Lors d’incidents peu glorieux dans des communes, comme ce fut le cas récemment avec la fraude à Vechigen, des voix s’élèvent pour réclamer un SCI et une gestion des risques efficaces. Comment ces deux thèmes se rapportent-ils l’un à l’autre et à quoi ressemble une gestion judicieuse des risques dans l’environnement communal ? C’est sur ces thèmes que porte ce blog.

Gestion des risques et SCI

L’état actuel de la recherche et de la pratique englobe plusieurs concepts concernant la définition et l’interaction de la gestion des risques et du SCI. Je pense que l’approche suivante est la plus efficace dans la pratique :

• Je considère que la définition de la gestion des risques englobe toutes les activités liées à la gestion des risques. Cela signifie un recensement et une évaluation systématiques de tous les risques qui peuvent survenir dans les communes.
• Le SCI, quant à lui, est la somme des instruments de gestion des risques. L’objectif de ces instruments est de minimiser la probabilité d’occurrence ou de réduire l’ampleur des dommages. Ainsi, le SCI doit être considéré comme une partie de la gestion des risques des communes.

Les communes, des organisations averses au risque

La gestion des risques dépend de la stratégie de risque de chaque organisation. Cela signifie que les communes doivent également évaluer l’appétit pour le risque pour elles-mêmes. Dans mon esprit, les communes opèrent avec des fonds publics et doivent donc être considérées comme des organisations averses au risque. En ce qui concerne l’organisation, dans les communes suisses, la responsabilité de la gestion des risques et de l’utilisation d’un SCI fonctionnel incombe au conseil communal. La mise en œuvre opérationnelle est toutefois partagée et est attribuée au conseil municipal (exécutif) ou à l’administration, selon le domaine concerné

Opérationnalisation de la gestion des risques

Selon la doctrine courante, le point de départ d’une gestion des risques qui fonctionne est une analyse minutieuse de la situation initiale de la commune. La première étape consiste à établir un catalogue des risques potentiels dans l’environnement de la commune (recensement des risques). Il existe plusieurs méthodes possibles pour établir ce catalogue de risques, sur lesquelles je ne m’étendrai pas dans ce blog. Dans un deuxième temps, les risques multiples sont systématiquement examinés en fonction de leur probabilité de survenance et de l’ampleur des dommages(évaluation des risques). Il en résulte différents clusters de risques, qui sont présentés dans le graphique ci-dessous.

Représentation propre d’après le portail PME du SECO

Les différents clusters de risques (du gris au vert foncé) indiquent les priorités. Dans la pratique, cela signifie que les ressources limitées au niveau de l’administration, respectivement de l’administration centrale, ne peuvent pas être utilisées. dans l’exécutif pour la réduction des dommages potentiels, resp. La probabilité de survenance des risques situés dans les zones vert foncé, vert clair et turquoise peut être utilisée. Nous considérons cette réduction active des risques comme une gestion des risques, qui est mise en œuvre de manière opérationnelle à l’aide des différents instruments du SCI.

En 2019 et 2021, l’Université de Berne a mené une enquête auprès de 392 communes en collaboration avec publicXdata AG. Les communes ont évalué les catégories de risque suivantes (échelle de 1 à 7, 1 = risque faible / 7 = risque élevé)

Instruments SCI possibles par catégorie de risque

Sur la base des quatre principales catégories de risques (risques sociaux, risques liés à la fiscalité, risques informatiques et construction) issues de l’enquête, vous trouverez à titre d’exemple des instruments possibles pour gérer les risques (instruments SCI). La liste des risques et des instruments SCI mentionnés n’est pas exhaustive.

Exemple de relations de cause à effet

Je voudrais brièvement illustrer les relations de cause à effet à l’aide de l’exemple d’une attaque de hacker. Suite à la progression de la numérisation, l’infrastructure informatique d’une commune revêt une grande importance. Tant l’ampleur des dommages que leur probabilité d’occurrence ont augmenté au cours des dernières années et doivent, à mon avis, être considérés dans toutes les communes comme un risque qui doit être géré. Au moyen d’un concept informatique, le responsable informatique compétent devrait définir comment les différentes infrastructures sont protégées de manière adéquate. En outre, il devrait exister un concept d’autorisation clair pour toutes les applications. Dans le domaine des attaques informatiques, le collaborateur reste le plus grand risque pour la sécurité. En conséquence, les collaborateurs devraient être régulièrement sensibilisés à cette thématique.

Rapports sur les risques et le SCI

La dernière étape vers une gestion des risques intégrée et efficace est le reporting des activités. Ici aussi, il y a encore quelques points d’achoppement dont il faut tenir compte. Le grand art d’une gestion des risques et d’un SCI qui fonctionnent est de réduire au maximum les dépenses liées au reporting, tout en montrant quels risques sont mal gérés ou ne sont pas ciblés. Dans le meilleur des cas, les données peuvent être lues à partir des systèmes. Il arrive souvent que les instruments SCI aient leur fonction principale dans différents domaines de la gestion communale (en plus de la gestion des risques). J’aimerais ajouter ici qu’une commune gérée de manière proactive – de la stratégie à la bonne gestion du personnel en passant par les rapports – porte déjà en elle de nombreux éléments d’une bonne gestion des risques. Par conséquent, la gestion des risques ne doit pas devenir un exercice administratif consistant à éplucher une liste. C’est avec cette pensée que je voudrais immédiatement passer au chapitre final.

Quel est le rapport entre la gestion des risques et le SCI et la culture de la commune ?

Beaucoup ! La gestion des risques ne sera sans doute vécue que si la culture est prise en compte comme une dimension importante. Un premier point très important est de pouvoir démontrer aux parties prenantes (administration, exécutif, citoyens) la nécessité d’une gestion des risques adaptée. Pour cela, il faut pouvoir faire comprendre que les risques sont réellement réels. La difficulté est que les gens oublient très vite lorsque les événements sont rares. Des exemples réels permettent de faire « revivre » ces risques et de les rendre tangibles. Un deuxième point est que la gestion des risques doit être aménagée en fonction des circonstances. Les exigences en matière de gestion des risques sont différentes selon qu’une commune compte 500 ou 20 000 habitants. Le cadre de la gestion des risques et du SCI doit être approprié et judicieux, afin que les collaborateurs le soutiennent dans un rapport coût/bénéfice raisonnable. Troisièmement, une culture communautaire saine signifie que l’on se traite mutuellement avec respect, que les erreurs sont abordées ouvertement et que l’on peut également parler ouvertement de sujets difficiles – tout cela sans « penser jardin » et en se concentrant sur l’ensemble de la communauté. Souvent, les risques ne sont « découverts » que lorsque des erreurs sont commises. Il ressort de ce cercle de règles qu’une bonne culture communale globale est essentielle pour une gestion des risques fonctionnelle et vécue avec les instruments SCI.

Vous trouverez ici de plus amples informations sur notre audit SCI et gestion des risques.

Manuel Stauffer travaille avec beaucoup d’engagement pour publicXdata depuis octobre 2021. AG en route. Il a consacré une grande partie de sa carrière professionnelle à la gestion efficace dans les organisations – en dernier lieu en tant que responsable du contrôle de gestion dans le secteur des matériaux de construction. Chez publicXdata AG, il est responsable des projets clients et du développement dans le domaine du reporting.