FF 2010 Volume 36 P. 5165

Reporting sur les risques à l'attention du Conseil fédéral Rapport des Commissions de gestion du Conseil national et du Conseil des Etats du 28 mai 2010 Avis du Conseil fédéral du 18 août 2010

Madame la Présidente, Monsieur le Président, Mesdames et Messieurs, Le Conseil fédéral a pris connaissance du rapport des Commissions de gestion (CdG) du 28 mai 2010. Dans le présent document, il répond aux CdG en donnant son avis sur les problèmes et les lacunes identifiés dans la gestion des risques au sein de la Confédération en général (cf. ch. 2) et sur les recommandations en particulier (cf. ch. 3).

Nous vous prions d'agréer, Madame la Présidente, Monsieur le Président, Mesdames et Messieurs, l'assurance de notre haute considération.

18 août 2010

Au nom du Conseil fédéral suisse: La présidente de la Confédération, Doris Leuthard La chancelière de la Confédération, Corina Casanova

2010-1412

5165

Message 1

Introduction

En présentant sa «Politique de gestion des risques», en décembre 2004, le Conseil fédéral a posé les bases de la gestion des risques au sein de la Confédération. Sur le fond, ce document n'apportait rien de nouveau, mais, pour la première fois, le Conseil fédéral fixait dans le cadre d'une réglementation l'objet, les buts et les processus d'une gestion moderne des risques au sein de la Confédération, en s'appuyant sur les expériences faites durant plusieurs années par un grand nombre d'unités administratives.

L'administration fédérale remplit un large éventail de tâches. Elle expose ainsi la Confédération aux risques les plus divers tant par leur type que par leurs conséquences éventuelles. Les unités administratives et les départements présentent donc des contextes et des attentes très hétérogènes quant à la gestion des risques. C'est pourquoi le Conseil fédéral a décidé de mettre en oeuvre un système décentralisé. Il tient aussi à ce que la gestion des risques au sein de la Confédération conserve une certaine souplesse. Par ailleurs, il estime important que le rapport coûts-utilité de ses instruments de planification et de contrôle soit avantageux.

Depuis son introduction dans l'administration fédérale, la gestion des risques est en constante évolution. Les CdG reconnaissent à juste titre que des progrès notables ont été réalisés. Mais d'autres améliorations sont incontestablement possibles. Tout comme les CdG, le Conseil fédéral estime qu'il faut notamment améliorer la consolidation des risques au niveau de la Confédération et la mise en oeuvre homogène des processus dans les départements et les unités administratives. Il a déjà pris des mesures en ce sens.

2

Problèmes et lacunes dans la gestion des risques au sein de la Confédération et mesures d'amélioration prises

2.1

Consolidation des risques au niveau de la Confédération

Les CdG considèrent «l'absence de pilotage au niveau de la Confédération» comme le problème principal. Elles estiment que le concept de gestion décentralisé choisi par le Conseil fédéral ne permet pas à ce dernier d'avoir un aperçu global des risques majeurs auxquels la Confédération est exposée. En outre, la gestion des risques ne représente pas encore un instrument de pilotage pour le Conseil fédéral.

Cette critique concerne la consolidation des risques annoncés par les départements et la Chancellerie fédérale, consolidation qui, le Conseil fédéral en convient également, reste pour l'heure insuffisante. Ce problème est connu depuis longtemps. En janvier 2010, il a été décidé de compléter l'approche existante par le bas (bottom-up) par une approche par le haut (top-down). Dans le contexte du rapport sur les risques à l'attention du Conseil fédéral, la Conférence des secrétaires généraux voit donc ses tâches se préciser de la manière suivante:

5166

1.

Certains risques ou domaines de risques apparaissent sous une forme plus ou moins similaire dans une partie ou la totalité des départements. La question se pose ici de savoir s'il est possible et judicieux d'analyser et de décrire de manière détaillée ces risques dits transversaux au niveau du Conseil fédéral.

Une agrégation de ces risques à ce niveau n'est indiquée que s'il en résulte une valeur ajoutée. Lorsqu'un risque plus ou moins élevé survenant dans plusieurs départements est considéré comme un risque important pour l'ensemble de la Confédération, le Conseil fédéral doit en être informé pour des raisons de transparence. Une nette plus-value peut aussi être apportée par la définition et l'application de mesures communes à tous les départements dans le but de réduire un risque de manière plus efficace et à moindres frais. Une première étape consistera à présent à examiner en détail les possibilités d'agrégation et de gestion des risques interdépartementales dans les domaines «Fuite de données informatiques», «Panne du système informatique», «Protection des informations» et «Menaces pesant sur des collaborateurs». Le Conseil fédéral sera informé des conclusions de ces travaux dans le cadre du rapport 2010 sur les risques.

2.

