Mettre en place un modèle de gestion des risques propre aux problématiques du secteur public
Force est de reconnaître que les affaires de fraude sont devenues apparentes au fil des mois au Luxembourg, défrayant la chronique médiatique. Mais ces affaires sont-elles anecdotiques car isolées ou révélatrices d’un phénomène plus profond? Quelles qu’elles soient, elles sont autant de taches d’huile sur la très bonne réputation de la fonction publique. Il existe pourtant un certain nombre de processus de contrôle et d’outils de gestion des risques. La définition et la bonne mise en œuvre de ces processus et outils seraient sans doute une réponse adéquate devant ces récents événements. Interview de Philippe Wery et Thierry Barré, respectivement CEO et spécialiste du secteur public d’Arendt Business Advisory.
La presse révèle une série d’affaires, certes toutes différentes les unes des autres, mais qui ont le terreau commun du détournement de fonds. Un commentaire?
PW: Plusieurs administrations et établissements publics ont en effet été victimes de malversations. L’accélération des révélations dans la presse, autrement dit des fuites, démontrent que la protection de l’activité et son financement ne sont pas complétement étanches.
Ces affaires relèvent moins d’un problème d’organisation spécifique que du changement général des comportements, de l’augmentation des volumes traités et des défaillances des processus de contrôle et de gestion des risques. A cela s’ajoute une complexité accrue des affaires courantes.
Ces affaires sont-elles le signe révélateur d’une tendance au délaissement des contrôles internes renforcés et des nouvelles méthodologies contre les risques?
PW: Ces fraudes peuvent prendre des années avant d’être détectées; une telle durée peut interroger quant à la robustesse et l’indépendance des contrôles internes. Dans le premier cas, ces processus de contrôle interne doivent être régulièrement revus et adaptés à l’évolution des processus métiers. C’est un gage de robustesse que de les revoir annuellement. Dans le second cas, il n’est pas aisé de garder des contrôleurs indépendants dans une équipe resserrée. Au fil du temps, un certain laisser-faire peut s’instaurer, insidieusement. Cela n’est pas spécifique au secteur public et est rencontré aussi dans le secteur privé. Un système de rotation et l’appel régulier à des personnes étrangères aux administrations concernées sont relativement simples à mettre en place et permettent d’apporter un regard neuf à l’organisation tout en gardant une grande indépendance.
Par ailleurs, il existe des niveaux de maturité disparates entre les différentes administrations du secteur public; certaines ont entamé des démarches de modernisation, d’autres devraient les renouveler mais beaucoup ne sont pas encore conscientes de cette nécessité. D’une certaine manière, les processus de contrôle et de gestion des risques ne sont pas toujours vus comme étant une nécessité du fait, par exemple, de l’expertise des agents, de la documentation des processus métier, d’un système d’information récent… Pourtant ils sont importants pour de bonnes gestion et gouvernance de toute organisation: le secteur privé en est un exemple flagrant.
Notons aussi que le citoyen en particulier et la société en général sont beaucoup plus soucieux de la manière dont l’argent public est utilisé. Cette demande de transparence engendre une volonté politique de vertu budgétaire qui se cristallise notamment dans la professionnalisation de manager de la fonction publique; augmentant ainsi les responsabilités.
TB: Le secteur public luxembourgeois doit faire face à une augmentation sensible de la complexité des opérations et des volumes financiers. Les fraudes deviennent dès lors difficilement repérables, voire même invisibles dans la mesure où elles passent pour une faible partie du volume total liquidé. Les risques ne se limitent pourtant pas uniquement au champ financier mais sont aussi dans le domaine opérationnel comme par exemple avec la sécurité des enfants dans les crèches ou écoles.
Précisons qu’il existe nombre de secteurs où grâce à des mécanismes de contrôle robustes, les failles sont détectées avant que les incidents s’y engouffrent, à l’instar du secteur hospitalier. Dans un certain sens, dans les domaines où les risques existants peuvent être rapidement catastrophiques (santé, aviation, transports…), la culture de l’organisation inclut de facto la prise en compte des risques et donc de leur gestion active. On ne peut en effet passer sous silence un mort (conséquence ultime d’un risque critique qui s’est matérialisé). Ce n’est pas vraiment le cas pour une fraude, financière ou autre, qui peut paraître anodine en termes d’impact par rapport au cas précédent.
Quelles sont les solutions?
TB: Il est possible de contrecarrer l’augmentation du volume et de la complexité au travers de plusieurs processus robustes. Avoir recourt aux nouvelles technologies, établir les cartographies des processus et des risques, mettre en place des méthodologies efficaces, former les utilisateurs, les managers et les contrôleurs puis des structures adéquates sont autant de moyens pour commencer le chemin vers la modernité de la gouvernance.
La complexité de l’exercice étant que différents paramètres à prendre en compte vont au-delà de l’exécution des métiers. Il est nécessaire de s’appuyer sur la grande technicité des agents sur place qui connaissent et maîtrisent leur métier mais éprouvent des difficultés à élaborer des ponts sécurisés transversaux. En d’autres termes, le processus de contrôle ne doit pas être défini par l’expert travaillant dans l’organisation mais par un regard externe et polyvalent. Car dès lors que le contrôle est trop rattaché à l’exécutif, le risque d’édulcoration des rapports devient trop important et l’indépendance devient caduque. L’expertise externe, qui peut venir aussi d’une autre administration, a l’avantage de l’indépendance d’une part et aussi d’apporter une autre vision, une autre culture du risque et du contrôle.
Peut-on en conclure qu’il existe un certain retard dans le secteur public par rapport au secteur privé?
TB: Dans les mécanismes de contrôle et plus particulièrement dans la gestion des risques, certainement. La maturité du privé en la matière fait désormais partie intégrante de la culture des entreprises. Les fraudes ne représentent du moins qu’une infime partie des budgets et l’investissement pour les contrer n’engage à son tour qu’une mince partie du montant des fraudes. Cet investissement est donc relativement faible en comparaison de l’image véhiculée aux citoyens.
PW: Le manque de moyens est un faux débat qui ne prend pas en compte le sens de la mission publique. Nous sous-estimons trop souvent les capacités d’adaptation ainsi que les valeurs d’impacts véhiculées par la fonction publique et le faisceau d’affaires de ces derniers mois devrait nous interroger. N’est-ce pas le moment opportun de faire un bilan, de définir un nouveau modèle GRC (gouvernance, risque et conformité) et de mettre en place un profond plan de transformation? La question est posée.