Académique Documents
Professionnel Documents
Culture Documents
Contrôle interne
Rapport national de
Contrôle interne
2014
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 2
Sommaire
1ERE PARTIE : MAITRISE DES RISQUES 2014 ................................................................. 11
I. LES OUTILS DU CONTROLE INTERNE MIS EN ŒUVRE PAR L’ORDONNATEUR ............. 13
1.1 LES ACTIONS DE CONTROLE INTERNE (ACI) ............................................................................................................ 13
1.2.1 Les habilitations données par chaque organisme à ses salariés ............................................................... 21
1.2.2 Les habilitations données par chaque organisme aux personnes extérieures .......................................... 21
1.2.3 Actions de maitrise et perspectives .............................................................................................................. 21
1.3 PLAN DE LUTTE CONTRE LA FRAUDE ....................................................................................................................... 22
1.3.1 Le plan institutionnel de lutte contre la fraude et le travail illégal 2014 ..................................................... 22
1.3.2 Les résultats de la lutte contre la fraude en 2014 ........................................................................................ 22
1.4 CONTROLE EXTERNE .............................................................................................................................................. 25
1.5.1 Les actions de gestion du risque mettant en évidence des risques internes ............................................. 27
1.5.2 Les actions de maîtrise des risques au titre du contrôle interne ............................................................... 27
1.5.3 La mise en œuvre d’une action commune gestion du risque-lutte contre la fraude : le contrôle
de dispositifs médicaux et prestations associées relevant de la liste des produits et prestations
(LPP) ............................................................................................................................................................. 28
1.6 PROTECTION DES PERSONNES ET DU PATRIMOINE ................................................................................................... 29
1.9.1 Le management des processus orienté client et les revues de processus .................................................. 32
1.9.2 La gestion de la connaissance ..................................................................................................................... 33
1.9.3 Autres ........................................................................................................................................................... 33
1.10 DISPOSITIFS LOCAUX .............................................................................................................................................. 33
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 3
II. LES OUTILS DU CONTROLE INTERNE MIS EN ŒUVRE PAR L’AGENT COMPTABLE...... 34
2.1 PLAN DE CONTROLE DE L’AGENT COMPTABLE ......................................................................................................... 34
2.4 LE PLAN DE MAITRISE DES RISQUES LIES A L’ENGAGEMENT DE LA MSA DANS LES ETABLISSEMENTS
SANITAIRES ET MEDICO-SOCIAUX ............................................................................................................................ 59
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 4
IV. AUTRES DOMAINES DE L’ORDONNATEUR POUR LESQUELS A ETE
CONDUITE UNE ANALYSE DE RISQUES. .............................................................................. 63
4.1 LE CONTROLE EXTERNE.......................................................................................................................................... 63
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 5
2.3 PLAN DE CONTROLE INTERNE ................................................................................................................................. 87
2.6 LES ENGAGEMENTS COG AU TITRE DE LA MAITRISE DES RISQUES ET DE LA LUTTE CONTRE LA FRAUDE ................... 88
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 6
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 7
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 8
1ERE PARTIE : MAITRISE DES RISQUES 2014 : Description du
dispositif de contrôle interne et de ses résultats pour 2014.
CONCLUSION
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 9
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 10
1ERE PARTIE : MAITRISE DES RISQUES 2014
Le dispositif national de contrôle interne a pour objet d’assurer la maîtrise des risques
de toute nature, notamment financiers, inhérents aux missions confiées.
Il se compose du contrôle interne des gestions techniques, des gestions budgétaires
et de la comptabilité ainsi que du contrôle interne des systèmes d’information.
Le plan national de contrôle interne 2014 distinguait entre les outils constitutifs du
dispositif de contrôle interne :
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 11
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 12
I. LES OUTILS DU CONTROLE INTERNE MIS EN
ŒUVRE PAR L’ORDONNATEUR
Les outils du contrôle interne mis en œuvre par l’ordonnateur relevaient en 2014 des domaines
suivants :
- les actions de contrôle interne institutionnelles : PMs (Processus Métier Socle) et ACI
(Actions de Contrôle Interne) et les actions de contrôle interne locales,
- le contrôle externe,
- la continuité d’activité,
Le dispositif de contrôle interne appliqué aux processus métiers s’appuie principalement sur les Actions
de Contrôle Interne (ACI) des Processus Métier socle (PMs). Sont couverts les domaines d’activités
MSA et de gestion déléguée : immatriculation/affiliation, cotisations, prestations, contentieux, gestion
de l’entreprise pour chaque Processus métiers socle (PMs) pour lesquels l’analyse des risques a
permis d’identifier les risques majeurs à mettre sous contrôle.
Pour chaque PMs, une fiche de risques est diffusée au réseau, présentant :
Le dispositif de sécurisation des processus métiers est national et s’impose de manière obligatoire à
tous les organismes du réseau MSA.
Au cours de l’année 2014, le réseau MSA a ainsi été amené à mettre en œuvre les 145 Actions de
er
contrôle interne institutionnelles (ACI actives au 1 janvier 2014) pour couvrir 90 risques concernant les
21 processus métier socle (PMs) à fort enjeu financier.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 13
D ESCRIPTION DU DISPOSITIF MIS EN ŒUVRE EN 2014 PAR LE RESEAU MSA
Les 21 processus métier socle (PMs) à fort enjeu financier rassemblant les 145 ACI actives au
er
1 janvier 2014 sont les suivants :
Domaine COTISATIONS
Domaine FAMILLE
PAJE
RSA
Les aides au logement
Gestion de la paye
Procédure des marchés
Gestion des habilitations
Le recouvrement amiable
Domaine POPULATION
Domaine RETRAITE
Domaine SANTE
Invalidité
Traiter un arrêt de travail maladie, maternité, paternité, AT/MP
Les feuilles de soins électroniques
Droits maladie - CMU C
Cartes vitale
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 14
L ES RESULTATS
Les informations déclaratives des caisses de MSA concernant les ACI pour 2014 peuvent être
analysées sous deux angles :
- quantitatif : taux de régularité et quotas
- qualitatif : taux d’anomalies avec ou sans incidence financière.
- T AUX DE REGULARITE
Le taux de régularité est calculé comme le nombre de mois couverts par les ACI. Un taux de 100 %
signifie que la caisse déclare avoir mis en place la totalité des ACI sur la totalité des mois de l’année.
Ce taux n’intègre pas la notion de respect des quotas.
Le taux de régularité France entière est de 99,9 % (99,3 % en 2013).
PAR CAISSE :
PAR PMS :
PAR CAISSE :
La plupart des caisses de MSA dépassent les quotas demandés pour la réalisation des ACI.
Seule une MSA présente un taux de respect des quotas inférieur à 100 % (4 caisses étaient dans
ce cas en 2013). Cette MSA a rencontré des difficultés lors de la réalisation des contrôles du PMs
« La demande de retraite et de réversion hors CIR », seul processus pour lequel cette MSA
enregistre un quota inférieur à 100 % (99,7 %).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 15
Malgré un quota réalisé supérieur à 100 %, une MSA enregistre un quota plafonné inférieur à
100 % (93,3 %) du fait qu’elle n’a pas pu réaliser l’intégralité des contrôles sur 3 processus.
PAR PMS :
Seul le PMs « Gestion des Habilitations » présente un taux de respect des quotas inférieur à
100 % (4 PMs en 2013).
Ce résultat s’explique par une sous-réalisation des contrôles demandés, de la part d’une MSA
(quota de 95,7 %).
4 processus enregistrent un quota plafonné inférieur à 100 % (malgré un quota réalisé de plus de
100 % pour les 3 premiers) :
- Immatriculer une entreprise 99,98 %
- Emission non-salariés 99,88 %
- La demande de retraite et de réversion hors CIR 99,79 %
- Gestion des Habilitations 99,72 %
- T AUX D ’ ANOMALIE
Le taux moyen d’anomalies France entière et tous PMS est de 5,8 % (4,7 % en 2013).
Le nombre total d’anomalies est passé de 28 336 en 2013 à 29 720 en 2014, soit une
augmentation de 4,88 %.
PAR CAISSE :
15 caisses présentent un taux d’anomalies supérieur à la moyenne.
Une seule MSA enregistre un taux d’anomalies à 2 chiffres, il s’agit de la MSA de Dordogne Lot et
Garonne (11,65 %) ; en 2013 le taux plus élevé était celui de la MSA de Lorraine (17,4 %).
Le nombre d’anomalies cumulé sur l’année est compris entre 224 pour la Corse et 2169 pour la
MSA du Languedoc.
En 2014, le nombre moyen d’anomalies par MSA est de 849 (contre 810 en 2013).
