs et aux responsabilités du contrôle interne. A ce titre, ils :
o communiquent les informations sur les objectifs liés au reporting externe et sur le
contrôle interne ;
o communiquent les responsabilités concernant le contrôle interne ;
o élaborent des lignes directrices pour la communication au Comité ministériel de
maîtrise des risques (ou le comité de contrôle interne) ;
o revoient les informations sur le contrôle interne avec le Comité ministériel de maîtrise
des risques (ou le comité de contrôle interne) ;
o communiquent au personnel l’existence d’un dispositif d’alerte ;
o communiquent en dehors de la ligne hiérarchique ;
o mettent en place des forums et des processus de communication transversaux entre
les fonctions, les métiers et les zones géographiques sur le contrôle interne.

2.4.2.1 La communication externe

36
  Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat communiquent aux tiers les éléments qui
peuvent affecter le fonctionnement du contrôle interne. A ce titre, ils :
o communiquent des informations aux tiers concernés ;
o obtiennent des informations auprès des sources externes ;
o effectuent des enquêtes auprès de tiers ;
o sensibilisent les tiers à l’existence d’un dispositif d’alerte ;
o revoient les communications de l’audit externe.
2.5 Le pilotage
L’évaluation du dispositif de contrôle interne

 Les Directions Générales et Services rattachés Ministères en charge de l’Economie, des

Finances, du Budget et du Portefeuille de l’Etat sélectionnent, développent et réalisent des
évaluations continues et/ou ponctuelles pour s'assurer que les composantes du contrôle interne
sont mises en place et fonctionnent. A ce titre, ils :
o revoient périodiquement la combinaison des activités de pilotage ;
o définissent des informations de référence ;
o identifient et utilisent des indicateurs ;
o conçoivent et mettent en place un tableau de bord ;
o utilisent les systèmes d’information pour soutenir le pilotage ;
o réalisent des évaluations ponctuelles ;
o ont recours à l’audit interne pour réaliser des évaluations ponctuelles ;
o apprécient la pertinence des contrôles existant chez un prestataire externe.

 Les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des
Finances, du Budget et du Portefeuille de l’Etat évaluent et communiquent les déficiences de
contrôle interne en temps voulu aux responsables des mesures correctives, y compris, le cas
échéant, au comité ministériel de maîtrise des risques (ou le comité de contrôle interne). A ce
titre, ils :
o évaluent et communiquent les déficiences de contrôle interne ;
o effectuent le suivi des mesures correctives ;
o élaborent des lignes directrices pour communiquer les déficiences de contrôle interne.

37
Troisième PARTIE : ACTEURS DU DISPOSITIF DE CONTROLE INTERNE
DES MINISTÈRES EN CHARGE DE L’ECONOMIE, DES FINANCES, DU
BUDGET ET DU PORTEFEUILLE DE L’ETAT
Le dispositif de contrôle interne Ministères en charge de l’Economie, des Finances, du Budget et du
Portefeuille de l’Etat, prévoit la mise en place des entités suivantes :
- les instances ministérielles
- les acteurs du contrôle interne au sein des directions générales et services rattaches aux
Ministères en charge de l’économie, des finances et du budget.
Pour information les éléments génériques décrits ci-après sont adaptables en fonction des structures et
des choix de gouvernance adoptés.

1. Les instances ministérielles

Les instances ministérielles sont présentées ci-après :
1.1 Un comité ministériel de maîtrise des risques
Chaque Ministère met en place un Comité ministériel de maîtrise des risques.
Ce comité, présidé par le Directeur de Cabinet, est composé des directeurs généraux et des
responsables des services rattachés au cabinet ministériel. Il doit rendre compte aux Ministres des
risques dans un rapport de gestion. Ce rapport doit notamment comporter une description des
principaux risques et incertitudes auxquels les Directions Générales et Services rattachés aux
Ministères en charge de l’Economie, des Finances, du Budget et du Portefeuille de l’Etat sont
confrontés.
En pratique, le Comité ministériel de maîtrise des risques prend connaissance des caractéristiques
essentielles des dispositifs de contrôle interne et de gestion des risques retenus et mis en œuvre par
les Directions Générales et Services rattachés aux Ministères en charge de l’Economie, des Finances
et du Budget pour gérer les risques : l’organisation, les rôles et les fonctions des principaux acteurs, la
démarche, la structure de reporting des risques et de suivi du fonctionnement des dispositifs de
contrôle. Il acquiert notamment une compréhension globale des procédures relatives à l’élaboration et
au traitement de l’information.
Le Comité ministériel de maîtrise des risques veille à ce que les risques majeurs identifiés qui sont
encourus par les Directions Générales et Services rattachés aux Ministères en charge de l’Economie,
des Finances et du Budget soient adossés à leurs stratégies et à leurs objectifs, et pris en compte dans
leur gestion.
C’est dans ce cadre que le Comité ministériel de maîtrise des risques est informé périodiquement des
résultats du fonctionnement des systèmes, des principales défaillances constatées au cours de la
période écoulée et des plans d’actions arrêtés par les Directions Générales.
En particulier, le Comité ministériel de maîtrise des risques vérifie que le dispositif de contrôle interne
est de nature d’une part, à assurer la fiabilité de l’information et d’autre part, à donner une image fidèle
des résultats des Directions Générales ou des Services rattachés.
En tant que de besoin, le Comité ministériel de maîtrise des risques peut faire procéder aux contrôles et
vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estime appropriée en la matière.

38
 1.2 Le comité ministériel d’audit interne
Le comité ministériel d’audit interne est présidé par le Ministre. Ses membres comprennent des
personnalités qualifiées, y compris si possible en matière de contrôle des systèmes d’information.

Le comité ministériel d’audit interne valide la programmation annuelle des audits des Directions
Générales et Services rattachés aux Ministères en charge de l’Economie, des Finances, du Budget et
du Portefeuille de l’Etat et s’assure de la mise en œuvre et du suivi des actions décidées à l’issue des
audits.

Le comité s’assure de la qualité du dispositif de contrôle interne et de maîtrise des risques. Il peut
entendre les responsables sur les orientations et politiques destinées à gérer l’exposition aux risques
des Directions Générales et Services rattachés, ainsi que sur les mesures prises pour piloter et
contrôler une telle exposition.

Les audits internes sont arrêtés en fonction de la cartographie des risques.

En tant que de besoin, le comité d’audit interne peut être en lien avec la Cour des comptes et les
auditeurs internes des Directions Générales et Services rattachés aux Ministères en charge de
l’Economie, des Finances et du Budget.

2. Les acteurs du contrôle interne au sein des Directions Générales et services

rattachés aux Ministères en charge de l’Economie, des Finances et du Budget
La maîtrise des risques repose sur l’action de chacun des agents impliqués.

2.1 La Direction Générale

La Direction Générale, qu’elle agisse directement ou que ses services agissent par délégation, est
responsable de la qualité des systèmes de contrôle interne et de gestion des risques. Il lui incombe
ainsi de concevoir et mettre en œuvre les systèmes de contrôle interne et de gestion des risques
adaptés à la taille de la Direction Générale ou du Service rattaché, à son activité et à son organisation,
et notamment de définir les rôles et responsabilités à cet égard dans la Direction Générale ou du
Service rattaché.
La Direction Générale procède à une surveillance continue des systèmes de contrôle interne et de
gestion des risques dans l’objectif, d’une part, d’en préserver l’intégrité, et d’autre part, de les améliorer,
notamment en les adaptant aux changements d’organisation et d’environnement. Elle initie toute action
qui s’avère nécessaire pour corriger les dysfonctionnements identifiés et rester dans le périmètre de
risques acceptés. Elle veille à ce que ces actions soient menées à bien.
La Direction Générale s’assure que les informations appropriées sont communiquées en temps voulu
au Comité ministériel de maîtrise des risques (ou le comité de contrôle interne) et au comité d’audit
Ministériel.

2.2 Le gestionnaire des risques

Lorsqu’il existe, le gestionnaire des risques, ou la personne en charge de la gestion des risques, est
responsable du déploiement et de la mise en œuvre du processus global de gestion des risques tel que
défini par la Direction Générale. A ce titre, il met en place un dispositif structuré, permanent et
adaptable visant à l’identification, à l’analyse et au traitement des principaux risques. Il anime le

39
dispositif de gestion des risques et apporte un support méthodologique aux directions opérationnelles et
fonctionnelles des Directions Générales et Services rattachés.

2.3 L’audit Interne

La fonction d’audit interne est confiée à l’Inspection Générale des Finances (IGF) et aux services de
contrôle et d’inspection des Direction Générales et des services rattachés.
Ces services de contrôle et d’inspection ont la responsabilité, dans le champ couvert par leurs missions,
d’évaluer le fonctionnement des dispositifs de gestion des risques et de contrôle interne, d’en effectuer
une surveillance régulière et de faire toute préconisation pour l’améliorer.
Ils contribuent à sensibiliser et former l’encadrement au contrôle interne mais ne sont pas directement
impliqués dans la mise en place et la mise en œuvre quotidienne du dispositif.
Dans le cadre de leur plan de travail validé par la Direction Générale et approuvé par le Comité
Ministériel d’audit interne, ils examinent la conformité aux lois et règlements, s’assurent de l’application
effective des instructions de la Direction Générale et vérifient le bon fonctionnement des processus
internes des Directions Générales et Services rattachés, relatifs notamment à la fiabilité des filières de
remontées d’information et aux systèmes d’information.
Les responsables en charge de l’audit interne établissent leur plan de travail en tenant compte des
principaux risques des Directions Générales et Services rattachés aux Ministères en charge de
l’Economie, des Finances et du Budget et rendent compte à la Direction Générale et au Comité d’audit
Ministériel, des résultats significatifs de la surveillance exercée.

2.4 Le personnel des Directions Générales et Services rattachés

Les principaux responsables de chaque entité s’assurent de l’application de la politique des Ministères
en charge de l’Economie, des Finances, du Budget et du Portefeuille de l’Etat en matière de maîtrise
des risques liés à l’activité dont ils ont la charge. Ils veillent à ce que l’exposition à ces risques soit
conforme à la politique ministérielle de gestion des risques.
La gestion de risques consiste à identifier, analyser et traiter les risques. Elle implique tous les niveaux
de responsabilité et l’ensemble du personnel

Chaque collaborateur concerné doit avoir la connaissance et l’information nécessaires pour établir, faire
fonctionner et surveiller les dispositifs de gestion des risques et de contrôle interne, au regard des
objectifs qui lui ont été assignés.

2.5 Rôle de la Cour des Comptes et des Auditeurs externes

La Cour des Comptes et les Auditeurs externes ne sont pas, dans le cadre de leurs missions d’audit
externe (évaluation des dispositifs de contrôle interne), partie prenante des dispositifs de contrôle
interne et de gestion des risques. Ils en prennent connaissance, s’appuient sur les travaux de l’audit
interne pour en obtenir une meilleure appréhension et se font en toute indépendance une opinion sur
leur pertinence.
Ils peuvent identifier des risques significatifs et des faiblesses majeures de contrôle interne susceptibles
d’avoir une incidence significative sur l’atteinte des objectifs des Directions Générales et Services
rattachés.

40
ANNEXES

Annexe 1 : Questionnaires relatifs aux principes généraux

Les questionnaires complètent le cadre de référence. Les questions qui y figurent doivent être prises en
compte lors de l’examen des dispositifs de gestion des risques et de contrôle interne.

