Rapp Nat CI 2014

CCMSA
Contrôle interne
Rapport national de
Contrôle interne
2014
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 2
Sommaire
1ERE PARTIE : MAITRISE DES RISQUES 2014 ................................................................. 11
I. LES OUTILS DU CONTROLE INTERNE MIS EN ŒUVRE PAR L’ORDONNATEUR ............. 13
1.1 LES ACTIONS DE CONTROLE INTERNE (ACI) ............................................................................................................ 13
1.1.1 Les actions de contrôle interne institutionnelles ........................................................................................... 13

1.1.2 Les Actions de contrôle interne locales ........................................................................................................ 19
1.2 GESTION DES HABILITATIONS .................................................................................................................................. 20
1.2.1 Les habilitations données par chaque organisme à ses salariés ............................................................... 21
1.2.2 Les habilitations données par chaque organisme aux personnes extérieures .......................................... 21
1.2.3 Actions de maitrise et perspectives .............................................................................................................. 21
1.3 PLAN DE LUTTE CONTRE LA FRAUDE ....................................................................................................................... 22
1.3.1 Le plan institutionnel de lutte contre la fraude et le travail illégal 2014 ..................................................... 22
1.3.2 Les résultats de la lutte contre la fraude en 2014 ........................................................................................ 22
1.4 CONTROLE EXTERNE .............................................................................................................................................. 25
1.5 CONTROLE MEDICAL ET GESTION DU RISQUE ........................................................................................................... 26
1.5.1 Les actions de gestion du risque mettant en évidence des risques internes ............................................. 27
1.5.2 Les actions de maîtrise des risques au titre du contrôle interne ............................................................... 27
1.5.3 La mise en œuvre d’une action commune gestion du risque-lutte contre la fraude : le contrôle
de dispositifs médicaux et prestations associées relevant de la liste des produits et prestations
(LPP) ............................................................................................................................................................. 28
1.6 PROTECTION DES PERSONNES ET DU PATRIMOINE ................................................................................................... 29
1.6.1 Le Document Unique d’Evaluation des Risques Professionnels (DUERP) ............................................... 29

1.6.2 La charte de l’utilisateur des systèmes d’information ................................................................................... 29
1.6.3 Les marchés ................................................................................................................................................. 30
1.7 PLAN DE CONTINUITE ............................................................................................................................................. 30
1.8 CHARTE DE DEONTOLOGIE...................................................................................................................................... 31
1.8.1 Le contexte ................................................................................................................................................... 31

1.8.2 L’implantation au sein du réseau MSA ......................................................................................................... 32
1.9 AUTRES DISPOSITIFS DE PORTEE INSTITUTIONNELLE ................................................................................................ 32
1.9.1 Le management des processus orienté client et les revues de processus .................................................. 32
1.9.2 La gestion de la connaissance ..................................................................................................................... 33
1.9.3 Autres ........................................................................................................................................................... 33
1.10 DISPOSITIFS LOCAUX .............................................................................................................................................. 33
II. LES OUTILS DU CONTROLE INTERNE MIS EN ŒUVRE PAR L’AGENT COMPTABLE...... 34
2.1 PLAN DE CONTROLE DE L’AGENT COMPTABLE ......................................................................................................... 34
2.2 VERIFICATION COMPTABLE ..................................................................................................................................... 37
2.3 M ATRICE DES RISQUES COMPTABLES ET FINANCIERS ............................................................................................... 39
III. LES OUTILS DU CONTROLE INTERNE LIES AU SYSTEME D’INFORMATION ................... 42

3.1 DISPOSITIF VAINCI (VALIDATION DES APPLICATIONS INFORMATIQUES DANS LE CADRE DU CONTROLE INTERNE)..... 42
3.2 LE SUIVI DES INCIDENTS : TICKETS TANDEM ............................................................................................................ 43
3.2.1 Le dispositif ................................................................................................................................................... 43

3.2.2 Les critères d'évaluation des incidents ......................................................................................................... 43
3.2.3 Le bilan ......................................................................................................................................................... 44
3.2.4 Les actions de suite ...................................................................................................................................... 46
3.3 PLAN DE REPRISE D’ACTIVITE ................................................................................................................................. 47
3.4 POLITIQUE ET PLAN DE SECURITE DU SYSTEME D’INFORMATION................................................................................ 48
3.4.1 La PSSI ......................................................................................................................................................... 48

3.4.2 L’activité 2014 ............................................................................................................................................... 48
3.5 APPLICATIONS INFORMATIQUES LOCALES (AIL) ...................................................................................................... 50
2EME PARTIE : ANALYSE DES RISQUES 2014.............................................................. 53

I. CARTOGRAPHIE DES RISQUES............................................................................................. 55
1.1 AU PLAN NATIONAL ................................................................................................................................................ 55
1.1.2 Cartographie des processus métiers et supports ......................................................................................... 55

1.1.3 Cartographie des systèmes d’information .................................................................................................... 55
1.1.4 Cartographie nationale des risques .............................................................................................................. 55
1.2 AU PLAN LOCAL ..................................................................................................................................................... 56
II. L’ACTUALISATION DES ACTIONS DE CONTROLE INTERNE............................................ 57

2.1 LA MAINTENANCE DES ACI DES 21 PMS ................................................................................................................. 57
2.2 LA SECURISATION DES HABILITATIONS .................................................................................................................... 58
2.3 LE PLAN DE MAITRISE DES RISQUES DE L’OFFRE DE SERVICES .................................................................................. 58
2.4 LE PLAN DE MAITRISE DES RISQUES LIES A L’ENGAGEMENT DE LA MSA DANS LES ETABLISSEMENTS
SANITAIRES ET MEDICO-SOCIAUX ............................................................................................................................ 59
III. L’ANALYSE DES RISQUES LIEE A DES DOSSIERS NOUVEAUX ........................................ 61

3.1 ACTIONS DE MAITRISE DES RISQUES LIEES A LA REPRISE DES DOSSIERS GAMEX ET AAEXA................................... 61
3.2 M AITRISE DES RISQUES DE NOUVEAUX PROJETS OU PROCESSUS.............................................................................. 62
IV. AUTRES DOMAINES DE L’ORDONNATEUR POUR LESQUELS A ETE
CONDUITE UNE ANALYSE DE RISQUES. .............................................................................. 63
4.1 LE CONTROLE EXTERNE.......................................................................................................................................... 63
4.2 LA LUTTE CONTRE LA FRAUDE ................................................................................................................................ 64
4.2.1 L’analyse des risques aux fins de ciblages .................................................................................................. 64

4.2.2 L’évaluation statistique des cotisations éludées des employeurs de main d’œuvre .................................. 64
4.2.3 Analyse des risques suite à fraude interne ................................................................................................. 64
V. MATRICE DES RISQUES COMPTABLES ET FINANCIERS ................................................... 65
VI. ANALYSE DES RISQUES DE SECURITE DU SYSTEME D’INFORMATION.......................... 67
3EME PARTIE : AUDITS ET CONTROLES D’EFFECTIVITE 2014 .............................. 69

I. AUDITS ...................................................................................................................................... 71
1.1 L’AUDIT INTERNE INSTITUTIONNEL ........................................................................................................................... 71
1.1.1 Le contexte ................................................................................................................................................... 71

1.1.2 L’activité de l’audit interne en 2014 .............................................................................................................. 71
1.1.3 Les suites données aux recommandations de l’audit................................................................................... 72
1.2 AUDITS EXTERNES ................................................................................................................................................. 74
II. CONTROLES D’EFFECTIVITE ................................................................................................. 78

2.1 CONTROLES NATIONAUX D’EFFECTIVITE DES ACI .................................................................................................... 78
2.1.1 Plan de contrôle ............................................................................................................................................ 78

2.1.2 Réalisation des contrôles ............................................................................................................................. 78
2.1.3 Résultats ....................................................................................................................................................... 78
2.1.4 Conclusion des contrôles d’effectivité nationaux .......................................................................................... 79
2.2 CONTROLES CROISES REGIONAUX POUR L’EFFECTIVITE DES ACI ............................................................................. 80
2.3 CONTROLES D’EFFECTIVITE DU PCAC .................................................................................................................... 80
4EME PARTIE : PILOTAGE DU PLAN DE CONTROLE INTERNE 2014 ................... 83

I. INSTANCES DE PILOTAGE DU CONTROLE INTERNE ......................................................... 85
1.1 AU PLAN INSTITUTIONNEL ....................................................................................................................................... 85
1.1.1 Le Comité National de la Maîtrise des risques ............................................................................................. 85

1.1.2 Le Comité Directeur de la Certification ......................................................................................................... 85
1.2 CONCERNANT LES ORGANISMES DU RESEAU ........................................................................................................... 86
II. LES ELEMENTS DE CADRAGE DU CONTROLE INTERNE ................................................. 87

2.1 PLAN D’ACTIONS SUITE AU DECRET DU 14 OCTOBRE 2013 ....................................................................................... 87
2.2 CIRCULAIRE D’APPLICATION DU DECRET DU 14 OCTOBRE 2013 ................................................................................ 87
2.3 PLAN DE CONTROLE INTERNE ................................................................................................................................. 87
2.4 RAPPORT DE CONTROLE INTERNE ........................................................................................................................... 87
2.5 LE PROTOCOLE CONTROLE INTERNE ....................................................................................................................... 88
2.6 LES ENGAGEMENTS COG AU TITRE DE LA MAITRISE DES RISQUES ET DE LA LUTTE CONTRE LA FRAUDE ................... 88
III. ACCOMPAGNEMENT DU CONTROLE INTERNE ................................................................... 89

3.1 FORMATION ........................................................................................................................................................... 89
3.1.1 Les formations gérées au plan institutionnel ................................................................................................ 89

3.1.2 Au plan des organismes ............................................................................................................................... 90
3.2 COMMUNICATION ................................................................................................................................................... 90
3.2.1 Les actions de portée nationale.................................................................................................................... 90

3.2.2 Les actions de communication spécifiques mises en œuvre par le réseau ............................................... 91
1ERE PARTIE : MAITRISE DES RISQUES 2014 : Description du
dispositif de contrôle interne et de ses résultats pour 2014.
2EME PARTIE : ANALYSE DES RISQUES 2014 : Analyses des

risques conduites en 2014 pour actualiser ou compléter le
dispositif de contrôle interne.
3EME PARTIE : AUDITS ET CONTROLES D’EFFECTIVITE 2014 :

Résultats du dispositif de contrôle et d’évaluation périodique du
dispositif de contrôle interne.
4EME PARTIE : PILOTAGE DU PLAN DE CONTROLE INTERNE

2014 : Pilotage, et accompagnement du déploiement du plan
annuel de contrôle interne.
CONCLUSION
1ERE PARTIE : MAITRISE DES RISQUES 2014
Le dispositif national de contrôle interne a pour objet d’assurer la maîtrise des risques
de toute nature, notamment financiers, inhérents aux missions confiées.
Il se compose du contrôle interne des gestions techniques, des gestions budgétaires
et de la comptabilité ainsi que du contrôle interne des systèmes d’information.
Le plan national de contrôle interne 2014 distinguait entre les outils constitutifs du
dispositif de contrôle interne :
- mis en œuvre par l’ordonnateur
- mis en œuvre par l’Agent comptable
- liés au système d’information
I. LES OUTILS DU CONTROLE INTERNE MIS EN
ŒUVRE PAR L’ORDONNATEUR
Les outils du contrôle interne mis en œuvre par l’ordonnateur relevaient en 2014 des domaines
suivants :
- les actions de contrôle interne institutionnelles : PMs (Processus Métier Socle) et ACI
(Actions de Contrôle Interne) et les actions de contrôle interne locales,
- la gestion des habilitations,
- la lutte contre la fraude,
- le contrôle externe,
- la gestion du risque et la maitrise médicalisée,
- la protection des personnes et du patrimoine,
- la continuité d’activité,
- la mise en œuvre de la charte de déontologie.
1.1 Les actions de contrôle interne (ACI)

1.1.1 Les actions de contrôle interne institutionnelles
Le dispositif de contrôle interne appliqué aux processus métiers s’appuie principalement sur les Actions
de Contrôle Interne (ACI) des Processus Métier socle (PMs). Sont couverts les domaines d’activités
MSA et de gestion déléguée : immatriculation/affiliation, cotisations, prestations, contentieux, gestion
de l’entreprise pour chaque Processus métiers socle (PMs) pour lesquels l’analyse des risques a
permis d’identifier les risques majeurs à mettre sous contrôle.
Pour chaque PMs, une fiche de risques est diffusée au réseau, présentant :
- Le descriptif des risques majeurs identifiés,
- Le descriptif des Actions de Contrôle Interne (ACI) à réaliser (population, échantillon,

période de contrôle, éléments à contrôler),
- Les outils nécessaires aux contrôles,
- Les tableaux de suivi de la réalisation des ACI.
Le dispositif de sécurisation des processus métiers est national et s’impose de manière obligatoire à
tous les organismes du réseau MSA.
Au cours de l’année 2014, le réseau MSA a ainsi été amené à mettre en œuvre les 145 Actions de
er
contrôle interne institutionnelles (ACI actives au 1 janvier 2014) pour couvrir 90 risques concernant les
21 processus métier socle (PMs) à fort enjeu financier.
D ESCRIPTION DU DISPOSITIF MIS EN ŒUVRE EN 2014 PAR LE RESEAU MSA
Les 21 processus métier socle (PMs) à fort enjeu financier rassemblant les 145 ACI actives au
er
1 janvier 2014 sont les suivants :
Domaine COTISATIONS
Les cotisations salariés

Emission non-salariés
Rachat et régularisation de cotisations
Effectuer un report aux comptes S et NS
Domaine FAMILLE
PAJE
RSA
Les aides au logement
Domaine GESTION DE L’ENTREPRISE
Gestion de la paye
Procédure des marchés
Gestion des habilitations
Le recouvrement amiable
Domaine POPULATION
Immatriculer ou affilier un individu

Immatriculer ou affilier un individu - Caisses
Immatriculer une entreprise
Domaine RETRAITE
La demande de retraite et de réversion hors CIR

Coordination Internationale Retraite
Domaine SANTE
Invalidité
Traiter un arrêt de travail maladie, maternité, paternité, AT/MP
Les feuilles de soins électroniques
Droits maladie - CMU C
Cartes vitale
L ES RESULTATS
Les informations déclaratives des caisses de MSA concernant les ACI pour 2014 peuvent être
analysées sous deux angles :
- quantitatif : taux de régularité et quotas
- qualitatif : taux d’anomalies avec ou sans incidence financière.
- T AUX DE REGULARITE
Le taux de régularité est calculé comme le nombre de mois couverts par les ACI. Un taux de 100 %
signifie que la caisse déclare avoir mis en place la totalité des ACI sur la totalité des mois de l’année.
Ce taux n’intègre pas la notion de respect des quotas.
Le taux de régularité France entière est de 99,9 % (99,3 % en 2013).
PAR CAISSE :
- 27 caisses ont un taux de régularité de 100 % (18 en 2013).

- 8 caisses ont un taux de régularité compris entre 98,8 % et 100 %. En 2013, elles étaient 17 à
enregistrer un taux de régularité inférieur à 100 %, le taux le plus bas étant de 91,1 %.
PAR PMS :
- 20 PMs sur 27 enregistrent un taux de régularité de 100 % (10 sur 24 en 2013).

- 6 PMs enregistrent un taux de régularité compris entre 99 % et 100 % (10 en 2013).
- Seul le PMs « Gestion des Habilitations » enregistre un taux inférieur à 99 % (97,03 %). En
effet, 6 MSA ont déclaré avoir rencontré des difficultés lors de la mise en place de ce PMs et
enregistrent un taux de régularité inférieur à 100 %.
- En 2013, 4 PMs enregistraient un taux de régularité inférieur à 99 %, le taux le plus bas
étant de 95,9 % (PMs « La demande de Réversion avant maintenance »).
- R ESPECT DES QUOTAS

Le taux de respect des quotas France entière est de 100,9 % (102,8 % en 2013).
(Dans le calcul du quota, une réalisation des contrôles supérieure à 100 % de certains PMs peut
compenser la sous-réalisation des contrôles sur un ou plusieurs PMs. C’est pourquoi le respect
des quotas a également été examiné sur le critère « quota plafonné »).
Le quota plafonné France entière est de 99,9 % (99,4 % en 2013).
PAR CAISSE :
La plupart des caisses de MSA dépassent les quotas demandés pour la réalisation des ACI.
Seule une MSA présente un taux de respect des quotas inférieur à 100 % (4 caisses étaient dans
ce cas en 2013). Cette MSA a rencontré des difficultés lors de la réalisation des contrôles du PMs
« La demande de retraite et de réversion hors CIR », seul processus pour lequel cette MSA
enregistre un quota inférieur à 100 % (99,7 %).
Malgré un quota réalisé supérieur à 100 %, une MSA enregistre un quota plafonné inférieur à
100 % (93,3 %) du fait qu’elle n’a pas pu réaliser l’intégralité des contrôles sur 3 processus.
PAR PMS :
Seul le PMs « Gestion des Habilitations » présente un taux de respect des quotas inférieur à
100 % (4 PMs en 2013).
Ce résultat s’explique par une sous-réalisation des contrôles demandés, de la part d’une MSA
(quota de 95,7 %).
4 processus enregistrent un quota plafonné inférieur à 100 % (malgré un quota réalisé de plus de
100 % pour les 3 premiers) :
- Immatriculer une entreprise 99,98 %
- Emission non-salariés 99,88 %
- La demande de retraite et de réversion hors CIR 99,79 %
- Gestion des Habilitations 99,72 %
- T AUX D ’ ANOMALIE
Le taux moyen d’anomalies France entière et tous PMS est de 5,8 % (4,7 % en 2013).
Le nombre total d’anomalies est passé de 28 336 en 2013 à 29 720 en 2014, soit une
augmentation de 4,88 %.
PAR CAISSE :
15 caisses présentent un taux d’anomalies supérieur à la moyenne.
Une seule MSA enregistre un taux d’anomalies à 2 chiffres, il s’agit de la MSA de Dordogne Lot et
Garonne (11,65 %) ; en 2013 le taux plus élevé était celui de la MSA de Lorraine (17,4 %).
Le nombre d’anomalies cumulé sur l’année est compris entre 224 pour la Corse et 2169 pour la
MSA du Languedoc.
En 2014, le nombre moyen d’anomalies par MSA est de 849 (contre 810 en 2013).
PAR PMS :
Les 4 PMs présentant le plus fort taux d’anomalies sont :

Cartes Vitale avant maintenance 24,24 %
Cartes Vitale après maintenance 20,20 %
Droits Maladie CMU-C avant 13,52 %

maintenance 12,20 %
Droits Maladie CMU-C après
maintenance
Aides au logement 12,71 %
Immatriculer une entreprise 11,68 %
Ces processus enregistraient déjà en 2013 les plus forts taux d’anomalies.
Mais ces résultats sont à rapprocher du nombre d’anomalies et du poids du PMs parmi l’ensemble
des anomalies enregistrées en 2014. En effet, le processus « Cartes Vitale » (avant et après
maintenance), malgré son taux élevé, ne représente que 0,21 % du total des anomalies (0,29 % en
2013).
- T AUX D ’ ANOMALIES AVEC INCIDENCE FINANCIERE

Pour rappel, en 2014 comme en 2013, est considérée comme anomalie avec incidence financière
toute erreur détectée dont le montant est supérieur ou égal à :
• 21 € pour les prestations,
• 39 € pour les cotisations.
En 2015, les anomalies avec incidence financière seront comptabilisées dès le montant de 1€ en
cohérence avec l’évolution des règles de la vérification comptable (Cf. circulaire n° DCF-2014-024
du 30/10/2014).
Le pourcentage d’anomalies avec incidence financière France entière et tous PMs est de
1,3 % (1,1 % en 2013), pour un nombre d’anomalies avec IF quasi identique à celui de 2013 :
6 477 en 2014 contre 6 481 en 2013.
Le montant total des anomalies avec IF est passé de 2.997.146 € en 2013 à 3.218.411 € en 2014,
soit une augmentation de 7,38 %, pour un montant moyen par anomalie de 497 € en 2014 (462 €
en 2013).
Toutefois cette évolution s’explique principalement par les résultats d’une nouvelle ACI issue de la
maintenance du PMs « Cotisations salariés » (Risque 2 ACI1) pour laquelle la valorisation
financière réalisée par quelques caisses (valeur de l’ensemble du dossier et non-valeur de l’écart)
a majoré l’estimation de l’impact financier.
Si l’on neutralise cette ACI sur 2013 et 2014, les résultats obtenus sont les suivants :
Résultats hors R2 ACI1 du PMs Cotisations salariés (avant et après maintenance) :
Nbre d'anomalie Montant total Montant IF

avec IF IF moyen
2013 6 428 2 886 223 € 449 €

2014 6 409 2 851 669 € 445 €
Les résultats ainsi calculés indiquent une stabilité du montant moyen de l’incidence financière.
PAR CAISSE :
13 caisses présentent un taux d’anomalies supérieur ou égal à la moyenne.
Le taux le plus élevé enregistré en 2014, est identique à celui de 2013, soit 2,80 % (MSA du
Languedoc en 2014, MSA Nord Pas-de-Calais en 2013).
Le nombre d’anomalies avec IF cumulé sur l’année, est compris entre 83 pour la Corse et 674 pour
la MSA du Languedoc.
Comme en 2013, le nombre moyen d’anomalies avec IF par MSA est de 185, pour un montant
moyen de 91.955 € (85.633 € en 2013).
PAR PMS :
A noter que :
- les anomalies avec incidence financière ne concernent ni le PMs « Gestion de la Paye », ni

