Memoire Online - Evaluation du processus de management des risques de la direction générale des impôts au Burkina Faso

Pour l'obtention du Masteren audit et contrôle de gestion basés sur le risque dans le secteur public

THÈME : ÉVALUATIONDU PROCESSUS DE MANAGEMENT DES RISQUESDE LA DIRECTION GÉNÉRALE DES IMPÔTS DU BURKINA FASO

Président : Docteur Félix N.D. COMPAORE, Centre de Recherche Panafricain en Management pour le Développement.

- Docteur Lucain SOME, Centre de Recherche Panafricain en Management pour le Développement ;

- Monsieur Saïdou BONEGO, Centre de Recherche Panafricain en Management pour le Développement.

Pour l'obtention du Master en audit et contrôle de gestion basés sur le risque dans le secteur public

THÈME : ÉVALUATIONDU PROCESSUS DE MANAGEMENT DES RISQUES DE LA DIRECTION GÉNÉRALE DES IMPÔTS DU BURKINA FASO

Président : Docteur Félix N.D. COMPAORE, Centre de Recherche Panafricain en Management pour le Développement.

- Docteur Lucain SOME, Centre de Recherche Panafricain en Management pour le Développement ;

- Monsieur SaïdouBONEGO, Centre de Recherche Panafricain en Management pour le Développement.

Je me permets d'exprimer ma profonde gratitude envers toutes les personnesqui m'ont soutenu durant la réalisation de ce mémoire.

En premier lieu, je remercie l'ensemble des enseignants de ce programme de Master. En particulier, je remercie Dr.Martin YELKOUNI, professeur à l'Université Senghor d'Alexandrie. Il m'a guidé dans mon travail et ses remarques ont été d'une contribution inestimable. Ensuite, je remercie Thierno DIALLO Ph.D, Professeur titulaire de l'Université du Québec à Chicoutimi qui a bien voulu porter son appréciation sur ce document.

J'adresse égalementmes remerciements aux responsablesde ce programme de Master. Spécialement, je remercieM.Zakaria OUEDRAOGO, secrétaire permanent du programme, pour le soutien sans faille dont il a fait preuve à l'endroit des étudiants durant le cursus.

J'exprime également ma reconnaissance envers l'ensemble de l'équipe de la DGI et en particulier enversM. Boubacar SEREME, responsable de l'Inspection Technique des Impôts, qui a bien voulu faciliter la réalisation de cette étude.

Je ne peux manquer d'exprimer ma gratitudeenvers M. Souleymane SERE, associé gérant du cabinet PANAUDIT BURKINA pour sa confianceet son important soutiendans la réalisation de ce Master.

Ma reconnaissance va également à l'endroit de M. Fousseni OUATTARA, responsable du Département Audit interne & Management des risques du cabinet PANAUDIT BURKINA, pour l'encadrement rapproché et pour toute la bonne collaboration depuis toujours.

Je remercie également l'ensemble de mes collaborateurs du cabinet PANAUDIT BURKINA pour la bonne entente.

Enfin, je remercie ma famille et mes amispour leuramour et leur soutien renouvelé depuis toujours.

ABNORM	:	Agence Burkinabé de Normalisation, de la Métrologie et de la Qualité
ACUA	:	Association of College and University Auditors (Association des Auditeurs des Collèges et universités)
AE	:	Audit Externe
AI	:	Audit interne
AMF	:	Autorité des Marchés Financiers
ASCE-LC	:	Autorité Supérieur de Contrôle de l'État et de Lutte contre la Corruption
CAMES	:	Conseil Africain et Malgache pour l'Enseignement Supérieur
CCSE	:	Cadre de Concertation des Sociétés d'État
CERPAMAD	:	Centre de Recherche Panafricain en Management pour le Développement
CGSP	:	Contrôle Général des Services Publics
CI	:	Contrôle Interne
COSO	:	Committee of Sponsoring Organization of the Treadway Commission
DGD	:	Direction Générale des Douanes
DGI	:	Direction Générale des Impôts
DGTCP	:	Direction Générale du Trésor et de la Comptabilité Publique
ENAREF	:	École Nationale des Régies Financières
ERM	:	Management des Risques d'Entreprise
GFP	:	Gestion des Finances Publiques
IFACI	:	Institut Français de l'Audit et du Contrôle Interne
IGE	:	Inspection Générale d'État
IGF	:	Inspection Générale des Finances
IIA	:	Institute of Internal Auditors (Institut des Auditeurs Internes)
INTOSAI	:	Organisation Internationale des Institutions Supérieures de Contrôle des Finances Publiques
ISC	:	Institution Supérieure de Contrôle
ISO	:	Organisation Internationale de Normalisation
LCF	:	Lutte Contre la Fraude
LNBTP	:	Laboratoire National du Bâtiment et des Travaux Publics
LOLF	:	Loi Organique relative aux Lois des Finances
NGP	:	Nouvelle Gestion Publique
OCDE	:	Organisation pour la Coopération et le Développement Économique
OLAF	:	Office de Lutte contre la Fraude
ONEA	:	Office National de l'Eau et de l'Assainissement
ONU	:	Organisation des Nations Unies
PIFC	:	Public Internal Financial Control
PMR	:	Processus de Management des Risques
PTBA	:	Programme de Travail et Budget Annuel
SGC	:	Système de Gestion et de Contrôle
SONABEL	:	Société Nationale d'Électricité du Burkina
TADAT	:	Tax Administration Diagnostic Assessment Tool
UEMOA	:	Union Économique et Monétaire Ouest Africaine
USA	:	Etats-Unis d'Amérique
ZLECAF	:	Zone de Libre-Échange Continentale Africaine

Questionnaire d'évaluation du processus de management des risques de la DGI........................................................................................................i

Chapitre I - Résumé

L'administration fiscale est l'une des administrations les plus exposées aux risques. Il est donc primordial pour elle de mettre en placeun processus de management des risques et de s'assurer de son bon fonctionnement.Au Burkina Faso, la Direction Générale des Impôts (DGI), a mis en place un processus de management des risques sans n'avoir toutefois jamais procédé à son évaluation. Par conséquent, l'état de fonctionnement du processus reste peuconnu.

L'objectif de cette étudeest d'apprécierl'état de fonctionnement du processus de management des risques de la DGI.

Les questionssont les suivantes: la culture du risque, reflète-t-elle une intégration suffisante des risques au processus de prise de décision et de fixation des objectifs? La gouvernance des risques, reflète-t-elle une participation suffisante des acteurs de l'organisation au processus de management des risques ? Le processusde gestion des risques est-il pertinent et mis en oeuvre de façon adéquate?

Pour y répondre,un modèle d'analyse incluant un modèle de maturité et un questionnaire d'évaluation, a été construit.Les données ont été collectées par le biais d'entretiens avec les acteurs de la DGI et d'une analyse documentaire. On constate une culture du risqueencore peu maturepour susciter une intégrationsuffisante du risque dans la prise de décision et la fixation des objectifs. La gouvernance des risques reste fragilisée par la participation insuffisante de la directiongénérale. Quant au processusde gestion des risques, il resteencore non exhaustif. Le PMR de la DGI est donc d'un niveau de maturité insuffisant.

Pour remédier aux insuffisances,la DGIdevrait formerles acteurs au risque ;mettre en place un comité de maîtrise des risques,ainsi qu' un mécanisme de suivi des risques etdes outils de profilage des contribuables ;et élaborer une politique de gestion des risques.

Mots-clés : Risque - Nouvelle gestion publique -Administration fiscale - Management des risques - Audit interne - Contrôle interne.

Chapitre II - Abstract

The tax administration is one of the most risk-prone administrations. It is therefore essential for it to implement a risk management process and to ensure that it functions properly. In Burkina Faso, the Directorate General of Taxation (DGI) has put in place a risk management process but has never evaluated it. As a result, little is known about the functioning of the process.

The objective of this study is to assess the state of operation of DGI's risk management process.

The questions are: Does the risk culture reflect sufficient integration of risk into the decision-making and goal-setting process? Does risk governance reflect sufficient participation of the organization's stakeholders in the risk management process? Is the risk management process relevant and adequately implemented?

To answer these questions, an analysis model including a maturity model and an evaluation questionnaire was built. The data was collected through interviews with DGI stakeholders and a literature review. The risk culture is still not mature enough to ensure that risk is sufficiently integrated into decision making and objective setting. Risk governance remains weakened by the insufficient involvement of senior management. The risk management process is still not comprehensive. DGI's risk management process is therefore not sufficiently mature.

To remedy the shortcomings, DGI should provide risk training to stakeholders; set up a risk management committee, as well as a risk monitoring mechanism and taxpayer profiling tools; and develop a risk management policy.

Keywords: Risk - New public management - Risk management - Internal audit - Internal control - Tax administration.

Keywords:Risk - New public management - Tax administration - Risk management - Internal audit - Internal control.

Ce mémoireentredanslecadredelaformationdu Master en Audit et Contrôle degestionbasés sur lesrisques. Ce programmede Master aétémis en placedepuis 2011 parleconsortiumforméparl'Université Senghor d'Alexandrie, leCentre de Recherche Panafricain en Management pourle Développement (CERPAMAD) etl'École Nationale des Régies Financières (ENAREF).

L'objectif général de ce master internationalestd'améliorerl'efficacité et l'efficience des systèmesdemanagement,d'audit et decontrôleinterne public et privé parl'introductiondel'approcheparlesrisquesdans un contextederessourceshumaines et matérielles.L'objectifspécifiqueestd'accompagnerlamiseenoeuvredesprogrammesderenforcementdescapacitésdesadministrations et des institutionsdecontrôledusecteurpublic, parapublic et privé par :

- ladiffusiond'une méthodologie et des outilsd'analysedesrisquesàl'usagedel'ensembledesmanagersopérationnelsdusecteurpublic ;

- lamaîtrisedelaméthodologied'analysedesrisquesparl'ensembledesvérificateursdesstructuresdecontrôledusecteurpublic (interne et externe) ;

- laconception et lamiseenoeuvred'un systèmedecontrôledegestionperformantdanslesecteurpublic ;

- la pratique professionnelle desmissionsd'audit et decontrôlebasés sur lesrisques (planification, exécution, communicationdesrésultats).

Le Master se déroule au Centre de Recherche Panafricain en Management pourle Développement (CERPAMAD),à Ouagadougou au Burkina Faso. Ilestsanctionnépar un diplôme de l'Université Senghor reconnuparle CAMES (Conseil Africain et Malgache pourl'Enseignement Supérieur)aprèsprésentationd'un mémoiredefindecycleparl'étudiant.

Danslecadredemonmémoire, il m'asemblépertinentd'étudierlefonctionnementduprocessusdemanagementdesrisquesdela Direction Générale des Impôts du Burkina Faso. Mon choix s'estporté sur ce thèmepourlesraisonssuivantes:tout d'abord,ilestaujourd'hui d'un grand intérêtde s'intéresseràl'approcherisque qui estl'undesconceptspharesdusujetd'actualité delanouvellegestionpublique afin decontribuerà sa miseenoeuvreadéquatedanslesecteurpublicafricain ; ensuite, lesujetdumanagementdesrisquesoccupe une place importantedans mes activités professionnelles ; enfin, laDirection Générale des Impôtsestnonseulementuneinstitutionhautementstratégiquepourl'État,mais aussil'unedesplusexposées aux risquesenraisonde sa missiondecollectedel'impôt.

Pour finir, j'espère que cestravaux de mémoire contribueront à améliorer le processus de gouvernance de la Direction Générale des Impôts par le biaisdes éclairages apportées sur les forces et faiblesses de son système de management des risques. Aussi, j'espère que cela pourra servir mes ambitions professionnelles à travers l'acquisition de nouvelles capacités sur le plan pratique et sur le plan de la recherche.

Chapitre III - Introduction

Des institutions et des systèmesefficacesdegestiondesfinancespubliques (GFP) sontindispensablespourmettre en oeuvrelespolitiquesnationalesdedéveloppement et deréductiondelapauvreté (PEFA, 2016).Une sainegestion des financespubliques (GFP)est le rouage essentiel entre les ressources disponibles, les prestations de services et la réalisation des objectifs de l'action publique. UnesaineGFP garantit que les recettes sont efficacement recouvrées et utilisées de manière appropriée et soutenable.Aujourd'hui, cela est plus que jamais d'actualité, alors que les pays du monde entier sont aux prises avec les conséquences sanitaires, sociales et économiques de la COVID-19.

Lamaîtrisedelacollecte et de l'utilisationdesfondspublicsest une préoccupationdanstouslespays. Undéficitdecontrôle (maîtrise)desfinancespubliques, exposeles États oulesadministrationspubliquesàdes risquesplusélevés que ce quiseraitattendud'une gestion prudente et optimaledesfinancespubliques ;ce qui pourraitconduireà des conséquenceséconomiquesdommageables.C'estpourquoi, lesréférentielsd'évaluationdelaGFP etdel'administration fiscale commele PEFA^1(*)et le TADAT^2(*)intègrentdans leurs critèresd'évaluation,laqualité des dispositifsdecontrôle,enparticuliercelledudispositifdegestiondesrisques[ (PEFA, 2016), (TADAT, 2015)].Au-delà même de la GFP, le management des risques s'intègredansle sujet d'actualité plus vaste de la nouvelle gestion publique tant prônée partout dans le mondeet dont le mot d'ordreprincipal estd'exiger une gestion plus moderne, plus efficiente de l'administration publique (COHEN, 2012).

Pourtant,lepremierrapportmondial sur lagestiondesfinancespubliquespubliéparle PEFA en février 2021,révèle que lesdispositifsdecontrôle que sontlagestiondesrisquesbudgétaires,l'auditinterne, l'auditexterne et lavérificationparlesinstitutionssupérieuresdecontrôle et le pouvoir législatif,sontlesmaillonslesplusfaiblesdela GFP (PEFA, 2021).Au Burkina Faso, la Direction Générale des Impôts (DGI) est unacteurmajeur de la chaîne de gestion des finances publiques.Ellea pour activité principale le recouvrement des recettes fiscales et parafiscales autres que celles de porte et mobilise à ce titre près de lamoitié du budget de l'État (DGI, 2017). Pourtant, elle n'est guère épargnée par ce constat.

Eneffet, lesévaluationsPEFA et TADATréaliséesen2017, ont toutes deux révélées au niveaudela DGI,des insuffisancesimportantesdanslagestiondes risques. À titre d'exemple, on citel'absencededispositifspourévaluer, traiter et analyserles risques d'incivisme fiscal et lesrisquesinstitutionnels.Celaapousséla DGI àmettre en place un processusdemanagementdesrisques (PMR).

Ici, lerisquedésigne « l'effetdel'incertitude sur l'atteintedesobjectifs, l'effetétant un écartpositif ou négatifparrapportà une attente », et lemanagementdesrisquesdésigne « des activitéscoordonnéesdanslebutde diriger et piloter un organisme vis-à-vis du risque »(ISO, 2018). Quant au processus^3(*) de management des risques, il désigne « les travaux d'une organisation en matière de management des risques » (IIA, 2019).

Lamiseenplacedu PMRdela DGIadébutéen 2019aveclaformation des acteurspuisl'élaboration des cartographies et desplansdetraitementdesrisquesfiscaux et institutionnels.Cependant, plus de deux ansaprèsl'élaboration de lapremièrecartographie des risques et plus de quatre ans après lesévaluations PEFA et TADAT d'ailleurs assez sommairessur laquestion du risque, le PMR dela DGI n'afaitl'objetd'aucune évaluation (revue) pourapprécier son état de fonctionnementet prendre d'éventuellesmesurescorrectives. Pourtant, lanécessitéde procéder à des évaluationspériodiquesdu PMR estunanimementreconnueparlesréférentielsdemanagementdesrisques[ (ISO, 2018),(COSO, 2017)].

Enl'absenced'évaluation,ondisposedepeu d'éclairages sur l'étatdefonctionnementduPMRdelaDGI.Il en résultelesquestionssuivantes:

- la culture du risque,reflète-t-elle une intégration suffisante des risques au processus de prise de décisionet de fixation des objectifs?

- la gouvernance des risques reflète-t-elleune participationsuffisante detoute l'organisation au processus de management des risques?

- le processus de gestion des risques notamment d'identification, d'évaluation, de traitement, de suivi et de reporting des risques, est-il pertinent et mis en oeuvre de façon adéquate ?

Cesinterrogationsjustifientleprésentmémoirequi traite de l'évaluationduprocessusdemanagementdesrisquesdela Direction Générale des Impôtsau Burkina Faso.

L'objectifglobalestd'apprécierl'étatdefonctionnementduprocessusdemanagementdesrisquesdela Direction Généraledes Impôts.Defaçonspécifique, il s'agiradeproposer un modèled'analysepourl'évaluationduprocessusdemanagementdesrisques, puis d'apprécierl' étatdefonctionnementduprocessussur labasede ce modèle.

- lemanagementdesrisquesétant une initiativerécenteàla DGI, ilestpeuprobable que lacultureet lagouvernancedesrisquessoientd'un niveaudematuritésuffisantpourfavoriser un fonctionnementefficacedel'ensembledu PMR ;

- l'élaborationdelacartographie^4(*)desrisques fiscaux et institutionnelsavecl'appui techniqued'un consultant, présage de laconformitéduprocessusdegestiondesrisquesaveclesmeilleures pratiques.

Ce mémoire s'articule autour de quatre chapitres. Le premier aborde les enjeux de la nouvelle gestion publique. Le secondtraitedu management des risques dans le secteur public. Letroisième quant à lui, porte sur la présentation de la DGI et des outils d'analyse du PMR. Enfin, le dernierprésente les résultats de l'évaluation du PMR puis les recommandations formulées en vue d'améliorer son efficacité.

Chapitre IV - Les enjeux de la nouvelle gestion publique

Le management des risques est un concept au coeur du paradigme de la nouvelle gestion publique qui constitue un important sujet d'actualité. Ce chapitre aborde dans un premier temps, les caractéristiques traditionnelles du secteur public. Ensuite, il offre une synthèse del'historique et des implications de la nouvelle gestion publique.Enfin, il dresseun bilan synthétique de lanouvelle gestion publique dans l'espace UEMOA^5(*), et en particulier au Burkina Faso.

IV.1. Les caractéristiques traditionnellesdu secteur public

IV.1.1. Définition dusecteur public

L'IIA^6(*) définit le secteur public comme le secteur comprenant lesgouvernements, les agences, entreprises et autres entités financées par l'État qui exécutent des programmes publics ou qui fournissent des biens et services (IIA, 2011).

Dans cette définition, les organisations du secteur public peuvent exister au niveau international (entités multi-états ou partenariats), national (un État indépendant), régional (une province/unÉtat dans un Étatnational) ou local (un organisme au niveau municipal tel qu'une ville ou un comté).

A tous ces niveaux, le secteur public se compose généralement d'au moins trois types d'organisation :

- le gouvernement centralqui se compose d'un organe directeur doté d'une autorité territoriale définie. Les gouvernements centraux comprennent tous les départements, ministères ou branches du gouvernement qui font partie intégrante de la structure et qui sont responsables et relèvent directement de l'autorité centrale.

