La cartographie des risques intègre la formalisation du contrôle interne selon 3 niveaux
L’élaboration de la cartographie des risques a permis de renforcer et de mieux cibler les dispositifs de contrôle interne réalisés par les services. La formalisation des contrôles a ainsi pu être déployée en 2021 selon les niveaux suivants :
• Niveau 1, opérationnel : division des tâches, autocontrôle, Contrôle hiérarchique ;
• Niveau 2, contrôle interne : périodique, sur échantillon, par le référent déontologue et par le contrôle de gestion ;
• Niveau 3, audit interne.
Dans le cadre du dispositif de lutte contre la corruption en réponse à la Loi Sapin 2, l’accent a été mis sur les processus comptables et les contrôles en place avec l’accompagnement du cabinet Grant Thornton.
Déontologie et éthique, asseoir des repères collectifs
Dans une volonté croissante d’aller vers l’exemplarité, l’Office a dès 2021, et suite à la mission spécifique d’évaluation du dispositif de détection et de prévention de la corruption réalisé en 2020 par le cabinet Mazars, fixé des orientations figurant dans les objectifs de l’établissement.
Le dispositif existant depuis 2017, a donc évolué en 2021, afin d’asseoir un peu plus les repères collectifs.
C’est en ce sens que la charte éthique a été mise à jour, portant notamment sur les comportements attendus des collaborateurs. Les contrôles comptables anticorruption ont également été formalisés. Les formations des collaborateurs considérés comme les plus exposés aux risques de corruption ont été poursuivies.
Les résultats sur les objectifs :
• Actualisation de la cartographie des risques et de son système de cotation terminés, identification des risques dans chaque processus de l’Office réalisé ;
• Mise en place d’un dispositif d’évaluation des tiers et de sa gouvernance, avec 156 tiers fournisseurs déjà évalués ;
• Formalisation des contrôles comptables spécifiques à la lutte contre la corruption, avec un dispositif opérationnel, décrivant les niveaux de contrôle, les rôles de chacun et leurs interactions. 71 fiches de contrôles ont notamment été formalisées,
• Complétude du questionnaire de l’Agence Française de l’Anticorruption (AFA) : l’ensemble des réponses au questionnaire a été renseigné mettant en évidence des axes de progrès sur 18% des questions.
Sécuriser l’organisme, améliorer la protection des données
En 2021, la déléguée à la protection des données a accompagné les collaborateurs sur l’appropriation de la protection des données dans leurs activités quotidiennes.
La finalité est de garantir une veille attentive de leur part sur ce sujet et de les rendre autonomes sur les données :
• Des partenaires contractuels ;
• Des locataires ;
• Des collaborateurs ;
• Des autres partenaires.
De même, un travail a été réalisé afin de simplifier les clauses sur la protection des données intégrées aux marchés, et sur les données concernant le handicap.
De nouveaux objectifs à l’échelle de l’Office ont également été fixés en 2022 afin de poursuivre la quête d’exemplarité :
• Développer le contrôle interne de niveau 2 ;
• Déployer le dispositif de gestion des conflits d’intérêt sur la base du guide récent de l’Agence Française de l’Anticorruption (AFA) ;
• Poursuivre l’évaluation des tiers et la sensibilisation des collaborateurs.
Sécurité informatique : Le déménagement vers le SPATIUM et le déploiement à large échelle du télétravail lié à la crise sanitaire ont nécessité une adaptation de la stratégie globale de sécurité informatique.
Le panorama des menaces informatiques indique une recrudescence des mails frauduleux ainsi que des piratages de comptes Microsoft Office 365. Le respect d’un niveau de sécurité élevé relève en priorité des bons gestes au quotidien de chaque utilisateur. Les axes clés de la démarche s’appuient donc sur un meilleur accompagnement des collaborateurs.
Le service informatique a poursuivi le déploiement de la sensibilisation et de la formation des collaborateurs, passant notamment par des campagnes de faux phishings, qui ont pour objectif de continuer à alerter face aux risques d’un mauvais usage des mails.
Perspectives 2022 :
• Afin d’élargir le champ de sensibilisation, les techniques de phishing existant également sur smartphone sous forme notamment de SMS frauduleux, des campagnes de simulation de SMS frauduleux seront lancées ponctuellement.
• De même, le dispositif de sensibilisation des collaborateurs sera renforcé avec un parcours d’autoformation en ligne sur les nouveaux risques cyber. Ce parcours sera réalisé systématiquement pour les nouveaux entrants, et fera ensuite l’objet de campagnes mensuelles.