15 MAI 2022. - Arrêté royal relatif à la maîtrise de l'organisation au sein de certains services du pouvoir exécutif fédéral, et modifiant les arrêtés royaux du 4 mai 2016 portant création du service fédéral d'audit interne et du 17 août 2007 portant création du Comité d'audit de l'Administration fédérale

Chapitre 1er.- Définition et organisation

Article 1er. Le présent arrêté s'applique :

1°aux services publics fédéraux et services publics de programmation,

2°au Ministère de la Défense,

3°aux administrations dotées d'une autonomie de gestion mais sans personnalité juridique, dénommées " services administratifs à comptabilité autonome ", au sens de l'article 2, alinéa 1er , 2° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral,

4°à la Régie des Bâtiments,

5°à l'Agence fédérale pour la Sécurité de la chaîne alimentaire,

6°à l'Agence fédérale pour l'accueil des demandeurs d'asile,

7°à l'Agence fédérale des médicaments et des produits de santé,

8°à l'Agence fédérale de la Dette,

9°aux entreprises à caractère commercial, industriel ou financier, dotées d'un régime d'autonomie mais sans personnalité juridique, appelées " entreprises d'Etat ", au sens de l'article 2, alinéa 1er, 4° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral.

Art. 2.Pour l'application du présent arrêté, on entend par :

1°Services : les entités mentionnées à l'article 1er ;

2°Dirigeant : le responsable administratif du niveau le plus élevé dans un service mentionné à l'article 1er ;

3°Comité d'audit de l'Administration fédérale : organe consultatif indépendant créé par l'arrêté royal du 17 août 2007 portant création du Comité d'audit de l'Administration fédérale et défini à l'article 2, § 1 et § 2 ;

4°Service fédéral d'audit interne : service créé par l'arrêté royal du 4 mai 2016 portant création du service fédéral d'audit interne et définit à l'article 6, § 1er ;

5°Maîtrise de l'organisation : un processus intégré mis en oeuvre par tous les responsables et tous les collaborateurs pour obtenir une assurance raisonnable concernant :

a)l'atteinte effective des objectifs fixés ;

b)la gestion efficiente des risques liés aux objectifs ;

c)le respect de la réglementation et des procédures ;

d)le fonctionnement efficace, efficient et éthique des services et l'allocation économique des ressources ;

e)la protection de leurs actifs et la prévention de la fraude ;

f)le respect de l'obligation de rendre compte.

6°Système pour la maîtrise de l'organisation : ensemble de mesures, d'activités et de projets collaboratifs comprenant la structure, l'organisation, les processus, les procédures et les outils nécessaires à la mise en oeuvre pratique et au suivi de la maîtrise de l'organisation au sein d'un service ;

7°Niveau de maturité : score permettant de définir la structure apprenante d'un service et qui indique la mesure dans laquelle le service peut s'améliorer continuellement. Le score résulte d'une auto-évaluation par domaine de gestion qui s'effectue par le biais d'une grille d'évaluation imposée par un arrêté ministériel, comme visé à l'article 4. Plus un service a un degré de maturité élevé, plus il sera capable de déployer explicitement et de façon cohérente des processus qui seront gérés, mesurés, contrôlés et continuellement améliorés ;

8°Domaine de gestion : thème organisationnel spécifique pour aboutir à une maîtrise de l'organisation performante au sein d'un service, qui couvre une composante du référentiel COSO complète ou une partie d'une ou de plusieurs composantes du référentiel COSO, comme défini à l'article 3 du présent arrêté ;

9°Coordinateur maîtrise de l'organisation : personne au sein d'un service qui est chargée de la coordination des activités relatives à la maîtrise de l'organisation ainsi que de la conception, du développement et de la maintenance du système pour la maîtrise de l'organisation ;

10°Risk officer : personne au sein du service chargée de la coordination de la partie gestion des risques de la maîtrise de l'organisation ;

11°Comité des risques : comité visé à l'article 5, § 3 du présent arrêté.

Art. 3.Chacun des services visés à l'article 1er assure le bon fonctionnement de sa maîtrise de l'organisation et de son système pour la maîtrise de l'organisation. Le dirigeant est le responsable final de la mise en place et du bon fonctionnement de la maîtrise de l'organisation et du système pour la maîtrise de l'organisation.

La maîtrise de l'organisation est conçue et évaluée selon les dix-sept principes du cadre de travail COSO du " Committee of Sponsoring Organisations of the Treadway Commission " de 2013 et clarifiée dans les grandes lignes de l'INTOSAI de 2004 concernant les normes en matière de maîtrise de l'organisation au sein de l'administration.