le PMs « Gestion des habilitations ». Les résultats sont donc enregistrés sur 19 PMs.
Seuls 5 PMs affichent des anomalies avec IF pour l’ensemble des 35 MSA (« Traiter un arrêt de
travail AT MP salariés », « Traiter un arrêt de travail maladie, maternité, paternité », « La demande
de retraite et de réversion hors CIR », « Les aides au logement et le RSA »).
- A l’inverse, les anomalies avec IF des PMs « Procédure des marchés » et « Cartes vitale »
ne concernent qu’une seule MSA.
11 PMs présentent un taux d’anomalies supérieur à la moyenne (1,26 %) et les 5 PMs enregistrant
les taux d’anomalies avec IF les plus élevés sont :
Les aides au logement 5,62 %
RSA 5,17 %
Invalidité 4,81 %
Emission non-salariés 2,56 %
PAJE 2,34 %
Mais ces résultats sont à rapprocher du nombre d’anomalies avec IF ainsi que du montant
correspondant.
En effet, les processus « La demande de retraite et de réversion hors CIR » et « Traiter un arrêt de
travail maladie, maternité, paternité » représentent une part plus importante des anomalies avec IF
(en nombre) que les 5 PMs cités ci-dessus (respectivement 13,9 % et 13,2 %).
Il en est de même pour les processus « Cotisations salariés après maintenance » et
« Recouvrement amiable après maintenance » qui représentent une part importante du montant
total des anomalies avec IF, alors que leur taux d’anomalie avec IF ne figure pas parmi les plus
élevés.
C ONCLUSIONS CONCERNANT LA REALISATION DES ACI PAR LES ORGANISMES
En 2014, le taux de régularité (99,9 %) s’est rapproché des 100 % (+0,6 point par rapport à 2013).
Le taux de respect des quotas (100,9 %) dans la réalisation des ACI a diminué, mais le taux de respect
des quotas plafonnés s’approche de 100% (99,9 %). Seules deux caisses de MSA n’atteignent pas
100 %.
Le taux d’anomalies avec ou sans incidence financière a augmenté entre 2013 et 2014 de 4,7 % à 5,8 %
mais moins d’une anomalie sur 4 génère une incidence financière (1,3 % des dossiers contre 1,1 % en
2013).
Les évolutions des ACI issues de la maintenance semblent expliquer l’évolution à la hausse du taux
global d’anomalies.
Concernant les anomalies avec incidence financière, l’augmentation s’explique en grande partie par les
résultats d’une nouvelle ACI pour laquelle les pratiques de valorisation de l’incidence financière ont
majoré l’évaluation de l’impact financier. Si on neutralise cette ACI, le nombre d’anomalies avec
incidence financière ainsi que le montant moyen de l’incidence financière restent stables pour le PMs
concerné.
Au regard des indicateurs enregistrés la CCMSA a demandé aux organismes de porter en 2015 une
attention particulière à 8 PMs : « Les cotisations salariés », « Emission non-salariés », « RSA », « Les
aides au logement », « Le recouvrement amiable », « La demande de retraite et de réversion hors CIR »,
« Traiter un arrêt de travail maladie, maternité, paternité » et « Immatriculer une entreprise ».
1.1.2 Les Actions de Contrôle Interne locales
En complément des Actions de Contrôle Interne institutionnelles (ACI), les caisses de MSA ont pu mettre
en place des Actions de Contrôle Interne locales (dont elles font état dans leur rapport de contrôle
interne).
Ces Actions de Contrôle Interne qui s’appuient sur l’identification de risques locaux ont pu être mises en
place dans le cadre du plan de contrôle de l’Agent comptable, de la vérification comptable, de la
vérification technique des services de l’ordonnateur ou du plan de lutte contre la fraude.
Elles ont également pu être mises en place pour faire suite aux recommandations de l’audit interne
institutionnel.
Des ACI locales ont été mises en place dans plusieurs domaines d’activités :
- Toutes prestations : vérification d’un échantillon de dossiers, avant toute mise en paiement
des échéances périodiques
- Toutes prestations : contrôle des paiements aléatoires à partir d’un seuil fixé par l’Agent
comptable
- Toutes prestations : vérification des dossiers traités par les nouveaux liquidateurs ; les
dossiers de prestations du personnel et des administrateurs
- Domaine Famille : contrôle portant sur la charge d'enfants (12 à 21 ans) au moment de la
requête et dont la famille perçoit les PF ; contrôle de la situation des bénéficiaires de RSA
en comparant les activités salariés et la présence de ressources
- Domaine Famille : contrôle des destinataires de paiements APL, des paiements de AAH
- Domaine Retraite : actions de récupérations FNS/FSV/ASPA/ASI/FSI, contrôle des
ressources à néant pour les bénéficiaires ASPA/FSV
- Domaine Retraite : procédure d’avances pour le paiement des retraites (risque de
liquidation sans compensation sur l’avance, risque de calcul d’une avance trop importante
par rapport au droit)
- Domaine Retraite : risque d’absence de reprise de l’Indemnité Viagère de Départ - pour
éviter de faire perdre des droits aux assurés une requête mensuelle permettant ainsi de
vérifier s'il n'y a pas d'oubli et de régulariser au besoin
- Domaine Retraite : ASPA – contrôle de la situation stable et effective en France après
l'ouverture du droit
- Domaine Santé : contrôle pour s’assurer que les droits maladie pour les ressortissants
étrangers hors UE sont limités à la date de validité du titre de séjour
- Domaine Santé : définition d’un circuit de traitement des FSE re-matérialisées
- Contrôles périodiques dans le domaine du contrôle médical
- Domaine Recouvrement / Contentieux : procédure et action de contrôle de prévention de
la prescription des créances
- Gestion des entreprises : procédure de gestion des entreprises en LUCEA ; contrôles pour
prévenir le risque de non affiliation d’une entreprise potentiellement agricole
- Gestion des conflits d’intérêt dans le secteur Contrôle externe
- Procédure et contrôle de la saisie des coordonnées bancaires
- Contrôle de la récupération des majorations et préjudices en cas de faute inexcusable de
l’employeur
- Gestion : vérification des fonds et valeurs soit les chèques restaurant, les chèques
vacances, les billets de train et de métro, contrôle sur les véhicules affectés à 100 % à un
seul salarié, ciblant le risque de reporter à la charge du salarié un mauvais coût des
kilomètres personnels
- Contrôle de l’exactitude des paiements des Rentes AT après passage en commission
- Contrôle des prestations d’ASS (aide à domicile, subventions, …)
- Contrôles dans le domaine de GPCD : le paramétrage initial ou mise à jour des tarifs, le
paiement des prestations, la conformité de la date de radiation et du code de radiation,
vérification de la clôture du mode de paiement et de la suppression des ordres de
recouvrement., première émission des nouveaux contrats "Groupe", les émissions
rectificatives COTAC en temps réel
- Domaine Gestion des individus : action de sécurisation de l’utilisation d’un robot pour une
automatisation du traitement d’anomalies sur les connus et inconnus FIPA.
Une caisse (Bourgogne), signale l’attention particulière portée à l’évolution des taux d’anomalie pour les
PMS concernés par la reprise des populations agricoles gérées par APRIA (GAMEX et AAEXA). Une
instruction institutionnelle a été donnée afin de s’assurer qu’il n’y avait pas de taux d’anomalie atypique
en lien avec l’intégration des nouvelles populations. La sélection des dossiers à contrôler est
obligatoirement aléatoire pour certains PMS (Invalidité) et les assurés ex-Gamex ou AAEXA ne sont
pas toujours identifiables. Il n’a donc pas été possible de réaliser une analyse spécifique sur cette
population au niveau des ACI. Cependant suite à l’analyse des taux d’anomalies réalisée fin 2014, on
constate qu’il n’y a pas de hausse atypique depuis la reprise des assurés ex-APRIA par la Caisse.
(voir sur ce point de la reprise des assurés GAMEX également le paragraphe 3.1 de la partie III.)
1.2 Gestion des habilitations

L’article D. 114-4-14 du décret du 14 octobre 2013 prévoit que les règles de gestion des habilitations
établies par le directeur et l’Agent comptable national sont actualisées, le cas échéant, annuellement.
Ces règles de gestion des habilitations ont été validées par le Comité National de la Maîtrise des
risques le 26 novembre 2014 et portées à la connaissance du Comité Directeur de la Certification le
10 décembre 2014. Elles ont été diffusées à l’ensemble du réseau le 28 janvier 2015 par la circulaire
d’application du décret d’octobre 2013.
Les règles de gestion des habilitations concernent les habilitations données aux salariés de chaque
organisme et les habilitations données à des organismes ou personnes extérieures.
1.2.1 Les habilitations données par chaque organisme à ses
salariés
Les habilitations données par chaque organisme à ses salariés sont gérées par domaine d’activité
selon des modalités d’attribution explicite ou selon un dispositif de gestion implicite par groupes
d’individus réalisant des tâches de même nature.
Le dispositif de gestion implicite a été déployé en 2011 dans toutes les caisses sur les sept domaines
suivants : Cotisations, Prestations retraite, Prestations maladie -dont invalidité-, Prestations familiales,
Gestion des individus, Comptabilité, Contentieux. De même l’ont été les activités transverses (de type
GRA, consultation d’état, accès à la corbeille de Workflow,…) utiles pour démarrer ces domaines.
Depuis ont été déployés dans toutes caisses 4 domaines supplémentaires (et les activités transverses
correspondantes) : SST et élections (2014), ASS et CM/CD (Feu vert octobre 2014).
En outre, l’ensemble des actions liées à la mutualisation d’activité fait l’objet d’un déploiement en
contexte implicite : Recours contre tiers (feu vert novembre 2013), Rentes AT (feu vert octobre 2014).
1.2.2 Les habilitations données par chaque organisme aux

personnes extérieures
Les habilitations données par chaque organisme à des organismes ou personnes extérieures visent
notamment les habilitations des centres informatiques pour venir en assistance aux caisses de MSA
ainsi que les habilitations données à d’autres caisses dans le cadre de la mutualisation d’activité ou
pour l’exercice de leur mission de pivot.
Les habilitations données par chaque caisse au centre informatique dont elle dépend ainsi que les
règles de gestion de ces habilitations ont été définies par la LTC 2014-181 du 27 mars 2014. Ces
habilitations, qui ouvrent les possibilités de consultation et d’intervention sur le système d’Informations
MSA, sont :
- demandées par le directeur du centre informatique auprès du directeur et de l’Agent

comptable de la caisse de MSA avec, pour certaines d’entre elles, validation par les
médecins chefs de service de chaque caisse de MSA ;
- activées par la Caisse de MSA.
Le recensement de l’ensemble des habilitations requises pour l’assistance informatique aux caisses de
MSA a été réalisé à partir de 31 Groupes d’Actions Elémentaires (GAE) métiers. Le contenu de ces
GAE nationaux a été défini et arrêté par la CCMSA. Les GAE sont maintenus au fil de l’eau par le
PCMO Poste de travail, avec une validation explicite des évolutions au rythme des Comités Directeurs
Certification avec notification officielle par la CCMSA (directeur et Agent comptable).
Ces habilitations sont mises en œuvre dans le cadre du protocole MSA – centre. Compte tenu des
évolutions intervenues, les caisses de MSA ont été amenées au cours de l’année 2014 à actualiser le
protocole de contrôle interne les liant à leur centre informatique (SIER@ ou SIGMAP).
1.2.3 Actions de maîtrise et perspectives
La gestion des habilitations fait l’objet d’actions spécifiques de contrôle avec des actions de contrôle
interne (ACI institutionnelles) mises en œuvre dans chacun des organismes et visant :
- le passage du mode de gestion explicite au mode de gestion implicite,

- les habilitations données à des organismes ou personnes extérieures,
- l’adaptation des habilitations consécutivement à mobilité,
- l’usage des activités élémentaires sensibles.
L’année 2015 verra l’extension aux caisses pivots du référentiel d’habilitations déployé pour l’assistance
des centres informatiques.
1.3 Plan de lutte contre la fraude

1.3.1 Le plan institutionnel de lutte contre la fraude et le travail
illégal 2014
La CCMSA produit chaque année un Plan institutionnel de lutte contre la fraude et le travail illégal,
chaque caisse de MSA réalisant son propre plan, lequel décline les actions nationales et intègre les
orientations définies au plan local en tenant compte des spécificités propres à chaque caisse.
Le Plan institutionnel de lutte contre la fraude et le travail illégal 2014 a pris notamment en compte les
orientations définies par le Plan National de Coordination de la Lutte contre la Fraude aux Finances
Publiques pour 2014 et le Plan National de Lutte contre le travail illégal pour la période 2013-2015.
Concrètement, ce plan était structuré en quatre grandes parties : les actions de prévention, les actions
de détection, la répression des fraudes et les sanctions, et le pilotage.
Par ailleurs, les ACI du dispositif des PMs-ACI décrit ci-dessus, contribuent également pour 68 d’entre
elles directement à la lutte contre la fraude. Ces 68 ACI couvrent l’ensemble des domaines d’activité
d’une caisse de MSA : Cotisations (y compris rachats et report aux comptes), Famille, Gestion de
l’entreprise (paye, gestion des habilitations, procédure des marchés, recouvrement amiable), Population
(gestion des individus et des entreprises, cartes VITALE et CMU-C), Retraite et Santé.
La réalisation des contrôles demandés par les ACI contribue à l’identification des cas de suspicion de
fraude et fournit ainsi des informations à exploiter dans le cadre de la politique de lutte contre la fraude.
1.3.2 Les résultats de la lutte contre la fraude en 2014
L ES RESULTATS D ’ ENSEMBLE
Conformément à l’article L. 114-9 du code de la sécurité sociale et à l’arrêté du 16 juin 2006, la Caisse
centrale de MSA est tenue de produire chaque année un bilan des actions menées l’année écoulée en
matière de lutte contre la fraude, transmis au Ministère chargé de la sécurité sociale. Le bilan provisoire
2014, transmis en mai 2015 à la Direction de la sécurité sociale, fait apparaître les résultats suivants :
En 2014, le montant total de la fraude détectée s’élève à 25,4 millions d’euros (22,4 millions en 2013) et
se répartit comme suit : 37 % pour la fraude aux prestations et 63 % pour la fraude aux cotisations et
travail dissimulé.
La branche cotisations enregistre une hausse des résultats.

Sur l’ensemble de la période 2010-2014, le montant détecté de la fraude aux cotisations et travail
dissimulé progresse selon un rythme annuel moyen de près de + 30 %.
Cette évolution permet à la MSA d’atteindre les objectifs fixés par la COG (15,9 millions d’euros en 2014
pour un objectif de 10 millions d’euros).
Concernant les prestations, le montant de la fraude détectée reste quasiment stable 2014 (9,5 M€
contre 9,4 M€ en 2013) avec une atteinte de l’objectif COG est atteint pour l’ensemble MSA.
Cette situation est la résultante de tendances différentes selon les branches :
• Famille : en 2014, la tendance s’est inversée par rapport à 2013 où le montant de la fraude
détectée a reculé de 14,3 %. En effet, le montant de la fraude détectée en famille a dépassé
les 3 M€, soit une augmentation de 25 %. La campagne RNCPS réalisée en 2014 a
contribué à ces bons résultats. La forte augmentation du montant du préjudice évité (+70 %)
montre l’effort des caisses en matière de contrôle a priori et l’usage croissant des outils inter-
régimes (RNCPS...). En rapportant le montant total du préjudice (subi et évité) au montant
des prestations versées, on constate que le taux de fraude détectée progresse avec un taux
2014 de 0,244 % contre 0,195 % en 2013).
• Retraite (1,9 million d’euros en 2014 contre 2,9 millions d’euros en 2013) : une nouvelle
baisse est observée après la baisse de 45 % observée en 2013. Cette baisse concerne les
retraites « salariés » et s’explique notamment par la poursuite de l’épuration des stocks de
dossiers dans les caisses de MSA portant sur l’instruction des demandes de rachat de
cotisations (parmi lesquels un certain nombre de dossiers portant sur des rachats
frauduleux) ainsi que par la mise en œuvre d’actions de contrôle interne encadrant le
dispositif. En revanche, les fraudes détectées en retraite « non-salariés » progressent
significativement par rapport à 2013. (639 K€ en 2014 contre 211 K€ en 2013). Par rapport
aux prestations versées, le taux de fraudes (montant du préjudice subi et évité sur montant
des prestations servies) décroit depuis 2013 : (0,014 % en 2014, 0,021 % en 2013, 0,037 %
en 2012). 22 % du nombre de fraudes individuelles détectées correspondent à des fraudes
aux conditions de résidence pour le service des prestations minimum (ASPA).
• Santé (4,5 millions d’euros) : la branche enregistre une nouvelle augmentation de 11 %
après celle de +32 % enregistrée en 2013. Cette évolution s’explique pour partie par une
meilleure prise en compte des suites des contrôles à l’application de la T2A et de certaines
actions ciblées réalisées en lien avec la gestion du risque (GDR) comme les contrôles LPP
(voir sur ce point le paragraphe 1.5.3 infra - Partie I.)
La synthèse des résultats des indicateurs COG montre la poursuite, en 2014, des efforts de l’ensemble
du réseau MSA pour la lutte contre la fraude et le travail dissimulé : les objectifs sont largement
atteints.
89-1 90-2 90-4 90-5 91-5

Objectif Réalisé Objectif Réalisé
Objectif réalisé Objectif réalisé Objectif réalisé
(M€) (M€) (M€) (M€)
59,56
2013 8 13,90 150 279 16 22,36 55 % 6 5
%
2014 10 15,95 200 359 19 25,46 57% 58% 8 10
2015 12 250 22 60% 10
• 89-1 - Montant des redressements notifiés au titre du travail dissimulé et des fraudes aux cotisations.
• 90-2 - Nombre de sanctions administratives prononcées en prestations.
• 90-4 - Montant de la fraude constatée (toutes branches).
• 90-5 - Taux de recouvrement des indus frauduleux
• 91-5 - Nombre cumulé de nouvelles requêtes nationales proposées au réseau par an.
L’ UTILISATION DES REQUETES
Les MSA étaient invitées à effectuer seize passages de requêtes en 2014 (six des dix requêtes devant
être effectuées deux fois par an).
Ces seize passages ont été effectués par la plupart des MSA.
Ces requêtes ont donné lieu aux résultats suivants :
Nombre Montant Nombre Montant des

Nombre de Nombre de Nombre de Montant
d'indus des indus d'indus non indus non
signalements suspicions rappels des rappels
frauduleux frauduleux frauduleux frauduleux
34 076 837 19 51 179 € 6 13 855 € 1 7 874 €
La majorité des indus (frauduleux ou non) détectés provient de cinq requêtes :
Loyer résiduel 56 516 €
IJ Travailleurs occasionnels 4 694 €
Assuré ayant déclaré une adresse avec « habite chez » (Mal et

1 888 €
AT-MP)
Adresses comportant la mention « CHEZ » 1 366 €
Non consommant maladie de plus de 85 ans 570 €
Le nombre de signalements (- 38 %) ainsi que le nombre d’indus frauduleux (- 85 %) issus des requêtes
sont en baisse par rapport à 2013, mais le montant des indus frauduleux est en hausse (+ 42 %). Une
analyse précise de ces résultats issus des requêtes sera réalisée en 2015 aux fins d’évaluation de la
pertinence de ces outils et de la fréquence de passage optimale.
L E TAUX D ’ USAGE DES OUTILS NATIONAUX
Au titre des résultats de l’année 2014, il convient de souligner le taux de progression de l’usage des
outils d’échanges d’information entre partenaires aux fins de lutte contre la fraude :
- RNCPS (R EPERTOIRE N ATIONAL C OMMUN DE LA P ROTECTION S OCIALE )

La CCMSA tient à jour sur l’espace privé de l’intranet lutte contre la fraude, le détail des
consultations à ce répertoire. Le tableau ci-dessous montre que la montée en charge du RNCPS
est importante dans nos organismes MSA depuis le démarrage en décembre 2011 avec
notamment une augmentation de plus de 50 % de connexion entre 2013 et 2014. Il est rappelé
que l’année 2014 a vu une exploitation du RNCPS pour la détection de doublons de dossiers
CAF/MSA.
Décembre
2012 2013 2014
2011
Nombre total de
connexions
individuelles au
50 83 349 319 991 485 031
RNCPS en MSA
- AGDREF (APPLICATION DE G ESTION DES D OSSIERS DES R ESSORTISSANTS
E TRANGERS EN F RANCE )
Fin 2012, 358 personnes étaient habilitées à accéder à cet outil en MSA. Ce nombre est passé à
1 651 en avril 2013 et à 2097 en mai 2014. Sur l’ensemble de l’année 2014, le nombre total de
connexions à AGDREF a plus que doublé avec 25 762 connexions contre 12 526 en 2013 et
5 926 en 2012.
- FICOBA (F ICHIER NATIONAL DES COMPTES BANCAIRES ET ASSIMILES )

La consultation du FICOBA par la MSA est opérationnelle depuis 2010 et toutes les MSA se sont
approprié le dispositif.
- AIDA (ACCES I NTEGRE AUX D ONNEES ASSEDIC )

Le Web service AIDA a été déployé sur l’ensemble des caisses de MSA le 3 Juin 2013 pour les
besoins « Gestion Individus » et « Famille ».
La CCMSA a souhaité que le web Service AIDA soit étendu pour couvrir l’ensemble des autres
besoins de la MSA.
L’objectif de cette extension est de parfaire les contrôles et fiabiliser la gestion des dossiers
relevant des différentes législations, par exemple en carrière pour la validation des périodes de
chômage ou en santé pour l’ouverture des droits aux Indemnités Journalières (IJ).
En 2014, des travaux ont été engagés pour faire évoluer en ce sens la convention relative à
l’échange et à la mise à disposition de données entre Pôle Emploi et les Caisses de mutualité
sociale agricole du 22 mai 2009 avec Pole Emploi, en ce sens. Un projet d’avenant à la
convention est aujourd’hui en cours de finalisation.
- HALF (H ALTE A L A F RAUDE )

En outre, l’année 2013 a été l’année du déploiement de l’outil institutionnel HALF (Halte A La
Fraude) qui permet d’assurer le suivi des signalements de fraude. Le produit a été diffusé fin
2012 pour une mise en œuvre en 2013.
Fin 2013 : 33 MSA avaient déployé l’outil et 2 autres avaient prévu de le faire pour l’exercice
2014 et 435 personnes étaient habilitées sur l’ensemble des MSA.
Une refonte de l’outil HALF a été engagée en 2014. En effet, l’outil a été développé en Visual
Basic for Applications (VBA) en utilisant la version Excel 2003 de la suite Bureautique Office XP.
Cette version n’est pas compatible avec l’évolution institutionnelle des postes de travail vers la
suite Office 2010. La reprise de l’application HALF sous la forme d’une application informatique
locale utilisant une base de données Windev a été engagée.
Ce développement reprend les fonctionnalités du cahier des charges présenté à la CNIL avec
quelques éléments complémentaires améliorant le suivi des dossiers par les gestionnaires en
charge de la fraude. La livraison est prévue pour 2015, avec la reprise des données antérieures.
1.4 Contrôle externe