PAR PMS :
Ces processus enregistraient déjà en 2013 les plus forts taux d’anomalies.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 16
Mais ces résultats sont à rapprocher du nombre d’anomalies et du poids du PMs parmi l’ensemble
des anomalies enregistrées en 2014. En effet, le processus « Cartes Vitale » (avant et après
maintenance), malgré son taux élevé, ne représente que 0,21 % du total des anomalies (0,29 % en
2013).
En 2015, les anomalies avec incidence financière seront comptabilisées dès le montant de 1€ en
cohérence avec l’évolution des règles de la vérification comptable (Cf. circulaire n° DCF-2014-024
du 30/10/2014).
Le pourcentage d’anomalies avec incidence financière France entière et tous PMs est de
1,3 % (1,1 % en 2013), pour un nombre d’anomalies avec IF quasi identique à celui de 2013 :
6 477 en 2014 contre 6 481 en 2013.
Le montant total des anomalies avec IF est passé de 2.997.146 € en 2013 à 3.218.411 € en 2014,
soit une augmentation de 7,38 %, pour un montant moyen par anomalie de 497 € en 2014 (462 €
en 2013).
Toutefois cette évolution s’explique principalement par les résultats d’une nouvelle ACI issue de la
maintenance du PMs « Cotisations salariés » (Risque 2 ACI1) pour laquelle la valorisation
financière réalisée par quelques caisses (valeur de l’ensemble du dossier et non-valeur de l’écart)
a majoré l’estimation de l’impact financier.
Si l’on neutralise cette ACI sur 2013 et 2014, les résultats obtenus sont les suivants :
Résultats hors R2 ACI1 du PMs Cotisations salariés (avant et après maintenance) :
Les résultats ainsi calculés indiquent une stabilité du montant moyen de l’incidence financière.
PAR CAISSE :
Le taux le plus élevé enregistré en 2014, est identique à celui de 2013, soit 2,80 % (MSA du
Languedoc en 2014, MSA Nord Pas-de-Calais en 2013).
Le nombre d’anomalies avec IF cumulé sur l’année, est compris entre 83 pour la Corse et 674 pour
la MSA du Languedoc.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 17
Comme en 2013, le nombre moyen d’anomalies avec IF par MSA est de 185, pour un montant
moyen de 91.955 € (85.633 € en 2013).
PAR PMS :
A noter que :
- A l’inverse, les anomalies avec IF des PMs « Procédure des marchés » et « Cartes vitale »
ne concernent qu’une seule MSA.
11 PMs présentent un taux d’anomalies supérieur à la moyenne (1,26 %) et les 5 PMs enregistrant
les taux d’anomalies avec IF les plus élevés sont :
RSA 5,17 %
Invalidité 4,81 %
PAJE 2,34 %
Mais ces résultats sont à rapprocher du nombre d’anomalies avec IF ainsi que du montant
correspondant.
En effet, les processus « La demande de retraite et de réversion hors CIR » et « Traiter un arrêt de
travail maladie, maternité, paternité » représentent une part plus importante des anomalies avec IF
(en nombre) que les 5 PMs cités ci-dessus (respectivement 13,9 % et 13,2 %).
Il en est de même pour les processus « Cotisations salariés après maintenance » et
« Recouvrement amiable après maintenance » qui représentent une part importante du montant
total des anomalies avec IF, alors que leur taux d’anomalie avec IF ne figure pas parmi les plus
élevés.
En 2014, le taux de régularité (99,9 %) s’est rapproché des 100 % (+0,6 point par rapport à 2013).
Le taux de respect des quotas (100,9 %) dans la réalisation des ACI a diminué, mais le taux de respect
des quotas plafonnés s’approche de 100% (99,9 %). Seules deux caisses de MSA n’atteignent pas
100 %.
Le taux d’anomalies avec ou sans incidence financière a augmenté entre 2013 et 2014 de 4,7 % à 5,8 %
mais moins d’une anomalie sur 4 génère une incidence financière (1,3 % des dossiers contre 1,1 % en
2013).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 18
Les évolutions des ACI issues de la maintenance semblent expliquer l’évolution à la hausse du taux
global d’anomalies.
Concernant les anomalies avec incidence financière, l’augmentation s’explique en grande partie par les
résultats d’une nouvelle ACI pour laquelle les pratiques de valorisation de l’incidence financière ont
majoré l’évaluation de l’impact financier. Si on neutralise cette ACI, le nombre d’anomalies avec
incidence financière ainsi que le montant moyen de l’incidence financière restent stables pour le PMs
concerné.
Au regard des indicateurs enregistrés la CCMSA a demandé aux organismes de porter en 2015 une
attention particulière à 8 PMs : « Les cotisations salariés », « Emission non-salariés », « RSA », « Les
aides au logement », « Le recouvrement amiable », « La demande de retraite et de réversion hors CIR »,
« Traiter un arrêt de travail maladie, maternité, paternité » et « Immatriculer une entreprise ».
En complément des Actions de Contrôle Interne institutionnelles (ACI), les caisses de MSA ont pu mettre
en place des Actions de Contrôle Interne locales (dont elles font état dans leur rapport de contrôle
interne).
Ces Actions de Contrôle Interne qui s’appuient sur l’identification de risques locaux ont pu être mises en
place dans le cadre du plan de contrôle de l’Agent comptable, de la vérification comptable, de la
vérification technique des services de l’ordonnateur ou du plan de lutte contre la fraude.
Elles ont également pu être mises en place pour faire suite aux recommandations de l’audit interne
institutionnel.
Des ACI locales ont été mises en place dans plusieurs domaines d’activités :
- Toutes prestations : vérification d’un échantillon de dossiers, avant toute mise en paiement
des échéances périodiques
- Toutes prestations : contrôle des paiements aléatoires à partir d’un seuil fixé par l’Agent
comptable
- Toutes prestations : vérification des dossiers traités par les nouveaux liquidateurs ; les
dossiers de prestations du personnel et des administrateurs
- Domaine Famille : contrôle portant sur la charge d'enfants (12 à 21 ans) au moment de la
requête et dont la famille perçoit les PF ; contrôle de la situation des bénéficiaires de RSA
en comparant les activités salariés et la présence de ressources
- Domaine Famille : contrôle des destinataires de paiements APL, des paiements de AAH
- Domaine Retraite : actions de récupérations FNS/FSV/ASPA/ASI/FSI, contrôle des
ressources à néant pour les bénéficiaires ASPA/FSV
- Domaine Retraite : procédure d’avances pour le paiement des retraites (risque de
liquidation sans compensation sur l’avance, risque de calcul d’une avance trop importante
par rapport au droit)
- Domaine Retraite : risque d’absence de reprise de l’Indemnité Viagère de Départ - pour
éviter de faire perdre des droits aux assurés une requête mensuelle permettant ainsi de
vérifier s'il n'y a pas d'oubli et de régulariser au besoin
- Domaine Retraite : ASPA – contrôle de la situation stable et effective en France après
l'ouverture du droit
- Domaine Santé : contrôle pour s’assurer que les droits maladie pour les ressortissants
étrangers hors UE sont limités à la date de validité du titre de séjour
- Domaine Santé : définition d’un circuit de traitement des FSE re-matérialisées
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 19
- Contrôles périodiques dans le domaine du contrôle médical
- Domaine Recouvrement / Contentieux : procédure et action de contrôle de prévention de
la prescription des créances
- Gestion des entreprises : procédure de gestion des entreprises en LUCEA ; contrôles pour
prévenir le risque de non affiliation d’une entreprise potentiellement agricole
- Gestion des conflits d’intérêt dans le secteur Contrôle externe
- Procédure et contrôle de la saisie des coordonnées bancaires
- Contrôle de la récupération des majorations et préjudices en cas de faute inexcusable de
l’employeur
- Gestion : vérification des fonds et valeurs soit les chèques restaurant, les chèques
vacances, les billets de train et de métro, contrôle sur les véhicules affectés à 100 % à un
seul salarié, ciblant le risque de reporter à la charge du salarié un mauvais coût des
kilomètres personnels
- Contrôle de l’exactitude des paiements des Rentes AT après passage en commission
- Contrôle des prestations d’ASS (aide à domicile, subventions, …)
- Contrôles dans le domaine de GPCD : le paramétrage initial ou mise à jour des tarifs, le
paiement des prestations, la conformité de la date de radiation et du code de radiation,
vérification de la clôture du mode de paiement et de la suppression des ordres de
recouvrement., première émission des nouveaux contrats "Groupe", les émissions
rectificatives COTAC en temps réel
- Domaine Gestion des individus : action de sécurisation de l’utilisation d’un robot pour une
automatisation du traitement d’anomalies sur les connus et inconnus FIPA.