Une fois par année, les départements et la Chancellerie fédérale annoncent au Conseil fédéral les risques qu'ils considèrent comme majeurs. Dans le cadre du rapport 2010 sur les risques, la Conférence des secrétaires généraux a pour tâche d'identifier parmi ces risques ceux qu'il faut prendre en considération parce qu'ils sont importants pour l'ensemble de la Confédération et de les signaler au Conseil fédéral.

3.

Rien ne garantit que les rapports des départements présentent tous les risques importants pour l'ensemble de la Confédération. Une vérification par la Conférence des secrétaires généraux est donc indispensable.

2.2

Mise en oeuvre uniforme de la gestion des risques dans les départements et les unités administratives

Toute consolidation au niveau de la Confédération implique que les départements et les unités administratives gèrent les risques en suivant les mêmes principes. Seule une mise en oeuvre aussi homogène que possible de la gestion des risques dans les départements et la Chancellerie fédérale permet de comparer les risques entre eux. A cet effet, les mesures suivantes sont dans la phase de mise en oeuvre: 1.

La «Politique de gestion des risques» actuelle du Conseil fédéral ne décrit pas en détail les processus internes des départements. Les cahiers des charges des gestionnaires des risques (à l'échelon du département), des préposés à la gestion des risques (à l'échelon de l'unité administrative) et des autres personnes concernées par les processus (responsables des risques, responsables des mesures, etc.) ne sont pas prescrits. La mise en oeuvre de la politique de gestion des risques manque donc d'uniformité même à l'intérieur des départements. L'accompagnement et le suivi des unités administratives par le département pourraient être améliorés. Le gestionnaire des risques du département doit fixer de manière uniforme et contraignante la manière de traiter les risques (responsabilités, plans de mesures, causes, évaluations, etc.). Il est nécessaire de reconnaître et de corriger les problèmes pouvant survenir. En outre, dans chaque département, il convient de définir de 5167

manière centralisée à partir de quel niveau un risque doit être signalé au département. Il faut également fixer des principes clairs dans le cadre d'une stratégie en matière de risque. Sans de telles directives stratégiques, il n'est pas possible de parler le même langage à l'intérieur d'un département, en ermes de risques; de même, à l'échelon des départements, il est difficile d'identifier des risques similaires, ce qui rend leur agrégation impossible.

Pour ces raisons, la Conférence des secrétaires généraux a approuvé en mai 2009 plusieurs mesures d'amélioration dans les processus internes des départements, notamment un processus normalisé.

2.

Chargée de coordonner la gestion des risques au sein de la Confédération, l'Administration fédérale des finances (AFF) organise régulièrement des séances de travail avec les gestionnaires des risques des départements et de la Chancellerie fédérale. Les nombreux thèmes traités sont liés au développement de la gestion des risques au sein de la Confédération. Ces séances ont pour objectif de développer une compréhension uniforme des risques et d'aboutir à une mise en oeuvre homogène de la gestion des risques dans les départements et dans les unités administratives.

3.

A partir de l'été 2010, l'Office fédéral du personnel organise, en collaboration avec l'AFF et la Chancellerie fédérale (Formation à la gestion des crises par la Confédération) et sous la conduite d'un expert externe (Dr. Bruno Brühwiler, Euro Risk Limited, Zurich), un cours intitulé «Risiken verstehen und bewältigen; Umsetzen des Risikomanagements in der Bundesverwaltung». Le groupe cible de ce cours est formé des gestionnaires des risques des départements et de la Chancellerie fédérale et des préposés à la gestion des risques des unités administratives. Le Conseil fédéral est convaincu que cette formation adaptée aux besoins de l'administration fédérale et s'adressant à des spécialistes dans le domaine des risques contribuera à la mise en oeuvre d'une gestion professionnelle et uniforme des risques.

4.

La «Politique de gestion des risques» du Conseil fédéral, qui date de 2004, fait actuellement l'objet d'une révision totale. Cette révision vise à adapter la politique actuelle aux expériences acquises depuis 2004 et aux développements internationaux en matière de gestion des risques. Les nouvelles «Directives sur la politique des risques de la Confédération» comprendront les principes et les décisions qui définiront à long terme le comportement interne et externe de l'administration fédérale et de ses cadres face aux risques. Il est prévu que ces directives entreront en vigueur au cours de l'année 2010. Sur cette base, l'AFF édictera des directives sur la gestion des risques.

Ces directives doivent régler les modalités de la mise en oeuvre de la gestion des risques dans les départements et à la Chancellerie fédérale en s'appuyant notamment sur la norme ISO 31000 et créer la base pour une unité de doctrine, condition nécessaire à la comparabilité des risques.

