SERVICE PUBLIC FEDERAL INTERIEUR

29 MARS 2011. - Circulaire CP3 relative au 'système du contrôle interne' dans la police intégrée, structurée à deux niveaux

A Mesdames et Messieurs les Gouverneurs, A Mesdames et Messieurs les Bourgmestres, A Mesdames et Messieurs les Présidents des Collèges de Police, A Mesdames et Messieurs les Chefs de corps de la police locale, A Monsieur le Commissaire général de la police fédérale, Pour info : au Président de la Commission permanente de la Police locale au Ministre de la Justice Mesdames, Messieurs, 1. Introduction Dix ans après la réforme des services de police, il ressort d'une première évaluation que cette réforme est réussie.Il existe une bonne interaction entre les différentes composantes de la police et les informations circulent mieux. Le fonctionnement de la police est reconnu comme étant plus professionnel qu'auparavant et de qualité.

Cependant, sur base d'une philosophie d'amélioration, il est important d'ancrer cette évolution positive et d'améliorer le service de manière continue. Une gestion optimale s'avère donc une condition importante, au sein de l'organisation, sans omettre de porter une attention aux compétences et aux responsabilités tant des dirigeants que des collaborateurs. Pour ce faire, cette circulaire a pour objectif de proposer un cadre qui se rattache à un mouvement plus large au sein du secteur public, à savoir mieux gérer les activités internes et les rendre transparentes. En d'autres termes, par le biais de cette circulaire, nous souhaitons créer les conditions permettant l'élaboration d'un 'système de contrôle interne' et ce au sein de la police intégrée. Un bon 'système de contrôle interne' permet en effet qu'une organisation corresponde aux objectifs qu'elle souhaite atteindre et offre une certitude raisonnable que ces objectifs seront aussi réellement atteints.

Via le 'système de contrôle interne', on vise une plus grande responsabilisation des dirigeants d'une organisation mais également de chaque collaborateur. La responsabilisation et le fait de rendre compte sont indissociablement liés au concept actuel de 'government governance' (la 'bonne gouvernance') mais sont aussi inhérents à la philosophie d'une fonction de police d'excellence. Le fait de rendre compte ainsi qu'une 'implication capable' sont en effet fondamentaux dans l'interprétation belge du 'community policing' et indissociablement liés à une gestion d'entreprise optimale.

Dans cette circulaire, l'objectif est ? de définir le 'système de contrôle interne'; ? de clarifier le lien entre le 'système de contrôle interne' et l''auditing', le 'système de contrôle interne' et la pensée qualité intégrale, le 'système de contrôle interne' et la gestion des plaintes, le 'système de contrôle interne' et le 'contrôle interne' tel que compris dans la POL 48; ? de commenter ce que cela signifie ou non pour la structure interne d'un service de police locale ou de la police fédérale.

Les outils pratiques sont joints en annexe. Ils comportent un fil conducteur expliquant les composantes d'un 'système de contrôle interne' et un plan par étapes afin de développer ce système dans les processus d'entreprise de la police (l'annexe 1re) ainsi qu'une procédure de gestion des plaintes (l'annexe 2). 2. Le 'système de contrôle interne' En ce qui concerne le contrôle interne, il existe de nombreux malentendus.D'une part, le concept est associé à tous les contrôles observables auxquels on est soumis dans l'organisation. D'autre part, et c'est certainement le cas dans les milieux policiers, le contrôle interne ou la surveillance interne sont principalement liés aux dysfonctionnements individuels et à une approche réactive en la matière.

Le système de contrôle interne est cependant un ensemble d'activités de contrôle. En effet, au sein d'une organisation -et en particulier de son cycle de politique et de gestion- le management/la direction doit mettre en oeuvre les activités dans les domaines de la 'direction', la 'maîtrise', le 'rendre compte' et la 'surveillance' et ceci avec l'ouverture, l'intégrité et le devoir de responsabilité nécessaires. Cet ensemble d'activités de contrôle est appelé 'système de contrôle interne'. Il peut être décrit en tant que processus ou système qui est entrepris par le management et le personnel afin d'obtenir une certitude raisonnable quant au fait que les objectifs de l'organisation (mission, objectifs stratégiques et/tactiques et/ou opérationnelles) seront réalisés.

Eu outre, le système de contrôle interne n'est pas nouveau. Chacun s'en occupe quotidiennement, même s'il n'en est pas toujours conscient. A l'aide d'un fil conducteur, le système existant peut être explicité et affiné. Le système de contrôle interne est en effet, tout comme la conscience de la qualité, l'affaire de tous.

Le noyau du système de contrôle interne est le management ou la gestion des risques. La gestion des risques concerne la gestion d'incertitudes qui peuvent hypothéquer la réalisation des objectifs.

La plupart du temps, ce sont des obstacles qui doivent être éliminés ou réduits. Toutefois, ces incertitudes ne sont pas toujours négatives. Elles peuvent aussi constituer des opportunités. Elles ne doivent dès lors pas être éliminées mais, au contraire, être utilisées.

La gestion des risques correspond à plusieurs étapes concrètes sur lesquelles on retrouve plus d'explications, ainsi que des exemples, en annexe 1re. De quoi s'agit-il ? La principale condition pour la gestion des risques est que les objectifs de l'organisation soient fixés et connus. Ensuite, la première étape de la gestion concerne l'identification ou la détection de risques. En principe, ceux-ci doivent être détectés tant spontanément que systématiquement, et portés à la connaissance de la direction (identification des risques). Une détection spontanée suppose toutefois une 'conscience du contrôle' de chaque membre de l'organisation. Tous les collaborateurs doivent savoir comment et où s'adresser lorsqu'ils sont confrontés à des problèmes ou à des risques. Ils doivent savoir que l'organisation agit réellement par rapport aux problèmes mis en avant. Dans le cas de détections systématiques, il est possible de travailler via des analyses SWOT ou d'autres enquêtes et méthodologies.

