Gestion Du Risque Dans Le Contexte Douanier
Gestion Du Risque Dans Le Contexte Douanier
Gestion Du Risque Dans Le Contexte Douanier
Annexe I au
Doc. EC0631F
Tenter d’établir un équilibre entre intervention et facilitation est parfois considéré comme un jeu « à
somme nulle », où toute augmentation dans l’un des domaines impliquerait nécessairement une
diminution dans l’autre. En réalité, il est important de comprendre que contrôle et facilitation ne sont
pas des objectifs qui s’excluent mutuellement, mais qu’ils se renforcent mutuellement et il est
possible de faire en sorte que tous deux atteignent des niveaux optimaux. L’application des principes
de gestion des risques peut assurer cet équilibre et permet, de plus, à la douane de cesser
d’intervenir en tant que « garde-barrières » et d’adopter un modèle de contrôle qui repose plutôt sur
le risque.
Tout comme les volumes de marchandises, la manière dont elles sont échangées à travers le monde
et la vitesse de ces échanges commerciaux, le rôle de la douane dans les contrôles aux frontières a
profondément évolué au fil des progrès technologiques. Le risque de pandémie mondiale et son
influence sur la gestion des risques ont également changé. Les administrations douanières du
monde entier ont été tenues d’adapter continuellement leurs méthodes de fonctionnement afin de
maintenir leur efficacité et leur pertinence.
Par exemple, l’émergence de chaînes mondiales de valeur, les technologies disruptives, le blanchi-
ment de capitaux fondé sur les transactions commerciales et le financement du terrorisme, ainsi que
la complexité croissante des accords commerciaux internationaux ont tous eu un impact sur la façon
dont les douanes s’acquittent de leurs responsabilités. Le commerce exponentiel d’envois de petite
taille complique la tâche de gestion des risques frontaliers des administrations douanières, qui doi-
vent contrôler d’énormes quantités de petits colis et ces petits colis posent également des difficultés
dans la lutte que mènent les services douaniers contre la fraude. Par conséquent, à l’échelle mon-
diale, la charge de travail des services douaniers dans tous les domaines d’activité s’est fortement
alourdie6, mais, grâce à la collaboration entre les acteurs concernés et la transmission aux adminis-
trations douanières de données plus directement liées au commerce électronique, la douane devrait
parvenir à traiter plus efficacement la multitude de colis qui franchissent chaque jour les frontières.
Si l’on veut créer un environnement douanier numérique et faciliter ainsi les procédures douanières,
1. Widdowson (2006), p. 2.
2. Widdowson and Holloway (2010), p. 98.
3. Widdowson (2006). p. 2 – 3.
I/1.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
il faut à tout prix les dématérialiser : le dédouanement des marchandises par voie électronique, le
concept de guichet unique, les inspections non intrusives et la gestion des risques à partir de l’ana-
lyse des données sont les piliers d’une administration douanière moderne. Les douanes peuvent
obtenir des données numériques sur les marchandises qui passent les frontières, les échanger par
voie électronique, méthode en principe plus rapide que l’échange d’informations sur papier avec les
services gouvernementaux concernés et avec les administrations douanières d’autres pays. Pour
mieux exploiter les données à des fins de gestion des risques, les administrations douanières doi-
vent s’engager sur la voie du numérique.
Les administrations douanières ne peuvent plus interagir physiquement avec 100 % des flux trans-
frontaliers. Selon la Convention de Kyoto révisée (CKR) et le Cadre de normes SAFE, tout service
douanier moderne devrait pratiquer la gestion des risques. Pour sa part, l’Organisation mondiale du
commerce (OMC) reconnaît et défend la procédure de gestion des risques afin que les contrôles
exercés par la douane (et, dans la mesure du possible, les autres types de contrôles frontaliers
pertinents) puissent cibler plus précisément les envois à haut risque et que la mainlevée des envois
à faible risque gagne en rapidité.7
Bien que la gestion des risques dans l’environnement douanier prenne des visages différents selon
les administrations, nombreuses sont celles qui appliquent désormais un modèle d’évaluation des
risques normalisé et qui ont adopté des critères de sélectivité et de ciblage. En recourant aux
technologies d’analyse prédictive et d’apprentissage automatique pour traiter les gros volumes de
données qu’elles reçoivent, elles peuvent contrôler plus intelligemment les risques douaniers et
atteindre leurs objectifs. Dans un même temps, elles abandonneraient leur image d’administration
publique traditionnelle pour devenir des institutions solides. Le Recueil sur la gestion des risques
passe en revue les principales caractéristiques de la gestion moderne des risques douaniers. Il aide
la douane et encourage la coopération entre services douaniers.
I/2.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
comprend des activités comme celles associées au dépôt rapide et précis d’informations pour l’éva-
luation des risques, l’intervention aussi tôt que possible dans la chaîne logistique pour les transac-
tions à haut risque, l’autoévaluation et la vérification après entrée pour les risques plus faibles et la
capacité d’enquêter lorsqu’un cas de non-respect de la loi ou une fraude est détecté.