Questionnaire relatif à la gestion des risques

 Cadre organisationnel de la gestion des risques
- La Direction Générale ou le Service rattaché ont-t- ils défini des objectifs en matière de
gestion des risques ?
- Les responsabilités en matière de gestion des risques sont-elles définies et communiquées
aux personnes concernées ?
- Le responsable de la gestion des risques dispose-t-il des qualifications suffisantes, de
l’appui et de la confiance du Directeur Général pour exercer ses missions auprès des
responsables opérationnels et fonctionnels ?
- Une politique et des procédures de gestion des principaux risques ont-elles été définies,
validées par la Direction Générale et mises en place dans les Directions Générales ou les
Services rattachés aux Ministères en charge de l’Economie, des Finances et du Budget ?
- Des limites de risques acceptables (tolérance au risque) par la Direction Générale (ou le
Service rattaché) ont-elles été, le cas échéant, définies et partagées ?
- La Direction Générale (ou le Services rattaché) disposent-t-ils d’un « langage commun » en
matière de risques (typologie homogène, critères de recensement, d’analyse et de
suivi, ...) ?
- La Direction Générale (ou le Services rattaché) a-t-elle identifié les obligations légales et
réglementaires applicables en matière de communication sur les risques ?
- La Direction Générale (ou le Services rattaché) communique-t-elle en interne aux personnes
intéressées :
o sur ses facteurs de risques ?
o sur les dispositifs de gestion des risques ?
o sur les actions en cours et les personnes qui en ont la charge ?

 Identification des risques

- Existe-t-il un processus d’identification des risques menaçant les objectifs de la Direction
Générale (ou le Service rattaché) ? Une organisation adéquate a-t-elle été mise en place à
cet effet ?
- Les opportunités manquées sont-elles également prises en compte ?
- La corrélation des risques pouvant se réaliser en cascade est-elle prise en compte ?

41
 Analyse des risques
- Pour les principaux risques identifiés, la Direction Générale (ou le Service rattaché) réalise-t-
elle une analyse des conséquences possibles (chiffrées ou non, financière ou non
financière), de l’occurrence et du degré de maîtrise estimé ?
- Les expériences passées de la Direction Générale (ou le Service rattaché) (ou d’acteurs
comparables) en matière de risques sont -elle prises en considération ?
- Plusieurs fonctions de la Direction Générale (ou le Service rattaché) sont-elles parties
prenantes dans l’analyse des conséquences et de l’occurrence possibles ?
- L’analyse des risques est-elle partagée par la Direction Générale avec les personnes
intéressées ?
-L’analyse des risques tient-elle compte des évolutions internes ou externes à la Direction
Générale (ou au Service rattaché) ?
 Traitement des principaux risques
- Les risques dépassant les limites acceptables définies par la Direction Générale (ou le
Service rattaché), s’il en est, sont-ils traités en priorité ? Un niveau de risque résiduel est-il
défini ?
- Les risques majeurs donnent- ils lieu à des actions spécifiques ? La responsabilité de ces
actions est-elle définie ? Le cas échéant, la mise en œuvre de ces actions est-elle suivie ?
- la Direction Générale (ou le Service rattaché) a-t-elle mis en place un plan de gestion de
crise ?

 Surveillance et revue de la gestion des risques

- Le Comité ministériel de maîtrise des risques (ou le comité de contrôle interne) reçoit-il une
information sur les caractéristiques essentielles des actions engagées pour gérer les
principaux risques de la Direction Générale ou du Service rattaché (nature des actions
engagées ou des couvertures en place, assurances, exclusions, ...) ?
- Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des
procédures de gestion des risques ?
- Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures de gestion des
risques à une évolution des risques, de l’environnement externe, des objectifs ou de l’activité
de la Direction Générale ou du Service rattaché ?
- Existe-t-il un dispositif permettant d’identifier les principales faiblesses du dispositif de
gestion des risques mis en place par la Direction Générale (ou le Service rattaché), et de les
corriger ?
- Le Comité ministériel de maîtrise des risques (ou le comité de contrôle interne) a-t-il été
informé des grandes lignes de la politique de gestion des risques ? Est-il régulièrement
informé des principaux risques identifiés, des caractéristiques essentielles du dispositif de
gestion des risques, notamment des moyens mis en œuvre et des actions d’amélioration en
cours ?

42
Annexe 2 : Dispositifs de maitrise des risques
Pour illustrer concrètement la notion de maîtrise des risques, est détaillée ci-dessous une série de
risques auxquels ont été associés les dispositifs qui peuvent être adoptés pour les maîtriser voire les
supprimer.

Il s’agit d’exemples qui, en cas d’une mise en œuvre, doivent être contextualisés par rapport à la
situation rencontrée.

Ils sont présentés selon le même ordre que celui retenu pour exposer les composantes du contrôle
interne.
1 UN ENVIRONNEMENT FAVORABLE À LA MAÎTRISE DES RISQUES
1.1 Des responsables impliqués
Risques spécifiques

Les membres du comité ministériel de maîtrise des risques et d’audit interne, et les responsables des
directions Générales et Services rattachés aux Ministères en charge de l’Economie, des Finances et du
Budget sont suffisamment sensibilisés à la maîtrise des risques.

Le reporting n'est pas de bonne qualité ou comporte des biais (notamment en matière de prévision
d'exécution).

Dispositifs de maîtrise des risques :

- Les responsables sont appelés par instruction à prêter une attention particulière au contrôle
interne, y compris au niveau des systèmes d’information.
- Les modalités d'évaluation des responsables comportent systématiquement l'appréciation
du respect des objectifs.
- Les responsables corrigent les défaillances identifiées du contrôle interne dans des délais
raisonnables.
- Les responsables veillent à la qualité du reporting, en s'assurant que les hypothèses
retenues sont sincères, réalistes et explicitées. Les prévisions d’exécution sont
systématiquement comparées à l’exécution.

1.2 Une ou plusieurs instances d’arbitrage et de pilotage de la gestion

Risque spécifique
Les processus ne sont pas pilotés dans les conditions prévues par le référentiel des macro-processus,
ou ne le sont que partiellement.

43
Dispositifs de maîtrise des risques :
- Les instances de pilotage, de coordination et d’arbitrage prévues par les macro-processus
sont mises en place et fonctionnent aux différents niveaux.
- Un pilote par processus est nommé et sa fiche de poste prévoit qu'il veille à la mise en place
du processus et à son fonctionnement correct.

1.3 Une organisation appropriée

Risque spécifique
L’organisation mise en place dans les Directions Générales et Services rattachés ne permet pas la
sécurisation ou l'optimisation des processus dans les conditions prévues par le référentiel des macro-
processus.

Dispositifs de maîtrise des risques :

Les schémas d'organisation définissent les rôles associés aux processus (en particulier définition des
acteurs en charge des rôles décisionnels et d'arbitrage) et leur coordination (notamment les instances
de pilotage/concertation).

1.4 Des responsabilités et des pouvoirs clairement définis

Risque spécifique
L'organisation des fonctions ne distribue pas les responsabilités.

Dispositifs de maîtrise des risques :

- Les acteurs en charge des différents rôles des processus sont identifiés et leurs habilitations
(juridiques et outils) sont conformes à leurs rôles (matrice des rôles et de suppléances de
chaque macro processus - tableau de correspondance avec les acteurs des Ministères et
conformité des attributions par rapport aux attributions des macro-processus).
- Les acteurs ont les pouvoirs de décision tels que prévus par les différents textes (décrets,
arrêtés, etc.).
- Un organigramme nominatif est établi et tenu à jour sur la base d’un référentiel
organisationnel qui prévoit d'assurer la séparation des tâches, les contrôles à mettre en
œuvre, la circulation et la fluidité de l'information.

1.5 Des procédures définies et diffusées

Risque spécifique
Les règles et procédures ne sont pas définies au sein des Directions Générales et Services rattachés.

44
Dispositifs de maîtrise des risques :
- Les dispositions / règles de gestion, la documentation des systèmes d'information (supports
de formation, aide en ligne, manuels utilisateurs...) précisent les procédures en les décrivant
jusqu'au niveau de détail le plus opérationnel (transactions si nécessaire). Elles sont
disponibles, accessibles, mises à jour, en phase avec les évolutions de la norme ou des
systèmes d'information et adaptées au contexte des Directions Générales et Services
rattachés.
- Les procédures internes (documents, formats, méthodes, calendriers, modalités du dialogue
de gestion) sont définies et diffusées, en cohérence avec les procédures interministérielles.
Ces procédures permettent en outre d'éviter et de gérer les conflits d'intérêts, de garantir la
sécurité des opérations et des informations en particulier.

1.6 Des compétences mobilisées

Risque spécifique

Les fonctions/activités sont insuffisamment valorisées, les compétences et/ou les effectifs sont
inadaptés.

Dispositifs de maîtrise des risques :

- Les modalités de l'animation des fonctions/activités sont définies et mises en œuvre. Des
parcours de carrières et de formations adaptés et incitatifs sont mis en place.
- Les effectifs nécessaires à l'exercice des différentes fonctions font l’objet d’une évaluation.
- Les profils correspondant aux fonctions sont identifiés et retracés
- Le respect des objectifs fait partie des objectifs fixés à tous les agents concernés et
intervient ainsi dans leur évaluation.
- Des dispositifs de sensibilisation sont systématiquement prévus pour les nouveaux arrivants
concernés.
- Les plans de formation visent à la mise à niveau des compétences des agents.

2 L’ÉVALUATION DES RISQUES

2.1 La fixation et la diffusion des objectifs
Risque spécifique
Les fondamentaux des objectifs ne sont pas connus ou intégrés, les règles ne sont pas respectées ou
les impératifs ne sont pas pris en considération.

45
Dispositifs de maîtrise des risques :

- Des dispositifs de sensibilisation permettent l'appropriation des objectifs aux différents

niveaux de responsabilité.
- Pour chaque entité ayant un rôle dans les processus, les objectifs ainsi que les indicateurs
associés sont définis, connus et diffusés.

2.2 L’identification des risques majeurs

Risque spécifique

Les risques majeurs susceptibles d’avoir un impact sur l’atteinte des objectifs ne sont pas identifiés.

Dispositifs de maîtrise des risques :

- Une cartographie des risques est établie pour les Directions Générales et Services rattachés
et, en tant que de besoin, pour chacune de ses entités concernées. Elle restitue la gravité et
la fréquence des risques.
- La gravité des risques est évaluée en fonction d’échelles explicitées.
- Les responsables des Directions Générales et Services rattachés revoient au moins
annuellement cette évaluation des risques et envisagent les actions nécessaires pour
réduire les principaux risques identifiés.

2.3 La gestion des changements

Risque spécifique

Les évolutions de l'environnement sont insuffisamment appréhendées ou prises en compte.

Dispositifs de maîtrise des risques :

- Une veille est mise en place pour anticiper et appréhender les évolutions de l’environnement
(analyse des éléments contextuels, des paramètres économiques et sociaux pertinents,
etc.).
- Les Directions Générales et Services rattachés veillent à ce que les règles et procédures
soient applicables et pertinentes dans le cadre des activités et de l'organisation des services
; ils font les demandes de modification adéquates de sorte que les procédures, voire les
modalités de déclinaison des règles, évoluent en fonction des difficultés ou des besoins non
satisfaits identifiés et signalés par les différents acteurs ministériels ou interministériels.

3 LES ACTIVITÉS DE CONTRÔLE

46
3.1 L’application des règles et procédures
Risque spécifique

Les règles et procédures arrêtées au sein des Directions Générales et Services rattachés ne sont pas
appliqués.

Dispositifs de maîtrise des risques :

- Des dispositifs de contrôle de la correcte application des règles et procédures internes
(conformité par rapport aux méthodes, formats, calendriers et validations) sont mis en place.
Ils permettent notamment de vérifier si ces règles et procédures sont respectées, d’identifier
les éventuels écarts et d’y remédier si nécessaire ;
- La traçabilité des contrôles opérés est organisée.

3.2 L’adaptation continue de l’effort de contrôle aux risques et aux enjeux

Risque spécifique

Les contrôles mis en œuvre pour garantir l’atteinte des objectifs du contrôle interne sont mal
proportionnés, inadaptés ou absents.

