le controle interne au sein des sdis : genese, enjeux et

153
LE CONTROLE INTERNE AU SEIN DES SDIS : GENESE, ENJEUX ET PRECONISATIONS Mémoire en vue de l’obtention de la FAE de Chef de Groupement et du Certificat d’Etudes Politiques Spécialité Information Stratégique de Sciences-Politiques d’Aix-en-Provence Promotion 2014/02 - Formation n° 29 Rédacteurs : Lieutenant-Colonel Sylvain KOZAK SDIS 62 Commandant Stéphane BOUBET SDIS 78 Commandant Benoît DELAGE SDIS 77 Commandant Arnaud DUDOUS-PEDRAITA SDIS 95 Directeur du mémoire ENSOSP Colonel Philippe BARTHOD Directeur Général du Contrôle Interne Service Départemental d’Incendie et de Secours du Nord Directeur du mémoire IEP Madame Céline LE CORROLLER Institut d’Etudes Politiques d’Aix-en-Provence

Upload: others

Post on 23-Mar-2022

11 views

Category:

Documents


0 download

TRANSCRIPT

LE CONTROLE INTERNE

AU SEIN DES SDIS :

GENESE, ENJEUX ET PRECONISATIONS

Mémoire en vue de l’obtention

de la FAE de Chef de Groupement

et du Certificat d’Etudes Politiques

Spécialité Information Stratégique

de Sciences-Politiques d’Aix-en-Provence

Promotion 2014/02 - Formation n° 29

Rédacteurs : Lieutenant-Colonel Sylvain KOZAK – SDIS 62

Commandant Stéphane BOUBET – SDIS 78

Commandant Benoît DELAGE – SDIS 77

Commandant Arnaud DUDOUS-PEDRAITA – SDIS 95

Directeur du mémoire ENSOSP Colonel Philippe BARTHOD

Directeur Général du Contrôle Interne

Service Départemental

d’Incendie et de Secours du Nord

Directeur du mémoire IEP Madame Céline LE CORROLLER

Institut d’Etudes Politiques

d’Aix-en-Provence

AVERTISSEMENT

« Les opinions exprimées dans ce mémoire sont propres à leurs auteurs et n'engagent ni

l’Institut d’Etudes Politiques d’Aix-en-Provence, ni l’Ecole Nationale Supérieure des

Officiers de Sapeurs-Pompiers »

REMERCIEMENTS

Nous souhaitons tout d’abord exprimer nos plus sincères remerciements aux personnes ayant

participé à l’encadrement de ce mémoire :

Notre directeur de mémoire, le Colonel Philippe BARTHOD, Directeur Général du

Contrôle Interne du Service Départemental d’Incendie et de Secours du Nord, pour sa

disponibilité, son écoute et son implication tout au long de cette année ;

Nos directeurs départementaux et supérieurs hiérarchiques respectifs pour les

autorisations de déplacements, l’aménagement du service ainsi que la mise à

disposition des moyens facilitateurs à la conduite de ce mémoire ;

Le Commandant Laurent LECOMTE et Madame Céline LE CORROLLER, pour leur

suivi de ce mémoire.

Les entretiens réalisés afin de recueillir des informations, des avis, des vécus et expériences

ont engendré des apports de qualité. A ce titre, nous désirons témoigner notre gratitude aux

interlocuteurs suivants :

Monsieur le Colonel Yvon TREPOS, Adjoint au chef de l’Inspection de la Direction

Générale de la Sécurité Civile et de la Gestion des Crises ;

Monsieur le Lieutenant-Colonel Régis BAUJOIN, Chef du Groupement Logistique du

Service Départemental d’incendie et de Secours de l’Oise ;

Monsieur le Lieutenant-Colonel Philippe SALLE, Chef du Bureau Pilotage, Audit,

Contrôle de la Brigade des Sapeurs-Pompiers de PARIS ;

Monsieur le Lieutenant-Colonel Jean-François FOULON, Chef du Groupement

Analyse Stratégique et Evaluation de la Performance du Service Départemental

d’Incendie et de Secours du PAS-DE-CALAIS ;

Monsieur le Commandant GRAVINA, Brigade des Sapeurs-Pompiers de PARIS ;

Monsieur Philippe CANNARD, Inspecteur Général de l’Administration ;

Monsieur Christophe REYNAUD, Adjoint au Sous-Directeur des Services d’Incendie

et des Acteurs de Secours au sein de la DGSCGC ;

Monsieur le Docteur Philippe DURETTE, intervenant pour l’IFACI ;

Monsieur Charles BONNIEL, Consultant, intervenant au CNAM ;

Monsieur OUALLET, Contrôleur de Gestion au Service Départemental d’Incendie et

de Secours du Val-d’Oise.

Enfin, nous adressons aussi nos remerciements à toutes celles et à tous ceux qui, dans

l’ombre, nous ont apporté leur soutien, leur aide et ont veillé au bon fonctionnement du

service en notre absence.

TABLE DES ABREVIATIONS

AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité

AMF : Autorité des Marchés Financiers

APHP : Assistance Publique des Hôpitaux de Paris

BNP : Banque Nationale de Paris

BSPP : Brigade des Sapeurs-Pompiers de Paris

BMPM : Bataillon des Marins Pompiers de Marseille

CAF : Commun Assessment Framework (cadre d’autoévaluation des

fonctions publiques)

CASDIS : Conseil d’Administration du Service Départemental d’Incendie et de

Secours

CHSCT : Comité Hygiène Sécurité et Conditions de Travail

CIS : Centre d’Incendie et de Secours

CGCT : Code Général des Collectivités Territoriales

CNFPT: Centre National de la Fonction Publique Territoriale

CODIS : Centre Opérationnel Départemental d’Incendie et de Secours

COSO : Committee Of Sponsoring Organizations of the Treadway Commission

CTA : Centre de Traitement de l’Alerte

DDA : Directeur Départemental Adjoint

DDSIS : Directeur Départemental des Services d’Incendie et de Secours

DGSCGC : Direction Générale de la Sécurité Civile et de la Gestion des Crises

EFQM : European Foundation for Quality Management

ENSOSP : Ecole Nationale Supérieure des Officiers de Sapeurs-Pompiers

EPO : Evaluation de la Préparation Opérationnelle

ER/ETARE : ETAblissement REpertorié

ETP : Equivalent Temps Plein

FAE : Formation d’Adaptation à l’Emploi

GPEEC : Gestion Prévisionnelle des Emplois, des Effectifs, et des Compétences

GOC : Gestion Opérationnelle et Commandement

HAS : Haute autorité de Santé

IEP : Institut d’Etudes Politiques

IFA : Institut Français des Administrateurs

IFACI : Institut Français de l’Audit et du Contrôle Internes

IIA : Institute of Internal Auditors

INSIS : Indicateurs Nationaux des Services d’Incendie et de Secours

ISO : International Organization for Standardization

LOLF : Loi Organique relative aux Lois de Finances

LSF : Loi de Sécurité Financière

MAP : Modernisation de l’Action Publique

MOSAR : Méthode Organisée Systémique d’Analyse des Risques

OGM : Organisme Génétiquement Modifié

NPM : New Public Management

PDCA : Plan, Do, Check, Act

PCA : Plan de Continuité d’Activité

POJ : Potentiel Opérationnel Journalier

RAF : Responsable Administratif et Financier

REATE : REorganisation de l’Administration Territoriale de l’Etat

RETEX/ REX : Retour d’Expérience

RGPP : Révision Générale des Politiques Publiques

RIM : Règlement d’Instruction et de Manœuvre

RO : Règlement Opérationnel

RPS : Risques Psychosociaux

SAOIELC : Situation, Anticipation, Objectifs, Idées de manœuvre, Exécution,

Logistique, Commandement

SAT : Surveillance Administrative et Technique

SEC : Securities Exchange Commission

SDACR : Schéma départemental d’analyse et de couverture des risques

SDIS : Service Départemental d’Incendie et de Secours

SMART : Spécifique, Mesurable, Atteignable, Réaliste, Temporellement défini

SOX : Sarbanes Oxley

SPP : Sapeur-Pompier Professionnel

SPV : Sapeur-Pompier Volontaire

SWOT / FFOM Strengths Weaknesses Opportunities Threats / Forces Faiblesses

Opportunités Menaces

SOMMAIRE

INTRODUCTION .................................................................................................................... 1

1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS ....... 5

1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS L’HISTOIRE5

1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE » .................................... 8

1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE

INTERNE : ............................................................................................................................ 15

2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX ...................................... 19

2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION ........................................ 19

2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES DEPUIS

LES LOIS DE DECENTRALISATION ................................................................................. 22

2.3. LE CONTROLE INTERNE DANS LES SDIS ............................................................ 23

3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS ..... 29

3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET DES

TRADITIONS ........................................................................................................................ 29

3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE SYSTEMIQUE ET

EMPIRIQUE ......................................................................................................................... 34

3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE ....................................... 40

4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE 43

4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES DANS UNE

ORGANISATION SDIS MAÎTRISEE .................................................................................... 43

4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE

MANAGEMENT DES RISQUES AU SEIN DES SDIS ......................................................... 57

CONCLUSION ....................................................................................................................... 63

TABLE DES ANNEXES ....................................................................................................... 75

AVANT-PROPOS

« On ne peut se passer d'une méthode pour se mettre en quête de la vérité des choses. »

René Descartes

L’atteinte de l’objectif de la production de ce mémoire nécessite la mise en place

d’une démarche méthodique encore appelée « design de la recherche ». Il convient d’en

définir les différentes étapes au travers de ces prolégomènes. La gestion du temps en fonction

des disponibilités des personnes ressources et des impératifs du groupe stagiaire a d’office

engendré le besoin de planification1 des tâches inhérentes à ce mémoire.

Après avoir réalisé un brainstorming entre nous afin d’évaluer notre connaissance du sujet et

de comparer dans nos expériences communes ce qu’englobe cette notion, la première étape

fut de rassembler des données autour du thème fixé par l’ENSOSP à savoir « Le contrôle

interne au sein des SDIS – Objectifs ? Organisation ? ». Notre démarche exploratoire a

ensuite consisté à opérer une revue de littérature généraliste et à effectuer des entretiens

collectifs de type exploratoire. Ce début de cheminement a engendré la récupération d’une

masse importante de données afin de cerner dans sa globalité la thématique.

Cette phase nous a permis de définir une problématique étayée par des hypothèses de

recherches qui seront explicitées dans l’introduction.

Afin de confirmer ou d’infirmer ces hypothèses de recherche, une démarche de type enquête

comportant un formulaire dématérialisé2, ayant pour cible deux populations différenciées, a

été mise en place.

Le premier échantillon, identifié au travers de l’annuaire 2013-2014 de l’encadrement des

SDIS, comporte uniquement des personnes dont le domaine de compétence est proche des

notions de contrôle, d’audit, de performance et d’évaluation. Nous l’associons donc

volontairement à l’appellation de « spécialistes ». Le second échantillon permet de toucher

une population plus vaste, car visant chaque SDIS, en utilisant pour base de référence

d’anciens stagiaires issus de FAE de chef de groupement à l’ENSOSP.

1 Diagramme de Gantt : Annexe 1

2 Modèle d’enquête : Annexe 2

Les données3 ainsi collectées et analysées ont permis d’avoir une vision de l’état de

l’existant et de valider un certain nombre de points développés au travers des parties

suivantes. Les questions ouvertes en fin d’enquête ont provoqué bon nombre de retours de

recommandations et des conseils proposés par des départements ayant un retour d’expérience

en la matière.

Une légère reformulation du sujet telle que « Le contrôle interne au sein des SDIS :

genèse, enjeux et préconisations » nous a semblé plus opportune pour orienter les réflexions

des futurs lecteurs. En effet, notre objectif consiste surtout à démontrer l’intérêt du contrôle

interne et à proposer des préconisations de mise en œuvre.

Enfin, bien que le sujet fixé soit le cadre du SDIS, il nous est apparu fort intéressant d’élargir

notre champ de vision dans le cadre d’un processus d'analyse comparative (benchmarking),

d'adaptation et d'implantation des meilleures pratiques.

Nous nous sommes ainsi attachés à comprendre ce que d’autres structures ont mis en place,

telles que la fonction publique d’Etat et les militaires via la BSPP (Brigade des Sapeurs-

Pompiers de Paris) et la fonction publique hospitalière via l’APHP (Assistance Publique des

Hôpitaux de Paris).

Cette démarche d’enquête s’est vue complétée par quelques derniers entretiens très

spécifiques et une relecture d’ouvrages et d’articles spécialisés.

3 Principaux résultats de l’enquête : panel des spécialistes : Annexe 3 – panel des généralistes : Annexe 4

1

INTRODUCTION

« Les Français ne maîtrisent pas l'anglais. Une étude réalisée par Education First sur le

niveau de compétence en anglais des adultes classe la France au 35ème rang, parmi soixante

pays »4.

Ainsi se pose la première difficulté à laquelle notre groupe mémoire se confronte en

découvrant, au premier jour de la formation d’adaptation à l’emploi de chef de

groupement, l’énoncé initial du sujet qu’il devra traiter dans ce mémoire de recherche. En

effet, le sujet se présente d’abord en ces termes : « Le contrôle interne dans les Services

Départementaux d’Incendie et de Secours (SDIS) : objectifs et organisation ».

« Contrôle » : ce mot porte presque intrinsèquement, dans notre culture latine, une

connotation de pointage, de censure, de recherche de responsabilité, voire de répression.

Pourtant, dès nos premiers pas sur ce chemin, nous apprendrons qu’il s’agit d’une

traduction infidèle de la notion anglo-saxonne d’« internal control » dont le sens est

« maîtrise intégrée des risques ».

Nous voici rassurés par un vocable que nous pensions connaître, en notre qualité commune

de techniciens du risque. Ceci recèle pourtant encore une approximation qui aurait pu nous

induire en erreur sans une recherche sur la notion de risques, la nôtre étant culturellement

quasi exclusivement orientée vers la notion de risques de sécurité civile. C’est omettre

l’ensemble des circonstances, situations et facteurs environnementaux qui peuvent

conduire une organisation à ne pas remplir ses objectifs. Afin de préciser le sens de mots,

nous faisons le choix de parler de vulnérabilité.

Notre recherche bibliographique nous démontre que ce sujet a déjà fait l’objet d’ouvrages

divers. Les référentiels et outils sont ainsi expliqués tant dans leur utilité que dans leur

déploiement. Pourtant, ces facilités théoriques, si elles peuvent être intégrées facilement

dans un système à construire, se confrontent au principe de réalité des organisations

existantes, fortes et fragiles de leur histoire et fonctionnement.

Dès cette prise de conscience, nous avons choisi de traiter la problématique suivante :

En quoi le contrôle interne peut-il apporter une plus-value dans le fonctionnement

des SDIS ?

4 L’express, le 9 décembre 2013

2

En effet, par la confiance que leur témoigne la population, les SDIS peuvent avoir tendance

à l’autosatisfaction et considérer que leur organisation est efficace, car répondant à

l’objectif opérationnel. Cependant, ce serait se cacher d’une réalité où notre environnement

est en perpétuelle mutation. Citons pour exemple :

- la judiciarisation de la société, qui amène les SDIS à défendre des dossiers

contentieux ;

- la recherche de responsables solvables dans les procédures de droit civil ;

- l’environnement juridique évolutif (évolution des statuts et textes régissant

notre institution et le droit du travail) ;

- les contraintes budgétaires qui pèsent sur les principaux financeurs des

SDIS ;

- l’évolution des menaces externes (risque industriel, biologique, terrorisme).

Ce sont autant de facteurs environnementaux qui peuvent déstabiliser les établissements

publics. Ajoutons à cela des paramètres internes incertains (prise en compte des risques

psychosociaux, problème de fidélisation des sapeurs-pompiers volontaires, etc.).

Nous avons donc, pour répondre à la problématique de la plus-value énoncée plus haut,

défini les questions de recherche suivantes :

- En quoi le contexte impose la mise en place d’une démarche de contrôle

interne ?

- Qu’est-ce que le contrôle interne pour un SDIS en 2014 ?

- Comment le contrôle interne peut participer à la transparence en

matière de bonne gestion de l’argent public ?

- Quelles sont les limites du contrôle interne ?

- Comment la maîtrise des vulnérabilités du SDIS doit être organisée

pour sécuriser l’établissement public, améliorer son fonctionnement et

responsabiliser ses acteurs ?

Pour répondre, nous proposons un mémoire en quatre parties.

Nous nous intéressons d’abord à la genèse du contrôle interne au sein des organisations.

Pour cela, depuis la théorie de l’évolution de Darwin à la naissance de la notion moderne,

d’abord financière, puis transverse et systémique, nous démontrons comment le 21ème

siècle présente un environnement orientant fortement chaque entité vers le développement

de la maîtrise de ses vulnérabilités.

Ensuite, nous étudions dans un état des lieux, les pratiques de certaines administrations

partenaires des SDIS. D’abord la fonction publique d’Etat : dans l’armée et plus

précisément à la Brigade des Sapeurs-Pompiers de Paris (BSPP), puis dans la fonction

publique hospitalière et en particulier à l’Assistance Publique des Hôpitaux de Paris

(APHP). Nous explorons aussi comment les lois de décentralisation ont imposé de fait aux

collectivités territoriales cette démarche participant à la bonne gestion de l’argent public.

3

Les SDIS, enfin, ont d’ores et déjà des pratiques administratives pouvant relever en partie

du contrôle interne, sans le nommer, voire parfois sans le savoir, alors que leurs actions

opérationnelles en témoignent une culture partagée.

Sur ces constats, la troisième partie développe en quoi un contrôle interne pertinent peut

devenir un atout stratégique pour les SDIS. En effet, un détour par la théorie des

organisations de Mintzberg nous démontrera des fragilités sous estimées de nos

institutions. Pour faire face, la gouvernance du SDIS peut se doter par le contrôle interne

d’un outil puissant d’organisation et de sécurisation de ses processus. De même, en

fédérant l’ensemble des acteurs autour d’un objectif commun, c’est l’occasion de redéfinir

les périmètres des responsabilités de chaque niveau hiérarchique dans un souci constant

d’efficacité, de transparence et de meilleure gestion. Le contrôle interne met par

exemple du lien entre les services, groupements, et la direction. Il facilite des relations

constructives vers un objectif commun. Cependant, nous étudierons aussi les écueils

possibles et temporiserons les plus enthousiastes par l’énoncé de limites de ce système

prometteur.

Enfin, nous terminons par des préconisations de mise en œuvre du contrôle interne dans

un SDIS. Des outils et des référentiels éprouvés sont présentés afin d’initier, développer et

adapter une organisation mettant l’accent sur les vulnérabilités par leur cartographie, leur

maîtrise et une démarche globale d’amélioration continue. L’objectif demeure la

performance et la modernisation de nos organisations. Des recommandations de

déploiement seront aussi formulées dans l’objectif de fournir au lecteur une marche à

suivre pragmatique dans laquelle les notions complémentaires de contrôle et audit interne,

de même que les audits externes sont liés.

A l’heure des incertitudes croissantes (contraintes budgétaires, réforme territoriale, travaux

sur les emplois supérieurs de direction, mais aussi déstabilisation politique de régions

entières du globe, montée du terrorisme), le service public de secours doit se doter d’un

mode d’organisation moderne et efficace garantissant de façon raisonnable l’atteinte de

ses objectifs. L’encadrement des SDIS, dans la ligne tracée par leur gouvernance, n’a pas

d’autres choix que de se former à ces formes de management par la qualité et l’approche

par les vulnérabilités.

Les officiers de sapeurs-pompiers, les personnels administratifs en responsabilité, les

directeurs et directeurs adjoints des SDIS, se doivent désormais de connaitre et adapter ces

formes de gestion intégrée. Ces méthodes sont héritées des organisations financières, puis

des industries cotées en bourse. En effet, par nature, ces systèmes sont historiquement plus

exposés aux variations de leur environnement politique, économique, sociale,

technologique, écologique et législatif.

4

5

1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS

« Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes,

mais celles qui s’adaptent le mieux aux changements. »

Charles Darwin

En quoi le contexte impose la mise en place d’une démarche de contrôle interne ?

Cette question de recherche va trouver sa réponse au fil des paragraphes suivants. C’est

notamment au travers de l’évolution sociétale et de ses contraintes que va naître cette

démarche qui va aboutir au contrôle interne contemporain.

1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS

L’HISTOIRE

1.1.1. Une maîtrise des risques pour s’assurer un avenir

D’origine anglo-saxonne, il est nécessaire d’évoquer avant tout « l’internal

control » à travers la « maîtrise des risques », comme l’assure la traduction de

l’anglais, plutôt que d’utiliser à tort en français l’expression de « contrôle

interne ». Son sens premier suggère en effet un inventaire des risques présents et

futurs ainsi qu’une prise de décision en tenant compte de leurs impacts potentiels

et de leurs probabilités de survenance. La survie d’une espèce, le bon

fonctionnement d’une structure ou la recherche de performance sont à ce prix.

Selon la théorie du naturaliste Charles Darwin5, l’intégralité des êtres vivants est le

résultat d’une série de transformations biologiques appelée évolution. Au travers

du principe de la sélection naturelle, il expose l’idée selon laquelle les êtres vivants

les mieux adaptés à leur environnement auront des facilités à survivre et à se

reproduire en transmettant ces caractéristiques à leur progéniture. Par contre, les

moins adaptés auront tendance à disparaître.

Ce besoin de prise en compte des facteurs extérieurs pour survivre ou continuer de

fonctionner est aussi applicable aux organisations qui nous entourent. Elles sont

soit issues du domaine privé et doivent s’adapter à la concurrence des marchés,

soit public et réagissent en fonction des contraintes nouvelles d’ordres politiques,

budgétaires, etc. Le parallèle avec le principe biologique de l’homéostasie est

inévitable.

5 Charles Darwin, naturaliste britannique (Shrewsbury, Shropshire, 1809-Down, Kent, 1882), auteur notamment en 1859 De l'origine des espèces par voie de

sélection naturelle, Cet ouvrage démontre le rôle de la lutte pour la vie et de la sélection naturelle dans l'évolution des faunes et des flores.

6

En effet, l’homéostasie6 est le « processus de régulation par lequel

l'organisme maintient les différentes constantes du milieu intérieur (ensemble

des liquides de l'organisme) entre les limites des valeurs normales ou encore

caractéristique d'un écosystème qui résiste aux changements (perturbations) et

conserve un état d'équilibre ».

Vivre et se développer sont des objectifs imposant une adaptation permanente de

l’entité à son environnement.

1.1.2. Un contrôle pour assurer une bonne gestion

1.1.2.1. De la Grèce antique à l’Empire romain

Concernant la civilisation grecque, Aristote observe que « dix logistae

(vérificateurs) et dix euthuni (examinateurs de comptes) étaient choisis au sort.

Chaque responsable public devait leur rendre des comptes. Ils présentaient leurs

résultats à la cour. Quiconque détournait des fonds devait rendre dix fois la

somme dérobée. Dans le cas d’erreurs administratives, la cour l’évaluait et le

responsable devait la rendre sur un délai de 9 mois, à défaut le remboursement

doublait ».

Concernant l’Empire romain, l’auditus (audit), impose aux responsables publics de

réaliser un compte rendu de leurs activités devant une cour de justice.

De longue date, il est donc apparu capital pour les autorités en place d’établir des

règles de contrôle, d’information et de transparence vis-à-vis de la population.

1.1.2.2. Des Carolingiens à la Révolution française

Les missi dominici, littéralement « envoyés du maître », sont institués par un

capitulaire7 de Charlemagne. Les missi, envoyés spéciaux des souverains

carolingiens, contrôlent les représentants du pouvoir royal et notamment les

comtes au niveau régional. Ils permettent au roi de réaliser des inspections, de

contrôler le bon fonctionnement de l’administration locale et de vérifier la stricte

application locale des mesures royales.

Après les missi dominici et la logique de gestion administrative, Philippe Auguste,

via l’ordonnance8 de 1190, met en place une logique de gestion politique et

managériale, notamment, par une procédure de reddition des comptes publics.

Provenant de la cour du roi (curia regis), ses proches sont en charge de lui apporter

l’aide nécessaire à l’administration de son domaine et à la gouvernance de ses

sujets.

6 Dictionnaire Larousse en ligne

7 Capitulaire Admonitio generalis de 789 d’Aix-la-Chapelle

8 Ordonnance testament du 24 juin 1190

7

La nécessité de bonne gestion des deniers publics se poursuit et connaît des

évolutions notables sous Saint Louis, Philippe V le Long, et au Moyen Âge puis

sous la Révolution française.

C’est d’ailleurs dans la Déclaration des Droits de l’Homme et du Citoyen

qu’apparaissent deux articles démontrant un souci de transparence et de contrôle

du peuple vis-à-vis du pouvoir en place :

« Tous les citoyens ont le droit de constater par eux-mêmes ou par leurs

représentants, la nécessité de la contribution publique, de la consentir librement,

d’en suivre l’emploi, d’en déterminer la quotité, l’assiette, le recouvrement et la

durée »9.

« La société a le droit de demander compte à tout agent public de son

administration »10

.

1.1.2.3. De Napoléon à la décentralisation

Par la loi du 16 septembre 1807, Napoléon souhaite rendre active une juridiction

financière supprimée lors de la Révolution (les chambres des comptes) et organise

la Cour des Comptes que nous connaissons aujourd’hui.

En 1982, grâce à la loi dite de décentralisation11

, apparaissent les chambres

régionales des comptes. Ces juridictions administratives financières et

indépendantes ont vocation à procéder à la vérification des comptes des

collectivités locales et à statuer sur les conflits correspondants.

A travers notre histoire, des personnes, des procédures et des structures se sont

employées à limiter l’impact des risques de notre environnement et à apporter la

preuve d’une bonne gestion via une comptabilité, un contrôle et une diffusion de

l’information.

9 Article 14 de la déclaration des droits de l’homme et du citoyen de 1789

10 Article 15 de la déclaration des droits de l’homme et du citoyen de 1789

11 Loi n°82-213 du 2 mars 1982 modifiée relative aux droits et libertés des communes, des départements et des régions

8

1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE »

1.2.1. Au niveau international

1.2.1.1. Définitions du contrôle interne et du risque selon l’Institute of

Internal Auditors (IIA)

Afin d’éviter toute interprétation quant aux définitions, nous souhaitons reprendre

les définitions de l’IIA qui font mondialement référence dans le domaine de l’audit

et du contrôle internes.

- « Contrôle : toute action engagée par la direction, le conseil d’administration

et d’autres parties pour gérer le risque et accroître la probabilité que les

objectifs définis seront atteints. La direction planifie, organise et dirige

l’exécution des actions qui apporteront l’assurance raisonnable que ces

objectifs seront atteints.

- Risque : possibilité qu’un événement se produise et qu’il ait des conséquences

sur la réalisation des objectifs. Le risque se mesure en termes de conséquences

et de probabilité. »

Plusieurs définitions du risque existent mais elles se retrouvent toutes en terme de

contenu. Ainsi, d’après Ortwin Renn12

, le terme risque exprime « la vraisemblance

qu’un état indésirable de la réalité puisse survenir comme le résultat

d’évènements naturels ou d’activités humaines ». Selon Bernard Couturier13

, le

risque est « le résultat d’une comparaison implicite entre ce qui est attendu, ce qui

est prévu, ce qui est conceptualisé et le résultat réel qui va se produire ». Enfin,

selon la norme ISO 31000, le risque est l’effet de l’incertitude sur l’atteinte des

objectifs (la norme ISO 31000 est un élément développé dans la 3ème partie).

Dans la suite de ce mémoire, nous utiliserons volontairement le terme de

« vulnérabilité » pour identifier tout risque repris par la définition de l’IIA.

L’objectif est de ne pas confondre avec les risques de « sécurité civile ». En effet,

le monde sapeur-pompier manipule cette notion de risque en réalisant surtout la

liaison avec le domaine opérationnel. Il ne faut donc pas créer la méprise quant à

ce terme.

12 Professeur de sociologie de l’environnement et de l’évaluation de l’impact des technologies à l’Université de Stuttgart.

13 Maître de conférences, Directeur de l’Institut des Risques Industriels, Assurantiels et Financiers (IRIAF), Responsable du Master Statistique appliquée aux

risques en assurances dommages et santé - Université de Poitiers

9

1.2.1.2. Définition selon le COSO

Depuis 20 ans, le référentiel COSO14

est internationalement utilisé dans le

domaine du contrôle interne. Face à l’évolution des contextes économique et

réglementaire ainsi qu’à l’apparition ou à la mutation des risques, la matrice du

COSO a été actualisée. Ainsi, le COSO 2013 présente la définition15 suivante du

contrôle interne : « Le contrôle interne est un processus mis en œuvre par le

conseil, le management et les collaborateurs, et qui est destiné à fournir une

assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au

reporting et à la conformité ».

