> Télécharger au format PDF
direction centrale du service d’infrastructure de la défense : service de la stratégie ; bureau « qualité et pilotage de la performance »

INSTRUCTION N° 1/DEF/SGA/DCSID/STG/BPIL relative au contrôle interne du service d'infrastructure de la défense.

Du 25 avril 2012
 NOR D E F E 1 2 5 1 9 9 2 J

Référence(s) : Décret N° 2011-775 du 28 juin 2011 relatif à l'audit interne dans l'administration. (Radié du BOEM 111.1) Arrêté du 14 janvier 2012 portant organisation du service d'infrastructure de la défense.

3) Directive n° 1500 du 27 juillet 2011 (n.i. BO).

Instruction N° 1001785/DEF/SGA/DAF/SDFCC du 28 mai 2010 relative au contrôle interne comptable au ministère de la défense. Instruction N° 501034/DEF/SGA/DCSID/SDEP du 18 février 2011 relative à l'organisation, aux attributions et au fonctionnement des établissements du service d'infrastructure de la défense. Instruction N° 500681/DEF/SGA/DCSID du 13 février 2012 relative à l'organisation et au fonctionnement de la direction centrale du service d'infrastructure de la défense. Instruction N° 500682/DEF/SGA/DCSID du 13 février 2012 relative aux attributions, à l'organisation et au fonctionnement du centre d'expertise des techniques de l'infrastructure de la défense.

8) Référentiel contrôle interne budgétaire du 8 septembre 2010 (n.i. BO).

9) Note n° 1760/DEF/SGA du 7 octobre 2010 (n.i. BO).

10) Note n° 468/DEF/SGA du 16 mars 2012 (n.i. BO).

Pièce(s) jointe(s) :     Neuf annexes.

Texte(s) abrogé(s) : Instruction N° 601161/DEF/DCSID/SDEP/BRQP du 26 octobre 2005 relative à la surveillance administrative et technique au sein du service d'infrastructure de la défense.

Classement dans l'édition méthodique : BOEM  404.1.1.1.

Référence de publication : BOC n°50 du 16/11/2012

Objet : la présente instruction a pour objet de préciser les procédures de mise en œuvre du contrôle interne (CI) afin d\'assurer la maîtrise des risques au sein du service d\'infrastructure de la défense (SID).

Elle couvre les processus décrits dans l\'annexe II. Elle prend en compte les contrôles internes comptable, budgétaire et achat issus de directives ministérielles applicables au SID.[(cf. références 3) (1), 4) et 5)].

Par ailleurs, cette instruction ne traite pas des audits, objet de méthodes spécifiques. De plus, les opérations extérieures (OPEX) en sont exclues.

1. Préambule et définitions.

La présente instruction s\'applique à l\'ensemble du SID. Elle a valeur de directive pour la mise en œuvre du contrôle interne du point de vue du fonctionnement global du SID et de l\'information due au directeur central du SID par l\'ensemble des responsables (responsable de processus, directeurs d\'établissement...) Elle constitue un guide pour la mise en œuvre du contrôle interne au sein de chaque entité, dont la définition est donnée au point 4.1.

Chaque responsable, à son niveau, doit prendre en compte l\'ensemble des types de risques pour le contrôle interne de l\'unité qu\'il dirige.

La présente instruction a pour but de présenter l\'organisation et la mise en œuvre du CI au sein du SID. Le but est de rationnaliser les dispositifs, de les rendre permanents afin de garantir la maîtrise des activités mises en œuvre au sein du SID et d\'offrir une assurance raisonnable de l\'atteinte des objectifs entrant dans les catégories suivantes, pour l\'ensemble des processus listé en annexe II. :

  • réalisation et optimisation des opérations ;
  • fiabilité des informations ;
  • conformité aux lois et règlements en vigueur.

Nota. Il convient de préciser que le terme « contrôle » doit être compris en tant que « maîtriser l\'activité ». Il ne peut se résumer à une opération ponctuelle avec des conséquences disciplinaires.

2. Principes de base ou objectifs du contrôle interne.

Le contrôle interne consiste à s\'assurer qu\'à chaque étape, pour chaque « entité » (acteur) et pour chaque opération, les critères de réalisation et de conformité aux lois et règlements en vigueur sont respectés et que les risques de non respect des critères d\'efficience sont maîtrisés. Il permet d\'obtenir une assurance raisonnable du respect des procédures préalablement formalisées par les responsables de processus et régulièrement mises à jour.

Le contrôle interne est une action permanente. En effet, toute organisation (et par conséquent tout responsable au sein de cette organisation) est exposé dans le cadre de son activité à des risques de contre-performance, d\'irrégularité, ou encore d\'atteinte aux biens et aux personnes. Le contrôle interne constitue pour cette organisation, l\'ensemble des activités (sensibilisation, veille, autocontrôle, contrôle, évaluation...) qui concourent, de façon préventive, à la maîtrise de ces risques.

Le système de management doit donc prévoir dans son mode de fonctionnement des actions de contrôle systématiques, parfaitement intégrées dans le travail courant qui évaluent l\'atteinte d\'un objectif, le respect des règles, et qui visent à autoriser ou interdire des actes.

Le CI s\'appuie sur :

  • une identification des risques ;
  • une formalisation ;
  • l\'implication de l\'ensemble des agents ;
  • des dispositifs de contrôle.

2.1. Une identification des risques.

Le risque est constitué par les évènements susceptibles d\'entraîner la non-atteinte des objectifs. Il doit être identifié. Le risque se mesure en termes d\'impact et de probabilité. Dès lors, il s\'agit de dresser la liste des risques inhérents à chaque processus, de les hiérarchiser, et de définir les actions devant y remédier.

La méthodologie d\'analyse des risques et d\'établissement de leur cartographie est définie dans l\'annexe IV.