Dispositifs de maîtrise des risques :

- Des actions de traitement des risques proportionnées aux enjeux sont définies et associées
à un plan de mise en œuvre.
- les macro-processus et les dispositifs de contrôle proposés dans les fiches d’aide à
l’élaboration des matrices de contrôle interne des Directions Générales et Services rattachés
aux Ministères en charge de l’Economie, des Finances et du Budget associés servent de
référence pour définir les activités de contrôle destinées à couvrir les risques identifiés.

4 L’INFORMATION ET LA COMMUNICATION
4.1 La qualité et la disponibilité des informations et des systèmes d’information
Risques spécifiques

L'information nécessaire n'est pas accessible, pas pertinente ou d'une fiabilité insuffisante.

Le système d'information n'est pas conforme aux spécifications fonctionnelles arrêtées lors de sa
conception.

Le système d’information n’est pas conforme aux règles.

Les contrôles clés ne sont pas opérants ou peuvent être contournés.
Dispositifs de maîtrise des risques :

47
 - Les activités réalisées au moyen de systèmes informatisés impliquent qu’une organisation
claire et formalisée soit établie.
- Des contrôles clés dans les systèmes d’information ont été définis (blocage des doubles
saisies, existence de seuils à la saisie, accès limités pour les transactions critiques,
rapprochements automatisés, etc.).
- Des procédures et des contrôles permettent d’assurer la qualité et la permanence de
l’exploitation, de la maintenance et du développement (ou du paramétrage) des systèmes
d’information.
- Les responsables s'assurent que les utilisateurs sont impliqués lors de la conception et du
développement des applications informatiques : outre les modalités de spécification, les
dispositifs de tests et de qualification associent les différents profils d’utilisateurs.
- Les systèmes d’information prennent en compte la dimension contrôle interne (les contrôles
mis en œuvre dans l’application sont documentés, diffusés, vérifiés et adaptés en tant que
de besoin).
- Des procédures spécifiques d'enquête permettent de mesurer la satisfaction des utilisateurs
(directs ou indirects) du système d'information. Elles ont lieu au moins annuellement et
après chaque changement de version significatif.
- La gouvernance du système d'information permet de veiller à l'anticipation et à l'identification
des changements qui pourraient avoir un impact significatif sur le système d'information, à
leur prise en compte et à leur diffusion aux différentes Directions, selon des procédures
définies, partagées et respectées.

Risque spécifique

La réalisation des opérations n’est pas ou est insuffisamment tracée. La piste d’audit n’est pas garantie.

Dispositifs de maîtrise des risques :

- La traçabilité des opérations (acteurs, modalités, date ou périodicité des opérations
effectuées) est assurée dans les systèmes d’information.
- Les données traitées par des applications informatiques qui concourent à la constitution
d’enregistrements ou à la justification d’un évènement sont conservées, selon des modalités
prédéfinies (durée de conservation, supports). Elles sont accessibles, à la demande, à tout
organe de contrôle.
- Les règles de gestion des données et des fichiers mises en œuvre dans les programmes
informatiques ayant des incidences sur l’atteinte des objectifs.

4.2 La sécurité des informations et des systèmes d’information

Risque spécifique

48
L’utilisation des systèmes intégrés et de leurs applications interfacées n’est pas sécurisée.

Dispositifs de maîtrise des risques :

- Les habilitations aux différentes applications font l’objet d’une revue régulière.

4.3 L’interconnexion des systèmes d’information

Risque spécifique
Les informations non cohérentes

Dispositifs de maîtrise des risques :

Les systèmes d’information sont interconnectés

4.4 La communication
4.4.1 La communication interne
Risques spécifiques

Le dispositif de contrôle interne est méconnu.

Les résultats de l’évaluation du dispositif de contrôle interne ne sont pas diffusés.

Dispositifs de maîtrise des risques :

- Les procédures de communication contiennent une dimension contrôle interne.
- Les premiers responsables des Directions Générales et Services rattachés sont impliqués
dans le contrôle interne : ils définissent la politique de contrôle interne et en assurent la
diffusion et l’explicitation aux personnels concernés.
- Les résultats des évaluations du dispositif de contrôle interne sont diffusés à l’ensemble des
personnels concernés.
- la vérification de la diffusion des résultats du contrôle interne à l’ensemble des personnes
concernées est réalisée.

4.4.2 La communication externe

Risque spécifique

Les éléments de communication transmis en externe ne sont pas cohérents entre eux ou sont
incohérents avec l’information interne.

Dispositif de maîtrise des risques :

- Un mécanisme de validation de la cohérence des informations diffusées est mis en place.

49
Annexe 3 : Grandes étapes de la mise en place du dispositif de contrôle interne
Traitée en mode projet, la mise en place du dispositif de contrôle interne comprend les éléments des
cinq étapes présentées ci-dessous.

1 Le cadrage du projet
Une cellule projet est chargée de piloter le chantier de mise en place du dispositif de contrôle interne au
sein de chaque Direction Générale ou Service rattaché.

A ce titre, elle prépare, selon l’option d’organisation du projet retenu par le responsable de la politique
de contrôle interne, un document de cadrage :
- établissant les objectifs ;
- les résultats attendus ;
- les indicateurs de performance ;
- précisant les responsabilités, autorités ;
- identifiant les acteurs à mobiliser et organisant la conduite du changement ;
- établissant les coûts ;
- établissant le calendrier des travaux à conduire dans le cadre des quatre autres étapes
formant le projet.

Elle a ensuite la responsabilité d’assurer le suivi du déroulement du projet selon les orientations
retenues.

2 La formation et sensibilisation des acteurs au projet

Les objectifs du contrôle interne nécessitent d’être partagés.

A cet effet, la formation et sensibilisation des agents et des responsables des entités relevant du champ
du déploiement du contrôle interne est essentielle.

Elle consiste notamment à :

- expliquer les enjeux pour eux-mêmes et pour leurs entités, du déploiement du contrôle
interne, présentés sous l’angle d’une démarche globale de maîtrise des risques au sein des
Directions Générales et Services rattachés ;
- expliciter la contribution de chaque entité ;
- présenter les éléments de maîtrise des risques déjà intégrés aux activités des entités (sous
la forme de contrôles ou de documentation des procédures par exemple), de manière à
montrer que la mise en place d’un dispositif de contrôle interne n’induit pas
l’accomplissement de tâches nouvelles supplémentaires de façon systématique
- permettre aux acteurs de s’approprier le référentiel de contrôle interne et la méthodologie
d’identification, d’analyse et de traitement des risques
50
Les actions de formation et de sensibilisation, essentielles à l’appropriation du projet, ont vocation à être
adaptées aux différentes catégories d’acteurs, en fonction de leurs rôles respectifs dans la maîtrise des
objectifs, et à être conduites et répétées de manière transverse au projet.

3 L’identification et la hiérarchisation des risques

Lors de cette étape, la Direction Générale ou le Service rattaché identifie les risques auxquels il est
réellement exposé compte tenu des processus et des contrôles qu’il met en œuvre.

Certains risques seront :

- une déclinaison des risques génériques listés dans les fiches d’aide à l’élaboration des
matrices de contrôle interne associées aux processus,
- liés aux métiers des Directions Générales et Services rattachés,
- endogènes ou exogènes,
- liés à l’environnement de contrôle des Directions Générales et Services rattachés, à leur
gestion des risques, à leur système d’information et de communication ou à leur pilotage du
contrôle interne.

S’agissant des processus métier, cette étape comprend les phases suivantes :
- le découpage des activités ou des processus en tâches élémentaires ;
- l’identification de celles qui ont un impact ou correspondent à une activité des processus
clés ;
- l’identification dans la réalisation de ces activités des risques de ne pas atteindre les
objectifs assignés ;
- l’évaluation et la hiérarchisation de ces risques en termes d’impact et de probabilité
d’occurrence et ce avant toute prise en compte de dispositifs de contrôle mis en place par la
Direction Générale ou le Service rattaché ;
- l’identification des dispositifs de contrôle à même de maîtriser les principaux risques
recensés ;
- l’identification des dispositifs existants visant à maîtriser les risques les plus importants et
l’évaluation de leur degré de maîtrise des risques (capacité de prévention / de détection / de
réduction de l’impact des risques), afin de déterminer les risques résiduels ;
- la qualification (critique, majeur, mineur, etc.) des risques résiduels en fonction de leur
criticité (impact, probabilité d’occurrence).

Cette étape constitue le socle de la cartographie des risques de l’entité.

Cette méthode de cartographie des risques développée selon les principes théoriques du contrôle
interne peut apparaître très conceptuelle et complexe à mettre en œuvre pour une première démarche,

51
s’agissant notamment de la phase d’évaluation des risques abstraction faite des dispositifs de contrôle
existants (risques inhérents).
Une méthode de cartographie simplifiée peut être utilisée lorsqu’elle favorise l’appropriation de la
démarche et l’adhésion aux travaux.
Il apparaît ainsi possible de ne pas évaluer les risques inhérents (c’est-à-dire abstraction faite des
dispositifs de contrôle existants) pour évaluer directement les risques résiduels (c’est-à-dire compte
tenu des dispositifs de contrôle).
La méthode consiste alors à :
- recenser les risques identifiés dans la conduite des activités ayant un lien avec les objectifs
assignés, à la fois auprès des agents en charge de celles-ci et dans les rapports des instances
de contrôle ou d’évaluation ;
- qualifier ces risques (critique, majeur, modéré, mineur, infime ou autre échelle) en fonction de
leur criticité (le cas échéant en termes d’impact et de probabilité d’occurrence) ;
- identifier pour les risques principaux retenus à la suite de la qualification opérée les dispositifs
de contrôle à mettre en place pour les maîtriser, à partir des dispositifs recensés dans les
fiches d’aide à l’élaboration des matrices de contrôle interne.

4 L’élaboration de la politique de contrôle interne et du plan d’actions

Chaque Direction Générale et Service rattaché arrête sa politique de contrôle interne adaptée à ses
enjeux et ses moyens dans un document formalisé, qui précise :
- les objectifs poursuivis et la stratégie de leur mise en œuvre ;
- l’organisation mise en place ;
- le calendrier, les étapes, les jalons et les modalités de suivi de la stratégie de mise en œuvre
traduite en plan(s) d’actions, au vu, en particulier, de sa cartographie des risques ;
- les ressources auxquelles les entités peuvent recourir (assistance, conseil, cadres et supports
méthodologiques, correspondants, cellule d’appui).

Ce document fait l’objet d’une diffusion à l’ensemble des acteurs concernés.

Le plan d’actions est validé par les Directions Générale et Services rattachés, et exécuté sous leur
responsabilité.

Un certain nombre de points clefs sont à privilégier pour l’élaboration et le suivi d’un plan d’actions.

 Quelques questions essentielles à poser :

- La correction de la défaillance est-elle urgente ?
- Quels moyens humains et/ou matériels seront nécessaires pour mener à bien l’action
correctrice ?
- Est-ce que les mesures correctrices sont pertinentes / efficaces ?
52
 - Y aura-t-il des étapes intermédiaires à la conduite de l’action ?
- Comment sera assuré le suivi de sa mise en place ?

 Les actions de contrôle arrêtées doivent être proportionnées aux risques évalués et faire, selon
les cas, l’objet d’une ou plusieurs mesures du type :
- mesure renforcée : mise en œuvre d’un contrôle a priori sur tous les dossiers,
documentation, traçabilité des acteurs ;
- mesure allégée : mise en œuvre d’un contrôle a posteriori sur un échantillon de dossiers ;
- mesure d’anticipation : mise en œuvre d’un contrôle systématique sur des dossiers
sensibles. Il faut tenir compte des contraintes du service : bilan coût / avantage.

Pour le suivi du plan d’actions, il est nécessaire d’identifier un responsable pour chaque action et un
calendrier de mise en œuvre.
Il faut également s’assurer que les éventuels impacts de chaque action du plan sur l’organisation sont
bien pris en compte (mise à jour de l’organigramme fonctionnel, des fiches de procédures et de
contrôles).