Il en résulte que le contrôle interne est l’affaire de tous quel que soit son rôle

(opérationnel au sens de productif, support c’est-à-dire expert ou conseiller dans

les domaines de performance et de contrôle).

La responsabilisation des personnels est donc un facteur clé de la réussite. La

figure 1 schématise les différentes composantes du contrôle interne dans une

structure.

Figure 1 - Référentiel COSO 2013

14 Committee Of Sponsoring Organizations of the Treadway Commission

15 Coso 2013, Une opportunité pour optimiser votre contrôle interne dans un environnement en mutation, Pocket Guide, IFACI, juillet 2013

10

1.2.2. Exemple des Etats-Unis et de la crise financière contemporaine

Aux Etats-Unis, la loi Sarbannes-Oxley (dite loi SOX) a été ratifiée le 30 juillet

2002 suite aux scandales tels qu’Enron16

et Tyco17

. Son objectif est de redonner

entière confiance aux investisseurs et aux épargnants.

Son principe repose sur les règles de comptabilité et la sécurité financière des

entreprises. Elle leur impose la mise en place d’un contrôle interne destiné à

empêcher la fraude, le recours à des informations financières erronées ainsi qu’à

la perte de données. Cette démarche de contrôle, inscrite dans le temps, basée sur

la responsabilité des dirigeants, comportant des processus d’alerte, doit

impérativement être validée par un organisme d’audit externe.

Rapidement, l’impact de cette loi s’est étendu internationalement aux sociétés non

américaines souhaitant entrer en bourse notamment lors du dépôt du dossier auprès

de la SEC (Security Exchange Commission - autorité américaine des marchés

financiers). En France, la loi SOX a donné naissance à la loi de sécurité financière.

1.2.3. Exemple de l’Union Européenne

1.2.3.1. 2006 : la « 8ème

directive »

Cette directive européenne18

impose la création d’une instance spécialisée, placée

sous la responsabilité des conseils d’administration ou des conseils de

surveillance. Dans les faits, elle crée un comité d’audit chargé du suivi et de la

surveillance du processus d’élaboration des informations financières et de

l’examen des comptes.

Son objectif est aussi de veiller à l’efficacité des processus de contrôle interne et à

la prise en compte de la réduction impérative des vulnérabilités. Le lien entre le

contrôle interne et la gestion de ces vulnérabilités est donc un objectif capital de

cette directive. Le comité d’audit doit ensuite impérativement réaliser une mesure

de l’efficacité des processus du contrôle interne mis en place par la gouvernance.

16 Société Américaine qui achetait et revendait de l'électricité. En 2001, elle fit faillite suite à des pertes engendrées par des opérations spéculatives maquillées

en bénéfices via des manipulations comptables. Cette situation provoqua aussi la faillite d'Arthur Andersen qui auditait les comptes d’ENRON.

17 Société Américaine dont le PDG et plusieurs dirigeants ont illégalement acheté des biens fonciers et des œuvres d'art avec l’argent de l’entreprise sans

information des actionnaires et des autorités fiscales.

18 Directive européenne n°2006/43/CE du 17 mai 2006 dite 8ème directive relative au contrôle légal des comptes annuels et des comptes consolidés

11

1.2.3.2. 1988 – 2010 : les « accords de Bâle » relatifs aux banques

Les trois accords successifs de Bâle ont des finalités bancaires qui ont évolué au fil

du temps, ayant pour fil conducteur la stabilité du système bancaire. L’objectif

principal tourne autour de la notion de gestion de fonds propres et de risque des

marchés (Bâle I19

).

Ensuite sont apparus, notamment, les besoins de renforcer l’appréciation des

risques bancaires réels et d’améliorer le processus interne de gestion de ces risques

et de leur surveillance (Bâle II20

).

Enfin, parmi les objectifs de Bâle III21

de 2010, consécutifs à la crise des

« subprimes », figure celui de réduire à nouveau la notion de risque économique

auquel s’expose le monde bancaire en augmentant significativement leurs fonds

propres servant à les couvrir.

Le domaine du contrôle interne est essentiellement issu des domaines de la finance

au sein desquels il a fixé bon nombre de règles. Regardons désormais à l’échelon

national quel est son impact.

1.2.4. Zoom sur la France

1.2.4.1. Du point de vue des orientations des politiques publiques

Le new public management ou nouvelle gestion publique

La nouvelle gestion publique ou nouveau management public (NPM signifiant

new public management en anglais) provient d’un concept des années 70.

Ce dernier présente l’idée selon laquelle il faut rapprocher la gestion du domaine

public à celle du privé animée par la culture du résultat22

. Les notions de niveau de

pilotage et de niveau d’exécution y sont clairement définies.

De même, la précision des outils et les pratiques du privé y sont louées. Parmi les

multiples composantes du nouveau management public s’affichent la maîtrise des

coûts, la notion de rapport coût/efficacité et l’évaluation continue grâce aux

indicateurs de gestion23

.

19 Accords de Bâle I de 1988

20 Accords de Bâle II publiés le 26 juin 2004 : convergence internationale de la mesure et des normes de fonds propres

21 Accords de Bâle III publiés le 16 décembre 2010 : dispositif réglementaire mondial visant à renforcer la résilience des établissements et systèmes bancaires

22 Chappoz Yves, Pupion Pierre-Charles, « Le New Public Management », Gestion et management public 2/ 2012 (Volume 1/n°2), p. 1-3

23 François-Xavier Merrien[ - Lien social et Politiques n° 41 - printemps 1999

12

Révision générale des politiques publiques, réorganisation de

l’administration territoriale de l’Etat, modernisation de l’action

publique

La RGPP (révision générale des politiques publiques) de juillet 2007 avait surtout

pour objectifs concomitants de réformer les structures de l’Etat pour les

moderniser et diminuer les dépenses publiques.

La REAT (réorganisation de l’administration territoriale de l’Etat) a impacté les

directions départementales et régionales et modifié le poids des représentants de

l’Etat et particulièrement celui du préfet de région. Concernant l’exemple du

contrôle de légalité, la diminution des effectifs a eu pour effet corollaire un

recentrage de cette activité sur les actes à fort enjeu ou jugés les plus sensibles.

Cette démarche a donc nécessité une analyse interne des vulnérabilités liées à ces

actes, une modification des procédures, une acceptation du risque au sens général.

Le contrôle interne, là encore, sans être nommé, a produit son effet.

La MAP (modernisation de l’action publique) de 2012 visait un éventail plus large

que l’Etat. En effet, les collectivités territoriales, malgré la libre administration qui

les caractérise, étaient impactées avec toujours en toile de fond l’aspect financier et

la volonté d’une consolidation et d’une amélioration de la qualité des services

publics. L’évolution maîtrisée de notre environnement public ne peut se faire

qu’en ayant préalablement mesuré la capacité à atteindre l’objectif dans un

contexte de modification des paramètres extérieurs.

1.2.4.2. Du point de vue juridique

2001 : Loi organique relative aux lois de finances

La LOLF (loi organique relative aux lois de finances24) promulguée en 2001

modifie significativement la gestion de la politique publique en général et

l’architecture budgétaire de l’Etat en particulier. Elle s’applique depuis 2006 à

l’ensemble de l’Administration.

Elle supprime le cloisonnement traditionnel des budgets par ministère au profit

d’une approche budgétaire par programmes, missions et actions, prenant en

compte les vulnérabilités pouvant nuire à l’atteinte des objectifs.

La volonté de travail en transversalité au sein des ministères, de budget maitrisé,

d’audit interne, de contrôle interne et de gestion de ces vulnérabilités sont ainsi

clairement affichés. C’est d’ailleurs l’objet du document de politique

transversale (DPT) de la sécurité civile25

, annexe du projet de loi de finance, qui

répartit par projet l’enveloppe budgétaire nécessaire.

24 Loi organique relative aux lois de finances n°2001-692 du 1er août 2001

25 Document de politique transversale – projet de loi de finances pour 2014 – Sécurité civile

13

Les axes transversaux de la politique, les objectifs et les indicateurs de

performance retenus sont clairement identifiés et mentionnés dans les DPT.

En 2007 apparaît l’inspection générale de l’administration territoriale. Ses

principales missions sont de l’ordre de l’inspection, de l’audit interne et de

l’évaluation de la politique publique. La volonté de transparence et d’amélioration

de la gestion publique affichée par les concitoyens a donc engendré la mise en

place du contrôle interne budgétaire, comptable et de performance.

2003 : Loi de sécurité financière

La loi SOX des Etats-Unis a impacté l’Europe et particulièrement les groupes

ayant des intérêts aux Etats-Unis. En France, la LSF (Loi de Sécurité Financière)

du 1er août 2003 a été comparée à la loi Sarbanes-Oxley bien que son périmètre

soit plus étendu. Etant entendu que dans le domaine bancaire en général, la

croissance et la création de valeur sont issues d’une certaine prise de risque, le

manque de gestion et/ou de maîtrise peut contrarier l’atteinte des objectifs fixés.

La LSF a donc mis en place un Haut Conseil du Commissariat aux Comptes et

l’Autorité des Marchés Financiers (AMF).

La loi de sécurité financière codifie l’obligation pour le président du conseil

d’administration d’une société de rendre compte dans un rapport des « conditions

de préparation et d’organisation des travaux du conseil ainsi que des procédures

de contrôle interne mises en place ». Ce sont donc le conseil d’administration et le

directoire qui sont responsables collectivement pour les comptes. En revanche,

c’est le président ou le directeur général d’une société cotée qui engage alors sa

responsabilité.

La LSF se différencie cependant de la SOX qui s’intéresse au seul contrôle interne

comptable et financier et non au contrôle interne au sens large.

En France, le champ d’application du contrôle interne n’a pas été clairement

délimité par la LSF. L’AMF a donc créé un groupe de travail afin d'arrêter un

cadre de référence de contrôle interne. Ce dernier a été publié en mai 2006.

Il comprend les principes généraux du contrôle interne, complété par un guide

d’application pour les procédures de contrôle interne relatives à l’élaboration et au

traitement de l’information financière et comptable publiée26

.

En conséquence, l’AMF encourage vivement l’utilisation de ce cadre de référence

et du guide d’application à la globalité des structures faisant appel public à

l’épargne en France.

26 AMF (2010), Cadre de référence sur les dispositifs de gestion des risques et de contrôle interne

14

Pour autant, il convient d’être prudent au regard de l’actualité dans le domaine de

la finance et du contrôle interne. L’affaire opposant Jérôme Kerviel à la Société

Générale a fait débat quant à la prise de risques des traders et des potentiels

manques de contrôle de leur hiérarchie. Peter Wirtz27 suggère au travers d’un

entretien de Philippe Monin28 « que les défaillances sont moins à rechercher au

niveau de la gouvernance stricto-sensu qu’au niveau du contrôle interne ;

qu’aucun dispositif de contrôle interne, aussi sophistiqué soit-il, n’empêchera la

créativité individuelle ; et qu’il serait utile d’étudier plus précisément le rôle des

incitations au sein de la profession des traders ». Doit-on en conclure

définitivement que le contrôle interne a des limites ?

1.2.4.3. Du point de vue du conseil et de la formation : L’IFACI (Institut

Français de l’Audit et du Contrôle Internes)

L’IFACI est une association, datant de 1965, affiliée à l’IIA, organisme

mondialement compétent dans le domaine idoine. Les missions, issues de ses

statuts29, lui confèrent un rôle dans la représentation des auditeurs internes, dans

l’encouragement de leur développement et la promotion des processus des

contrôles internes efficaces. Connue et reconnue, sa vocation est d’être

l’interlocuteur des administrations, des organisations professionnelles, des

institutions dans le domaine de l’audit et du contrôle internes. Ceci passe donc par

le développement de standards professionnels et la recherche et la diffusion des

bonnes pratiques via la formation et la certification.

1.2.4.4. Du point de vue de la sécurité civile et des SDIS

Comme évoqué précédemment, toute mise en œuvre du contrôle interne nécessite

une analyse préalable des vulnérabilités.

Cette notion est reprise dans les missions des préfets de zone de défense et de

sécurité et doit servir de base à « la préparation et à l’exécution des mesures de

sécurité nationale au sein de la zone de défense et de sécurité30

».

Ce point crucial est aussi présent dans la loi de modernisation de la sécurité

civile31

: « La politique de sécurité civile doit permettre de s'attaquer résolument

aux risques en les anticipant davantage, de refonder la protection des populations

et de mobiliser tous les moyens encourageant les solidarités. »

27 Peter Wirtz est professeur à l’université Lyon 2, membre du centre de recherche COACTIS et chercheur associé à l’IFGE. Il est aussi coresponsable du master

« Finance », d’où est diplômé le trader de la Société Générale Jérôme Kerviel. Auteur d’ouvrages et d’articles sur la politique financière et la gouvernance

d’entreprise, il a publié récemment Les meilleures pratiques de gouvernance d’entreprise (La Découverte).

28 Philippe Monin, « Retour sur l'affaire Société Générale » Entretien avec Peter Wirtz, Revue française de gestion, 2008/3 n° 183, p. 131-134. DOI :

10.3166/rfg.183.131-134

29 Article 2 des statuts de l’IFACI

30 Article R. 122-4 du décret n° 2013-1112 du 4 décembre 2013 relatif à la partie réglementaire du code de la sécurité intérieure

31 Article 3 de la loi n° 2004-811 du 13 août 2004 de modernisation de la sécurité civile

15

Pour autant que revienne régulièrement cette terminologie du risque, elle n’est ici

axée qu’en direction des risques de sécurité civile. Les vulnérabilités n’étant pas le

cœur du sujet, le contrôle interne n’apparait pas. On pourrait pourtant le percevoir

au travers des documents structurants d’un SDIS notamment grâce au SDACR

(schéma départemental d’analyse et de couverture des risques) et au règlement

opérationnel.

En effet, le CGCT (code général des collectivités territoriales) fixant les missions

des SDIS précise qu’ « ils concourent avec les autres services et professionnels

concernés, à la protection et à la lutte contre les autres accidents, sinistres et

catastrophes, à l'évaluation et à la prévention des risques technologiques ou

naturels ainsi qu'aux secours d'urgence et dans le cadre de leurs compétences à la

prévention et l'évaluation des risques de sécurité civile 32

. A ce titre, un SDACR

dresse l’inventaire des risques de toute nature pour la sécurité des personnes et

des biens auxquels doit faire face le SDIS dans le département et détermine les

objectifs de couverture de ces risques par ce service33

».

Le SDACR doit-il « simplement » se borner aux risques de sécurité civile ou

prendre aussi en considération l’intégralité des vulnérabilités du SDIS ? Enfin, le

règlement opérationnel34

est un document incontournable pour le pilotage

stratégique et la mise en place efficiente des processus. En réalisant ce pilotage

stratégique, en recherchant l’efficience et la performance à travers des processus,

nous sommes bien là au cœur du contrôle interne.

1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE

INTERNE :

1.3.1. Des vulnérabilités en perpétuelle évolution

L’environnement dans lequel évolue toute structure, privée ou publique, connait

imparablement des évolutions et des contraintes nouvelles. Un SDIS n’échappe

pas à la règle. Les vulnérabilités auxquelles sont confrontées ces structures

évoluent elles aussi en permanence.

Cette mutation contextuelle doit faire l’objet d’une veille permettant une

adaptation nécessaire à la poursuite de l’atteinte des objectifs. Cette veille est

d’ailleurs au cœur des outils de diagnostic stratégique comme le « PESTEL ».

32 Article L1424-2 du code général des collectivités territoriales

33 Article L1424-7 du code général des collectivités territoriales

34 Article L1424-4 du code général des collectivités territoriales

16

Cet outil permet une analyse de l’environnement en ciblant les vulnérabilités et

opportunités que l’entreprise peut voir surgir au travers de quelques grandes forces

structurantes : la politique, l’économie, le social, la technologie, l’environnement

et la législation.

Le recours à cette vigilance induite par le contrôle interne doit permettre à un

SDIS d’atteindre ses objectifs malgré l’évolution de son environnement car il en

aura mesuré les vulnérabilités, leurs probabilités de réalisation et leurs impacts.

Figure 2 - Utilisation de la matrice PESTEL liée à la structure SDIS

17

1.3.2. Une société de moins en moins tolérante face aux risques

Pendant très longtemps, les catastrophes naturelles furent attribuées à la

volonté divine ou à la providence.

Depuis le XIXème siècle, l’évolution sociologique a conduit à la modification

de la perception de la responsabilité qui devient le fait de l’Homme.

De nos jours, sans tomber dans les généralités de la judiciarisation de notre

société, toujours plus à la recherche des responsabilités, deux expressions

contemporaines y font écho : le risque zéro et le principe de précaution.

Selon François Ewald35

, paradoxalement, nombreux sont les français

souhaitant une société tendant vers le risque zéro à investir en bourse, à

souhaiter une baisse de la mortalité routière sans vouloir modifier leur

comportement (téléphone au volant, vitesse …).

Plus généralement à travers le monde, cette tendance à vouloir diminuer le

niveau de vulnérabilité et sécuriser notre environnement est peu convaincante

pour une partie de ses occupants bravant les recommandations et les interdits.

Ainsi, les comportements addictifs, les déplacements dans des zones du monde

non sécurisées, les loisirs à risques, la recherche de sensations extrêmes sont en

augmentation.

Parfois, le risque est clairement identifié mais les décisions unanimes et actions

concrètes tardent et la probabilité de réalisation augmente (réchauffement

climatique). Se pose alors la question de « l’acceptabilité du risque »36

dans le

domaine des catastrophes naturelles ou de la santé publique par exemple.

Malgré la richesse des réglementations, le fait de tendre vers le risque zéro

implique de facto qu’un risque résiduel et quasi irréductible demeure. Sommes-

nous prêt à accepter cette incertitude et ses conséquences ? Cette incertitude

est-elle acceptable quel que soit le domaine visé (santé publique, OGM,

nucléaire, gaz de schiste …) et quelle qu’en soit la cible (enfants, personnes

âgées, biens …) ?

Face à cette réalité exposée régulièrement par nos décideurs de l’inexistence du

risque zéro et donc de l’impossibilité à assurer une protection globale s’est

développée une autre notion : celle du principe de précaution.

35 Philosophe et directeur de la recherche et de la stratégie à la Fédération française des sociétés d'assurances. Il est aussi spécialiste de l'étude du risque dont les

propos ont été publiés le 6 février 2003 dans un article intitulé "Les Français voudraient le risque zéro".

36 Marcel Calvez, Professeur de sociologie à l’UFR Sciences sociales de l’Université Rennes 2, auteur de Le seuil façonnable d’acceptabilité culturelle du risque

18

La définition du concept de principe de précaution est que « l’absence de

certitude, compte-tenu des connaissances scientifiques et techniques du

moment, ne doit pas retarder l’adoption de mesures effectives et

proportionnées visant à prévenir un risque dans les domaines de

l’environnement37

».

Il touche dorénavant les domaines de la santé et de l’alimentation et poursuit

son extension. Le principe de précaution sert donc à s’opposer à l’éventualité

de réalisation d’un risque dans un domaine mal maitrisé, mal contrôlé.

En conclusion, le contrôle interne contemporain est une démarche liée aux

évolutions des aspects humains et sociétaux. Les nécessités modernes de

bonne gestion, de transparence, d’efficience semblent imposer sa mise en

place. Il convient désormais de s’interroger sur l’existant en réalisant un état

des lieux.

37 Article L110-1 du code de l’environnement

19

2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX

« Connais-toi toi-même et tu connaitras l’univers et les dieux ».

Inscription à l’entrée du temple de Delphes, Grèce antique.

Afin de mieux appréhender le champ d’application du contrôle interne défini dans

notre travail de recherche, nous avons engagé une démarche exploratoire axée sur

l’analyse des pratiques entre les différentes entités ayant déjà organisé une telle

démarche.

Cette partie s’attache donc à répondre la question de recherche : Qu’est-ce que le

contrôle interne pour un SDIS en 2014 ?

Ainsi, nous avons choisi d’étudier la place du contrôle interne dans

l’Administration. Nous avons analysé ensuite les conséquences des lois de

décentralisation sur l’organisation de la fonction publique territoriale. Enfin, par

l’enquête de terrain menée auprès des SDIS de France, nous avons cherché à

comprendre la formalisation actuelle de cette fonction transverse en leur sein.

2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION

Par décret38, « dans chaque ministère, un dispositif de contrôle et d'audit internes,

adapté aux missions et à la structure des services et visant à assurer la maîtrise

des risques liés à la gestion des politiques publiques dont ces services ont la

charge, est mis en œuvre ». Ainsi, la volonté de l’Etat de maîtriser, de façon

intégrée, les risques de chacune de ses activités est clairement affirmée et

organisée. Nous avons choisi de mettre l’accent sur les pratiques de deux

partenaires privilégiés des SDIS en ce domaine : la BSPP et les services

hospitaliers, en particulier l’APHP.

2.1.1. La notion de contrôle interne à la BSPP

Respectant scrupuleusement l’organisation militaire, l’Armée de Terre instaure

une réforme de son système interne de Surveillance Administrative et

Technique (SAT).

38 Décret n° 2011-775 du 28 juin 2011 relatif à l'audit interne dans l'administration, art1

20

En effet, le chef d’état-major de l’Armée de Terre39, reprenant in extenso la lettre

de référence du chef d’état-major des armées portant cadre du contrôle interne

dans les armées, directions et services interarmées, rappelle les principes

fondateurs de cette action :

Identification des risques ;

Responsabilisation des acteurs au plus petit niveau ;

Contrôles ciblés.

L’annexe 1 de cette directive prévoit en particulier les actions de contrôle interne

relevant des chaînes organiques ou fonctionnelles.

C’est dans ce cadre organisé, et en vue d’optimiser le poids du contrôle sur chaque

structure, que la BSPP a réorganisé son propre système de contrôle interne, passant

entre autres du mythique Contrôle d’Aptitude Opérationnelle (CAO) à

l’Evaluation de la Préparation Opérationnelle (EPO). Notons aussi la forte

pression psychologique liée à la perte tragique en opération de cinq militaires du

rang en septembre 2002 sur la commune de Neuilly Sur Seine. Cette expérience

traumatisante avait dès lors mis en exergue la nécessaire preuve de bonne gestion

et de bonne formation de chacun des 8500 militaires de l’institution.

Ainsi, par le biais de son bureau pilotage, audit et contrôle, le général

commandant la BSPP a organisé la mise à disposition de tableaux de bord

différents et interconnectés selon les différents niveaux de responsabilité de la

BSPP (centre de secours, compagnie, groupement, échelon central) permettant à

chacun de conduire son action de façon éclairée. A noter que cette notion est une

application du principe de subsidiarité. En effet, on reconnaît l’efficacité de la

décision administrative au plus petit niveau de responsabilité possible. Ceci

implique tacitement le principe de suppléance qui veut, en complément, que

lorsqu’une entité ne peut décider d’une action publique efficacement, une entité

supérieure doit la soutenir et prendre le relais.

De plus, les visites d’inspection technique, élargissant le cadre du contrôle aux

dimensions des matériels, des ressources humaines et des infrastructures

complètent le dispositif et sont l’occasion d’un temps de parole entre

l’encadrement et le personnel.

Des comptes rendus formalisés sont rédigés, puis transmis aux structures ayant fait

l’objet de cet audit interne afin d’assurer la traçabilité de la démarche et d’orienter

le cas échéant chaque domaine vers une optimisation de ses ressources.

39 Directive du contrôle interne dans l’armée de terre, 05 juillet 2011

21

Enfin pour encore mieux cibler les efforts à fournir, la cartographie des

vulnérabilités est actuellement en cours de rédaction à la BSPP.

Ce document permettra sans nul doute d’orienter le travail du bureau pilotage,

audit et contrôle vers des faiblesses possibles et souvent mal identifiées.

2.1.2. Le contrôle interne en réponse au risque juridique dans les établissements

de soin

Dans un schéma similaire à celui des armées, les établissements de soin ont été

formellement incités à organiser et formaliser un dispositif de contrôle interne.

Cependant, les causes initiatrices semblent différentes. En effet, nous remarquons

un aspect de protection juridique plus marqué. Les « affaires » du sang

contaminé40, des maladies nosocomiales, de la distribution de lots contaminés

d’hormones de croissance et, en parallèle, la reconnaissance de la responsabilité

des personnes morales41 ont fortement influé sur cette orientation stratégique.

Nous assistons à une judiciarisation sociétale dans laquelle les services de santé,

comme les services de secours, doivent rendre compte des moyens mis en œuvre

pour atteindre leurs objectifs et satisfaire les attentes d’une population de plus en

plus exigeante.

De plus, la pression économique et les recommandations des autorités de contrôle

(Cour des Comptes, Inspection Générale de l’Administration) ont amené la Haute

Autorité de Santé (HAS) à imposer une accréditation des établissements de santé,

dont le contrôle interne42 est une exigence.

Ainsi, l’administration sanitaire a développé la notion d’abord uniquement

comptable et de lutte contre la fraude en un système transversal touchant43:

A la fiabilité et l’exhaustivité des informations ;

Au respect des dispositions règlementaires ;

A la protection du patrimoine ;

A l’utilisation économique et efficace des ressources.

Lors de l’entretien de recherche accordé par monsieur Durette, intervenant à

l’IFACI, la volonté que le contrôle interne dans un hôpital soit porté par le

directeur comme un élément fédérateur, via un projet d’établissement, par

exemple, a été présenté. Il nous semble primordial que la mise en place du

contrôle interne s’entende comme une mission partagée prônant la « culture de la

vigilance ».

40 Plusieurs centaines de personnes ont été contaminés par transfusion sanguine, en 1984-1985

41Article 121-2 du code pénal (1er mars 1994)

42 Ordonnance du 24 avril 1996

43 « La maitrise des activités à l’hôpital », Editons LAMARRE, 2003

22

2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES

DEPUIS LES LOIS DE DECENTRALISATION

La décentralisation est « un processus d’aménagement de l’État unitaire qui

consiste à transférer des compétences administratives de l’État vers des entités (ou

des collectivités) locales distinctes de lui44 ».

Les lois dites de décentralisation du 2 mars 1982, puis 7 janvier et 22 juillet 1983

dotent les collectivités territoriales de compétences nouvelles, de personnels et de

moyens propres, ainsi que du pouvoir de les administrer et de définir l’orientation

des politiques publiques.

Parmi les changements importants liés à l’« organisation décentralisée » de la

république française45, nous insistons sur le fait que le contrôle administratif

exercé à priori par le préfet est remplacé par un contrôle de légalité exercé par le

tribunal administratif ou la chambre régionale des comptes.

La satisfaction des administrés est le leitmotiv de l’organisation décentralisée.

Ainsi, la notion de contrôle interne, telle que définie précédemment, est

pleinement dirigée vers la maîtrise des vulnérabilités. En cas d’échec, l’objectif

d’intérêt général des collectivités peut être menacé.

Plus que jamais, dans un environnement mouvant et incertain, marqué par des

contraintes budgétaires fortes, l’optimisation des ressources, les choix stratégiques

et la réalisation de projets destinés à la satisfaction des usagers doivent être

encadrés par des valeurs et un système maitrisé de l’activité de l’administration

décentralisée.

Ainsi, face à :

La capacité de démontrer la bonne gestion de l’argent public ;

La complexification croissante de la gouvernance locale ;

L’amélioration continue du service public (continuité,

performance) ;

Le besoin de transparence d’une société exigeante,

le contrôle interne apparaît comme une réponse adaptée.

Cette démarche globale et systémique est ancrée sur l’activité de la collectivité et

les contraintes de son organisation.

44 www.viepublique.fr

45 Article premier de la Constitution

23

2.3. LE CONTROLE INTERNE DANS LES SDIS

2.3.1. Le contrôle interne, une démarche inhérente à la culture opérationnelle

L’action opérationnelle est la raison d’être des SDIS. Leurs missions46, telles que

définies par le CGCT, appellent l’excellence au service de la population.

Un récent sondage47 indique que 99% de la population française fait confiance aux

sapeurs-pompiers. Ce chiffre repose sur l’image opérationnelle des SDIS.

Un système de contrôle interne qui ne dit pas son nom pourrait-il expliquer ce

constat ?