Une caisse (Bourgogne), signale l’attention particulière portée à l’évolution des taux d’anomalie pour les
PMS concernés par la reprise des populations agricoles gérées par APRIA (GAMEX et AAEXA). Une
instruction institutionnelle a été donnée afin de s’assurer qu’il n’y avait pas de taux d’anomalie atypique
en lien avec l’intégration des nouvelles populations. La sélection des dossiers à contrôler est
obligatoirement aléatoire pour certains PMS (Invalidité) et les assurés ex-Gamex ou AAEXA ne sont
pas toujours identifiables. Il n’a donc pas été possible de réaliser une analyse spécifique sur cette
population au niveau des ACI. Cependant suite à l’analyse des taux d’anomalies réalisée fin 2014, on
constate qu’il n’y a pas de hausse atypique depuis la reprise des assurés ex-APRIA par la Caisse.
(voir sur ce point de la reprise des assurés GAMEX également le paragraphe 3.1 de la partie III.)
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 20
1.2.1 Les habilitations données par chaque organisme à ses
salariés
Les habilitations données par chaque organisme à ses salariés sont gérées par domaine d’activité
selon des modalités d’attribution explicite ou selon un dispositif de gestion implicite par groupes
d’individus réalisant des tâches de même nature.
Le dispositif de gestion implicite a été déployé en 2011 dans toutes les caisses sur les sept domaines
suivants : Cotisations, Prestations retraite, Prestations maladie -dont invalidité-, Prestations familiales,
Gestion des individus, Comptabilité, Contentieux. De même l’ont été les activités transverses (de type
GRA, consultation d’état, accès à la corbeille de Workflow,…) utiles pour démarrer ces domaines.
Depuis ont été déployés dans toutes caisses 4 domaines supplémentaires (et les activités transverses
correspondantes) : SST et élections (2014), ASS et CM/CD (Feu vert octobre 2014).
En outre, l’ensemble des actions liées à la mutualisation d’activité fait l’objet d’un déploiement en
contexte implicite : Recours contre tiers (feu vert novembre 2013), Rentes AT (feu vert octobre 2014).
Les habilitations données par chaque organisme à des organismes ou personnes extérieures visent
notamment les habilitations des centres informatiques pour venir en assistance aux caisses de MSA
ainsi que les habilitations données à d’autres caisses dans le cadre de la mutualisation d’activité ou
pour l’exercice de leur mission de pivot.
Les habilitations données par chaque caisse au centre informatique dont elle dépend ainsi que les
règles de gestion de ces habilitations ont été définies par la LTC 2014-181 du 27 mars 2014. Ces
habilitations, qui ouvrent les possibilités de consultation et d’intervention sur le système d’Informations
MSA, sont :
Le recensement de l’ensemble des habilitations requises pour l’assistance informatique aux caisses de
MSA a été réalisé à partir de 31 Groupes d’Actions Elémentaires (GAE) métiers. Le contenu de ces
GAE nationaux a été défini et arrêté par la CCMSA. Les GAE sont maintenus au fil de l’eau par le
PCMO Poste de travail, avec une validation explicite des évolutions au rythme des Comités Directeurs
Certification avec notification officielle par la CCMSA (directeur et Agent comptable).
Ces habilitations sont mises en œuvre dans le cadre du protocole MSA – centre. Compte tenu des
évolutions intervenues, les caisses de MSA ont été amenées au cours de l’année 2014 à actualiser le
protocole de contrôle interne les liant à leur centre informatique (SIER@ ou SIGMAP).
La gestion des habilitations fait l’objet d’actions spécifiques de contrôle avec des actions de contrôle
interne (ACI institutionnelles) mises en œuvre dans chacun des organismes et visant :
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 21
- l’adaptation des habilitations consécutivement à mobilité,
- l’usage des activités élémentaires sensibles.
L’année 2015 verra l’extension aux caisses pivots du référentiel d’habilitations déployé pour l’assistance
des centres informatiques.
La CCMSA produit chaque année un Plan institutionnel de lutte contre la fraude et le travail illégal,
chaque caisse de MSA réalisant son propre plan, lequel décline les actions nationales et intègre les
orientations définies au plan local en tenant compte des spécificités propres à chaque caisse.
Le Plan institutionnel de lutte contre la fraude et le travail illégal 2014 a pris notamment en compte les
orientations définies par le Plan National de Coordination de la Lutte contre la Fraude aux Finances
Publiques pour 2014 et le Plan National de Lutte contre le travail illégal pour la période 2013-2015.
Concrètement, ce plan était structuré en quatre grandes parties : les actions de prévention, les actions
de détection, la répression des fraudes et les sanctions, et le pilotage.
Par ailleurs, les ACI du dispositif des PMs-ACI décrit ci-dessus, contribuent également pour 68 d’entre
elles directement à la lutte contre la fraude. Ces 68 ACI couvrent l’ensemble des domaines d’activité
d’une caisse de MSA : Cotisations (y compris rachats et report aux comptes), Famille, Gestion de
l’entreprise (paye, gestion des habilitations, procédure des marchés, recouvrement amiable), Population
(gestion des individus et des entreprises, cartes VITALE et CMU-C), Retraite et Santé.
La réalisation des contrôles demandés par les ACI contribue à l’identification des cas de suspicion de
fraude et fournit ainsi des informations à exploiter dans le cadre de la politique de lutte contre la fraude.
L ES RESULTATS D ’ ENSEMBLE
Conformément à l’article L. 114-9 du code de la sécurité sociale et à l’arrêté du 16 juin 2006, la Caisse
centrale de MSA est tenue de produire chaque année un bilan des actions menées l’année écoulée en
matière de lutte contre la fraude, transmis au Ministère chargé de la sécurité sociale. Le bilan provisoire
2014, transmis en mai 2015 à la Direction de la sécurité sociale, fait apparaître les résultats suivants :
En 2014, le montant total de la fraude détectée s’élève à 25,4 millions d’euros (22,4 millions en 2013) et
se répartit comme suit : 37 % pour la fraude aux prestations et 63 % pour la fraude aux cotisations et
travail dissimulé.
Concernant les prestations, le montant de la fraude détectée reste quasiment stable 2014 (9,5 M€
contre 9,4 M€ en 2013) avec une atteinte de l’objectif COG est atteint pour l’ensemble MSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 22
Cette situation est la résultante de tendances différentes selon les branches :
• Famille : en 2014, la tendance s’est inversée par rapport à 2013 où le montant de la fraude
détectée a reculé de 14,3 %. En effet, le montant de la fraude détectée en famille a dépassé
les 3 M€, soit une augmentation de 25 %. La campagne RNCPS réalisée en 2014 a
contribué à ces bons résultats. La forte augmentation du montant du préjudice évité (+70 %)
montre l’effort des caisses en matière de contrôle a priori et l’usage croissant des outils inter-
régimes (RNCPS...). En rapportant le montant total du préjudice (subi et évité) au montant
des prestations versées, on constate que le taux de fraude détectée progresse avec un taux
2014 de 0,244 % contre 0,195 % en 2013).
• Retraite (1,9 million d’euros en 2014 contre 2,9 millions d’euros en 2013) : une nouvelle
baisse est observée après la baisse de 45 % observée en 2013. Cette baisse concerne les
retraites « salariés » et s’explique notamment par la poursuite de l’épuration des stocks de
dossiers dans les caisses de MSA portant sur l’instruction des demandes de rachat de
cotisations (parmi lesquels un certain nombre de dossiers portant sur des rachats
frauduleux) ainsi que par la mise en œuvre d’actions de contrôle interne encadrant le
dispositif. En revanche, les fraudes détectées en retraite « non-salariés » progressent
significativement par rapport à 2013. (639 K€ en 2014 contre 211 K€ en 2013). Par rapport
aux prestations versées, le taux de fraudes (montant du préjudice subi et évité sur montant
des prestations servies) décroit depuis 2013 : (0,014 % en 2014, 0,021 % en 2013, 0,037 %
en 2012). 22 % du nombre de fraudes individuelles détectées correspondent à des fraudes
aux conditions de résidence pour le service des prestations minimum (ASPA).
• Santé (4,5 millions d’euros) : la branche enregistre une nouvelle augmentation de 11 %
après celle de +32 % enregistrée en 2013. Cette évolution s’explique pour partie par une
meilleure prise en compte des suites des contrôles à l’application de la T2A et de certaines
actions ciblées réalisées en lien avec la gestion du risque (GDR) comme les contrôles LPP
(voir sur ce point le paragraphe 1.5.3 infra - Partie I.)
La synthèse des résultats des indicateurs COG montre la poursuite, en 2014, des efforts de l’ensemble
du réseau MSA pour la lutte contre la fraude et le travail dissimulé : les objectifs sont largement
atteints.
• 89-1 - Montant des redressements notifiés au titre du travail dissimulé et des fraudes aux cotisations.