 La cohérence d’ensemble des dispositifs arrêtés doit faire l’objet d’une validation :
- Les dispositifs de contrôle interne doivent exclusivement viser à atteindre les objectifs fixés
et à mesurer leur respect ; ceux qui ne contribueraient pas à ces objectifs peuvent être
supprimés (sous réserve qu’ils ne contribuent pas à un autre objectif explicite de contrôle
interne).
- Il peut exister des dispositifs fragmentaires et isolés : il convient de s’assurer de la
cohérence de l’ensemble, notamment par rapport aux risques principaux.

5 Le déploiement du dispositif de contrôle interne

Cette dernière étape du projet comporte les opérations suivantes pour permettre au dispositif de
contrôle interne d’être déployé :
- mise en place de la gouvernance du contrôle interne (structures de pilotage et d’animation,
organisation de la fonction d’audit) ;
- établissement de l’organigramme détaillé des fonctions majeures ;
- organisation du suivi et du pilotage de la stratégie de mise en œuvre de la politique de
contrôle interne;
- conduite des autres actions prévues au plan d’actions.

53
Annexe 4 : Matrice explicative des composantes - principes - points d’attention du COSO 2013
Acteurs (parties
Points d’attention Action à mettre en œuvre Documents associés /Moyens ( à titre indicatif)
prenantes)
Composante 1 : Environnement de contrôle
Principe 1 : L’Unité Administrative organisation manifeste son engagement en faveur de l’intégrité et des valeurs éthiques.
4 points d’attention

1. Fait preuve d’exemplarité - dispositifs mis en place pour examiner et résoudre les
– questions d’ordre éthique
- Communiquer et diffuser les
Le Cabinet ministeriel, le - Structure de gouvernance et charte d’organisation
normes et les valeurs de bonne - Cabinet ministeriel
Cconseil et le management, - Textes légaux et réglementaires
conduite - DG, DGA DC,1
à tous les niveaux de l'entité, - Codes de bonne conduite
Donner des instructions etc.
démontrent à travers leurs - Codes d’éthique et de déontologie
- Avoir des attitudes d’exemplarité - personnel
instructions, leurs actes et - Actions de Communication (
- Intégrer dans les critères de - usagers
leurs comportements, lettre /bulletin/ note d’information
performance le respect des - partenaires
l'importance de l'intégrité et Affichage des valeurs
normes éthiques et - prestataires
des valeurs éthiques pour le Transmission par tous moyens y compris par emails
déontologiques - fournisseurs
bon fonctionnement du professionnels)
système de contrôle interne.

1
Administrations centrales ; EPN, Entreprise du portefeuille, collectivités etc…

54
 Définir, communiquer et mettre à
jour régulièrement le code de
2. Établit les normes de conduite et les normes
conduite – déontologiques :
Les attentes du Cabinet
ministeriel, du conseil et de la - Elaborer et mettre à jour
- Cabinet ministeriel
direction générale quant à régulièrement une politique en - Un code d’éthique et de déontologie3, charte, etc.) ;
- DG, DGA DC2,
l'intégrité et les valeurs faveur de l’intégrité et des valeurs - séances de sensibilisation
etc.
éthiques sont définies dans éthiques - supports de communication et de sensibilisation
- personnel
les normes de conduite et - Assurer une large diffusion des - rapports d’enquête et d’évaluation du degré de
- usagers
sont comprises à tous les règles de bonne conduite et des compréhension
- partenaires
niveaux de l'Unité normes déontologiques
- prestataires
Administrativeorganisation, - Sensibiliser les acteurs sur les
- -fournisseurs
ainsi que par les prestataires valeurs éthiques
externes et autres - Définir des critères de
partenaires. compréhension des valeurs
- Evaluer le degré de
compréhension
3. Évalue l'adhésion aux Evaluer le respect des normes de -
normes de conduite – conduite par le management et - DG, DGA DC, etc. - Code d’éthique et de déontologie
Les processus sont en place les collaborateurs, les - Personnel - Rapports d’évaluation/ audit
pour évaluer la performance prestataires externes et les - Evaluateurs - Documents et outils d’évaluation
individuelle et collective au partenaires : - Prestataires - dispositif d’alerte
regard des normes de externes
conduite définies - Définir les critères et modalités - Partenaires
d’évaluation - Fournisseurs

2
Administrations centrales ; EPN, Entreprise du portefeuille, collectivités etc…
3
Produit fini

55
 - Mettre en place un système
d’évaluation

- Mettre en place un mécanisme

de signalement des
manquements

- Réaliser des audits/évaluations

- usagers
relatifs à l’éthique
- Mettre en place un dispositif
d’alerte anonyme
- Statuer sur les cas de conduite
inappropriée (fraude potentielle,
problème d’ordre éthique)
signalés par le biais d’un
dispositif d’alerte anonyme
4. Gère les écarts en temps Etablir des procédures de traitement - Procédures de signalement et de traitement des
voulu- des manquements aux normes de - Cabinet du manquements
Les écarts par rapport aux conduite : Ministre - grille des sanctions
normes de conduite de - Définir les délais de traitement - DG, DGA, DC, - Rapports de signalement et de traitement des
l'entité sont identifiés et des écarts etc. manquements
résolus en temps voulu et de - Identifier et analyser les - Personnel - Suivi des sanctions et des mesures correctives
façon cohérente manquements - Prestataires - Rapport de suivi
- Prendre les sanctions externes
appropriées - partenaires
- Proposer des mesures - fournisseurs
correctives
- Mettre en œuvre les sanctions

56
 appropriées et les mesures
correctives
- Faire le suivi des sanctions et des
mesures correctives
Composante 1 : Environnement de contrôle
Principe 2 : Le Cabinet Ministeriel ou le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon
fonctionnement du dispositif de contrôle interne.
4 points d’attention
1. Établit les responsabilités Définir les rôles, les - Cabinet Ministériel - Charte des comités
de surveillance – responsabilités et la délégation - Comité d’audit - Réunions régulières entre le comité d’audit et le service
Le Cabinet Ministeriel ou le de pouvoirs du comité d’audit : - Directions d’audit interne
conseil appréhende et - Revoir et documenter les générales - Rapport d’évaluation du comité d’audit par consultant
accepte ses responsabilités principales activités du comité - Directions indépendant
de surveillance dans le cadre d’audit rattachées au - Réunions entre le Cabinet Ministériel et les Directions
des exigences et des - Définir des politiques et des Cabinet Ministériel Générales
attentes exprimées. modalités pratiques régissant le - Services d’audit - Rapports d’activités
cadre de collaboration entre le interne - Comptes rendus des réunions
cabinet ministériel et les - Services de - Actes règlementaires (décrets, arrêtés, instructions,
directions générales/directions contrôle interne décisions, etc.)
rattachées au cabinet (1 et 4) - personnel
- Mettre en place un calendrier de
travail du comité d’audit
- Mettre en place un cadre de
communication formel entre le
comité d’audit et le responsable
d’audit interne
- Surveiller les mesures mises en
œuvre par les directions

57
 générales en matière de contrôle
interne
- Évaluer pour chaque entité les
comportements et le respect des
normes de conduite
- Veiller à l’indépendance et à
l’objectivité du comité d’audit
2. Met en œuvre l'expertise - Définir les profils et les critères de - Cabinet ministériel -
requise- sélection des membres du comité - Comité d’audit Procédure de recrutement des experts
Le Le Cabinet ministeriel ou d’audit - Experts - Rapport d’évaluation
le conseil définit, maintient et - Sélectionner les membres du - Critères de sélection
évalue périodiquement les comité d’audit -
compétences et l'expertise - Evaluer régulièrement leurs
requises parmi ses membres compétences et communiquer
pour leur permettre de poser sur les résultats
des questions pertinentes au - revoir les déclarations et les
management à la direction jugements du management (2 et
générale et de suivre les 4)
actions qui s'imposent. - Définir les profils et les critères
de sélection d’experts
indépendants
- Sélectionner et faire appel au
besoin à ses experts
indépendants
- Evaluer systématiquement leurs
apports4
- identifier et faire appel au besoin

4
Transfert de compétence

58
 à des experts indépendants
- vérifier les compétences des
experts par le biais
d’organisations ou de réseaux
professionnels et d’établissement
d’enseignement dont les missions
sont en adéquation avec les
dernières normes
professionnelles relatives à
l’information financière
- Évaluer annuellement les experts
afin de s’assurer qu’ils possèdent
toujours les compétences
nécessaires et l’indépendance
requise compte tenu des besoins
des parties prenantes de
l’organisation
3. Agit en toute
indépendance – - Veiller à l’indépendance des
Le Cabinet ministeriel ou le membres du comité d’audit vis-à- -
conseil compte suffisamment vis des Directions Générales et - Cabinets
de membres indépendants des Directions rattachées ministériels Rapport d’évaluation
du management et agissant - Evaluer périodiquement - Comité d’audit
objectivement dans leurs l’indépendance des membres du
évaluations et leurs prises de comité d’audit
décisions.
4. Assure la surveillance du - examiner les informations - cabinets - Rapports du comité d’audit
système de contrôle recueillies dans le cas du ministériels

59
 interne –
Le Cabinet ministeriel ou le
dispositif d’alerte - comité d’audit
conseil a la responsabilité de
- évaluer le risque de - comité risque
la surveillance concernant la
contournement par le mangement - auditeur interne et
conception, la mise en œuvre
- mener les investigations et externe
et le pilotage du contrôle
communiquer les déclarations - réviseur
interne par le management.
recueillies dans le cadre de indépendant
Cette responsabilité
dispositifs d’alertes
s’exprime au niveau de
chaque composante
Composante 1 : Environnement de contrôle
Principe 3 : Le management, agissant sous la surveillance du Cabinet ministeriel ou du Conseil, crée et organise définit les structures, définit les
rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.
3 points d’attention
1. Prend en compte
l'ensemble des structures
de l'entité – - Mettre en place une structure - Cabinet ministériel
Le management, le Cabinet organisationnelle - DG
ministeriel et et le conseil - Définir les rôles, les - Personnel
- Décrets, arrêtés et/ou décisions d’organisation et de
prennent en compte la responsabilités, les missions et - Partenaires
nomination
complexité des structures les attributions extérieurs
- Organigramme
organisationnelles (unités - Mettre en place une structure (concessionnaires
- Fiches de postes
opérationnelles, entités organisationnelle de services
- Conventions ou contrats
juridiques, distribution - Nommer les responsables à publics,
géographique et prestataires chaque niveau hiérarchique consultants
externes) utilisées pour extérieurs)
contribuer à la réalisation des
objectifs.