- les agencesqui se composent d'organisations publiques qui font clairement partie du gouvernement et qui offrent des programmes, des biens ou des services publics, mais qui existent en tant qu'organisations à part entière - éventuellement en tant qu'entités juridiques - et opèrent avec un degré partiel d'indépendance opérationnelle. Au Burkina Faso, on peut citer en exemple l'Agence Burkinabé de Normalisation, de la Métrologie et de la Qualité (ABNORM).

- les entreprises publiquesqui sont des agences qui offrent des programmes publics, des biens ou services, mais fonctionnent indépendamment du gouvernement et qui ont souvent leurs propres sources de revenus en plus du financement public direct. Ils peuvent également concourir sur les marchés privés et peuvent faire des profits. Cependant, dans la plupart des cas, le gouvernement est le principal actionnaire, et ces entreprises suivent en partie les lois et règlements qui régissent le gouvernement central.Au Burkina Faso, on peut citer en exemple l'Office National de l'Eau et de l'Assainissement (ONEA) ou la Société Nationale d'Électricité du Burkina (SONABEL).

IV.1.2. Les spécificités de l'administration publique traditionnelle par rapport au secteur privé

Dans de nombreux pays à travers le monde, les caractéristiques structurelles et fonctionnelles de l'administration publique sont encore très différentes de celles d'une entreprise du secteur privé. Selon COHEN (2012),de façon générale les caractéristiques suivantes distinguent la gestion dans l'administration publique traditionnelle de celle d'une entreprise privée :

- la gestion a pour objectif principal la satisfaction de l'intérêt général et la recherche de profit ;

- l'administration opère en général dans les domaines où la concurrence n'existe pas, ni de façon externe (domaines réservés) ni même entre organismes publics ;

- les structures, l'organisation et les procédures utilisées sont complexes (comparées à celle d'une entreprise) et l'encadrement légal est très détaillé ;

- les finances publiques ne sont pas soumises aux mêmes règles que celles d'une entreprise privée. Ainsi, des déficits durables sont possibles et la faillite est improbable ;

- les agents publics ne peuvent être licenciés, ni en cas de crise économique, ni en cas de mauvaise performance;

- la tradition de secret et de confidentialité prime souvent sur les exigences de transparence qui s'appliquent aux entreprises privées.

Après avoir subsisté dans la plupart des pays pendant des siècles, bon nombre de ces caractéristiques traditionnelles du secteur public sont fortement remises en cause en ce 21^èmesiècle. Une gestion plus moderne de l'administration publique est désormais exigée partout dans le monde :c'est ce qu'on appelle « la nouvelle gestion publique », qui préconise la gestion de l'administration publique au plus près d'une entreprise privée, c'est-à-dire une gestion axée sur la performance et la transparence.

IV.2. L'historique et les implications de la nouvelle gestion publique

La nouvelle gestion publique (NGP) consiste à gérer l'administration publique au plus près d'une entreprise privée. Pour cela, elle impose à l'État un objectif de performance et de transparence au profit des citoyens, usagers et contribuables, comparable à ce qu'une entreprise doit à ses parties prenantes que sont les actionnaires, le personnel, et les clients.

La NGP implique l'utilisation d'outils nouveaux empruntés au secteur privé : il s'agit du contrôle interne,de l'approche par les risques, de l'audit interne, de l'audit externe^7(*), de la gestion par objectifs et de la lutte contre la fraude et la corruption.

D'origine anglo-saxonne, les concepts de la NGP tendent à être adoptés dans le monde entier : de l'Irak à la Palestine, en passant par les Comores, le Burundi, la France, la Chine, ou encore la Russie (COHEN, 2012). Dans l'espace UEMOA^8(*), l'adoption de la directive N°06/2009/CM/UEMOA portant lois de finances, marque le point de départ de l'adoption de la NGP (UEMOA, 2009).

Cette section offre une synthèse du processus historique ayant conduit à la nouvelle gestion publique (NGP) comme décrit par COHEN (2012) dans son ouvrage consacréau sujet. Ensuite, elle apporte des clarifications sur les implications de la NGP, notamment les transformations qu'elle induit, les difficultés et les conditions de sa mise en oeuvre.

IV.2.1. L'historique de la NGP

a). Le Public Internal Financial Control (PIFC)

Le mouvement de réflexion qui a conduit à la nouvelle gestion publique concerne au départ surtout les grandes entreprises privées et non pas l'administration publique. Il a été initié vers le début des années 1985-1990 aux Etats-Unis, à la suite de grands scandales financiers qui ont affecté d'abord les Caisses d'épargnes, puis les entreprises internationales comme Enron ou Wordlcom.

Le référentiel COSO^9(*)1,a été publié en 1992 comme remède à ces scandales en proposant un cadre pour la conception, la mise en oeuvre et le pilotage du contrôle interne qui se définitcomme : « L'ensemble des moyens permettant d'organiser la gestion pour que la stratégie une fois définie et les objectifs fixés, soit exécutée sans déviance, avec le maximum de chance de réussite et avec le minimum de risques »(COHEN, 2012).

Un nouveau COSO dit COSO 2, a été publié en 2004 sur la gestion des risques d'entreprise. Il prétend englober le précédent, ce qui illustre bien l'importance de l'analyse des risques dans le contrôle interne et l'audit interne.

L'essentiel du COSO, consiste à recommander aux entreprises (et aux autres organisations) d'établir, sous leur responsabilité, des systèmes de contrôle interne et de gestion des risquesqui seront attestés par un auditeur interne indépendant.

Le contrôle interne et l'audit interne initialement conçus pour le secteur privé seront plus tardtransposés dans le secteur public, sous l'appellationPIFC( Public Internal Financial Control).Le concept de PIFC, en français « contrôle financier interne public »ou« contrôle interne public » a été créé par la Commission européenne dans les années 1999-2001. Il s'est agi pour elle, en vue de 1'élargissement de la Communauté à de nouveaux États membres, de systématiser un modèle de saine gestion financière.

Par la suite, l'Union Européenne a imposé les exigences aux PIFC aux pays en développement bénéficiaires de ses aides. D'ailleurs, l'Europe s'est vue emboîter le pas par tous les grands « donneurs » ou bailleurs de fonds internationaux (FMI, Banque Mondiale, US Aid, ONU, organismes bailleurs africains, fonds arabes...). Ils affichent maintenant pour accorder leur aide, des exigences similaires et financent les formations et la mise en place des outils liés au nouveau mode de gestion publique (contrôle interne, audit, budget-programme etc.). C'est ainsi que plusieurs pays en Afrique ont bénéficié de financement de bailleurs tels que l'Union Européenne, la Banque Mondiale, la BAD dans le cadre de la mise en oeuvre des outils de la NGP. C'est le cas de pays comme le Burkina Faso, le Mali, le Bénin, le Togo, la Côte d'Ivoire ou la République Démocratique du Congo qui ont tous reçu des financements de la Banque Mondiale et l'Union Européenne dans le cadre de la mise en oeuvre de l'approche risque et de l'audit interne dans les ministères.

En effet, dans le cadre du PIFC il ne s'agit plus pour la gestion d'être (seulement) une gestion « régulière » mais elle doit être d'abord une « saine gestion financière ». Celle-ci s'apprécie en termes de résultats effectifs, d'économie et d'efficacité.La loi et les décretsexistent toujours, mais ne doivent plus entrer dans le détail des modalités. Ils doivent se borner à formuler des objectifs, des obligations de résultat ainsi qu'à fournir des règles de fonctionnement, des outils méthodologiques et des moyens. La loi devient un programme formulé en termes généraux et d'obtention de résultats, et non pas en termes d'obligations légales.

Il en résulte que dans ce nouveau contexte, le contrôle change totalement de sens.Son rôle n'est plus de contrôler (uniquement) la régularité, mais de :

- s'assurer de la bonne application de la méthode, du bon usage des outils, de la mise en oeuvre adéquate des moyens par rapport aux fins (respect du programme), ainsi que des normes et bonnes pratiques internationalement acceptées. Ce contrôle est dit alors, de conformité ;

- constater les résultats effectivement obtenus et l'emploi judicieux des moyens (ou ressources) mis en oeuvre (économie, efficacité, efficience), les comparer aux objectifs et résultats attendus. C'est un contrôle dit d'efficacité ou de performance ;

- suggérer via des recommandations (et non plus imposer par des sanctions) des améliorations au fonctionnement, aux systèmes de gestion et de contrôle interne, afin d' obtenir de meilleurs résultats encore ou/et de mieux prémunir la gestion contre des risquesd'échec. Il est alors un contrôle dit de système.

Ainsi, au lieu d'être négatif ( refus, annulation ou sanction), le contrôle a unevaleur ajoutée : il devient une pièce essentielle de l'amélioration du dispositif de gestion.En outre, ce nouveau type de contrôle est interne et non plus imposé de l'extérieur.

En synthèse, selon la Commission européenne, le PIFC vise à réunir deux concepts :

- d'une part, les systèmes de gestion et de contrôle (en anglais, Management and controlSystem) ;

On peut dire que les systèmes de gestion et de contrôle constituent le premier niveau, en l'occurrence celui qui dépend du manager(gestionnaire) lui-même et qui lui permet d'essayer de maîtriser sa gestion. Ensuite,l'audit interne réalisépar un service indépendant au sein du même périmètre de gestion, constitue un second niveau dont le rôle est d'évaluer et d'améliorer le système de contrôle interne mis en place au premier niveau par le responsable de la gestion.

b). La conception française large du PIFC

Dans une conception plus large développée surtout en France, un troisième élément est venu s'ajouter au PIFC, afin de répondre au troisième objectif de toute saine gestion financière : la sécurité.

En France, il a été jugé que pour lutter contre la fraude, le contrôle interne et l'audit internesont inappropriés au prétexte que leur rôle consiste plus en l'amélioration de la gestion, plutôtqu'en la réalisation de batteries de vérifications.

Il s'est donc avéré indispensable d'introduire en plus des deux éléments de base, un élément de contrôleexterne centré sur la lutte contre la fraude et la corruption, que la Commission européenne reconnaît parfaitement, mais demeure à ses yeux distinct du PIFC , maisqu'elle inclut dans sa propre organisation (l'OLAF : Office de Luttecontre la Fraude).

D'ailleurs, COHEN (2012) pense qu'oublier ou séparer ce troisième élément est un inconvénient majeur dès lorsquel'on propose à des administrations d'adopter le PIFC (version restreinte) et qu'on le présente comme unremède qui pourrait remplacer toute autre forme de contrôle, puisqu'aussi bien le contrôle à priori que l'inspection disparaissent. Il pense donc que l'inclusion de la lutte contre la fraude et la corruption dans le PIFC, en l'occurrence d'une fonction inspection ou contrôle externe modernisée, estindispensable. Ce qui l'aconduit à parler plutôt de CIP (Contrôle Interne Public).

COHEN(2012), précise que pour la lutte contre la fraude, il ne s'agit pas de maintenir l'inspection traditionnelleuniquement centrée sur le respect formel de la régularité, mais de créer, fut-ce à partir des corps de contrôle anciens, un véritable outil moderne de détection de la fraude et de la corruption.

- le contrôle interne n'est pas un service mais un système cohérent de maîtrise des risques et de la gestion qui est partagé par l'ensemble des gestionnaires ;

- la lutte contre la fraude est soit un service (inspection), soit une structure de coordination.

c). La Nouvelle gestion publique

En plus des trois objectifs du PIFC au sens large (conformité, efficacité et sécurité), de plus en plus l'on intègreaux objectifs de la gestion publique,un quatrième objectif : la transparence. Elle provient également des standards privés. En effet, la transparence de la gestion financière et des comptes, est entrée dans la sphère publique comme une exigence démocratique. Au même titre que les actionnaires d'une firme privée,les citoyens exigent la transparence.La transparence est pour l'essentiel prise en charge par l'audit externe pratiquée parles Institutions Supérieures de Contrôle (Cours des comptes ou équivalents) selon les normes INTOSAI. L'administration est appelée à plus de transparence et doit présenter auxcitoyens un maximum de « compte rendus»(reporting).

Dans les modèles les plus avancés (France par exemple depuis 2006), l'audit financier conduit à la certification des comptesde l'État, exactement comme le fait le commissaire aux comptes pour une entreprise privée.

Toutefois le rôle des ISC peut déborder (selon le pays) le seul audit externe, et concerner aussi le jugement des comptes, la loi de règlement budgétaire et aussil'évaluation des politiques publiques qui est une ambition beaucoup plus récente.

L'ensemble de ces attributions de contrôle (maîtrise) de la dépense et de l'action publique, constitue un ensemble nouveau et cohérent de concepts et d'outils, tant de gestion que de contrôle que COHEN(2012) a choisi d'appeler « la nouvelle gestion publique ».

AE= audit externe et rôles assumés par les ISC (jugement, certification, évaluation...)

En résumé, la NGP est la transposition au secteur public des normes et standards internationalement reconnus notamment :

Enfin, la NGP inclut également les nouvelles techniques publiques en matière budgétaire et notamment le budget par objectifs souvent appelé« budget programme ».

IV.2.2. Les implications de la nouvelle gestion publique (NGP)

a). Les transformations induitesdans l'administration publique par la NGP

L'adoption de la NGPfait passer l'administration d'une logique de gestion axée sur la régularité à une logique de gestion axée sur les résultats : le fonctionnaire qui se contentait d'appliquer strictement la loi devient désormais un manager capable de prendre des initiatives pour atteindre les quatre nouveaux objectifs de la gestion publique qui se substituent au seul objectif de régularité de l'ancienne gestion :

- la conformité, qui implique mais dépasse la régularité en prenant en compte la conformité aux standards et aux bonnes pratiques internationalement reconnus;

- l'efficacité (sous ses trois formes : l'économie, l'effectivité et l'efficience) ;

Il en résulte que dans la nouvelle logique, le contrôle change de forme en passant d'un contrôle de régularité selon un processus linéaire (Loi?Exécution?Contrôle?Sanction), à un contrôle de conformité et de performance selon un processus en boucles :

- le contrôle a désormais pour but l'amélioration de la gestion et en constitue une partie intégrante (« interne ») qui se traduit par la boucle « Gestion ?Contrôle ? Gestion ».

- la loidésormais appelé « programme »est modifiable et modifiée en fonction des résultats et si possible très rapidement, voire en cours de programme, pour de meilleurs résultats. Cela se traduit par la boucle« Programme ?Résultats ?Programme ».

Les tableaux suivants illustre parfaitement la différence entre l'ancien et le nouveau système de gestion :

Tableau 1: différence entre le processus de gestion de l'ancien et celui du nouveau système de gestion publique

Tableau 2 : différence entre les objectifs de l'ancien et ceux du nouveau système de gestion publique

b). Les difficultéset les conditionsdemise en oeuvrede la NGP

COHEN (2012) identifie plusieurs facteurs rendant difficile la mise en oeuvre de la nouvelle gestion publique parmi lesquelles :le poids des habitudes anciennes, le changement de paradigme nécessaire, la faiblesse des écrits consacrés au sujet et le caractère étranger à la culture de la plupart des pays. C'est pourquoi, il ne manque pas de se prononcer sur les conditions de mise en oeuvre de la nouvelle gestion publique.

COHEN (2012) considère la NGP comme un exercice difficile, car ce n'est pas simplement des techniques du privé qu'il s'agit de transposer, mais plutôt d'opérer dans l'administration tout un bouleversement de mentalités, des habitudes et des comportements, deprôner une véritable révolution culturelle, qui transforme d'une part le fonctionnaire en manager public responsable, et d'autre partle contrôleur en consultant compétent. Il est bien difficile de procéder à cette révolution culturelle qui implique de rompre avec des siècles de culture hiérarchique et de pointillismedans l'application de la loi, au profit d'une culture de gestion axée sur les résultats.

Comme difficulté,COHEN(2012)évoque également la faiblesse des écrits sur le sujet de la nouvelle gestion publique. Il estime que cette faiblesse des écrits, combinéau caractère étranger à la culture de la plupart des pays,ne facilite ni la compréhension, ni l'acceptation et encore moins l'application de la NGP. Les mauvaises compréhensions des nouveaux concepts et la confusion avec des termes, méthodes ou habitudes anciennes sont considérés comme étant le corollaire de ces difficultés. C'est ainsi que les concepts de contrôle et d'audit internesplutôt axés sur l'amélioration de l'efficacité continuentsouvent d'être confondus avec l'inspection classique principalement axée sur lavérification de la régularité.

COHEN(2012) estime que de nombreuses années sont nécessaires pour que les concepts de la NGP soient largement compris, adoptés et mis en oeuvre de façon adéquate. Il préconise de prévoir une période de transition et des plans gradués (appelés parfois« stratégie nationale de contrôle interne »), dont les modalités chronologiques et l'enchaînement doivent être soigneusement déterminés en fonction du contexte propre à chaque pays.

Il ajoute que l'adoption des normes et standards du COSO et de l'IIA ne suffit pasà réformer l'administration. De nouvelles mesures sont à prendre et des obstacles sont à lever.C'est à ce titre qu'ilcite la réforme budgétaire nécessaire à la formulation des objectifs, le changement de la comptabilité publique, du rôle de la Cour des comptes et celui des inspections, etc.Il fait remarquer que la démarche en France a mis la révision de la LOLF^10(*) en 2006 au début du processus.

Parmi les nouvelles mesures à prendre, COHEN(2012) considèrela définition destratégies etd'objectifs en découlant, comme une condition préalable à tout contrôle interne efficace, et donc à la mise en oeuvre adéquate de la nouvelle gestion publique.Pourtant, cette condition est loin d'être satisfaisantedans le secteur public où la définition d'objectifs et de résultats à atteindre n'est qu'à ses débutsavec le passage aux budgets-programme dans plusieurs pays parmi lesquels ceux de l'UEMOA.

Dans le contexte africain spécifiquement, l'introduction des outils de la NGP relève initialement des exigences des bailleurs de fonds. Des critiques pourraient donc être émises au sujet de son adéquation au contexte africain en raison vu son caractère non endogène. Cependant l'adoption de ce mode de gestion par la plupart des pays du monde entier parmi lesquels de grands pays tels que la Chine ou la Russie de tradition communiste et n'ayant pas besoins des aides américaines ou européennes,pourrait être considérée comme un signe témoignant de la pertinence de ce mode de gestion pour améliorer la gouvernance publique. Tout de même, il est certainque la NGP ne peut faire l'objet d'une application uniforme à l'échelle mondiale. Chaque pays doit mettre en oeuvre les principes et les outils de la NGP en prenant en compte sa culture et son contexte selon un plan gradué de mise en oeuvre adéquat.

IV.3. La nouvelle gestion publique dans l'espace UEMOA

Dans l'espace UEMOA, les réformes des finances publiques engagées en 2009 ont posé les bases de la NGP. Nous expliquerons en quoi ces réformes marquent la volonté des États de mettre en oeuvre les concepts de laNGP. Ensuite, nous feronsun bilan de de ces réformes, et donc de la mise en oeuvre des concepts de la NGP dans cet espace économique.

IV.3.1. Les réformes des finances publiquesdans l'espace UEMOA

L'espace UEMOA n'est pas en marge du processus de transformation de la gestion publique en cours dans le monde entier. En effet, l'adoption par les pays membres en 2009, de la directive N°06/2009/CM/UEMOA portant lois de finances, traduitla volonté des États de cet espace économiquede se mettre à l'heure de la NGP (UEMOA, 2009).Cette directive instaure l'approche de gestion par objectif (budget-programmes), le contrôle interne, l'audit interne et l'audit externe dans l'administration publique.

