Annexe I. CONTRÔLE INTERNE BUDGÉTAIRE.

1. Introduction.

La présente annexe définit et précise, dans une logique d'autorité fonctionnelle renforcée, le cadre de référence régissant et structurant le dispositif de contrôle interne budgétaire (CIB) au sein du ministère de la défense comme composante du contrôle interne financier (CIF) dont les principes sont déclinés dans la partie commune de la présente instruction. 

Elle vise à préciser les modalités de mise en œuvre spécifiques du CIB et les outils associés. 

A ce titre, ses objectifs sont :

• de fixer le cadre d'exercice du CIB comme composante du CIF ;

• de l'inscrire dans l'environnement du ministère de la défense ;

• d'en renforcer la compréhension pour ses acteurs ;

• de sensibiliser les responsables budgétaires et autres acteurs financiers ⁽¹²⁾ sur les apports possibles du CIB ;

• de fournir des références communes ;

• de valoriser les expériences acquises. 

Elle structure la mise en œuvre du CIB autour de trois composantes :

• du dispositif permanent de CIB, qui comprend l'ensemble des règles et outils de fonctionnement du CIB ;

• de la cartographie des risques, qui permet de vérifier que le dispositif permanent de CIB est bien orienté vers la maîtrise des principaux risques budgétaires auxquels le ministère est exposé ;

• du plan d'actions ministériel (PAM), qui découle de la confrontation entre l'analyse des risques budgétaires et l'état du dispositif permanent, et contient un ensemble d'actions d'amélioration du dispositif permanent pour réduire les risques identifiés comme les plus critiques.

Cette annexe ne vise pas à régler toutes les questions techniques relatives au contrôle interne budgétaire qui peuvent par ailleurs faire l'objet, en tant que de besoin, d'instructions spécifiques ou de guides d'application.  

Elle s'adresse à la fois aux acteurs financiers, qui mettent en œuvre le contrôle interne budgétaire dans l'ensemble des services du ministère, et aux responsables budgétaires pour lesquels le contrôle interne budgétaire est aussi un outil de pilotage et d'aide à la décision. 

Elle annule et remplace le précédent référentiel ministériel de CIB publié en décembre 2010.

2. DÉFINITION DU CONTRÔLE INTERNE BUDGÉTAIRE : ÉLÉMENTS COMPLÉMENTAIRES.

Le décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique définit le contrôle interne budgétaire par son objet (art. 170) : « le contrôle interne budgétaire a pour objet de maîtriser les risques afférents à la poursuite des objectifs de qualité de la comptabilité budgétaire tenue et de soutenabilité de la programmation et de son exécution ». 

Publié par arrêté du 18 décembre 2013, le cadre de référence interministériel du contrôle interne budgétaire (CRICIB) définit le cadre méthodologique global, permettant à chaque RFFiM de décliner le dispositif de contrôle interne budgétaire au sein de son ministère.

A cet effet, il précise les objectifs et le périmètre du CIB et en présente les principes directeurs ainsi que les acteurs et les organes de gouvernance ⁽¹³⁾ . 

Le CRICIB complète la définition réglementaire du CIB en le décrivant comme  « l'ensemble des dispositifs formalisés et permanents décidés par chaque ministère et mis en œuvre par les responsables de tous les niveaux pour maîtriser le fonctionnement de leurs activités en vue de fournir une assurance raisonnable sur la qualité de la comptabilité budgétaire et sur la soutenabilité budgétaire de la programmation et de son exécution ». 

Les dispositifs composant le CIB doivent donc avoir pour effet de réduire le risque d'erreurs ou d'omissions significatives dans la comptabilité budgétaire et d'assurer le respect de l'autorisation parlementaire dans ses dimensions annuelle et pluriannuelle (cf. 3.1.).

Ces dispositifs comprennent un ensemble de moyens, de documents, de procédures, d'outils et d'activités de contrôle, adaptés aux caractéristiques propres du ministère de la défense, qui contribuent à la maîtrise de ses processus budgétaires, à l'efficacité de ses activités et à l'utilisation efficiente de ses ressources. 

Centré sur l'atteinte des objectifs de soutenabilité budgétaire et de qualité de la comptabilité budgétaire, le CIB participe pleinement, à ce titre, de la gouvernance du ministère. 

En revanche, le CIB ne porte pas sur la maîtrise des activités « métiers » du ministère de la défense. Ainsi, il ne vise pas à s'assurer de l'atteinte des objectifs de performance des politiques publiques ou de la gestion. Il ne doit donc pas être confondu avec un contrôle de gestion.

3. OBJECTIFS OPÉRATIONNELS ET COMPOSANTES DU CONTRÔLE INTERNE BUDGÉTAIRE AU MINISTÈRE DE LA DÉFENSE.

3.1. Les objectifs opérationnels du contrôle interne budgétaire pour le ministère de la défense.

Les objectifs stratégiques du CIB que sont la soutenabilité budgétaire et la qualité de la comptabilité budgétaire sont déclinés au ministère de la défense sous la forme de 10 objectifs opérationnels, rattachés à des processus différents, et qui concernent des catégories différentes d'acteurs.

Il revient à chaque acteur de la fonction budgétaire d'identifier les objectifs qui correspondent à son activité et de structurer en conséquence son dispositif permanent de CIB en fonction de ces objectifs.

3.1.1. Les objectifs opérationnels rattachés au processus de programmation budgétaire (hors titre 2).

Objectif n° 1 : Soutenabilité, cohérence physico-financière et traçabilité de la programmation budgétaire pluriannuelle

Principaux processus concernés :	Elaboration du référentiel de la LPM, VAR
Principaux acteurs concernés :	Responsables d'EP, SCVAR (SGA/DAF, EMA/PPE, DGA/DP)

L'élaboration du référentiel détaillé de la loi portant programmation militaire et l'actualisation annuelle de ce référentiel (Version Actualisée du Référentiel-VAR) sont les temps forts de la programmation budgétaire pluriannuelle du ministère de la défense ⁽¹⁴⁾.

Les enjeux principaux portés par les outils et activités de CIB liés à ces exercices sont les suivants :

• contribuer à la soutenabilité budgétaire du référentiel au regard des ressources attendues, notamment à la sincérité de la programmation des besoins et des ressources, à la fiabilité des analyses de risque et à la mise en œuvre d'un processus d'arbitrage juste et efficace ;

• s'assurer de la cohérence physico-financière, notamment au travers de la qualité des dossiers de justification des besoins et de la mise en cohérence physico-financière entre les programmations de différents EP ;

• assurer une traçabilité des sous-jacents et des décisions prises dans le cours du processus de programmation afin de pouvoir prendre les décisions ultérieures à la lumière de ces éléments. 

Objectif n° 2 : Qualité et traçabilité de la budgétisation et de la répartition  

Principaux processus concernés :	Budgétisation, répartition, PAP
Principaux acteurs concernés :	Chaînes budgétaires, DAF

Le rythme de préparation du projet de loi de finances annuel (PLF) est marqué notamment par la conférence de sécurisation de la trajectoire (CST) ou conférence de budgétisation ⁽¹⁵⁾, la conférence de répartition et les échéances de livraison du projet annuel de performance (PAP). Ces travaux, coordonnés par la DAF, s'appuient sur les travaux de VAR, la première année du référentiel actualisé (ou les trois premières années en cas de programmation budgétaire triennale) constituant le point de départ des discussions interministérielles.

Les enjeux principaux portés par les outils et activités de CIB liés à ces exercices sont les suivants :

• fluidifier les travaux afin de respecter les échéances ;

• assurer une cohérence interne des dossiers de budgétisation et de répartition, et du PAP, ainsi qu'avec la programmation pluriannuelle ;

• mettre en place des processus permettant de justifier (fiabiliser) le lien physico-financier des demandes exprimées ;

• tracer toutes les étapes de la construction budgétaire, notamment les arbitrages effectués.

 Objectif n° 3 : Fiabilité des bilans et des constats a posteriori 

Principaux processus concernés :	RTP, BSD, Bilan LPM, RAP
Principaux acteurs concernés :	Chaînes budgétaires, DAF

 La DAF est conduite, en collaboration avec les RProg, à exporter de nombreux éléments de suivi et d'explications de l'exécution du budget. Peuvent être cités en particulier les documents suivants :

• restitutions à la direction du budget relatives à l'exécution du budget ;

• suivi des décisions prises dans le cadre de la préparation du PLF ;

• restitutions auprès du Parlement relatives à l'exécution de la LPM ;

• rapport annuel de performance (RAP).

 Ces activités emportent des enjeux de cohérence des données exportées, de chaînage des référentiels et de fluidité des processus de production, auxquels les activités de CIB peuvent contribuer. 

3.1.2. Les objectifs opérationnels rattachés au processus de pilotage budgétaire (hors titre 2).

Objectif n° 4 : Fiabilité de la programmation annuelle (initiale et actualisée)

Principaux processus concernés :	Production des documents prescrits par le DGBCP (DRICE, DPG, CRG1, CRG2) et dialogue de gestion (SG1, SG2).
Principaux acteurs concernés :	Chaînes budgétaires, DAF.

Le suivi de l'exécution budgétaire est piloté par les RProg sur leur programme et par la DAF au plan ministériel. Etroitement encadré par le décret GBCP, il requiert la production de documents destinés au CBCM, dans lesquels l'exécution du budget et la programmation actualisée sont restituées.

Les activités de CIB associées à l'objectif de fiabilité des informations élaborées pour ces exercices relève principalement des enjeux suivants :

• mise à disposition des informations pertinentes pour évaluer la soutenabilité des programmes et des BOP ;

• fiabilité et comparabilité des dépenses obligatoires et des reports de charges, des dépenses inéluctables et des estimations de besoins de paiement pluriannuels ;

• fiabilité et prévisibilité des ressources, notamment des ressources extra-budgétaires ;

• fiabilité du reste-à-payer ;

• cohérence des référentiels d'analyse du budget.

Objectif n° 5 : Soutenabilité et sincérité de la gestion

Principaux processus concernés :	Gestion budgétaire quotidienne.
Principaux acteurs concernés :	Chaînes budgétaires ; Services exécutants (SE), responsables de pouvoir d'adjudication (RPA), services prescripteurs (SP).

 La gestion budgétaire est conduite dans le cadre de plusieurs macro-processus : MP2 ⁽¹⁶⁾, MP3⁽¹⁷⁾, MP4⁽¹⁸⁾ et MP5⁽¹⁹⁾ . Elle relève à la fois des acteurs des chaînes budgétaires, qui allouent des ressources de manière dynamique, et des acteurs techniques qui planifient et exécutent les dépenses au plus près du besoin physique.

L'un des principaux enjeux de CIB liés à cet objectif est de garantir la circulation entre les acteurs d'informations complètes, actualisées et utilisables, de façon à permettre à chaque entité de fluidifier et rationaliser les processus ciblés comme prioritaires. 

Objectif n° 6 : Soutenabilité et cohérence physico-financière des investissements et projets majeurs

Principaux processus concernés :	Passages en CEP et CMI
Principaux acteurs concernés :	DAF, DMPA, SID, DGA, EMA

 Les dépenses d'équipement représentent environ la moitié des dépenses HT2 du ministère de la défense. Parmi ces dépenses, certaines dépenses sensibles, dites « activités réservées » sont soumises à un processus d'autorisation d'engagement spécifique à la Défense.

En outre, les projets majeurs comme les contrats de partenariat public-privé et les contrats d'externalisation, qui font l'objet d'un processus décisionnel spécifique, constituent des projets de long terme qui méritent un suivi particulier.

Les principaux enjeux de CIB liés à ces processus sont les suivants :

• fluidité et fiabilité du processus décisionnel ;

• lisibilité du lien physico-financier des projets, tant dans les dossiers d'autorisation qu'au travers de la conception des outils de suivi, notamment des tranches fonctionnelles ;

• maîtrise du coût global et des risques des projets ;

• existence d'un dispositif de suivi de la réalisation des prévisions de ressources et de dépenses associées aux projets.

