(EC0631EAF1b)

Annexe I au
Doc. EC0631F

1. GESTION DES RISQUES DANS LE CONTEXTE DOUANIER

Changer l’environnement opérationnel
Les administrations des douanes du monde entier sont responsables de la mise en œuvre d’un large
éventail de politiques gouvernementales dans des domaines aussi divers que la perception des
recettes, le respect de la loi par les entreprises et les voyageurs, la protection de la société et la lutte
contre le terrorisme, le patrimoine culturel, la propriété intellectuelle, la collecte de statistiques et la
protection de l’environnement. Certaines de ces responsabilités sont souvent assumées pour le
compte d’autres ministères ou services gouvernementaux, par la mise en œuvre d’un éventail divers
de régimes convenus de contrôle, les douanes étant responsables de l’administration et du respect
des exigences réglementaires pertinentes aux points d’importation et d’exportation.4
Outre leur responsabilité globale consistant à exercer un contrôle sur le mouvement transfrontalier
des biens, des personnes et des moyens de transport, les administrations douanières ont également
pour mission de faciliter de manière appropriée le commerce et les voyages et, par conséquent,
d’exercer un contrôle réglementaire dans lequel l’interventionnisme cède le pas à un modèle d’inter-
vention minimale. Cela implique une surveillance étroite, une évaluation minutieuse des taux d’ins-
pections physiques et une refonte de la procédure de ciblage, en veillant toutefois à ce que les
exigences réglementaires (formalités administratives) ne soient pas excessivement onéreuses ou
trop normatives.5

Tenter d’établir un équilibre entre intervention et facilitation est parfois considéré comme un jeu « à
somme nulle », où toute augmentation dans l’un des domaines impliquerait nécessairement une
diminution dans l’autre. En réalité, il est important de comprendre que contrôle et facilitation ne sont
pas des objectifs qui s’excluent mutuellement, mais qu’ils se renforcent mutuellement et il est
possible de faire en sorte que tous deux atteignent des niveaux optimaux. L’application des principes
de gestion des risques peut assurer cet équilibre et permet, de plus, à la douane de cesser
d’intervenir en tant que « garde-barrières » et d’adopter un modèle de contrôle qui repose plutôt sur
le risque.
Tout comme les volumes de marchandises, la manière dont elles sont échangées à travers le monde
et la vitesse de ces échanges commerciaux, le rôle de la douane dans les contrôles aux frontières a
profondément évolué au fil des progrès technologiques. Le risque de pandémie mondiale et son
influence sur la gestion des risques ont également changé. Les administrations douanières du
monde entier ont été tenues d’adapter continuellement leurs méthodes de fonctionnement afin de
maintenir leur efficacité et leur pertinence.
Par exemple, l’émergence de chaînes mondiales de valeur, les technologies disruptives, le blanchi-
ment de capitaux fondé sur les transactions commerciales et le financement du terrorisme, ainsi que
la complexité croissante des accords commerciaux internationaux ont tous eu un impact sur la façon
dont les douanes s’acquittent de leurs responsabilités. Le commerce exponentiel d’envois de petite
taille complique la tâche de gestion des risques frontaliers des administrations douanières, qui doi-
vent contrôler d’énormes quantités de petits colis et ces petits colis posent également des difficultés
dans la lutte que mènent les services douaniers contre la fraude. Par conséquent, à l’échelle mon-
diale, la charge de travail des services douaniers dans tous les domaines d’activité s’est fortement
alourdie6, mais, grâce à la collaboration entre les acteurs concernés et la transmission aux adminis-
trations douanières de données plus directement liées au commerce électronique, la douane devrait
parvenir à traiter plus efficacement la multitude de colis qui franchissent chaque jour les frontières.
Si l’on veut créer un environnement douanier numérique et faciliter ainsi les procédures douanières,

1. Widdowson (2006), p. 2.
2. Widdowson and Holloway (2010), p. 98.
3. Widdowson (2006). p. 2 – 3.

I/1.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

il faut à tout prix les dématérialiser : le dédouanement des marchandises par voie électronique, le
concept de guichet unique, les inspections non intrusives et la gestion des risques à partir de l’ana-
lyse des données sont les piliers d’une administration douanière moderne. Les douanes peuvent
obtenir des données numériques sur les marchandises qui passent les frontières, les échanger par
voie électronique, méthode en principe plus rapide que l’échange d’informations sur papier avec les
services gouvernementaux concernés et avec les administrations douanières d’autres pays. Pour
mieux exploiter les données à des fins de gestion des risques, les administrations douanières doi-
vent s’engager sur la voie du numérique.
Les administrations douanières ne peuvent plus interagir physiquement avec 100 % des flux trans-
frontaliers. Selon la Convention de Kyoto révisée (CKR) et le Cadre de normes SAFE, tout service
douanier moderne devrait pratiquer la gestion des risques. Pour sa part, l’Organisation mondiale du
commerce (OMC) reconnaît et défend la procédure de gestion des risques afin que les contrôles
exercés par la douane (et, dans la mesure du possible, les autres types de contrôles frontaliers
pertinents) puissent cibler plus précisément les envois à haut risque et que la mainlevée des envois
à faible risque gagne en rapidité.7

Bien que la gestion des risques dans l’environnement douanier prenne des visages différents selon
les administrations, nombreuses sont celles qui appliquent désormais un modèle d’évaluation des
risques normalisé et qui ont adopté des critères de sélectivité et de ciblage. En recourant aux
technologies d’analyse prédictive et d’apprentissage automatique pour traiter les gros volumes de
données qu’elles reçoivent, elles peuvent contrôler plus intelligemment les risques douaniers et
atteindre leurs objectifs. Dans un même temps, elles abandonneraient leur image d’administration
publique traditionnelle pour devenir des institutions solides. Le Recueil sur la gestion des risques
passe en revue les principales caractéristiques de la gestion moderne des risques douaniers. Il aide
la douane et encourage la coopération entre services douaniers.

Approche de la gestion du respect de la loi

Une gestion moderne du respect de la loi basée sur les risques repose sur plusieurs fondements clés
qui peuvent être essentiellement divisés en quatre catégories principales – la structure législative d’un
pays et les structures administrative, technologique et de gestion des risques adoptées par les admi-
nistrations des douanes. Collectivement, ces quatre catégories représentent les déterminants clés de
la manière dont les flux transfrontaliers peuvent être accélérés et sont contrôlés par la douane.8
La gestion du respect de la loi basée sur les risques vise à faire la distinction entre les échanges
licites, les envois à faible risque ou à haut risque et les échanges illicites. Elle commence par une
législation solide couvrant des domaines tels que la reconnaissance des responsabilités respectives
du gouvernement et du secteur privé, comprenant des réglementations pour les communications
électroniques, imposant des sanctions dans les cas de non-respect de la loi et prévoyant de rompre
le lien entre les mouvements physiques et le traitement, la notification et l’assujettissement fiscal et,
enfin, favorisant des solutions flexibles et personnalisées.
Cette approche nécessite également des dispositions administratives incluant des initiatives telles
que l’introduction d’une approche de service client, des orientations en matière de « connaissance
de la clientèle », des formations, des campagnes de sensibilisation, une assistance technique et des
conseils, une consultation et une coopération, la publication de règles formelles et des mécanismes
formels de recours.
L’adoption d’une structure de gestion des risques introduit dans l’organisation une prise de décision
et des procédures basées sur les risques qui permettent de maintenir un équilibre entre contrôle,
facilitation et sécurité de la chaîne logistique. L’introduction de procédures basées sur les risques

7 Mesures 7.4 de l’AFE de l’OMC

8
Widdowson (2005), p. 93 – 94.

I/2.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

comprend des activités comme celles associées au dépôt rapide et précis d’informations pour l’éva-
luation des risques, l’intervention aussi tôt que possible dans la chaîne logistique pour les transac-
tions à haut risque, l’autoévaluation et la vérification après entrée pour les risques plus faibles et la
capacité d’enquêter lorsqu’un cas de non-respect de la loi ou une fraude est détecté.
La technologie disponible est un facteur servant à améliorer de manière significative la capacité
d’une administration à adopter ce type d’approche9. L’automatisation permet de contrôler de grandes
quantités d’informations, avec efficacité et en temps opportun, sur la base de critères de risques
prédéterminés fondés sur le renseignement et d’aider la prise de décisions concernant les risques
élevés ou faibles. De la même manière, les technologies de pointe et, surtout, les technologies d’ins-
pection non intrusives, lorsqu’elles sont utilisées sur la base d’une évaluation de risques, peuvent
améliorer l’efficacité des activités d’inspection et accélérer la mainlevée. Tous les éléments ci-des-
sus correspondent aux normes et aux directives de la Convention de Kyoto révisée, du Cadre de
normes SAFE ainsi que de la stratégie de la douane au 21e siècle, qui, groupés, fournissent les
éléments constitutifs clés d’une administration moderne des douanes.
Une stratégie efficace de gestion du respect de la loi basée sur les risques reconnaît que les caté-
gories de clients décrites appellent des réponses différentes. Stimulations et procédures simplifiées
doivent être appliquées à ceux qui se conforment volontairement (faible risque), une assistance sur
le plan du respect de la loi à ceux qui essaient de se conformer, mais n’y parviennent pas forcément,
un respect de la loi dirigé à ceux qui tentent de ne pas respecter la législation et un respect de la loi
imposé à ceux qui refusent délibérément de se conformer à la loi (risque élevé). Affecter le compor-
tement des clients en orientant activement les usagers vers des risques faibles permettra à la
douane de concentrer ses ressources en matière de contrôle sur les risques élevés. Le diagramme 1
illustre un exemple de modèle de gestion du respect de la loi.