La technologie disponible est un facteur servant à améliorer de manière significative la capacité
d’une administration à adopter ce type d’approche9. L’automatisation permet de contrôler de grandes
quantités d’informations, avec efficacité et en temps opportun, sur la base de critères de risques
prédéterminés fondés sur le renseignement et d’aider la prise de décisions concernant les risques
élevés ou faibles. De la même manière, les technologies de pointe et, surtout, les technologies d’ins-
pection non intrusives, lorsqu’elles sont utilisées sur la base d’une évaluation de risques, peuvent
améliorer l’efficacité des activités d’inspection et accélérer la mainlevée. Tous les éléments ci-des-
sus correspondent aux normes et aux directives de la Convention de Kyoto révisée, du Cadre de
normes SAFE ainsi que de la stratégie de la douane au 21e siècle, qui, groupés, fournissent les
éléments constitutifs clés d’une administration moderne des douanes.
Une stratégie efficace de gestion du respect de la loi basée sur les risques reconnaît que les caté-
gories de clients décrites appellent des réponses différentes. Stimulations et procédures simplifiées
doivent être appliquées à ceux qui se conforment volontairement (faible risque), une assistance sur
le plan du respect de la loi à ceux qui essaient de se conformer, mais n’y parviennent pas forcément,
un respect de la loi dirigé à ceux qui tentent de ne pas respecter la législation et un respect de la loi
imposé à ceux qui refusent délibérément de se conformer à la loi (risque élevé). Affecter le compor-
tement des clients en orientant activement les usagers vers des risques faibles permettra à la
douane de concentrer ses ressources en matière de contrôle sur les risques élevés. Le diagramme 1
illustre un exemple de modèle de gestion du respect de la loi.
Catégories de clients Conformité volontaire Conformité assistée Conformité dirigée Conformité imposée
Personnes souhaitant se Personnes essayant de Personnes qui Personnes refusant
conformer se conformer mais n’y éviteront de se délibérément de se
parvenant pas toujours conformer si elles conformer
le peuvent
I/3.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
frontières (entrants et
sortants)
• Informations tirées des
déclarations en douane
Évaluation • Intuition du personnel de • Compiler des • Approche axée • Évaluer les risques et
Évaluation du niveau de première ligne informations sur le sur la résolution les besoins en
risque posé par les • Profils des renseignements comportement des des problèmes de informations, liés à la
personnes, les • Inspections aléatoires clients conformité gravité de l’infraction
marchandises, les envois statistiquement valables • Identifier et contrôler • Enquête • Enquête
et les moyens de des tendances de
transport arrivant et conformité
sortant
Direction vers laquelle les douanes souhaitent orienter les voyageurs et les entreprises
Dans le contexte douanier, le contrôle et la gestion des risques liés aux marchandises, aux moyens
de transport et aux personnes commencent au point d’exportation ou de départ, se poursuivent au
travers de contrôles continus au point d’importation ou d’arrivée et, au-delà, par le contrôle a poste-
riori. Une approche moderne de gestion du respect de la loi est consciente que les stratégies d’at-
ténuation des risques peuvent et doivent être appliquées à l’ensemble de la chaîne logistique. Elle
reconnaît également qu’une combinaison de mesures multiples aboutit souvent à de meilleurs ré-
sultats et à une utilisation plus efficace des ressources. Lorsque des dispositions légales, technolo-
giques et opérationnelles appropriées sont établies, une approche à niveaux multiples peut égale-
ment faciliter l’identification des risques, la coordination de la réaction et la collaboration au sein des
gouvernements et entre ces derniers. Le terme « niveaux multiples » est utilisé pour inclure l’en-
semble du processus de prise de décisions et d’autres activités pouvant être menées par les
douanes dans le cadre du continuum de la chaîne logistique.
1. Aperçu
Au sein des administrations, une approche de la gestion des risques exige une gestion des risques
s’appuyant sur une approche plus holistique allant du Directeur général aux services extérieurs. Il
n’est plus suffisant de gérer les risques au niveau de chaque activité ou en silos fonctionnels. Une
approche holistique de la gestion du risque nécessite une évaluation continue des risques potentiels
pour une administration à tous les niveaux, puis l’agrégation des résultats au niveau administratif
afin de faciliter l’établissement de priorités et d’améliorer la prise de décision. L’identification, l’éva-
luation et la gestion des risques au sein d’une administration permettent de révéler l’importance de
l’ensemble, la somme des risques et l’interdépendance des parties.
I/4.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Une gestion holistique du risque nécessite une structure administrative de gestion des risques solide
et rigoureuse, à même d’habiliter les fonctionnaires à tous les niveaux de l’administration à prendre
des décisions basées sur les risques de manière structurée et systématique. La structure permet
d’aligner les activités de gestion des risques sur les objectifs généraux, l’orientation collective, la
direction stratégique, les pratiques opérationnelles et la culture interne d’une administration. Afin de
garantir la prise en compte de la gestion des risques en matière d’établissement de priorités et d’af-
fectation des ressources, celle-ci doit être intégrée dans les structures existantes de gouvernance
et de prise de décision aux niveaux opérationnel et stratégique. Une fois cette tâche réalisée, tous
les fonctionnaires au sein de l’administration sont impliqués dans la gestion des risques10.
Il existe diverses manières d’aborder l’établissement d’une structure administrative de gestion des
risques. Le Cadre SAFE comporte cinq éléments clés. En général, la structure comprend cinq élé-
ments clés, à savoir, le mandat et l’engagement, les dispositions administratives de gouvernance
des risques (conception de la structure), la mise en œuvre et la pratique de la gestion, du contrôle
et de l’examen des risques, et enfin le développement continu. Le diagramme 2 illustre ces éléments
et leurs interconnexions. Diagramme 2.