3.1.3. Les objectifs opérationnels rattachés au processus de production des données comptables.

Objectif n° 7 : Qualité de la comptabilité budgétaire HT2

Principaux processus concernés :	MP3, MP4, MP5
Principaux acteurs concernés :	Services exécutants (SE), en relation avec les responsables de pouvoir d'adjudication (RPA) et les services prescripteurs (SP)

La capacité du ministère à analyser ses dépenses, à réaliser des programmations sincères et à opérer des arbitrages justes, repose en grande partie sur la qualité de la comptabilité budgétaire.

Cet objectif, qui est porté au premier chef par les SE, responsables de la saisie des actes financiers, s'apprécie en regard des critères définis dans les dispositions générales relatives au CIF au MINDEF (cf. point 1.4.1) et est au cœur du schéma de convergence entre le CIC et le CIB.

Objectif n° 8 : Qualité de la comptabilité budgétaire du T2

Principaux processus concernés :	MP5, MP8
Principaux acteurs concernés :	RBOP T2, acteurs des chaînes RH – gestion administrative – solde / paie

Les enjeux liés à la qualité de la comptabilité budgétaire du titre 2 (T2) sont les mêmes que pour le hors titre 2 : capacité du ministère à analyser ses dépenses, sincérité de la programmation, arbitrages justes.

3.1.4. Les objectifs opérationnels rattachés au processus de programmation et de pilotage de la masse salariale.

Objectif n° 9 : Qualité, soutenabilité et actualité de la programmation initiale et actualisée de la masse salariale  

Principaux processus concernés :	VAR, budgétisation, répartition, DPGECP, PBOP
Principaux acteurs concernés :	DAF, DRH-MD, RBOP

Les exercices de programmation pluriannuelle (référentiel de VAR), de préparation du PLF (sécurisation de la trajectoire, répartition) et de suivi de la gestion (DPG, SG1, SG2) comportent tous un volet d'actualisation de la programmation du T2.

Les principaux enjeux de CIB liés à cet objectif sont les suivants :

• cohérence avec le calendrier budgétaire des calendriers de production des sous-jacents physico-financiers actualisés par les RBOP et la DRH-MD ;

• fiabilité des méthodes de programmation ;

• qualité de la programmation et de ses sous-jacents ;

• soutenabilité de la programmation.

Objectif n° 10 : Maîtrise des leviers de la masse salariale

Principaux processus concernés :	Processus RH
Principaux acteurs concernés :	DRH-MD, services RH et administration du personnel, DAF

L'évolution de la masse salariale est le résultat de l'ensemble des décisions RH (collectives ou individuelles) prises par les acteurs de la fonction RH.

Les enjeux principaux de cet objectif sont donc :

• l'assurance au plus près du fait générateur du respect des plafonds de ressources ;

• la mise en place de dispositifs de validation des décisions RH (notamment les décisions collectives) qui prennent en compte le contrôle nécessaire de leur impact budgétaire.

3.2. Les composantes techniques du contrôle interne budgétaire au ministère de la défense.

En application des principes directeurs du CIF (organisation, documentation, traçabilité), la mise en œuvre du CIB s'articule autour de trois composantes schématisées dans la Figure 1.

 

Figure 1 : Environnement et composantes du CIB

Ces trois composantes sont déclinées à chaque niveau par chacun des responsables des entités concernées :

Le dispositif permanent de CIB : il comprend l'ensemble des règles et outils de fonctionnement du CIB. Au niveau ministériel, ce dispositif permanent est organisé autour du référentiel ministériel de CIB établi par la DAF. Au niveau des RProg (et des RBOP pour le Titre 2), il est organisé autour de leur document d'organisation et de référence (guide ou vade-mecum) du CIB.

Le dispositif permanent de CIB est mis en œuvre au travers d'« activités de CIB », qui consistent :

• soit à utiliser les outils de CIB au cœur des processus métier : il s'agit de la réalisation de contrôles quotidiens et intégrés dans les tâches ou de la mise en œuvre d'outils nécessaire au dialogue entre entité (dialogue de gestion ou hiérarchique) ;

• soit à conduire des contrôles, qui sont regroupés dans les plans de contrôles : ces contrôles sont périodiques et mis en œuvre selon une fréquence programmée dans le plan de contrôles.

La cartographie des risques : c'est l'outil, issu d'une analyse des risques, qui permet de vérifier que le dispositif permanent de CIB est bien orienté vers la maîtrise des principaux risques budgétaires auxquels l'entité est exposée.

 

Le plan d'actions : il découle de la confrontation entre l'analyse des risques budgétaires et l'état du dispositif permanent, et contient un ensemble d'actions d'amélioration du dispositif permanent pour réduire les risques identifiés comme les plus critiques. 

Ces trois composantes du CIB sont détaillées dans les chapitres 4. 5. et 6. ci-dessous.

4. LE DISPOSITIF MINISTÉRIEL PERMANENT DE CONTRÔLE INTERNE BUDGÉTAIRE.

Le contrôle interne budgétaire concerne tous les acteurs du ministère dont l'activité peut avoir un impact, direct ou indirect, sur les processus budgétaires. En conséquence, si le contrôle interne budgétaire doit être porté par l'encadrement, il n'en demeure pas moins exercé par tous les niveaux de responsabilité.

Par déclinaison de l'organisation fonctionnelle du CIF et en application du principe de subsidiarité, le CIB est organisé en trois fonctions (stratégique, opérationnel et technique) qui s'articulent avec la chaîne des responsabilités budgétaires existantes (cf. point 8.3).

A noter : si le responsable de programme (RProg) exerce une fonction stratégique en sa qualité d'autorité responsable du contrôle interne financier (ARCIF), il participe également à la fonction opérationnelle dans le cadre de son dialogue avec ses responsables de budget opérationnel de programme (RBOP).

Figure 2 : Représentation de la répartition des fonctions principales du CIB

Cette organisation se traduit par la prise en charge d'une action par l'échelon de l'organisation budgétaire le plus pertinent en fonction de critères d'efficience et de régularité. L'échelon supérieur intervient en permanence sur l'échelon subordonné pour s'assurer de la qualité des actions accomplies par ce dernier et de la soutenabilité financière de ses décisions ; cependant, cet échelon supérieur réalise également lui-même certaines opérations de contrôle lorsque celles-ci exigent, par nature, d'être mises en œuvre au niveau global.

Au sein des entités concernées, les agents développent des outils et procédures ayant pour objet de faciliter ou de fiabiliser les processus budgétaires. Ces outils et procédures ont souvent vocation à être pérennisés, tout en étant évolutifs pour s'adapter aux priorités conjoncturelles. Ce faisant, ils sont structurés en un dispositif permanent de CIB dont la cohérence et la pertinence peuvent être appréhendées au regard des risques critiques auxquels l'entité est exposée.

Les étapes de mise en place d'un dispositif permanent de CIB peuvent être décrites comme suit :

4.1. Organiser le dispositif permanent : prendre en compte l'existant.

La mise en place d'un dispositif permanent de CIB intervient rarement sur un terrain vierge : les services concernés ont pour la plupart déjà développé un ensemble de dispositifs de fiabilisation et de contrôle des processus, qu'il est important, s'ils ont un impact sur la maîtrise des risques budgétaires, d'intégrer au dispositif global. La première étape de la formalisation d'un dispositif permanent de CIB consiste donc à recenser les dispositifs existants de maîtrise des risques.

Cet exercice, qui permet de valoriser le travail de contrôle déjà en place est souvent un facteur de motivation d'appropriation du CIB par les acteurs. En favorisant une vision pragmatique, il permet de contourner le risque d'un CIB perçu comme théorique et générateur de tâches de reporting sans valeur ajoutée évidente pour les agents.

Une approche possible pour réaliser ce recensement est de s'appuyer sur les risques de l'entité, lorsque ceux-ci ont été identifiés.

A défaut, il est possible de prendre pour base d'analyse les objectifs opérationnels décrits au paragraphe 3.1 et d'identifier les outils et procédures déjà en place pour atteindre ces objectifs.

4.2. La conduite du contrôle interne budgétaire nécessite la mobilisation des acteurs.

Si le CIB permet d'économiser des ressources en contribuant à la réduction des travaux de corrections d'erreurs et à l'optimisation des processus budgétaires, sa mise en place nécessite un investissement en moyens humains tant pour la phase initiale de déploiement que pour son fonctionnement.

Cet investissement inclut :

• l'allocation de temps agent, formalisée dans les fiches de poste ou au travers de la création d'une section dédiée à l'animation du CIB. Il convient de veiller notamment, à allouer les ressources nécessaires pour animer le réseau des acteurs, maintenir la documentation du CIB et réaliser les exercices de cartographies et de bilans ;

• l'identification des compétences adéquates pour chacun des postes consommateurs de ressources notamment  pour l'animation du CIB (négociation, capacité d'analyse de processus et de proposition de solutions adaptées, fonctionnement en mode projet, etc.) et pour la création et la maintenance d'outils de CIB ;

• la mise en place des formations nécessaires.

Au niveau technique, les activités de CIB sont intégrées aux processus et au fonctionnement courant des services et sont en conséquence réparties au sein des différentes missions des agents.

4.3. Structurer le dispositif permanent de contrôle interne budgétaire.

Le dispositif permanent de CIB est un ensemble complet de règles, d'ordres et d'outils qui incluent notamment :

• une désignation claire des responsabilités en matière de CIB ;

• des outils de contrôle (ensembles cohérents de procédures, tableaux, formulaires,…) ;

• un système documentaire garantissant l'accessibilité, l'intégrité et l'actualité des documents nécessaires au fonctionnement du CIB (instructions, directives, formulaires…).

En ce sens, le dispositif permanent de CIB est structuré, de façon obligatoire au niveau du RProg et du RBOP, et de façon facultative pour les autres entités concernées par le CIB, autour d'un document d'organisation du CIB qui en décrit le fonctionnement et les acteurs, et référence les outils et documents indispensables à la bonne marche du CIB.

Ce document peut renvoyer, pour ce qui concerne les contrôles permanents, vers les documents de formalisation des processus budgétaires et/ou les chartes de gestion des programmes.

En tout état de cause, ce document d'organisation du CIB doit traiter les rubriques suivantes :

• identification des objectifs opérationnels du CIB pertinents pour l'entité ;

• cartographie des acteurs et répartition des responsabilités, tant au sein de l'entité et de la chaîne qui en dépend que parmi les acteurs partenaires de la chaîne (SE…) ;

• désignation de correspondants CIB et modalité d'animation de leur réseau ;

• identification des outils et procédures de contrôle applicables, notamment ceux entretenus sous la responsabilité de l'entité ;

• organisation du système documentaire du CIB, notamment dans les aspects suivants :

• liste des types de documents qui peuvent entrer dans le champ du système documentaire du CIB (exemple : instructions, directives, notes, procédures, modes opératoires, formulaires…) ;

• normes d'élaboration et d'entretien des documents relevant du système documentaire du CIB (règles de validation, de nommage, de stockage, de péremption et de maîtrise des versions des documents) ;

• conditions de mise à disposition et de sécurisation des documents : description du dispositif mis en place pour s'assurer que les acteurs du CIB disposent d'un accès en temps utile aux documents de CIB pertinents, dans des conditions garantissant que ces documents sont bien actualisés et ne peuvent être modifiés au cours de leur usage que dans les limites prévues par leur auteur.

Afin de s'assurer du respect des principes généraux et de la cohérence du dispositif ministériel, la DAF valide les documents d'organisation établis par les RProg. Ces derniers valident également les documents d'organisation établis par les RBOP de leurs chaînes.

4.4. Evaluer périodiquement le dispositif permanent de contrôle interne budgétaire.

Les systèmes de contrôle interne doivent eux-mêmes faire l'objet d'une évaluation périodique à déterminer par les responsables concernés. Cette évaluation est intrinsèque à l'organisation d'un contrôle interne.