La deuxième étape concerne l'analyse des risques. Dans cette analyse, les risques sont pesés. Cet examen peut être intuitif (sur base de l'expérience,...) ou on peut pratiquer une approche plus méthodique.

Dans ce dernier cas, on travaille avec deux facteurs de pondération, à savoir la probabilité et l'impact du risque.

Sur la base de cette analyse, le responsable prendra une décision quant à l'ordre d'importance. En d'autres termes, il revient, au niveau d'un corps complet, au chef de corps ou au commissaire général de la police fédérale de décider de la manière dont les risques sont classés.

Ce n'est qu'ensuite que le responsable peut réagir face au risque. Il ou elle décide quels risques sont réellement abordés, lesquels sont acceptés (et ne sont donc pas abordés car, par exemple, le coût est trop élevé par rapport au risque), lesquels peuvent être évités (arrêt de certaines activités) et lesquels peuvent être partagés avec d'autres (par ex. un leasing des véhicules pour lesquels la société de leasing se charge de la révision et du remplacement des véhicules à temps).

Afin de garantir ensuite le bon fonctionnement et de maîtriser durablement les risques, les activités de contrôle nécessaires doivent être prévues. Cela peut signifier que des procédures sont incluses, des règles fixées, des normes définies, etc. La dernière partie de la gestion des risques concerne le monitoring ou pilotage. Cela suppose une 'surveillance' du fonctionnement par le chef de corps ou le commissaire général mais aussi et surtout par le management de ligne.

La 'surveillance' peut consister en des évaluations périodiques ou en l'organisation d'un audit.

En résumé, un bon système de contrôle interne et une bonne gestion de risques reviennent donc à ce que : ? l'on sache où on veut aller avec l'organisation (mission et stratégie); ? l'on sache ou l'on prenne conscience de ce que sont les obstacles et/ou chances en la matière (les risques inhérents aux activités qui concrétisent la mission et le suivi de la stratégie choisie); ? l'on entreprenne des actions lors desquelles on saisit les opportunités et on maîtrise les obstacles, et lors desquelles on définit des mesures ou activités de contrôle interne; ? l'on rende compte pour les initiatives prises et les résultats obtenus. 3. Système de contrôle interne et 'auditing' Un audit est considéré comme une partie du suivi et de la surveillance des activités de contrôle et procédures mises en place.La fonction d'audit doit être vue comme une évaluation indépendante et objective lors de laquelle la direction du corps reçoit une 'seconde opinion' significative quant au système de contrôle interne et à la gestion des risques en vue d'une gestion d'entreprise de qualité au sein de l'organisation. En d'autres termes, pendant un laps de temps déterminé, on vérifie si le système de contrôle interne a suffisamment détecté et garanti les risques. Une 'première opinion' émane en effet des responsables de ligne, et ce sur la base du monitoring de leurs activités de contrôle.

Autrement dit, les auditeurs n'ont pas de responsabilité ou de compétence directe par rapport aux activités qu'ils examinent. Ils n'imposeront pas de procédures, ne prépareront pas de données et ne prendront pas d'engagements concernant les activités qu'ils doivent normalement contrôler. Les audits qui sont effectués, ne déchargent en aucune façon les fonctionnaires de ligne de leurs responsabilités, ni en termes d'exécution des tâches, ni en termes de contrôle de celles-ci. Ils ne prennent donc pas la place des responsables de la gestion au sein du management de ligne. Certes, ces audits se prononcent sur l'efficience et l'efficacité du système de contrôle interne et doivent permettre l'identification de points d'amélioration ainsi que la formulation de recommandations. 4. Système de contrôle interne et pensée qualité intégrale La pensée qualité intégrale renvoie à la mise en oeuvre permanente de tous les moyens mais surtout du personnel afin de favoriser, de manière continue, tous les aspects de l'organisation, la qualité des services et des produits, la satisfaction des parties prenantes et l'intégration dans son environnement.Cette philosophie de base est traduite par le biais de 8 concepts fondamentaux de l'excellence : atteindre des résultats équilibrés, créer de la valeur pour les clients, diriger de façon visionnaire, inspirée et intègre, manager par les processus, réussir par l'implication du personnel, inciter à la créativité et à l'innovation, développer les partenariats, assumer ses responsabilités pour un avenir durable.

Le système de contrôle interne est étroitement lié à cette pensée qualité intégrale. Il a en effet trait aux objectifs et processus de l'organisation et donc à la recherche de qualité ainsi qu'à sa surveillance. L'identification des risques et la gestion qui y est associée en font partie.

La pensée qualité intégrale peut aussi faire référence à l'utilisation de modèles qui visent les autoévaluations et donc les plans d'amélioration (EFQM, CAF, INK) ou tendent vers des normes (ISO). Le développement de certaines activités de contrôle peut par exemple entretenir des liens directs avec des points d'amélioration identifiés. Les deux ne sont toutefois pas identiques. En effet, maîtriser, ce n'est pas la même chose qu'améliorer : le point de vue diffère et c'est pourquoi cela n'entraîne pas la même liste d'actions.

Mais il y a, incontestablement, des points communs. L'objectif demeure la recherche et le maintien de la qualité.

La pensée qualité intégrale est également étroitement liée à l'ensemble de la Gestion des Ressources Humaines. En effet, la qualité orientée vers le 'client' interne doit avoir des conséquences directes sur la manière dont les collaborateurs abordent le client 'externe' et travaillent pour lui. Le recrutement et la sélection, la formation, la mobilité et le management réel des compétences, le fonctionnement et l'évaluation ainsi que la discipline, que ce soit en tant que remède ultime ou lorsque tous les autres aspects ont échoué, sont directement liés à la recherche de qualité au sein de l'organisation.

