Pour les entités du secteur public, disposer d’un système de contrôle interne et d’un cadre de gestion des risques est essentiel à la promotion de l’intégrité publique. Des politiques et des processus efficaces de contrôle interne et de gestion des risques renforcent les défenses des entités du secteur public contre la fraude et la corruption en offrant à leur administration une assurance raisonnable quant au fait que l’entité atteint ses objectifs comme il se doit et gère dûment les risques auxquels il est exposé. Ces politiques et processus contribuent en outre à garantir le meilleur usage possible des ressources financières et à faciliter la prise de décision en assurant un fonctionnement optimal des administrations publiques aux fins de la mise en œuvre de programmes qui servent les intérêts des citoyens et évitent les dépenses inutiles. Ils aident les pouvoirs publics à trouver un équilibre entre un modèle axé sur l’application des textes, d’une part, et des approches plus préventives, fondées sur les risques, d’autre part.

Le contrôle interne et la gestion des risques couvrent une série de mesures visant à prévenir, détecter et faire face à la fraude et la corruption. Ces mesures comprennent des politiques, des pratiques et des procédures qui permettent à l’administration et au personnel de s’acquitter de leur rôle en matière de préservation de l’intégrité en évaluant correctement les risques et en élaborant des mesures de contrôle axées sur le risque. Des mécanismes de réaction face aux cas de corruption et de violation des normes d’intégrité sont tout aussi cruciaux. Un système de contrôle interne solide devrait également comporter des audits internes permettant de mieux évaluer la robustesse du système de contrôle interne, ainsi qu’un cadre solide de gestion des risques propre à aider les entités à cerner les risques de corruption auxquels elles sont confrontées et à y faire face (OCDE, 2020[12]). Dans cette perspective, les adhérents à la Recommandation de l’OCDE sur l’intégrité publique sont invités à « appliquer un cadre interne de contrôle et de gestion des risques pour protéger l’intégrité au sein des entités du secteur public » (OCDE, 2020[12] ; OCDE, 2017[17]).

Les améliorations nécessaires des systèmes de contrôle interne, de gestion des risques et d’audit interne doivent inclure les nouvelles technologies et les intégrer dans les cadres existants. Comme nous le verrons dans les chapitres suivants, l’IA peut apporter une valeur ajoutée à la gouvernance publique et, plus précisément, à la prévention de la corruption, à condition d’être mieux intégrée dans les systèmes de gestion des risques, de contrôle interne et d’audit interne. Lorsqu’ils sont déployés de manière responsable, les outils d’IA peuvent aider la direction à repérer les risques de fraude et les auditeurs internes à détecter les fraudes. Il est donc important que les entités du secteur public prennent des mesures pour renforcer les connaissances en matière d’IA, en particulier chez les auditeurs internes qui seront appelés prochainement à effectuer des audits des systèmes d’IA au sein de leur entité. Cette amélioration des compétences passe par le recours accru à des outils techniques pour repérer les risques et détecter les malversations.

Le présent chapitre montre que :

• les réglementations des pays en matière de gestion des risques et de contrôle interne sont robustes, mais ceux qui portent sur l’audit interne pourraient être améliorés

• la mise en application des pratiques de gestion des risques n’est pas encore arrivée à maturité

• l’audit interne reste un outil de gouvernance sous-utilisé dans le cadre de la lutte contre la corruption.

Dans les pays de l’OCDE, les textes en matière de gestion des risques et de contrôle interne sont robustes, affichant respectivement en moyenne 72 % et 81 % des éléments qui figurent dans les dispositions classiques. En revanche, les pays n’ont adopté en moyenne que 51 % des dispositions classiques des textes régissant les audits internes, soulignant qu’il s’agit d’un domaine où des améliorations sont encore nécessaires.

Dans la plupart des cas, ces textes portent également sur les risques de fraude et de corruption. 70 % des pays ont publié des lignes directrices pour la prévention de la fraude et de la corruption dans le cadre de leur système de contrôle interne, et 71 % des pays prennent expressément ces risques en compte dans leur cadre de gestion des risques (Graphique ‎3.1).

Malgré une réglementation solide, l’efficacité des processus de gestion des risques et d’audit interne pourrait être améliorée dans la pratique. Si la plupart des pays de l’OCDE disposent d’un cadre de gestion des risques qui prend en compte les risques de corruption et d’atteinte à l’intégrité, dans les faits, il n’est pas souvent appliqué à ces risques. La réglementation émise par l’administration centrale ne sont pas appliqués de manière cohérente dans les ministères et organismes sectoriels où des actions visant à prévenir la corruption sont effectivement menées (Graphique ‎3.2). L’ensemble des ministères ou organismes sectoriels ont procédé à une évaluation des risques au cours des trois dernières années dans six pays seulement, ce qui était peut-être prévisible car seuls sept pays ont défini des rôles et des responsabilités en matière de gestion des risques dans leurs ministères ou organismes sectoriels.

Dans la plupart des pays de l’OCDE, d’autres bonnes pratiques en matière de gestion des risques et d’audit n’ont pas non plus été appliquées dans toutes les entités du pouvoir exécutif. Par exemple, seuls cinq pays de l’Organisation sont en mesure de prouver qu’au moins la moitié de ces entités avaient prévu un audit interne en rapport avec la fraude et la corruption. De plus, bien qu’une charte d’audit constitue le fondement de tout bon audit interne au sein d’une entité, une telle charte existait dans l’ensemble des ministères ou organismes publics de 12 pays uniquement, et seuls 8 pays avaient soumis l’ensemble de leurs services d’audit interne à un contrôle externe de qualité au cours des cinq dernières années.

L’audit interne n’est efficace que s’il peut porter sur une fraction suffisante du budget public. Il offre une assurance quant au fonctionnement du système de contrôle interne et peut avoir un effet dissuasif considérable sur les activités frauduleuses et les agents qui s’y livrent. On observe d’énormes disparités en termes de législation et d’usage entre les pays de l’OCDE. Certains d’entre eux disposent d’une couverture complète sur le plan aussi bien de la législation que de l’usage. D’autres ont une couverture complète en matière de législation mais, dans l’usage, ne soumettent pas toutes les entités à un audit. Certains pays n’étendent pas la portée de l’audit interne à l’intégralité du budget public (Graphique ‎3.3). Cependant, là encore, de nombreux pays ne recueillent pas les données nécessaires à son évaluation.

Enfin, l’utilité des services d’audit interne repose en définitive sur le fait que les responsables du secteur public donnent suite aux recommandations des auditeurs, que ce soit en mettant en œuvre les changements proposés ou, après les avoir examinés, en trouvant une raison valable de ne pas le faire. Dans les pays où il fait l’objet d’un suivi centralisé, le degré de mise en application des recommandations issues des audits est généralement élevé. Il s’agit là d’un signe positif, car ce constat donne à penser que l’administration est disposée à donner suite aux recommandations des auditeurs internes dans la plupart des cas. Toutefois, environ la moitié des pays de l’OCDE ne recueillent pas de données au niveau central sur la mise en application des recommandations découlant des audits, et ne savent donc pas s’ils les ont mises en œuvre (Graphique ‎3.4), ce qui risque fort de réduire l’impact des audits internes dans ces pays.