A cet effet, il est intéressant de mettre en place un dispositif de reporting régulier du CIB, par exemple via un tableau de bord et des indicateurs.

S'appuyant sur ces tableaux de bord et indicateurs, l'analyse périodique du dispositif permanent de CIB permet d'en vérifier le bon fonctionnement, les performances et la pertinence vis-à-vis des risques et des besoins de l'entité. Ce dispositif de reporting doit pouvoir faire apparaître les défaillances du contrôle interne budgétaire (anomalies, dysfonctionnements et irrégularités) et permettre de rendre compte aux entités de niveau supérieur des actions correctrices mises en œuvre.

Il est conseillé de synchroniser les deux exercices d'évaluation du dispositif de CIB et d'actualisation de la cartographie des risques afin de bénéficier d'un éclairage complet pour définir les actions à inscrire dans les plans d'actions d'amélioration de ce même dispositif de CIB.

4.5. Faire évoluer le dispositif permanent de contrôle interne budgétaire.

La cartographie des risques établie par chaque entité concernée par le CIB permet d'identifier et de hiérarchiser les risques budgétaires auxquels elle est exposée. Elle permet en particulier de sélectionner les risques les plus critiques, sur la maîtrise desquels l'effort doit porter en priorité compte-tenu des ressources disponibles. Les actions d'amélioration du dispositif permanent, décidées sur la base de cette analyse, sont regroupées dans un plan d'actions d'amélioration des dispositifs de maîtrise (en général annuel) qui nécessite un suivi étroit.

Le passage des risques budgétaires aux dispositifs de maîtrise n'est cependant pas toujours direct. En effet, les dispositifs de CIB ont souvent pour effet premier de permettre de contrôler des risques opérationnels, qui sont des facteurs causaux de risques budgétaires. Par exemple, le risque d'écart important entre programmation et exécution d'une dépense particulière, qui peut être considéré comme un risque budgétaire, est la résultante de plusieurs risques opérationnels qui doivent tous faire l'objet d'un dispositif de maîtrise particulier : méthode de programmation inadéquate, lien physico-financier insuffisant, référentiel ne permettant pas un suivi précis de la dépense, évaluation des risques déficiente, etc.

Pour tenir compte de cette complexité, une méthodologie fondée sur des cartes de risques est proposée en appendice 8.4.

5. LES CARTOGRAPHIES DES RISQUES.

5.1. Principes et objectis des cartographies des risques.

Le développement d'un contrôle interne adapté et efficace ne peut se concevoir sans une analyse préalable des risques. L'exercice de cartographie des risques est conduit sur le périmètre d'une entité clairement définie. Il consiste à recenser de manière aussi exhaustive que possible les risques qui, s'ils se produisent, auront un impact sur le budget de l'entité concernée, puis à coter ces risques selon deux dimensions (gravité et probabilité) de façon à en faire un outil de décision en matière de définition et d'évolution du contrôle interne.

Les principes suivants doivent être respectés :

• l'effort d'analyse doit être adapté aux enjeux budgétaires de l'entité et à sa capacité d'action. Si le déploiement de la méthode exposée au chapitre 5 apparaît trop lourd, l'entité peut ajuster le périmètre de son analyse ou simplifier la méthode d'élaboration de la cartographie : une montée en puissance progressive du CIB, dont la pérennité est assurée, est souvent préférable à un effort important  mais ponctuel, qui risque de se traduire rapidement par un essoufflement ;

• l'exercice de cotation est un exercice de dire d'expert : quelle que soit son ampleur, il doit reposer sur le croisement de jugements d'experts. Il s'agit donc nécessairement d'un exercice collectif, qui doit faire l'objet d'une relecture globale et collective où le bon sens doit l'emporter in fine sur les considérations méthodologiques ;

• une cartographie de risques doit faire l'objet d'une validation par la hiérarchie de l'entité à laquelle elle s'applique, voire, en cas de consolidation, par le niveau supérieur.

5.1.1. Les acteurs.

Tous les acteurs des chaînes budgétaires (RProg, RBOP, RUO), en tant que responsables opérationnels du dispositif de CIB, doivent établir une cartographie des risques budgétaires sur leur périmètre selon une approche ascendante.

Cette cartographie doit être mise à jour périodiquement (au moins annuellement pour les cartographies des programmes et pour la cartographie ministérielle) de façon à permettre d'établir des priorités en cohérence avec l'actualité opérationnelle et budgétaire et avec les ressources disponibles.

Les cartographies de risques ont vocation à être consolidées dans une cartographie de niveau supérieur : le RBOP consolide les cartographies de ses UO, le RProg consolide les cartographies de ses BOP et la DAF consolide dans la cartographie ministérielle des risques les cartographies de risques des programmes. A cette fin, l'exercice de cartographie des risques est autant que possible conduit de manière intégrée, les entités de niveau supérieur coordonnant la conduite par les entités de niveau inférieur de leur cartographie, et en validant le résultat. Cette démarche offre l'avantage de permettre d'identifier des risques communs à plusieurs entités de même niveau, dont la cotation peut être consolidée au niveau supérieur.

Il est également conseillé aux acteurs du CIB de rechercher, auprès des acteurs positionnés en dehors des chaînes budgétaires (services exécutants, services achats, services prescripteurs, services RH, services calculateurs de la solde ou de la paie) l'adhésion à un dispositif de cartographie de leurs risques dont l'impact potentiel est budgétaire ou, à défaut, leur recensement. Cette participation à l'analyse des risques budgétaire peut prendre forme plus largement au sein d'une cartographie intégrée des risques financiers.

5.1.2. Les objectifs d'une cartographie des risques.

La cartographie des risques est le socle de la détermination des actions de maîtrise du risque (plans de contrôle et plans d'amélioration des dispositifs existants). Elle permet de prioriser les actions en fonction des sujets de préoccupation dont l'impact budgétaire est le plus important. En conséquence, l'objectif premier de la cartographie des risques budgétaires consiste à hiérarchiser les risques auxquels le service est exposé. Pour atteindre cet objectif, le résultat absolu d'une cotation des risques compte moins que la discrimination de ces risques sur une échelle de criticité.

A cet effet, l'expérience montre qu'une méthode d'évaluation des risques robuste ne peut être mise au point que dans la durée, et n'est possible à déployer que lorsque la maturité de la culture du risque de l'équipe est élevée. Aussi, à titre transitoire lorsque cet exercice de cartographie est initié, il est conseillé aux services de limiter dans un premier temps leur ambition à la détermination d'une hiérarchie suffisamment discriminante pour pouvoir servir de socle à l'identification des actions de maîtrise du risque prioritaires ⁽²⁰⁾ .

5.2. L'identification des risques.

L'exercice d'identification des risques budgétaires consiste à recenser de manière aussi systématique que possible les risques qui peuvent impacter le budget du service et qui peuvent intervenir au fil des différents processus dans lesquels le service est impliqué. Il doit être déconnecté, autant que possible, de l'exercice de cotation.

Cet exercice d'analyse pourra s'appuyer sur :

• la liste des risques identifiés par le niveau inférieur (RUO pour le RBOP, RBOP pour le RPROG) ;

• la liste des risques identifiés par le niveau supérieur (RBOP pour le RUO, RPROG pour le RBOP) ⁽²¹⁾ ;

• l'analyse des macro-processus budgétaires (MP1, MP2, MP3, MP4, MP5 et MP8) pertinents pour le service ;

• l'analyse des processus métiers du service lorsqu'ils sont formalisés, les processus recouvrant les masses financières les plus importantes devant être privilégiés ;

• l'analyse des alertes ou analyses parvenues jusqu'au service : conclusions de la Cour des Comptes, rapport d'évaluation du CBCM, comptes rendus et rapports d'audits et d'inspections…

A l'appendice 8.4.1 est présenté (Figure 7) un exemple de trame d'analyse appliquée à une tâche particulière du processus budgétaire MP3.P1.

Le travail d'analyse conduit le plus souvent à faire émerger, à la fois, des risques budgétaires et des risques opérationnels dont l'impact budgétaire est indirect. Il est conseillé de répartir ces risques en deux listes différentes, seuls les risques budgétaires faisant l'objet d'une cotation (Cf. paragraphe 5.3), la liste des risques opérationnels pouvant être exploitée pour l'analyse des dispositifs existants de maîtrise des risques.

La méthode la plus rigoureuse consiste à établir un chaînage entre les risques budgétaires, les facteurs de ces risques (dont les risques opérationnels) et les dispositifs de maîtrise – lorsqu'ils existent - de ces risques. Cette approche, qui peut être matérialisée par des « cartes de risques » (Cf. appendice 8.4), présente plusieurs avantages :

• elle permet de s'assurer que les risques opérationnels retenus sont bien associés à des risques budgétaires portés par l'entité budgétaire ;

• elle constitue une grille d'analyse de la pertinence des risques opérationnels à faire couvrir par le dispositif permanent de CIB.

5.3. La cotation des risques.

5.3.1. La criticité du risque.

La cotation d'un risque budgétaire consiste à évaluer ce risque ⁽²²⁾  selon deux axes :

• la gravité (G) ;

• la probabilité (P).

Gravité et probabilité sont évaluées dans le contexte en vigueur, c'est-à-dire en considérant l'impact des dispositifs de maîtrise de risque existants.

La criticité du risque, résultat de ces évaluations, est donc une donnée à deux dimensions :

C_(criticité) = (G_(gravité) ; P_{(probabilité)})

Un exemple de tableau de cotation est fourni en Figure 3.

 

Figure 3 : Exemple de représentation graphique d'une cartographie des risques

 

Les critères de hiérarchisation sont matérialisés par la couleur de fond des cases du tableau ; en fonction de l'objectif assigné à l'exercice de cotation, ces critères :

• peuvent être réajustés si l'on a limité l'objectif de l'exercice à la hiérarchisation des risques ;

• doivent être figés si l'on souhaite étudier dans le temps l'évolution des risques.

5.3.2. La cotation de la gravité.

La cotation de la gravité du risque budgétaire prend en compte l'impact estimé pour l'entité de la réalisation d'un risque.

L'objectif du premier exercice de cotation étant la priorisation, les critères de cotation de la gravité doivent être fixés de telle sorte que les risques évalués occupent autant que possible l'ensemble de l'échelle. Lorsqu'on souhaite suivre dans la durée l'évolution des risques, il devient nécessaire de figer l'échelle.

L'estimation de la gravité d'un risque peut reposer, soit sur un calcul de la grandeur de l'impact financier du risque réalisé, soit sur une estimation « à dire d'expert » ⁽²³⁾ des conséquences de ce risque. Dans la mesure où il n'est pas toujours possible d'estimer, dans des conditions de temps et de moyens raisonnables, l'impact financier d'un risque réalisé, il est d'usage de faire appel à des critères qualitatifs relatifs aux conditions de gestion de l'impact financier. Le tableau 1 présente un exemple d'échelle de gravité de niveau programme (à adapter selon le niveau d'élaboration de la cartographie) :

NIVEAU DE GRAVITÉ.	CRITÈRE QUALITATIF. (NIVEAU DE GESTION DE L'IMPACT DE LA RÉALISATION DU RISQUE).	OU À DÉFAUT :	CRITÈRE FINANCIER. (IMPACT FINANCIER ESTIMÉ DE LA RÉALISATION DU RISQUE, ARRONDI).
1 = mineur	RUO/RBOP		entre 0,1% et 0,4 %
2 = modéré	RPROG		entre 0,4% et 1%
3 = majeur	ministériel		entre 1 % et 4%
4 = critique	interministériel		+ 4%
Tableau 1 : Exemple de critères de cotation de la gravité d'un risque au niveau d'un programme

5.3.3. La cotation de la probalité.

La probabilité d'un risque budgétaire est la probabilité que le risque ciblé se réalise malgré les dispositifs de maîtrise qui ont été mis en place. Le tableau 2 présente un exemple d'échelle de probabilité.

