FF 2010 Volume 36 P. 5157

Reporting sur les risques à l'attention du Conseil fédéral Rapport des Commissions de gestion du Conseil national et du Conseil des Etats du 28 mai 2010

2010-1363

5157

Rapport 1

Situation initiale

L'ampleur et la diversité des tâches de l'administration fédérale conduit à une variété correspondante de risques auxquels la Confédération est exposée. La réalisation de certains risques peut avoir des conséquences très larges. C'est pourquoi, les commissions de gestion (CdG) accordent une haute priorité à la mise en oeuvre d'un concept efficace de gestion des risques au niveau de la Confédération et à un rapport régulier au Conseil fédéral en la matière. Concrètement, les CdG suivent régulièrement l'instauration d'un tel système depuis l'année 2002. Dès 2005, le Conseil fédéral avait prévu d'informer annuellement les CdG au sujet de la gestion des risques. Toutefois un rapport substantiel n'a pas vu le jour jusqu'en 2008 et les CdG ont alors demandé au Conseil fédéral de lui présenter un concept sur la manière dont il compte à l'avenir orienter les CdG sur la gestion des risques.

En réponse, le Conseil fédéral a présenté l'idée de faire notamment parvenir aux CdG le reporting sur les risques établi à l'attention du Conseil fédéral. Les CdG ont pris des mesures pour garantir la confidentialité des informations en chargeant un petit groupe de travail commun aux deux CdG et avec un représentant de la FinDel du traitement de ce reporting.

Lors de sa première séance, le groupe de travail «Reporting sur les risques Conseil fédéral» a décidé d'une part de se pencher sur la manière dont les risques des départements et de la chancellerie fédérale sont agrégés et transmis au Conseil fédéral et d'autre part, d'examiner le concept de gestion des risques de la Confédération.

Ainsi, dans un premier temps, le groupe de travail s'est entretenu avec les responsables des risques de chaque département ainsi que de la chancellerie fédérale. En outre, elle a invité le Contrôle fédéral des finances (CDF) à lui présenter les résultats et conclusions de l'audit transversal mené à l'Administration fédérale des finances (AFF) au sujet de la gestion des risques auxquels la Confédération est exposée.1 Le groupe de travail a également rencontré les responsables des risques d'un grand canton et d'une entreprise multinationale suisse afin de bénéficier de perspectives externes à l'administration fédérale et de s'informer sur la gestion des risques dans le privé. Enfin, la venue du Président de la Confédération (2009) accompagné du directeur de l'AFF, a permis de mettre en lumière le statut accordé par le Conseil fédéral au reporting sur les risques et la façon dont il le traite.

2

Problèmes identifiés et améliorations effectuées

Dans le courant de la mise en oeuvre qui se prolonge depuis de nombreuses années, le Conseil fédéral a lui-même déjà identifié certaines lacunes. Il s'agit notamment de problèmes en matière de consolidation des risques au niveau de la Confédération et ayant trait à l'application homogène du concept dans les départements et les unités administratives. Certains problèmes identifiés par le Conseil fédéral se basent sur 1

Contrôle fédéral des finances (CDF), Audit transversal «Administration fédérale des finances AFF: Analyse de risques au niveau de la Confédération, 7.7.2008.

5158

l'audit du CDF, qui confirmait largement les constats critiques déjà formulés par les CdG auparavant.

Sur la base de leurs travaux, les CdG arrivent à la conclusion que des améliorations notables ont été réalisées dans la mise en oeuvre du concept de gestion des risques présenté en 20042 et que d'autres sont en phase d'être implémentées.

Ainsi, point positif à relever, la Conférence des secrétaires généraux (CSG) a été désignée pour former une étape intermédiaire pour le reporting sur les risques avant d'être transmis au Conseil fédéral. Cette entité discute et consolide les risques majeurs annoncés par les départements et la chancellerie fédérale.