Intégration
dans la planification
stratégique
Conception
Amélioration
sur la base de la
par des décisions stratégieet des
de gestion éclairées Leadership et objectifs de
l’administration
engagement
Évaluation
Mise en œuvre
sur la base des
par une articulation et
indicateurs de risque
une communication
et par une mesure
claires
de la performance
I/5.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Un mandat et un engagement de haut niveau sont essentiels à une gestion des risques efficace. La
gestion des risques sera rarement efficace si elle n’est pas appuyée par le plus haut niveau de
l’administration. Le Directeur général et les cadres supérieurs doivent établir la politique, les objectifs
et les prérogatives concernant la planification, le déploiement des ressources et la prise de décisions
reposant sur la gestion et l’évaluation des risques.
Lors de l’adoption de la gestion des risques, tous les niveaux de l’administration se doivent d’adhérer
à plusieurs principes d’orientation généraux. Ces principes constituent la base de la gestion des
risques et devraient être pris en considération au moment de la conception du cadre et des procé-
dures de gestion des risques de l’administration. Ils doivent permettre aux administrations doua-
nières de gérer les effets de l’incertitude à l’égard des objectifs.
Une compréhension claire de l’environnement opérationnel constitue une étape importante dans la
conception de la structure de la gestion des risques organisationnels. En effectuant une étude envi-
ronnementale, une administration peut identifier divers facteurs et risques externes et internes qui
influencent la manière dont elle peut atteindre ses objectifs. Les facteurs externes à prendre en
compte peuvent inclure diverses considérations politiques, économiques, sociales, environnemen-
tales et technologiques. Pour définir le contexte interne de la gestion des risques, il convient de
réfléchir à la structure générale de cette gestion, aux structures existantes de gouvernance et de
responsabilité, aux parties prenantes, aux valeurs et à l’éthique, à l’environnement de travail opéra-
tionnel, à la culture et aux tolérances en matière de gestion des risques au plan individuel et orga-
nisationnel, à l’expertise et aux pratiques existantes de gestion des risques, aux types de flux d’in-
formations et aux systèmes utilisés ainsi qu’aux politiques, procédures et processus locaux et orga-
nisationnels.
Dans de nombreuses administrations, les pratiques et les processus de gestion existants compren-
nent des éléments de gestion des risques. Avant de commencer à concevoir la structure, l’adminis-
tration doit examiner et évaluer de manière critique les éléments qui sont déjà en place. Lors de
l’évaluation de la capacité interne de gestion des risques, il importe d’examiner le mandat, la gou-
vernance et les structures de prise de décision, les processus de planification, l’infrastructure ainsi
que les ressources humaines et financières. Cet examen doit fournir une appréciation structurée des
éléments suivants :11
la maturité12, les caractéristiques et l’efficacité de la culture et des systèmes existants de
gestion des opérations et des risques ;
le degré d’intégration et de cohérence de la gestion des risques tant au sein de l’administra-
tion que dans les différents types de risques ;
les processus et les systèmes à modifier ou à élargir ;
les contraintes qui pourraient limiter l’introduction d’une gestion systématique des risques ;
et
I/6.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Chaque administration des douanes devra établir sa politique unique de gestion des risques, qui
prendra en compte ses objectifs et ses buts stratégiques en mettant en œuvre des plans proportion-
nels. L’énoncé de la politique de gestion des risques doit clairement décrire les intentions et les
orientations générales de l’administration concernant la gestion des risques. Ensemble, la politique
de gestion des risques et un plan organisationnel de gestion des risques qui spécifiera l’approche,
les composantes de gestion et les ressources à allouer à la gestion des risques, devront inclure au
minimum les éléments suivants :
les liens entre les buts et objectifs organisationnels et les risques ;
les raisons et engagements en matière de gestion des risques (stratégie face aux risques) ;
les liens entre gestion des risques et processus de planification stratégique ;
le niveau et la nature des risques qui sont acceptables (appétence/tolérance aux risques) ;
l’organisation et les dispositions en matière de gestion des risques ;
les informations sur l’identification des risques et les techniques d’évaluation ;
la liste des documents pour l’analyse et le signalement des risques ;
les exigences pour l’atténuation des risques et les mécanismes de contrôle ;
les responsabilités spécifiques dans la gestion des risques (à savoir, les propriétaires de
risques) ;
les critères de mesure des résultats de la gestion des risques ;
l’affectation de ressources spéciales à la mise en œuvre de la politique de gestion des
risques ;
la communication interne et externe ainsi que les systèmes et plans de rapports ; et
le calendrier de révision périodique de la politique de gestion des risques et des plans con-
nexes.
Une politique efficace de gestion des risques contribuera à :
un environnement de gestion des risques durable et transparent ;
un environnement dans lequel tous les employés assument la responsabilité de gérer les
risques et prennent des décisions basées sur une évaluation saine des risques ;
un déploiement efficace des ressources ;
une culture de contrôle et d’évaluation continus menant à une meilleure capacité opération-
nelle ; et enfin,
l’assurance que l’administration douanière peut réagir et reprendre ses activités rapidement
et efficacement lorsque les risques deviennent réalité.
I/7.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Une administration doit s’assurer que les responsabilités, l’autorité et la compétence en matière de
gestion des risques sont clairement définies. Conférer des responsabilités et des prérogatives per-
mettant de gérer les risques constitue un aspect clé de l’intégration de la gestion des risques dans
une culture organisationnelle.
Définir les responsabilités consiste à identifier et à attribuer des responsabilités au niveau organisa-
tionnel pour le développement, la mise en œuvre et la tenue à jour de la structure de gestion des
risques, et à définir les propriétaires de risques pour différents risques clés au sein de l’administration
douanière.