Par la recherche de l’efficacité dans une situation incertaine, la culture

opérationnelle des sapeurs-pompiers repose sur des principes simples et efficaces :

Inventaire et connaissance des risques ;

Prévention contre les risques ;

Contrôle de la capacité opérationnelle (en véhicules, matériels et

personnels) ;

Engagement optimisé (délais et moyens) ;

Analyse de la situation ;

Choix stratégique ;

Action ;

Contrôle de l’action (comptes rendus et analyse de l’effet attendu) ;

Conduite de l’opération ;

Reporting (comptes rendus de sorties de secours) ;

Démarche d’amélioration continue (retours d’expériences et

échanges de bonnes pratiques).

Ainsi, sans le formaliser, la pratique opérationnelle est fortement empreinte de la

notion de contrôle interne.

On pourrait supposer que cette culture éprouvée soit transposée facilement aux

domaines nécessaires à l’administration de nos établissements publics (services

logistiques, formation, courriers, informatique, etc.).

Cependant, force est de constater que la gestion quotidienne de l’activité d’un

SDIS ne reflète que trop rarement l’approche par les vulnérabilités.

46 Art L1424-2 du code général des collectivités territoriales.

47 Cabinet d’études Gfk Verein, 9 mai 2014

24

2.3.2. Une pratique trop peu développée dans la gestion administrative de nos

activités

Nous avons vu que l’objectif opérationnel des SDIS a, par l’expérience de ces

institutions, permis de modeler une démarche de contrôle interne. Pourtant, en

matière de gestion administrative, nous observons une pratique différente.

En effet, longtemps sous l’autorité des maires, la plupart des SDIS n’ont

développé que récemment leur propre administration.

De plus, les besoins budgétaires créés par la mise en place de la

départementalisation des services communaux d’incendie et de secours, ont été

comblés par les nouveaux financeurs (conseils généraux).

Ainsi, dans les différents entretiens réalisés, nous notons une culture axée sur les

comptes rendus administratifs et l’action par habitude (avec des consignes souvent

orales).

De même, nous remarquons dans le temps de la construction budgétaire, hors

programmes spéciaux, une construction par enveloppe globale, et non par projet,

donc non objectivée.

Enfin, nous observons que les consignes écrites, lorsqu’elles existent, ne sont pas

systématiquement suivies. Du moins, nous pouvons nous interroger sur la

surveillance de leur application.

Pourtant, l’évolution sociétale poussera les SDIS à se doter de moyens pour

sécuriser leurs activités.

2.3.3. L’évolution des services de protection du SDIS

La société évolue, entraînant dans son sillage, les SDIS. En particulier, la

judiciarisation et la recherche de solvabilité des responsables ont amené les

présidents de CASDIS et les directeurs départementaux à s’entourer de nouvelles

compétences propres à protéger les intérêts de l’institution. Ainsi, les années 90

ont vu éclore çà et là des services juridiques commandés par des cadres sapeurs-

pompiers de formation universitaire de haut niveau en droit civil ou administratif.

Dans le même esprit, les services de contrôle de gestion, essentiellement attachés

à la supervision financière, se sont développés afin de permettre à la gouvernance

des SDIS de mieux connaître et ainsi maîtriser au mieux les dépenses publiques.

Enfin, par la professionnalisation des postes de chef de service, en dehors des

services à vocation opérationnelle, les personnels administratifs, techniques et

spécialisés ont participé à la montée en puissance organisationnelle et ainsi, à

l’accomplissement plus sécuritaire de l’objectif opérationnel.

25

2.3.4. Une enquête terrain révélatrice d’une acculturation en marche

Pour confirmer ces évolutions, nous avons organisé une enquête de terrain double.

Par l’étude des organigrammes des SDIS, nous avons isolé les SDIS qui

comportent en leur sein une ou plusieurs structures impliquées dans une démarche

plus ou moins affichée de contrôle interne. Ce groupe est appelé « spécialistes ».

En complément, nous avons appelé « généralistes » les entités dont l’analyse de

l’organigramme n’a révélé aucune structure de ce type.

Ainsi, le questionnaire joint en annexe n°2 (p 79) est envoyé à un groupe de 65

services d’incendie et de secours, incluant les DOM TOM, considérés

« spécialistes » et un groupe de 45, « généralistes ».

Nous avons formulé deux types de questionnement :

Des questions fermées, afin d’identifier les pratiques ;

Des questions ouvertes, pour engager et bénéficier d’un échange de

bonnes pratiques.

Les résultats bruts de l’étude sont consultables par les personnes qui ont bien voulu

répondre. Nous nous permettrons d’isoler, dans la quatrième partie, des

recommandations tirées des réponses aux questions ouvertes de cette enquête.

Au final, ce sont 30 SDIS « spécialistes » et sept SDIS «généralistes » qui ont

répondu à notre sollicitation : (annexes n°3, p 85, et n°4, p 93).

o Une structure identifiée dépendant de la catégorie des SDIS

Dès la création des listes de diffusion, nous avons constaté que les structures

présentes dans les organigrammes des SDIS comme pouvant contribuer au

contrôle interne, sont directement liées à la catégorie des SDIS.

Le graphique suivant démontre que les SDIS de première catégorie ont

proportionnellement affecté plus de ressources à cette notion que les SDIS de

catégorie inférieure.

Figure 3 – Représentation du nombre de SDIS, avec ou sans entité identifiée, par catégorie

0

5

10

15

20

25

1ère 2ème

3ème 4ème

5ème

SDIS sans entité identifiée

SDIS avec entité identifiée

26

o Cependant, le vocable est employé presque partout

Nous observons que tous les SDIS dits «généralistes » ont répondu que leur

organisation avait mis en place une démarche de contrôle interne. Cinq réponses

de SDIS « spécialistes » affirment le contraire ou « ne pas savoir ».

Ainsi, au-delà des ressources affectées, la plupart des SDIS ont intégré ce vocable

dans leur organisation. Cependant, il semble que les pratiques développées

révèlent des réalités différentes.

o Mais le vocable n’est pas la méthode

Le tableau ci-dessous reprend les réponses à la question de l’identification des

acteurs du contrôle interne :

Réponses SDIS

« Spécialistes »

Réponses SDIS

« Généralistes »

Par chaque agent à son niveau de

compétence

8 27 % 3 43 %

Par chaque cadre dans son domaine de

compétence

16 53 % 2 29 %

Par un bureau, service ou groupement

autre du S.D.I.S.

15 50 % 4 57 %

Par l’Etat-Major 11 37 % 2 29 %

Par un prestataire extérieur au SDIS 0 0 % 0 0 %

Autre 4 13 % 0 0 %

Figure 4 – Tableau des réponses sur l’identification des acteurs du contrôle interne selon les SDIS

« spécialistes » ou « généralistes »

(Plusieurs réponses pouvant être données, la somme des pourcentages peuvent

atteindre une valeur supérieure à 100.)

Comme les parties 3 et 4 le démontrent, un des marqueurs forts d’un contrôle

interne efficace est la reconnaissance de la responsabilité de chacun des

personnels.

Ainsi, nous en déduisons que si le vocable de contrôle interne est connu et

employé, la méthodologie de mise en œuvre est le plus souvent soit incomplète,

soit mal identifiée.

27

o Une notion émergente par un environnement exigeant

Nous nous interrogeons sur les pratiques des SDIS. En particulier, nous

souhaitons connaître les facteurs qui ont orienté la gouvernance des SDIS à

engager une démarche de contrôle interne.

Réponses SDIS

« Spécialistes »

Réponses SDIS

« Généralistes »

Augmentation des contraintes

financières

15 50 % 4 57 %

Recommandation d’organes extérieurs

tels que : Inspection, C.R.C., Cour des

Comptes ...

16 53 % 5 71 %

Besoin de soigner la légitimité et

l'image du SDIS

13 43 % 2 29 %

Recherche de performance 18 60 % 4 57 %

Autre 7 23 % 1 14 %

Figure 5 – Tableau de réponse sur les facteurs déclenchant de la démarche de contrôle interne

(Plusieurs réponses pouvant être données, la somme des pourcentages peuvent

atteindre une valeur supérieure à 100.)

Si, pour les SDIS « spécialistes », la recherche de la performance arrive en

première place des facteurs déclenchant, l’augmentation des contraintes

financières et les recommandations des services de contrôle externes semblent

avoir été déterminantes.

Notons qu’aucune réponse n’évoque la nécessaire maîtrise intégrée des

vulnérabilités des établissements publics.

o Les risques et leur maîtrise : deux notions non liées au contrôle

interne chez nos collègues

« Spécialistes » et « généralistes » s’accordent pour identifier, par brainstorming,

les risques liés à l’activité opérationnelle et aux finances comme prépondérants

pour eux. Pourtant, près de 25 % des premiers considèrent que le risque

opérationnel doit être exclu du champ du contrôle interne. Ce paradoxe démontre

une nouvelle fois, que le concept global de maîtrise des risques n’est pas

totalement assimilé.

28

o Le contrôle de gestion est plébiscité

Les services de contrôle de gestion recueillent respectivement 57% et 53% des

réponses des « généralistes » et « spécialistes » lorsque la question de la priorité

des services à développer est évoquée.

Ainsi, alors que centralisés, ces services liés le plus à une activité liée

exclusivement aux finances, sont identifiés comme primordiaux dans la question

qui nous intéresse.

o La démarche processus, base du contrôle, est insuffisamment

développée

Rappelons que 87 % des SDIS « spécialistes » et 100% des « généralistes » ont

répondu affirmativement avoir développé une démarche de contrôle interne. De

même, la partie 1.2 de ce mémoire, relative au développement du contrôle interne

moderne a affirmé l’importance de la maîtrise des processus afin de maîtriser les

vulnérabilités.

Or, seuls 50% des « spécialistes » et 57% des « généralistes » déclarent avoir

entamé une démarche processus.

Ainsi, l’étude des résultats de notre enquête de terrain relative aux pratiques des

SDIS en matière de contrôle interne indique clairement que ce terme employé par

la majorité relève de compréhension et d’applications différentes. Il est certain

que les mots, les implications, l’organisation, et la finalité relèvent de réalités qui

ne sont pas liés qu’aux moyens mis en œuvre.

Cette notion, pourtant définie et modernisée dans les domaines de la finance puis

de l’industrie, conforte ceux qui l’ont mise en œuvre avec rigueur par la

sécurisation de leurs objectifs.

Dans un environnement mouvant et incertain, les SDIS de France peuvent tirer

avantage à transposer leur pratique de contrôle dans le domaine opérationnel à

leurs activités administratives et financières. Pour cela, ils devront s’attacher à

connaître ce concept dans sa globalité afin d’éviter les écueils d’une lecture

parcellaire.

Nous observons que la théorie de cet outil à disposition de la gouvernance n’est

pas maitrisée de façon uniforme et par conséquent n’apporte pas l’ensemble des

bienfaits que l’on peut en attendre.

La troisième partie s’attache à démontrer en quoi la notion de contrôle interne

représente un enjeu stratégique pour nos organisations. Outre la plus-value

qu’elle peut en attendre, la gouvernance des SDIS sera aussi renseignée sur les

limites de cet outil de pilotage et de garantie raisonnable d’atteinte des objectifs de

la structure.

29

3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS

« Quand le bateau est au milieu du fleuve, il est bien tard pour réparer l’avarie »

Proverbe chinois

Comment le contrôle interne peut-il participer à la transparence en matière de

bonne gestion de l’argent public ?

Quelles sont les limites du contrôle interne ?

Ces questions de recherche nous ont imposé de comprendre quelles sont les conditions

de mise en œuvre d’un contrôle interne efficace et adapté à notre organisation.

3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET

DES TRADITIONS

3.1.1. Une Bureaucratie Professionnelle standardisée

L’objectif premier de ce service public est d’assurer des missions de secours

d’urgence visant la sauvegarde des personnes, des biens et de l’environnement.

Ces opérations doivent être réalisées avec une qualité de service inhérente à la

préservation de l’intérêt général. Pour une définition précise des objectifs de

qualité de service, il convient de se référer au SDACR, aux règlements

opérationnel et intérieur ainsi qu’à l’ensemble des notes internes et documents

(Fiches mode opératoires, instructions, documents de formation, etc.).

Par ailleurs, les SDIS sont empreints d’une culture professionnelle forte qui

dépasse les limites du département et puise ses origines dans les corps

communaux. La départementalisation des services d’incendie et de secours est une

réalité récente pour la grande majorité des SDIS48. Ces services publics puisent

également leurs origines et culture dans les deux exceptions que sont les corps

militaires de sapeurs-pompiers : la BSPP et le BMPM (Bataillon des Marins

Pompiers de Marseille). Certains documents, comme le RIM (Règlement

d’Instruction et de Manœuvre), ont constitué le socle des techniques

opérationnelles et des principes fondateurs de la conduite des interventions.

De part cet héritage, les SDIS peuvent être considérés comme une « Bureaucratie

Professionnelle » au sens de H. Mintzberg. En effet, on y trouve une base

opérationnelle très développée (ensemble des centres de secours), et des fonctions

support à la taille importante.

48 Loi 96-369 codifiée aux articles L1424 et suivants du Code Général des Collectivités territoriales (CGCT)

30

La ligne hiérarchique est pyramidale et très centralisée. Ce type d’organisation

repose sur la « standardisation des qualifications » (apprentissage du « métier »

de sapeur-pompier et culture professionnelle forte).

Mintzberg écrit49 « Le professionnel (…) appartient à une organisation, mais il

est libre de servir ses clients comme bon lui semble, seulement soumis aux

standards de sa profession. En conséquence, les professionnels ont tendance à être

des individus responsables et très motivés, qui se consacrent avec dévouement à

leur travail et à leurs clients. (…) l’autonomie permet aux professionnels de

perfectionner leur qualification (…)

Dans la Bureaucratie Professionnelle, il n’y a en dehors de la profession

pratiquement aucun contrôle sur le travail, aucun moyen de corriger les

déficiences sur lesquelles les professionnels eux-mêmes choisissent de fermer les

yeux. Et ils ont tendance à négliger les problèmes essentiels de coordination, de

contrôle et d’innovation qui surgissent dans ces structures.

Les problèmes de coordination.

L’organisation ne peut coordonner ses activités qu’en ayant recours à la

standardisation des qualifications. Mais la standardisation des qualifications est

un mécanisme de coordination peu puissant, qui ne parvient pas à régler tous les

problèmes qui surgissent dans la Bureaucratie Professionnelle. »

Figure 6 - Schématisation de la configuration structurelle d’un SDIS

49 H. Mintzberg, Structure et dynamique des organisations, Eyrolles, éd. d’Organisation, 2006. p 328

CIS CIS CIS CIS

CIS CIS

CIS CIS

CIS

CIS

CIS

CIS

CIS

CIS

CIS

CIS

CODIS

Gpt Gpt Gpt Gpt Gpt

CASDIS

DDSIS

DDA

CODIR

4 - Technostructure

5 - Support Logistique

1 – Sommet stratégique

3 – Centre

Opérationnel

2- Ligne hiérarchique

31

Les cinq éléments de base définissant l’organisation selon H. Mintzberg sont ainsi

caractérisés :

1-Le sommet stratégique

Il comprend le conseil d’administration du SDIS (CASDIS) et son président, ainsi

que le DDSIS et le DDA. Le CASDIS est l’organe délibérant composé d’élus issus

des collectivités territoriales participant au budget du SDIS.

2-La ligne hiérarchique

C’est la structure de commandement de l’activité opérationnelle : les chefs de

groupements territoriaux, qui commandent les chefs de centres de leur groupement

respectif. Les chefs de groupements fonctionnels se retrouvent dans la

technostructure et les fonctions de support logistique.

3-Les centres opérationnels

Constitués de 7300 centres d’intervention et de secours au niveau national, ils

rassemblent jusqu’au 9/10ème

de l’effectif total. Leur poids s’explique notamment

par la présence des sapeurs-pompiers volontaires, représentant 80% de l’effectif

total des forces vives.

Cette « colonne vertébrale » constitue donc un élément essentiel dans le maillage

et la réponse opérationnelle en tout point du territoire. Elle représente le service de

proximité qui répond au principe de l’égalité de tous les citoyens face au besoin de

secours public.

4-La technostructure.

Elle est composée des services qui définissent les conditions de travail. Il s’agit

classiquement des groupements formation, opération ou prévision. Mais on voit

apparaître dans les SDIS de nouveaux services, apparentés à des services qualité50,

qui sont chargés de l’établissement et la diffusion des procédures.

Il est important de préciser que les groupements formation regroupent des

formateurs de terrain, qui transmettent directement auprès des personnels leur

expérience et les techniques. Par ailleurs, la formation reste toujours largement

effectuée au niveau des centres de secours et des groupements territoriaux. Cela

permet d’harmoniser la formation à la disponibilité des SPV. Ainsi, les

opérationnels sont, de fait, ceux qui contrôlent le savoir des autres opérationnels.

50 Voir liste des départements appartenant au panel des spécialistes - Annexe 3

32

Les groupements opération et prévision produisent ce que D. Boullier et S.

Chevrier appellent des « mondes de papier »51.

Le rôle de ces services est notamment de produire le règlement opérationnel (RO)

et ses annexes (notes de service, mémentos opérationnels) ainsi que les plans de

secours et les plans parcellaires (cartographie opérationnelle).

5-Les fonctions de support logistique

Elles occupent une place très importante dans le fonctionnement des SDIS en

assurant le maintien des infrastructures et des matériels. Elles garantissent ainsi la

réponse opérationnelle fournie.

Les grandes entités suivantes se détachent :

Le CODIS (centre opérationnel départemental d’incendie et de secours). Il

gère l’activité opérationnelle 24h/24. D’un point de vue de sa gestion

humaine, le CODIS est organisé comme un centre de secours. Le fait qu’il

soit à la fois opérationnel et une structure de soutien le place à la frontière

du centre opérationnel ;

Les groupements prévention. Actuellement la prévention est une activité

d’application réglementaire concernant les établissements recevant du

public. Elle assure aussi une activité de conseil auprès des exploitants et

des pouvoirs publics ;

Les groupements ressources humaines ;

Les groupements administration et finances ;

Les groupements logistique, en charge de l’achat et l’entretien des

casernements, des véhicules et du matériel.

Ce phénomène de Bureaucratie Professionnelle est renforcé dans les SDIS par

l’esprit de Corps, associé au port d’un uniforme et au respect d’une hiérarchie,

renforçant la standardisation de nos pratiques. Il faut donc être conscient de notre

structure d’organisation afin d’adapter le contrôle interne à mettre en place.

Nous avons donc une culture professionnelle forte qui sacralise certaines pratiques

ou enseignements. Cela peut limiter la remise en cause de nos processus et être un

frein à l’innovation. Le contrôle interne peut alors intervenir pour s’assurer du

maintien de nos savoirs et capacités opérationnelles.

51 D.Boullier et S.Chevrier. Les sapeurs-pompiers – Des soldats du feu aux techniciens du risque. p 66.Ed. Puf, 2000.

33

3.1.2. Une activité qui génère de plus en plus de vulnérabilités

Les services d’incendie et de secours, à peine départementalisés, font face depuis

10 ans à de profonds bouleversements :

Informatisation massive des systèmes d’alerte ;

Evolution des cycles de travail ;

Diminution du temps de travail des sapeurs-pompiers professionnels,

corrélée à une augmentation de l’absentéisme (vieillissement des effectifs,

accidents sportifs, etc.) ;

Difficulté de recrutement et de fidélisation des sapeurs-pompiers

volontaires ;

Budgets de plus en plus serrés limitant l’investissement et donc la

projection dans l’avenir ;

Réforme de la filière et réforme territoriale.

Ces mutations rapides sont autant de vulnérabilités pour nos organisations, si on

ne les accompagne pas. La recherche d’une optimisation opérationnelle par

l’acquisition, la mutualisation et la coordination des moyens ne suffit plus. Ces

facteurs conduisent surtout à une complexification considérable de la gestion des

SDIS, qui ne favorise pas la maîtrise de nos vulnérabilités.

Les décisions qui vont porter sur la définition des potentiels opérationnels

journaliers (POJ), sur la formation des personnels et l’organisation de la réponse

opérationnelle doivent prendre en compte des paramètres de plus en plus

complexes.

Par ailleurs, le sapeur-pompier exerce au quotidien une mission de service public

qui justifie l’attribution de prérogatives exceptionnelles (exemple : pénétrer dans

une habitation privée sans l’accord des propriétaires). L’urgence des situations

auxquelles il doit faire face, et leur caractère dangereux, peuvent le conduire à

prendre des décisions qui vont au-delà de ce que les procédures opérationnelles

prévoient.

Un sapeur-pompier oscille donc entre le respect strict des procédures et le fait qu’il

doit potentiellement s’en affranchir. C’est donc l’adaptation qui permet de

s’exonérer des procédures opérationnelles quand celles-ci ne donnent pas de

réponse. L’expérience opérationnelle ne s’acquiert effectivement pas dans les

manuels.

Enfin, d’un point de vue psychologique, un sapeur-pompier est amené à travailler

dans un environnement risqué, ce qui est source de stress et de risques psycho

sociaux divers.

34

Tous ces facteurs inhérents au métier de sapeur-pompier compliquent la mise en

place d’une surveillance de leurs actions. En outre, la maîtrise des vulnérabilités,

qui est la recherche des défaillances, est difficilement acceptable pour un

professionnel dont la mission, risquée de nature, lui impose d’être performant à

chaque sortie de secours. C’est donc une vraie remise en cause de notre culture

tout en respectant les fondamentaux de notre institution.

3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE

SYSTEMIQUE ET EMPIRIQUE

3.2.1. Impliquer la gouvernance dans ce choix stratégique

Depuis les lois de décentralisation de 1982, les contrôles « à posteriori » se sont

substitués aux contrôles en amont, aussi bien dans le domaine juridique que dans

la gestion du budget.

L’Administration française est marquée dans son héritage par une forte tradition

jacobine de centralisation. Cela se retrouve dans nos organisations que sont les

SDIS, qui sont soumises au respect des lois et des règlements, ainsi qu’à des

inspections et des contrôles externes (DGSCGC, Cour des Comptes, Senat...). Or

l’idée même de concevoir sous sa responsabilité, un système d’autocontrôle de ses

activités, comprenant un système de contrôle et d’audit internes, lui était

totalement étrangère. Cela constitue aujourd’hui un bouleversement technique,

mais aussi et surtout une remise en cause des mentalités et des comportements.

Les SDIS sont aujourd’hui concernés par cette mutation, afin de garantir leur

légitimité auprès des autorités de tutelle. Il s’agit donc, par cette nouvelle

politique, de s’assurer du degré réel de maîtrise de leurs opérations et d’évaluer

leurs modes traditionnels d’organisation face à des objectifs de performance plus

ambitieux.

Ainsi, la Cour des Comptes a intégré dans son rapport52 sur les SDIS la

préconisation de développer le contrôle interne et les outils d’analyse afin

d’adapter l’organisation aux besoins qu’ils doivent satisfaire. L’objectif est

d’optimiser les ressources humaines face à l’évolution des risques, en passant par

exemple par la révision du POJ, conséquence de la prise en considération des

contraintes budgétaires.

52 Cour des comptes, Rapport public thématique : Les services départementaux d'incendie et de secours. La Documentation française,

novembre 2011

35

L’équipe de direction doit être l’instigatrice et le moteur de cette démarche. Le

directeur départemental dispose de la légitimité pour agir et surtout convaincre

tous les acteurs, en premier lieu son équipe de direction, qui elle-même la relaiera

à l’ensemble des personnels du SDIS. Le CASDIS est donc l’organe délibérant où

la formalisation de la démarche doit être clairement établie afin de garantir le

consensus sur ce projet.

C’est d’ailleurs l’objet du premier volet du CAF53 (cadre d’autoévaluation des

fonctions publiques, autoévaluation issue de l’EFQM (European foundation for

quality management), qui définit ainsi le rôle de l’encadrement :

« Donner une orientation à l’organisation en développant sa mission, sa

vision et ses valeurs ;

Développer et mettre en œuvre un système de management pour gérer

l’organisation, la performance et le changement ;

Motiver et soutenir le personnel et se comporter de manière exemplaire ;

Gérer les relations avec la sphère politique et les autres parties prenantes

d’une manière propre à garantir le partage adéquat des responsabilités. »

3.2.2. Formaliser la stratégie et les objectifs à atteindre

La définition d’une stratégie est une étape préalable à la définition des objectifs et

indicateurs. En l’absence de réflexion globale, il est difficile de définir des

priorités et donc de proposer un nombre limité d’objectifs pertinents. La

présentation de la stratégie permet d’expliquer la cohérence globale des objectifs

retenus et de justifier leur choix.

Afin de mener à bien une démarche de contrôle interne, les objectifs à atteindre et

la stratégie doivent donc être clairement définis. Ceux-ci doivent répondre à

l’acronyme SMART54. C’est ainsi que nous pourrons dégager les facteurs clés de

réussite et axer nos efforts sur ce qui est essentiel et prioritaire. Il nous apparaît

primordial de ne pas brusquer la démarche et de prendre le temps nécessaire au

dialogue, aussi bien avec les organisations syndicales qu’avec les membres du

conseil d’administration et les cadres du SDIS. Cette démarche, qui doit fédérer et

rassembler tous les acteurs, pourra être intégrée aux documents d’organisation du

service comme le projet d’établissement ou encore la convention SDIS-conseil

général.

Une première étape intéressante peut consister en la rédaction ou la réactualisation

d’une charte des valeurs, en créant des groupes de travail associant toutes les

catégories de personnel. Le futur contrôle interne sera légitime et accepté s’il

s’inscrit en tant que garant de l’efficacité de notre service public, en lien avec notre

identité et histoire.

53 CAF (Common Assesment Framework) : cadre d’auto-évaluation des fonctions publiques. Résultat de la coopération des ministres européens

en charge de l’Administration, il fournit un cadre simple et facile à utiliser qui permet l’auto-évaluation des organisations du secteur public.

54 SMART (intelligent en anglais) = Spécifique, Mesurable, Atteignable, Réaliste, Temporellement défini

36

Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des

valeurs au sein de toute organisation car le contrôle interne ne pourra empêcher

seul que des personnes commettent des fraudes.

Par la suite, les objectifs à atteindre pourront être déclinés dans le projet de

service du SDIS.

Le contrôle interne doit être garant des valeurs et de l’identité du service,

facilitant ainsi l’adhésion du personnel. La communication reste la clé pour assoir

le contrôle interne en tant qu’outil de maîtrise de nos activités, au service de tous

les acteurs.

Le CAF propose aussi dans son deuxième volet « stratégie et planification » une

démarche de diagnostic préalable afin de mettre en œuvre la stratégie au regard des

ressources et des objectifs souhaités, tout en actualisant les données dans le

temps :

« Collecter l’information sur les besoins présents et futurs des parties

prenantes ;

Développer, recevoir et actualiser la stratégie et la planification en

fonction des besoins des parties prenantes et des ressources disponibles ;

Mettre en œuvre la stratégie et la planification dans toute l’organisation ;

Planifier, mettre en œuvre et évaluer la modernisation et l’innovation. »

3.2.3. Instaurer une culture transversale de contrôle interne par le management

« La croyance que rien ne change provient soit d’une mauvaise vue, soit d’une

mauvaise foi : la première se corrige, la deuxième se combat »

Friedrich Nietzsche

Comme évoqué précédemment, la mise en œuvre du contrôle interne au sein de

l’Administration, et en particulier dans les SDIS, doit prendre le temps de la

conciliation, de l’analyse et du diagnostic. La responsabilité managériale est au

cœur de ce système.

En premier lieu, une composante préalable consiste à définir clairement les

responsabilités au sein du service. L’organigramme du SDIS doit sans équivoque

indiquer les responsabilités et liens hiérarchiques entre les acteurs. Cela peut être

formalisé par des fiches de poste réalisées en collaboration avec la Gestion

Prévisionnelle des Effectifs, Emplois et Compétences (GPEEC), en s’appuyant

notamment sur le répertoire des métiers du CNFPT. Le processus de décision doit

également être sécurisé en cas d’absence ou d’empêchement par des délégations de

signature adaptées à l’organisation. Ainsi, les responsabilités sont clairement

définies et partagées au sein de l’établissement.

37

Ensuite, le mot « contrôle » reste un terme qui peut être ressenti comme une

atteinte à l’autonomie de décision. Or le contrôle interne correspond à la maîtrise

des vulnérabilités. Cette nuance devra être amenée ainsi à tous les maillons

décisionnels pour ne pas créer de défiance. Il faudra prendre en compte dans cette

démarche la résistance, parfois inconsciente ou volontaire, des mentalités,

habitudes et comportements. Cela nécessite donc d’inculquer une culture de la

responsabilité, dans sa définition d’obligation de rendre des comptes. Le contrôle

interne, en tant que garant des opérations, peut être accepté comme une aide et non

une contrainte pour les managers des SDIS.