Diagramme 1. Modèle de gestion du respect de la loi

FAIBLE NIVEAU DE RISQUE ÉLEVÉ

Catégories de clients Conformité volontaire Conformité assistée Conformité dirigée Conformité imposée
Personnes souhaitant se Personnes essayant de Personnes qui Personnes refusant
conformer se conformer mais n’y éviteront de se délibérément de se
parvenant pas toujours conformer si elles conformer
le peuvent

Comportements des • Conformité volontaire • Tentative de se • Résistance à la • Intention criminelle

clients • Clients informés conformer conformité • Activité illégale
• Clients non informés • Éviteront si
possible

Compétences des Interventions

douanes

Informations • Vérification des flux Tendances de non- • Profil • Profils et

Informations d’excellente d’informations réguliers conformité par : d’entreprises/voyag renseignements en
qualité, opportunes et Informations sur les • Secteur, produit, site, eurs individuels continu (en mer et à
précises concernant chargements/passagers/moyen destination ou port non conformes terre) sur les
l’arrivée et le départ de s de transport (entrants et d’origine • Identification de contrevenants/contreven
tous les envois, personnes, sortants) • Type de non- problèmes ants potentiels et leurs
marchandises et moyens • Contrôle des informations conformité (par ex. spécifiques de associés
de transport relatives aux mouvements documents incorrects) conformité (par ex.
physiques de tous les envois, mauvais systèmes,
les personnes, les saisie de données
marchandises et les moyens médiocre, etc.)
de transport traversant des

6. Widdowson (2005), p. 94.

I/3.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

frontières (entrants et
sortants)
• Informations tirées des
déclarations en douane

Évaluation • Intuition du personnel de • Compiler des • Approche axée • Évaluer les risques et
Évaluation du niveau de première ligne informations sur le sur la résolution les besoins en
risque posé par les • Profils des renseignements comportement des des problèmes de informations, liés à la
personnes, les • Inspections aléatoires clients conformité gravité de l’infraction
marchandises, les envois statistiquement valables • Identifier et contrôler • Enquête • Enquête
et les moyens de des tendances de
transport arrivant et conformité
sortant

Action Programmes de conformité • Directives ciblées de • Dissuasion par • Interventions de pré et

Actions requises pour conformité détection et postdédouanement
réduire le(s) risque(s) • Sanctions punitives surveillance • Audits détaillés
identifié(s) sans entraver • Éducation et conseils • Déploiement du • Audits détaillés • Fouilles/poursuites de
outre mesure le • Dissuasion visible programme d’audit • Poursuites passagers/chargements
commerce et les • Examen des chargements et • Attention accrue • Poursuites
déplacements licites des bagages
identified risk(s) without
unduly disrupting
legitimate trade and travel

Direction vers laquelle les douanes souhaitent orienter les voyageurs et les entreprises

Niveaux accrus d’intervention par les douanes

Dans le contexte douanier, le contrôle et la gestion des risques liés aux marchandises, aux moyens
de transport et aux personnes commencent au point d’exportation ou de départ, se poursuivent au
travers de contrôles continus au point d’importation ou d’arrivée et, au-delà, par le contrôle a poste-
riori. Une approche moderne de gestion du respect de la loi est consciente que les stratégies d’at-
ténuation des risques peuvent et doivent être appliquées à l’ensemble de la chaîne logistique. Elle
reconnaît également qu’une combinaison de mesures multiples aboutit souvent à de meilleurs ré-
sultats et à une utilisation plus efficace des ressources. Lorsque des dispositions légales, technolo-
giques et opérationnelles appropriées sont établies, une approche à niveaux multiples peut égale-
ment faciliter l’identification des risques, la coordination de la réaction et la collaboration au sein des
gouvernements et entre ces derniers. Le terme « niveaux multiples » est utilisé pour inclure l’en-
semble du processus de prise de décisions et d’autres activités pouvant être menées par les
douanes dans le cadre du continuum de la chaîne logistique.

2. CONCEVOIR UNE STRUCTURE ADMINISTRATIVE POUR GÉRER LES

RISQUES

1. Aperçu
Au sein des administrations, une approche de la gestion des risques exige une gestion des risques
s’appuyant sur une approche plus holistique allant du Directeur général aux services extérieurs. Il
n’est plus suffisant de gérer les risques au niveau de chaque activité ou en silos fonctionnels. Une
approche holistique de la gestion du risque nécessite une évaluation continue des risques potentiels
pour une administration à tous les niveaux, puis l’agrégation des résultats au niveau administratif
afin de faciliter l’établissement de priorités et d’améliorer la prise de décision. L’identification, l’éva-
luation et la gestion des risques au sein d’une administration permettent de révéler l’importance de
l’ensemble, la somme des risques et l’interdépendance des parties.

I/4.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

Une gestion holistique du risque nécessite une structure administrative de gestion des risques solide
et rigoureuse, à même d’habiliter les fonctionnaires à tous les niveaux de l’administration à prendre
des décisions basées sur les risques de manière structurée et systématique. La structure permet
d’aligner les activités de gestion des risques sur les objectifs généraux, l’orientation collective, la
direction stratégique, les pratiques opérationnelles et la culture interne d’une administration. Afin de
garantir la prise en compte de la gestion des risques en matière d’établissement de priorités et d’af-
fectation des ressources, celle-ci doit être intégrée dans les structures existantes de gouvernance
et de prise de décision aux niveaux opérationnel et stratégique. Une fois cette tâche réalisée, tous
les fonctionnaires au sein de l’administration sont impliqués dans la gestion des risques10.
Il existe diverses manières d’aborder l’établissement d’une structure administrative de gestion des
risques. Le Cadre SAFE comporte cinq éléments clés. En général, la structure comprend cinq élé-
ments clés, à savoir, le mandat et l’engagement, les dispositions administratives de gouvernance
des risques (conception de la structure), la mise en œuvre et la pratique de la gestion, du contrôle
et de l’examen des risques, et enfin le développement continu. Le diagramme 2 illustre ces éléments
et leurs interconnexions. Diagramme 2.

Diagramme 2. Structure de la gestion des risques

Intégration
dans la planification
stratégique

Conception
Amélioration
sur la base de la
par des décisions stratégieet des
de gestion éclairées Leadership et objectifs de
l’administration

engagement

Évaluation
Mise en œuvre
sur la base des
par une articulation et
indicateurs de risque
une communication
et par une mesure
claires
de la performance

Source : Norme ISO 31000:2018, Management du risque – Principes et lignes directrices

2. Conception de la structure de la gestion des risques

2.1 Engagement soutenu de haut niveau

7. AS/NZS 4360/2004, Gestion des risques, p. v.

I/5.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

Un mandat et un engagement de haut niveau sont essentiels à une gestion des risques efficace. La
gestion des risques sera rarement efficace si elle n’est pas appuyée par le plus haut niveau de
l’administration. Le Directeur général et les cadres supérieurs doivent établir la politique, les objectifs
et les prérogatives concernant la planification, le déploiement des ressources et la prise de décisions
reposant sur la gestion et l’évaluation des risques.
Lors de l’adoption de la gestion des risques, tous les niveaux de l’administration se doivent d’adhérer
à plusieurs principes d’orientation généraux. Ces principes constituent la base de la gestion des
risques et devraient être pris en considération au moment de la conception du cadre et des procé-
dures de gestion des risques de l’administration. Ils doivent permettre aux administrations doua-
nières de gérer les effets de l’incertitude à l’égard des objectifs.