De manière générale, en matière de propriété de risques, tous les fonctionnaires d’une administra-
tion sont en principe responsables de l’identification et de la gestion des risques. S’agissant des
missions formelles au sein d’une administration, on peut définir les responsabilités suivantes :
I/8.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Les cadres supérieurs « possèdent » les risques spécifiques à leurs domaines individuels et
sont responsables de la gestion des risques de chaque division opérationnelle. Les cadres
supérieurs jouent un rôle moteur et apportent un soutien pour permettre l’intégration des
objectifs et des principes de gestion des risques au sein de leurs divisions opérationnelles.
Ils s’assurent également que les domaines prioritaires de leurs activités bénéficient des res-
sources appropriées en fonction des priorités de l’administration, et que les plans d’identifi-
cation, d’évaluation et de traitement des risques sont incorporés dans les processus de pla-
nification et d’établissement des objectifs. Il incombe également aux cadres supérieurs de
s’assurer qu’il existe en matière de renseignement une capacité suffisante pour évaluer de
manière efficace les risques aussi bien stratégiques qu’opérationnels, et que les cadres et
le personnel disposent des outils leur permettant de gérer les risques.
Il incombe aux cadres de gérer les risques dans leurs domaines respectifs de responsabilité.
Ils doivent veiller à ce que les domaines prioritaires relevant de leur sphère de compétence
bénéficient des ressources nécessaires et que les procédures et les systèmes opérationnels
sont efficaces et fonctionnent efficacement. Il incombe aux cadres et au personnel d’enre-
gistrer les risques clés et de décrire la situation des risques dans leurs domaines en identi-
fiant et en documentant les informations détaillées concernant l’évaluation et le traitement,
afin de fournir une piste de vérification. Ils doivent également veiller à l’alimentation des
systèmes de rapport et s’assurer que la documentation relative aux risques est pertinente et
à jour. Les cadres doivent en outre s’assurer que le personnel est formé, guidé et soutenu
en continu et qu’il dispose des outils lui permettant de gérer les risques survenant dans son
domaine d’activité.
Le personnel des services extérieurs est essentiellement responsable des interventions. Il
faut donc que l’ensemble du personnel connaisse et comprenne la législation, les compé-
tences déléguées et les prérogatives dont il dispose. Il doit également suivre les instructions,
politiques et procédures et identifier les risques et opportunités dans son domaine d’activité,
y compris l’évaluation des conséquences possibles et la prise de mesures appropriées visant
à réduire les risques. Les réactions en retour du personnel et les interventions des services
extérieurs constituent un aspect essentiel pour actualiser en permanence la structure de la
gestion des risques en fonction de l’environnement des opérations et des risques.
I/9.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Selon les structures et les dispositions organisationnelles, certaines entités particulières assument
parfois des responsabilités collectives en matière de gestion des risques. Il peut s’agir d’un comité
de gestion des risques, d’une unité centrale de gestion des risques et/ou d’un centre d’évaluation
ou de ciblage des risques.
Un comité de gestion des risques est en général créé pour être responsable de la supervision et des
rapports présentés aux cadres dirigeants et au Directeur général. Le comité établit un rapport indi-
quant si la structure de la gestion des risques est efficace et si elle est respectée par l’administration
conformément à sa politique. Les fonctions du comité de gestion des risques doivent généralement
comprendre les éléments suivants :
préparation et conseils relatifs au goût, à la tolérance et à la stratégie en matière de risques,
destinés aux cadres dirigeants et au Directeur général ;
examen des rapports de gestion des risques pour les risques de haut niveau, notamment les
risques stratégiques qui influent sur la prise de décisions à long terme ;
analyse du processus de gestion des risques et de son efficacité ; et
révision des contrôles organisationnels internes et de leur efficacité.
En fonction du degré de maturité de la gestion des risques, certaines administrations réorganisent
les dispositions relatives aux divisions associées à l’évaluation des risques et aux activités liées au
renseignement. Une unité centrale de gestion des risques et/ou un centre de ciblage ou d’évaluation
des risques sont souvent responsables de la collecte et de l’analyse des informations, ainsi que de
l’évaluation des informations brutes. L’évaluation qui en résulte dans un contexte opérationnel fournit
des indicateurs et des profils de risques pour les marchandises, les personnes, les moyens de trans-
port et les opérateurs économiques. Les fonctions des centres d’évaluation et de ciblage des risques
sont examinées plus en détail à l’annexe 4.
2.5 Ressources
Il importe de s’assurer que des ressources suffisantes sont affectées à la gestion des risques. Les
administrations doivent analyser quels sont les types de personnes, de capacités, d’expérience et
de compétences nécessaires pour doter en personnel les fonctions liées à la gestion des risques.
Les cadres et le personnel doivent recevoir la formation adéquate afin d’être compétents dans tous
les aspects de la gestion des risques et ils doivent pouvoir s’appuyer sur des programmes et des
formations consacrés à l’éthique douanière. L’automatisation est une composante de plus en plus
importante de la collecte, de la comparaison et de l’analyse des données et des informations. Les
administrations doivent évaluer leur capacité en matière de TIC (technologies de l’information et de
la communication) et s’assurer que les outils appropriés sont disponibles pour mener une évaluation
des risques appropriée et fournir ainsi à l’administration à tous les niveaux de bons produits de
gestion des risques à même d’identifier les risques organisationnels et de recommander les traite-
ments à effectuer.