L'article 12 de la directive consacre le passage à l'approche de gestion par objectif à travers la budgétisation par programme. Le programme est défini par le même article comme : «Un regroupement de crédits destinés à mettre en oeuvre une action ou un ensemble cohérent d'actions représentatif d'une politique publique clairement définie dans une perspective de moyen terme.Aux programme sont associés des objectifs précis, arrêtés en fonction de finalités d'intérêt général et des résultats attendus».

L'article 13 de la directive consacre la responsabilisation des gestionnaires, l'instauration du contrôle interne et du contrôle de gestion dans l'administration. En effet, le rôle du responsable de programme n'est plus limité à la réalisation de tâches régulières. Sur la base des objectifs généraux fixés par le ministre sectoriel, il détermine les objectifs spécifiques, affecte les moyens et contrôle les résultats des services chargés de la mise en oeuvre du programme. Il s'impose à lui, la mise en place de dispositifs de contrôle interne et de contrôle de gestion pour favoriser l'atteinte de ses objectifs.

L'article 13 consacre également l'instauration de l'audit de performance dans l'administration. L'évaluation des résultats des programmes en termes d'efficacité, d'économie et d'efficience est désormais intégrée aux missions des corps de contrôle de l'ordre administratif (audit interne) et de la Cour des comptes (audit externe). Leur rôle ne se limite plus seulement aux missions classiques de vérification de la régularité des opérations financières.

La présentation du budget sous forme de programme, l'élaboration de rapport de performance par l'administration (les ministères) et par la cour des comptes (institution relevant de l'ordre juridictionnel), permet aux citoyens de mieux comprendre la destination des crédits budgétaires alloués et les résultats effectifs obtenu à l'issu de leur emploi par l'État.

On remarque que les quatre objectifs de l'action publique, prônés par la NGP, à savoir la conformité, l'efficacité, la sécurité et la transparence, sont pris en compte par la directive de l'UEMOA puisqu'elle vient instituer dans l'administration publique l'approche par objectif (budget-programmes), le contrôle de gestion, le contrôle interne, l'audit interne et l'audit externe, tout en maintenant les contrôles classiques de vérification et d'investigation des opérations financières.

IV.3.2. Le bilan des réformes des finances publiquesdansl'espace UEMOA

La directive N°06/2009/CM/UEMOA portant lois de finances, marquant le passage à la NGP dans l'espace UEMOA a été internalisé dans les différents pays de l'unionà traversl'adoption de loisorganiques des finances publiques. Au Burkina Faso, cette directive a été internalisée en 2015 par la Loi n° 073-2015 du 06 novembre 2015 portant loi des finances. L'internalisation de la directive représente l'aspect juridique de l'adoption de la NGP. Dans ce qui suivra, nous ferons un bilan de la mise en oeuvre effective de ce nouveau mode de gestion, c'est-dire de son opérationnalisation dans la gestion de l'État.

L'adoption de l'approche de gestion par objectif, s'est opéré par le basculement des différents pays dans le budget programme à partir de 2017. À ce jour, l'ensemble des pays ont basculé, sauf peut-être la Guinée-Bissau.

v Approche par les risques (contrôle et audit internes) dans l'espace UEMOA

En matière de contrôle interneet d'audit interne, plusieurs pays de l'union se sont engagés dans un processus de mise en place de dispositifs de contrôle interne et d'audit internedans l'administration publique.Ceci s'est matérialisé par des sessions de formation des cadres (opérationnels et inspecteurs) à l'approche de management et d'audit par les risques, puis par l'élaboration de la cartographie des risques de plusieurs ministères et institutions publiques. Dans la plupart des pays de l'union, plusieurs ministères et institutions publiques ont fait l'objet decartographies des risques. Le plus souvent, l'élaboration de ces cartographies des risques a été initiée et pilotée par les institutions supérieures de contrôle : au Mali, par le Contrôle Générale des Services Publics (CGSP) ; au Burkina Faso par l'Autorité Supérieure de Contrôle de l'Étatet de Lutte contre la Corruption (ASCE-LC) et l'Inspection Générale des Finances (IGF) ; en Côte d'Ivoire par l'Inspection Générale des Finances (IGF) et l'Inspection Générale d'État (IGE) ; au Bénin et au Togo par l'Inspection Général des Finances (IGF) et au Sénégal par l'Inspection Générale d'État (IGE).

Malgréles formations et les différentes cartographies des risques réalisées, dans les pays de l'UEMOA, l'absence de cadre institutionnel adéquat constituele plus gros handicap pour un fonctionnement efficient des systèmes de maîtrise des risques (contrôle et audit internes).

À ce jour, seul le Bénin a mis en place un cadre institutionnel de la maîtrise des risques au niveau ministériel, ce qui en fait le pays le plus avancé en matière de contrôle et d'audit internes dans l'espace UEMOA. En effet,le Bénin a procédé en 2018 à la réorganisation des organes de contrôle de l'ordre administratif(République du Bénin, 2018)et à l'adoption d'un cadre de référence de l'audit interne de l'Étatqui s'inspire des normes d'audit interne de l'IIA (République du Bénin, 2018).

Au Bénin, cette réorganisation des corps de contrôle a induit la création et l'opérationnalisation descomitésministériels de maîtrise des risques11(*) et descomitésministériels d'audit interne12(*) (République du Bénin, 2018). La réorganisation a également opéré un changement importantdans le rôle des inspections ministérielles avec leur transformation en entitésd'audit interne. Désormais, l'audit interne constitue l'essentiel de l'activitéde ces inspections ministérielles : elles peuvent toujours réaliser des vérifications et desinvestigations, mais désormais dans une moindre mesure.Le Bénin estdans les pas de la France qui a procédé à des réformes similairesà partir 2011.

Au Burkina Faso, comme dans la plupart des pays de l'UEMOA, la mise en place du cadre institutionnel de maîtrise des risques se fait encore attendre au plan étatique.Les inspections techniques ministériellescontinuent de réaliser principalement des missionsdevérification et d'investigation.

Néanmoins, au niveau des sociétés à capitaux publics, le code de bonne pratique de gouvernance des sociétés d'État adopté en 2015, a instauré l'obligation pour les sociétés d'État de mettre en place des dispositifs de contrôle interne, de gestion des risques et descomités d'audit (CCSE, 2015). Depuis lors, plusieurs sociétésparmi lesquels, l'Office Nationale de l'Eau et de l'Assainissement (ONEA) ou encore le Laboratoire National du Bâtiment et des Travaux Publics (LNBTP), ont mis en place des comités d'audit interne en leur sein.

L'ensemble de ces insuffisances en matière de contrôle ont été souligné par la Cour des Comptes dans son rapport public de l'année 2019.Elle a donc souligné, la nécessité d'adapterles corps de contrôle de l'État au contexte du budget programme et formulé plusieurs recommandations parmi lesquelles :

- la mise en place de l'audit interne au niveau des ministères et institutions publiques avec notamment la transformation des inspections techniques ministérielles en organes d'audit interne, et la mise en place de comité ministériels d'audit interne ;

- la formation des acteurs des organes de contrôle sur l'audit de performance des projets et programmes budgétaires ;

Au Burkina Faso comme dans la plupart des pays de l'UEMOA, du temps est encore nécessaire pour que les concepts et les outils de la NGP ne soient largement compris, adopté et mis en oeuvre, en raison même de la complexité des concepts, des bouleversements de mentalités et des modifications structurelles nécessaires à la mise en oeuvre des nouveaux outils.

La NGP impose à l'État des objectifs de performance et de transparence à l'instar d'uneentreprise privée dontelle emprunte lesoutilsque sont : la gestion par objectif, le contrôle et l'audit internes, l'audit externe et l'approche par les risques. Les transformations structurelles induites par la NGP, la rendent difficile d'application dans la plupart des pays, y compris ceux de l'espace UEMOA. C'est pourquoi de nombreuses années sont nécessaires pour que les concepts soit largement compris et efficacement mis en oeuvre.Celaimpose des plans gradués de transition et des évaluations périodiques des progrès réalisés. Ce mémoire s'inscrit dans cette optiqueen tentant d'examiner l'état de fonctionnement du processus de management des risques de la DGI du Burkina Faso.Le chapitre suivantfournirades éclairages sur le management des risques dans le secteur public.

Chapitre V - Le management des risques dans le secteurpublic

Évaluer le processus de management des risques (PMR)de la Direction Générale des Impôts (DGI),requiert au préalable d'appréhenderles concepts, les caractéristiques fondamentalesde toutmanagementdes risquesefficace et les spécificités à prendre en compte dans le contexte de la DGI. C'est à ce besoin que répond le présent chapitre. Tout d'abord, il clarifieles concepts et lesprincipesdu management des risques. Ensuite, il éclaire sur les composantes et les acteursd'un PMRefficace.Enfin, il abordeles spécificités du management des risques dans le secteur public en général,puis dans l'administration fiscale en particulier puisqu'elle est l'objet de notre évaluation.

V.1. Définitions

V.1.1. Le risque

Il existe plusieurs définitions du risque. Nous présenterons les définitions proposées par les référentiels de management des risques les plus utilisés que sont le COSO ERM 2017 et l'ISO 31000 : 2018, puis celle proposée par COHEN(2012), avant d'en faire une synthèse.

LeCOSOERM 2017^13(*) défini le risque comme:« La possibilité que des événements se produisent et affectent la réalisation de la stratégie et des objectifs de l'entreprise^14(*)».Les précisions suivantes sont apportées :

- l'incertitude constitue l'état de ne pas savoir comment ou si des événements potentiels peuvent se manifester ;

- la gravitéreprésente une mesure des considérations telles que la probabilité et l'impact des événements ou le temps nécessaire pour se remettre des événements ;

- les objectifs en question peuvent relever de plusieurs catégories : stratégiques, opérationnels, de conformité ou de reporting ;

- en plus des transactions de routine, les événements concernent les changements dans la gouvernance et la structure opérationnelle, les influences géopolitiques et sociales, et les négociations contractuelles, entre autres choses. Les événements peuvent être facilement identifiables comme ne pas l'être ;

- les risques peuvent être négatifs (incendie par ex.) ou positifs (par exemple météo plus clémente que prévue).

L'ISO 31000 :2018quant à lui, définit le risque comme : «L'effet de l'incertitude sur l'atteinte des objectifs». Ici, l'effetest un écart, positif et/ou négatif, parrapport à une attente et les objectifs peuvent également avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un produit, d'un processus ou de l'organisation en entier).

Selon COHEN(2012), le risque représente : « Tout ce qui est susceptible de faire obstacle, totalement ou partiellement , à la réalisation des objectifs, stratégiques ou opérationnels. Le risque est l'envers d'un objectif. Mais ce peutêtre également, une opportunité positive à saisir ». Il précise que le risque couvre une infinité d'évènements et de facteurs, depuis l'erreur, à l'irrégularité grave et la fraude, en passant par les risques portant sur l'image, la motivation des acteurs, la qualité, l'environnement, les personnes, la politique, etc.

En somme, les différentes définitions du risque ne se contredisent pas etse recoupent en la question du poids de l'incertitude sur la marche d'une organisation.Le risque est caractérisé principalement par deux paramètres qui permettent d'apprécier son importance (mesure) :

- la probabilité appelée encore vraisemblance ou fréquence qui représente la chance que le risque a de survenir ;

- et l'impact qui représente l'ampleur des conséquences positives ou négatives, du sinistre ou des gains obtenus.

V.1.2. Le management des risques

Le référentiel ISO 31000 définit le management (ou gestion) des risques comme: « Des activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque » (ISO, 2018).Selon l'ISO,les caractéristiques du management des risques sont les suivantes :

- il a pour finalité la création et la préservation de la valeur. Il améliore la performance, favorise l'innovation et contribue à l'atteinte des objectifs ;

- c'est une activité itérative qui aide les organismes à développer une stratégie, atteindre des objectifs et prendre des décisions éclairées ;

- il fait partie intégrante de la gouvernance et du leadership et a une importance fondamentale dans la façon dont l'organisme est géré à tous les niveaux. Il contribue à l'amélioration des systèmes de management ;

- il est intégré à toutes les activités d'un organisme et inclut l'interaction avec les parties prenantes ;

- ilprend en considération le contexte interne et externe de l'organisme, y compris le comportement humain et les facteurs culturels.

Le COSO ERMquant à lui, définit le management des risques d'entreprise comme : « La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et à la performance, sur lesquelles les organisations s'appuient pour gérer les risques dans la création, la préservation et la réalisation de la valeur » (COSO, 2017). Le COSO ERM utilise le terme « ERM » qui signifie en anglais « Enterprise Risk Management » et qui se traduit littéralement en français par « management des risques d'entreprise » ou plus explicitement par « management global des risques ».

Dans les caractéristiques soulignées par l'ISO 31000 et par le COSO ERM, on peut remarquer l'accent mis sur le caractère global que doit revêtir toute démarche de management des risques à travers la prise en compte de tous les acteurs, de tous les niveaux de l'entité, de toutes les activités et de tous les facteurs internes comme externes.La démarche de management global des risques traduit la volonté d'avoir une vision globale des risques d'une organisation (SUTRA, 2019). En effet, tous les risques sont intégrés dans l'analyse, quelle que soit leur nature oucatégorie(managérial, juridique, stratégique opérationnel, réputationnel, image, financier, interne ou externeetc.). Et l'analyse peut être menée, au niveau d'une organisation, d'une entité, d'un projet, d'une activité, etc.La démarche de management global des risques doit permettre, une fois les risques analysés, de les comparer afin de définir, en fonction du niveau d'appétenceune stratégie de traitement.

En synthèse, quel que soit le référentiel ou l'organisation, lebut du management des risques reste le même : « créer et préserver la valeur au profit des parties prenantes de l'organisation, parl'intégration du risque au processus de sélection, de développement et de mise en oeuvre de la stratégie ».

Dans son guide consacré à l'évaluation du processus de management des risques, l'IIA définit le processus de management des risques comme :« L'ensemble des travaux d'une organisation en matière de management des risques » (IIA, 2019). Le guide a préféré le terme « processus demanagement des risques » au terme « programme de management des risques » souvent utilisé. Le guide considère le terme « programme » comme étant limité comparativement au terme processus qui implique une notion de démarche et d'effort en continu.

Notons que le cadre de référence de l'AMF^15(*)utilise le terme « dispositif »en lieu et place du terme« processus »(AMF, 2010). Il est donc également possible de parler de dispositif de management des risques pour désigner le processus de management des risques. Dans la suite de ce document, les deux termes pourraient être utilisés indifféremment.

Dans ce même sens, le terme « gestion des risques » est souvent utilisé en lieu et place du terme « management des risques ». Toutefois, il nous semble que le terme « gestion des risques » met en avantles aspects opérationnels du management des risques, notamment les l'identification, l'évaluation, le traitement et le suivi des risques. D'ailleurs, le guide d'évaluation du processus de management des risques de l'IIA (IIA, 2019), utilise d'une part le terme « processus de mangement des risques » pour désigner le dispositif dans sa globalité,ce qui inclue la culture et la gouvernance des risques, et d'autre part le terme « processus de gestion des risques » pour désigner les aspects opérationnelsque sont l'identification, l'évaluation, le traitement et le reporting des risques.

V.1.3. La cartographie des risques

La cartographie des risques constitue un outil important du management des risques. C'est une démarche dynamique d'identification et d'évaluation des risques qui permet d'en donner une représentation synthétique et visuelle. Elle constitue ainsi un outil de mise en évidence des risques à couvrir en priorité (IFACI, 2013).

Elle permet au management de disposer d'une vue consolidée de ses risques et de définir des plans de traitement des risques qui incluent souventla mise en placede dispositifs de contrôle interne.

Quantà l'audit interne, elle lui permet d'élaborer son plan d'audit conformément aux meilleures pratiques en la matière. Selon la norme d'audit interne IIA 2010.A1:« Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an » (IIA, 2017). L'élaboration du plan d'audit sur la base d'une analyse des risques accroît l'efficience de l'audit interne par la priorisation des audits à réaliser selon le critère d'importance des risques.

V.1.4. L'articulation entregestion des risques, le contrôle et l'audit internes

Les dispositifs de management des risques, de contrôle interne et d'audit interne, participent de manière complémentaire à la maîtrise des activités de l'organisation.

Le contrôle internese définit comme :« Un processus mis en oeuvre par le conseil, le management et les collaborateurs d'une entité, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs liés aux opérations, au reporting et à la conformité » (COSO, 2013).

L'audit internese définit comme: « Une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise et en faisant des propositions pour renforcer son efficacité » (IIA, 2017).

Le cadre de référence de l'AMF relatif aux dispositifs de contrôle interne et de gestion des risques(AMF, 2010)ainsi que les normes d'audit interne (IIA, 2017), décrivent clairement les articulations entre ces dispositifscomme suit:

- le dispositif de management des risques vise à identifier et à analyser les principaux risques de l'organisation. Les risques dépassant les limites acceptables fixées par l'organisation, sont traités et le cas échéant, font l'objet de plans de traitement. Ces derniers peuvent prévoir la mise en place de contrôles, un transfert des conséquences financières (mécanisme d'assurance ou équivalent) ou une adaptation de l'organisation.Les contrôles à mettre en place relèvent du dispositif de contrôle interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les activités de l'organisation.

- de son côté, le dispositif de contrôle interne s'appuie sur le dispositif de management des risques pour identifier les principaux risques à maîtriser (à mettre sous contrôle).

- en outre, les dispositifs de management des risques et d'audit internedoivent eux-mêmes intégrer des contrôles relevant du dispositif de contrôle interne, destinés à sécuriser leur bon fonctionnement.

- les dispositifs de contrôle interne et de management des risques constituent des matières pour l'audit interne qui a pour rôle de les évaluer et de faire des propositions pour améliorer leur efficacité.

V.2. Principes, composantes et acteurs du management des risques

V.2.1. Les principes du management des risques

Tout management des risques qui se veut efficace, doit obéir à un certain nombre de principes. Les principesfournissent les grands axes relatifs aux caractéristiques d'un management des risques efficace et efficient. Ils sont le fondement du management des risques et il convient de les prendre en considération lors de l'établissement du cadre organisationnel et des processus de gestiondes risques de l'organisation. (ISO, 2018)

Les référentiels COSO ERM et ISO 31000 s'accordent sur la finalité du management des risquesqui est la création et la préservation de la valeurparl' amélioration de la performance,lastimulation de l'innovation et lacontribution à l'atteinte des objectifs. Et, les principes de management des risquesqu'ils édictent sont identiques pour l'essentiel.

Les principes à respecter pour un management des risques efficace et tels qu'énoncés par l'ISO 31000 sont les suivants (ISO, 2018):

1. Intégré : le dispositif concerne l'ensemble des collaborateurs de l'organisation, il vise toutes les activités et s'intègre dans la gestion quotidienne. Le management des risques est une matière vivante, qui évolue dans le temps et ne se limite pas au seul exercice de cartographie des risques.

2. Structuré et global : une approche structurée et globale du management des risques contribue à la cohérence de résultats qui peuvent être comparés.

3. Adapté : le cadre organisationnel et le processus de management des risques sont adaptés et proportionnés au contexte externe et interne de l'organisme aussi bien qu'à ses objectifs.