Cette analyse des risques a pour finalité de pouvoir construire une cartographie conformément au modèle décrit dans la directive annuelle du service diffusée par le bureau qualité et pilotage de la performance (BPIL). Suite à ce travail, il sera établi un plan d\'action. Pour chaque risque détecté, en fonction de sa criticité, il devra être défini une action visant à le circonscrire ou le maîtriser.

2.2. Une formalisation.

Afin d\'en permettre la traçabilité, les actions de contrôle doivent être formalisées dans des procédures écrites. Cette formalisation fera l\'objet d\'une directive éditée par le BPIL en lien avec les responsables de processus.

2.3. Une implication de l'ensemble des agents.

Le CI est un dispositif permanent. Cela signifie qu\'il répond à une exigence de continuité. Il implique l\'ensemble du personnel du service, quel que soit son niveau hiérarchique.

Le CI s\'appuie sur une base documentaire : le dossier d\'auditabilité permanent (DAP), qui doit être présenté à chaque inspection ou visite, et le référentiel de contrôle interne (RCI), à usage interne, qui permet à chaque agent, quel que soit son niveau de responsabilité, de consulter la réglementation en vigueur.

Une directive relative au contrôle interne est diffusée annuellement. Elle comprend obligatoirement un bilan de l\'année écoulée, la cartographie des risques consolidée et un plan d\'action.

Ce document de référence pour l\'année est établi par le BPIL en liaison avec les responsables de processus.

2.4. Les dispositifs de contrôle.

Le CI s\'appuie sur des dispositifs de contrôle formalisés, organisés et tracés : autocontrôle, contrôle mutuel, contrôle de supervision, contrôle de corroboration.

Les dispositifs de contrôle visent à fiabiliser l\'ensemble des processus en prévenant les risques de défaillance et en détectant les erreurs éventuelles afin de pouvoir y remédier. Les dispositifs de contrôle de premier niveau sont développés au point 4.1., et les contrôles du deuxième niveau sont exposés au point 4.2.

Concernant les directions de l\'infrastructure de la défense (DID), des dispositions particulières et complémentaires seront mises en œuvre et font l\'objet de l\'annexe VI.

3. Les principaux acteurs du contrôle interne.

Les actions d\'animation et d\'optimisation de cette activité de contrôle relèvent pour leur part d\'un référentiel du contrôle interne dont la présente instruction est l\'élément principal.

Pour que cette dernière soit active, elle fait intervenir les acteurs suivants (cf. annexe I.) :

  • le bureau qualité et pilotage de la performance (BPIL) ;
  • les responsables de processus ;
  • les responsables d\'unité et d\'entité ;
  • le coordonnateur de contrôle interne.

3.1. Le bureau qualité et pilotage de la performance.

Le rôle et la mission du BPIL sont définis dans l\'annexe III. de la présente instruction.

3.2. Les responsables de processus.

Les analyses de risques propres à un processus sont conduites par le responsable de ce processus au profit de l\'ensemble des responsables d\'entités et d\'unités concernés par ledit processus. À ce titre, il établit une analyse des risques génériques. Cette identification des risques sert aux responsables d\'entités et d\'unités concernés par le processus, à élaborer leur propre analyse de risques adaptée aux exigences de leur entité ou de leur unité, et, à bâtir le plan d\'action afférent. Annuellement, le responsable de processus met à jour cette analyse des risques génériques à partir de ses propres analyses, de l\'évolution de la réglementation et du retour d\'expérience en provenance des responsables d\'unités et/ou du BPIL.

La désignation des responsables de processus (cf. annexe II.) fait l\'objet d\'une décision du directeur central du SID, autorité devant laquelle ils se portent garants.

3.3. Les responsables d'entité et d'unité.

Dans la présente instruction, on désigne par entité l\'établissement du service de l\'infrastructure de la défense (ESID) ou la direction centrale du service d\'infrastructure de la défense (DCSID) (cf. annexe VI.), et par unité, les éléments constitutifs de l\'ESID [unité de soutien de l\'infrastructure de la défense (USID), pôle de maîtrise d\'œuvre (Moe), pôle de conduite d\'opération (CO), divisions, service ou bureaux isolés...] ou de la DCSID (sous-directions, bureaux isolés).

Chaque responsable d\'entité est en charge de la mise en œuvre du contrôle interne dans son organisme. À ce titre, il vérifie que le contrôle interne décliné au niveau des différentes unités qui en dépendent est performant et cohérent, en particulier avec les analyses des responsables de processus.

Tout responsable d\'entité, regroupant différentes unités, est responsable, vis-à-vis de sa hiérarchie, du contrôle interne mis en place en son sein.

Pour l\'échelon central du SID, l\'entité est représentée par le directeur central du SID et ses deux chefs de services, relayés par le BPIL, et les unités correspondent aux sous directions, bureaux isolés et au centre d\'expertise technique de l\'infrastructure de la défense (CETID).

Le contrôle interne concernant les DID, considérées comme des entités, est traité en annexe VI.

3.4. Le coordonnateur du contrôle interne.

Un « coordonnateur du contrôle interne » (CCI) (2) est désigné au niveau de chaque entité par le directeur concerné. Dans le cas de la direction centrale, ce coordonnateur, membre du BPIL, prend le titre de « coordonnateur central du contrôle interne » (CCCI). Le CCI de l\'entité assiste le directeur de l\'entité et les chefs d\'unités dans la mise en place d\'un contrôle interne performant adapté à chaque niveau. Par ailleurs, le CCI coordonne l\'ensemble des dispositifs de contrôle interne mis en place au sein de l\'entité afin de s\'assurer de la cohérence et de la performance globale. Il rend compte directement au directeur de l\'entité dont il dépend. Un descriptif du rôle du CCI est donné en annexe III. Chaque CCI appartient à la chaîne « contrôle interne » animée par le coordonateur central du contrôle interne (CCCI) (cf. annexe I.).