Enfin, la pensée qualité intégrale entretient des liens avec la manière dont une organisation réagit aux plaintes qui sont exprimées par rapport à son fonctionnement. En outre, la gestion des plaintes est directement liée au système de contrôle interne. 5. Système de contrôle interne et gestion des plaintes Le système de contrôle interne doit permettre d'identifier, de reconnaître et de traiter les problèmes à temps de façon à ce qu'ils ne s'aggravent pas jusqu'à devenir des plaintes.Celles-ci peuvent dès lors être considérées comme un signal indiquant que les risques au sein de certains processus d'entreprise n'ont éventuellement pas été suffisamment couverts. Elles peuvent renvoyer à des dysfonctionnements individuels mais, souvent, il y a aussi un contexte organisationnel derrière tout cela.

C'est pour cette raison mais également en partant du principe de base de responsabilisation et de justification en général qu'il est primordial que les plaintes soient traitées là où elles peuvent permettre d'éliminer (aussi vite que possible) les causes ou les raisons des plaintes, à savoir au niveau des corps de police et des responsables de ligne. Une même proposition est reprise dans le rapport du Conseil fédéral de police sur les '10 ans de la réforme des polices' : « En ce qui concerne le traitement de plaintes introduites par des citoyens ou des tiers à l'égard de la police, on opte pour la formalisation de la 'réflexion par ligne'. Ainsi, il est préférable d'attribuer une responsabilité de première ligne claire aux dirigeants de la police et aux chefs du collaborateur faisant l'objet de la plainte, à moins qu'il existe ab initio des raisons de ne pas procéder de la sorte sur la base des critères convenus ».

Une analyse régulière (de l'addition) des plaintes doit en outre permettre de détecter les endroits où des mesures émanant du système de contrôle interne doivent être intégrées afin d'éviter des plaintes semblables dans le futur. 6. Système de contrôle interne et 'contrôle interne' (POL 48) Dans la circulaire du 6 juillet 1994 (POL 48), le 'contrôle interne' est décrit comme suit : « le contrôle qui est principalement effectué sur le terrain, mais aussi celui effectué sur les cellules administratives de la police;la surveillance qui est axée sur le contrôle de l'exercice des fonctions par l'agent de police individuel, mais qui peut également aller plus loin; la surveillance qui vise en particulier les services spécialisés qui ont tendance à opérer seuls. » Il importe également de souligner que la POL 48 a prévu la création concrète d'un service de contrôle interne (SCI) et que l'objectif de ce service devait résider dans « la réalisation des priorités dont il est chargé. Le service doit être considéré comme un instrument dans la gestion du corps et est surtout destiné à informer la direction du corps sur l'état réel des choses, de sorte que la direction du corps puisse apporter des corrections en meilleure connaissance de cause. » Après la réforme des polices, la circulaire est implicitement restée d'application. Le profil de fonction du chef de corps stipule par exemple qu'il/elle est le responsable final du contrôle interne, conformément à la POL 48.

Ce qui relie le concept de 'contrôle interne' au système du contrôle interne tel que décrit dans cette circulaire, c'est aussi le fait que le 'contrôle interne' partait déjà d'une définition plus large que les dysfonctionnements individuels. Néanmoins, dans la pratique, les services de contrôle interne ont principalement adopté une approche réactive et/ou répressive de risques ponctuels dans le domaine des enquêtes administratives, disciplinaires et pénales.

Là où les concepts diffèrent l'un de l'autre a trait à l'accent qui est mis sur la responsabilité de ligne mais aussi la responsabilité individuelle. Dans le concept précédent de 'contrôle interne', le SCI était un service indépendant, un instrument du chef de corps, permettant d'exercer un contrôle et de rester informé. Le nouveau concept de système de contrôle interne fait reposer la responsabilité sur chaque collaborateur du corps et sur le responsable de ligne afin d'exercer le contrôle au véritable sens du terme. Ce système va jusqu'au niveau du chef de corps pour la police locale ou du commissaire général (et ses directeurs généraux) pour la police fédérale. Si, dans l'ancien concept, la surveillance était principalement comprise en tant que 'contrôle', même en y apportant quelques nuances, dans le concept du système de contrôle interne, l'accent principal est mis sur la gestion proactive et directe. 7. La structure organisationnelle interne L'approche du système de contrôle interne, telle qu'elle est pratiquée actuellement par de nombreuses institutions publiques, en Belgique et ailleurs, et dans laquelle les corps de police doivent aussi s'inscrire, place le processus de contrôle au milieu du fonctionnement interne de l'organisation.Le système complet de contrôle interne sert à adapter/à améliorer la qualité de l'organisation et sa gestion, et est élaboré autour de la prise de responsabilité et du fait de rendre des comptes. Chaque collaborateur dans l'organisation participe au système de contrôle interne à son niveau et au sein des compétences qui sont liées à sa fonction spécifique. La création d'un service spécifique qui se contente d'effectuer une surveillance et d'exercer un contrôle, sans que cela soit associé à des mesures proactives et d'appui, est dès lors en contradiction avec le principe de base. Ce dont il s'agit, est la sensibilisation et le suivi de chaque collaborateur individuel et de chaque responsable de ligne.

Le noyau du système de contrôle interne ne réside donc pas dans des structures mais bien dans l'exécution de différentes fonctions avec un échange d'informations fort et mutuel. Le système de contrôle interne est un élément qui doit concerner l'ensemble du corps. C'est la raison pour laquelle le contrôle interne ne requiert pas de service distinct.

Certes, on peut penser à une cellule ou à un service de système de contrôle interne qui appuie les responsables de ligne en termes de méthodologie et qui surveille le développement du nouveau concept ou système. Néanmoins, cet appui méthodologique peut également exister au sein d'un service ou d'une cellule pensée qualité intégrale, appui stratégique ou encore, au sein d'une fonction renouvelée de contrôle interne.