I/10.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
I/11.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
et
comment communiquer avec les parties prenantes adéquates en cas de crise ou d’événe-
ment imprévu.
Lors de la mise en œuvre de la structure, il est important de disposer d’un plan et d’une stratégie de
mise en œuvre détaillés. Ce plan doit décrire la mise en œuvre des dispositions organisationnelles
et définir le calendrier et la stratégie associés. La mise en œuvre de cette structure comprend l’ap-
plication de la politique de gestion des risques aux activités organisationnelles.
Adopter un processus de gestion des risques commun, continu et systématique offre une méthodo-
logie normalisée pour la mise en œuvre pratique de la gestion des risques. Le processus est une
méthodologie cyclique comportant des étapes bien définies qui appuient de manière plus efficace la
prise de décision en fournissant un aperçu des risques et de leur impact. Il est important que le
processus de gestion des risques soit appliqué à tous les niveaux de l’administration. Les étapes du
processus sont décrites dans le diagramme 3.
Tout effort visant à gérer les risques consiste d’abord à déterminer ce qui doit être géré. Cette étape
définit le contexte dans lequel les risques seront gérés ; elle a pour objet de formuler clairement et
I/12.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
de clarifier les objectifs et les risques examinés13. Déterminer ce qui doit être géré permet d’établir
les paramètres pour le reste du processus de gestion des risques. Les questions suivantes peuvent
être utilisées pour déterminer le contexte, en décrivant tant les aspects internes qu’externes :
Quels sont les objectifs dans le contexte où le processus de gestion des risques se déroule ?
Quel est l’environnement opérationnel ?
Quelles sont les capacités et ressources disponibles pour gérer les risques ?
Quels sont les critères utilisés pour évaluer les risques et déterminer si un contrôle supplé-
mentaire est requis ?
Quelles sont la portée et les limites de la gestion des risques ?
Quelles sont les attentes des parties prenantes telles que le gouvernement, les communau-
tés affectées, les opérateurs et d’autres groupes du secteur privé ?
Quels sont les autres détails connus au sujet du processus ou de l’activité ?
Un résultat de cette phase doit être l’énoncé du contexte opérationnel environnemental qui com-
prend une indication claire des objectifs (« le risque à quoi ») et des domaines à risque, et définit les
critères et les paramètres pour la phase d’évaluation des risques.
Les administrations douanières doivent réunir les informations nécessaires à la gestion des
risques et peuvent, pour se faire, compter sur diverses sources parmi lesquelles les autres
administrations douanières, les services frontaliers concernés, le secteur privé et les États
limitrophes.
Les administrations douanières sont invitées à tisser des liens de collaboration avec ces services
et, pour pouvoir échanger des données, elles pourraient envisager de prendre des arrangements
tels que des protocoles d’accord, des accords bilatéraux et régionaux de coopération douanière
ou des accords d’assistance mutuelle administrative. Ces outils peuvent offrir une plus grande
sécurité juridique souvent impérative dans le cas d’échanges de données sensibles.
Par des échanges d’informations plus amples et soutenus, les services frontaliers auront une
meilleure connaissance des risques aux frontières. Dès lors, les administrations douanières
devraient coopérer davantage avec les autres services aux frontières, que ce soit sur le plan
central, régional ou local. Les acteurs extérieurs détiennent également des informations
précieuses pour la gestion des risques douaniers et les données et informations communiquées
par le secteur privé peuvent améliorer la gestion des risques et permettre de les atténuer à un
stade précoce dans la chaîne logistique tout en évitant au maximum de perturber inutilement les
pratiques commerciales normales.
Ces informations peuvent venir compléter les données exigées par la réglementation en vigueur pour
différents types de déclarations et procédures, qu’il s’agisse des renseignements préalables
concernant les envois postaux, des données électroniques de sécurité du fret maritime/aérien avant
chargement ou du dossier passager pour les voyageurs, voire encore d’autres renseignements
disponibles au format électronique utilisés par la douane et les autres services frontaliers
responsables du contrôle des marchandises et des personnes aux frontières.
11. Le contexte peut, par exemple, être l’administration dans son ensemble, l’une de ses fonctions clés, un processus, un projet, un lieu spécifique, un
groupe de transactions frontalières, etc.
I/13.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Les données recueillies par les différents canaux seront traitées et stockées dans les bases de
données des services douaniers ou dans des bases de données auxquels ils ont accès. Elles
seront ensuite utilisées ou rendues disponibles dans le cadre de la procédure de gestion des
risques. Le Modèle de données de l’OMD et d’autres normes internationales (telles que les
normes CEFACT-ONU) sont des outils essentiels pour une collaboration numérique fiable,
harmonisée et normalisée. L’harmonisation est d’ailleurs une étape importante dans la facilitation
des échanges, l’utilisation des technologies modernes de communication et d’information et la
mise en place d’un environnement de guichet unique. Elle ouvre également de nouvelles
possibilités de mise en réseau aux fins de la gestion coordonnée des frontières.
En terme opérationnel, l’aide qu’apporte le renseignement permet de plus en plus d’adopter une
démarche moderne de gestion des risques douaniers. La méthode de gestion des risques
fondée sur le renseignement permet de croiser les informations et les connaissances acquises
par la douane à l’aide d’une approche systématique d’identification et de traitement des risques
les plus dommageables. Cette procédure est cruciale dans la mesure où les risques de niveau
élevé qui sont identifiés sont bien plus nombreux que ce que pourrait faire la douane avec les
ressources et la capacité de réponse dont elle dispose. Les rapports d’évaluation des risques
aident les dirigeants à déterminer l’ordre de priorité des risques à traiter et partant, à définir leur
politique de mobilisation et de déploiement des ressources douanières.