Avec le décret « contrôle interne » du 14 octobre 2013, le contrôle externe trouve toute sa place dans le
dispositif de maîtrise des risques et de contrôle interne. En effet, il permet de vérifier et de contrôler la
bonne application des dispositions règlementaires relatives à la déclaration d’assiette et à l’affiliation au
régime agricole ainsi que la véracité des déclarations faites à la MSA par les allocataires en vue
d’obtenir une ou plusieurs prestations.
Le contrôle externe constitue ainsi une activité en lien direct avec la lutte contre la fraude et le travail
illégal.
Au 31 décembre 2014, la population des contrôleurs, était de 260 ETP, soit 263 personnes.
Dans le cadre du guichet unique, l’article L.724-7 du code rural et de la pêche maritime fixe le champ
d’application du contrôle exercé par les agents de contrôle des caisses de MSA qui sont amenés à
conduire leurs actions dans l’ensemble des branches de la protection sociale des salariés et des non-
salariés agricoles :
- branche recouvrement (affiliation, assiette de cotisations sur salaires et des revenus des
non-salariés, actions de recouvrement direct et de prévention et lutte contre le travail
dissimulé) ;
- branche famille (prestations familiales, aides au logement et minima sociaux) ;
- branche vieillesse (pensions de retraite des salariés et non-salariés, pensions de réversion,
cessation d’activité et allocation de solidarité aux personnes âgées « ASPA ») ;
- branche maladie (arrêt de travail, CMU-C, invalidité, …) ;
- branche risques professionnels (AT, ATEXA, MP, …).
L’organisation même du guichet unique MSA offre la garantie d’un contrôle externe et d’une lutte contre
la fraude efficaces tant au plan du régime obligatoire qu’au plan des activités déléguées par les
partenaires (interlocuteur unique, recoupements d’informations, connaissance exhaustive des comptes
des assurés, dépôt d’informations et de documents normalisés auprès d’un point d’entrée unique, etc.).
En 2014, les 35 caisses de MSA ont réalisé 45 466 contrôles, selon la répartition suivante :
11 764 contrôles des prestations (famille, logement, vieillesse, maladie, accidents du travail)
8 758 contrôles d’affiliation
18 624 contrôles d’assiette des cotisations sociales sur salaires et revenus des non-salariés
4 936 contrôles relatifs au travail illégal
1 384 actions de recouvrement direct.
Les contrôles réalisés en 2014 ont permis l’atteinte l’ensemble des objectifs COG relatif au contrôle
externe.
- Le montant global des redressements en cotisations suite à contrôle (hors redressement

suite à situation frauduleuse et hors travail illégal) avec un objectif au niveau national fixé à
10 M€, a largement été dépassé en s’établissant à plus de 23 M€, soit + 32,5 % par
rapport à l’année 2013.
- Le taux de couverture du fichier des salariés en 2014 est de 9.90% (8,91 % en 2013) avec
une cible fixée à 7,58 %.
- Le résultat du taux de couverture du fichier non-salariés est de 9,39% (6,94 % en 2013)

avec une cible fixée à 8,13%.
1.5 Contrôle médical et gestion du risque

Les contrôles médicaux des caisses de MSA mettent en œuvre le plan de Gestion du Risque diffusé
annuellement au réseau par lettre à toutes les caisses (LTC). La Gestion du Risque constitue un levier
indispensable au respect des objectifs de dépenses de l’Objectif National des Dépenses d’Assurance
Maladie (ONDAM).
Les actions de la Gestion du Risque (GdR) sont donc ciblées principalement sur l’efficience du système
de santé. A ce titre, elles ont comme finalité de modifier le comportement des acteurs du système de
soins externes à la MSA.
A contrario, la maîtrise des risques a pour finalité de réduire les zones de dysfonctionnement
potentielles internes à l’entreprise MSA. Il s’agit ici de maîtrise des évènements indésirables liés aux
processus et procédures internes à l’entreprise.
Néanmoins, il peut arriver que, sur certaines actions, les deux sujets se rejoignent.
Ainsi, les contrôles médicaux des caisses ont 2 types d’activités liées au contrôle interne :
Les actions de GdR ayant un impact sur la maîtrise des risques d’une part, et les actions spécifiques de
contrôle interne d’autre part.
1.5.1 Les actions de gestion du risque mettant en évidence des

risques internes
On peut citer à ce titre :
- L’action sur le cumul d’AIS3 (acte de soin infirmier à domicile) au-delà de 4 AIS3 par jour et
par assuré.
Cette action met en évidence certaines situations dans lesquelles la caisse a remboursé
des actes au-delà de la réglementation de la Nomenclature Générale des Actes
Professionnels (NGAP). Ces situations listées ont été prises en compte dans les évolutions
en cours du système d’information des prestations en nature.
- Actions de contrôle réglementaire sur les prestations en espèces :

Ces actions permettent de rappeler aux professionnels les règles de prescriptions des
arrêts de travail : motif d’ordre médical, prescripteurs de prolongations. Par ailleurs, envers
les assurés, elles sensibilisent au respect des délais d’envoi. Dans le même temps, elles
constituent un cadrage sur les règles de paiement à bon droit dans le cadre du contrôle
interne.
1.5.2 Les actions de maîtrise des risques au titre du contrôle

interne
Les contrôles médicaux mettent en œuvre localement deux types de rétrocontrôle afin de mettre en
évidence :
- les décalages existants entre les bases d’exonération du ticket modérateur médicales et
administratives,
- les décalages existants entre les refus de prise en charge signifiés par les contrôles
médicaux et les paiements effectués par les services techniques.
Des requêtes permettent de les relever, afin de corriger les anomalies et d’en tirer les conclusions en
termes d’organisation et de fonctionnement.
Par ailleurs, les Contrôles médicaux mettent en œuvre les mesures nécessaires au respect du secret
médical, par la protection des données qu’elles soient informatisées ou non et l’accès aux outils
informatiques métier. A ce titre, ils contribuent également au contrôle interne sur ce point.
1.5.3 La mise en œuvre d’une action commune gestion du
risque-lutte contre la fraude : le contrôle de dispositifs
médicaux et prestations associées relevant de la liste des
produits et prestations (LPP)
En 2014, la CCMSA a impulsé au sein du réseau MSA le déploiement d’une action sous le timbre
conjoint du contrôle médical et de la lutte contre la fraude. Il s’agissait de décliner pour le régime
agricole une action conçue par le régime général et portant sur le contrôle dispositifs médicaux et
prestations associées relevant de la liste des produits et prestations (LPP). Les caisses de MSA ont été
invitées à s’associer à cette action dans le cadre des coopérations régionales inter-régimes.
Les pharmaciens et fournisseurs qui ne respectent pas les règles de facturation sur une catégorie de
produits sont repérés à partir de requêtes et peuvent faire l’objet de sanctions (recouvrement d’indus et
de pénalités, dépôts de plainte…). Ainsi, les services de GdR et de lutte contre la fraude sont associés
dans la mise en œuvre de cette action. Les produits qui ont été ciblés par ce programme sont des
postes importants de dépenses pour l’assurance maladie : lits médicalisés, fauteuils roulants, soulèves
malades et sièges coquilles.
30 caisses de MSA ont mis en place cette action. 5 d’entre elles ont démarré l’action un peu plus
tardivement ou ont adapté la méthodologie afin de répondre à un problème de volumétrie trop important.
Les principaux résultats sont les suivants :
fauteuils et autres
lits médicaux forfaits sièges
soulève- produits et total
et accessoires livraison coquilles
malades prestations
nbre de signalements
issus de la requête 7 954 31 444 27 999 1 687 104 521 173 605
traités 5 408 15 922 20 860 252 19 791 62 233
(traités) en anomalie 1 798 9 508 1 277 22 4 969 17 574
non frauduleuses
nbre de
signalements
13 142 68 2 14 239
(traités) en anomalie
frauduleuse
nbre total de
signalements 1 811 9 650 1 345 24 4 983 17 813
(traités) en anomalie
montant global des

anomalies 177 265 € 174 078 € 86 354 € 7 978 € 124 394 € 570 068 €
constatées
source: CCMSA / DERS
Plus de 5.000 fournisseurs (pharmaciens ou fournisseurs d’appareillage) de produits de la LPP ont été
contrôlés par l’ensemble des CMSA. Les contrôles ont mis en évidence des anomalies de facturation
pour un tiers d’entre eux.
Le montant total des anomalies s’élève à plus de 570.000 €. Deux fournisseurs ont fait l’objet de
sanctions.
1.6 Protection des personnes et du patrimoine
La protection des personnes suppose le respect des recommandations de la Commission Nationale de
l’Informatique et des Libertés (CNIL) en matière de gestion des fichiers de données et la mise en place
des mesures permettant d’assurer la sécurité physique du personnel des organismes ainsi que des
personnes amenées à visiter les bureaux (adhérents, partenaires…)
La protection et la sauvegarde du patrimoine concerne les immeubles et actifs ainsi que les biens
immatériels comme l’image du régime.
Les éléments formalisant l’existant en matière de procédures et directives concernant la protection des
personnes et du patrimoine prennent place dans le « dossier permanent ». Ce dossier permet à tout
auditeur de bénéficier d’une perception de l’environnement général de la structure concernée.
1.6.1 Le Document Unique d’Evaluation des Risques

Professionnels (DUERP)
Les organismes tiennent à jour annuellement le Document Unique d’Evaluation des Risques
Professionnels (DUERP). Il intègre les risques psychosociaux inhérents à chaque entreprise.
Dans un souci de préservation de la santé des salariés et de prise en compte du développement du

bien-être et de l’efficacité au travail, un accord de branche relatif à la Prévention des Risques
Psychosociaux (RPS) a été conclu par la Fédération Nationale des Employeurs de la Mutualité Sociale
Agricole (FNEMSA) et les partenaires sociaux le 19 janvier 2012.
Un diagnostic national, à travers un panel d’indicateurs permet de réaliser depuis 2012 un baromètre
social institutionnel.
Chaque organisme, à son niveau doit également réaliser un diagnostic local, le comparer au national et
élaborer en lien avec le CHSCT, un plan d’actions et de communication.
Depuis le déploiement de l’accord en 2012, une circulaire FNEMSA est diffusée chaque année précisant
les modalités pratiques de réalisation des diagnostics (calendrier, définitions des indicateurs, réunions
communes des Comités d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT) en rappelant les
obligations posées par l’accord en matière d’élaboration des plans d’actions.
Les plans d’actions des organismes sont étudiés chaque année et leur élaboration est un des
indicateurs de l’accord d’intéressement en cours.
Par ailleurs, l’élaboration d’un guide de bonnes pratiques portant sur l’accompagnement au
changement, la sécurisation des locaux et l’expression des salariés a été engagée pour diffusion au
réseau en 2015.
1.6.2 La charte de l’utilisateur des systèmes d’information
La charte de l’utilisateur des systèmes d’informations diffusée en 2010 par la CCMSA et dont les
conditions de mise en place ont été précisées par la FNEMSA permet :
- de décrire les règles de sécurité informatique applicables aux données informatiques, aux
applications et logiciels, aux matériels informatiques,
- de prévenir une utilisation abusive de ces deniers et de régler les conséquences des
éventuels abus.
Cette charte, mise en place par les organismes de MSA, s’applique à l’ensemble des utilisateurs, quel
que soit leur statut, y compris les stagiaires, visiteurs occasionnels, salariés mis à disposition,
prestataires intervenant sur les sites.
1.6.3 Les marchés
En 2014, un marché institutionnel était accessible aux organismes pour opérer les contrôles
réglementaires et de maintenance sur les différents immeubles. En effet, les contrôles réglementaires
concernent un parc immobilier MSA composé d’environ 500 000 mètres carrés de type E.R.P (10 %
relèvent de la réglementation des Etablissements Recevant du Public), I.G.H (Immeubles de grande
hauteur), de restaurants d’entreprise, d’aires de jeu.
Le marché se décompose en cinq lots distincts :
- Lot 1 : Electricité avec ou sans « contrôle par caméra thermique »,
- Lot 2 : Incendie,
- Lot 3 : Ascenseurs et automatismes,
- Lot 4 : Appareils de levage,
- Lot 5 : Gaz, adduction d’eau.
Dans la perspective de la fin du marché national conclu en 2011 pour une durée de 4 années, des
travaux ont été engagés en 2014 pour permettre l’accès en 2015 à un marché UCANSS pour les
contrôles réglementaires des installations techniques.
1.7 Plan de continuité

La LTC DG 2006-218 du 15 mai 2006 a diffusé au réseau MSA un cadre national pour l’élaboration des
plans locaux de continuité en cas de pandémie grippale.
La LTC DG 2007-151 du 19 mars 2007 a diffusé le socle des activités dont le fonctionnement doit être
garanti, précisé le schéma organisationnel mis en place à cet effet et les moyens susceptibles d’être
mobilisés.
Le plan national de contrôle interne 2014 visait à recueillir l’assurance que les organismes MSA
disposent d’un plan de continuité d’activité tenu à jour depuis sa première élaboration.
L’objectif est à terme de décliner l’ensemble des dispositions permettant de garantir la reprise et la
continuité de l’activité à la suite d’un sinistre ou d’un événement perturbant gravement l’activité normale.
Pour la plupart des organismes, les principes généraux, les priorités et les besoins d’évolution du plan
ont été identifiés. Toutefois, il a été établi que l’ensemble du dispositif ne pouvait être formalisé que
progressivement.
Les rapports de contrôle interne des organismes pour 2014 font apparaitre qu’au 31 décembre 2014 :
- 8 organismes disposent d’un plan de continuité d’activité actualisé (6 en 2013),

- 18 organismes ont engagé une démarche d’actualisation,
- 13 organismes disposent d’un plan élaboré en 2009 pour faire face au risque de pandémie
mais n’ont pas engagé de travaux de mise à jour. Plusieurs se déclarent dans l’attente
d’instructions institutionnelles.
Sur la base du diagnostic établi, la CCMSA a pris l’initiative de la constitution d’un groupe de travail
réunissant les organismes du réseau avec un représentant par région institutionnelle ainsi que pour
l’entreprise centrale et pour chacun des centres informatiques.
L’objectif est de formaliser et de mettre à disposition du réseau, en 2015, un plan de continuité d’activité
MSA socle. A terme, le plan de continuité d’activité devra intégrer :
- un élargissement, au-delà du risque de pandémie, du panel des risques pris en compte

susceptibles de générer une rupture de service,
- la nouvelle architecture du système d’information avec deux centres de production,
- la complémentarité avec le plan de reprise d’activité,
- la gestion des signalements des incidents et les procédures de traitement.
1.8 Charte de déontologie

1.8.1 Le contexte
La Charte de déontologie contribue à sécuriser l’environnement du contrôle interne en précisant

clairement ce qui est attendu dans la manière de travailler des différents salariés de l’institution, et en
pointant a contrario les situations et comportements à risque.
La charte institutionnelle de déontologie a été diffusée aux organismes par la circulaire FNEMSA
2013-010 du 25 octobre 2013. Elle est l’expression des valeurs éthiques et professionnelles qui
caractérisent les comportements des membres de l’institution, élus et salariés, dans l’exercice de leurs
activités.
La charte de déontologie rappelle la responsabilité de l’institution. Elle permet d’identifier et de conforter
les repères permettant à chaque membre de la MSA, d’adopter des comportements conformes à ce qui
peut être exigé dans la conduite d’un service public et d’une institution mutualiste.
Elle prolonge le message contenu dans la charte de l’élu adoptée par l’assemblée générale de la caisse
centrale en 2002. Ces valeurs, incarnées dans l’action, permettent d’affirmer une identité, de faire vivre
une éthique.
Elle développe six chapitres :
- Le respect de la personne,
- La solidarité,
- La responsabilité,
- Le professionnalisme,
- la confidentialité,
- la loyauté et l’intégrité.
Au titre de ce dernier chapitre, il est souligné que chacun doit veiller :
- à ne pas se trouver en situation de conflit d’intérêt : dossier personnel, dossier d’une

entreprise, association ou personne physique avec laquelle il entretient un lien quelconque,
- à ne pas profiter de ses fonctions pour régler des conflits personnels, avantager ou
désavantager des personnes ou structures de son environnement privé,
- à ne pas tirer avantage de sa position pour accepter des cadeaux ou des services
susceptibles d’altérer sa capacité de décision et/ou d’action,
- à prévenir toute tentative de pression ou d’intimidation et de ne pas se trouver associé,
directement ou indirectement, à une action à caractère frauduleux.
1.8.2 L’implantation au sein du réseau MSA
Compte tenu de la date de diffusion fin 2013 de la charte institutionnelle, et de la nécessaire

présentation aux instances, les organismes se sont mobilisés en 2014 pour son implantation.
Ainsi, au 31 décembre 2014, la charte institutionnelle de déontologie était implantée dans 37
organismes. Pour deux organismes, la démarche était engagée mais non encore aboutie.
Un organisme avait établi dès 2012 une charte locale de déontologie et pour certains organismes,
l’implantation de la charte institutionnelle de déontologie a été l’occasion d’une mobilisation pour une
déclinaison complémentaire dans une charte locale parfois ciblée sur une problématique spécifique
(charte de prévention des discriminations et de promotion de la diversité, guide du savoir être au travail,
engagements déontologique pour les vérificateurs comptables (développée antérieurement).
En outre, plusieurs entreprises rappellent avoir également :
- implanté la charte de l’utilisateur des systèmes d’information (Cf. supra protection des
personnes et du patrimoine),
- mis en place un dispositif local (procédure…) de traitement des dossiers du personnel et
des administrateurs en sus des contrôles prévus par le PCAC.
1.9 Autres dispositifs de portée institutionnelle

Contribuent également au dispositif de contrôle interne des démarches déployées au plan de
l’ensemble du réseau MSA : le management par les processus orienté client et la gestion de la
connaissance. Les rapports de contrôle interne des organismes mettent également l’accent sur d’autres
dispositifs.
1.9.1 Le management des processus orienté client et les revues

de processus
Le management par les processus permet de mobiliser les différentes composantes de l’entreprise
vers un objectif commun d’amélioration en continu de la performance et de la satisfaction client.
En 2014, les organismes ont piloté la bonne réalisation des plans d’actions des processus nationaux
optimisés livrés en 2012 et 2013 :
- Emettre les cotisations salariés
- Gérer les IJ maladie maternité
- Gérer les prestations logement
- Gérer les prestations PAJE :
o allocation de base
o complément de libre choix d’activité
o complément du mode de garde
o prime à la naissance ou l’adoption
- Etudier et attribuer le RSA
- Gérer la carrière d’un assuré
- Gérer la demande de retraite
Ils ont également déployé et mis en œuvre les processus nationaux optimisés livrés en 2014 :
- Gérer la demande de réversion,
- Mettre en œuvre le recouvrement amiable et l’articuler avec le recouvrement forcé des
cotisations impayées.
1.9.2 La gestion de la connaissance
Après le portail 'l'essentiel famille' ouvert à l'ensemble des utilisateurs MSA le 5 mars 2013, le portail
'l'essentiel retraite' a été ouvert le 26 mars 2014.
Ainsi, en 2014 chaque organisme de MSA pouvait accéder à deux portails dont l'objectif est de
participer à l'harmonisation des pratiques et à la sécurisation dans le traitement des dossiers et ce,
en mettant à disposition des collaborateurs des MSA dans une base documentaire intégrée dans leur
poste de travail, l'ensemble de la documentation dont ils ont besoin pour remplir leur mission.
En 2015 doivent être mis à disposition deux autres portails : 'l'essentiel accueil' pour les agents du front
office (téléconseillers et agents d’accueil) et un portail pour les techniciens maladie : 'l'essentiel santé'.
1.9.3 Autres
Les organismes témoignent également, dans leur rapport de contrôle interne, de leur engagement
dans les démarches suivantes :
- contrôle de gestion,
- mise en œuvre des outils du socle commun de recouvrement,
- mise en œuvre du guide des bonnes pratiques de la commission de recours amiable : ce

guide diffusé en décembre 2013 par la CCMSA propose un référentiel commun pour les
remises de majorations de retard,
- réalisation des entretiens annuels d’évaluation avec un objectif de taux de réalisation de

100 %.
1.10 Dispositifs locaux

En complément des outils déployés sur l’ensemble du réseau MSA, des organismes ont déployé des
dispositifs locaux présentés dans leur rapport de contrôle interne 2014 :
- Charte méthodologique de gestion des Prestations Indues à Récupérer. Cette charte dont
l’objectif est de dynamiser et renforcer la performance du recouvrement a été signée le
12 mai 2014 par l’ensemble des cadres encadrants (Ardèche Drôme Loire) ;
- Description de l’organisation fonctionnelle en complément des organigrammes

hiérarchiques dans le cadre de la spécialisation des sites (Limousin) ;
- Rédaction et révision de procédures dans le domaine de l’ASS, du recouvrement, de la

SST et de la gestion des contacts (Limousin).
II. LES OUTILS DU CONTROLE INTERNE MIS EN
ŒUVRE PAR L’AGENT COMPTABLE
Les outils du contrôle interne mis en œuvre spécifiquement par l’Agent comptable sont le Plan de
contrôle de l’Agent comptable (PCAC), la vérification comptable et la matrice des risques comptables et
financiers.
2.1 Plan de contrôle de l’Agent comptable

L’article D.122-8 du Code de sécurité sociale indique que l’Agent comptable établit un plan de contrôle,
qu’il communique à l’organisme national. Ce plan s’insère dans le dispositif de contrôle interne de
l’organisme, et respecte les instructions de l’organisme national.
L’article D.723-191 du Code rural prévoit les modalités d’application pour le régime agricole.
Le « plan de contrôle national » diffusé par la circulaire n° 2010-034 du 4 novembre 2010 s’impose à
er
tous les organismes de MSA depuis le 1 janvier 2011.
Le plan de contrôle national fixe notamment :
- les procédures de vérification et de contrôle des opérations de dépenses et de recettes en
matière de gestion technique et budgétaires,
- les procédures de vérification des opérations de trésorerie et de maniement des fonds,
- l’archivage et la conservation des pièces justificatives comptables,
- les procédures des contrôles en matière informatique.
En 2014, ce plan de contrôle recouvre les opérations techniques (cotisations et prestations), les
opérations de gestion (recettes et dépenses), les opérations de trésorerie, l’archivage et les contrôles
dans le domaine informatique, soit 62 références de contrôles.
- Recettes techniques : 18 contrôles qui concernent notamment,
• en matière de recouvrement des créances, le contrôle de l’ajustement des créances en solde

dans le Compte Adhérent Individuel (CAI) avec la comptabilité, le suivi du recouvrement amiable
des créances autres que les cotisations et le respect de la réglementation en matière de
créances prescrites,
• en matière de calendrier des appels de cotisations non-salariés et des taux d’appels
provisionnels, le contrôle de leur passage en Conseil d’administration, le respect des taux des
appels provisionnels, des dates d’exigibilité et des dates limites de paiement,
• en matière d’émissions des cotisations non-salariés, l’assurance que les services techniques ont
procédé au contrôle de l’utilisation de la dernière version installée du programme informatique, à
la vérification du bon déroulement du traitement, au contrôle de la cohérence avec les échéances
précédentes de même nature et à la cohérence entre les états techniques et l’écriture comptable,
• en matière d’émissions des cotisations sur salaires, le contrôle du respect de la date d’exigibilité
et de la date limite de paiement, l’assurance que les services techniques ont procédé au contrôle
de la dernière version installée du programme informatique, à la vérification du bon déroulement
du traitement, au contrôle de la cohérence avec les émissions du même trimestre de l’année
précédente, de la cohérence entre les états techniques et l’écriture comptable.
- Dépenses techniques : 8 contrôles qui concernent notamment,
• en matière de vérification des échéances périodiques (AVA, AVSA, PF, rentes AT, invalidité),
l’assurance que les services techniques ont procédé au contrôle de l’utilisation de la dernière
version installée du programme informatique, à la vérification du bon déroulement du traitement,
au contrôle de la cohérence avec les échéances des mois précédents, et des échéances du
même mois en N-1 et à la cohérence entre les états techniques et les états comptables,
• en matière de vérification des prestations aléatoires (vieillesse, PF, rentes AT, Invalidité), contrôle
des modalités définies localement selon une procédure écrite (seuil, nature de la prestation),
• en matière de contrôle de remises de créances et des créances admises en non-valeur,
l’assurance de la conformité de la comptabilité avec le procès-verbal de la CRA ou du CA et
l’approbation de la MNC.
- Recettes de gestion : 3 contrôles qui concernent notamment,