En effet, cette notion peut être ressentie négativement : « flicage »,

déresponsabilisation, inefficacité. Elle devient alors un nouveau risque entraînant

manque de productivité et d’innovation. Elle peut conduire à la paralysie : ne pas

faire pour éviter tout risque. De plus, la mise en place de systèmes de contrôles a

un coût. Elle nécessite la mobilisation de personnes ne participant pas à la

production.

L’entretien annuel d’évaluation55 devra également être un moment privilégié de

contrôle d’atteinte des objectifs, et à défaut, de prise de mesures correctives tout en

favorisant le dialogue avec les personnels.

Le management par la confiance et le sens est donc primordial dans nos

activités. La conduite d’une intervention implique de faire confiance à celui à qui

la mission est confiée. Un chef d’équipe doit pouvoir compter sur son équipier et

vice-versa. Le contrôle interne doit prendre en compte cette problématique, afin de

garantir son adhésion.

D’un point de vue managérial, un contrôle est efficace quand il n’est plus

nécessaire. Cependant, cela est impossible car on supposerait que :

La fraude n’existe pas ;

Les personnes d’une organisation soient toutes conscientes de

leurs propres limites et de leurs défaillances ;

Le système auquel elles appartiennent soit en permanence réactif,

réponde et anticipe les vulnérabilités.

Un entrepreneur atypique, Jean-François Zobrist56, a fondé le système de

management de l’entreprise FAVI (Usine de fonderie d’alliages cuivreux à

Hallencourt) sur le principe du management par la confiance. Ce chef d’entreprise

s’est retrouvé à la tête d’une organisation soumise à une forte concurrence

internationale qui devait dégager des marges au risque de tomber en faillite. Pour

atteindre cet objectif, il a supprimé tous les contrôles systématiques (pointeuse,

étalonnage par le service qualité, etc.).

55 Décret n° 2010-888 du 28 juillet 2010 relatif aux conditions générales d’appréciation de la valeur professionnelle des fonctionnaires de l’État

56 Jean-François Zobrist, « La belle histoire de FAVI» Tomes I et II, éditions Humanisme et organisations, 2014.

38

Les opérateurs ont été formés à utiliser les outils d’étalonnage de leur poste de

travail. Il s’est concentré sur l’atteinte des objectifs finaux avec très peu

d’indicateurs.

Auparavant, les opérateurs travaillaient sur des chaînes de production sans savoir

pourquoi ils produisaient les pièces. Ils ont été alors regroupés au sein de mini-

usines dédiées à chacun des clients.

Ainsi, les opérateurs sont à la fois responsables de leur travail et impliqués parce

qu’ils en connaissent la finalité. Cet autocontrôle par la responsabilisation des

acteurs est l’objectif à poursuivre.

Le CAF, dans son troisième volet « Personnel », suggère aussi d’associer

pleinement l’ensemble des ressources humaines à son projet. Il ne faut pas oublier

que les SDIS sont une organisation où l’humain, avec ses forces et ses faiblesses,

est au cœur du dispositif. La clé de la réussite de cette démarche consiste à :

« Planifier, gérer et améliorer ses ressources humaines de

manière transparente en cohérence avec la stratégie de la

planification ;

Identifier, développer et utiliser les compétences des

collaborateurs en alignant les objectifs individuels sur ceux de

l’organisation ;

Impliquer les collaborateurs en développant le dialogue, la

responsabilisation et la délégation de pouvoir ».

Tout cela rentre dans la promotion d’une culture de vigilance à ancrer en

associant et responsabilisant tous les acteurs au quotidien.

3.2.4. Contrôler les activités par des tableaux de bord pertinents

« Quand le coup de tonnerre éclate, il est trop tard pour se boucher les oreilles »

Sun tzu

La sécurisation des procédures d’exécution et des tâches débute par la mise en

place de logigrammes identifiant les processus ciblés à risque (démarche

processus). Cela favorise la détection des anomalies prévisibles et permet

d’identifier les responsabilités des acteurs de cette chaîne. Deux principes

fondamentaux doivent être pris en compte :

1- Le principe de continuité : attribution claire des tâches et des

délégations ;

2- Le principe de séparation des fonctions : garantie contre le risque

d’erreur et fraude

39

Les tableaux de bord sont des regroupements d’indicateurs en lien avec les

vulnérabilités ciblées. Leur rôle consiste à doter l’organisation de moyens

d’anticipation, au-delà de la simple sérendipité, face aux évènements à risques

identifiés.

L’enjeu est de limiter l’impact et/ou la probabilité de survenue d’une crise grâce

au pilotage. Le parallèle peut ainsi être fait avec le conducteur qui surveille son

tableau de bord pour éviter l’accident, l’excès de vitesse, la panne sèche ou la

surchauffe moteur par exemple.

Comme nous l’avons vu précédemment pour les objectifs et la stratégie, la

pertinence des indicateurs doit être adaptée à l’organisation.

Les tableaux de bord servent à suivre la mise en place des projets de

l’Administration, à traduire la stratégie et les missions en objectifs concrets et

indicateurs de performance. Ils donnent de la visibilité en interne et externe, ce

qui implique une communication régulière sur ces données.

Ces données, centrées sur la stratégie du SDIS, doivent répondre aux

problématiques essentielles en hiérarchisant les priorités de contrôle sur ce qui

amène le plus de résultat.

C’est le principe de Pareto57 qui montre que 20% des actions apportent 80% des

résultats. Ainsi, l’action sera concentrée sur ce qui amène le plus d’effets. Par

exemple, on sait que 80% des dépenses de fonctionnement sont des dépenses de

personnel ; il faudra donc agir et contrôler des indicateurs liés à la masse salariale

pour maîtriser l’augmentation des coûts en priorité. Il est donc à ce stade

nécessaire d’avoir différencié « l’os, la viande et le gras », en priorisant l’essentiel

des dispositifs de contrôle qui vont devoir être mis en place pour maîtriser les

risques.

Figure 7 - Le principe de Pareto

57 Diagramme développé par Vilfredo Pareto, économiste italien – Etude sur la répartition des richesses en Italie

40

Enfin, les tableaux de bord sont à décliner dans chaque activité pour s’assurer de la

bonne tenue d’objectifs en conformité avec le projet d’établissement. Les sorties

de zone sont analysées ultérieurement, au cours d’une revue de direction, dans le

cadre d’une démarche d’amélioration continue. Le contrôle interne permet donc à

ce stade de surveiller mais aussi et surtout de préparer la phase d’ajustement

corrective. Cette amélioration continue est représentée ci-dessous par la roue de

Deming qui se veut être un cycle perpétuel.

Figure 8 - La roue de DEMING58

3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE

3.3.1. Un dispositif qui ne peut se satisfaire à lui-même

L’objet du contrôle interne, comme nous l’avons démontré, est de fournir une

assurance raisonnable de réalisation des objectifs, en limitant les vulnérabilités

identifiées et en maîtrisant celles qui sont inhérentes à notre activité.

Cependant, aucun dispositif de gestion des risques et de contrôle interne, même

très bien conçu et appliqué, ne peut fournir une garantie absolue quant à la

réalisation de ces objectifs. Il existe en effet des limites à tout

processus (exemples : incertitudes sur la conjoncture extérieure,

dysfonctionnements humains, fraudes, etc.). L’établissement public dispose en

effet de faibles marges de manœuvres, 80% du budget étant figé par des charges

structurelles de personnel. De plus, il devient très complexe de définir une

politique pluriannuelle dans un environnement contraint et incertain.

58 La Roue de Deming est une illustration de la méthode de gestion de la qualité dite PDCA (Plan-Do-Check-Act), Son nom vient du statisticien

William Edwards Deming qui l’a popularisé dans les années 1950

41

Il faut donc être conscient que le contrôle interne ne remplace pas la stratégie qui

est définie par la gouvernance : c’est une boite à outils mise à disposition de celle-

ci pour atteindre ses objectifs, encore faut-il se servir du bon outil. Les indicateurs

ne permettent pas de tout analyser ni de tout comprendre. De plus, ce qui est

contrôlable n’est pas de facto utile pour la stratégie, et vice-versa : c’est donc bien

la vision stratégique et le type de management qui sont garants de l’atteinte

des objectifs et non le contrôle interne.

Une image du psychanalyste Roland Gori59 résume ce risque qui pèse sur

l’évaluation des politiques publiques : « le problème, c’est lorsque la priorité d’un

médecin devient de produire des indicateurs de performance et non plus de

soigner ». Le management d’un SDIS ne peut donc se résumer à du contrôle

qui lui-même ne peut se résumer à du chiffrage.

La DGSCGC a organisé une étude de benchmarking des SDIS via les INSIS60

(indicateurs nationaux des services d’incendie et de secours). Cette initiative a

pour objectif de donner des éléments de comparaison entre SDIS de même

catégorie. Il faut toutefois relativiser ces indicateurs en fonction des

caractéristiques intrinsèques du département (exemple : coût par habitant du

service).

Cependant, cette étude a le mérite d’impliquer les SDIS dans une démarche

participative en les incitants à se doter d’outils de contrôle et de reporting. Elle

doit donc être poursuivie et développée comme cela se fait dans le domaine de la

sécurité publique par exemple (fichier état 400161). Cependant, celui-ci est plus

développé car les impacts politiques et les retombées médiatiques sont plus

sensibles à ces problématiques qu’aux questions de sécurité civile.

3.3.2. Un outil d’optimisation du service

La mise en place du contrôle interne représente un atout dans l’optique de

conforter l’image de bon gestionnaire des SDIS auprès des autorités.

Cela a tout d’abord l’avantage de rassurer nos financeurs et décideurs sur notre

capacité à faire face aux défis qui s’annoncent. A cet effet, il est garant de la

fiabilité et de la pertinence de l’information, afin de donner à l’équipe de direction

les moyens d’anticiper les crises ou du moins de limiter les impacts nuisibles, et

d’assurer une communication efficace.

59 Psychanalyste à Marseille, professeur de psychologie et psychopathologie clinique. Il est l’auteur de nombreux ouvrages de psychanalyse.

60 La construction des INSIS est inscrite dans la LOLF 2007 afin de valoriser la gestion et la performance des SDIS sur la base d’indicateurs normalisés au

niveau national

61 Source administrative relevant les faits constatés (délits et crimes) par les services de police, de gendarmerie et la préfecture de police de

Paris et comprenant 107 index et 5 regroupements

42

Le dispositif de contrôle interne, s’il est développé dans les termes précédents,

présente l’énorme avantage d’impliquer tous les acteurs à la stratégie déployée,

favorisant la transversalité entre services. Cette anticipation de crises permet

d’éviter la surprise pour ne pas répondre par l’émotion et in fine par l’excès.

Prenons l’exemple du SDIS des Deux-Sèvres qui a impulsé une politique de

maîtrise des risques en « se donnant le temps » de 1999 à 2007, travaillant

successivement sur la sécurité puis le management de la qualité et enfin en

adoptant une politique éco responsable. Les résultats concrets ont été les

suivants :

Baisse de l’accidentologie sportive et des arrêts maladie : 10

équivalents temps plein économisés => diminution des primes

d’assurances SPP et SPV de 40% ;

Cout de la sinistralité automobile divisé par 4 => diminution de la

prime d’assurance des véhicules de 35% ;

Maîtrise de l’endettement et diminution des charges liés à la

consommation d’énergie.

La mise en œuvre du contrôle interne ne se «décrète» pas. Elle nécessite le temps

du dialogue, de l’analyse et les objectifs de la gouvernance doivent être

clairement définis. Ces conditions conduiront à identifier de manière objective les

failles dans l’organisation, en réduisant le phénomène de complaisance contraire

à la remise en cause.

Dès lors, la plus-value du contrôle interne réside avant tout dans la prise de

conscience collective nécessaire à tout changement. Sa mise en place sera ainsi

acceptée.

L’enjeu est d’amener à la responsabilisation individuelle, mais aussi collective,

et à plus d’autonomie. L’objectif commun est de libérer des marges de progrès

pour l’ensemble des SDIS.

Les préconisations qui suivent sont orientées en ce sens.

43

4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE

« La confiance rapporte plus que le contrôle »

Jean-François ZOBRIST

Le contrôle interne est source de coût. D’une part, il ne faut pas se trouver dans la

situation où le contrôle coûte plus cher que le risque qu’il est censé couvrir

(rapport coût/bénéfice). D’autre part, la mise en place d’un contrôle ne doit pas

entraîner de nouveaux risques dus à la déresponsabilisation et au retrait de

confiance qu’il peut impliquer. Pour éviter cela, il faut donc toujours poursuivre un

objectif de réduction et d’optimisation du contrôle.

L’objectif de la mise en place du contrôle interne est de renforcer la

responsabilité individuelle et collective. Pour libérer des marges de progrès pour

l’ensemble du SDIS, il faut mettre en place des principes de gestion qui

garantissent cette responsabilisation. Or, c’est en faisant confiance que l’on y

parvient. L’enjeu est de trouver un équilibre entre autonomie et contrôle.

4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES

DANS UNE ORGANISATION SDIS MAÎTRISEE

Les préconisations qui suivent s’appuient sur l’exploitation des entretiens et de

l’enquête, ainsi que sur l’évolution de l’approche du contrôle interne ces dernières

années.

Afin qu’elles soient d’actualité, nous avons tenu compte des pratiques existantes

(BSPP, APHP), des attentes dans les SDIS (exploitation des enquêtes), et de ce

que peut nous apporter en la matière le secteur privé (SUEZ déchets, société

Ad'XpR conseil, société C. BONNIEL).

A l’appui de ce paragraphe, un exemple d’application est présenté en annexe n°5

(p 101). Il vise à démontrer que les préconisations proposées peuvent être

effectivement mises en œuvre d’un point de vue technique.

44

4.1.1. Déterminer la finalité du contrôle interne

4.1.1.1. Un contrôle interne limité à la recherche de fraudes ou de fautes ?

Nous préconisons que le contrôle interne ne soit pas limité à cet aspect. Ce

serait le cantonner à une fonction d’inspection.

Le SDIS n’est pas à l’abri de fraudes ou de fautes pouvant fragiliser son

fonctionnement, sa réputation ou sa structure sociale. Les dispositifs d’inspection,

dans ce but, existent déjà sous le terme d’« enquête administrative ». Cette

possibilité est encadrée par le droit et la jurisprudence. L’objectif est alors

potentiellement de sanctionner disciplinairement, voire de donner éventuellement

une suite pénale par un dépôt de plainte.

4.1.1.2. Poursuivre la maîtrise des risques

Nous préconisons que le contrôle interne soit mené dans une démarche de

maîtrise des risques. Cette préconisation s’appuie sur :

L’exploitation des entretiens et les résultats de l’enquête (détaillés en

annexe n 6, p 105) ;

le sens de l’évolution des référentiels et des normes internationales ISO

des séries 9000, ISO 31000 et du référentiel COSO 3 (présentés en

annexe n°7, p 107).

La finalité du management des risques implique une approche plus large et plus

constructive que celle de contrôle. Sa mise en œuvre vise à :

Assurer la pérennité de l’organisation (stratégie, anticipation des

risques externes) ;

Identifier les vulnérabilités dans les processus et permettre leur

amélioration ;

Offrir des garanties de gestion saine aux financeurs du SDIS

(collectivités locales et banques), aux usagers du service public, aux

partenaires et fournisseurs ;

Garantir un rapport coût du contrôle/bénéfices favorable.

Dans ce cadre, la maîtrise des risques fait intégralement partie des techniques de

gestion et :

Assure la remontée d’information pour la prise de décision

(reporting) ;

Constitue un outil d’amélioration continue ;

Est garante des dérives possibles liées aux changements stratégiques et

aux innovations.

45

L’enquête démontre que les risques opérationnels/juridiques et financiers sont les

plus préoccupants. Le risque informatique et l’atteinte à l’image apparaissent à

l’opposé négligeables. Nous préconisons malgré tout de ne pas négliger ces

derniers.

En outre, des risques tels que les RPS62

(Risques psychosociaux) nécessitent la

mise en place d’un plan d’action en intégrant le CHSCT dans cette démarche

(DUEvRP63

). Le document unique s’avère donc être le cadre du management des

risques en termes d’hygiène et de sécurité. La circulaire relative à la prévention

des risques psycho-sociaux64 fixe les orientations pour cette prise en compte.

La vocation du contrôle interne est d’assurer la maîtrise des défaillances. Le

tableau qui suit se propose de déterminer le niveau de lien entre l’activité et le but

opérationnel. Il démontre que la recherche des défaillances situées sur les deux

premiers niveaux est essentielle pour produire un changement culturel et donner sa

place au contrôle interne dans les SDIS.

1er niveau 2ème

niveau 3ème

niveau 4ème

niveau 5ème

niveau

Interventions

CODIS

Opérationnalité des :

Personnels

(aptitude

opérationnelle +

effectifs de garde)

Casernes

(infrastructures

bâtimentaires et

informatiques)

Agrès (armés, en

état de marche,

disponibles)

Prévision

Formation

opérationnelle et

péri-

opérationnelle

Recrutement

Rénovations

Acquisitions

Restauration

Fonctions RH

Communication

Cérémonies et

manifestations

Œuvres sociales...

Statistiques

opérationnelles

Prévention

Formation

fonctionnelle et

managériale

(etc…)

Figure 9 - Proposition de représentation des niveaux de priorités à traiter par le contrôle interne au sein d’un SDIS

Sur certaines fonctions prioritaires, sensibles et identifiées à fort impact, il est

primordial de bâtir un plan de continuité d’activité (PCA), comme nous le

faisons dans les plans de secours, pour faire face à l’aléa (ex : PCA du

CTA/CODIS, des transmissions, des interventions multiples, etc.).

62 L’accord-cadre du 22 octobre 2013 relatif à la prévention des risques psychosociaux – RPS – engage les employeurs des trois versants de la fonction publique

à mettre en place une démarche de prévention des risques psychosociaux au sein de leurs services

63 Document Unique d’Evaluation des Risques Professionnels obligatoire depuis 2001 en application du Code du travail (Article L 230 -2, R 230-1 et 263-1-1)

64 Circulaire du Ministère de la décentralisation et de la fonction publique du 25 juillet 2014 relative à la mise en œuvre dans la fonction publique territoriale de

l’accord cadre du 22 octobre 2013 concernant la prévention des risques psycho-sociaux.

46

Le contrôle interne doit donc participer à donner du sens à l’action des sapeurs-

pompiers en mettant en valeur l’utilité et l’importance des différentes activités

présentes.

4.1.2. Engager l’action collective

Nous avons souligné qu’il était fondamental que :

La gouvernance du SDIS impulse et soutienne la démarche, dans une volonté

de confiance accordée ;

Les solutions viennent des opérationnels.

Il est dès lors nécessaire d’engager l’action collective en responsabilisant chaque

acteur, en désignant un coordinateur, en formant à la maîtrise des risques et en

communiquant la démarche.

4.1.2.1. Responsabiliser chaque acteur par l’autocontrôle

Nous préconisons avant tout que l’action du contrôle du travail incombe

normalement à chacun.

Chacun est responsable de son travail et doit mettre en place les procédures de

contrôle qui le concernent. C’est le sens du management par la confiance de J-F

Zobrist.

Pour cela, il s’agit de prendre en compte les postulats suivants:

La maîtrise des risques est un processus favorisant l’amélioration continue de

nos activités. Elle est donc collective ;

La maîtrise des risques n’est efficace que si l’ensemble de l’organisation fait

remonter les informations et/ou agit directement sur les risques lorsqu’elle

peut le faire ;

La direction elle-même doit accepter qu’elle puisse être porteuse de risques au

travers de ses décisions ou de ses comportements.

4.1.2.2. Identifier, positionner et missionner un coordinateur

Cependant, ce système n’est pas à l’abri de failles. C’est la raison pour laquelle, en

maîtrise des risques, on positionne selon le terme consacré un « risk manager ».

Son rôle est de coordonner tous les acteurs dans la démarche de maîtrise des

risques, non pas pour rechercher en direct une défaillance, mais pour se tourner

vers celui dont la responsabilité est d’éviter sa survenue.

47

Identifier

Nous préconisons d’identifier un cadre qui soit quelqu’un d’expérience, un

opérationnel reconnu tant par la hiérarchie que par les personnels. Il doit

pouvoir porter une image de grande compétence professionnelle, d’objectivité et

de probité. Il doit posséder des qualités humaines d’écoute et de compromis. Il doit

faire preuve d’une autorité de sens qui inspire confiance à ses pairs.

Positionner

Nous préconisons qu’il soit positionné directement auprès de la direction,

comme on peut le voir dans la cartographie des acteurs en annexe n°8 (p 115).

Il ne doit pas être pour autant au service exclusif de la gouvernance, mais de tous

les acteurs décisionnels du SDIS. Aussi, ce responsable doit avoir une

indépendance vis-à-vis de la ligne hiérarchique et des services, garantissant sa

neutralité, et lui permettant d’œuvrer pour « l’intérêt supérieur » du SDIS.

Missionner

Nous préconisons qu’un terme relativement neutre et facilement

compréhensible, désignant la fonction du coordinateur, soit adopté, en tenant

compte de l’histoire et de l’identité du SDIS. Ce coordinateur doit être

destinataire d’une lettre de mission dont le contenu peut être :

o De garantir que la maîtrise des risques se fasse dans un but

d’amélioration continue ;

o D’assurer la diffusion des méthodes, d’animer des équipes, de monter

le plan de communication ;

o D’adopter une position d’interface entre la direction et le reste de

l’organisation.

48

4.1.2.3. Former à la maîtrise des risques

Passer à la culture de la maîtrise des risques et de l’amélioration continue implique

une technicité et une approche nouvelles. Elle est peu diffusée chez les cadres des

SDIS, même si les résultats de l’enquête montrent des signes encourageants. En

effet, 30% des SDIS interrogés déclarent être au stade de l’écriture des processus.

Les SDIS disposent, pour se doter de cette technicité suffisante, de plusieurs

moyens :

Le benchmarking et le benchlearning, en se déplaçant dans des entreprises

privées ou d’autres administrations ;

L’affectation de cadres ayant une formation en gestion ;

L’auto-formation par le recours à la lecture d’ouvrages et l’étude de normes

déjà existantes ;

La formation auprès de l’IFACI : cet organisme propose des formations qui

donnent des certifications internationales. Celles-ci sont détaillées en annexe

n°9, p 117 ;

La formation auprès des différents types d’établissements d’enseignements

supérieurs (Faculté de gestion dans les universités, école de commerce, Institut

d’administration des entreprises, Institut universitaire technologique), ou

auprès des établissements publics axés sur la formation pour adulte (CNFPT,

INET, Conservatoire national des arts-et-métiers etc.) ou auprès d’organismes

privés de formation.

Cependant, la grande majorité des officiers de sapeurs-pompiers possèdent des

notions ou des qualifications en gestion des risques de sécurité civile, reçues au

cours de leur formation universitaire, à l’ENSOSP ou dans leur SDIS. La notion de

risque est familière et constitue la raison d’être de leur métier : les prévenir et y

faire face. Il faut donc faire appel à cette culture tout au long du projet.

4.1.2.4. Communiquer la démarche

La communication appartient à la gouvernance du SDIS. Elle cible l’ensemble des

personnels. Il est notamment nécessaire de communiquer la démarche en interne

auprès des instances consultatives et des partenaires sociaux pour faire

coïncider la méthode avec les attentes de la stratégie de la direction.

Par ailleurs, l’appellation « contrôle interne » est négativement connotée.

L’appellation de « maîtrise des risques » qui est la terminologie consacrée n’est

pas nécessairement compréhensible par tous. En outre, chez les sapeurs-pompiers,

elle pourrait être associée à la gestion des risques. Si la mission fixée est plus

large, des appellations comme « performance globale », « qualité dans les

services », « amélioration continue » peuvent être retenues.

49

4.1.3. Conduire l’état des lieux du SDIS et l’analyse de ses vulnérabilités

4.1.3.1. Collecter les besoins et attentes des centres de secours et des

services pour la définition des objectifs

Nous préconisons de collecter l’ensemble des besoins et attentes des CIS et de

l’ensemble des services et groupements.

En effet, la maîtrise des risques découle de la définition précise des objectifs et de

la rédaction des processus. Il s’agit de faire l’inventaire de ceux qui ont été

effectivement définis. Et, d’une manière générale, il est nécessaire de conduire un

état des lieux.

Pour cela, nous préconisons d’impliquer largement le personnel : PATS, SPP,

SPV. L’état des lieux précis sera d’autant plus précis, et cette implication

collective favorisera la motivation. La démarche sera d’autant mieux appropriée.

Cet état des lieux doit conduire à collecter l’ensemble des besoins et attentes des

différents acteurs du SDIS.

Une simple enquête peut suffire. Nous citons pour cela l’exemple du groupement

technique et logistique du SDIS de l’Oise, dont nous avons interviewé le chef de

groupement. Ce responsable a lancé une grande enquête dans les centres de

secours afin d’améliorer le service rendu par son groupement. Tout un ensemble

de préconisations a été remonté, aboutissant à un plan de 70 actions priorisées. Ces

mesures sont mises en place au fil du temps. Les centres de secours reconnaissent

le caractère pragmatique et efficace de la démarche et sont particulièrement

satisfaits des améliorations apportées.

Pour disposer d’un état des lieux plus complet, le CAF peut être utilisé. Il s’agit de

l’autoévaluation issue de l’EFQM (European Foundation for Quality

Management). Le référentiel EFQM est présenté en annexe n°10, p 119. Cette

autoévaluation donnera une vision générale du niveau de performance du SDIS. Il

est important de préciser que cette étude doit concerner tous les acteurs du SDIS

dans une démarche systémique.

Egalement, une étude65 de l’IFACI préconise trois méthodes d’autoévaluation, qui

peuvent être mises en œuvre en fonction du degré d’imprégnation des intervenants

au contrôle interne. Cette étude est présentée en annexe n°11, p 125.

65 Guide d’audit – L’auto-évaluation du contrôle interne, octobre 2005, IFACI

50

4.1.3.2. Etablir la cartographie des risques pour isoler les vulnérabilités clés

Nous préconisons de répertorier les vulnérabilités clés (principales) sur la

base de l’état des lieux issu des résultats de l’autoévaluation. En allant à

l’essentiel, cette méthode permet de gagner un temps considérable.

L’état des lieux fait remonter les attentes et observations des opérationnels. A sa

lecture, de nombreux risques apparaissent déjà. Cette base est complétée par des

hypothèses et questionnements émanant du coordinateur projet.

A cette étape, on aborde la cartographie des risques dans un mode "Top Down"

(analyse des risques, rattachement des risques aux processus, évaluation et

hiérarchisation des risques), selon l’IFACI66

.

Cela permet de conduire une étude des risques simple pour isoler les

vulnérabilités principales dans l’organisation SDIS.

Citons pour exemple :

La vérification des engins : est-il admissible d’attendre la vérification

journalière pour constater l’absence d’un matériel ?

La couverture opérationnelle : existe-t-il un risque de simultanéité

d’interventions conduisant à la rupture de la réponse ?

L’aptitude opérationnelle des personnels : un SDIS doit-il mettre en place

un système qui exclut temporairement un personnel qui ne maîtrise pas

une technique opérationnelle ?

Les infrastructures des systèmes d’alerte : prévoient-elles les solutions de

contournement en cas de rupture ? Y-a-t-il un plan de continuité

d’activité ?

Les effectifs de gardes : quelle exigence à les atteindre et les tenir ?

L’approvisionnement en matériels et la réparation des agrès : y-a-t-il une

vision claire de ce que l’on tolère en termes d’indisponibilité sur un ou

plusieurs centres de secours ?

L’exemple décliné en annexe n°5 (figure 1), p 101, illustre l’identification de

vulnérabilités clés.

Les méthodologies couramment utilisées en management des risques suivent les

mêmes étapes. Cette étude peut se faire en quatre phases67

:

Identifier les risques ;

Analyser les risques ;

Traiter les risques ;

Piloter par des plans d’actions (action centrale du contrôle interne).

66

IFACI (2006) Guide d’audit « Cartographie des risques », Groupe professionnel Assurance, IFACI – Les cahiers de la recherche

67 Etude proposée par le cadre de référence sur les dispositifs de gestion des crises et de contrôle interne de l’Autorité des Marchés Financiers (AMF) et

adaptable aux SDIS

51

Par ailleurs, il convient de se référer au mémoire de Master du Commandant

Cédric Rigollet68, qui porte sur la nécessité de mettre en exergue pour chaque

ressource (humaine, financière, informationnelle, technique) les vulnérabilités du

SDIS. Un extrait d’un tableau des dangers d’un SDIS est présenté pour exemple en

annexe n°12, p 127.

