le controle interne au sein des sdis : genese, enjeux et
TRANSCRIPT
LE CONTROLE INTERNE
AU SEIN DES SDIS :
GENESE, ENJEUX ET PRECONISATIONS
Mémoire en vue de l’obtention
de la FAE de Chef de Groupement
et du Certificat d’Etudes Politiques
Spécialité Information Stratégique
de Sciences-Politiques d’Aix-en-Provence
Promotion 2014/02 - Formation n° 29
Rédacteurs : Lieutenant-Colonel Sylvain KOZAK – SDIS 62
Commandant Stéphane BOUBET – SDIS 78
Commandant Benoît DELAGE – SDIS 77
Commandant Arnaud DUDOUS-PEDRAITA – SDIS 95
Directeur du mémoire ENSOSP Colonel Philippe BARTHOD
Directeur Général du Contrôle Interne
Service Départemental
d’Incendie et de Secours du Nord
Directeur du mémoire IEP Madame Céline LE CORROLLER
Institut d’Etudes Politiques
d’Aix-en-Provence
AVERTISSEMENT
« Les opinions exprimées dans ce mémoire sont propres à leurs auteurs et n'engagent ni
l’Institut d’Etudes Politiques d’Aix-en-Provence, ni l’Ecole Nationale Supérieure des
Officiers de Sapeurs-Pompiers »
REMERCIEMENTS
Nous souhaitons tout d’abord exprimer nos plus sincères remerciements aux personnes ayant
participé à l’encadrement de ce mémoire :
Notre directeur de mémoire, le Colonel Philippe BARTHOD, Directeur Général du
Contrôle Interne du Service Départemental d’Incendie et de Secours du Nord, pour sa
disponibilité, son écoute et son implication tout au long de cette année ;
Nos directeurs départementaux et supérieurs hiérarchiques respectifs pour les
autorisations de déplacements, l’aménagement du service ainsi que la mise à
disposition des moyens facilitateurs à la conduite de ce mémoire ;
Le Commandant Laurent LECOMTE et Madame Céline LE CORROLLER, pour leur
suivi de ce mémoire.
Les entretiens réalisés afin de recueillir des informations, des avis, des vécus et expériences
ont engendré des apports de qualité. A ce titre, nous désirons témoigner notre gratitude aux
interlocuteurs suivants :
Monsieur le Colonel Yvon TREPOS, Adjoint au chef de l’Inspection de la Direction
Générale de la Sécurité Civile et de la Gestion des Crises ;
Monsieur le Lieutenant-Colonel Régis BAUJOIN, Chef du Groupement Logistique du
Service Départemental d’incendie et de Secours de l’Oise ;
Monsieur le Lieutenant-Colonel Philippe SALLE, Chef du Bureau Pilotage, Audit,
Contrôle de la Brigade des Sapeurs-Pompiers de PARIS ;
Monsieur le Lieutenant-Colonel Jean-François FOULON, Chef du Groupement
Analyse Stratégique et Evaluation de la Performance du Service Départemental
d’Incendie et de Secours du PAS-DE-CALAIS ;
Monsieur le Commandant GRAVINA, Brigade des Sapeurs-Pompiers de PARIS ;
Monsieur Philippe CANNARD, Inspecteur Général de l’Administration ;
Monsieur Christophe REYNAUD, Adjoint au Sous-Directeur des Services d’Incendie
et des Acteurs de Secours au sein de la DGSCGC ;
Monsieur le Docteur Philippe DURETTE, intervenant pour l’IFACI ;
Monsieur Charles BONNIEL, Consultant, intervenant au CNAM ;
Monsieur OUALLET, Contrôleur de Gestion au Service Départemental d’Incendie et
de Secours du Val-d’Oise.
Enfin, nous adressons aussi nos remerciements à toutes celles et à tous ceux qui, dans
l’ombre, nous ont apporté leur soutien, leur aide et ont veillé au bon fonctionnement du
service en notre absence.
TABLE DES ABREVIATIONS
AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité
AMF : Autorité des Marchés Financiers
APHP : Assistance Publique des Hôpitaux de Paris
BNP : Banque Nationale de Paris
BSPP : Brigade des Sapeurs-Pompiers de Paris
BMPM : Bataillon des Marins Pompiers de Marseille
CAF : Commun Assessment Framework (cadre d’autoévaluation des
fonctions publiques)
CASDIS : Conseil d’Administration du Service Départemental d’Incendie et de
Secours
CHSCT : Comité Hygiène Sécurité et Conditions de Travail
CIS : Centre d’Incendie et de Secours
CGCT : Code Général des Collectivités Territoriales
CNFPT: Centre National de la Fonction Publique Territoriale
CODIS : Centre Opérationnel Départemental d’Incendie et de Secours
COSO : Committee Of Sponsoring Organizations of the Treadway Commission
CTA : Centre de Traitement de l’Alerte
DDA : Directeur Départemental Adjoint
DDSIS : Directeur Départemental des Services d’Incendie et de Secours
DGSCGC : Direction Générale de la Sécurité Civile et de la Gestion des Crises
EFQM : European Foundation for Quality Management
ENSOSP : Ecole Nationale Supérieure des Officiers de Sapeurs-Pompiers
EPO : Evaluation de la Préparation Opérationnelle
ER/ETARE : ETAblissement REpertorié
ETP : Equivalent Temps Plein
FAE : Formation d’Adaptation à l’Emploi
GPEEC : Gestion Prévisionnelle des Emplois, des Effectifs, et des Compétences
GOC : Gestion Opérationnelle et Commandement
HAS : Haute autorité de Santé
IEP : Institut d’Etudes Politiques
IFA : Institut Français des Administrateurs
IFACI : Institut Français de l’Audit et du Contrôle Internes
IIA : Institute of Internal Auditors
INSIS : Indicateurs Nationaux des Services d’Incendie et de Secours
ISO : International Organization for Standardization
LOLF : Loi Organique relative aux Lois de Finances
LSF : Loi de Sécurité Financière
MAP : Modernisation de l’Action Publique
MOSAR : Méthode Organisée Systémique d’Analyse des Risques
OGM : Organisme Génétiquement Modifié
NPM : New Public Management
PDCA : Plan, Do, Check, Act
PCA : Plan de Continuité d’Activité
POJ : Potentiel Opérationnel Journalier
RAF : Responsable Administratif et Financier
REATE : REorganisation de l’Administration Territoriale de l’Etat
RETEX/ REX : Retour d’Expérience
RGPP : Révision Générale des Politiques Publiques
RIM : Règlement d’Instruction et de Manœuvre
RO : Règlement Opérationnel
RPS : Risques Psychosociaux
SAOIELC : Situation, Anticipation, Objectifs, Idées de manœuvre, Exécution,
Logistique, Commandement
SAT : Surveillance Administrative et Technique
SEC : Securities Exchange Commission
SDACR : Schéma départemental d’analyse et de couverture des risques
SDIS : Service Départemental d’Incendie et de Secours
SMART : Spécifique, Mesurable, Atteignable, Réaliste, Temporellement défini
SOX : Sarbanes Oxley
SPP : Sapeur-Pompier Professionnel
SPV : Sapeur-Pompier Volontaire
SWOT / FFOM Strengths Weaknesses Opportunities Threats / Forces Faiblesses
Opportunités Menaces
SOMMAIRE
INTRODUCTION .................................................................................................................... 1
1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS ....... 5
1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS L’HISTOIRE5
1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE » .................................... 8
1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE
INTERNE : ............................................................................................................................ 15
2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX ...................................... 19
2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION ........................................ 19
2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES DEPUIS
LES LOIS DE DECENTRALISATION ................................................................................. 22
2.3. LE CONTROLE INTERNE DANS LES SDIS ............................................................ 23
3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS ..... 29
3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET DES
TRADITIONS ........................................................................................................................ 29
3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE SYSTEMIQUE ET
EMPIRIQUE ......................................................................................................................... 34
3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE ....................................... 40
4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE 43
4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES DANS UNE
ORGANISATION SDIS MAÎTRISEE .................................................................................... 43
4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE
MANAGEMENT DES RISQUES AU SEIN DES SDIS ......................................................... 57
CONCLUSION ....................................................................................................................... 63
TABLE DES ANNEXES ....................................................................................................... 75
AVANT-PROPOS
« On ne peut se passer d'une méthode pour se mettre en quête de la vérité des choses. »
René Descartes
L’atteinte de l’objectif de la production de ce mémoire nécessite la mise en place
d’une démarche méthodique encore appelée « design de la recherche ». Il convient d’en
définir les différentes étapes au travers de ces prolégomènes. La gestion du temps en fonction
des disponibilités des personnes ressources et des impératifs du groupe stagiaire a d’office
engendré le besoin de planification1 des tâches inhérentes à ce mémoire.
Après avoir réalisé un brainstorming entre nous afin d’évaluer notre connaissance du sujet et
de comparer dans nos expériences communes ce qu’englobe cette notion, la première étape
fut de rassembler des données autour du thème fixé par l’ENSOSP à savoir « Le contrôle
interne au sein des SDIS – Objectifs ? Organisation ? ». Notre démarche exploratoire a
ensuite consisté à opérer une revue de littérature généraliste et à effectuer des entretiens
collectifs de type exploratoire. Ce début de cheminement a engendré la récupération d’une
masse importante de données afin de cerner dans sa globalité la thématique.
Cette phase nous a permis de définir une problématique étayée par des hypothèses de
recherches qui seront explicitées dans l’introduction.
Afin de confirmer ou d’infirmer ces hypothèses de recherche, une démarche de type enquête
comportant un formulaire dématérialisé2, ayant pour cible deux populations différenciées, a
été mise en place.
Le premier échantillon, identifié au travers de l’annuaire 2013-2014 de l’encadrement des
SDIS, comporte uniquement des personnes dont le domaine de compétence est proche des
notions de contrôle, d’audit, de performance et d’évaluation. Nous l’associons donc
volontairement à l’appellation de « spécialistes ». Le second échantillon permet de toucher
une population plus vaste, car visant chaque SDIS, en utilisant pour base de référence
d’anciens stagiaires issus de FAE de chef de groupement à l’ENSOSP.
1 Diagramme de Gantt : Annexe 1
2 Modèle d’enquête : Annexe 2
Les données3 ainsi collectées et analysées ont permis d’avoir une vision de l’état de
l’existant et de valider un certain nombre de points développés au travers des parties
suivantes. Les questions ouvertes en fin d’enquête ont provoqué bon nombre de retours de
recommandations et des conseils proposés par des départements ayant un retour d’expérience
en la matière.
Une légère reformulation du sujet telle que « Le contrôle interne au sein des SDIS :
genèse, enjeux et préconisations » nous a semblé plus opportune pour orienter les réflexions
des futurs lecteurs. En effet, notre objectif consiste surtout à démontrer l’intérêt du contrôle
interne et à proposer des préconisations de mise en œuvre.
Enfin, bien que le sujet fixé soit le cadre du SDIS, il nous est apparu fort intéressant d’élargir
notre champ de vision dans le cadre d’un processus d'analyse comparative (benchmarking),
d'adaptation et d'implantation des meilleures pratiques.
Nous nous sommes ainsi attachés à comprendre ce que d’autres structures ont mis en place,
telles que la fonction publique d’Etat et les militaires via la BSPP (Brigade des Sapeurs-
Pompiers de Paris) et la fonction publique hospitalière via l’APHP (Assistance Publique des
Hôpitaux de Paris).
Cette démarche d’enquête s’est vue complétée par quelques derniers entretiens très
spécifiques et une relecture d’ouvrages et d’articles spécialisés.
3 Principaux résultats de l’enquête : panel des spécialistes : Annexe 3 – panel des généralistes : Annexe 4
1
INTRODUCTION
« Les Français ne maîtrisent pas l'anglais. Une étude réalisée par Education First sur le
niveau de compétence en anglais des adultes classe la France au 35ème rang, parmi soixante
pays »4.
Ainsi se pose la première difficulté à laquelle notre groupe mémoire se confronte en
découvrant, au premier jour de la formation d’adaptation à l’emploi de chef de
groupement, l’énoncé initial du sujet qu’il devra traiter dans ce mémoire de recherche. En
effet, le sujet se présente d’abord en ces termes : « Le contrôle interne dans les Services
Départementaux d’Incendie et de Secours (SDIS) : objectifs et organisation ».
« Contrôle » : ce mot porte presque intrinsèquement, dans notre culture latine, une
connotation de pointage, de censure, de recherche de responsabilité, voire de répression.
Pourtant, dès nos premiers pas sur ce chemin, nous apprendrons qu’il s’agit d’une
traduction infidèle de la notion anglo-saxonne d’« internal control » dont le sens est
« maîtrise intégrée des risques ».
Nous voici rassurés par un vocable que nous pensions connaître, en notre qualité commune
de techniciens du risque. Ceci recèle pourtant encore une approximation qui aurait pu nous
induire en erreur sans une recherche sur la notion de risques, la nôtre étant culturellement
quasi exclusivement orientée vers la notion de risques de sécurité civile. C’est omettre
l’ensemble des circonstances, situations et facteurs environnementaux qui peuvent
conduire une organisation à ne pas remplir ses objectifs. Afin de préciser le sens de mots,
nous faisons le choix de parler de vulnérabilité.
Notre recherche bibliographique nous démontre que ce sujet a déjà fait l’objet d’ouvrages
divers. Les référentiels et outils sont ainsi expliqués tant dans leur utilité que dans leur
déploiement. Pourtant, ces facilités théoriques, si elles peuvent être intégrées facilement
dans un système à construire, se confrontent au principe de réalité des organisations
existantes, fortes et fragiles de leur histoire et fonctionnement.
Dès cette prise de conscience, nous avons choisi de traiter la problématique suivante :
En quoi le contrôle interne peut-il apporter une plus-value dans le fonctionnement
des SDIS ?
4 L’express, le 9 décembre 2013
2
En effet, par la confiance que leur témoigne la population, les SDIS peuvent avoir tendance
à l’autosatisfaction et considérer que leur organisation est efficace, car répondant à
l’objectif opérationnel. Cependant, ce serait se cacher d’une réalité où notre environnement
est en perpétuelle mutation. Citons pour exemple :
- la judiciarisation de la société, qui amène les SDIS à défendre des dossiers
contentieux ;
- la recherche de responsables solvables dans les procédures de droit civil ;
- l’environnement juridique évolutif (évolution des statuts et textes régissant
notre institution et le droit du travail) ;
- les contraintes budgétaires qui pèsent sur les principaux financeurs des
SDIS ;
- l’évolution des menaces externes (risque industriel, biologique, terrorisme).
Ce sont autant de facteurs environnementaux qui peuvent déstabiliser les établissements
publics. Ajoutons à cela des paramètres internes incertains (prise en compte des risques
psychosociaux, problème de fidélisation des sapeurs-pompiers volontaires, etc.).
Nous avons donc, pour répondre à la problématique de la plus-value énoncée plus haut,
défini les questions de recherche suivantes :
- En quoi le contexte impose la mise en place d’une démarche de contrôle
interne ?
- Qu’est-ce que le contrôle interne pour un SDIS en 2014 ?
- Comment le contrôle interne peut participer à la transparence en
matière de bonne gestion de l’argent public ?
- Quelles sont les limites du contrôle interne ?
- Comment la maîtrise des vulnérabilités du SDIS doit être organisée
pour sécuriser l’établissement public, améliorer son fonctionnement et
responsabiliser ses acteurs ?
Pour répondre, nous proposons un mémoire en quatre parties.
Nous nous intéressons d’abord à la genèse du contrôle interne au sein des organisations.
Pour cela, depuis la théorie de l’évolution de Darwin à la naissance de la notion moderne,
d’abord financière, puis transverse et systémique, nous démontrons comment le 21ème
siècle présente un environnement orientant fortement chaque entité vers le développement
de la maîtrise de ses vulnérabilités.
Ensuite, nous étudions dans un état des lieux, les pratiques de certaines administrations
partenaires des SDIS. D’abord la fonction publique d’Etat : dans l’armée et plus
précisément à la Brigade des Sapeurs-Pompiers de Paris (BSPP), puis dans la fonction
publique hospitalière et en particulier à l’Assistance Publique des Hôpitaux de Paris
(APHP). Nous explorons aussi comment les lois de décentralisation ont imposé de fait aux
collectivités territoriales cette démarche participant à la bonne gestion de l’argent public.
3
Les SDIS, enfin, ont d’ores et déjà des pratiques administratives pouvant relever en partie
du contrôle interne, sans le nommer, voire parfois sans le savoir, alors que leurs actions
opérationnelles en témoignent une culture partagée.
Sur ces constats, la troisième partie développe en quoi un contrôle interne pertinent peut
devenir un atout stratégique pour les SDIS. En effet, un détour par la théorie des
organisations de Mintzberg nous démontrera des fragilités sous estimées de nos
institutions. Pour faire face, la gouvernance du SDIS peut se doter par le contrôle interne
d’un outil puissant d’organisation et de sécurisation de ses processus. De même, en
fédérant l’ensemble des acteurs autour d’un objectif commun, c’est l’occasion de redéfinir
les périmètres des responsabilités de chaque niveau hiérarchique dans un souci constant
d’efficacité, de transparence et de meilleure gestion. Le contrôle interne met par
exemple du lien entre les services, groupements, et la direction. Il facilite des relations
constructives vers un objectif commun. Cependant, nous étudierons aussi les écueils
possibles et temporiserons les plus enthousiastes par l’énoncé de limites de ce système
prometteur.
Enfin, nous terminons par des préconisations de mise en œuvre du contrôle interne dans
un SDIS. Des outils et des référentiels éprouvés sont présentés afin d’initier, développer et
adapter une organisation mettant l’accent sur les vulnérabilités par leur cartographie, leur
maîtrise et une démarche globale d’amélioration continue. L’objectif demeure la
performance et la modernisation de nos organisations. Des recommandations de
déploiement seront aussi formulées dans l’objectif de fournir au lecteur une marche à
suivre pragmatique dans laquelle les notions complémentaires de contrôle et audit interne,
de même que les audits externes sont liés.
A l’heure des incertitudes croissantes (contraintes budgétaires, réforme territoriale, travaux
sur les emplois supérieurs de direction, mais aussi déstabilisation politique de régions
entières du globe, montée du terrorisme), le service public de secours doit se doter d’un
mode d’organisation moderne et efficace garantissant de façon raisonnable l’atteinte de
ses objectifs. L’encadrement des SDIS, dans la ligne tracée par leur gouvernance, n’a pas
d’autres choix que de se former à ces formes de management par la qualité et l’approche
par les vulnérabilités.
Les officiers de sapeurs-pompiers, les personnels administratifs en responsabilité, les
directeurs et directeurs adjoints des SDIS, se doivent désormais de connaitre et adapter ces
formes de gestion intégrée. Ces méthodes sont héritées des organisations financières, puis
des industries cotées en bourse. En effet, par nature, ces systèmes sont historiquement plus
exposés aux variations de leur environnement politique, économique, sociale,
technologique, écologique et législatif.
5
1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS
« Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes,
mais celles qui s’adaptent le mieux aux changements. »
Charles Darwin
En quoi le contexte impose la mise en place d’une démarche de contrôle interne ?
Cette question de recherche va trouver sa réponse au fil des paragraphes suivants. C’est
notamment au travers de l’évolution sociétale et de ses contraintes que va naître cette
démarche qui va aboutir au contrôle interne contemporain.
1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS
L’HISTOIRE
1.1.1. Une maîtrise des risques pour s’assurer un avenir
D’origine anglo-saxonne, il est nécessaire d’évoquer avant tout « l’internal
control » à travers la « maîtrise des risques », comme l’assure la traduction de
l’anglais, plutôt que d’utiliser à tort en français l’expression de « contrôle
interne ». Son sens premier suggère en effet un inventaire des risques présents et
futurs ainsi qu’une prise de décision en tenant compte de leurs impacts potentiels
et de leurs probabilités de survenance. La survie d’une espèce, le bon
fonctionnement d’une structure ou la recherche de performance sont à ce prix.
Selon la théorie du naturaliste Charles Darwin5, l’intégralité des êtres vivants est le
résultat d’une série de transformations biologiques appelée évolution. Au travers
du principe de la sélection naturelle, il expose l’idée selon laquelle les êtres vivants
les mieux adaptés à leur environnement auront des facilités à survivre et à se
reproduire en transmettant ces caractéristiques à leur progéniture. Par contre, les
moins adaptés auront tendance à disparaître.
Ce besoin de prise en compte des facteurs extérieurs pour survivre ou continuer de
fonctionner est aussi applicable aux organisations qui nous entourent. Elles sont
soit issues du domaine privé et doivent s’adapter à la concurrence des marchés,
soit public et réagissent en fonction des contraintes nouvelles d’ordres politiques,
budgétaires, etc. Le parallèle avec le principe biologique de l’homéostasie est
inévitable.
5 Charles Darwin, naturaliste britannique (Shrewsbury, Shropshire, 1809-Down, Kent, 1882), auteur notamment en 1859 De l'origine des espèces par voie de
sélection naturelle, Cet ouvrage démontre le rôle de la lutte pour la vie et de la sélection naturelle dans l'évolution des faunes et des flores.
6
En effet, l’homéostasie6 est le « processus de régulation par lequel
l'organisme maintient les différentes constantes du milieu intérieur (ensemble
des liquides de l'organisme) entre les limites des valeurs normales ou encore
caractéristique d'un écosystème qui résiste aux changements (perturbations) et
conserve un état d'équilibre ».
Vivre et se développer sont des objectifs imposant une adaptation permanente de
l’entité à son environnement.
1.1.2. Un contrôle pour assurer une bonne gestion
1.1.2.1. De la Grèce antique à l’Empire romain
Concernant la civilisation grecque, Aristote observe que « dix logistae
(vérificateurs) et dix euthuni (examinateurs de comptes) étaient choisis au sort.
Chaque responsable public devait leur rendre des comptes. Ils présentaient leurs
résultats à la cour. Quiconque détournait des fonds devait rendre dix fois la
somme dérobée. Dans le cas d’erreurs administratives, la cour l’évaluait et le
responsable devait la rendre sur un délai de 9 mois, à défaut le remboursement
doublait ».
Concernant l’Empire romain, l’auditus (audit), impose aux responsables publics de
réaliser un compte rendu de leurs activités devant une cour de justice.
De longue date, il est donc apparu capital pour les autorités en place d’établir des
règles de contrôle, d’information et de transparence vis-à-vis de la population.
1.1.2.2. Des Carolingiens à la Révolution française
Les missi dominici, littéralement « envoyés du maître », sont institués par un
capitulaire7 de Charlemagne. Les missi, envoyés spéciaux des souverains
carolingiens, contrôlent les représentants du pouvoir royal et notamment les
comtes au niveau régional. Ils permettent au roi de réaliser des inspections, de
contrôler le bon fonctionnement de l’administration locale et de vérifier la stricte
application locale des mesures royales.
Après les missi dominici et la logique de gestion administrative, Philippe Auguste,
via l’ordonnance8 de 1190, met en place une logique de gestion politique et
managériale, notamment, par une procédure de reddition des comptes publics.
Provenant de la cour du roi (curia regis), ses proches sont en charge de lui apporter
l’aide nécessaire à l’administration de son domaine et à la gouvernance de ses
sujets.
6 Dictionnaire Larousse en ligne
7 Capitulaire Admonitio generalis de 789 d’Aix-la-Chapelle
8 Ordonnance testament du 24 juin 1190
7
La nécessité de bonne gestion des deniers publics se poursuit et connaît des
évolutions notables sous Saint Louis, Philippe V le Long, et au Moyen Âge puis
sous la Révolution française.
C’est d’ailleurs dans la Déclaration des Droits de l’Homme et du Citoyen
qu’apparaissent deux articles démontrant un souci de transparence et de contrôle
du peuple vis-à-vis du pouvoir en place :
« Tous les citoyens ont le droit de constater par eux-mêmes ou par leurs
représentants, la nécessité de la contribution publique, de la consentir librement,
d’en suivre l’emploi, d’en déterminer la quotité, l’assiette, le recouvrement et la
durée »9.
« La société a le droit de demander compte à tout agent public de son
administration »10
.
1.1.2.3. De Napoléon à la décentralisation
Par la loi du 16 septembre 1807, Napoléon souhaite rendre active une juridiction
financière supprimée lors de la Révolution (les chambres des comptes) et organise
la Cour des Comptes que nous connaissons aujourd’hui.
En 1982, grâce à la loi dite de décentralisation11
, apparaissent les chambres
régionales des comptes. Ces juridictions administratives financières et
indépendantes ont vocation à procéder à la vérification des comptes des
collectivités locales et à statuer sur les conflits correspondants.
A travers notre histoire, des personnes, des procédures et des structures se sont
employées à limiter l’impact des risques de notre environnement et à apporter la
preuve d’une bonne gestion via une comptabilité, un contrôle et une diffusion de
l’information.
9 Article 14 de la déclaration des droits de l’homme et du citoyen de 1789
10 Article 15 de la déclaration des droits de l’homme et du citoyen de 1789
11 Loi n°82-213 du 2 mars 1982 modifiée relative aux droits et libertés des communes, des départements et des régions
8
1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE »
1.2.1. Au niveau international
1.2.1.1. Définitions du contrôle interne et du risque selon l’Institute of
Internal Auditors (IIA)
Afin d’éviter toute interprétation quant aux définitions, nous souhaitons reprendre
les définitions de l’IIA qui font mondialement référence dans le domaine de l’audit
et du contrôle internes.
- « Contrôle : toute action engagée par la direction, le conseil d’administration
et d’autres parties pour gérer le risque et accroître la probabilité que les
objectifs définis seront atteints. La direction planifie, organise et dirige
l’exécution des actions qui apporteront l’assurance raisonnable que ces
objectifs seront atteints.
- Risque : possibilité qu’un événement se produise et qu’il ait des conséquences
sur la réalisation des objectifs. Le risque se mesure en termes de conséquences
et de probabilité. »
Plusieurs définitions du risque existent mais elles se retrouvent toutes en terme de
contenu. Ainsi, d’après Ortwin Renn12
, le terme risque exprime « la vraisemblance
qu’un état indésirable de la réalité puisse survenir comme le résultat
d’évènements naturels ou d’activités humaines ». Selon Bernard Couturier13
, le
risque est « le résultat d’une comparaison implicite entre ce qui est attendu, ce qui
est prévu, ce qui est conceptualisé et le résultat réel qui va se produire ». Enfin,
selon la norme ISO 31000, le risque est l’effet de l’incertitude sur l’atteinte des
objectifs (la norme ISO 31000 est un élément développé dans la 3ème partie).
Dans la suite de ce mémoire, nous utiliserons volontairement le terme de
« vulnérabilité » pour identifier tout risque repris par la définition de l’IIA.
L’objectif est de ne pas confondre avec les risques de « sécurité civile ». En effet,
le monde sapeur-pompier manipule cette notion de risque en réalisant surtout la
liaison avec le domaine opérationnel. Il ne faut donc pas créer la méprise quant à
ce terme.
12 Professeur de sociologie de l’environnement et de l’évaluation de l’impact des technologies à l’Université de Stuttgart.
13 Maître de conférences, Directeur de l’Institut des Risques Industriels, Assurantiels et Financiers (IRIAF), Responsable du Master Statistique appliquée aux
risques en assurances dommages et santé - Université de Poitiers
9
1.2.1.2. Définition selon le COSO
Depuis 20 ans, le référentiel COSO14
est internationalement utilisé dans le
domaine du contrôle interne. Face à l’évolution des contextes économique et
réglementaire ainsi qu’à l’apparition ou à la mutation des risques, la matrice du
COSO a été actualisée. Ainsi, le COSO 2013 présente la définition15 suivante du
contrôle interne : « Le contrôle interne est un processus mis en œuvre par le
conseil, le management et les collaborateurs, et qui est destiné à fournir une
assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au
reporting et à la conformité ».
Il en résulte que le contrôle interne est l’affaire de tous quel que soit son rôle
(opérationnel au sens de productif, support c’est-à-dire expert ou conseiller dans
les domaines de performance et de contrôle).