Par dérogation au deuxième alinéa, un dirigeant peut décider d'utiliser un autre cadre de travail, à condition que ce cadre de travail soit mentionné dans une liste d'autres cadres de travail qui couvrent tous les dix-sept principes COSO.

Le Service public fédéral Stratégie et Appui tient cette liste à jour afin que tous les services puissent avoir connaissance des cadres de travail dont la compatibilité avec le cadre COSO a été constatée. Chaque dirigeant peut décider d'utiliser un cadre de travail figurant dans cette liste.

Cette compatibilité d'un autre cadre de travail avec le cadre COSO est décidée par le Ministre qui a la Fonction publique dans ses attributions et le Ministre qui a le Budget dans ses attributions après avoir demandé l'avis du Comité d'audit de l'Administration fédérale. Le Comité d'audit de l'Administration fédérale dispose de 120 jours pour formuler un avis à ce sujet. A défaut d'avis dans ce délai, il est passé outre à la consultation du Comité.

Art. 4.Sur proposition de l'Audit interne fédéral, le Ministre qui a la fonction publique dans ses attributions et le Ministre qui a le budget dans ses attributions définissent et imposent, par arrêté ministériel, les différents domaines de gestion, ainsi que leurs grilles d'évaluation.

Le dirigeant détermine le niveau minimum de maturité pour les différents domaines de gestion. Le niveau minimum de maturité est déterminé de telle manière qu'il offre une assurance raisonnable pour la réalisation de tous les objectifs dont le dirigeant est responsable, tel que mentionné à l'article 2, 3° , et pour la bonne gestion de l'organisation. Le dirigeant communique le niveau minimum de maturité pour les différents domaines de gestion au ministre compétent.

Chaque ministre doit veiller, en concertation avec le dirigeant, à ce que la maîtrise de l'organisation mise en place dans chaque service pour lequel il est compétent permette de donner, avec une assurance raisonnable, des garanties de réalisation des objectifs stratégiques.

Chacune des entités visées à l'article 1er se charge de documenter son système pour la maîtrise de l'organisation. Cette documentation reprendra également un état des lieux des recommandations des audits précédents.

Art. 5.§ 1er. Chaque membre du personnel contribue à son niveau au bon fonctionnement de la maîtrise de l'organisation. La responsabilité opérationnelle du bon fonctionnement de la maîtrise de l'organisation relève de chaque responsable, de chaque titulaire d'une fonction de management et enfin, du dirigeant.

§ 2. Le dirigeant désigne au moins un Coordinateur maîtrise de l'organisation et au moins un Risk officer. Le dirigeant peut décider d'attribuer les deux rôles ou les deux fonctions à une seule et même personne.

§ 3. Le dirigeant veille à réunir régulièrement le comité des risques, à savoir un organe consultatif dans lequel le dirigeant, avec son comité de direction, le cas échéant les titulaires d'une fonction de management ou d'encadrement, les représentants de la 2ème ligne de défense, et éventuellement des experts externes, discutent des risques encourus par le service (y compris les risques qui pourraient compromettre le bon fonctionnement du système pour la maîtrise de l'organisation), déterminent le degré d'appétence au risque et approuvent l'analyse des risques.

Art. 6.§ 1er. Le Service public fédéral Stratégie et Appui est chargé du support méthodologique lors du développement de la maîtrise de l'organisation dans les services.

1)A la demande d'un service, il peut être chargé de missions de conseil ;

2)Ce service peut, de sa propre initiative, mettre en place des réseaux thématiques interdépartementaux et en assurer la coordination.

§ 2. Dans le cadre de la maîtrise de l'organisation, le service de support visé au § 1er assure le secrétariat et le support technique d'un réseau de contacts composé des Coordinateurs maîtrise de l'organisation et des Risk officers.

Chapitre 2.- Modalités de rapportage

Art. 7.Chaque année, le dirigeant établit un rapport dans lequel il indique dans quelle mesure les objectifs généraux de la maîtrise de l'organisation ont été atteints, ainsi qu'une description de son système pour la maîtrise de l'organisation.

Ce rapport comprend au moins les rubriques suivantes :

1°Une image de la maîtrise de l'organisation et du système pour la maîtrise de l'organisation conformément au cadre choisi, visé à l'article 3. Cette rubrique comprend au moins les éléments suivants :

a)Un aperçu du niveau de maturité déterminé par autoévaluation, par domaine de gestion ;

b)Une autoévaluation par domaine de gestion ;

c)Les objectifs à atteindre pour l'amélioration de la maîtrise de l'organisation et pour le système pour la maîtrise de l'organisation sur la base de l'autoévaluation ;

2°Un plan d'action qui montre comment les services vont améliorer leur maîtrise de l'organisation et leur système pour la maîtrise de l'organisation ;

3°Les dates auxquelles le comité des risques, tel que défini à l'article 5, § 3 a été consulté ainsi qu'une synthèse des conclusions atteintes et des décisions prises.