60
2. Établit les rattachements - Décrets, arrêtés et/ou décisions d’organisation et de
– - Définir les rattachements nomination
- DG ;
Le management définit et hiérarchiques et fonctionnels - Organigramme
- Directeurs
évalue les rattachements dans un support - Fiches de postes
centraux et
pour chaque structure de - Diffuser les documents - Rapports d’évaluation/d’Audit des rattachements
régionaux ;
l'entité afin de favoriser comportant les rattachements hiérarchiques et fonctionnels
- Sous Directeurs ;
l'exercice des pouvoirs et des hiérarchiques et fonctionnels - Charte fonctionnelle
Chefs de service ;
responsabilités et le flux - Evaluer les rattachements - Contrat d’objectif
Personnel
d'informations nécessaires à hiérarchiques et fonctionnels - Manuel de procédures
la gestion des activités de - Mettre à jour ces documents
l'entité.
3. Définit, assigne et
délimite les pouvoirs et
les responsabilités – - Définir les pouvoirs et
Le Cabinet ministeriel, le responsabilités pour assurer la - DG ;
- Décrets, arrêtés et/ou décisions d’organisation et de
conseil et le Le management séparation des fonctions - Directeurs
nomination
et le conseil délèguent les - Déléguer les pouvoirs dans la centraux et
- Organigramme
pouvoirs, définissent les limite de ses attributions régionaux ;
- Fiches de postes
responsabilités, utilisent des - mettre en place une matrice des - Sous Directeurs
- Matrice des pouvoirs et approbations
processus et des systèmes pouvoirs et des approbations - Chefs de
- Matrice des suppléances
d’information appropriés pour - Établir et mettre à jour la des services ;
- Charte fonctionnelle
assigner les responsabilités descriptions de postes Personnels
- Manuel de procédures
et séparer les tâches comme - Définir les conditions d’interim et
il convient aux différents de suppléance
niveaux de l'Unité
Administrativeorganisation
Composante 1 : Environnement de contrôle

61
 Principe 4 : L’Unité Administrativeorganisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux
objectifs
4 points d’attention
- dDéfinir les profils
(connaissances, les compétences
et l’expertise requises, etc.)
- Sélectionner et organiser les -
entretiens avec les candidats - Ministère en
- Effectuer des contrôles sur les charge de la
1. Établit des règles et des - Description de postes ;
antécédents et les références des Fonction publique
pratiques – - Fiches de description de postes
candidats - Directions
Les règles et les pratiques - Politiques ou procédures de recrutement permettant de
- Prendre des décisions relatives générales et
reflètent les compétences sélectionner les meilleurs profils
au recrutement centrales
attendues, nécessaires à la - Contrats d’objectifs ;
- Préciser les certificats et - Directions des
réalisation des objectifs. - Documents de profils de carrière
diplômes exigés lors des ressources
formations humaines ;
- -Fixer des objectifs aux - Personnels
collaborateurs
- Mettre en place un dispositif de
gestion des carrières
2. Évalue les compétences - iIdentifier et mettre en place des - Directions - Politiques ou procédures d’évaluation des compétences
disponibles et remédie programmes de formation (2 et 3) Générales du personnel
aux insuffisances - Evaluer périodiquement les - Personnel - Rapports de formations
carences – compétences, les performances - Prestataires - Politiques et procédures de sélection et d’évaluation des
Le Cabinet ministeriel, le et les comportements externes prestataires externes
conseil et le management - Evaluer les performances des - Rapports d’évaluation
évaluent les compétences prestataires (concessions de - Critères d’évaluation

62
disponibles dans l'ensemble
de l'Unité
Administrativeorganisation et service public, consultants)
chez les prestataires - Analyser l’adéquation entre les
externes au regard des compétences définies et les
règles et des pratiques compétences disponibles
établies, et le cas échéant, - Renforcer les capacités des
prennent des mesures pour collaborateurs
remédier aux
insuffisancescarences.
- rRecruter et fidéliser les
collaborateurs clés (1 et 3)
3. Attire, forme et fidélise définir les performances
les personnes – attendues (1 et 3)
L'Unité - Définir les critères de désignation
Administrativeorganisation des mentors
prévoit le mentorat et la - Mettre en place une politique - Directions
- Politiques ou procédures de formation et de motivation
formation nécessaires pour d’incitation Générales
- Procédures de désignation des mentors
attirer, former et fidéliser - Prendre des décisions relatives à - Personnel
suffisamment de la fidélisation, à la promotion des
collaborateurs compétents et collaborateurs
de prestataires externes et - Etablir des programmes de
de prestataires externes pour formation
réaliser ses objectifs. - Définir les critères de selection et
attirer les prestataires externes

4. Planifie et prépare la - Elaborer une procédure pour Cabinet ministériel Politiques ou procédures de succession
relèvesuccession – assurer la relève de succession Directions Générales Politiques ou procédures de départ

63
Le Cabinet ministeriel, le
conseil et le managementLa
aux postes clés
direction générale et le
- Conduire des entretiens de Personnel Guide de passation de charges
conseil élaborent des plans
départ PV de passation des charges
pour assurer la continuité des
responsabilités clés en
matière de contrôle interne.
Composante 1: Environnement de contrôle
Principe 5 : l’Unité Administrativeorganisation instaure pour chacun des acteurs un devoir de rendre compte de ses responsabilités en matière de
contrôle interne afin d’atteindre ses objectifs
5 points d’attention
1. Instaure un devoir de
rendre compte à travers
les structures, les
- Cabinet Ministériel
pouvoirs et les - Intégrer dans les descriptions de
- Directions
responsabilités – postes l’obligation de rendre
Générales - Fiches de postes
Le Cabinet compte en matière de contrôle
- Directions - Tableau de bord
ministérielmanagement et le interne.
Centrales et - Rapports
conseil déterminent les - Mettre en place le reporting
Services - Plan d’actions
mécanismes pour la périodique en matière de contrôle
déconcentrés - Guide de reporting
communication et le devoir interne
- Sous directions - Textes règlementaires
de rendre compte de chacun - Proposer et mettre en œuvre des
Services
en matière de contrôle mesures correctives
- Personnel
interne, et prennent, si
nécessaire, les mesures
correctives.
2. Établit des indicateurs de - Mettre en place des indicateurs - Cabinet Ministériel - Note et rapport
performance, les de performance, des mesures - Direction générale - Indicateurs de performances

64
 mesures d'incitation et
les gratifications –
Le Cabinet
ministérielmanagement et le
conseil établissent des
indicateurs de performance,
des mesures d'incitation et
des gratifications pour les - Textes et politiques d’incitation
d’incitations
responsabilités à tous les
échelons de l'entité, en
tenant compte du niveau de
performance et des normes
de conduite attendus, ainsi
que de la réalisation des
objectifs à court et à long
termes.
3. Évalue en continu la - Faire le suivi des indicateurs de - Cabinet Ministériel - Rapport d’évaluation
pertinence des performance, des mesures - Direction générale - Tableau de bord
indicateurs de d’incitations - Personnel
performance, des - évaluer périodiquement la - comité d’audit
mesures d'incitation et pertinence des indicateurs de - DRH
des gratifications – performance et des mesures
Le Cabinet d’incitation
ministérielmanagement et le - Prendre des mesures correctives
conseil alignent les mesures
d'incitation et les
gratifications sur la réalisation
des responsabilités liées au

65
contrôle interne en vue de
l’atteintela réalisation des
objectifs.
4. Tient compte des
pressions excessives –
Le Cabinet
ministérielmanagement et le
- Directions
conseil évaluent et limitent - Evaluer les objectifs assignés
Générales - Rapports d’évaluation
les pressions associées à la - Etablir annuellement des objectifs
- Directions - Contrat de performance
réalisation des objectifs individuels négociés
Centrales
lorsqu'ils assignent les - Evaluer les performances
- Personnel
responsabilités, définissent
les indicateurs de
performance et évaluent les
performances.
5. Évalue les performances - Définir les critères de - Cabinet Ministériel - rapports d’évaluations
individuelles et performance - Directions - Textes
récompense ou - Evaluer les performances Générales - Politique de récompense et de sanction
sanctionne les personnes individuelles - Directions
– - Intégrer dans les critères de Centrales
Le Cabinet performance le respect des - Personnel
ministérielmanagement et le normes éthiques et
conseil évaluent l'exercice déontologiques
des responsabilités liées au - Définir les natures de
contrôle interne, notamment récompense et de sanction
le respect des normes de - Etablir un lien entre les
conduite et les niveaux de performances5 et les incitations/
5
La performance négative ou positive

66
 sanctions
compétence attendus et
- Définir les natures de
récompensent ou
récompense et de sanction
sanctionnent selon le cas.
-

Composante 2 : Evaluation des risques

Principe 6: L’Unité Administrativeorganisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification et l’évaluation des
risques susceptibles d’affecter leur réalisation.
15 points d’attention
Les objectifs liés aux opérations (4 points d’attention)
1. Reflètent les choix du
management – - direction générale - Programme annuel d’activités
- Définir les objectifs relatifs à chaque activité de
Les objectifs opérationnels reflètent - les directions centrales - Documents de définition des
l’organisation
les choix du management - Services déconcentrés objectifs (Plan d’actions
concernant la structure, le secteur - Sous directions stratégiques, Politique qualité,
-
d’activité et la performance de Services Plan d’actions opérationnelles…)
l’entité.
2. Prennent en compte les seuils - Direction générale
- Prendre en compte les risques dans la fixation
de tolérance au risque – - Directions centrales - Documents de définition des
des objectifs
Le management établit les écarts - Services déconcentrés objectifs
- Définir les seuils de tolérance pour les
acceptables par rapport à l’atteinte - Sous directions - Cartographie des risques
objectifs opérationnels
des objectifs opérationnels. - Le personnel
3. Englobent des cibles de - Intégrer les performances opérationnelles et - Direction générale - Tableau de bord
performance opérationnelle et financières dans la détermination des objectifs - Directions centrales - Indicateurs de performance
financière – - Services déconcentrés - Documents de définition des
Les performances opérationnelles - Sous directions objectifs

67
et financières souhaitées sont
- Contrat d’objectifs
reflétées dans les objectifs - Le personnel
- Contrat de performance
opérationnels.
4. Constituent les bases de
l'allocation des ressources –
- Direction générale
Le management se base sur les
- Directions centrales
objectifs opérationnels pour affecter - Identifier et évaluer les besoins
- Services déconcentrés - Budget
les ressources nécessaires à la - Affecter les ressources nécessaires à la
- Sous directions
réalisation de la performance réalisation des objectifs
- Le personnel
opérationnelle et financière
souhaitée
Les objectifs liés au reporting financier externe (3 points d’attention)
5. Respectent les normes - iIdentifier les informations financières à publier - Veille juridique
comptables applicables – ainsi que les critères d’acceptabilité - Document d’évaluation
Les objectifs de reporting financier - Evaluer la pertinence des objectifs fixés en - Manuel de procédures
- dDirection gGénérale
sont cohérents avec les principes matière de reporting financier comptables
- Comptables publics
comptables adéquats et pertinents - rRevoir et mettre à jour les procédures de - Comptes rendus de réunions de
- Le comité d’audit
pour l’entité. Les principes reporting financier externe conformément à la comité d’audit
comptables retenus sont appropriés règlementation et aux normes comptables en - Rapport d’audit
aux circonstances. vigueur.
- Cabinet Ministériel
6. Tiennent compte de la - Directions Générales
matérialitéi - - éEvaluer l’importance relative des principaux - la cour des comptes - Etats financiers
Le management tient compte de la comptes en prenant en compte les attentes - les Partenaires - Liste des comptes significatifs et
matérialité dans la présentation des des utilisateurs des états financiers Techniques et les seuils de matérialité associés
états financiers. Financiers (PTF)
- le comité d’audit

68
7. Reflètent les activités de l’entité - Cabinet Ministériel
– - Directions Générales
- Recenser les opérations significatives
Le reporting externe reflète les - le comité d’audit - états financiers
- Vérifier que les opérations significatives sont
transactions et les événements - la cour des comptes - rapports de mise en état
correctement retracées dans les états
sous-jacents, dans le respect des - les PTFs d’examen des états financiers
financiers
critères de qualité communément
admis.
Les objectifs liés au reporting extra-financier externe (3 points d’attention)
- éEtablir le reporting conformément aux
8. Respectent les normes et les normes extra financières (normes sociales,
référentiels externes – sociétales, environnementale et de
- cabinet ministériel
Le management définit des gouvernance) - Reporting extra-financier
- Directions générales
objectifs conformes aux lois et - - Veille juridique
- PTF
règlements, ou aux normes et aux - Revoir et mettre à jour le reporting - Veille normative
- Comité d’audit
référentiels d'organismes externes conformément aux normes extra financières et
reconnus. aux exigences légales
-
9. Prennent en compte le niveau
de précision requis – - Recenser les exigences des parties prenantes
Le management prend en compte en matière de reporting extra financier (Social, - Cabinet Ministériel
- Matrice des exigences
le niveau de précision et sociétale environnemental et de gouvernance) - Directions Ggénérales
- Rapport d’analyse du reporting
d'exactitude requis pour les besoins - Intégrer les exigences des parties prenantes - Comité d’audit
extra comptable
des utilisateurs et des critères fixés dans l’établissement du reporting extra- - PTF
par les tiers pour le reporting extra financier
financier.
10. Reflètent les activités de l'entité - eExaminer l’étendue des activités de l’entité - cabinet ministériel Rapport d’analyse des états

i
Seuil de matérialité : c’est le niveau en dessous duquel les erreurs ou risques d’erreurs relevés ne sont pas de nature à remettre en cause la régularité et la sincérité des
états financiers