La responsabilisation des personnels est donc un facteur clé de la réussite. La
figure 1 schématise les différentes composantes du contrôle interne dans une
structure.
Figure 1 - Référentiel COSO 2013
14 Committee Of Sponsoring Organizations of the Treadway Commission
15 Coso 2013, Une opportunité pour optimiser votre contrôle interne dans un environnement en mutation, Pocket Guide, IFACI, juillet 2013
10
1.2.2. Exemple des Etats-Unis et de la crise financière contemporaine
Aux Etats-Unis, la loi Sarbannes-Oxley (dite loi SOX) a été ratifiée le 30 juillet
2002 suite aux scandales tels qu’Enron16
et Tyco17
. Son objectif est de redonner
entière confiance aux investisseurs et aux épargnants.
Son principe repose sur les règles de comptabilité et la sécurité financière des
entreprises. Elle leur impose la mise en place d’un contrôle interne destiné à
empêcher la fraude, le recours à des informations financières erronées ainsi qu’à
la perte de données. Cette démarche de contrôle, inscrite dans le temps, basée sur
la responsabilité des dirigeants, comportant des processus d’alerte, doit
impérativement être validée par un organisme d’audit externe.
Rapidement, l’impact de cette loi s’est étendu internationalement aux sociétés non
américaines souhaitant entrer en bourse notamment lors du dépôt du dossier auprès
de la SEC (Security Exchange Commission - autorité américaine des marchés
financiers). En France, la loi SOX a donné naissance à la loi de sécurité financière.
1.2.3. Exemple de l’Union Européenne
1.2.3.1. 2006 : la « 8ème
directive »
Cette directive européenne18
impose la création d’une instance spécialisée, placée
sous la responsabilité des conseils d’administration ou des conseils de
surveillance. Dans les faits, elle crée un comité d’audit chargé du suivi et de la
surveillance du processus d’élaboration des informations financières et de
l’examen des comptes.
Son objectif est aussi de veiller à l’efficacité des processus de contrôle interne et à
la prise en compte de la réduction impérative des vulnérabilités. Le lien entre le
contrôle interne et la gestion de ces vulnérabilités est donc un objectif capital de
cette directive. Le comité d’audit doit ensuite impérativement réaliser une mesure
de l’efficacité des processus du contrôle interne mis en place par la gouvernance.
16 Société Américaine qui achetait et revendait de l'électricité. En 2001, elle fit faillite suite à des pertes engendrées par des opérations spéculatives maquillées
en bénéfices via des manipulations comptables. Cette situation provoqua aussi la faillite d'Arthur Andersen qui auditait les comptes d’ENRON.
17 Société Américaine dont le PDG et plusieurs dirigeants ont illégalement acheté des biens fonciers et des œuvres d'art avec l’argent de l’entreprise sans
information des actionnaires et des autorités fiscales.
18 Directive européenne n°2006/43/CE du 17 mai 2006 dite 8ème directive relative au contrôle légal des comptes annuels et des comptes consolidés
11
1.2.3.2. 1988 – 2010 : les « accords de Bâle » relatifs aux banques
Les trois accords successifs de Bâle ont des finalités bancaires qui ont évolué au fil
du temps, ayant pour fil conducteur la stabilité du système bancaire. L’objectif
principal tourne autour de la notion de gestion de fonds propres et de risque des
marchés (Bâle I19
).
Ensuite sont apparus, notamment, les besoins de renforcer l’appréciation des
risques bancaires réels et d’améliorer le processus interne de gestion de ces risques
et de leur surveillance (Bâle II20
).
Enfin, parmi les objectifs de Bâle III21
de 2010, consécutifs à la crise des
« subprimes », figure celui de réduire à nouveau la notion de risque économique
auquel s’expose le monde bancaire en augmentant significativement leurs fonds
propres servant à les couvrir.
Le domaine du contrôle interne est essentiellement issu des domaines de la finance
au sein desquels il a fixé bon nombre de règles. Regardons désormais à l’échelon
national quel est son impact.
1.2.4. Zoom sur la France
1.2.4.1. Du point de vue des orientations des politiques publiques
Le new public management ou nouvelle gestion publique
La nouvelle gestion publique ou nouveau management public (NPM signifiant
new public management en anglais) provient d’un concept des années 70.
Ce dernier présente l’idée selon laquelle il faut rapprocher la gestion du domaine
public à celle du privé animée par la culture du résultat22
. Les notions de niveau de
pilotage et de niveau d’exécution y sont clairement définies.
De même, la précision des outils et les pratiques du privé y sont louées. Parmi les
multiples composantes du nouveau management public s’affichent la maîtrise des
coûts, la notion de rapport coût/efficacité et l’évaluation continue grâce aux
indicateurs de gestion23
.
19 Accords de Bâle I de 1988
20 Accords de Bâle II publiés le 26 juin 2004 : convergence internationale de la mesure et des normes de fonds propres
21 Accords de Bâle III publiés le 16 décembre 2010 : dispositif réglementaire mondial visant à renforcer la résilience des établissements et systèmes bancaires
22 Chappoz Yves, Pupion Pierre-Charles, « Le New Public Management », Gestion et management public 2/ 2012 (Volume 1/n°2), p. 1-3
23 François-Xavier Merrien[ - Lien social et Politiques n° 41 - printemps 1999
12
Révision générale des politiques publiques, réorganisation de
l’administration territoriale de l’Etat, modernisation de l’action
publique
La RGPP (révision générale des politiques publiques) de juillet 2007 avait surtout
pour objectifs concomitants de réformer les structures de l’Etat pour les
moderniser et diminuer les dépenses publiques.
La REAT (réorganisation de l’administration territoriale de l’Etat) a impacté les
directions départementales et régionales et modifié le poids des représentants de
l’Etat et particulièrement celui du préfet de région. Concernant l’exemple du
contrôle de légalité, la diminution des effectifs a eu pour effet corollaire un
recentrage de cette activité sur les actes à fort enjeu ou jugés les plus sensibles.
Cette démarche a donc nécessité une analyse interne des vulnérabilités liées à ces
actes, une modification des procédures, une acceptation du risque au sens général.
Le contrôle interne, là encore, sans être nommé, a produit son effet.
La MAP (modernisation de l’action publique) de 2012 visait un éventail plus large
que l’Etat. En effet, les collectivités territoriales, malgré la libre administration qui
les caractérise, étaient impactées avec toujours en toile de fond l’aspect financier et
la volonté d’une consolidation et d’une amélioration de la qualité des services
publics. L’évolution maîtrisée de notre environnement public ne peut se faire
qu’en ayant préalablement mesuré la capacité à atteindre l’objectif dans un
contexte de modification des paramètres extérieurs.
1.2.4.2. Du point de vue juridique
2001 : Loi organique relative aux lois de finances
La LOLF (loi organique relative aux lois de finances24) promulguée en 2001
modifie significativement la gestion de la politique publique en général et
l’architecture budgétaire de l’Etat en particulier. Elle s’applique depuis 2006 à
l’ensemble de l’Administration.
Elle supprime le cloisonnement traditionnel des budgets par ministère au profit
d’une approche budgétaire par programmes, missions et actions, prenant en
compte les vulnérabilités pouvant nuire à l’atteinte des objectifs.
La volonté de travail en transversalité au sein des ministères, de budget maitrisé,
d’audit interne, de contrôle interne et de gestion de ces vulnérabilités sont ainsi
clairement affichés. C’est d’ailleurs l’objet du document de politique
transversale (DPT) de la sécurité civile25
, annexe du projet de loi de finance, qui
répartit par projet l’enveloppe budgétaire nécessaire.
24 Loi organique relative aux lois de finances n°2001-692 du 1er août 2001
25 Document de politique transversale – projet de loi de finances pour 2014 – Sécurité civile
13
Les axes transversaux de la politique, les objectifs et les indicateurs de
performance retenus sont clairement identifiés et mentionnés dans les DPT.
En 2007 apparaît l’inspection générale de l’administration territoriale. Ses
principales missions sont de l’ordre de l’inspection, de l’audit interne et de
l’évaluation de la politique publique. La volonté de transparence et d’amélioration
de la gestion publique affichée par les concitoyens a donc engendré la mise en
place du contrôle interne budgétaire, comptable et de performance.
2003 : Loi de sécurité financière
La loi SOX des Etats-Unis a impacté l’Europe et particulièrement les groupes
ayant des intérêts aux Etats-Unis. En France, la LSF (Loi de Sécurité Financière)
du 1er août 2003 a été comparée à la loi Sarbanes-Oxley bien que son périmètre
soit plus étendu. Etant entendu que dans le domaine bancaire en général, la
croissance et la création de valeur sont issues d’une certaine prise de risque, le
manque de gestion et/ou de maîtrise peut contrarier l’atteinte des objectifs fixés.
La LSF a donc mis en place un Haut Conseil du Commissariat aux Comptes et
l’Autorité des Marchés Financiers (AMF).
La loi de sécurité financière codifie l’obligation pour le président du conseil
d’administration d’une société de rendre compte dans un rapport des « conditions
de préparation et d’organisation des travaux du conseil ainsi que des procédures
de contrôle interne mises en place ». Ce sont donc le conseil d’administration et le
directoire qui sont responsables collectivement pour les comptes. En revanche,
c’est le président ou le directeur général d’une société cotée qui engage alors sa
responsabilité.
La LSF se différencie cependant de la SOX qui s’intéresse au seul contrôle interne
comptable et financier et non au contrôle interne au sens large.
En France, le champ d’application du contrôle interne n’a pas été clairement
délimité par la LSF. L’AMF a donc créé un groupe de travail afin d'arrêter un
cadre de référence de contrôle interne. Ce dernier a été publié en mai 2006.
Il comprend les principes généraux du contrôle interne, complété par un guide
d’application pour les procédures de contrôle interne relatives à l’élaboration et au
traitement de l’information financière et comptable publiée26
.
En conséquence, l’AMF encourage vivement l’utilisation de ce cadre de référence
et du guide d’application à la globalité des structures faisant appel public à
l’épargne en France.
26 AMF (2010), Cadre de référence sur les dispositifs de gestion des risques et de contrôle interne
14
Pour autant, il convient d’être prudent au regard de l’actualité dans le domaine de
la finance et du contrôle interne. L’affaire opposant Jérôme Kerviel à la Société
Générale a fait débat quant à la prise de risques des traders et des potentiels
manques de contrôle de leur hiérarchie. Peter Wirtz27 suggère au travers d’un
entretien de Philippe Monin28 « que les défaillances sont moins à rechercher au
niveau de la gouvernance stricto-sensu qu’au niveau du contrôle interne ;
qu’aucun dispositif de contrôle interne, aussi sophistiqué soit-il, n’empêchera la
créativité individuelle ; et qu’il serait utile d’étudier plus précisément le rôle des
incitations au sein de la profession des traders ». Doit-on en conclure
définitivement que le contrôle interne a des limites ?
1.2.4.3. Du point de vue du conseil et de la formation : L’IFACI (Institut
Français de l’Audit et du Contrôle Internes)
L’IFACI est une association, datant de 1965, affiliée à l’IIA, organisme
mondialement compétent dans le domaine idoine. Les missions, issues de ses
statuts29, lui confèrent un rôle dans la représentation des auditeurs internes, dans
l’encouragement de leur développement et la promotion des processus des
contrôles internes efficaces. Connue et reconnue, sa vocation est d’être
l’interlocuteur des administrations, des organisations professionnelles, des
institutions dans le domaine de l’audit et du contrôle internes. Ceci passe donc par
le développement de standards professionnels et la recherche et la diffusion des
bonnes pratiques via la formation et la certification.
1.2.4.4. Du point de vue de la sécurité civile et des SDIS
Comme évoqué précédemment, toute mise en œuvre du contrôle interne nécessite
une analyse préalable des vulnérabilités.
Cette notion est reprise dans les missions des préfets de zone de défense et de
sécurité et doit servir de base à « la préparation et à l’exécution des mesures de
sécurité nationale au sein de la zone de défense et de sécurité30
».
Ce point crucial est aussi présent dans la loi de modernisation de la sécurité
civile31
: « La politique de sécurité civile doit permettre de s'attaquer résolument
aux risques en les anticipant davantage, de refonder la protection des populations
et de mobiliser tous les moyens encourageant les solidarités. »
27 Peter Wirtz est professeur à l’université Lyon 2, membre du centre de recherche COACTIS et chercheur associé à l’IFGE. Il est aussi coresponsable du master
« Finance », d’où est diplômé le trader de la Société Générale Jérôme Kerviel. Auteur d’ouvrages et d’articles sur la politique financière et la gouvernance
d’entreprise, il a publié récemment Les meilleures pratiques de gouvernance d’entreprise (La Découverte).
28 Philippe Monin, « Retour sur l'affaire Société Générale » Entretien avec Peter Wirtz, Revue française de gestion, 2008/3 n° 183, p. 131-134. DOI :
10.3166/rfg.183.131-134
29 Article 2 des statuts de l’IFACI
30 Article R. 122-4 du décret n° 2013-1112 du 4 décembre 2013 relatif à la partie réglementaire du code de la sécurité intérieure
31 Article 3 de la loi n° 2004-811 du 13 août 2004 de modernisation de la sécurité civile
15
Pour autant que revienne régulièrement cette terminologie du risque, elle n’est ici
axée qu’en direction des risques de sécurité civile. Les vulnérabilités n’étant pas le
cœur du sujet, le contrôle interne n’apparait pas. On pourrait pourtant le percevoir
au travers des documents structurants d’un SDIS notamment grâce au SDACR
(schéma départemental d’analyse et de couverture des risques) et au règlement
opérationnel.
En effet, le CGCT (code général des collectivités territoriales) fixant les missions
des SDIS précise qu’ « ils concourent avec les autres services et professionnels
concernés, à la protection et à la lutte contre les autres accidents, sinistres et
catastrophes, à l'évaluation et à la prévention des risques technologiques ou
naturels ainsi qu'aux secours d'urgence et dans le cadre de leurs compétences à la
prévention et l'évaluation des risques de sécurité civile 32
. A ce titre, un SDACR
dresse l’inventaire des risques de toute nature pour la sécurité des personnes et
des biens auxquels doit faire face le SDIS dans le département et détermine les
objectifs de couverture de ces risques par ce service33
».
Le SDACR doit-il « simplement » se borner aux risques de sécurité civile ou
prendre aussi en considération l’intégralité des vulnérabilités du SDIS ? Enfin, le
règlement opérationnel34
est un document incontournable pour le pilotage
stratégique et la mise en place efficiente des processus. En réalisant ce pilotage
stratégique, en recherchant l’efficience et la performance à travers des processus,
nous sommes bien là au cœur du contrôle interne.
1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE
INTERNE :
1.3.1. Des vulnérabilités en perpétuelle évolution
L’environnement dans lequel évolue toute structure, privée ou publique, connait
imparablement des évolutions et des contraintes nouvelles. Un SDIS n’échappe
pas à la règle. Les vulnérabilités auxquelles sont confrontées ces structures
évoluent elles aussi en permanence.
Cette mutation contextuelle doit faire l’objet d’une veille permettant une
adaptation nécessaire à la poursuite de l’atteinte des objectifs. Cette veille est
d’ailleurs au cœur des outils de diagnostic stratégique comme le « PESTEL ».
32 Article L1424-2 du code général des collectivités territoriales
33 Article L1424-7 du code général des collectivités territoriales
34 Article L1424-4 du code général des collectivités territoriales
16
Cet outil permet une analyse de l’environnement en ciblant les vulnérabilités et
opportunités que l’entreprise peut voir surgir au travers de quelques grandes forces
structurantes : la politique, l’économie, le social, la technologie, l’environnement
et la législation.
Le recours à cette vigilance induite par le contrôle interne doit permettre à un
SDIS d’atteindre ses objectifs malgré l’évolution de son environnement car il en
aura mesuré les vulnérabilités, leurs probabilités de réalisation et leurs impacts.
Figure 2 - Utilisation de la matrice PESTEL liée à la structure SDIS
17
1.3.2. Une société de moins en moins tolérante face aux risques
Pendant très longtemps, les catastrophes naturelles furent attribuées à la
volonté divine ou à la providence.
Depuis le XIXème siècle, l’évolution sociologique a conduit à la modification
de la perception de la responsabilité qui devient le fait de l’Homme.
De nos jours, sans tomber dans les généralités de la judiciarisation de notre
société, toujours plus à la recherche des responsabilités, deux expressions
contemporaines y font écho : le risque zéro et le principe de précaution.
Selon François Ewald35
, paradoxalement, nombreux sont les français
souhaitant une société tendant vers le risque zéro à investir en bourse, à
souhaiter une baisse de la mortalité routière sans vouloir modifier leur
comportement (téléphone au volant, vitesse …).
Plus généralement à travers le monde, cette tendance à vouloir diminuer le
niveau de vulnérabilité et sécuriser notre environnement est peu convaincante
pour une partie de ses occupants bravant les recommandations et les interdits.
Ainsi, les comportements addictifs, les déplacements dans des zones du monde
non sécurisées, les loisirs à risques, la recherche de sensations extrêmes sont en
augmentation.
Parfois, le risque est clairement identifié mais les décisions unanimes et actions
concrètes tardent et la probabilité de réalisation augmente (réchauffement
climatique). Se pose alors la question de « l’acceptabilité du risque »36
dans le
domaine des catastrophes naturelles ou de la santé publique par exemple.
Malgré la richesse des réglementations, le fait de tendre vers le risque zéro
implique de facto qu’un risque résiduel et quasi irréductible demeure. Sommes-
nous prêt à accepter cette incertitude et ses conséquences ? Cette incertitude
est-elle acceptable quel que soit le domaine visé (santé publique, OGM,
nucléaire, gaz de schiste …) et quelle qu’en soit la cible (enfants, personnes
âgées, biens …) ?
Face à cette réalité exposée régulièrement par nos décideurs de l’inexistence du
risque zéro et donc de l’impossibilité à assurer une protection globale s’est
développée une autre notion : celle du principe de précaution.
35 Philosophe et directeur de la recherche et de la stratégie à la Fédération française des sociétés d'assurances. Il est aussi spécialiste de l'étude du risque dont les
propos ont été publiés le 6 février 2003 dans un article intitulé "Les Français voudraient le risque zéro".
36 Marcel Calvez, Professeur de sociologie à l’UFR Sciences sociales de l’Université Rennes 2, auteur de Le seuil façonnable d’acceptabilité culturelle du risque
18
La définition du concept de principe de précaution est que « l’absence de
certitude, compte-tenu des connaissances scientifiques et techniques du
moment, ne doit pas retarder l’adoption de mesures effectives et
proportionnées visant à prévenir un risque dans les domaines de
l’environnement37
».
Il touche dorénavant les domaines de la santé et de l’alimentation et poursuit
son extension. Le principe de précaution sert donc à s’opposer à l’éventualité
de réalisation d’un risque dans un domaine mal maitrisé, mal contrôlé.
En conclusion, le contrôle interne contemporain est une démarche liée aux
évolutions des aspects humains et sociétaux. Les nécessités modernes de
bonne gestion, de transparence, d’efficience semblent imposer sa mise en
place. Il convient désormais de s’interroger sur l’existant en réalisant un état
des lieux.
37 Article L110-1 du code de l’environnement
19
2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX
« Connais-toi toi-même et tu connaitras l’univers et les dieux ».
Inscription à l’entrée du temple de Delphes, Grèce antique.
Afin de mieux appréhender le champ d’application du contrôle interne défini dans
notre travail de recherche, nous avons engagé une démarche exploratoire axée sur
l’analyse des pratiques entre les différentes entités ayant déjà organisé une telle
démarche.
Cette partie s’attache donc à répondre la question de recherche : Qu’est-ce que le
contrôle interne pour un SDIS en 2014 ?
Ainsi, nous avons choisi d’étudier la place du contrôle interne dans
l’Administration. Nous avons analysé ensuite les conséquences des lois de
décentralisation sur l’organisation de la fonction publique territoriale. Enfin, par
l’enquête de terrain menée auprès des SDIS de France, nous avons cherché à
comprendre la formalisation actuelle de cette fonction transverse en leur sein.
2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION
Par décret38, « dans chaque ministère, un dispositif de contrôle et d'audit internes,
adapté aux missions et à la structure des services et visant à assurer la maîtrise
des risques liés à la gestion des politiques publiques dont ces services ont la
charge, est mis en œuvre ». Ainsi, la volonté de l’Etat de maîtriser, de façon
intégrée, les risques de chacune de ses activités est clairement affirmée et
organisée. Nous avons choisi de mettre l’accent sur les pratiques de deux
partenaires privilégiés des SDIS en ce domaine : la BSPP et les services
hospitaliers, en particulier l’APHP.
2.1.1. La notion de contrôle interne à la BSPP
Respectant scrupuleusement l’organisation militaire, l’Armée de Terre instaure
une réforme de son système interne de Surveillance Administrative et
Technique (SAT).
38 Décret n° 2011-775 du 28 juin 2011 relatif à l'audit interne dans l'administration, art1
20
En effet, le chef d’état-major de l’Armée de Terre39, reprenant in extenso la lettre
de référence du chef d’état-major des armées portant cadre du contrôle interne
dans les armées, directions et services interarmées, rappelle les principes
fondateurs de cette action :
Identification des risques ;
Responsabilisation des acteurs au plus petit niveau ;
Contrôles ciblés.
L’annexe 1 de cette directive prévoit en particulier les actions de contrôle interne
relevant des chaînes organiques ou fonctionnelles.
C’est dans ce cadre organisé, et en vue d’optimiser le poids du contrôle sur chaque
structure, que la BSPP a réorganisé son propre système de contrôle interne, passant
entre autres du mythique Contrôle d’Aptitude Opérationnelle (CAO) à
l’Evaluation de la Préparation Opérationnelle (EPO). Notons aussi la forte
pression psychologique liée à la perte tragique en opération de cinq militaires du
rang en septembre 2002 sur la commune de Neuilly Sur Seine. Cette expérience
traumatisante avait dès lors mis en exergue la nécessaire preuve de bonne gestion
et de bonne formation de chacun des 8500 militaires de l’institution.
Ainsi, par le biais de son bureau pilotage, audit et contrôle, le général
commandant la BSPP a organisé la mise à disposition de tableaux de bord
différents et interconnectés selon les différents niveaux de responsabilité de la
BSPP (centre de secours, compagnie, groupement, échelon central) permettant à
chacun de conduire son action de façon éclairée. A noter que cette notion est une
application du principe de subsidiarité. En effet, on reconnaît l’efficacité de la
décision administrative au plus petit niveau de responsabilité possible. Ceci
implique tacitement le principe de suppléance qui veut, en complément, que
lorsqu’une entité ne peut décider d’une action publique efficacement, une entité
supérieure doit la soutenir et prendre le relais.
De plus, les visites d’inspection technique, élargissant le cadre du contrôle aux
dimensions des matériels, des ressources humaines et des infrastructures
complètent le dispositif et sont l’occasion d’un temps de parole entre
l’encadrement et le personnel.
Des comptes rendus formalisés sont rédigés, puis transmis aux structures ayant fait
l’objet de cet audit interne afin d’assurer la traçabilité de la démarche et d’orienter
le cas échéant chaque domaine vers une optimisation de ses ressources.
39 Directive du contrôle interne dans l’armée de terre, 05 juillet 2011
21
Enfin pour encore mieux cibler les efforts à fournir, la cartographie des
vulnérabilités est actuellement en cours de rédaction à la BSPP.
Ce document permettra sans nul doute d’orienter le travail du bureau pilotage,
audit et contrôle vers des faiblesses possibles et souvent mal identifiées.
2.1.2. Le contrôle interne en réponse au risque juridique dans les établissements
de soin
Dans un schéma similaire à celui des armées, les établissements de soin ont été
formellement incités à organiser et formaliser un dispositif de contrôle interne.
Cependant, les causes initiatrices semblent différentes. En effet, nous remarquons
un aspect de protection juridique plus marqué. Les « affaires » du sang
contaminé40, des maladies nosocomiales, de la distribution de lots contaminés
d’hormones de croissance et, en parallèle, la reconnaissance de la responsabilité
des personnes morales41 ont fortement influé sur cette orientation stratégique.
Nous assistons à une judiciarisation sociétale dans laquelle les services de santé,
comme les services de secours, doivent rendre compte des moyens mis en œuvre
pour atteindre leurs objectifs et satisfaire les attentes d’une population de plus en
plus exigeante.
De plus, la pression économique et les recommandations des autorités de contrôle
(Cour des Comptes, Inspection Générale de l’Administration) ont amené la Haute
Autorité de Santé (HAS) à imposer une accréditation des établissements de santé,
dont le contrôle interne42 est une exigence.
Ainsi, l’administration sanitaire a développé la notion d’abord uniquement
comptable et de lutte contre la fraude en un système transversal touchant43:
A la fiabilité et l’exhaustivité des informations ;
Au respect des dispositions règlementaires ;
A la protection du patrimoine ;
A l’utilisation économique et efficace des ressources.
Lors de l’entretien de recherche accordé par monsieur Durette, intervenant à
l’IFACI, la volonté que le contrôle interne dans un hôpital soit porté par le
directeur comme un élément fédérateur, via un projet d’établissement, par
exemple, a été présenté. Il nous semble primordial que la mise en place du
contrôle interne s’entende comme une mission partagée prônant la « culture de la
vigilance ».
40 Plusieurs centaines de personnes ont été contaminés par transfusion sanguine, en 1984-1985
41Article 121-2 du code pénal (1er mars 1994)
42 Ordonnance du 24 avril 1996
43 « La maitrise des activités à l’hôpital », Editons LAMARRE, 2003
22
2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES
DEPUIS LES LOIS DE DECENTRALISATION
La décentralisation est « un processus d’aménagement de l’État unitaire qui
consiste à transférer des compétences administratives de l’État vers des entités (ou
des collectivités) locales distinctes de lui44 ».
Les lois dites de décentralisation du 2 mars 1982, puis 7 janvier et 22 juillet 1983
dotent les collectivités territoriales de compétences nouvelles, de personnels et de
moyens propres, ainsi que du pouvoir de les administrer et de définir l’orientation
des politiques publiques.
Parmi les changements importants liés à l’« organisation décentralisée » de la
république française45, nous insistons sur le fait que le contrôle administratif
exercé à priori par le préfet est remplacé par un contrôle de légalité exercé par le
tribunal administratif ou la chambre régionale des comptes.
La satisfaction des administrés est le leitmotiv de l’organisation décentralisée.
Ainsi, la notion de contrôle interne, telle que définie précédemment, est
pleinement dirigée vers la maîtrise des vulnérabilités. En cas d’échec, l’objectif
d’intérêt général des collectivités peut être menacé.
Plus que jamais, dans un environnement mouvant et incertain, marqué par des
contraintes budgétaires fortes, l’optimisation des ressources, les choix stratégiques
et la réalisation de projets destinés à la satisfaction des usagers doivent être
encadrés par des valeurs et un système maitrisé de l’activité de l’administration
décentralisée.
Ainsi, face à :
La capacité de démontrer la bonne gestion de l’argent public ;
La complexification croissante de la gouvernance locale ;
L’amélioration continue du service public (continuité,
performance) ;
Le besoin de transparence d’une société exigeante,
le contrôle interne apparaît comme une réponse adaptée.
Cette démarche globale et systémique est ancrée sur l’activité de la collectivité et
les contraintes de son organisation.
44 www.viepublique.fr
45 Article premier de la Constitution
23
2.3. LE CONTROLE INTERNE DANS LES SDIS
2.3.1. Le contrôle interne, une démarche inhérente à la culture opérationnelle
L’action opérationnelle est la raison d’être des SDIS. Leurs missions46, telles que
définies par le CGCT, appellent l’excellence au service de la population.
Un récent sondage47 indique que 99% de la population française fait confiance aux
sapeurs-pompiers. Ce chiffre repose sur l’image opérationnelle des SDIS.
Un système de contrôle interne qui ne dit pas son nom pourrait-il expliquer ce
constat ?