Les conventions internationales et les outils de l’OMD jouent aussi un rôle important dans la
coopération mondiale pour la lutte contre la fraude. Le Réseau de lutte contre la fraude douanière
(CEN) de l’OMD est un outil mondial d’information et de renseignement en matière de lutte contre
la fraude auquel les services douaniers et les Bureaux régionaux de liaison chargés du
renseignement de l’OMD peuvent faire appel. Les données peuvent être compilées, analysées et
complétées à l’aide de ce réseau, qui permet également de diffuser des renseignements sur les
tendances, les modes opératoires, les itinéraires et les cas de fraude importants.
Les risques ne peuvent pas être analysés ou gérés avant d’être identifiés et décrits de manière
compréhensible. La phase d’identification des risques identifie et enregistre tout risque possible en
utilisant un processus systématique pour identifier quels risques pourraient survenir, pourquoi et
comment, formant ainsi la base d’une analyse complémentaire. Quelques-unes des questions po-
sées dans cette phase pourraient inclure :
Quelles sont les sources du risque ?
Quels risques pourraient survenir, pourquoi et de quelle façon ?
Quels contrôles pourraient détecter ou prévenir ces risques ?
Quels sont les contrôles et mécanismes de responsabilité -internes et externes- établis ?
Quelles sont la nature et la mesure des recherches à effectuer au sujet des risques spéci-
fiques ?
Jusqu’à quel point les informations sont-elles fiables ?
Les activités d’identification des risques à différents niveaux de l’administration doivent être étroite-
ment interconnectées. Une fois que les risques stratégiques d’une administration ont été identifiés,
I/14.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
ils sont remis au personnel d’encadrement qui affine davantage les risques stratégiques généraux
et détermine les domaines d’action prioritaires au sein de leurs domaines de compétence. Une fois
ces décisions prises et ces priorités attribuées, les cadres opérationnels peuvent entreprendre le
processus consistant à identifier des cas spécifiques au sein de leur domaine de compétence en
vue de prendre des mesures complémentaires. À chaque étape du processus, l’étendue du risque
géré est progressivement réduite et le risque est géré à un niveau approprié au sein de l’administra-
tion.
Le résultat du processus d’identification des risques est un registre qui documente les risques et
garantit que la totalité de l’éventail des risques est prise en compte. Il existe de nombreuses ma-
nières différentes de concevoir un registre des risques. L’annexe 1 offre des exemples de modèles
de registre des risques.
Diagramme 4. Exemple modèle de gestion des risques à trois niveaux (à des fins d’illustration
exclusivement)
I/15.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Élevé (Probable) Susceptible de se produire ou plus de 20 % S’est produit au cours des 12 derniers mois
de chance que ce soit le cas
Faible (Distant) N’est pas susceptible de se produire et Ne s’est pas produit au cours des 3 der-
moins de 5 % de chance que cela soit la cas nières années ou plus
Ne s’est pas produit dans un autre pays
membre au cours des 2 dernières années
Compte tenu des avis de tolérance par le biais de la matrice 3x3 (élevé, moyen, faible), le dia-
gramme 6 propose des descriptions et des indicateurs possibles pour estimer les conséquences
d’un risque qui se produirait.
Élevé (Grave) Si un risque préjudiciable se présente, il Ramifications à long terme d’un gouver-
pourrait en résulter une crise communau- nement ou d’une organisation
taire, économique ou politique grave
Moyen (Gérable) Un risque préjudiciable pourrait entraver Préjudice à la capacité de satisfaire aux
les flux de travail et porter préjudice à la objectifs et aux engagements organisa-
communauté ou à l’entreprise tionnels envers le gouvernement, la com-
munauté et l’entreprise
Faible (traitement dans Un risque préjudiciable causerait des re- L’avènement d’un risque préjudiciable
workflows existants) tards mineurs à la fourniture du service peut être absorbé dans les procédures
opérationnelles standard
Il convient de répéter cet exercice de manière continue (chaque année dans le contexte de la division
organisationnelle et opérationnelle), ce qui entraîne normalement des changements quant au niveau
de risque estimé. Ces changements s’expliquent par le traitement et les mesures de prévention
mises en place. Par exemple, la modification d’une législation ambiguë réduira la marge d’interpré-
tation et par conséquent la probabilité qu’un événement préjudiciable se produise. Cela entraînera
alors un risque moindre par rapport à la période précédant la mise en œuvre de cette mesure pré-
ventive, etc.
I/16.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
1.3 Intégrité F F
2.2 ADM F E
2.3 DPI M F
3.3 Défaillance de la TI F E
Cette étape consiste à comparer les risques évalués à des critères d’importance déterminés à
l’avance. En considérant le niveau de chaque risque tel que décrit par l’équipe dirigeante dans la
matrice, il est possible d’évaluer et de hiérarchiser les principaux risques à analyser de manière plus
approfondie. Cela permettra ensuite le déploiement proportionnel des ressources afin de se préparer
au risque, de le prévenir et d’y faire face.
À des fins d’illustration, ce diagramme présente l’exemple d’une matrice simple d’importance 3x314.