• 90-2 - Nombre de sanctions administratives prononcées en prestations.
• 90-4 - Montant de la fraude constatée (toutes branches).
• 90-5 - Taux de recouvrement des indus frauduleux
• 91-5 - Nombre cumulé de nouvelles requêtes nationales proposées au réseau par an.
Les MSA étaient invitées à effectuer seize passages de requêtes en 2014 (six des dix requêtes devant
être effectuées deux fois par an).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 23
Ces seize passages ont été effectués par la plupart des MSA.
Ces requêtes ont donné lieu aux résultats suivants :
Le nombre de signalements (- 38 %) ainsi que le nombre d’indus frauduleux (- 85 %) issus des requêtes
sont en baisse par rapport à 2013, mais le montant des indus frauduleux est en hausse (+ 42 %). Une
analyse précise de ces résultats issus des requêtes sera réalisée en 2015 aux fins d’évaluation de la
pertinence de ces outils et de la fréquence de passage optimale.
Au titre des résultats de l’année 2014, il convient de souligner le taux de progression de l’usage des
outils d’échanges d’information entre partenaires aux fins de lutte contre la fraude :
Décembre
2012 2013 2014
2011
Nombre total de
connexions
individuelles au
50 83 349 319 991 485 031
RNCPS en MSA
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 24
- AGDREF (APPLICATION DE G ESTION DES D OSSIERS DES R ESSORTISSANTS
E TRANGERS EN F RANCE )
Fin 2012, 358 personnes étaient habilitées à accéder à cet outil en MSA. Ce nombre est passé à
1 651 en avril 2013 et à 2097 en mai 2014. Sur l’ensemble de l’année 2014, le nombre total de
connexions à AGDREF a plus que doublé avec 25 762 connexions contre 12 526 en 2013 et
5 926 en 2012.
Le contrôle externe constitue ainsi une activité en lien direct avec la lutte contre la fraude et le travail
illégal.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 25
Au 31 décembre 2014, la population des contrôleurs, était de 260 ETP, soit 263 personnes.
Dans le cadre du guichet unique, l’article L.724-7 du code rural et de la pêche maritime fixe le champ
d’application du contrôle exercé par les agents de contrôle des caisses de MSA qui sont amenés à
conduire leurs actions dans l’ensemble des branches de la protection sociale des salariés et des non-
salariés agricoles :
- branche recouvrement (affiliation, assiette de cotisations sur salaires et des revenus des
non-salariés, actions de recouvrement direct et de prévention et lutte contre le travail
dissimulé) ;
- branche famille (prestations familiales, aides au logement et minima sociaux) ;
- branche vieillesse (pensions de retraite des salariés et non-salariés, pensions de réversion,
cessation d’activité et allocation de solidarité aux personnes âgées « ASPA ») ;
- branche maladie (arrêt de travail, CMU-C, invalidité, …) ;
- branche risques professionnels (AT, ATEXA, MP, …).
L’organisation même du guichet unique MSA offre la garantie d’un contrôle externe et d’une lutte contre
la fraude efficaces tant au plan du régime obligatoire qu’au plan des activités déléguées par les
partenaires (interlocuteur unique, recoupements d’informations, connaissance exhaustive des comptes
des assurés, dépôt d’informations et de documents normalisés auprès d’un point d’entrée unique, etc.).
En 2014, les 35 caisses de MSA ont réalisé 45 466 contrôles, selon la répartition suivante :
11 764 contrôles des prestations (famille, logement, vieillesse, maladie, accidents du travail)
8 758 contrôles d’affiliation
18 624 contrôles d’assiette des cotisations sociales sur salaires et revenus des non-salariés
4 936 contrôles relatifs au travail illégal
1 384 actions de recouvrement direct.
Les contrôles réalisés en 2014 ont permis l’atteinte l’ensemble des objectifs COG relatif au contrôle
externe.
- Le taux de couverture du fichier des salariés en 2014 est de 9.90% (8,91 % en 2013) avec
une cible fixée à 7,58 %.
Les actions de la Gestion du Risque (GdR) sont donc ciblées principalement sur l’efficience du système
de santé. A ce titre, elles ont comme finalité de modifier le comportement des acteurs du système de
soins externes à la MSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 26
A contrario, la maîtrise des risques a pour finalité de réduire les zones de dysfonctionnement
potentielles internes à l’entreprise MSA. Il s’agit ici de maîtrise des évènements indésirables liés aux
processus et procédures internes à l’entreprise.
Néanmoins, il peut arriver que, sur certaines actions, les deux sujets se rejoignent.
Ainsi, les contrôles médicaux des caisses ont 2 types d’activités liées au contrôle interne :
Les actions de GdR ayant un impact sur la maîtrise des risques d’une part, et les actions spécifiques de
contrôle interne d’autre part.
- L’action sur le cumul d’AIS3 (acte de soin infirmier à domicile) au-delà de 4 AIS3 par jour et
par assuré.
Cette action met en évidence certaines situations dans lesquelles la caisse a remboursé
des actes au-delà de la réglementation de la Nomenclature Générale des Actes
Professionnels (NGAP). Ces situations listées ont été prises en compte dans les évolutions
en cours du système d’information des prestations en nature.
Les contrôles médicaux mettent en œuvre localement deux types de rétrocontrôle afin de mettre en
évidence :
- les décalages existants entre les bases d’exonération du ticket modérateur médicales et
administratives,
- les décalages existants entre les refus de prise en charge signifiés par les contrôles
médicaux et les paiements effectués par les services techniques.
Des requêtes permettent de les relever, afin de corriger les anomalies et d’en tirer les conclusions en
termes d’organisation et de fonctionnement.
Par ailleurs, les Contrôles médicaux mettent en œuvre les mesures nécessaires au respect du secret
médical, par la protection des données qu’elles soient informatisées ou non et l’accès aux outils
informatiques métier. A ce titre, ils contribuent également au contrôle interne sur ce point.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 27
1.5.3 La mise en œuvre d’une action commune gestion du
risque-lutte contre la fraude : le contrôle de dispositifs
médicaux et prestations associées relevant de la liste des
produits et prestations (LPP)
En 2014, la CCMSA a impulsé au sein du réseau MSA le déploiement d’une action sous le timbre
conjoint du contrôle médical et de la lutte contre la fraude. Il s’agissait de décliner pour le régime
agricole une action conçue par le régime général et portant sur le contrôle dispositifs médicaux et
prestations associées relevant de la liste des produits et prestations (LPP). Les caisses de MSA ont été
invitées à s’associer à cette action dans le cadre des coopérations régionales inter-régimes.
Les pharmaciens et fournisseurs qui ne respectent pas les règles de facturation sur une catégorie de
produits sont repérés à partir de requêtes et peuvent faire l’objet de sanctions (recouvrement d’indus et
de pénalités, dépôts de plainte…). Ainsi, les services de GdR et de lutte contre la fraude sont associés
dans la mise en œuvre de cette action. Les produits qui ont été ciblés par ce programme sont des
postes importants de dépenses pour l’assurance maladie : lits médicalisés, fauteuils roulants, soulèves
malades et sièges coquilles.
30 caisses de MSA ont mis en place cette action. 5 d’entre elles ont démarré l’action un peu plus
tardivement ou ont adapté la méthodologie afin de répondre à un problème de volumétrie trop important.
Les principaux résultats sont les suivants :
fauteuils et autres
lits médicaux forfaits sièges
soulève- produits et total
et accessoires livraison coquilles
malades prestations
nbre de signalements
issus de la requête 7 954 31 444 27 999 1 687 104 521 173 605
nbre de signalements
traités 5 408 15 922 20 860 252 19 791 62 233
nbre de signalements
(traités) en anomalie 1 798 9 508 1 277 22 4 969 17 574
non frauduleuses
nbre de
signalements
13 142 68 2 14 239
(traités) en anomalie
frauduleuse
nbre total de
signalements 1 811 9 650 1 345 24 4 983 17 813
(traités) en anomalie
Plus de 5.000 fournisseurs (pharmaciens ou fournisseurs d’appareillage) de produits de la LPP ont été
contrôlés par l’ensemble des CMSA. Les contrôles ont mis en évidence des anomalies de facturation
pour un tiers d’entre eux.
Le montant total des anomalies s’élève à plus de 570.000 €. Deux fournisseurs ont fait l’objet de
sanctions.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 28
1.6 Protection des personnes et du patrimoine
La protection des personnes suppose le respect des recommandations de la Commission Nationale de
l’Informatique et des Libertés (CNIL) en matière de gestion des fichiers de données et la mise en place
des mesures permettant d’assurer la sécurité physique du personnel des organismes ainsi que des
personnes amenées à visiter les bureaux (adhérents, partenaires…)
La protection et la sauvegarde du patrimoine concerne les immeubles et actifs ainsi que les biens
immatériels comme l’image du régime.