NIVEAU DE PROBABILITÉ.	CRITÈRE.
1	peu probable
2	possible
3	probable
4	quasi-certain
Tableau 2 : Exemple de critères de cotation de la probabilité d'un risque

5.3.4. La finalisation d'une cartographie des risques.

L'application des critères de cotation de la gravité et de la probabilité des risques proposés ne doit pas faire perdre de vue l'objectif premier de la cotation, qui est de classer les risques identifiés, de façon à prioriser les actions de maîtrise. Le bon sens doit primer sur l'application stricte de critères qui reste, malgré ses apparences, relativement subjective.

A cet effet, il est nécessaire de vérifier préalablement à la finalisation de la cartographie :

• que l'échelle de cotation, tant du point de vue de la gravité que de la probabilité, est, sinon entièrement, du moins largement utilisée ;

• que l'ordonnancement des risques les uns par rapport aux autres et au sein des classes de criticité fait consensus ;

• que le nombre de risques figurant dans les classes de criticité les plus prioritaires n'est pas susceptible engendrer un effort de contrôle et de développement de dispositifs de maîtrise supérieur à ce que les équipes concernées peuvent supporter ⁽²⁴⁾.

Par ailleurs, à l'occasion de sa consolidation dans une cartographie des risques de niveau supérieur, l'entité responsable de cette consolidation peut être amenée à demander l'insertion de risques supplémentaires dans la cartographie des risques locale ou l'ajustement de certaines cotations, notamment lorsque, en conduisant cet exercice de consolidation (cf. paragraphe 5.4), elle met en évidence une absence d'homogénéité dans l'application de la méthode de cotation entre les entités qu'elle supervise.

5.4. Consolidation des cartographies.

L'exercice de consolidation, conduit par le niveau supérieur, est réalisé en deux temps :

• étape 1 : identification des risques à coter au niveau supérieur, notamment des risques des cartographies de niveau inférieur ayant vocation à apparaître dans la cartographie consolidée ;

• étape 2 : cotation des risques, notamment consolidation des cotations de risques communs à plusieurs entités.

5.4.1. Étape 1 : identification des risques de la cartographie consolidée.

L'exercice d'identification des risques d'une cartographie consolidée intègre à la fois une sélection de risques figurant dans les cartographies de niveau inférieur, et des risques spécifiques au niveau supérieur (figure 4).

La sélection des risques de niveau inférieur, qui remontent dans la cartographie consolidée, est du ressort de l'entité de niveau supérieur, mais elle n'est efficace que si elle est conduite en étroite coordination avec les entités de niveau inférieur.

 

Figure 4 : Principe de consolidation d'une cartographie des risques 

5.4.2. Étape 2 : cotation des risques.

La cotation des risques spécifiques à l'entité de niveau supérieur et des risques remontés d'une unique entité de niveau inférieure est conduite selon la méthode décrite au paragraphe 5.3.

La consolidation des cotations de risques communs à plusieurs entités est, quant à elle, plus complexe dans la mesure où :

• elle requiert l'assurance que les méthodes de cotation des entités de niveau inférieur sont suffisamment proches pour que leur résultats puissent être comparés ;

• la cotation consolidée ne repose pas seulement sur une formule mathématique mais doit être confrontée au « dire d'expert », tant de l'entité de niveau supérieur que des entités de niveau inférieur.

Cette méthode de consolidation peut être fondée sur une méthode graphique telle que présentée en Figure 5. Une telle méthode permet d'identifier rapidement les écarts de cotation manifestement liés à des divergences de méthode de cotation ou de compréhension des risques. Ces constats permettent d'engager une discussion aboutissant le cas échéant :

• à une reformulation de certains risques de façon à en assurer la clarté pour toutes les parties ;

• à un ajustement de certaines cotations de niveau inférieur à la lumière de la clarification des intitulés des risques et de la méthode de cotation ;

• à la détermination de la criticité du risque consolidé.

Figure 5

Mode d'utilisation du graphique :

Le pavé au-dessus du graphique indique que 3 responsables de programmes sur 4 ont intégré le risque considéré dans leur cartographie.

Les écarts importants entre les cotations de la gravité s'expliquant davantage par une compréhension différenciée du risque que par les situations particulières des programmes, un nouveau libellé du risque est proposé.

Une fois le nouveau libellé validé, les RProg procèdent, sur proposition de la DAF, à une nouvelle cotation du risque (mouvements symbolisés par des flèches noires).

5.5. La cartographie ministérielle des risques.

La cartographie ministérielle des risques budgétaires est un ensemble de documents complémentaires, qui comprend :

-    les cartographies HT2 des programmes relevant du ministère ;

-    la cartographie du T2 ministériel ;

-    la cartographie consolidée des risques du ministère (HT2+T2) ;

-    la cartographie des risques stratégiques.

La cartographie consolidée des risques du ministère est l'outil de préparation du plan d'action ministériel (PAM) de l'année à venir. Sur cette base, il est possible d'identifier les principaux facteurs de risques exogènes et endogènes au ministère, ainsi que les leviers de maîtrise associés aux facteurs endogènes.

Cependant, étant relativement dense, la cartographie des risques du ministère n'est pas appropriée pour une communication vers les grands subordonnés ou le cabinet du ministre. C'est pourquoi certains risques « stratégiques » sont sélectionnés en raison de leur sensibilité particulière en lien avec l'actualité budgétaire et politique du ministère, ou parce qu'ils répondent aux grands enjeux budgétaires ministériels. Ces risques sont reportés dans une cartographie qui constitue à la fois un support de communication des priorités du CIB pour l'année à venir et un outil de réflexion à la disposition des grands décideurs.

La DAF conduit tous les ans le processus d'élaboration de la cartographie ministérielle des risques, en lien étroit avec les responsables de programmes, en appliquant les méthodes décrites dans les paragraphes 5.2 à 5.4.

La cartographie ministérielle des risques fait l'objet, avant communication au CMAI et au cabinet du ministre, d'une validation en comité ministériel de CIF.

6. LES PLANS D'ACTIONS.

La DAF pilote la définition et le suivi d'un plan d'actions ministériel annuel (PAM) qui regroupe les actions de CIB (volet budgétaire du PAM, ou PAM CIB) et de CIC (volet comptable du PAM). Ce plan d'actions est élaboré en coordination étroite avec les responsables de programmes, ARCIF, et les acteurs chargés du pilotage opérationnel du CIF.

Les plans d'actions annuels sont les outils pour faire évoluer le dispositif permanent de CIB. A ce titre, ils recensent les actions à mettre en œuvre pour améliorer les dispositifs de maîtrise de risque existants ou déployer de nouveaux dispositifs.

 

 Figure 6 : Relations entre PAM CIB et plans d'actions des RProg

6.1. Les niveaux.

Sur la base de leur cartographie des risques, tous les acteurs des chaînes budgétaires (RProg, RBOP, RUO) doivent établir un plan d'actions sur leur périmètre. Ce plan d'actions est présenté au niveau supérieur afin de garantir la cohérence et la complémentarité des actions inscrites dans le plan d'actions local en regard des enjeux et actions retenues par l'entité de niveau supérieur sur son périmètre.

La DAF pilote le développement d'un plan annuel ministériel d'actions de CIB (PAM CIB) en coordination étroite avec les plans d'actions des Rprog, qu'elle valide. Le PAM CIB comprend des actions pilotées par les RProg, qui figurent dans leurs plans d'actions, et des actions d'intérêt ministériel pilotées par d'autres entités, notamment les bureaux de la DAF.

6.2. L'élaboration des plans d'actions.

L'identification des actions d'un plan annuel repose sur :

• la cartographie des risques : l'exercice de cartographie des risques d'une entité budgétaire permet d'identifier des risques prioritaires, qui doivent faire l'objet d'un ou plusieurs dispositifs de maîtrise appropriés. Cette analyse doit donc conduire le responsable du périmètre à identifier les actions à conduire dans le cadre de son plan d'actions ;

• le bilan du plan d'actions en cours : Le responsable réalise un bilan d'avancement intermédiaire ⁽²⁵⁾ du plan en cours, action par action. Ce bilan peut inciter le responsable à reconduire dans le plan de l'année suivante des actions qui n'ont pas été achevées ou à proposer une suite à des actions achevées mais qui méritent un prolongement ;

• le bilan du dispositif permanent : le responsable dresse, sur la base de la liste des dispositifs permanents de maîtrise des risques inscrite dans le document d'organisation et de référence du CIB de son périmètre, une brève évaluation du fonctionnement de chacun de ces dispositifs. Cet exercice peut conduire à l'élaboration d'actions visant à renforcer ou compléter les dispositifs existants ;

• les conclusions et recommandations des éventuels audits internes et externes : l'élaboration d'un plan d'action annuel est l'occasion de formaliser la prise en compte des conclusions et recommandations des audits internes et externes ;

• des besoins ou problématiques identifiés en cours d'année.

Le projet de PAM CIB est établi par la DAF dans le cadre d'une démarche collégiale associant les RProg. La préparation du plan d'actions s'appuie sur des revues bilatérales et collectives entre la DAF d'une part et les RProg et les RBOP T2 d'autre part, notamment dans le cadre du comité technique du CIB (CT-CIB). Lors de l'élaboration des actions du PAM, la DAF s'attache à en confier le pilotage aux entités les mieux placées pour les conduire : ces entités peuvent être des RProg, des bureaux de la DAF, ou toute direction ou entité jouissant d'une responsabilité particulière lui permettant de faire progresser significativement l'action, même si elle ne dispose pas directement de tous les leviers.

A chaque action du PAM CIB est associée une feuille de route, mise au point avec le pilote de l'action concernée, qui précise le contexte et les enjeux de l'action ainsi que les principales étapes prévues pour conduire l'action à son terme.

Le PAM CIB est validé en CMCIF, présenté en CMAI et fait l'objet d'une communication vers le cabinet du ministre, le CBCM, et la direction du budget (MACIB).

---

6.3. Le suivi des plans d'actions.

Les responsables budgétaires organisent des points d'avancement (au moins deux par an) de leurs plans d'actions de CIB, qui sont communiqués au niveau supérieur selon un format à définir en commun, et qui sont suffisamment étayés pour expliciter et justifier, pour chaque action, les progrès et les difficultés de mise en œuvre.

Les points d'avancement peuvent conduire les responsables budgétaires à actualiser, en coopération avec les pilotes d'actions, les objectifs de ces actions et/ou les étapes ou calendrier de leur mise en œuvre. Ces modifications sont tracées dans une version actualisée du plan d'actions.

Le point d'avancement de l'élaboration et de l'exécution du PAM CIB est établi par la DAF en s'appuyant sur les feuilles de route des actions. Il est régulièrement débattu en CT-CIB.

6.4. Les bilans annuels.

Les RProg effectuent annuellement un bilan de la mise en œuvre du plan d'actions de CIB qu'ils animent. Ce bilan s'appuie sur les retours d'expérience propre à chacun des BOP du programme. Il présente l'état de déploiement de chacun des actions du plan, les éventuelles difficultés rencontrées, les dispositifs associés et les outils utilisés (procédure, contrôle, périodicité, périmètre).

La DAF, s'appuyant sur les bilans des plans d'actions des programmes ainsi que sur un retour des autres pilotes d'actions du PAM CIB, en dresse un bilan ministériel.

7. LA GOUVERNANCE DU CONTRÔLE INTERNE BUDGÉTAIRE : ÉLÉMENTS SPÉCIFIQUES.

Dans la mesure du possible, le contrôle interne budgétaire s'exerce dans le respect du principe d'économie des moyens. C'est pourquoi les structures auxquelles sont affectées la définition et la validation des orientations du contrôle interne budgétaire sont communes avec celles du contrôle interne comptable (le comité ministériel de contrôle interne financier, CMCIF). En revanche, les besoins de pilotage justifient l'existence d'une structure affectée à l'animation de la démarche (CT-CIB).

Le pilotage et la coordination du dispositif de contrôle interne budgétaire sont du ressort d'une fonction dédiée portée par la direction des affaires financières.