12. Certains Membres pourraient éprouver le besoin d’estimer la tolérance de façon plus détaillée au-delà des qualificatifs « élevé, moyen ou faible ».
Le Recueil sur le renforcement des capacités contient des exemples d’une matrice 4x4 et d’une matrice 5x5. Dans le cas d’une matrice 5x5, les
tolérances peuvent être exprimées comme étant mineures, acceptables, tolérables, majeures et inacceptables. Une autre méthode d’expression du
risque consiste à utiliser un système de « feux de signalisation », c’est-à-dire rouge pour élevé, orange pour moyen et vert pour faible. Un système
reposant sur l’informatique pourrait appliquer une valeur numérique telle qu’un classement de 1 à 100.
I/17.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
L’évaluation permet à la douane de mieux comprendre les risques. Le processus consiste à décider
si le risque est tolérable (acceptable) et à aider à déterminer le degré d’imminence selon lequel le
risque pourrait survenir. Les décisions concernant les risques à traiter et ceux à surveiller seront
potentiellement affectées par de nombreux autres éléments, notamment :
les compétences internes ;
la capacité interne ;
s’il existe une capacité efficace à procéder au traitement ;
le classement/niveau du risque ;
le retour de traitement ;
les effets sur la réputation ; et
les coûts/avantages des traitements proposés (il s’agit d’une remontée d’information de
l’étape suivante).
Ces éléments forment la base sur laquelle l’efficacité des stratégies de traitement sera en fin de
compte évaluée. Notez que dans l’exemple du diagramme 7, il peut être nécessaire de grouper un
résultat de tolérabilité et d’y ajouter des critères de réaction spécifiques pour différentes catégories.
I/18.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Le résultat du processus d’évaluation et de hiérarchisation des risques devrait être un registre des
risques qui a été quantifié et hiérarchisé en fonction du niveau de risque, en établissant un lien entre
les risques et les propriétaires des risques chargés de les atténuer et de les contrôler.
Des technologies de pointe telles que l’intelligence artificielle (IA) peuvent aider les administrations
douanières à traiter rapidement d’énormes quantités de données et à les analyser avec plus d’exac-
titude tout en respectant la confidentialité, la vie privée, les données et les conditions de procédure.
Toutes les étapes de la gestion des risques peuvent devenir plus efficaces grâce à l’IE et cette
technologie devrait permettre de réunir automatiquement des renseignements précieux pour l’iden-
tification des risques à partir d’informations provenant de sources ouvertes. L’IA peut effectuer les
étapes simples, mais néanmoins laborieuses, de l’analyse des risques (telles que l’organisation et
le nettoyage des données) et cette technologie peut calculer des schémas potentiels de contrebande
et autres infractions à la réglementation douanière à partir des bases de données douanières qui
regroupent les cas passés et d’autres renseignements.
13. Parfois, des risques susceptibles d’avoir une conséquence extrême, mais dont l’occurrence est très peu vraisemblable, peuvent également être
tolérés après la mise en place d’une planification adéquate d’urgence et de reprise des activités. Cela peut être dû au fait qu’il n’existe pas de mesures
de contrôle pour ces types de risques, par exemple les catastrophes naturelles. A risk of a natural disaster could qualify as an example of this type of
risk.
I/19.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
que le fait de transférer le risque ne signifie pas nécessairement en transférer la responsabilité. Dans
le premier exemple ci-dessus, si le risque se réalise, le responsable du service des opérations peut
toujours être tenu responsable du risque, même si c’est le service de la TI qui le traite.
14. Des informations plus détaillées sur les mesures de respect de la loi figurent à l’Annexe 2.
I/20.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
15. Cette tâche est importante car, si les traitements sont efficaces, ils pourraient avoir un impact sur les tendances des risques et devenir moins
importants, voire redondants. Par exemple, si un traitement des risques implique le recrutement d’auditeurs expérimentés dans l’organisation en vue
de combattre un type particulier de fraude, on peut s’attendre à ce que le recrutement continu ne soit pas nécessaire et à ce qu’une méthode alternative
de maintien des niveaux de compétence (par ex. une formation supplémentaire ou un tutorat en cours d’emploi pour des employés moins
expérimentés) soit plus pertinente.
I/21.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
3.1 Introduction
Intégrer la gestion des risques en tant que culture de l’administration n’est pas toujours un processus
simple. Les expériences rapportées par des Membres indiquent que cela peut prendre plusieurs
années et demander un engagement fort et constant de la direction et du personnel à tous les
échelons.
Plusieurs difficultés peuvent surgir lors du développement d’un modèle efficace de gestion des
risques au sein du cadre douanier ou en dehors. Comprendre ces difficultés, les reconnaître et y
réagir rapidement sont des facteurs qui influent directement sur l’aptitude des dirigeants de
l’administration douanière à ériger un système très efficace de gestion des risques.
Il est dit au Chapitre 2 (« Concevoir une structure administrative pour gérer les risques ») qu’une
approche holistique de la gestion des risques passe par l’évaluation permanente des risques que
peut courir l’administration à tous ses niveaux, ainsi que par l’agrégation des résultats de
l’administration tout entière pour pouvoir fixer plus aisément les priorités et améliorer le processus
décisionnel. L’identification, l’évaluation et la gestion des risques à tous les échelons de
l’administration permettent de comprendre le tout, de se rendre compte de la somme des risques et
de l’interdépendance des parties.