4. Inclusif : l'implication appropriée et au moment opportun des parties prenantes permet de prendre en compte leurs connaissances, leurs opinions et leur perception. Ceci conduit à un management des risques mieux éclairé et plus pertinent.

5. Dynamique : des risques peuvent surgir, être modifiés où disparaître lorsque le contexte externe et interne d'un organisme change. Le management des risques anticipe, détecte, reconnaît et réagit à ces changements et événements en temps voulu et de manière appropriée.

6. Meilleure information disponible : les données d'entrée du management des risques sont fondées sur des informations historiques et actuelles ainsi que sur les attentes futures. Le management des risques tient compte explicitement de toutes leslimites et incertitudes associées à ces informations et attentes.Il convient que les informations soient disponibles à temps, claires et accessibles aux parties prenantes pertinentes.

7. Facteurs humains et culturels : le comportement humain et la culture influent de manière significative sur tous les aspects du management des risques à chaque niveau et à chaque étape.

8. Amélioration continue :le management des risques est amélioré en continu par l'apprentissage et l'expérience.

V.2.2. Les composantesd'un processus de management des risques efficace

Le guide d'évaluation du processus de management des risques de l'IIA^16(*) publié en 2019 (IIA, 2019), identifie trois caractéristiques (composantes) fondamentales propres à un management des risques mature indépendamment du référentielutilisé à savoir:

- la culture du risquequi concerne l'intégration des risques à tous les niveaux du processus de décision, de rémunération et de primes, et de fixation des objectifs.

- la gouvernance des risquesqui concerne laparticipation de toute l'organisation au processus de management des risques par l'intermédiaire de collaborateurs qualifiés et compétents en la matière.

- le processus de gestion des risquesqui concerne les activités d'identification, depriorisation, detraitement, desuivi et dereporting des risques dans toute l'organisation.

a). La culture du risque

La culture du risque se reflète dans l'intégration des risques dans la prise de décision. Elle détermine l'efficacité du processus de management des risques. Si la culture ne favorise pas des échanges ouverts et la prise en compte des risquespositifs comme négatifs, alors le processus de management des risques ne pourra pas créer de la valeur ajoutée. Des politiques, procédures et processus d'évaluation des risques bien conçusseront inopérants ou inefficaces si la culture est inadéquate.La culture peut remettre en cause toute argumentation ou action engageante en matière de management des risques.

Le COSO ERM 2017 souligne que l'intégration des risques dans le processus de prise de décisionnécessite un effort continu. Les facteurs qui influencent l'intégration sont la culture initiale de l'entité, sa taille, sa complexité et le temps écoulé depuis l'adoption d'une culture consciente des risques (COSO, 2017).

En effet, une entité dans laquelle la fonction de management des risques est naissante, disposera de pratiques et de capacités limitées sur lesquelles elle pourra s'appuyer. Mais à mesure que l'entité mûrit, elle met en oeuvre des pratiques et des capacités plus développées qui améliorent la prise de décision. Une fois que l'organisation intègre systématiquement les considérations relatives aux risques, elledevient moins dépendante des pratiques et de l'infrastructure formalisées et autonomes. Par exemple, dans une entité entièrement intégrée, le personnel identifiera les écarts de performance et comprendra l'effet potentiel sur le profil de risque sans s'appuyer sur un programme d'évaluation autonome.

Le temps n'est pas le seul facteur qui affecte la capacité d'une entité à intégrer pleinement la gestion des risques d'entreprise. La taille et le type d'entité comptent également (c'est-à-dire si l'entité est à but lucratif, sans but lucratif, fortement réglementée, etc.). Par exemple, une grande entreprise pharmaceutique peut avoir une culture bien développée de prise en compte des risques, mais peut être obligée de conserver certaines pratiques autonomes de surveillance et de reporting imposées par ses régulateurs. En comparaison, les petites entités non réglementées peuvent se concentrer davantage sur le développement de la conscience du risque et sur l'intégration du risque dans les rapports de performance.

b). La gouvernance des risques

Une bonne gouvernance des risques nécessite une participation adéquate de toute l'organisation au PMR par l'intermédiaire de collaborateurs qualifiés et compétents en la matière (IIA, 2019).

En effet, le soutien des dirigeants doit être acquis dès le début de la mise en oeuvreduPMRafin qu'il soit efficace. L'adhésion des dirigeants et l'obtention des ressources nécessaires,nécessitent que les informations sur les risques soient utilisées dans la prise de décision aux niveaux les plus stratégiques d'une organisation. Les organes de gouvernance, comme le comité d'audit ou le Conseil, joue un rôledéterminant pour susciter la collecte, l'évaluation et la transmission des informations sur les risques. Si le comité d'audit sollicite régulièrement des informations sur les risques dans le cadre de son activité de surveillance, alors le management trouvera impérativement un moyen de les lui fournir.

En général, le PMR est conçu selon une approche descendante. Une fois que les principaux managers opérationnels, la direction générale et le Conseil sont impliqués dans le PMR, la structure peut être clarifiée et les politiques, les procédures, le reporting et les protocoles de remontée d'alertes peuvent être mis en oeuvre.

Il est important de noter que la gouvernance constitue un concept qui transcende la gestion des risques. La gouvernance au sens large du terme peut être définie comme la façon dont le pouvoir est organisé et exercé pour assurer le pilotage de l'organisation (CABANE, 2018). La gouvernance fait allusion à la répartition des rôles, des pouvoirs et des responsabilités entre les parties prenantes, le conseil d'administration et la direction. Les aspects de la gouvernance tel que le recrutement, l'évaluation des membres du conseil d'administration, l'élaboration de la mission, de la vision et des valeurs fondamentales de l'entité ne relève pas de la gestion des risques (COSO, 2017). La gouvernance des risques est donc un aspect de la gouvernance au sens large.

c). Le processus de gestion des risques

Le processus opérationnel de gestion des risques comprend les activités d'identification, de hiérarchisation etde traitement des risques.

Le degré d'intégration de ces activités aux processus opérationnels est un indicateur utile pour mesurer la maturité de l'organisation. Si ces activités sont menées régulièrement dans toute l'organisation, et si les informations sur les risques sont utilisées dans les prises de décisions importantes, l'organisation est perçue comme plus mature qu'une organisation qui réalise une évaluation des risques une fois par an ou uniquement lorsqu'elle est imposée par les réglementations.

Remarque : le cadre de référence de l'AMF (AMF, 2010) propose également trois composantes propres à un processus de management des risques mature à savoir : le cadre organisationnel (organisation, politique de gestion des risques, et système d'information), le processus de gestion des risques (identification, analyse et traitement des risques) et le pilotage (surveillance et revues régulières des risques et du dispositif). Toutefois, les composantes présentées par l'AMF et celles présentées par l'IIA peuvent être rapprochées. La composante « processus de gestion des risques » est mentionnée par les deux référentiels. Quant aux composantes « Culture » et « Gouvernance » de l'IIA, elles peuvent être rapprochées des composantes « Cadre organisationnel » et « Pilotage » de l'AMF. Pour l'essentiel, les caractéristiques définiespar les deux référentiels sont semblables : la différence réside surtout dans la présentation.

V.2.3. Les acteurs du management des risques

Un modèle efficient de maîtrise des risques s'articule autour de trois lignes de maîtrise (IIA, 2020).

- les structures et processus adéquats sont en place pour garantir l'efficacité de la gouvernance ;

- les objectifs et les activités de l'organisation sont en phase avec les intérêts prioritaires des parties prenantes.

- délègue des responsabilités et alloue des ressources au management pour lui permettre de réaliser les objectifs de l'organisation tout en veillant au respect des exigences d'ordre juridique, réglementaire et éthique ;

- institue et supervise une fonction d'audit interne indépendante, objective et compétente chargée d'apporter clarté et confiance quant aux progrès accomplis en matière d'atteinte des objectifs.

La responsabilité du management d'atteindre les objectifs de l'organisation recouvre les rôles des deux premières lignes du modèle^17(*). Les rôles de la première ligne sont plus directement liés à la fourniture de produits et/ou services aux clients de l'organisation et incluent les fonctions supports^18(*).

La deuxième ligne recouvrent quant à elle des activités d'appui à la gestion des risques.

Les première et deuxième lignes peuvent être fusionnées ou séparées. Certains rôles de deuxième ligne peuvent être confiés à des spécialistes chargés d'apporter une expertise complémentaire, une assistance, un suivi et des critiques constructives aux acteurs de la première ligne. D'autres peuvent être orientés sur des objectifs précis dans le domaine de la gestion des risques - conformité aux lois et règlements et comportement éthique acceptable, contrôle interne, sécurité des systèmes d'information, développement durable, assurance qualité, etc. -, et même se voir confier de plus grandes responsabilités en la matière, comme le management des risques de l'entreprise (ERM). Pour autant, la gestion des risques demeure l'apanage des rôles de première ligne et s'inscrit dans le périmètre d'action du management.

L'audit interne fournit une assurance et des conseils indépendants et objectifs sur l'adéquation et l'efficacité de la gouvernance et de la gestion des risques. Pour ce faire, il met en oeuvre, de manière adéquate des processus, une expertise et des points de vue systématiques et méthodiques. Il fait part de ses constats au management et à l'organe de gouvernance, dans une perspective d'amélioration continue. Il a la possibilité de faire appel à d'autres prestataires d'assurance, internes comme externes.

V.3. Spécificités du management des risques dans le secteur public

V.3.1. Spécificités du management des risques dans l'administration publique en général

La gestion des risques dans l'administration publique est différente de celle du secteur privé sous plusieurs aspects. À ce propos, le rapport 2019 des nations unies sur le secteur public (ONU, 2019)qui traite entre autresdu management des risques dans le secteur public, énoncent les spécificités suivantes :

À ces spécificités,on peut ajouter une dernière spécificité relative aux implications et difficultés propres àsa mise en oeuvre dans le secteur public commeévoquées par COHEN (2012).

Contrairement au secteur privé, le management des risques dans l'administration publique est moins axé sur la maximisation des gains financiers. C'est plutôt la maximisation de l'intérêt public et donc des avantages pour tous qui est recherchée.

En outre, la faible tolérance à l'échec dans le secteur public entraîne des attitudes à l'égard du risque qui sont différentes de celles qui prévalent dans le secteur privé. Dans l'administration publique, les objectifs tels que la protection, le bien-être et la prospérité des citoyens sont centraux, ce qui implique un intérêt important pour la gestion stratégique des risques, y compris la planification d'urgence, la préparation aux situations d'urgence, ainsi que la gestion des crises et des catastrophes.

L'administration publique joue un rôle central dans la gestion des risques dans tous les domaines, en tant que gestionnaire des risques, régulateur ou dans d'autres rôles. Généralement,les États gèrent directement une série de risquesdiversifiés et importants (sanitaires, financiers, économiques, catastrophes naturelles, sociaux, géopolitiques, ressources humaines, cybercriminalité, etc.).

Plus que le secteur privé, les États peuvent décider d'analyser les risques et de se préparer à les affrontersur un horizon temporel éloigné.Par exemple,on peut analyser des risques sur des décennies, ou se préparer à des catastrophes susceptibles de se manifesterchaquecent ans.

Les États prennent également en charge une partie des risques gérés par d'autres acteurs dans un large éventail d'activités allant de la finance au commerce en passant par la gestion des catastrophes naturelles. Le rôle del'État en tant que régulateur lui permet de superviser la gestion des risques dans pratiquement tous les secteurs comme l'évaluation des risques avant le lancement d'un produit ou d'un service dans des domaines tels que la santé publique, la sécurité alimentaire, la gestion des déchets, l'eau et l'assainissement, et les infrastructures critiques.

Les États sont souvent emmenés à prendre en compte le consensus social dans la gestion des risques notamment le consensus sur les niveaux tolérables et les meilleurs moyens de faire face à des risques spécifiques. Ce consensus variant d'un pays à un autre, les États appréhenderont la gestion des risques, de différentes manières. Par exemple, la perception et l'évaluation du risque de séisme au Japon, seradifférente de celle d'un pays comme le Burkina Fasotrès peu exposé àce risque.

v Implications et difficultés liées à la mise en oeuvre du management des risques

La mise en oeuvre réussie de la nouvelle gestion publique (NGP) nécessite une période de transition en raison des difficultés liées au changement de mentalités à opérer ainsi que celles liées à la compréhension des concepts sous-jacents. Le management des risques qui est l'un des outils de cette NGP nedevraitpas être épargnépar ces difficultés. Dans ce sens, la culture du risque devrait être comme d'ailleurs au secteur privé, l'élément sur lequel un accent particulier devra être mis dès l'entame de la démarche.

V.3.2. Spécificités du management des risques dans l'administration fiscale

Le sujet du risque est particulièrement important dans l'administration fiscale. C'est à juste titre que le cadre TADAT d'évaluation des administrations fiscales intègre la qualité du dispositif de gestion des risques dans ses critères d'évaluation (TADAT, 2015).La publication de manuels de gestion des risques fiscaux par de grandes organisations telles que l'Union Européenne ou l'OCDE attestent égalementde l'importancedu sujet dans l'administration fiscale[ (Union Européenne, 2010), (OCDE, 2017)].

Le management des risques dans l'administration fiscale présente des spécificitésparmi lesquellesl'on peut citer :

L'administration fiscale fait partie des administrations les plus exposées aux risques qui peuvent nuire aux recettes (Union Européenne, 2010).C'est pourquoi, l'évaluation des risques fiscaux est un élément clé de l'administration moderne de l'impôt (OCDE, 2017).

Le cadre TADAT d'évaluation de l'administration fiscale,classeles risques de l'administration fiscaleen deux grandes catégories(TADAT, 2015):

- les risques d'incivisme fiscal qui peuvent se traduire par un manque à gagner si les contribuables enfreignentà leursobligations (immatriculation au registre des impôts, dépôt des déclarations fiscales, paiement des impôts dans les délais, et communication d'informations exactes et exhaustives dans les déclarations) ;

- les risques institutionnels qui peuvent se traduire par une interruption des fonctions de l'administration fiscale lorsque surviennent certains évènementsinternes et/ou externes, tels que les catastrophes naturelles, les actes de sabotage, la perte ou la destruction d'actifs physiques, les pannesinformatiques, les grèvesdes salariés et les infractions administratives pouvant nuire à la confiance de la collectivité en l'administration fiscale (défaut de confidentialité, réclamations indues d'impôts, etc.)

Le but de la gestion des risques dans l'administration fiscale est de permettre à cette dernière de remplir samission en aidant le personnel d'encadrement à prendre de meilleures décisions(Union Européenne, 2010). De façon détaillée, la gestion des risques contribue :

- à tirer le meilleur parti des ressources humaines, financières et techniquesdisponibles;

- à accroître le niveau de respect volontaire de la législation par lescontribuables;

- et à adapter les ressources disponibles aux niveaux de risques età estimer laprobabilité qu'un contribuable en règle contrevienne à la législation en vigueur.

Les outils d'évaluation des risques fiscaux permettent aux administrations fiscales d'élaborer des indicateurs qui laissent présager que des contribuables ou des dispositifs spécifiques peuvent présenter un risque important, susceptible d'entraîner des mesures de discipline fiscale complémentaires, ou bien un risque réduit, qui peut impliquer des mesures moins importantes et plus ciblées(OCDE, 2017)^19(*). Cela devrait permettre une meilleure allocationdes ressources limitées aux secteurs les plus risqués, tout en orientant l'administration fiscale sur l'endroit où l'activité économique a été imposée correctement, ce qui réduira la charge pesant sur les contribuables à faible risque.

Les administrations fiscales modernes ont tendance à recourir de plus en plus à des méthodes automatisées pour évaluer les risques fiscaux. Selon l'administrationfiscale,l'organisation de l'évaluation des risques fiscaux peut être centralisée par une équipe spécialisée, avec la contribution de la fonction chargée de la discipline fiscale, ou bien assurée localement par l'équipe affectée au respect des obligations fiscales (ou l'inspecteur des impôts).

Des outils d'évaluation des risques peuvent être utilisés pour déterminer les contribuables présentant des risques accrus, qui font ensuite l'objet d'un examen plus approfondi de l'ensemble de leurs activités ou d'un secteur précis (les opérations internationales, par exemple) ou bien pour repérer les dispositifs présentant un risque accru, qui sont ensuite soumis à un examen complémentaire, peu importe que le contribuable concerné soit considéré ou non comme à haut risque.

Pour déterminer les contribuables présentant un risque élevé, certaines administrations fiscales utilisent un système fondé à base de points, qui classe les groupes en fonction du nombre d'indicateurs de risques présents (certains indicateurs ou combinaisons d'indicateurs valant plus de points). D'autres administrations fiscales utilisent également la dimension ou la complexité comme indicateur clé d'un risque potentiel, puis ont recours à des outils d'évaluation des risques pour cerner les points sur lesquels se concentrer au sein de ces groupes. Pour que les contribuables bénéficient d'une certitude accrue, certaines administrations fiscales effectuent davantage d'évaluations des risques en temps réel (avant le dépôt de la déclaration de revenus) tandis que d'autres continuent à évaluer les risques des contribuables et dispositifs principalement ou uniquement après le dépôt de la déclaration.

Dans tous les cas, l'évaluation des risques fiscaux doit être un processus dynamique, qui s'adapte au niveau du risque fiscal défini. Lorsqu'il s'avère, à un stade précoce, qu'un contribuable présente un faible risque fiscal potentiel, il peut être alors décidé qu'aucune évaluation supplémentaire ni mesure de renforcement de la discipline fiscale n'est requise. Lorsqu'une telle décision ne peut pas être prise, une analyse et des investigations complémentaires peuvent être menées afin de sélectionner les étapes suivantes les plus appropriées.

L'OCDE dans son manuel d'évaluation des risques fiscaux (OCDE, 2017) reconnaît que même si les cadres de gestion des risques utilisés par les administrations fiscales diffèrent, certaines caractéristiques essentielles doivent être présentes pour que l'évaluation des risques soit efficace :

- les outils d'évaluation des risques fiscaux doivent être utilisés de manière objective : les outils doivent déterminer les risques fiscaux potentiels à partir d'une évaluation objective des informations disponibles ;

- les agents en charge de l'évaluation des risques doivent avoir reçu une formation adéquate et disposer d'une expérience dans les secteurs clés ;

- les outils d'évaluation des risques doivent servir à sélectionner et à exclure les contribuables devant faire l'objet d'investigations complémentaires, y compris une vérification fiscale ou d'autres mesures de discipline fiscale,maisne doivent pas remplacer cette activité ;

- les processus d'évaluation des risques doivent être dynamiques et réactifs aux informations communiquées par l'administration fiscale afin de garantir une amélioration continue. Les méthodes utilisées doivent être révisées et mises à jour afin d'identifier et de traiter de nouveaux risques ou de réduire le risque que des contribuables ou des dispositifs à faible risque soient signalés ou que d'autres à risques élevés ne le soient pas ;

- une stratégie d'évaluation des risques doit associer plusieurs outils et tenir compte des différents éléments du profil de risque d'un groupe afin de limiter les possibilités qu'un contribuable au risque accru puisse échapper au contrôle par la mise en place d'éléments visant à masquer un indicateur de risque donné. Les outils d'évaluation des risques doivent également évoluer dans le temps pour empêcher que des contribuables à haut risque mettent au point des stratégies pour échapper au contrôle ;

- des processus de gouvernance devraient être en place pour assurer le suivi adéquat de la fonction d'évaluation des risques. Ils permettraient de garantir que les évaluations du risque sont soumises à des niveaux d'examen et d'autorisation appropriés et sont entièrement documentées afin de disposer d'une piste de vérification complète en cas d'investigations ultérieures ;

- les processus d'évaluation des risques fiscaux devraient faire partie du cadre global de gestion des risquesd'une administration fiscale.