• en matière de prise en charge des ordres de recettes, contrôle de l’inscription en comptabilité des
ordres de recettes au regard des conventions ou contrats selon des modalités à définir
localement,
• en matière d’encaissement des recettes à l’échéance, l’assurance du suivi du recouvrement des

créances de gestion administrative et du suivi du recouvrement des prêts.
- Dépenses de gestion : 19 contrôles qui concernent notamment,
• en matière de validité de la créance – cas général, l’assurance de l’intervention préalable des

contrôles légaux et règlementaires prévus pour certaines catégories de dépenses, le contrôle de
la conformité de la facture avec l’acte d’engagement pour les factures supérieures à 1.000 € TTC
et de la réalité des fournitures livrées ou des services accomplis,
• en matière de l’exacte imputation des dépenses – cas général, la vérification de l’imputation
comptable, conformément au PLACAIR et de l’imputation budgétaire conformément à la circulaire
budgétaire et aux mentions des services ordonnateurs sur la destination de la dépense,
• en matière de disponibilité des crédits budgétaires – cas général, le contrôle que le budget
approuvé par la CCMSA a été saisi dans l’outil informatique,
• en matière de prestations extra légales ASS, l’assurance que le service ASS a vérifié l’application
des barèmes décidés en CA et les décisions des commissions pour les prestations individuelles
selon les modalités à définir localement,
• en matière de paie, l’assurance que les contrôles contenus dans le Plan de Contrôle Mensuel de
la Paie ont été réalisés et de leur effectivité pour un mois dans l’année, vérification également sur
un échantillon annuel de 10 % des salariés que les éléments servant au calcul de la paie sont
conformes aux pièces justificatives du dossier du salarié,
• en matière de charges sociales et fiscales, le contrôle des charges sociales et fiscales à payer
avec les montants comptabilisés par l’écriture de paie.
- Opérations de trésorerie : 7 contrôles qui concernent notamment l’assurance du respect des dates
de valeur par la banque,
• en matière d’opérations de placements, le contrôle des ordres de placement, la vérification de la

nature (achat/vente), du nombre, du montant unitaire et du montant total de l’opération de
placement,
• en matière de rapprochement bancaire, le contrôle des opérations débitées et créditées par la
banque avec la comptabilité,
- Archivage : 1 contrôle concernant la vérification du respect des règles de destruction des

documents pièces justificatives comptables, soit la vérification que le quitus pour l’exercice
comptable est obtenu pour détruire les documents et pièces justificatives comptables.
- Applications informatiques : 6 contrôles concernant notamment,
• en matière d’habilitation du personnel, l’assurance de la mise en œuvre dans l’organisme du

dispositif de contrôle interne portant sur l’habilitation des personnes autorisées à saisir ou
manipuler des données informatiques et l’assurance que les seuls comptables sont habilités aux
transactions de paiement,
• en matière de contrôle de mise en œuvre des dernières versions validées des programmes
informatiques, contrôle pour l’application comptable et assurance pour les autres applications,
que les consignes destinées aux caisses mentionnées dans la FSU sont respectées,
• en matière de contrôle de l’existence des procédures de sauvegarde des fichiers de programmes

et de données et de l’existence des solutions de secours informatique, vérification de l’application
des procédures conformément au protocole entre le CITI et la MSA,
• en matière des interventions sur les données sources de la caisse, assurance que la procédure
annexée au protocole est respectée,
• en matière de la validation des applications informatiques et bureautiques locales, ayant un

impact financier et comptable, assurance de l’existence des sécurités physiques et logiques, de
la conformité des programmes informatiques aux règles de gestion fixées en application des lois
et règlements, de l’exactitude des traitements de liquidation des cotisations et des prestations, de
l’existence de procédures assurant l’intégrité des échanges de données informatisées entre les
applications informatiques des services techniques et celles de l’Agence comptable et existence
de traitements de contrôle interne automatisés et des éditions d’anomalies.
Le plan de contrôle national précise également pour chacun des contrôles :
- les objectifs du contrôle,

- les modalités du contrôle en termes de périodicité (quotidien hebdomadaire/ mensuel /
annuel), logique (a priori / a posteriori), d’intensité (exhaustif, ciblé (sélectif),
- aléatoire (sondage),
- l’activité du contrôle (détail du contrôle),
- les pièces justificatives probantes justifiant le contrôle.
La mise en œuvre du PCAC dans les organismes revêt différentes formes. Cependant, d’une manière
générale, les organisations mises en place sont assez similaires, ainsi :
- pour chaque item du PCAC un mode opératoire est écrit et validé par l’Agent comptable,
puis transmis aux différents secteurs ; la procédure est déclinée par les services
techniques et peut être mis en ligne dans un environnement à disposition des utilisateurs,
- un suivi mensuel, trimestriel ou annuel est réalisé par l’Agence comptable à l’aide d’un
tableau de bord et, si nécessaire, des relances aux différents secteurs sont effectuées,
- les anomalies détectées sont détaillées sur une fiche, qui est complétée de l’action
corrective réalisée,
- pour couvrir des activités considérées à risque par l’Agent comptable, des contrôles locaux
peuvent être ajoutés au PCAC.
Ces différentes actions sont contrôlées et supervisées par l’Agent comptable, ou son délégué principal.
ème
Au cours du 2 semestre 2014, un groupe de travail réunissant la CCMSA et 6 caisses de MSA s’est
réuni pour procéder à l’actualisation du PCAC, et ce afin de prendre en compte d’une part la réforme du
financement, et d’autre part le renforcement de certains contrôles. Cette mise à jour a conduit à
rajouter, supprimer ou modifier des contrôles. Elle a été diffusée à l’ensemble des organismes de MSA
er
par Circulaire n° DCF-2015-012 du 17 avril 2015, pour une mise en application à compter du 1 mai
2015.
2.2 Vérification comptable

Conformément à l’article D723-243 du Code Rural relatif au contrôle interne, l’Agent comptable d’un
organisme de Mutualité Sociale Agricole doit réaliser annuellement la vérification d’un nombre minimum
de dossiers de prestations liquidées et de cotisations émises par l’organisme.
Chaque année, l’Agent comptable de la CCMSA précise, dans une lettre adressée à toutes les MSA,
les principes généraux et les modalités à retenir pour l’exercice à venir (domaines, quotas, typologie
des contrôles...).
Pour 2014, les modalités de mise en œuvre de la vérification de l’Agent comptable ont été transmises
par une lettre à toutes les caisses n° DCF-2013-491 du 28/10/2013.
Afin de garantir une homogénéité des résultats de la vérification comptable, des principes généraux ont
été définis :
- les références sur lesquelles s’appliquent les quotas sont transmis par la CCMSA à partir
des statistiques fournies par la Direction des Etudes, des Répertoires et des Statistiques
(DERS), comme pour l’année précédente ;
- le quota des 10 % sur les contrôles « a priori » n’évolue pas afin de maintenir une qualité
de service à l’adhérent ;
- l’harmonisation des pratiques en matière de vérification comptable a rendu obligatoire
l’utilisation des modes opératoires par domaine (hors ASS) et la sélection des dossiers par
l’outil ;
- le seuil d’anomalie avec incidence financière initialement fixé selon les seuils déterminés
sur la base de règles applicables à l’abandon de créances de faibles montants, soient
respectivement 21 € pour les prestations (0,68 % du PMSS - Art D. 133-2 du CSS) et 39 €
pour les cotisations (1,27 % du PMSS - Art D. 133-1 du CSS) est abandonné en cours de
campagne.
Deux éléments déterminants ont conduits à abandonner ces seuils au cours de la campagne 2014 avec
le souci du respect de la COG :
- pour ses objectifs fixés avec un seuil d’anomalie financière déterminé dès le premier euro
constaté,
- tout au long de sa durée, avec la volonté de ne pas introduire de rupture de série.
Dès lors, le seuil d’anomalie financière est fixé dès le premier euro constaté. Ceci a entraîné un
recalcul de l’année 2013 pour une présentation cohérente et homogène des résultats de la
campagne 2014 en termes d’évolution.
La vérification comptable en 2014 :
- s’est déroulée du 1er novembre 2013 au 31 octobre 2014,

- a couvert les domaines des prestations légales et extra légales, et des cotisations
(salariées et non salariées).
Afin d’être en cohérence avec le dispositif de contrôle interne constitué des actions de contrôle interne
(ACI) des 20 processus métiers socles, la vérification comptable ne porte que sur des contrôles
aléatoires.
En 2014, 295 100 dossiers ont été contrôlés, répartis en 283 332 dossiers de prestations et 11 768
dossiers de cotisations. En plus des minima des quotas exigés 13 663 dossiers ont été contrôlés (soit
+ 4,80 %).
15 252 dossiers ont été détectés en anomalie (soit 5,17 % des dossiers contrôlés, contre 5,43 % en
2013), dont 10 355 dossiers avec incidence financière (soit 3,51 % des dossiers contrôlés, contre
3,67 % en 2013).
Les dossiers avec incidence financière (IF) représentent 67,9 % des dossiers en anomalie (contre
67,5 % en 2013).
Tous domaines (hors ASS), le taux global d’anomalies diminue, passant de 5,43 % en 2013 à 5,17 %
en 2014 ; tout comme le taux d’anomalies avec incidence financière (IF) qui passe de 3,67 % en 2013 à
3,51 % en 2014.
Cette amélioration est liée aux contrôles à priori des actions de contrôle interne (ACI), contrôles qui
s’inscrivent en amont de la vérification comptable.
Par ailleurs, nous constatons une amélioration dans la dispersion des taux d’anomalies avec incidences
financières résultant de pratiques plus homogènes.
Les évolutions constatées en 2014 par rapport à 2013 sont liées à plusieurs facteurs :
- Au cas particulier de certaines caisses qui peuvent présenter des variations significatives à
la hausse ou à la baisse, les opérations de vérification comptable peuvent mettre en
évidence des anomalies qui ont générées des PIARs ou des Rappels sur un petit nombre
de dossiers, mais présentant un montant d’anomalie par dossier important.
- La spécialisation des sites pour certaines caisses : l’année de la mise en place de la
spécialisation peut engendrer une dégradation des résultats de la vérification comptable
liée à la montée en compétence des techniciens.
- Une augmentation de la sélection des dossiers de manière aléatoire, par utilisation de
l’outil institutionnel de vérification comptable qui effectue cette sélection aléatoire des
dossiers ; cependant, il demeure des contrôles ciblés, pour tenir compte de spécificités
locales au regard des risques identifiés.
- Le contrôle des dossiers est effectué selon les modes opératoires diffusés par la CCMSA,
de manière concomitante à la circulaire pour la campagne 2013-2014, qui a induit une
homogénéité dans la « mesure » des contrôles entre les caisses. Par ailleurs, ces modes
opératoires sont aussi une aide et un guide pour les nouveaux vérificateurs comptables.
- La mise en place de plan d’action et de formation dans certaines caisses, au regard des
typologies de dossiers présentant de nombreuses anomalies (exemple : dossiers en ALD,
IJ AT, famille, cotisations AS).
Et d’une manière générale, les contrôles à priori des actions de contrôle interne (ACI), contrôles qui
s’inscrivent en amont de la vérification comptable, permettent de traiter les anomalies a priori des
paiements. Ils ont pour conséquence une amélioration des taux d’anomalie détectés par la vérification
comptable.
En ce qui concerne l’analyse des taux d’anomalies avec incidence financière par domaine, il est
constaté une amélioration des 2 domaines, santé et cotisations non-salariés, et une dégradation dans
les 3 autres domaines, retraite, famille et cotisations salariés.
Au global et tous domaines confondus, plus de la moitié des MSA améliore ses taux d’anomalie. Cette
amélioration s’explique d’une part par la mise en place des modes opératoires qui ont permis
d’homogénéiser les contrôles et ont été de vrais supports d’aide pour les MSA. D’autre part, les plans
d’action et de formation mis en place par les MSA ont contribué également à cette amélioration.
2.3 Matrice des risques comptables et financiers

Dans le cadre de la procédure de certification des comptes du régime, qui s’appuie sur le processus de
validation des comptes des organismes de MSA, a été mis en place une matrice des risques
comptables et financiers, dont l’objectif est d’organiser la justification et la complémentarité des
contrôles opérés au regard des risques identifiés et des activités de contrôle existantes par ailleurs.
Cette matrice est obligatoire pour tous les organismes et permet d’exercer un contrôle sur les zones à
risque.
Ainsi elle permet de :
- supprimer les doublons,
- montrer l’adéquation entre le risque et les contrôles,
- faire le lien entre les rubriques et les contrôles existants,
- identifier les rubriques non couvertes par des contrôles déjà prévus, et « combler » ce
manque par le programme de travail.
Cette matrice est organisée par cycle et par rubrique, et indique pour chacune des rubriques présentant
un risque quantitatif et/ou qualitatif « moyen » ou « fort », les contrôles comptables et financiers qui
doivent être mis en œuvre.
L’ensemble des 1.200 rubriques font l’objet d’une qualification.
Cette matrice précise également les signalements de la revue analytique et le processus métier socle
associé.
Les niveaux de risque des rubriques de bilan, de charges et de produits sont qualifiés non seulement de
quantitatif en fonction de l’importance des montants financiers en jeu mais aussi en qualitatif (ex : risque
de fraude en matière de trésorerie, provisions car font l’objet d’une estimation,…).
Les signalements de la revue analytique indiquent les rubriques nécessitant une justification de
l’évolution N/N-1.
La couverture par un processus métier socle permet de mesurer la criticité du risque et de s’assurer
que les contrôles sont effectués par l’ordonnateur.
Enfin, la couverture des risques comptables et financiers permet, en analysant les différents types de
transactions, d’identifier les risques et erreurs.
Les risques au niveau des transactions portent sur leur exhaustivité (transactions non comptabilisées),
leur validité (transactions comptabilisées non justifiées), leur comptabilisation (transactions
incorrectement comptabilisées) et la séparation des exercices (transactions comptabilisées dans les
comptes d’un exercice auquel elles ne se rapportent pas).
Les erreurs potentielles liées aux états financiers concernent l’évaluation des actifs ou des passifs
(incorrectement faite), et la présentation des comptes ou de certaines informations pouvant induire en
erreur ou insuffisantes.
- Erreurs potentielles liées aux transactions
Exhaustivité (des transactions ne sont pas comptabilisées)
L’exhaustivité signifie que toutes les transactions ont bien donné lieu à la correcte production
d’une pièce d’origine ou à une saisie directe dans le système, et que les données saisies ont
bien été déversées dans le grand livre auxiliaire.
Les principales illustrations de l’erreur potentielle d’exhaustivité sont les suivantes :
- Les transactions ne sont pas identifiées et ne donnent donc pas lieu à la création d’une
pièce d’origine ou à une saisie directe dans le système,
- La saisie ou les traitements ultérieurs retiennent des montants inférieurs aux montants réels
des transactions,
- Toutes les données saisies ne sont pas déversées dans le grand livre auxiliaire,
- Les données saisies mais rejetées ne sont pas réintroduites dans le système pour être
déversées dans le grand livre auxiliaire.
Validité (des transactions comptabilisées ne sont pas justifiées)

La validité signifie d’une part que seules les transactions ayant effectivement eu lieu ont fait
l’objet de la production d’une pièce d’origine ou d’une saisie directe, d’autre part que seules les
transactions valides sont enregistrées dans le grand livre auxiliaire.
Les principales illustrations de l’erreur potentielle de validité sont les suivantes :
- Des transactions fictives ou non autorisées sont saisies sur les pièces d’origine ou saisies
directement dans le système,
- La saisie ou les traitements ultérieurs retiennent des montants supérieurs aux montants
réels des transactions,
- Les transactions sont saisies plusieurs fois,
- Les données saisies sont déversées plusieurs fois,
- Des saisies non justifiées sont déversées dans les grands livres auxiliaires.
Comptabilisation (des transactions sont incorrectement comptabilisées)

La comptabilisation désigne l’exactitude avec laquelle sont présentées les données du grand
livre. Certaines données peuvent être comptabilisées pour un montant erroné ou faire l’objet
d’une erreur de classification. Des inexactitudes peuvent également se produire lors de la
centralisation des transactions ou lors du transfert d’un registre à un autre. Pour répondre à
l’erreur potentielle de comptabilisation, il convient d’identifier des contrôles destinés à vérifier
l’exactitude de la saisie et du traitement des données.
Les principales illustrations de l’erreur potentielle de comptabilisation sont les suivantes :

- Les données saisies ne se déversent pas correctement dans les grands livres auxiliaires,
- Le traitement des transactions (centralisation, calculs et enregistrement) est incorrect,
- Les ajustements enregistrés dans les grands livres auxiliaires ou dans le grand livre
général sont incorrects.
Séparation des exercices (des transactions sont comptabilisées dans les comptes d’un
exercice auquel elles ne se rapportent pas).
Cette erreur potentielle concerne les transactions qui ont lieu au cours d’un exercice, mais qui
sont comptabilisées sur un autre exercice.
- Erreurs potentielles liées aux états financiers
Les erreurs potentielles qui concernent les comptes eux-mêmes (et non les transactions) sont les
suivantes :
Evaluation (des actifs ou des passifs ne sont pas correctement évalués)
Cette erreur potentielle survient lorsque les valeurs attribuées aux actifs et aux passifs ne
reflètent pas la situation de l’entreprise et les conditions économiques existantes, conformément
aux règles et méthodes comptables appliquées.
Présentation
Cette erreur potentielle survient lorsque les comptes sont présentés d’une façon qui peut induire
en erreur ou lorsque certaines informations nécessaires à une présentation fidèle et conforme
aux normes comptables ainsi qu’aux dispositions légales, ne sont pas données.
Pour chaque organisme de la Mutualité Sociale Agricole, l’ensemble des risques comptables et
financiers sont suivis et synthétisés en fin d’année dans l’outil OVNI partagé avec la CCMSA
rubrique « couverture des risques comptables et financiers ».
Il appartient à chaque organisme de MSA d’indiquer les contrôles effectués dans le cadre du
PCAC, l’effectivité des contrôles issus du programme de travail sont automatiquement pris en
compte sur la base des programmes de travail revus par la CCMSA.
III. LES OUTILS DU CONTROLE INTERNE LIES AU
SYSTEME D’INFORMATION
Les outils du contrôle interne liés au système d’information visent : le dispositif VAINCI, le suivi des
incidents, le plan de reprise d’activité, la politique et le plan de sécurité du système d’information, ainsi
que les applications informatiques locales.
3.1 Dispositif VAINCI (Validation des Applications Informatiques dans le

cadre du Contrôle Interne)
Le dispositif VAINCI (Validation des Applications INformatiques dans le cadre du Contrôle Interne),
instauré en 2004, a pour objectif de clarifier, formaliser normaliser et sécuriser la réalisation des
applications informatiques dans toutes les étapes du cycle de vie logiciel : études et conception,
réalisation, qualification et pilotage.
Il se compose de 2 volets :
- un protocole fixe dans le temps afin de répondre aux préconisations du décret Contrôle
Interne; Ce protocole est signé par chaque Maîtrise d’Ouvrage et la CCMSA. Il reprend les
articles du décret Contrôle Interne et engage à respecter le processus décrit dans un
document intitulé « Cadre général du cycle de vie logiciel ».
- Le « cadre général du cycle de vie logiciel » qui garantit la sécurisation des applications et
décrit chaque étape nécessaire à la conception, au développement, à la maintenance et
aux évolutions des applications informatiques.
La validation formelle pour la mise en exploitation de toute version logicielle est acquise lors de la
signature de la Fiche de suivi utilisateur (FSU) à la fois par le directeur et l’Agent comptable de la
maîtrise d’ouvrage, et par l’Agent comptable et le directeur de la CCMSA dans le cas d’une version à
impact financier.
Le dispositif VAINCI a fait l'objet d'une importante actualisation annuelle en 2014 : version 6.0 de
décembre 2014 publiée le 5 février 2015 et portant sur l’intégration des dispositions du décret contrôle
interne de 2013, ainsi que sur la révision des processus d’étude, de conception et de qualification :
- Mise en place du dossier d'étude

- Evolutions du processus de Qualification
- Dématérialisation de la FSU et des check-lists
- Automatisation du plan de diffusion des versions
- Extension de VAINCI aux Applications Informatiques Locales
- Réorganisation des instances de gouvernance
- Intégration des partenariats
Indicateurs 2014 :
Les valeurs des indicateurs 2014 retenus pour le PNCI sont les suivantes :
- Nombre de versions logicielles publiées en 2014 : 1 768 (1 573 en 2013)
- Nombre de livraisons sans FSU en 2014 : 0 (0 en 2013) 3 demandes de modifications de
périmètre de versions ont été régularisées a posteriori.
- Nombre de versions logicielles publiées avec FSU pour les Applications Informatiques
Locales : 121 (125 en 2013).
Ces indicateurs sont reconduits en 2015.
3.2 Le suivi des incidents : Tickets tandem

3.2.1 Le dispositif
Les incidents rencontrés par les applications sont signalés par les utilisateurs dans un outil de
déclaration appelé « SOLAU » pour les signalements de niveau 1 émis par les caisses vers les centres
et « TANDEM » pour les signalements de niveau 2 remontés aux MOME.
Cet outil permet de décrire l'anomalie rencontrée, d'identifier le traitement en cause, et de lui associer
des critères de classification décrits en termes de volume, de criticité et d'impact sur la qualité de
service.
L'outil TANDEM permet la transmission automatique et immédiate des incidents déclarés aux acteurs
en charge de leur expertise puis de leur résolution.
En ce qui concerne les applications nationales, l'analyse des incidents et leur traitement sont pris en
charge par les caisses pivots et les centres informatiques, puis si nécessaire par la Maîtrise d'ouvrage
et de la Maîtrise d'œuvre applicatives dans un second temps.
Le même dispositif est en cours d’expérimentation afin de déclarer les incidents rencontrés par les
applications locales.
La correction des programmes incriminés est inscrite dans le plan d'action de maintenance des
applications et délivrée par la mise en place de versions correctives.
Un tableau de bord hebdomadaire et un tableau de bord mensuels sont mis à disposition des équipes,
avec une visibilité de niveau direction. Un signalement hebdomadaire a été mis en place à destination
du Directeur Général et de l’Agent comptable de la CCMSA.
Une information trimestrielle est réalisée auprès du Comité des Régions Informatiques (CRI).
3.2.2 Les critères d'évaluation des incidents
Les critères de criticité sont :
- Le risque financier
- La perte de productivité
- La perte de qualité de service adhérent
Les critères sont renseignés par les demandeurs avec une consolidation par la Maîtrise d'ouvrage et la
Maîtrise d'œuvre.
Le risque financier :
La caisse émettrice du signalement calcule la conséquence financière et la rapporte au total concerné
de l’événement (journée maladie, échéance vieillesse, échéance RMI, émission de cotisations). Les
valeurs possibles sont : nul, faible, moyen, important.
Le ratio obtenu permet de déterminer la valeur du risque financier selon l'échelle suivante : 0 nul, < 1 %
faible, < 2 % moyen, > 2 % important
La MO ensuite peut extrapoler les données de la caisse en fonction du fait que l’anomalie concerne tout
ou partie des caisses de MSA.
La perte de productivité :
La productivité est calculée d’après une estimation du temps perdu du fait de l’anomalie (procédures de
contournement, rattrapages de dossiers, procédures manuelles…) sur la base d’un nombre d’ETP par
an pour la caisse.
Les MO et ME extrapolent ensuite et déterminent une tranche d’ETP au niveau national parmi les 6
valeurs suivantes : <0,5 ETP, 0,5 à 1,5 ETP, 1,5 à 5 ETP, 5 à 10 ETP, 10 à 20 ETP, >20 ETP
La perte de qualité de service adhérent :

L'évaluation est faite en appréciant les aspects proportion de la population concernée, pénalisation
financière ou charge de travail de la population touchée, dégradation de la réactivité caisse, dégradation
de la qualité de réponse caisse, dégradation de l'accueil physique, téléphone, extérieur, impact négatif
sur le guichet unique.
Le demandeur renseigne la valeur qui concerne sa caisse. Les MO et ME consolident le critère au
niveau national.
Trois indicateurs de consolidation

En complément des critères ci-dessus, ont été mis en place les indicateurs suivants :
- le stock de signalements (tickets) non résolus

- le flux des tickets entrants par période
- le volume des tickets non traités (non évalués)
3.2.3 Le bilan
Le bilan au 31/12/2014 sur la base des évaluations indiquées plus haut a permis de tirer les
enseignements suivants :
Le stock de tickets tandem