L’identification des risques part du principe que toute organisation, et donc les

SDIS, est confrontée à un ensemble de vulnérabilités en provenance aussi bien de

son propre fonctionnement interne que de son environnement extérieur. Plusieurs

méthodes et outils permettent d’identifier et d’analyser les risques. Elles sont

présentées de manière synthétique en annexe n°13, p 129. Le traitement est abordé

au paragraphe 4.1.4.1 et le pilotage aux paragraphes 4.1.5.2 et 4.1.5.3.

4.1.4. Décider d’un plan d’action sur les processus à améliorer et les plans de

continuité d’activité à mettre en place

4.1.4.1. Arbitrer

Nous préconisons que ce premier arbitrage porte sur des actions facilement

réalisables mais à enjeux forts.

Avec le retour des enquêtes et du CAF, l’équipe de direction dispose maintenant

d’un état précis du fonctionnement de son organisation. La cartographie des

risques permet d’avoir une vision globale des risques.

L’exemple en annexe n°5, p 101, montre comment la cartographie des risques peut

être établie à partir d’outils simples comme la méthode des « cinq pourquoi ».

Elle peut dès lors réaliser un arbitrage quant aux processus à améliorer, avec

priorisation, et fixation d’objectifs de qualité précis. Elle peut également décider

des activités devant faire l’objet de plans de continuité d’activité.

Pour permettre cet arbitrage, il est nécessaire d’établir des documents synthétiques.

L’exemple en annexe n°5, p 101, montre comment une matrice FFOR peut

constituer une aide à la décision.

68 Rigollet Cédric . 2010. La vulnérabilité des ressources élémentaires des Services Départementaux d’Incendie et de Secours. Méthode globale pour analyser

l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la crise économique et financière.. Mémoire de fin d’études du master

Gestion des risques de Sécurité Civile. Université de Haute-Alsace/ENSOSP

52

Face aux risques, il existe quatre réactions, dites des quatre « T » 69 :

Tolérer ou accepter (le risque à son niveau actuel) ;

Traiter (le risque pour en diminuer la sévérité à un niveau

acceptable) ;

Transférer (le risque ou l’activité qui le génère vers un tiers ou

une assurance) ;

Terminer (supprimer l’activité qui génère le risque).

L’arbitrage portera donc sur les actions à conduire de manière prioritaire, en ayant

à l’esprit ces quatre modes de traitement des risques. Les actions non reconnues

comme prioritaires sont mises en attente et pourront être mises en œuvre

ultérieurement ; il ne sera alors pas nécessaire de reconduire le travail de recueil et

d’analyse.

L’arbitrage peut dès lors être communiqué. La démarche ayant été conduite de

manière participative, l’adhésion d’une majorité d’agents est attendue. Il est

important de préserver la dynamique collective et d’obtenir des résultats rapides.

L’enjeu est de faire adhérer à la méthode et de susciter la motivation.

C’est dès lors un véritable projet qui doit être mené avec un planning, la mise en

place de groupes de travail et l’implication des différents services.

Le cadre coordinateur désigné peut alors, compte-tenu de ces orientations, établir

le planning de réalisation pour poursuivre son travail avec les opérationnels.

4.1.4.2. Etablir le planning de réalisation

Nous préconisons que les actions arbitrées soient réalisables dans un délai

court (inférieur à 1 an), pour obtenir l’adhésion. Les arbitrages de la

direction doivent le permettre.

69 « 100 questions pour comprendre et agir- le Contrôle Interne » de P.NOIROT et J.WALTER

53

4.1.5. Mettre en place les processus et les plans de continuité d’activité.

Nous préconisons que la mise en place des processus et des plans de continuité

d’activité soient le moment de la mobilisation des énergies. Pour cela, la

constitution des groupes de travail est une étape cruciale. Ceux-ci doivent refléter

toutes les parties prenantes du processus.

4.1.5.1. Constituer des groupes de travail

Nous préconisons que les groupes de travail soient placés sous la conduite de

« pilotes de processus », terme consacré en gestion. Le pilote de processus est

chargé d’en surveiller le bon « état de santé ». Il a donc vocation à perdurer. Son

profil est celui d’une personne qui a un intérêt à la réalisation du processus. Ce

n’est pas nécessairement un chef hiérarchique du groupement fonctionnel

concerné. Leur désignation est aussi l’opportunité de valoriser certains agents.

Les groupes de travail constitués vont pouvoir s’appuyer sur les données collectées

pour œuvrer.

Cependant, l’écriture et l’amélioration des processus nécessitent un minimum de

formation et/ou supervision par une personne qualifiée. Mais la compréhension en

est relativement simple. Dans l’exemple de l’annexe n°5, p 101, (figure 2),

l’activité concernée est décrite par son processus. Sur celui-ci, sont identifiés les

risques qui doivent être traités.

Pour la mise en place des plans de continuité d’activité, nous préconisons de

recourir au « Référentiel de bonnes pratiques PCA »70 de l’AFNOR.

Les processus améliorés et les plans de continuité d’activité proposés par les

groupes de travail doivent ensuite être validés pour mise en œuvre.

4.1.5.2. Faire vivre les processus sous la surveillance d’un pilote

Nous préconisons que les processus soient effectivement mis en œuvre et

pilotés. La bonne exécution du processus incombe aux agents qui en sont chargés.

Le pilote va récupérer toutes les informations et données significatives de son

fonctionnement afin d’étudier les écarts qui peuvent affecter l’atteinte de l’objectif.

Les plans de continuité d’activité sont également des processus, conçus en cas de

défaillance des processus principaux, et devront donc faire l’objet de la même

gestion. Ils se doivent d’être les plus simples et clairs possible car ils seront mis en

œuvre dans un mode dégradé, générateur de stress par essence.

70 Référentiel des bonnes pratiques n° BP Z 74-700– Le plan de continuité d’activité. AFNOR Editions 2011

54

4.1.5.3. Construire des indicateurs permettant de mesurer l’atteinte des

objectifs

Nous préconisons de construire des indicateurs simples et pertinents

permettant une vision claire des écarts. Ils sont pour cela positionnés sur les

processus. Ces indicateurs doivent être en nombre limité (moins de trois et

idéalement un seul), en fonction des points à contrôler pour l’atteinte des objectifs.

Des logiciels requêteurs sont actuellement utilisés par de nombreux SDIS pour les

guider dans cette démarche de contrôle. Ils permettent de croiser des données entre

elles (exemples : ASTRE, OXIO, TITAN, SIPA, etc.). Mais cette étude ne sera

efficace que si elle est en corrélation avec les risques du SDIS, afin de « réajuster

le tir » si besoin. Le pilotage par les tableaux de bord doit cependant aussi intégrer

la fonction anticipation, comme nous le faisons dans le GOC via le SAOIELC71,

pour ne pas se laisser déborder par les potentiels événements défavorables.

4.1.6. Effectuer une revue de direction pour un nouveau plan d’action

Nous préconisons d’utiliser la technique de la revue de direction pour faire le

point sur le fonctionnement d’un processus donné. C’est le pilote de processus qui

pourra attester que le processus, dans le cadre d’un fonctionnement normal ou

d’un PCA, répond bien aux objectifs qui lui ont été dévolus.

4.1.6.1. Mesurer l’écart entre l’atteinte des objectifs et la réponse aux

besoins

Il s’agira de vérifier si le processus examiné répond aux besoins, si les attentes ont

été comblées et si les risques ont effectivement diminués. Cette appréciation va

permettre un nouvel arbitrage pour le prochain plan d’action.

4.1.6.2. Arbitrer dans le cadre d’un nouveau plan d’action

L’arbitrage va se conduire sur trois axes :

Continuer à améliorer les processus ;

Travailler sur les processus non traités ;

Compléter la cartographie des risques.

Un nouveau plan d’action peut alors être conduit, sur le modèle du premier.

71 Méthode de raisonnement tactique issue de l’unité de valeur « Gestion Opérationnel et Commandement » qui permet au commandant des opérations de

secours d’optimiser sa prise de décision sur intervention. (Situation/ Anticipation/ Objectifs/ Idées de manœuvre/Logistique/ Commandement)

55

4.1.7. Pérenniser la démarche

Dès lors, le SDIS peut continuer à relancer la démarche.

4.1.7.1. Fiabiliser le SDIS par l’amélioration continue, dans un objectif de

performance.

Nous préconisons que le SDIS poursuive la mise en place d’un système de

management intégré permettant l’amélioration continue. L’amélioration

continue conduit à la diminution des procédures et donc des risques.

Dans cette perspective, la maîtrise des risques n’est qu’une source d’informations

quant aux vulnérabilités. Et l’organisation est donc en capacité de réagir.

Ainsi, en qualité, le contrôle interne et la maîtrise des risques appartiennent au

« C » du « PDCA », qui signifie « check » (contrôler, vérifier) de la roue de

Deming. Ils se rangent donc dans l’activité de mesure et d’analyse au sens des

normes ISO de la série 9000 (ISO 9000, 9001, 9004). Toutes ces normes

présentées en annexe n°7, p 107, ont donc une partie consacrée à l’autoévaluation,

à la surveillance, à la mesure, à l’audit et à l’appréciation des risques. Pour la

maîtrise des risques, elles renvoient à la norme ISO 31000:200972 .

Nous préconisons que le processus de management du risque soit mis en place

dans l’esprit de la norme ISO 31000. L’objectif est de permettre au SDIS

d’atteindre un niveau de maîtrise suffisant de son organisation même si cela peut

prendre plusieurs années.

On peut voir, au travers de la figure 10 ci-dessous, comment le processus est lié à

la fois à la notion de surveillance et de revue et à la notion de communication et

de concertation.

Figure 10 - Processus du management du risque selon la norme ISO 31000 (2009)

72 Norme ISO 31000 version 2009 Management du risque – Principes et lignes directrices, AFNOR,2009

56

Cette norme est complétée par les fascicules de documentation et les guides

suivants :

FD X 50-252 Lignes directrices pour l’estimation des risques ;

Guide ISO/CEI 31010, gestion des risques – Techniques d’évaluation

des risques ;

Guide ISO/CEI 73:2009 Management du risque – Vocabulaire ;

FD X 50-117, Management de projet – gestion du risque –

Management des risques d’un projet.

L’enjeu est que cette démarche soit acquise par l’ensemble des personnels et que

le SDIS soit réactif. Dès lors, le SDIS peut être lui-même audité.

4.1.7.2. Auditer le SDIS

La démarche engagée permet aux responsables hiérarchiques de mener dans un

premier temps un audit interne objectif et accepté.

Dans un second temps, le SDIS, maîtrisant désormais ses risques, est prêt à

faire l’objet d’un audit externe. Il peut décider lui-même de s’y soumettre. En

effet, un SDIS promouvant le contrôle interne et la maîtrise des risques et

fonctionnant de manière efficace fera la démonstration de l’acceptation du contrôle

externe. Il montrera ainsi l’exemple.

L’enjeu pour le SDIS et ses personnels est aussi la reconnaissance du travail des

agents et l’appréciation de la qualité du service rendu. Pour les élus et la

population, c’est la garantie du travail dans l’intérêt général et la valorisation de

l’image du SDIS.

La norme ISO 9000:2008 (annexe n°7, p 107) fixe les principes généraux de la

démarche qualité et ne fait pas l’objet d’une certification. Cependant la

gouvernance du SDIS peut souhaiter que l’établissement public soit certifié. Dans

ce cas, voici la base de deux normes qui seront utiles :

La norme ISO 9001:2008 portant essentiellement sur l'efficacité du

système de management de la qualité à satisfaire les exigences des

clients ;

La norme ISO 9004:2009 intégrant les besoins de toutes les parties

prenantes et poursuit le développement durable de l’organisation.

La norme ISO 31000 version 2009 est simplement la déclinaison du processus du

management du risque. N’étant qu’une déclinaison du management de la qualité,

elle ne fait donc pas l’objet d’une certification.

57

Enfin, le SDIS peut souhaiter s’inscrire dans le cadre de l’EFQM, présenté en

annexe n° 10 (p 119), pour lequel existent plusieurs niveaux de reconnaissance :

Engagement vers l’Excellence ;

Reconnaissance de l'Excellence ;

Prix Français Qualité Performance ;

Prix européen de l'Excellence EFQM.

4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE

MANAGEMENT DES RISQUES AU SEIN DES SDIS

4.2.1. L’activité opérationnelle comme enjeu majeur de la maîtrise des risques

L’évolution vers la maîtrise des risques n’aura lieu que si elle porte d’abord sur

l’activité des SDIS : l’opérationnel (intervention et CTA-CODIS) et le péri-

opérationnel (maintien opérationnel des personnels, des engins et infrastructures),

soit les premier et second niveaux de la figure 9 - Proposition de représentation des

niveaux de priorités à traiter par le contrôle interne.

Il serait en effet insuffisant de ne faire porter exclusivement la maîtrise des risques

que sur les activités qui en découlent (ressources humaines, finances, formation,

etc.). Ce serait exclure l’activité production de service de la structure et la grande

majorité des personnels qui la compose. Ces activités classiques sont d’ailleurs

moins problématiques à maîtriser car on les trouve dans d’autres organisations.

Lors des entretiens, la question de l’évaluation de l’activité opérationnelle a été

la plus prégnante. L’enquête révèle également qu’elle est l’activité sur laquelle la

maîtrise des risques doit apporter sa contribution en priorité.

Par conséquent, si l’opérationnel et le péri-opérationnel sont exclus du champ de la

maîtrise, l’impact de la mise en place de la démarche sera presque nul.

Si cette culture s’arrête au marchepied de l’agrès, elle ne pourra pas se diffuser. En

s’interrogeant sur la maîtrise des risques opérationnels et péri-opérationnels, des

constats fondamentaux ont émergé :

Nous devons maîtriser tous les moyens d’amélioration opérationnelle ;

Ces moyens étaient connus de nos anciens et leur pratique risque

d’être perdue.

D’une manière générale, le principe de base consiste à évaluer les sapeurs-

pompiers au plus près de leur pratique opérationnelle. Par ailleurs, l’Etat souhaite

que cette évaluation ait lieu et l’a même consacrée dans la loi de modernisation de

la sécurité civile.

58

Néanmoins, il est communément admis qu’il est très difficile d’évaluer l’activité

opérationnelle d’un SDIS. Nous effectuons les préconisations suivantes qui

démontreront qu’il est possible de changer de paradigme.

4.2.1.1. Maîtriser le facteur humain

Nous citerons l’exemple de l’armée de l’air française qui a institué le droit à

l’erreur. Un extrait de l’instruction émanant du général commandant les forces

aériennes est disponible en annexe n°14, p 133.

Le mémoire du Lieutenant-Colonel Thierry Carret73, intervenant à l’ENSOSP,

traite de la question du facteur humain. Pour maîtriser les risques opérationnels, il

faut objectiver les erreurs et accepter le facteur humain. La source d’amélioration

se situe dans les milliers d’erreurs quotidiennes non déclarées par crainte de la

sanction. Cette masse d’informations constituerait une capitalisation de retours

d’expériences utiles à l’organisation, permettant de prévenir un accident plus

grave (cf. annexe n°15, p 135, présentant la pyramide de Bird).

4.2.1.2. Maîtriser l’aptitude opérationnelle,

Maîtriser les risques, c’est maîtriser le risque de rupture de la compétence. La

gestion de l’aptitude opérationnelle consiste à ériger le principe selon lequel un

sapeur-pompier doit faire ses preuves pour pouvoir partir en intervention. Il faut

donc mettre en place un contrôle et accepter que, dans certains cas, l’aptitude

opérationnelle d’un agent soit retirée temporairement pour assurer la sécurité

individuelle et collective.

Pour qu’un système de gestion de l’aptitude opérationnelle soit efficace, il faut

que :

L’appréciation s’appuie sur le résultat attendu de la bonne exécution

d’une manœuvre de terrain. Ce résultat est variable selon le contexte

et découle d’un savoir-faire. Par conséquent, l’appréciation

hiérarchique suffit. Il n’est pas nécessaire de mettre en place une

gestion complexe de grilles d’évaluation (nécessaires en formation

initiale par ailleurs) qui paralyserait le dispositif. L’appréciation

validé/non validé suffit.

73 Carret Thierry . 2007 . Démarche pratique en santé sécurité au travail ou comment favoriser une vraie culture de sécurité individuelle et collective à même de

rendre pérenne un système de management de la sécurité. Mémoire de DDA ENSOSP

59

L’appréciation doit être le résultat de plusieurs évaluations. Ainsi, elle

résulte du cumul des appréciations des chefs de gardes pour les

hommes du rang, des chefs de groupes pour les chefs d’agrès, des

chefs de colonnes pour les chefs de groupes, des chefs de sites pour

les chefs de colonnes ;

L’évaluation doit être aléatoire. Les systèmes de gestion de l’aptitude

opérationnelle qui se font sur la base d’un programme ou de la volonté

de valider toutes les connaissances échouent généralement. En effet, la

quantité de techniques opérationnelles est si importante qu’il est

nécessaire de les regrouper et d’accepter que leurs variantes ou leurs

détails ne soient pas tracés ;

Le sapeur-pompier doit pouvoir avoir une marge de progression, en

vertu du droit à l’erreur, avant de se voir retirer l’aptitude.

Ce système permet de concilier exigence opérationnelle et facteur humain.

4.2.1.3. Maîtriser l’expérience par le RETEX

Il est très difficile de mettre en place un contrôle sur intervention. D’un point de

vue culturel et dans un souci d’efficacité, le contrôle doit être organisé en amont

de l’intervention. Ainsi la préparation opérationnelle doit se jouer au plus près de

la réalité. Le RETEX constitue alors l’élément clé pour apporter les éléments

permettant de reconstituer la réalité. Le RETEX est cependant difficile à

développer dans la mesure où il est ressenti comme mettant souvent en cause les

intervenants. C’est la raison pour laquelle il doit être conduit de manière

systématique et organisé de telle sorte que l’on ne puisse cibler la faute

individuelle, mais bien l’action collective. Nous sommes ici au cœur de la

démarche d’amélioration continue.

D’ailleurs, la Loi n° 2004-811 du 13 août 2004 dite de modernisation de la

sécurité civile, dans son annexe, préconise le retour d’expérience « utile au

perfectionnement permanent des dispositifs conçus pour faire face aux risques ».

4.2.1.4. Maîtriser la formation

La formation doit tenir compte du RETEX. Mais elle constitue elle-même une

possibilité d’optimisation de nos pratiques. Sachant que la formation des

sapeurs-pompiers est essentiellement basée sur la mise en situation, elle permet

d’améliorer une doctrine opérationnelle, une technique, un matériel.

60

4.2.1.5. Maîtriser le terrain

Pour cela, nous préconisons de manœuvrer sur le terrain et tester notre

réponse opérationnelle en permanence.

Maîtriser les risques, c’est les anticiper. Les SDIS doivent donc pouvoir tester

leur réponse de la manière la plus réaliste possible. En effet, si le SDIS est certain

de la qualité de sa réponse, la tester ne constitue pas un risque.

A l’échelle du SDIS, concrètement, il s’agit de faire déclencher par le CODIS des

exercices en réel, avec les moyens départementaux disponibles. Cela permet

également de tester la capacité de réponse opérationnelle et de recouverture.

A l’échelle des intervenants de terrain, il faut considérer que le métier opérationnel

ne peut pas se mettre sous forme de procédures infaillibles. Il fait appel à un

savoir-faire complexe et à une capacité d’adaptation. Le sapeur-pompier doit ainsi

faire face à des évènements réels dynamiques, toujours différents. La connaissance

du terrain et de ses acteurs (pouvoirs publics, services publics, entreprises privées

génératrices de risques, …) permet la préparation à l’évènement. Là encore, un

exercice en condition réelle permet d’atteindre ces objectifs au mieux.

A l’échelle de la chaîne de commandement, les exercices réels sont la source

essentielle de maîtrise. En effet, l’occurrence des interventions mettant en œuvre la

chaîne de commandement est beaucoup plus réduite. Il faut cependant préciser que

la formation en réalité virtuelle se développe et constitue un complément

incontournable pour l’avenir. Ainsi, des installations existantes sont modélisées.

Des scénarios impossibles à réaliser en exercice réel peuvent alors être simulés. La

réalité virtuelle constitue ainsi un complément à l’exercice réel.

4.2.1.6. Maîtriser le savoir-faire

Les SDIS doivent encourager l’autoévaluation et les évaluations croisées. Ce sont

là encore des pratiques promues par les démarches qualité. En effet, la seule

connaissance des techniques ne suffit pas. Une grande part de l’efficacité

opérationnelle est fondée sur la remise en question, l’expérience, la cohésion et

la pratique collective.

L’autoévaluation est de nature à favoriser la remise en question et l’expérience.

Les évaluations croisées poursuivent également ces objectifs et favorisent la

cohésion et la pratique collective.

Ces deux pratiques sont de nature à fiabiliser la réponse opérationnelle et à

diminuer les risques de défaillance.

61

4.2.2. Développer une culture nationale de maîtrise des risques

A l’échelle nationale, l’impulsion peut être donnée par la DGSCGC, en

poursuivant son projet de capitalisation et de partage de bonnes pratiques. Elle a

tout son rôle à jouer dans la diffusion des RETEX.

Cette mission peut être également développée par l’Inspection de la Défense et de

la Sécurité Civiles, dans sa mission « prévention des accidents et enquête », afin

que la sécurité des acteurs de la sécurité civile reste une préoccupation majeure et

que les situations accidentelles soient partagées, diffusant ainsi une culture de la

maîtrise des risques.

L’ENSOSP peut proposer ce sujet dans le cadre de ses colloques, des FMPA de

DDSIS et de DDA.

Mais surtout, l’ENSOSP peut intégrer des cours de management des risques.

Mais, s’il doit y avoir une évolution, celle-ci ne peut passer que par le croisement

des pratiques entre le secteur privé, les SDIS et les autres administrations.

Il est donc préconisé de continuer à intégrer dans les intervenants de

l’ENSOSP des chercheurs et des opérationnels qui travaillent dans ces

domaines.

Les partenariats à engager peuvent concerner des secteurs dont l’activité

opérationnelle est marquée : défense nationale, aéronautique, logistique, etc.

L’IFACI, ou des contrôleurs certifiés par celui-ci, pourraient être directement

associés dans les enseignements de l’ENSOSP. Le changement de culture en

interne interviendra au contact de ceux qui sont externes à notre culture.

L’ENSOSP est donc un vecteur essentiel de diffusion de cette nouvelle culture. A

ce titre, le Portail National des Ressources et Savoirs (plateforme dématérialisée de

partage du savoir de l’ENSOSP) peut constituer un atout intéressant.

Enfin, localement, les SDIS peuvent former leurs cadres. Ces maillons essentiels

de relais de décision doivent pouvoir saisir les enjeux de cette nouvelle approche

et ainsi adhérer et faire adhérer.

62

63

CONCLUSION

« Se faire battre est excusable, se faire surprendre est impardonnable »

Napoléon Bonaparte

Le contrôle interne, issu du monde de la finance, était orienté sur la notion de fraude et

s’est ouvert à la maîtrise des risques et à la performance. L’actualité montre que des

dispositifs de contrôle existants peuvent souffrir de lacunes. Citons l’exemple récent de

l’institution bancaire BNP Paribas (banque nationale de Paris) qui s’est vu infliger une

amende record de 8,97 milliards d’euros pour avoir violé des embargos américains contre

le Soudan, Cuba et l’Iran. La banque a ainsi avoué dans un courrier à ses clients : « au-delà

des défaillances individuelles, il y a eu aussi certains défauts de vigilance et de réactivité

(…) nous avons renforcé très significativement nos dispositifs de contrôle et de sécurité ».

Au-delà des banques ou autres sociétés cotées en bourse, où le contrôle interne est intégré

de par la loi, l’Etat et ses établissements publics ne peuvent échapper à ce dispositif garant

d’une gestion saine et responsable, et démontrant la capacité et la volonté de leurs

dirigeants à prendre en compte les attentes de la société. Reinhart Kosellec74y voit là

l’expression de la volonté des peuples modernes: « cette capacité d’une société à formuler

des critiques, réclamer des comptes et soumettre au jugement les actions publiques et

privées, est le fondement de nos démocraties ».

Ainsi, s’inscrivant dans le cadre des réformes initiées au sein des services de l’Etat, le

placement du contrôle interne au cœur des activités des SDIS semble devenir

incontournable à l’avenir afin d’assurer la maîtrise des risques inhérents à leurs activités.

Pour atteindre cet objectif, il faut être conscient que cela implique un changement

profond des mentalités et des procédures car l’enjeu impose la mise en place d’une

véritable culture de l’autocontrôle et la garantie de sa fiabilité. C’est une ouverture vers

plus de performance au sein de nos institutions et cela donne aussi aux financeurs des

SDIS la garantie d’une gestion responsable et efficiente, confortant la légitimité des

directeurs départementaux et de leur équipe de direction en tant que gestionnaire

compétent et pertinent.

L’évolution du contexte socio-économique et juridique de notre société laisse penser que la

capacité des SDIS à développer une culture de la vigilance fera partie des défis à relever

pour nos établissements publics. Des exigences accrues en matière de responsabilité, de

sécurité et de qualité, déjà présentes aujourd’hui, seront de plus en plus draconiennes.

74 Reinhart Koselleck, né le 23 avril 1923 à Gorlitz et mort le 3 février 2006 à Bad Oeynhausen, est un historien allemand moderniste et

contemporanéiste, généralement considéré comme l'un des plus importants du 20e siècle.

64

La maîtrise des activités et des vulnérabilités qui en découle devient un impératif pour

l’avenir des SDIS. Le dispositif de maîtrise des risques, par le biais d’indicateurs adaptés

entre autres, permet de donner des repères précis pour les orientations de la gouvernance.

La complexité et l’incertitude nécessitent d’employer des outils d’analyse et de

compréhension de phénomènes dynamiques et interdépendants.

Cette nouvelle approche, même si elle est gage de qualité, peut se voir opposer un certain

nombre de résistances humaines et financières et laisser penser en premier abord à un

alourdissement de la bureaucratie. Néanmoins, le développement d’entités dédiées à cette

problématique au sein des SDIS (contrôle interne, audit, évaluation de la performance,

contrôle de gestion) démontre que les responsables ont réellement commencé à prendre

conscience d’une telle nécessité pour au moins deux raisons.

D’une part, elle permet de se préparer à l’augmentation des recherches en responsabilité

qui commencent à porter aujourd’hui sur les techniques et choix opérationnels, le juge

étant de plus en plus entouré d’experts compétents.

D’autre part, elle contribue, au travers de l’augmentation de l’efficience opérationnelle, à

la maîtrise des dépenses. C’est pourquoi de nombreux rapports (Cour des comptes, Sénat,

…) préconisent aux SDIS de développer leurs outils de contrôle interne afin d’adapter leur

organisation aux besoins qu’ils doivent satisfaire.

C’est là tout l’objet de la problématique de notre mémoire sur le fait que le contrôle

interne puisse apporter une plus-value pour les SDIS.

Une politique nationale incitative via la DGSCGC, devrait être développée comme cela a

débuté, pour aboutir à une capitalisation des bonnes pratiques des SDIS, permettre une

comparaison et enfin installer une culture de la performance au sein de notre service

public. L’étroite imbrication entre le contrôle interne et le management des risques pourra

ainsi être exploitée pour dépasser le simple objectif de conformité à une norme et faire de

cette fonction un puissant outil de pilotage stratégique. Cela démontrera notre capacité à

faire évoluer notre institution face aux défis qui s’annoncent.

Lors du congrès 2014 de la FNSPF (Fédération nationale des sapeurs-pompiers de France),

le ministre de l’intérieur Bernard Cazeneuve a fixé comme priorité le renforcement de

l’efficience du service public de secours d’urgence avec la volonté de conforter la

compétence partagée de l’État et des collectivités locales.

Il a ainsi indiqué « L’État doit être garant de l’égalité des citoyens face au service public.

Compte tenu des enjeux sur le dérèglement climatique, sur les risques liés au terrorisme,

sur la nécessité de faire face à un certain nombre de défis sanitaires, j’estime que c’est à la

Direction générale de la sécurité civile et de la gestion des crises, dans un dialogue étroit

avec les présidents de conseils généraux, de définir les moyens d’anticipation,

d’organisation et d’adaptation de nos services à ces enjeux de demain ».

65

A terme, un référentiel de contrôle interne des SDIS, issu d’un premier retour

d’expérience et de bonnes pratiques, pourrait être édité afin de donner un socle commun

pour la maîtrise de nos activités. La gouvernance nationale dans ce domaine, en appui

des SDIS, pourrait permettre une meilleure gestion, notamment en matière de pilotage et

de coopération, si souvent préconisés. C’est une des clés de la cohérence du dispositif de

sécurité civile.