Le management des risques a pour but de gérer les risques d'une organisation afin de créer et de préserver de la valeur. Il joue un rôle clé dans l'administration publique et encore plus dans l'administration fiscale qui est l'une des administrations les plus exposées aux risques.ToutPMR doit être amélioréde façon continue par la réalisation d'évaluationspériodiqueset la prise de mesures correctives.C'est le but de ce mémoire qui traite de l'évaluation du PMR de la DGI. ToutPMR efficace comporte trois composantes fondamentalesque sont la culture du risque, la gouvernance des risques et le processus de gestion des risques. C'est en nous appuyant sur ces composantes que nousconstruironsle modèle d'analyse(chapitre suivant) sur lequel nous nous appuierons pour évaluer le processus de management des risques de la DGI (chapitre 4).

Chapitre VI - Présentation de la Direction Générale des Impôts (DGI)et des outils d'analyse

Le présent chapitre répond aux besoins de comprendre le contexte de l'organisation et de disposer d'un modèle d'analyse pertinent, lorsqu'on désire évaluer un Processus de Management des Risques (PMR). La première partie de ce chapitre traite de la présentation de la Direction Générale des Impôts (DGI) etla seconde partie quant à elleconcernele modèle d'analyse utilisé pour évaluer le PMR de la DGI.

VI.1. Présentationde la DGI

a). Mission et historique de la DGI

La Direction Générale des Impôts est une structure centrale du Ministère en charge de l'Économie et des Finances.Son activité principale est le recouvrement des recettes fiscales et parafiscales autres que celles de porte qui représentent à ce jour près de la moitié du budget de l'État en recettes (DGI, 2017). Elle comptait 2845 agents en 2019.

Pour réaliser sa mission, la DGI collabore avec d'autres acteurs parmi lesquels la Direction Générale des Douanes pour la lutte contre la fraude etla Direction Générale duTrésor et de la Comptabilité Publique qui assure la collecte des recettes recouvrées par la DGI.

L'histoire de la DGI remonte à la période coloniale, pendant laquelle, il existait en Haute- Volta un seul Service des contributions diverses et deux (02) divisions d'inspection situéesà Ouagadougou et Bobo-Dioulasso (DGI).

À l'indépendance, le Burkina Faso a hérité de ces services jusqu'en 1966 où quatre (04) divisions de contrôle ont été mises en place à Ouahigouya, à Koudougou, à Fada N'gourma et à Banfora.

Ensuite, entre 1967 et 1978, il s'en est suivi la création du bureau de recherches et de vérifications, la création de la recette des taxes et droits indirects, la création de la direction des domaines et du cadastre, la création de recette de l'enregistrement et du timbre et la création de la direction générale des impôts.

De 1984 à nos jours, l'évolution significative est la fusion en 1993 de trois (03) anciennes directions pour former la DGI actuelle. Il s'agissait de la direction des domaines, de l'enregistrement et du timbre, de la direction du cadastre et de la direction générale des impôts.

b). Organisationde la DGI

La DGI est placée sous l'autorité d'un Directeur Général, nommé par décret pris en conseil des ministres(DGI, 2017).Elle est composéedes unités organisationnelles suivantes :

· 43 Directions provinciales couvrant les provinces autres que celles du Kadiogo et du Houet ;

Dans le cadre de cetteétude, il est important de s'attarder sur l'Inspection Technique des Impôts (ITI) et la Direction du Contrôle Fiscal (DCF) qui sont deux acteurs pour lesquels le risque est retrouve au centre du métier.

Elle est chargée de l'audit et du contrôle des services conformément aux normes nationales et internationales. À ce titre, elle assure:

- le contrôle du respect par les agents des lois et règlements en matière fiscale, domaniale, foncière, cadastrale, financière, comptable et administrative ;

- la mise en oeuvre de la stratégie de lutte contre la corruption, le faux et l'usage de faux au sein de la Direction Générale des Impôts ;

- l'assistance aux différentes structures de la Direction Générale des Impôts pour la promotion de la qualité, de l'éthique et de la déontologie professionnelles ;

- la coordination du contrôle interne au sein de la Direction Générale des Impôts ;

- et la réalisation de touteautre missionconfiée par le Directeur général des impôts, notamment les enquêtes administratives internes, les investigations, les études, l'assistance-conseil et les dialogues de gestion.

- leService des Audits et de Maîtrise des Risques (SAMRI) qui a pour mission d'assurer l'audit et la maîtrise des risques au sein de l'administration fiscale ;

- etle Service des enquêtes et des Investigations (SEI) qui a pour mission d'assurer les enquêtes et investigations aux fins de permettre le contrôle et la maîtrise des risques.

Elle a pour mission la coordination et l'encadrement des services opérationnels chargés du contrôle ainsi que de l'instruction de toutrecours y relatifs. À ce titre,elle assure:

- la définition des orientations du contrôle sur la base d'une analyse du tissu fiscal et des risques ;

- la définition des objectifs qualitatifs et quantitatifs du programme national de contrôle ;

- le suivi de l'élaboration et de l'exécution des programmes de vérifications ;

- l'analyse de la qualité des redressements (assiette, brigades de vérifications) ;

- leService de la Programmation chargé de l'élaboration et du suivi de l'exécution des programmes de vérifications fiscales ainsi que de la conception de la méthodologie en matière de contrôle fiscal ;

- et leService de Gestion des Recours (SGR)chargé de l'instruction des recours gracieux ou des réclamations adressées au Directeur général des impôts, ainsi que de l'encadrement des services dédiés au contrôle de l'impôt.

c). Stratégie et pilotage de la DGI

La DGI a élaboré un plan stratégique s'étendant sur cinq années (2017-2021). La vision portéepar ce plan était de faire de la DGI, à l'horizon 2020, une administration de référence, moderne, performante dans la mobilisation des ressources internes pour le financement du développement, centrée usager et en phase avec les standards communautaires et internationaux (DGI, 2017). Trois orientations stratégiques ont été retenues :

- mobiliser des recettes budgétaires pour répondre aux besoins financiers de l'État notamment ceux fixés dans le cadre du Programme National de Développement Économique et Social (PNDES) ;

- construire une relation de partenariat et de confiance avec le contribuable, les partenaires et les autres régies de recettes ;

- et améliorer les performances de la DGI par le management moderne des capacités institutionnelles et organisationnelles.

Pour réaliser efficacement sa mission, la DGI s'est dotée d'un ensemble d'outils et de dispositifs (DGI, 2017) :

- le programme d'activités qui représente une programmation annuelle des activités ;

- les lettres de mission qui assignent des objectifs à atteindre aux responsables d'unités ;

- les rapports d'activités pour dresser le niveau de réalisation des activités ;

- les cadres de concertation qui favorisent une politique de gestion participative. Ils sont au nombre de cinq: le conseil de cabinet, le conseil de direction, les rencontres trimestrielles et semestrielles et la conférence annuelle de la direction générale ;

- et les outils informatiques : la DGI dispose d'un système de gestion des procédures fiscales,utilisable pour les déclarations fiscales en ligne. Aussi, son système informatique est interfacé avec celui de partenaires commela douane et le Trésor public.

VI.1.2. Le management des risques à la DGI

En tant qu'administration fiscale, la DGI est exposéeà d'importants risques fiscaux et institutionnels, avérés ou potentiels, et pouvant gravement nuire à ses recettes fiscales ou entraver son fonctionnement (TADAT, 2015). On peut citer les risques d'incivisme fiscal tels que la non immatriculation au registre des impôts, le non dépôt des déclarations fiscales, le non-paiement des impôts dans les délais, et les déclarations non exactes.Quant aux risques institutionnels, on peutciter l'interruption des fonctions de l'administration fiscale en raison des grèves du personnel ou encoreles pannes informatiques.

Pourtant, l'évaluation TADAT réalisée en2017avait révélé l'absence d'un dispositif formel de gestion des risques en soulignant l'absence de cartographies des risques fiscaux et institutionnels (TADAT, 2017).

C'est pourquoi la DGI a élaboré en 2019,avec l'assistance d'un consultant,une cartographie des risques fiscaux mise à jour et étendue aux risques institutionnels en 2020. Également, une cartographie des risques fiscaux relatifs au secteur des mines a été élaboré en 2020.Néanmoins, depuis lorsle PMRinitién'a fait l'objetd'aucune formalisation précisant lesobjectifs,l'organisation, et la méthodologie à employer. Également, le PMR n'a fait l'objet d'aucune évaluation pour apprécier son état de fonctionnement.

VI.2. Outils d'analyse du processus de management des risques de la DGI

VI.2.1. Les référentiels de management des risques

Il existe plusieurs référentiels pour la conception, la mise en place et le pilotage d'un dispositif de management des risques : les plus utilisés sont le COSO ERM 2017et l'ISO 31000 :2018.

a). Le référentiel COSO ERM 2017

En 1992, le COSO a publié « La pratique du contrôle interne » surnommé « COSO 1 » qui a fait l'objet de révision en 2013. Sur le plan international, le COSO 1 a été largement adopté et fait autorité pour la mise en place et le pilotage du contrôle interne.À la suite du COSO 1, le COSO va publier en 2004, un second référentiel axé sur le management des risques appelé COSO ERMsurnommé« COSO 2 »etmis à jour en 2017. Il constitue un référentiel pour la conception, la mise en place et le pilotagedu management des risques.Le COSO ERM propose un ensemble de principes organisés en cinq composantes:

1. Gouvernance et culture : la gouvernance donne le ton dans l'organisation, en insistant sur l'importance du management des risques et en définissant les responsabilités de surveillance de cette démarche. La culture correspond aux valeurs éthiques, aux comportements souhaités et à la compréhension des risques dans l'entité. La culture influe sur la manière dont le risque est identifié, évalué et traité depuis la définition de la stratégie jusqu'à son exécution. Elle peut affecter les types d'alternatives stratégiques envisagés, mais également la perceptiondes risques côté menaces ou opportunités. Elle influera également sur l'allocation des ressources et la typologie des réponses apportées à la gestion du risque.

2. Stratégie et définition des objectifs : le management des risques, la stratégie et la définition des objectifs,contribuent conjointement au processus de planification stratégique. L'appétence pour le risque est définie et ajustée à la stratégie ; les objectifs opérationnels permettent de mettre en oeuvre la stratégie tout en servant de base pour l'identification, l'évaluation et le traitement des risques.

3. Performance : les risques qui peuvent affecter la réalisation de la stratégie et des objectifs opérationnels doivent être identifiés et évalués. Les risques sont priorisés selon leur criticité dans le contexte de l'appétence pour le risque de l'organisation. L'organisation sélectionne ensuite les modalités de traitement des risques et analyse en termes de portefeuille le niveau de risque assumé. Les résultats de ce processus sont communiqués aux parties prenantes clés concernées par les risques.

4. Revue et amendement : en examinant la performance de l'entité, une organisation peut prendre en considération la manière dont les composantes du management des risques fonctionnent au fil du temps, et en fonction de changements substantiels, ainsi que les éventuels amendements nécessaires.

5. Information, communication et reporting : le management des risques exige un processus permanent d'obtention et de partage des informations nécessaires, provenant de sources internes et externes.

b). Le référentiel ISO 31000 : 2018

L'ISO 31000est un référentiel de management des risques publié en 2009 et mis à jour en 2018. Il est présenté comme un guide pour les organisations, sur la manière d'intégrer la prise de décision fondée sur le risque aux processus de gouvernance, de planification, de management, de rapport, ainsi qu'aux politiques, aux valeurs et à la culture d'ensemble de l'organisation (ISO, 2018).

- les principes: ils abordent les critères clés de la réussite d'un PMR efficace et efficient ;

- un cadre organisationnel : le dispositif repose sur des personnes qui doivent l'animer. Les synergies et la coopération à chaque étape du cycle de vie doivent être organisées.Le cadre organisationnel permet à l'organisation de structurer le fonctionnement du management des risques et de le positionner au coeur de la gouvernance ;

- etun processus: le management desrisques relève aussi de la méthode ; les analyses doivent être structurées et obéir à une logique qui permette la comparaison entre les risques, entre les entités d'une même organisation, et enfin d'une année à l'autre.

Figure 3: illustration de l'interconnexion entre les trois composantes de la norme ISO 31000

c). Analyse comparée de l'ISO 31000:2018 et du COSO ERM 2017

L'ISO 31000 et le COSO ERMprônenttousune approche globale de management des risquesapplicable à toute organisation, quel que soit sa structure, sa taille, ou son pays.Ils n'édictent que des lignes directrices tout en laissant le choix à chaque organisation de les décliner en fonction de sa culture et de son contexte.

Ils partagent tous une vision commune sur beaucoup d'aspects, maiscomportent aussi des différences.La comparaison établie par SUTRA (2019), nous éclaire surles points de convergences et les différences entre les deux référentiels. C'est la synthèse de cette comparaison qui est offerte dansles paragraphes suivants.

Les deux référentiels insistent sur la prise en compte du risque dans la sélection, la mise en oeuvre et le pilotage de la stratégie.

L'ISO 31000 et le COSO ERM insistent sur la nécessité de l'implication régulière des dirigeants qui se doivent de donner l'impulsion et d'allouer les ressources nécessaires.

L'ISO 31000 et le COSO ERM accordent tous deux une place significative aux parties prenantes de l'organisation. Leurs attentes et points de vue, doivent être pris en compte.

L'ISO 31000 et le COSO ERM exigent la prise en compte des risques aussi bien positifs que négatifspour créer et préserver de la valeur.

L'ISO 31000 et le COSO ERM insistentsur la prise en compte des facteurs humains dans les dispositifs de management des risques par l'intégration des aspects culturels, des risques liés aux ressources humaines (recrutement, rétention des talents, départ de personnes clés, etc. ), de la compétence des acteurssur le plan métier et surle plan du management des risques.

Le COSO ERM est porteur avant tout d'un état d'esprit dans lequel le management du risque est invité à se déployer. Son implémentation est plus susceptible de nécessiter d'élaborer en interne un cadre méthodologique plus précis pour sa mise en oeuvre.

L'ISO 31000 aun caractère plus opérationnel et directement applicable. La structuration de la norme en trois chapitres : « Principes », « Cadre organisationnel » et « Processus »,entend proposer d'ores et déjà un cadre opérationnel. Il est mieux présenté sous forme de processus.

Étant plus opérationnel, l'ISO 31000 peut-être plus adaptée pour une organisation dont la fonction de management des risques est naissante. Aussi, la perspective de déploiement et de coordination avec d'autres systèmes ISO rend aussi pertinent l'adoption de l'ISO 31000.

En revanche, une organisation déjà familiarisée avec le management des risques peut trouver dans le COSO ERM un cadrepour enrichir les réflexions et franchir des caps significatifs.

Pour les deux textes, le lien entre management des risques et stratégie peut se mettre en oeuvre en analysant les risques en amont et en aval de la prise de décision. En amont, en pesant les coûts et bénéfices de chaque alternative avant de prendre la décision ; puis en aval en réfléchissant aux risques susceptibles d'impacter la réalisation des décisions prises.

Toutefois, le COSO ERM part au-delà, en invitant les organisations à travailler sur les risques liés au processus de prise de décision en lui-même.Ainsi, le dispositif de management des risques, tel qu'envisagé par le COSO ERM aurait un périmètre d'analyse plus large.

Le COSO ERM et l'ISO 31000 considèrent tous les deux, que le niveau des risques doit s'apprécier au regard d'éléments objectifs et prédéfinis par l'organisation.Toutefois,les modalités d'établissement de ces critères diffèrent.

Les concepts, d'appétence pour le risque utilisé par le COSO ERM, et de critères de risque utilisé par l'ISO 31000, permettent tous deuxde distinguerles risques acceptables, de ceux non-acceptables compte tenu de la nature et des objectifs de l'organisation.

Toutefois, le concept de critère utilisé par l'ISO 31000 part bien au-delà en invitant les organisations à définir au préalable des critères^20(*)pourun ciblage objectif et pertinentdes risques sur lesquels des analyses plus approfondies doivent être menées.

VI.2.2. Modèle empirique d'analyse du processus de management des risques de la DGI

L'évaluation du PMR de la DGI, s'appuiera sur un modèle d'analyse construitsur la basedes caractéristiques essentielles que doivent revêtir tout processus de management des risques efficace,à la lumière des référentiels tels que le COSO ERM et l'ISO 31000 sans toutefois se focaliser particulièrement sur l'un d'entre eux.Également, le modèle prendra en compte les spécificités de l'évaluation des risques dans les administrations fiscales qui ont souvent recours à des outils spécifiques d'évaluation des risques fiscaux.

Notre modèle d'analyse comprend un modèle de maturité et un questionnaire d'évaluation en cohérence avec ce dernier.

a). Modèle de maturité du PMR

Un modèle de maturité est un ensemble d'indicateurs servant à mesurer le niveau de maîtrise actuel d'un domaine donné par une organisation ainsi que les progrès réalisés (IIA, 2019).

Proposer un modèle de maturité pour analyser unPMR d'une organisation est un défi croissant en raison du nombre important de normes et de référentiels. Chacun d'eux propose des principes que les organisations devraient prendre en compte lors de la conception d'un PMR global.

Cependant, indépendamment duréférentiel utilisé, pour mettre en oeuvre le management des risques, certains éléments caractéristiquesfondamentales peuvent aider l'organisation à mesurer sa maturité. Ainsi donc, un modèle de maturité peut être construit en s'appuyant sur ces caractéristiques. C'est ce que propose l'IIA dans son guide d'évaluation du PMR. Le guide propose des modèles de maturité pour l'évaluation d'unprocessus de management des risques (IIA, 2019).

Recourir aux modèles de maturité proposés par l'IIA procure les avantages suivants :

- c'est évaluer le PMR à partir des caractéristiques fondamentales que doivent revêtir tout processus de management des risques efficace,indépendammentdu référentiel utilisé : cela procure l'avantage de limiter l'impact, du passage à un nouveau référentiel ou del'utilisation de plusieurs référentiels combinés.

- c'est aussi profiter de gages de fiabilité qu'offrent des modèles de maturité construits par une autorité reconnue et un leader incontesté dans la formation, la formulation de normes, lignes directrices et certifications en matière d'audit interne dont la mission principale est d'évaluer et de contribuer à l'amélioration du PMR et du contrôle interne.

Le guideénoncetrois caractéristiques (ou composantes) propres à un management des risques matureindépendamment du référentiel à savoir:

- la culture du risque : intégration des risques à tous les niveaux du processus de décision, de rémunération et de primes, et de fixation des objectifs ;

- la gouvernance des risques:participation de toute l'organisation au processus de management des risques par l'intermédiaire de collaborateurs qualifiés et compétents ;

- etle processus de gestion des risques: identification, priorisation, traitement, suivi et reporting des risques dans toute l'organisation.

Les détails relatifs à ces trois composantes ont déjà été exposésdans ce document au point « II.2.2. Composantes d'un processus de management des risques efficace ».