L\'animation de la chaîne du contrôle interne au sein du SID menée par le réseau des coordonnateurs est distincte de celle menée par les responsables de processus.

Au sein de chaque entité, les documents permanents de contrôle interne sont détenus par le CCI qui s\'assure de leur mise à jour. L\'organisation du contrôle interne au sein de l\'entité doit être définie (cf. annexe I.).

Le coordonnateur central du contrôle interne (CCCI) est membre du groupe de coordination du contrôle interne (GCCI, cf. annexe III.). Le CCCI coordonne et consolide les travaux des CCI des entités et s\'assure de la cohérence et de la performance du dispositif global de contrôle interne.

L\'animation de la chaîne du contrôle interne au sein du SID se différencie de l\'animation spécifique du réseau mise en place, en tant que de besoin, par les responsables de processus en ce qui concerne leurs « métiers » propres.

4. Articulation des trois niveaux de contrôle interne (cf. annexe VI.).

4.1. Le contrôle interne de premier niveau.

Le contrôle interne de premier niveau concerne l\'ensemble des services du SID produisant une prestation interne ou externe. Ils sont principalement concentrés au sein des ESID (pôles de CO et de Moe, USID, divisions, service ou bureaux isolés...).

Le contrôle interne du premier niveau s\'exerce sur les activités des unités de l\'entité.

Le contrôle de premier niveau regroupe l\'ensemble des contrôles réalisés au sein d\'un service par les acteurs directs et l\'encadrement des opérations impactant directement ou indirectement la production. Ces contrôles sont intégrés au fonctionnement courant du service. Ils sont souvent la conséquence naturelle de la réalisation successive des tâches nécessaires à la réalisation des actes.

Le contrôle interne de premier niveau repose sur trois types de contrôle qui se définissent comme suit :

  • l\'autocontrôle : contrôle exercé par un acteur sur les opérations qui lui incombent. Ce contrôle est intégré aux procédures ;
  • le contrôle mutuel : contrôle exercé par un acteur sur les opérations d\'un autre acteur de même niveau, appartenant à la même unité. Ce contrôle est intégré aux procédures ;
  • le contrôle de supervision : contrôle exercé par l\'encadrement sur les opérations des agents au sein d\'un service donné. Il peut être intégré ou extérieur aux procédures. Lorsqu\'il est extérieur aux procédures, il est appelé également « contrôle a posteriori ».

Le choix des modalités de contrôle est fonction de la taille de l\'organisme et des ressources disponibles, et, est laissé à l\'appréciation du responsable d\'entité. Il doit être formalisé et traçable.

Chaque responsable d\'entité définit, (par note, instruction spécifique), l\'organisation du contrôle interne dans le périmètre qui le concerne en application de la présente instruction.

Cette organisation précise :

  • les principaux acteurs du contrôle interne au sein de l\'entité, notamment les personnes compétentes sur lesquelles le responsable d\'entité s\'appuie pour la maîtrise des risques ;
  • les modalités d\'élaboration et de suivi d\'exécution du plan d\'action de contrôle interne, en veillant à couvrir l\'ensemble des objectifs dudit contrôle ;
  • les modalités d\'exploitation des rapports d\'audits extérieurs et de contrôles internes.

Cette organisation est portée à la connaissance du BPIL pour information.

4.2. Le contrôle interne de deuxième niveau.

Les personnels effectuant le contrôle interne de deuxième niveau ne peuvent pas être les mêmes que ceux qui réalisent les opérations objets du contrôle ; il doit y avoir séparation stricte entre le premier niveau et le deuxième niveau.

Le contrôle interne de deuxième niveau vise, sur un périmètre donné, à piloter et à contrôler le dispositif de premier niveau et donc à s\'assurer de sa fiabilité. Pour accomplir cette mission, il s\'appuie sur les experts métier au sein des processus.

Pour ce faire, il aide le contrôle interne du premier niveau :

  • à décrire les éventuelles procédures du périmètre, en s\'appuyant sur l\'ensemble des directives, du niveau immédiatement supérieur, concernant les processus et en vérifiant leur articulation avec les autres processus opérationnels, concourant à l\'activité ;
  • à conduire une analyse de risques résultant de l\'exécution par le contrôle des procédures et des tâches qu\'il a décrites au vu de ses objectifs ;
  • à déterminer ensuite le positionnement et la nature des contrôles réalisés par le contrôle du premier niveau (autocontrôles, contrôles mutuels, contrôles de supervision), afin de maîtriser ces risques.

Il vérifie que les processus, procédures, tâches, opérations et contrôles sont exécutés conformément à la réglementation en vigueur. Il analyse les opérations de contrôle du premier niveau. Il effectue des opérations de contrôle de corroboration, réalise un suivi des plans d\'action et le reporting.

Cette mission se double également d\'une activité de conseil et de soutien aux différents acteurs et notamment aux autorités chargées du contrôle de supervision.

4.3. Le contrôle interne de troisième niveau.

Le contrôle interne de troisième niveau définit le cadre et les moyens nécessaires au déploiement du contrôle interne au sein du secrétariat général pour l\'administration (SGA) et en suit la mise en œuvre. Le troisième niveau est extérieur au SID. Il peut, suivant les processus, être représenté par une administration centrale du SGA.

Le contrôle interne de troisième niveau est chargé d\'assurer sur son périmètre de responsabilité, la déclinaison de la stratégie du ministère.

À ce titre, il assure un rôle :

  • de coordination dans la mise en œuvre du contrôle interne ;
  • de suivi de certains thèmes pour lesquels les risques et/ou les enjeux sont considérés comme particulièrement importants en raison de leur impact potentiel.