Par la recherche de l’efficacité dans une situation incertaine, la culture
opérationnelle des sapeurs-pompiers repose sur des principes simples et efficaces :
Inventaire et connaissance des risques ;
Prévention contre les risques ;
Contrôle de la capacité opérationnelle (en véhicules, matériels et
personnels) ;
Engagement optimisé (délais et moyens) ;
Analyse de la situation ;
Choix stratégique ;
Action ;
Contrôle de l’action (comptes rendus et analyse de l’effet attendu) ;
Conduite de l’opération ;
Reporting (comptes rendus de sorties de secours) ;
Démarche d’amélioration continue (retours d’expériences et
échanges de bonnes pratiques).
Ainsi, sans le formaliser, la pratique opérationnelle est fortement empreinte de la
notion de contrôle interne.
On pourrait supposer que cette culture éprouvée soit transposée facilement aux
domaines nécessaires à l’administration de nos établissements publics (services
logistiques, formation, courriers, informatique, etc.).
Cependant, force est de constater que la gestion quotidienne de l’activité d’un
SDIS ne reflète que trop rarement l’approche par les vulnérabilités.
46 Art L1424-2 du code général des collectivités territoriales.
47 Cabinet d’études Gfk Verein, 9 mai 2014
24
2.3.2. Une pratique trop peu développée dans la gestion administrative de nos
activités
Nous avons vu que l’objectif opérationnel des SDIS a, par l’expérience de ces
institutions, permis de modeler une démarche de contrôle interne. Pourtant, en
matière de gestion administrative, nous observons une pratique différente.
En effet, longtemps sous l’autorité des maires, la plupart des SDIS n’ont
développé que récemment leur propre administration.
De plus, les besoins budgétaires créés par la mise en place de la
départementalisation des services communaux d’incendie et de secours, ont été
comblés par les nouveaux financeurs (conseils généraux).
Ainsi, dans les différents entretiens réalisés, nous notons une culture axée sur les
comptes rendus administratifs et l’action par habitude (avec des consignes souvent
orales).
De même, nous remarquons dans le temps de la construction budgétaire, hors
programmes spéciaux, une construction par enveloppe globale, et non par projet,
donc non objectivée.
Enfin, nous observons que les consignes écrites, lorsqu’elles existent, ne sont pas
systématiquement suivies. Du moins, nous pouvons nous interroger sur la
surveillance de leur application.
Pourtant, l’évolution sociétale poussera les SDIS à se doter de moyens pour
sécuriser leurs activités.
2.3.3. L’évolution des services de protection du SDIS
La société évolue, entraînant dans son sillage, les SDIS. En particulier, la
judiciarisation et la recherche de solvabilité des responsables ont amené les
présidents de CASDIS et les directeurs départementaux à s’entourer de nouvelles
compétences propres à protéger les intérêts de l’institution. Ainsi, les années 90
ont vu éclore çà et là des services juridiques commandés par des cadres sapeurs-
pompiers de formation universitaire de haut niveau en droit civil ou administratif.
Dans le même esprit, les services de contrôle de gestion, essentiellement attachés
à la supervision financière, se sont développés afin de permettre à la gouvernance
des SDIS de mieux connaître et ainsi maîtriser au mieux les dépenses publiques.
Enfin, par la professionnalisation des postes de chef de service, en dehors des
services à vocation opérationnelle, les personnels administratifs, techniques et
spécialisés ont participé à la montée en puissance organisationnelle et ainsi, à
l’accomplissement plus sécuritaire de l’objectif opérationnel.
25
2.3.4. Une enquête terrain révélatrice d’une acculturation en marche
Pour confirmer ces évolutions, nous avons organisé une enquête de terrain double.
Par l’étude des organigrammes des SDIS, nous avons isolé les SDIS qui
comportent en leur sein une ou plusieurs structures impliquées dans une démarche
plus ou moins affichée de contrôle interne. Ce groupe est appelé « spécialistes ».
En complément, nous avons appelé « généralistes » les entités dont l’analyse de
l’organigramme n’a révélé aucune structure de ce type.
Ainsi, le questionnaire joint en annexe n°2 (p 79) est envoyé à un groupe de 65
services d’incendie et de secours, incluant les DOM TOM, considérés
« spécialistes » et un groupe de 45, « généralistes ».
Nous avons formulé deux types de questionnement :
Des questions fermées, afin d’identifier les pratiques ;
Des questions ouvertes, pour engager et bénéficier d’un échange de
bonnes pratiques.
Les résultats bruts de l’étude sont consultables par les personnes qui ont bien voulu
répondre. Nous nous permettrons d’isoler, dans la quatrième partie, des
recommandations tirées des réponses aux questions ouvertes de cette enquête.
Au final, ce sont 30 SDIS « spécialistes » et sept SDIS «généralistes » qui ont
répondu à notre sollicitation : (annexes n°3, p 85, et n°4, p 93).
o Une structure identifiée dépendant de la catégorie des SDIS
Dès la création des listes de diffusion, nous avons constaté que les structures
présentes dans les organigrammes des SDIS comme pouvant contribuer au
contrôle interne, sont directement liées à la catégorie des SDIS.
Le graphique suivant démontre que les SDIS de première catégorie ont
proportionnellement affecté plus de ressources à cette notion que les SDIS de
catégorie inférieure.
Figure 3 – Représentation du nombre de SDIS, avec ou sans entité identifiée, par catégorie
0
5
10
15
20
25
1ère 2ème
3ème 4ème
5ème
SDIS sans entité identifiée
SDIS avec entité identifiée
26
o Cependant, le vocable est employé presque partout
Nous observons que tous les SDIS dits «généralistes » ont répondu que leur
organisation avait mis en place une démarche de contrôle interne. Cinq réponses
de SDIS « spécialistes » affirment le contraire ou « ne pas savoir ».
Ainsi, au-delà des ressources affectées, la plupart des SDIS ont intégré ce vocable
dans leur organisation. Cependant, il semble que les pratiques développées
révèlent des réalités différentes.
o Mais le vocable n’est pas la méthode
Le tableau ci-dessous reprend les réponses à la question de l’identification des
acteurs du contrôle interne :
Réponses SDIS
« Spécialistes »
Réponses SDIS
« Généralistes »
Par chaque agent à son niveau de
compétence
8 27 % 3 43 %
Par chaque cadre dans son domaine de
compétence
16 53 % 2 29 %
Par un bureau, service ou groupement
autre du S.D.I.S.
15 50 % 4 57 %
Par l’Etat-Major 11 37 % 2 29 %
Par un prestataire extérieur au SDIS 0 0 % 0 0 %
Autre 4 13 % 0 0 %
Figure 4 – Tableau des réponses sur l’identification des acteurs du contrôle interne selon les SDIS
« spécialistes » ou « généralistes »
(Plusieurs réponses pouvant être données, la somme des pourcentages peuvent
atteindre une valeur supérieure à 100.)
Comme les parties 3 et 4 le démontrent, un des marqueurs forts d’un contrôle
interne efficace est la reconnaissance de la responsabilité de chacun des
personnels.
Ainsi, nous en déduisons que si le vocable de contrôle interne est connu et
employé, la méthodologie de mise en œuvre est le plus souvent soit incomplète,
soit mal identifiée.
27
o Une notion émergente par un environnement exigeant
Nous nous interrogeons sur les pratiques des SDIS. En particulier, nous
souhaitons connaître les facteurs qui ont orienté la gouvernance des SDIS à
engager une démarche de contrôle interne.
Réponses SDIS
« Spécialistes »
Réponses SDIS
« Généralistes »
Augmentation des contraintes
financières
15 50 % 4 57 %
Recommandation d’organes extérieurs
tels que : Inspection, C.R.C., Cour des
Comptes ...
16 53 % 5 71 %
Besoin de soigner la légitimité et
l'image du SDIS
13 43 % 2 29 %
Recherche de performance 18 60 % 4 57 %
Autre 7 23 % 1 14 %
Figure 5 – Tableau de réponse sur les facteurs déclenchant de la démarche de contrôle interne
(Plusieurs réponses pouvant être données, la somme des pourcentages peuvent
atteindre une valeur supérieure à 100.)
Si, pour les SDIS « spécialistes », la recherche de la performance arrive en
première place des facteurs déclenchant, l’augmentation des contraintes
financières et les recommandations des services de contrôle externes semblent
avoir été déterminantes.
Notons qu’aucune réponse n’évoque la nécessaire maîtrise intégrée des
vulnérabilités des établissements publics.
o Les risques et leur maîtrise : deux notions non liées au contrôle
interne chez nos collègues
« Spécialistes » et « généralistes » s’accordent pour identifier, par brainstorming,
les risques liés à l’activité opérationnelle et aux finances comme prépondérants
pour eux. Pourtant, près de 25 % des premiers considèrent que le risque
opérationnel doit être exclu du champ du contrôle interne. Ce paradoxe démontre
une nouvelle fois, que le concept global de maîtrise des risques n’est pas
totalement assimilé.
28
o Le contrôle de gestion est plébiscité
Les services de contrôle de gestion recueillent respectivement 57% et 53% des
réponses des « généralistes » et « spécialistes » lorsque la question de la priorité
des services à développer est évoquée.
Ainsi, alors que centralisés, ces services liés le plus à une activité liée
exclusivement aux finances, sont identifiés comme primordiaux dans la question
qui nous intéresse.
o La démarche processus, base du contrôle, est insuffisamment
développée
Rappelons que 87 % des SDIS « spécialistes » et 100% des « généralistes » ont
répondu affirmativement avoir développé une démarche de contrôle interne. De
même, la partie 1.2 de ce mémoire, relative au développement du contrôle interne
moderne a affirmé l’importance de la maîtrise des processus afin de maîtriser les
vulnérabilités.
Or, seuls 50% des « spécialistes » et 57% des « généralistes » déclarent avoir
entamé une démarche processus.
Ainsi, l’étude des résultats de notre enquête de terrain relative aux pratiques des
SDIS en matière de contrôle interne indique clairement que ce terme employé par
la majorité relève de compréhension et d’applications différentes. Il est certain
que les mots, les implications, l’organisation, et la finalité relèvent de réalités qui
ne sont pas liés qu’aux moyens mis en œuvre.
Cette notion, pourtant définie et modernisée dans les domaines de la finance puis
de l’industrie, conforte ceux qui l’ont mise en œuvre avec rigueur par la
sécurisation de leurs objectifs.
Dans un environnement mouvant et incertain, les SDIS de France peuvent tirer
avantage à transposer leur pratique de contrôle dans le domaine opérationnel à
leurs activités administratives et financières. Pour cela, ils devront s’attacher à
connaître ce concept dans sa globalité afin d’éviter les écueils d’une lecture
parcellaire.
Nous observons que la théorie de cet outil à disposition de la gouvernance n’est
pas maitrisée de façon uniforme et par conséquent n’apporte pas l’ensemble des
bienfaits que l’on peut en attendre.
La troisième partie s’attache à démontrer en quoi la notion de contrôle interne
représente un enjeu stratégique pour nos organisations. Outre la plus-value
qu’elle peut en attendre, la gouvernance des SDIS sera aussi renseignée sur les
limites de cet outil de pilotage et de garantie raisonnable d’atteinte des objectifs de
la structure.
29
3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS
« Quand le bateau est au milieu du fleuve, il est bien tard pour réparer l’avarie »
Proverbe chinois
Comment le contrôle interne peut-il participer à la transparence en matière de
bonne gestion de l’argent public ?
Quelles sont les limites du contrôle interne ?
Ces questions de recherche nous ont imposé de comprendre quelles sont les conditions
de mise en œuvre d’un contrôle interne efficace et adapté à notre organisation.
3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET
DES TRADITIONS
3.1.1. Une Bureaucratie Professionnelle standardisée
L’objectif premier de ce service public est d’assurer des missions de secours
d’urgence visant la sauvegarde des personnes, des biens et de l’environnement.
Ces opérations doivent être réalisées avec une qualité de service inhérente à la
préservation de l’intérêt général. Pour une définition précise des objectifs de
qualité de service, il convient de se référer au SDACR, aux règlements
opérationnel et intérieur ainsi qu’à l’ensemble des notes internes et documents
(Fiches mode opératoires, instructions, documents de formation, etc.).
Par ailleurs, les SDIS sont empreints d’une culture professionnelle forte qui
dépasse les limites du département et puise ses origines dans les corps
communaux. La départementalisation des services d’incendie et de secours est une
réalité récente pour la grande majorité des SDIS48. Ces services publics puisent
également leurs origines et culture dans les deux exceptions que sont les corps
militaires de sapeurs-pompiers : la BSPP et le BMPM (Bataillon des Marins
Pompiers de Marseille). Certains documents, comme le RIM (Règlement
d’Instruction et de Manœuvre), ont constitué le socle des techniques
opérationnelles et des principes fondateurs de la conduite des interventions.
De part cet héritage, les SDIS peuvent être considérés comme une « Bureaucratie
Professionnelle » au sens de H. Mintzberg. En effet, on y trouve une base
opérationnelle très développée (ensemble des centres de secours), et des fonctions
support à la taille importante.
48 Loi 96-369 codifiée aux articles L1424 et suivants du Code Général des Collectivités territoriales (CGCT)
30
La ligne hiérarchique est pyramidale et très centralisée. Ce type d’organisation
repose sur la « standardisation des qualifications » (apprentissage du « métier »
de sapeur-pompier et culture professionnelle forte).
Mintzberg écrit49 « Le professionnel (…) appartient à une organisation, mais il
est libre de servir ses clients comme bon lui semble, seulement soumis aux
standards de sa profession. En conséquence, les professionnels ont tendance à être
des individus responsables et très motivés, qui se consacrent avec dévouement à
leur travail et à leurs clients. (…) l’autonomie permet aux professionnels de
perfectionner leur qualification (…)
Dans la Bureaucratie Professionnelle, il n’y a en dehors de la profession
pratiquement aucun contrôle sur le travail, aucun moyen de corriger les
déficiences sur lesquelles les professionnels eux-mêmes choisissent de fermer les
yeux. Et ils ont tendance à négliger les problèmes essentiels de coordination, de
contrôle et d’innovation qui surgissent dans ces structures.
Les problèmes de coordination.
L’organisation ne peut coordonner ses activités qu’en ayant recours à la
standardisation des qualifications. Mais la standardisation des qualifications est
un mécanisme de coordination peu puissant, qui ne parvient pas à régler tous les
problèmes qui surgissent dans la Bureaucratie Professionnelle. »
Figure 6 - Schématisation de la configuration structurelle d’un SDIS
49 H. Mintzberg, Structure et dynamique des organisations, Eyrolles, éd. d’Organisation, 2006. p 328
CIS CIS CIS CIS
CIS CIS
CIS CIS
CIS
CIS
CIS
CIS
CIS
CIS
CIS
CIS
CODIS
Gpt Gpt Gpt Gpt Gpt
CASDIS
DDSIS
DDA
CODIR
4 - Technostructure
5 - Support Logistique
1 – Sommet stratégique
3 – Centre
Opérationnel
2- Ligne hiérarchique
31
Les cinq éléments de base définissant l’organisation selon H. Mintzberg sont ainsi
caractérisés :
1-Le sommet stratégique
Il comprend le conseil d’administration du SDIS (CASDIS) et son président, ainsi
que le DDSIS et le DDA. Le CASDIS est l’organe délibérant composé d’élus issus
des collectivités territoriales participant au budget du SDIS.
2-La ligne hiérarchique
C’est la structure de commandement de l’activité opérationnelle : les chefs de
groupements territoriaux, qui commandent les chefs de centres de leur groupement
respectif. Les chefs de groupements fonctionnels se retrouvent dans la
technostructure et les fonctions de support logistique.
3-Les centres opérationnels
Constitués de 7300 centres d’intervention et de secours au niveau national, ils
rassemblent jusqu’au 9/10ème
de l’effectif total. Leur poids s’explique notamment
par la présence des sapeurs-pompiers volontaires, représentant 80% de l’effectif
total des forces vives.
Cette « colonne vertébrale » constitue donc un élément essentiel dans le maillage
et la réponse opérationnelle en tout point du territoire. Elle représente le service de
proximité qui répond au principe de l’égalité de tous les citoyens face au besoin de
secours public.
4-La technostructure.
Elle est composée des services qui définissent les conditions de travail. Il s’agit
classiquement des groupements formation, opération ou prévision. Mais on voit
apparaître dans les SDIS de nouveaux services, apparentés à des services qualité50,
qui sont chargés de l’établissement et la diffusion des procédures.
Il est important de préciser que les groupements formation regroupent des
formateurs de terrain, qui transmettent directement auprès des personnels leur
expérience et les techniques. Par ailleurs, la formation reste toujours largement
effectuée au niveau des centres de secours et des groupements territoriaux. Cela
permet d’harmoniser la formation à la disponibilité des SPV. Ainsi, les
opérationnels sont, de fait, ceux qui contrôlent le savoir des autres opérationnels.
50 Voir liste des départements appartenant au panel des spécialistes - Annexe 3
32
Les groupements opération et prévision produisent ce que D. Boullier et S.
Chevrier appellent des « mondes de papier »51.
Le rôle de ces services est notamment de produire le règlement opérationnel (RO)
et ses annexes (notes de service, mémentos opérationnels) ainsi que les plans de
secours et les plans parcellaires (cartographie opérationnelle).
5-Les fonctions de support logistique
Elles occupent une place très importante dans le fonctionnement des SDIS en
assurant le maintien des infrastructures et des matériels. Elles garantissent ainsi la
réponse opérationnelle fournie.
Les grandes entités suivantes se détachent :
Le CODIS (centre opérationnel départemental d’incendie et de secours). Il
gère l’activité opérationnelle 24h/24. D’un point de vue de sa gestion
humaine, le CODIS est organisé comme un centre de secours. Le fait qu’il
soit à la fois opérationnel et une structure de soutien le place à la frontière
du centre opérationnel ;
Les groupements prévention. Actuellement la prévention est une activité
d’application réglementaire concernant les établissements recevant du
public. Elle assure aussi une activité de conseil auprès des exploitants et
des pouvoirs publics ;
Les groupements ressources humaines ;
Les groupements administration et finances ;
Les groupements logistique, en charge de l’achat et l’entretien des
casernements, des véhicules et du matériel.
Ce phénomène de Bureaucratie Professionnelle est renforcé dans les SDIS par
l’esprit de Corps, associé au port d’un uniforme et au respect d’une hiérarchie,
renforçant la standardisation de nos pratiques. Il faut donc être conscient de notre
structure d’organisation afin d’adapter le contrôle interne à mettre en place.
Nous avons donc une culture professionnelle forte qui sacralise certaines pratiques
ou enseignements. Cela peut limiter la remise en cause de nos processus et être un
frein à l’innovation. Le contrôle interne peut alors intervenir pour s’assurer du
maintien de nos savoirs et capacités opérationnelles.
51 D.Boullier et S.Chevrier. Les sapeurs-pompiers – Des soldats du feu aux techniciens du risque. p 66.Ed. Puf, 2000.
33
3.1.2. Une activité qui génère de plus en plus de vulnérabilités
Les services d’incendie et de secours, à peine départementalisés, font face depuis
10 ans à de profonds bouleversements :
Informatisation massive des systèmes d’alerte ;
Evolution des cycles de travail ;
Diminution du temps de travail des sapeurs-pompiers professionnels,
corrélée à une augmentation de l’absentéisme (vieillissement des effectifs,
accidents sportifs, etc.) ;
Difficulté de recrutement et de fidélisation des sapeurs-pompiers
volontaires ;
Budgets de plus en plus serrés limitant l’investissement et donc la
projection dans l’avenir ;
Réforme de la filière et réforme territoriale.
Ces mutations rapides sont autant de vulnérabilités pour nos organisations, si on
ne les accompagne pas. La recherche d’une optimisation opérationnelle par
l’acquisition, la mutualisation et la coordination des moyens ne suffit plus. Ces
facteurs conduisent surtout à une complexification considérable de la gestion des
SDIS, qui ne favorise pas la maîtrise de nos vulnérabilités.
Les décisions qui vont porter sur la définition des potentiels opérationnels
journaliers (POJ), sur la formation des personnels et l’organisation de la réponse
opérationnelle doivent prendre en compte des paramètres de plus en plus
complexes.
Par ailleurs, le sapeur-pompier exerce au quotidien une mission de service public
qui justifie l’attribution de prérogatives exceptionnelles (exemple : pénétrer dans
une habitation privée sans l’accord des propriétaires). L’urgence des situations
auxquelles il doit faire face, et leur caractère dangereux, peuvent le conduire à
prendre des décisions qui vont au-delà de ce que les procédures opérationnelles
prévoient.
Un sapeur-pompier oscille donc entre le respect strict des procédures et le fait qu’il
doit potentiellement s’en affranchir. C’est donc l’adaptation qui permet de
s’exonérer des procédures opérationnelles quand celles-ci ne donnent pas de
réponse. L’expérience opérationnelle ne s’acquiert effectivement pas dans les
manuels.
Enfin, d’un point de vue psychologique, un sapeur-pompier est amené à travailler
dans un environnement risqué, ce qui est source de stress et de risques psycho
sociaux divers.
34
Tous ces facteurs inhérents au métier de sapeur-pompier compliquent la mise en
place d’une surveillance de leurs actions. En outre, la maîtrise des vulnérabilités,
qui est la recherche des défaillances, est difficilement acceptable pour un
professionnel dont la mission, risquée de nature, lui impose d’être performant à
chaque sortie de secours. C’est donc une vraie remise en cause de notre culture
tout en respectant les fondamentaux de notre institution.
3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE
SYSTEMIQUE ET EMPIRIQUE
3.2.1. Impliquer la gouvernance dans ce choix stratégique
Depuis les lois de décentralisation de 1982, les contrôles « à posteriori » se sont
substitués aux contrôles en amont, aussi bien dans le domaine juridique que dans
la gestion du budget.
L’Administration française est marquée dans son héritage par une forte tradition
jacobine de centralisation. Cela se retrouve dans nos organisations que sont les
SDIS, qui sont soumises au respect des lois et des règlements, ainsi qu’à des
inspections et des contrôles externes (DGSCGC, Cour des Comptes, Senat...). Or
l’idée même de concevoir sous sa responsabilité, un système d’autocontrôle de ses
activités, comprenant un système de contrôle et d’audit internes, lui était
totalement étrangère. Cela constitue aujourd’hui un bouleversement technique,
mais aussi et surtout une remise en cause des mentalités et des comportements.
Les SDIS sont aujourd’hui concernés par cette mutation, afin de garantir leur
légitimité auprès des autorités de tutelle. Il s’agit donc, par cette nouvelle
politique, de s’assurer du degré réel de maîtrise de leurs opérations et d’évaluer
leurs modes traditionnels d’organisation face à des objectifs de performance plus
ambitieux.
Ainsi, la Cour des Comptes a intégré dans son rapport52 sur les SDIS la
préconisation de développer le contrôle interne et les outils d’analyse afin
d’adapter l’organisation aux besoins qu’ils doivent satisfaire. L’objectif est
d’optimiser les ressources humaines face à l’évolution des risques, en passant par
exemple par la révision du POJ, conséquence de la prise en considération des
contraintes budgétaires.
52 Cour des comptes, Rapport public thématique : Les services départementaux d'incendie et de secours. La Documentation française,
novembre 2011
35
L’équipe de direction doit être l’instigatrice et le moteur de cette démarche. Le
directeur départemental dispose de la légitimité pour agir et surtout convaincre
tous les acteurs, en premier lieu son équipe de direction, qui elle-même la relaiera
à l’ensemble des personnels du SDIS. Le CASDIS est donc l’organe délibérant où
la formalisation de la démarche doit être clairement établie afin de garantir le
consensus sur ce projet.
C’est d’ailleurs l’objet du premier volet du CAF53 (cadre d’autoévaluation des
fonctions publiques, autoévaluation issue de l’EFQM (European foundation for
quality management), qui définit ainsi le rôle de l’encadrement :
« Donner une orientation à l’organisation en développant sa mission, sa
vision et ses valeurs ;
Développer et mettre en œuvre un système de management pour gérer
l’organisation, la performance et le changement ;
Motiver et soutenir le personnel et se comporter de manière exemplaire ;
Gérer les relations avec la sphère politique et les autres parties prenantes
d’une manière propre à garantir le partage adéquat des responsabilités. »
3.2.2. Formaliser la stratégie et les objectifs à atteindre
La définition d’une stratégie est une étape préalable à la définition des objectifs et
indicateurs. En l’absence de réflexion globale, il est difficile de définir des
priorités et donc de proposer un nombre limité d’objectifs pertinents. La
présentation de la stratégie permet d’expliquer la cohérence globale des objectifs
retenus et de justifier leur choix.
Afin de mener à bien une démarche de contrôle interne, les objectifs à atteindre et
la stratégie doivent donc être clairement définis. Ceux-ci doivent répondre à
l’acronyme SMART54. C’est ainsi que nous pourrons dégager les facteurs clés de
réussite et axer nos efforts sur ce qui est essentiel et prioritaire. Il nous apparaît
primordial de ne pas brusquer la démarche et de prendre le temps nécessaire au
dialogue, aussi bien avec les organisations syndicales qu’avec les membres du
conseil d’administration et les cadres du SDIS. Cette démarche, qui doit fédérer et
rassembler tous les acteurs, pourra être intégrée aux documents d’organisation du
service comme le projet d’établissement ou encore la convention SDIS-conseil
général.
Une première étape intéressante peut consister en la rédaction ou la réactualisation
d’une charte des valeurs, en créant des groupes de travail associant toutes les
catégories de personnel. Le futur contrôle interne sera légitime et accepté s’il
s’inscrit en tant que garant de l’efficacité de notre service public, en lien avec notre
identité et histoire.
53 CAF (Common Assesment Framework) : cadre d’auto-évaluation des fonctions publiques. Résultat de la coopération des ministres européens
en charge de l’Administration, il fournit un cadre simple et facile à utiliser qui permet l’auto-évaluation des organisations du secteur public.
54 SMART (intelligent en anglais) = Spécifique, Mesurable, Atteignable, Réaliste, Temporellement défini
36
Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des
valeurs au sein de toute organisation car le contrôle interne ne pourra empêcher
seul que des personnes commettent des fraudes.
Par la suite, les objectifs à atteindre pourront être déclinés dans le projet de
service du SDIS.
Le contrôle interne doit être garant des valeurs et de l’identité du service,
facilitant ainsi l’adhésion du personnel. La communication reste la clé pour assoir
le contrôle interne en tant qu’outil de maîtrise de nos activités, au service de tous
les acteurs.
Le CAF propose aussi dans son deuxième volet « stratégie et planification » une
démarche de diagnostic préalable afin de mettre en œuvre la stratégie au regard des
ressources et des objectifs souhaités, tout en actualisant les données dans le
temps :
« Collecter l’information sur les besoins présents et futurs des parties
prenantes ;
Développer, recevoir et actualiser la stratégie et la planification en
fonction des besoins des parties prenantes et des ressources disponibles ;
Mettre en œuvre la stratégie et la planification dans toute l’organisation ;
Planifier, mettre en œuvre et évaluer la modernisation et l’innovation. »
3.2.3. Instaurer une culture transversale de contrôle interne par le management
« La croyance que rien ne change provient soit d’une mauvaise vue, soit d’une
mauvaise foi : la première se corrige, la deuxième se combat »
Friedrich Nietzsche
Comme évoqué précédemment, la mise en œuvre du contrôle interne au sein de
l’Administration, et en particulier dans les SDIS, doit prendre le temps de la
conciliation, de l’analyse et du diagnostic. La responsabilité managériale est au
cœur de ce système.
En premier lieu, une composante préalable consiste à définir clairement les
responsabilités au sein du service. L’organigramme du SDIS doit sans équivoque
indiquer les responsabilités et liens hiérarchiques entre les acteurs. Cela peut être
formalisé par des fiches de poste réalisées en collaboration avec la Gestion
Prévisionnelle des Effectifs, Emplois et Compétences (GPEEC), en s’appuyant
notamment sur le répertoire des métiers du CNFPT. Le processus de décision doit
également être sécurisé en cas d’absence ou d’empêchement par des délégations de
signature adaptées à l’organisation. Ainsi, les responsabilités sont clairement
définies et partagées au sein de l’établissement.
