FF 2018 Volume 17 P. 2437

Rapport sur les risques à l'intention du Conseil fédéral État des lieux Rapport des Commissions de gestion des Chambres fédérales du 30 janvier 2018 Avis du Conseil fédéral du 21 mars 2018

Madame la Présidente, Mesdames, Messieurs, Conformément à l'art. 158 de la loi sur le Parlement, nous nous prononçons comme suit sur le rapport des Commissions de gestion du 30 janvier 2018 intitulé «Rapport sur les risques à l'intention du Conseil fédéral État des lieux»1.

Nous vous prions d'agréer, Madame la Présidente, Mesdames et Messieurs, l'assurance de notre haute considération.

21 mars 2018

Au nom du Conseil fédéral suisse: Le président de la Confédération, Alain Berset Le chancelier de la Confédération, Walter Thurnherr

1

FF 2018 1433

2018-1013

2437

FF 2018

Avis 1

Introduction

La gestion des risques de la Confédération n'a cessé d'évoluer depuis son introduction en 2005. En 2010, le groupe de travail «Reporting sur les risques» des Commissions de gestion (CdG) a évalué pour la première fois l'état actuel de la mise en oeuvre de la gestion des risques dans l'administration fédérale et a formulé six recommandations dans un rapport à l'intention du Conseil fédéral. Dans leur rapport du 30 janvier 2018, les CdG présentent un «état des lieux» en priant le Conseil fédéral de bien vouloir prendre position, d'ici au 29 mars 2018, sur leurs constatations et recommandations. Le présent avis reprend la structure du rapport des CdG.

Le Conseil fédéral approuve largement les propositions d'améliorations reçues, en se félicitant du suivi et du soutien étroits de sa gestion des risques par les CdG.

2

Mise en oeuvre des recommandations du rapport de 2010

Approche descendante («top-down») et fonction transversale du service de coordination Gestion des risques de la Confédération Comme dans leur rapport de 2010, les CdG signalent qu'en matière de gestion des risques, il faut compléter l'approche ascendante par une approche descendante. Elles distinguent pour cette dernière deux aspects: d'une part, il faut s'assurer que le rapport sur les risques livre toutes les informations dont a besoin le Conseil fédéral pour prendre des décisions. D'autre part, celui-ci ne doit pas se contenter d'évaluer les risques qui lui sont communiqués, mais assurer lui-même une certaine surveillance de risques spécifiques et examiner d'un oeil critique les éventuelles lacunes identifiées. Ces deux conditions sont indispensables pour pouvoir considérer la gestion des risques comme un instrument de pilotage efficace.

La Conférence des secrétaires généraux (CSG), organe soumis au Conseil fédéral, et le service de coordination Gestion des risques de l'Administration fédérale des finances (AFF) assument dans le processus de rapport sur les risques d'importantes tâches s'inscrivant dans une approche descendante. Deux fois par an, la CSG examine de près les risques de la Confédération. Elle vérifie leur description et leur évaluation et ordonne les corrections qui s'imposent. Elle s'occupe aussi de la consolidation des risques transversaux et procède encore à des contrôles d'intégralité au sens de la surveillance évoquée par les CdG. Les bases décisionnelles dont dispose la CSG sont préparées par le service de coordination de l'AFF. Ce dernier a vu ses effectifs augmenter d'un poste à plein temps depuis 2010 (coordinateur de la gestion des risques). Même si du point de vue matériel, le service de coordination n'est pas habilité à donner des instructions aux départements et à la Chancellerie fédérale, il élabore les prescriptions méthodologiques et en contrôle le respect.

2438

FF 2018

Conformément au principe de l'autorité collégiale et à la division en départements2, les tâches, les compétences et la responsabilité au sein de l'administration fédérale sont décentralisées. Le Conseil fédéral tient par conséquent aussi, pour la gestion des risques de la Confédération, à une mise en oeuvre décentralisée. Il est indispensable à ses yeux que les départements et la Chancellerie fédérale, ou leurs unités administratives, assument eux-mêmes la responsabilité des risques encourus, et cette responsabilité ne saurait dès lors être déléguée à un centre de compétence. Une telle solution contribue d'ailleurs à une meilleure acceptation de la gestion des risques comme instrument de conduite et de pilotage.