4°Une reconnaissance de la responsabilité par le dirigeant du bon fonctionnement et de l'évaluation de la maîtrise de l'organisation et du système pour la maîtrise de l'organisation.

Le rapport relatif à l'année écoulée est adressé au Comité d'audit de l'Administration fédérale pour le 15 mars de l'année en cours, avec copie au ministre qui a le service dans ses attributions.

Ce ministre peut communiquer au Comité d'audit de l'Administration fédérale les éventuelles remarques qu'il souhaite formuler sur la base de ce rapport. S'il souhaite faire usage de cette possibilité, il soumet ses éléments d'évaluation complémentaires au Comité d'audit de l'Administration fédérale au plus tard le dernier jour du mois de mars.

Le rapport qui porte sur l'année écoulée est également transmis pour le 15 mars de l'année en cours au Service fédéral d'audit interne. Le Service fédéral d'audit interne évalue ce rapport sur la base des données relatives aux éléments repris dans le rapport dont il dispose. Les résultats de cette évaluation font l'objet d'une discussion avec le dirigeant du service concerné avant que l'Audit fédéral interne ne communique ses résultats au Comité d'audit de l'administration fédérale.

Chapitre 3.- Modifications de l'arrêté royal du 17 août 2007 portant création du Comité d'audit de l'Administration Fédérale

Art. 8.Dans l'article 1er, § 1er de l'arrêté royal du 17 août 2007 portant création du Comité d'audit de l'Administration fédérale (CAAF), modifié par l'arrêté royal du 4 mai 2016, l'alinéa 1er est remplacé par ce qui suit :

" Le présent arrêté s'applique :

1°aux services publics fédéraux et services publics de programmation,

2°au Ministère de la Défense,

3°aux administrations dotées d'une autonomie de gestion mais sans personnalité juridique, dénommées " services administratifs à comptabilité autonome ", au sens de l'article 2, alinéa 1er , 2° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral,

4°à la Régie des Bâtiments,

5°à l'Agence fédérale pour la Sécurité de la chaîne alimentaire,

6°à l'Agence fédérale pour l'accueil des demandeurs d'asile,

7°à l'Agence fédérale des médicaments et des produits de santé,

8°à l'Agence fédérale de la Dette,

9°aux entreprises à caractère commercial, industriel ou financier, dotées d'un régime d'autonomie mais sans personnalité juridique, appelées " entreprises d'Etat ", au sens de l'article 2, alinéa 1er, 4° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral. "

Art. 9.Dans les articles 1er, paragraphe 1er, alinéa 2, 2, paragraphe 1er, alinéa 1er et 13, paragraphe 1er, alinéa 3 du même arrêté, les mots " systèmes de contrôle interne " sont chaque fois remplacés par les mots les mots " systèmes de maitrise de l'organisation ", comme définis à l'article 2, 4°.

Art. 10.Dans l'article 13, paragraphe 1er du même arrêté, les modification suivantes sont apportées :

1°Dans l'alinéa 1er, les mots " pour le 31 juillet de chaque année " sont remplacés par les mots " pour le 30 septembre de chaque année. " ;

2°Dans l'alinéa 6, la phrase " Il s'appuie en outre sur le rapport annuel du Dirigeant, prévu par l'article 7 de l'arrêté royal du 17 août 2007 relatif au système de contrôle interne dans certains Services du pouvoir exécutif fédéral. " est remplacée par la phrase : " Le Comité d'audit de l'Administration fédérale se fonde en tout état de cause sur le rapport établi par le dirigeant et sur l'évaluation de ce rapport effectuée par le Service fédérale d'audit interne comme prévus dans la règlementation relative à la maîtrise de l'organisation au sein de certains services du pouvoir exécutif fédéral. "

Chapitre 4.- Modifications de l'arrêté royal du 4 mai 2016 portant création du service fédéral d'audit interne

Art. 11.L'article 1er de l'arrêté royal du 4 mai 2016 portant création du Service fédéral d'audit interne est remplacé par ce qui suit :

" Article 1er. Le présent arrêté s'applique :