37
Ensuite, le mot « contrôle » reste un terme qui peut être ressenti comme une
atteinte à l’autonomie de décision. Or le contrôle interne correspond à la maîtrise
des vulnérabilités. Cette nuance devra être amenée ainsi à tous les maillons
décisionnels pour ne pas créer de défiance. Il faudra prendre en compte dans cette
démarche la résistance, parfois inconsciente ou volontaire, des mentalités,
habitudes et comportements. Cela nécessite donc d’inculquer une culture de la
responsabilité, dans sa définition d’obligation de rendre des comptes. Le contrôle
interne, en tant que garant des opérations, peut être accepté comme une aide et non
une contrainte pour les managers des SDIS.
En effet, cette notion peut être ressentie négativement : « flicage »,
déresponsabilisation, inefficacité. Elle devient alors un nouveau risque entraînant
manque de productivité et d’innovation. Elle peut conduire à la paralysie : ne pas
faire pour éviter tout risque. De plus, la mise en place de systèmes de contrôles a
un coût. Elle nécessite la mobilisation de personnes ne participant pas à la
production.
L’entretien annuel d’évaluation55 devra également être un moment privilégié de
contrôle d’atteinte des objectifs, et à défaut, de prise de mesures correctives tout en
favorisant le dialogue avec les personnels.
Le management par la confiance et le sens est donc primordial dans nos
activités. La conduite d’une intervention implique de faire confiance à celui à qui
la mission est confiée. Un chef d’équipe doit pouvoir compter sur son équipier et
vice-versa. Le contrôle interne doit prendre en compte cette problématique, afin de
garantir son adhésion.
D’un point de vue managérial, un contrôle est efficace quand il n’est plus
nécessaire. Cependant, cela est impossible car on supposerait que :
La fraude n’existe pas ;
Les personnes d’une organisation soient toutes conscientes de
leurs propres limites et de leurs défaillances ;
Le système auquel elles appartiennent soit en permanence réactif,
réponde et anticipe les vulnérabilités.
Un entrepreneur atypique, Jean-François Zobrist56, a fondé le système de
management de l’entreprise FAVI (Usine de fonderie d’alliages cuivreux à
Hallencourt) sur le principe du management par la confiance. Ce chef d’entreprise
s’est retrouvé à la tête d’une organisation soumise à une forte concurrence
internationale qui devait dégager des marges au risque de tomber en faillite. Pour
atteindre cet objectif, il a supprimé tous les contrôles systématiques (pointeuse,
étalonnage par le service qualité, etc.).
55 Décret n° 2010-888 du 28 juillet 2010 relatif aux conditions générales d’appréciation de la valeur professionnelle des fonctionnaires de l’État
56 Jean-François Zobrist, « La belle histoire de FAVI» Tomes I et II, éditions Humanisme et organisations, 2014.
38
Les opérateurs ont été formés à utiliser les outils d’étalonnage de leur poste de
travail. Il s’est concentré sur l’atteinte des objectifs finaux avec très peu
d’indicateurs.
Auparavant, les opérateurs travaillaient sur des chaînes de production sans savoir
pourquoi ils produisaient les pièces. Ils ont été alors regroupés au sein de mini-
usines dédiées à chacun des clients.
Ainsi, les opérateurs sont à la fois responsables de leur travail et impliqués parce
qu’ils en connaissent la finalité. Cet autocontrôle par la responsabilisation des
acteurs est l’objectif à poursuivre.
Le CAF, dans son troisième volet « Personnel », suggère aussi d’associer
pleinement l’ensemble des ressources humaines à son projet. Il ne faut pas oublier
que les SDIS sont une organisation où l’humain, avec ses forces et ses faiblesses,
est au cœur du dispositif. La clé de la réussite de cette démarche consiste à :
« Planifier, gérer et améliorer ses ressources humaines de
manière transparente en cohérence avec la stratégie de la
planification ;
Identifier, développer et utiliser les compétences des
collaborateurs en alignant les objectifs individuels sur ceux de
l’organisation ;
Impliquer les collaborateurs en développant le dialogue, la
responsabilisation et la délégation de pouvoir ».
Tout cela rentre dans la promotion d’une culture de vigilance à ancrer en
associant et responsabilisant tous les acteurs au quotidien.
3.2.4. Contrôler les activités par des tableaux de bord pertinents
« Quand le coup de tonnerre éclate, il est trop tard pour se boucher les oreilles »
Sun tzu
La sécurisation des procédures d’exécution et des tâches débute par la mise en
place de logigrammes identifiant les processus ciblés à risque (démarche
processus). Cela favorise la détection des anomalies prévisibles et permet
d’identifier les responsabilités des acteurs de cette chaîne. Deux principes
fondamentaux doivent être pris en compte :
1- Le principe de continuité : attribution claire des tâches et des
délégations ;
2- Le principe de séparation des fonctions : garantie contre le risque
d’erreur et fraude
39
Les tableaux de bord sont des regroupements d’indicateurs en lien avec les
vulnérabilités ciblées. Leur rôle consiste à doter l’organisation de moyens
d’anticipation, au-delà de la simple sérendipité, face aux évènements à risques
identifiés.
L’enjeu est de limiter l’impact et/ou la probabilité de survenue d’une crise grâce
au pilotage. Le parallèle peut ainsi être fait avec le conducteur qui surveille son
tableau de bord pour éviter l’accident, l’excès de vitesse, la panne sèche ou la
surchauffe moteur par exemple.
Comme nous l’avons vu précédemment pour les objectifs et la stratégie, la
pertinence des indicateurs doit être adaptée à l’organisation.
Les tableaux de bord servent à suivre la mise en place des projets de
l’Administration, à traduire la stratégie et les missions en objectifs concrets et
indicateurs de performance. Ils donnent de la visibilité en interne et externe, ce
qui implique une communication régulière sur ces données.
Ces données, centrées sur la stratégie du SDIS, doivent répondre aux
problématiques essentielles en hiérarchisant les priorités de contrôle sur ce qui
amène le plus de résultat.
C’est le principe de Pareto57 qui montre que 20% des actions apportent 80% des
résultats. Ainsi, l’action sera concentrée sur ce qui amène le plus d’effets. Par
exemple, on sait que 80% des dépenses de fonctionnement sont des dépenses de
personnel ; il faudra donc agir et contrôler des indicateurs liés à la masse salariale
pour maîtriser l’augmentation des coûts en priorité. Il est donc à ce stade
nécessaire d’avoir différencié « l’os, la viande et le gras », en priorisant l’essentiel
des dispositifs de contrôle qui vont devoir être mis en place pour maîtriser les
risques.
Figure 7 - Le principe de Pareto
57 Diagramme développé par Vilfredo Pareto, économiste italien – Etude sur la répartition des richesses en Italie
40
Enfin, les tableaux de bord sont à décliner dans chaque activité pour s’assurer de la
bonne tenue d’objectifs en conformité avec le projet d’établissement. Les sorties
de zone sont analysées ultérieurement, au cours d’une revue de direction, dans le
cadre d’une démarche d’amélioration continue. Le contrôle interne permet donc à
ce stade de surveiller mais aussi et surtout de préparer la phase d’ajustement
corrective. Cette amélioration continue est représentée ci-dessous par la roue de
Deming qui se veut être un cycle perpétuel.
Figure 8 - La roue de DEMING58
3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE
3.3.1. Un dispositif qui ne peut se satisfaire à lui-même
L’objet du contrôle interne, comme nous l’avons démontré, est de fournir une
assurance raisonnable de réalisation des objectifs, en limitant les vulnérabilités
identifiées et en maîtrisant celles qui sont inhérentes à notre activité.
Cependant, aucun dispositif de gestion des risques et de contrôle interne, même
très bien conçu et appliqué, ne peut fournir une garantie absolue quant à la
réalisation de ces objectifs. Il existe en effet des limites à tout
processus (exemples : incertitudes sur la conjoncture extérieure,
dysfonctionnements humains, fraudes, etc.). L’établissement public dispose en
effet de faibles marges de manœuvres, 80% du budget étant figé par des charges
structurelles de personnel. De plus, il devient très complexe de définir une
politique pluriannuelle dans un environnement contraint et incertain.
58 La Roue de Deming est une illustration de la méthode de gestion de la qualité dite PDCA (Plan-Do-Check-Act), Son nom vient du statisticien
William Edwards Deming qui l’a popularisé dans les années 1950
41
Il faut donc être conscient que le contrôle interne ne remplace pas la stratégie qui
est définie par la gouvernance : c’est une boite à outils mise à disposition de celle-
ci pour atteindre ses objectifs, encore faut-il se servir du bon outil. Les indicateurs
ne permettent pas de tout analyser ni de tout comprendre. De plus, ce qui est
contrôlable n’est pas de facto utile pour la stratégie, et vice-versa : c’est donc bien
la vision stratégique et le type de management qui sont garants de l’atteinte
des objectifs et non le contrôle interne.
Une image du psychanalyste Roland Gori59 résume ce risque qui pèse sur
l’évaluation des politiques publiques : « le problème, c’est lorsque la priorité d’un
médecin devient de produire des indicateurs de performance et non plus de
soigner ». Le management d’un SDIS ne peut donc se résumer à du contrôle
qui lui-même ne peut se résumer à du chiffrage.
La DGSCGC a organisé une étude de benchmarking des SDIS via les INSIS60
(indicateurs nationaux des services d’incendie et de secours). Cette initiative a
pour objectif de donner des éléments de comparaison entre SDIS de même
catégorie. Il faut toutefois relativiser ces indicateurs en fonction des
caractéristiques intrinsèques du département (exemple : coût par habitant du
service).
Cependant, cette étude a le mérite d’impliquer les SDIS dans une démarche
participative en les incitants à se doter d’outils de contrôle et de reporting. Elle
doit donc être poursuivie et développée comme cela se fait dans le domaine de la
sécurité publique par exemple (fichier état 400161). Cependant, celui-ci est plus
développé car les impacts politiques et les retombées médiatiques sont plus
sensibles à ces problématiques qu’aux questions de sécurité civile.
3.3.2. Un outil d’optimisation du service
La mise en place du contrôle interne représente un atout dans l’optique de
conforter l’image de bon gestionnaire des SDIS auprès des autorités.
Cela a tout d’abord l’avantage de rassurer nos financeurs et décideurs sur notre
capacité à faire face aux défis qui s’annoncent. A cet effet, il est garant de la
fiabilité et de la pertinence de l’information, afin de donner à l’équipe de direction
les moyens d’anticiper les crises ou du moins de limiter les impacts nuisibles, et
d’assurer une communication efficace.
59 Psychanalyste à Marseille, professeur de psychologie et psychopathologie clinique. Il est l’auteur de nombreux ouvrages de psychanalyse.
60 La construction des INSIS est inscrite dans la LOLF 2007 afin de valoriser la gestion et la performance des SDIS sur la base d’indicateurs normalisés au
niveau national
61 Source administrative relevant les faits constatés (délits et crimes) par les services de police, de gendarmerie et la préfecture de police de
Paris et comprenant 107 index et 5 regroupements
42
Le dispositif de contrôle interne, s’il est développé dans les termes précédents,
présente l’énorme avantage d’impliquer tous les acteurs à la stratégie déployée,
favorisant la transversalité entre services. Cette anticipation de crises permet
d’éviter la surprise pour ne pas répondre par l’émotion et in fine par l’excès.
Prenons l’exemple du SDIS des Deux-Sèvres qui a impulsé une politique de
maîtrise des risques en « se donnant le temps » de 1999 à 2007, travaillant
successivement sur la sécurité puis le management de la qualité et enfin en
adoptant une politique éco responsable. Les résultats concrets ont été les
suivants :
Baisse de l’accidentologie sportive et des arrêts maladie : 10
équivalents temps plein économisés => diminution des primes
d’assurances SPP et SPV de 40% ;
Cout de la sinistralité automobile divisé par 4 => diminution de la
prime d’assurance des véhicules de 35% ;
Maîtrise de l’endettement et diminution des charges liés à la
consommation d’énergie.
La mise en œuvre du contrôle interne ne se «décrète» pas. Elle nécessite le temps
du dialogue, de l’analyse et les objectifs de la gouvernance doivent être
clairement définis. Ces conditions conduiront à identifier de manière objective les
failles dans l’organisation, en réduisant le phénomène de complaisance contraire
à la remise en cause.
Dès lors, la plus-value du contrôle interne réside avant tout dans la prise de
conscience collective nécessaire à tout changement. Sa mise en place sera ainsi
acceptée.
L’enjeu est d’amener à la responsabilisation individuelle, mais aussi collective,
et à plus d’autonomie. L’objectif commun est de libérer des marges de progrès
pour l’ensemble des SDIS.
Les préconisations qui suivent sont orientées en ce sens.
43
4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE
« La confiance rapporte plus que le contrôle »
Jean-François ZOBRIST
Le contrôle interne est source de coût. D’une part, il ne faut pas se trouver dans la
situation où le contrôle coûte plus cher que le risque qu’il est censé couvrir
(rapport coût/bénéfice). D’autre part, la mise en place d’un contrôle ne doit pas
entraîner de nouveaux risques dus à la déresponsabilisation et au retrait de
confiance qu’il peut impliquer. Pour éviter cela, il faut donc toujours poursuivre un
objectif de réduction et d’optimisation du contrôle.
L’objectif de la mise en place du contrôle interne est de renforcer la
responsabilité individuelle et collective. Pour libérer des marges de progrès pour
l’ensemble du SDIS, il faut mettre en place des principes de gestion qui
garantissent cette responsabilisation. Or, c’est en faisant confiance que l’on y
parvient. L’enjeu est de trouver un équilibre entre autonomie et contrôle.
4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES
DANS UNE ORGANISATION SDIS MAÎTRISEE
Les préconisations qui suivent s’appuient sur l’exploitation des entretiens et de
l’enquête, ainsi que sur l’évolution de l’approche du contrôle interne ces dernières
années.
Afin qu’elles soient d’actualité, nous avons tenu compte des pratiques existantes
(BSPP, APHP), des attentes dans les SDIS (exploitation des enquêtes), et de ce
que peut nous apporter en la matière le secteur privé (SUEZ déchets, société
Ad'XpR conseil, société C. BONNIEL).
A l’appui de ce paragraphe, un exemple d’application est présenté en annexe n°5
(p 101). Il vise à démontrer que les préconisations proposées peuvent être
effectivement mises en œuvre d’un point de vue technique.
44
4.1.1. Déterminer la finalité du contrôle interne
4.1.1.1. Un contrôle interne limité à la recherche de fraudes ou de fautes ?
Nous préconisons que le contrôle interne ne soit pas limité à cet aspect. Ce
serait le cantonner à une fonction d’inspection.
Le SDIS n’est pas à l’abri de fraudes ou de fautes pouvant fragiliser son
fonctionnement, sa réputation ou sa structure sociale. Les dispositifs d’inspection,
dans ce but, existent déjà sous le terme d’« enquête administrative ». Cette
possibilité est encadrée par le droit et la jurisprudence. L’objectif est alors
potentiellement de sanctionner disciplinairement, voire de donner éventuellement
une suite pénale par un dépôt de plainte.
4.1.1.2. Poursuivre la maîtrise des risques
Nous préconisons que le contrôle interne soit mené dans une démarche de
maîtrise des risques. Cette préconisation s’appuie sur :
L’exploitation des entretiens et les résultats de l’enquête (détaillés en
annexe n 6, p 105) ;
le sens de l’évolution des référentiels et des normes internationales ISO
des séries 9000, ISO 31000 et du référentiel COSO 3 (présentés en
annexe n°7, p 107).
La finalité du management des risques implique une approche plus large et plus
constructive que celle de contrôle. Sa mise en œuvre vise à :
Assurer la pérennité de l’organisation (stratégie, anticipation des
risques externes) ;
Identifier les vulnérabilités dans les processus et permettre leur
amélioration ;
Offrir des garanties de gestion saine aux financeurs du SDIS
(collectivités locales et banques), aux usagers du service public, aux
partenaires et fournisseurs ;
Garantir un rapport coût du contrôle/bénéfices favorable.
Dans ce cadre, la maîtrise des risques fait intégralement partie des techniques de
gestion et :
Assure la remontée d’information pour la prise de décision
(reporting) ;
Constitue un outil d’amélioration continue ;
Est garante des dérives possibles liées aux changements stratégiques et
aux innovations.
45
L’enquête démontre que les risques opérationnels/juridiques et financiers sont les
plus préoccupants. Le risque informatique et l’atteinte à l’image apparaissent à
l’opposé négligeables. Nous préconisons malgré tout de ne pas négliger ces
derniers.
En outre, des risques tels que les RPS62
(Risques psychosociaux) nécessitent la
mise en place d’un plan d’action en intégrant le CHSCT dans cette démarche
(DUEvRP63
). Le document unique s’avère donc être le cadre du management des
risques en termes d’hygiène et de sécurité. La circulaire relative à la prévention
des risques psycho-sociaux64 fixe les orientations pour cette prise en compte.
La vocation du contrôle interne est d’assurer la maîtrise des défaillances. Le
tableau qui suit se propose de déterminer le niveau de lien entre l’activité et le but
opérationnel. Il démontre que la recherche des défaillances situées sur les deux
premiers niveaux est essentielle pour produire un changement culturel et donner sa
place au contrôle interne dans les SDIS.
1er niveau 2ème
niveau 3ème
niveau 4ème
niveau 5ème
niveau
Interventions
CODIS
Opérationnalité des :
Personnels
(aptitude
opérationnelle +
effectifs de garde)
Casernes
(infrastructures
bâtimentaires et
informatiques)
Agrès (armés, en
état de marche,
disponibles)
Prévision
Formation
opérationnelle et
péri-
opérationnelle
Recrutement
Rénovations
Acquisitions
Restauration
Fonctions RH
Communication
Cérémonies et
manifestations
Œuvres sociales...
Statistiques
opérationnelles
Prévention
Formation
fonctionnelle et
managériale
(etc…)
Figure 9 - Proposition de représentation des niveaux de priorités à traiter par le contrôle interne au sein d’un SDIS
Sur certaines fonctions prioritaires, sensibles et identifiées à fort impact, il est
primordial de bâtir un plan de continuité d’activité (PCA), comme nous le
faisons dans les plans de secours, pour faire face à l’aléa (ex : PCA du
CTA/CODIS, des transmissions, des interventions multiples, etc.).
62 L’accord-cadre du 22 octobre 2013 relatif à la prévention des risques psychosociaux – RPS – engage les employeurs des trois versants de la fonction publique
à mettre en place une démarche de prévention des risques psychosociaux au sein de leurs services
63 Document Unique d’Evaluation des Risques Professionnels obligatoire depuis 2001 en application du Code du travail (Article L 230 -2, R 230-1 et 263-1-1)
64 Circulaire du Ministère de la décentralisation et de la fonction publique du 25 juillet 2014 relative à la mise en œuvre dans la fonction publique territoriale de
l’accord cadre du 22 octobre 2013 concernant la prévention des risques psycho-sociaux.
46
Le contrôle interne doit donc participer à donner du sens à l’action des sapeurs-
pompiers en mettant en valeur l’utilité et l’importance des différentes activités
présentes.
4.1.2. Engager l’action collective
Nous avons souligné qu’il était fondamental que :
La gouvernance du SDIS impulse et soutienne la démarche, dans une volonté
de confiance accordée ;
Les solutions viennent des opérationnels.
Il est dès lors nécessaire d’engager l’action collective en responsabilisant chaque
acteur, en désignant un coordinateur, en formant à la maîtrise des risques et en
communiquant la démarche.
4.1.2.1. Responsabiliser chaque acteur par l’autocontrôle
Nous préconisons avant tout que l’action du contrôle du travail incombe
normalement à chacun.
Chacun est responsable de son travail et doit mettre en place les procédures de
contrôle qui le concernent. C’est le sens du management par la confiance de J-F
Zobrist.
Pour cela, il s’agit de prendre en compte les postulats suivants:
La maîtrise des risques est un processus favorisant l’amélioration continue de
nos activités. Elle est donc collective ;
La maîtrise des risques n’est efficace que si l’ensemble de l’organisation fait
remonter les informations et/ou agit directement sur les risques lorsqu’elle
peut le faire ;
La direction elle-même doit accepter qu’elle puisse être porteuse de risques au
travers de ses décisions ou de ses comportements.
4.1.2.2. Identifier, positionner et missionner un coordinateur
Cependant, ce système n’est pas à l’abri de failles. C’est la raison pour laquelle, en
maîtrise des risques, on positionne selon le terme consacré un « risk manager ».
Son rôle est de coordonner tous les acteurs dans la démarche de maîtrise des
risques, non pas pour rechercher en direct une défaillance, mais pour se tourner
vers celui dont la responsabilité est d’éviter sa survenue.
47
Identifier
Nous préconisons d’identifier un cadre qui soit quelqu’un d’expérience, un
opérationnel reconnu tant par la hiérarchie que par les personnels. Il doit
pouvoir porter une image de grande compétence professionnelle, d’objectivité et
de probité. Il doit posséder des qualités humaines d’écoute et de compromis. Il doit
faire preuve d’une autorité de sens qui inspire confiance à ses pairs.
Positionner
Nous préconisons qu’il soit positionné directement auprès de la direction,
comme on peut le voir dans la cartographie des acteurs en annexe n°8 (p 115).
Il ne doit pas être pour autant au service exclusif de la gouvernance, mais de tous
les acteurs décisionnels du SDIS. Aussi, ce responsable doit avoir une
indépendance vis-à-vis de la ligne hiérarchique et des services, garantissant sa
neutralité, et lui permettant d’œuvrer pour « l’intérêt supérieur » du SDIS.
Missionner
Nous préconisons qu’un terme relativement neutre et facilement
compréhensible, désignant la fonction du coordinateur, soit adopté, en tenant
compte de l’histoire et de l’identité du SDIS. Ce coordinateur doit être
destinataire d’une lettre de mission dont le contenu peut être :
o De garantir que la maîtrise des risques se fasse dans un but
d’amélioration continue ;
o D’assurer la diffusion des méthodes, d’animer des équipes, de monter
le plan de communication ;
o D’adopter une position d’interface entre la direction et le reste de
l’organisation.
48
4.1.2.3. Former à la maîtrise des risques
Passer à la culture de la maîtrise des risques et de l’amélioration continue implique
une technicité et une approche nouvelles. Elle est peu diffusée chez les cadres des
SDIS, même si les résultats de l’enquête montrent des signes encourageants. En
effet, 30% des SDIS interrogés déclarent être au stade de l’écriture des processus.
Les SDIS disposent, pour se doter de cette technicité suffisante, de plusieurs
moyens :
Le benchmarking et le benchlearning, en se déplaçant dans des entreprises
privées ou d’autres administrations ;
L’affectation de cadres ayant une formation en gestion ;
L’auto-formation par le recours à la lecture d’ouvrages et l’étude de normes
déjà existantes ;
La formation auprès de l’IFACI : cet organisme propose des formations qui
donnent des certifications internationales. Celles-ci sont détaillées en annexe
n°9, p 117 ;
La formation auprès des différents types d’établissements d’enseignements
supérieurs (Faculté de gestion dans les universités, école de commerce, Institut
d’administration des entreprises, Institut universitaire technologique), ou
auprès des établissements publics axés sur la formation pour adulte (CNFPT,
INET, Conservatoire national des arts-et-métiers etc.) ou auprès d’organismes
privés de formation.
Cependant, la grande majorité des officiers de sapeurs-pompiers possèdent des
notions ou des qualifications en gestion des risques de sécurité civile, reçues au
cours de leur formation universitaire, à l’ENSOSP ou dans leur SDIS. La notion de
risque est familière et constitue la raison d’être de leur métier : les prévenir et y
faire face. Il faut donc faire appel à cette culture tout au long du projet.
4.1.2.4. Communiquer la démarche
La communication appartient à la gouvernance du SDIS. Elle cible l’ensemble des
personnels. Il est notamment nécessaire de communiquer la démarche en interne
auprès des instances consultatives et des partenaires sociaux pour faire
coïncider la méthode avec les attentes de la stratégie de la direction.
Par ailleurs, l’appellation « contrôle interne » est négativement connotée.
L’appellation de « maîtrise des risques » qui est la terminologie consacrée n’est
pas nécessairement compréhensible par tous. En outre, chez les sapeurs-pompiers,
elle pourrait être associée à la gestion des risques. Si la mission fixée est plus
large, des appellations comme « performance globale », « qualité dans les
services », « amélioration continue » peuvent être retenues.
49
4.1.3. Conduire l’état des lieux du SDIS et l’analyse de ses vulnérabilités
4.1.3.1. Collecter les besoins et attentes des centres de secours et des
services pour la définition des objectifs
Nous préconisons de collecter l’ensemble des besoins et attentes des CIS et de
l’ensemble des services et groupements.
En effet, la maîtrise des risques découle de la définition précise des objectifs et de
la rédaction des processus. Il s’agit de faire l’inventaire de ceux qui ont été
effectivement définis. Et, d’une manière générale, il est nécessaire de conduire un
état des lieux.
Pour cela, nous préconisons d’impliquer largement le personnel : PATS, SPP,
SPV. L’état des lieux précis sera d’autant plus précis, et cette implication
collective favorisera la motivation. La démarche sera d’autant mieux appropriée.
Cet état des lieux doit conduire à collecter l’ensemble des besoins et attentes des
différents acteurs du SDIS.
Une simple enquête peut suffire. Nous citons pour cela l’exemple du groupement
technique et logistique du SDIS de l’Oise, dont nous avons interviewé le chef de
groupement. Ce responsable a lancé une grande enquête dans les centres de
secours afin d’améliorer le service rendu par son groupement. Tout un ensemble
de préconisations a été remonté, aboutissant à un plan de 70 actions priorisées. Ces
mesures sont mises en place au fil du temps. Les centres de secours reconnaissent
le caractère pragmatique et efficace de la démarche et sont particulièrement
satisfaits des améliorations apportées.
Pour disposer d’un état des lieux plus complet, le CAF peut être utilisé. Il s’agit de
l’autoévaluation issue de l’EFQM (European Foundation for Quality
Management). Le référentiel EFQM est présenté en annexe n°10, p 119. Cette
autoévaluation donnera une vision générale du niveau de performance du SDIS. Il
est important de préciser que cette étude doit concerner tous les acteurs du SDIS
dans une démarche systémique.
Egalement, une étude65 de l’IFACI préconise trois méthodes d’autoévaluation, qui
peuvent être mises en œuvre en fonction du degré d’imprégnation des intervenants
au contrôle interne. Cette étude est présentée en annexe n°11, p 125.
65 Guide d’audit – L’auto-évaluation du contrôle interne, octobre 2005, IFACI
50
4.1.3.2. Etablir la cartographie des risques pour isoler les vulnérabilités clés
Nous préconisons de répertorier les vulnérabilités clés (principales) sur la
base de l’état des lieux issu des résultats de l’autoévaluation. En allant à
l’essentiel, cette méthode permet de gagner un temps considérable.
L’état des lieux fait remonter les attentes et observations des opérationnels. A sa
lecture, de nombreux risques apparaissent déjà. Cette base est complétée par des
hypothèses et questionnements émanant du coordinateur projet.
A cette étape, on aborde la cartographie des risques dans un mode "Top Down"
(analyse des risques, rattachement des risques aux processus, évaluation et
hiérarchisation des risques), selon l’IFACI66
.
Cela permet de conduire une étude des risques simple pour isoler les
vulnérabilités principales dans l’organisation SDIS.
Citons pour exemple :
La vérification des engins : est-il admissible d’attendre la vérification
journalière pour constater l’absence d’un matériel ?
La couverture opérationnelle : existe-t-il un risque de simultanéité
d’interventions conduisant à la rupture de la réponse ?