Ensuite, le Département fédéral des finances (DFF) offre régulièrement des ateliers sur des problématiques qui se posent dans l'identification et l'appréciation des risques destinés aux responsables des risques des départements et de la chancellerie fédérale. En 2009, le sujet traité était l'appréciation de la probabilité d'occurrence des risques et de leurs conséquences. La formation en matière de gestion des risques avait été jugée perfectible par le CDF dans son audit transversal. De plus, le DFF réfléchit également à l'orientation de la gestion des risques selon les normes ISO-31000 concernant la politique de gestion de risques.

Ces développements sont jugés positifs par les CdG. Ils vont dans le sens d'une harmonisation de la gestion des risques dans les unités administratives et les départements, ce qui permet entre autres aussi une comparaison plus pertinente des risques entre eux.

Dans le même ordre d'idée, le directeur de l'AFF a annoncé à la séance du groupe de travail du 30 novembre 2009 que l'AFF élabore actuellement des directives en matière de gestion globale des risques qui vont largement dans le sens du document publié en 2004, mais qui s'efforcent de mettre en place une «unité de doctrine» avec des règles et des objectifs plus précis. Ces directives, qui seront soumises au Conseil fédéral au milieu de l'année 2010, sont une demande majeure issue de l'audit transversal du CDF et sont également saluées par les CdG qui reconnaissent leur nécessité.

Tenant compte du fait que le système se trouve encore dans une période d'ajustement, les CdG se félicitent de ces améliorations effectuées, même si elles constatent que la mise en oeuvre de ce projet pourtant important dure déjà fort longtemps (depuis 2002).

3

Lacunes restantes et recommandations

Néanmoins, des lacunes persistent. Le problème principal mis en lumière par les travaux des CdG est clairement l'absence de pilotage au niveau de la Confédération.

Le concept de gestion décentralisé mis en place à ce jour par le Conseil fédéral ne lui permet pas de disposer d'une base d'information suffisante pour piloter le système de manière efficace. Dans sa politique en matière de gestion des risques, le Conseil fédéral s'est fixé comme but de disposer en particulier d'une «vue 2

DFF, Politique de gestion des risques : Bases pour la gestion des risques au sein de la Confédération, Décembre 2004.

5159

d'ensemble de la situation en matière de risques au niveau de la Confédération, des départements et des unités administratives».3 Les CdG soutiennent vivement cet objectif, mais sont forcées de constater que le système mis en place à ce jour ne garantit pas, au niveau de la Confédération, un aperçu global des risques majeurs auxquels la Confédération est exposée.

Il apparait néanmoins indispensable aux CdG que le système de gestion des risques doit non seulement permettre une vision d'ensemble sur les risques majeurs de la Confédération, mais également être un instrument de pilotage du Conseil fédéral.

Ceci n'est pourtant toujours pas le cas, comme l'indique par ailleurs d'autres lacunes identifiées par les CdG. Il s'agit ici en particulier: 1.

de critères d'appréciation des risques trop hétérogènes;

2.

d'une prise en compte insuffisante des conséquences non financières;

3.

d'une utilisation variable de l'outil informatique R2C selon les départements;

4.

d'absence de feedback à destination des départements et unités administratives et

5.

d'une prise en compte insuffisante des risques transversaux.

Ces points seront détaillés par la suite.

Sur la base de ce constat majeur concernant l'absence de pilotage au niveau de la Confédération, les CdG recommandent par conséquent une approche «top-down» qui viendrait soutenir et compléter le concept décentralisé de la gestion des risques.

Les CdG sont convaincues qu'une telle approche est nécessaire pour permettre au Conseil fédéral de disposer d'une vue d'ensemble et d'être en mesure de piloter efficacement la Confédération avec l'instrument qu'est le système de gestion des risques.

Les CdG retiennent en outre qu'une telle approche doit être svelte et servir de complément pour renforcer le système actuel et non pas pour le remplacer. L'approche décentralisée n'est pas une mauvaise approche en soi, raison pour laquelle elle est à maintenir. Il ne doit pas non plus être question de transférer la responsabilité des risques à un niveau supérieur. Les unités administratives doivent garder la responsabilité de leurs risques, car ce sont elles qui sont le plus à même de les identifier et de les gérer efficacement. Mais un concept complété par une approche plus centralisée paraît indispensable, au vu des travaux menés par les CdG.