Un comité technique du CIB (CT-CIB), composé des représentants de la DAF et de leurs correspondants techniques en matière de CIB, se réunit au moins deux fois par an. Dans le cadre de ce groupe de travail :

• est examiné et suivi le plan d'actions ministériel ;

• est examiné le projet de cartographie ministérielle des risques ;

• sont mises en débat certaines problématiques de CIB d'intérêt commun.

8. Références réglementaires.

[1]	Décret n° 2011-775 du 28 juin 2011 relatif à l'audit interne dans l'administration (n.i. BO ; JO n° 150 du 30 juin 2011, texte n° 50).
[2]	Décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique.
[3]	Décret n° 2014-1225 du 21 octobre 2014 modifiant le décret n° 2009-1179 du 5 octobre 2009 fixant les attributions et l'organisation du secrétariat général pour l'administration.
[4]	Arrêté n° BUDB1329559A du 18 décembre 2013 relatif au cadre de référence interministériel du contrôle interne budgétaire, pris en application de l'article 170 du décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique.
[5]	Arrêté du 26 décembre 2013 relatif au cadre de la gestion budgétaire et au contrôle budgétaire du ministère de la défense pris en application de l'article 105 du décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique.
[6]	Arrêté du 21 octobre 2014 portant organisation de la direction des affaires financières.
[7]	Arrêté du 7 mai 2015 relatif à la création et au fonctionnement du comité ministèriel d'audit interne.
[8]	Instruction n° 240168/DEF/SGA/DRH-MD – n° 1500318/DEF/SGA/DAF du 3 mars 2015 sur le contrôle interne de la chaîne ressources humaines – gestion administrative – solde du ministère de la défense (n.i. BO).
[9]	Instruction n° 1400590/DEF/SGA/DAF du 21 mars 2014 relative aux modalités d'exercice de l'autorité fonctionnelle renforcée de la direction des affaires financières sur les services financiers du ministère de la défense.
[10]	Instruction n° 15016425/DEF/SGA/DAF du 14 avril 2016 relative à l'amélioration et à la formalisation du CIB dans le cadre du dialogue de gestion entre les responsables d'unités opérationnelles (RUO) et les services exécutants (SE).

9. Tableau de correspondance entre les acteurs selon le cadre de référence interministériel du contrôle interne budgétaire et les acteurs du contrôle interne budgétaire au sein du ministère de la défense.

Le responsable de la politique de contrôle interne budgétaire (responsable de la fonction financièreministérielle) définit, met en place et suit les dispositifs de contrôle interne budgétaire.	Il arrête la politique de contrôle interne budgétaire et son déploiement dans le cadre des orientations définies par l'instance de pilotage stratégique du CIB et en assure la diffusion. Il préside l'instance de pilotage opérationnelle du CIB. Il produit au ministre avec copie au CBCM, un rapport annuel qui décrit et évalue le contrôle interne budgétaire du ministère.	Directeur des affaires financières.	Au ministère de la défense, le RFFiM est le directeur des affaires financières. A ce titre, est responsable de la politique du contrôle interne budgétaire.
Le responsable du contrôle interne budgétaire et la cellule de contrôle interne budgétaire	Le responsable du contrôle interne budgétaire et la cellule de contrôle interne budgétaire au niveau ministériel exercent une fonction dédiée ayant la vision de l'ensemble des processus. Ils exercent une fonction dédiée ayant la vision de l'ensemble des processus. A ce titre, ils : pilotent le déploiement du contrôle interne budgétaire ; apportent un soutien méthodologique aux gestionnaires ; assurent le suivi des indicateurs de qualité de la comptabilité budgétaire et de soutenabilité budgétaire ; organisent le dispositif de reporting du contrôle interne budgétaire, permettant d'identifier, de remonter et de veiller au traitement des incidents et anomalies ; animent et forment les correspondants du contrôle interne budgétaire ; sensibilisent les acteurs concernés aux objectifs du CIB.  La cellule du contrôle interne budgétaire est placée au sein des équipes du RFFiM.	Bureau DAF/SPB5.
Les correspondants du contrôle interne budgétaire placés auprès des responsables de programmes, ARCIF.	Les correspondants du contrôle interne budgétaire interviennent au niveau des entités opérationnelles. Ils animent et mettent en œuvre le contrôle interne budgétaire au sein de ces entités. Ils rapportent fonctionnellement au responsable du contrôle interne budgétaire. Ils contribuent au rapport évaluant le contrôle interne budgétaire du ministère.	Désignés par les ARCIF.	Les RProg, ainsi que le SPAC, le SCA et le SID en raison de leur rôle en matière d'exécution financière, désignent les correspondants CIB de la DAF, qui à ce titre participent aux CT-CIB.
Les responsables du contrôle interne budgétaire à tous les niveaux	Les responsables du contrôle interne budgétaire à tous les niveaux en administration centrale et en services déconcentrés précisent, mettent en place et font vivre le contrôle interne budgétaire au sein de leurs entités pour leurs activités et celles qu'ils ont déléguées (contrôle interne budgétaire dit de 1er niveau), conformément à la politique arrêtée par le ministère. Ils explicitent ainsi les objectifs opérationnels de qualité de la comptabilité budgétaire et de soutenabilité budgétaire (notamment quant aux exercices de programmation budgétaire de la gestion et suivi de l'exécution), les moyens afférents, les organisations, méthodes et procédures, systèmes d'information et de communication, actes de supervision à même de maîtriser les risques identifiés. Ils contribuent au rapport évaluant le contrôle interne budgétaire du ministère.	Les RProgs, RBOP, RUO, responsables de SE et responsables de SA sont responsables du CIB.	Le RProg veille à allouer les moyens nécessaires à l'animation du CIB de son programme.
La structure ministérielle d'audit interne	La structure ministérielle d'audit interne réalise ou fait réaliser des audits en vue d'évaluer la qualité du contrôle interne budgétaire et d'en améliorer les modalités et l'efficacité. Elle opère dans les conditions et selon les modalités définies dans le cadre de référence de l'audit interne de l'État (CRAIE) établi par le comité d'harmonisation de l'audit interne (CHAI). En particulier, la fonction d'audit interne est indépendante (pour ce qui est des relations de hiérarchie et de reporting) des activités qu'elle audite. Cette indépendance doit se refléter par la position du service d'audit au sein du ministère : il doit être rattaché à une personne ou une structure jouissant d'une autorité suffisante pour lui permettre de réaliser ses audits.	Auditeurs internes du CGA et des missions d'audit rattachées aux trois grands subordonnés : C2A (CEMA), MAI (SGA), cellule d'audit interne de la DGA.	Le comité ministériel d'audit interne (CMAI) coordonne la politique et la planification des audits internes budgétaires.
Le comité ministériel d'audit interne	Le comité ministériel d'audit interne établit la programmation annuelle des audits du ministère et s'assure de la mise en œuvre et du suivi des actions décidées à l'issue des audits. Le comité s'assure de la qualité du dispositif de contrôle interne et de maîtrise des risques. Il est présidé par le ministre ou son représentant.	CMAI.	Le CMAI du ministère de la défense a été créé par arrêté du 7 mai 2015.
L'instance de pilotage du CIB	L'instance de pilotage du CIB veille à ce que soient anticipés et identifiés les changements qui pourraient avoir un impact significatif sur la réalisation des objectifs de qualité de la comptabilité budgétaire et de soutenabilité budgétaire, à leur prise en compte et à leur diffusion aux responsables et aux agents concernés. L'instance de pilotage du CIB est présidée par le RFFiM. Elle priorise et arbitre les projets présentés par la cellule de contrôle interne budgétaire et qui vise à répondre aux besoins identifiés dans le cadre des orientations du contrôle interne en vue de réduire les principaux risques identifiés.	Comité ministériel de contrôle interne financier (CMCIF).
Le ministre chargé du budget	Le ministre chargé du budget définit le cadre de référence interministériel des contrôles internes budgétaire et comptable et veille à sa mise en œuvre. Le Contrôle budgétaire est exercé, sous l'autorité du ministre chargé du Budget, par un contrôleur budgétaire.	Direction du budget / mission de l'audit et du contrôle interne budgétaire (MACIB). CBCM.	Le CBCM du ministère de la défense est membre du CMCIF.

10. Représentation de la répartition des rôles en matière de contrôle interne budgétaire.

Le présent document présente les missions de chaque acteur et la nature de la fonction exercée à ce titre (fonction stratégique, opérationnelle ou technique).

Remarque : dès lors qu'il participe à la production ou à la mise en œuvre d'outils de contrôle, un acteur contribue également à la fonction technique.

 

11. La construction d'une cartographie appuyée sur les cartes de risques.

La méthode proposée ci-après permet à une entité donnée d'intégrer dans un même exercice :

• l'identification de ses risques budgétaires et des risques opérationnels (ou facteurs de risques) qui leurs sont associés ;

• la cotation de ses risques budgétaires au regard du niveau de maitrise des facteurs de risques opérationnels ;

• le recensement des dispositifs de contrôle qu'elle a mis en place (ce travail pourra être exploité dans le cadre du développement des documents d'organisation du CIB).

11.1. Étape 1 : l'identification des risques.

Elle repose sur une analyse exhaustive, par un groupe de travail, de processus dont chaque membre du groupe n'a souvent qu'une vision partielle.

Le succès de l'exercice d'identification des risques dépend :

• de la représentativité et la complémentarité des membres du groupe de travail ;

• du statut de l'animateur, qui doit être en position de proposer des arbitrages relatifs au choix des risques à faire figurer dans la liste ;

• de la formalisation des processus sur laquelle est fondé l'exercice ;

• du caractère systématique de l'identification des risques (au cœur des processus et à leurs interfaces).

Avant de démarrer l'analyse des risques, il est nécessaire d'en définir le périmètre. En effet, l'exercice d'identification des risques auxquels une entité est exposée est un exercice exigeant dans la mesure où il est conduit de manière aussi systématique que possible : la seule variable ajustable permettant de maîtriser la lourdeur de l'exercice est le périmètre de l'analyse.

Une fois le périmètre choisi, on veillera à désigner un responsable de la production de la cartographie des risques, qui aura pour fonctions d'animer le groupe de travail et d'en assurer le secrétariat et la synthèse des travaux.

L'exercice d'identification de risques est un exercice de réflexion collective centré sur les processus que l'entité a choisi de sélectionner. Si l'entité dispose d'une cartographie de ses processus, il est préférable que le groupe de travail parte de cette cartographie. A défaut, il pourra s'appuyer sur les macroprocessus budgétaires définis par le ministère de l'économie et des finances ⁽²⁶⁾. Cet exercice consiste à analyser de manière systématique les étapes de ces processus, en essayant de recenser, pour chacune de ces étapes, les risques auxquels l'entité est susceptible d'être exposée. La Figure 7 présente un exemple de trame d'analyse appliquée à une tâche particulière du processus budgétaire MP3.P1, qui peut être largement enrichie grâce à la réflexion du groupe de travail.

 

Figure 7 : Exemple de trame d'analyse de risque 

Ce travail d'analyse conduit naturellement à identifier des risques de nature plutôt opérationnelle, dont il convient d'identifier l'impact budgétaire. On dresse ainsi deux listes : une liste de risques budgétaires (qui peuvent être consolidés au niveau supérieur) et une liste de risques opérationnels (spécifiques à l'entité). Cette liste sera complétée par les risques budgétaires identifiés par l'entité de niveau supérieur.

11.2. Étape 2 : la structuration des risques grâce aux « carte de risques ».

Les cartes de risques, schématisées en Figure 8, constituent un outil graphique opérationnel pour organiser et articuler entre eux les risques identifiés lors de l'étape 1, et un support pour la cotation des risques budgétaires. Le principe est d'établir une carte pour chaque risque budgétaire identifié. Pour chacun de ces risques budgétaires, on recherche les facteurs de risques, notamment en exploitant la liste des risques opérationnels établie lors de l'étape 1. Cet exercice peut conduire à construire des arbres de causes à plusieurs niveaux (Cf. Figure 8 ). Il peut également faire émerger de nouveaux risques opérationnels qui n'avaient pas été identifiés lors de l'étape 1.