L’ENSOSP, en tant que garante d’une culture commune aux officiers, devrait être associée

à cette démarche pour que les formations initiales ou de professionnalisation intègrent des

formations sur le contrôle interne et la performance. Cela permettrait, comme cela a été

développé pour le GOC, de disposer d’un langage commun et favoriserait son adhésion.

Ces notions devraient également être partagées aux PATS d’autorité, qui sont souvent

affectés à des emplois de direction stratégiques (contrôle de gestion, responsable

administratif et financier, etc.). De plus, il pourrait être intéressant de développer un

partenariat avec l’IFACI, pour intervenir sur ces thèmes, au niveau des formations des

cadres.

Cet effort doctrinal que nous avons présenté, même s’il ne peut résoudre tous les maux,

démontre la force d’un courant de l’Administration, à laquelle les SDIS ne peuvent

désormais se soustraire. En tout état de cause, il ne faut pas oublier que le risque majeur

restera toujours l’inertie, et que nos institutions se doivent d’être innovantes et pro

actives, afin d’assurer leur mutabilité dans un monde qui demande toujours plus de sécurité

au moindre coût. L’avenir nous impose d’assurer la maîtrise de nos risques et les

contraintes budgétaires nous engagent vers la voie de projets annuels de performance via le

CAF par exemple. La démarche d’amélioration continue engagée est donc vitale pour

l’optimisation de l’utilisation des deniers publics, en plaçant l’Homme au centre de

l’organisation.

Une démarche d’accompagnement au changement est nécessaire pour assurer la

diffusion, l’appropriation effective et donc la transmission entre générations, de ces

nouvelles valeurs organisationnelles. Cela implique de développer nos outils de

management à ce nouveau paradigme. Le management par la confiance et la

responsabilisation des cadres sont donc des préalables indispensables à ces nouveaux défis.

La capitalisation des compétences de chacun pourrait ainsi être mieux utilisée et profiterait

à toute l’organisation.

C’est grâce à la conjonction de tous ces facteurs que la maîtrise des risques pourra faire

partie intégrante de notre culture organisationnelle, en libérant les capacités d’innovation

du service, contribuant in fine à la prévention des risques psychosociaux et à une meilleure

qualité de vie au travail.

66

67

ENTRETIENS

Par ordre chronologique :

Monsieur OUALLET, Contrôleur de gestion du Service Départemental d’Incendie et

de Secours du VAL D’OISE, NEUVILLE SUR OISE, le 25 février 2014

Le Commandant GRAVINA, Chef de la Section Opération Instruction du Groupement

n°3 de la Brigade des Sapeurs-Pompiers de PARIS, COURBEVOIE, le 7 mars 2014

Monsieur le Docteur Philippe DURETTE, Intervenant pour l’IFACI, PARIS, le 26

mars 2014

Monsieur Christophe REYNAUD, Adjoint au Sous-directeur des Services d’Incendie

et des Acteurs de Secours au sein de la DGSCGC, Paris, le 28 mars 2014,

Le Lieutenant-Colonel Jean-François FOULON, Chef du Groupement Analyse

Stratégique et Evaluation de la Performance du Service Départemental d’Incendie et

de Secours du PAS-DE-CALAIS, SAINT-LAURENT-BLANGY, le 2 avril 2014

Le Colonel Yvon TREPOS, Adjoint au chef de l’Inspection de la Direction Générale

de la Sécurité Civile et de la Gestion des Crises, le 8 avril 2014

Le Lieutenant-Colonel Régis BAUJOIN, Chef du Groupement Logistique du Service

Départemental d’incendie et de Secours de l’Oise, le 8 avril 2014

Monsieur Charles BONNIEL, Consultant, intervenant au CNAM, le 28 avril 2014

Le Lieutenant-Colonel Philippe SALLE, Chef du bureau pilotage, audit, contrôle de la

Brigade des Sapeurs-Pompiers de PARIS, CHAMPERRET, le 6 mai 2014

Monsieur Jean LE RAY, consultant chez Ad'XpR Conseil - Réseau AD'APTUS,

directeur de collection des parutions « Maîtrise des risques » de l’AFNOR.

Formateur/expert chez AFNOR Compétences sur ce même champ du management des

risques, le 28 mai 2014

Monsieur Philippe CANNARD, Inspecteur Général de l’Administration chargé de

l’évaluation des SDIS, le 10 juin 2014

Monsieur Laurent VAN CAENEGHEM, directeur du contrôle interne chez SITA

(filiale SUEZ « déchets »), le 29 octobre 2014.

68

69

BIBLIOGRAPHIE

AFNOR (2010), Management des risques. Pour assurer ! (Recueil de normes),

AFNOR Editions.

AFNOR (2010), Plan de continuité d’activité pour les PME/PMI de la région centre

Outil méthodologique. Région Centre

AVENIR SECOURS, Annuaire 2013-2014 de l’encadrement des services d’incendie

et de secours – Editions LE PERRAY

BOULLIER D. et CHEVRIER S. (2000) Les sapeurs-pompiers- des soldats du feu

aux techniciens du risque, Editions PUF

CARRET T. (2007), Démarche pratique en santé sécurité au travail ou comment

favoriser une vraie culture de sécurité individuelle et collective à même de rendre

pérenne un système de management de la sécurité. Mémoire de DDA. ENSOSP

COHEN A-G. (2012), La nouvelle gestion publique, Lextenso Editions

COMMES J-C, DROBACHEFF F, FARDEAU N, MEISSAT S, (2010), Elaboration

d’un document pro forma afin de permettre aux SDIS de s’autoévaluer au travers du

cadre d’autoévaluation des fonctions publiques. Mémoire de DDA. ENSOSP

CROZIER M, FRIEDBERG E, (1992) L'acteur et le système: Les contraintes de

l'action collective, éd. Seuil

CROZIER M, (1963) Le phénomène bureaucratique, éd. Seuil

DARSA J-D (2011), La gestion des risques en entreprise, Editions GERESO

DASSENS A, Méthode pour une approche globale de l’analyse de risques en

entreprise. Thèse pour l’obtention du grade de docteur - Discipline : Génie des

Procédés. Université de Haute-Alsace.

GIBERT P. (2009), Tableaux de bord pour les organisations publiques, Editions

DUNOD

GRENON A. et RAZER J. (2003), La maîtrise des activités à l’hôpital par le contrôle

interne, DOIN Editeurs

HASSID O. Le management des risques et des crises. Editions DUNOD

LE RAY J. (2010), Gérer les risques. Pourquoi ? Comment ? AFNOR Editions.

D’IRIBARNE P, (1993) La logique de l’honneur- gestion des entreprises et traditions

nationales, éd. du Seuil

IRIBARNE P, VERDOUX P, (2008). La haute performance publique- Comment

évaluer les performances des organismes publics. AFNOR Editions.

70

MINTZBERG H. (2006), Structure et dynamique des organisations, Editions

d’Organisation

MINTZBERG H (2004) Le management. Voyage au centre des organisations, éd.

d’Organisation

MONGILLON P et VERDOUX S, (2008), L'entreprise orientée processus. Aligner le

pilotage opérationnel sur la stratégie et les clients. Afnor éd.

NOIROT P. et WALTER J. (2008), Le contrôle interne pour créer de la valeur,

AFNOR Editions

NOIROT P. et WALTER J. (2009), 100 questions pour comprendre et agir - Le

contrôle interne, AFNOR Editions

PARKINSON C NORTHCOTE, (1983) Les lois de Parkinson, éd. R.Laffont,

POMMMERET B, (2013), La boîte à outils de l’organisation, éd. Dunod

RENARD J, (2002), L’audit interne : ce qui fait débat. Collection Institut de l’Audit

Interne. Editions Maxima

REYNAUD J-M. et VANOLI J. (2004), Réaliser un guide procédures : enjeux,

méthode, outils, Editions de « La lettre du cadre territorial »

RIGOLLET C. (2010), La vulnérabilité des ressources élémentaires des Services

Départementaux d’Incendie et de Secours. Méthode globale pour analyser

l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la

crise économique et financière. Mémoire de fin d’études du master Gestion des

risques de Sécurité Civile. Université de Haute-Alsace / ENSOSP.

SAULPIC O, GIRAUD F, ZARLOWSKI P, LORAIN M-A, FOURCADE F,

MORALES J. (2012). Le contrôle de gestion, Editions Pearson

ZOBRIST JF. (2014), La belle histoire de FAVI, Editions Humanisme et

Organisations

FRITSCH H, (2012) La maîtrise des risques liés au processus de gestion des

réclamations clients. Mastère spécialisé « Audit Interne et Contrôle de Gestion »

71

ARTICLES, RAPPORTS DIVERS

AMF (2010), Cadre de référence sur les dispositifs de gestion des risques et de

contrôle interne

Général ABRIAL, (2006) L’éditorial du chef d’état-major de l’armée de l’air. Bulletin

de sécurité des vols

CALVEZ M. article intitulé Le seuil façonnable d’acceptabilité culturelle du risque,

Université de Rennes 2, U.F.R. Sciences sociales

CARASSUS D. Cours intitulé Principes d’audit et de contrôle interne, Université de

Pau et des Pays de l’Adour, Centre de recherche et d’études en gestion

COHEN AG. (2010), Une nouvelle façon de gérer l’Etat et l’Administration : contrôle

interne et audits publics, Politiques et Management public

COUR DES COMPTES (2011), Rapport public thématique : Les services

départementaux d'incendie et de secours. La Documentation française

COUR DES COMPTES (2013), La mutualisation des moyens départementaux de la

sécurité civile. La Documentation française

IFA (2010), Guide méthodologique relatif au suivi de l’efficacité des systèmes de

contrôle interne et de gestion des risques, IFA

IFACI (2006) Guide d’audit « Cartographie des risques », Groupe professionnel

Assurance, IFACI – Les cahiers de la recherche.

IFACI (2008), Meilleures pratiques- Des clés pour la mise en œuvre du contrôle

interne- Du bon usage du cadre de référence de contrôle interne de l’AMF, IFACI –

Les cahiers de la recherche.

IFACI (2009), Commentaires relatifs à la transposition des 4ème, 7ème et 8ème

directives Européennes, Groupe professionnel « contrôle interne »

IFACI (2009), Synthèse du colloque L’audit et le contrôle interne, levier de la

performance publique

IFACI (2013), Coso 2013, Une opportunité pour optimiser votre contrôle interne dans

un environnement en mutation. Pocket Guide

IFACI (2013), Le nouveau COSO… et ses 17 principes fondateurs pour un contrôle

interne efficient. Audit & Contrôle internes n°215

IFACI (2014), La gouvernance de l’audit interne au sein des services de l’Etat

INERIS (2004), Presque accident et risque d’accident majeur – Etat de l’art. Étude et

Recherche DRA-37 Retour d’expérience.

72

ISO (2010), Découvrir ISO 26000. Brochure.

Ministère du budget, des comptes publics, de la fonction publique et de la réforme de

l’Etat (2011), Décret n°2011-775 relatif à l’Audit Interne dans l’Administration

Ministère de l’Intérieur, (date non précisée), Document de Politique Transversale –

Projet de loi de finance pour 2014 – Sécurité Civile, Ministère de l’Intérieur

Ministère de la Fonction publique, de la réforme de l’Etat et de l’aménagement du

territoire (2003), Le cadre d’autoévaluation des fonctions publiques

MOTTOUL J-M. (2010), Le développement du contrôle interne et des activités

d’audit interne dans l’administration fédérale, Federale Overheidsdienst Financiën –

België

STOLOWY S., PUJOL E., MOLINARI M. (date non précisée), Résumé de l’audit

financier et contrôle interne : l’apport de la loi SARBANES-OXSLEY, Groupe HEC

SENAT (2013), Rapport d’information relatif à la mutualisation des moyens

départementaux de la sécurité civile. Commission des finances

Université de technologie de Compiègne (2013) Guide ISO 26 000 selon le modèle

EFQM-Master QPO et NQCE.

73

WEBOGRAPHIE

http://www.afnor.org/profils/centre-d-interet/efqm#p56778 Présentation de l’EFQM

sur le site AFNOR

http://www.amf-

france.org/technique/multimedia?docId=workspace://SpacesStore/5fa2466b-27df-

4297-85f4-5fd100340539_fr_1.0_rendition : Cadre de référence sur les dispositifs de

gestion des risques et de contrôle interne

http://www.andlil.com/definition-de-bale-iii-126361.html : accords de Bâle III

http://www.cairn.info/revue-francaise-de-gestion-2008-3-page-131.htm : MONIN

Philippe, « Retour sur l'affaire Société Générale » Entretien avec Peter WIRTZ, Revue

française de gestion, 2008/3 n° 183, p. 131-134. DOI : 10.3166/rfg.183.131-134

http://www.cairn.info/revue-cahiers-internationaux-de-sociologie-2003-1-page-

143.htm : Pérez-Diaz Claudine, « Théorie de la décision et risques routiers », Cahiers

internationaux de sociologie, 2003/1 n° 114, p. 143-160. DOI : 10.3917/cis.114.0143

http://www.cairn.info/revue-gestion-et-management-public-2012-2-page-1.htm :

Chappoz Yves, Pupion Pierre-Charles, « Le New Public Management », Gestion et

management public 2/ 2012 (Volume 1/n°2), p. 1-3

http://christian.morel5.perso.sfr.fr/: Page de Christian Morel portant sur la question de

l’erreur humaine.

http://www.coso.org/ : Committee Of Sponsoring Organizations of the Treadway

Commission

http://www.culturebanque.com/bale-i-ii-iii-changement-modele-bancaire/ : accords de

Bâle I, II et III

http://www.favi.com/managf.php : Expérience de Jean-François Zobrist, ancien

directeur de l’entreprise FAVI.

http://www.ifaci.com/ifaci/nous-connaitre/statuts-de-l-ifaci-89.html : statuts de

l’IFACI

http://infoqualite.accordance.fr/welcome/index.php Site sur la qualité

http://lebasconseil.unblog.fr/

http://www.legifrance.gouv.fr/

http://www.lexpress.fr/actualite/societe/les-francais-voudraient-le-risque-

zero_496920.html : Jean-Sébastien STEHLI, « Les Français voudraient le risque

zéro », Entretien avec François EWALD, 06/02/2003

http://www.insee.fr/fr/methodes/default.asp?page=definitions/lolf.htm : définition de

la loi organique relative aux lois de finances

http://modernisation.gouv.fr/ : portail de la modernisation de l’action publique

http://www.performance-publique.budget.gouv.fr/ : forum de la performance

74

http://www.sgdsn.gouv.fr/site_article131.html : la résilience, un enjeu de sécurité

nationale

http://www.vie-publique.fr/decouverte-institutions/finances-

publiques/approfondissements/gestion-par-performance-administration.html : la

gestion par la performance dans l’administration

http://www.has-sante.fr/portail/ portail de la haute autorité de santé

http://www.qualiteperformance.org/comprendre-la-qualite/referentiels-de-

management-l-efqmr: Reportage de France 3 sur le « système FAVI ».

http://www.iso.org/iso/fr/home.htm Site Web de l’ISO : International Organization for

Standardization

75

TABLE DES ANNEXES

REFERENCES THEMES PAGES

1 PLANIFICATION DE LA REALISATION DU

MEMOIRE 77

2 MODELE D’ENQUETE RELATIVE AU

CONTROLE INTERNE AU SEIN DES S.D.I.S. 79

3 RESUME DES REPONSES A L’ENQUETE –

PANEL DES SPECIALISTES 85

4 RESUME DES REPONSES A L’ENQUETE –

PANEL DES GENERALISTES 93

5

EXEMPLE DE CONDUITE DE LA MAITRISE DES

RISQUES D’UNE ACTIVITE D’UN SDIS

101

6 EXPLOITATION DES ENTRETIENS ET DE

L’ENQUETE POUR LES PRECONISATIONS 105

7

COMMENTAIRES ET EXTRAITS DES NORMES

ET REFERENTIELS LIES A LA MAITRISE DES

RISQUES

107

8 CARTOGRAPHIE DES ACTEURS D’UN SDIS VIS-

A-VIS DU CONTROLE INTERNE 115

9 TABLEAU DES CERTIFICATIONS DE L’IFACI 117

76

10 REFERENTIEL EFQM 119

11

RESUME DES METHODES D’IDENTIFICATION

ET D’ANALYSE DE L’IFACI

125

12

EXTRAIT D’UN TABLEAU DES DANGERS D’UN

SDIS

127

13

TABLEAU RECAPITULATIF DES METHODES ET

OUTILS EN MAITRISE ET GESTION DES

RISQUES

129

14

EXTRAIT DE l’EDITORIAL DU CHEF D’ETAT

MAJOR DE L’ARMEE DE L’AIR

133

15

PYRAMIDE DE BIRD

135

77

ANNEXE 1

PLANIFICATION DE LA

REALISATION DU MEMOIRE

78

PLANIFICATION DE LA REALISATION DU MEMOIRE - Diagramme de Gantt (réalisé à partir de Gantt Project)

79

ANNEXE 2

MODELE D’ENQUETE RELATIVE

AU CONTROLE INTERNE AU SEIN

DES SDIS

80

LE CONTROLE INTERNE AU SEIN DES SDIS

Bonjour,

Dans le cadre de la formation de chef de groupement se déroulant à l'Ecole Nationale Supérieure des Officiers de

Sapeurs-Pompiers, nous avons pour objectif la réalisation d'un mémoire relatif au contrôle interne.

A ce titre, nous vous remercions pour les quelques précieuses minutes consacrées au remplissage du synthétique

formulaire qui suit. Suite à son envoi, vous pourrez consulter les données enregistrées comportant celles des

autres SDIS consultés.

Merci d'utiliser le lien qui apparaît au début de ce mail pour accéder à l'enquête dématérialisée directement sur

Google drive.

Avec nos remerciements anticipés.

Cordialement,

Lcl Sylvain KOZAK (S.D.I.S. 62)

Cdt Stéphane BOUBET (S.D.I.S.78)

Cdt Benoit DELAGE (S.D.I.S. 77)

Cdt Arnaud DUDOUS (S.D.I.S.95)

Nota :

Dans le but de partir d'une définition commune de ce qu'est le contrôle interne, nous vous en proposons une qui

semble faire l'unanimité : " Le contrôle interne est un ensemble de procédures et d’actions destinées davantage à

maîtriser qu’à contrôler les activités des SDIS, et à sécuriser l’atteinte de leurs objectifs, afin d’optimiser l’action

de notre service public."

*Obligatoire

A quel SDIS appartenez-vous ? *

Inscrivez simplement le nombre de votre département

Quelle est la catégorie de votre SDIS ? *

Sélectionnez la catégorie de votre choix

1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ? *

Sélectionnez la réponse de votre choix

2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?

Cochez la ou les case(s) de votre choix

o Par chaque agent à son niveau de compétence

o Par chaque cadre dans son domaine de compétence

o Par un bureau, service ou groupement autre du S.D.I.S.

o Par l’Etat-Major

o Par un prestataire extérieur au SDIS

o Autre :

81

3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre

établissement ? *

Cochez les cases de votre choix

o Augmentation des contraintes financières

o Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour des comptes ...

o Besoin de soigner la légitimité et l'image du SDIS

o Recherche de performance

o Autre :

4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la

gouvernance de votre SDIS ? *

Cochez deux cases au maximum selon vos choix prioritaires

o Contrôle interne

o Audit interne

o Audit externe

o Contrôle de gestion

o Autre :

5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ? *

Cochez trois cases parmi la liste proposée

o Economique

o Stratégique

o Financier

o Opérationnel

o Juridique

o Informatique

o Sociaux et psychosociaux

o Image et réputation

o Perte de la connaissance de l'histoire du SDIS

o Autres risques d'intégrité

6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ? *

Cochez les cases de votre choix

o - Brain-storming, réunions

o - Cartographie des risques

o Autre :

7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité au sein

de votre SDIS ? *

82

8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de façon

permanente ? *

9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un SDIS ? *

Cochez une case selon votre choix prioritaire

o - Protéger l’Image

o - Optimiser les coûts

o - Optimiser le fonctionnement

o - Réduire le risque juridique

o - Eviter les fraudes

10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de votre

SDIS ? *

Cochez la case de votre choix

11/ Avez-vous mis en place une démarche processus ? *

Cochez la case de votre choix

12/ Si Oui, à quel stade en êtes-vous ?

Sélectionnez la ligne de votre choix

13/ Quel élément vous semble devoir être exclu du contrôle interne ? *

Cochez les cases de votre choix

o - Interventions sur le terrain

o - Risque contentieux

o - Marchés publics

o - Finances

o - Applications des procédures et consignes

83

o - GRH

o Autre :

Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non évoqués à

travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter de l'espace

disponible ci-dessous. Merci pour votre participation.

Envoyer

100 % : vous avez réussi.

Google For ms

84

85

ANNEXE 3

RESUME DES REPONSES A

L’ENQUETE – PANEL DES

SPECIALISTES

86

RESUME DES REPONSES A L’ENQUETE – PANEL DES SPECIALISTES

A quel SDIS appartenez-vous ?

35 – 36 – 34 – 32 – 74 – 42 – 27 – 30 – 4 – 18 – 16 – 14 – 12 – Loiret – 95 – 07 – 02 – 78 – 77 - 81 –

87 - 85 – 66 – 971 – 74 – Vaucluse – 63 - 53

Quelle est la catégorie de votre SDIS ?

1ère catégorie 10 33 %

2ème catégorie 6 20 %

3ème catégorie 10 33 %

4ème catégorie 3 10 %

5ème catégorie 1 3 %

1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ?

Oui 26 87 %

Non 4 13 %

Je ne sais pas 1 3 %

2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?

Par chaque agent à son niveau de compétence 8 27 %

Par chaque cadre dans son domaine de compétence 16 53 %

Par un bureau, service ou groupement autre du S.D.I.S. 15 50 %

Par l’Etat-Major 11 37 %

Par un prestataire extérieur au SDIS 0 0 %

Autre 4 13 %

87

3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre

établissement ?

Augmentation des contraintes financières 15 50 %

Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour des comptes ... 16 53 %

Besoin de soigner la légitimité et l'image du SDIS 13 43 %

Recherche de performance 18 60 %

Autre 7 23 %

4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la

gouvernance de votre SDIS ?

Contrôle interne 6 20 %

Audit interne 5 17 %

Audit externe 0 0 %

Contrôle de gestion 16 53 %

Autre 3 10 %

5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ?

Economique 7 23 %

Stratégique 14 47 %

Financier 15 50 %

Opérationnel 19 63 %

Juridique 10 33 %

Informatique 5 17 %

Sociaux et psychosociaux 7 23 %

Image et réputation 1 3 %

Perte de la connaissance de l'histoire du SDIS 1 3 %

Autres risques d'intégrité 1 3 %

88

6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ?

- Brain-storming, réunions 19 63 %

- Cartographie des risques 11 37 %

Autre 10 33 %

7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité

au sein de votre SDIS ?

Mise en place d'un projet d'établissement sur 5 ans

Utiliser les outils d'une démarche de performance, projet annuel de performance,

tableaux de bord, indicateurs, rapport annuel de performance...

Approche positive et collaborative dédiée à la performance de l'organisation

Les outils de communication, responsabilisation des cadres

La simplicité de l'organisation, le dynamisme des cadres

Fixer les règles de contrôle de gestion et les diffuser largement à l'ensemble des agents

Fixer des objectifs de performance individualisés. Assurer le retour après contrôle

auprès des agents concernés pour l'amélioration globale du service

Mise en place d’indicateurs

Mise en place de procédures

Transversalité des outils (notamment informatiques)

Augmentation des contentieux, augmentation des contraintes budgétaires, tableaux de

bord et de suivi

L'indentification claire pour les cadres de l'importance de cette mission

Donner du sens à cette action

L'appui du DDSIS et par l'équipe de direction

Information de la démarche du haut au bas de la pyramide

Appropriation par l'ensemble des agents de la démarche

Mise en place d'un entrepôt de données et d'un système d'information décisionnel

Démarche de mise en confiance vis à vis du contrôle de gestion

Des moyens pour éviter de solliciter les services déjà surchargés pour l'obtention de

données

Connaissance des processus et de l'historique de leur mise en place

Dédier une personne ressource, ambassadeur de cette démarche

Meilleure communication sur le sujet et ses effets induits

Développement de la culture du contrôle de gestion

Mise au point participative des démarches de contrôles sur les processus, l'activité des

pôles, groupements, services, les résultats

Entamer la démarche de manière participative et communiquer sur les bénéfices

attendus d'une démarche de contrôle interne

Mise en place d'une structure dédiée

Structure support légitime et adossée à la direction

Projet d'établissement existant => démarche partagée par les agents

Intégration et développement de l'INFO CENTRE, associé à un outil ETL

Une bonne définition des objectifs à atteindre et la stratégie de l'établissement

Que chaque agent se situe dans l'organigramme (souvent limité aux cadres) afin de

susciter l'adhésion

Prime (ou critère lors de l'évaluation annuelle) à la performance

Favoriser la mise en place d'une "culture juste"

89

Démontrer les intérêts de chaque partie (Direction et agents)

Optimisation des ressources du SDIS

Dysfonctionnements récurrents

Personnels désignés + formation adaptée aux outils du contrôle de gestion

Création d'un info SDIS pour faciliter la communication entre les différentes entités

Conjoncture financière (contraintes / optimisation / justification)

Mode managériale (de plus en + de DDSIS y viennent...)

Impulsion DGSCGC - Inspection (nous avons été inspectés en janvier 2014 avec ce

sujet largement abordé)

Portage par le DDSIS et PCASDIS

Pilotage et un accompagnement interne identifié et de "poids"

Du pragmatisme

Retour rapide sans effort

Définition au préalable du contrôle : domaine, méthode, modalité

Procédures affichées, planifiées, résultats exploités et transparences

Appropriation par chaque agent des différentes procédures inhérentes à ses missions.

8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de

façon permanente ?

Absence de politique affichée et de moyens

Le temps consacré

A l'inverse ne pas associer les cadres du service à une telle démarche me paraît un

point bloquant

Une non implication du Directeur ou Président

Le manque de temps

Indicateurs ne faisant pas l'unanimité

Impact sur la carrière

Jugement d'un personnel sur le retour du contrôle interne (contrôle interne = manière

de servir)

La lourdeur d'une mise à jour régulière des bases de données

Confusion entre contrôle de gestion et contrôle interne

Postures

Intrusion sur périmètre de compétence (notions de pouvoir)

Dimension conceptuelle et souvent théorisée

Les exemples concrets sont très divergents en termes de qualité

Communication faiblarde et discontinue

Un manque de portage

Un pilotage aléatoire

Une démarche technique et/ou technocratique

Multiplier les documents

Perte de temps

N'en faire qu'un outil d'audit centré sur la recherche des contournements de procédures

Pas de volonté de la direction de l'Etablissement

Réticence des agents

Mauvaise place de la structure chargée du contrôle au sein de l'organigramme

Blocage lié aux changements des habitudes

Doctrine

Ne pas écouter ceux qui font au quotidien le travail

90

Imposer aux services la démarche

Faire des jugements de valeur sur le travail accompli

Aller trop vite et vouloir immédiatement des résultats

Réduction des personnels et augmentation de la charge de travail

Contrôle collectif d'un service et non contrôle individuel pour éviter que le personnel

se sente épié en permanence

L'approche uniquement financière au détriment d'une approche globale des

problématiques

Le contrôle perçu comme une "inquisition" ou un jugement de valeur

Affichage polémique des moyens des SDIS (encore abondants) en rapport avec

d'autres services publics (bien plus contraints)

Désintérêt des personnels aux objectifs de l'établissement

Manque de ressources (temps, personnels, outils)

Comme d'habitude la peur du changement

Stress généré par la notion de contrôle

Incompatibilité technique de certains logiciels métiers

Un manque d'adhésion de l'encadrement

Associer la démarche de performance à l'évaluation individuelle des cadres

La ressource en personnel pour traiter cet aspect

La culture du SDIS

La communication sur cette démarche

Le système d'information non intégré

La non implication des personnels et le manque de méthodologie éprouvée (caf)

Absence de volonté de transparence des services du SDIS par manque d'intérêt dans la

démarche

Une notion de flicage lorsque la démarche ne s'accompagne pas de la plus grande

clarté des objectifs partageables et partagés

Le manque d'adhésion des agents

Réticence de certains agents

9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un

SDIS ?

- Protéger l’Image 1 3 %

- Optimiser les coûts 2 7 %

- Optimiser le fonctionnement 27 90 %

- Réduire le risque juridique 0 0 %

- Eviter les fraudes 0 0 %

10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de

votre SDIS ?