Les CdG souhaitent que le Conseil fédéral reconsidère la possibilité de créer un centre de compétence pour la gestion des risques chargé d'implémenter l'approche complémentaire «top-down». Les CdG y voient des effets bénéfiques également sur la formation et le suivi des responsables des risques, ainsi qu'en termes de compréhension homogène de la gestion des risques et de la culture du risque en général.

3

DFF, Politique de gestion des risques: Bases pour la gestion des risques au sein de la Confédération, Décembre 2004, p. 2.

5160

Cette idée n'est pas nouvelle. D'une part, elle a déjà été discutée par le Conseil fédéral au moment du choix du concept de gestion des risques. D'autre part, elle est le reflet d'une demande formulée par le CDF dans son audit transversal qui se base sur des constats similaires à ceux des CdG. Mais elle reste d'actualité.

Recommandation 1: L'approche «bottom-up» en place actuellement est complétée par une approche «top-down».

Le Conseil fédéral est notamment invité à renforcer l'approche «top-down» en examinant la possibilité d'un centre de coordination et de compétence.

Outre ce constat principal lié au pilotage du Conseil fédéral, les CdG ont mis en lumière d'autres lacunes spécifiques. Ainsi, les CdG identifient en particulier les potentiels d'optimisation suivants: 1.

Critères pour l'appréciation des risques Actuellement, ces critères varient d'un département à l'autre. Les lignes directrices de la Confédération sont formulées de manière très générale et certains départements ou unités administratives ont donc complété celles-ci avec leurs propres critères. Pour une comparaison efficace des risques dans le cadre d'un aperçu global, cet état de fait n'est pas satisfaisant. Toutefois, ce problème semble être reconnu par le Conseil fédéral et les nouvelles directives annoncées par le directeur de l'AFF devraient aller dans ce sens. Les CdG attendent du Conseil fédéral qu'il fournisse une unité de doctrine également en ce qui concerne les critères d'appréciation des risques afin que les risques puissent être véritablement comparables au niveau de la Confédération.

Recommandation 2: Le Conseil fédéral formule des directives pour des critères homogènes servant à l'appréciation des risques et veille à ce qu'elles soient appliquées.

2.

Conséquences non financières dans l'évaluation des risques Les CdG constatent que le système de l'évaluation des risques de la Confédération traite principalement le risque sous l'angle financier. En effet, les critères principaux d'évaluation sont les conséquences financières et la probabilité d'occurrence. La prise en compte de risques à conséquences non financières n'est pas réglée dans les directives de 2004. De plus, les auditions ont mis en évidence que la pratique des départements en ce qui concerne ce type de conséquences est hétérogène. Les CdG recommandent par conséquent que le Conseil fédéral s'assure que des risques substantiels à conséquences a priori non financières, tels que les conséquences de réputation ou politiques, soient systématiquement pris en compte et, dans la mesure du possible, de manière harmonisée entre les départements.

5161

Recommandation 3: Le Conseil fédéral veille à ce que les risques majeurs à conséquences a priori non financières soient pris en compte de manière systématique et homogène dans l'évaluation des risques de la Confédération.

3.

Utilisation de l'outil informatique R2C - La perception du système R2C est passablement hétérogène, avec une utilisation plus ou moins rigoureuse par département. Certains risques majeurs ne sont pas saisis dans l'outil informatique de manière volontaire. Le cas de la pandémie de grippe A en est un exemple au sein du département fédéral de l'intérieur (DFI). En effet, bien que ce risque apparaisse indirectement dans des catégories de l'OFSP comme par exemple «actions en dommages-intérêts ou en responsabilité civile dues à des informations influençant le comportement», il n'est cependant pas saisi comme risque à part entière. Par conséquent, il ne peut pas être annoncé comme risque majeur pour le reporting à l'attention du Conseil fédéral. Les CdG considèrent cela comme insatisfaisant.