5. Gestion de la maîtrise des risques et élaboration des plans d'action.

5.1. Gestion de la maîtrise des risques (annexe IV.).

Chaque responsable de processus représenté au sein de la DCSID contrôle à son niveau le respect de la règlementation et l\'atteinte des objectifs fixés. Il s\'appuie, au plan méthodologique, sur le BPIL, qui est le « point central » du dispositif (cf. annexe III. et instruction n° 500681/DEF/SGA/DCSID du 13 février 2012 relative à l\'organisation et au fonctionnement de la DCSID).

Dans leur rôle fonctionnel, les responsables des processus du SID doivent veiller à la maîtrise des risques attachés à la mise en œuvre de leur processus.

Ainsi, ils interviennent en amont en fournissant aux entités une analyse de risques et une cartographie générique liées directement au processus. Ils rebouclent en aval à partir des analyses de risques consolidées effectuées par les responsables d\'entité au regard des actions mises en place pour en garantir la maîtrise. Leurs actions d\'amélioration sont traitées dans le cadre du management du processus du SID.

5.2. Déclinaison par entité et par le niveau central (direction centrale du service d'infrastructure de la défense).

À partir des résultats des actions d\'évaluation (résultats des audits externes, des rapports d\'inspection et des analyses de risques) et des conclusions ressortant du bilan de l\'année précédente, chaque entité élabore un plan d\'actions (cf. annexe V.) qui définit des actions de progrès voire des actions d\'évaluation. Toute action est identifiée et, si possible, affectée d\'un indicateur de suivi mesurable et pertinent avec un pilote désigné et une échéance.

Un projet de plan d\'actions, indiquant les actions de contrôle interne pour l\'année suivante, est établi par chaque entité début octobre de façon à pouvoir orienter le programme de visites ciblées de l\'année suivante.

Le plan d\'actions est validé, au premier trimestre de l\'année N, par le responsable de l\'entité concernée.

Il est accompagné d\'un bilan d\'exécution du plan de l\'année précédente.

Cette synthèse (plan d\'actions et bilan) doit refléter l\'état général de la maîtrise des risques au sein de l\'entité, préciser les priorités retenues et les principales actions, d\'une part conduites au cours de l\'année écoulée et d\'autre part décidées pour la nouvelle année, en distinguant les actions de progrès et les actions d\'évaluation. Les consolidations effectuées par la direction centrale intègre les éléments relatifs aux entités.

Un modèle type de plan d\'actions est donné en annexe V. de la présente instruction.

5.3. Suivi de l'exécution des plans d'actions.

L\'exécution des plans d\'actions doit faire l\'objet d\'un suivi rigoureux et régulier. À cette occasion, les actions de progrès, déclinées et mises en œuvre, sont appréciées et, le cas échéant, mesurées par des indicateurs afin d\'en mesurer la pertinence et l\'efficacité.

Le contrôle de gestion ainsi que la mise en place de tableaux de bord, constituent un levier adapté pour suivre la réalisation des plans d\'action.

Un bilan annuel est effectué en fin de gestion.

5.4. Capitalisation des connaissances (coordination et synthèse service d'infrastructure de la défense).

Il appartient à chaque responsable de processus de s\'assurer d\'une part, que la veille réglementaire ou technique nécessaire est effectuée, et d\'autre part, de diffuser autant que nécessaire, les éléments pertinents de contrôle interne aux responsables des entités qui mettent en œuvre les processus correspondants.

Les responsables de processus entretiennent une base de données sur les risques et les actions préventives/correctives associées.

6. Les dispositifs contrôlés.

Par définition, tous les processus mis en œuvre au sein du SID font l\'objet d\'une procédure de CI.

Les responsables de processus contribuent, en lien avec la sous-direction du pilotage de la stratégie infrastructure (SDPSI), à l\'exploitation des rapports d\'audits et inspections externes au SID concernant leur processus. Ils transmettent les mises à jour et réponses au BPIL à titre d\'information.

L\'annexe II. définit la liste des processus déployés au sein du SID ainsi que leurs responsables.

7. Texte abrogé.

L\'instruction n° 601161/DEF/DCSID/SDEP/BRQP du 26 octobre 2005 relative à la surveillance administrative et technique au sein du service d\'infrastructure de la défense est abrogée.

Pour le ministre de la défense et des anciens combattants et par délégation :

Le général de corps aérien,
directeur central du service d'infrastructure de la défense,

Gérard VITRY.

Annexes

Annexe I. Logigramme du contrôle interne du service d'infrastructure de la défense.

 

Annexe II. Liste des processus devant faire l'objet d'une procédure de contrôle interne et des responsables.

FAMILLE DE PROCESSUS.

PROCESSUS.

RESPONSABLE DE PROCESSUS.

Processus de direction :

- pilotage (PIL) ;

  BPIL

- maîtrise des risques (PMR) ;

  BPIL

- amélioration continue des activités (ACA).

  SDPSI

Processus de réalisation :

- assistance au commandement (ASC) ;

  SDPSI

- adapter les infrastructures (PROJ) ;

  SDP

- assurer la gestion du patrimoine (GP) ;

  SDGP

- réaliser les prestations et services aux bâtiments du MINDEF (PREST) ;

  SDGP

- maîtriser les achats spécifiques à la fonction infrastructure (ACH).

 ACH

Processus de soutien :

- réaliser la gestion comptable et financière (FIN) ;

 SDPRHF

- gérer les ressources humaines (RH) ;

SDPRHF

- apporter une expertise technique (EXP) ;

 CETID

- répondre aux besoins informationnels et documentaires (RID) ;

 SDPSI

- élaborer les méthodes (QUAL) ;

 BPIL

- fournir un système d\'information adapté aux besoins (SI) ;

 DSI

 - assurer service courant (MG).

