Au JO du 24 avril 2022 a été publié le décret n° 2022-634 du 22 avril 2022 relatif au contrôle et à l’audit internes de l’Etat.
.
1. Présentation
Ce texte, qui rend anachronique le décret n° 2011-775 du 28 juin 2011 relatif à l’audit interne dans l’administration, définit la politique d’audit et de contrôle internes de l’Etat et, à ce titre, rompt avec la conception précédente d’une organisation “en silo” par ministère.
Préalablement, il faut prendre en compte les trois définitions importantes données par le décret pour comprendre le nouveau système :
- l’analyse des risques vise à identifier, évaluer, hiérarchiser et cartographier les risques susceptibles de porter atteinte à la réalisation des objectifs des politiques publiques relevant du ou des ministres concernés et de leur administration ;
- le contrôle interne est l’ensemble des dispositifs, formalisés et permanents, décidés par chaque ministre pour gérer ses risques et définir ses mesures de contrôle. Il vise, d’une part, à identifier et à évaluer les risques liés à la réalisation des objectifs des politiques publiques relevant du ministre ou des ministres et de leur administration et, d’autre part, à mettre sous contrôle ces risques, à travers la mise en œuvre d’actions relevant d’agents publics de tous niveaux. Sous réserve des dispositions propres au ministère de la défense, le dispositif ministériel intégrant les opérateurs ou autres organismes rattachés est placé sous la responsabilité du secrétaire général du département ministériel ;
- l’audit interne est une activité exercée de manière indépendante et objective qui donne à chaque ministre une assurance sur le degré de maîtrise de ses opérations et lui apporte ses conseils pour l’améliorer. L’audit interne s’assure ainsi que les dispositifs de contrôle interne sont efficaces et proportionnés aux risques.
Ceci étant précisé, l’Exécutif doit désormais disposer d’une politique de contrôle et d’audit internes fondée sur une analyse des risques. Cette politique est interministérielle. Elaborée par le nouveau Comité interministériel du contrôle et de l’audit internes, elle concerne les fonctions transversales et notamment :
- les ressources humaines,
- le budget,
- la comptabilité,
- les systèmes d’information,
- les achats publics,
- l’immobilier.
Au niveau de chaque ministère, ensuite, doivent être mis en place :
- une analyse des risques,
- des dispositifs de contrôle et d’audit internes,
adaptés aux missions et à l’organisation de ses services et visant à assurer la maîtrise des risques liés à la gestion des politiques publiques dont ces services ont la charge. La maîtrise des risques relève de la responsabilité du secrétariat général de chaque ministère et s’étend à ceux des opérateurs ou autres organismes rattachés au ministère qui contribuent, pour tout ou partie, à la mise en œuvre d’une politique publique. Chaque ministère doit se doter d’un Comité ministériel des risques et un Comité ministériel de l’audit interne qui pilote une mission ministérielle d’audit interne. Pour l’exemple des ministères chargés des affaires sociales, voir l’arrêté du 22 avril 2022 portant adoption de la charte d’audit interne et du code de déontologie.
2. Commentaire
Signaler ce nouveau dispositif d’audit et de contrôle interne de l’Etat présente plusieurs intérêts.
En premier lieu, le choix d’une nouvelle organisation, plus transversale, souligne le souhait de renforcer l’efficience des activités et de leur contrôle (au sens anglais de maîtrise) dans une logique qui correspond au déploiement des outils du new public management. On rappellera, pour mémoire, que l’audit et le contrôle interne sont apparus dans le domaine des sciences de gestion à la suite du développement de la théorie de l’agence, afin d’apporter des assurances au principal (l’actionnariat) sur l’exercice de l’activité par l’agent (le dirigeant) et, en particulier, pour surveiller et limiter autant que possible le phénomène de divergence d’intérêts. L’exemple le plus connu sans doute de cette doctrine d’emploi est donnée par le cadre de contrôle interne des établissements bancaires fixées par le “Comité de Bâle” (connu sous le nom de “Bâle 1”, “Bâle 2” et “Bâle 3”). En effet, le contrôle interne s’est historiquement développé d’abord dans le domaine bancaire ; cette approche initiale était avant tout comptable et financière. Concrètement, l’édictions de ce nouveau décret renforce la volonté de maîtrise de l’Administration centrale sur l’ensemble des activités administratives, dans une logique transversale de mutualisation de fonctions supports interministérielles ; c’est là un indicateur notable de l’évolution des politiques publiques et donc des politiques sociales.
En deuxième lieu, les organismes gestionnaires de établissements et services sociaux et médico-sociaux (ESSMS) devrait être alerté par ce décret qui manifestent la prise en compte de la thématique de l’audit et du contrôle interne par l’État comme sujet stratégique. En effet, au carrefour des notions de conformité, de qualité, de sécurité et d’efficience, le contrôle interne doit être considéré comme un instrument de management essentiel dans le secteur et ce, au regard notamment :
- du respect du cadre juridique applicable aux activités ;
- du respect des droits des personnes accueillies ou accompagnées ;
- du bon emploi des produits de la tarification ;
- de la soumission des activités à un régime de police administrative (contrôle, inspection) ;
- de l’importance de disposer d’une véritable politique de prévention et de gestion des risques (GDR).
De nombreux événements sont survenus, au cours des dernières années, pour souligner l’utilité de ces préoccupations, du Règlement général sur la protection des données (RGPD) à la crise sanitaire du CoViD-19 en passant par le rapport de la Défenseure des droits de mai 2021 sur les droits des résidents d’établissement d’hébergement pour personnes âgées dépendantes (EHPAD) ou le “scandale Orpéa”.
À cet égard, il faut rappeler que les sièges sociaux autorisés des organismes gestionnaires privés à but non lucratif sont appelés, en vertu de l’article R. 314-88, 4° du Code de l’action sociale et des familles (CASF), à mettre en place des procédures de contrôle interne et à en surveiller l’exécution.
Enfin, en troisième et dernier lieu, la pertinence du déploiement d’un système de contrôle interne doit être appréciée au regard des nouveaux éléments de définition de l’évaluation des ESSMS, mêmes si pour l’heure ils n’ont encore aucune existence légale. En effet, lorsque l’article L. 312-8 du CASF aura été dûment modifié, il faudra prendre en compte le fait que l’évaluation portera, dans son troisième chapitre, sur un “audit système” dont la finalité sera d’évaluer l’organisation de l’ESSMS et la maîtrise des activités par les professionnels, y compris en termes de GDR. Or, d’un point de vue méthodologique, il n’est pas possible de mettre en œuvre une politique de GDR sans disposer préalablement d’une cartographie des risques, laquelle ne peut être dessinée que grâce aux données fournies par le dispositif de contrôle interne. On peut donc prévoir que l’absence de contrôle interne, dans un ESSMS, sera de nature à influencer négativement les résultats de son évaluation.