Le nombre de tickets en stock au 31/12/2014 est de 2 816 (2 560 au 31/12/2013), soit une progression
de 10 % (11,69 % sur la période précédente). La hausse du stock a été mieux maîtrisée qu'en 2013. La
généralisation du processus de correction directe par les informaticiens MEI en 2014 a permis
l'accélération du traitement des nouveaux tickets entrants, et entraîné globalement un effet de
contention sur le stock existant.
La tendance moyenne n'est néanmoins pas représentative de la situation des applications observées
qui présentent des évolutions différentes selon les applications :
- une baisse significative du stock en vieillesse (- 20,18%), cotisations non-salariés

(- 14,02 %)
- une stabilisation en famille (0,25 %),
- une reprise à la hausse pour les applications Maladie (+ 23,65 %), Contentieux (+ 7 6 %),
Cotisations salariés (+ 47,58 %) comptabilité (+ 19,63 %) et paye (+ 30 %) ;
Ainsi concernant les 5 applications les plus importantes en termes de stock :
- famille : 404 tickets soit + 0,25 % (403 tickets soit + 19,23 % en 2013)
- vieillesse : 364 tickets soit - 20,18 % (456 tickets soit + 25,9 % en 2013)
- maladie : 251 tickets soit + 23,65 % (203 tickets soit - 23,68 % en 2013)
- comptabilité : 195 tickets soit + 19,63 % (163 tickets soit -1,21 % en 2013)
- cotisations salariés : 183 tickets soit + 47,58 % (124 tickets soit + 37,78 % en 2013)
Au global, la moyenne générale du stock des tickets représente 11,5 mois de tickets reçus contre 8,6
en 2013 et 7,4 en 2012.
Le flux de tickets tandem

Le flux moyen de réception mensuelle est de 245 contre 227 en 2013. Apprécié depuis 2008, il est de
289 sur la période 2008-2014.
La tendance de cet indicateur observée depuis 2008 reste décroissante sur l’ensemble de la période,
nonobstant une variation à la hausse du flux d'environ 10 % en 2014.
Les applications dont le stock et le flux ont le plus augmenté en 2014 sont les applications maladie,
contentieux, comptabilité et cotisations sur salaires. Ces applications sont concernées directement par
des refontes ou des grands programmes en 2014 (Refonte tarification, DSN, OCEAN, Elections, …).
Ce phénomène qui s’observait déjà lors du bilan 2013 sur toutes les applications concernées par des
projets majeurs de développement se confirme dans le bilan 2014.
En effet, les ressources et les compétences ont été affectées en priorité sur ces projets.
Inversement, et notamment en ce qui concerne les applications Prestations familiales, Prestations

vieillesse et les cotisations non salariées, la tendance s’est infléchie en 2014.
Néanmoins, le flux moyen mensuel de réception des nouveaux tickets n’explique pas à lui seul
l’augmentation du stock. Il convient de prendre en compte :
- l’accroissement constant du parc applicatif (estimé à 5 % par an) ;

- la réduction des enveloppes annuelles de maintenance afin de porter la priorisation de l'effort
de production sur les développements et les refontes.
Le volume des tickets tandem non traités

Le nombre de tickets non évalués au 31/12/2014 s'élève à 252, contre 357 au 31/12/13 et au
31/12/2012.
Ce chiffre a connu une hausse importante en cours d'année (791 au 30 octobre) et une opération
massive de résorption des tickets au quatrième trimestre a été engagée.
Le pourcentage de tickets non évalués passe ainsi à 8,95 % contre 13,95 % en 2013 et 15,58 % en
2012.
Des rappels réguliers sur l'analyse de tous les tickets et la nécessité de l'évaluation des risques,
notamment aux fins de détecter les tickets à risque financier sont opérés auprès des équipes
applicatives MO et ME.
Analyse de la criticité
Au 31 décembre 2014 sur la base du stock de 2 816 tickets subsistaient :
- 9 tickets à risque financier important, 181 avec risque moyen - 93,25 % des tickets ont un
risque financier faible ou nul (93,36 % au 31/12/2013) ;
- 1 ticket présente un risque productivité supérieur à 20 ETP, 1 supérieur à 10 ETP, 7 un
risque de moins de 10 ETP - 97,90 % des tickets ont un risque productivité inférieur à
1,5 ETP (98,28 % au 31/12/2013) ;
- 44 tickets ont un risque qualité important, 406 un risque significatif - 84,02 % des tickets
ont un risque qualité acceptable ou nul (84,02 % au 31/12/2013) ;
- 2 tickets ont une urgence de 15 jours, 13 une urgence de 1 mois - 99,47 % des tickets ont
une urgence supérieure à 3 mois (99,49 % au 31/12/2013).
Concernant les 9 tickets à risque financier important :
- 4 tickets concernaient l’application maladie :

o Ticket 120449 : l’incidence financière de ce ticket a été réévaluée à un risque faible.
Son objectif de correction a été positionné pour juin 2015.
o Ticket 120492 : il s’agissait d’un doublon avec un autre ticket lui-même résolu, il a donc
été clôturé en février 2015.
o Ticket 120500 : ce ticket a été corrigé et clôturé en février 2015.
o Ticket 120600 : ce ticket a été corrigé et clôturé en février 2015.
- 1 ticket en médecine du travail, maladie professionnelle :

o Ticket 120447 : l’incidence financière de ce ticket a été réévaluée à un risque nul ; le
ticket sera corrigé pour juin 2015.
- 1 ticket en paye :
o Ticket 119336 : l’incidence financière de ce ticket a été réévaluée à un risque faible, il a
été résolu en mars 2015.
- 1 ticket en prestations familiales :

o Ticket 119780 : ce ticket a été résolu en février 2015
- 1 ticket en prestations vieillesse :

o Ticket 119994 : l’incidence financière de ce ticket a été réévaluée à un risque important
par la MO. Il s’agit d’un cas complexe concernant deux dossiers dont l’analyse est en
cours.
- 1 ticket pour les Répertoires nationaux

o Ticket 115986 : l’incidence financière de ce ticket a été réévaluée à un risque faible par la
MO ; sa résolution est prévue pour juin 2015.
3.2.4 Les actions de suite
Le Plan national de contrôle interne 2015 prévoit la surveillance du nombre d’anomalies en stock, la
diminution du nombre de tickets non analysés et la prise en compte rapide des anomalies à criticité
élevée.
Les actions de suite permettant d’atteindre les objectifs se déclinent selon les trois axes ci-
dessous pour 2015 :
- l’évaluation systématique de tous les tickets (rappel des consignes et des procédures)
- la réorganisation du pilotage des projets et l'examen systématique du stock et du flux lors
des points application ou domaine
- la poursuite de la mise en place de la nouvelle méthode de qualification et du plan de
formation MOME, afin de générer moins de tickets sur les versions livrées.
3.3 Plan de reprise d’activité

L'accord-cadre A00 GIE 2010-003 du 16 juin 2010, passé dans le cadre d’un appel d’offres marché
public de Techniques de l’Information et de la Communication et les marchés conclus sur son
fondement, organisent une solution de secours d’exploitation informatique.
Cette solution concerne le GIE AGORA et les deux centres informatiques (SIGMAP et SIER@) de la
Mutualité Sociale Agricole (MSA).
Elle est constituée d'environnements techniques et de services associés (mise à disposition de locaux
sécurisés, mise à disposition de ressources, exercices…).
L’accord cadre prévoit que la solution de secours soit déployée sous 24 heures après la notification du
sinistre.
Le marché de secours informatique a pris fin au 31 décembre 2014. La procédure de renouvellement de
ce marché a été lancée début 2014 afin de disposer d’un relais au marché existant opérationnel pour
fin 2014. Ce nouveau marché a été notifié le 31 décembre.
Par ailleurs, ces dernières années, les environnements de production portant le système d’information
MSA se sont fortement complexifiés : augmentation importante des infrastructures, hétérogénéité des
technologies et croissance exponentielle des volumes de données (notamment messagerie,
concentration des données EIC,..). La reconfiguration des infrastructures techniques dans le cadre du
regroupement des sites de production constitue un élément supplémentaire à prendre en compte.
Cette situation a amené des problématiques nouvelles de cohérence de sauvegarde, et en
conséquence les membres du CD2I lors de la séance du 13 mars 2013, ont acté du lancement d’une
étude en souhaitant que toutes les solutions envisageables soient étudiées.
Cette étude a été présentée au CD2I du 21 octobre 2013, après qu'un référencement des différents
types de services offerts aux utilisateurs du SI MSA ait été effectué. Chaque service a été analysé au
regard de deux critères spécifiques au secours : le délai maximal de remise en service et le délai
maximal de perte de données toléré. Par ailleurs, tous les moyens d’infrastructure nécessaires à son
fonctionnement ont été identifiés en vue de garantir l’opérationnalité et l’accessibilité du service par ses
utilisateurs lors de sa remise en fonction.
Le choix d’un secours mutuel dit « secours croisé » des deux centres de production pour des services
sensibles a été acté.
Les études techniques complémentaires et l’ensemble des travaux à mener ont été lancés afin de
disposer d’un secours opérationnel début 2015. Depuis mi-décembre 2014, le nouveau service de
messagerie institutionnel en cours de déploiement est secouru selon cette méthode. D’autres services
sont programmés pour être ainsi secourus au cours du premier semestre 2015 dont notamment l’EIC
(serveurs Citrix et espaces bureautiques des caisses de MSA).
3.4 Politique et plan de sécurité du système d’information
3.4.1 La PSSI
En mars 2009, la MSA s'est dotée d'une Politique de Sécurité de son Système d’Information (PSSI).
Cette PSSI a été définie comme une PSSI globale s'appuyant sur un guide de bonnes pratiques ISO
27002 qui comporte 133 mesures de sécurité réparties en plusieurs thèmes dont principalement : la
sécurité physique et environnementale, la gestion des communications et de l’exploitation, l’acquisition,
le développement et la maintenance du SI.
La MSA porte une politique de sécurité du système d'information sous forme d'un référentiel, renvoyant
aux dispositifs de contrôle interne de chacune des composantes (caisse centrale, caisses, Informatique
Institutionnelle, centres).
Dans cette approche liant PSSI et contrôle interne, l’ensemble des acteurs de l’institution est sollicité,
dont en particulier le contrôle interne institutionnel, l’Informatique Institutionnelle et les centres de
production.
En 2013, la PSSI a fait l'objet d'une actualisation publiée le 22 février 2013.

En 2014, des travaux d’étude en vue de la révision de la PSSI ont été engagés.
3.4.2 L’activité 2014
R EVISION DE LA PSSI – C REATION D ’ UN PLAN NATIONAL DE SECURITE DU SI (PNSSI)

L’entrée en vigueur du décret de Contrôle interne en 2013, et l’évolution du dispositif de Contrôle Interne
ainsi que de la gouvernance des métiers et de l’informatique au sein de la MSA ont induit des besoins
de révision de la PSSI et de mise en place d’un véritable processus de gouvernance de la SSI.
Elles se traduisent par la nécessité de formalisation d’un PNSSI, et par un plan de révision de la PSSI.
Pour la PSSI, il s’agit notamment de mieux couvrir la partie gérée à l’échelle locale (applications
réalisées dans les caisses par exemple), sans négliger les axes prioritaires déjà identifiés. En
conséquence, le plan de travail 2014 a été priorisé de la manière suivante :
P1 : Intégrer les dispositions du décret de contrôle interne 2013, et notamment créer un PNSSI
P2 : Poursuivre la mise en place des analyses de risque lors du développement informatique (projet
ISP)
P3 : Préparer les travaux de cadrage en vue de la révision de la PSSI MSA
P4 : Poursuivre les actions de sensibilisation
P5 : Engager divers travaux d'études prévus au plan d'action annuel
L' INTER - REGIME : LE COMITE DE PILOTAGE SECURITE DE LA SPHERE SOCIALE

Un comité de pilotage sécurité « sphère sociale » est animé par la DSS et réunit le représentant du Haut
fonctionnaire de la sécurité du ministère des affaires sociales et l’ensemble des RSSI des organismes
sous tutelle.
La MSA a participé à ce groupe qui se réunit deux fois par an et dont l’objectif est d’harmoniser les
pratiques et de mettre en place des programmes communs.
En déclinaison de ces travaux, la MSA a participé aux sous-groupes suivants :
- Le périmètre de mise en œuvre du Règlement Général de Sécurité (RGS),

- Les indicateurs sécurités
- La gestion des incidents de sécurité
Ainsi qu’aux deux groupes créés pour 2014 :

- Hygiène informatique
- Mobilité
L' INTER - REGIME : LA MICOR (M ISSION DE C OORDINATION DES CAISSES NATIONALES )

Depuis fin 2009, la MICOR a pour objectif de coordonner l'action des caisses nationales en matière
d'harmonisation informatique des Caisses Générales de Sécurité Sociale (CGSS) à travers le « Plan
de cadrage informatique CGSS ».
Le plan de cadrage soumis aux Directeurs et aux DSI des caisses nationales a été initialement élaboré
pour une période triennale de 2011 à 2013.
Il a défini son action autour de 15 axes dont le projet 10 - PSSI interbranches qui se concentre sur
l'élaboration d'une PSSI adaptée aux besoins des CGSS et unitaire.
La MSA a participé aux deux séminaires organisés en 2014 afin de rédiger une PSSI commune opérant
la synthèse des PSSI des organismes nationaux de protection sociale.
L' ANIMATION DU RESEAU MSA

En 2014, l’animation de la filière sécurité au niveau institutionnel a été réalisée principalement via des
communications SSI et la journée annuelle SSI qui s’est déroulée le 20 juin 2014 dans les locaux de la
MSA Ile de France.
La constitution de cette filière apporte des premiers résultats visibles à travers l’activité des échanges
via la boite aux lettres partagée du RSSI par une plus grande sensibilité des agents MSA à la sécurité :
vigilance accrue face à des tentatives d’hameçonnage ou soupçons d’usurpations d’identité, remontée
de questions liées aux usages de l’internet par exemple.
L ES CENTRES DE PRODUCTION
La réorganisation des centres de production autour de deux centres SIER@ et SIGMAP a conduit à
désigner deux RSSI pour ces nouvelles entités. Chaque RSSI centre est secondé par un adjoint.
En 2014, l’activité des RSSI centres a porté sur la coordination des actions sensibles en lien avec la
sécurité informatique.
Une analyse des risques majeurs auxquels les centres de production pourraient être confrontés a été
menée dans le cadre du projet secours informatique afin de vérifier la pertinence des réponses
apportées et de vérifier de la bonne disponibilité des moyens à mettre en œuvre lors de telles
éventualités.
Parallèlement, des travaux de cadrage ont été amorcés avec le groupe SSI tout d'abord, puis par la
filière SSI en vue d'une révision en profondeur des processus de sécurité.
En outre, les protocoles signés entre les centres et les caisses de MSA ont évolué en 2014 afin
d’intégrer les conséquences du décret en matière de gestion et de contrôle des habilitations.
3.5 Applications Informatiques Locales (AIL)
Pour répondre aux objectifs de la COG 2011-2015, l’institution s’est engagée dès 2011 dans un
processus de réduction et de maîtrise des applications locales.
Piloté par le CRI et le centre informatique SIER@, un plan de désengagement en deux étapes a été mis
en place en 2012 et 2013 et poursuivi en 2014.
Une première étape réalisée au sein de chaque région a permis d’identifier les applications locales
utilisées au sein de l’institution. L’étape suivante a consisté à en réduire le nombre dans un objectif de
sécurisation du système d’information et des processus de travail. Les caisses ont été invitées à se
désengager progressivement des applications locales avec un objectif de suppression à la fin de l’année
2013.
Les applications locales conservées doivent d'une part respecter la charte de développement et de
maîtrise des applications locales signée par le Directeur général et l’Agent comptable national en
octobre 2011. Cette charte impose, outre certains socles de développements, la non redondance avec
le SI et le partage de ces applications à toutes les caisses.
Depuis 2013, les applications locales conservées doivent également respecter les dispositions prévues
par le décret d’octobre 2013 : PV de validation par le Directeur et l’Agent comptable sous forme d’une
FSU adaptée, règles de gestion des habilitations, recensement des incidents et analyse de leur
traitement.
Le protocole VAINCI a été adapté en conséquence en 2014, afin d'élargir son périmètre aux
applications locales conservées :
- évolution de l'acronyme : Validation des Applications INformatiques et Contrôle Interne,
- élaboration d'une fiche de validation des applications locales cosignée du Directeur et de
l'Agent comptable de la caisse responsable de l'application,
- élaboration d’un modèle de délégation de maîtrise d’ouvrage et d’œuvre pour la réalisation
des AIL.
Ce modèle est décliné sous forme d’une convention tripartite entre arMOnia, le centre SIER@ et la
caisse productrice de l’AIL. Il a été mis en place dès 2014.
2014 a également permis d’ajuster le recensement des AIL.
Au 31/12/2014, le parc total représente 1420 applications recensées, à rapprocher des 1 265
applications connues au 31/12/2013.
L’évolution du total s’explique par une poursuite des travaux de recensement et d’identification du parc
avec les caisses de MSA.
Sur les 1420 AIL citées :
- 1002 doivent être abandonnées

- 6 applications supplémentaires ont été considérées mutualisables, 1 logiciel externe et 3
robots ont été abandonnés, portant le total des applications maintenues à 319 contre 318
au 31/12/2013.
- Nombre de versions logicielles publiées avec FSU pour les Applications Informatiques
Locales : 121
Sur les 319 AIL conservées :
- 135 applications sont éditées par des caisses de MSA et sont mutualisables
- 94 sont des logiciels du marché
- 90 applications restent présentes dans le parc en attente d’adaptations Agora ou d’autres
Ail existantes.
Dans un premier temps, les suppressions ont porté sur les applications publiées sur les serveurs des
caisses : l’objectif est atteint à 80 %. Les 20 % d’applications restantes sont des applications que les
MSA ne peuvent pas encore abandonner.
La documentation est complétée à 9 1%.

Le portage des applications conservées sur le socle standard de développement est atteint à 66 %.
2EME PARTIE : ANALYSE DES RISQUES 2014
En 2014, plusieurs chantiers ont été conduits avec pour objectif l’actualisation du
dispositif de contrôle interne. Ces actions concernent :
- La cartographie des risques
- L’actualisation des actions de contrôle interne
- L’analyse des risques liée à des dossiers nouveaux
- Le contrôle externe
- La lutte contre la fraude
I. CARTOGRAPHIE DES RISQUES
1.1 Au plan national
Les dispositions du décret du 14 octobre 2013 sur le contrôle interne prévoient que le directeur et à
l’Agent comptable de l’organisme national ou central établissent une cartographie nationale des risques.
Celle-ci vise à une identification exhaustive des risques de l’organisme national et des éventuels autres
organismes constitutifs du réseau. Elle est adossée à une cartographie de l’ensemble des processus
métiers et supports et à la cartographie des systèmes d’information.
1.1.2 Cartographie des processus métiers et supports
Plusieurs cartographies des processus avaient été établies par la MSA

- En 2009 pour développer le dispositif institutionnel de contrôle interne bâti à partir de l’identification
des processus métiers (45) porteurs d’un risque financier important. Ces travaux s’étaient appuyés
sur un référentiel établi antérieurement et recensant 334 processus portant l’activité des caisses de
MSA.
- Fin 2010 pour mettre en œuvre la démarche Management par les Processus Orientés Clients.
Des travaux avaient été engagés en 2013 à la CCMSA afin d’établir une cartographie unique de
référence recensant l’ensemble des processus métiers et supports et s’appuyant sur les différentes
cartographies établies antérieurement.
Ces travaux ont débouché sur la diffusion au réseau MSA, le 26 décembre 2014, de la cartographie
générale des processus MSA. (lettre à toutes les caisses 2014-670).
Les organismes ont été invités ensuite à s’approprier cette cartographie et à la compléter si nécessaire
au niveau local pour les activités spécifiques réalisées par l’organisme.
1.1.3 Cartographie des systèmes d’information
Une cartographie synthétique du système d’information de la MSA avait été établie par la Direction des
Systèmes d’Information avec une double approche : fonctionnelle et applicative. Elle a été ensuite
présentée au Comité National de la Maîtrise des risques en juillet 2013.
Cette cartographie a fait l’objet d’une actualisation en 2014 en vue d’une diffusion aux réseaux MSA en
2015 afin que ceux-ci puissent notamment la compléter des applications informatiques locales (AIL)
qu’ils utilisent.
1.1.4 Cartographie nationale des risques
La cartographie des risques établie en 2008 par l’audit interne institutionnel et diffusée au réseau devait
faire l’objet d’une actualisation dans l’esprit du décret contrôle interne, en s’appuyant sur la cartographie
commune des processus métiers et supports et la cartographie des applications informatiques.
Ces travaux ont été organisés en 2014 en lien avec le Comité Directeur Certification.
Un groupe de travail associant la CCMSA et les caisses de MSA a été désigné pour l’élaboration du
projet de cartographie institutionnelle des risques. Il a été composé pour permettre d’optimiser
l’appropriation de la cartographie institutionnelle qui devra ensuite être déclinée par chacune des
caisses de MSA. Les 5 régions institutionnelles sont ainsi représentées à parité Directeurs/agents
comptables, tout en associant les coordonnateurs régionaux pour les contrôles croisés.
Une consultation a été lancée en partenariat avec l’EN3S pour identifier un appui méthodologique
permettant au groupe de progresser à un rythme soutenu. Les caisses pourront, le cas échéant faire
ensuite appel au même appui méthodologique pour décliner la cartographie des risques au plan local.
Six sessions d’accompagnement sont programmées à partir de janvier 2015 pour aboutir à un projet de
cartographie antionale des risques à la fin du premier semestre 2015.
1.2 Au plan local

Le décret d’octobre 2013 prévoit qu’au niveau local, le directeur et l’Agent comptable de chaque
organisme déclinent, et le cas échéant complètent, la cartographie des processus, et la cartographie
nationale des risques, en fonction des risques et processus spécifiques à l’organisme.
Plusieurs organismes déclarent, dans leur rapport de contrôle interne 2013 être en attente de la
cartographie nationale des risques pour établir leur cartographie locale.
Toutefois, sans attendre la diffusion de la cartographie nationale des risques, plusieurs organismes ont
établi :
- une cartographie locale des risques
- ou une analyse locale des risques formalisée sur une partie des processus de l’entreprise.
II. L’ACTUALISATION DES ACTIONS DE CONTROLE
INTERNE
L’actualisation des actions de contrôle interne a concerné en 2014 : la maintenance des ACI des
21 Processus métiers socle et la sécurisation des habilitations.
2.1 La maintenance des ACI des 21 PMs

La pertinence des Actions institutionnelles de Contrôle Interne (ACI) réside en une actualisation
régulière de l’analyse de risque, en cohérence avec les dispositions du décret contrôle interne.
Cette actualisation, engagée depuis 2012, a porté fin 2014 le nombre de processus à 21. En effet :
- les PMs « Traiter une demande de retraite (droits propres) » et « La demande de
réversion » ont été regroupés en un seul PMs « La demande de retraite et de réversion » ;
- le PMs « Coordination Internationale Retraite » a été créé ;
- le PMs "Traiter un arrêt de travail maladie, maternité, paternité, AT/MP" a été scindé en 2
PMs « Traiter un arrêt de travail AT MP salariés » et « Traiter un arrêt de travail maladie,
maternité, paternité ».
L’année 2014 a vu l’aboutissement du chantier de maintenance d’une partie des 21 PMs existants.
Celui-ci a associé l’ensemble du réseau MSA, la CCMSA, les caisses expertes contrôle interne, les
caisses de validation préalable, ainsi que les caisses Pôles de Compétences maitrise d’ouvrage et les
caisses pivots.
Les propositions formulées ont fait l’objet d’une présentation aux Commissaires aux Comptes pour
validation des évolutions proposées compte tenu de l’analyse de risques effectuée.
Ainsi, 8 processus métiers rénovés sur 21, ont fait l’objet d’une diffusion au réseau en 2014 :
- PMs » Les Feuilles de Soins Electroniques » 6 ACI diffusées le 18 février 2014 ;