L'organisation décentralisée comporte toutefois des points de friction avec les exigences de rentabilité, de cohérence et de transparence. Il faut par conséquent qu'un service de coordination fort et compétent assure la direction technique de la gestion des risques de la Confédération. La méthodologie ainsi que le cadre de mise en oeuvre de la gestion des risques tendent à se préciser, au fur et à mesure du développement des instruments de travail. Le service de coordination Gestion des risques de l'AFF peut d'ailleurs compter sur le soutien de la CSG et du Conseil fédéral, pour venir à bout de ce défi.

Le Conseil fédéral rappelle enfin, à propos du cas de figure mentionné du risque «flotte suisse de haute mer», que rien n'indique un pilotage insatisfaisant selon l'approche descendante. L'office fédéral compétent avait identifié le risque en 2004 déjà, et des mises à jour régulières sont intervenues depuis. Le problème tient non pas à une déficience systémique dans la gestion des risques de la Confédération, mais à une mauvaise appréciation du risque.

Risques présentant des conséquences non financières: dimensions évaluées Recommandation 1

Liste de toutes les conséquences

Le Conseil fédéral veille à ce que les différentes catégories de conséquences (conséquences financières, dommages corporels, atteinte à la réputation, entrave aux processus opérationnels et conséquences sur l'environnement) soient toutes répertoriées dans l'analyse des risques qui lui est adressée. L'objectif est d'assurer une présentation uniforme, transparente et complète de l'analyse des conséquences sur les feuilles de risque transmises par les départements, les offices fédéraux et les autres unités administratives.

Si, dans un cas donné, une dimension n'est pas concernée, il y a lieu de le mentionner brièvement.

Le Conseil fédéral souscrit à cette recommandation, dont le rapport sur les risques de 2017 tient déjà largement compte.

Chaque risque est évalué sur la base de sa probabilité de réalisation et de ses conséquences potentielles. La gestion des risques de la Confédération distingue ici cinq dimensions: conséquences financières, dommages corporels, atteinte à la réputation de la Confédération, entrave aux processus opérationnels et conséquences sur l'envi2

Voir art. 177 et 178, al. 2, Constitution fédérale (RS 101)

2439

FF 2018

ronnement. Il est important de vérifier chacune d'elles, et de mentionner de façon transparente le résultat des examens sur la feuille de risque.

Un même instrument pour tous Tous les départements et la Chancellerie fédérale utilisent la même application informatique pour leur rapport sur les risques établi à l'intention du Conseil fédéral.

D'autres applications s'emploient dans l'administration fédérale pour des systèmes de gestion apparentés (système de contrôle interne, gestion de projet, gestion de la qualité et de la sécurité, etc.).

Absence de feed-back Les responsables de la gestion des risques des départements et de la Chancellerie fédérale reçoivent du service de coordination Gestion des risques de la Confédération, dans les meilleurs délais, des informations aussi complètes que possible après les discussions et les décisions prises à la CSG, au Conseil fédéral et aux séances du groupe de travail «Reporting sur les risques» des CdG. Afin d'intensifier encore les flux d'information dans la gestion des risques, ces retours seront également présentés dès 2018 aux responsables de la gestion des risques des unités administratives, lors d'une séance d'information par département.

3

Défis actuels

Actualisation des feuilles de risque Recommandation 2

Actualisation annuelle des risques

Le Conseil fédéral prend les mesures nécessaires afin de garantir que les secrétariats généraux, les départements et les offices fédéraux actualisent chaque année les risques et inscrivent sur les feuilles de risque les données et les informations les plus récentes. Le risque doit toujours être classé en fonction des dernières évolutions. Cela implique également l'obligation le cas échéant de collecter et de traiter chaque année les données correspondantes.

Le Conseil fédéral approuve la recommandation 2 des CdG.

Selon les prescriptions méthodologiques du service de coordination Gestion des risques de la Confédération, tous les risques de la Confédération doivent être actualisés au moins une fois par an pour le nouveau rapport. Il s'agit surtout de réexaminer la description du risque (adaptation le cas échéant à l'évolution des circonstances), le scénario du pire cas crédible (prise en compte des changements au niveau des causes et du potentiel de dommages), l'évaluation du risque (dimensions envisagées et probabilité de réalisation selon le scénario actuel) et l'avancement des mesures destinées à réduire les risques ou les dommages.

2440

FF 2018

Indicateurs de la probabilité de réalisation Recommandation 3

Indicateurs de la probabilité de réalisation

Les Commissions de gestion invitent le Conseil fédéral à formuler des indicateurs plus fiables en vue de déterminer la probabilité de réalisation des différents risques.

