Comment est organisé le dispositif de contrôle interne de votre établissement (acteurs, instances, modalités de mise en œuvre, outils, etc.) ?

Aurélie Philippe : À Aix-Marseille université, le dispositif de contrôle interne s’articule autour de plusieurs niveaux.
Un comité des risques assure la cohérence avec la stratégie globale de l’université. Il réunit la direction générale des services ainsi que des représentants des directions fonctionnelles et des composantes.
Le pilotage opérationnel est confié à la direction de l’amélioration continue,chargée d’élaborer la feuille de route et d’animer le réseau des référents contrôle interne.
Ces référents, désignés au sein des directions et composantes, déploient le dispositif dans leur périmètre.
L’université s’appuie sur plusieurs outils : une charte du contrôle interne, une feuille de route précisant les rôles et périmètres de chacun et une cartographie des risques structurante.

Claire Costa : Dès sa création en 2020, l’université Paris-Saclay a adopté une approche structurée du contrôle interne fondée sur les processus.
Cette démarche implique l’élaboration d’une cartographie et la modélisation des processus afin d’identifier clairement les acteurs, les responsabilités, les outils utilisés et la fréquence des actions.
Avant le contrôle de l’AFA, l’université repérait déjà les zones de risque associées à chaque processus, mais sans disposer d’un cadre formel de contrôle interne. Le rapport de contrôle et les recommandations de l’AFA ont permis de consolider cette approche, en démontrant la synergie entre la gestion par les processus et la maîtrise des risques.
La gouvernance a ainsi validé une démarche intégrée, couvrant tous les types de risques, non seulement les risques financiers et comptables, mais également ceux liés à la probité et ce sur l’ensemble du spectre d’activité de l’université.
En 2023, cette dynamique a été renforcée par la création d’un poste de contrôleur interne et l’élaboration d’un modèle de cartographie des risques. L’objectif est désormais d’inscrire cette dynamique dans une logique d’amélioration continue, avec une validation par le conseil d’administration.

 Comment la prévention des atteintes à la probité s’articule-t-elle avec la démarche globale de maîtrise des risques/contrôle interne de l’établissement ?

A.P : Depuis le contrôle de l’AFA, les risques d’atteinte à la probité ont été pleinement intégrés au dispositif de contrôle interne existant. Ils ont été ajoutés à la cartographie globale et portent sur cinq grands domaines :

• les risques financiers ;
• les risques liés à la commande publique ;
• les risques liés à la diplomation ;
• les risques liés aux subventions et aux avantages indus ;
• les risques liés aux RH et à la déontologie comme ceux liés aux recrutements, aux concours, aux comités de sélection ou encore aux situations de cumul d’activités et de départs vers le secteur privé.

C.C : L’université Paris-Saclay a choisi d’intégrer la prévention des atteintes à la probité dans sa démarche globale de maîtrise des risques. Plutôt que de traiter ces risques séparément, ils sont identifiés et évalués au même titre que les autres catégories de risques, dans une approche globale et cohérente. Cette intégration se fait à travers le travail mené sur les processus, permettant d’assurer une couverture homogène des risques et d’éviter la segmentation des dispositifs.

 Les actions de maîtrise des risques d’atteinte à la probité ciblent-elles des processus ou activités spécifiques de l’établissement ?

A.P : L’approche est davantage sectorielle que processuelle. Les actions se concentrent sur les cinq domaines mentionnés, avec des mesures spécifiques dans certains secteurs. Par exemple, dans le domaine de la commande publique, des procédures et documents types ont été mis en place pour sécuriser l’activité. Les commissions de marché utilisent désormais des formulaires standardisés, notamment pour attester de l’absence de conflit d’intérêts lors des passations. Ces mesures constituent de véritables contrôles de second niveau.

C.C : Les actions de maîtrise des risques d’atteinte à la probité reposent sur l’analyse et la cartographie des processus. Si la culture du risque est encore en développement à l’université, la démarche par les processus est déjà bien ancrée. Les processus jugés les plus sensibles concernent le recrutement, les contrats de recherche, l’exécution de la dépense et également particulièrement la commande publique, qui est déclinée par exemple en plusieurs sous-processus selon les seuils de marché. Chacun de ces sous-processus comporte des zones de risque et des points de contrôle spécifiques. Ces contrôles constituent un premier niveau de sécurisation, avec l’ambition de renforcer progressivement des contrôles de niveau 2 à mesure que la maturité du dispositif s’accroît.