2.2 Comprendre l’organisation et son contexte

Une compréhension claire de l’environnement opérationnel constitue une étape importante dans la
conception de la structure de la gestion des risques organisationnels. En effectuant une étude envi-
ronnementale, une administration peut identifier divers facteurs et risques externes et internes qui
influencent la manière dont elle peut atteindre ses objectifs. Les facteurs externes à prendre en
compte peuvent inclure diverses considérations politiques, économiques, sociales, environnemen-
tales et technologiques. Pour définir le contexte interne de la gestion des risques, il convient de
réfléchir à la structure générale de cette gestion, aux structures existantes de gouvernance et de
responsabilité, aux parties prenantes, aux valeurs et à l’éthique, à l’environnement de travail opéra-
tionnel, à la culture et aux tolérances en matière de gestion des risques au plan individuel et orga-
nisationnel, à l’expertise et aux pratiques existantes de gestion des risques, aux types de flux d’in-
formations et aux systèmes utilisés ainsi qu’aux politiques, procédures et processus locaux et orga-
nisationnels.

Une étude environnementale détaillée accroît la sensibilisation de l’administration aux caractéris-

tiques et aux attributs essentiels des risques auxquels elle doit faire face, y compris le type et la
source du risque, l’élément exposé au risque et le niveau de capacité à contrôler le risque. L’étude
aidera l’administration à établir des orientations stratégiques pour la gestion des risques et à renfor-
cer les pratiques de gestion existantes qui appuient la réalisation d’une excellence générale de ges-
tion.

Dans de nombreuses administrations, les pratiques et les processus de gestion existants compren-
nent des éléments de gestion des risques. Avant de commencer à concevoir la structure, l’adminis-
tration doit examiner et évaluer de manière critique les éléments qui sont déjà en place. Lors de
l’évaluation de la capacité interne de gestion des risques, il importe d’examiner le mandat, la gou-
vernance et les structures de prise de décision, les processus de planification, l’infrastructure ainsi
que les ressources humaines et financières. Cet examen doit fournir une appréciation structurée des
éléments suivants :11
 la maturité12, les caractéristiques et l’efficacité de la culture et des systèmes existants de
gestion des opérations et des risques ;
 le degré d’intégration et de cohérence de la gestion des risques tant au sein de l’administra-
tion que dans les différents types de risques ;
 les processus et les systèmes à modifier ou à élargir ;
 les contraintes qui pourraient limiter l’introduction d’une gestion systématique des risques ;
et

9. AS/NZS 4360:2004, Gestion des risques, p. 25.

10. La maturité de la gestion des risques sera traitée de manière plus approfondie dans le chapitre 4.

I/6.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

 les contraintes par rapport aux ressources.

Dans le cadre de l’effort consistant à comprendre l’organisation et son contexte pour gérer les
risques, il est important de considérer le concept de tolérance aux risques. L’étude environnementale
identifiera les parties prenantes affectées par les décisions et les mesures de l’administration et leur
degré de ‘confort’ face à différents niveaux de risques. Comprendre l’état actuel de tolérance aux
risques du gouvernement, d’autres agences, des citoyens, des parlementaires, des groupes d’inté-
rêt, etc. aidera à prendre des décisions sur les risques à gérer, la manière de procéder et l’étendue
des mesures nécessaires.

2.3 Politique de gestion des risques

Chaque administration des douanes devra établir sa politique unique de gestion des risques, qui
prendra en compte ses objectifs et ses buts stratégiques en mettant en œuvre des plans proportion-
nels. L’énoncé de la politique de gestion des risques doit clairement décrire les intentions et les
orientations générales de l’administration concernant la gestion des risques. Ensemble, la politique
de gestion des risques et un plan organisationnel de gestion des risques qui spécifiera l’approche,
les composantes de gestion et les ressources à allouer à la gestion des risques, devront inclure au
minimum les éléments suivants :
 les liens entre les buts et objectifs organisationnels et les risques ;
 les raisons et engagements en matière de gestion des risques (stratégie face aux risques) ;
 les liens entre gestion des risques et processus de planification stratégique ;
 le niveau et la nature des risques qui sont acceptables (appétence/tolérance aux risques) ;
 l’organisation et les dispositions en matière de gestion des risques ;
 les informations sur l’identification des risques et les techniques d’évaluation ;
 la liste des documents pour l’analyse et le signalement des risques ;
 les exigences pour l’atténuation des risques et les mécanismes de contrôle ;
 les responsabilités spécifiques dans la gestion des risques (à savoir, les propriétaires de
risques) ;
 les critères de mesure des résultats de la gestion des risques ;
 l’affectation de ressources spéciales à la mise en œuvre de la politique de gestion des
risques ;
 la communication interne et externe ainsi que les systèmes et plans de rapports ; et
 le calendrier de révision périodique de la politique de gestion des risques et des plans con-
nexes.
Une politique efficace de gestion des risques contribuera à :
 un environnement de gestion des risques durable et transparent ;
 un environnement dans lequel tous les employés assument la responsabilité de gérer les
risques et prennent des décisions basées sur une évaluation saine des risques ;
 un déploiement efficace des ressources ;
 une culture de contrôle et d’évaluation continus menant à une meilleure capacité opération-
nelle ; et enfin,
 l’assurance que l’administration douanière peut réagir et reprendre ses activités rapidement
et efficacement lorsque les risques deviennent réalité.

I/7.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

2.4 Responsabilités concernant la gestion des risques

Une administration doit s’assurer que les responsabilités, l’autorité et la compétence en matière de
gestion des risques sont clairement définies. Conférer des responsabilités et des prérogatives per-
mettant de gérer les risques constitue un aspect clé de l’intégration de la gestion des risques dans
une culture organisationnelle.
Définir les responsabilités consiste à identifier et à attribuer des responsabilités au niveau organisa-
tionnel pour le développement, la mise en œuvre et la tenue à jour de la structure de gestion des
risques, et à définir les propriétaires de risques pour différents risques clés au sein de l’administration
douanière.
De manière générale, en matière de propriété de risques, tous les fonctionnaires d’une administra-
tion sont en principe responsables de l’identification et de la gestion des risques. S’agissant des
missions formelles au sein d’une administration, on peut définir les responsabilités suivantes :

Le Directeur général ou le chef de l’administration et les cadres supérieurs ont la responsa-

bilité générale de la politique et des pratiques de gestion des risques de l’administration. Il
leur incombe de jouer un rôle moteur et de soutenir la gestion des risques.
Les cadres supérieurs « possèdent » les risques spécifiques à leurs domaines individuels et
sont responsables de la gestion des risques de chaque division. Les cadres supérieurs jouent
un rôle moteur et apportent un soutien pour permettre l’intégration des objectifs et des principes
de gestion des risques au sein de leurs divisions. Ils s’assurent également que les domaines
prioritaires bénéficient des ressources appropriées en fonction des priorités de l’administration,
et que les plans d’identification, d’évaluation et de traitement des risques sont incorporés dans
les processus de planification et d’établissement des objectifs. Il incombe également aux cadres
supérieurs de s’assurer qu’il existe en matière de renseignement une capacité suffisante pour
évaluer de manière efficace les risques aussi bien stratégiques qu’opérationnels, et que les
cadres et le personnel disposent des outils leur permettant de gérer les risques qui relèvent de
leur responsabilité.
Il incombe aux cadres de gérer les risques dans leurs domaines respectifs de resp onsabi-
lité. Ils doivent veiller à ce que les domaines prioritaires relevant de leur sphère de compé-
tence bénéficient des ressources nécessaires et que les procédures et les systèmes opé-
rationnels sont efficaces et fonctionnent efficacement. Il incombe aux cadres et au person-
nel d’enregistrer les risques clés et de décrire la situation des risques dans leurs domaines
en identifiant et en documentant les informations détaillées concernant l’évaluation et le
traitement, afin de fournir une piste de vérification. Ils doivent également veiller à l’alimen-
tation des systèmes de rapport et s’assurer que la documentation relative aux risques est
pertinente et à jour. Les cadres doivent en outre s’assurer que le personnel est formé, guidé
et soutenu en continu et qu’il dispose des outils lui permettant de gérer les risques surve-
nant dans son domaine d’activité.
Le personnel des services extérieurs est essentiellement responsable des interventions. Il faut
donc que l’ensemble du personnel connaisse et comprenne la législation, les compétences délé-
guées et les prérogatives dont il dispose. Il doit également suivre les instructions, politiques et
procédures et identifier les risques et opportunités dans son domaine d’activité, y compris l’éva-
luation des conséquences possibles et la prise de mesures appropriées visant à réduire les
risques. Les réactions en retour du personnel et les interventions des services extérieurs consti-
tuent un aspect essentiel pour actualiser en permanence la structure de la gestion des risques
en fonction de l’environnement des opérations et des risques