Une fois les arbres de causes établis, il est utile de faire figurer en marge de la carte les dispositifs de contrôle que l'entité utilise déjà pour maîtriser les risques opérationnels recensés dans la carte. Ce recensement doit être aussi large que possible : il est souhaitable que les dispositifs identifiés recouvrent tout type de procédure ou d'outil utile pour la maîtrise des risques opérationnels, que ces procédures ou outils aient été créés ou non par l'entité. Identifier ces dispositifs, c'est constituer une base pour développer le document d'organisation du CIB de l'entité, dont le cœur est précisément un chapitre descriptif des dispositifs permanents de maîtrise des risques (Cf. paragraphe 4.3) ; c'est aussi rassembler des éléments objectifs pour conduire l'exercice de cotation des risques.

Figure 8 : Eléments constitutifs d'une carte de risques

11.3. Étape 3 : La cotation des risques.

L'efficacité de l'exercice de cotation des risques est conditionnée par sa justesse et sa sincérité. A cette fin, deux écueils sont à surmonter :

• la cotation doit être réalisée du point de vue de l'entité qui porte le risque : la criticité d'un même risque peut être différente pour un BOP et pour le programme qui porte ce RBOP ;

• la cotation d'un risque doit être indépendante de la capacité effective de l'entité à maîtriser ce risque : le risque subi par une entité est en effet le résultat de facteurs exogènes et endogènes. Si l'entité peut élaborer des dispositifs pour circonscrire les facteurs endogènes, son rôle vis-à-vis des risques exogènes est souvent limité à l'anticipation des conséquences du risque et à l'alerte des entités qui disposent des leviers de maîtrise.

Ces écueils seront d'autant plus facilement surmontés que l'entité entre dans une « culture du risque » : les agents qui participent à l'exercice de cotation doivent pouvoir, autant que possible, réaliser leurs évaluations en évitant toute anticipation de l'impact des travaux sur la charge de travail que la maîtrise de ces risques est susceptible de générer, et bien entendu en excluant toute recherche de « culpabilité » (d'un agent ou d'une entité). Pour qu'une cotation soit sincère, les risques doivent être autant que possible dépersonnalisés.

L'entité de niveau supérieur peut aussi demander l'ajustement de certaines cotations, notamment lorsque, en conduisant l'exercice de consolidation, elle met en évidence des différences de méthodes de cotation entre les entités qu'elle supervise.

Les cartes de risques constituent des outils visuels qui permettent de coter les risques budgétaires à la lumière de leurs déterminants : facteurs de risques et dispositifs et maîtrise existants. La cotation s'effectue donc en deux temps :

Il s'agit dans un premier de temps de qualifier le niveau de maîtrise des facteurs de risques (risques opérationnels) qui ont été identifiés sur la carte. Cette qualification, réalisée à la lumière des dispositifs de maîtrise de risques recensés, doit être simple ; on peut définir 3 niveaux :

• pastille rouge : risque non maîtrisé ;

• pastille jaune : risque qui mériterait d'être mieux maîtrisé ;

• pastille verte : le risque ne peut pas être mieux maîtrisé.

La cotation des risques amont est prise en compte pour la cotation des risques aval : un risque aval ne peut être considéré comme bien maîtrisé si l'un des risques amont est insuffisamment maîtrisé (Cf. Figure 8).

On peut aussi établir quelques règles pour prendre en compte l'articulation entre les facteurs de risques : par exemple, un risque aval peut n'être considéré comme bien maîtrisé si l'un des risques amont est insuffisamment maîtrisé (Cf. Figure 9).

Figure 9 : un enchaînement de cotations à éviter

Le second temps est celui de la cotation du risque budgétaire, objet de la carte de risque. En s'appuyant sur les critères proposés au paragraphe 5.3, on cotera la probabilité et la gravité du risque budgétaire. La carte de risque sert à étayer cette cotation. En général, l'approche graphique est suffisante pour cet exercice de cotation qui relève de l'application d'un jugement d'expert et non d'un raisonnement déductif. Mais il est possible de rendre cet exercice moins objectif en établissant quelques règles de cotation fondées sur les résultats de qualification des risques opérationnels. Des exemples de règles sont fournis ci-dessous.

Exemples de règles de cotation de la probabilité d'un risque budgétaire sur une échelle de 1 à 4 :

- Cas n° 1 : L'un au moins des risques aval est estimé « non maîtrisé » (pastille rouge).

Lorsque l'un au moins des risques aval est estimé « non maîtrisé » (pastille rouge), la probabilité d'occurrence du risque financier sur une échelle de 1 à 4 est nécessairement cotée « 4 » (quasi-certain), sauf s'il existe un autre facteur de risque non totalement maîtrisé (pastille orange) dont les conséquences sont telles qu'il est préférable de coter le risque financier à la lumière de cet autre risque. 

- Cas n° 2 : L'un au moins des risques aval est estimé « non totalement maîtrisé » (pastille orange).

Lorsque l'un au moins des risques aval est estimé « non totalement maîtrisé » (pastille orange), la cote de la probabilité d'occurrence du risque financier est nécessairement supérieure ou égale à « 3 » (probable). 

- Cas n° 3 : Tous les facteurs de risque sont estimés comme « ne pouvant être davantage maîtrisés » (pastille verte).

Lorsque qu'il estime que tous les facteurs de risques majeurs (identifiés dans la carte de risque) sont maîtrisés au mieux de ce qui est possible, le RProg sélectionne le niveau de probabilité le plus approprié au risque d'occurrence en fonction de son jugement d'expert, en général parmi les deux niveaux les plus bas : « 1 » = peu probable, « 2 » = possible.

 

11.4. Étape 4 : finalisation de la cartographie des risques budgétaire.

Comme indiqué au paragraphe 5.3.4, l'application d'une méthode de cotation, aussi rigoureuse soit-elle, ne doit pas faire perdre de vue l'objectif premier de la cotation, qui est de classer les risques identifiés, de façon à prioriser les actions de maîtrise.

Une relecture générale et collective de la cartographie des risques par le groupe de travail est indispensable pour vérifier que le produit final est cohérent et consensuel.

Annexe II. CONTRÔLE INTERNE COMPTABLE.

1. Le dispositif interministériel de contrôle interne comptable.

Le rôle d'organisation et de pilotage de la direction des affaires financières (DAF) se décline, notamment, au travers de la présente instruction et d'une directive annuelle qui fixe les orientations en matière de contrôle interne comptable devant être mises en œuvre par les services. Il s'agit, dans cette directive, de définir d'une part les actions de fiabilisation sur les processus portant des risques spécifiques, et d'autre part d'indiquer les actions relatives au pilotage permanent et à la gestion courante du dispositif de contrôle interne comptable.

Cette instruction et cette directive respectent le référentiel de contrôle interne comptable interministériel produit par la direction générale des finances publiques (DGFiP).

1.1. Le rôle de la direction générale des finances publiques.

La DGFiP est en charge, sous l'autorité du ministre chargé des comptes publics, de la conception et de l'animation du dispositif interministériel de CIC et de la coordination des acteurs qui y sont impliqués.

Elle met à disposition des services de l'Etat un référentiel de contrôle interne comptable (RCI) qui peut venir compléter la documentation des risques. Toutes les sources documentaires sont disponibles sur le site de la qualité comptable : http://qualite-comptable.dgfip.finances.ader.gouv.fr/

Ce référentiel a vocation à faire le lien entre le recensement des risques et les procédures de gestion des principaux risques. Construit par processus, il est destiné à l'encadrement intermédiaire des services comptables et ordonnateurs. Il identifie les risques susceptibles de compromettre la qualité comptable et met en regard les mesures de contrôle interne les plus appropriées pour couvrir ces risques.

Cette documentation des risques comptables intègre des schémas, des matrices et met l'accent sur les risques majeurs, pour favoriser son appropriation par les acteurs.

1.2. Les orientations annuelles de la direction générale des finances publiques.

Dans une note adressée aux ministères, la DGFiP présente annuellement ses orientations en matière de contrôle interne comptable et financier de l'État et des établissements publics nationaux pour la fin de l'exercice en cours et pour l'exercice suivant.

Cette note a pour objectifs de présenter les axes d'effort en interministériel et de rappeler les outils mis à disposition pour améliorer le dispositif.

1.3. Les offres de service de la direction générale des finances publiques.

La DGFiP a engagé une démarche d'assistance et de conseil auprès des armées, directions et services du ministère de la défense visant à renforcer le dispositif de contrôle interne comptable. Elle est conduite par les directeurs des pôles de gestion publique (comptable assignataire), assistés par les cellules de qualité comptables (CQC) et se décompose en quatre actions cumulables :

• la cartographie des risques et le plan d'actions ;

• les formations et sensibilisations ;

• l'accompagnement méthodologique et l'expertise technique ;

• les restitutions.

2. Modalités de mise en oeuvre du dispositif de contrôle interne comptable.

2.1. Les outils de gestion des risques comptables.

L'analyse des risques est le fondement de la démarche de contrôle interne comptable. De la qualité de l'analyse des risques découle la pertinence du dispositif de contrôle interne comptable. Pour construire cette analyse de risques il est nécessaire de s'interroger sur la nature, les causes et les conséquences des risques ainsi que sur les acteurs et le périmètre.

La gestion de ces risques comptables repose principalement sur trois étapes : la connaissance des processus, la cartographie des risques et le plan d'actions. L'articulation entre les outils de contrôle interne comptable est impérative.

2.1.1. La connaissance des processus comptables.

2.1.1.1. L'organigramme fonctionnel.

L'organigramme fonctionnel a pour but de décrire de manière détaillée l'organisation des travaux et des contrôles afférents, pour un périmètre précis. Il permet de formaliser la répartition et la séparation des fonctions entre les agents.

L'organigramme fonctionnel présente pour chaque processus, procédure, tâche et opération définis ci-dessous, les éléments clés permettant d'identifier les acteurs comptables, leur positionnement dans l'organisation, leurs habilitations, les contrôles de CIF1 et de CIF2 ainsi que toute autre information nécessaire pour appréhender l'organisation du dispositif de maîtrise des risques comptables.

Les processus :

Le processus correspond à un ensemble de procédures et de tâches réalisées par différents acteurs participant à une même activité, celle-ci étant régie par des normes spécifiques.

Les procédures :

La procédure est un enchaînement de tâches réalisées dans le cadre d'un processus, selon des règles prédéfinies. Elle se caractérise par un fait générateur et une finalité. Les procédures comptables sont celles qui aboutissent à une écriture comptable ou qui constituent le fait générateur d'une autre procédure comptable.

Les tâches :

Une tâche correspond à l'exécution complète par un acteur d'un ensemble d'opérations comptables. Ces opérations ne peuvent être ni séparées dans le temps, ni réparties entre plusieurs acteurs.

Les opérations :

L'opération constitue le niveau le plus fin de l'organigramme fonctionnel qui correspond à une typologie d'actions réalisées par les opérationnels ayant une incidence sur la qualité comptable du circuit dans son ensemble.

L'organigramme fonctionnel est construit de la manière suivante :

2.1.1.2. La cartographie des processus.

Le principe :

La cartographie des processus est l'étape préalable à l'élaboration de la cartographie des risques. Etablie aux niveaux organique et ministériel (CIF2 et CIF3), elle permet de recenser tous les processus comptables suivant le périmètre de compétence de chacun des CIF2. Elle a vocation à informer les acteurs sur l'organisation des services ainsi que sur la nature de ses opérations.

L'établissement de cette cartographie des processus constitue un outil de première utilité pour :

• s'assurer que le dispositif de contrôle interne comptable couvre l'ensemble du périmètre comptable des services et du ministère de la défense ;

• cibler le plus finement possible les dispositifs de contrôle interne comptable en fonction des principaux enjeux et acteurs des processus comptables.