91

Oui 22 73 %

Non 8 27 %

11/ Avez-vous mis en place une démarche processus ?

Oui 15 50 %

Non 15 50 %

12/ Si Oui, à quel stade en êtes-vous ?

Stade de la formation des agents 3 10 %

Stade de l’écriture des processus 9 30 %

Stade de l’utilisation des processus (dans les réunions…) 3 10 %

Stade de l’amélioration continue 4 13 %

13/ Quel élément vous semble devoir être exclu du contrôle interne ?

- Interventions sur le terrain 7 23 %

- Risque contentieux 4 13 %

92

- Marchés publics 2 7 %

- Finances 0 0 %

- Applications des procédures et consignes 3 10 %

- GRH 2 7 %

Autre 16 53 %

Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non

évoqués à travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter

de l'espace disponible ci-dessous. Merci pour votre participation.

L'analyse des systèmes opérationnels doit aussi entrer dans le champ de compétence

du contrôle interne.

Nous sommes toujours dans une démarche pionnière

Question 10 = oui, mais de façon embryonnaire.

Concernant la question 13, nous pensons qu'il ne faut rien exclure du contrôle interne.

2 freins à la démarche : il faut être vigilant à ce que les tableaux de bord et indicateurs

ne deviennent pas des objectifs exclusifs (et voir apparaître des comportements initiés

par la culture du chiffre) que les indicateurs soient simples clairs et évocateurs, voire

pas trop nombreux pour chacune des strates

10) en cours de développement

11) en cours de développement

13) aucun ne doit être exclu du contrôle interne autre: l'enjeu managérial est

primordial ainsi que la capacité à suivre nos actions...mais attention le réflexe est

souvent de réfléchir outils de suivi alors que les processus ne sont pas "infusés"...à

mon sens c'est l'échec assuré Lcl Eric BOUIJOUX, Chef Gpt Analyse, Pilotage et

Prospective (06 07 91 68 07)

Ne pas changer ce qui marche, identifier les axes d'amélioration et être "blindé" sur la

méthodologie.

La direction doit faciliter la démarche et ne pas avoir peur du résultat (c'est pour le

bien commun), c'est la raison pour laquelle la méthodologie doit être parfaite.

Ne pas être pressé. Apprendre en marchant, s'appuyer sur les agents, faire le juste

nécessaire, s'améliorer en permanence.

Place du CAF des SDIS en complément ou substitution du contrôle interne

Avoir une approche positive et collaborative du contrôle interne pour le différencier de

l'audit: saisir l'occasion de l'écriture ou la réingénierie des procédures, la rédaction de

guides de procédure/référentiels pour positionner et responsabiliser tous les acteurs

(plus souvent en demande de cela qu'on ne le croit)

Dédier le contrôle interne à la performance de l'organisation, l'aspect "maîtrise des

risques" se régule concomitamment mais est mieux accepté lorsque sont introduites

des procédures de vérification de l'application des référentiels

Il existe un groupe "référent" au niveau des SDIS qui rassemble l'ensemble des

contrôleurs de gestion. Les coordonnées sont les suivantes: controleurs-de-gestion-

[email protected]. Dont l’administrateur doit

être le lieutenant-colonel Frédéric MANIN du Sdis de l'Isère

Le contrôle interne doit participer au processus du dialogue inter services et contribuer

à renforcer la cohésion du groupe. La qualité du contrôle interne résulte de la richesse

des évaluations périodiques où les attendus doivent être fixés avec clarté et pertinence

93

ANNEXE 4

RESUME DES REPONSES A

L’ENQUETE – PANEL DES

GENERALISTES

94

RESUME DES REPONSES A L’ENQUETE – PANEL DES GENERALISTES

A quel SDIS appartenez-vous ?

38 – 28 – 80 – 73 – 59 – 62 – 61

Quelle est la catégorie de votre SDIS ?

1ère catégorie 3 43 %

2ème catégorie 2 29 %

3ème catégorie 1 14 %

4ème catégorie 1 14 %

5ème catégorie 0 0 %

1/ Votre organisation a-t-elle mis en place une démarche de contrôle interne ?

Oui 7 100 %

Non 0 0 %

Je ne sais pas 0 0 %

2/ Si oui, par qui est réalisé le contrôle interne au sein de votre S.D.I.S.?

Par chaque agent à son niveau de compétence 3 43 %

Par chaque cadre dans son domaine de compétence 2 29 %

Par un bureau, service ou groupement autre du S.D.I.S. 4 57 %

Par l’Etat-Major 2 29 %

Par un prestataire extérieur au SDIS 0 0 %

Autre 0 0 %

95

3/ Quelle a été la (ou les) raison(s) de la création du contrôle interne au sein de votre

établissement ?

Augmentation des contraintes financières 4 57 %

Recommandation d’organes extérieurs tels que : Inspection, C.R.C., cour

des comptes ... 5 71 %

Besoin de soigner la légitimité et l'image du SDIS 2 29 %

Recherche de performance 4 57 %

Autre 1 14 %

4/ Quel(s) outils(s) de pilotage doivent être prioritairement développé(s) pour faciliter la

gouvernance de votre SDIS ?

Contrôle interne 2 29 %

Audit interne 0 0 %

Audit externe 0 0 %

Contrôle de gestion 4 57 %

Autre 1 14 %

5/ Dans votre organisation, quels seraient les 3 principaux risques identifiés ?

Economique 2 29 %

Stratégique 4 57 %

Financier 5 71 %

Opérationnel 5 71 %

Juridique 2 29 %

Informatique 1 14 %

Sociaux et psychosociaux 1 14 %

Image et réputation 1 14 %

Perte de la connaissance de l'histoire du SDIS 0 0 %

Autres risques d'intégrité 0 0 %

96

6/ Pour déterminer ces risques, quelles méthodes avez-vous utilisées ?

- Brainstorming, réunions 6 86 %

- Cartographie des risques 1 14 %

Autre 2 29 %

7/ Quels seraient les facteurs facilitant la mise en œuvre d’un contrôle interne de qualité

au sein de votre SDIS ?

Portage par l'Etat-major

Communication, explication, pédagogie

Développer une culture d'évaluation corrélée avec une démarche qualité

Mettre en place un système d'information et d'analyse décisionnelle qui peut être

maitrisé et développé en interne

Formation des cadres en s'appuyant sur l'expérience du RETEX opérationnel, partagé

par tous sur le plan OPS mais peu transféré dans le domaine du casernement et de la

gestion administrative

Développer la transversalité

Justification plus précises et plus rapides auprès des financeurs

Passage de la notation à l'évaluation professionnelle (objectifs et mesure de l'atteinte

des objectifs)

Si les cadres ont un intérêt, ils font !

Recherche de performance et d'efficacité

Le chef (DDSIS) doit décider de mettre en place (légitimité) une pédagogie du

contrôle interne

La bonne connaissance de l'environnement et des problèmes par le CI

La bonne connaissance des personnes

Feuille de route définie par les décideurs et validée par les élus, communiquée au

personnel

Sensibilisation des cadres (ou groupe de travail) à la démarche

Expliquer pourquoi on le fait, comment on le fait

Rédaction de procédures

Communiquer sur les résultats et analyses

Rédaction d'un guide de procédure

8/ A l’inverse, quels seraient les points de blocage à sa création ou à sa mise en œuvre de

façon permanente ?

Dénomination du service / Groupement

Réaction de l'Etat-major suite à de mauvais indicateurs (réprimandes, sanction ...)

Résistance culturelle et culte de la performance : les points forts sont valorisés au

détriment d'une évaluation objective

97

Défense des pré-carrés et enjeux de pouvoirs

Organisations en "silos"

Diminution des ressources budgétaires et humaines (la création de nouvelle fonction

est à priori en contradiction avec l'orientation générale même si le bénéfice à long

terme semble évident)

Mauvaise perception du mot contrôle (flicage)

Problème d'exemplarité des contrôleurs

Manque de culture commune et par logique le contraire des points évoqués en 7/

Beaucoup de cadres pensent que c'est du temps perdu, ou qu'ils font bien déjà

Informations non partagées

Peur du contrôle

Turn over des personnels

Pas de résultats visibles rapidement

Appréhender l'organisation de façon transversale

9/ Quel est pour vous la plus-value d’une démarche de contrôle interne au sein d’un

SDIS ?

- Protéger l’Image 0 0 %

- Optimiser les coûts 1 14 %

- Optimiser le fonctionnement 6 86 %

- Réduire le risque juridique 0 0 %

- Eviter les fraudes 0 0 %

10/ Existe-t-il des tableaux de bords, des indicateurs mesurant la performance au sein de

votre SDIS ?

Oui 7 100 %

Non 0 0 %

98

11/ Avez-vous mis en place une démarche processus ?

Oui 4 57 %

Non 3 43 %

12/ Si Oui, à quel stade en êtes-vous ?

Stade de la formation des agents 0 0 %

Stade de l’écriture des processus 2 29 %

Stade de l’utilisation des processus (dans les réunions…) 0 0 %

Stade de l’amélioration continue 1 14 %

13/ Quel élément vous semble devoir être exclu du contrôle interne ?

- Interventions sur le terrain 0 0 %

- Risque contentieux 1 14 %

- Marchés publics 0 0 %

- Finances 0 0 %

- Applications des procédures et consignes 1 14 %

- GRH 0 0 %

Autre 5 71 %

99

Conclusion - Avez-vous des éléments relatifs au contrôle interne au sein des S.D.I.S non

évoqués à travers ce questionnaire et dont vous voudriez parler ? Vous pouvez profiter

de l'espace disponible ci-dessous. Merci pour votre participation.

Le dossier vient juste d'être ouvert et le projet de service n'a pas encore fait l'objet

d'une validation de la direction. Des actions sont en cours (Intégration du SI, mise en

production du SID, maîtrise des coûts). Le raisonnement pour les années à venir serait

le suivant : - démarche processus / évaluation - démarche qualité - contrôle de gestion

entendu comme outils de pilotage

Il faut le mettre en place avec l'objectif de l'autoévaluation. - " Devenir acteur de la

performance du service"

Nous avons un projet d'établissement sur 3 ans et cela depuis une dizaine d'années.

Notre Sdacr couvre 2 projets d'établissements. Le Casdis valide en début d'année les

objectifs retenus et les actions associées et prend connaissance des résultats l'année

N+1.

Au SDIS 59 le contrôle interne comprend aussi l'audit interne et l'inspection

100

101

ANNEXE 5

EXEMPLE DE CONDUITE DE LA

MAITRISE DES RISQUES D’UNE

ACTIVITE D’UN SDIS

102

EXEMPLE DE CONDUITE DE LA MAITRISE DES RISQUES

D’UNE ACTIVITE D’UN SDIS

L’exemple suivant est construit à partir d’un cas réel de l’activité « Recrutement des sapeurs-

pompiers volontaires » dans un SDIS.

L’autoévaluation ou la collecte des besoins dans les CIS et auprès des services permet

d’identifier ce qui est attendu de cette activité et son niveau de performance. En l’occurrence,

cette attente peut porter sur le maintien de l’effectif de personnels, une procédure de

recrutement à alléger, la gestion qui doit rester au niveau des CIS, la nécessité d’identifier les

bons profils de candidats, etc.

Il s’agit ensuite d’identifier les risques et de les évaluer. Une grande partie des risques aura

déjà été identifiée au cours des groupes de travail. Il s’agit de la première source

d’information. Afin de démontrer que leur identification peut être conduite de manière rapide

et simple, une identification des risques par la méthode 5P est présentée ci-après (figure 1).

Les vulnérabilités principales sont identifiées ainsi que leurs causes probables. Conduit à

l’échelle du SDIS, ce travail permet de mettre en place la cartographie des risques.

L’arbitrage de la gouvernance doit s’appuyer sur des outils synthétiques, par exemple au

moyen de la matrice FFOR (SWOT en anglais). On retrouve les vulnérabilités principales

dans la colonne Faiblesse/risques.

Forces Faiblesses

Souplesse du dispositif local de recrutement

par les chefs CIS + lien social, cohésion dans

le CIS + responsabilisation chef CIS

Maîtrise technique satisfaisante de tous les

acteurs dans la gestion administrative du

recrutement : dossiers, visites médicales,

tests, arrêtés RH…

Important taux d’échec

Taux d’abandon important

Délais de recrutements trop longs –

Procédure trop longue

Perte financière

Difficultés à identifier les bons/mauvais

profils à l’engagement.

Pas d’indicateurs de pilotage

Opportunités Risques

Volonté politique de recruter des SPV suite à

la diminution du temps de travail des SPP

Lancement du projet « ambition volontariat ».

D’un point de vue sociologique : diminution

de l’engagement volontaire et de la durée

moyenne d’engagement.

Diminution des financements du SDIS.

Une fois cet arbitrage conduit, il s’agit de travailler sur le processus. Pour illustration, celui-ci

est présenté en figure 2 ci-après. L’analyse du processus fait apparaître essentiellement des

dysfonctionnements de délais, de formation et de maîtrise de cette activité. Par conséquent, le

plan d’action ne se réduira pas à l’amélioration technique du processus mais bien à ce qui en

assure son bon fonctionnement : formation des acteurs, qualité de la remontée d’information,

organisation du système d’information (worflow, interconnexion des applications), etc.

Il est important de souligner que la démarche processus permet d’identifier le bon niveau

d’indicateur. En l’occurrence, l’enjeu du recrutement se joue sur l’ensemble de la chaîne

« recrutement administratif + formation initiale ». En effet l’objectif final à atteindre est bien

de disposer d’un SPV formé prêt à partir sur intervention.

103

Figure 1 : Identification, par la méthode 5 P, des vulnérabilités principales liées à l’activité « Recrutement des SPV du SDIS y »

Vulnérabilités principales

Pourquoi ? Pourquoi ? Pourquoi ? Pourquoi ? Pourquoi ?

Départ de nombreux SPV au cours de la 1ère année

Echec à la FI Condition physique

Aptitude insuffisante Pas de test de sélection

Absence de procédure

Capacité intellectuelle insuffisante

Niveau d’exigence élevé

Abandon Démotivation Manque d’accompagnement

Accueil

Tuteur non formé

Pas de formation

Difficultés personnelles

Non identifiées lors de l’entretien

Chef CIS non formé

Absence d’uniformité départementale

Pas de règle Départementale

Absence de politique départementale

Pas d’information ni d’indicateur de pilotage

Perte financière Coût de recrutement par SPV

Dotation complète

Taux d’échec important

Indemnités

Coût de l’assurance

Coût de formation

Délais recrutements trop longs

Trop d’étapes et de documents

De + en + d’acteurs

Risque d’accident + juridique

Existence de pratiques non cadrées

Pas de règle départementale

Problème identifié récemment

104

Figure 2 : Processus de « Recrutement des sapeurs-pompiers volontaires du SDIS y »

2 entretiens :

rôles ?

Boucles : Perte

de temps

Risque attente

prochain

CCDSPV

Délais trop longs

+ difficiles à tenir

Pas de

formation

chef CIS

Pas d’indicateur

de pilotage

105

ANNEXE 6

EXPLOITATION DES ENTRETIENS

ET DE L’ENQUETE POUR LES

PRECONISATIONS

106

EXPLOITATION DES ENTRETIENS ET DE L’ENQUETE

POUR LES PRECONISATIONS

Les préconisations du présent mémoire sont formulées sur la base de l’exploitation des

entretiens et de l’enquête.

Exploitation des entretiens

Lors des entretiens que nous avons menés auprès de services chargés du contrôle interne dans

les SDIS et de la BSPP, il est apparu clairement que cette seule approche rencontrait très vite

ses limites.

En effet, les officiers de ces services déclarent que si le contrôle se cantonne à la recherche de

fraudes, la direction attend qu’elles ne se reproduisent plus. Si le contrôle a juste permis

d’identifier la simple erreur humaine, la direction demande à en réduire l’occurrence. Par

ailleurs, les groupements ou centres de secours ayant fait l’objet du contrôle demandent

souvent eux-mêmes à ce que l’on trouve des solutions pérennes pour réduire les risques.

L’ensemble des acteurs se tourne donc vers le service chargé du contrôle interne pour les

aider. Dans tous les cas, ils sont confrontés à la nécessité de mettre à plat le fonctionnement

des services et de trouver les procédures qui garantissent le fonctionnement général. D’un

point de vue technique, pour pouvoir fiabiliser le fonctionnement, ils doivent travailler sur les

procédures. L’entretien avec M DURETTE, de l’APHP, confirme cette nécessité.

Nous en concluons que, au travers de la question du contrôle, c’est la question de

l’organisation « SDIS » qui est posée. La maîtrise des risques des processus et des risques des

processus est dès lors essentielle.

Pour mieux cerner cette nécessité, nous nous sommes tournés vers la pratique dans le secteur

privé. Et, effectivement, les opérationnels (entretien de M L. VAN CAENEGHEM,

Responsable de Contrôle interne chez SUEZ Déchets) et les experts (entretiens de M. Jean LE

RAY, consultant chez Ad'XpR Conseil - Réseau AD'APTUS, directeur de collection des

parutions « Maîtrise des risques » de l’AFNOR. Formateur/expert chez AFNOR, et Monsieur

Charles BONNIEL, Consultant, intervenant au CNAM) nous ont décrit comment la maîtrise

des risques se conduit avec la mise en place d’une démarche processus. Ils nous ont

également fait état de la nécessité d’impliquer les opérationnels pour qu’ils soient acteurs de

cette maîtrise des risques.

Exploitation de l’enquête

Près de 90% des personnes interrogées indiquent que la plus-value du contrôle interne est

d’améliorer le fonctionnement du SDIS.

Concernant les facteurs facilitant la mise en place du contrôle interne, il est demandé la mise

en place d’une démarche positive, constructive, communiquée et participative. Et les facteurs

identifiés comme bloquants sont la mise en place d’un contrôle technique qui ne tiendrait pas

compte de la réalité du travail des agents. Le panel « spécialiste » effectue le même type de

réponse, avec une approche plus technique : mise en place des procédures, place des systèmes

d’information, management par objectif.

107

ANNEXE 7

COMMENTAIRES ET EXTRAITS

DES NORMES ET REFERENTIELS

LIES A LA MAITRISE DES RISQUES

108

COMMENTAIRES ET EXTRAITS DES NORMES ISO LIEES A LA MAITRISE DES

RISQUES

(Source AFNOR - International Organization for Standardization)

Présentation générale

La norme ISO 9000 :2005 – Management de la qualité fixe les principes généraux et ne fait pas l’objet

d’une certification.

Le SDIS peut alors être certifié sur la base de deux normes :

La norme ISO 9001 :2008 qui porte essentiellement sur l'efficacité du système de management

de la qualité à satisfaire les exigences des clients ;

La norme ISO 9004 :2009 qui intègre les besoins de toutes les parties prenantes et poursuit le

développement durable de l’organisation. Le schéma ci-dessous est extrait de cette norme.

La norme ISO 31000 version 2009 est simplement la déclinaison du processus du management du

risque. N’étant qu’une déclinaison du management de la qualité, elle ne fait donc pas l’objet d’une

certification.

109

Extraits site web ISO :

ISO 9000 – MANAGEMENT DE LA QUALITE

« La famille ISO 9000 couvre les divers aspects du management de la qualité et comprend certaines

des normes les plus connues de l’ISO. Elles offrent des lignes directrices et des outils aux entreprises

et aux organismes qui veulent que leurs produits et services soient constamment en phase avec ce que

leurs clients demandent et que la qualité ne cesse de s’améliorer.

La famille ISO 9000 compte de nombreuses normes, notamment:

ISO 9001:2008 – établit les exigences relatives à système de management de la qualité

ISO 9000:2005 – couvre les notions fondamentales et la terminologie

ISO 9004:2009 – montre comment augmenter l'efficience et l'efficacité d'un système de

management de la qualité

ISO 19011:2011 – établit des lignes directrices pour les audits internes et externes des

systèmes de management de la qualité.

ISO 9001, Systèmes de management de la qualité, est en cours de révision (…)

La publication de la nouvelle version finalisée devrait intervenir d'ici la fin 2015

ISO 9001:2008

ISO 9001:2008 définit les critères pour un système de management. Il s’agit de la seule norme de cette

famille à pouvoir être utilisée pour la certification (mais ce n’est pas une obligation). Toute

organisation, grande ou petite, quel que soit son domaine d’activité, peut l’utiliser. De fait, plus d’un

million d’entreprises et organismes dans plus de 170 pays appliquent ISO 9001:2008.

Principes de management de la qualité

Cette norme repose sur un certain nombre de principes de management de la qualité, notamment une

forte orientation client, la motivation et l’engagement de la direction, l’approche processus et

l’amélioration continue. ISO 9001:2008 aide à s’assurer que les clients obtiennent des produits et

services uniformes et de bonne qualité, avec, en retour, de belles retombées commerciales. Ces

principes sont expliqués plus en détail dans le document pdf « Principes de management de la

qualité ».

Audits

Une composante essentielle d’ISO 9001:2008 est de vérifier le bon fonctionnement du système de

management de la qualité. Une organisation procède à cette vérification par des audits internes. Elle

peut également inviter un organisme de certification indépendant à vérifier sa conformité à la norme,

mais ce n’est pas une obligation. Elle peut aussi inviter ses clients à auditer pour leur propre compte le

système qualité.

110

Les normes et référentiels ont évolué dans le sens de la maîtrise

des risques.

Le contrôle interne et la maîtrise des risques sont des sources de données pour améliorer le

fonctionnement du SDIS. Ils se rangent donc dans l’activité de mesure et d’analyse au sens des normes

ISO de la série 9000 (ISO 9000, 9001, 9004). Toutes ces normes ont donc une partie consacrée à

l’autoévaluation, à la surveillance, à la mesure, à l’audit, à l’appréciation des risques… Les extraits de

ces normes sont regroupés en annexe.

Ainsi, la norme ISO 9001-2008 aborde les notions de surveillance, de mesure ou de contrôle.

Au § 4.1 page 2 Exigences générales : « L'organisme doit établir, documenter, mettre en œuvre et

entretenir un système de management de la qualité et en améliorer en permanence l'efficacité

conformément aux exigences de la présente Norme internationale.

L'organisme doit (…)

c) déterminer les critères et les méthodes nécessaires pour assurer l'efficacité du

fonctionnement et de la maîtrise de ces processus;

d) assurer la disponibilité des ressources et des informations nécessaires au fonctionnement et à

la surveillance de ces processus;

e) surveiller, mesurer (lorsque cela a un sens) et analyser ces processus;

§8 p 12

« L'organisme doit surveiller les informations relatives à la perception du client sur le niveau de

satisfaction de ses exigences … »

L'organisme doit mener des audits internes à intervalles planifiés

§ 8.3 p 13 « Une procédure documentée doit être établie pour définir les contrôles ainsi que les

responsabilités et autorités associées pour le traitement du produit non conforme. »

§ 8.5.3 p 15 : Actions préventives

« L'organisme doit déterminer les actions permettant d'éliminer les causes de non-conformités

potentielles afin d'éviter qu'elles ne surviennent. Les actions préventives doivent être adaptées aux effets

des problèmes potentiels »

La norme ISO 9004 : 2009 « Gestion des performances durables d’un organisme – Approche de

management par la qualité » reprend les principes de surveillance et de mesure comme condition de

l’amélioration continue.

§ 8.1 Généralité : « Pour obtenir des performances durables dans un environnement toujours fluctuant et

incertain, l’organisme doit surveiller, mesurer, analyser et revoir régulièrement ses performances. »

Dans le § 8.5 « Revue des informations obtenues par la surveillance, la mesure et l’analyse », la norme

intègre comme source d’information pour la prise de décision :

« les résultats des activités d’audit interne, d’autoévaluation et de benchmarking ».

« l’appréciation du risque… » Ainsi, en utilisant ce terme, la norme ISO 9004 : 2009 renvoie à

la norme la norme ISO 31000 :2009 Management du risque – Principes et lignes directrices.

111

La norme ISO 31000

La norme ISO 31000 version 2009 qui fixe les principes et lignes directrices du management du

risque. Cette norme est simplement la déclinaison du processus du management du risque. On peut

voir, dans le schéma ci-dessous comment le processus est lié à la fois à la notion de surveillance et de

revue et à la notion de communication et de concertation.

Il est conseillé, dans la norme, de mettre en place un cadre organisationnel qui va permettre

l’intégration, à tous les niveaux, du management des risques. L’enjeu est que les informations sur les

risques soient correctement rapportées et servent de base à la prise de décision et à la

responsabilisation.

Le processus de maîtrise des risques est lui-même considéré comme un processus à mesurer et à

améliorer.

Le management des risques est donc un processus à ranger dans la catégorie des processus de

management (à côté desquels on trouve les processus de réalisation et les processus support) d’une

organisation.

Extrait du §3 de la norme ISO 31000 :2009 Principes du management du risque :

Définition « Risque : effet de l’incertitude sur l’atteinte des objectifs. »

« Principes du management du risque :

crée de la valeur et la préserve

Intégré aux processus organisationnels

Intégré aux processus de prise de décision

Traite explicitement de l’incertitude

Systématique, structuré et utilisé en temps utile

S’appuie sur la meilleure information disponible

Adapté

Intègre les facteurs humains et culturels

Transparent et participatif

Dynamique, itératif et réactif au changement

Facilite l’amélioration continue de l’organisme. »

112

Extraits site web ISO :

ISO 31000 - MANAGEMENT DU RISQUE

Les risques auxquels sont confrontées les organisations peuvent avoir des conséquences en termes de

performance économique et de réputation professionnelle mais également au niveau de l'environnement,

de la sécurité et de la société. C'est pourquoi la gestion des risques les aide concrètement à obtenir de bons

résultats dans un contexte d'incertitudes multiples.

ISO 31000:2009

ISO 31000:2009, Management du risque – Principes et lignes directrices, fournit des principes, un cadre et

des lignes directrices pour gérer toute forme de risque. Cette norme peut être utilisée par tout type

d'organisme sans distinction de taille, d'activité ou de secteur. Les organisations qui ont recours à ISO

31000 augmentent leurs chances d'atteindre leurs objectifs, sont mieux à même de cerner les opportunités et

les menaces et d'allouer et d'utiliser efficacement les ressources pour le management des risques.

ISO 31000 ne se prête pas à des fins de certification. Elle donne des orientations pour les programmes

d'audit internes ou externes. Les organisations qui l'utilisent peuvent évaluer leurs pratiques en matière de

management du risque au regard d'un référentiel reconnu au niveau international, qui offre des principes

rigoureux pour un management et une gouvernance efficaces (…). Cette norme traite des concepts de

l'évaluation des risques, des processus et de la sélection des techniques d'évaluation des risques.

113

Guides et fascicules de documentation découlant de la norme ISO

31000

La norme ISO 31000 est complétée par les fascicules de documentation et le guides suivants :

FD X 50-252 Lignes directrices pour l’estimation des risques.

Guide ISO/CEI 73 :2009 Management du risque – Vocabulaire – Principes directeurs

pour l’utilisation dans les normes.

Guide ISO/CEI 31010, gestion des risques – Techniques d’évaluation des risques :

norme axée sur l'évaluation des risques, qui donne aux décideurs un meilleur éclairage sur des

risques pouvant gêner la réalisation des objectifs et leur permet d'évaluer l'adéquation et l'efficacité

des contrôles déjà mis en place

FD X 50-117, Management de projet – gestion du risque – Management des risques

d’un projet

Norme ISO 26 000 Responsabilité sociétale

Enfin la norme ISO 26000 porte sur la responsabilité sociétale des organisations

La norme ISO 26000 permet « d’identifier les impacts de ses décisions et de ses activités sur la

société et sur l’environnement, de définir un plan d’actions transparent et éthique et d’en rendre

compte à ses parties-prenantes (clients, fournisseurs, citoyens…) ». Les SDIS, au travers de la

réponse opérationnelle, ont un impact sociétal fort. Et notre activité a un impact sur l’environnement.