 Disposez-vous d’indicateurs d’alerte sur les risques d’atteintes à la probité ?

A.P : L’université ne dispose pas encore d’indicateurs strictement formalisés pour mesurer l’impact des actions. Certaines vérifications existent néanmoins dans les processus sensibles (achats, recrutement, jurys de concours). Des check-lists permettent, par exemple, de contrôler l’absence de conflits d’intérêts.
En revanche, l’établissement n’a pas constaté d’augmentation des sollicitations auprès du référent déontologue ni d’alertes particulières. Cela pourrait être interprété comme un indicateur indirect, mais il reste difficile de mesurer objectivement l’appropriation du dispositif, encore récent. La mise en place d’indicateurs pertinents et objectivables constitue un axe de progrès.

C.C : Le dispositif de contrôle interne ne comporte pas encore d’indicateurs d’alerte spécifiques sur les atteintes à la probité, compte tenu du stade de maturité du dispositif. Cependant, le système d’alerte interne constitue une première source d’indicateurs, en permettant la remontée de situations à risque ou avérées.
Ce dispositif contribue à mieux cibler certaines zones de risque, notamment dans les activités exposées liées à la gestion du patrimoine ou à la commande publique.
D’autres indicateurs indirects apparaissent également, comme l’augmentation du nombre de sollicitations adressées à la direction générale pour consulter le code de conduite ou pour des clarifications à la suite de formations et sensibilisations. Le code de conduite, accessible via la page web institutionnelle, présente les risques d’atteinte à la probité, les modalités du signalement interne, les garanties d’anonymat et des fiches thématiques illustrant les comportements à adopter. Ces outils contribuent à développer une culture de vigilance raisonnée, fondée sur la responsabilité plutôt que sur la crainte.

 Identifiez-vous des actions de maîtrise à développer ou à consolider pour répondre aux risques d’atteintes à la probité de votre établissement ?

A.P : Un axe majeur reste à consolider : l’évaluation des tiers. Si un travail a été engagé pour les fournisseurs, il reste à développer dans d’autres domaines, notamment les coopérations internationales et scientifiques. Cet aspect devra être renforcé en lien avec la recherche, en associant la référente déontologue et le vice-président recherche.

 Depuis le lancement de vos actions de prévention et de maîtrise des risques d’atteinte à la probité, avez-vous observé chez les agents de nouveaux réflexes ou des signes d’appropriation de cette culture ?

A.P : On perçoit une évolution, surtout chez les enseignants-chercheurs, qui semblent aujourd’hui plus réceptifs et moins réticents face à ces sujets. La déontologie et la probité suscitent moins de craintes qu’il y a dix ans.
Côté administratif, la sensibilisation progresse grâce aux formations obligatoires. Dans les domaines les plus exposés, comme les achats publics ou les travaux, une vigilance accrue est observable. On constate également une transmission naturelle des bonnes pratiques par les managers et les personnels expérimentés, qui partagent avec les nouveaux arrivants non seulement leur savoir technique, mais aussi les principes de déontologie.
Depuis le rapport de l’AFA en 2021, les actions déployées à partir de 2022-2023 diffusent progressivement une culture de la probité, qui tend à s’ancrer dans le quotidien de l’établissement.

C.C : Plusieurs évolutions concrètes témoignent de cette appropriation.
L’exemple le plus marquant concerne la gestion des cadeaux et invitations : les agents, tant dans les services centraux que dans les composantes, adoptent désormais spontanément une attitude de vigilance et d’interrogation avant d’accepter un avantage. Au sein du cabinet de la présidence, un dispositif de référence a été instauré : les cadeaux sont recensés, répertoriés et conservés de manière encadrée. Cette formalisation illustre la diffusion d’une culture de la probité partagée, reposant sur des réflexes désormais intégrés dans les pratiques professionnelles quotidiennes.
La principale spécificité de Paris-Saclay réside dans la diversité de ses composantes, qui rend l’harmonisation des pratiques plus complexe, notamment sur certains sujets sensibles comme les cumuls d’activités ou les règles de consultance en recherche. Toutefois, la volonté commune de partager des repères et des outils favorise une convergence progressive vers une culture de probité homogène à l’échelle de l’ensemble de la communauté universitaire.

Cet entretien est extrait du dossier Lutte contre les atteintes à la probité.