Evaluation du processus de management des risques de la direction générale des impôts au Burkina Faso

VII.1.3. Processus de gestion des risques

Concernant le processus de gestion des risques, l'exhaustivité et la pertinence des activitésd'identification, d'évaluation, de traitement, de suivi permanent et de reporting des risques,ont fait l'objet de notre analyse.

v Exhaustivitédu processus de gestion des risques

À ce jour, le processus de gestion des risques à la DGI se limitesurtoutàl'élaboration de la cartographie des risques et à la définition de plans de traitement des risques. L'étape desuivi permanent des risques,reste encoreà implémenter.En effet, la mise en oeuvre des plans de traitement des risques ne fait pas l'objetd'un suivi formel. C'est également le cas des incidents dont la gestion demeure empirique. Aussi, il n'existe pas d'indicateurs de suivi de l'évolution des risques. Ces insuffisances dans le suivi permanent des risques, s'expliquerait par la non-opérationnalisation du service de contrôle interne et de maîtrise des risques.

En plus de ces insuffisances, on notel'absence d'un aspect clé de l'évaluation des risques fiscaux: il s'agit des outils de profilage des contribuables qui sont des indicateurs qui laissent présager que des contribuables ou des dispositifs spécifiques peuvent présenter un risque important, susceptible d'entraîner des mesures de discipline fiscale complémentaires, ou bien un risque réduit, qui peut impliquer des mesures moins importantes et plus ciblées.

v Formalisationdes activités du processus de gestion des risques

Les activités d'identification, d'évaluation et de traitement des risques sont réalisées selon une méthodologie commune proposée par le consultant ayant assisté la DGI dans l'élaboration des différentes cartographies des risques. Cette méthodologie est présentée comme étant basée sur le COSO ERM 2017. La pertinence de la méthodologie n'est pas remise en cause, mais il est utile de signaler que son caractère non officiel, constitue un handicapcar il expose le PMR à des incohérences méthodologiques futures. C'est d'ailleurs pour cette raison que les meilleures pratiques exigent l'élaboration d'une politique de gestion des risques qui formalise la méthodologie (AMF, 2010).

S'agissant, du suivi permanent des risques, aucune méthodologie spécifique n'a été adoptée.

v Pertinence de la démarche d'identification, d'évaluation et de traitement des risques

Les cartographies des risquesréalisées par la DGI ont été élaborées selon la méthodologie proposée par le consultant puisque la DGI ne disposait au préalable d'aucune méthodologie. Il s'agit de la cartographie des risques fiscaux et institutionnels,et de celle spécifique aux risques fiscaux relatifs au secteur des mines (DGI, 2020). Ellesont été élaborées par les acteurs des processus/domaines concernés en suivant les étapes suivantes :

- la description des processus et des domaines (activités, étapes, acteurs et enjeux) ;

- l'identification des risques par activité/domaine sur la basedes objectifs ou enjeux ;

- l'analyse des risques à travers leurs causes, conséquences, et parties prenantes ;

- l'évaluation des risques bruts et résiduels en termes d'impact et de probabilité selon des échelles d'évaluation préalablement définies ;

- l'analyse desdispositifs de maîtrise des risques pour identifier les vulnérabilités ;

- et l'élaboration de plans de traitementen cohérence avec les stratégies de traitement retenues et avec les défaillances observées dans les dispositifs de maîtrise des risques.

On peut remarquer une concordance entre ces étapes etleslignes directrices du COSO ERM, notamment au niveau des principes de la composante « Performance » (COSO, 2017).

En ce qui concerne la périodicité de mise à jour des différentes cartographies des risques, on peut les jugerrelativement longues et aléatoiresprobablement en raison de la non-définition formelle d'une périodicité de mise à jour. À ce propos, la cartographie des risques fiscaux et institutionnels élaborée en février 2019,a été mise à jour en décembre 2020, soit quasiment deux ans après l'élaboration. Quant à la cartographie des risques fiscaux relatifs au secteur des mines, cela fait plus d'une une année qu'elle a été élaborée, mais aucune période n'a été fixée pour sa mise à jour.Pourtant, la norme IIA 2210 exige que la cartographie des risques soit mise à jour au moins une fois dans l'année (IIA, 2017).

v Pertinence de l'univers des risques de la DGI

Lesdifférentes cartographies des risques couvrent l'ensemble des processus de pilotage, de réalisation et de support mis en oeuvre au sein de la DGI.