L’aptitude opérationnelle des personnels : un SDIS doit-il mettre en place
un système qui exclut temporairement un personnel qui ne maîtrise pas
une technique opérationnelle ?
Les infrastructures des systèmes d’alerte : prévoient-elles les solutions de
contournement en cas de rupture ? Y-a-t-il un plan de continuité
d’activité ?
Les effectifs de gardes : quelle exigence à les atteindre et les tenir ?
L’approvisionnement en matériels et la réparation des agrès : y-a-t-il une
vision claire de ce que l’on tolère en termes d’indisponibilité sur un ou
plusieurs centres de secours ?
L’exemple décliné en annexe n°5 (figure 1), p 101, illustre l’identification de
vulnérabilités clés.
Les méthodologies couramment utilisées en management des risques suivent les
mêmes étapes. Cette étude peut se faire en quatre phases67
:
Identifier les risques ;
Analyser les risques ;
Traiter les risques ;
Piloter par des plans d’actions (action centrale du contrôle interne).
66
IFACI (2006) Guide d’audit « Cartographie des risques », Groupe professionnel Assurance, IFACI – Les cahiers de la recherche
67 Etude proposée par le cadre de référence sur les dispositifs de gestion des crises et de contrôle interne de l’Autorité des Marchés Financiers (AMF) et
adaptable aux SDIS
51
Par ailleurs, il convient de se référer au mémoire de Master du Commandant
Cédric Rigollet68, qui porte sur la nécessité de mettre en exergue pour chaque
ressource (humaine, financière, informationnelle, technique) les vulnérabilités du
SDIS. Un extrait d’un tableau des dangers d’un SDIS est présenté pour exemple en
annexe n°12, p 127.
L’identification des risques part du principe que toute organisation, et donc les
SDIS, est confrontée à un ensemble de vulnérabilités en provenance aussi bien de
son propre fonctionnement interne que de son environnement extérieur. Plusieurs
méthodes et outils permettent d’identifier et d’analyser les risques. Elles sont
présentées de manière synthétique en annexe n°13, p 129. Le traitement est abordé
au paragraphe 4.1.4.1 et le pilotage aux paragraphes 4.1.5.2 et 4.1.5.3.
4.1.4. Décider d’un plan d’action sur les processus à améliorer et les plans de
continuité d’activité à mettre en place
4.1.4.1. Arbitrer
Nous préconisons que ce premier arbitrage porte sur des actions facilement
réalisables mais à enjeux forts.
Avec le retour des enquêtes et du CAF, l’équipe de direction dispose maintenant
d’un état précis du fonctionnement de son organisation. La cartographie des
risques permet d’avoir une vision globale des risques.
L’exemple en annexe n°5, p 101, montre comment la cartographie des risques peut
être établie à partir d’outils simples comme la méthode des « cinq pourquoi ».
Elle peut dès lors réaliser un arbitrage quant aux processus à améliorer, avec
priorisation, et fixation d’objectifs de qualité précis. Elle peut également décider
des activités devant faire l’objet de plans de continuité d’activité.
Pour permettre cet arbitrage, il est nécessaire d’établir des documents synthétiques.
L’exemple en annexe n°5, p 101, montre comment une matrice FFOR peut
constituer une aide à la décision.
68 Rigollet Cédric . 2010. La vulnérabilité des ressources élémentaires des Services Départementaux d’Incendie et de Secours. Méthode globale pour analyser
l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la crise économique et financière.. Mémoire de fin d’études du master
Gestion des risques de Sécurité Civile. Université de Haute-Alsace/ENSOSP
52
Face aux risques, il existe quatre réactions, dites des quatre « T » 69 :
Tolérer ou accepter (le risque à son niveau actuel) ;
Traiter (le risque pour en diminuer la sévérité à un niveau
acceptable) ;
Transférer (le risque ou l’activité qui le génère vers un tiers ou
une assurance) ;
Terminer (supprimer l’activité qui génère le risque).
L’arbitrage portera donc sur les actions à conduire de manière prioritaire, en ayant
à l’esprit ces quatre modes de traitement des risques. Les actions non reconnues
comme prioritaires sont mises en attente et pourront être mises en œuvre
ultérieurement ; il ne sera alors pas nécessaire de reconduire le travail de recueil et
d’analyse.
L’arbitrage peut dès lors être communiqué. La démarche ayant été conduite de
manière participative, l’adhésion d’une majorité d’agents est attendue. Il est
important de préserver la dynamique collective et d’obtenir des résultats rapides.
L’enjeu est de faire adhérer à la méthode et de susciter la motivation.
C’est dès lors un véritable projet qui doit être mené avec un planning, la mise en
place de groupes de travail et l’implication des différents services.
Le cadre coordinateur désigné peut alors, compte-tenu de ces orientations, établir
le planning de réalisation pour poursuivre son travail avec les opérationnels.
4.1.4.2. Etablir le planning de réalisation
Nous préconisons que les actions arbitrées soient réalisables dans un délai
court (inférieur à 1 an), pour obtenir l’adhésion. Les arbitrages de la
direction doivent le permettre.
69 « 100 questions pour comprendre et agir- le Contrôle Interne » de P.NOIROT et J.WALTER
53
4.1.5. Mettre en place les processus et les plans de continuité d’activité.
Nous préconisons que la mise en place des processus et des plans de continuité
d’activité soient le moment de la mobilisation des énergies. Pour cela, la
constitution des groupes de travail est une étape cruciale. Ceux-ci doivent refléter
toutes les parties prenantes du processus.
4.1.5.1. Constituer des groupes de travail
Nous préconisons que les groupes de travail soient placés sous la conduite de
« pilotes de processus », terme consacré en gestion. Le pilote de processus est
chargé d’en surveiller le bon « état de santé ». Il a donc vocation à perdurer. Son
profil est celui d’une personne qui a un intérêt à la réalisation du processus. Ce
n’est pas nécessairement un chef hiérarchique du groupement fonctionnel
concerné. Leur désignation est aussi l’opportunité de valoriser certains agents.
Les groupes de travail constitués vont pouvoir s’appuyer sur les données collectées
pour œuvrer.
Cependant, l’écriture et l’amélioration des processus nécessitent un minimum de
formation et/ou supervision par une personne qualifiée. Mais la compréhension en
est relativement simple. Dans l’exemple de l’annexe n°5, p 101, (figure 2),
l’activité concernée est décrite par son processus. Sur celui-ci, sont identifiés les
risques qui doivent être traités.
Pour la mise en place des plans de continuité d’activité, nous préconisons de
recourir au « Référentiel de bonnes pratiques PCA »70 de l’AFNOR.
Les processus améliorés et les plans de continuité d’activité proposés par les
groupes de travail doivent ensuite être validés pour mise en œuvre.
4.1.5.2. Faire vivre les processus sous la surveillance d’un pilote
Nous préconisons que les processus soient effectivement mis en œuvre et
pilotés. La bonne exécution du processus incombe aux agents qui en sont chargés.
Le pilote va récupérer toutes les informations et données significatives de son
fonctionnement afin d’étudier les écarts qui peuvent affecter l’atteinte de l’objectif.
Les plans de continuité d’activité sont également des processus, conçus en cas de
défaillance des processus principaux, et devront donc faire l’objet de la même
gestion. Ils se doivent d’être les plus simples et clairs possible car ils seront mis en
œuvre dans un mode dégradé, générateur de stress par essence.
70 Référentiel des bonnes pratiques n° BP Z 74-700– Le plan de continuité d’activité. AFNOR Editions 2011
54
4.1.5.3. Construire des indicateurs permettant de mesurer l’atteinte des
objectifs
Nous préconisons de construire des indicateurs simples et pertinents
permettant une vision claire des écarts. Ils sont pour cela positionnés sur les
processus. Ces indicateurs doivent être en nombre limité (moins de trois et
idéalement un seul), en fonction des points à contrôler pour l’atteinte des objectifs.
Des logiciels requêteurs sont actuellement utilisés par de nombreux SDIS pour les
guider dans cette démarche de contrôle. Ils permettent de croiser des données entre
elles (exemples : ASTRE, OXIO, TITAN, SIPA, etc.). Mais cette étude ne sera
efficace que si elle est en corrélation avec les risques du SDIS, afin de « réajuster
le tir » si besoin. Le pilotage par les tableaux de bord doit cependant aussi intégrer
la fonction anticipation, comme nous le faisons dans le GOC via le SAOIELC71,
pour ne pas se laisser déborder par les potentiels événements défavorables.
4.1.6. Effectuer une revue de direction pour un nouveau plan d’action
Nous préconisons d’utiliser la technique de la revue de direction pour faire le
point sur le fonctionnement d’un processus donné. C’est le pilote de processus qui
pourra attester que le processus, dans le cadre d’un fonctionnement normal ou
d’un PCA, répond bien aux objectifs qui lui ont été dévolus.
4.1.6.1. Mesurer l’écart entre l’atteinte des objectifs et la réponse aux
besoins
Il s’agira de vérifier si le processus examiné répond aux besoins, si les attentes ont
été comblées et si les risques ont effectivement diminués. Cette appréciation va
permettre un nouvel arbitrage pour le prochain plan d’action.
4.1.6.2. Arbitrer dans le cadre d’un nouveau plan d’action
L’arbitrage va se conduire sur trois axes :
Continuer à améliorer les processus ;
Travailler sur les processus non traités ;
Compléter la cartographie des risques.
Un nouveau plan d’action peut alors être conduit, sur le modèle du premier.
71 Méthode de raisonnement tactique issue de l’unité de valeur « Gestion Opérationnel et Commandement » qui permet au commandant des opérations de
secours d’optimiser sa prise de décision sur intervention. (Situation/ Anticipation/ Objectifs/ Idées de manœuvre/Logistique/ Commandement)
55
4.1.7. Pérenniser la démarche
Dès lors, le SDIS peut continuer à relancer la démarche.
4.1.7.1. Fiabiliser le SDIS par l’amélioration continue, dans un objectif de
performance.
Nous préconisons que le SDIS poursuive la mise en place d’un système de
management intégré permettant l’amélioration continue. L’amélioration
continue conduit à la diminution des procédures et donc des risques.
Dans cette perspective, la maîtrise des risques n’est qu’une source d’informations
quant aux vulnérabilités. Et l’organisation est donc en capacité de réagir.
Ainsi, en qualité, le contrôle interne et la maîtrise des risques appartiennent au
« C » du « PDCA », qui signifie « check » (contrôler, vérifier) de la roue de
Deming. Ils se rangent donc dans l’activité de mesure et d’analyse au sens des
normes ISO de la série 9000 (ISO 9000, 9001, 9004). Toutes ces normes
présentées en annexe n°7, p 107, ont donc une partie consacrée à l’autoévaluation,
à la surveillance, à la mesure, à l’audit et à l’appréciation des risques. Pour la
maîtrise des risques, elles renvoient à la norme ISO 31000:200972 .
Nous préconisons que le processus de management du risque soit mis en place
dans l’esprit de la norme ISO 31000. L’objectif est de permettre au SDIS
d’atteindre un niveau de maîtrise suffisant de son organisation même si cela peut
prendre plusieurs années.
On peut voir, au travers de la figure 10 ci-dessous, comment le processus est lié à
la fois à la notion de surveillance et de revue et à la notion de communication et
de concertation.
Figure 10 - Processus du management du risque selon la norme ISO 31000 (2009)
72 Norme ISO 31000 version 2009 Management du risque – Principes et lignes directrices, AFNOR,2009
56
Cette norme est complétée par les fascicules de documentation et les guides
suivants :
FD X 50-252 Lignes directrices pour l’estimation des risques ;
Guide ISO/CEI 31010, gestion des risques – Techniques d’évaluation
des risques ;
Guide ISO/CEI 73:2009 Management du risque – Vocabulaire ;
FD X 50-117, Management de projet – gestion du risque –
Management des risques d’un projet.
L’enjeu est que cette démarche soit acquise par l’ensemble des personnels et que
le SDIS soit réactif. Dès lors, le SDIS peut être lui-même audité.
4.1.7.2. Auditer le SDIS
La démarche engagée permet aux responsables hiérarchiques de mener dans un
premier temps un audit interne objectif et accepté.
Dans un second temps, le SDIS, maîtrisant désormais ses risques, est prêt à
faire l’objet d’un audit externe. Il peut décider lui-même de s’y soumettre. En
effet, un SDIS promouvant le contrôle interne et la maîtrise des risques et
fonctionnant de manière efficace fera la démonstration de l’acceptation du contrôle
externe. Il montrera ainsi l’exemple.
L’enjeu pour le SDIS et ses personnels est aussi la reconnaissance du travail des
agents et l’appréciation de la qualité du service rendu. Pour les élus et la
population, c’est la garantie du travail dans l’intérêt général et la valorisation de
l’image du SDIS.
La norme ISO 9000:2008 (annexe n°7, p 107) fixe les principes généraux de la
démarche qualité et ne fait pas l’objet d’une certification. Cependant la
gouvernance du SDIS peut souhaiter que l’établissement public soit certifié. Dans
ce cas, voici la base de deux normes qui seront utiles :
La norme ISO 9001:2008 portant essentiellement sur l'efficacité du
système de management de la qualité à satisfaire les exigences des
clients ;
La norme ISO 9004:2009 intégrant les besoins de toutes les parties
prenantes et poursuit le développement durable de l’organisation.
La norme ISO 31000 version 2009 est simplement la déclinaison du processus du
management du risque. N’étant qu’une déclinaison du management de la qualité,
elle ne fait donc pas l’objet d’une certification.
57
Enfin, le SDIS peut souhaiter s’inscrire dans le cadre de l’EFQM, présenté en
annexe n° 10 (p 119), pour lequel existent plusieurs niveaux de reconnaissance :
Engagement vers l’Excellence ;
Reconnaissance de l'Excellence ;
Prix Français Qualité Performance ;
Prix européen de l'Excellence EFQM.
4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE
MANAGEMENT DES RISQUES AU SEIN DES SDIS
4.2.1. L’activité opérationnelle comme enjeu majeur de la maîtrise des risques
L’évolution vers la maîtrise des risques n’aura lieu que si elle porte d’abord sur
l’activité des SDIS : l’opérationnel (intervention et CTA-CODIS) et le péri-
opérationnel (maintien opérationnel des personnels, des engins et infrastructures),
soit les premier et second niveaux de la figure 9 - Proposition de représentation des
niveaux de priorités à traiter par le contrôle interne.
Il serait en effet insuffisant de ne faire porter exclusivement la maîtrise des risques
que sur les activités qui en découlent (ressources humaines, finances, formation,
etc.). Ce serait exclure l’activité production de service de la structure et la grande
majorité des personnels qui la compose. Ces activités classiques sont d’ailleurs
moins problématiques à maîtriser car on les trouve dans d’autres organisations.
Lors des entretiens, la question de l’évaluation de l’activité opérationnelle a été
la plus prégnante. L’enquête révèle également qu’elle est l’activité sur laquelle la
maîtrise des risques doit apporter sa contribution en priorité.
Par conséquent, si l’opérationnel et le péri-opérationnel sont exclus du champ de la
maîtrise, l’impact de la mise en place de la démarche sera presque nul.
Si cette culture s’arrête au marchepied de l’agrès, elle ne pourra pas se diffuser. En
s’interrogeant sur la maîtrise des risques opérationnels et péri-opérationnels, des
constats fondamentaux ont émergé :
Nous devons maîtriser tous les moyens d’amélioration opérationnelle ;
Ces moyens étaient connus de nos anciens et leur pratique risque
d’être perdue.
D’une manière générale, le principe de base consiste à évaluer les sapeurs-
pompiers au plus près de leur pratique opérationnelle. Par ailleurs, l’Etat souhaite
que cette évaluation ait lieu et l’a même consacrée dans la loi de modernisation de
la sécurité civile.
58
Néanmoins, il est communément admis qu’il est très difficile d’évaluer l’activité
opérationnelle d’un SDIS. Nous effectuons les préconisations suivantes qui
démontreront qu’il est possible de changer de paradigme.
4.2.1.1. Maîtriser le facteur humain
Nous citerons l’exemple de l’armée de l’air française qui a institué le droit à
l’erreur. Un extrait de l’instruction émanant du général commandant les forces
aériennes est disponible en annexe n°14, p 133.
Le mémoire du Lieutenant-Colonel Thierry Carret73, intervenant à l’ENSOSP,
traite de la question du facteur humain. Pour maîtriser les risques opérationnels, il
faut objectiver les erreurs et accepter le facteur humain. La source d’amélioration
se situe dans les milliers d’erreurs quotidiennes non déclarées par crainte de la
sanction. Cette masse d’informations constituerait une capitalisation de retours
d’expériences utiles à l’organisation, permettant de prévenir un accident plus
grave (cf. annexe n°15, p 135, présentant la pyramide de Bird).
4.2.1.2. Maîtriser l’aptitude opérationnelle,
Maîtriser les risques, c’est maîtriser le risque de rupture de la compétence. La
gestion de l’aptitude opérationnelle consiste à ériger le principe selon lequel un
sapeur-pompier doit faire ses preuves pour pouvoir partir en intervention. Il faut
donc mettre en place un contrôle et accepter que, dans certains cas, l’aptitude
opérationnelle d’un agent soit retirée temporairement pour assurer la sécurité
individuelle et collective.
Pour qu’un système de gestion de l’aptitude opérationnelle soit efficace, il faut
que :
L’appréciation s’appuie sur le résultat attendu de la bonne exécution
d’une manœuvre de terrain. Ce résultat est variable selon le contexte
et découle d’un savoir-faire. Par conséquent, l’appréciation
hiérarchique suffit. Il n’est pas nécessaire de mettre en place une
gestion complexe de grilles d’évaluation (nécessaires en formation
initiale par ailleurs) qui paralyserait le dispositif. L’appréciation
validé/non validé suffit.
73 Carret Thierry . 2007 . Démarche pratique en santé sécurité au travail ou comment favoriser une vraie culture de sécurité individuelle et collective à même de
rendre pérenne un système de management de la sécurité. Mémoire de DDA ENSOSP
59
L’appréciation doit être le résultat de plusieurs évaluations. Ainsi, elle
résulte du cumul des appréciations des chefs de gardes pour les
hommes du rang, des chefs de groupes pour les chefs d’agrès, des
chefs de colonnes pour les chefs de groupes, des chefs de sites pour
les chefs de colonnes ;
L’évaluation doit être aléatoire. Les systèmes de gestion de l’aptitude
opérationnelle qui se font sur la base d’un programme ou de la volonté
de valider toutes les connaissances échouent généralement. En effet, la
quantité de techniques opérationnelles est si importante qu’il est
nécessaire de les regrouper et d’accepter que leurs variantes ou leurs
détails ne soient pas tracés ;
Le sapeur-pompier doit pouvoir avoir une marge de progression, en
vertu du droit à l’erreur, avant de se voir retirer l’aptitude.
Ce système permet de concilier exigence opérationnelle et facteur humain.
4.2.1.3. Maîtriser l’expérience par le RETEX
Il est très difficile de mettre en place un contrôle sur intervention. D’un point de
vue culturel et dans un souci d’efficacité, le contrôle doit être organisé en amont
de l’intervention. Ainsi la préparation opérationnelle doit se jouer au plus près de
la réalité. Le RETEX constitue alors l’élément clé pour apporter les éléments
permettant de reconstituer la réalité. Le RETEX est cependant difficile à
développer dans la mesure où il est ressenti comme mettant souvent en cause les
intervenants. C’est la raison pour laquelle il doit être conduit de manière
systématique et organisé de telle sorte que l’on ne puisse cibler la faute
individuelle, mais bien l’action collective. Nous sommes ici au cœur de la
démarche d’amélioration continue.
D’ailleurs, la Loi n° 2004-811 du 13 août 2004 dite de modernisation de la
sécurité civile, dans son annexe, préconise le retour d’expérience « utile au
perfectionnement permanent des dispositifs conçus pour faire face aux risques ».
4.2.1.4. Maîtriser la formation
La formation doit tenir compte du RETEX. Mais elle constitue elle-même une
possibilité d’optimisation de nos pratiques. Sachant que la formation des
sapeurs-pompiers est essentiellement basée sur la mise en situation, elle permet
d’améliorer une doctrine opérationnelle, une technique, un matériel.
60
4.2.1.5. Maîtriser le terrain
Pour cela, nous préconisons de manœuvrer sur le terrain et tester notre
réponse opérationnelle en permanence.
Maîtriser les risques, c’est les anticiper. Les SDIS doivent donc pouvoir tester
leur réponse de la manière la plus réaliste possible. En effet, si le SDIS est certain
de la qualité de sa réponse, la tester ne constitue pas un risque.
A l’échelle du SDIS, concrètement, il s’agit de faire déclencher par le CODIS des
exercices en réel, avec les moyens départementaux disponibles. Cela permet
également de tester la capacité de réponse opérationnelle et de recouverture.
A l’échelle des intervenants de terrain, il faut considérer que le métier opérationnel
ne peut pas se mettre sous forme de procédures infaillibles. Il fait appel à un
savoir-faire complexe et à une capacité d’adaptation. Le sapeur-pompier doit ainsi
faire face à des évènements réels dynamiques, toujours différents. La connaissance
du terrain et de ses acteurs (pouvoirs publics, services publics, entreprises privées
génératrices de risques, …) permet la préparation à l’évènement. Là encore, un
exercice en condition réelle permet d’atteindre ces objectifs au mieux.
A l’échelle de la chaîne de commandement, les exercices réels sont la source
essentielle de maîtrise. En effet, l’occurrence des interventions mettant en œuvre la
chaîne de commandement est beaucoup plus réduite. Il faut cependant préciser que
la formation en réalité virtuelle se développe et constitue un complément
incontournable pour l’avenir. Ainsi, des installations existantes sont modélisées.
Des scénarios impossibles à réaliser en exercice réel peuvent alors être simulés. La
réalité virtuelle constitue ainsi un complément à l’exercice réel.
4.2.1.6. Maîtriser le savoir-faire
Les SDIS doivent encourager l’autoévaluation et les évaluations croisées. Ce sont
là encore des pratiques promues par les démarches qualité. En effet, la seule
connaissance des techniques ne suffit pas. Une grande part de l’efficacité
opérationnelle est fondée sur la remise en question, l’expérience, la cohésion et
la pratique collective.
L’autoévaluation est de nature à favoriser la remise en question et l’expérience.
Les évaluations croisées poursuivent également ces objectifs et favorisent la
cohésion et la pratique collective.
Ces deux pratiques sont de nature à fiabiliser la réponse opérationnelle et à
diminuer les risques de défaillance.
61
4.2.2. Développer une culture nationale de maîtrise des risques
A l’échelle nationale, l’impulsion peut être donnée par la DGSCGC, en
poursuivant son projet de capitalisation et de partage de bonnes pratiques. Elle a
tout son rôle à jouer dans la diffusion des RETEX.
Cette mission peut être également développée par l’Inspection de la Défense et de
la Sécurité Civiles, dans sa mission « prévention des accidents et enquête », afin
que la sécurité des acteurs de la sécurité civile reste une préoccupation majeure et
que les situations accidentelles soient partagées, diffusant ainsi une culture de la
maîtrise des risques.
L’ENSOSP peut proposer ce sujet dans le cadre de ses colloques, des FMPA de
DDSIS et de DDA.
Mais surtout, l’ENSOSP peut intégrer des cours de management des risques.
Mais, s’il doit y avoir une évolution, celle-ci ne peut passer que par le croisement
des pratiques entre le secteur privé, les SDIS et les autres administrations.
Il est donc préconisé de continuer à intégrer dans les intervenants de
l’ENSOSP des chercheurs et des opérationnels qui travaillent dans ces
domaines.
Les partenariats à engager peuvent concerner des secteurs dont l’activité
opérationnelle est marquée : défense nationale, aéronautique, logistique, etc.
L’IFACI, ou des contrôleurs certifiés par celui-ci, pourraient être directement
associés dans les enseignements de l’ENSOSP. Le changement de culture en
interne interviendra au contact de ceux qui sont externes à notre culture.
L’ENSOSP est donc un vecteur essentiel de diffusion de cette nouvelle culture. A
ce titre, le Portail National des Ressources et Savoirs (plateforme dématérialisée de
partage du savoir de l’ENSOSP) peut constituer un atout intéressant.
Enfin, localement, les SDIS peuvent former leurs cadres. Ces maillons essentiels
de relais de décision doivent pouvoir saisir les enjeux de cette nouvelle approche
et ainsi adhérer et faire adhérer.
63
CONCLUSION
« Se faire battre est excusable, se faire surprendre est impardonnable »
Napoléon Bonaparte
Le contrôle interne, issu du monde de la finance, était orienté sur la notion de fraude et
s’est ouvert à la maîtrise des risques et à la performance. L’actualité montre que des
dispositifs de contrôle existants peuvent souffrir de lacunes. Citons l’exemple récent de
l’institution bancaire BNP Paribas (banque nationale de Paris) qui s’est vu infliger une
amende record de 8,97 milliards d’euros pour avoir violé des embargos américains contre
le Soudan, Cuba et l’Iran. La banque a ainsi avoué dans un courrier à ses clients : « au-delà
des défaillances individuelles, il y a eu aussi certains défauts de vigilance et de réactivité
(…) nous avons renforcé très significativement nos dispositifs de contrôle et de sécurité ».
Au-delà des banques ou autres sociétés cotées en bourse, où le contrôle interne est intégré
de par la loi, l’Etat et ses établissements publics ne peuvent échapper à ce dispositif garant
d’une gestion saine et responsable, et démontrant la capacité et la volonté de leurs
dirigeants à prendre en compte les attentes de la société. Reinhart Kosellec74y voit là
l’expression de la volonté des peuples modernes: « cette capacité d’une société à formuler
des critiques, réclamer des comptes et soumettre au jugement les actions publiques et
privées, est le fondement de nos démocraties ».
Ainsi, s’inscrivant dans le cadre des réformes initiées au sein des services de l’Etat, le
placement du contrôle interne au cœur des activités des SDIS semble devenir
incontournable à l’avenir afin d’assurer la maîtrise des risques inhérents à leurs activités.
Pour atteindre cet objectif, il faut être conscient que cela implique un changement
profond des mentalités et des procédures car l’enjeu impose la mise en place d’une
véritable culture de l’autocontrôle et la garantie de sa fiabilité. C’est une ouverture vers
plus de performance au sein de nos institutions et cela donne aussi aux financeurs des
SDIS la garantie d’une gestion responsable et efficiente, confortant la légitimité des
directeurs départementaux et de leur équipe de direction en tant que gestionnaire
compétent et pertinent.
L’évolution du contexte socio-économique et juridique de notre société laisse penser que la
capacité des SDIS à développer une culture de la vigilance fera partie des défis à relever
pour nos établissements publics. Des exigences accrues en matière de responsabilité, de
sécurité et de qualité, déjà présentes aujourd’hui, seront de plus en plus draconiennes.
74 Reinhart Koselleck, né le 23 avril 1923 à Gorlitz et mort le 3 février 2006 à Bad Oeynhausen, est un historien allemand moderniste et
contemporanéiste, généralement considéré comme l'un des plus importants du 20e siècle.
64
La maîtrise des activités et des vulnérabilités qui en découle devient un impératif pour
l’avenir des SDIS. Le dispositif de maîtrise des risques, par le biais d’indicateurs adaptés
entre autres, permet de donner des repères précis pour les orientations de la gouvernance.
La complexité et l’incertitude nécessitent d’employer des outils d’analyse et de
compréhension de phénomènes dynamiques et interdépendants.
Cette nouvelle approche, même si elle est gage de qualité, peut se voir opposer un certain
nombre de résistances humaines et financières et laisser penser en premier abord à un
alourdissement de la bureaucratie. Néanmoins, le développement d’entités dédiées à cette
problématique au sein des SDIS (contrôle interne, audit, évaluation de la performance,
contrôle de gestion) démontre que les responsables ont réellement commencé à prendre
conscience d’une telle nécessité pour au moins deux raisons.