Plus précisément, elle permet de recenser l'ensemble des tâches, acteurs et système d'information concourant à la constatation des droits et des obligations, à l'inventaire des biens, à la tenue et à l'établissement des comptes, depuis le fait générateur d'une opération jusqu'à son dénouement comptable.

Chaque processus comptable doit être valorisé. La mise à jour de la cartographie des processus comptables est annuelle.

Le modèle de cartographie des processus comptables :

Le classement de la cartographie des processus se fait selon plusieurs notions qui s'articulent entre elles : cycles, processus, procédures, tâches, opérations (figurant dans l'organigramme fonctionnel), documentation et application ministérielle de gestion. Le cycle est un ensemble cohérent de processus et de classes de comptes. Pour le ministère de la défense l'activité comptable est découpée en six cycles ⁽²⁷⁾ : charges, produits, immobilisations et stocks, engagements et provisions, trésorerie et états financiers.

Le modèle ainsi que les modalités de valorisation des processus sont précisées dans le mode opératoire diffusé sur l'espace Finances.

Pour le CIF2 l'activité comptable est découpée de la manière suivante :

Le CIF3 consolide les cartographies des processus des CIF2 et élabore une cartographie ministérielle sur les axes « cycles » et « processus » qui est présentée en comité ministériel de contrôle interne financier (CMCIF).

2.1.1.3. Le dossier permanent et le dossier d'inventaire.

Le dossier permanent décrit l'organisation du service, les modalités de mise en œuvre du processus comptable en gestion courante et en clôture, les méthodes de valorisation utilisées ainsi que les systèmes d'information supports. Il est établi par le CIF1 et le CIF2, plus précisément par les services exécutants ainsi que par les services gestionnaires de biens via le responsable d'inventaire, garant de la qualité de l'inventaire physique et de sa valorisation. Ces dossiers permanents sont relatifs aux processus autres immobilisations corporelles, stocks (AICS), opération de rattachement à l'exercice (OPRE) et parc immobilier. Le modèle de dossier permanent est disponible sur l'espace Finances.

Le dossier permanent est mis à jour annuellement par les services puis transmis en début d'année au CIF3, après les travaux de clôture.

Le dossier permanent est destiné à répondre aux besoins propres des services ainsi qu'à ceux du CIF3, dans leurs travaux comptables en gestion courante et à la clôture. Il peut éventuellement être mis à la disposition des auditeurs internes et externes.

Dans le cas des provisions pour risques et charges, le dossier permanent est mutualisé avec le dossier d'inventaire afin de constituer un dossier de clôture.

Le dossier d'inventaire vient compléter le dossier permanent. Son élaboration implique notamment le CIF2 en charge de corroborer et de viser les contrôles réalisés au titre du dossier d'inventaire. Il a pour objectifs de répertorier, justifier et commenter les données comptables à la fin de l'exercice.

2.1.2. La cartographie des risques et le plan d'actions comptables.

2.1.2.1. Le principe.

Le recensement et la hiérarchisation des risques sont les deux étapes qui conduisent à l'élaboration de la cartographie des risques et du plan d'actions comptables. Etablis aux niveaux local, organique et ministériel (CIF1, CIF2 et CIF3), les cartographies et les plans d'actions sont permanents et actualisés chaque année en fonction des risques potentiels et de leur niveau de maîtrise afin d'en vérifier la pertinence au regard de l'évolution de l'activité et de l'environnement.

Le travail de recensement et de hiérarchisation des risques, formalisé dans la cartographie des risques, permet de définir les actions prioritaires à mettre en œuvre pour anticiper ou atténuer les risques principaux.

Issu directement du travail de cartographie des risques, le plan d'actions comptables fait correspondre chaque risque - modéré, significatif ou majeur - à une ou plusieurs actions prioritaires. Les objectifs doivent être annualisés afin de suivre précisément la mise en œuvre des actions correctrices. Les actions correctrices formalisent ainsi les choix retenus par les services en matière de contrôle interne financier et pérennise la démarche de qualité du contrôle interne comptable.

La cartographie des risques et le plan d'actions consolidés dans un seul document constituent un support de référence assurant une transparence vis-à-vis de l'auditeur dans la programmation et l'effectivité des actions engagées pour améliorer le dispositif de contrôle interne financier.

La cartographie des risques et le plan d'actions sont construits en cohérence avec la cartographie des processus.

Le CIF3 élabore une cartographie ministérielle des risques comptables sur la base des cartographies transmises par les CIF2, elles-mêmes synthétisées à partir des cartographies des CIF1. L'ARCIF est tenue informée par les CIF2 et le CIF3 de la validation des risques et de la réalisation des actions.

Le schéma ci-dessous représente le principe de consolidation des risques et des actions à chaque niveau.

Au niveau CIF1 :

La cartographie des risques et le plan d'actions comptables sont définis au niveau des services en charge des données ayant une incidence comptable et sous la responsabilité du CIF2. De la même manière que pour les cartographies des risques et les plans d'actions CIF3 et CIF2, la cartographie des risques et le plan d'actions locaux sont actualisés en fonction des risques locaux ou des directives diffusées par le CIF2.

Au niveau CIF2 :

Le CIF2 élabore une cartographie des risques et un plan d'actions comptables en déclinant les actions ministérielles sur son périmètre de compétence. Pour cela il reprend le modèle de la cartographie des risques et du plan d'actions comptables ministériels réalisés par le CIF3 en l'adaptant au contexte et aux risques du service.

En outre, les éléments contenus dans la cartographie des risques et le plan d'actions comptables du CIF2 doivent permettre de dresser un inventaire des contrôles à établir (plan de contrôle de supervision a posteriori 2.2.1 de l'annexe II).

Au niveau du CIF3 :

Le CIF3 élabore une cartographie des risques et un plan d'actions comptables ministériels sur la base des cartographies des risques et des plans d'actions organiques transmis par les CIF2. De plus, l'organisation de réunions bilatérales avec les CIF2 permet d'examiner les cartographies des processus, les cartographies des risques et les plans d'actions organiques afin d'échanger sur les risques, les actions de maîtrise, les méthodologies d'analyse des risques et la qualité des documents. 

Par ailleurs, le CIF3 réalise une cartographie et un plan d'actions CIF simplifiés et constitués de deux volets contrôle interne budgétaire et contrôle interne comptable à des fins de communication. Ils sont présentés chaque année au CMCIF pour validation après avis du CMAI.

2.1.2.2. Le recensement et la hiérarchisation des risques comptables.

Étape n° 1

Le recensement des risques est mené en fonction des processus comptables mis en œuvre par les services (CIF1 et CIF2). Structurée autour de la cartographie des processus, la cartographie des risques permet d'avoir une vision globale et consolidée des enjeux financiers et des risques encourus.

Le croisement entre la probabilité d'occurrence des risques et les enjeux financiers associés permet aux services de coter ces risques suivant quatre niveaux de risque : faible, modéré, significatif et majeur. Dans la mesure du possible, il est nécessaire de définir par service des règles objectives de cotation de la probabilité et de la gravité.

Cette étape conduit naturellement à une hiérarchisation des risques en fonction des quatre niveaux applicables.

Étape n° 2

Chaque risque est analysé selon les trois principes ou trois leviers de contrôle interne (organisation, documentation et traçabilité) et doit faire l'objet d'une étude rigoureuse qui s'appuie sur diverses sources d'identification objectives. Ces sources proviennent des acteurs du CIF, des auditeurs internes ou externes.

Les constats des acteurs de la fonction comptable et du CIF sont issus :

• de la cartographie des processus établie à partir de la connaissance de la nature des processus et de l'environnement des services. Cela recouvre notamment l'analyse de l'impact des restructurations en cours ou à venir qui s'accompagnent d'évolutions dans les méthodes de travail, les systèmes d'information et/ou les organisations qui peuvent comporter à court ou moyen terme des risques sur la qualité comptable. L'analyse de l'impact négatif de ces évolutions sur la qualité comptable doit de surcroît prendre en compte les mesures correctives et d'accompagnement déjà prévues ou mises en place dans le cadre de la conduite du changement ;

• des contrôles de supervision a posteriori du CIF1, dont les diagnostics des processus et de l'organisation sur la base des référentiels de contrôle interne comptable ;

• des contrôles de corroboration du CIF2 ;

• des travaux de clôture et des éléments d'analyse et de contrôles des inventaires comptables de la clôture ;

• des retours du CIF3 (revues de CIF et divers échanges dont les retours d'expérience issus des clôtures annuelles ou les réunions bilatérales avec les principaux services afin de faire un bilan des travaux de fin de gestion et d'évaluer les sources de difficultés constatées pour améliorer la gestion et la clôture suivante) ;

• des contrôles du comptable assignataire. Ci-dessous sont précisées les modalités de mise en œuvre des contrôles par le comptable assignataire ainsi que le type de restitutions ;

• de l'échelle de maturité de gestion des risques (EMR - cf. 2.3.1 de l'annexe II).

Les auditeurs internes (audits comptables et financiers) formulent des constats et recommandations qui doivent être considérés et repris dans les cartographies des risques de services.

Les constats de la Cour des comptes sont formulés dans le cadre de la certification via la note d'évaluation du contrôle interne (NEC), les observations d'audit ou l'acte de certification des comptes.

Les restitutions et les contrôles du comptable assignataire :

Dans le cadre d'une fonction comptable partagée, la responsabilité comptable ne se limite pas à la seule sphère des services du comptable mais s'étend à celle de l'ordonnateur. Les écritures comptables trouvent leur origine dans des événements initiés par l'ordonnateur en amont de l'intervention du comptable. Il s'agit par exemple de la constatation du service fait, de l'information relative aux charges à payer, des amortissements ou encore du fait générateur des provisions. Dès lors, la fiabilité de l'information financière impose que les risques sur la qualité de l'information comptable soient maîtrisés aussi bien chez l'ordonnateur que chez le comptable.

De ce fait, le comptable public doit :

• vérifier que les comptes sont conformes aux règles et procédures comptables en vigueur ou, en leur absence, aux principes généralement admis ;

• veiller à ce que la comptabilité permette de traduire la connaissance que les responsables de l'établissement des comptes ont de la réalité et de l'importance des événements enregistrés ;

• restituer par les comptes l'image fidèle du patrimoine de l'Etat et de sa situation financière.

Dans cette perspective, il établit périodiquement la synthèse des contrôles et de leurs résultats qu'il adresse aux ordonnateurs délégués. Les bilans d'activité « dépense» et « recette » retracent, sur une période de janvier à décembre de l'année N, les paiements et recettes réalisés ce qui constitue un support d'amélioration de la qualité du contrôle interne comptable.

Le bilan activité « dépense » est organisé selon différentes rubriques :

• l'analyse des enjeux financiers par processus au regard de leur importance relative ;

• le taux d'anomalies par processus comptable ;

• les anomalies pour les processus à enjeux et/ou à risques identifiés ;

• le taux d'anomalies patrimoniales par nature de dépense ;

• les délais de paiement ;

• l'identification des anomalies par nature de dépense, par fournisseur.

Le bilan activité « recette » synthétise les données générales de prise en charge et de recouvrement.

Ces restitutions sont effectuées dans le cadre des contrôles mis en œuvre par le comptable :

• le contrôle hiérarchisé de la dépense (CHD). Ce contrôle consiste pour le comptable à proportionner les contrôles exercés sur la dépense aux risques et aux enjeux. Il se définit par la mise en œuvre d'un contrôle a priori ou a posteriori sur un périmètre donné (contrôle exhaustif ou par sondage) ;

• le contrôle allégé en partenariat (CAP). C'est une démarche réalisée conjointement par l'ordonnateur et le comptable pour s'assurer de la maîtrise des risques relatifs à la régularité de l'émission des ordres de paiements. Le comptable acquiert cette connaissance en réalisant un audit du dispositif de contrôle interne de l'ordonnateur.