  BAR

 

Annexe III. Rôle et mission du bureau qualité et pilotage de la performance, et des coordonnateurs du contrôle interne.

1. Rôle et mission du bureau qualité et pilotage de la performance dans le cadre du contrôle interne.

Le BPIL est le point central du dispositif de contrôle interne au sein du SID. Ses attributions peuvent être classifiées selon deux thèmes :

  • animation, coordination et synthèse ;
  • garant des référentiels documentaires liés au CI.

1.1. Animation, coordination et synthèse.

Le BPIL anime l\'activité de contrôle interne du SID et en fait la synthèse :

  • en animant le groupe de coordination du contrôle interne ;
  • en assurant la synthèse des actions de contrôle interne réalisées dans l\'ensemble du SID ;
  • en diffusant les enseignements tirés des actions de contrôle interne réalisées dans l\'ensemble du SID ;
  • en établissant les directives de contrôle interne, en liaison avec les pilotes de processus ;
  • en consolidant les cartographies des risques issues des travaux conduits en étroite collaboration avec les responsables de processus de la DCSID et des différentes entités et en attribuant un ordre de criticité au regard des analyses de risques et des plans d\'actions afférents aux entités. Cette cartographie des risques du SID et le plan d\'action associé sont présentés annuellement au chef du service de la stratégie qui rend compte au directeur central du SID, avant d\'en informer le SGA ;
  • en diffusant vers les responsables de processus les extraits des cartographies des risques qui les concernent ;
  • en aidant les responsables de processus à élaborer leurs contributions respectives au plan d\'action du SID ;
  • et en assurant le suivi et la cohérence des cartographies des risques au sein du SID, ainsi que la synthèse finale du plan d\'action du SID avant sa mise en signature.

Il établit la synthèse finale d\'exécution du plan d\'action du SID dans le domaine du contrôle interne.

1.2. Garant des référentiels documentaires liés au contrôle interne.

Une des missions majeures du BPIL est la diffusion des directives annuelles relatives au contrôle interne. Ce document comprend le bilan de l\'année écoulée, la cartographie des risques consolidée pour le SID et le plan d\'action.

Celui-ci est établi annuellement à partir de la cartographie des risques établie pour chaque processus. Il liste les actions du SID à mettre en œuvre pour couvrir les zones de risques identifiées. Il affiche des objectifs de contrôle en termes qualitatifs et quantitatifs aux ESID.

Le plan d\'action est un document évolutif, qui fait l\'objet d\'une actualisation pour prendre en compte les remontées d\'information (retour d\'expérience) et les nouveaux risques détectés.

Le plan d\'action de l\'année N est réalisé et diffusé par la DCSID au cours du premier trimestre de l\'année N après exploitation du bilan de l\'année N-1.

L\'élaboration et le suivi du plan d\'action sont assurés par les responsables de processus désignés au sein de la direction centrale. Ils sont assistés par le BPIL.

Enfin, dans le cadre de son action de contrôle et de conseil, le BPIL est habilité à vérifier, avec l\'appui des responsables de processus, l\'existence et le contenu des référentiels de contrôle interne détenus au sein des différentes entités. Ces dossiers regroupent pour chaque processus et dans chaque entité, la documentation métier de référence et à jour.

Comme il l\'a été décrit dans le préambule, le contrôle interne doit s\'appuyer sur un référentiel documentaire relatif à l\'activité. Ce référentiel décrit les processus métiers, les règles et les organisations.

Une documentation adaptée doit être réalisée pour les acteurs de premier niveau sous forme de fiches de tâche qui détaillent les points de contrôle à appliquer.

Ce référentiel doit être un outil exhaustif et régulièrement mis à jour, regroupant tous les outils nécessaires aux acteurs pour la mise en œuvre des procédures. Il doit recenser l\'ensemble des contrôles effectifs à accomplir.

La documentation qui constitue ce référentiel doit être accessible par l\'ensemble des acteurs. Cette mission relève au sein de la DCSID de la section de management de l\'information de la sous-direction pilotage stratégie infrastructure. Chaque acteur doit être en mesure de mettre en œuvre une action sans avoir à recourir à d\'autres documents ou à l\'appui d\'un autre intervenant. De la même façon, chaque opérateur doit pouvoir justifier de sa connaissance du référentiel existant.

2. Rôle et mission des coordonnateurs du contrôle interne.

Nota. La personne attributaire de ce rôle peut assurer également d\'autres missions au sein de son entité, en particulier celui de correspondant qualité.

Le coordonnateur du contrôle interne (CCI) n\'a pas un rôle de décideur (1), mais un rôle de conseiller et d\'animateur. Il aide à définir les contrôles attachés aux processus mis en œuvre, mais n\'est pas chargé de la mise en œuvre opérationnelle de ces contrôles. Il assure une vigilance au côté de son responsable d\'entité par une vision globale de la maîtrise des risques, en s\'appuyant sur les compétences et moyens existants et aide à définir des priorités d\'action.

Il est directement rattaché au responsable de l\'entité considéré, car il lui est une aide directe qui doit être, dans la mesure du possible, indépendante des niveaux subordonnés. La personne qui assure ce rôle pouvant assurer également d\'autres rôles, il appartient au responsable d\'entité de définir, dans la fiche de poste de l\'intéressé, ses attributions exactes.