I/8.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

Les cadres supérieurs « possèdent » les risques spécifiques à leurs domaines individuels et
sont responsables de la gestion des risques de chaque division opérationnelle. Les cadres
supérieurs jouent un rôle moteur et apportent un soutien pour permettre l’intégration des
objectifs et des principes de gestion des risques au sein de leurs divisions opérationnelles.
Ils s’assurent également que les domaines prioritaires de leurs activités bénéficient des res-
sources appropriées en fonction des priorités de l’administration, et que les plans d’identifi-
cation, d’évaluation et de traitement des risques sont incorporés dans les processus de pla-
nification et d’établissement des objectifs. Il incombe également aux cadres supérieurs de
s’assurer qu’il existe en matière de renseignement une capacité suffisante pour évaluer de
manière efficace les risques aussi bien stratégiques qu’opérationnels, et que les cadres et
le personnel disposent des outils leur permettant de gérer les risques.
Il incombe aux cadres de gérer les risques dans leurs domaines respectifs de responsabilité.
Ils doivent veiller à ce que les domaines prioritaires relevant de leur sphère de compétence
bénéficient des ressources nécessaires et que les procédures et les systèmes opérationnels
sont efficaces et fonctionnent efficacement. Il incombe aux cadres et au personnel d’enre-
gistrer les risques clés et de décrire la situation des risques dans leurs domaines en identi-
fiant et en documentant les informations détaillées concernant l’évaluation et le traitement,
afin de fournir une piste de vérification. Ils doivent également veiller à l’alimentation des
systèmes de rapport et s’assurer que la documentation relative aux risques est pertinente et
à jour. Les cadres doivent en outre s’assurer que le personnel est formé, guidé et soutenu
en continu et qu’il dispose des outils lui permettant de gérer les risques survenant dans son
domaine d’activité.
Le personnel des services extérieurs est essentiellement responsable des interventions. Il
faut donc que l’ensemble du personnel connaisse et comprenne la législation, les compé-
tences déléguées et les prérogatives dont il dispose. Il doit également suivre les instructions,
politiques et procédures et identifier les risques et opportunités dans son domaine d’activité,
y compris l’évaluation des conséquences possibles et la prise de mesures appropriées visant
à réduire les risques. Les réactions en retour du personnel et les interventions des services
extérieurs constituent un aspect essentiel pour actualiser en permanence la structure de la
gestion des risques en fonction de l’environnement des opérations et des risques.

I/9.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

Selon les structures et les dispositions organisationnelles, certaines entités particulières assument
parfois des responsabilités collectives en matière de gestion des risques. Il peut s’agir d’un comité
de gestion des risques, d’une unité centrale de gestion des risques et/ou d’un centre d’évaluation
ou de ciblage des risques.
Un comité de gestion des risques est en général créé pour être responsable de la supervision et des
rapports présentés aux cadres dirigeants et au Directeur général. Le comité établit un rapport indi-
quant si la structure de la gestion des risques est efficace et si elle est respectée par l’administration
conformément à sa politique. Les fonctions du comité de gestion des risques doivent généralement
comprendre les éléments suivants :
 préparation et conseils relatifs au goût, à la tolérance et à la stratégie en matière de risques,
destinés aux cadres dirigeants et au Directeur général ;
 examen des rapports de gestion des risques pour les risques de haut niveau, notamment les
risques stratégiques qui influent sur la prise de décisions à long terme ;
 analyse du processus de gestion des risques et de son efficacité ; et
 révision des contrôles organisationnels internes et de leur efficacité.
En fonction du degré de maturité de la gestion des risques, certaines administrations réorganisent
les dispositions relatives aux divisions associées à l’évaluation des risques et aux activités liées au
renseignement. Une unité centrale de gestion des risques et/ou un centre de ciblage ou d’évaluation
des risques sont souvent responsables de la collecte et de l’analyse des informations, ainsi que de
l’évaluation des informations brutes. L’évaluation qui en résulte dans un contexte opérationnel fournit
des indicateurs et des profils de risques pour les marchandises, les personnes, les moyens de trans-
port et les opérateurs économiques. Les fonctions des centres d’évaluation et de ciblage des risques
sont examinées plus en détail à l’annexe 4.

2.5 Ressources

Il importe de s’assurer que des ressources suffisantes sont affectées à la gestion des risques. Les
administrations doivent analyser quels sont les types de personnes, de capacités, d’expérience et
de compétences nécessaires pour doter en personnel les fonctions liées à la gestion des risques.
Les cadres et le personnel doivent recevoir la formation adéquate afin d’être compétents dans tous
les aspects de la gestion des risques et ils doivent pouvoir s’appuyer sur des programmes et des
formations consacrés à l’éthique douanière. L’automatisation est une composante de plus en plus
importante de la collecte, de la comparaison et de l’analyse des données et des informations. Les
administrations doivent évaluer leur capacité en matière de TIC (technologies de l’information et de
la communication) et s’assurer que les outils appropriés sont disponibles pour mener une évaluation
des risques appropriée et fournir ainsi à l’administration à tous les niveaux de bons produits de
gestion des risques à même d’identifier les risques organisationnels et de recommander les traite-
ments à effectuer.

L’automatisation peut également rehausser le niveau de responsabilisation et produire un historique

des contrôles à l’aide duquel les décisions administratives et l’exercice du pouvoir d’appréciation
pourront être supervisés et évalués. Lorsque cela s’avère possible, les systèmes automatisés de-
vraient être configurés de telle sorte que les risques d’exercice inapproprié de ce pouvoir d’appré-
ciation soient atténués, que les contacts en face à face entre le personnel douanier et les clients
soient réduits et que l’on puisse éviter les manipulations et transferts physiques de fonds.

I/10.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

2.6 Intégrer la gestion des risques dans les processus organisationnels

Une gestion des risques efficace ne peut pas être mise en pratique de manière isolée, mais doit être
intégrée aux structures et aux processus existants de prise de décision. La gestion des risques étant
une composante essentielle d’une bonne gestion, son intégration dans les processus stratégiques
existants en matière de gestion et d’opérations lui permettra de faire partie intégrante des activités
quotidiennes de l’administration.

2.7 Communication et rapports

Une bonne communication est un élément essentiel d’une gestion des risques performante. Une
communication efficace couvre à la fois les aspects internes et externes. Les voies de communica-
tion interne et les mécanismes de rapport appuient et encouragent la responsabilité et l’appropriation
des risques et facilitent la circulation des informations au sein de l’administration. Une communication
interne et des rapports adéquats doivent s’assurer que tous les agents sont informés et responsables
et, qu’en outre, ils assument leurs responsabilités dans la procédure de gestion des risques. Par un
mécanisme interne de concertation et de rétroaction, les résultats de la stratégie seront rendus dis-
ponibles et évalués à différents niveaux.

Des mécanismes de rapport et de communication externes doivent être établis afin

d’informer les usagers extérieurs de la stratégie de gestion des risques et de les faire
participer au processus. Une communication et des rapports externes satisfaisants doivent
comprendre les aspects suivants :
 comment impliquer et faire participer les parties prenantes externes appropriées et donner
suite à leurs attentes et à leurs exigences et comment elles sont prises en compte dans cette
approche ;
 comment s’assurer que les rapports externes sur les risques sont conformes aux exigences
nationales sur le plan juridique, réglementaire et de la gouvernance ;
 comment utiliser la communication pour favoriser la confiance en l’administration douanière
de façon à soutenir son approche de gestion des risques, y compris le rapport des résultats ;

I/11.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

et
 comment communiquer avec les parties prenantes adéquates en cas de crise ou d’événe-
ment imprévu.

3. Mise en œuvre de la gestion des risques

3.1 Processus de gestion des risques

Lors de la mise en œuvre de la structure, il est important de disposer d’un plan et d’une stratégie de
mise en œuvre détaillés. Ce plan doit décrire la mise en œuvre des dispositions organisationnelles
et définir le calendrier et la stratégie associés. La mise en œuvre de cette structure comprend l’ap-
plication de la politique de gestion des risques aux activités organisationnelles.
Adopter un processus de gestion des risques commun, continu et systématique offre une méthodo-
logie normalisée pour la mise en œuvre pratique de la gestion des risques. Le processus est une
méthodologie cyclique comportant des étapes bien définies qui appuient de manière plus efficace la
prise de décision en fournissant un aperçu des risques et de leur impact. Il est important que le
processus de gestion des risques soit appliqué à tous les niveaux de l’administration. Les étapes du
processus sont décrites dans le diagramme 3.