- PMs « Les Cotisations salariés : BVM, DTS, émission » 10 ACI diffusées le 18 février
2014 ;
- PMs « Le recouvrement Amiable » 9 ACI diffusées le 18 février 2014 ;
- PMs « Droits maladie et CMU-C » 39 ACI diffusées le 29 avril 2014 ;
- PMs « Cartes Vitale » 1 ACI diffusée le 29 avril 2014 ;
- PMs « Immatriculer ou affilier un individu » éclaté 2 PMs diffusés le 30 avril 2014,
« Immatriculer ou affilier un individu (Caisses) » 6 ACI et « Immatriculer ou affilier un
individu (CCMSA) » 2 ACI ;
- PMs « Effectuer un report aux Comptes salariés et non-salariés » 6 ACI diffusées le
8 décembre 2014
- PMs « Gestion de la Paye » 8 ACI diffusées le 16 décembre 2014
Les risques et les ACI font également l’objet d’une maintenance « au fil de l’eau », en fonction de
l’évolution du contexte législatif, informatique et de l’adaptation de l’analyse de risques initiale. Ces
évolutions sont intégrées dans le dispositif des ACI sans attendre la maintenance globale.
C’est ainsi qu’en 2014 des ACI de deux PMS ont été adaptées :
er
1 ACI du PMs Gestion des IJ Maladie, maternité, Paternité » a été supprimée au 1 janvier 2014 pour
cause d’évolution législative ;
er
1 ACI du PMs « Rachat et régularisation de cotisations » a vu son contrôle évolué au 1 janvier 2015
compte tenu des pratiques des caisses.
La MSA veille également à conduire une démarche d’amélioration continue des outils nécessaires aux
contrôles afin de gagner en pertinence, en efficacité et en productivité pour la mise en œuvre des ACI.
Pour cela, une collaboration étroite avec l’informatique institutionnelle a été entretenue avec pour
objectif de renforcer l’automatisation des actions de contrôle interne.
A noter que l’ensemble des PMs ont été concernés par les nouvelles modalités de prise en compte des
anomalies avec incidence financière (LTC du 16 décembre 2014) telles que définies dans la circulaire
du 30 octobre 2014.
2.2 La sécurisation des habilitations

La gestion des habilitations a fait l’objet d’une attention toute particulière en 2014.
- L’analyse des habilitations nécessaires pour que les centres informatiques puissent
apporter leur assistance aux organismes a été achevée et le dispositif de contrôle interne
de gestion des habilitations des centres informatiques a été précisé avec notamment la
définition d’un référentiel national d’habilitations. Ces éléments ont fait l’objet d’une entrée
en vigueur courant 2014 avec la diffusion d’instructions au réseau MSA (Lettre à toutes
les caisses 2014-181 du 27 mars 2014). Les modalités de maintenance de ce dispositif et
de validation des évolutions nécessaires ont également été définies et mises en œuvre.
- Les travaux ont été engagés pour la sécurisation des habilitations données par les
organismes aux caisses pivot ainsi qu’aux caisses de gestion mutualisée. Des modalités
de maîtrise des risques analogues à celles retenues pour les centres sont envisagées
avec l’habilitation des personnels concernés à des Groupes d’Actions Elémentaires (GAE)
- Une analyse des risques a également été engagée sur les habilitations à des transactions
sensibles en vue de définir des actions de contrôle compensatoire ou des actions
correctives (évolutions applicatives, évolutions d’organisation). Sont notamment
concernées les habilitations aux outils de consultation/gestion des RIB, de gestion de la
base tiers, et d’affectation de recettes à classer.
- Les règles nationales de gestion des habilitations ont été définies et diffusées au réseau
MSA (circulaire 2015-005 du 28 janvier 2015).
2.3 Le plan de maîtrise des risques de l’offre de services

Au cours de l’année 2014, une analyse de risque spécifique a été conduite pour assurer la maîtrise des
risques liés à l’offre de services sur les territoires
Les principes institutionnels de l’Offre de Services sur les Territoires de la MSA ont été adoptés par le
Conseil d’Administration de la CCMSA le 4 juillet 2013.
Cette politique institutionnelle devait s’accompagner d’un Plan de Maîtrise des Risques ayant pour
objectifs :
- d’ancrer l’activité d’Offre de Services dans la ligne politique qui a prévalu à sa création,
- de sécuriser la gouvernance des structures d'Offre de Services par la MSA,
- d’avoir des résultats conformes à la politique et aux objectifs définis,
- de vérifier que le mode de fonctionnement et la gestion financière de l’OST sont conformes
aux règles opposables.
L’année 2013 avait vu la préparation de ce plan de maîtrise des risques qui a été diffusé aux caisses de
MSA par la LTC 2014-163 du 13 mars 2014. Il vise les risques de non maitrise de la gouvernance, de
non-conformité, ainsi que les risques financiers et ceux liés à l’activité.
Au cours du second semestre 2014, la CCMSA a complété ce plan de maîtrise des risques :
- pour intégrer les recommandations de la Mission Nationale de Contrôle et d’audit des
organismes de sécurité sociale formulées dans le cadre de l’audit sur les relations des
caisses de MSA avec MSA Services.
- en élaborant, avec l’appui d’un groupe de représentants du réseau, des fiches actions
permettant de préciser les modalités de déclinaison concrètes des actions de contrôle
interne de l’offre de service.
La LTC 2015-044 du 28 janvier 2015 diffuse le plan de maîtrise des risques ainsi enrichi. Treize
processus à risques sont identifiés pour lesquels sont définies 14 actions de contrôle interne couvrant
les processus à risques élevés ainsi que 11 préconisations à intégrer dans le plan local de maîtrise des
risques. L’ensemble des actions de maitrise sont appelées à être intégrées dans le plan de contrôle
interne des caisses de MSA.
Des contrôles d’effectivité de l’application du plan de maîtrise des risques de l’offre de services seront
réalisés par la CCMSA dès 2015.
2.4 Le plan de maîtrise des risques liés à l’engagement de la MSA

dans les établissements sanitaires et médico-sociaux
Au cours de l’année 2014, une analyse de risque spécifique a également été conduite pour assurer la
maîtrise des risques liés à l’engagement de la MSA dans les établissements sanitaires et médico
sociaux
La légitimité de la MSA à agir par le biais d’établissements sanitaires et médico-sociaux est affirmée
dans le décret du 11 février 1985 sur les objectifs de l’action sanitaire et sociale, l’un des objectifs cités
étant de « Créer, développer des œuvres, établissements ou institutions destinés à améliorer l’état
sanitaire et social ou de participer à leur création ou développement. »
Cette activité peut, comme toute autre activité, être source de risques pour l’institution. Aussi, il est
légitime que la MSA cherche à maîtriser ces risques.
Cela revient à s’assurer que sont atteints les objectifs de conformité :
- aux règles opposables en matière de gouvernance, de pilotage et de gestion comptable
et budgétaire,
- à la ligne politique qui a prévalu à la création de chacun des établissements et au projet
- d’établissement validé par les Conseils d'administration des associations gestionnaires.
Un plan de maîtrise des risques a été établi par la CCMSA et diffusé au réseau MSA par la LTC 2014-
501 du 10 octobre 2014. Il identifie les processus à risques et définit les actions de maîtrise des risques
nécessaires soit :
- 17 actions de contrôle interne couvrant 8 processus à risque élevé,
- 4 préconisations à intégrer dans le plan local de maîtrise des risques pour 3 processus
à risque moyen.
En outre, le plan précise que 6 actions de maîtrise des risques seront mises en œuvre par la CCMSA
au plus tard pour le 31 mars 2015. Réalisées en amont de l’action des caisses, elles mettront à leur
disposition les outils utiles pour la mise en œuvre des opérations de leur responsabilité.
Un calendrier de mise en œuvre des actions par les organismes concernés a été précisé.
Le plan de maîtrise des risques a fait l’objet d’une présentation aux dirigeants concernés au cours de
3 réunions d’information organisées à cet effet fin 2014.
Des contrôles d’effectivité de l’application du plan de maîtrise des risques seront réalisés par la CCMSA
dès 2015.
III. L’ANALYSE DES RISQUES LIEE A DES DOSSIERS
NOUVEAUX
3.1 Actions de maîtrise des risques liées à la reprise des dossiers GAMEX
et AAEXA
La loi de financement de la sécurité sociale pour 2014 a transféré à la MSA la gestion des régimes
AMEXA et ATEXA des populations assurées par le GAMEX et l’AAEXA.
Dans le cadre des opérations de transfert d’activité vers la MSA ont été mis en œuvre une analyse des
risques et des dispositifs de contrôle interne spécifiques portant sur :
- La reprise des dossiers invalidité
- Le contrôle de conformité des dossiers contentieux portant sur le recouvrement de

cotisations
- Le contrôle de conformité des dossiers contentieux sur le versement des prestations
LA REPRISE DES DOSSIERS INVALIDITE
La reprise des dossiers invalidité ne pouvant être automatisée, il a été acté en avril 2014 entre Apria
RSA (l’association gestionnaire du Gamex et de l’AAEXA) et la CCMSA que le personnel Apria de
Caen serait mis à disposition pour opérer la reprise manuelle des dossiers Apria par ressaisie dans le
SI MSA.
Afin de sécuriser le dispositif de reprise, un dispositif spécifique de maîtrise des risques a été mis en
place. Il a porté sur :
- La formation des agents APRIA et le contrôle de l’efficacité de la formation en contrôlant

l’exhaustivité des dossiers traités à J +4 après la formation
- L’évaluation de la conformité de la saisie avant envoi des dossiers dans les caisses au
travers de la mise en place d’un contrôle de second niveau sur un échantillon aléatoire des
dossiers saisis
- Le contrôle de conformité des dossiers contentieux portant sur le recouvrement de
cotisations : des contrôles a posteriori ont été réalisés en avril 2014 visant à s’assurer de la
présence dans les dossiers des pièces nécessaires à la MSA pour pouvoir assurer la
continuité de la procédure en cours. Ces opérations de contrôle ont été réalisées de
manière aléatoire sur l’ensemble des dossiers papiers AMEXA et ATEXA sur la base d’un
échantillon de 10 %. Les résultats n’ont pas fait apparaitre de risques significatifs.
LE CONTROLE DE CONFORMITE DES DOSSIERS CONTENTIEUX PORTANT SUR LE VERSEMENT DES PRESTATIONS
AAEXA ET AMEXA
Cette opération conduite conjointement entre la MSA et APRIA s’est déroulée au cours du mois de juin
2014. Les contrôles ont consisté à vérifier
- La présence des pièces des dossiers permettant d’attester l’existence de la créance,
- que l’action de recouvrement n’est pas prescrite
- qu’en cas de contestation de décision, l’action de la MSA n’est pas forclose.
L’avis émis par les contrôleurs MSA et APRIA à l’issue de ces contrôles a porté sur le niveau de risque
sur :
- les dossiers d’indus de prestations maladie, prestations AT/MP pour lesquels la créance
n’est pas éteinte et quel que soit le montant à recouvrer ou le stade du recouvrement,
- les contestations en cours devant les TASS, par les assurés, des décisions prises par le
GAMEX ou l’association AAEXA.
Le rapport d’audit des dossiers contentieux prestations en date du 8 juillet 2014 fait apparaitre
que le niveau de risque moyen constaté a été considéré comme satisfaisant pour permettre à la
MSA d’assurer la reprise des dossiers précontentieux et contentieux relatifs aux prestations
d’APRIA dans des conditions correctes.
3.2 Maîtrise des risques de nouveaux projets ou processus

La démarche d’analyse des risques a été intégrée par l’institution dans les travaux concernant de
nouveaux process. Ainsi, en 2014, la Direction de l’Audit et de la Maîtrise des risques de la CCMSA a
participé aux groupes de travail concernant des projets inter régimes et portant sur :
- la DSN (Cotisations et paiement des IJ maladie),
- l’expérimentation de la non-présentation des pièces justificatives pour les internautes télé-
déclarant en PF,
- les mutations automatiques des dossiers PF en inter-régime,
- la liquidation unique de retraite
Les nouvelles mesures sont alors analysées sur le plan de maîtrise des risques avec l’identification des
ACI à mettre en œuvre.
En outre, l’instauration des indemnités journalières AMEXA avait conduit à réaliser en 2013 une
analyse de risques avec un projet de PMS-ACI établi fin 2013. Celui-ci a été développé de façon
opérationnelle en 2014 en vue de son déploiement en 2015.
Enfin, en 2014 ont été engagés des travaux sur l’identification des principaux risques des activités de
recours contre tiers. Cette analyse s’inscrit notamment dans le contexte de la mutualisation de la
gestion de cette activité à la MSA.
IV. AUTRES DOMAINES DE L’ORDONNATEUR POUR
LESQUELS A ETE CONDUITE UNE ANALYSE DE
RISQUES
4.1 Le contrôle externe
La politique institutionnelle de contrôle vise à établir les orientations devant être déclinées par les
caisses de MSA dans le cadre de leur plan de contrôle. Par ailleurs, elle inscrit le cadre par lequel la
MSA est en mesure de justifier, auprès des pouvoirs publics, de la bonne exécution de la mission de
contrôle qui compte parmi les obligations de service public à l’égard de ses ressortissants cotisants et
allocataires.
En 2013, la MSA a conduit une réflexion pour actualiser sa politique institutionnelle de contrôle externe.
La réflexion conduite tout au long de l’année 2013 a abouti à la rédaction d’un rapport sur la « Politique
institutionnelle de contrôle externe / priorités 2014-2015 », qui cible particulièrement le pilotage du
contrôle externe comme une priorité. Cette priorité se développe notamment avec le renforcement de
la place de l’analyse des risques dans l’élaboration et la mise en œuvre des plans de contrôle externe.;
Une analyse de risques spécifique est conduite chaque année pour identifier les priorités à intégrer par
les caisses de MSA lors de la préparation de leur plan de contrôle externe. Les priorités pour 2015 ont
été diffusées aux caisses par lettre à toutes les caisses 2014-475 du 26 septembre 2014 et présentées
au réseau en réunion institutionnelle le 10 octobre 2014.
Ainsi, en complément des actions de contrôle socle, ont été identifiées comme actions prioritaires les
actions de contrôle visant à couvrir les risques sur certains sujet ou situations :
- Les atypies dans les déclarations de salaires (DTS et TESA) concernant la « réduction de
cotisations patronales Fillon »
- La durée d’application de l’exonération « Travailleurs Occasionnels/ Demandeurs d’emploi
» (TO-DE) pour les groupements d’employeurs bénéficiaires de l’exonération
- Le dispositif de « modulation » des contributions d’assurance chômage (AC)
- La déclaration par les exploitants d’ un revenu entre 5300 et 5400 euros,
- le versement des IJ AMEXA,
- l’exploitation des signalements issus des requêtes nationales mises à disposition dans le
cadre de la lutte contre la fraude
- les ratio situation d’entreprises présentant un ratio anormalement élevé d’emplois à temps
partiel ou un ratio anormalement bas de déclarations d’heures supplémentaires (au regard
de l’ensemble de l’effectif salarié de ces entreprises).
- le secteur des entreprises /exploitations viticoles,.
- les domaines qui présentent un taux d’anomalies détectées suite à contrôle conséquent
et/ou en forte augmentation :
• Affiliation et parcellaire (taux d’anomalies suite à contrôle d’environ 50% en 2013) ;
• Assiette salaire des sociétés (taux d’anomalies suite à contrôle d’environ 53 % en
2013) ;
• Assiette salaire des entreprises individuelles (taux d’anomalies suite à contrôle
d’environ 54% en 2013) ;
• Prestations liées à l’isolement (taux d’anomalies suite à contrôle de 65,5% en 2013) ;
• Invalidité des NSA (taux d’anomalies suite à contrôle d’environ 62% en 2013) ;
• RSA (taux d’anomalies suite à contrôle d’environ 68,5 % en 2013).
- La participation active aux opérations conjointes de contrôle concernant les situations de
détachement de salariés en agriculture.
4.2 La lutte contre la fraude

4.2.1 L’analyse des risques aux fins de ciblages
En 2012, une opération d’évaluation de la fraude aux IJ, a permis de mettre en évidence trois critères
discriminants :
- Salariés domiciliés "chez",
- Salariés ayant eu une prolongation de leur arrêt de travail par différents prescripteurs,
- Salariés à temps partiel ayant eu plusieurs employeurs.
Sur la base de l’exploitation de ces critères discriminants, cinq requêtes ont été livrées au réseau MSA
en 2014 :
- assuré ayant déclaré une adresse avec « habite chez » (Mal et AT-MP) :
- renouvellement de l'arrêt de travail par un prescripteur différent du prescripteur initial (Mal
et AT-MP) :
- assuré étant à temps partiel avec présomption d'employeurs multiples (Mal) :
- arrêt de travail en rapport avec le lundi matin ou le lendemain de jour férié (AT-MP) :
- arrêt de travail en rapport avec le jour de l’embauche (AT-MP) :
4.2.2 L’évaluation statistique des cotisations éludées des

employeurs de main d’œuvre
La 2ème étude d’évaluation statistique de la fraude engagée depuis 2012, portant sur l’évaluation de la
fraude aux cotisations s’est poursuivie sur 2013 et 2014.
L’approche initiale visait l’évaluation de la fraude dans le secteur viticole. A fin 2013, au regard de la
complexité du rapprochement des données caractéristiques portées par deux bases de données, il a
été décidé, d’élargir l’évaluation du montant de la fraude à tous les domaines d’activités relevant de la
MSA L’objectif est l’évaluation du montant des cotisations éludées des employeurs de main d’œuvre.
Les travaux en 2014 ont été poursuivis sur la base de cette orientation et feront l’objet d’un rapport
courant 2015.
4.2.3 Analyse des risques suite à fraude interne
Un cas de fraude interne dans une caisse de MSA a mis en évidence la nécessité d’un plan d’action à
déployer dans tous les organismes Une analyse a été conduite entre la MSA concernée et la CCMSA
pour renforcer la maitrise du risque de fraude lié :
- à l’usage de transactions sensibles : mouvements de la base tiers (A26), mise en paiement
et gestion des RIB (T23), affectation de recettes à classer (F10)
- à la gestion de comptes spécifiques (CSG).
A l’issue de l’analyse des risques, un plan d’actions été défini et validé par le CNMR pour mise en
œuvre.
V. MATRICE DES RISQUES COMPTABLES ET FINANCIERS

Le taux de mise en œuvre de la matrice des risques comptables et financiers est intégré pour chacun des
organismes dans le pilier contrôle interne de la procédure de validation des comptes.
Pour 2014, le taux de couverture des risques comptables et financiers est présenté dans le tableau
suivant pour chacun des organismes :
Pourcentage
Nombre de Nombre de Nombre de Nombre de
de contrôles
contrôle à contrôles contrôles non contrôles non
effectués et
effectuer effectués formalisés applicables
formalisés
Organismes
MSA11 - 66 - MSA Grand Sud 1530 1038 0 492 100%
MSA12 - 46-81-82 - MSA Midi Pyrénées Nord 1506 1038 0 468 100%
MSA13 - 06 - MSA Provence Azur 1512 1013 6 493 99%
MSA14 - 50 - MSA des Côtes Normandes 1494 1002 0 492 100%
MSA17 - 16 - MSA des Charentes 1518 1020 0 498 100%
MSA20 - MSA Corse 1476 960 0 516 100%
MSA21 - 58-89-71 - MSA Bourgogne 1518 1038 0 480 100%
MSA22 - 29 - MSA d'Armorique 1524 1026 0 498 100%
MSA24 - 47 - MSA Dordogne Lot et Garonne 1536 966 0 570 100%
MSA25 - 39-70 - MSA Franche Comté 1521 1034 1 486 100%
MSA26 - 07-42 - MSA Ardèche Drôme Loire 1566 1046 20 500 98%
MSA27 - 76 - MSA de Haute Normandie 1539 997 2 540 100%
MSA28 - 18-45 - MSA Beauce Coeur de Loire 1530 1031 0 499 100%
MSA32 - 09-31-65 - MSA Midi Pyrénées Sud 1542 1116 0 426 100%
MSA33 - MSA Gironde 1530 1032 0 498 100%
MSA35 - 56 - MSA des Portes de Bretagne 1536 1050 0 486 100%
MSA41 - 36-37 - MSA Berry Touraine 1518 1008 6 504 99%
MSA48 - 30-34 - MSA du Languedoc 1530 1057 0 473 100%
MSA49 - MSA Maine-et-Loire 1554 1110 0 444 100%
MSA51 - 08-55 - MSA Marne-Ardennes-Meuse 1506 994 1 511 100%
MSA52 - 10 - MSA Sud Champagne 1524 1002 0 522 100%
MSA54 - 57-88 - MSA Lorraine 1506 998 4 504 100%
MSA59 - 62 - MSA Nord Pas de Calais 1533 1029 0 504 100%
MSA63 - 03-15-43 - MSA Auvergne 1545 1056 3 486 100%
MSA64 - 40 - MSA Sud Aquitaine 1518 1038 0 480 100%
MSA68 - MSA Alsace 1509 961 0 548 100%
MSA69 - 01 - MSA Ain Rhône 1518 971 29 518 97%
MSA72 - 61-53 - MSA Mayenne-Orne-Sarthe 1482 1008 0 474 100%
MSA73 - 38-74 - MSA Alpes du Nord 1542 1026 0 516 100%
MSA75 - MSA Ile-de-France 1479 999 0 480 100%
MSA80 - 02-60 - MSA Picardie 1506 1001 0 505 100%
MSA84 - 04-05 - MSA Alpes Vaucluse 1560 1042 26 492 98%
MSA85 - 44 - MSA Loire Atlantique Vendée 1506 1013 0 493 100%
MSA86 - 79 - MSA Sèvres Vienne 1536 1050 0 486 100%
MSA87 - 19-23 - MSA Limousin 1512 1006 2 504 100%
Total MSA 53262 35776 100 17386 99,7%
Pourcentage
Nombre de Nombre de Nombre de Nombre de
de contrôles
contrôle à contrôles contrôles non contrôles non
effectués et
effectuer effectués formalisés applicables
formalisés
Organism es
CIT59 - SIGMAP 342 102 6 234 94%
CIT82 - SIERA 360 138 0 222 100%
GIE93 - AGORA 360 120 0 240 100%
ARM93 - ARMONIA 306 24 0 282 100%
ARO05 - AROMSA de Bretagne 312 30 0 282 100%
ARO06 - AROMSA du Centre 294 0 0 294
ARO07 - AROMSA Champagne Ardennes 294 6 0 288 100%
ARO10 - AROMSA du Languedoc-Roussillon 294 6 0 288 100%
ARO12 - AROMSA de Lorraine 294 6 0 288 100%
ARO13 - AROMSA de Midi-Pyrénées 336 94 0 242 100%
ARO15 - AROMSA de Basse-Normandie 294 18 0 276 100%
ARO17 - AROMSA des Pays de la Loire 318 42 0 276 100%
ARO19 - AROMSA de la Région Poitou-Charentes 294 6 0 288 100%
ARO20 - AROMSA de la Région Provence-Alpes-Côte d Azur 294 6 0 288 100%
ARO22 - AROMSA de la Région Rhône-Alpes 330 94 0 236 100%
ARFOM - ARFOMACEE 306 24 3 279 89%
ARF26 294 0 0 294
ASFOM - ARFLSO 300 18 0 282 100%
ASFAU - ASFAUVERGNE 300 26 1 273 96%
AFOMA - FORCE NORD 294 12 0 282 100%
UMSAO - UMSAO 336 82 0 254 100%
AC17 - ADMTPA de Charente Maritime 1128 216 0 912 100%
Total Autres Organismes 7680 1070 10 6600 99,1%
DOM95 - CGSS de la Réunion 1248 306 12 930 96%
DOM96 - CGSS de la Guadeloupe 1248 330 0 918 100%
DOM97 - CGSS de la Guyane 1200 208 2 990 99%
DOM98 - CGSS de la Martinique 1254 294 0 960 100%
Total CGSS 4950 1138 14 3798 98,8%
Total général 65892 37984 124 27784 99,7%
Au global, le taux de couverture des risques comptables et financiers des organismes de la mutualité
sociale agricole est de 99,7 %, contre 98,5 % en 2013.
Pour les caisses, ce taux est de 99,7 % contre 98,7 % en 2013 ; pour les autres organismes, il est de
99,1 % contre 96,6 % en 2013, et pour les CGSS, le taux est de 98,8% contre 95 % en 2013.
VI. ANALYSE DES RISQUES DE SECURITE DU
SYSTEME D’INFORMATION
La filière SSI de l'informatique a engagé depuis 2011 une démarche d'ensemble visant à l'amélioration
de la sécurité du SI, traduite dans un plan d'action séquencé.
La mise en place d'analyses des risques a été retenue comme une des actions prioritaires à mettre en
place.
La démarche d'analyse des risques cible dans un premier temps les risques liés à l'activité de
conception et développement du produit informatique.
Une méthode appuyée sur la norme ISO27000 contextualisée aux contextes et méthodes de
l'informatique institutionnelle de la MSA a été définie, décrite et outillée.
Cette méthode baptisée ISP (Intégration de la Sécurité dans les Projets) a été conçue comme un
bagage devant être utilisé par les acteurs intervenant dans les activités de conception et
développement, lors des phases d'étude et de définition des fonctionnalités.
La méthode ISP vise également à produire les éléments d'analyse des risques et les mesures de
sécurité permettant d'atteindre les exigences posées par la réglementation, notamment le Référentiel
Général de Sécurité.
En 2013, les animateurs de la filière sécurité de l'informatique MSA ont mis la démarche d'analyse de
risque ISP à l'épreuve de 5 projets en cours de développement, afin de la vérifier et éventuellement de
l'amender avant son déploiement général.
Les résultats de ce pilote ont abouti à un plan de déploiement séquencé pour 2014, devant aboutir à
une appropriation par l'ensemble des équipes au plus tard en 2015.
Deux actions de sensibilisation aux concepts de la sécurité du SI ont ainsi été bâties et dispensées :
- en juin 2014 lors de la journée nationale des correspondants SSI.
- en juillet 2014 aux agents de direction d’arMOnia et AGORA
Ces présentations ont permis de valider le contenu et de donner le feu vert au déploiement de la
formation sécurité vers les concepteurs et développeurs MO et ME.
Des travaux d’adaptation des bagages méthodologiques du cycle de vie logiciel ont été initialisés dès le
second semestre 2014, afin d’intégrer la sécurité dans la totalité du cycle de vie logiciel.
Parallèlement, le COPIL SSI a décidé de poursuivre l'expérimentation de la méthode avec l'appui de la