Les éléments formalisant l’existant en matière de procédures et directives concernant la protection des
personnes et du patrimoine prennent place dans le « dossier permanent ». Ce dossier permet à tout
auditeur de bénéficier d’une perception de l’environnement général de la structure concernée.
Les organismes tiennent à jour annuellement le Document Unique d’Evaluation des Risques
Professionnels (DUERP). Il intègre les risques psychosociaux inhérents à chaque entreprise.
Un diagnostic national, à travers un panel d’indicateurs permet de réaliser depuis 2012 un baromètre
social institutionnel.
Chaque organisme, à son niveau doit également réaliser un diagnostic local, le comparer au national et
élaborer en lien avec le CHSCT, un plan d’actions et de communication.
Depuis le déploiement de l’accord en 2012, une circulaire FNEMSA est diffusée chaque année précisant
les modalités pratiques de réalisation des diagnostics (calendrier, définitions des indicateurs, réunions
communes des Comités d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT) en rappelant les
obligations posées par l’accord en matière d’élaboration des plans d’actions.
Les plans d’actions des organismes sont étudiés chaque année et leur élaboration est un des
indicateurs de l’accord d’intéressement en cours.
Par ailleurs, l’élaboration d’un guide de bonnes pratiques portant sur l’accompagnement au
changement, la sécurisation des locaux et l’expression des salariés a été engagée pour diffusion au
réseau en 2015.
La charte de l’utilisateur des systèmes d’informations diffusée en 2010 par la CCMSA et dont les
conditions de mise en place ont été précisées par la FNEMSA permet :
- de décrire les règles de sécurité informatique applicables aux données informatiques, aux
applications et logiciels, aux matériels informatiques,
- de prévenir une utilisation abusive de ces deniers et de régler les conséquences des
éventuels abus.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 29
Cette charte, mise en place par les organismes de MSA, s’applique à l’ensemble des utilisateurs, quel
que soit leur statut, y compris les stagiaires, visiteurs occasionnels, salariés mis à disposition,
prestataires intervenant sur les sites.
En 2014, un marché institutionnel était accessible aux organismes pour opérer les contrôles
réglementaires et de maintenance sur les différents immeubles. En effet, les contrôles réglementaires
concernent un parc immobilier MSA composé d’environ 500 000 mètres carrés de type E.R.P (10 %
relèvent de la réglementation des Etablissements Recevant du Public), I.G.H (Immeubles de grande
hauteur), de restaurants d’entreprise, d’aires de jeu.
Le marché se décompose en cinq lots distincts :
- Lot 1 : Electricité avec ou sans « contrôle par caméra thermique »,
- Lot 2 : Incendie,
- Lot 3 : Ascenseurs et automatismes,
- Lot 4 : Appareils de levage,
- Lot 5 : Gaz, adduction d’eau.
Dans la perspective de la fin du marché national conclu en 2011 pour une durée de 4 années, des
travaux ont été engagés en 2014 pour permettre l’accès en 2015 à un marché UCANSS pour les
contrôles réglementaires des installations techniques.
La LTC DG 2007-151 du 19 mars 2007 a diffusé le socle des activités dont le fonctionnement doit être
garanti, précisé le schéma organisationnel mis en place à cet effet et les moyens susceptibles d’être
mobilisés.
Le plan national de contrôle interne 2014 visait à recueillir l’assurance que les organismes MSA
disposent d’un plan de continuité d’activité tenu à jour depuis sa première élaboration.
L’objectif est à terme de décliner l’ensemble des dispositions permettant de garantir la reprise et la
continuité de l’activité à la suite d’un sinistre ou d’un événement perturbant gravement l’activité normale.
Pour la plupart des organismes, les principes généraux, les priorités et les besoins d’évolution du plan
ont été identifiés. Toutefois, il a été établi que l’ensemble du dispositif ne pouvait être formalisé que
progressivement.
Les rapports de contrôle interne des organismes pour 2014 font apparaitre qu’au 31 décembre 2014 :
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 30
Sur la base du diagnostic établi, la CCMSA a pris l’initiative de la constitution d’un groupe de travail
réunissant les organismes du réseau avec un représentant par région institutionnelle ainsi que pour
l’entreprise centrale et pour chacun des centres informatiques.
L’objectif est de formaliser et de mettre à disposition du réseau, en 2015, un plan de continuité d’activité
MSA socle. A terme, le plan de continuité d’activité devra intégrer :
La charte institutionnelle de déontologie a été diffusée aux organismes par la circulaire FNEMSA
2013-010 du 25 octobre 2013. Elle est l’expression des valeurs éthiques et professionnelles qui
caractérisent les comportements des membres de l’institution, élus et salariés, dans l’exercice de leurs
activités.
La charte de déontologie rappelle la responsabilité de l’institution. Elle permet d’identifier et de conforter
les repères permettant à chaque membre de la MSA, d’adopter des comportements conformes à ce qui
peut être exigé dans la conduite d’un service public et d’une institution mutualiste.
Elle prolonge le message contenu dans la charte de l’élu adoptée par l’assemblée générale de la caisse
centrale en 2002. Ces valeurs, incarnées dans l’action, permettent d’affirmer une identité, de faire vivre
une éthique.
Elle développe six chapitres :
- Le respect de la personne,
- La solidarité,
- La responsabilité,
- Le professionnalisme,
- la confidentialité,
- la loyauté et l’intégrité.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 31
1.8.2 L’implantation au sein du réseau MSA
Le management par les processus permet de mobiliser les différentes composantes de l’entreprise
vers un objectif commun d’amélioration en continu de la performance et de la satisfaction client.
En 2014, les organismes ont piloté la bonne réalisation des plans d’actions des processus nationaux
optimisés livrés en 2012 et 2013 :
- Emettre les cotisations salariés
- Gérer les IJ maladie maternité
- Gérer les prestations logement
- Gérer les prestations PAJE :
o allocation de base
o complément de libre choix d’activité
o complément du mode de garde
o prime à la naissance ou l’adoption
- Etudier et attribuer le RSA
- Gérer la carrière d’un assuré
- Gérer la demande de retraite
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 32
Ils ont également déployé et mis en œuvre les processus nationaux optimisés livrés en 2014 :
- Gérer la demande de réversion,
- Mettre en œuvre le recouvrement amiable et l’articuler avec le recouvrement forcé des
cotisations impayées.
Après le portail 'l'essentiel famille' ouvert à l'ensemble des utilisateurs MSA le 5 mars 2013, le portail
'l'essentiel retraite' a été ouvert le 26 mars 2014.
Ainsi, en 2014 chaque organisme de MSA pouvait accéder à deux portails dont l'objectif est de
participer à l'harmonisation des pratiques et à la sécurisation dans le traitement des dossiers et ce,
en mettant à disposition des collaborateurs des MSA dans une base documentaire intégrée dans leur
poste de travail, l'ensemble de la documentation dont ils ont besoin pour remplir leur mission.
En 2015 doivent être mis à disposition deux autres portails : 'l'essentiel accueil' pour les agents du front
office (téléconseillers et agents d’accueil) et un portail pour les techniciens maladie : 'l'essentiel santé'.
1.9.3 Autres
Les organismes témoignent également, dans leur rapport de contrôle interne, de leur engagement
dans les démarches suivantes :
- contrôle de gestion,
- Charte méthodologique de gestion des Prestations Indues à Récupérer. Cette charte dont
l’objectif est de dynamiser et renforcer la performance du recouvrement a été signée le
12 mai 2014 par l’ensemble des cadres encadrants (Ardèche Drôme Loire) ;
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 33
II. LES OUTILS DU CONTROLE INTERNE MIS EN
ŒUVRE PAR L’AGENT COMPTABLE
Les outils du contrôle interne mis en œuvre spécifiquement par l’Agent comptable sont le Plan de
contrôle de l’Agent comptable (PCAC), la vérification comptable et la matrice des risques comptables et
financiers.
En 2014, ce plan de contrôle recouvre les opérations techniques (cotisations et prestations), les
opérations de gestion (recettes et dépenses), les opérations de trésorerie, l’archivage et les contrôles
dans le domaine informatique, soit 62 références de contrôles.