La gestion des plaintes est aussi une fonction importante; une plainte peut renvoyer tant à un dysfonctionnement organisationnel qu'individuel, voire aux deux. Le chef de corps ou le commissaire général est libre de confier cette fonction à un service de plaintes spécifique ou de l'intégrer en tant que fonction à une cellule/un service de pensée qualité intégrale ou d'appui stratégique. Tout dépend de l'historique, de l'ampleur du fonctionnement quotidien du corps. Ce qui importe -outre le déroulement de la procédure de plainte - est que les informations mentionnées dans la plainte, y compris dans la perspective d'(éventuelles) mesures (complémentaires) dans le domaine du système de contrôle interne, soient analysées.

La discipline est également une fonction distincte. Dans ce cas, il est même indiqué d'opérer une distinction entre la fonction de l'enquête préliminaire et l'enquête disciplinaire proprement dite. A nouveau, le chef de corps ou le commissaire général décide de la manière dont cette (ces) fonction(s) s'intègre(nt) dans l'organisation. Mais il est absolument conseillé de séparer la fonction disciplinaire de tout ce qui a trait au contrôle interne. Il demeure que l'échange d'informations entre les fonctions citées, sans bien sûr porter atteinte au secret de l'enquête, est indispensable.

Cela permet aussi de tirer des leçons en la matière, par exemple en termes de proactivité.

En bref, la manière dont les fonctions sont interprétées est de la responsabilité du chef de corps ou du commissaire général. Néanmoins, ces fonctions doivent être exécutées, et ce avec le plus de professionnalisme possible. Un système de contrôle interne fonctionnant bien fait partie des éléments essentiels d'une bonne gestion. C'est pour cette raison qu'il est indiqué que le concept soit accepté dans le fonctionnement policier en étant repris dans les plans de sécurité et les lettres de mission. En même temps, il nous faut réaliser que le travail n'est jamais terminé. Un système performant de contrôle interne est en effet un ensemble dynamique de mesures qui suit les changements se produisant presque constamment dans des organisations. C'est pourquoi, il doit rester une préoccupation permanente des dirigeants et de leurs collaborateurs.

Madame, Monsieur le Gouverneur, veuillez mentionner dans le mémorial administratif la date à laquelle cette circulaire sera publiée dans le Moniteur belge.

La Ministre de l'Intérieur, Mme A. TURTELBOOM

Annexe 1re. - Le fil conducteur du contrôle interne (1) Le processus de contrôle interne est concrétisé par la mise en place d'une série d'actions et mesures dans cinq composantes interdépendantes : ? l'environnement interne, aussi appelé environnement de contrôle ? l'évaluation et la gestion des risques ? les activités de contrôle ? l'information et la communication ? le monitoring ou pilotage Après description de ces composantes, l'annexe termine avec un plan par étapes. 1. L'environnement interne L'environnement interne est relativement difficile à décrire et doit être considéré comme le fondement des quatre autres composantes.En fait, l'environnement interne consiste en la 'gestion et conscience des risques' de la part de l'ensemble des membres de l'organisation et en particulier des dirigeants. Leurs comportement et mentalité influenceront en effet considérablement la culture organisationnelle.

Chacun est censé faire preuve de sens des responsabilités et de vigilance par rapport aux risques, et adopter une attitude proactive.

L'attention portée à cette composante représente probablement le plus grand défi lors de l'instauration d'un contrôle interne performant.

Afin d'assurer un contrôle interne efficace, les actions qui pourront être mises en oeuvre dans le cadre de cette composante devront notamment tenir compte des éléments suivants : ? l'intégrité tant personnelle que professionnelle et les valeurs éthiques des responsables et des collaborateurs. L'efficacité du contrôle interne est toujours fonction de l'intégrité et des valeurs éthiques des personnes qui l'ont instauré, qui le gèrent et en assurent le suivi. Le comportement éthique et l'intégrité du management constituent ici des facteurs essentiels. Les cadres dirigeants doivent montrer l'exemple et adopter un comportement éthique dans la direction quotidienne de l'organisation et le coaching des collaborateurs. L'existence d'une mission et d'un cadre de valeurs doit permettre au citoyen de s'assurer des qualités et normes éthiques de l'organisation. La manière dont les collaborateurs exercent les activités doit en outre être cohérente avec le code de conduite défini par l'organisation. Aussi une attitude conséquente lors d'établissement de règles de conduite - contenant les comportements souhaités et non souhaités - est primordiale; ? la bonne personne au bon endroit. L'attribution d'un poste est toujours décidée au regard des connaissances et aptitudes requises.

C'est pour l'organisation le seul moyen de garantir que les tâches seront accomplies de la manière la plus organisée, éthique et économique possible. Elle dispose pour ce faire d'outils tels que, par exemple, les descriptions de fonctions, des analyses régulières et des entretiens portant sur les connaissances et aptitudes des collaborateurs; ? la structure de l'organisation. La structure de l'organisation prévoit la délimitation de compétences et domaines de responsabilité qui doivent être clairement définis et s'inscrire dans le droit fil de la stratégie et des objectifs de l'organisation. La structure prévoit, en outre, les mécanismes de délégation et de justification et définit des canaux d'information appropriés. L'implication des collaborateurs n'est possible que s'ils sont informés du pourquoi et des résultats de leurs actions; ? la politique de 'ressources humaines' et sa mise en oeuvre. Le concept de 'ressources humaines' englobe le recrutement, la dotation en personnel, la gestion des carrières, la formation, les évaluations, les promotions et rémunérations. La gestion des 'ressources humaines' joue un rôle essentiel dans la promotion d'un environnement éthique favorisant le professionnalisme et garantissant la transparence au quotidien.