filière sécurité sur des projets sensibles.
3EME PARTIE : AUDITS ET CONTROLES
D’EFFECTIVITE 2014
Les audits et contrôles d’effectivité constituent le dispositif d’évaluation périodique du

contrôle interne.
Ils regroupent :
- l’activité de l’audit interne institutionnel
- les autres audits à l’initiative de l’institution
- les audits externes
- les contrôles d’effectivité
I. AUDITS
1.1 L’audit interne institutionnel
1.1.1 Le contexte
L’audit interne MSA a été mis en place en 2008, en application du décret du 22 mai 2008 relatif aux
contrôles de la CCMSA (Art D 723-248 et 249 du CRPM).
Le décret du 14 octobre 2013 relatif au contrôle interne précise que « les organismes nationaux sont
dotés d’un dispositif d’audit interne, qui a notamment pour objet d’évaluer périodiquement l’effectivité,
l’efficacité et la pertinence du dispositif de contrôle interne (Art. D 114-4-9 du Code de la Sécurité
Sociale. Toutefois, les articles sur les contrôles de la CCMSA introduits en 2008 dans le Code Rural et
de la Pêche Maritime n’ont pas été abrogés par le décret d’octobre 2013 sur le contrôle interne.
Ainsi :
- l’activité principale de l’audit concerne l’évaluation de l’effectivité, l’efficacité et la

pertinence du dispositif de contrôle interne.
- les contrôles sur l’activité et l’organisation des organismes (prévus par le décret de 2008)
et notamment ceux dont la performance est inférieure à la moyenne nationale au regard
des CPOG restent également de la mission de l’audit interne MSA.
Dès 2008, il a été fait le choix que les missions conduites par l’audit interne MSA soient des missions
d’évaluation du dispositif de contrôle interne. Pour cela, l’audit s’appuie sur une référence
incontournable dans le domaine du contrôle interne : le référentiel COSO(*). Au regard du décret de
2013, ce choix peut apparaître comme précurseur. En effet, il a pleinement préparé l’application des
dispositions du décret de 2013.
(*)Committee Of Sponsoring Organizations
1.1.2 L’activité de l’audit interne en 2014
En 2014, en application du plan d’audit, l’audit interne institutionnel a :
- réalisé six suivis d’audit permettant d’évaluer le degré de réalisation des plans d’actions mis
en œuvre par les organismes pour répondre aux recommandations contenues dans les
rapports d’audit,
- effectué neuf missions d’audit d’assurance dans le réseau des organismes de MSA,
Le rapport d’activité de l’audit interne pour 2014 précise l’ensemble de ces éléments et notamment les
principaux constats portés lors des missions d’audit.
1.1.3 Les suites données aux recommandations de l’audit
Un bilan de la mise en œuvre des recommandations de l’audit interne est régulièrement établi. Ce bilan
fait l’objet d’une transmission à l’Etat dans le cadre des engagements COG.
L E SUIVI DES RECOMMANDATIONS DE L ’ AUDIT PAR LES ORGANISMES

Un indicateur annuel de taux de recommandations sans suite par les organismes a été défini.
L’indicateur est renseigné à partir des constats réalisés par les auditeurs lors des missions de suivi
d’audit. L’avis des auditeurs est formulé sous une des trois formes suivantes :
- l’action ne répond pas à la recommandation,
- l’action répond partiellement à la recommandation,
- l’action répond à la recommandation.
L’indicateur retenu et faisant l’objet d’un suivi dans le cadre de la COG est le taux annuel de
recommandations sans suite par les organismes.
Une recommandation peut couvrir plusieurs actions à mettre en œuvre. Les auditeurs réalisent un suivi
de mise en œuvre des actions. Le taux est donc calculé par rapport aux actions à mettre en place :
(nombre d'actions sans suite par les organismes de MSA/ nombre total d'actions préconisées pour les
organismes de MSA)* 100
Le résultat de l’indicateur et le taux cible institutionnel sont examinés régulièrement lors des réunions du
Comité National d’Audit et lors des revues COG de la Direction de l’Audit et de la Maîtrise des Risques
de la CCMSA.
En 2014, le taux s’est dégradé, passant de 5,3% à 13,3%, au-dessus de la cible institutionnelles de 10%.
Ce résultat s’explique en partie par :
- 2 actions dont la mise en œuvre était programmée comme postérieure à la visite des
auditeurs lors de la mission de suivi. Ces 2 actions ont donc été considérées comme non
mises en place,
- 1 action dont la mise en place a été retardée suite à la mutualisation de l’activité avec une
autre caisse,
- 1 action dont la mise en œuvre nécessitait une action de la caisse centrale, non réalisée
au moment de la visite de suivi.
Au regard des volumes de recommandations examinées par les auditeurs (75 en 2014 et 14 en 2013) on
note une augmentation des efforts des organismes du réseau avec 65 actions mises en place en 2014
contre 18 en 2013.
L E SUIVI DES ENGAGEMENTS PRIS PAR LA CCMSA SUITE AU PLAN D ’ AUDIT
Certaines recommandations formulées par l’audit interne aux organismes du réseau sont susceptibles
d’entraîner un engagement de la CCMSA à intervenir (ex : diffusion d’éléments de cadrage pour la mise
en œuvre de la réglementation, mise à disposition d’outils…). Ces engagements sont déterminés à
partir de l’examen du rapport annuel d’activité de l’audit.
Après l’élaboration du bilan annuel de la campagne d’audit, un courrier spécifique est adressé aux
organismes du réseau pour rappeler utilement certaines consignes et les informer des engagements
pris par l’échelon central.
A partir de 2014 le réseau MSA reçoit via un courrier unique le rapport d’activité de l’audit et le tableau
des « Suites à donner au rapport d’activité de l’audit », incluant les engagements de la CCMSA.
Depuis 2009, première année de bilan de l’audit interne, la CCMSA a ainsi pris 32 engagements.
La COG 2011-2015 prévoit un suivi des recommandations de l’audit impliquant la CCMSA. L’indicateur
retenu est le taux de recommandations sans suite à plus d’un an de la part de la caisse centrale. Il est
ainsi défini : (Nombre d'engagements caisse centrale sans suite à plus d'un an / nombre total des
engagements caisse centrale depuis l'origine) * 100
Le degré de complexité de la mise en œuvre des recommandations de portée nationale diffère selon :
- le sujet (législatif, réglementaire ou technique)
- son ampleur (nombre d’acteurs concernés)
- l’existence d’étapes ou d’étude préalables nécessaires à la mise en œuvre
De fait, pour certaines recommandations, il faut parfois plus d’une année pour que les actions soient
mises en place.
Sur la période, 26 recommandations de portée nationale ont été formulées dont les suites données ont
été évaluées au 31 décembre 2014. Sur 26 recommandations formulées, 24 avaient fait l’objet d’une
suite soit 92%.
Six engagements ont été pris par la CCMSA en juillet 2014 au titre de la campagne d’audit 2013. Leur
mise en œuvre sera évaluée en fin 2015.
1.2 Audits externes

Les organismes de MSA soulignent le nombre significatif d’audit auxquels ils ont été exposés en 2014 du
fait des corps de tutelle ou de contrôle externes à l’institution (Mission Nationale de contrôle et d’audit des
organismes de sécurité sociale (MNC), Cour des Comptes, Commissaires aux comptes…) ou des
partenaires pour lesquels ils exercent des missions de gestion pour compte de tiers (UNEDIC, AGRICA,
MUTUALIA).
13 organismes signalent avoir été concernés par un audit externe. Les audits ainsi recensés relèvent :
- de l’initiative des corps de contrôle et des corps de tutelle :
• Audits ou enquêtes MNC (Mission nationale de contrôle et d’audit des organismes de sécurité
sociale) répartis sur les thèmes : « Politique immobilière des caisses de MSA », « Relations
MSA et MSA Services », « Majoration pour tierce personne (MTP) » « Faute inexcusable de
l'employeur (FIE) », « Rescrit social » « Recours contre tiers ».
• audits IGAS (Inspection générale des affaires sociales) : « Les mandataires judiciaires à la
protection des majeurs » «Les sanctions administratives en matière de lutte contre le travail
illégal » « Modernisation de la gestion des régimes de retraite » « Zones de revitalisation rurale
(ZRR) » « Gestion des prélèvements obligatoires » « Protection sociale des jeunes »
« Convention Etat / UNAF » « Processus d'affiliation des personnes nées à l'étranger ».
• Cour des Comptes : « La gestion des créances par les OPS » « ASS habitat logement »
« Assurance maternité » « La fraude aux cotisations sociales » « Relations conventionnelles
entre l'assurance maladie et les professions libérales de santé » « Réductions générales de
cotisations patronales » « Maintien à domicile des personnes âgées en perte d'autonomie »
« Les aides personnelles au logement » « Recouvrement des cotisations sociales en Corse »
« La gestion des agents de direction de la sécurité sociale » « Compensation de l'allègement
des cotisations sociales patronales des jeunes entreprises innovantes » « L'articulation des
prises en charge sanitaire et sociale en faveur du maintien à domicile des personnes âgées en
risque de perte d'autonomie » « Organisation du recouvrement des prélèvements à la charge
des entreprises ».
• audits Commissaires aux comptes : « Mise en œuvre des ACI des PMs», « mise en œuvre du
PCAC »
- De l’initiative des partenaires de la MSA dans le cadre de la gestion pour leur compte :
• Audits AGRICA « conformité de la gestion déléguée à la caisse, de l’adhésion au paiement des
prestations » « Appel et facturation de cotisations », « Contrôle des comptes 2013»,
« Indemnités journalières »,
• Audits MUTUALIA : « Traitement des devis et prise en charge », « Appel de cotisations sur les
contrats collectifs », « Gestion du précontentieux des cotisations » réalisé par Fiducial.
Conclusion
1
Au cours de l’année 2014, les organismes de MSA ont été concernés par 118 audits ou contrôles
réalisés soit par la caisse centrale soit par des entités extérieures. Ce chiffre ne comptabilise pas les
contrôles croisés entre caisses. A noter que la durée des missions sur site varie de 1 ou 2 jours à 10
jours pour les audits internes de la caisse centrale.
Les 118 audits sont répartis de la manière suivante :
On constate que les audits extérieurs représentent 48 % des interventions en nombre.
1
Chiffre issu des rapports de contrôle interne des organismes MSA ainsi que des informations disponibles à la
CCMSA.
Par organisme, le nombre des audits/contrôles varie de 1 (Alsace, Maine-et-Loire, Sèvres Vienne,
SIGMAP) à 6 au maximum (Gironde et Nord Pas-de-Calais)
Total audits et
Organismes
contrôles
Total 118
Gironde 6
Nord Pas-de-Calais 6
Grand Sud 5
Limousin 5
Portes de Bretagne 5
Alpes Vaucluse 4
Beauce Cœur de Loire 4
Bourgogne 4
Côtes Normandes 4
Loire-Atlantique Vendée 4
Midi Pyrénées Sud 4
Sud champagne 4
CCMSA 3
Ain Rhône 3
Alpes du Nord 3
Ardèche Drôme Loire 3
Auvergne 3
Berry Tourraine 3
Dordogne Lot-et-Garonne 3
Languedoc 3
Marne Ardennes Meuse 3
Mayenne Orne Sarthe 3
Midi Pyrénées Nord 3
Provence Azur 3
Sud Aquitaine 3
Sier@ Montauban 3
Corse 3
Armorique 2
Charentes 2
Franche Comté 2
Haute-Normandie 2
Ile-de-France 2
Lorraine 2
Picardie 2
Alsace 1
Maine-et-Loire 1
Sèvres Vienne 1
SIGMAP 1
La répartition par organisme des audits et des contrôles est la suivante :
II. CONTROLES D’EFFECTIVITE
2.1 Contrôles nationaux d’effectivité des ACI
Pour la quatrième année consécutive, la mise en œuvre des ACI a fait l’objet d’au moins un contrôle
d’effectivité conduit par la CCMSA dans chacune des caisses de MSA, les centres informatiques et à la
CCMSA. 557 ACI ont ainsi été contrôlées au titre de l’exercice comptable 2014.
2.1.1 Plan de contrôle
Pour l’élaboration du plan de contrôle des ACI, les priorités suivantes ont été retenues :
- Nombre d'ACI par mission: 16 (min) et 17 (max) en moyenne pour un nombre total d’ACI
contrôlées par campagne au moins égal au nombre d’ACI contrôlées en 2012 ( 682 en 2011
– 543 en 2012 – 521 en 2013)
- Contrôle systématique des ACI non validées lors de la mission précédente
- Prise en compte du domaine examiné en Audit.(contrôle des PMS concernés par une
mission d’audit (en totalité ou pour partie) pour la mission de contrôle ACI des caisses
auditées)
- Contrôle des ACI dans les caisses de gestion mutualisée. (deux PMS concernés en 2014 :
invalidité et retraites internationales)
2.1.2 Réalisation des contrôles
La campagne de contrôle national des Actions de Contrôle Interne a démarré en février 2014 et s’est
terminée en janvier 2015 :
- 35 caisses, 2 centres informatiques (SIGMAP et SIER@) et la CCMSA ont été contrôlées et
les 38 rapports de fin de mission ont été établis,
- tous les PMs ont été testés entre 3 (Droits Maladie, invalidité et Marchés publics) et 8 fois
(Immatriculer un individu, Retraite hors CIR),
- 557 ACI ont été contrôlées
Les contrôles ont été réalisés par la Direction de l’Audit et de la Maîtrise des Risques en binôme avec la
participation de 23 contrôleurs régionaux. Tous ont appliqué la même méthode pour réaliser les
contrôles et ont utilisé les mêmes supports pour la documentation des contrôles.
2.1.3 Résultats
T AUX DE VALIDATION - D EFINITION

Les résultats des contrôles d’effectivité des ACI conduisent à examiner deux indicateurs :
- le taux de validation brut intégrant l’ensemble des motifs de non validation = les contrôles
demandés sont faits en respectant totalement le formalisme du contrôle interne (séparation
des tâches, traçabilité…)
- le taux de validation net ne prenant en compte que trois critères: « ACI non mise en
place » « ACI réalisée non conformément à la fiche de risque », « quota non respecté » : les
contrôles demandés sont faits et le risque est couvert même si le formalisme du contrôle
interne est imparfaitement respecté.
T AUX DE VALIDATION PAR ORGANISME
- Taux de validation brut
Pour 2014, le taux de validation brut s’élève à 94 % (557 ACI contrôlées dont 522 validées), soit une
hausse de 6 points par rapport à l’exercice 2013 (88 %).
18 organismes (dont la CCMSA) enregistrent un taux de validation brut de 100 % (11 en 2013).
Comme en 2013, 8 organismes enregistrent un taux validation inférieur ou égal à 85 %.
35 ACI n’ont pas été validées, soit un taux brut de non validation de 6 % (1 2% en 2013).
Les 5 motifs d’invalidation les plus fréquents représentent 80 % des ACI non validées.
- Taux de validation net
Pour 2014, le taux de validation net sur l’ensemble des ACI contrôlées est de 98 % (546 ACI
validées sur 557 contrôlées), il était de 94 % en 2013.
29 organismes enregistrent un taux de validation net de 100 % (23 en 2013).
Les 9 organismes restants enregistrent un taux de validation compris entre 82 % et 94 %
(13 organismes enregistraient un taux inférieur à 94 % en 2013, dont 4 affichaient un taux inférieur à
82 %).
T AUX DE VALIDATION PAR PROCESSUS
8 PMs ont été validés à 100 %, contre 3 en 2013.
Parmi les 13 PMs ayant enregistré un taux de validation inférieur à 100% :
- 9 PMs ont enregistré un taux de validation compris entre 85% et 99% (4 PMs en 2013).
- 4 PMs ont enregistré un taux de validation inférieur à 85% (7 PMs en 2013).
2.1.4 Conclusion des contrôles d’effectivité nationaux
Globalement, l’effectivité des actions de contrôle interne (ACI) des organismes de MSA a continué de
progresser entre 2013 et 2014.
Toutefois lors de la diffusion du bilan de la campagne 2014, la CCMSA a attiré l’attention des
organismes sur :
- la nécessité de tenir à jour les modes opératoires avec une rédaction suffisamment détaillée.
En effet, des modes opératoires insuffisamment précis paraissent à l’origine de la
dégradation des taux de validation de certains PMs. Cette vigilance est d’autant plus
nécessaire dans la phase de réorganisation que connaissent certaines caisses avec la
spécialisation des sites.
- La vigilance à apporter en 2015 sur la mise en œuvre des ACI des 4 PMs enregistrant en
2014 un taux de validation inférieur à 85 %. L’attention doit porter notamment sur les PMs
Cotisations Salariés, Droits Maladie-CMU-C et Rachat et régularisation de cotisations qui
enregistrent une baisse de taux de validation significative.
2.2 Contrôles croisés régionaux pour l’effectivité des ACI
En 2014, toutes les régions ont été engagées dans la démarche des contrôles croisés régionaux. Les
régions décident en toute liberté du nombre de missions et des PMs à contrôler pour leur programme
annuel. Depuis le début de la démarche, les contrôleurs régionaux utilisent la même méthodologie et les
mêmes motifs d’invalidation des ACI que la CCMSA.
- Région Sud Est

Toutes les caisses (9 MSA) ont fait l’objet des contrôles croisés régionaux. De 2 à 5 PMs ont été
contrôlés par caisse.
- Région Sud-Ouest
Tous les organismes (6 MSA et 1 centre informatique) ont fait l’objet des contrôles croisés régionaux.
De 1 PMs (pour SIER@) à 5 PMs ont été contrôlés par organisme.
- Région UMSAGE
Cette région compte 6 MSA mais le contrôle a été mené dans 5 MSA, une d’entre elles n’ayant pas
désigné de contrôleurs. De 1 à 3 PMs ont été contrôlés par caisse.
- Région UMSAO
Toutes les caisses (6 MSA) ont fait l’objet des contrôles croisés régionaux. De 4 à 7 PMs ont été
contrôlés par caisse.
- Région Centre Nord

Toutes les caisses (8 MSA) ont fait l’objet des contrôles croisés régionaux. 2 PMs ont été contrôlés par
caisse.
Au total 733 ACI ont été contrôlées en 2014 au cours de l’ensemble des contrôles croisés réalisés dans
les 5 régions institutionnelles.
2.3 Contrôles d’effectivité du PCAC

La COG 2011-2015 prévoit que la CCMSA s’assure de la mise en œuvre effective du Plan de Contrôle
de l’Agent comptable (PCAC).
L’ensemble des organismes (Caisses et CITIs) seront contrôlés au moins une fois sur la période de la
COG. Pour rappel, 24 organismes avaient été contrôlés sur la période de 2011 à 2013, l’Agent
comptable de la CCMSA a choisi de procéder au contrôle de 7 organismes en 2014.
Le PCAC formalise les obligations légales de l’Agent comptable, l’intégralité de celui-ci doit donc (par
principe) être mis en œuvre et être opérationnel.
Les contrôleurs (le Sous-Directeur de la Direction Comptable et Financière accompagné d’un

collaborateur du Département de l’Analyse et de la Consolidation des Comptes) ont analysé l’existence,
la pertinence et le formalisme des éléments mis en œuvre par l’Agent comptable de l’organisme au
travers de 104 contrôles (nombre de contrôle maximum suivant les situations).
PLANNING ET RESULTATS CONTROLES PCAC 2014
Dates Organismes Résultats