Le coordonnateur du contrôle interne (CCI) :

  • a suivi une formation au contrôle interne ;
  • participe activement à la coordination et aux échanges avec les autres CCI ;
  • anime la mise en œuvre du contrôle interne au sein de son entité, sous la responsabilité de son responsable d\'entité, et joue un rôle de conseiller en la matière au sein de son entité ;
  • contribue à identifier les activités à risques au sein des processus mis en œuvre par son entité ;
  • participe à la mise à jour des procédures, voire les initie, en apportant son expertise en analyse des risques et propose des activités de contrôle à intégrer dans ces procédures par ceux qui sont responsables de leur mise en œuvre ;
  • prépare et anime les revues de contrôle interne de l\'entité, élabore la synthèse annuelle du contrôle interne de son entité, identifie, par les risques à éviter, les objectifs de contrôle interne, synthétise les résultats des actions d\'évaluation, propose à son responsable d\'entité un plan d\'actions de contrôle interne, suit la réalisation de ce plan et rend compte à son responsable d\'entité de son avancement ;
  • contribue à définir les indicateurs de maîtrise des risques nécessaires au pilotage de son entité, en concertation avec les autres acteurs et notamment le contrôle de gestion ;
  • se concerte avec les acteurs de la qualité interne (BPIL) pour harmoniser les calendriers des visites ciblées conduites dans son entité.

Le coordonnateur central du contrôle interne  (CCCI) :

  • assure les rôles ci-dessus au niveau de la DCSID ;
  • coordonne et vérifie la cohérence des dispositifs de contrôle interne des unités rattachées à la DCSID, rend compte au chef du service de la stratégie du SID ;
  • représente la DCSID au sein du groupe de coordination du contrôle interne (GCCI) ;
  • élabore la consolidation annuelle du contrôle interne de la DCSID et des entités rattachées et veille à sa transmission au BPIL ;
  • représente, à défaut, au sein du GCCI les responsables de processus appartenant au niveau central de la DCSID ou agit par délégation.

Groupe de coordination de contrôle interne (GCCI). 

Une coordination des actions de contrôle interne est assurée par le groupe de coordination du contrôle interne (GCCI), animé par un représentant du BPIL et composé des CCI et des responsables des processus concernés.

Périodiquement, et au minimum une fois par an, des réunions associant les CCI des entités sont organisées à l\'initiative du BPIL. Les responsables de processus sont mis en copie des convocations et ordre du jour des GCCI.

Le groupe de coordination a pour missions :

  • l\'institutionnalisation du contrôle interne au sein du SID par la proposition de mesures d\'organisation, de documents permanents et, de façon plus générale, d\'actions de progrès ;
  • l\'incitation au partage des meilleures pratiques de contrôle interne entre les entités du SID ;
  • le partage du retour d\'expérience sur les risques rencontrés, avérés ou émergents ;
  • le suivi des actions de contrôle interne intéressant l\'ensemble du SID ;
  • l\'analyse de la pertinence des indicateurs.

Notes

    La personne désignée n'est pas décideur dans son rôle de CCI mais elle peut assumer un rôle de décideur dans d'autres fonctions.1

Annexe IV. L'analyse des risques et la cartographie des risques.

1. Identification des risques.

Les risques sont les évènements susceptibles d\'entraîner la non-atteinte des objectifs de qualité ou d\'efficience.

Une assurance raisonnable de la qualité pourra être obtenue en minimisant ces risques par un contrôle adapté et le cas échéant par la réécriture des procédures selon les constats effectués.

Le contrôle interne se fonde donc sur une analyse fine des procédures afin d\'identifier les actes qui méritent une attention particulière compte tenu de leur impact sur la qualité ou l\'efficience.

Cette analyse ainsi que l\'adéquation des moyens mis en œuvre devra être évaluée dans le cadre du contrôle interne.

2. Évaluation des risques.

Les évaluations, préalables à la conduite de plans d\'actions de progrès, comportent :

  • l\'analyse des risques auxquels est exposée une entité ou résultant des activités d\'un processus ;
  • la cartographie suite à enquête.

2.1. Analyse des risques

À chaque niveau, les responsables d\'entité et de processus, doivent détecter et identifier précisément les risques inhérents aux activités de leur entité ou processus.

Il s\'agit d\'une démarche préventive s\'appuyant autant sur des faits potentiels qu\'avérés et qui doit être conduite :

  • par chaque responsable de processus, si nécessaire avec l\'appui méthodologique du CCI (1) de son entité, du CCCI (1) pour le niveau central et du BPIL ;
  • par chaque responsable d\'entité avec l\'appui de son CCI de l\'entité dont il dépend et des acteurs des métiers concernés, à partir des analyses effectuées dans chaque unité par ses responsables d\'unité et de celles effectuées par les responsables de processus qui le concernent.

L\'analyse de risque s\'appuie, pour les responsables d\'entité, sur :

  • le document d\'organisation qui décrit avec précision les missions et les fonctions à exécuter au regard des processus ainsi que l\'identification des agents en charge de l\'exécution et du contrôle de l\'exécution ;
  • la criticité de chaque risque identifié. Cette criticité est évaluée par le responsable d\'unité, sous la responsabilité de son responsable entité, avec l\'aide du CCI (1), au regard des moyens alloués et des contrôles mis en place pour maîtriser le risque ;
  • la cartographie des risques adaptée à l\'unité, effectuée à partir des cartographies génériques en provenance des responsables de processus et de la cartographie générique du SID. Ainsi, la cartographie des risques est déclinée à tous les niveaux du contrôle interne. La cartographie des risques est un outil faisant partie intégrante de la démarche de contrôle interne. Il s\'agit de caractériser les risques du SID et de les représenter sous forme hiérarchisée.

La représentation graphique de la hiérarchisation des risques est un outil d\'aide à la décision permettant d\'adapter le dispositif de contrôle interne du SID au regard de ses objectifs préalablement définis.

L\'effort doit naturellement se porter sur les zones présentant le risque le plus élevé.

L\'évaluation des risques prend en compte deux critères :

  • la probabilité d\'occurrence du risque ;
  • son impact.

Le croisement de ces deux données donne la criticité du risque comme le montre les tableaux suivants :

  • probabilité d\'occurrence :

NIVEAU.