Structure adaptée, intégrité et déontologie, politique GRH sont des matières relativement connues. Aussi bon nombre de corps de police ont-ils déjà pris une multitude de mesures ou initiatives qui relèvent de ce qu'on appelle ici l'environnement interne. Cela signifie qu'ils ont perçu, consciemment ou inconsciemment, la nécessité d'instaurer une gestion des risques et ont recherché des réponses pertinentes. Dès lors, le fil conducteur ou la méthodologie abordé(e) ici vise précisément à encadrer, systématiser et compléter ces initiatives. 2. L'évaluation et la gestion des risques L'évaluation et la gestion des risques forment le processus qui consiste à identifier et analyser les risques au sein d'une organisation et à déterminer la réponse à y apporter.On entend par risque toute possibilité ou menace influençant de manière substantielle la réalisation des objectifs de l'organisation. 2.1 Identification des risques Les risques sont identifiés à la lumière de la mission et de la stratégie de l'organisation. L'identification des risques est en principe un processus continu et itératif. A cet égard, le cycle PDCA (2) est appliqué. Il existe différents domaines auxquels l'identification des risques peut s'appliquer. Des analyses de risques relatives au bien-être des collaborateurs sont déjà effectuées à l'heure actuelle et selon une méthodologie bien déterminée. L'identification des risques peut aussi avoir lieu à la suite de l'élaboration d'objectifs stratégiques et opérationnels. Si l'on s'en réfère aux missions-clés de l'organisation, une identification des risques au niveau des processus primaires semble évidente. Dans ce domaine, un travail de grande ampleur est effectué par le Comité P et par CGL (3). L'identification des risques peut également se faire pour des processus d'appui et les procédures qui y sont d'application.

En bref, des exemples existent et peuvent inspirer des analyses de risques propres. Sur ce point, il est important de procéder de manière pragmatique : il est impossible de décrire tous les processus et de les analyser en profondeur en termes de risques. Commencer par des processus risqués est dès lors une piste qui peut être suivie. Par ailleurs, il faut éviter d'alourdir la description des processus.

Outre de trop nombreux détails, l'introduction d'activités de contrôle peut aussi alourdir les processus eux-mêmes. La recherche d'un équilibre s'impose donc entre les mesures et les risques que ceux-ci couvrent. Si les activités de contrôle ne correspondent pas à la gravité des risques, elles s'avèrent alors inefficaces.

L'identification des risques doit tenir compte des risques internes et externes potentiels. L'objectif consiste ici à énumérer les événements susceptibles d'empêcher la réalisation des objectifs de processus sans négliger bien sûr les plaintes relatives au fonctionnement. Celles-ci constituent, au même titre que les expériences des collaborateurs eux-mêmes, une source d'information importante pour l'identification des risques.

Exemple pour le processus 'porter secours'.

L'objectif de ce processus peut être le suivant : 'viser une exécution de qualité des interventions en apportant une réponse adéquate à tout appel pour lequel une intervention policière est indispensable'. Les activités du processus sont certainement : prendre l'appel, dispatcher, se rendre sur place, maîtriser l'incident, avertir et traiter l'incident. Les risques potentiels par activité peuvent ensuite être identifiés. Exemple de risque négatif : la perte de temps entre la réception d'un appel (urgent) et la transmission de l'information au dispatcher (qui peut entraîner une intervention tardive). Exemple de risque positif : la bonne connaissance et la compréhension des groupes de population habitant dans la zone qui sont importantes pour maîtriser un incident (conflictuel). Autre risque potentiel : l'absence de procédure d'entretien des véhicules de service impliquant un plus grand risque de pannes qui peut à nouveau entraîner une intervention tardive. Autre risque potentiel : une équipe doit constater des faits graves mais le rédacteur du PV a une connaissance peu précise des éléments devant figurer dans un bon PV. 2.2 Analyse des risques et réaction Deux critères sont généralement appliqués pour l'analyse des risques : la probabilité ou possibilité que le risque (potentiel) ne survienne et les conséquences ou l'impact en cas de survenance (4). L'objectif de la gestion des risques consiste à augmenter la probabilité et l'impact des événements positifs et à réduire la probabilité et l'impact des événements négatifs.

Risque

Stratégie (5)

Probabilité

Impact

Faible

Faible

Le risque est accepté ou toléré tant en cas de possibilité que de menace

Elevée

Faible

En cas de menace, le risque est répercuté ou transféré à un tiers. Le risque en soi subsiste mais l'impact négatif de la menace ainsi que la réponse à y apporter seront transférés. En cas d'opportunité, des mesures seront prises pour augmenter l'impact.

Faible

Elevé

En cas de menace, le risque est réduit ou modéré. On tente de limiter (jusqu'à un niveau acceptable) via des mesures la probabilité que le risque ne survienne. En cas d'opportunité, des mesures seront prises pour augmenter ses chances de survenance (augmentation de la probabilité).

Elevée

Elevé

En cas de menace, le risque est évité. Concrètement, cela signifie que le risque sera généralement écarté. En cas d'opportunité, il sera exploité.

Exemple pour le processus 'porter secours'.