Encequi concerne le pilotage,on peut remarquer que le processus de planification stratégique fait l'objet d'une analyse des risques, ce qui répond aux exigences du COSO ERM qui préconisel'analyse des risques liés au processus de prise de décision.L'univers des risquescomprenddes risques tels que la non pertinence des orientations stratégiques ou le manque de cohérence entre les programmes opérationnels et les orientations stratégiques.

S'agissant des processus de réalisation, les processus de gestion des contribuables, de gestion des déclarations fiscales, de contrôle fiscal, et de recouvrementont tous étépris en compte conformément aux bonnes pratiques TADAT qui les considèrent comme des processus clés. Les risques liés à l'immatriculation au registre des impôts, au dépôt des déclarations fiscales, au paiement des impôts dans les délais, et à l'exactitude des déclarations, tels qu'énoncés par le référentiel TADAT sont recensésdans l'univers. Sont répertoriés des risques tels que la non-immatriculation de contribuables potentiels,l'inexactitude des déclarations, la non-détection des infractions fiscales ou encore la prescription des restes à recouvrer.

S'agissant des processussupport,les processusde gestion des ressources humaines, de gestion financière, de gestion de la logistique, de gestion du système d'information et de communication sont également couverts. Les problématiques partagées du contrôle interne que sont la qualité des ressources humaines, en l'occurrence la capacité à attirer, former et fidéliser les compétences ; la gestion optimale des ressources financières et matérielles en les préservant des vols, pertes, dégradation et détournement ; etcelle de l'adéquation et de la sécurité des systèmes d'information et de communication sont traitées dans l'univers des risques conformément aux principes du COSO 1 (COSO, 2013).Sont répertoriésles risques tels que l'inadéquation du profil des agents avec le poste, lesdysfonctionnements dû au départ de compétences clés, les détournements de fonds, la cybercriminalité, ou encore la rupture de la continuité informatique etc.

Au niveau de la cartographie des risques fiscaux relatifs au secteur des mines, l'univers des risques couvre les domaines de l'exploitation minière industrielle, semi-mécanisée et artisanale ; et les différentes étapes du cycle de vie des entreprises minières.

En somme, la prise en compte dans l'univers des risques, de l'ensemble des processuset des domainesde l'assiette fiscal de la DGI,est en ligneaveclaphilosophie d'approche globale de gestion des risques soutenue par le COSO ERM et l'ISO 31000.Toutefois, on remarque que les risques liés au contexte externe de la DGI (politique, économique, social, technologique) ou en d'autres termes les risques exogènes, sont insuffisamment pris en compte dans les différentes cartographies des risques. Par exemple, aucune mention n'est faite des risques liés à la conjoncture économique, aux mesures fiscales duesaux crises sécuritaires etsanitaires du covid-19.Il en est de mêmepour les risques liés au développement de l'économie numérique, au probable passage à la monnaie commune dans la zone CEDEAO^23(*) ou à l'adhésion du Burkina à la Zone de Libre-Échange Continentale Africaine (ZLECAF).

Synthèse et discussiondes résultats obtenus au niveau de la composante « Processus de gestiondes risques »

· Points forts :

- le processus méthodologique de gestion des risques estconforme aux meilleures pratiques (lignes directrices COSO ERM 2017) même s'il demeure non exhaustif ;

- l'évaluation des risques et l'élaboration des plans de traitement sont réalisées par les managers opérationnels (existence d'un processus d' auto-évaluation des risques) ;

- l'univers des risques couvre l'ensemble des processus de pilotage, de réalisation et de support mis en oeuvre à la DGI et les domaines clés de l'assiette fiscale, ce qui est en phase à la philosophie d'approche globale de gestion des risques ;

- le processus méthodologique de gestion des risques est commun à l'ensemble de l'entité même s'il n'a pas encore fait l'objet d'une adoption officielle.