Pour gérer les risques de façon globale, il faut que l’organisation dispose d’un cadre de gestion des
risques solide et rigoureux à l’aide duquel les fonctionnaires à tous les échelons de l’administration
peuvent prendre des décisions structurées et systématiques fondées sur le risque. Ce cadre permet
d’aligner les activités de gestion des risques sur les objectifs généraux de l’administration, sa
politique, sa direction stratégique, ses pratiques opérationnelles et sa culture interne.
Par conséquent, en définissant un cadre de gestion des risques régulièrement mis à jour,
l’administration pourra inscrire la gestion des risques dans sa culture d’entreprise.
Mais une gestion des risques efficace ne peut se faire isolément. Elle doit s’inscrire dans les
structures et les processus de prise de décision en vigueur. La gestion des risques étant une
composante essentielle de la bonne gestion, en l’intégrant aux mécanismes de gestion stratégique
et d’évaluation de la performance, ainsi qu’aux processus opérationnels, elle finira par faire partie
intégrante des activités quotidiennes de l’administration.
La maturité de la gestion des risques est un autre outil qui peut aider les administrations à inscrire
la gestion des risques dans leur culture d’entreprise et à améliorer le système de gestion des risques.
I/22.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Lors de la sélection d’un modèle de maturité, les administrations doivent concevoir des indicateurs
de mesure pour les attributs clés utilisés dans le modèle. Le processus de mesure lui-même peut
être qualitatif ou quantitatif, ou présenter ces deux aspects. Si des mesures quantitatives sont
utilisées, il est important de s’assurer que des données adéquates sont disponibles à l’appui de ces
mesures et que les outils d’analyse requis existent.
Les outils de mesure reposent sur les indicateurs que l’administration souhaite utiliser et incorporer
dans l’évaluation de ses performances. Les indicateurs permettant une mesure quantitative
peuvent souvent être appuyés par une analyse et une manipulation des données, y compris une
analyse statistique, etc. Pour l’analyse qualitative, des outils tels qu’entretiens, questionnaires,
enquêtes, audits, etc. peuvent être utilisés
Niveau 5
Niveau 4
Niveau 3 Incorporée et
Adoptée et
Niveau 2 optimisée
Définie mise en œuvre
Niveau 1 Conscience Continuellement
Politiques et Globale
Initiale Certaines améliorée
processus Capacité
Plusieurs dispositions Intégrée
Technologie renforcée
attributs institutionnelles Opportunités et
plus Mesure des
clés sont et risques positifs
homogène PON
absents infrastructure
I/23.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
Niveau 1
Le niveau 1 est le stade initial de la maturité de la gestion des risques. A ce premier niveau,
l’administration prend davantage conscience du déséquilibre existant entre les ressources
disponibles et la demande. Le processus, les procédures et les techniques formels de gestion des
risques peuvent ne pas être bien compris, même si la langue et la terminologie sont connues. À ce
stade, il n’existe généralement pas de mandat de haut niveau aux fins de la gestion des risques. Le
risque peut alors être géré sur une base ad hoc, la gestion des risques n’étant alors pas appliquée
aux programmes et aux processus opérationnels de l’administration.
Niveau 2
A ce niveau de maturité, l’administration est consciente qu’il est important de gérer les risques. Elle
connaît ses parties prenantes et leurs besoins. La gestion des risques bénéficie d’un mandat et d’un
engagement de haut niveau. Le concept et les avantages de la gestion des risques sont compris
aux niveaux concernés de l’administration. Les responsabilités en terme de risques sont définies et
une infrastructure organisationnelle initiale pour la gestion des risques est en cours de conception.
Toutefois, l’approche générale à l’égard de la gestion des risques se caractérise toujours par son
caractère plutôt intuitif.
Niveau 3
Au troisième niveau, les risques sont bien définis et l’approche de gestion des risques est normalisée
et rigoureuse. L’infrastructure de la gestion des risques est bien établie et comprend une politique,
des procédures, des responsabilités et une culture. Des plans opérationnels, y compris des risques
bien identifiés et leurs stratégies de gestion, sont également définis. Les différents ressources et
outils nécessaires à une analyse efficace sont identifiés et conçus, et la gestion des risques fait
régulièrement l’objet d’une formation et d’une sensibilisation. Les activités opérationnelles sont
souvent appuyées par une fonction ou des facilités spécifiques de gestion des risques, qui
garantissent l’uniformité de l’application de la gestion des risques.
Niveau 4
Au quatrième niveau de maturité, les risques sont gérés de manière efficace. La gestion des risques
est intégrée dans tous les processus organisationnels. Les pratiques de gestion des risques sont
complètes et une culture saine de la gestion des risques est en place. Il existe une communication
efficace à double sens concernant la gestion des risques qui permet de transmettre les objectifs et
les ressources au niveau inférieur et de répercuter les informations efficaces en retour au niveau
supérieur. Les pratiques et les résultats de la gestion des risques sont mesurés et contrôlés, et
l’approche fait l’objet d’un développement constant.
Niveau 5
Les quatrième et cinquième niveaux sont assez similaires et représentent une maturité très élevée
de gestion des risques. La principale différence entre ces deux niveaux est qu’au cinquième niveau
de maturité, les risques ne sont pas seulement gérés en terme de réduction des résultats négatifs,
mais que la gestion des risques cherche également activement à exploiter les opportunités et les
risques positifs. Les pratiques de gestion des risques sont optimisées et intégrées dans tous les
I/24.
(EC0631EAF1b)
Annexe I au
Doc. EC0631F
_______________
I/25.