En outre, l'estimation de la probabilité de réalisation doit être inscrite et brièvement motivée sur la feuille de risque concernée.

Le Conseil fédéral pense comme les CdG que des indicateurs tangibles sont importants pour une évaluation fiable des risques. Ils servent de base à un classement rationnel et à une évaluation aussi uniforme que possible des risques, condition sine qua non pour pouvoir comparer les divers risques et les hiérarchiser par degré de priorité. Ce constat a conduit à paramétrer la matrice d'évaluation qualitative, en y introduisant des valeurs de référence. Dans le cas des conséquences des risques, l'ampleur des dommages est chiffrée à l'aide de données quantitatives pour chacune des cinq dimensions retenues, tandis que la probabilité de réalisation est indiquée soit en pourcentages, soit par la fréquence de tels événements au cours d'une période donnée.

Il n'est pas opportun selon le Conseil fédéral de concrétiser davantage encore ces indicateurs de la probabilité de réalisation: la majeure partie des risques encourus par la Confédération, les risques stratégiques en particulier, sont des événements uniques. C'est la raison pour laquelle la gestion des risques de la Confédération applique la technique qualitative des scénarios, où l'évaluation repose sur un scénario du pire cas crédible. Or des valeurs empiriques standardisées n'entrent pas en ligne de compte en pareil cas.

Deux mesures notamment peuvent contribuer à une évaluation rationnelle et homogène des risques, comme le recommandent les CdG. Premièrement, il s'agit de vérifier, chaque fois que c'est possible et judicieux, la plausibilité d'une évaluation à l'aide des résultats empiriques de cas apparentés et/ou de l'étayer au moyen d'une analyse appropriée faisant appel au savoir-faire d'experts et à des statistiques spécialisées. Deuxièmement, de brèves explications concernant les bases d'évaluation feront désormais partie intégrante de la description des risques. Cette dernière mesure permettra de comprendre matériellement l'évaluation, de la critiquer le cas échéant ou de la comparer à celle d'autres risques, et enfin de classer de manière
plausible les risques dans la matrice des risques. Le Conseil fédéral accorde déjà aujourd'hui une grande importance à cet aspect, et approfondira donc systématiquement la seconde partie de la recommandation.

2441

FF 2018

Risque exclu en raison de l'impossibilité d'exercer une influence Recommandation 4

Ressources financières

Le Conseil fédéral garantit que le recensement d'un risque ne dépend pas des ressources financières dont dispose une unité administrative.

Engager les ressources de telle sorte que les risques importants puissent être pris en considération de manière appropriée dans la mesure des ressources mises à disposition est une tâche de conduite.

Le Conseil fédéral approuve cette recommandation. Ses propres prescriptions sur la politique de gestion des risques3 font qu'aujourd'hui déjà, il est exclu de renoncer au recensement des risques «faute de ressources financières» pour les atténuer. En outre, le fait de négliger délibérément un risque reconnu contreviendrait à ses obligations gouvernementales élémentaires.

Les explications du rapport des CdG contiennent toutefois aux yeux du Conseil fédéral certaines ambiguïtés propres à susciter des malentendus. Il tient par conséquent à préciser ceci: Le Conseil fédéral approuve et partage l'avis des CdG, selon lesquelles le manque de ressources financières pour l'exécution des tâches ne peut constituer un risque que dans de rares cas4 et la gestion des risques doit échapper à toute instrumentalisation en vue de réaliser des objectifs budgétaires. La position des CdG contribue à une plus grande clarté et conforte le Conseil fédéral, la CSG ainsi que la gestion des risques de la Confédération dans leur méthode (manuel) et dans la pratique en vigueur.

Comme le relève le rapport des CdG, le Département fédéral de la défense, de la protection de la population et des sports (DDPS) mentionnait depuis 2013, sous un titre ayant changé plusieurs fois, un risque de non-réalisation de ses tâches liées à la protection du territoire et de la population. Le Conseil fédéral constate que le manque de ressources financières figurait à chaque fois bien en vue parmi les causes de ce risque aux multiples facettes thématiques. Au début de 2017, la CSG a renvoyé ce risque au DDPS, avec prière d'en désenchevêtrer les différents thèmes et d'en éliminer l'élément des ressources insuffisantes. À la demande du Conseil fédéral, le DDPS a simplifié et réorganisé le risque lors de l'actualisation de 2017.