Diagramme 3. Processus de gestion de risques

3.2 Déterminer le contexte

Tout effort visant à gérer les risques consiste d’abord à déterminer ce qui doit être géré. Cette étape
définit le contexte dans lequel les risques seront gérés ; elle a pour objet de formuler clairement et

I/12.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

de clarifier les objectifs et les risques examinés13. Déterminer ce qui doit être géré permet d’établir
les paramètres pour le reste du processus de gestion des risques. Les questions suivantes peuvent
être utilisées pour déterminer le contexte, en décrivant tant les aspects internes qu’externes :
 Quels sont les objectifs dans le contexte où le processus de gestion des risques se déroule ?
 Quel est l’environnement opérationnel ?
 Quelles sont les capacités et ressources disponibles pour gérer les risques ?
 Quels sont les critères utilisés pour évaluer les risques et déterminer si un contrôle supplé-
mentaire est requis ?
 Quelles sont la portée et les limites de la gestion des risques ?
 Quelles sont les attentes des parties prenantes telles que le gouvernement, les communau-
tés affectées, les opérateurs et d’autres groupes du secteur privé ?
 Quels sont les autres détails connus au sujet du processus ou de l’activité ?
Un résultat de cette phase doit être l’énoncé du contexte opérationnel environnemental qui com-
prend une indication claire des objectifs (« le risque à quoi ») et des domaines à risque, et définit les
critères et les paramètres pour la phase d’évaluation des risques.

3.3. Compilation d’informations et renseignements

Les administrations douanières doivent réunir les informations nécessaires à la gestion des
risques et peuvent, pour se faire, compter sur diverses sources parmi lesquelles les autres
administrations douanières, les services frontaliers concernés, le secteur privé et les États
limitrophes.

Les administrations douanières sont invitées à tisser des liens de collaboration avec ces services
et, pour pouvoir échanger des données, elles pourraient envisager de prendre des arrangements
tels que des protocoles d’accord, des accords bilatéraux et régionaux de coopération douanière
ou des accords d’assistance mutuelle administrative. Ces outils peuvent offrir une plus grande
sécurité juridique souvent impérative dans le cas d’échanges de données sensibles.

Par des échanges d’informations plus amples et soutenus, les services frontaliers auront une
meilleure connaissance des risques aux frontières. Dès lors, les administrations douanières
devraient coopérer davantage avec les autres services aux frontières, que ce soit sur le plan
central, régional ou local. Les acteurs extérieurs détiennent également des informations
précieuses pour la gestion des risques douaniers et les données et informations communiquées
par le secteur privé peuvent améliorer la gestion des risques et permettre de les atténuer à un
stade précoce dans la chaîne logistique tout en évitant au maximum de perturber inutilement les
pratiques commerciales normales.

Ces informations peuvent venir compléter les données exigées par la réglementation en vigueur pour
différents types de déclarations et procédures, qu’il s’agisse des renseignements préalables
concernant les envois postaux, des données électroniques de sécurité du fret maritime/aérien avant
chargement ou du dossier passager pour les voyageurs, voire encore d’autres renseignements
disponibles au format électronique utilisés par la douane et les autres services frontaliers
responsables du contrôle des marchandises et des personnes aux frontières.

11. Le contexte peut, par exemple, être l’administration dans son ensemble, l’une de ses fonctions clés, un processus, un projet, un lieu spécifique, un
groupe de transactions frontalières, etc.

I/13.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

Les données recueillies par les différents canaux seront traitées et stockées dans les bases de
données des services douaniers ou dans des bases de données auxquels ils ont accès. Elles
seront ensuite utilisées ou rendues disponibles dans le cadre de la procédure de gestion des
risques. Le Modèle de données de l’OMD et d’autres normes internationales (telles que les
normes CEFACT-ONU) sont des outils essentiels pour une collaboration numérique fiable,
harmonisée et normalisée. L’harmonisation est d’ailleurs une étape importante dans la facilitation
des échanges, l’utilisation des technologies modernes de communication et d’information et la
mise en place d’un environnement de guichet unique. Elle ouvre également de nouvelles
possibilités de mise en réseau aux fins de la gestion coordonnée des frontières.

En terme opérationnel, l’aide qu’apporte le renseignement permet de plus en plus d’adopter une
démarche moderne de gestion des risques douaniers. La méthode de gestion des risques
fondée sur le renseignement permet de croiser les informations et les connaissances acquises
par la douane à l’aide d’une approche systématique d’identification et de traitement des risques
les plus dommageables. Cette procédure est cruciale dans la mesure où les risques de niveau
élevé qui sont identifiés sont bien plus nombreux que ce que pourrait faire la douane avec les
ressources et la capacité de réponse dont elle dispose. Les rapports d’évaluation des risques
aident les dirigeants à déterminer l’ordre de priorité des risques à traiter et partant, à définir leur
politique de mobilisation et de déploiement des ressources douanières.

Les conventions internationales et les outils de l’OMD jouent aussi un rôle important dans la
coopération mondiale pour la lutte contre la fraude. Le Réseau de lutte contre la fraude douanière
(CEN) de l’OMD est un outil mondial d’information et de renseignement en matière de lutte contre
la fraude auquel les services douaniers et les Bureaux régionaux de liaison chargés du
renseignement de l’OMD peuvent faire appel. Les données peuvent être compilées, analysées et
complétées à l’aide de ce réseau, qui permet également de diffuser des renseignements sur les
tendances, les modes opératoires, les itinéraires et les cas de fraude importants.

Grâce à la coopération internationale entre l’OMD et d’autres organisations internationales telles

qu’Interpol, Europol, la Chambre de commerce internationale (CCI), l’Association internationale
du transport aérien (IATA) et l’Organisation maritime internationale (OMI), les instances
internationales et régionales sont à même de remplir leur mission dans le monde et d’œuvrer plus
efficacement à la consolidation des échanges d’informations et de renseignements.

3.4 Identification des risques

Les risques ne peuvent pas être analysés ou gérés avant d’être identifiés et décrits de manière
compréhensible. La phase d’identification des risques identifie et enregistre tout risque possible en
utilisant un processus systématique pour identifier quels risques pourraient survenir, pourquoi et
comment, formant ainsi la base d’une analyse complémentaire. Quelques-unes des questions po-
sées dans cette phase pourraient inclure :
 Quelles sont les sources du risque ?
 Quels risques pourraient survenir, pourquoi et de quelle façon ?
 Quels contrôles pourraient détecter ou prévenir ces risques ?
 Quels sont les contrôles et mécanismes de responsabilité -internes et externes- établis ?
 Quelles sont la nature et la mesure des recherches à effectuer au sujet des risques spéci-
fiques ?
 Jusqu’à quel point les informations sont-elles fiables ?
Les activités d’identification des risques à différents niveaux de l’administration doivent être étroite-
ment interconnectées. Une fois que les risques stratégiques d’une administration ont été identifiés,

I/14.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

ils sont remis au personnel d’encadrement qui affine davantage les risques stratégiques généraux
et détermine les domaines d’action prioritaires au sein de leurs domaines de compétence. Une fois
ces décisions prises et ces priorités attribuées, les cadres opérationnels peuvent entreprendre le
processus consistant à identifier des cas spécifiques au sein de leur domaine de compétence en
vue de prendre des mesures complémentaires. À chaque étape du processus, l’étendue du risque
géré est progressivement réduite et le risque est géré à un niveau approprié au sein de l’administra-
tion.
Le résultat du processus d’identification des risques est un registre qui documente les risques et
garantit que la totalité de l’éventail des risques est prise en compte. Il existe de nombreuses ma-
nières différentes de concevoir un registre des risques. L’annexe 1 offre des exemples de modèles
de registre des risques.

3.5 Analyse des risques

L’analyse des risques consiste essentiellement à quantifier les risques et nécessite un examen des
sources des risques identifiés, une évaluation de leurs conséquences potentielles sur la réalisation
des objectifs et un jugement quant à la probabilité que des conséquences se produisent (en l’ab-
sence de tout traitement spécifique et avec les contrôles existants en place). Elle repose sur l’utili-
sation de données et d’informations lui permettant de justifier les conséquences qui sont suscep-
tibles de se produire si le risque survient ou demeure non traité. Même si l’analyse des risques doit
reposer sur des preuves dans la mesure du possible, il convient de noter qu’il ne s’agit pas d’une
science exacte. La connaissance de l’environnement commercial, l’opinion d’experts et le bon sens
ne sauraient être sous-estimés lors de la l’analyse des risques.
En résumé, l’analyse considère :
 la probabilité qu’un événement survienne ; et
 les conséquences potentielles et leur ampleur.
La combinaison de ces éléments donne une estimation du degré de risque. L’estimation des risques
peut être quantitative ou qualitative, ou une combinaison des deux.
Compte tenu des avis de tolérance par le biais de la matrice 3x3 (élevé, moyen, faible), le dia-
gramme 5 propose des descriptions et des indicateurs possibles pour estimer la probabilité qu’un
risque survienne.