2.3

Conclusion

Le Conseil fédéral est dans une large mesure d'accord avec l'analyse et les propositions d'amélioration présentées par les CdG. Il a déjà commencé à réaliser une approche par le haut dans le cadre de la consolidation des risques à l'échelon de la Confédération pour soutenir et compléter le concept décentralisé de la gestion des 5168

risques, comme recommandé par les CdG. Le Conseil fédéral est d'accord avec le renforcement de la fonction de coordonnatrice de l'AFF découlant de cette approche, à condition que le Parlement approuve les moyens nécessaires à cet effet. Dans ce sens, il est disposé à proposer au Parlement une augmentation modérée des moyens. Par contre, il refuse toujours de créer un centre de compétences en matière de gestion des risques. Les départements et leurs unités administratives continueront d'assumer la responsabilité principale dans leur domaine.

3

Avis sur les recommandations Recommandation 1: L'approche «bottom-up» en place actuellement est complétée par une approche «top-down».

Le Conseil fédéral est notamment invité à renforcer l'approche «top-down» en examinant la possibilité d'un centre de coordination et de compétence.

Les considérations figurant aux ch. 2.1 et 2.3 peuvent être rappelées ici. Une approche par le haut venant compléter la gestion des risques au sein de la Confédération, indispensable à tous les échelons, est en cours d'élaboration. Sa mise en oeuvre à l'échelon du Conseil fédéral n'implique cependant pas la création d'un véritable centre de compétence qui pourrait intervenir dans les compétences des départements et de la Chancellerie fédérale. Selon le Conseil fédéral, il est suffisant pour l'instant d'augmenter modérément les ressources du service de coordination de l'AFF.

Recommandation 2: Le Conseil fédéral formule des directives pour des critères homogènes servant à l'appréciation des risques et veille à ce qu'elles soient appliquées.

Le Conseil fédéral fixera les principes et les paramètres requis dans les «Directives sur la politique des risques de la Confédération» mentionnées plus haut. Les modalités pour la mise en oeuvre de la gestion des risques seront quant à elles réglées dans les directives de l'AFF. Il va de soi que tous les risques doivent être évalués selon les mêmes critères. Sinon, ils ne peuvent pas être comparés entre eux. Les critères d'évaluation doivent donc être uniformes et contraignants.

Recommandation 3: Le Conseil fédéral veille à ce que les risques majeurs à conséquences a priori non financières soient pris en compte de manière systématique et homogène dans l'évaluation des risques de la Confédération.

La gestion des risques au sein de la Confédération prend déjà en considération les conséquences non financières en tant que critères d'évaluation supplémentaires et subsidiaires (dysfonctionnement de l'activité du gouvernement et de l'administration, détérioration de la réputation). Les gestionnaires des risques des départements et de la Chancellerie fédérale ont d'ailleurs élaboré un tableau servant à évaluer l'ampleur des dommages. L'utilisation de ces critères d'évaluation n'est 5169

cependant pas très simple. Dans le cadre des directives de l'AFF sur la gestion des risques, tous les critères d'évaluation seront uniformes et le mieux adapté possible à la pratique.

Recommandation 4: Le Conseil fédéral veille à ce que toutes les unités de l'administration utilisent le même outil pour la gestion des risques identifiés.

Dans ce but, il prend les mesures nécessaires pour assurer une protection des informations suffisante.

Actuellement, tous les risques considérés comme importants pour les départements et la Chancellerie fédérale sont décrits, gérés, pilotés, surveillés et documentés à l'aide d'une seule et même application informatique. Un reporting pertinent sur les risques à l'attention du Conseil fédéral moyennant des efforts raisonnables n'est possible qu'à cette condition. Cette exigence sera également fixée dans les «Directives sur la politique des risques de la Confédération». Par ailleurs, il convient de rappeler que l'examen du concept de sûreté de l'information et de protection des données, proposé par le Contrôle fédéral des finances au cours de l'été 2008, a été effectué. Les améliorations requises ont déjà été mises en oeuvre.

Recommandation 5: Le Conseil fédéral veille à intégrer un retour d'information vers les départements et jusqu'aux unités administratives dans le cadre de la nouvelle définition du concept de gestion des risques comme instrument de pilotage.

Le Conseil fédéral partage l'avis des CdG selon lequel les échanges d'informations entre les différents échelons dans la gestion des risques (Conseil fédéral, département, unité administrative) présentent toujours un potentiel d'amélioration. Cet aspect fera l'objet de toute l'attention nécessaire dans le cadre des directives de l'AFF sur la gestion des risques.

Recommandation 6: Le Conseil fédéral prend des mesures afin que les risques transversaux soient adéquatement identifiés et déjà pris en compte dans le reporting 2010, par ex. sous forme d'un tableau regroupant les risques transversaux consolidés.

Comme décrit au ch. 2.1, le Conseil fédéral entend aborder par étapes le problème des risques transversaux. Il ne s'agit pas d'additionner mécaniquement des risques départementaux, mais plutôt de tenir compte des interactions entre les différents risques et aspects. Les séances de travail des spécialistes en TIC ont déjà débuté. Le Conseil fédéral pourra prendre connaissance des premières conclusions de ces travaux dans le cadre du rapport 2010 sur les risques.

5170