22 septembre MSA Bourgogne 100,00%
29 et 30 septembre MSA Midi Pyrénées Nord 100,00%
16 et 17 octobre MSA Franche Comté 96,67%
20 et 21 octobre MSA Auvergne 97,05%
18 et 19 novembre MSA Alpes du Nord 98,64%
16 et 17 septembre MSA Limousin 99,83%
25 novembre SIERA 94,05%
TOTAL 98,03%
Les résultats des contrôles mis en œuvre en 2014 font apparaître un taux d’effectivité au global de
98,03 %, en légère amélioration par rapport à 2013 (97,4 %) ; ils sont compris entre 94 % et 100 %.
Pour 4 organismes les contrôles n’appellent aucune remarque significative (98 % à 100 %).
Pour les 3 autres organismes, les recommandations portent principalement sur des contrôles
moyennement formalisés, ou moyennement pertinents.
La synthèse réalisée à la fin de ces contrôles d’effectivité a permis aux organismes concernés de mieux
appréhender les résultats attendus, leur permettant d'intégrer immédiatement les améliorations pour
atteindre la pleine effectivité du PCAC.
Globalement la démarche est bien intégrée par l’ensemble des organismes avec des outils de suivi qui
tendent à se généraliser.
En 2014, en sus des contrôles d’effectivité diligentés par la CCMSA ou les commissaires aux comptes,
une région a intégré des contrôles PCAC dans la démarche des contrôles croisés régionaux. Les
contrôleurs régionaux utilisent la même méthodologie de validation que la CCMSA et déterminent les
domaines de contrôle.
4EME PARTIE : PILOTAGE DU PLAN DE
CONTROLE INTERNE 2014
Un plan national de contrôle interne a été diffusé aux organismes du réseau MSA le 27 février
2014 par LTC 2014-138
Sa mise en œuvre s’est appuyée sur
- Les travaux des instances de pilotage
- Les éléments de cadrage du plan annuel de contrôle interne
- Des actions d’accompagnement : actions de formation et de communication
I. INSTANCES DE PILOTAGE DU CONTROLE INTERNE
1.1 Au plan institutionnel
Sur le plan opérationnel, la Direction de l’audit et de la maîtrise des risques de la CCMSA, créée en
2012, a en charge la conception générale du dispositif de contrôle interne et l’animation de sa mise en
œuvre. Elle établit le rapport annuel de contrôle interne
Deux instances sont impliquées dans le pilotage du contrôle interne au plan institutionnel :
1.1.1 Le Comité National de la Maîtrise des risques
Le Comité National de la Maîtrise des risques a été installé le 13 mars 2013.
Il rassemble autour du Directeur Général et de l’Agent comptable de la CCMSA, le Directeur Délégué

aux Ressources Institutionnelles, le Directeur des Systèmes d’Information, la Directrice de l’Audit et de
la Maîtrise des Risques et son adjointe en charge directe de la Maîtrise des Risques.
Il a pour mission d’orienter la politique de maîtrise des risques de l’institution, impulsée par la CCMSA.
Ce comité se réunit au moins deux fois par an. En 2014 il s’est réuni le 14 avril, 9 juillet et le
26 novembre. Le secrétariat en est assuré par la Direction de l’audit et de la maîtrise des risques.
La mise en place d’un comité de la maîtrise des risques permet de répondre à la préoccupation
d’appréciation d’ensemble de la maîtrise des risques en cohérence avec l’esprit du décret d’octobre
2013 sur le contrôle interne lequel porte une approche globale du management des risques.
1.1.2 Le Comité Directeur de la Certification
Dans le cadre de la gouvernance de l’Institution, un dispositif de concertation entre le réseau et la

Caisse Centrale a été mis en place afin de préparer l’élaboration des orientations stratégiques, de
faciliter les échanges d’information et de favoriser la cohérence institutionnelle.
Il a été créé ou maintenu, par décision du Directeur Général en date du 7 avril 2009, modifié le 3
décembre 2009, huit comités directeurs parmi ceux-ci, le Comité Directeur de la certification.
Ce comité est notamment chargé du suivi de la cartographie des risques et de la maîtrise des risques
et est chargé d’émettre des avis et suggestions sur tous sujets concernant la maîtrise des risques. Il
relaie dans les régions institutionnelles la politique nationale et fait remonter les propositions locales.
Il est composé de :
- 5 ordonnateurs et 5 Agents comptables désignés en nombre égal au sein des 5 régions

institutionnelles MSA.
- Le directeur en charge du Système d’information assisté d’un représentant de l’exploitation
informatique,
- l’Agent comptable de la CCMSA,
- Le Directeur de la CCMSA en charge de la maîtrise des risques
Conformément à l'engagement 83 de la COG 2011-2015, sont également conviés aux travaux du

Comité Directeur : le contrôleur général de la CCMSA, Le directeur de la sécurité sociale (ou son
représentant), les commissaires aux comptes de la CCMSA.
La co-animation du comité directeur est assurée par l’Agent comptable de la CCMSA et un directeur du
réseau désigné en son sein.
En 2013, le Comité Directeur de la Certification s’est réuni quatre fois (le 11 mars, le17 juin, le
25 septembre et le 10 décembre).
1.2 Concernant les organismes du réseau

En application des instructions de la CCMSA et notamment la circulaire 2004-010 puis la circulaire
2015-005 relative à la mise en œuvre des dispositions du décret du 14 octobre 2013 relatif au contrôle
interne des organismes de base de sécurité sociale et des organismes concourant à leur financement,
les organismes ont mis en place :
- Un comité de pilotage du contrôle interne intégrant le directeur, l’Agent comptable et les

membres de l’équipe de direction, est notamment chargé de la validation du plan de
contrôle interne, il pilote sa mise en œuvre et analyse le bilan de sa réalisation
- Un agent de direction est désigné en charge du contrôle interne
- Un coordonnateur du contrôle interne placé sous la responsabilité de l’agent de direction

en charge du contrôle interne organise la mise en œuvre des actions du plan de contrôle
interne
- Un correspondant sécurité du système d’information
En outre, chacun des organismes a désigné à la CCMSA : un agent de direction référent et un

correspondant pour chacun des trois domaines : contrôle interne, lutte contre la fraude et contrôle
externe.
II. LES ELEMENTS DE CADRAGE DU CONTROLE
INTERNE
2.1 Plan d’actions suite au décret du 14 octobre 2013
A la suite de la parution du décret du 14 octobre 2013 relatif au contrôle interne des régimes
obligatoires de base de sécurité sociale et des organismes concourant à leur financement, la MSA a mis
en œuvre un plan d’action visant à identifier et organiser la mise en œuvre des actions à conduire. 39
actions ont été identifiées.
Un point d’avancement de ce plan d’action est effectué dors de chaque Comité National de Maîtrise des
risques et il donne lieu à une information régulière lors du Comité Directeur Certification.
Au 31 décembre 2014, 34 actions avaient été réalisées, 5 étaient engagées.
2.2 Circulaire d’application du décret du 14 octobre 2013

L’année 2014 a vu l’élaboration de la circulaire d’application du décret du 14 octobre 2013. Celle-ci a été
diffusée aux organismes par lettre à toutes les caisses 2015-005 en date du 28 janvier 2015. Elle
décrit :
- le cadre général du contrôle interne de la MSA

- les dispositions de mise en œuvre du décret de 2013 au plan institutionnel et au plan de
chacun des organismes
- la gouvernance du dispositif de contrôle interne
- la mise en œuvre des principes du référentiel de contrôle interne
La circulaire prévoit que les dispositions de mise en œuvre du décret s’appuient localement sur un
engagement formalisé par un protocole cosigné du directeur et de l’Agent comptable de chacun des
organismes.
Elle a fait l’objet d’une présentation au réseau MSA lors d’une journée nationale d’information le 30
janvier 2015.
2.3 Plan de contrôle interne

Le plan national de contrôle interne a été diffusé aux organismes par lettre à toutes les caisses 2014-
138 en date du 27 février 2014. Cette lettre demandait aux organismes de de MSA de communiquer à la
CCMSA pour le 31 mai 2014 leur plan de contrôle interne 2014.
La CCMSA a été destinataire de 38 plans de contrôle interne 2014 dans les délais requis soit
l’ensemble des organismes à l’exception de l’un d’entre eux. Pour 2015, l’ensemble des organismes ont
transmis un plan de contrôle interne à la CCMSA.
2.4 Rapport de contrôle interne

Un rapport présentant un bilan du dispositif national de contrôle interne et intégrant les conclusions des
audits est établi annuellement par le directeur et l’Agent comptable de l’organisme national.
Il est communiqué au ministre chargé de la sécurité sociale au plus tard le 30 juin de l’année suivant
celle au titre de laquelle il a été établi, accompagné des rapports d’audit prévus à l’article D. 114-4-9.
2014 a vu la production du premier rapport national de contrôle interne produit dans l’esprit du décret
d’octobre 2013. Le rapport national relatif à l’exercice 2013 a été produit et diffusé à la direction de la
sécurité sociale le 30 juin 2014.
Un rapport de contrôle interne présentant un bilan du dispositif de contrôle interne doit être établi
annuellement par le directeur et l’Agent comptable de chaque organisme et communiqué à la CCMSA
pour le 31 mai de l’année suivante.
En 2014, comme en 2015, la CCMSA a été destinataire des rapports de contrôle interne des 39
organismes concernés. Ces rapports ont pu être pris en compte pour la production du rapport national.
2.5 Le protocole contrôle interne

Le protocole de contrôle interne formalise l’engagement du directeur et de l’Agent comptable de mettre
en œuvre au sein de l’organisme le dispositif national de contrôle interne en la complétant, le cas
échéant, des actions de maitrise nécessaires compte tenu des risques locaux identifiés.. Il décrit les
principes organisationnels retenus, les moyens affectés ainsi que les modalités essentielles
d’élaboration, de mise en œuvre et de pilotage du dispositif de contrôle interne.
Courant 2014, sans attendre la circulaire d’application du décret d’octobre 2014, plusieurs organismes
ont mis à jour leur protocole de contrôle interne en vue d’une mise en conformité avec les dispositions
du nouveau décret.
Il convient également de souligner que des organismes ont également établi des protocoles de lutte
contre la fraude engageant les services de l’ordonnateur et de l ‘Agent comptable.
2.6 Les engagements COG au titre de la maîtrise des risques et de la lutte

contre la fraude
Au titre du cadrage du contrôle interne et de la maîtrise des risques, il convient de souligner que les
indicateurs portés par la Convention d’Objectifs et de Gestion portant sur la maîtrise des risques et la
lutte contre la fraude sont au nombre de 11.
Six indicateurs s’ajoutent en effet aux cinq indicateurs commentés plus haut au titre de la lutte contre la
fraude (deux indicateurs sur le taux de recouvrement, trois indicateurs sur le taux de couverture et le
taux de redressement par le contrôle externe, un indicateur sur le taux d’erreur dans les dossiers mis en
paiement)
Ces indicateurs font l’objet d’un suivi régulier par la CCMSA dans le cadre du comité de pilotage
institutionnel. Ils donnent lieu à une restitution annuelle auprès des Ministères en charge des affaires
sociales, du Budget et de l’Agriculture.
III. ACCOMPAGNEMENT DU CONTROLE INTERNE
3.1 Formation
3.1.1 Les formations gérées au plan institutionnel
La mise en place d’un outil de suivi quantitatif semestriel piloté par l’Institution a permis en 2014
d’assurer une traçabilité de l’ensemble des formations suivies en matière de maîtrise des risques et de
lutte contre la fraude.
L’initiative des formations incombe aux organismes de MSA dans le cadre de leurs orientations
stratégiques et de leur plan de formation. Ils font le choix de solliciter l’Institution, d’autres organismes
de MSA en vue d’une mutualisation de moyens ou des organismes de formation externes.
4829 heures de formation à la maîtrise des risques ont été dispensées en 2014 dont :
- Par la MSA : près de 2000 heures de formation dispensées en inter-entreprises ou en

intra-entreprise, et plus de 20 heures réalisées par l’Association Régionale de Formation
FORCENORD
- Par des organismes externes de formation et d’enseignement supérieur :
Près de 150 heures par l’IFACI,
L’Ecole Nationale de la Magistrature pour plus de 40 heures,
JPB Formation pour plus de 60 heures
…
- Par des organismes institutionnels, de Sécurité Sociale ou étatiques :
500 heures par la Police aux Frontières,
Plus de 20 heures à l’UCANSS,
Plus de 700 heures par le CRF Auvergne,
Près de 600 heures par l’INTEFP,
400 heures par la DNLF,
La DGPAF pour 100 heures,
La DDPAF pour 150 heures,
Près de 100 heures auprès du Bureau de la fraude documentaire
Les axes de formation visés ont été :
• La lutte contre la fraude

La CCMSA s’est engagée à mutualiser des actions de formation avec celles organisées par les centres
de formation professionnelle du régime général s’inscrivant dans une démarche globale (législation,
applicatif et process) en matière de lutte contre la fraude. L’Institution a proposé des formations à la
prévention et la lutte contre le travail illégal, ou l’organisation et la mise en œuvre de la lutte contre la
fraude.
Les partenariats avec les autres régimes ont permis de déployer des formations à l’instar des formations
proposées par le CRF Auvergne sur les thèmes « Fraude à l'identité » et « Détection de faux
documents ».
L’INTEFP (Institut National du travail, de l'Emploi et de la Formation Professionnelle) a permis le suivi
de formations sur les thèmes : « traitement des situations complexes en matière de travail illégal », « le
contrôle des PSI », « les formes d'emploi atypiques », « la lutte contre le travail illégal » et « la lutte
contre le travail illégal dans le secteur de l'agriculture » ...
• Le contrôle externe
Le dispositif de formation actuel pour les nouveaux contrôleurs repose sur un parcours de formation
initial obligatoire à l’exercice du métier sur les domaines législatifs, la posture et le métier.
L’offre de formation de perfectionnement pour les contrôleurs est en cours de construction. Elle
accompagnera la montée en compétences et garantira l’actualisation des connaissances métiers au
regard de l’évolution de la réglementation. Il s’agira en outre de contribuer à l’homogénéité des
pratiques en situation de travail.
Pour illustrer les formations, la MSA propose des formations à la méthodologie du contrôle des
rémunérations collectives, des mesures d’exonération de charges ...
• Le contrôle interne
La MSA a proposé en 2014 une formation à l’élaboration des procédures de contrôle interne. Une
réflexion a par ailleurs été engagée afin de compléter l’offre de formation actuelle pour répondre aux
besoins du réseau.
3.1.2 Au plan des organismes
- 22 organismes déclarent avoir suivi la formation sur l'élaboration de procédures de contrôle

interne et chacun des organismes concernés a formé 1 à 2 collaborateurs.
- Bien que n'ayant pas toute déclaré la réalisation de formation au nouvel outil de suivi des
ACI (actions de contrôle interne), les caisses de MSA ont toute accompagné leurs
collaborateurs lors de la mise en place de l'outil. En effet, on a pu constater une
appropriation rapide du nouvel outil.
- Enfin de façon générale, on constate que les organismes intègrent dans leur plan de
formation 2014, des formations ayant trait au contrôle interne, aux ACI, à la LCF/ contrôle
externe et à l'audit.
3.2 Communication
3.2.1 Les actions de portée nationale
En 2014 la CCMSA a tenu à jour et enrichi le site dédié au contrôle interne sur l’intranet institutionnel.
Comme l’année précédente, une réunion de l’ensemble du réseau a été organisée pour faire le point sur
l’actualité du contrôle interne. Cette réunion s’est tenue le 30 janvier 2015
53 personnes représentant l’ensemble des organismes du réseau ont participé à cette journée avec à
l’ordre du jour:
- Point sur la mise en œuvre du décret : circulaire contrôle interne
- Le plan de contrôle interne 2015
- La gestion des habilitations
- Les PMs ACI et leurs évolutions
- Le plan de maîtrise des risques Offre de services
- Le plan de maîtrise des risques Etablissements
- Les contrôles d’effectivité
D’autres actions de communication ont contribué au dispositif de contrôle interne et notamment la

poursuite de la campagne institutionnelle (interne et externe) de communication sur la lutte contre la
fraude.
Ainsi, dans le cadre du plan de communication 2014 ont été conduites par les organismes MSA :
- des actions de sensibilisation aux risques encourus en cas de non-respect par les intéressés
des obligations qui sont les leurs. Cela concerne par exemple, les actions menées envers
les allocataires les alertant sur la nécessité de signaler tout changement dans leur situation
(ressources, résidence, composition de la famille,…) de nature à modifier leurs droits ou leur
rappelant les règles à respecter au regard des arrêts de travail pour maladie ou accident du
travail
- Des actions ont également été conduites à l’égard des employeurs et donneurs d’ordres afin
de les sensibiliser aux risques du travail dissimulé et de la solidarité financière auxquels ils
sont potentiellement exposés.
3.2.2 Les actions de communication spécifiques mises en

œuvre par le réseau
Diverses actions de communication relatives au Contrôle interne sont avancées par les organismes du
réseau. Il est observé que la communication sur le contrôle interne est très souvent réalisée à l’initiative
du coordonnateur contrôle interne et s’appuie sur l’encadrement, l’espace intranet et le journal interne
des entreprises.
Il est notamment souligné :
- Certains organismes ont mis en place un plan de communication dédié au contrôle interne
- Mise en place de diaporamas dans les lieux d’accueil concernant la lutte contre la fraude
- Introduction du contrôle interne dans le module de formation préparatoire au Certificat

d’Initiation Professionnelle (CIP)
CONCLUSION
L’année 2014 a été marquée comme la première année pleine d’application du décret
d’octobre 2013 sur le contrôle interne des organismes de sécurité sociale.
L’ensemble de l’institution MSA s’est mobilisée pour l’application des dispositions du décret
avec notamment la mise en œuvre d’un plan d’actions spécifique et la préparation de la
circulaire d’application de ce texte. A la fin de l’année 2014, 100% des actions du plan étaient
réalisées (87 %) ou engagées (13%).
En outre, au cours de l’année 2014 la MSA a conçu des dispositifs spécifiques de maîtrise
des risques pour sécuriser des activités nouvelles ou des domaines spécifiques avec :
- La création d’un Processus métier socle (PMS) et des actions de contrôle interne
concernant l’instauration d’indemnités journalières maladie pour les non-salariés
agricoles,
- La mise en œuvre de contrôles de conformité pour accompagner le transfert à la

MSA de la gestion des populations assurée antérieurement par le GAMEX et
l’AAEXA,
- La diffusion de deux plans de maîtrise des risques concernant :
o L’offre de services
o L’engagement de la MSA dans les établissements sanitaires et médico
sociaux
L’année 2014 a également vu le déploiement de la charte institutionnelle de déontologie qui

contribue à sécuriser l’environnement du contrôle interne.
Tous les organismes de MSA concernés ont produit un rapport de contrôle interne 2014 qui a
permis d’enrichir le présent rapport national.
Enfin, les évaluations ressortant des audits et des contrôles d’effectivité (ACI, PCAC) illustrent
la mobilisation du réseau MSA pour une bonne mise en œuvre du dispositif de contrôle interne
institutionnel.
Vos interlocuteurs à la Direction de l’Audit et de la Maîtrise des Risques
o Mme Nathalie GOSTIJANOVIC

Mail gostijanovic.nathalie@ccmsa.msa.fr
o Mme Anne-Marie GUENANEN

Tél. 01 41 63 82 74
Mail guenanen.anne-marie@ccmsa.msa.fr

Rapp Nat CI 2014

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapp Nat CI 2014

Transféré par

Droits d'auteur :

Formats disponibles

CCMSA

1.1.1 Les actions de contrôle interne institutionnelles ........................................................................................... 13

1.5 CONTROLE MEDICAL ET GESTION DU RISQUE ........................................................................................................... 26

1.6.1 Le Document Unique d’Evaluation des Risques Professionnels (DUERP) ............................................... 29

1.8 CHARTE DE DEONTOLOGIE...................................................................................................................................... 31

1.8.1 Le contexte ................................................................................................................................................... 31

2.2 VERIFICATION COMPTABLE ..................................................................................................................................... 37

2.3 M ATRICE DES RISQUES COMPTABLES ET FINANCIERS ............................................................................................... 39

III. LES OUTILS DU CONTROLE INTERNE LIES AU SYSTEME D’INFORMATION ................... 42

3.2 LE SUIVI DES INCIDENTS : TICKETS TANDEM ............................................................................................................ 43

3.2.1 Le dispositif ................................................................................................................................................... 43

3.4 POLITIQUE ET PLAN DE SECURITE DU SYSTEME D’INFORMATION................................................................................ 48

3.4.1 La PSSI ......................................................................................................................................................... 48

2EME PARTIE : ANALYSE DES RISQUES 2014.............................................................. 53

1.1.2 Cartographie des processus métiers et supports ......................................................................................... 55

II. L’ACTUALISATION DES ACTIONS DE CONTROLE INTERNE............................................ 57

2.2 LA SECURISATION DES HABILITATIONS .................................................................................................................... 58

2.3 LE PLAN DE MAITRISE DES RISQUES DE L’OFFRE DE SERVICES .................................................................................. 58

III. L’ANALYSE DES RISQUES LIEE A DES DOSSIERS NOUVEAUX ........................................ 61

3.2 M AITRISE DES RISQUES DE NOUVEAUX PROJETS OU PROCESSUS.............................................................................. 62

4.2 LA LUTTE CONTRE LA FRAUDE ................................................................................................................................ 64

4.2.1 L’analyse des risques aux fins de ciblages .................................................................................................. 64

V. MATRICE DES RISQUES COMPTABLES ET FINANCIERS ................................................... 65

VI. ANALYSE DES RISQUES DE SECURITE DU SYSTEME D’INFORMATION.......................... 67

3EME PARTIE : AUDITS ET CONTROLES D’EFFECTIVITE 2014 .............................. 69

1.1.1 Le contexte ................................................................................................................................................... 71

II. CONTROLES D’EFFECTIVITE ................................................................................................. 78

2.1.1 Plan de contrôle ............................................................................................................................................ 78

2.3 CONTROLES D’EFFECTIVITE DU PCAC .................................................................................................................... 80

4EME PARTIE : PILOTAGE DU PLAN DE CONTROLE INTERNE 2014 ................... 83

1.1.1 Le Comité National de la Maîtrise des risques ............................................................................................. 85

II. LES ELEMENTS DE CADRAGE DU CONTROLE INTERNE ................................................. 87

2.2 CIRCULAIRE D’APPLICATION DU DECRET DU 14 OCTOBRE 2013 ................................................................................ 87

2.4 RAPPORT DE CONTROLE INTERNE ........................................................................................................................... 87

2.5 LE PROTOCOLE CONTROLE INTERNE ....................................................................................................................... 88

III. ACCOMPAGNEMENT DU CONTROLE INTERNE ................................................................... 89

3.1.1 Les formations gérées au plan institutionnel ................................................................................................ 89

3.2.1 Les actions de portée nationale.................................................................................................................... 90

2EME PARTIE : ANALYSE DES RISQUES 2014 : Analyses des

3EME PARTIE : AUDITS ET CONTROLES D’EFFECTIVITE 2014 :

4EME PARTIE : PILOTAGE DU PLAN DE CONTROLE INTERNE

- mis en œuvre par l’ordonnateur

- mis en œuvre par l’Agent comptable

- liés au système d’information

- la gestion des habilitations,

- la lutte contre la fraude,

- la gestion du risque et la maitrise médicalisée,

- la protection des personnes et du patrimoine,

- la mise en œuvre de la charte de déontologie.

1.1 Les actions de contrôle interne (ACI)

- Le descriptif des risques majeurs identifiés,

- Le descriptif des Actions de Contrôle Interne (ACI) à réaliser (population, échantillon,

- Les outils nécessaires aux contrôles,

- Les tableaux de suivi de la réalisation des ACI.

Les cotisations salariés

Domaine GESTION DE L’ENTREPRISE

Immatriculer ou affilier un individu

La demande de retraite et de réversion hors CIR

- 27 caisses ont un taux de régularité de 100 % (18 en 2013).

- 20 PMs sur 27 enregistrent un taux de régularité de 100 % (10 sur 24 en 2013).

- R ESPECT DES QUOTAS

Les 4 PMs présentant le plus fort taux d’anomalies sont :

Droits Maladie CMU-C avant 13,52 %