Trois principaux messages se dégagent du rapport :
- Le contrôle interne est déployé de manière inégale dans les universités. Le contrôle interne comptable et budgétaire est globalement plus avancé, tandis que le contrôle interne métier demeure plus hétérogène et insuffisamment développé, notamment pour couvrir les processus opérationnels et traiter les risques émergents liés notamment aux menaces cyber. La Cour souligne la nécessité de renforcer l’approche par les risques, en soumettant chaque année au conseil d’administration de l’université une cartographie des risques et un plan d’actions pour y répondre.
- L’animation et le pilotage du contrôle interne restent insuffisants, tant au sein des universités que de la part les tutelles. L’implication des dirigeants et des instances de gouvernance demeure inégale, le contrôle interne étant encore trop souvent cantonné à des spécialistes. La Cour recommande d’en renforcer le pilotage en mettant en place une fonction d’audit interne indépendante rattachée au président de l’université, et appelle le ministère de l’enseignement supérieur et de la recherche à structurer l’animation du contrôle interne métier, sur le modèle du contrôle interne financier.
- Le contrôle interne peut devenir un outil de pilotage de la performance des universités et de prévention des risques de fraude et d’atteinte à la probité. Lorsqu’il couvre l’ensemble des processus et repose sur l’analyse des risques, il favorise la formalisation des pratiques et la diffusion d’une culture de maîtrise des risques.
La Cour formule quatre recommandations invitant notamment les services compétents du ministère de l’enseignement supérieur et de la recherche à réaliser une enquête annuelle sur le déploiement du contrôle interne métier dans les universités et, au sein de chaque établissement, à confier au directeur général des services la responsabilité du pilotage et de l’animation des dispositifs de contrôle interne.