Diagramme 4. Exemple modèle de gestion des risques à trois niveaux (à des fins d’illustration
exclusivement)

Niveau de risque Mesure envisageable

Risque élevé (niveau rouge) Application de mesures de contrôle
Risque moyen (niveau jaune) Tenter d’obtenir des informations complémen-
taires afin de pouvoir faire monter le risque au ni-
veau rouge, ou descendre au niveau vert.
Risque faible (niveau vert) Continuer à surveiller le risque

Diagramme 5. Exemple de description et d’indicateurs pour déterminer des probabilités (à

des fins d’illustration exclusivement)

I/15.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

Probabilité Description Indicateurs

Élevé (Probable) Susceptible de se produire ou plus de 20 % S’est produit au cours des 12 derniers mois
de chance que ce soit le cas

Moyen (Possible) Pourrait se produire, mais moins de 20 % de S’est produit il y a de 1 à 3 ans

chance que cela soit le cas S’est produit dans un autre pays au cours
des 2 dernières années

Faible (Distant) N’est pas susceptible de se produire et Ne s’est pas produit au cours des 3 der-
moins de 5 % de chance que cela soit la cas nières années ou plus
Ne s’est pas produit dans un autre pays
membre au cours des 2 dernières années

Compte tenu des avis de tolérance par le biais de la matrice 3x3 (élevé, moyen, faible), le dia-
gramme 6 propose des descriptions et des indicateurs possibles pour estimer les conséquences
d’un risque qui se produirait.

Diagramme 6. Exemple de description et d’indicateurs pour déterminer la portée des consé-

quences (à des fins d’illustration exclusivement)

Conséquence / Im- Description Indicateurs

pact

Élevé (Grave) Si un risque préjudiciable se présente, il Ramifications à long terme d’un gouver-
pourrait en résulter une crise communau- nement ou d’une organisation
taire, économique ou politique grave

Moyen (Gérable) Un risque préjudiciable pourrait entraver Préjudice à la capacité de satisfaire aux
les flux de travail et porter préjudice à la objectifs et aux engagements organisa-
communauté ou à l’entreprise tionnels envers le gouvernement, la com-
munauté et l’entreprise

Faible (traitement dans Un risque préjudiciable causerait des re- L’avènement d’un risque préjudiciable
workflows existants) tards mineurs à la fourniture du service peut être absorbé dans les procédures
opérationnelles standard

Il convient de répéter cet exercice de manière continue (chaque année dans le contexte de la division
organisationnelle et opérationnelle), ce qui entraîne normalement des changements quant au niveau
de risque estimé. Ces changements s’expliquent par le traitement et les mesures de prévention
mises en place. Par exemple, la modification d’une législation ambiguë réduira la marge d’interpré-
tation et par conséquent la probabilité qu’un événement préjudiciable se produise. Cela entraînera
alors un risque moindre par rapport à la période précédant la mise en œuvre de cette mesure pré-
ventive, etc.

Exemple (à des fins d’illustration exclusivement)

Dans le contexte de l’exemple précédent, les participants à l’atelier analysent (en utilisant une technique appro-
priée, voir Annexe 1) chacun des risques individuels sous les catégories de risques en fonction de leur probabilité
et des conséquences en utilisant un barème élevé (E), moyen (M) et faible (F). Ils parviennent conjointement
aux classements suivants :

I/16.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

Objectif Risques Probabilité Conséquence

1 Perception efficace 1.1 Fraude E E

des recettes
1.2 Compétences du personnel insuffi- F M
santes

1.3 Intégrité F F

2 Protection et sécurité 2.1 Stupéfiants E M

de la communauté

2.2 ADM F E

2.3 DPI M F

3 Facilitation des échanges 3.1 Procédures inefficaces F E

3.2 Manque de coordination avec E E

d’autres agences

3.3 Défaillance de la TI F E

3.6 Évaluation des risques et établissement des priorités

Cette étape consiste à comparer les risques évalués à des critères d’importance déterminés à
l’avance. En considérant le niveau de chaque risque tel que décrit par l’équipe dirigeante dans la
matrice, il est possible d’évaluer et de hiérarchiser les principaux risques à analyser de manière plus
approfondie. Cela permettra ensuite le déploiement proportionnel des ressources afin de se préparer
au risque, de le prévenir et d’y faire face.
À des fins d’illustration, ce diagramme présente l’exemple d’une matrice simple d’importance 3x314.

Diagramme 7. Exemple de matrice d’importance des risques (3x3)

12. Certains Membres pourraient éprouver le besoin d’estimer la tolérance de façon plus détaillée au-delà des qualificatifs « élevé, moyen ou faible ».
Le Recueil sur le renforcement des capacités contient des exemples d’une matrice 4x4 et d’une matrice 5x5. Dans le cas d’une matrice 5x5, les
tolérances peuvent être exprimées comme étant mineures, acceptables, tolérables, majeures et inacceptables. Une autre méthode d’expression du
risque consiste à utiliser un système de « feux de signalisation », c’est-à-dire rouge pour élevé, orange pour moyen et vert pour faible. Un système
reposant sur l’informatique pourrait appliquer une valeur numérique telle qu’un classement de 1 à 100.

I/17.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

L’évaluation permet à la douane de mieux comprendre les risques. Le processus consiste à décider
si le risque est tolérable (acceptable) et à aider à déterminer le degré d’imminence selon lequel le
risque pourrait survenir. Les décisions concernant les risques à traiter et ceux à surveiller seront
potentiellement affectées par de nombreux autres éléments, notamment :
 les compétences internes ;
 la capacité interne ;
 s’il existe une capacité efficace à procéder au traitement ;
 le classement/niveau du risque ;
 le retour de traitement ;
 les effets sur la réputation ; et
 les coûts/avantages des traitements proposés (il s’agit d’une remontée d’information de
l’étape suivante).
Ces éléments forment la base sur laquelle l’efficacité des stratégies de traitement sera en fin de
compte évaluée. Notez que dans l’exemple du diagramme 7, il peut être nécessaire de grouper un
résultat de tolérabilité et d’y ajouter des critères de réaction spécifiques pour différentes catégories.

Diagramme 8. Exemple de matrice d’importance des risques avec critères de réaction

I/18.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

Le résultat du processus d’évaluation et de hiérarchisation des risques devrait être un registre des
risques qui a été quantifié et hiérarchisé en fonction du niveau de risque, en établissant un lien entre
les risques et les propriétaires des risques chargés de les atténuer et de les contrôler.

Des technologies de pointe telles que l’intelligence artificielle (IA) peuvent aider les administrations
douanières à traiter rapidement d’énormes quantités de données et à les analyser avec plus d’exac-
titude tout en respectant la confidentialité, la vie privée, les données et les conditions de procédure.
Toutes les étapes de la gestion des risques peuvent devenir plus efficaces grâce à l’IE et cette
technologie devrait permettre de réunir automatiquement des renseignements précieux pour l’iden-
tification des risques à partir d’informations provenant de sources ouvertes. L’IA peut effectuer les
étapes simples, mais néanmoins laborieuses, de l’analyse des risques (telles que l’organisation et
le nettoyage des données) et cette technologie peut calculer des schémas potentiels de contrebande
et autres infractions à la réglementation douanière à partir des bases de données douanières qui
regroupent les cas passés et d’autres renseignements.