D’une part, elle permet de se préparer à l’augmentation des recherches en responsabilité
qui commencent à porter aujourd’hui sur les techniques et choix opérationnels, le juge
étant de plus en plus entouré d’experts compétents.
D’autre part, elle contribue, au travers de l’augmentation de l’efficience opérationnelle, à
la maîtrise des dépenses. C’est pourquoi de nombreux rapports (Cour des comptes, Sénat,
…) préconisent aux SDIS de développer leurs outils de contrôle interne afin d’adapter leur
organisation aux besoins qu’ils doivent satisfaire.
C’est là tout l’objet de la problématique de notre mémoire sur le fait que le contrôle
interne puisse apporter une plus-value pour les SDIS.
Une politique nationale incitative via la DGSCGC, devrait être développée comme cela a
débuté, pour aboutir à une capitalisation des bonnes pratiques des SDIS, permettre une
comparaison et enfin installer une culture de la performance au sein de notre service
public. L’étroite imbrication entre le contrôle interne et le management des risques pourra
ainsi être exploitée pour dépasser le simple objectif de conformité à une norme et faire de
cette fonction un puissant outil de pilotage stratégique. Cela démontrera notre capacité à
faire évoluer notre institution face aux défis qui s’annoncent.
Lors du congrès 2014 de la FNSPF (Fédération nationale des sapeurs-pompiers de France),
le ministre de l’intérieur Bernard Cazeneuve a fixé comme priorité le renforcement de
l’efficience du service public de secours d’urgence avec la volonté de conforter la
compétence partagée de l’État et des collectivités locales.
Il a ainsi indiqué « L’État doit être garant de l’égalité des citoyens face au service public.
Compte tenu des enjeux sur le dérèglement climatique, sur les risques liés au terrorisme,
sur la nécessité de faire face à un certain nombre de défis sanitaires, j’estime que c’est à la
Direction générale de la sécurité civile et de la gestion des crises, dans un dialogue étroit
avec les présidents de conseils généraux, de définir les moyens d’anticipation,
d’organisation et d’adaptation de nos services à ces enjeux de demain ».
65
A terme, un référentiel de contrôle interne des SDIS, issu d’un premier retour
d’expérience et de bonnes pratiques, pourrait être édité afin de donner un socle commun
pour la maîtrise de nos activités. La gouvernance nationale dans ce domaine, en appui
des SDIS, pourrait permettre une meilleure gestion, notamment en matière de pilotage et
de coopération, si souvent préconisés. C’est une des clés de la cohérence du dispositif de
sécurité civile.
L’ENSOSP, en tant que garante d’une culture commune aux officiers, devrait être associée
à cette démarche pour que les formations initiales ou de professionnalisation intègrent des
formations sur le contrôle interne et la performance. Cela permettrait, comme cela a été
développé pour le GOC, de disposer d’un langage commun et favoriserait son adhésion.
Ces notions devraient également être partagées aux PATS d’autorité, qui sont souvent
affectés à des emplois de direction stratégiques (contrôle de gestion, responsable
administratif et financier, etc.). De plus, il pourrait être intéressant de développer un
partenariat avec l’IFACI, pour intervenir sur ces thèmes, au niveau des formations des
cadres.
Cet effort doctrinal que nous avons présenté, même s’il ne peut résoudre tous les maux,
démontre la force d’un courant de l’Administration, à laquelle les SDIS ne peuvent
désormais se soustraire. En tout état de cause, il ne faut pas oublier que le risque majeur
restera toujours l’inertie, et que nos institutions se doivent d’être innovantes et pro
actives, afin d’assurer leur mutabilité dans un monde qui demande toujours plus de sécurité
au moindre coût. L’avenir nous impose d’assurer la maîtrise de nos risques et les
contraintes budgétaires nous engagent vers la voie de projets annuels de performance via le
CAF par exemple. La démarche d’amélioration continue engagée est donc vitale pour
l’optimisation de l’utilisation des deniers publics, en plaçant l’Homme au centre de
l’organisation.
Une démarche d’accompagnement au changement est nécessaire pour assurer la
diffusion, l’appropriation effective et donc la transmission entre générations, de ces
nouvelles valeurs organisationnelles. Cela implique de développer nos outils de
management à ce nouveau paradigme. Le management par la confiance et la
responsabilisation des cadres sont donc des préalables indispensables à ces nouveaux défis.
La capitalisation des compétences de chacun pourrait ainsi être mieux utilisée et profiterait
à toute l’organisation.
C’est grâce à la conjonction de tous ces facteurs que la maîtrise des risques pourra faire
partie intégrante de notre culture organisationnelle, en libérant les capacités d’innovation
du service, contribuant in fine à la prévention des risques psychosociaux et à une meilleure
qualité de vie au travail.
67
ENTRETIENS
Par ordre chronologique :
Monsieur OUALLET, Contrôleur de gestion du Service Départemental d’Incendie et
de Secours du VAL D’OISE, NEUVILLE SUR OISE, le 25 février 2014
Le Commandant GRAVINA, Chef de la Section Opération Instruction du Groupement
n°3 de la Brigade des Sapeurs-Pompiers de PARIS, COURBEVOIE, le 7 mars 2014
Monsieur le Docteur Philippe DURETTE, Intervenant pour l’IFACI, PARIS, le 26
mars 2014
Monsieur Christophe REYNAUD, Adjoint au Sous-directeur des Services d’Incendie
et des Acteurs de Secours au sein de la DGSCGC, Paris, le 28 mars 2014,
Le Lieutenant-Colonel Jean-François FOULON, Chef du Groupement Analyse
Stratégique et Evaluation de la Performance du Service Départemental d’Incendie et
de Secours du PAS-DE-CALAIS, SAINT-LAURENT-BLANGY, le 2 avril 2014
Le Colonel Yvon TREPOS, Adjoint au chef de l’Inspection de la Direction Générale
de la Sécurité Civile et de la Gestion des Crises, le 8 avril 2014
Le Lieutenant-Colonel Régis BAUJOIN, Chef du Groupement Logistique du Service
Départemental d’incendie et de Secours de l’Oise, le 8 avril 2014
Monsieur Charles BONNIEL, Consultant, intervenant au CNAM, le 28 avril 2014
Le Lieutenant-Colonel Philippe SALLE, Chef du bureau pilotage, audit, contrôle de la
Brigade des Sapeurs-Pompiers de PARIS, CHAMPERRET, le 6 mai 2014
Monsieur Jean LE RAY, consultant chez Ad'XpR Conseil - Réseau AD'APTUS,
directeur de collection des parutions « Maîtrise des risques » de l’AFNOR.
Formateur/expert chez AFNOR Compétences sur ce même champ du management des
risques, le 28 mai 2014
Monsieur Philippe CANNARD, Inspecteur Général de l’Administration chargé de
l’évaluation des SDIS, le 10 juin 2014
Monsieur Laurent VAN CAENEGHEM, directeur du contrôle interne chez SITA
(filiale SUEZ « déchets »), le 29 octobre 2014.
69
BIBLIOGRAPHIE
AFNOR (2010), Management des risques. Pour assurer ! (Recueil de normes),
AFNOR Editions.
AFNOR (2010), Plan de continuité d’activité pour les PME/PMI de la région centre
Outil méthodologique. Région Centre
AVENIR SECOURS, Annuaire 2013-2014 de l’encadrement des services d’incendie
et de secours – Editions LE PERRAY
BOULLIER D. et CHEVRIER S. (2000) Les sapeurs-pompiers- des soldats du feu
aux techniciens du risque, Editions PUF
CARRET T. (2007), Démarche pratique en santé sécurité au travail ou comment
favoriser une vraie culture de sécurité individuelle et collective à même de rendre
pérenne un système de management de la sécurité. Mémoire de DDA. ENSOSP
COHEN A-G. (2012), La nouvelle gestion publique, Lextenso Editions
COMMES J-C, DROBACHEFF F, FARDEAU N, MEISSAT S, (2010), Elaboration
d’un document pro forma afin de permettre aux SDIS de s’autoévaluer au travers du
cadre d’autoévaluation des fonctions publiques. Mémoire de DDA. ENSOSP
CROZIER M, FRIEDBERG E, (1992) L'acteur et le système: Les contraintes de
l'action collective, éd. Seuil
CROZIER M, (1963) Le phénomène bureaucratique, éd. Seuil
DARSA J-D (2011), La gestion des risques en entreprise, Editions GERESO
DASSENS A, Méthode pour une approche globale de l’analyse de risques en
entreprise. Thèse pour l’obtention du grade de docteur - Discipline : Génie des
Procédés. Université de Haute-Alsace.
GIBERT P. (2009), Tableaux de bord pour les organisations publiques, Editions
DUNOD
GRENON A. et RAZER J. (2003), La maîtrise des activités à l’hôpital par le contrôle
interne, DOIN Editeurs
HASSID O. Le management des risques et des crises. Editions DUNOD
LE RAY J. (2010), Gérer les risques. Pourquoi ? Comment ? AFNOR Editions.
D’IRIBARNE P, (1993) La logique de l’honneur- gestion des entreprises et traditions
nationales, éd. du Seuil
IRIBARNE P, VERDOUX P, (2008). La haute performance publique- Comment
évaluer les performances des organismes publics. AFNOR Editions.
70
MINTZBERG H. (2006), Structure et dynamique des organisations, Editions
d’Organisation
MINTZBERG H (2004) Le management. Voyage au centre des organisations, éd.
d’Organisation
MONGILLON P et VERDOUX S, (2008), L'entreprise orientée processus. Aligner le
pilotage opérationnel sur la stratégie et les clients. Afnor éd.
NOIROT P. et WALTER J. (2008), Le contrôle interne pour créer de la valeur,
AFNOR Editions
NOIROT P. et WALTER J. (2009), 100 questions pour comprendre et agir - Le
contrôle interne, AFNOR Editions
PARKINSON C NORTHCOTE, (1983) Les lois de Parkinson, éd. R.Laffont,
POMMMERET B, (2013), La boîte à outils de l’organisation, éd. Dunod
RENARD J, (2002), L’audit interne : ce qui fait débat. Collection Institut de l’Audit
Interne. Editions Maxima
REYNAUD J-M. et VANOLI J. (2004), Réaliser un guide procédures : enjeux,
méthode, outils, Editions de « La lettre du cadre territorial »
RIGOLLET C. (2010), La vulnérabilité des ressources élémentaires des Services
Départementaux d’Incendie et de Secours. Méthode globale pour analyser
l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la
crise économique et financière. Mémoire de fin d’études du master Gestion des
risques de Sécurité Civile. Université de Haute-Alsace / ENSOSP.
SAULPIC O, GIRAUD F, ZARLOWSKI P, LORAIN M-A, FOURCADE F,
MORALES J. (2012). Le contrôle de gestion, Editions Pearson
ZOBRIST JF. (2014), La belle histoire de FAVI, Editions Humanisme et
Organisations
FRITSCH H, (2012) La maîtrise des risques liés au processus de gestion des
réclamations clients. Mastère spécialisé « Audit Interne et Contrôle de Gestion »
71
ARTICLES, RAPPORTS DIVERS
AMF (2010), Cadre de référence sur les dispositifs de gestion des risques et de
contrôle interne
Général ABRIAL, (2006) L’éditorial du chef d’état-major de l’armée de l’air. Bulletin
de sécurité des vols
CALVEZ M. article intitulé Le seuil façonnable d’acceptabilité culturelle du risque,
Université de Rennes 2, U.F.R. Sciences sociales
CARASSUS D. Cours intitulé Principes d’audit et de contrôle interne, Université de
Pau et des Pays de l’Adour, Centre de recherche et d’études en gestion
COHEN AG. (2010), Une nouvelle façon de gérer l’Etat et l’Administration : contrôle
interne et audits publics, Politiques et Management public
COUR DES COMPTES (2011), Rapport public thématique : Les services
départementaux d'incendie et de secours. La Documentation française
COUR DES COMPTES (2013), La mutualisation des moyens départementaux de la
sécurité civile. La Documentation française
IFA (2010), Guide méthodologique relatif au suivi de l’efficacité des systèmes de
contrôle interne et de gestion des risques, IFA
IFACI (2006) Guide d’audit « Cartographie des risques », Groupe professionnel
Assurance, IFACI – Les cahiers de la recherche.
IFACI (2008), Meilleures pratiques- Des clés pour la mise en œuvre du contrôle
interne- Du bon usage du cadre de référence de contrôle interne de l’AMF, IFACI –
Les cahiers de la recherche.
IFACI (2009), Commentaires relatifs à la transposition des 4ème, 7ème et 8ème
directives Européennes, Groupe professionnel « contrôle interne »
IFACI (2009), Synthèse du colloque L’audit et le contrôle interne, levier de la
performance publique
IFACI (2013), Coso 2013, Une opportunité pour optimiser votre contrôle interne dans
un environnement en mutation. Pocket Guide
IFACI (2013), Le nouveau COSO… et ses 17 principes fondateurs pour un contrôle
interne efficient. Audit & Contrôle internes n°215
IFACI (2014), La gouvernance de l’audit interne au sein des services de l’Etat
INERIS (2004), Presque accident et risque d’accident majeur – Etat de l’art. Étude et
Recherche DRA-37 Retour d’expérience.
72
ISO (2010), Découvrir ISO 26000. Brochure.
Ministère du budget, des comptes publics, de la fonction publique et de la réforme de
l’Etat (2011), Décret n°2011-775 relatif à l’Audit Interne dans l’Administration
Ministère de l’Intérieur, (date non précisée), Document de Politique Transversale –
Projet de loi de finance pour 2014 – Sécurité Civile, Ministère de l’Intérieur
Ministère de la Fonction publique, de la réforme de l’Etat et de l’aménagement du
territoire (2003), Le cadre d’autoévaluation des fonctions publiques
MOTTOUL J-M. (2010), Le développement du contrôle interne et des activités
d’audit interne dans l’administration fédérale, Federale Overheidsdienst Financiën –
België
STOLOWY S., PUJOL E., MOLINARI M. (date non précisée), Résumé de l’audit
financier et contrôle interne : l’apport de la loi SARBANES-OXSLEY, Groupe HEC
SENAT (2013), Rapport d’information relatif à la mutualisation des moyens
départementaux de la sécurité civile. Commission des finances
Université de technologie de Compiègne (2013) Guide ISO 26 000 selon le modèle
EFQM-Master QPO et NQCE.
73
WEBOGRAPHIE
http://www.afnor.org/profils/centre-d-interet/efqm#p56778 Présentation de l’EFQM
sur le site AFNOR
http://www.amf-
france.org/technique/multimedia?docId=workspace://SpacesStore/5fa2466b-27df-
4297-85f4-5fd100340539_fr_1.0_rendition : Cadre de référence sur les dispositifs de
gestion des risques et de contrôle interne
http://www.andlil.com/definition-de-bale-iii-126361.html : accords de Bâle III
http://www.cairn.info/revue-francaise-de-gestion-2008-3-page-131.htm : MONIN
Philippe, « Retour sur l'affaire Société Générale » Entretien avec Peter WIRTZ, Revue
française de gestion, 2008/3 n° 183, p. 131-134. DOI : 10.3166/rfg.183.131-134
http://www.cairn.info/revue-cahiers-internationaux-de-sociologie-2003-1-page-
143.htm : Pérez-Diaz Claudine, « Théorie de la décision et risques routiers », Cahiers
internationaux de sociologie, 2003/1 n° 114, p. 143-160. DOI : 10.3917/cis.114.0143
http://www.cairn.info/revue-gestion-et-management-public-2012-2-page-1.htm :
Chappoz Yves, Pupion Pierre-Charles, « Le New Public Management », Gestion et
management public 2/ 2012 (Volume 1/n°2), p. 1-3
http://christian.morel5.perso.sfr.fr/: Page de Christian Morel portant sur la question de
l’erreur humaine.
http://www.coso.org/ : Committee Of Sponsoring Organizations of the Treadway
Commission
http://www.culturebanque.com/bale-i-ii-iii-changement-modele-bancaire/ : accords de
Bâle I, II et III
http://www.favi.com/managf.php : Expérience de Jean-François Zobrist, ancien
directeur de l’entreprise FAVI.
http://www.ifaci.com/ifaci/nous-connaitre/statuts-de-l-ifaci-89.html : statuts de
l’IFACI
http://infoqualite.accordance.fr/welcome/index.php Site sur la qualité
http://lebasconseil.unblog.fr/
http://www.legifrance.gouv.fr/
http://www.lexpress.fr/actualite/societe/les-francais-voudraient-le-risque-
zero_496920.html : Jean-Sébastien STEHLI, « Les Français voudraient le risque
zéro », Entretien avec François EWALD, 06/02/2003
http://www.insee.fr/fr/methodes/default.asp?page=definitions/lolf.htm : définition de
la loi organique relative aux lois de finances
http://modernisation.gouv.fr/ : portail de la modernisation de l’action publique
http://www.performance-publique.budget.gouv.fr/ : forum de la performance
74
http://www.sgdsn.gouv.fr/site_article131.html : la résilience, un enjeu de sécurité
nationale
http://www.vie-publique.fr/decouverte-institutions/finances-
publiques/approfondissements/gestion-par-performance-administration.html : la
gestion par la performance dans l’administration
http://www.has-sante.fr/portail/ portail de la haute autorité de santé
http://www.qualiteperformance.org/comprendre-la-qualite/referentiels-de-
management-l-efqmr: Reportage de France 3 sur le « système FAVI ».
http://www.iso.org/iso/fr/home.htm Site Web de l’ISO : International Organization for
Standardization
75
TABLE DES ANNEXES
REFERENCES THEMES PAGES
1 PLANIFICATION DE LA REALISATION DU
MEMOIRE 77
2 MODELE D’ENQUETE RELATIVE AU
CONTROLE INTERNE AU SEIN DES S.D.I.S. 79
3 RESUME DES REPONSES A L’ENQUETE –
PANEL DES SPECIALISTES 85
4 RESUME DES REPONSES A L’ENQUETE –
PANEL DES GENERALISTES 93
5
EXEMPLE DE CONDUITE DE LA MAITRISE DES
RISQUES D’UNE ACTIVITE D’UN SDIS
101
6 EXPLOITATION DES ENTRETIENS ET DE
L’ENQUETE POUR LES PRECONISATIONS 105
7
COMMENTAIRES ET EXTRAITS DES NORMES
ET REFERENTIELS LIES A LA MAITRISE DES
RISQUES
107
8 CARTOGRAPHIE DES ACTEURS D’UN SDIS VIS-
A-VIS DU CONTROLE INTERNE 115
9 TABLEAU DES CERTIFICATIONS DE L’IFACI 117
76
10 REFERENTIEL EFQM 119
11
RESUME DES METHODES D’IDENTIFICATION
ET D’ANALYSE DE L’IFACI
125
12
EXTRAIT D’UN TABLEAU DES DANGERS D’UN
SDIS
127
13
TABLEAU RECAPITULATIF DES METHODES ET
OUTILS EN MAITRISE ET GESTION DES
RISQUES
129
14
EXTRAIT DE l’EDITORIAL DU CHEF D’ETAT
MAJOR DE L’ARMEE DE L’AIR
133
15
PYRAMIDE DE BIRD
135
78
PLANIFICATION DE LA REALISATION DU MEMOIRE - Diagramme de Gantt (réalisé à partir de Gantt Project)
80
LE CONTROLE INTERNE AU SEIN DES SDIS
Bonjour,
Dans le cadre de la formation de chef de groupement se déroulant à l'Ecole Nationale Supérieure des Officiers de
Sapeurs-Pompiers, nous avons pour objectif la réalisation d'un mémoire relatif au contrôle interne.
A ce titre, nous vous remercions pour les quelques précieuses minutes consacrées au remplissage du synthétique
formulaire qui suit. Suite à son envoi, vous pourrez consulter les données enregistrées comportant celles des
autres SDIS consultés.
Merci d'utiliser le lien qui apparaît au début de ce mail pour accéder à l'enquête dématérialisée directement sur
Google drive.
Avec nos remerciements anticipés.
Cordialement,
Lcl Sylvain KOZAK (S.D.I.S. 62)
Cdt Stéphane BOUBET (S.D.I.S.78)
Cdt Benoit DELAGE (S.D.I.S. 77)
Cdt Arnaud DUDOUS (S.D.I.S.95)
Nota :
Dans le but de partir d'une définition commune de ce qu'est le contrôle interne, nous vous en proposons une qui
semble faire l'unanimité : " Le contrôle interne est un ensemble de procédures et d’actions destinées davantage à
maîtriser qu’à contrôler les activités des SDIS, et à sécuriser l’atteinte de leurs objectifs, afin d’optimiser l’action
de notre service public."
*Obligatoire
A quel SDIS appartenez-vous ? *
Inscrivez simplement le nombre de votre département
Quelle est la catégorie de votre SDIS ? *
Sélectionnez la catégorie de votre choix
1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ? *
Sélectionnez la réponse de votre choix
2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?
Cochez la ou les case(s) de votre choix
o Par chaque agent à son niveau de compétence
o Par chaque cadre dans son domaine de compétence
o Par un bureau, service ou groupement autre du S.D.I.S.
o Par l’Etat-Major
o Par un prestataire extérieur au SDIS
o Autre :
81
3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre
établissement ? *
Cochez les cases de votre choix
o Augmentation des contraintes financières
o Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour des comptes ...
o Besoin de soigner la légitimité et l'image du SDIS
o Recherche de performance
o Autre :
4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la
gouvernance de votre SDIS ? *
Cochez deux cases au maximum selon vos choix prioritaires
o Contrôle interne
o Audit interne
o Audit externe
o Contrôle de gestion
o Autre :
5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ? *
Cochez trois cases parmi la liste proposée
o Economique
o Stratégique
o Financier
o Opérationnel
o Juridique
o Informatique
o Sociaux et psychosociaux
o Image et réputation
o Perte de la connaissance de l'histoire du SDIS
o Autres risques d'intégrité
6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ? *
Cochez les cases de votre choix
o - Brain-storming, réunions
o - Cartographie des risques
o Autre :
7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité au sein
de votre SDIS ? *
82
8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de façon
permanente ? *
9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un SDIS ? *
Cochez une case selon votre choix prioritaire
o - Protéger l’Image
o - Optimiser les coûts
o - Optimiser le fonctionnement
o - Réduire le risque juridique
o - Eviter les fraudes
10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de votre
SDIS ? *
Cochez la case de votre choix
11/ Avez-vous mis en place une démarche processus ? *
Cochez la case de votre choix
12/ Si Oui, à quel stade en êtes-vous ?
Sélectionnez la ligne de votre choix
13/ Quel élément vous semble devoir être exclu du contrôle interne ? *
Cochez les cases de votre choix
o - Interventions sur le terrain
o - Risque contentieux
o - Marchés publics
o - Finances
o - Applications des procédures et consignes
83
o - GRH
o Autre :
Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non évoqués à
travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter de l'espace
disponible ci-dessous. Merci pour votre participation.
Envoyer
100 % : vous avez réussi.
Google For ms
86
RESUME DES REPONSES A L’ENQUETE – PANEL DES SPECIALISTES
A quel SDIS appartenez-vous ?
35 – 36 – 34 – 32 – 74 – 42 – 27 – 30 – 4 – 18 – 16 – 14 – 12 – Loiret – 95 – 07 – 02 – 78 – 77 - 81 –
87 - 85 – 66 – 971 – 74 – Vaucluse – 63 - 53
Quelle est la catégorie de votre SDIS ?
1ère catégorie 10 33 %
2ème catégorie 6 20 %
3ème catégorie 10 33 %
4ème catégorie 3 10 %
5ème catégorie 1 3 %
1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ?
Oui 26 87 %
Non 4 13 %
Je ne sais pas 1 3 %
2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?
Par chaque agent à son niveau de compétence 8 27 %
Par chaque cadre dans son domaine de compétence 16 53 %
Par un bureau, service ou groupement autre du S.D.I.S. 15 50 %
Par l’Etat-Major 11 37 %
Par un prestataire extérieur au SDIS 0 0 %
Autre 4 13 %
87
3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre
établissement ?
Augmentation des contraintes financières 15 50 %
Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour des comptes ... 16 53 %
Besoin de soigner la légitimité et l'image du SDIS 13 43 %
Recherche de performance 18 60 %
Autre 7 23 %
4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la
gouvernance de votre SDIS ?
Contrôle interne 6 20 %
Audit interne 5 17 %
Audit externe 0 0 %
Contrôle de gestion 16 53 %
Autre 3 10 %
5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ?
Economique 7 23 %
Stratégique 14 47 %
Financier 15 50 %
Opérationnel 19 63 %
Juridique 10 33 %
Informatique 5 17 %
Sociaux et psychosociaux 7 23 %
Image et réputation 1 3 %
Perte de la connaissance de l'histoire du SDIS 1 3 %
Autres risques d'intégrité 1 3 %
88
6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ?
- Brain-storming, réunions 19 63 %
- Cartographie des risques 11 37 %
Autre 10 33 %
7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité
au sein de votre SDIS ?
Mise en place d'un projet d'établissement sur 5 ans
Utiliser les outils d'une démarche de performance, projet annuel de performance,
tableaux de bord, indicateurs, rapport annuel de performance...
Approche positive et collaborative dédiée à la performance de l'organisation
Les outils de communication, responsabilisation des cadres
La simplicité de l'organisation, le dynamisme des cadres
Fixer les règles de contrôle de gestion et les diffuser largement à l'ensemble des agents
Fixer des objectifs de performance individualisés. Assurer le retour après contrôle
auprès des agents concernés pour l'amélioration globale du service
Mise en place d’indicateurs
Mise en place de procédures
Transversalité des outils (notamment informatiques)
Augmentation des contentieux, augmentation des contraintes budgétaires, tableaux de
bord et de suivi
L'indentification claire pour les cadres de l'importance de cette mission
Donner du sens à cette action
L'appui du DDSIS et par l'équipe de direction
Information de la démarche du haut au bas de la pyramide
Appropriation par l'ensemble des agents de la démarche
Mise en place d'un entrepôt de données et d'un système d'information décisionnel
Démarche de mise en confiance vis à vis du contrôle de gestion
Des moyens pour éviter de solliciter les services déjà surchargés pour l'obtention de
données
Connaissance des processus et de l'historique de leur mise en place
Dédier une personne ressource, ambassadeur de cette démarche
Meilleure communication sur le sujet et ses effets induits
Développement de la culture du contrôle de gestion
Mise au point participative des démarches de contrôles sur les processus, l'activité des
pôles, groupements, services, les résultats
Entamer la démarche de manière participative et communiquer sur les bénéfices
attendus d'une démarche de contrôle interne
Mise en place d'une structure dédiée
Structure support légitime et adossée à la direction
Projet d'établissement existant => démarche partagée par les agents
Intégration et développement de l'INFO CENTRE, associé à un outil ETL
Une bonne définition des objectifs à atteindre et la stratégie de l'établissement
Que chaque agent se situe dans l'organigramme (souvent limité aux cadres) afin de
susciter l'adhésion
Prime (ou critère lors de l'évaluation annuelle) à la performance
Favoriser la mise en place d'une "culture juste"
89
Démontrer les intérêts de chaque partie (Direction et agents)
Optimisation des ressources du SDIS
Dysfonctionnements récurrents
Personnels désignés + formation adaptée aux outils du contrôle de gestion
Création d'un info SDIS pour faciliter la communication entre les différentes entités
Conjoncture financière (contraintes / optimisation / justification)
Mode managériale (de plus en + de DDSIS y viennent...)
Impulsion DGSCGC - Inspection (nous avons été inspectés en janvier 2014 avec ce
sujet largement abordé)
Portage par le DDSIS et PCASDIS
Pilotage et un accompagnement interne identifié et de "poids"
Du pragmatisme
Retour rapide sans effort
Définition au préalable du contrôle : domaine, méthode, modalité
Procédures affichées, planifiées, résultats exploités et transparences
Appropriation par chaque agent des différentes procédures inhérentes à ses missions.
8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de
façon permanente ?