Compte tenu des risques identifiés ci-dessus, les analyses de risques possibles sont les suivantes : En ce qui concerne la perte de temps entre la réception de l'appel et le dispatching : probabilité élevée (survenance régulière, tel qu'il ressort des plaintes) et impact élevé (la qualité de l'intervention ne peut être garantie car tardive);

En ce qui concerne la connaissance et la compréhension des groupes de population : probabilité moyenne (les personnes travaillant dans la zone sont généralement originaires de la zone mais ne connaissent pas nécessairement bien les différents groupes de population) et impact moyen (la qualité de l'intervention est supérieure lorsque le citoyen perçoit l'approche de la police comme correcte);

En ce qui concerne le risque de pannes de véhicules : probabilité moyenne (les véhicules sont généralement présentés spontanément à l'entretien bien qu'il n'existe aucune procédure à cet égard) et impact élevé (la qualité de l'intervention n'est pas garantie car tardive);

En ce qui concerne le risque de PV de mauvaise qualité : probabilité moyenne (chacun reçoit une formation mais la qualité des PV fait l'objet de plaintes) et impact élevé (en cas de poursuite de l'enquête). 2.3 Les activités de contrôle Ces activités constituent les mesures de 'contrôle' proprement dites ou l'ensemble des mesures stratégiques, procédures et actes mis en place pour apporter des réponses aux risques. En d'autres termes, elles doivent permettre de s'assurer de l'exécution effective par tous les membres de l'organisation des missions et tâches fixées, l'objectif sous-jacent étant en effet la réalisation des objectifs de l'organisation. Aussi les activités de contrôle sont-elles présentes dans l'ensemble de l'organisation, à tous les niveaux et dans toutes les fonctions.

Les mesures peuvent être de nature préventive et répressive mais aussi proactive ou réactive. Les mesures les plus performantes sont celles qui sont, autant que possible, intégrées dans les processus de fonctionnement existants. En d'autres termes, le système de contrôle interne concerne tout le monde et relève de la responsabilité de tous, la responsabilité finale incombant au management de ligne.

Exemple pour le processus 'porter secours'.

Compte tenu des risques analysés ci-dessus, les réactions possibles sont les suivantes : En ce qui concerne la perte de temps entre la réception de l'appel et le dispatching : mise en place d'activités de contrôle destinées à minimiser le risque de perte de temps;

En ce qui concerne la connaissance et la compréhension des groupes de population : utilisation maximale de ces connaissances dans l'attitude et la manière de s'adresser aux parties en conflit (plutôt que de ne réagir qu'en fonction de sa propre personnalité);

En ce qui concerne le risque de pannes de véhicules : instauration d'une procédure en matière d'entretien ou transfert du risque via le leasing des véhicules qui inclut une procédure à cet égard;

En ce qui concerne le risque de PV de mauvaise qualité : mise en place des activités de contrôle telles que la vérification du PV par le collègue, organisation de formations complémentaires ou partage du risque en informant les écoles de police et en recherchant des solutions avec elles (p.ex. communication de cas réels pour exercices de rédaction d'un PV). 3. Information et communication L'information et la communication sont essentielles pour la réalisation du contrôle interne proprement dit.Cette composante met l'accent sur le fait que la collecte et la diffusion de l'information visent à ce que chacun puisse assumer ses responsabilités.

L'information, qui émane de sources tant internes qu'externes, doit permettre la direction et la maîtrise de l'organisation.

Les systèmes d'information peuvent consister en un ensemble de données et d'indicateurs utilisés par tout responsable afin de gérer et maîtriser les activités. Les systèmes d'information possibles sont : ? les tableaux de bord reprenant des indicateurs financiers et de prestation concernant les résultats, la qualité de l'octroi de service, les processus internes...; ? le contrôle de gestion (dont l'objectif consiste, en l'occurrence, à contribuer à la réalisation des objectifs et de la stratégie formulés dans le cadre de la planification stratégique. Le contrôle de gestion mesurera périodiquement la réalisation des objectifs de même que la stratégie en assurant, à intervalles fixes, le suivi d'indicateurs); ? le contrôle budgétaire.

L'information doit en outre être fonctionnelle et fiable. Cela signifie qu'elle est soumise à plusieurs critères : elle doit être pertinente (le contenu répond aux besoins), disponible en temps voulu (fournie lorsqu'elle est nécessaire), à jour (contient les dernières données disponibles), exacte (les données sont correctes) et accessible (le contenu peut être facilement compris par le destinataire).

Qui dit information dit communication. L'information circule de manière ascendante et descendante mais aussi transversale au sein de l'organisation et avec les parties externes impliquées dans le processus de fonctionnement. Le processus de communication doit être clair et efficace.

Les canaux de communication et supports d'information doivent être tels qu'une information correcte et pertinente concernant l'organisation puisse parvenir en temps utile et de la manière appropriée à la bonne personne afin que celle-ci puisse dûment assumer ses responsabilités. 4. Monitoring ou pilotage (direction, surveillance) Le monitoring ou pilotage est synonyme de suivi et d'évaluation de la qualité et du bon fonctionnement du contrôle interne.Le suivi et l'évaluation peuvent s'opérer via un pilotage permanent ou des évaluations ponctuelles.

Un monitoring permanent implique que le suivi s'inscrit dans le cadre des activités de routine d'une organisation. Une supervision par le management (de ligne) s'impose. L'évaluation périodique est un instantané du contrôle interne et fait l'objet d'un 'audit' interne ou externe. L'audit a pour objectif de vérifier si les risques existants et les activités de contrôle interne suffisent pour maintenir les risques résiduels à un niveau acceptable et les maîtriser.

Idéalement, ces deux stratégies doivent être combinées et les recommandations résultant du monitoring immédiatement mises en oeuvre. 5. Un plan par étapes Le plan par étapes concerne soit la mise en place et/ou le développement d'un système de contrôle interne soit la réalisation d'une analyse de risques inhérents aux processus (primaires).Le recours à une analyse de risques des processus est la solution la plus indiquée pour les processus qui présentent les plus grands risques.

Cette appréciation peut être basée sur des facteurs de risque tels que la complexité du processus, le nombre d'acteurs internes/externes concernés, la sensibilité publique ou l'urgence.

Lorsqu'un incident survient dans l'exécution de la pratique courante, la question qui se pose est la suivante : des mesures de précaution prises en temps utile auraient-elles pu éviter une telle situation? La pratique révèle qu'une organisation doit généralement traverser une ou plusieurs expériences négatives avant de se rendre compte de la nécessité de mesures devant éviter que des incidents similaires ne se reproduisent à l'avenir.