• en matière d’émissions des cotisations non-salariés, l’assurance que les services techniques ont
procédé au contrôle de l’utilisation de la dernière version installée du programme informatique, à
la vérification du bon déroulement du traitement, au contrôle de la cohérence avec les échéances
précédentes de même nature et à la cohérence entre les états techniques et l’écriture comptable,
• en matière d’émissions des cotisations sur salaires, le contrôle du respect de la date d’exigibilité
et de la date limite de paiement, l’assurance que les services techniques ont procédé au contrôle
de la dernière version installée du programme informatique, à la vérification du bon déroulement
du traitement, au contrôle de la cohérence avec les émissions du même trimestre de l’année
précédente, de la cohérence entre les états techniques et l’écriture comptable.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 34
- Dépenses techniques : 8 contrôles qui concernent notamment,
• en matière de vérification des échéances périodiques (AVA, AVSA, PF, rentes AT, invalidité),
l’assurance que les services techniques ont procédé au contrôle de l’utilisation de la dernière
version installée du programme informatique, à la vérification du bon déroulement du traitement,
au contrôle de la cohérence avec les échéances des mois précédents, et des échéances du
même mois en N-1 et à la cohérence entre les états techniques et les états comptables,
• en matière de vérification des prestations aléatoires (vieillesse, PF, rentes AT, Invalidité), contrôle
des modalités définies localement selon une procédure écrite (seuil, nature de la prestation),
• en matière de contrôle de remises de créances et des créances admises en non-valeur,
l’assurance de la conformité de la comptabilité avec le procès-verbal de la CRA ou du CA et
l’approbation de la MNC.
• en matière de prestations extra légales ASS, l’assurance que le service ASS a vérifié l’application
des barèmes décidés en CA et les décisions des commissions pour les prestations individuelles
selon les modalités à définir localement,
• en matière de paie, l’assurance que les contrôles contenus dans le Plan de Contrôle Mensuel de
la Paie ont été réalisés et de leur effectivité pour un mois dans l’année, vérification également sur
un échantillon annuel de 10 % des salariés que les éléments servant au calcul de la paie sont
conformes aux pièces justificatives du dossier du salarié,
• en matière de charges sociales et fiscales, le contrôle des charges sociales et fiscales à payer
avec les montants comptabilisés par l’écriture de paie.
- Opérations de trésorerie : 7 contrôles qui concernent notamment l’assurance du respect des dates
de valeur par la banque,
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 35
• en matière de rapprochement bancaire, le contrôle des opérations débitées et créditées par la
banque avec la comptabilité,
• en matière de contrôle de mise en œuvre des dernières versions validées des programmes
informatiques, contrôle pour l’application comptable et assurance pour les autres applications,
que les consignes destinées aux caisses mentionnées dans la FSU sont respectées,
• en matière des interventions sur les données sources de la caisse, assurance que la procédure
annexée au protocole est respectée,
La mise en œuvre du PCAC dans les organismes revêt différentes formes. Cependant, d’une manière
générale, les organisations mises en place sont assez similaires, ainsi :
- pour chaque item du PCAC un mode opératoire est écrit et validé par l’Agent comptable,
puis transmis aux différents secteurs ; la procédure est déclinée par les services
techniques et peut être mis en ligne dans un environnement à disposition des utilisateurs,
- un suivi mensuel, trimestriel ou annuel est réalisé par l’Agence comptable à l’aide d’un
tableau de bord et, si nécessaire, des relances aux différents secteurs sont effectuées,
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 36
- les anomalies détectées sont détaillées sur une fiche, qui est complétée de l’action
corrective réalisée,
- pour couvrir des activités considérées à risque par l’Agent comptable, des contrôles locaux
peuvent être ajoutés au PCAC.
Ces différentes actions sont contrôlées et supervisées par l’Agent comptable, ou son délégué principal.
ème
Au cours du 2 semestre 2014, un groupe de travail réunissant la CCMSA et 6 caisses de MSA s’est
réuni pour procéder à l’actualisation du PCAC, et ce afin de prendre en compte d’une part la réforme du
financement, et d’autre part le renforcement de certains contrôles. Cette mise à jour a conduit à
rajouter, supprimer ou modifier des contrôles. Elle a été diffusée à l’ensemble des organismes de MSA
er
par Circulaire n° DCF-2015-012 du 17 avril 2015, pour une mise en application à compter du 1 mai
2015.
Chaque année, l’Agent comptable de la CCMSA précise, dans une lettre adressée à toutes les MSA,
les principes généraux et les modalités à retenir pour l’exercice à venir (domaines, quotas, typologie
des contrôles...).
Pour 2014, les modalités de mise en œuvre de la vérification de l’Agent comptable ont été transmises
par une lettre à toutes les caisses n° DCF-2013-491 du 28/10/2013.
Afin de garantir une homogénéité des résultats de la vérification comptable, des principes généraux ont
été définis :
- les références sur lesquelles s’appliquent les quotas sont transmis par la CCMSA à partir
des statistiques fournies par la Direction des Etudes, des Répertoires et des Statistiques
(DERS), comme pour l’année précédente ;
- le quota des 10 % sur les contrôles « a priori » n’évolue pas afin de maintenir une qualité
de service à l’adhérent ;
- l’harmonisation des pratiques en matière de vérification comptable a rendu obligatoire
l’utilisation des modes opératoires par domaine (hors ASS) et la sélection des dossiers par
l’outil ;
- le seuil d’anomalie avec incidence financière initialement fixé selon les seuils déterminés
sur la base de règles applicables à l’abandon de créances de faibles montants, soient
respectivement 21 € pour les prestations (0,68 % du PMSS - Art D. 133-2 du CSS) et 39 €
pour les cotisations (1,27 % du PMSS - Art D. 133-1 du CSS) est abandonné en cours de
campagne.
Deux éléments déterminants ont conduits à abandonner ces seuils au cours de la campagne 2014 avec
le souci du respect de la COG :
- pour ses objectifs fixés avec un seuil d’anomalie financière déterminé dès le premier euro
constaté,
- tout au long de sa durée, avec la volonté de ne pas introduire de rupture de série.
Dès lors, le seuil d’anomalie financière est fixé dès le premier euro constaté. Ceci a entraîné un
recalcul de l’année 2013 pour une présentation cohérente et homogène des résultats de la
campagne 2014 en termes d’évolution.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 37
La vérification comptable en 2014 :
Afin d’être en cohérence avec le dispositif de contrôle interne constitué des actions de contrôle interne
(ACI) des 20 processus métiers socles, la vérification comptable ne porte que sur des contrôles
aléatoires.
En 2014, 295 100 dossiers ont été contrôlés, répartis en 283 332 dossiers de prestations et 11 768
dossiers de cotisations. En plus des minima des quotas exigés 13 663 dossiers ont été contrôlés (soit
+ 4,80 %).
15 252 dossiers ont été détectés en anomalie (soit 5,17 % des dossiers contrôlés, contre 5,43 % en
2013), dont 10 355 dossiers avec incidence financière (soit 3,51 % des dossiers contrôlés, contre
3,67 % en 2013).
Les dossiers avec incidence financière (IF) représentent 67,9 % des dossiers en anomalie (contre
67,5 % en 2013).
Tous domaines (hors ASS), le taux global d’anomalies diminue, passant de 5,43 % en 2013 à 5,17 %
en 2014 ; tout comme le taux d’anomalies avec incidence financière (IF) qui passe de 3,67 % en 2013 à
3,51 % en 2014.
Cette amélioration est liée aux contrôles à priori des actions de contrôle interne (ACI), contrôles qui
s’inscrivent en amont de la vérification comptable.
Par ailleurs, nous constatons une amélioration dans la dispersion des taux d’anomalies avec incidences
financières résultant de pratiques plus homogènes.
Les évolutions constatées en 2014 par rapport à 2013 sont liées à plusieurs facteurs :
- Au cas particulier de certaines caisses qui peuvent présenter des variations significatives à
la hausse ou à la baisse, les opérations de vérification comptable peuvent mettre en
évidence des anomalies qui ont générées des PIARs ou des Rappels sur un petit nombre
de dossiers, mais présentant un montant d’anomalie par dossier important.
- La spécialisation des sites pour certaines caisses : l’année de la mise en place de la
spécialisation peut engendrer une dégradation des résultats de la vérification comptable
liée à la montée en compétence des techniciens.
- Une augmentation de la sélection des dossiers de manière aléatoire, par utilisation de
l’outil institutionnel de vérification comptable qui effectue cette sélection aléatoire des
dossiers ; cependant, il demeure des contrôles ciblés, pour tenir compte de spécificités
locales au regard des risques identifiés.
- Le contrôle des dossiers est effectué selon les modes opératoires diffusés par la CCMSA,
de manière concomitante à la circulaire pour la campagne 2013-2014, qui a induit une
homogénéité dans la « mesure » des contrôles entre les caisses. Par ailleurs, ces modes
opératoires sont aussi une aide et un guide pour les nouveaux vérificateurs comptables.