Absence de politique affichée et de moyens
Le temps consacré
A l'inverse ne pas associer les cadres du service à une telle démarche me paraît un
point bloquant
Une non implication du Directeur ou Président
Le manque de temps
Indicateurs ne faisant pas l'unanimité
Impact sur la carrière
Jugement d'un personnel sur le retour du contrôle interne (contrôle interne = manière
de servir)
La lourdeur d'une mise à jour régulière des bases de données
Confusion entre contrôle de gestion et contrôle interne
Postures
Intrusion sur périmètre de compétence (notions de pouvoir)
Dimension conceptuelle et souvent théorisée
Les exemples concrets sont très divergents en termes de qualité
Communication faiblarde et discontinue
Un manque de portage
Un pilotage aléatoire
Une démarche technique et/ou technocratique
Multiplier les documents
Perte de temps
N'en faire qu'un outil d'audit centré sur la recherche des contournements de procédures
Pas de volonté de la direction de l'Etablissement
Réticence des agents
Mauvaise place de la structure chargée du contrôle au sein de l'organigramme
Blocage lié aux changements des habitudes
Doctrine
Ne pas écouter ceux qui font au quotidien le travail
90
Imposer aux services la démarche
Faire des jugements de valeur sur le travail accompli
Aller trop vite et vouloir immédiatement des résultats
Réduction des personnels et augmentation de la charge de travail
Contrôle collectif d'un service et non contrôle individuel pour éviter que le personnel
se sente épié en permanence
L'approche uniquement financière au détriment d'une approche globale des
problématiques
Le contrôle perçu comme une "inquisition" ou un jugement de valeur
Affichage polémique des moyens des SDIS (encore abondants) en rapport avec
d'autres services publics (bien plus contraints)
Désintérêt des personnels aux objectifs de l'établissement
Manque de ressources (temps, personnels, outils)
Comme d'habitude la peur du changement
Stress généré par la notion de contrôle
Incompatibilité technique de certains logiciels métiers
Un manque d'adhésion de l'encadrement
Associer la démarche de performance à l'évaluation individuelle des cadres
La ressource en personnel pour traiter cet aspect
La culture du SDIS
La communication sur cette démarche
Le système d'information non intégré
La non implication des personnels et le manque de méthodologie éprouvée (caf)
Absence de volonté de transparence des services du SDIS par manque d'intérêt dans la
démarche
Une notion de flicage lorsque la démarche ne s'accompagne pas de la plus grande
clarté des objectifs partageables et partagés
Le manque d'adhésion des agents
Réticence de certains agents
9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un
SDIS ?
- Protéger l’Image 1 3 %
- Optimiser les coûts 2 7 %
- Optimiser le fonctionnement 27 90 %
- Réduire le risque juridique 0 0 %
- Eviter les fraudes 0 0 %
10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de
votre SDIS ?
91
Oui 22 73 %
Non 8 27 %
11/ Avez-vous mis en place une démarche processus ?
Oui 15 50 %
Non 15 50 %
12/ Si Oui, à quel stade en êtes-vous ?
Stade de la formation des agents 3 10 %
Stade de l’écriture des processus 9 30 %
Stade de l’utilisation des processus (dans les réunions…) 3 10 %
Stade de l’amélioration continue 4 13 %
13/ Quel élément vous semble devoir être exclu du contrôle interne ?
- Interventions sur le terrain 7 23 %
- Risque contentieux 4 13 %
92
- Marchés publics 2 7 %
- Finances 0 0 %
- Applications des procédures et consignes 3 10 %
- GRH 2 7 %
Autre 16 53 %
Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non
évoqués à travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter
de l'espace disponible ci-dessous. Merci pour votre participation.
L'analyse des systèmes opérationnels doit aussi entrer dans le champ de compétence
du contrôle interne.
Nous sommes toujours dans une démarche pionnière
Question 10 = oui, mais de façon embryonnaire.
Concernant la question 13, nous pensons qu'il ne faut rien exclure du contrôle interne.
2 freins à la démarche : il faut être vigilant à ce que les tableaux de bord et indicateurs
ne deviennent pas des objectifs exclusifs (et voir apparaître des comportements initiés
par la culture du chiffre) que les indicateurs soient simples clairs et évocateurs, voire
pas trop nombreux pour chacune des strates
10) en cours de développement
11) en cours de développement
13) aucun ne doit être exclu du contrôle interne autre: l'enjeu managérial est
primordial ainsi que la capacité à suivre nos actions...mais attention le réflexe est
souvent de réfléchir outils de suivi alors que les processus ne sont pas "infusés"...à
mon sens c'est l'échec assuré Lcl Eric BOUIJOUX, Chef Gpt Analyse, Pilotage et
Prospective (06 07 91 68 07)
Ne pas changer ce qui marche, identifier les axes d'amélioration et être "blindé" sur la
méthodologie.
La direction doit faciliter la démarche et ne pas avoir peur du résultat (c'est pour le
bien commun), c'est la raison pour laquelle la méthodologie doit être parfaite.
Ne pas être pressé. Apprendre en marchant, s'appuyer sur les agents, faire le juste
nécessaire, s'améliorer en permanence.
Place du CAF des SDIS en complément ou substitution du contrôle interne
Avoir une approche positive et collaborative du contrôle interne pour le différencier de
l'audit: saisir l'occasion de l'écriture ou la réingénierie des procédures, la rédaction de
guides de procédure/référentiels pour positionner et responsabiliser tous les acteurs
(plus souvent en demande de cela qu'on ne le croit)
Dédier le contrôle interne à la performance de l'organisation, l'aspect "maîtrise des
risques" se régule concomitamment mais est mieux accepté lorsque sont introduites
des procédures de vérification de l'application des référentiels
Il existe un groupe "référent" au niveau des SDIS qui rassemble l'ensemble des
contrôleurs de gestion. Les coordonnées sont les suivantes: controleurs-de-gestion-
[email protected]. Dont l’administrateur doit
être le lieutenant-colonel Frédéric MANIN du Sdis de l'Isère
Le contrôle interne doit participer au processus du dialogue inter services et contribuer
à renforcer la cohésion du groupe. La qualité du contrôle interne résulte de la richesse
des évaluations périodiques où les attendus doivent être fixés avec clarté et pertinence
94
RESUME DES REPONSES A L’ENQUETE – PANEL DES GENERALISTES
A quel SDIS appartenez-vous ?
38 – 28 – 80 – 73 – 59 – 62 – 61
Quelle est la catégorie de votre SDIS ?
1ère catégorie 3 43 %
2ème catégorie 2 29 %
3ème catégorie 1 14 %
4ème catégorie 1 14 %
5ème catégorie 0 0 %
1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ?
Oui 7 100 %
Non 0 0 %
Je ne sais pas 0 0 %
2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?
Par chaque agent à son niveau de compétence 3 43 %
Par chaque cadre dans son domaine de compétence 2 29 %
Par un bureau, service ou groupement autre du S.D.I.S. 4 57 %
Par l’Etat-Major 2 29 %
Par un prestataire extérieur au SDIS 0 0 %
Autre 0 0 %
95
3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre
établissement ?
Augmentation des contraintes financières 4 57 %
Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour
des comptes ... 5 71 %
Besoin de soigner la légitimité et l'image du SDIS 2 29 %
Recherche de performance 4 57 %
Autre 1 14 %
4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la
gouvernance de votre SDIS ?
Contrôle interne 2 29 %
Audit interne 0 0 %
Audit externe 0 0 %
Contrôle de gestion 4 57 %
Autre 1 14 %
5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ?
Economique 2 29 %
Stratégique 4 57 %
Financier 5 71 %
Opérationnel 5 71 %
Juridique 2 29 %
Informatique 1 14 %
Sociaux et psychosociaux 1 14 %
Image et réputation 1 14 %
Perte de la connaissance de l'histoire du SDIS 0 0 %
Autres risques d'intégrité 0 0 %
96
6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ?
- Brainstorming, réunions 6 86 %
- Cartographie des risques 1 14 %
Autre 2 29 %
7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité
au sein de votre SDIS ?
Portage par l'Etat-major
Communication, explication, pédagogie
Développer une culture d'évaluation corrélée avec une démarche qualité
Mettre en place un système d'information et d'analyse décisionnelle qui peut être
maitrisé et développé en interne
Formation des cadres en s'appuyant sur l'expérience du RETEX opérationnel, partagé
par tous sur le plan OPS mais peu transféré dans le domaine du casernement et de la
gestion administrative
Développer la transversalité
Justification plus précises et plus rapides auprès des financeurs
Passage de la notation à l'évaluation professionnelle (objectifs et mesure de l'atteinte
des objectifs)
Si les cadres ont un intérêt, ils font !
Recherche de performance et d'efficacité
Le chef (DDSIS) doit décider de mettre en place (légitimité) une pédagogie du
contrôle interne
La bonne connaissance de l'environnement et des problèmes par le CI
La bonne connaissance des personnes
Feuille de route définie par les décideurs et validée par les élus, communiquée au
personnel
Sensibilisation des cadres (ou groupe de travail) à la démarche
Expliquer pourquoi on le fait, comment on le fait
Rédaction de procédures
Communiquer sur les résultats et analyses
Rédaction d'un guide de procédure
8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de
façon permanente ?
Dénomination du service / Groupement
Réaction de l'Etat-major suite à de mauvais indicateurs (réprimandes, sanction ...)
Résistance culturelle et culte de la performance : les points forts sont valorisés au
détriment d'une évaluation objective
97
Défense des pré-carrés et enjeux de pouvoirs
Organisations en "silos"
Diminution des ressources budgétaires et humaines (la création de nouvelle fonction
est à priori en contradiction avec l'orientation générale même si le bénéfice à long
terme semble évident)
Mauvaise perception du mot contrôle (flicage)
Problème d'exemplarité des contrôleurs
Manque de culture commune et par logique le contraire des points évoqués en 7/
Beaucoup de cadres pensent que c'est du temps perdu, ou qu'ils font bien déjà
Informations non partagées
Peur du contrôle
Turn over des personnels
Pas de résultats visibles rapidement
Appréhender l'organisation de façon transversale
9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un
SDIS ?
- Protéger l’Image 0 0 %
- Optimiser les coûts 1 14 %
- Optimiser le fonctionnement 6 86 %
- Réduire le risque juridique 0 0 %
- Eviter les fraudes 0 0 %
10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de
votre SDIS ?
Oui 7 100 %
Non 0 0 %
98
11/ Avez-vous mis en place une démarche processus ?
Oui 4 57 %
Non 3 43 %
12/ Si Oui, à quel stade en êtes-vous ?
Stade de la formation des agents 0 0 %
Stade de l’écriture des processus 2 29 %
Stade de l’utilisation des processus (dans les réunions…) 0 0 %
Stade de l’amélioration continue 1 14 %
13/ Quel élément vous semble devoir être exclu du contrôle interne ?
- Interventions sur le terrain 0 0 %
- Risque contentieux 1 14 %
- Marchés publics 0 0 %
- Finances 0 0 %
- Applications des procédures et consignes 1 14 %
- GRH 0 0 %
Autre 5 71 %
99
Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non
évoqués à travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter
de l'espace disponible ci-dessous. Merci pour votre participation.
Le dossier vient juste d'être ouvert et le projet de service n'a pas encore fait l'objet
d'une validation de la direction. Des actions sont en cours (Intégration du SI, mise en
production du SID, maîtrise des coûts). Le raisonnement pour les années à venir serait
le suivant : - démarche processus / évaluation - démarche qualité - contrôle de gestion
entendu comme outils de pilotage
Il faut le mettre en place avec l'objectif de l'autoévaluation. - " Devenir acteur de la
performance du service"
Nous avons un projet d'établissement sur 3 ans et cela depuis une dizaine d'années.
Notre Sdacr couvre 2 projets d'établissements. Le Casdis valide en début d'année les
objectifs retenus et les actions associées et prend connaissance des résultats l'année
N+1.
Au SDIS 59 le contrôle interne comprend aussi l'audit interne et l'inspection
102
EXEMPLE DE CONDUITE DE LA MAITRISE DES RISQUES
D’UNE ACTIVITE D’UN SDIS
L’exemple suivant est construit à partir d’un cas réel de l’activité « Recrutement des sapeurs-
pompiers volontaires » dans un SDIS.
L’autoévaluation ou la collecte des besoins dans les CIS et auprès des services permet
d’identifier ce qui est attendu de cette activité et son niveau de performance. En l’occurrence,
cette attente peut porter sur le maintien de l’effectif de personnels, une procédure de
recrutement à alléger, la gestion qui doit rester au niveau des CIS, la nécessité d’identifier les
bons profils de candidats, etc.
Il s’agit ensuite d’identifier les risques et de les évaluer. Une grande partie des risques aura
déjà été identifiée au cours des groupes de travail. Il s’agit de la première source
d’information. Afin de démontrer que leur identification peut être conduite de manière rapide
et simple, une identification des risques par la méthode 5P est présentée ci-après (figure 1).
Les vulnérabilités principales sont identifiées ainsi que leurs causes probables. Conduit à
l’échelle du SDIS, ce travail permet de mettre en place la cartographie des risques.
L’arbitrage de la gouvernance doit s’appuyer sur des outils synthétiques, par exemple au
moyen de la matrice FFOR (SWOT en anglais). On retrouve les vulnérabilités principales
dans la colonne Faiblesse/risques.
Forces Faiblesses
Souplesse du dispositif local de recrutement
par les chefs CIS + lien social, cohésion dans
le CIS + responsabilisation chef CIS
Maîtrise technique satisfaisante de tous les
acteurs dans la gestion administrative du
recrutement : dossiers, visites médicales,
tests, arrêtés RH…
Important taux d’échec
Taux d’abandon important
Délais de recrutements trop longs –
Procédure trop longue
Perte financière
Difficultés à identifier les bons/mauvais
profils à l’engagement.
Pas d’indicateurs de pilotage
Opportunités Risques
Volonté politique de recruter des SPV suite à
la diminution du temps de travail des SPP
Lancement du projet « ambition volontariat ».
D’un point de vue sociologique : diminution
de l’engagement volontaire et de la durée
moyenne d’engagement.
Diminution des financements du SDIS.
Une fois cet arbitrage conduit, il s’agit de travailler sur le processus. Pour illustration, celui-ci
est présenté en figure 2 ci-après. L’analyse du processus fait apparaître essentiellement des
dysfonctionnements de délais, de formation et de maîtrise de cette activité. Par conséquent, le
plan d’action ne se réduira pas à l’amélioration technique du processus mais bien à ce qui en
assure son bon fonctionnement : formation des acteurs, qualité de la remontée d’information,
organisation du système d’information (worflow, interconnexion des applications), etc.
Il est important de souligner que la démarche processus permet d’identifier le bon niveau
d’indicateur. En l’occurrence, l’enjeu du recrutement se joue sur l’ensemble de la chaîne
« recrutement administratif + formation initiale ». En effet l’objectif final à atteindre est bien
de disposer d’un SPV formé prêt à partir sur intervention.
103
Figure 1 : Identification, par la méthode 5 P, des vulnérabilités principales liées à l’activité « Recrutement des SPV du SDIS y »
Vulnérabilités principales
Pourquoi ? Pourquoi ? Pourquoi ? Pourquoi ? Pourquoi ?
Départ de nombreux SPV au cours de la 1ère année
Echec à la FI Condition physique
Aptitude insuffisante Pas de test de sélection
Absence de procédure
Capacité intellectuelle insuffisante
Niveau d’exigence élevé
Abandon Démotivation Manque d’accompagnement
Accueil
Tuteur non formé
Pas de formation
Difficultés personnelles
Non identifiées lors de l’entretien
Chef CIS non formé
Absence d’uniformité départementale
Pas de règle Départementale
Absence de politique départementale
Pas d’information ni d’indicateur de pilotage
Perte financière Coût de recrutement par SPV
Dotation complète
Taux d’échec important
Indemnités
Coût de l’assurance
Coût de formation
Délais recrutements trop longs
Trop d’étapes et de documents
De + en + d’acteurs
Risque d’accident + juridique
Existence de pratiques non cadrées
Pas de règle départementale
Problème identifié récemment
104
Figure 2 : Processus de « Recrutement des sapeurs-pompiers volontaires du SDIS y »
2 entretiens :
rôles ?
Boucles : Perte
de temps
Risque attente
prochain
CCDSPV
Délais trop longs
+ difficiles à tenir
Pas de
formation
chef CIS
Pas d’indicateur
de pilotage
106
EXPLOITATION DES ENTRETIENS ET DE L’ENQUETE
POUR LES PRECONISATIONS
Les préconisations du présent mémoire sont formulées sur la base de l’exploitation des
entretiens et de l’enquête.
Exploitation des entretiens
Lors des entretiens que nous avons menés auprès de services chargés du contrôle interne dans
les SDIS et de la BSPP, il est apparu clairement que cette seule approche rencontrait très vite
ses limites.
En effet, les officiers de ces services déclarent que si le contrôle se cantonne à la recherche de
fraudes, la direction attend qu’elles ne se reproduisent plus. Si le contrôle a juste permis
d’identifier la simple erreur humaine, la direction demande à en réduire l’occurrence. Par
ailleurs, les groupements ou centres de secours ayant fait l’objet du contrôle demandent
souvent eux-mêmes à ce que l’on trouve des solutions pérennes pour réduire les risques.
L’ensemble des acteurs se tourne donc vers le service chargé du contrôle interne pour les
aider. Dans tous les cas, ils sont confrontés à la nécessité de mettre à plat le fonctionnement
des services et de trouver les procédures qui garantissent le fonctionnement général. D’un
point de vue technique, pour pouvoir fiabiliser le fonctionnement, ils doivent travailler sur les
procédures. L’entretien avec M DURETTE, de l’APHP, confirme cette nécessité.
Nous en concluons que, au travers de la question du contrôle, c’est la question de
l’organisation « SDIS » qui est posée. La maîtrise des risques des processus et des risques des
processus est dès lors essentielle.
Pour mieux cerner cette nécessité, nous nous sommes tournés vers la pratique dans le secteur
privé. Et, effectivement, les opérationnels (entretien de M L. VAN CAENEGHEM,
Responsable de Contrôle interne chez SUEZ Déchets) et les experts (entretiens de M. Jean LE
RAY, consultant chez Ad'XpR Conseil - Réseau AD'APTUS, directeur de collection des
parutions « Maîtrise des risques » de l’AFNOR. Formateur/expert chez AFNOR, et Monsieur
Charles BONNIEL, Consultant, intervenant au CNAM) nous ont décrit comment la maîtrise
des risques se conduit avec la mise en place d’une démarche processus. Ils nous ont
également fait état de la nécessité d’impliquer les opérationnels pour qu’ils soient acteurs de
cette maîtrise des risques.
Exploitation de l’enquête
Près de 90% des personnes interrogées indiquent que la plus-value du contrôle interne est
d’améliorer le fonctionnement du SDIS.
Concernant les facteurs facilitant la mise en place du contrôle interne, il est demandé la mise
en place d’une démarche positive, constructive, communiquée et participative. Et les facteurs
identifiés comme bloquants sont la mise en place d’un contrôle technique qui ne tiendrait pas
compte de la réalité du travail des agents. Le panel « spécialiste » effectue le même type de
réponse, avec une approche plus technique : mise en place des procédures, place des systèmes
d’information, management par objectif.
108
COMMENTAIRES ET EXTRAITS DES NORMES ISO LIEES A LA MAITRISE DES
RISQUES
(Source AFNOR - International Organization for Standardization)
Présentation générale
La norme ISO 9000 :2005 – Management de la qualité fixe les principes généraux et ne fait pas l’objet
d’une certification.
Le SDIS peut alors être certifié sur la base de deux normes :
La norme ISO 9001 :2008 qui porte essentiellement sur l'efficacité du système de management
de la qualité à satisfaire les exigences des clients ;
La norme ISO 9004 :2009 qui intègre les besoins de toutes les parties prenantes et poursuit le
développement durable de l’organisation. Le schéma ci-dessous est extrait de cette norme.
La norme ISO 31000 version 2009 est simplement la déclinaison du processus du management du
risque. N’étant qu’une déclinaison du management de la qualité, elle ne fait donc pas l’objet d’une
certification.
109
Extraits site web ISO :
ISO 9000 – MANAGEMENT DE LA QUALITE
« La famille ISO 9000 couvre les divers aspects du management de la qualité et comprend certaines
des normes les plus connues de l’ISO. Elles offrent des lignes directrices et des outils aux entreprises
et aux organismes qui veulent que leurs produits et services soient constamment en phase avec ce que
leurs clients demandent et que la qualité ne cesse de s’améliorer.
La famille ISO 9000 compte de nombreuses normes, notamment:
ISO 9001:2008 – établit les exigences relatives à système de management de la qualité
ISO 9000:2005 – couvre les notions fondamentales et la terminologie
ISO 9004:2009 – montre comment augmenter l'efficience et l'efficacité d'un système de
management de la qualité
ISO 19011:2011 – établit des lignes directrices pour les audits internes et externes des
systèmes de management de la qualité.
ISO 9001, Systèmes de management de la qualité, est en cours de révision (…)
La publication de la nouvelle version finalisée devrait intervenir d'ici la fin 2015
ISO 9001:2008
ISO 9001:2008 définit les critères pour un système de management. Il s’agit de la seule norme de cette
famille à pouvoir être utilisée pour la certification (mais ce n’est pas une obligation). Toute
organisation, grande ou petite, quel que soit son domaine d’activité, peut l’utiliser. De fait, plus d’un
million d’entreprises et organismes dans plus de 170 pays appliquent ISO 9001:2008.
Principes de management de la qualité
Cette norme repose sur un certain nombre de principes de management de la qualité, notamment une
forte orientation client, la motivation et l’engagement de la direction, l’approche processus et
l’amélioration continue. ISO 9001:2008 aide à s’assurer que les clients obtiennent des produits et
services uniformes et de bonne qualité, avec, en retour, de belles retombées commerciales. Ces
principes sont expliqués plus en détail dans le document pdf « Principes de management de la
qualité ».
Audits
Une composante essentielle d’ISO 9001:2008 est de vérifier le bon fonctionnement du système de
management de la qualité. Une organisation procède à cette vérification par des audits internes. Elle
peut également inviter un organisme de certification indépendant à vérifier sa conformité à la norme,
mais ce n’est pas une obligation. Elle peut aussi inviter ses clients à auditer pour leur propre compte le
système qualité.
110
Les normes et référentiels ont évolué dans le sens de la maîtrise
des risques.
Le contrôle interne et la maîtrise des risques sont des sources de données pour améliorer le
fonctionnement du SDIS. Ils se rangent donc dans l’activité de mesure et d’analyse au sens des normes
ISO de la série 9000 (ISO 9000, 9001, 9004). Toutes ces normes ont donc une partie consacrée à
l’autoévaluation, à la surveillance, à la mesure, à l’audit, à l’appréciation des risques… Les extraits de
ces normes sont regroupés en annexe.
Ainsi, la norme ISO 9001-2008 aborde les notions de surveillance, de mesure ou de contrôle.
Au § 4.1 page 2 Exigences générales : « L'organisme doit établir, documenter, mettre en œuvre et
entretenir un système de management de la qualité et en améliorer en permanence l'efficacité
conformément aux exigences de la présente Norme internationale.
L'organisme doit (…)
c) déterminer les critères et les méthodes nécessaires pour assurer l'efficacité du
fonctionnement et de la maîtrise de ces processus;
d) assurer la disponibilité des ressources et des informations nécessaires au fonctionnement et à
la surveillance de ces processus;
e) surveiller, mesurer (lorsque cela a un sens) et analyser ces processus;
§8 p 12
« L'organisme doit surveiller les informations relatives à la perception du client sur le niveau de
satisfaction de ses exigences … »
L'organisme doit mener des audits internes à intervalles planifiés
§ 8.3 p 13 « Une procédure documentée doit être établie pour définir les contrôles ainsi que les
responsabilités et autorités associées pour le traitement du produit non conforme. »
§ 8.5.3 p 15 : Actions préventives
« L'organisme doit déterminer les actions permettant d'éliminer les causes de non-conformités
potentielles afin d'éviter qu'elles ne surviennent. Les actions préventives doivent être adaptées aux effets
des problèmes potentiels »
La norme ISO 9004 : 2009 « Gestion des performances durables d’un organisme – Approche de
management par la qualité » reprend les principes de surveillance et de mesure comme condition de
l’amélioration continue.
§ 8.1 Généralité : « Pour obtenir des performances durables dans un environnement toujours fluctuant et
incertain, l’organisme doit surveiller, mesurer, analyser et revoir régulièrement ses performances. »
Dans le § 8.5 « Revue des informations obtenues par la surveillance, la mesure et l’analyse », la norme
intègre comme source d’information pour la prise de décision :
« les résultats des activités d’audit interne, d’autoévaluation et de benchmarking ».
« l’appréciation du risque… » Ainsi, en utilisant ce terme, la norme ISO 9004 : 2009 renvoie à
la norme la norme ISO 31000 :2009 Management du risque – Principes et lignes directrices.
111
La norme ISO 31000
La norme ISO 31000 version 2009 qui fixe les principes et lignes directrices du management du
risque. Cette norme est simplement la déclinaison du processus du management du risque. On peut
voir, dans le schéma ci-dessous comment le processus est lié à la fois à la notion de surveillance et de
revue et à la notion de communication et de concertation.
Il est conseillé, dans la norme, de mettre en place un cadre organisationnel qui va permettre
l’intégration, à tous les niveaux, du management des risques. L’enjeu est que les informations sur les
risques soient correctement rapportées et servent de base à la prise de décision et à la
responsabilisation.
Le processus de maîtrise des risques est lui-même considéré comme un processus à mesurer et à
améliorer.
Le management des risques est donc un processus à ranger dans la catégorie des processus de
management (à côté desquels on trouve les processus de réalisation et les processus support) d’une
organisation.
Extrait du §3 de la norme ISO 31000 :2009 Principes du management du risque :
Définition « Risque : effet de l’incertitude sur l’atteinte des objectifs. »
« Principes du management du risque :
crée de la valeur et la préserve
Intégré aux processus organisationnels
Intégré aux processus de prise de décision
Traite explicitement de l’incertitude
Systématique, structuré et utilisé en temps utile
S’appuie sur la meilleure information disponible
Adapté
Intègre les facteurs humains et culturels
Transparent et participatif
Dynamique, itératif et réactif au changement
Facilite l’amélioration continue de l’organisme. »
112
Extraits site web ISO :
ISO 31000 - MANAGEMENT DU RISQUE
Les risques auxquels sont confrontées les organisations peuvent avoir des conséquences en termes de
performance économique et de réputation professionnelle mais également au niveau de l'environnement,
de la sécurité et de la société. C'est pourquoi la gestion des risques les aide concrètement à obtenir de bons
résultats dans un contexte d'incertitudes multiples.
ISO 31000:2009
ISO 31000:2009, Management du risque – Principes et lignes directrices, fournit des principes, un cadre et
des lignes directrices pour gérer toute forme de risque. Cette norme peut être utilisée par tout type
d'organisme sans distinction de taille, d'activité ou de secteur. Les organisations qui ont recours à ISO
31000 augmentent leurs chances d'atteindre leurs objectifs, sont mieux à même de cerner les opportunités et
les menaces et d'allouer et d'utiliser efficacement les ressources pour le management des risques.
ISO 31000 ne se prête pas à des fins de certification. Elle donne des orientations pour les programmes
d'audit internes ou externes. Les organisations qui l'utilisent peuvent évaluer leurs pratiques en matière de
management du risque au regard d'un référentiel reconnu au niveau international, qui offre des principes
rigoureux pour un management et une gouvernance efficaces (…). Cette norme traite des concepts de
l'évaluation des risques, des processus et de la sélection des techniques d'évaluation des risques.
113
Guides et fascicules de documentation découlant de la norme ISO
31000
La norme ISO 31000 est complétée par les fascicules de documentation et le guides suivants :
FD X 50-252 Lignes directrices pour l’estimation des risques.
Guide ISO/CEI 73 :2009 Management du risque – Vocabulaire – Principes directeurs
pour l’utilisation dans les normes.