Le guide de l'IIAa définiun modèle de maturité décrivantcinq étapes de développement pouvant caractériser un processus de management des risques.Cemodèle que nous adopterons dans le cadre de cette étude se présente comme suit :

Le modèle définit cinq étapes de maturité : de la moins avancée (1-Initial) à la plus avancée (5-Optimisé). Par composante, les explications sont les suivantes :

La « Culture du risque » voit sa maturité croître lorsque le risque est davantage intégré au processus de prise de décision. De façon plus explicite :

- un niveau de maturité« 1-initial », signifie que les risques relèvent surtout de l'activité d'audit interne ;

- unniveau de maturité « 2-Reproductible », signifieque le risque est pris en compte par moment. Cela pourrait être le cas, lorsque le management des risques obéit surtout à un besoin de conformité règlementaire ;

- un niveau de maturité « 3-Défini »,signifie que l'audit interne collabore avec les fonctions de contrôle (contrôle interne, gestion des risques, conformité) en partageant des informations sur les risques. L'activité de management des risques devient plus régulière comparativement au niveau précédent.

- un niveau de maturité « 4-Maîtrisé », signifie que le risque est pris en compte dans l'élaboration de la stratégie de l'organisation.

- enfin, un niveau de maturité « 5-Optimisé », signifie que le risque est pris en compte dans toutes les prises de décisions, la stratégie de rémunération et la fixation des objectifs.

Au niveau de la « Gouvernance des risques », plus les dirigeants sont impliqués dans le processus et mieux la gouvernance est mature. Si en plus des dirigeants, l'audit interne, les managers opérationnels ainsi que leurs collaborateurs participent au processus : la participation devient totale et la gouvernance se situe au niveau« 5-Optimisée ».La gouvernance est à un niveau «1-Initial » lorsque l'activité de management des risques n'est réalisée que par l'audit interne et/ou le comité d'audit.

Au niveau de la composante « Processus de gestion des risques », plus le processus s'étend dans l'organisation avec pour socle un langage commun et cohérent, mieux il est jugé mature.

- un niveau de maturité «1-Initial» signifie que le processus de management des risques se limite essentiellement au processus d'audit basé sur les risques ;

- un niveau de maturité «2-Reproductible» signifie qu'il existe un processus d'auto-évaluation des risques et des contrôles mis en oeuvre par les managers eux-mêmes ;

- un niveau de maturité «3-Défini », signifie que l'audit interne et les fonctions de contrôle partagent un langage commun du risque et un processus commun d'évaluation des risques ;

- un niveau de maturité «4-Maîtrisé », signifie que dans toute l'organisation, il existe un langage du risque commun et un processus d'évaluation des risques cohérent ;

- et un niveau de maturité «5-Optimisé », signifie qu'un langage commun du risque et un reporting des risques agrégés sont établisdans toute l'organisation.

Il est important de mentionner les clarifications suivantes que l'IIA (2019) apporteconcernant le modèle de maturité qu'il propose :

- plusieurs éléments au sein de la même organisation peuvent se trouver à différents niveaux de maturité à tout moment. Par exemple, le niveau de maturité de la culture d'une organisation peut différer de celui de sa gouvernance et de son processus.

- il n'est pas nécessairement optimal ou pratique pour toutes les organisations de fonctionner à un niveau de maturité maximal. Atteindre un niveau 2 ou 3 peut être satisfaisant. Chaque organisation devrait définir le niveau de maturité optimal pour sa situation.

Le modèle de maturité ayant été défini, nous abordons maintenant, le questionnaire d'évaluation qui permettra d'apprécier le niveau de maturité du PMR de la DGI.

b). Questionnaired'évaluationdu PMR de la DGI

Pour réaliser l'évaluation du PMR de la DGI, nous avons construit un questionnaire d'évaluation reprenant les trois composantes d'un PMR efficace que sont la culture du risque, la gouvernance des risques et le processus de gestion des risques. Le questionnaire est donc conforme aux principes communs aux référentiels ISO 31000 et COSO ERM. Nous aurons recours à des entretiens et à une analyse documentaire pour apporter des réponses auquestionnaire, ce qui nous permettra d'apprécier la maturité de chacune des composantes au regard du modèle de maturité retenu.

Notre questionnaire résulte d'une adaptation de travaux similaires de l'IIA et de l'ACUA concernant l'évaluation d'un PMR notamment :

- le programmed'auditdu PMRproposé par l'IIAdans son guide d'évaluation du processus de management des risques (IIA, 2019) ;

- le programme d'audit du PMR basé sur le COSO ERM 2017 ,issu des contributions des participants de la conférence annuelle de l'Association des auditeurs des collèges et universités (ACUA^21(*)) en septembre 2018, aux Etats-Unis sous le thème « Auditer le management des risques en utilisant le COSO ERM 2017 ». Les contributions à ce programme d'audit sont venues de divers collèges et universités, dont l'Université de l'Oregon, Virginia Tech, l'Université du Texas System, Stanford, l'Université de Floride du Sud, et bien d'autres (Auditing against the COSO ERM 2017, 2018).

Cette adaptations'explique par le fait qu'il est unanimement reconnu que le management des risques doit être tempéré à la culture et au contexte de l'organisation (ISO, 2018). En effet, même si les principes édictés par les référentiels COSO ERM et ISO 31000ont été établis pour des organisations de toute taille et de toute nature, leur mise en application exige une adaptation selon l'organisation. Ceci ne remet pas remis en cause leur caractère universel, mais tempèreplutôt leur applicationen fonction de la culture et du contexte de l'organisation qui détermineront le choix des modalités pratiques. D'ailleurs, l'IIA et l'ACUA insistent surl'adaptation des programmes d'audit du PMR qu'ils proposent.

Il est aussi important de noterque notre questionnaire prend en compte les spécificités de l'évaluation des risques fiscaux, tels que mentionnées par l'OCDE(OCDE, 2017).

Ci-après un extrait du questionnaire dont l'intégralitéest présentéeen annexe:

Source : adaptation des travaux de l'IIA(IIA, 2019) et de l'ACUA(Auditing against the COSO ERM 2017, 2018)

- les éléments pouvant caractériserun fonctionnement efficace sont recensés ;

- puis les questions à élucider pour s'assurer du fonctionnement de la composante.

De façon explicite, au niveau de la « Culture du risque », le questionnaire aborde la compréhension du management des risques au sein de l'organisation, lepartage des informations sur les risques et la définition de l'appétence^22(*) pour le risque.

S'agissant de la « Gouvernance des risques », le questionnaire aborde l'implication et le leadership des dirigeants, la définition des structures organisationnelles (entités, rôles, pouvoirs et responsabilités) et la surveillance exercée par les dirigeants.

Au niveau du « Processus de gestion des risques », le questionnaire aborde la formalisation du processus d'évaluation, de traitement et de suivi des risques, puis la mise en oeuvre des activités d'identification, d'évaluation, de traitement etde suivi permanent des risques.

La Direction Générale des Impôts est une administration publiquetrès exposéeaux risques. Pour évaluerson PMR, un modèle d'analyseayant pour soclelescaractéristiques propresà tout management des risques efficace que sontla culture du risque, la gouvernance des risques et le processus de gestion des risques. Il prend aussi en compte les spécificités de l'évaluation des risques fiscaux. Le chapitre suivant présentent les résultats de l'évaluation du PMR obtenus suite à la mise en oeuvre du modèle d'analyse.

Chapitre VII - Résultatsde l'évaluation du processus de management des risques

Le PMR de la DGI a pu être évalué à partir de l'application du modèle d'analyse. Les données ont été collectées par le biais d'entretien avec les acteurs de la DGI et d'une revue documentaire. La première partie de chapitre présente les résultats de l'évaluation : les niveaux de maturité des composantes ainsi queleurs forces (points forts) et faiblesses (dysfonctionnements)sont exposéspuis discutés.Ensuite, la seconde partie présente les recommandations formulées pour remédier aux faiblesses constatées.

Les résultats présentés décrivent l'état de fonctionnement du PMR de la DGIà la période de décembre 2021.

VII.1. Résultatset discussions

Le graphique suivant présente globalement les résultats de l'évaluation du PMR de la DGI :

La culture du risque est d'un niveau de maturité « 2-Reproductible » : ce qui signifie que le risque est considéré en fonction des besoins.

La gouvernance est d'un niveau de maturité proche du niveau « 2-Reproductible » : ce qui signifie que les managers opérationnels participent au processus de management des risques.

Leprocessus de gestion des risques,est d'un niveau de maturité proche du niveau «3-Défini» : ce qui signifie qu'un langage de risque et un processus communs d'évaluation des risques sont utilisés par l'audit interne, les fonctions de contrôle et les managers opérationnels.

Les sections qui suivent,exposent de façon détaillée ces différents résultats.

VII.1.1. Culture du risque

- la compréhensiondu rôle et de l'intérêt du management des risques au sein de l'entité ;

- la fluidité des échanges et de la circulation des informations sur les risques ;

v Compréhension du rôle et de l'intérêt du management des risques au sein de la DGI

Les différents rapports de cartographie des risques, indiquent que les acteurs ayant élaboréles deux cartographies des risques ont bénéficié d'une formation sur l'intérêt, les concepts, les principesde fonctionnement et les outils du management des risques.Ils ont eux-mêmes conduit les travaux d'analysedes risques et proposédes plans de traitement des risques sous la supervision duconsultant. Cependant, on relève les limites suivantes en matière compréhension de l'ERM par les acteurs de la DGI :

- les communications sur le rôle et l'intérêt du management des risques se sont limitées aux séances de formation organiséesdans le cadre de l'élaboration des différentes cartographies des risques, ce qui n'assurepasune compréhensionsuffisante du rôle et de l'intérêt dumanagement des risquesparles acteurs;

- la formation n'ayant concernéequ'unepartie des hauts responsables et de leurs collaborateurs immédiats, les acteurs du niveau déconcentré et des échelons inférieursnedisposentpas d'une compréhension de base sur le management des risques.

On peut juger, qu'à l'échelle de la DGI, une proportion significative des collaborateurs ne dispose pas d'une compréhension de base dumanagement des risques.

Il ressort des entretiens réalisés, que les hauts responsables appréhendent l'intérêt du management des risques, mais n'ont qu'une compréhension limitée des modalités pratiques d'intégration du risque au processus de prise de décision et de fixation des objectifs.

Les activités de management des risques notamment d'élaboration de la cartographie des risques restent encore beaucoup portées par l'audit interne (Inspection Techniques des Impôts) qui en assure la supervision et élabore son plan d'audit sur cette base.

v Prise en compte du risque dans l'élaboration de la stratégie et la fixation des objectifs

Il ressort du plan stratégique qu'une analyse des risques a été effectuée dans le cadre de son élaboration.Mais les résultats obtenus ne sont pas explicitement mentionnés dans le document. On en conclut que le risque est pris en compte dans l'élaboration de la stratégie mais de façon non-explicite.

Également, les risques ne sont pas formellement pris en compte dans la planification annuelle des activités et du budget.Toutefois, laDGI s'est engagée dans cette voie, suite à l'élaboration des différentes cartographies des risques, dont il était prévu laprise en comptedes actions de mitigation, dans lesprogrammes de travail et budget annuels de la DGI.

Enfin, l'audit interne élabore son plan d'audit sur la base de la cartographie des risques.

v Fluidité des échanges et de la circulation des informations sur les risques

Les informations sur les risques sont échangées et discutées, mais le dispositif reste assez empirique (peu formalisé), ce qui pourrait limiter son efficacité.

Synthèse et discussiondes résultats obtenus au niveau de la composante « Culture du risque »

- une partie des hauts responsables bénéficient d'une compréhension de base de l'ERM ;

- le risque est pris en compte dans l'élaboration de la stratégie même si les analyses en découlant ne sont pas explicitement documentées dans le plan stratégique ;

- l'audit interne élabore son plan d'audit interne sur la base de la cartographie des risques, ce qui contribue àl'efficience dansplanification et la conduite des missions d'audit.

- une proportion significative des acteurs de la DGI, ne dispose pas d'une compréhension de base du rôle et de l'intérêt de l'ERM,ainsi quedes modalités d'intégration du risque au processus de prise de décision ;

- les risques ne sont pas formellement pris en compte dansles processus de planification annuelle des activités et debudgétisation ;

- lesmécanismes d'échanges et de circulation des informations sur les risques demeurent peu formalisés ;

La culture du risque est d'un niveau de maturité« 2-Reproductible » : le risque est considéré en fonction des besoins. Pourtant, la DGI, étant une administration fiscale, elle est très exposée aux risques. D'ailleurs,l'évaluation des risques fiscaux devrait être un l'élément clé de sa stratégie (OCDE, 2017). Nous en déduisons que le niveau de maturité de la culture du risque à la DGI, reflète peu une intégration suffisante du risque dans la prise de décision. Cela confirme notre hypothèse initiale émise en raison du caractèrerécent de la démarche de management des risques à la DGI.En effet, le COSOERMsouligne que pour la plupart des entités, l'intégration des risques dans le processus de prise de décision,exige un effort continudans le tempsune foisla démarchede culture consciente des risques adoptée(COSO, 2017). Avec le temps, l'organisation apprend à mieux intégrer le risque dans la prise de décision.

Finalement, nous pensons que le risque étant au coeur même dumétier de la DGI, elle devraitsonger àmieux l'intégrer à son processus de prise de décisions et de fixation des objectifsafin d'atteindre une culture du risque de maturité « 5-Optimisé ».

VII.1.2. Gouvernance des risques

Au niveau de lagouvernance des risques, les aspects suivants ont pu être analysés:

- la définition des structures organisationnelles (entités, rôles, pouvoirs et responsabilités en matière de gestion des risques) ;

Entre 2019 et 2020, la DGI a sollicité l'appui d'un consultant pour l'élaboration et la mise à jourdes cartographies des risques fiscaux et institutionnels (DGI, 2020).Les travaux ont été conduits par ungroupe de travail,composé d'acteurs clés des processus métiers et supports,sous la supervision du consultant. À cette occasion, la direction générale a bénéficié de sensibilisations (par le consultant) au rôle et à l'intérêt du management des risques. Les travaux ont fait l'objet de présentations et de validations en présence de la direction générale, qui à l'occasions'était engagée à fournir son soutienau développement du PMR initié.

L'allocation de ressources financières à l'élaboration des cartographies des risques par la direction générale, son implication dans leurs validations,et son engagement à soutenir ledéveloppement du PMR,traduisent son intérêt et son soutienà la démarche de management des risques. Aussi, la participation aux séances de validation des travaux a fourni à la direction générale, une vue globale des risques majeurs encourus par la DGI. Toutefois, l'absence d'échanges réguliers sur les risques est peu encline à la rendre familière aux risquesde l'organisation.

En somme, du fait des sensibilisations réalisées par le consultant, la direction devrait disposer d'une compréhension de basesur le management des risques. Toutefois, ilest peu certain qu'elle appréhende les modalités pratiques de la surveillance du PMR puisqu'elle n'a bénéficié d'aucune formation en la matière.

v Définition des structures organisationnelles et formalisation des rôles et responsabilités

À ce jour, les rôles et responsabilités des différents acteurs (direction générale, managers et auditeurs) en matière de management des risques n'ontfait l'objet d'aucune formalisationà la DGI. Mais de façon pratique les responsabilités sont reparties comme suite :

- les responsables des processus métier et de support recensent et évaluent les risques, puis proposent des plans de traitement soumisà la validation de la direction générale ;

- l'Inspection Technique des Impôts (audit interne)est chargée d'organiser et de superviser l'activité d'élaboration de la cartographie des risques ;

- etl'Inspection Technique des Impôts élabore et exécute son plan d'audit interne sur la base des cartographies des risques.

Le consultant ayant assisté la DGI dans le cadre de l'élaboration des différentes cartographies des risques, avait formulé des recommandations en faveur de la formalisation des rôles et responsabilités. À ce titre, il avait recommandéla créationd'un service en charge du contrôle interne et du management des risques et d'un comité de maîtrise des risques.

Le service en charge du contrôle interne et du management des risques a été créé maisdemeure encore non-opérationnel. Quant au comité de maîtrise des risques qui devrait être le canal par lequel la direction généralesurveilleraitlePMR, il n'a pas encore été créé.

Aucun mécanisme de reporting n'a encore été mis en place à la DGI. Les reportings existants se limitent à ceux réalisés avec l'appui du consultant à l'issu de l'élaboration des différentes cartographies des risques. Ils couvrent l'inventaire des risques, la hiérarchisation des risques, et les plans de mitigations des risques.Les reportings associés au suivi de la mise en oeuvre des plans de traitement des risques, au suivi des indicateurs d'évolution des risques et au suivi des incidents et des opportunités ne sont pas encore réalisés.

Synthèseet discussion des résultats obtenus au niveau de la composante « gouvernance des risques »

- la démarche de management des risques bénéficie de l'intérêt et du soutien de la direction générale (implication et allocation de ressources) ;

- les managers opérationnels sont impliqués dans le PMR puisqu'ils élaborent eux-mêmes la cartographie des risques même si l'audit interne continue de jouer un rôle important en pilotant les travaux.

- la direction générale n'est pas suffisamment familière aux risques de l'organisation ;

- les rôles et responsabilités en matière de gestion des risques ne sont pas formalisés ;

- le service en charge du management des risques n'est pas encore opérationnel ;

- il n'existe pas de reporting permanentdes risques adressés à la direction généralece qui rend difficile l'exercice de son rôle de surveillance des risques.

La gouvernance est àun niveau proche du niveau « 2-Reproductible » : les managers opérationnels participent au PMR. Le niveau « 2-Reproductible » n'est pas parfaitement atteint, car l'audit interne demeure le principal moteur de la gouvernance des risques. La participation des managersreste largement tributaire de l'impulsion donnée par l'audit interne qui pilote l'élaboration de la cartographie des risques réalisée par les managers. Après avoir donné l'impulsion, la direction n'a pu maintenir une implication permanente.

La DGI est une administration stratégique sur le plan nationale. Aussi l'évaluation des risques est un élément clé dans la réalisation de sa mission. Par conséquent, le niveau de maturité « 2-Reproductible » traduisant uneinsuffisante implication de la direction dans le PMR peut être jugé inadéquat : ce constat confirme notre hypothèse initiale.

L'importance de la gestion des risques dans sa mission, sa taille et la complexité de son environnement, nous amène à croire qu'à minima, tous les niveaux du management et la direction devrait être permanence impliqués dans le PMR, ce qui correspond au niveau de maturité « 4-Maîtrisé ».

VII.1.3. Processus de gestion des risques

Concernant le processus de gestion des risques, l'exhaustivité et la pertinence des activitésd'identification, d'évaluation, de traitement, de suivi permanent et de reporting des risques,ont fait l'objet de notre analyse.

À ce jour, le processus de gestion des risques à la DGI se limitesurtoutàl'élaboration de la cartographie des risques et à la définition de plans de traitement des risques. L'étape desuivi permanent des risques,reste encoreà implémenter.En effet, la mise en oeuvre des plans de traitement des risques ne fait pas l'objetd'un suivi formel. C'est également le cas des incidents dont la gestion demeure empirique. Aussi, il n'existe pas d'indicateurs de suivi de l'évolution des risques. Ces insuffisances dans le suivi permanent des risques, s'expliquerait par la non-opérationnalisation du service de contrôle interne et de maîtrise des risques.