3.7 Traitement des risques

Le traitement des risques fait référence aux décisions ou aux mesures prises face à un risque iden-
tifié. Dans un contexte douanier, trois types génériques de réactions peuvent être appliquées ; elles sont
dénommées les trois T :
 tolérer ;
 traiter ;
 transférer.
Tolérer les risques serait acceptable dans de nombreux cas, par exemple lorsque les ressources
sont limitées ou que le risque est considéré comme aussi bien géré que possible grâce aux contrôles
existants ou sans trop dépasser les limites financières ou les limites en terme de ressources afin de
réduire l’impact ou la conséquence de manière seulement marginale. Tolérer ou accepter un risque
ne signifie pas que le risque ne sera pas contrôlé et surveillé. Cette surveillance s’effectue souvent
par le biais de procédures opérationnelles habituelles visant à déterminer si le niveau du risque a
changé.15
Traiter les risques constitue souvent l’option la plus utilisée par la douane pour gérer les risques auxquels
elle doit faire face dans le cadre de ses opérations. Cela signifie réduire la probabilité ou la consé-
quence que des risques surviennent en mettant en place des mesures de contrôle et des actions
qui ont pour but de modifier le niveau du risque afin qu’il s’intègre dans la tolérance de l’administra-
tion. En fonction du type de risque, de nombreux traitements sont souvent disponibles, notamment
des mesures de prévention, de détection et de mise en œuvre. Pour décider du traitement, il importe
de comprendre les causes des risques et non pas se concentrer uniquement sur les symptômes.
Mieux comprendre les risques et les causes qui les sous-tendent permet de prendre des décisions
plus informées sur la meilleure stratégie de traitement ou le mélange de stratégies permettant de les
atténuer.
Le transfert de risques consiste à transférer un risque à un tiers en vue de l’atténuer. Les risques
peuvent être transférés en interne ou en externe. Par exemple, au sein d’une administration des
douanes, un risque pourrait être transféré du service des opérations à celui de la TI ou des res-
sources humaines aux opérations, etc. Le transfert externe des risques peut s’effectuer dans des
environnements aussi bien opérationnels que non opérationnels, y compris à des niveaux straté-
giques. Au niveau opérationnel, les risques peuvent être transférés à un autre service de lutte contre
la fraude ou à un sous-traitant. Lorsque des sous-traitants interviennent, le transfert des risques
implique souvent un contrat ou un accord juridique couvrant la mission. Il importe de ne pas oublier

13. Parfois, des risques susceptibles d’avoir une conséquence extrême, mais dont l’occurrence est très peu vraisemblable, peuvent également être
tolérés après la mise en place d’une planification adéquate d’urgence et de reprise des activités. Cela peut être dû au fait qu’il n’existe pas de mesures
de contrôle pour ces types de risques, par exemple les catastrophes naturelles. A risk of a natural disaster could qualify as an example of this type of
risk.

I/19.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

que le fait de transférer le risque ne signifie pas nécessairement en transférer la responsabilité. Dans
le premier exemple ci-dessus, si le risque se réalise, le responsable du service des opérations peut
toujours être tenu responsable du risque, même si c’est le service de la TI qui le traite.

3.8 Surveillance et examen

La surveillance et l’examen doivent couvrir tous les aspects du processus de gestion des risques, y
compris les performances du système de gestion des risques, les changements qui pourraient l’af-
fecter et la question de savoir si les risques initiaux sont statiques. Quelques-unes des questions
posées à ce stade sont énumérées ci-après :
 Les hypothèses concernant les risques sont-elles toujours valables ?
 Existe-t-il des risques nouveaux ou émergents ?
 Les traitements visant à minimiser les risques sont-ils efficaces ?
 Les traitements sont-ils rentables ?
 Les contrôles de gestion et de responsabilité sont-ils adéquats ?
 Les traitements sont-ils conformes aux exigences légales et aux politiques gouvernemen-
tales et organisationnelles ?
 Comment le système peut-il être amélioré ?
Pour surveiller et examiner les résultats et les progrès liés aux traitements mis en œuvre, une struc-
ture d’évaluation efficace est nécessaire, assortie de critères en fonction desquels les résultats sont
comparés. La structure peut inclure des mesures variées dont l’objectif est de décrire les résultats
et les effets directs et connexes des mesures choisies, permettant de comparer les résultats avant
et après le traitement. Différentes activités de mesure de respect de la loi16 telles que campagnes,
vérifications aléatoires ou autres types de méthodes ou d’enquêtes d’analyse valables sur le plan
statistique peuvent toutes constituer des outils potentiels de mesure dans un contexte opérationnel.

3.9 Documentation, communication et consultation

La communication avec les parties prenantes internes et externes et la consultation de ces parties
doivent intervenir le cas échéant à chaque stade du processus de gestion des risques et pour le
processus dans son ensemble. La communication et la consultation doivent constituer une activité
planifiée et continue couvrant non seulement le processus, mais également les problèmes qui peu-
vent se présenter.
Une bonne gouvernance nécessite une prise de décision responsable et transparente. Afin de ga-
rantir la responsabilité, il est important que les documents indiquent les raisons pour lesquelles des
décisions et des mesures ont été prises. Par conséquent, les activités de gestion des risques à tous
les différents stades du processus doivent être enregistrées et stockées de manière à pouvoir être
récupérées :
 hypothèses ;
 méthodes utilisées ;
 sources des données ;
 logique et analyse ;
 résultats ; et
 décisions prises ainsi que raisonnements qui les étayent.

14. Des informations plus détaillées sur les mesures de respect de la loi figurent à l’Annexe 2.

I/20.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

4. Contrôle et examen de la structure

Le développement de mécanismes d’évaluation et de remise de rapports fournit des réactions en
retour aux dirigeants et autres parties intéressées à l’échelle de l’administration et du gouvernement.
S’assurer que les activités de gestion des risques sont contrôlées et examinées et que les résultats
sont communiqués au niveau politique permet de garantir que la gestion des risques demeure effi-
cace à long terme.
Certaines des fonctions de contrôle et d’examen peuvent être confiées à des groupes fonctionnels
de l’administration responsables des examens et des audits. Les cadres supérieurs et le personnel
peuvent également être chargés de s’assurer que les informations affectant les risques sont collec-
tées et transmises efficacement. La transmission peut s’effectuer par le biais de procédures et de
voies habituelles de gestion (rapports sur les résultats, surveillance continue, etc.) dans le cadre des
fonctions de conseil associées à la gestion des risques (par ex. comité de gestion des risques).
Les rapports facilitent l’apprentissage et de meilleures prises de décision en évaluant les succès et
les échecs, le contrôle de l’utilisation des ressources et la dissémination des informations sur les
meilleures pratiques et les enseignements tirés. Lors du contrôle et de l’examen de la structure de
la gestion des risques, une attention particulière doit être accordée à :
 la performance de la gestion des risques par rapport aux indicateurs identifiés ;
 la persistance de la confiance dans les classements de risques et les indicateurs ;
 le caractère approprié des responsabilités attribuées aux propriétaires de risques ;
 l’examen de la structure, de la politique et des plans en matière de gestion des risques par
rapport à leur contexte du moment ;
 faire rapport sur le traitement des risques et l’utilisation ultérieure des plans ;
 évaluer la pertinence continue du traitement des risques17 ; et
 informer en retour l’ensemble de l’administration et les parties prenantes externes, le cas
échéant, sur les progrès, les avantages et les résultats de la gestion des risques.

5. Amélioration continue de la structure

L’apprentissage continu est fondamental pour des prises de décision plus éclairées et proactives. Il
contribue à une meilleure gestion des risques, renforce la capacité d’une administration à gérer les
risques et facilite l’intégration de la gestion des risques dans la culture et les structures de l’adminis-
tration. Les administrations des douanes doivent développer continuellement leur maturité en ma-
tière de gestion des risques (voir chapitre 4) et s’assurer que les informations accumulées grâce aux
activités d’atténuation des risques et auprès des services extérieurs sont utilisées pour maintenir la
structure à jour. En fonction des découvertes résultant des processus de contrôle et d’examen, des
décisions doivent être prises quant à la manière d’améliorer la structure et la politique de gestion
des risques, ainsi que les plans de gestion des risques de niveau stratégique et opérationnel.

15. Cette tâche est importante car, si les traitements sont efficaces, ils pourraient avoir un impact sur les tendances des risques et devenir moins
importants, voire redondants. Par exemple, si un traitement des risques implique le recrutement d’auditeurs expérimentés dans l’organisation en vue
de combattre un type particulier de fraude, on peut s’attendre à ce que le recrutement continu ne soit pas nécessaire et à ce qu’une méthode alternative
de maintien des niveaux de compétence (par ex. une formation supplémentaire ou un tutorat en cours d’emploi pour des employés moins
expérimentés) soit plus pertinente.