1°aux services publics fédéraux et services publics de programmation,

2°au Ministère de la Défense,

3°aux administrations dotées d'une autonomie de gestion mais sans personnalité juridique, dénommées " services administratifs à comptabilité autonome ", au sens de l'article 2, alinéa 1er , 2° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral,

4°à la Régie des Bâtiments,

5°à l'Agence fédérale pour la Sécurité de la chaîne alimentaire,

6°à l'Agence fédérale pour l'accueil des demandeurs d'asile,

7°à l'Agence fédérale des médicaments et des produits de santé,

8°à l'Agence fédérale de la Dette,

9°aux entreprises à caractère commercial, industriel ou financier, dotées d'un régime d'autonomie mais sans personnalité juridique, appelées " entreprises d'Etat ", au sens de l'article 2, alinéa 1er, 4° de la loi du 22 mai 2003 portant organisation du budget et de la comptabilité de l'Etat fédéral. "

Art. 12.Dans l'article 2 du même arrêté, le 5° est remplacé par ce qui suit:

" 5° " maîtrise de l'organisation " ou " système pour la maîtrise de l'organisation " prévu dans l'article 2, 3° et 4° de la réglementation relative à la maîtrise de l'organisation au sein de certains services du pouvoir exécutif fédéral ";

Art. 13.Dans l'article 6, § 1er, du même arrêté, modifications suivantes sont apportées :

a)à l'alinéa 1er, les mots " du contrôle interne " sont remplacés par les mots " de la maîtrise de l'organisation " ;

b)à l'alinéa 2, les mots " contrôle interne " sont remplacés par les mots " la maîtrise de l'organisation " ;

c)le paragraphe 1er est complété par un alinéa rédigé comme suit :

" En plus de ces évaluations de fiabilité de la maîtrise de l'organisation, de la gestion des risques et de la bonne gouvernance, le Service fédéral d'audit interne évalue chaque année le rapport établi par le dirigeant prévu par la réglementation relative à la maîtrise de l'organisation au sein de certains services du pouvoir exécutif fédéral. Le Service fédéral d'audit interne discute des résultats de ce rapport avec le dirigeant avant de les transmettre au Comité d'Audit. "

Art. 14.Dans l'article 10 du même arrêté, le paragraphe 1er est remplacé par ce qui suit :

" § 1. La demande spécifique pour une mission d'audit émane du ministre compétent pour un service ou pour une subdivision de celui-ci, du dirigeant d'un service ou du Comité d'audit.

La demande détermine les objectifs, la nature et le champ de la mission. Une copie de chaque demande spécifique émanant d'un ministre compétent pour un service ou pour une subdivision de celui-ci ou d'un dirigeant, est transmise au Comité d'audit. "

Art. 15.L'article 16 du même arrêté est complété par les paragraphes 3 et 4 rédigés comme suit :

" § 3. Les activités d'audit interne sont exercées dans des conditions telles que la compétence, l'indépendance et l'objectivité des auditeurs soient garanties, en application de la définition de l'audit interne établie à l'article 7.

§ 4.Le Service fédéral d'audit interne tient un registre des conflits d'intérêt, qui est pris en compte lors de la composition de l'équipe d'audit pour chaque mission d'audit. Si un conflit d'intérêt est signalé par un auditeur interne dans le cadre d'une mission d'audit spécifique, le responsable des activités d'audit interne prend les mesures nécessaires en affectant l'audit interne en question à un autre auditeur interne qui ne se trouve pas en situation de conflit d'intérêt.

Il y a conflit d'intérêt lorsque l'exercice impartial et objectif des activités d'audit interne est compromis pour des motifs familiaux, affectifs, professionnels, d'intérêt économique ou financier ou pour tout autre motif de communauté d'intérêts ou d'antagonisme avec les responsables des processus évalués. "

Chapitre 5.- Dispositions finales et dispositions transitoires

Art. 16.L'arrêté royal du 17 août 2007 relatif au système de contrôle interne dans certains services du pouvoir exécutif fédéral, modifié par l'arrêté royal du 4 mai 2016 portant création du service d'audit interne fédéral, est abrogé, à l'exception de l'article 7 qui reste en vigueur jusqu'au 31 août 2022.

Art. 17.Le présent arrêté entre en vigueur le premier jour du mois qui suit un délai de dix jours à compter du jour suivant sa publication au Moniteur Belge.

Par dérogation à l'alinéa 1, l'article 7 du présent arrêté entre en vigueur le 1er septembre 2022.

Art. 18.Le Premier Ministre, le Ministre qui a la Fonction publique dans ses attributions et le Ministre qui a le Budget dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.