En plus de ces insuffisances, on notel'absence d'un aspect clé de l'évaluation des risques fiscaux: il s'agit des outils de profilage des contribuables qui sont des indicateurs qui laissent présager que des contribuables ou des dispositifs spécifiques peuvent présenter un risque important, susceptible d'entraîner des mesures de discipline fiscale complémentaires, ou bien un risque réduit, qui peut impliquer des mesures moins importantes et plus ciblées.

Les activités d'identification, d'évaluation et de traitement des risques sont réalisées selon une méthodologie commune proposée par le consultant ayant assisté la DGI dans l'élaboration des différentes cartographies des risques. Cette méthodologie est présentée comme étant basée sur le COSO ERM 2017. La pertinence de la méthodologie n'est pas remise en cause, mais il est utile de signaler que son caractère non officiel, constitue un handicapcar il expose le PMR à des incohérences méthodologiques futures. C'est d'ailleurs pour cette raison que les meilleures pratiques exigent l'élaboration d'une politique de gestion des risques qui formalise la méthodologie (AMF, 2010).

S'agissant, du suivi permanent des risques, aucune méthodologie spécifique n'a été adoptée.

v Pertinence de la démarche d'identification, d'évaluation et de traitement des risques

Les cartographies des risquesréalisées par la DGI ont été élaborées selon la méthodologie proposée par le consultant puisque la DGI ne disposait au préalable d'aucune méthodologie. Il s'agit de la cartographie des risques fiscaux et institutionnels,et de celle spécifique aux risques fiscaux relatifs au secteur des mines (DGI, 2020). Ellesont été élaborées par les acteurs des processus/domaines concernés en suivant les étapes suivantes :

- la description des processus et des domaines (activités, étapes, acteurs et enjeux) ;

- l'identification des risques par activité/domaine sur la basedes objectifs ou enjeux ;

- l'analyse des risques à travers leurs causes, conséquences, et parties prenantes ;

- l'évaluation des risques bruts et résiduels en termes d'impact et de probabilité selon des échelles d'évaluation préalablement définies ;

- l'analyse desdispositifs de maîtrise des risques pour identifier les vulnérabilités ;

- et l'élaboration de plans de traitementen cohérence avec les stratégies de traitement retenues et avec les défaillances observées dans les dispositifs de maîtrise des risques.

On peut remarquer une concordance entre ces étapes etleslignes directrices du COSO ERM, notamment au niveau des principes de la composante « Performance » (COSO, 2017).

En ce qui concerne la périodicité de mise à jour des différentes cartographies des risques, on peut les jugerrelativement longues et aléatoiresprobablement en raison de la non-définition formelle d'une périodicité de mise à jour. À ce propos, la cartographie des risques fiscaux et institutionnels élaborée en février 2019,a été mise à jour en décembre 2020, soit quasiment deux ans après l'élaboration. Quant à la cartographie des risques fiscaux relatifs au secteur des mines, cela fait plus d'une une année qu'elle a été élaborée, mais aucune période n'a été fixée pour sa mise à jour.Pourtant, la norme IIA 2210 exige que la cartographie des risques soit mise à jour au moins une fois dans l'année (IIA, 2017).

Lesdifférentes cartographies des risques couvrent l'ensemble des processus de pilotage, de réalisation et de support mis en oeuvre au sein de la DGI.

Encequi concerne le pilotage,on peut remarquer que le processus de planification stratégique fait l'objet d'une analyse des risques, ce qui répond aux exigences du COSO ERM qui préconisel'analyse des risques liés au processus de prise de décision.L'univers des risquescomprenddes risques tels que la non pertinence des orientations stratégiques ou le manque de cohérence entre les programmes opérationnels et les orientations stratégiques.

S'agissant des processus de réalisation, les processus de gestion des contribuables, de gestion des déclarations fiscales, de contrôle fiscal, et de recouvrementont tous étépris en compte conformément aux bonnes pratiques TADAT qui les considèrent comme des processus clés. Les risques liés à l'immatriculation au registre des impôts, au dépôt des déclarations fiscales, au paiement des impôts dans les délais, et à l'exactitude des déclarations, tels qu'énoncés par le référentiel TADAT sont recensésdans l'univers. Sont répertoriés des risques tels que la non-immatriculation de contribuables potentiels,l'inexactitude des déclarations, la non-détection des infractions fiscales ou encore la prescription des restes à recouvrer.

S'agissant des processussupport,les processusde gestion des ressources humaines, de gestion financière, de gestion de la logistique, de gestion du système d'information et de communication sont également couverts. Les problématiques partagées du contrôle interne que sont la qualité des ressources humaines, en l'occurrence la capacité à attirer, former et fidéliser les compétences ; la gestion optimale des ressources financières et matérielles en les préservant des vols, pertes, dégradation et détournement ; etcelle de l'adéquation et de la sécurité des systèmes d'information et de communication sont traitées dans l'univers des risques conformément aux principes du COSO 1 (COSO, 2013).Sont répertoriésles risques tels que l'inadéquation du profil des agents avec le poste, lesdysfonctionnements dû au départ de compétences clés, les détournements de fonds, la cybercriminalité, ou encore la rupture de la continuité informatique etc.

Au niveau de la cartographie des risques fiscaux relatifs au secteur des mines, l'univers des risques couvre les domaines de l'exploitation minière industrielle, semi-mécanisée et artisanale ; et les différentes étapes du cycle de vie des entreprises minières.

En somme, la prise en compte dans l'univers des risques, de l'ensemble des processuset des domainesde l'assiette fiscal de la DGI,est en ligneaveclaphilosophie d'approche globale de gestion des risques soutenue par le COSO ERM et l'ISO 31000.Toutefois, on remarque que les risques liés au contexte externe de la DGI (politique, économique, social, technologique) ou en d'autres termes les risques exogènes, sont insuffisamment pris en compte dans les différentes cartographies des risques. Par exemple, aucune mention n'est faite des risques liés à la conjoncture économique, aux mesures fiscales duesaux crises sécuritaires etsanitaires du covid-19.Il en est de mêmepour les risques liés au développement de l'économie numérique, au probable passage à la monnaie commune dans la zone CEDEAO^23(*) ou à l'adhésion du Burkina à la Zone de Libre-Échange Continentale Africaine (ZLECAF).

Synthèse et discussiondes résultats obtenus au niveau de la composante « Processus de gestiondes risques »

- le processus méthodologique de gestion des risques estconforme aux meilleures pratiques (lignes directrices COSO ERM 2017) même s'il demeure non exhaustif ;

- l'évaluation des risques et l'élaboration des plans de traitement sont réalisées par les managers opérationnels (existence d'un processus d' auto-évaluation des risques) ;

- l'univers des risques couvre l'ensemble des processus de pilotage, de réalisation et de support mis en oeuvre à la DGI et les domaines clés de l'assiette fiscale, ce qui est en phase à la philosophie d'approche globale de gestion des risques ;

- le processus méthodologique de gestion des risques est commun à l'ensemble de l'entité même s'il n'a pas encore fait l'objet d'une adoption officielle.

- le processus de gestion des risques manqued'exhaustivité en raison de la non-implémentation dusuivi permanent des risques qui inclue le suivi des incidents et l'élaboration des indicateurs de suivi de l'évolution des risques ;

- il n'existe pas d'outils de profilage des contribuables ou des opérations selon le niveau de risque ;

- le processus méthodologique de gestion des risques utilisé en ce moment,n'est pas formellement adoptéd'où le risque d'incohérenceméthodologique dans le futur ;

- lesrisques liés au contexte externe de la DGI(politique, économique, social, technologique) ou en d'autres termes les risques exogènes, sont insuffisamment pris en compte dans les différentes cartographies des risques ;

- la périodicité de réalisation des évaluations des risques (élaboration des cartographies des risques) est assez longue et aléatoire (plus d'une année) ;

Leprocessus méthodologique de gestion des risques,peut être jugé comme étant d'unniveau de maturité proche du niveau«3-Défini» : ce qui signifie qu'un langage de risque et un processus communs d'évaluation des risques sont utilisés par l'audit interne, les fonctions de contrôle et les managers opérationnels. Le niveau « 4-Maîtrisé » n'est pas atteint en raison de la non mise en place des outils de profilage des contribuables selon le niveau de risque.

Au regard de la place du risque dans le métier de la DGI, de sa taille et de l'enjeux stratégique qu'elle représente pour l'État burkinabè, il est important de mettre en place des outils de profilage des contribuables et un système de reporting des risques robuste pour que le processus de gestion des risques atteigne le niveau de maturité « 5-Optimisé ». On peut en conclure que notre hypothèse initiale n'est pas confirmée en raison du caractère non-exhaustif du processus et du caractère officielle de la méthodologie utilisée.

Synthèse globale et discussiondes résultats d'évaluation du PMR de la DGI

En somme, les analyses ont relevé que le PMR de la DGI comporte des insuffisances susceptibles d'impacter son efficacité malgré la volonté de la direction générale de le développer. En effet, les trois composantes analyséesque sont la culture du risque,la gouvernance des risques et le processus de gestion des risques,sont jugéescomme étant en deçà du niveau de maturité souhaitable lorsqu'on considère l'importance du risque dans le métier de la DGI et sa position stratégiqueau sein de l'État.

Il est cependant important, de faire remarquer que la composante « Processus de gestion des risques» qui traite des aspects méthodologiques du PMR,possède la particularité de présenter un niveau de maturitésupérieur à celle des autres. Cela est imputable à l'appui méthodologique du consultant ayant accompagné la DGI dans la mise en oeuvre de son PMR, mais aussien raison du fait que la mise en oeuvre de la méthodologie d'identification, d'évaluation et de traitement des risquesne nécessite pas de changements structurels profonds.

S'agissantdes composantes« culture » et « gouvernance », leur mise en oeuvreadéquateexige plus d'efforts et de temps en raison des changements profondsque cela implique dans l'organisation et le mode de prise de décision. Cette situation n'est pas surprenante pour un PMR naissant en raison des difficultés inhérentes à la mise en oeuvre de la nouvelle gestion publique dans laquelle s'inscrit pleinement le management des risques. Comme le souligne COHEN (2012), la nouvelle gestion publique est un exercice difficile dont la mise en oeuvre nécessite du temps pour que les concepts soit largement compris et mis en oeuvre : la démarche est donc progressive.La DGI s'inscrit plutôt bien dans cette démarche, puisque la direction générale s'est engagée à soutenir le développementdu PMR qu'elle a initié.

VII.2. Recommandations

Les résultats de l'évaluation qui viennent d'être présentés, ont permis de mettre en lumière les forces et faiblesses du PMR de la DGI. Au regard des faiblesses constatées, nous avons formulé des recommandations dont la mise en oeuvre pourrait améliorer le fonctionnement du PMR et donc accroître sa capacité à créer et à préserver de la valeur au profit de la DGI et de ses parties prenantes.

VII.2.1. Culture du risque

À la DGI, les insuffisances constatées au niveau de la composante « Culture du risque » sont susceptibles de nuire à l'efficacité du PMR. Une culture inadéquate peut rendre inopérants ou inefficaces les politiques, procédures et processus d'évaluation des risques, même s'ils sont bien conçus. C'est pourquoi les recommandations suivantes sont formulées afin de renforcer la culture du risque :

1. Poursuivre la formation et la sensibilisation des acteurs des différents niveaux hiérarchiques sur le rôle, l'intérêt et les principes de fonctionnement du management des risques tout en insistant sur l'importance de leur participation.

2. Mettre en place des forums confidentiels pour la remontée d'informations sur les risques (nouvelles ou évènements défavorables, opportunités, idées innovantes).

3. Communiquer pour rassurer les collaborateurs que la communication d'informations sur les risques et opportunitésn'occasionnera aucune représailles et bénéficiera de toute l'attention requise.

VII.2.2. Gouvernance des risques

À la DGI, les insuffisances constatées au niveau de la gouvernance des risques sont susceptibles d'entraver le développement de la culture du risque et la mise en oeuvre efficace du processus de gestion des risques.Les recommandations formulées pour pallier aux faiblesses de la composante « Gouvernancedes risques » sont les suivantes :

- les rôles et responsabilités des différents acteurs conformément aux normes ;

- la démarche d'identification, d'analyse, de traitement des risques, de suivi et de reporting des risques ;

3. Mettre en place un comité de maîtrise des risques présidéparle directeur généralet qui aura en charge le pilotage du processus de management des risques.

4. Opérationnaliser le service en charge du management des risques et du contrôle interne.

5. Mettre en placeun mécanisme de reporting périodique des risques adressé à la direction.

VII.2.3. Processus de gestion des risques

Les recommandations formulées pour remédier aux faiblesses de la composante « Processus de gestion des risques » sont les suivantes :

1. Mettre en place des outils de profilage des contribuables, groupes de contribuables ou catégories d'opérations selon le niveau de risque afin d'optimiser les contrôles fiscaux ;

2. Mettre en place un mécanisme de suivi permanent des risques (suivi de la mise en oeuvre des plans de traitement des risques, indicateurs de suivi de l'évolution des risques et suivi des incidents) piloté par le service en charge du management des risques et du contrôle interne ;

3. Conduire une analyse spécifique des risques générés par le contexte externe (risques exogènes) en collaboration avec les équipes en charge de la stratégie.

Le processus de management des risques de la DGI comporte des insuffisances susceptibles de nuire à son efficacité. En effet, les trois composantes que sont la culture du risque,la gouvernance des risques et le processus de gestion des risques,sont encore en déca de ce qui serait attendudu PMR d'une administration fiscale comme la DGIen raison de sa forte exposition aux risques et de sa position stratégique dans la chaine de GFP. Toutefois,il est important de souligner que cela reste peu alarmant et surprenant en raison du caractère naissant de la démarche de management des risques.Au regard des faiblesses relevées, des recommandations ont été formuléesdans l'optique de tendre vers un processus de management des risques beaucoup plus mature.

Chapitre VIII - Conclusion

L'administration fiscale est l'une des administrations les plus exposées aux risques. Il est donc primordial pour elle de mettre en place un processus de management des risques (PMR) et de s'assurer de son bon fonctionnement. Au Burkina Faso, la Direction Générale des Impôts (DGI), a mis en place un processus de management des risques sans n'avoir toutefois jamais procédé à son évaluation. Par conséquent, l'état de fonctionnement du processus reste peu connu.

L'objectif de cette étude était d'apprécier l'état de fonctionnement du processus de management des risquesde la DGIenrépondant aux interrogations suivantes: la culture du risque, reflète-t-elle une intégration suffisante des risques au processus de prise de décision et de fixation des objectifs?La gouvernance des risques,reflète-t-elle une participation suffisante des acteurs de la DGI au processus de management des risques ?Le processus méthodologique de gestion des risques, notamment d'évaluation, de traitement, de suivi et de reporting des risques, est-il pertinent et mis en oeuvre de façon adéquate ?

Pour parvenir à cet objectif, nous avons construit un modèle d'analyseissu de l'adaptationde travaux similaires de l'IIA et de l'ACUA concernant le PMR. Ce modèle d'analyse inclut un modèle de maturitéet un questionnaired'évaluationélaborés sur la base des caractéristiquespropres à tout PMR efficace indépendamment du référentiel utilisé :il s'agit de la culture du risque, de la gouvernance des risques et du processus de gestion des risques.Le questionnaire aborde entre autres la compréhension du management desrisques au sein de l'entité, le soutien de la direction générale à cette démarche, la définition des rôles et responsabilités en la matière, la pertinence de la méthodologie d'évaluationdes risques ou encorele partage d'informations sur les risques. Sont également pris en compte, les spécificités de l'évaluation des risques dans l'administration fiscale comme le recours aux outils de profilage des contribuables ou des opérations en fonctiondu niveau de risque.

Les réponses apportées au questionnaire à travers lesentretienset les analyses documentaires,révèlent que le PMR de la DGI, comporte des insuffisances susceptibles de nuire à son efficacité. En effet, les trois composantes analyséesque sontla culture du risque, la gouvernance des risques et le processus de gestion des risquessont encore en deçà du niveau de maturité souhaitable au regard de la forte expositionau risquedel'administration des impôtset durôle stratégique de la DGI dans mobilisation des recettes de l'État.

De façon détaillée, au niveau de la composante « Culture du risque », on note qu'une proportion significative des acteurs de la DGI, ne disposepas d'une compréhension de base sur le risque. Aussi, le risque est pris en compte dans l'élaboration de la stratégie et dans la planification annuelle des activités et du budget,mais de façon informelle. Également, le mécanisme d'échanges et de diffusion des informations relatifs aux risques demeure informel etl'appétence pour le risque reste non définie. Le risque sembleêtre considéré en fonction des besoins, ce qui peut être jugé insuffisant pour une administration fiscale où la gestion des risques constitue un élément clé. En d'autres termes, l'on peut affirmer quela culture du risque reflète une insuffisante intégration du risque dans le processus de prise de décision et defixation des objectifs.

Au niveau de la composante « Gouvernancedes risques », le soutien de la direction générale dès l'entame du processus à travers l'allocation des ressources et son implication, constitue un point positif. Il en est de même pour la participation des managers aux travaux d'analyses des risques sous l'impulsion de l'audit interne. Toutefois, il subsiste des insuffisances qui ont un impact significatif sur l'efficacité du PMR. En l'occurrence, il s'agit entre autres du défaut de formation de la direction générale à la surveillance du PMR,de la non-définition des rôles et responsabilités en matière de gestion des risques ou encore de l'absence d'un comité de maîtrise des risques. Cette dernière insuffisanceconstitue un frein à l'implication régulière de la direction générale dans le PMR.Pourtant, l'implication régulière de la direction générale est nécessaire en raison de la place centrale du risque dans la mission de la DGI. Finalement, on peut juger que la gouvernance des risques, présente un niveau de maturité en deçà, de ce qui serait attendu d'une administration fiscale comme la DGI.

Au niveau de la composante « Processus de gestion des risques », on peut noter que le processusméthodologique tend à se conformer aux principes établis par les standards tels que le COSO ERM 2017, l'ISO 31000,ainsi qu'auxprincipes d'évaluation des risques fiscaux (OCDE). Cependant,l'absence desuivi permanent des risques (gestion des incidents et indicateurs de suivi de l'évolution des risques) et d'outils de profilage des contribuables et des opérations en fonctiondes risques, constituentdes points faibles du PMR.Aussi, la méthodologie de gestion des risques malgré son caractère commun à l'ensemble de la DGI, reste vulnérable à des incohérences futures à cause de son caractère non-officiel.En plus, l'univers des risquesne prend pas suffisamment en compte les risques d'origine externe(politique, économique, social, technologique, etc.). Également, la périodicité de réalisation des évaluations des risques est assez longue et aléatoire. Finalement, on peut juger que le niveau de maturité duprocessus de gestion des risquesne couvre pas suffisammentles besoins de la DGI en matière de gestion des risques.

Les insuffisancesdu PMR qui ont été relevées par cette étude, n'ont pas un caractère alarmant.Elles sont souvent propres à toutprocessus de management des risques naissant, surtout dans le secteur publique qui essaie tant bien que mal de se mettre à l'heure de la nouvelle gestion publique (NGP). En effet, le management des risques tout comme les autres outils de la NGP,demeure un exercice difficile. Un effort continu dans le temps est nécessairepour une large compréhension des concepts et une mise en oeuvre adéquate : la démarche doit donc être progressive pour l'accession à des paliers supérieurs de maturité.