69
 en matière environnementale, sociale,
–
sociétale et de gouvernance, - Directions
Le reporting externe reflète les
- Recenser les activités significatives Générales
transactions et les événements extra financier
- Vérifier que toutes celles qui sont significatives - Comité d’audit
sous-jacents significatifs dans des
sont prises en compte dans le reporting extra- PTF
limites acceptables
financier
Les objectifs liés au reporting interne (3 points d’attention)
11. Reflètent les choix du - Directions Générales
management – - éEtablir le reporting interne conformément aux - Directions centrales
Le reporting interne fournit au exigences de la dDirection Ggénérale - Services déconcentrés
- Rapports d’activités
management des informations - Sous directions
- Tableau de bord (indicateurs clés
exactes et exhaustives sur ses - Services
de performance)
choix, et celles dont il a besoin pour - Personnel
gérer l’entité
12. Tiennent compte du niveau de
- Directions Générales
précision requis –
- Directions centrales
Le management tient compte du - Recenser les exigences en matière de
- Services déconcentrés
niveau de précision et d'exactitude reporting financier et extra financier
- Sous directions - Rapports d’activités
requis pour les besoins de - Intégrer les exigences des reporting externes
- Services
l'utilisateur en termes d'objectifs de (financier et extra financier) dans le reporting
reporting extra-financier et de interne
- Personnel
matérialité dans le cadre des
objectifs de reporting financier.
13. Reflètent les activités de l’entité ₋ eExaminer l’étendue des activités de - Directions Générales
– l’entité - Directions centrales
Le reporting interne reflète les ₋ Recenser les activités significatives - Personnel
transactions et les événements - Vérifier que les activités significatives sont - Rapports d’activités
sous-jacents significatifsdans des correctement présentées dans le reporting

70
limites acceptables interne
Les objectifs liés à la conformité (2 points d’attention)
14. Reflètent les lois et règlements
externes – - Cabinets ministériels
- Intégrer les normes de conduite exigées par la ₋ veille légale et règlementaire
Les lois et règlements fixent des -Directions Générales
réglementation dans les objectifs de
normes de conduite minimales que - Personnel
conformité.
l'entité intègre dans ses objectifs de
conformité.
15. Prennent en compte les seuils - Directions générales
de tolérances au risque – - Directions centrales - Tableau de bord
- Définir les seuils de tolérance pour les
Le management prend en compte - Services - Indicateurs de performance
objectifs de conformité
les variations acceptables dans déconcentrés - Seuil de tolérance
Définir l’appétence aux risques
l’atteinte des objectifs de - Sous directions - Cartographie des risques
conformité. -Personnel
Composante 2 : Evaluation des risques
Principe 7: L'Unité Administrativeorganisation identifie les risques susceptibles d’affecter la réalisation de ses objectifs dans l'ensemble de son périmètre
et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
5 points d’attention
1. Englobe l’entité, les - mMettre en place un processus de gestion des - Directions Générales - Cartographie des risques
filiales,démembrements, les risques permettant de : - Gestionnaire des - Matrice des risques
divisions, les unités o iIdentifier les risques aussi bien au niveau risques - Politiques et procédures de
opérationnelles et les services des unités administratives que dans les - comité d’audit gestion des risques
fonctionnels – démembrements - comité de risques
L'Unité Administrative organisation o aAnalyser les risques, - Personnel
identifie et évalue les risques à o éEvaluer les risques (probabilité, impact)
l'échelle globale, au niveau des o Hiérarchiser les risques
filialesdémembrements, des o Définir les modalités de traitement des
divisions, des unités opérationnelles
risques

71
et des services fonctionnels
impliqués dans la réalisation des
objectifs.
- Cabinet Ministériel
2. Analyse les facteurs internes et
- dDirection gGénérale
externes –
- Identifier les facteurs internes et externes - Gestionnaire des
L'identification des risques tient - Veille stratégique et
- aAnalyser l’impact des facteurs internes et risques
compte des facteurs internes et informationnelle
externes sur la réalisation des objectifs - comité d’audit
externes et de leur impact sur la
- comité de risques
réalisation des objectifs.
- Personnel
3. Implique les niveaux appropriés
- Ddirection Ggénérale
du management – - Procédures de gestion des
- Gestionnaire des
L'’Unité Administrativeorganisation risques
- Définir et formaliser le rôle des acteurs dans le risques
met en place des dispositifs - Plans d’actions
processus d’évaluation du risque - comité d’audit
efficaces d'évaluation des risques - Fiches de poste
- comité de risques
qui impliquent les niveaux - Charte fonctionnelle
- Personnel
appropriés du management.
4. Estime l'importance des risques - direction générale
- Analyser les risques identifiés en fonction de
identifiés – - Gestionnaire des
leur probabilité de survenance et leur impact ;
Les risques identifiés sont analysés risques -matrice des risques
- Prendre en compte les facteurs externes et
grâce à un processus qui inclut - comité d’audit -cartographie des risques
internes susceptibles d’affecter la capacité de
l'estimation de l'importance - comité de risques
l’entité
potentielle des risques. - Personnel
5. Détermine les modalités de - Mettre en place des modalités de traitement - dDirections -procédures de gestion des risques
traitement des risques – des risques ; gGénérales -plan de mitigation ou plan d’actions
L'évaluation des risques permet de - Gestionnaire de de maîtrise des risques
définir la façon dont le risque doit risques
être géré et s'il doit être accepté, - comité d’audit

72
 - comité de risques
évité, réduit ou partagé
- Personnel
Composantes 2 : Evaluation des risques
Principe 8 : L’Unité Administrativeorganisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation
des objectifs.
4 points d’attention
- manuel de procédures
- historique des activités
1. Envisage différents types de
frauduleuses ;
fraude – - Etablir Faire la typologie des fraudes - Cabinet Ministériel
- cartographie des fraudes
L'évaluation du risque de fraude - Evaluer le risque de fraude - le comité d’audit
- rapports d’alerte
couvre notamment, la - pPrendre en compte le risque de fraude dans - l’audit interne
- dossiers du personnel
communication frauduleuse, la le plan d’audit - Gestionnaire des
- rapport d’évaluation des risques
perte éventuelle d'actifs , et la - Analyser les répercussions des fraudes risques
de fraude
corruption découlant des différentes potentielles - le responsable des
- le code de conduite
possibilités de survenance d'une - Déterminer les activités de contrôle de nature ressources humaines
- procédure spécifique de lutte
fraude ou d'un comportement à réduire le risque de fraude - le personnel
contre le contournement des
répréhensible.
dispositifs de contrôle interne
- le plan d’audit interne
- Cabinet Ministériel
- cartographie des incitations et des
2. Évalue les incitations et les - comité d’audit
pressions
pressions – - Etablir Faire la typologie des incitations et - audit interne
- dossiers du personnel
L'évaluation du risque de fraude pressions pouvant conduire à la fraude - Gestionnaire des
- rapport d’évaluation des risques
tient compte des incitations et des - Identifier les profils des fraudeurs risques
de fraude
pressions. - Classifier les incitations et pressions - responsable des
- structure des rémunérations
ressources humaines
- bulletins de revenus
- Personnel
3. Évalue les opportunités – - pPrendre en compte les méthodes visant à - comité d’audit - manuel de procédure

73
 - historique des activités
frauduleuses ;
- rapports d’alerte
- dossiers du personnel
- rapport d’évaluation des risques
L'évaluation du risque de fraude de fraude
contourner les règles ou à y déroger (2 et 3) - audit interne
considère les opportunités - le code de conduite
- Identifier les faiblesses du contrôle interne - Gestionnaire des
d'acquisition, d'utilisation ou de - procédures spécifiques de lutte
pouvant conduire à la fraude risques
cession non autorisées d'actifs, de contre le contournement des
- Apprécier l’attitude du management local vis- - responsable des
modification des registres dispositifs de contrôle interne
à-vis de la fraude ressources humaines
comptables ou d'autres - le plan d’audit interne
- Personnel
agissements inappropriés. - textes (régimes disciplinaires,
responsabilités pénales,
personnelles et pécuniaires),
dispositifs et décisions relatifs aux
sanctions/récompenses

- Cabinet Ministériel
4. Évalue les comportements et - Directions Générales
les justifications – - Apprécier l’attitude du management local vis- - comité d’audit - Historique des cas de récidive
L'évaluation du risque de fraude à-vis de la fraude - audit interne - Historiques des sanctions
tient compte de la façon dont le - Apprécier l’attitude du personnel vis-à-vis de la - Gestionnaire des - Enquêtes relatives aux valeurs
management et les collaborateurs fraude risques éthiques et morales
pourraient commettre ou justifier - responsable des
des actes inappropriés. ressources humaines
- personnel
Composante 2 : Evaluation des risques
Principe 9 : L’Unité Administrative organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle

74
 interne
3 points d’attention
- Définir une méthodologie pour observer les
évolutions de l’environnement externe - Directions
(réglementaire, économique et physique) Générales
- Procédure d’analyse de
- Inventorier les changements survenus dans - Directions
1. Évalue les évolutions de l’environnement externe
l’environnement externe centrales
l'environnement externe- - Rapport d’analyse
- Evaluer les impacts des changements - Services
Le processus d'identification des - Veille stratégique et
significatifs sur les capacités et les déconcentrés
risques tient compte des évolutions informationnelle
performances de l’Unité - Gestionnaire des
de l'environnement réglementaire, - Actions de communication
Administrativeorganisation risques
économique et physique dans
- Proposer des mesures pour faire face aux
lequel l'entité exerce ses activités
changements importants induits par des
facteurs externes
- Communiquer sur l’impact des changements
de l’environnement externe
2. Évalue les évolutions des - Définir une méthodologie pour recenser les - Directions - Cartographie des risques liés
missions, des fonctions évolutions de l’environnement économique Générales au changement
essentielles et des stratégiesu (nouvelles activités nouvellement créées, - Directions - Manuel de procédures
modèle économique- activités cédées/concédées, nouvelles centrales - Plan d’actions stratégiques
L'Unité Administrativeorganisation technologies) - Gestionnaire des - Veille stratégique et
tient compte de l'impact potentiel (i) - Inventorier les changements survenus sur les risques informationnelle
des nouvelles lignes d'activités missions, les fonctions essentielles et les - Services - Actions de communication
nouvellement créées, des stratégies le modèle économique déconcentrés - budget
changements en profondeur - Evaluer les impacts de ces - Liste des parties prenantes
affectant les activités lignes changements sur l’Unité pertinentes
existantes, et des activités administrativeorganisation - Dispositif réglementaire des
attribuées/retirées cquises ou - Evaluer les risques liés à l’impact potentiel des nouvelles zones d’activité

75
 changements induits par une nouvelle
stratégie
- Etudier les implications de la nouvelle stratégie
et son incidence sur les objectifs de l’Unité
Administrativeorganisation - Cartographie des risques de
cédées/concédées sur le système - Proposer des mesures pour faire face aux fraude et de corruption
de contrôle interne, (ii) d’une évolutions des missions, des fonctions - enquêtes et études
développement croissance rapide, essentielles et des stratégiesdu modèle - Cartographie des risques
(iii) de l'évolution de la dépendance économique associés aux nouvelles
vis-à-vis de l’étranger, et des - Communiquer sur l’impact de l’évolution des activités
nouvelles technologies. missions, des fonctions essentielles et des - Etats financiers intégrés
stratégies du modèle économique sur l’Unité
Administrativeorganisation
- Mettre à jour l’évaluation des risques