Autre exemple, le département fédéral de la défense, de la protection de la population et des sports (DDPS) a choisi de ne pas saisir les risques liés à l'armée dans l'outil R2C pour des raisons de sécurité. Or, si une partie des risques n'est pas retenue dans R2C, la qualité finale du reporting sur les risques à l'attention du Conseil fédéral en est fortement diminuée. Cet état de fait pose problème sachant qu'un reporting permettant une vision globale des risques majeurs de la Confédération est nécessaire et est par conséquent jugé insatisfaisant par les CdG.

Par ailleurs, l'audit transversal du CDF du 7 juillet 2008 retient que les réserves du DDPS ne sont pas sans fondements et recommande vivement de reconsidérer le concept de sécurité de l'outil. Les CdG soutiennent cette recommandation dans la perspective d'une saisie complète des risques identifiés.

Recommandation 4: Le Conseil fédéral veille à ce que toutes les unités de l'administration utilisent le même outil pour la gestion des risques identifiés. Dans ce but, il prend les mesures nécessaires pour assurer une protection des informations suffisante.

4.

5162

Retour L'absence de retour en ce qui concerne les risques communiqués pour le reporting au CF est déplorée par plusieurs responsables de gestion des risques. De manière analogue, le CDF note également que les unités administratives regrettent l'absence de retour concernant les risques qu'ils ont retenus et transmis. La saisie et le traitement des risques au niveau des unités administratives et des départements sont plus difficilement optimisés sans retour en provenance des départements et du Conseil fédéral et augmente également l'incertitude sur la qualité du reporting.

Recommandation 5: Le Conseil fédéral veille à intégrer un retour d'information vers les départements et jusqu'aux unités administratives dans le cadre de la nouvelle définition du concept de gestion des risques comme instrument de pilotage.

5.

Risques transversaux La prise en compte de ces risques, qui découlent d'une cause «collective» unique ou commune (par ex: catastrophes naturelles comme un tremblement de terre ou une éruption volcanique, panne du réseau de télécommunication ou exposition à la corruption) et qui ne sont pas spécifiques à un département, n'est pas jugée satisfaisante aussi bien par le CDF que par les CdG. Il a été constaté que la plupart des personnes auditionnées estiment qu'il est nécessaire d'approfondir les échanges d'informations entre les départements. Si la Conférence des secrétaires généraux (CSG) est le principal moteur de coordination interdépartementale, il manque néanmoins un concept permettant d'identifier systématiquement les risques transversaux et de profiter de synergies en la matière. Les auditions ont également permis de mettre à jour des initiatives personnelles de certains risk managers tentant de se coordonner de manière sommaire. De l'avis des CdG, ces initiatives sont le reflet de l'absence d'un concept efficace visant à gérer les risques transversaux.

Par conséquent, les CdG sont d'avis que le système actuel ne permet pas au Conseil fédéral de se donner une vue d'ensemble englobant la portée interdépartementale de certains risques. Elles s'attendent à ce que ces lacunes soient comblées jusqu'en 2011 et qu'il en soit déjà tenu compte dans le reporting 2010.

Recommandation 6: Le Conseil fédéral prend des mesures afin que les risques transversaux soient adéquatement identifiés et déjà pris en compte dans le reporting 2010, par ex.

sous forme d'un tableau regroupant les risques transversaux consolidés.

Nous vous prions de bien vouloir prendre position d'ici au 26 août 2010 en présentant les mesures et les délais prévus par le Conseil fédéral pour la mise en oeuvre des recommandations des CdG.

5163

Veuillez agréer, Madame la Présidente de la Confédération, Mesdames et Messieurs les Conseillers fédéraux, l'expression de notre haute considération.

28 mai 2010

Pour les Commissions de gestion: La présidente de la Commission de gestion du conseil national: Maria Roth-Bernasconi, Conseillère nationale Le président de la Commission de gestion du conseil des Etats: Claude Janiak, Conseiller aux Etats La présidente du Groupe de travail «Reporting sur les risques au Conseil fédéral»: Helen Leumann-Würsch, Conseillère aux Etats La secrétaire: Beatrice Meli Andres

5164