I/21.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

3. INTÉGRER LA GESTION DES RISQUES EN TANT QUE

CULTURE DE L’ADMINISTRATION

3.1 Introduction
Intégrer la gestion des risques en tant que culture de l’administration n’est pas toujours un processus
simple. Les expériences rapportées par des Membres indiquent que cela peut prendre plusieurs
années et demander un engagement fort et constant de la direction et du personnel à tous les
échelons.
Plusieurs difficultés peuvent surgir lors du développement d’un modèle efficace de gestion des
risques au sein du cadre douanier ou en dehors. Comprendre ces difficultés, les reconnaître et y
réagir rapidement sont des facteurs qui influent directement sur l’aptitude des dirigeants de
l’administration douanière à ériger un système très efficace de gestion des risques.
Il est dit au Chapitre 2 (« Concevoir une structure administrative pour gérer les risques ») qu’une
approche holistique de la gestion des risques passe par l’évaluation permanente des risques que
peut courir l’administration à tous ses niveaux, ainsi que par l’agrégation des résultats de
l’administration tout entière pour pouvoir fixer plus aisément les priorités et améliorer le processus
décisionnel. L’identification, l’évaluation et la gestion des risques à tous les échelons de
l’administration permettent de comprendre le tout, de se rendre compte de la somme des risques et
de l’interdépendance des parties.
Pour gérer les risques de façon globale, il faut que l’organisation dispose d’un cadre de gestion des
risques solide et rigoureux à l’aide duquel les fonctionnaires à tous les échelons de l’administration
peuvent prendre des décisions structurées et systématiques fondées sur le risque. Ce cadre permet
d’aligner les activités de gestion des risques sur les objectifs généraux de l’administration, sa
politique, sa direction stratégique, ses pratiques opérationnelles et sa culture interne.
Par conséquent, en définissant un cadre de gestion des risques régulièrement mis à jour,
l’administration pourra inscrire la gestion des risques dans sa culture d’entreprise.
Mais une gestion des risques efficace ne peut se faire isolément. Elle doit s’inscrire dans les
structures et les processus de prise de décision en vigueur. La gestion des risques étant une
composante essentielle de la bonne gestion, en l’intégrant aux mécanismes de gestion stratégique
et d’évaluation de la performance, ainsi qu’aux processus opérationnels, elle finira par faire partie
intégrante des activités quotidiennes de l’administration.
La maturité de la gestion des risques est un autre outil qui peut aider les administrations à inscrire
la gestion des risques dans leur culture d’entreprise et à améliorer le système de gestion des risques.

3.2. Maturité de la gestion des risques

La maturité de la gestion des risques (terme souvent utilisé pour désigner la capacité d’une
organisation à gérer le risque et son adaptabilité) peut aider les administrations à développer
continuellement leurs pratiques de gestion des risques.
La maturité en matière de gestion des risques peut être évaluée de plusieurs manières différentes.
Il est suggéré aux administrations de créer une structure de mesure personnalisée leur permettant
d’examiner et de développer leur maturité de manière structurée et systématique. Établir ce type de
structure consiste à convenir d’un modèle de maturité, en déterminant les paramètres de mesure et
en choisissant des outils permettant d’effectuer ces mesures.
Établir un modèle de maturité des risques est important car cela permet d’établir une base commune
pouvant servir à analyser comparativement les pratiques de gestion des risques. Les administrations
doivent définir et concevoir un modèle adapté à leur propre contexte. La sous-section suivante four-
nit l’exemple d’un modèle potentiel.

I/22.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

Lors de la sélection d’un modèle de maturité, les administrations doivent concevoir des indicateurs
de mesure pour les attributs clés utilisés dans le modèle. Le processus de mesure lui-même peut
être qualitatif ou quantitatif, ou présenter ces deux aspects. Si des mesures quantitatives sont
utilisées, il est important de s’assurer que des données adéquates sont disponibles à l’appui de ces
mesures et que les outils d’analyse requis existent.

Les outils de mesure reposent sur les indicateurs que l’administration souhaite utiliser et incorporer
dans l’évaluation de ses performances. Les indicateurs permettant une mesure quantitative
peuvent souvent être appuyés par une analyse et une manipulation des données, y compris une
analyse statistique, etc. Pour l’analyse qualitative, des outils tels qu’entretiens, questionnaires,
enquêtes, audits, etc. peuvent être utilisés

3.3. Exemple d’un modèle de maturité de gestion des risques

Le modèle de maturité de gestion des risques présenté dans cette section (diagramme 9) s’appuie
sur cinq niveaux différents de maturité de la gestion (de 1 à 5) et mesure la maturité en fonction des
sept attributs clés suivants :
1 – Le cadre juridique
2 – Les dispositions institutionnelles/organisationnelles
3 – La mise en œuvre de la gestion des risques
4 – Les ressources humaines, la formation et le budget
5 – La coopération et l’échange d’information
6 – Le support technologique
7 – D’autres programmes d’assistance à la GR
Chacun de ces attributs peut poser des difficultés à l’administration désireuse de se doter d’un
système de gestion des risques. Par conséquent, il est nécessaire de décrire des mesures que
l’administration peut prendre pour surmonter ces difficultés et renforcer sa capacité à gérer les
risques.
Les sous-sections suivantes aborderont brièvement les différents stades de maturité
.

Diagramme 9 – NIVEAUX DE MATURITÉ DE LA GESTION DES RISQUES

Niveau 5
Niveau 4
Niveau 3 Incorporée et
Adoptée et
Niveau 2 optimisée
Définie mise en œuvre
Niveau 1 Conscience Continuellement
Politiques et Globale
Initiale Certaines améliorée
processus Capacité
Plusieurs dispositions Intégrée
Technologie renforcée
attributs institutionnelles Opportunités et
plus Mesure des
clés sont et risques positifs
homogène PON
absents infrastructure

I/23.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F

Niveau 1

Le niveau 1 est le stade initial de la maturité de la gestion des risques. A ce premier niveau,
l’administration prend davantage conscience du déséquilibre existant entre les ressources
disponibles et la demande. Le processus, les procédures et les techniques formels de gestion des
risques peuvent ne pas être bien compris, même si la langue et la terminologie sont connues. À ce
stade, il n’existe généralement pas de mandat de haut niveau aux fins de la gestion des risques. Le
risque peut alors être géré sur une base ad hoc, la gestion des risques n’étant alors pas appliquée
aux programmes et aux processus opérationnels de l’administration.

Niveau 2

A ce niveau de maturité, l’administration est consciente qu’il est important de gérer les risques. Elle
connaît ses parties prenantes et leurs besoins. La gestion des risques bénéficie d’un mandat et d’un
engagement de haut niveau. Le concept et les avantages de la gestion des risques sont compris
aux niveaux concernés de l’administration. Les responsabilités en terme de risques sont définies et
une infrastructure organisationnelle initiale pour la gestion des risques est en cours de conception.
Toutefois, l’approche générale à l’égard de la gestion des risques se caractérise toujours par son
caractère plutôt intuitif.

Niveau 3

Au troisième niveau, les risques sont bien définis et l’approche de gestion des risques est normalisée
et rigoureuse. L’infrastructure de la gestion des risques est bien établie et comprend une politique,
des procédures, des responsabilités et une culture. Des plans opérationnels, y compris des risques
bien identifiés et leurs stratégies de gestion, sont également définis. Les différents ressources et
outils nécessaires à une analyse efficace sont identifiés et conçus, et la gestion des risques fait
régulièrement l’objet d’une formation et d’une sensibilisation. Les activités opérationnelles sont
souvent appuyées par une fonction ou des facilités spécifiques de gestion des risques, qui
garantissent l’uniformité de l’application de la gestion des risques.

Niveau 4

Au quatrième niveau de maturité, les risques sont gérés de manière efficace. La gestion des risques
est intégrée dans tous les processus organisationnels. Les pratiques de gestion des risques sont
complètes et une culture saine de la gestion des risques est en place. Il existe une communication
efficace à double sens concernant la gestion des risques qui permet de transmettre les objectifs et
les ressources au niveau inférieur et de répercuter les informations efficaces en retour au niveau
supérieur. Les pratiques et les résultats de la gestion des risques sont mesurés et contrôlés, et
l’approche fait l’objet d’un développement constant.

Niveau 5

Les quatrième et cinquième niveaux sont assez similaires et représentent une maturité très élevée
de gestion des risques. La principale différence entre ces deux niveaux est qu’au cinquième niveau
de maturité, les risques ne sont pas seulement gérés en terme de réduction des résultats négatifs,
mais que la gestion des risques cherche également activement à exploiter les opportunités et les
risques positifs. Les pratiques de gestion des risques sont optimisées et intégrées dans tous les

I/24.
 (EC0631EAF1b)
Annexe I au
Doc. EC0631F

processus organisationnels, contribuant ainsi de manière efficace aux objectifs de l’administration.

Des informations et des connaissances de qualité appuient la prise de décision et les décisions
reposent sur une compréhension approfondie des risques. La gestion des risques fait partie inté-
grante des activités quotidiennes des fonctionnaires à tous les niveaux de l’administration.

_______________

I/25.