Or à aucun moment, il n'avait été question de le biffer entièrement du portefeuille des risques principaux.

3

4

Directives du Conseil fédéral du 24 septembre 2010 sur la politique de gestion des risques menée par la Confédération (ci-après directives sur la politique de gestion des risques); FF 2010 5965.

«Les décisions du Parlement et leurs conséquences en termes financiers aussi doivent être assumées et mises en oeuvre par le Conseil fédéral et l'administration.» (rapport des CdG, à la fin du ch. 3.2.1).

2442

FF 2018

Recommandation 5

Impossibilité d'exercer une influence politique

Le Conseil fédéral veille à ce que les risques figurent dans le rapport sur les risques indépendamment de la possibilité pour lui-même, l'Assemblée fédérale ou une unité administrative d'exercer une influence sur la probabilité de la réalisation de ceux-ci.

Même s'il n'est pas possible d'influer sur cette probabilité, il convient de garantir, dans le cadre de la gestion des risques, que des mesures sont prises afin de limiter les dommages potentiels et de les réduire au strict minimum.

Le Conseil fédéral approuve pour l'essentiel la recommandation. Selon la définition du risque5, la gestion des risques de la Confédération consiste à identifier et dûment gérer tous les événements et développements qui ont une certaine probabilité de se produire et qui ont des conséquences négatives majeures sur l'atteinte des objectifs et l'exécution des tâches dans l'administration fédérale. Ainsi, les mesures visent toujours à réduire la probabilité de réalisation des risques ou les dommages potentiels, voire les deux. Quand la probabilité de réalisation échappe à tout contrôle (par ex. en cas d'apparition d'une pandémie), la gestion des risques se concentre sur les mesures visant à limiter les dommages (gestion des urgences, des crises et de la continuité). Il n'est en aucune manière de règle que l'on passe sous silence un risque, faute de possibilité pour le Conseil fédéral ou ses unités administratives d'en influencer la probabilité de réalisation.

Au vu de ce qui précède, le Conseil fédéral considère l'exemple abordé dans le rapport des CdG désactivation du risque relatif à la troisième réforme de l'imposition des entreprises (RIE III) après l'adoption du projet par le Parlement comme une exception à la règle, et la décision du service gérant le risque comme solidement étayée. Comme le relèvent les CdG, il y avait sans doute des possibilités d'agir sur la probabilité de réalisation d'un tel risque. Mais la volonté politique et le cadre légal restreignent fortement la marge de manoeuvre du Conseil fédéral, et à plus forte raison celle de l'administration fédérale: elles se limitent aux instruments d'information habituels lors des votations populaires (brochures d'explications, feuilles d'information publiées sur le site Internet des unités administratives compétentes, interventions dans les médias du
membre compétent du Conseil fédéral). Quant à la gestion des conséquences dudit risque, des idées existaient pour le cas où le projet aurait été refusé. Le Conseil fédéral estime cependant que la gestion des risques n'est pas l'instrument qui convient pour réaliser de telles mesures. Il est d'ailleurs apparu par la suite que le Conseil fédéral prend au sérieux les principes de la gestion des risques, puisqu'il a aussitôt recensé un risque pour le projet subséquent, soit le «Projet fiscal 2017».

Le Conseil fédéral tient encore à souligner la constatation des CdG, selon laquelle les décisions du peuple et aux yeux du Conseil fédéral celles du Parlement également ne peuvent pas être considérées comme un risque. Le processus politique amène de nouveaux objectifs à remplacer ceux fixés jusqu'alors dans la loi, et les nouvelles conditions-cadres deviennent contraignantes pour tous les acteurs de la 5

Ch. 2, al. 1, directives sur la politique de gestion des risques.

2443

FF 2018

Confédération, gestion des risques comprise. Les conflits d'objectifs et de normes qui s'ensuivent constituent des défis stratégiques, qui ne peuvent constituer un risque que s'ils ont des conséquences majeures pour l'exécution des tâches dans l'administration fédérale.

Risques transversaux et risques initiaux: pratique uniforme Recommandation 6

Pratique uniforme concernant les risques initiaux

Les CdG invitent le Conseil fédéral à faire en sorte que les départements adoptent des règles et une pratique uniformes à l'égard des risques initiaux.

Ce point doit en outre être ajouté au manuel.