En outre, en interne, la norme ISO 26 000 prend en compte les risques psychosociaux

114

COSO 2013

Définition du contrôle interne selon le COSO 2013 : « Le contrôle interne est un processus

mis en œuvre par le conseil, le management et les collaborateurs, et qui est destiné à fournir

une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting

et à la conformité. »

Les 17 principes structurants du COSO 2013 :

Commentaire sur ces 17 principes : trois principes font clairement référence à la mise en place

d’une maîtrise des risques dans un système qualité :

Fixation d’objectifs : Principe 4

Lien Objectifs – Maîtrise des risques : Principe 6

Processus de maîtrise des risques : Principe 7

(Source : Audit et contrôle internes IFACI juin-juillet 2013)

115

ANNEXE 8

CARTOGRAPHIE DES ACTEURS D’UN

SDIS VIS-A-VIS DU CONTROLE

INTERNE

116

CARTOGRAPHIE DES ACTEURS

D’UN SDIS VIS-A-VIS DU

CONTROLE INTERNE

CIS

du Groupement

Centre

CIS

du Groupement

Est

CIS

du Groupement

Ouest

Relation de transfert d’informations

et/ou de consignes entre l’entité

chargée du contrôle interne et les

autres entités d’un SDIS

Entité chargée du contrôle interne

18.09.2014

117

ANNEXE 9

TABLEAU DES CERTIFICATIONS

DE L’IFACI

118

TABLEAU DES CERTIFICATIONS DE L’IFACI

1.1 >> Le CIA : le passeport international en Audit

Interne

Le CIA est la seule certification en audit interne de portée

mondiale.

Elle est délivrée par l'IIA (The Institute of Internal Auditors)

depuis 1972.

L'IFACI assure la promotion de l'examen en langue française

pour le monde entier.

1.2 >> La Certification Professionnelle d’Auditeur Interne

– CPAI – Inscrite au Répertoire National des

Certifications Professionnelles (RNCP)

La CPAI atteste que vous détenez les compétences

indispensables à la conduite d’une mission d’audit interne en

conformité avec les meilleures pratiques professionnelles

internationales.

1.3 >> Le CCSA, le CFSA, le CGAP

Le CCSA (Certification en autoévaluation des contrôles)

Le CFSA (Certification en audit des services financiers)

Le CGAP (Certification en audit des organisations publiques)

Téléchargez le bulletin d'inscription au CCSA, CFSA, CGAP

Gratuité des droits d’inscription au programme de

certification CGAP du 1 er au 31 octobre 2014

1.4 >> Le CRMA : la nouvelle certification en

management des risques pour les auditeurs

Le CRMA (Certification in Risk Management Assurance) permet

de certifier l'aptitude des auditeurs internes à fournir aux

comités d'audit et aux directions générales des conseils et des

évaluations sur l'efficacité des dispositifs de gestion des risques

et de gouvernance de leurs organisations.

119

ANNEXE 10

REFERENTIEL EFQM

120

REFERENTIEL EFQM (Extrait du site web de l’AFNOR)

Commentaire : L’European Foundation for Quality Management est le référentiel du

management par l’excellence. Il fait l’objet d’une certification. Le Cadre d’autoévaluation des

fonctions publiques consiste à utiliser l’autoévaluation de l’EFQM sans se soumettre à une

certification.

Extrait :

Présentation

Le modèle d'excellence EFQM est un des outils « qualité » les plus populaires en Europe,

utilisé par plus de 30 000 organisations dans le but d’améliorer leurs performances. Il est

régulièrement révisé afin de s'assurer qu'il est bien en miroir du monde dans lequel les

organisations opèrent. Il les encourage à devenir des structures agiles, mieux adaptées aux

rigueurs du contexte économique mondial actuel.

L’EFQM est un cadre pour :

Évaluer votre performance, identifier vos points forts et les zones d'amélioration

Intégrer les outils existants, les procédures et les processus, et les aligner pour en supprimer

les doublons

Mettre en place un mode de pensée qui incite à la réflexion et stimule l'amélioration

continue

Identifier quelles sont les actions véritablement « moteurs » de vos résultats, quels secteurs

ont besoin de plus d'attention, et quelles approches doivent être abandonnées

Bénéfices

L’EFQM est la garantie de répondre aux besoins de toutes vos parties prenantes

L’EFQM permet de veiller à ce que les initiatives soient coordonnées afin d’atteindre le

même objectif

L’EFQM démontre à vos partenaires que vous êtes un partenaire crédible, digne de

confiance et qui obtient des résultats durables

L’EFQM vous aide à atteindre vos résultats plus rapidement, plus efficacement

L’EFQM est un outil pour définir des solutions adaptées à votre organisation et à votre

situation spécifique

L’EFQM est facile à utiliser et à comprendre, parce qu’il a été développé par les

organisations pour les organisations

Comment ça marche ?

Le modèle d'Excellence EFQM permet aux de comprendre les relations de

cause à effet entre ce que fait une organisation et les résultats qu'elle obtient. Le

modèle comprend un ensemble de trois composants intégrés : les Critères, les

Concepts fondamentaux de l’Excellence et RADAR.

121

Les Critères

Le modèle d'excellence EFQM propose une évaluation basée sur 9 critères :

1. Leadership

2. Stratégie

3. Personnel

4. Partenariats et ressources

5. Procédés, produits et services

6. Résultats « clients »

7. Résultats « personnel »

8. Résultats de la société

9. Résultats commerciaux

Grâce à ces 9 critères, vous pouvez comprendre et analyser les relations de cause à effet entre

ce que fait votre organisation et les résultats que vous obtenez. Cinq de ces critères sont des

« Facilitateurs » et quatre sont des «Résultats ». Les critères « Facilitateurs » couvrent ce que

l'organisation fait et comment elle le fait ; les critères « Résultats » couvrent ce que

l'organisation réalise.

Les Concepts fondamentaux de l’Excellence

122

Les critères cités sont basés sur les 8 concepts fondamentaux de l'Excellence :

1. Apporter de la valeur à ses clients

2. Créer un avenir durable

3. Développer des capacités organisationnelles

4. Favoriser la créativité et l'innovation

5. Diriger avec vision, inspiration et intégrité

6. Manager avec agilité

7. Réussir grâce au talent de ses collaborateurs

8. Atteindre des résultats exceptionnels

Les 8 concepts fondamentaux de l’Excellence sont les principes sous-jacents du modèle

d'excellence EFQM. Ils sont le fondement essentiel de la réalisation de l'excellence durable

pour toute organisation. Ils peuvent être utilisés comme une base pour décrire les attributs d'une

excellente culture organisationnelle. Ils servent aussi un langage commun pour le top

management.

RADAR

RADAR est un cadre d'évaluation dynamique et un puissant outil de gestion qui fournit une

approche structurée pour questionner la performance d'une organisation. Au niveau le plus

élevé, la logique RADAR indique qu'une organisation doit savoir :

Déterminer les résultats visés dans le cadre de sa stratégie

Planifier et élaborer un ensemble intégré d'approches structurées pour obtenir dès à présent

et dans l'avenir les résultats requis

Déployer les approches de façon systématique afin de s’assurer de leur mise en œuvre

Évaluer et affiner les approches déployées en exerçant une surveillance continue et en

faisant l'analyse des résultats obtenus et des activités d'apprentissage en cours

123

Comment valoriser son engagement ?

L’EFQM organise des prix et des programmes complets de reconnaissance pour les

organisations de toutes tailles et de tous secteurs. Quelle que soit la maturité de votre parcours

vers l'Excellence, le Groupe AFNOR peut vous aider à demander le niveau approprié de

reconnaissance. Ces programmes sont un excellent moyen de montrer à tous vos clients que

vous êtes engagés à accroître vos performances et que vous vous consacrez à la réalisation de

l'excellence durable. Les différents niveaux :

Engagement vers l’Excellence

Basé sur une autoévaluation, vous allez identifier, hiérarchiser et mettre en œuvre des projets

d'amélioration, qui sont validés ensuite par un assesseur externe.

Reconnaissance de l'Excellence

Une évaluation complète fondée sur le modèle d'excellence EFQM offre à votre organisation

un rapport détaillé, un plan de progrès, et une reconnaissance des résultats obtenus.

Prix Français Qualité Performance

Les Prix Français Qualité Performance (PFQP) récompensent les meilleures organisations

nationales, selon 3 catégories progressives : finaliste | gagnant | lauréat toutes catégories. Ils

permettent une véritable reconnaissance des efforts accomplis par les acteurs économiques

français, en matière de Qualité et de Performance.

Prix européen de l'Excellence EFQM

Comparez votre organisation à d'autres chefs de file mondiaux dans le cadre d’une évaluation

complète réalisée par une équipe d’assesseurs expérimentés et qui passent en moyenne 500

heures sur votre candidature.

124

125

ANNEXE 11

RESUME DES METHODES

D’IDENTIFICATION ET D’ANALYSE

DE L’IFACI

126

RESUME DES METHODES D’IDENTIFICATION ET D’ANALYSE

(Extraites de l’étude de l’IFACI : « Guide d’audit – L’autoévaluation du contrôle interne »,

octobre 2005, IFACI).

1) Le questionnaire : L’objectif est de favoriser une prise de décision en prenant en compte

l’expérience du responsable, tout en lui faisant prendre le recul nécessaire à sa fonction.

Le questionnaire, dans l’optique du contrôle interne, tend à un maximum d’objectivité. Il

faut donc écarter toutes les imprécisions, les interprétations et les raccourcis intellectuels.

Pour cela, la technique de la maïeutique (du grec « Maieutiké » : art de faire accoucher

les femmes), développée par Platon, vise à faire surgir la vérité chez un interlocuteur. Elle

peut être utilisée pour s’interroger sur les connaissances du groupe et leur niveau de

maturité face au contrôle interne.

2) Le travail en atelier : le fait de se retrouver en groupe, à échanger sur la qualité des

processus, est un outil puissant de développement et de renforcement de la culture de

contrôle interne. Il ne faut pas oublier que « le brouillard se lève par le bas »: les acteurs

au plus près des processus sont plus à même de cibler les risques de leur activité, grâce à

leur expérience.

3) L’analyse comparative : Benchmarking/ Benchlearning ou « ne pas réinventer la

roue » et « apprendre des autres » : Le benchmarking est le fait de comparer deux

organisations entre elles et de récupérer tout un ensemble de données concernant le

fonctionnement des autres. Le benchlearning est l’apprentissage des meilleures pratiques

identifiées par un benchmarking.

Un benchmarking est avant tout externe puisque l’objectif est de voir comment ça se passe

ailleurs.

Mais le benchmarking interne peut aussi être intéressant pour comparer les pratiques de

services similaires qui n’ont pas la même sensibilité aux risques de leurs activités.

127

ANNEXE 12

EXTRAIT D’UN TABLEAU DES

DANGERS D’UN SDIS

128

EXTRAIT D’UN TABLEAU DES DANGERS D’UN SDIS Tiré du Mémoire de fin d’études du master Gestion des risques de Sécurité

Civile de Cédric Rigollet : « La vulnérabilité des ressources élémentaires des Services Départementaux d’Incendie et de Secours. Méthode globale

pour analyser l’interaction et les effets, des défaillances des ressources élémentaires. Les effets de la crise économique et financière. » 2010

129

ANNEXE 13

TABLEAU RECAPITULATIF

DES METHODES ET OUTILS

EN MAITRISE ET GESTION

DES RISQUES

130

Tableau récapitulatif des méthodes et outils en maîtrise et gestion des risques

Méthodes et outils

But

Domaines d’application

Niveau concerné

PESTEL Permettre l’identification des facteurs environnementaux de risques : Politiques, Économiques, Sociologiques, Technologiques, Écologiques, Légaux.

Organisation Stratégie Activité

SWOT / FFOR : Strengths (Forces), Weaknesses (Faiblesses), Opportunities (Opportunités), Threats (menaces/Risques)

Effectuer deux diagnostics : un diagnostic externe, qui identifie les opportunités et les menaces présentes dans l'environnement et un diagnostic interne qui détermine les forces et les faiblesses de chaque activité.

Organisation Stratégie Activité

Cindyniques (science du danger) Rechercher l’ensemble des déficits systémiques cindynogènes de l’organisation qui peuvent générer un danger Schéma d’analyse selon l’hyperespace des dangers

Organisations Stratégie Activité

Arbre des Défaillances ou Arbre des Défauts ou Arbre des Fautes

Déterminer l’ensemble des causes (jusqu’aux plus élémentaires) d’un événement redouté Méthode permettant de répondre à la question « qu’est-ce qui peut conduire à ?»

Tous systèmes Activité Poste de travail Outil/ machine/ geste technique

Arbre d’événement ou arbre des conséquences

Déterminer l’ensemble des conséquences d’un événement initiateur Méthode permettant de répondre à la question «que peut-il arriver si…? »

Tous systèmes Activité Poste de travail Outil/ machine/ geste technique

Diagramme causes-conséquences Déterminer de manière exhaustive l’ensemble des causes et des conséquences

Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique

Diagramme d’Ishikawa ou méthode des 5M

Analyser et comprendre l’arborescence des causes d’un problème en les classant par famille (Main d’œuvre, Milieu, Méthode, Matière, Matériel/Machine)

Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique

Méthode des 5 pourquoi (5P)

Analyser et comprendre l’arborescence des causes d’un problème en recherchant les causes de plus en plus profondes

Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique

131

Méthodes et outils But Domaines d’application

Niveau concerné

Matrice de criticité = Fréquence x gravité ou Matrice 4x4 ou Matrice Vraisemblance x gravité ou Matrice Probabilité x impact

Mesurer le risque par la multiplication de deux critères : la vraisemblance (ou probabilité) et la gravité (ou impact)

Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique

Matrice de criticité = Matrice Fréquence x gravité x Niveau de maîtrise

Matrice identique à la précédente, mais prenant en compte le niveau de maîtrise

Tous systèmes Stratégie Activité Poste de travail Outil/ machine/ geste technique

Arbre des faits

Analyser un accident ou incident en recherchant l’ensemble des causes qui ont permis d’aboutir à cet accident - Méthode permettant de répondre à la question « qu’est ce qui a permis de conduire à … ? »

Tous systèmes / RETEX Activité Poste de travail Outil/ machine/ geste technique

Evaluation des risques professionnels Il existe différentes méthodes (INRS, Everesst…)

Identifier et classer les risques professionnels dans l’entreprise en vue de mettre en place des actions de prévention pertinentes dans le domaine de la santé sécurité au travail

Humain Stratégie Activité Poste de travail Outil/ machine/ geste technique

Evaluation Prévisionnelle de la Fiabilité Humaine (EPFH) Différentes méthodes : TESEO Tecnica Empirica Stima Errori Operatori THERP : Technique for Human Error Rate Prediction HCR : Human Cognitive Reliability Correlation

Prendre en compte le facteur humain Humain Stratégie Activité Poste de travail Outil/ machine/ geste technique

Analyse Préliminaire des Dangers (APD) ou des Risques (APR)

Identifier des dangers, les risques associés et leurs causes Evaluer la gravité des conséquences

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Activité Poste de travail Outil/ machine/ geste technique

Analyse des Modes de Défaillance et de leurs Effets (AMDE) (et de leur Criticité AMDEC)

Identifier les modes de défaillance des composants d’un système et évaluer leurs effets sur les différentes fonctions

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Activité Postes de travail Outil/ machine/ geste technique

HAZard OPerability study (HAZOP) Analyser en détail les composants susceptibles de présenter des effets sur la disponibilité, la fiabilité, la maintenabilité ou la sécurité de ce système

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Postes de travail Outil/ machine/ geste technique

Méthode des Combinaisons des Pannes Résumées (MCPR)

Mettre en évidence les combinaisons de défaillances qui aboutissent à des événements indésirables (complète AMDE)

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Postes de travail Outil/ machine/ geste technique

132

Méthodes et outils But Domaines d’application

Niveau concerné

Méthode de la Table des Vérités

Recenser toutes les combinaisons d’états des composants, les uns après les autres afin d’en étudier leurs effets sur le système Réalisée après une AMDE - Méthode qui peut servir de base à l’élaboration d’un arbre de défaillance

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Activité Poste de travail Outil/ machine/ geste technique

Méthodes de diagnostic et d’évaluations environnementaux Différentes méthodes : les pré-diagnostics environnement PME-PMI proposés par les CCI, le diagnostic vert, le guide d’autodiagnostic pour la mise en place d’une stratégie environnement…

Détecter les risques environnementaux de son activité. Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Nœud papillon

Quantifier les dangers (vient après arbre des défaillances et évènements)

Systèmes techniques - Infrastructures bâtimentaires et techniques - Véhicules

Activité Poste de travail Outil/ machine/ geste technique

MARION (Méthode d'analyse de risques informatiques optimisée par niveau)

Evaluer le niveau de sécurité informatique Systèmes d’information Activité Poste de travail

MEHARI (Méthode harmonisée d'analyse des risques)

Réduire les risques informatiques Systèmes d’information Activité Poste de travail

EBIOS Méthode qui se veut en conformité avec les règles d'évaluation de sécurité de la norme européenne ITSEC (Information Technology Security Evaluation Criteria)

Permettre l'expression des besoins de sécurité et l'identification des objectifs de sécurité pour un système à concevoir ou existant

Systèmes d’information Stratégie Activité Poste de travail

Etude de dangers

Déterminer les causes et conséquences d’un accident technologique majeur

ICPE : installations classées pour la protection de l’environnement.

Stratégie Activité

Etude d’impact

Prévenir les pollutions et atteintes à la nature en évaluant à l’avance les effets de l’action de l’homme sur son milieu naturel

ICPE : installations classées pour la protection de l’environnement.

Stratégie Activité

Evaluation des risques sanitaires

Examiner les conséquences d’un projet sur la santé des populations (réglementation sur les installations classées)

ICPE : installations classées pour la protection de l’environnement.

Stratégie Activité

Méthode Organisée Systémique d’Analyse de Risques (MOSAR)

Rechercher les dysfonctionnements techniques et opératoires d’une installation ou d’un procédé dont les enchaînements peuvent conduire à des événements non souhaités

Systèmes technologiques complexes

Activité Poste de travail Outil/ machine/ geste technique

133

ANNEXE 14

EXTRAIT DE L’EDITORIAL DU

CHEF D’ETAT MAJOR DE L’ARMEE

DE L’AIR

134

EXTRAIT DE L’EDITORIAL DU CHEF D’ETAT MAJOR DE L’ARMEE DE

L’AIR

Bulletin de sécurité des vols 2006

135

ANNEXE 15

PYRAMIDE DE BIRD

136

PYRAMIDE DE BIRD

Extrait revue IRSST :

« Cette pyramide a été élaborée par Frank E. Bird Jr à la suite d’une étude menée par la compagnie

d’assurance Insurance Company of North America en 1969. L’étude a porté sur 1 753 498 accidents

déclarés par 297 entreprises. Celles-ci, qui représentaient 21 groupes industriels différents,

employaient 1 750 000 personnes qui ont travaillé trois millions d’heures durant la période étudiée. Le

principe de la pyramide de Bird exprime le fait que la probabilité qu’un accident grave survienne

augmente avec le nombre de « presque-accidents » et d’incidents. Par conséquent, si une entreprise

réussit à réduire le nombre d’incidents au bas de la pyramide, le nombre d’accidents sera forcément

réduit d’autant ».J.M

137

TABLE DES MATIERES

INTRODUCTION .............................................................................................................................. 1

1. LA GENESE DU CONTROLE INTERNE AU SEIN DES ORGANISATIONS ................. 5

1.1. LA NOTION DE CONTROLE INTERNE ET DE RISQUE A TRAVERS L’HISTOIRE ........ 5

1.1.1. Une maîtrise des risques pour s’assurer un avenir ......................................................... 5

1.1.2. Un contrôle pour assurer une bonne gestion .................................................................. 6

1.1.2.1. De la Grèce antique à l’Empire romain ...................................................................... 6

1.1.2.2. Des Carolingiens à la Révolution française ............................................................... 6

1.1.2.3. De Napoléon à la décentralisation .............................................................................. 7

1.2. LES ORIGINES DU CONTROLE INTERNE « MODERNE » .............................................. 8

1.2.1. Au niveau international .................................................................................................. 8

1.2.1.1. Définitions du contrôle interne et du risque selon l’Institute of Internal Auditors

(IIA) 8

1.2.1.2. Définition selon le COSO........................................................................................... 9

1.2.2. Exemple des Etats-Unis et de la crise financière contemporaine ................................ 10

1.2.3. Exemple de l’Union Européenne ................................................................................. 10

1.2.3.1. 2006 : la « 8ème

directive »........................................................................................ 10

1.2.3.2. 1988 – 2010 : les « accords de Bâle » relatifs aux banques ..................................... 11

1.2.4. Zoom sur la France ...................................................................................................... 11

1.2.4.1. Du point de vue des orientations des politiques publiques ...................................... 11

1.2.4.2. Du point de vue juridique ......................................................................................... 12

1.2.4.3. Du point de vue du conseil et de la formation : L’IFACI (Institut Français de

l’Audit et du Contrôle Internes) .............................................................................................. 14

1.2.4.4. Du point de vue de la sécurité civile et des SDIS .................................................... 14

1.3. UN ENVIRONNEMENT PROPICE AU DEVELOPPEMENT DU CONTROLE INTERNE :

15

1.3.1. Des vulnérabilités en perpétuelle évolution ................................................................. 15

1.3.2. Une société de moins en moins tolérante face aux risques .......................................... 17

2. LE DIAGNOSTIC DE L’EXISTANT / ETAT DES LIEUX ................................................ 19

2.1. LE CONTROLE INTERNE DANS L’ADMINISTRATION .................................................. 19

2.1.1. La notion de contrôle interne à la BSPP ...................................................................... 19

2.1.2. Le contrôle interne en réponse au risque juridique dans les établissements de soin ... 21

2.2. LA NECESSAIRE EVOLUTION DES COLLECTIVITES TERRITORIALES DEPUIS LES

LOIS DE DECENTRALISATION ................................................................................................... 22

138

2.3. LE CONTROLE INTERNE DANS LES SDIS ...................................................................... 23

2.3.1. Le contrôle interne, une démarche inhérente à la culture opérationnelle .................... 23

2.3.2. Une pratique trop peu développée dans la gestion administrative de nos activités ..... 24

2.3.3. L’évolution des services de protection du SDIS .......................................................... 24

2.3.4. Une enquête terrain révélatrice d’une acculturation en marche ................................... 25

3. LE CONTROLE INTERNE : UN ATOUT STRATEGIQUE POUR LES SDIS .............. 29

3.1. UNE ORGANISATION MARQUEE PAR LE POIDS DE L’HISTOIRE ET DES

TRADITIONS.................................................................................................................................. 29

3.1.1. Une Bureaucratie Professionnelle standardisée ........................................................... 29

3.1.2. Une activité qui génère de plus en plus de vulnérabilités ............................................ 33

3.2. LE CONTROLE INTERNE S’INSCRIT DANS UNE DEMARCHE SYSTEMIQUE ET

EMPIRIQUE .................................................................................................................................. 34

3.2.1. Impliquer la gouvernance dans ce choix stratégique ................................................... 34

3.2.2. Formaliser la stratégie et les objectifs à atteindre ........................................................ 35

3.2.3. Instaurer une culture transversale de contrôle interne par le management .................. 36

3.2.4. Contrôler les activités par des tableaux de bord pertinents .......................................... 38

3.3. LIMITES ET PLUS-VALUES DU CONTROLE INTERNE ................................................. 40

3.3.1. Un dispositif qui ne peut se satisfaire à lui-même ....................................................... 40

3.3.2. Un outil d’optimisation du service ............................................................................... 41

4. PRECONISATIONS POUR LA MISE EN ŒUVRE DU CONTROLE INTERNE ......... 43

4.1. PASSER DU CONTROLE INTERNE AU MANAGEMENT DES RISQUES DANS UNE

ORGANISATION SDIS MAÎTRISEE.............................................................................................. 43

4.1.1. Déterminer la finalité du contrôle interne .................................................................... 44

4.1.1.1. Un contrôle interne limité à la recherche de fraudes ou de fautes ? ......................... 44

4.1.1.2. Poursuivre la maîtrise des risques ............................................................................ 44

4.1.2. Engager l’action collective ........................................................................................... 46

4.1.2.1. Responsabiliser chaque acteur par l’autocontrôle .................................................... 46

4.1.2.2. Identifier, positionner et missionner un coordinateur .............................................. 46

4.1.2.3. Former à la maîtrise des risques ............................................................................... 48

4.1.2.4. Communiquer la démarche ...................................................................................... 48

4.1.3. Conduire l’état des lieux du SDIS et l’analyse de ses vulnérabilités ........................... 49

4.1.3.1. Collecter les besoins et attentes des centres de secours et des services pour la

définition des objectifs ............................................................................................................ 49

4.1.3.2. Etablir la cartographie des risques pour isoler les vulnérabilités clés ...................... 50

4.1.4. Décider d’un plan d’action sur les processus à améliorer et les plans de continuité

d’activité à mettre en place ......................................................................................................... 51

4.1.4.1. Arbitrer ..................................................................................................................... 51

4.1.4.2. Etablir le planning de réalisation .............................................................................. 52

4.1.5. Mettre en place les processus et les plans de continuité d’activité. ............................. 53

4.1.5.1. Constituer des groupes de travail ............................................................................. 53

4.1.5.2. Faire vivre les processus sous la surveillance d’un pilote ........................................ 53

4.1.5.3. Construire des indicateurs permettant de mesurer l’atteinte des objectifs ............... 54

139

4.1.6. Effectuer une revue de direction pour un nouveau plan d’action ................................ 54

4.1.6.1. Mesurer l’écart entre l’atteinte des objectifs et la réponse aux besoins ................... 54

4.1.6.2. Arbitrer dans le cadre d’un nouveau plan d’action .................................................. 54

4.1.7. Pérenniser la démarche ................................................................................................ 55

4.1.7.1. Fiabiliser le SDIS par l’amélioration continue, dans un objectif de performance. .. 55

4.1.7.2. Auditer le SDIS ........................................................................................................ 56

4.2. PRECONISATIONS POUR LA MISE EN PLACE D’UNE CULTURE DE MANAGEMENT

DES RISQUES AU SEIN DES SDIS .............................................................................................. 57

4.2.1. L’activité opérationnelle comme enjeu majeur de la maîtrise des risques .................. 57

4.2.1.1. Maîtriser le facteur humain ...................................................................................... 58

4.2.1.2. Maîtriser l’aptitude opérationnelle, .......................................................................... 58

4.2.1.3. Maîtriser l’expérience par le RETEX ....................................................................... 59

4.2.1.4. Maîtriser la formation ............................................................................................... 59

4.2.1.5. Maîtriser le terrain .................................................................................................... 60

4.2.1.6. Maîtriser le savoir-faire ............................................................................................ 60

4.2.2. Développer une culture nationale de maîtrise des risques ........................................... 61

CONCLUSION................................................................................................................................. 63

TABLE DES ANNEXES ................................................................................................................. 75

ABSTRACT

Le contrôle interne est une méthode d’organisation d’une structure par la maîtrise de ses

vulnérabilités. Porté par la gouvernance, il constitue un outil stratégique complémentaire aux

notions d’audit et d’autoévaluation. Cette méthode d’organisation nécessite une cartographie des

risques, la définition de seuils critiques et le choix de gestion des risques résiduels.

Les services départementaux d’incendie et de secours sont culturellement orientés vers les risques

qui menacent la population qu’ils défendent. Ils méconnaissent souvent leurs propres fragilités.

Dans un environnement incertain, ce mémoire démontre la plus-value de la maîtrise des

vulnérabilités et propose des outils et méthodes de mise en place.

MOTS CLES : contrôle interne – audit – performance - maîtrise des vulnérabilités - auto

évaluation – méthodologie - outil stratégique

Internal control is a method based on the study of system vulnerabilities. Implemented by

headquarter, it is a strategic and complementary skill to cross audit and self-evaluation. It requires

a whole method of risk mapping, acceptability and management of residuals vulnerabilities.

Fire Rescue Services (FRS) are not used with their own fragility and are caring about what could

happen to others. Now in days, moving external factors do impact their behavior and visibility to

the next years. This document shows how internal control is a best practice for FRS and how to

implement this method avoiding fails.

KEYWORDS : internal control – audit – success - risk management - self monitoring,

methodology - strategic meaning

- Développer l’AUDIT INTERNE

- Utiliser l’AUDIT EXTERNE

- Impliquer les acteurs

- Construire les indicateurs de réussite

- Arbitrer- Programmer

- Collecter les besoins , difficultés et bonnes pratiques

- Etablir la cartographie des vulnérabilités

- Identifier les points critiques

- Définir l’objectif stratégique- Missionner un coordinateur

crédible

- Développer la culture et la technicité de la gestion des vulnérabilités

MAITRISER SES VULNERBILITES

Engager le changement

Acquérir des compétences

Conduire l’état des lieux

Décider du plan d’action

Améliorer les processus

Evaluer la performance

- Portage par la gouvernance- Communication- Confiance et responsabilisation

- Chercher un contrôle absolu- Limiter le contrôle au chiffrage- Imaginer un processus plus

coûteux que ses bienfaits

Mémoire en vue de l’obtention de laFAE de Chef de Groupement

et du Certificat d’Etudes Politiques Spécialité Information Stratégique de Sciences-Po Aix en Provence