Chaque corps de police détermine librement les processus devant prioritairement faire l'objet d'une analyse de risques. Les étapes devant en principe être suivies pour chaque processus sont les suivantes : 1. Visualiser le processus.On peut choisir d'énumérer les grandes lignes des processus les plus importants. L'organisation méthodique des processus (OPM) peut être appliquée pour cartographier les principaux processus. Dans certains cas, il est fortement recommandé de ne pas décrire le processus dans les moindres détails. L'avantage de ce processus de 'mapping' plutôt modeste réside dans la lisibilité du résultat final. Le choix de procéder à une analyse détaillée ou non doit dès lors être opéré compte tenu du rapport coûts-bénéfices. 2. Identifier les objectifs à atteindre à travers le processus. Celui-ci est subdivisé en étapes. Un objectif de processus est formulé pour chaque étape. En d'autres termes, il s'agit de s'interroger sur les éléments à mettre en évidence (ou devant l'être). 3. Evaluer les risques.Plusieurs risques potentiels peuvent hypothéquer la réalisation des objectifs de processus. Il y a lieu de les identifier et d'en assurer le suivi. L'analyse porte en fait sur les événements susceptibles d'entraver la réalisation des objectifs et sur le degré d'importance du facteur de risque. L'évaluation des risques au regard de leurs probabilité et impact permet de mettre en évidence les risques devant être prioritairement abordés. 4. Déterminer l'approche du risque.Si l'impact et la probabilité du risque sont faibles, on peut décider d'accepter le risque. Si l'impact et/ou la probabilité sont plus élevés, on peut décider de réorienter ou d'adapter le processus, de le transférer à des tiers plus à même de le maîtriser, d'instaurer des activités de contrôle ou de mettre un terme aux activités. En ce qui concerne les risques positifs élevés, on peut opter pour une exploitation maximale de ces derniers. 5. Evaluer, adapter et/ou mettre en oeuvre des activités de contrôle. Cette étape consiste à réaliser une évaluation ponctuelle de la gestion des risques identifiés : (1) existe-t-il déjà des activités de contrôle ?; (2) dans quelle mesure couvrent-elles les risques ? et (3) quelles mesures faut-il encore mettre en oeuvre ? La plupart des processus sont généralement dotés d'une ou de plusieurs activités de contrôle dont on n'est peut-être pas toujours conscient. Il se peut qu'il faille opérer une systématisation des mesures. Il est également possible que les mesures existantes ne soient pas les plus appropriées pour couvrir les risques. 6. Mettre en place un système de monitoring.Le suivi du contrôle des risques implique la détermination d'indicateurs appropriés.

L'efficacité des mesures existantes peut ainsi être vérifiée en permanence. 7. Adapter les activités et processus.Les responsables peuvent ensuite adapter leurs activités ou processus sur la base de données résultant du monitoring.

Le système de gestion des risques doit surtout rester gérable. Il est impossible d'analyser et de contrôler toutes les activités. Le contrôle interne et la maîtrise des risques sont inefficaces s'ils impliquent une contrainte. Le bon sens et une bonne dose de pragmatisme sont donc nécessaires. _______ Nota's (1) Inspiré de COSO - INTOSAI.(2) Plan-Do-Check-Act (Deming) (3) Le document du Comité P 'Contrôle de la fonction contrôle interne' (2005) comporte, outre des explications quant au modèle COSO, un inventaire des activités à risques, des facteurs de risques et des mesures de gestion de référence.La détermination des activités et facteurs de risques est basée sur les 6 fonctionnalités de base (étendues à la 'police de la circulation', les 'missions de protection' et les 'projets de sécurité locaux') complétées par des fonctions de gestion (nommées 'GRH', 'gestion des moyens matériels', 'gestion des moyens financiers', 'contrôle interne au sens strict', 'information et système de communication' et 'modalités policières générales'). Dans son architecture de processus, CGL (2008) définit les processus primaires en termes de flux d'activités à travers l'organisation plutôt qu'à travers les structures au sein de l'organisation. Ces processus consistent dès lors à 'accueillir et traiter les demandes', 'poursuivre l'enquête', 'porter secours', 'gérer l'événement', 'veiller à la sécurité et contribuer à son maintien', 'aviser et conseiller'. (4) Le Comité P utilise ses propres critères d'évaluation et les appelle facteurs de risques.Il s'agit de la légitimité, l'efficacité, l'utilité et la qualité (Comité P, 'Contrôle de la fonction contrôle interne', 2005). (5) Threon Projectmanagement Academy, Project Management Excellence, OFO, 2008. Annexe 2 Une procédure (minimale) de gestion des plaintes dans le cadre d'enquêtes administratives (non judiciaires ni disciplinaires) Un ensemble d'activités précède une plainte et la gestion des plaintes. Une plainte n'apparaît pas sans raison mais est causée par le fait que l'octroi de service en première ligne laissait à désirer.

Le but est que chaque responsable organise cette première ligne de façon à ce que les problèmes soient identifiés, reconnus et traités à temps avant qu'ils ne dégénèrent en une plainte.

S'il y a toutefois une plainte, la gestion de celle-ci doit alors tenir compte de divers aspects : l'orientation vers le client et par conséquent l'attention portée aux plaintes, le traitement correct de ces plaintes, la garantie d'un traitement objectif et impartial ainsi que l'apprentissage et l'amélioration basés sur les plaintes (6). La gestion des plaintes n'est cependant pas un processus autonome.