Le Conseil fédéral souscrit en principe à la recommandation, à ceci près qu'à son avis, des règles et une pratique uniformes sont déjà largement en place aujourd'hui.

Par risque initial, on entend un risque individuel agrégé avec d'autres risques à un niveau supérieur pour former un risque transversal6. Une agrégation peut notamment être indiquée si à l'échelon de l'administration fédérale, plusieurs risques identiques ou similaires sont identifiés, ou si un risque identifié concerne plusieurs unités administratives. La gestion centralisée de ces risques individuels poursuit essentiellement trois buts: (1) la vue d'ensemble au niveau supérieur révèle l'importance d'un risque ou la nécessité d'agir; (2) le risque peut être géré de manière plus efficace grâce à des mesures pilotées centralement (effets d'échelle), et les moyens nécessaires peuvent être utilisés plus efficacement; (3) les interactions et les interfaces deviennent ainsi plus faciles à identifier et à analyser.

Dans un premier temps, la gestion des risques de la Confédération ne fait pas de distinction dans la pratique entre les risques initiaux et les autres risques individuels: dans le cadre de l'organisation décentralisée il appartient aux unités compétentes de les identifier, de les décrire et de les évaluer. En fonction de son évaluation, un risque initial sera signalé ou non comme risque principal du département. Une telle déclaration n'est obligatoire que si le risque initial est classé au niveau des risques du Conseil fédéral.

Il convient encore de signaler deux particularités des risques initiaux. Premièrement, chaque risque transversal est représenté au niveau de la Confédération avec tous ses risques initiaux. Deuxièmement, tous les risques transversaux sont traités, en vue du rapport sur les risques, lors de séances de coordination: les unités administratives compétentes discutent avec le service de coordination Gestion des risques de l'évolution en la matière, des mesures adoptées pour chaque risque initial, ainsi que de l'évaluation du risque transversal.

6

Manuel de gestion des risques de la Confédération, annexe 1 (Définitions)

2444

FF 2018

Passage d'un risque au niveau du Conseil fédéral Recommandation 7

Critères déterminants pour faire passer un risque au niveau du Conseil fédéral

Les CdG invitent le Conseil fédéral à définir les critères qui déterminent comment et quand un risque départemental doit passer au niveau du Conseil fédéral et, partant, doit impérativement figurer dans les rapports sur les risques établis à son intention.

Le Conseil fédéral approuve en principe la recommandation. Il estime toutefois que des critères adéquats sont déjà définis et appliqués aujourd'hui pour le passage des risques au niveau du Conseil fédéral.

Dans la gestion des risques de la Confédération, une distinction est faite entre l'information ordinaire et l'information exceptionnelle des départements à l'intention du Conseil fédéral. Dans le premier cas, les risques seront signalés à l'occasion du rapport annuel et de son actualisation en cours d'année. L'obligation d'informer le Conseil fédéral découle de l'évaluation des risques: si la probabilité de réalisation et les conséquences potentielles (conséquences financières, dommages corporels, atteinte à la réputation, entrave aux processus opérationnels et impact sur l'environnement) sont classées au niveau des risques du Conseil fédéral, une telle déclaration est obligatoire. En outre, chaque département ainsi que la Chancellerie fédérale présentent un rapport portant au moins sur leurs trois risques principaux.

En cas de situation de risque exceptionnelle, les départements et la Chancellerie fédérale informeront le Conseil fédéral «sans délai»7. Les termes «exceptionnel» et «sans délai» sont suffisamment clairs aux yeux du Conseil fédéral. Il faut les interpréter selon les critères d'évaluation des risques (probabilité de réalisation, cinq dimensions de conséquences): plus les dommages potentiels sont graves et l'événement dommageable semble imminent, plus il s'avère nécessaire d'en informer le Conseil fédéral.

De l'avis du Conseil fédéral, le cas de figure mentionné du risque «flotte suisse de haute mer» ne prouve nullement l'absence de critères déterminants pour faire passer un risque au niveau du Conseil fédéral. Les évaluations concernant la probabilité de réalisation du risque et les conséquences possibles du risque de pertes encouru par la Confédération du fait des cautionnements octroyés n'entraînaient, selon les critères en vigueur, pas nécessairement une information du Conseil fédéral. En l'occurrence, le problème résidait dans l'évaluation même du risque.

7

Voir ch. 5, al. 4, let. d, des directives sur la politique de gestion des risques

2445

FF 2018

2446