- La mise en place de plan d’action et de formation dans certaines caisses, au regard des
typologies de dossiers présentant de nombreuses anomalies (exemple : dossiers en ALD,
IJ AT, famille, cotisations AS).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 38
Et d’une manière générale, les contrôles à priori des actions de contrôle interne (ACI), contrôles qui
s’inscrivent en amont de la vérification comptable, permettent de traiter les anomalies a priori des
paiements. Ils ont pour conséquence une amélioration des taux d’anomalie détectés par la vérification
comptable.
En ce qui concerne l’analyse des taux d’anomalies avec incidence financière par domaine, il est
constaté une amélioration des 2 domaines, santé et cotisations non-salariés, et une dégradation dans
les 3 autres domaines, retraite, famille et cotisations salariés.
Au global et tous domaines confondus, plus de la moitié des MSA améliore ses taux d’anomalie. Cette
amélioration s’explique d’une part par la mise en place des modes opératoires qui ont permis
d’homogénéiser les contrôles et ont été de vrais supports d’aide pour les MSA. D’autre part, les plans
d’action et de formation mis en place par les MSA ont contribué également à cette amélioration.
- identifier les rubriques non couvertes par des contrôles déjà prévus, et « combler » ce
manque par le programme de travail.
Cette matrice est organisée par cycle et par rubrique, et indique pour chacune des rubriques présentant
un risque quantitatif et/ou qualitatif « moyen » ou « fort », les contrôles comptables et financiers qui
doivent être mis en œuvre.
L’ensemble des 1.200 rubriques font l’objet d’une qualification.
Cette matrice précise également les signalements de la revue analytique et le processus métier socle
associé.
Les niveaux de risque des rubriques de bilan, de charges et de produits sont qualifiés non seulement de
quantitatif en fonction de l’importance des montants financiers en jeu mais aussi en qualitatif (ex : risque
de fraude en matière de trésorerie, provisions car font l’objet d’une estimation,…).
Les signalements de la revue analytique indiquent les rubriques nécessitant une justification de
l’évolution N/N-1.
La couverture par un processus métier socle permet de mesurer la criticité du risque et de s’assurer
que les contrôles sont effectués par l’ordonnateur.
Enfin, la couverture des risques comptables et financiers permet, en analysant les différents types de
transactions, d’identifier les risques et erreurs.
Les risques au niveau des transactions portent sur leur exhaustivité (transactions non comptabilisées),
leur validité (transactions comptabilisées non justifiées), leur comptabilisation (transactions
incorrectement comptabilisées) et la séparation des exercices (transactions comptabilisées dans les
comptes d’un exercice auquel elles ne se rapportent pas).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 39
Les erreurs potentielles liées aux états financiers concernent l’évaluation des actifs ou des passifs
(incorrectement faite), et la présentation des comptes ou de certaines informations pouvant induire en
erreur ou insuffisantes.
L’exhaustivité signifie que toutes les transactions ont bien donné lieu à la correcte production
d’une pièce d’origine ou à une saisie directe dans le système, et que les données saisies ont
bien été déversées dans le grand livre auxiliaire.
Les principales illustrations de l’erreur potentielle d’exhaustivité sont les suivantes :
- Les transactions ne sont pas identifiées et ne donnent donc pas lieu à la création d’une
pièce d’origine ou à une saisie directe dans le système,
- La saisie ou les traitements ultérieurs retiennent des montants inférieurs aux montants réels
des transactions,
- Toutes les données saisies ne sont pas déversées dans le grand livre auxiliaire,
- Les données saisies mais rejetées ne sont pas réintroduites dans le système pour être
déversées dans le grand livre auxiliaire.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 40
Séparation des exercices (des transactions sont comptabilisées dans les comptes d’un
exercice auquel elles ne se rapportent pas).
Cette erreur potentielle concerne les transactions qui ont lieu au cours d’un exercice, mais qui
sont comptabilisées sur un autre exercice.
Les erreurs potentielles qui concernent les comptes eux-mêmes (et non les transactions) sont les
suivantes :
Evaluation (des actifs ou des passifs ne sont pas correctement évalués)
Cette erreur potentielle survient lorsque les valeurs attribuées aux actifs et aux passifs ne
reflètent pas la situation de l’entreprise et les conditions économiques existantes, conformément
aux règles et méthodes comptables appliquées.
Présentation
Cette erreur potentielle survient lorsque les comptes sont présentés d’une façon qui peut induire
en erreur ou lorsque certaines informations nécessaires à une présentation fidèle et conforme
aux normes comptables ainsi qu’aux dispositions légales, ne sont pas données.
Pour chaque organisme de la Mutualité Sociale Agricole, l’ensemble des risques comptables et
financiers sont suivis et synthétisés en fin d’année dans l’outil OVNI partagé avec la CCMSA
rubrique « couverture des risques comptables et financiers ».
Il appartient à chaque organisme de MSA d’indiquer les contrôles effectués dans le cadre du
PCAC, l’effectivité des contrôles issus du programme de travail sont automatiquement pris en
compte sur la base des programmes de travail revus par la CCMSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 41
III. LES OUTILS DU CONTROLE INTERNE LIES AU
SYSTEME D’INFORMATION
Les outils du contrôle interne liés au système d’information visent : le dispositif VAINCI, le suivi des
incidents, le plan de reprise d’activité, la politique et le plan de sécurité du système d’information, ainsi
que les applications informatiques locales.
Il se compose de 2 volets :
- un protocole fixe dans le temps afin de répondre aux préconisations du décret Contrôle
Interne; Ce protocole est signé par chaque Maîtrise d’Ouvrage et la CCMSA. Il reprend les
articles du décret Contrôle Interne et engage à respecter le processus décrit dans un
document intitulé « Cadre général du cycle de vie logiciel ».
- Le « cadre général du cycle de vie logiciel » qui garantit la sécurisation des applications et
décrit chaque étape nécessaire à la conception, au développement, à la maintenance et
aux évolutions des applications informatiques.
La validation formelle pour la mise en exploitation de toute version logicielle est acquise lors de la
signature de la Fiche de suivi utilisateur (FSU) à la fois par le directeur et l’Agent comptable de la
maîtrise d’ouvrage, et par l’Agent comptable et le directeur de la CCMSA dans le cas d’une version à
impact financier.
Le dispositif VAINCI a fait l'objet d'une importante actualisation annuelle en 2014 : version 6.0 de
décembre 2014 publiée le 5 février 2015 et portant sur l’intégration des dispositions du décret contrôle
interne de 2013, ainsi que sur la révision des processus d’étude, de conception et de qualification :
Indicateurs 2014 :
Les valeurs des indicateurs 2014 retenus pour le PNCI sont les suivantes :
- Nombre de versions logicielles publiées en 2014 : 1 768 (1 573 en 2013)
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 42
- Nombre de livraisons sans FSU en 2014 : 0 (0 en 2013) 3 demandes de modifications de
périmètre de versions ont été régularisées a posteriori.
- Nombre de versions logicielles publiées avec FSU pour les Applications Informatiques
Locales : 121 (125 en 2013).
Ces indicateurs sont reconduits en 2015.
Les incidents rencontrés par les applications sont signalés par les utilisateurs dans un outil de
déclaration appelé « SOLAU » pour les signalements de niveau 1 émis par les caisses vers les centres
et « TANDEM » pour les signalements de niveau 2 remontés aux MOME.
Cet outil permet de décrire l'anomalie rencontrée, d'identifier le traitement en cause, et de lui associer
des critères de classification décrits en termes de volume, de criticité et d'impact sur la qualité de
service.
L'outil TANDEM permet la transmission automatique et immédiate des incidents déclarés aux acteurs
en charge de leur expertise puis de leur résolution.
En ce qui concerne les applications nationales, l'analyse des incidents et leur traitement sont pris en
charge par les caisses pivots et les centres informatiques, puis si nécessaire par la Maîtrise d'ouvrage
et de la Maîtrise d'œuvre applicatives dans un second temps.
Le même dispositif est en cours d’expérimentation afin de déclarer les incidents rencontrés par les
applications locales.
La correction des programmes incriminés est inscrite dans le plan d'action de maintenance des
applications et délivrée par la mise en place de versions correctives.
Un tableau de bord hebdomadaire et un tableau de bord mensuels sont mis à disposition des équipes,
avec une visibilité de niveau direction. Un signalement hebdomadaire a été mis en place à destination
du Directeur Général et de l’Agent comptable de la CCMSA.
Une information trimestrielle est réalisée auprès du Comité des Régions Informatiques (CRI).
- Le risque financier
- La perte de productivité
- La perte de qualité de service adhérent
Les critères sont renseignés par les demandeurs avec une consolidation par la Maîtrise d'ouvrage et la
Maîtrise d'œuvre.