Le Comité Permanent P et l'AIG utilisent à cet égard plusieurs définitions utiles : ? une plainte est toute expression, mention, remarque ou réaction de la part d'un client (citoyen ou organisation) d'une organisation (policière) d'où il résulte que l'organisation (policière) n'a pas satisfait ses attentes. Elle est perçue comme un signe de mécontentement (justifié ou non); ? une plainte externe est une plainte émanant d'un client externe de l'organisation; ? une plainte interne est une plainte émanant d'un membre du personnel de l'organisation; ? une déclaration est une simple communication de faits par un client qui n'est pas directement concerné par ces faits (p.ex. un témoin, une personne qui a été informée de quelque chose,...); ? le coordinateur des plaintes est le point de contact central où arrivent les plaintes et déclarations traitées ou en cours de traitement au sein de l'organisation; ? un dossier de plainte est le dossier d'enquête (administrative) ouvert après réception d'une plainte ou déclaration.

La norme ISO (10002; 2004) relative au traitement des plaintes prescrit, en des termes généraux, quelques étapes nécessaires au traitement des plaintes : ? la réception de la plainte; ? le suivi de la plainte; ? la confirmation de la plainte; ? l'examen de la plainte; ? la suite donnée à la plainte; ? la communication de la décision; ? la clôture de la plainte.

La procédure minimale repose donc sur ces principes et est en grande partie basée sur la procédure définie par un groupe de travail commun au Comité permanent P et à l'Inspection générale. La gestion des plaintes vise aussi bien les plaintes que les déclarations, la procédure à suivre étant la même dans les deux cas. 1. Réception de la plainte.La plainte ou déclaration (transmise par écrit, téléphone ou par voie électronique) est enregistrée par la direction du corps de police dès réception et après en avoir pris connaissance. Le numéro d'enregistrement de la plainte reçue contient les 3 données suivantes : numéro de la zone/année/numéro d'enregistrement de la plainte au sein de l'organisation (p.ex.

PZ1234/2010/001) (7). 2. Suivi de la plainte.Un dossier est constitué pour chaque plainte ou déclaration. Chaque document établi ou reçu en rapport avec un dossier de plainte est numéroté et versé au dossier. Les pièces sont inventoriées. La fiche d'enregistrement est la pièce numéro 1. Le chef de corps intervient en qualité de coordinateur des plaintes ou délègue cette compétence. 3. Confirmation de la plainte.Dans les 7 jours de la réception de la plainte ou déclaration, la direction du corps de police ou le coordinateur des plaintes désigne le responsable du dossier de plainte qui sera chargé de l'enquête (procédure incluant une éventuelle médiation). Le responsable du dossier de plainte est une personne qui n'a à aucun moment été concernée par l'objet de la plainte. Une confirmation de la réception de la plainte ou déclaration est envoyée à son auteur (connu) dans ce même délai. Celle-ci mentionne le numéro de référence de la plainte et l'identité de son auteur et informe ce dernier que le résultat de l'enquête lui sera communiqué en termes généraux au terme de la procédure. La réception de la plainte est également confirmée par le corps de police concerné lorsqu'il s'agit d'un transfert de plainte à partir de l'Inspection générale ou à partir du Comité permanent P. 4. Examen de la plainte.Dès que la plainte est considérée comme suffisamment fondée pour ouvrir une enquête disciplinaire, une information ou une instruction, elle fait l'objet soit d'un rapport introductif de procédure (lancement d'une procédure disciplinaire) soit d'un traitement conforme à l'art. 29 du Code d'instruction criminelle (instruction pénale). Dans les autres cas, la personne visée ou le fonctionnaire dirigeant du service visé est informé(e) par écrit de la plainte ou déclaration reçue, et ce en principe aussi vite que possible (et, sauf cas exceptionnels, au plus tard à la clôture de l'enquête). L'auteur de la plainte comme l'agent de police visé doit être formellement invité à exposer sa version des faits de manière circonstanciée et documentée. Lorsque l'enquête est longue, l'auteur de la plainte est informé par écrit tous les trois mois au moins de l'état d'avancement du traitement de la plainte qui est également communiqué au chef de corps. 5. Suite donnée à la plainte.Le responsable rédige un rapport final pour chaque enquête. Ce rapport contient (1) la plainte ou une synthèse de cette dernière; (2) les résultats; (3) la qualification définitive des faits; (4) les conclusions (motivées); (5) un avis éventuel concernant l'amélioration du comportement de la personne visée et/ou du service visé et par conséquent du fonctionnement de l'organisation. Le rapport final sur l'enquête menée est transmis par le coordinateur des plaintes au chef de corps ou à son/sa délégué(e) pour appréciation. L'accord du chef de corps ou de son/sa délégué(e) marque la fin de l'enquête. 6. Communication de la décision.Dans les 7 jours qui suivent la fin de l'enquête, le membre du personnel visé et/ou le chef du service visé est/sont informé(s) par écrit des résultats de l'enquête. 7. Clôture de la plainte.Dans ce même délai, les résultats de l'enquête sont communiqués par écrit à l'auteur de la plainte; dans le cas où la plainte s'avère sans fondement, des explications suffisantes sont fournies au plaignant. Ce courrier mentionne également le nom de la personne pouvant être contactée au sein de l'organisation policière pour un éventuel feedback et informe le plaignant que s'il n'est pas satisfait des résultats de l'enquête, il peut s'adresser à l'AIG ou au Comité permanent P. Les résultats de l'enquête sont portés à la connaissance des organes de contrôle AIG et du Comité permanent P. Le dossier traité est archivé pendant 10 ans, avec garantie de discrétion. _______ Nota's (6) AIG et Comité permanent P, Contrôle interne - aspect gestion des plaintes, 2005.(7) Pour toute plainte reçue, il existe une obligation d'information à l'égard des organes de contrôle externes.On peut satisfaire à cette obligation en utilisant le système d'information électronique KLFP (klachtenfiche - fiche plaintes).