· Points faibles (dysfonctionnements) :

- le processus de gestion des risques manqued'exhaustivité en raison de la non-implémentation dusuivi permanent des risques qui inclue le suivi des incidents et l'élaboration des indicateurs de suivi de l'évolution des risques ;

- il n'existe pas d'outils de profilage des contribuables ou des opérations selon le niveau de risque ;

- le processus méthodologique de gestion des risques utilisé en ce moment,n'est pas formellement adoptéd'où le risque d'incohérenceméthodologique dans le futur ;

- lesrisques liés au contexte externe de la DGI(politique, économique, social, technologique) ou en d'autres termes les risques exogènes, sont insuffisamment pris en compte dans les différentes cartographies des risques ;

- la périodicité de réalisation des évaluations des risques (élaboration des cartographies des risques) est assez longue et aléatoire (plus d'une année) ;

- le mécanisme de reporting sur les risques reste à formaliser.

· Conclusion et discussion

Leprocessus méthodologique de gestion des risques,peut être jugé comme étant d'unniveau de maturité proche du niveau«3-Défini» : ce qui signifie qu'un langage de risque et un processus communs d'évaluation des risques sont utilisés par l'audit interne, les fonctions de contrôle et les managers opérationnels. Le niveau « 4-Maîtrisé » n'est pas atteint en raison de la non mise en place des outils de profilage des contribuables selon le niveau de risque.

Au regard de la place du risque dans le métier de la DGI, de sa taille et de l'enjeux stratégique qu'elle représente pour l'État burkinabè, il est important de mettre en place des outils de profilage des contribuables et un système de reporting des risques robuste pour que le processus de gestion des risques atteigne le niveau de maturité « 5-Optimisé ». On peut en conclure que notre hypothèse initiale n'est pas confirmée en raison du caractère non-exhaustif du processus et du caractère officielle de la méthodologie utilisée.

Synthèse globale et discussiondes résultats d'évaluation du PMR de la DGI

En somme, les analyses ont relevé que le PMR de la DGI comporte des insuffisances susceptibles d'impacter son efficacité malgré la volonté de la direction générale de le développer. En effet, les trois composantes analyséesque sont la culture du risque,la gouvernance des risques et le processus de gestion des risques,sont jugéescomme étant en deçà du niveau de maturité souhaitable lorsqu'on considère l'importance du risque dans le métier de la DGI et sa position stratégiqueau sein de l'État.

Il est cependant important, de faire remarquer que la composante « Processus de gestion des risques» qui traite des aspects méthodologiques du PMR,possède la particularité de présenter un niveau de maturitésupérieur à celle des autres. Cela est imputable à l'appui méthodologique du consultant ayant accompagné la DGI dans la mise en oeuvre de son PMR, mais aussien raison du fait que la mise en oeuvre de la méthodologie d'identification, d'évaluation et de traitement des risquesne nécessite pas de changements structurels profonds.

S'agissantdes composantes« culture » et « gouvernance », leur mise en oeuvreadéquateexige plus d'efforts et de temps en raison des changements profondsque cela implique dans l'organisation et le mode de prise de décision. Cette situation n'est pas surprenante pour un PMR naissant en raison des difficultés inhérentes à la mise en oeuvre de la nouvelle gestion publique dans laquelle s'inscrit pleinement le management des risques. Comme le souligne COHEN (2012), la nouvelle gestion publique est un exercice difficile dont la mise en oeuvre nécessite du temps pour que les concepts soit largement compris et mis en oeuvre : la démarche est donc progressive.La DGI s'inscrit plutôt bien dans cette démarche, puisque la direction générale s'est engagée à soutenir le développementdu PMR qu'elle a initié.

* ²³ Communauté Économique des États d'Afrique de l'Ouest.