Guide ISO/CEI 31010, gestion des risques – Techniques d’évaluation des risques :
norme axée sur l'évaluation des risques, qui donne aux décideurs un meilleur éclairage sur des
risques pouvant gêner la réalisation des objectifs et leur permet d'évaluer l'adéquation et l'efficacité
des contrôles déjà mis en place
FD X 50-117, Management de projet – gestion du risque – Management des risques
d’un projet
Norme ISO 26 000 Responsabilité sociétale
Enfin la norme ISO 26000 porte sur la responsabilité sociétale des organisations
La norme ISO 26000 permet « d’identifier les impacts de ses décisions et de ses activités sur la
société et sur l’environnement, de définir un plan d’actions transparent et éthique et d’en rendre
compte à ses parties-prenantes (clients, fournisseurs, citoyens…) ». Les SDIS, au travers de la
réponse opérationnelle, ont un impact sociétal fort. Et notre activité a un impact sur l’environnement.
En outre, en interne, la norme ISO 26 000 prend en compte les risques psychosociaux
114
COSO 2013
Définition du contrôle interne selon le COSO 2013 : « Le contrôle interne est un processus
mis en œuvre par le conseil, le management et les collaborateurs, et qui est destiné à fournir
une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting
et à la conformité. »
Les 17 principes structurants du COSO 2013 :
Commentaire sur ces 17 principes : trois principes font clairement référence à la mise en place
d’une maîtrise des risques dans un système qualité :
Fixation d’objectifs : Principe 4
Lien Objectifs – Maîtrise des risques : Principe 6
Processus de maîtrise des risques : Principe 7
(Source : Audit et contrôle internes IFACI juin-juillet 2013)
116
CARTOGRAPHIE DES ACTEURS
D’UN SDIS VIS-A-VIS DU
CONTROLE INTERNE
CIS
du Groupement
Centre
CIS
du Groupement
Est
CIS
du Groupement
Ouest
Relation de transfert d’informations
et/ou de consignes entre l’entité
chargée du contrôle interne et les
autres entités d’un SDIS
Entité chargée du contrôle interne
18.09.2014
118
TABLEAU DES CERTIFICATIONS DE L’IFACI
1.1 >> Le CIA : le passeport international en Audit
Interne
Le CIA est la seule certification en audit interne de portée
mondiale.
Elle est délivrée par l'IIA (The Institute of Internal Auditors)
depuis 1972.
L'IFACI assure la promotion de l'examen en langue française
pour le monde entier.
1.2 >> La Certification Professionnelle d’Auditeur Interne
– CPAI – Inscrite au Répertoire National des
Certifications Professionnelles (RNCP)
La CPAI atteste que vous détenez les compétences
indispensables à la conduite d’une mission d’audit interne en
conformité avec les meilleures pratiques professionnelles
internationales.
1.3 >> Le CCSA, le CFSA, le CGAP
Le CCSA (Certification en autoévaluation des contrôles)
Le CFSA (Certification en audit des services financiers)
Le CGAP (Certification en audit des organisations publiques)
Téléchargez le bulletin d'inscription au CCSA, CFSA, CGAP
Gratuité des droits d’inscription au programme de
certification CGAP du 1 er au 31 octobre 2014
1.4 >> Le CRMA : la nouvelle certification en
management des risques pour les auditeurs
Le CRMA (Certification in Risk Management Assurance) permet
de certifier l'aptitude des auditeurs internes à fournir aux
comités d'audit et aux directions générales des conseils et des
évaluations sur l'efficacité des dispositifs de gestion des risques
et de gouvernance de leurs organisations.
120
REFERENTIEL EFQM (Extrait du site web de l’AFNOR)
Commentaire : L’European Foundation for Quality Management est le référentiel du
management par l’excellence. Il fait l’objet d’une certification. Le Cadre d’autoévaluation des
fonctions publiques consiste à utiliser l’autoévaluation de l’EFQM sans se soumettre à une
certification.
Extrait :
Présentation
Le modèle d'excellence EFQM est un des outils « qualité » les plus populaires en Europe,
utilisé par plus de 30 000 organisations dans le but d’améliorer leurs performances. Il est
régulièrement révisé afin de s'assurer qu'il est bien en miroir du monde dans lequel les
organisations opèrent. Il les encourage à devenir des structures agiles, mieux adaptées aux
rigueurs du contexte économique mondial actuel.
L’EFQM est un cadre pour :
Évaluer votre performance, identifier vos points forts et les zones d'amélioration
Intégrer les outils existants, les procédures et les processus, et les aligner pour en supprimer
les doublons
Mettre en place un mode de pensée qui incite à la réflexion et stimule l'amélioration
continue
Identifier quelles sont les actions véritablement « moteurs » de vos résultats, quels secteurs
ont besoin de plus d'attention, et quelles approches doivent être abandonnées
Bénéfices
L’EFQM est la garantie de répondre aux besoins de toutes vos parties prenantes
L’EFQM permet de veiller à ce que les initiatives soient coordonnées afin d’atteindre le
même objectif
L’EFQM démontre à vos partenaires que vous êtes un partenaire crédible, digne de
confiance et qui obtient des résultats durables
L’EFQM vous aide à atteindre vos résultats plus rapidement, plus efficacement
L’EFQM est un outil pour définir des solutions adaptées à votre organisation et à votre
situation spécifique
L’EFQM est facile à utiliser et à comprendre, parce qu’il a été développé par les
organisations pour les organisations
Comment ça marche ?
Le modèle d'Excellence EFQM permet aux de comprendre les relations de
cause à effet entre ce que fait une organisation et les résultats qu'elle obtient. Le
modèle comprend un ensemble de trois composants intégrés : les Critères, les
Concepts fondamentaux de l’Excellence et RADAR.
121
Les Critères
Le modèle d'excellence EFQM propose une évaluation basée sur 9 critères :
1. Leadership
2. Stratégie
3. Personnel
4. Partenariats et ressources
5. Procédés, produits et services
6. Résultats « clients »
7. Résultats « personnel »
8. Résultats de la société
9. Résultats commerciaux
Grâce à ces 9 critères, vous pouvez comprendre et analyser les relations de cause à effet entre
ce que fait votre organisation et les résultats que vous obtenez. Cinq de ces critères sont des
« Facilitateurs » et quatre sont des «Résultats ». Les critères « Facilitateurs » couvrent ce que
l'organisation fait et comment elle le fait ; les critères « Résultats » couvrent ce que
l'organisation réalise.
Les Concepts fondamentaux de l’Excellence
122
Les critères cités sont basés sur les 8 concepts fondamentaux de l'Excellence :
1. Apporter de la valeur à ses clients
2. Créer un avenir durable
3. Développer des capacités organisationnelles
4. Favoriser la créativité et l'innovation
5. Diriger avec vision, inspiration et intégrité
6. Manager avec agilité
7. Réussir grâce au talent de ses collaborateurs
8. Atteindre des résultats exceptionnels
Les 8 concepts fondamentaux de l’Excellence sont les principes sous-jacents du modèle
d'excellence EFQM. Ils sont le fondement essentiel de la réalisation de l'excellence durable
pour toute organisation. Ils peuvent être utilisés comme une base pour décrire les attributs d'une
excellente culture organisationnelle. Ils servent aussi un langage commun pour le top
management.
RADAR
RADAR est un cadre d'évaluation dynamique et un puissant outil de gestion qui fournit une
approche structurée pour questionner la performance d'une organisation. Au niveau le plus
élevé, la logique RADAR indique qu'une organisation doit savoir :
Déterminer les résultats visés dans le cadre de sa stratégie
Planifier et élaborer un ensemble intégré d'approches structurées pour obtenir dès à présent
et dans l'avenir les résultats requis
Déployer les approches de façon systématique afin de s’assurer de leur mise en œuvre
Évaluer et affiner les approches déployées en exerçant une surveillance continue et en
faisant l'analyse des résultats obtenus et des activités d'apprentissage en cours
123
Comment valoriser son engagement ?
L’EFQM organise des prix et des programmes complets de reconnaissance pour les
organisations de toutes tailles et de tous secteurs. Quelle que soit la maturité de votre parcours
vers l'Excellence, le Groupe AFNOR peut vous aider à demander le niveau approprié de
reconnaissance. Ces programmes sont un excellent moyen de montrer à tous vos clients que
vous êtes engagés à accroître vos performances et que vous vous consacrez à la réalisation de
l'excellence durable. Les différents niveaux :
Engagement vers l’Excellence
Basé sur une autoévaluation, vous allez identifier, hiérarchiser et mettre en œuvre des projets
d'amélioration, qui sont validés ensuite par un assesseur externe.
Reconnaissance de l'Excellence
Une évaluation complète fondée sur le modèle d'excellence EFQM offre à votre organisation
un rapport détaillé, un plan de progrès, et une reconnaissance des résultats obtenus.
Prix Français Qualité Performance
Les Prix Français Qualité Performance (PFQP) récompensent les meilleures organisations
nationales, selon 3 catégories progressives : finaliste | gagnant | lauréat toutes catégories. Ils
permettent une véritable reconnaissance des efforts accomplis par les acteurs économiques
français, en matière de Qualité et de Performance.
Prix européen de l'Excellence EFQM
Comparez votre organisation à d'autres chefs de file mondiaux dans le cadre d’une évaluation
complète réalisée par une équipe d’assesseurs expérimentés et qui passent en moyenne 500
heures sur votre candidature.
126
RESUME DES METHODES D’IDENTIFICATION ET D’ANALYSE
(Extraites de l’étude de l’IFACI : « Guide d’audit – L’autoévaluation du contrôle interne »,
octobre 2005, IFACI).
1) Le questionnaire : L’objectif est de favoriser une prise de décision en prenant en compte
l’expérience du responsable, tout en lui faisant prendre le recul nécessaire à sa fonction.
Le questionnaire, dans l’optique du contrôle interne, tend à un maximum d’objectivité. Il
faut donc écarter toutes les imprécisions, les interprétations et les raccourcis intellectuels.
Pour cela, la technique de la maïeutique (du grec « Maieutiké » : art de faire accoucher
les femmes), développée par Platon, vise à faire surgir la vérité chez un interlocuteur. Elle
peut être utilisée pour s’interroger sur les connaissances du groupe et leur niveau de
maturité face au contrôle interne.
2) Le travail en atelier : le fait de se retrouver en groupe, à échanger sur la qualité des
processus, est un outil puissant de développement et de renforcement de la culture de
contrôle interne. Il ne faut pas oublier que « le brouillard se lève par le bas »: les acteurs
au plus près des processus sont plus à même de cibler les risques de leur activité, grâce à
leur expérience.
3) L’analyse comparative : Benchmarking/ Benchlearning ou « ne pas réinventer la
roue » et « apprendre des autres » : Le benchmarking est le fait de comparer deux
organisations entre elles et de récupérer tout un ensemble de données concernant le
fonctionnement des autres. Le benchlearning est l’apprentissage des meilleures pratiques
identifiées par un benchmarking.
Un benchmarking est avant tout externe puisque l’objectif est de voir comment ça se passe
ailleurs.
Mais le benchmarking interne peut aussi être intéressant pour comparer les pratiques de
services similaires qui n’ont pas la même sensibilité aux risques de leurs activités.
128
EXTRAIT D’UN TABLEAU DES DANGERS D’UN SDIS Tiré du Mémoire de fin d’études du master Gestion des risques de Sécurité
Civile de Cédric Rigollet : « La vulnérabilité des ressources élémentaires des Services Départementaux d’Incendie et de Secours. Méthode globale
pour analyser l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la crise économique et financière. » 2010
130
Tableau récapitulatif des méthodes et outils en maîtrise et gestion des risques
Méthodes et outils
But
Domaines d’application
Niveau concerné
PESTEL Permettre l’identification des facteurs environnementaux de risques : Politiques, Économiques, Sociologiques, Technologiques, Écologiques, Légaux.
Organisation Stratégie Activité
SWOT / FFOR : Strengths (Forces), Weaknesses (Faiblesses), Opportunities (Opportunités), Threats (menaces/Risques)
Effectuer deux diagnostics : un diagnostic externe, qui identifie les opportunités et les menaces présentes dans l'environnement et un diagnostic interne qui détermine les forces et les faiblesses de chaque activité.
Organisation Stratégie Activité
Cindyniques (science du danger) Rechercher l’ensemble des déficits systémiques cindynogènes de l’organisation qui peuvent générer un danger Schéma d’analyse selon l’hyperespace des dangers
Organisations Stratégie Activité
Arbre des Défaillances ou Arbre des Défauts ou Arbre des Fautes
Déterminer l’ensemble des causes (jusqu’aux plus élémentaires) d’un événement redouté Méthode permettant de répondre à la question « qu’est-ce qui peut conduire à ?»
Tous systèmes Activité Poste de travail Outil/ machine/ geste technique
Arbre d’événement ou arbre des conséquences
Déterminer l’ensemble des conséquences d’un événement initiateur Méthode permettant de répondre à la question «que peut-il arriver si…? »
Tous systèmes Activité Poste de travail Outil/ machine/ geste technique
Diagramme causes-conséquences Déterminer de manière exhaustive l’ensemble des causes et des conséquences
Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique
Diagramme d’Ishikawa ou méthode des 5M
Analyser et comprendre l’arborescence des causes d’un problème en les classant par famille (Main d’œuvre, Milieu, Méthode, Matière, Matériel/Machine)
Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique
Méthode des 5 pourquoi (5P)
Analyser et comprendre l’arborescence des causes d’un problème en recherchant les causes de plus en plus profondes
Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique
131
Méthodes et outils But Domaines d’application
Niveau concerné
Matrice de criticité = Fréquence x gravité ou Matrice 4x4 ou Matrice Vraisemblance x gravité ou Matrice Probabilité x impact
Mesurer le risque par la multiplication de deux critères : la vraisemblance (ou probabilité) et la gravité (ou impact)
Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique
Matrice de criticité = Matrice Fréquence x gravité x Niveau de maîtrise
Matrice identique à la précédente, mais prenant en compte le niveau de maîtrise
Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique
Arbre des faits
Analyser un accident ou incident en recherchant l’ensemble des causes qui ont permis d’aboutir à cet accident - Méthode permettant de répondre à la question « qu’est ce qui a permis de conduire à … ? »
Tous systèmes / RETEX Activité Poste de travail Outil/ machine/ geste technique
Evaluation des risques professionnels Il existe différentes méthodes (INRS, Everesst…)
Identifier et classer les risques professionnels dans l’entreprise en vue de mettre en place des actions de prévention pertinentes dans le domaine de la santé sécurité au travail
Humain Stratégie Activité Poste de travail Outil/ machine/ geste technique
Evaluation Prévisionnelle de la Fiabilité Humaine (EPFH) Différentes méthodes : TESEO Tecnica Empirica Stima Errori Operatori THERP : Technique for Human Error Rate Prediction HCR : Human Cognitive Reliability Correlation
Prendre en compte le facteur humain Humain Stratégie Activité Poste de travail Outil/ machine/ geste technique
Analyse Préliminaire des Dangers (APD) ou des Risques (APR)
Identifier des dangers, les risques associés et leurs causes Evaluer la gravité des conséquences
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Activité Poste de travail Outil/ machine/ geste technique
Analyse des Modes de Défaillance et de leurs Effets (AMDE) (et de leur Criticité AMDEC)
Identifier les modes de défaillance des composants d’un système et évaluer leurs effets sur les différentes fonctions
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Activité Postes de travail Outil/ machine/ geste technique
HAZard OPerability study (HAZOP) Analyser en détail les composants susceptibles de présenter des effets sur la disponibilité, la fiabilité, la maintenabilité ou la sécurité de ce système
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Postes de travail Outil/ machine/ geste technique
Méthode des Combinaisons des Pannes Résumées (MCPR)
Mettre en évidence les combinaisons de défaillances qui aboutissent à des événements indésirables (complète AMDE)
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Postes de travail Outil/ machine/ geste technique
132
Méthodes et outils But Domaines d’application
Niveau concerné
Méthode de la Table des Vérités
Recenser toutes les combinaisons d’états des composants, les uns après les autres afin d’en étudier leurs effets sur le système Réalisée après une AMDE - Méthode qui peut servir de base à l’élaboration d’un arbre de défaillance
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Activité Poste de travail Outil/ machine/ geste technique
Méthodes de diagnostic et d’évaluations environnementaux Différentes méthodes : les pré-diagnostics environnement PME-PMI proposés par les CCI, le diagnostic vert, le guide d’autodiagnostic pour la mise en place d’une stratégie environnement…
Détecter les risques environnementaux de son activité. Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Nœud papillon
Quantifier les dangers (vient après arbre des défaillances et évènements)
Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules
Activité Poste de travail Outil/ machine/ geste technique
MARION (Méthode d'analyse de risques informatiques optimisée par niveau)
Evaluer le niveau de sécurité informatique Systèmes d’information Activité Poste de travail
MEHARI (Méthode harmonisée d'analyse des risques)
Réduire les risques informatiques Systèmes d’information Activité Poste de travail
EBIOS Méthode qui se veut en conformité avec les règles d'évaluation de sécurité de la norme européenne ITSEC (Information Technology Security Evaluation Criteria)
Permettre l'expression des besoins de sécurité et l'identification des objectifs de sécurité pour un système à concevoir ou existant
Systèmes d’information Stratégie Activité Poste de travail
Etude de dangers
Déterminer les causes et conséquences d’un accident technologique majeur
ICPE : installations classées pour la protection de l’environnement.
Stratégie Activité
Etude d’impact
Prévenir les pollutions et atteintes à la nature en évaluant à l’avance les effets de l’action de l’homme sur son milieu naturel
ICPE : installations classées pour la protection de l’environnement.
Stratégie Activité
Evaluation des risques sanitaires
Examiner les conséquences d’un projet sur la santé des populations (réglementation sur les installations classées)
ICPE : installations classées pour la protection de l’environnement.
Stratégie Activité
Méthode Organisée Systémique d’Analyse de Risques (MOSAR)
Rechercher les dysfonctionnements techniques et opératoires d’une installation ou d’un procédé dont les enchaînements peuvent conduire à des événements non souhaités
Systèmes technologiques complexes
Activité Poste de travail Outil/ machine/ geste technique
134
EXTRAIT DE L’EDITORIAL DU CHEF D’ETAT MAJOR DE L’ARMEE DE
L’AIR
Bulletin de sécurité des vols 2006
136
PYRAMIDE DE BIRD
Extrait revue IRSST :
« Cette pyramide a été élaborée par Frank E. Bird Jr à la suite d’une étude menée par la compagnie
d’assurance Insurance Company of North America en 1969. L’étude a porté sur 1 753 498 accidents
déclarés par 297 entreprises. Celles-ci, qui représentaient 21 groupes industriels différents,
employaient 1 750 000 personnes qui ont travaillé trois millions d’heures durant la période étudiée. Le
principe de la pyramide de Bird exprime le fait que la probabilité qu’un accident grave survienne
augmente avec le nombre de « presque-accidents » et d’incidents. Par conséquent, si une entreprise
réussit à réduire le nombre d’incidents au bas de la pyramide, le nombre d’accidents sera forcément
réduit d’autant ».J.M
137
TABLE DES MATIERES
INTRODUCTION .............................................................................................................................. 1
1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS ................. 5
1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS L’HISTOIRE ........ 5
1.1.1. Une maîtrise des risques pour s’assurer un avenir ......................................................... 5
1.1.2. Un contrôle pour assurer une bonne gestion .................................................................. 6
1.1.2.1. De la Grèce antique à l’Empire romain ...................................................................... 6
1.1.2.2. Des Carolingiens à la Révolution française ............................................................... 6
1.1.2.3. De Napoléon à la décentralisation .............................................................................. 7
1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE » .............................................. 8
1.2.1. Au niveau international .................................................................................................. 8
1.2.1.1. Définitions du contrôle interne et du risque selon l’Institute of Internal Auditors
(IIA) 8
1.2.1.2. Définition selon le COSO........................................................................................... 9
1.2.2. Exemple des Etats-Unis et de la crise financière contemporaine ................................ 10
1.2.3. Exemple de l’Union Européenne ................................................................................. 10
1.2.3.1. 2006 : la « 8ème
directive »........................................................................................ 10
1.2.3.2. 1988 – 2010 : les « accords de Bâle » relatifs aux banques ..................................... 11
1.2.4. Zoom sur la France ...................................................................................................... 11
1.2.4.1. Du point de vue des orientations des politiques publiques ...................................... 11
1.2.4.2. Du point de vue juridique ......................................................................................... 12
1.2.4.3. Du point de vue du conseil et de la formation : L’IFACI (Institut Français de
l’Audit et du Contrôle Internes) .............................................................................................. 14
1.2.4.4. Du point de vue de la sécurité civile et des SDIS .................................................... 14
1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE INTERNE :
15
1.3.1. Des vulnérabilités en perpétuelle évolution ................................................................. 15
1.3.2. Une société de moins en moins tolérante face aux risques .......................................... 17
2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX ................................................ 19
2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION .................................................. 19
2.1.1. La notion de contrôle interne à la BSPP ...................................................................... 19
2.1.2. Le contrôle interne en réponse au risque juridique dans les établissements de soin ... 21
2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES DEPUIS LES
LOIS DE DECENTRALISATION ................................................................................................... 22
138
2.3. LE CONTROLE INTERNE DANS LES SDIS ...................................................................... 23
2.3.1. Le contrôle interne, une démarche inhérente à la culture opérationnelle .................... 23
2.3.2. Une pratique trop peu développée dans la gestion administrative de nos activités ..... 24
2.3.3. L’évolution des services de protection du SDIS .......................................................... 24
2.3.4. Une enquête terrain révélatrice d’une acculturation en marche ................................... 25
3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS .............. 29
3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET DES
TRADITIONS.................................................................................................................................. 29
3.1.1. Une Bureaucratie Professionnelle standardisée ........................................................... 29
3.1.2. Une activité qui génère de plus en plus de vulnérabilités ............................................ 33
3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE SYSTEMIQUE ET
EMPIRIQUE .................................................................................................................................. 34
3.2.1. Impliquer la gouvernance dans ce choix stratégique ................................................... 34
3.2.2. Formaliser la stratégie et les objectifs à atteindre ........................................................ 35
3.2.3. Instaurer une culture transversale de contrôle interne par le management .................. 36
3.2.4. Contrôler les activités par des tableaux de bord pertinents .......................................... 38
3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE ................................................. 40
3.3.1. Un dispositif qui ne peut se satisfaire à lui-même ....................................................... 40
3.3.2. Un outil d’optimisation du service ............................................................................... 41
4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE ......... 43
4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES DANS UNE
ORGANISATION SDIS MAÎTRISEE.............................................................................................. 43
4.1.1. Déterminer la finalité du contrôle interne .................................................................... 44
4.1.1.1. Un contrôle interne limité à la recherche de fraudes ou de fautes ? ......................... 44
4.1.1.2. Poursuivre la maîtrise des risques ............................................................................ 44
4.1.2. Engager l’action collective ........................................................................................... 46
4.1.2.1. Responsabiliser chaque acteur par l’autocontrôle .................................................... 46
4.1.2.2. Identifier, positionner et missionner un coordinateur .............................................. 46
4.1.2.3. Former à la maîtrise des risques ............................................................................... 48
4.1.2.4. Communiquer la démarche ...................................................................................... 48
4.1.3. Conduire l’état des lieux du SDIS et l’analyse de ses vulnérabilités ........................... 49
4.1.3.1. Collecter les besoins et attentes des centres de secours et des services pour la
définition des objectifs ............................................................................................................ 49
4.1.3.2. Etablir la cartographie des risques pour isoler les vulnérabilités clés ...................... 50
4.1.4. Décider d’un plan d’action sur les processus à améliorer et les plans de continuité
d’activité à mettre en place ......................................................................................................... 51
4.1.4.1. Arbitrer ..................................................................................................................... 51
4.1.4.2. Etablir le planning de réalisation .............................................................................. 52
4.1.5. Mettre en place les processus et les plans de continuité d’activité. ............................. 53
4.1.5.1. Constituer des groupes de travail ............................................................................. 53
4.1.5.2. Faire vivre les processus sous la surveillance d’un pilote ........................................ 53
4.1.5.3. Construire des indicateurs permettant de mesurer l’atteinte des objectifs ............... 54
139
4.1.6. Effectuer une revue de direction pour un nouveau plan d’action ................................ 54
4.1.6.1. Mesurer l’écart entre l’atteinte des objectifs et la réponse aux besoins ................... 54
4.1.6.2. Arbitrer dans le cadre d’un nouveau plan d’action .................................................. 54
4.1.7. Pérenniser la démarche ................................................................................................ 55
4.1.7.1. Fiabiliser le SDIS par l’amélioration continue, dans un objectif de performance. .. 55
4.1.7.2. Auditer le SDIS ........................................................................................................ 56
4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE MANAGEMENT
DES RISQUES AU SEIN DES SDIS .............................................................................................. 57
4.2.1. L’activité opérationnelle comme enjeu majeur de la maîtrise des risques .................. 57
4.2.1.1. Maîtriser le facteur humain ...................................................................................... 58
4.2.1.2. Maîtriser l’aptitude opérationnelle, .......................................................................... 58
4.2.1.3. Maîtriser l’expérience par le RETEX ....................................................................... 59
4.2.1.4. Maîtriser la formation ............................................................................................... 59
4.2.1.5. Maîtriser le terrain .................................................................................................... 60
4.2.1.6. Maîtriser le savoir-faire ............................................................................................ 60
4.2.2. Développer une culture nationale de maîtrise des risques ........................................... 61
CONCLUSION................................................................................................................................. 63
TABLE DES ANNEXES ................................................................................................................. 75
ABSTRACT
Le contrôle interne est une méthode d’organisation d’une structure par la maîtrise de ses
vulnérabilités. Porté par la gouvernance, il constitue un outil stratégique complémentaire aux
notions d’audit et d’autoévaluation. Cette méthode d’organisation nécessite une cartographie des
risques, la définition de seuils critiques et le choix de gestion des risques résiduels.
Les services départementaux d’incendie et de secours sont culturellement orientés vers les risques
qui menacent la population qu’ils défendent. Ils méconnaissent souvent leurs propres fragilités.
Dans un environnement incertain, ce mémoire démontre la plus-value de la maîtrise des
vulnérabilités et propose des outils et méthodes de mise en place.
MOTS CLES : contrôle interne – audit – performance - maîtrise des vulnérabilités - auto
évaluation – méthodologie - outil stratégique
Internal control is a method based on the study of system vulnerabilities. Implemented by
headquarter, it is a strategic and complementary skill to cross audit and self-evaluation. It requires
a whole method of risk mapping, acceptability and management of residuals vulnerabilities.
Fire Rescue Services (FRS) are not used with their own fragility and are caring about what could
happen to others. Now in days, moving external factors do impact their behavior and visibility to
the next years. This document shows how internal control is a best practice for FRS and how to
implement this method avoiding fails.
KEYWORDS : internal control – audit – success - risk management - self monitoring,
methodology - strategic meaning
- Développer l’AUDIT INTERNE
- Utiliser l’AUDIT EXTERNE
- Impliquer les acteurs
- Construire les indicateurs de réussite
- Arbitrer- Programmer
- Collecter les besoins , difficultés et bonnes pratiques
- Etablir la cartographie des vulnérabilités
- Identifier les points critiques
- Définir l’objectif stratégique- Missionner un coordinateur
crédible
- Développer la culture et la technicité de la gestion des vulnérabilités
MAITRISER SES VULNERBILITES
Engager le changement
Acquérir des compétences
Conduire l’état des lieux
Décider du plan d’action
Améliorer les processus
Evaluer la performance
- Portage par la gouvernance- Communication- Confiance et responsabilisation
- Chercher un contrôle absolu- Limiter le contrôle au chiffrage- Imaginer un processus plus
coûteux que ses bienfaits
Mémoire en vue de l’obtention de laFAE de Chef de Groupement
et du Certificat d’Etudes Politiques Spécialité Information Stratégique de Sciences-Po Aix en Provence