- Réaliser des enquêtes sur le comportement et

3. Évalue les changements de
les valeurs des candidats potentiels
management- - Code de déontologie
- Réaliser des entretiens avec les candidats
L'Unité Administrativeorganisation - Cabinet Ministériel - Charte d’éthique
retenus pour appréhender leur conception du
tient compte de l’effet des - Directions - Dispositif de contrôle interne
contrôle interne et s’assurer de sa
changements de management et Générales - Entretiens
compatibilité avec les attentes du Cabinet
des évolutions de comportement et - rapports d’entretien
Ministériel en matière de contrôle interne
de philosophie de management sur - rapports d’enquête
- Evaluer l’impact du changement de
le système de contrôle interne.
management sur système de contrôle interne
Composante 3 : Activités de contrôle
Principe 10 : L'Unité Administrative organisation sélectionne et développe des activités de contrôle qui visent à maîtriser et à ramener à un niveau
acceptable les risques susceptibles d’affecter la réalisation des objectifs

76
 6 points d’attention
- Elaborer et diffuser la matrice des risques
- Déterminer les actions de maitrise des risques
- Directions - Cartographie des risques
- Sélectionner et déployer les activités de
1. Relie les activités de générales - Règles et procédures des
contrôle
contrôle à l'évaluation des - Directions activités de contrôle
- Sélectionner et déployer les règles et
risques – centrales - Règles et procédures de
procédures adaptées aux activités de contrôle
Les activités de contrôle permettent - Services maitrise des risques
- Evaluer périodiquement les activités de
de s'assurer que les modalités de déconcentrés - Dispositif réglementaire
contrôle et prendre en compte les risques non
traitement sont mises en œuvre - Gestionnaire des - Rapports d’évaluation des
relevés précédemment
pour gérer et maîtriser les risques. risques activités
- Réviser la liste des activités de contrôle en lien
avec les risques identifiés
- Directeurs
2. Tient compte des facteurs Généraux
propres à l'entité - Directeurs
- Analyser les spécificités de l’Unité - Rapport d’audit
Le management tient compte de la Centraux
Administrativeorganisation, son environnement - Matrice des risques
façon dont l'environnement, la - Responsables des
interne, la complexité, la nature et l'étendue de - Rapport de mise en œuvre
complexité, la nature et l'étendue de services
ses activités des activités de contrôle
ses activités , ainsi que les déconcentrés (DR)
- Déterminer et mettre en œuvre les activités de - Bulletin et note d’information
spécificités de l’Unité - Gestionnaire des
contrôle en rapport avec les résultats de - Contrat/
Administrativeson organisation, risques
l’analyse Convention
affectent la sélection et le - Partenaires
- Communiquer sur les activités de contrôle - Courrier
développement des activités de externes
contrôle.

3. (devient 5)Se focalise sur - Identifier et sélectionner les processus métiers - Directions - Cartographie des processus
les processus métier pertinents générales - Matrice des risques
pertinents – - Identifier les risques associés aux processus - Directions - Organigramme fonctionnel ou

77
 métiers pertinents
centrales diagramme de circulation
- Déterminer et mettre en œuvre les activités de
Le management détermine les - Services (flowchart)
contrôle en rapport avec les risques associés
processus nécessitant des activités Déconcentrés - Plan de communication
aux processus métiers pertinents
de contrôle. - Gestionnaire des - Automatisation des contrôles
- Communiquer sur les activités de contrôle en
risques en amont
lien avec les processus pertinents
4. Combine différents types
- Combiner les différents types de contrôle à
d'activités de contrôle –
savoir contrôles manuels et automatisés ainsi
Les activités de contrôle englobent
que des contrôles préventifs, et détectifs et
un large éventail de contrôles et - Directions générales
correctifs - Manuels de Procédures
peuvent comprendre un ensemble - Directions centrales
- Evaluer l’efficacité de la combinaison des - Rapports d’évaluations des types
d'approches équilibrées destinées à - Services déconcentrés
contrôles préventifs, détectifs et correctifs de contrôle
maîtriser les risques, dont des - Gestionnaire des
- préventifs et détectifs - Applicatifs informatiques
contrôles manuels et automatisés risques
- Renforcer les contrôles préventifs le cas
ainsi que des contrôles préventifs,
échéant
détectifs et correctifs
- - Déterminer les fréquences et la taille de
préventifs et détectifs.
l’échantillon pour les contrôles détectifs.
5. (devient 3) Tient compte du
niveau auquel doivent
s'appliquer les activités de - Directions générales
- Identifier les différents processus et niveaux
contrôle – - Directions centrales -Organigramme
de l’entité nécessitant la mise en place des
Le management apprécie la - Services déconcentrés -Diagramme de flux
activités de contrôles
nécessité de développer des -Manuels de procédures
activités de contrôle aux différents
processus et niveaux de l'entité.
6. Tient compte de la - iIdentifier et séparer les tâches incompatibles - Directions générales - Grille de séparation des fonctions
séparation des tâches – - Mettre en place des activités compensatoires - Directions centrales - Manuel des procédures

78
Le management sépare les tâches
incompatibles et lorsqu'il n'est pas
- Services déconcentrés
possible de le faire, il sélectionne et ou alternatives de contrôles si nécessaire
développe des activités alternatives
de contrôle.

Composantes 3: Activités de contrôle

Principes 11 : L'Unité Administrativeorganisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des
objectifs
4 points d’attention
1. Prend en compte le lien entre
- Inventorier les composantes du système
l'utilisation des systèmes
d’information
d’information dans les - Test de cheminement
- Réaliser un test de cheminement pour
processus métier et les - Directions générales - Grille de séparation des tâches
comprendre la dépendance vis à vis du
contrôles généraux - Directions centrales - Matrice des risques et de contrôle
système informatique
informatiques – - Services - Guide de Procédures de contrôle
- Evaluer le système d’information
Le management détermine la déconcentrés informatique
- Elaborer des matrices de risques et de
dépendance et le lien entre - Rapport d’évaluation
contrôle pour documenter la dépendance
processus métier, contrôles
vis-à-vis des systèmes d’information
applicatifs et contrôles généraux.
2. Met en place les activités - Evaluer périodiquement les - Directions générales - Rapport d’évaluation
pertinentes pour les infrastructures informatiques et les - Directions centrales - Cahiers de recettes
infrastructures informatiques applicatifs développés - Maitre(s) d’œuvre
– - Mettre à niveau, le cas échéant, les
Le management sélectionne et infrastructures informatiques et les
développe les contrôles relatifs à applicatifs développés
l'infrastructure informatique, qui sont -
conçus et mis en œuvre afin de - Mettre en place les contrôles pour

79
contribuer à l'exhaustivité, s’assurer de l’exhaustivité, de l'exactitude
l'exactitude et la disponibilité du et de la disponibilité du traitement
traitement informatique. informatique
3. Met en place les contrôles
pertinents au sein des - Définir les profils d’habilitations
processus de gestion de la informatiques
sécurité – - Configurer l’infrastructure des systèmes -
Le management sélectionne et d’information de façon à permettre la - Politique de sécurité
- Directions
développe des contrôles conçus et restriction des accès et la séparation informatique (documents de
gGénérales
mis en œuvre afin de restreindre les suffisante des tâches revue d’habilitations, chartes,
- Directions centrales
habilitations informatiques aux - Mettre en place les contrôles afin de procédures…)
utilisateurs autorisés dans la limite de limiter les habilitations informatiques aux
leurs responsabilités, mais également utilisateurs et protéger les actifs contre
afin de protéger les actifs de l'entité les menaces externes
contre les menaces externes.
4. Met en place les contrôles
- Appliquer un modèle de développement
pertinents liés aux processus
aux progiciels et logiciels développés en
d'acquisition, de
interne (exemple ; SDLC (System
développement et de
développement Life Cycle pour cycle de
maintenance des systèmes
vie de développement du système - Directions
d’information – - schéma directeur informatique
d’information)) gGénérales
Afin de réaliser ses objectifs, le - Manuel des procédures
- Mettre en place un dispositif de contrôle - Directions centrales
management sélectionne et
des processus d’acquisition, de
développe des contrôles liés à
développement et de maintenance du
l'acquisition, au développement et à
système d’information et de son
la maintenance des systèmes
infrastructure
d’information et de son infrastructure.

80
 Composante 3 : Activités de contrôle
Principe 12 : L'Unité Administrative organisation déploie les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de
procédures qui permettent de mettre en œuvre ces règles
6 points d’attention
1. Définit des règles et des
procédures à l'appui du
déploiement des
instructions du
management –
Le management établit, grâce à - Directions générales
- Elaborer les règles et les procédures - Manuel de procédures
des règles fixant ce qui est - Directions centrales
- Actualiser, en cas de besoin, les règles et
attendu et à des procédures - Services déconcentrés
procédures.
précisant les mesures associées,
les contrôles qui seront intégrés
aux processus métier et aux
activités quotidiennes du
personneles salariés.
2. Établit la responsabilité et
le devoir de rendre - Désigner les responsables en charge des - Directeurs généraux - Manuel des procédures
compte de la mise en activités de contrôle - Directeurs centraux - Fiches de poste
œuvre des règles et des - Instaurer le principe de redevabilité (reporting) - Responsables des - Rapports de contrôle
procédures – - services déconcentrés - Reporting
Le management assigne la - Sous directeurs
responsabilité et le devoir de - Chefs de service
rendre compte des activités de
contrôle au personnel
d'encadrement (ou à d'autres
collaborateurs) de l'unité

81
opérationnelle ou de la fonction
concernée par le risque.
3. Exécute dles contrôles
- Fiches de poste
prevusen temps voulu-
- Manuel des procédures
Le collaborateur à qui la - Exécuter les contrôles conformément aux règles
Chargés du - Outils de contrôle
responsabilité des contrôles a été et procédures
contrôle - Cartographie des risques
assignée, les exécute dans les
- Rapports de contrôle
délais définis par les règles et les
procédures.
4. Prend les mesures
correctives –
- Chargés de contrôle
Le collaborateur à qui la
- Elaborer un plan d’action pour la mise en œuvre - Chefs des services
responsabilité des contrôles a été - Rapports de contrôle
des mesures correctives concernés
assignée effectue des vérifications - Plan d’actions des mesures
- Suivre la mise œuvre du plan des mesures - Personnes en charge
et prend des mesures pour traiter correctives
correctives de la mise en œuvre
les écarts et dysfonctionnements
des mesures
points identifiés dans le cadre des
correctives
activités de contrôle.
5. Fait appel à des
collaborateurs
compétents pour réaliser
- Définir les critères de sélection des - - Fiche de poste
les contrôles –
collaborateurs en charge du contrôle - Critères de sélection des
Des collaborateurs compétents - Directions générales
- Désigner les collaborateurs compétents en collaborateurs en charge du
dotés de l'autorité adéquate - Directions centrales
charge du contrôle contrôle
exécutent les activités de contrôle
- Ordre de mission/ Feuille de route
avec la diligence et l'attention qui
s'imposent.
6. Réévalue les règles et les - Evaluer régulièrement les règles et procédures - Directions générales - Planning des évaluations

82
 procédures autant que de
besoin –
Le management revoit - Rapports d’évaluation des règles
-
périodiquement les contrôles afin - Directions centrales et procédures
- Mettre à jour les règles et procédures
de s'assurer qu'ils restent - Manuels de procédures
pertinents, et si nécessaire les
actualise.