2.1.2.3. La documentation des risques.

En amont de leur formalisation dans la cartographie des risques, l'exercice d'analyse des risques doit être documenté. Une fiche de risque décrit les points suivants : origine, description, conséquences, gravité, probabilité, acteurs, système d'information, action de maîtrise envisagée dans le plan d'actions comptables.

Le CIF3 préconise l'établissement de fiches de risques a minima pour les risques élevés selon le modèle suivant :

2.1.2.4. Le modèle de la cartographie des risques comptables et du plan d'actions comptables.

La cartographie des risques et le plan d'actions comptables constituent un document unique où figurent, pour chaque cycle et processus comptables, d'une part les risques à maîtriser et d'autre part les actions correctrices envisagées. Les cycles comptables correspondent à ceux de la cartographie des processus.

Le renseignement des rubriques est réalisé selon le modèle suivant :

• le cycle ;

• le processus ;

• la valorisation du processus ;

• l'intitulé du risque ;

• le processus métier lié le cas échéant ;

• un commentaire permettant de mieux appréhender le risque et justifiant les cotations du risque (gravité et probabilité) ;

• la cotation du risque calculée à partir de la gravité et de la probabilité ce qui permet d'évaluer le niveau global de chaque risque (de risque faible à risque majeur) ;

• l'action ou les actions à mettre en œuvre en face de chaque risque afin de fiabiliser le processus ;

• la priorité de l'action (échelle 1 à 3) ;

• les critères de réalisation de l'action. S'agissant d'un plan d'actions annuel, les critères de réalisation de l'action doivent correspondre aux objectifs à atteindre au 31 décembre de l'année considérée ;

• les acteurs et les responsables de leur mise en œuvre ;

• le risque résiduel, c'est-à-dire le risque après prise en compte de la ou des actions envisagées.

Dans le cas des processus non applicables, les cellules doivent être grisées.

2.1.2.5. Le suivi de la réalisation des actions du plan d'actions comptables.

Le suivi du plan d'actions comptables ministériel, sous la responsabilité du CIF3, s'effectue semestriellement par le biais de « jalons » arrêtés aux 30 juin et 31 décembre de l'année N. A ce titre, les CIF2 transmettent au CIF3 et avec copie à leur ARCIF, les états d'avancement des actions qui les concernent.

Cette actualisation permet d'enrichir, en retour, les plans d'actions effectués aux niveaux local et organique.

Le modèle ministériel de la cartographie des risques et du plan d'actions comptables ainsi que le mode opératoire sont disponibles sur l'espace Finances.

2.2. Les outils de maîtrise et de contrôle.

L'amélioration permanente des outils de maîtrise et de contrôle constitue l'un des éléments significatifs du renforcement du dispositif de CIF et permet une organisation solide de CIF, notamment en matière de traçabilité des acteurs et des opérations.

Par ailleurs l'évaluation du CIF est indispensable pour contribuer à cette démarche de qualité. Pour cela, les services disposent de plusieurs leviers d'action ou moyens d'évaluation (reporting, EMR, revues de CIF, contrôles de supervision a posteriori etc.) pour garantir l'adéquation du dispositif de CIF aux risques encourus. Il importe que chaque service adapte ses outils à ses propres enjeux financiers et à son organisation et veille à l'appropriation par les acteurs du dispositif retenu.

2.2.1. Le plan de contrôle de supervision a posteriori.

Le plan de contrôle, élaboré par le niveau organique (CIF2) et mis en œuvre au niveau local (CIF1), constitue un élément majeur de programmation qui permet d'apprécier les risques. Il fixe des choix en matière de contrôles de supervision a posteriori ⁽²⁸⁾ et a pour objectifs de s'assurer, par des contrôles ciblés, de la qualité du CIF et de la comptabilité générale. La démarche est en ce sens qualitative car elle n'a pas pour objet de contrôler des opérations.

Ce plan de contrôle doit être établi en fonction des risques de la cartographie et des actions du plan ministériel tout en tenant compte des enjeux et des moyens de chaque service.

Le contenu du plan de contrôle comprend a minima :

• le processus concerné ou procédures ;

• le thème du contrôle (par exemple revue des habilitations, délai entre l'engagement juridique et la constatation du service fait, etc.) ;

• le responsable ;

• la date de programmation et la périodicité (mensuelle, trimestrielle, annuelle) ;

• le nombre d'opérations de contrôle (contrôle exhaustif ou par échantillon) ;

• les observations le cas échéant.

Ce plan de contrôle ne fixe pas d'objectifs aux acteurs de CIF1, il permet de programmer les contrôles de CIF1 (autocontrôles ou contrôles mutuels) selon une périodicité et des modalités définies dans les grilles de contrôles et les fiches d'autocontrôles.

2.2.2. Les grilles de contrôles.

Afin d'encadrer et d'accompagner les acteurs de CIF1 dans la mise en œuvre des contrôles, des grilles de contrôles de supervision a posteriori détaillent les points de contrôle à appliquer.

Ces grilles de contrôle sont renseignées par l'encadrement de niveau CIF1 afin de tracer les contrôles et de déceler le cas échéant toute anomalie. Le CIF2 est destinataire de ces grilles.

Ces grilles détaillent a minima :

• le processus concerné ;

• le responsable (identité de l'acteur, service) ;

• le périmètre, la taille et la périodicité des éléments contrôlés (nature du contrôle et nombre d'éléments contrôlés – échantillon ou exhaustif – montant, date et fréquence du contrôle) ;

• les critères de sélection (qualité comptable ou quantité) ;

• les résultats du contrôle ;

• le détail des anomalies constatées ;

• les modalités de correction des anomalies ;

• les mesures à mettre en œuvre pour supprimer la source des anomalies détectées.

2.2.3. La fiche d'autocontrôle.

La fiche d'autocontrôle est une liste de tâches à réaliser par les acteurs de CIF1 dans le cadre de la procédure comptable et de la mise en œuvre des contrôles de 1^er niveau. Il est donc indispensable que cette fiche soit exhaustive.

Elle correspond à un élément de procédure et ne doit pas être renseignée à chaque fois qu'une tâche comptable est réalisée.

La fiche d'autocontrôle doit comporter a minima les informations suivantes :

• le nom du responsable en charge du contrôle ;

• le processus concerné ;

• l'objet et la nature du contrôle ;

• la périodicité du contrôle ;

• les modalités d'exercice du contrôle ;

• les documents devant servir pour le contrôle ;

• les modalités de formalisation du contrôle.

2.2.4. La documentation des procédures.

Quels que soient les niveaux de CIF, les acteurs comptables disposent d'un guide pour connaître les dispositifs à mettre en œuvre pour chaque processus. Le CIF3 actualise ce guide qui comprend une vingtaine de procédures décrivant notamment, par processus, l'organisation du dispositif de CIF sur le volet comptabilité générale, les tâches et contrôles à mettre en œuvre ainsi que les schémas comptables.

Ces procédures sont systématiquement diffusées aux services et mises en ligne sur l'espace Finances.

2.2.5. La traçabilité et l'archivage.

La réalisation des opérations doit donner lieu à une traçabilité afin de conserver les données. Cette traçabilité s'applique aux acteurs, comme aux opérations.

Les acteurs qui ont réalisé une opération doivent pouvoir être identifiés sur un support papier ou informatique (système d'information) tandis que les opérations se concrétisent par un document comptable ou une pièce justificative.

2.3. Les outils d'évaluation du dispositif de contrôle interne comptable.

2.3.1. Le reporting et l'échelle de maturité de la gestion des risques.

2.3.1.1. Le reporting.

Le reporting de contrôle interne comptable constitue un outil de pilotage stratégique dans la mesure où il doit permettre la mise en place d'actions d'amélioration du dispositif de contrôle interne comptable et éventuellement de mise à jour de la cartographie des risques et du plan d'actions comptables ministériels.

L'efficacité et la pertinence du dispositif de contrôle interne comptable doivent être analysées périodiquement. Le dispositif de reporting est constitué de deux volets : des indicateurs dits d'efficacité par processus comptable et des indicateurs dits d'effectivité relatifs au déploiement du dispositif de CIC :

• les indicateurs d'effectivité ont été complétés au 31 décembre 2015. Seules les évolutions pouvant intervenir sur ces indicateurs sont à communiquer au CIF3 sur un mode déclaratif ;

• le reporting relatif aux indicateurs d'efficacité est établi sur la base des données arrêtées au 30 juin et au 31 décembre de l'année. Ce volet a pour objet le suivi des processus comptables mis en œuvre au ministère de la défense et représentant les enjeux financiers majeurs. Neuf processus comptables⁽²⁹⁾ ont été sélectionnés à l'instauration de ce dispositif de reporting, dans l'objectif de couvrir les principaux enjeux financiers du ministère.

Le périmètre des processus à suivre par armées, directions et services est notamment arrêté en fonction d'un objectif de taux de couverture significatif des processus au sein du reporting au niveau ministériel. Ce périmètre est revu chaque année par le CIF3 afin de prendre en compte les éventuelles évolutions.

Le circuit de reporting est identique au circuit de consolidation de la cartographie des risques et des plans d'actions. Les CIF1 remontent leurs données aux CIF2. Les CIF2 remontent, avec copie à l'ARCIF, la première semaine de septembre et la deuxième semaine de février les éléments au CIF3 qui les consolide.

Le CIF3 consolide le reporting au niveau ministériel et en assure la diffusion. Disposant d'une vision globale sur les comptes du ministère de la défense, le CIF3 a vocation à présenter chaque année au CMCIF la synthèse du reporting.

2.3.1.2. L'échelle de maturité de la gestion des risques.

L'EMR constitue une méthode d'auto-évaluation du contrôle interne comptable qui permet à l'entité de se situer ; l'objectif étant d'obtenir une « photographie » du niveau de maturité du dispositif.

Elle est structurée autour des étapes de la démarche de maîtrise des risques comptables et financiers et prend en compte les trois leviers ainsi que le pilotage comprenant la cartographie des risques, le plan d'actions et l'évaluation du contrôle interne comptable. Ces éléments sont évalués selon cinq niveaux allant de 1 à 5, 5 étant le niveau optimal.

L'évaluation du contrôle interne au moyen de l'échelle de maturité de la gestion des risques peut intervenir à tout moment de l'année.

Le mode opératoire de l'EMR, réalisé par la DGFiP, est disponible sur l'espace Finances.

2.3.2. Les revues de contrôle interne financier sur le volet comptabilité générale.

Les revues de contrôle interne financier ont pour but d'évaluer le dispositif de CIC et de s'assurer de sa qualité. Elles permettent de suivre les actions mises en œuvre et de renforcer ainsi le dispositif existant.

Les revues de CIF effectuées dans les services sont parties intégrantes de la mission du CIF3 et poursuivent deux objectifs principaux :

• d'une part, améliorer la connaissance dont dispose le CIF3 du dispositif de CIF mis en place au sein du service et porter un regard critique sur le dispositif mis en place ;

• d'autre part, apporter au service son aide et ses conseils dans la mise en œuvre de son dispositif de CIF.

Ces revues permettent d'identifier les points forts et les axes d'amélioration des dispositifs de CIF mis en œuvre. Lors de la revue, le CIF3 s'attache à comprendre le dispositif global mis en œuvre au sein du service, le rôle des différents acteurs comptables, les outils mis en place, ainsi que la manière dont sont suivies les recommandations d'audit et celles des précédentes revues.

Les revues sont programmées en fonction de l'analyse des risques comptables sur des processus particuliers. Elles peuvent être menées conjointement avec l'ARCIF concernée et un représentant du CBCM.

A l'issue de chaque revue, un compte-rendu est rédigé par le CIF3 qui le partage avec le service concerné avant sa validation. Le compte-rendu présente, le cas échéant, des recommandations visant à améliorer le dispositif de CIF. Six mois après la réalisation des revues, un suivi des axes d'amélioration relevés est réalisé en collaboration entre la DAF et le service.