COTATION.

Très faible1
Faible2
Moyen3
Elevé4
Très élevé5
  •  impact :

NIVEAU.

COTATION.

Très faible1
Faible2
Moyen3
Elevé4
Très élevé5

 

CRITICITÉ.

IMPACT\\PROBABILITÉ.

1

2

3

4

5

5

5

10

15

20

25

4

4

8

12

16

20

3

3

6

9

12

15

2

2

4

6

8

10

1

 1

2

3

4

5

La criticité s\'établit selon la cotation suivante :

  • de 1 à 4 inclus : mineure ;
  • de 5 à 9 inclus : significative ;
  • de 10 à 12 inclus : tolérable ;
  • de 13 à 16 inclus : critique ;
  • >16 : inacceptable.

2.2. La cartographie des risques

Nota. Ce tableau définit la criticité des risques dans un cadre général, sous la forme d\'une matrice de criticité. Des instructions spécifiques notamment en matière de contrôle interne comptable, budgétaire ou achat peuvent imposer une présentation différente.

IMPACT.

5

SignificatifTolérableCritiqueInacceptableInacceptable
 

4

MineureSignificatifTolérableCritiqueInacceptable
 

3

MineureSignificatifSignificatifTolérableCritique
 

2

MineureMineureSignificatifSignificatifTolérable
 

1

MineureMineureMineureMineureSignificatif
PROBABILITÉ. 

1

2

3

4

5

Pour le niveau du SID, le travail de consolidation des analyses de risques des différentes entités est effectué annuellement par le BPIL, proposé au chef du service de la stratégie qui valide et rend compte au directeur central du SID, avant transmission au SGA.

Le résultat de cette activité constitue une donnée essentielle de référence qui doit être intégrée dans le DAP, détenu par chaque acteur du contrôle interne selon son niveau et son positionnement. Le BPIL de la DCSID devant centraliser les données et détenir le DAP du service.

Annexe V. Modèle type de Plan d'action.

Télécharger le fichier

Annexe VI. Dispositions complémentaires relatives au contrôle interne dans les directions de l'infrastructure de la défense.

Généralités.

Les principes énoncés dans le cœur de la présente instruction concernant le contrôle interne au sein du SID sont applicables pour les DID. Cependant, compte tenu de l\'éloignement, de l\'absence de CCI et de spécificités locales, la direction centrale organise des visites ciblées portant sur l\'ensemble des processus.

Il s\'agit de permettre au directeur central du SID d\'obtenir une assurance raisonnable d\'atteinte des objectifs suivants :

  • conformité des actes d\'administration et de gestion aux lois et règlements ;
  • optimisation des ressources humaines, matérielles et financières allouées au SID ;
  • conseil et diffusion des bonnes pratiques appliquées au sein du SID.

Finalités.

Le contrôle interne des DID consiste donc pour la direction centrale du SID, à :

  • vérifier l\'efficacité, l\'opportunité et la régularité des actions conduites par la DID ;
  • apprécier à la fois les résultats obtenus et les moyens mis en œuvre pour les obtenir.

Types de contrôles exercés.

Le contrôle interne des DID relève de la seule responsabilité du directeur central. Les actions peuvent être exercées de plein droit par le directeur central ou par délégation accordée au directeur central adjoint :

Méthodes utilisées.

Le contrôle interne des DID s\'effectue selon deux méthodes : la vérification sur pièces et la vérification sur place.

La vérification sur pièces s\'exerce au travers de l\'examen des documents de tout type afférant à la passation et à la gestion des marchés, à l\'ordonnancement et à l\'exécution des dépenses, à l\'administration du domaine immobilier et à la gestion des ressources humaines, matérielles et financières allouées, des documents de tous types traitant de la conduite des opérations d\'infrastructure, (programme, avant projet...).

La vérification sur place s\'effectue lors de visites ciblées. Ces contrôles sont conduits par la direction centrale du SID. Cependant, lorsque les vérifications sur pièces ont révélé des dysfonctionnements graves ou répétés nécessitant des mesures correctrices ou conservatoires immédiates, une visite inopinée est organisée.

Les contrôles sur place comportent si nécessaire des contacts avec les échelons locaux ou régionaux du commandement, et des visites de chantier durant lesquelles sont notamment contrôlés la certification du service fait, les dispositions adoptées en matière de qualité et le respect des normes.

Organisation.

Les visites ciblées des DID font l\'objet d\'une planification annuelle. Elles sont préparées en tenant compte des spécificités de l\'organisme et de son activité. Un travail préalable de recherche est effectué à partir du dernier rapport de contrôle et des indicateurs recueillis dans le cadre de la démarche de pilotage. Le nombre et la qualité des experts fonctionnels dépendent de la nature des organismes ainsi que de la nature des contrôles à effectuer. Les experts effectuent leurs vérifications soit de façon exhaustive, soit par sondage, en fonction des risques évalués. Ils émettent des recommandations et des avis tout au long de l\'inspection et profitent de la visite pour conseiller et informer. Ils peuvent aussi relever les initiatives locales qui peuvent être généralisées à l\'ensemble du service.

Restitutions.

Les résultats de ces visites ciblées sont dans un premier temps présentés oralement par le responsable de la mission au cours d\'une réunion sur place. Puis dans un deuxième temps, les résultats font l\'objet d\'un rapport faisant apparaître les constats significatifs et les dysfonctionnements rencontrés, ainsi que les recommandations assorties de priorisation et d\'un calendrier précisant les actions correctrices et comptes rendus à fournir. Le projet de rapport est transmis au directeur de la DID, via le BPIL, qui dispose d\'un délai d\'un mois pour exercer son droit de réponse. Les contrôles inopinés donnent lieu à un rapport spécial immédiatement transmis au directeur central du SID.

