Chapitre V - Le management des risques dans le secteurpublic

Évaluer le processus de management des risques (PMR)de la Direction Générale des Impôts (DGI),requiert au préalable d'appréhenderles concepts, les caractéristiques fondamentalesde toutmanagementdes risquesefficace et les spécificités à prendre en compte dans le contexte de la DGI. C'est à ce besoin que répond le présent chapitre. Tout d'abord, il clarifieles concepts et lesprincipesdu management des risques. Ensuite, il éclaire sur les composantes et les acteursd'un PMRefficace.Enfin, il abordeles spécificités du management des risques dans le secteur public en général,puis dans l'administration fiscale en particulier puisqu'elle est l'objet de notre évaluation.

V.1. Définitions

V.1.1. Le risque

Il existe plusieurs définitions du risque. Nous présenterons les définitions proposées par les référentiels de management des risques les plus utilisés que sont le COSO ERM 2017 et l'ISO 31000 : 2018, puis celle proposée par COHEN(2012), avant d'en faire une synthèse.

LeCOSOERM 2017^13(*) défini le risque comme:« La possibilité que des événements se produisent et affectent la réalisation de la stratégie et des objectifs de l'entreprise^14(*)».Les précisions suivantes sont apportées :

- l'événement peut concerner une occurrence ou un ensemble d'occurrences ;

- l'incertitude constitue l'état de ne pas savoir comment ou si des événements potentiels peuvent se manifester ;

- la gravitéreprésente une mesure des considérations telles que la probabilité et l'impact des événements ou le temps nécessaire pour se remettre des événements ;

- les objectifs en question peuvent relever de plusieurs catégories : stratégiques, opérationnels, de conformité ou de reporting ;

- en plus des transactions de routine, les événements concernent les changements dans la gouvernance et la structure opérationnelle, les influences géopolitiques et sociales, et les négociations contractuelles, entre autres choses. Les événements peuvent être facilement identifiables comme ne pas l'être ;

- les risques peuvent être négatifs (incendie par ex.) ou positifs (par exemple météo plus clémente que prévue).

L'ISO 31000 :2018quant à lui, définit le risque comme : «L'effet de l'incertitude sur l'atteinte des objectifs». Ici, l'effetest un écart, positif et/ou négatif, parrapport à une attente et les objectifs peuvent également avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un produit, d'un processus ou de l'organisation en entier).

Selon COHEN(2012), le risque représente : « Tout ce qui est susceptible de faire obstacle, totalement ou partiellement , à la réalisation des objectifs, stratégiques ou opérationnels. Le risque est l'envers d'un objectif. Mais ce peutêtre également, une opportunité positive à saisir ». Il précise que le risque couvre une infinité d'évènements et de facteurs, depuis l'erreur, à l'irrégularité grave et la fraude, en passant par les risques portant sur l'image, la motivation des acteurs, la qualité, l'environnement, les personnes, la politique, etc.

En somme, les différentes définitions du risque ne se contredisent pas etse recoupent en la question du poids de l'incertitude sur la marche d'une organisation.Le risque est caractérisé principalement par deux paramètres qui permettent d'apprécier son importance (mesure) :

- la probabilité appelée encore vraisemblance ou fréquence qui représente la chance que le risque a de survenir ;

- et l'impact qui représente l'ampleur des conséquences positives ou négatives, du sinistre ou des gains obtenus.

* ¹³ Enterprise Risk Management (Management des Risques d'Entreprise)

* ¹⁴ Entreprise doit être compris comme une organisation au sens large du terme