Composante 4: Information et communication

Principe 13 : L'Unité Administrativeorganisation obtient, produit et utilise des informations pertinentes et de qualité pour faciliter le fonctionnement du
contrôle interne.
5 points d’attention
1. Identifie les besoins
- Directions
d'information –
- Recenser les besoins d’information gGénérales, - Diagramme de flux
Un processus est en place afin
- Elaborer les critères de sélection Directions Manuel de procédures
d'identifier les besoins d'informations
- Sélectionner les besoins d’information centrales
nécessaires au fonctionnement du
pertinents Services
contrôle interne et à la réalisation des
objectifs de l’entité.
2. S’appuie sur des données - Ministères - Manuel de procédures
d’origine interne et externe – - Directions - Système de collecte des données
- Identifier les sources d’information
Les systèmes d’information permettent gGénérales (plateforme d’échanges,
- Collecter les données
d'accéder aux sources internes et - Directions centrales questionnaires, interconnexion…)
externes de données. Services
3. Traite les données pertinentes - Classer les données Services en charge du - Manuel de procédures (procédures
– - Analyser les données traitement des données de traitement des données)
Les systèmes d’information utilisent - Recouper les données
des données pertinentes pour les - Rassembler les données

83
transformer en informations.
4. Garantit la qualité tout au long
du traitement –
Les systèmes d’information produisent - Valider les informations - Directions générales
en temps voulu des informations à jour, - Rendre accessibles et disponibles les - Directions centrales Manuel de procédures
exactes, exhaustives, accessibles, informations - Services en charge (procédures de validation, de
protégées, vérifiables et conservées. - Assurer la protection et la conservation du traitement des conservation, de protection et de
Les informations sont examinées afin des informations données diffusion des informations)
d'évaluer leur pertinence dans le cadre
de la mise en œuvre des composantes
du contrôle interne.
5. Prend en compte le rapport
coûts/bénéfices – - Directions
La nature, la quantité et la précision gGénérales
- Apprécier le rapport coût / bénéfice Rapports d’analyse
des informations communiquées sont - Directions centrales
proportionnées aux objectifs, et
contribuent à leur réalisation.
Composante 4 : Information et communication
Principe 14 : L'Unité Administrativeorganisation communique en interne l’information nécessaire au bon fonctionnement du contrôle interne,
notamment les informations relatives aux objectifs et aux responsabilités du contrôle interne.
4 points d’attention
1. Communique des informations - Déterminer les canaux de - Directions Plan de communication
relatives au contrôle interne – communication gGénérales
Un processus est en place afin de - Diffuser les informations relatives aux - Directions centrales
communiquer les informations objectifs et responsabilités en matière
nécessaires pour permettre à de contrôle interne
l'ensemble des collaborateurs de
comprendre et d'exercer leurs

84
responsabilités en matière de contrôle
interne.
2. Communique avec le Cabinet
- Elaborer une charte définissant les
ministériel – - Le Cabinet
lignes directrices relative au partage - Charte
Le management et le Cabinet ministériel
d’informations au sein du Cabinet - Procédures
ministériel communiquent de telle sorte - Directions
ministériel - Réunions
que ces deux organes détiennent les générales
- Définir les modalités de communication
informations nécessaires pour remplir Directions
entre les cadres dirigeants et le Cabinet
leur rôle dans la poursuite des objectifs centrales
ministériel
de l’entité.
3. Offre des canaux de
communication spécifiques –
Des canaux de communication - Mettre en place un dispositif d’alerte en
spécifiques, tels que des dispositifs dehors des lignes hiérarchiques
- Cabinet ministériel
d'alerte, sont en place à titre de garantissant la protection des - Dispositifs d’alerte
- Directions générales
mécanismes de sécurité permettant dénonciations Comptes rendus de réunions
Comité d’audit
une communication anonyme ou - Communiquer au personnel l’existence
confidentielle lorsque les canaux du dispositif d’alerte
habituels sont inopérants ou
inefficaces.
4. Sélectionne un mode de
communication adéquat – - Identifier les différents modes de
- Cabinet ministériel
Le mode de communication est choisi communication Plan de communication (intranet,
Directions
en tenant compte de la nature, des - Utiliser le mode de communication sms…)
gGénérales
destinataires et des délais de approprié
transmission des informations
Composante 4 : Information et communication
Principe 15 : L'Unité Administrativeorganisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du contrôle interne.

85
 5 points d’attention
1. Communique aux tiers –
Des processus sont en place pour - Définir un mécanisme de - Directions
communiquer en temps opportun voulu communication périodique des gGénérales
Plan de communication
des informations pertinentes aux tiers, informations pertinentes aux parties
notamment, aux , partenaires, usagers prenantes.
et clients.
2. Permet de recevoir des
communications –
Des canaux de communication ouverts
permettent de recevoir des - Cabinet ministériel - Système de recueil d’informations
- Définir un mécanisme de recueil
informations provenant des clients, - Directions (numéro vert, boite à suggestions,
d’informations
usagers/clients consommateurs, gGénérales mail…)
- Informer les tiers de l’existence d’un
fournisseurs, auditeurs externes, Directions
dispositif de recueil d’informations
régulateurs, analystes financiers et centrales
d'autres tiers, de sorte que le
management et le Cabinet ministériel
disposent d'informations pertinentes.
3. Communique avec le Cabinet - Recenser les informations issues
ministériel – d’évaluation réalisées par les tiers - Cabinet ministériel
Les informations pertinentes découlant - Sélectionner les informations - Directions
Recueil d’informations
d'évaluations réalisées par des tiers pertinentes gGénérales
sont communiquées au Cabinet - Communiquer cses informations au Evaluateurs
ministériel. cabinet ministériel
4. Met à disposition des canaux - Mettre en place un dispositif d’alerte en - Cabinet Dispositifs d'alerte anonyme ou
de communication spécifiques garantissant l’anonymat des tiers ou la ministériel confidentiel
– confidentialité de la source - Directions
Des canaux de communication - Informer les tiers de l’existence du générales

86
spécifiques, tels que des dispositifs
d'alerte, sont en place comme
mécanismes de sécurité permettant
- Tiers
une communication anonyme ou dispositif d’alerte
confidentielle lorsque les canaux
habituels sont inopérants ou
inefficaces.
5. Sélectionne un mode de
communication approprié – - Publication,
- Identifier les différents modes de
Le choix du mode de communication - Cabinet ministériel - Revues,
communication
tient compte de la nature et des - Directions générales - Bulletins
- Utiliser le mode de communication
destinataires de la communication, des - Réunions
approprié
aspects liés au délai, des obligations
légales, réglementaires et des attentes.

Composante 5 : Pilotage
Principe 16 : L'Unité Administrative organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles pour s'assurer que les
composantes du contrôle interne sont mises en place et fonctionnent.
7 points d’attention
1. Envisage une
combinaison d'évaluations - Directions gGénérales
- Réaliser des évaluations ponctuelles et
continues et d'évaluations - Service audit interne
continues
ponctuelles- - Comité d’audit
- Revoir périodiquement l’équilibre entre les - Rapports d’évaluations
Le management combine de - Evaluateurs indépendants
évaluations ponctuelles et continues - Comptes rendus de réunions
manière équilibrée les évaluations - Personnel
continues et les évaluations
ponctuelles.
2. Prend en compte le - Identifier Déterminer les changements dans - Directions gGénérales - Cartographie actualisée des

87
 rythme des changements- l’environnement (légal, règlementaire,
risques
Le management tient compte du économique) affectant l’entité
- Rapports d’analyse de la
rythme de changement des - Ajuster la combinaison des évaluations
- Service d’audit interne combinaison des évaluations
activités et des processus métier continues et ponctuelles en fonction du
continues et des évaluations
lors de la sélection et du rythme de changement des activités et des
ponctuelles
développement des évaluations processus métiers
- Veille juridique et économique
continues ou ponctuelles.
3. S’appuie sur un niveau de
référence –
- Réaliser un état des lieux en s’appuyant sur - Rapports sur l’état
Un état des lieux de la conception
le référentiel applicable. - Directions générales des lieux du
et de l'état du système de contrôle
- Identifier les changements devant être - Personnel système de
interne permet de définir le niveau
apportés au dispositif de contrôle interne contrôle interne
de référence des évaluations
continues ou ponctuelles.
4. Fait appel à des
collaborateurs avertis-
Les collaborateurs chargés des - Elaborer les critères de sélection des - Critères de sélection
- Directions gGénérales
évaluations continues ou collaborateurs en charge des évaluations - Base de données du personnel
- Direction des ressources
ponctuelles possèdent des continues et des évaluations ponctuelles - Fiches de poste
humaines
connaissances suffisantes pour - Sélectionner les collaborateurs compétents
comprendre les processus
évalués.
5. Intègre les évaluations - Réaliser les évaluations continues et les - Directions gGénérales - Rapport d’évaluation
continues dans le cœur évaluations ponctuelles sur les processus - Services opérationnels - Plan d’actions
des processus métier- métiers - Service de contrôle - Tableau de bord
Les évaluations continues sont - Mettre en place des indicateurs pour évaluer interneService d’audit
intégrées dans les processus continuellement les activités de contrôle interne
métier et peuvent être modifiées

88
en fonction de l'évolution du
contexte.
6. Ajuste le périmètre et la
fréquence- - Actualiser la matrice des risques - Matrice des risques
- Directions générales
Le management modifie le - Ajuster le périmètre et la fréquence des - Plan d’audit
- Services d’audit interne
périmètre et la fréquence des évaluations ponctuelles sur la base de la
- Comité d’audit
évaluations ponctuelles en matrice actualisée des risques actualisée
fonction des risques.
- Recourir périodiquement à un tiers
7. Évalue objectivement
indépendant pour effectuer des évaluations - Directions générales - Rapports d’audit interne
Des évaluations ponctuelles sont
ponctuelles - Services d’audit interne - Rapports d’évaluateur
réalisées périodiquement afin
- Recourir à l’audit interne pour réaliser des - Evaluateurs indépendant
d'obtenir des informations
évaluations ponctuelles indépendants - Plan d’audit
objectives.

Composante 5: Pilotage
Principe 17 : L'Unité Administrativeorganisation évalue et communique les déficiences de contrôle interne en temps opportunt en temps voulu aux
responsables des mesures correctives, y compris, le cas échéant, à la Direction gGénérale et au Cabinet ministériel
3 points d’attention
- Examiner les résultats des évaluations - Cabinet ministériel
1. Évalue les résultats —
continues et des évaluations ponctuelles - Directions gGénérales - Rapports d’examen des
Le management et/ou le Cabinet
- Identifier les déficiences - Service d’audit interne évaluations continues et/ou des
ministériel, selon le cas, évaluent
(disfonctionnementdysfonctionnements, - Service de Contrôle évaluations ponctuelles
les résultats des évaluations
écarts) et leurs sources interne
continues et des évaluations
- Hiérarchiser les déficiences selon leurs - Comité d’audit
ponctuelles
impacts - Comité des risques
2. Communique les - Définir les modalités de communication des - Directions générales - Rapports sur les déficiences de
déficiences – déficiences suivant leur impact potentiel sur - Service d’audit interne contrôles
Les déficiences sont l’entité - Evaluateur(s) externe - Plans / supports de

89
 - Service de Contrôle
communiquées aux parties interne
- Communiquer les déficiences du contrôle
chargées de prendre des mesures - Comité d’audit
interne aux acteurs en charge de la mise en
correctives ainsi qu'à la Direction - Comité des risques Comité communication
œuvre des mesures correctives, à la
gGénérale et au Cabinet d’audit
Direction générale et au cabinet ministériel
ministériel, le cas échéant. - Cabinet
ministériel
3. Effectue le suivi des
- Plan d’actions des mesures
mesures correctives – - Directions générales
- Elaborer un plan d’actions de mise en œuvre correctives
Le management effectue un suivi - Service d’audit interne
des mesures correctives - Comptes rendus de
afin de s'assurer que les - Service de contrôle interne
- Effectuer le suivi des mesures correctives réunions
déficiences sont corrigées dans - Structures auditées
- Rapports de suivi
des délais appropriés

90