Afin de remédier aux insuffisances,plusieurs actions ont été proposées parmi lesquelles : la formation de la direction générale à la surveillance du PMR,ainsique celle des collaborateurs au risque ;la mise en place d'outils de profilage des contribuables et des opérations selon le niveau de risque ;l'élaboration d'une politique de gestion des risques ;la mise en place d'un comité de maîtrise des risques, de forums confidentiels de remontée d'informations sur les risquesetd'un mécanisme de suivi permanent des risques.

Pour terminer, nous pensons qu'une fois les insuffisances corrigées, une étude ultérieure pourrait à moyen terme se pencher sur l'efficacité du PMR, c'est-à-dire son impact effectif sur les performances de la DGI.

Chapitre IX - Bibliographie

AMF. 2010. Les dispositifs de gestion des risques et de contrôle interne : cadre de référence. 2010. p. 36.

Auditing against the COSO ERM 2017. AUCA. 2018. New Orleans, Louisiana : s.n., 2018.

Burkina Faso. 2015. Loi n° 073-2015 du 06 novembre 2015 portant loi des finances. 2015.

CABANE, Pierre. 2018.Manuel de gouvernance d'entreprise - les meilleures pratiques pour créer de la valeur. [éd.] Eyrolles. 2ème. Paris : s.n., 2018. p. 370.

CCSE. 2015. Code de bonnes pratiques de gouvernance des sociétés d'Etat. Ouagadougou, Burkina Faso : s.n., 2015. p. 70.

COHEN, ALain-Gérard. 2012.La Nouvelle Gestion Publique. [éd.] Gualino. 3ème. Paris : s.n., 2012. p. 221.

COSO. 2017. Entreprise Risk Management. Integrating with Strategy and Performance. 2017. p. 257.

DGI. 2020.Mise à jour de la cartographie des risques fiscaux relatifs au secteur minier et plan de mitigation associé. Ouagadougou : s.n., 2020. p. 220.

DGI. 2020.Mise à jour de la cartographie des risques fiscaux, étendue aux risques institutionnels de la Direction Générale des Impôts. Ouagadougou : s.n., 2020. p. 259.

DGI. 2019.Rapport définitif de la mission d'élaboration de la cartographie des risques fiscaux de la Direction Générale des Impôts. Ouagadougou : s.n., 2019. p. 228.

IFACI, Groupe professionnel Assurance. 2013. De la cartographie des risques au plan d'audit. Cahier de Recherche. Paris, France : s.n., 2013. p. 136.

IIA. 2019. Evaluation du processus de management des risques CRIPP. Lignes directrices complémentaires. Lake Mary, Floride, USA : s.n., 2019. p. 33.

IIA. 2020. Le modèle des trois lignes de l'IIA. Version 2020 des trois lignes de maîtrise. 2020.

IIA. 2017. Normes internationales pour la pratique professionnelle de l'audit. Lake Mary, Floride, USA : s.n., 2017. p. 17.

IIA. 2011. Public Sector Definition. Supplemental Guidance. Altamonte Springs, Floride, USA : s.n., 2011. p. 8.

ISO. 2018.Management du risque - Principes et lignes directrices. Geneve, Suisse : s.n., 2018. p. 16.

OCDE. 2017. Manuel pratique d'évaluation des risques fiscaux. Déclaration pays par pays . 2017. p. 104.

ONU. 2019. Word Sector Public Report 2019. Sustainable development goal 16 : focus on public institutions. New York : s.n., 2019. p. 219.

PEFA. 2021. 2020 Global Report on Public Financial Management. février 2021. p. 113.

PEFA. 2016. Cadre d'évaluation de la gestion des finances publiques. Washington, USA : s.n., 2016. p. 121.

RENARD, Jacques. 2018.Théorie et pratique de l'audit interne. s.l. : Eyrolles, 2018. p. 474.

République du Bénin. 2018. Décret N° 018 - 396 du 29 août portant réorganisation des corps de contrôle en République du Bénin. 2018. p. 9.

République du Bénin. 2018. Décret N° 2018 - 397 du 29 août 2018 portant approbation du cadre de référence de l'audit interne dans l'administration de l'Etat en République du Bénin. 2018. p. 2.

SUTRA, Géraldine. 2019.Management du risque : une approche intégrée à la stratégie. s.l. : AFNOR, 2019. p. 206.

TADAT. 2015. Outil diagnostique d'évaluation de l'administration fiscale. Guide pratique. 2015. p. 223.

TADAT. 2017.Rapport d'évaluation de la Direction Générale des Impôts du Burkina Faso. 2017.

UEMOA. 2020.Rapport semestriel d'exécution de la surveillance multilatérale. 2020.

Union Européenne. 2010. Compliance Risk management for Tax Administrations. 2010. p. 110.

DGI. Historique de la DGI. www.dgi.bf. [En ligne] [Citation : 2021 06 19.] https://www.impots.gov.bf/linstitution/historique.

Chapitre X - Annexe

Questionnaire d'évaluation du processus de management des risques de la DGI

I. Culture du risque : intégration des risques à tous les niveaux du processus de décision et de fixation des objectifs

Éléments caractéristiques d'une culture du risque adéquate

Documents

Questions/Investigations

Compréhension du risque au sein de l'organisation

· Le rôle et l'intérêtde la gestion des risques sont compris et communiqués dans l'ensemble de l'organisation.

· Tous les membres de l'organisation comprennent que la gestion des risques fait partie de leurs responsabilités quotidiennes.

· Le personnel est formé au management des risques.

· Lepersonnelest formé sur les différents risques existants ainsi que sur les attitudes et les comportements qu'il faut adopter pour réagir efficacement (par exemple cybercriminalité, santé sécurité au travail etc.).

· Le risque et la gestion du risque sont abordés dans le plan stratégique, dans l'élaboration des objectifs en particulier dans la planification des contrôles fiscaux ;

· PTBA

· Déclaration d'intention sur la gestion des risques ;

· Politique de gestion des risques ;

· Plan stratégique ;

· Procès-verbaux de réunions ;

· Rapports de formations ;

1. Comment le management des risques est-il perçu dans l'organisation ? Comme un moyen de créer et préserver de la valeur ou plutôt comme un exercice bureaucratique ou une exigencerèglementaireà laquelle il faudrait se conformer ?

2. Le personnel est-il formé au management des risques ?

3. Les managers perçoivent-ils le risque comme leur propriété et non celle des auditeurs ou des fonctions de contrôle ?

4. Le risque est-il abordé dans le plan stratégique et dans l'élaboration des objectifs ? Autrement dit une analyse des risques a-t-elle été effectuée dans le cadre de la sélection des stratégies et des projets ?

Fluidité de la circulation et échanges d'informations sur les risques

· La direction générale encourage les réunions et les discussions régulières ainsi que l'échange d'informations à tous les niveaux de la chaîne managériale ;

· Il existe une communication ouverte sur les risques : les politiques de dénonciation, de non-représailles combinées à l'existence de différents types de canaux (forums anonymes, boite à idée etc.) favorise la remontée et le traitement d'informations sur les risques et opportunités.

· Déclarations culturelles ou d'éthique de l'entité ;

· Rapport d'investigation sur l'éthique ou la fraude

· Résultats d'enquêtes sur le climat social

5. Existe-t-il des forums confidentiels permettant aux collaborateurs de s'exprimer sur des questions culturelles ou sur des obstacles à la communication d'informations sur les risques ?

6. Les mauvaises nouvelles remontent-elles facilement au sein de l'organisation ?

7. L'organisation est-elle réceptive aux propositions innovantes ou aux opportunités ?

Définition de l'appétence pour le risque ou critères de risques

· Exercices de définition des risques menés avec la direction pour établir des limites (tolérance ; acceptation)

· Les collaborateurs sont informés de l'appétence pour le risque de l'organisation

8. L'appétence pour le risque, a-t-elle été défini ?

9. Est-elle connu et comprise par les collaborateurs ?

II. Gouvernance des risques : participation de toute l'organisation au processus de management des risques par l'intermédiaire de collaborateurs qualifiés et compétents en la matière

Bonne pratique

Documents

Questions/Investigations

Implication et leadership des dirigeants

· La direction et les organes de surveillance ont affecté les ressources nécessaires à la mise en oeuvre du management des risques( compétences, méthodes et procédures documentés, planning, outil de gestion des informations, formation etc.)

· Les membres de ladirection sont formés au management des risques notamment à sa surveillance

· La direction remplit son rôle de surveillance de manière adéquate, elle se réunit périodiquement dans le cadre du management des risques

· La direction démontre et définit clairement son engagement permanent en matière de management du risque par le biais d'une politique, d'une déclaration ou d'autres formes de moyen permettant de communiquer clairement les objectifs et l'engagement de l'organisation en matière de management des risques ;

· La direction aborde régulièrement les risques dans les réunions ou d'autres occasions ?

· Fiches de description de poste ;

· Procès-verbaux de réunions ;

1. La direction et les organes de surveillance, ont-ellesalloués des ressources au développement de l'ERM (compétences, formation, procédures, politiques, budget) ?

2. Les membres de ladirectionont-t-il été formés à la surveillance de l'ERM ?

3. Comprennent-ils le management des risques ?

4. Ladirection est-elle à l'aise avec les risques encourus par l'organisation ?

5. La direction dispose-t-elle d'informations pour prendre des décisions sur les risques ? Comment les utilise-t-il pour prendre des décisions ?

Définition des structures organisationnelles( entités, rôles, pouvoirs et responsabilités)

· Les rôles et responsabilités en matière de management des risques sont-ils clairement définis, communiqués et compris dans l'ensemble de l'organisation. La responsabilité du management des risques est clairement énumérée comme une attributionde la direction générale

· La définition des rôles prend en compte les différentes entités intervenant dans le management des risques ( conseil, direction, collaborateur) à travers l' existence d'un comité d'audit, d'un comité de risques ou d'un service de gestion des risques etc.

· Charte du conseil ;

· Descriptions de poste

· Organigrammes ;

· Politiques et procédures

6. Les rôles et responsabilités en matière de management des risques sont-ils clairement définis ?

7. Le management des risques est-il une responsabilité spécifique énumérée dans les attributions de la direction générale ?

8. Existe-t-il un comité des risques ou un autre comité de surveillance en charge des risques ?

9. La haute direction fait-elle partie du processus de gestion des risques ?

10. Le cadre organisationnel est-il adapté au contexte externe et interne de l'organisation (exigence des parties prenantes, valeurs de l'entité, stratégie, etc.)

Surveillance exercée parleconseil

Le conseil reçoit des rapports réguliers sur les risques qui contiennent toutes les informations pertinentes (informations, indicateurs, etc.) dont il a besoin pour prendre des décisions éclairées ?

· Calendrier des rapports ;

· Copies des rapports et des résultats ;

· Preuves des mesures prises pour combler les lacunes.

11. Ladirectiona-t-elle instauré une exigence d'informations sur les risques diffusée au sein de l'organisation ?

12. Un reporting sur les risques (inventaire, importance, option de traitement, suivi ) est-il adressé à la direction ?

13. Ladirection est-elle régulièrement informé des risques ? Des mesures sont-elles prises pour combler les lacunes déclarées ?

III. Processus de gestion des risques:identification, évaluation, traitement, suivi et reporting des risques dans toute l'organisation

Bonne pratique

Documents

Questions/Investigations

Formalisationdu processus d'évaluation, de traitement, de suivi et de reporting des risques

· L'organisation s'accorde sur le(s) référentiel(s) de management des risques à utiliser.

· Il existe un glossaire des termes liés au management des risques.

· Les étapes d'identification, d'évaluation, de traitement, de suivi des risques et de reporting sont formalisés et cohérents à l'échelle de l'organisation (description des étapes, modèle d'analyse, etc.)

· Il existe un système de reporting standard surles risque (p. ex. délai, format)

· Politique de gestion des risques ou modèles d'analyse des risques utilisés.

· Référentiels de management des risques utilisé ;

1. L'organisation dispose-t-elle d'une politique de gestion des risques qui :

- précisele (s) référentiel (s) à utiliser ;

- définit une terminologie commune ;

- formalise une démarche cohérente d'identification, d'évaluation et de traitement des risques (modèle d'analyse des risques, critères de probabilité et d'impact, critères de sélection des stratégiedes traitement) ;

- formalise les rôles et responsabilités des acteurs en matière de gestion des risques

- formalise le système de reporting standard sur les risques(p. ex. délai, format)

Identification et évaluation des risques

· Il existe un univers de risques pertinent couvrant les stratégies, processus opérationnelsde l'organisation.

· Les évaluations de risques sont réalisées sur la base de critères objectifs d'impact et de probabilité.

· La fréquence d'évaluation des risques est adaptée ?

· Il existe des outils spécifiques d'évaluation des risques fiscaux (profilage des contribuables).

· Rapport de cartographie des risques

2. L'univers des risques est-il adéquat (exhaustivité et pertinence au regard des objectifs stratégique et opérationnels et domaines clés) ?

3. Les évaluations de risques sont-elles réalisées sur la base de critères objectifs d'impact et de probabilité définis au préalable ?

4. La fréquence d'évaluation des risques est-elle adéquate ?

5. Existe-t-il des outils d'évaluation des risques servant à sélectionner et exclure les contribuables devant faire l'objetd'investigations complémentaires, y compris une vérification fiscale ou d'autres mesures de discipline fiscale ?

Traitement des risques

· Les plans de traitement des risques sont cohérentsavecles stratégies, les objectifs, les priorités, l'appétit, la gravité et le rapport coût/bénéfice

· Les plans de traitement des risques sont-ils mise en oeuvre ?

· Procédures de traitement des risques ;

· Plan de traitement des risques ;

6. Les plans de traitement des risques sont-ils pertinents et cohérents?

7. Sont-ils mis en oeuvre ?

8. Les risques sont-ils gérés conformément aux plans de traitement prévus ?

Suivi permanent des risques

· La mise en oeuvre des plans de traitement des risques fait l'objet d'un suivi (état de mis en oeuvre et impact sur l'atténuation des risques);

· Un suivi des incidents est réalisé ;

· Il existe des indicateurs de suivi de l'évolution des risques ;

· Procédures d'examen de l'ERM ;

· Rapport d'examen de l'ERM ;

· Base d'incidents ;

· Rapports de suivi des risques

9. Un suivi de la mise en rouvre des plans d'actions de traitement ders risques est-il réalisé ?

10. Un suivi des incidents est-il réalisé au sein de l'organisation (existence et tenue d'une base des incidents) ?

11. Existent-ils des indicateurs de suivi permanent des risques qui sont mesurés ?

Reporting sur les risques dans l'organisation

· Existence d'un mécanisme de reportingrendant comptedes risques majeurs de l'organisation ?

· Rapports sur les risques

12. Existe-t-il au sein de l'organisation un mécanisme de reporting rendant compte des risques majeurs de l'organisation ?

* ²TADAT (Tax Administration Diagnostic Assessment Tool) est un outil d'évaluation diagnostique de l'administration fiscale.

* ³Le terme dispositif de management des risques est aussi utilisé en lieu et place du terme processus (AMF, 2010).

* ⁴La cartographie des risques est une démarche dynamique d'identification et d'évaluation des risques qui permet d'en donner une représentation synthétique et visuelle. Elle constitue ainsi un outil de mise en évidence des risques à couvrir en priorité (IFACI, 2013).

* ⁵ Union Économique et Monétaire Ouest-Africaine comprenant 8 états (Burkina Faso, Côte d'Ivoire, Niger, Sénégal, Togo, Bénin, Mali, Guinée-Bissau).

* ⁶Fondé en 1941, l'IIA (Institut des Auditeurs Internes) est l'association mondiale des professionnels de l'audit interne qui regroupe plus de 200 000 membres dans plus de 170 pays et territoires. En tant que principale source d'informations et de lignes directrices concernant la profession, l'IIA définit les pratiques de référence pour l'exercice de l'audit interne dans le monde entier. Son siège mondial se situe en Floride aux États-Unis.

* ⁷L'audit externe est pris en charge par les Cours des comptes ou équivalents selon les normes INTOSAI.Les autres outilscontribuant à l'exercice du devoir de transparence dans la gestion publiques, qu'ils soient anciens ou nouveaux, sont également à inclure dans l'arsenal de la NGP. En exemple, on peut citer la loi des règlements ou les assemblées générales des Sociétés d'États qui se tiennent dans certains pays tel que le Burkina Faso.

* ⁸ Union Économique et Monétaire Ouest Africaine (regroupe huit Eats d'Afrique de l'Ouest).

* ⁹ Le COSO (Committee of Sponsoring of The Treadway) est une organisation dont la mission est d'assurer un leadership éclairé en élaborant des cadres et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé, parrainée et financée conjointement par l' Association américaine de comptabilité, l'Institut américain des comptables publics certifiés, le Financial Exécutives International, l'Institut des comptables en management et l'Institut des auditeurs internes (IIA).

* ¹¹ Le Comité Ministériel de Maîtrise des Risques est chargé de la mise en place et du pilotage des dispositifs de gestion des risques et de contrôle interne. Il définit et met oeuvre la politique de contrôle interne, élabore la cartographie des risques, veille à la mise en oeuvre des recommandations d'audit.

* ¹² Le Comité Ministériel d'Audit Interne est chargé vérifier le bon fonctionnement des systèmes de contrôle interne mis en place sous l'égide du Comité Ministériel de Maîtrise des Risques. Il définit la politique d'audit, s'assure de la qualité du dispositif de contrôle interne, approuve le plan annuel d'audit, suit la mise en oeuvre recommandations d'audit, et surveille le fonctionnement de l'audit interne.

* ¹⁴ Entreprise doit être compris comme une organisation au sens large du terme

* ¹⁶Fondé en 1941, l'IIA est l'institut qui édicte les normes internationales en matière d'audit interne.Son siège mondial se situe à Lake Mary (Floride, États-Unis). L'IIA compte actuellement plus de260 000 membres dans plus de 170 pays et territoires.

* ¹⁷Le terme « lignes » sert à distinguer les différents rôles. Les rôles de l'organe de gouvernance constituent eux aussi une « ligne » mais, par souci de clarté, ils ne sont pas explicitement qualifiés ainsi. En réalité, les différents acteurs du modèle exercent leurs rôles respectifs de façon simultanée.

* ¹⁸ Certains considèrent les fonctions support (services RH, administratifs, généraux, etc.) comme des rôles de deuxième ligne. Dans le Modèle des Trois Lignes, les rôles de première ligne englobent à la fois les activités « front of house » et « back office », tandis que les rôles de deuxième ligne intègrent les activités complémentaires axées sur les risques.

* ¹⁹L'Organisation de Coopération et de Développement Économiques (OCDE) est une organisation internationale qui oeuvre pour la mise en place de politiques meilleures pour une vie meilleure. Notre objectif est de promouvoir des politiques publiques qui favorisent la prospérité, l'égalité des chances et le bien-être pour tous.

* ²⁰ Ces critères de risque ne doivent pas être confondus avec la grille de cotation des risques

* ²¹ Association of College and University Auditors (Cette organisation est basée aux Etats-Unis)

* ²² L'appétence pour le risque est le type et le niveau global de risque qu'une entité est prête à prendre dans la poursuite de ses objectifs. (COSO, 2017). On retrouve dans l'ISO 31000, le concept semblable de critères de risques.