Dans un délai maximum de six mois à l\'issue de la visite ciblée, le directeur de la DID adresse à la DCSID/BPIL un rapport indiquant la suite donnée aux recommandations, les actions entreprises ou envisagées pour remédier aux dysfonctionnements et les difficultés rencontrées.

Annexe VII. Articulation des trois niveaux du contrôle interne.

 

 

Pour l\'échelon central, le CI se comprend de la manière suivante :

1. Le contrôle interne de premier niveau.

Les principes de contrôle édictés dans le cadre général s\'appliquent de la même façon à l\'échelon central. Le contrôle interne de premier niveau concerne les sous-directions et bureaux isolés ainsi que le CETID.

2. Le contrôle interne de deuxième niveau.

Le responsable du contrôle interne de deuxième niveau est le directeur central du SID. À ce titre, il s\'appuie sur les deux chefs de service, (stratégie et réalisation) et le BPIL (CCCI), en tant que bureau subordonné au chef du service de la stratégie.

En ce qui concerne le CETID, le contrôle interne de deuxième niveau est assuré par le chef du service des réalisations, identifié comme la « tête de chaîne » dont le reporting s\'effectue vers le chef du service de la stratégie, via le BPIL.

3. Le contrôle interne de troisième niveau.

Le contrôle interne de troisième niveau est assuré par le SGA.

Annexe VIII. Glossaire.

Action de progrès : action à mener pour améliorer le processus, une fois le risque identifié.

La cartographie des risques : est un outil faisant partie intégrante de la démarche de contrôle interne. Il intervient après la définition des objectifs de l\'entité et repose sur l\'identification puis la cartographie des risques. Il s\'agit de caractériser les risques du SID, et de les présenter sous une forme hiérarchisée.

La matrice de criticité est un outil d\'aide à la décision permettant d\'adapter le dispositif de contrôle interne du SID au regard de ses objectifs préalablement définis.

L\'accent doit être mis naturellement sur les zones présentant le risque maximum, pour renforcer le dispositif lié au processus.

Le contrôle de corroboration : est exercé par les instances de contrôle pour étayer leurs constatations, conclusions et opinions.

Le contrôle interne : est l\'ensemble des dispositifs formalisés et permanents décidés par chaque ministre, mis en œuvre par les responsables de tous les niveaux, sous la coordination du secrétaire général du département ministériel, qui visent à maitriser les risques liés à la réalisation des objectifs de chaque ministère.

Criticité : pour un risque, la criticité est une évaluation de « dangerosité », résultant de la gravité de l\'impact et de la probabilité d\'occurrence, selon des échelles dont la définition est une responsabilité de direction.

Dossier d\'auditabilité permanent : DAP, ensemble de documents devant être présenté à toute autorité effectuant un contrôle, une inspection ou un audit. Il est détenu au niveau central et de chaque entité.

L\'efficacité : peut se définir comme la capacité à atteindre les objectifs fixés.

L\'efficience : se définie par l\'appréciation des résultats obtenus en regard des moyens de toute nature mis en œuvre pour les atteindre.

Impact du risque : non atteinte d\'un objectif (l\'atteinte de l\'objectif constitue l\'enjeu).

Processus : Un processus est un ensemble cohérent de procédures définissant des tâches réalisées par différents agents pour atteindre un résultat déterminé.

Procédure : manière de procéder énonçant des méthodes pour obtenir un résultat déterminé.

Revue : examen entrepris pour déterminer la pertinence, l\'adéquation et l\'efficacité de ce qui est examiné à atteindre des objectifs définis. La revue peut également inclure la détermination de l\'efficience (rapport entre le résultat obtenu et les ressources utilisées). [ISO 9000 d\'octobre 2005.]

Revue du contrôle interne : revue dédiée à la maîtrise des risques afférents à un ensemble d\'activités.

Risque : un risque est un évènement dont la matérialisation éventuelle peut conduire à la mise en cause ou au non respect des objectifs poursuivis au cours d\'un projet.

Il faut distinguer les risques sur lesquels on peut agir et ceux qui sont imposés par l\'extérieur (risques exogènes).

La notion de risque suppose l\'existence d\'objectifs :

  • l\'impact du risque est la non atteinte d\'un objectif ;
  • l\'enjeu est l\'atteinte d\'un objectif.

Les facteurs de risque (ou facteurs de non qualité) sont des lacunes dans la conception des processus ou dans l\'organisation, c\'est-à-dire qu\'il n\'a pas été prévu soit de faire une action, soit de contrôler qu\'elle est faite, soit de s\'assurer qu\'elle est correctement faite, soit de suivre les performances de l\'organisation.

Annexe IX. Liste des acronymes.

ACH  :processus maîtriser les achats spécifiques à la fonction infrastructure.
BAR  :bureau affaires réservées.
BPIL  :bureau qualité et pilotage de la performance.
CI  :contrôle interne.
CCI  :coordinateur du contrôle interne.
CCCI  :coordinateur central du contrôle interne.
CO  :conduite d\'opérations.
DAP  :dossier d\'auditabilité permanent.
DCSID  :direction centrale du service d\'infrastructure de la défense.
DID  :direction d\'infrastructure de la défense.
DSI  :division des systèmes d\'information.
ESID  :établissement du service de l\'infrastructure de la défense.
RLT  :service de la réalisation.
SDGP  :sous-direction gestion du patrimoine.
SDP  :sous-direction projet.
SDPRHF  :sous-direction du pilotage des ressources humaines et financières.
SDPSI  :sous-direction du pilotage de la stratégie infrastructure.
SGA :secrétariat général pour l\'administration.
SID  :service de l\'infrastructure de la défense.
STG  :service de la stratégie.
USID  :unité de soutien de l\'infrastructure de la défense.