Le risque financier :
La caisse émettrice du signalement calcule la conséquence financière et la rapporte au total concerné
de l’événement (journée maladie, échéance vieillesse, échéance RMI, émission de cotisations). Les
valeurs possibles sont : nul, faible, moyen, important.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 43
Le ratio obtenu permet de déterminer la valeur du risque financier selon l'échelle suivante : 0 nul, < 1 %
faible, < 2 % moyen, > 2 % important
La MO ensuite peut extrapoler les données de la caisse en fonction du fait que l’anomalie concerne tout
ou partie des caisses de MSA.
La perte de productivité :
La productivité est calculée d’après une estimation du temps perdu du fait de l’anomalie (procédures de
contournement, rattrapages de dossiers, procédures manuelles…) sur la base d’un nombre d’ETP par
an pour la caisse.
Les MO et ME extrapolent ensuite et déterminent une tranche d’ETP au niveau national parmi les 6
valeurs suivantes : <0,5 ETP, 0,5 à 1,5 ETP, 1,5 à 5 ETP, 5 à 10 ETP, 10 à 20 ETP, >20 ETP
3.2.3 Le bilan
Le bilan au 31/12/2014 sur la base des évaluations indiquées plus haut a permis de tirer les
enseignements suivants :
- une reprise à la hausse pour les applications Maladie (+ 23,65 %), Contentieux (+ 7 6 %),
Cotisations salariés (+ 47,58 %) comptabilité (+ 19,63 %) et paye (+ 30 %) ;
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 44
Ainsi concernant les 5 applications les plus importantes en termes de stock :
- famille : 404 tickets soit + 0,25 % (403 tickets soit + 19,23 % en 2013)
- vieillesse : 364 tickets soit - 20,18 % (456 tickets soit + 25,9 % en 2013)
- maladie : 251 tickets soit + 23,65 % (203 tickets soit - 23,68 % en 2013)
- comptabilité : 195 tickets soit + 19,63 % (163 tickets soit -1,21 % en 2013)
- cotisations salariés : 183 tickets soit + 47,58 % (124 tickets soit + 37,78 % en 2013)
Au global, la moyenne générale du stock des tickets représente 11,5 mois de tickets reçus contre 8,6
en 2013 et 7,4 en 2012.
La tendance de cet indicateur observée depuis 2008 reste décroissante sur l’ensemble de la période,
nonobstant une variation à la hausse du flux d'environ 10 % en 2014.
Les applications dont le stock et le flux ont le plus augmenté en 2014 sont les applications maladie,
contentieux, comptabilité et cotisations sur salaires. Ces applications sont concernées directement par
des refontes ou des grands programmes en 2014 (Refonte tarification, DSN, OCEAN, Elections, …).
Ce phénomène qui s’observait déjà lors du bilan 2013 sur toutes les applications concernées par des
projets majeurs de développement se confirme dans le bilan 2014.
En effet, les ressources et les compétences ont été affectées en priorité sur ces projets.
Néanmoins, le flux moyen mensuel de réception des nouveaux tickets n’explique pas à lui seul
l’augmentation du stock. Il convient de prendre en compte :
Ce chiffre a connu une hausse importante en cours d'année (791 au 30 octobre) et une opération
massive de résorption des tickets au quatrième trimestre a été engagée.
Le pourcentage de tickets non évalués passe ainsi à 8,95 % contre 13,95 % en 2013 et 15,58 % en
2012.
Des rappels réguliers sur l'analyse de tous les tickets et la nécessité de l'évaluation des risques,
notamment aux fins de détecter les tickets à risque financier sont opérés auprès des équipes
applicatives MO et ME.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 45
Analyse de la criticité
Au 31 décembre 2014 sur la base du stock de 2 816 tickets subsistaient :
- 9 tickets à risque financier important, 181 avec risque moyen - 93,25 % des tickets ont un
risque financier faible ou nul (93,36 % au 31/12/2013) ;
- 1 ticket présente un risque productivité supérieur à 20 ETP, 1 supérieur à 10 ETP, 7 un
risque de moins de 10 ETP - 97,90 % des tickets ont un risque productivité inférieur à
1,5 ETP (98,28 % au 31/12/2013) ;
- 44 tickets ont un risque qualité important, 406 un risque significatif - 84,02 % des tickets
ont un risque qualité acceptable ou nul (84,02 % au 31/12/2013) ;
- 2 tickets ont une urgence de 15 jours, 13 une urgence de 1 mois - 99,47 % des tickets ont
une urgence supérieure à 3 mois (99,49 % au 31/12/2013).
- 1 ticket en paye :
o Ticket 119336 : l’incidence financière de ce ticket a été réévaluée à un risque faible, il a
été résolu en mars 2015.
Le Plan national de contrôle interne 2015 prévoit la surveillance du nombre d’anomalies en stock, la
diminution du nombre de tickets non analysés et la prise en compte rapide des anomalies à criticité
élevée.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 46
Les actions de suite permettant d’atteindre les objectifs se déclinent selon les trois axes ci-
dessous pour 2015 :
- l’évaluation systématique de tous les tickets (rappel des consignes et des procédures)
- la réorganisation du pilotage des projets et l'examen systématique du stock et du flux lors
des points application ou domaine
- la poursuite de la mise en place de la nouvelle méthode de qualification et du plan de
formation MOME, afin de générer moins de tickets sur les versions livrées.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 47
3.4 Politique et plan de sécurité du système d’information
3.4.1 La PSSI
En mars 2009, la MSA s'est dotée d'une Politique de Sécurité de son Système d’Information (PSSI).
Cette PSSI a été définie comme une PSSI globale s'appuyant sur un guide de bonnes pratiques ISO
27002 qui comporte 133 mesures de sécurité réparties en plusieurs thèmes dont principalement : la
sécurité physique et environnementale, la gestion des communications et de l’exploitation, l’acquisition,
le développement et la maintenance du SI.
La MSA porte une politique de sécurité du système d'information sous forme d'un référentiel, renvoyant
aux dispositifs de contrôle interne de chacune des composantes (caisse centrale, caisses, Informatique
Institutionnelle, centres).
Dans cette approche liant PSSI et contrôle interne, l’ensemble des acteurs de l’institution est sollicité,
dont en particulier le contrôle interne institutionnel, l’Informatique Institutionnelle et les centres de
production.
Elles se traduisent par la nécessité de formalisation d’un PNSSI, et par un plan de révision de la PSSI.
Pour la PSSI, il s’agit notamment de mieux couvrir la partie gérée à l’échelle locale (applications
réalisées dans les caisses par exemple), sans négliger les axes prioritaires déjà identifiés. En
conséquence, le plan de travail 2014 a été priorisé de la manière suivante :
P1 : Intégrer les dispositions du décret de contrôle interne 2013, et notamment créer un PNSSI
P2 : Poursuivre la mise en place des analyses de risque lors du développement informatique (projet
ISP)
P3 : Préparer les travaux de cadrage en vue de la révision de la PSSI MSA
P4 : Poursuivre les actions de sensibilisation
P5 : Engager divers travaux d'études prévus au plan d'action annuel
La MSA a participé à ce groupe qui se réunit deux fois par an et dont l’objectif est d’harmoniser les
pratiques et de mettre en place des programmes communs.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 48
En déclinaison de ces travaux, la MSA a participé aux sous-groupes suivants :
Le plan de cadrage soumis aux Directeurs et aux DSI des caisses nationales a été initialement élaboré
pour une période triennale de 2011 à 2013.
Il a défini son action autour de 15 axes dont le projet 10 - PSSI interbranches qui se concentre sur
l'élaboration d'une PSSI adaptée aux besoins des CGSS et unitaire.
La MSA a participé aux deux séminaires organisés en 2014 afin de rédiger une PSSI commune opérant
la synthèse des PSSI des organismes nationaux de protection sociale.
La constitution de cette filière apporte des premiers résultats visibles à travers l’activité des échanges
via la boite aux lettres partagée du RSSI par une plus grande sensibilité des agents MSA à la sécurité :
vigilance accrue face à des tentatives d’hameçonnage ou soupçons d’usurpations d’identité, remontée
de questions liées aux usages de l’internet par exemple.
L ES CENTRES DE PRODUCTION
La réorganisation des centres de production autour de deux centres SIER@ et SIGMAP a conduit à
désigner deux RSSI pour ces nouvelles entités. Chaque RSSI centre est secondé par un adjoint.
En 2014, l’activité des RSSI centres a porté sur la coordination des actions sensibles en lien avec la
sécurité informatique.
Une analyse des risques majeurs auxquels les centres de production pourraient être confrontés a été
menée dans le cadre du projet secours informatique afin de vérifier la pertinence des réponses
apportées et de vérifier de la bonne disponibilité des moyens à mettre en œuvre lors de telles
éventualités.
Parallèlement, des travaux de cadrage ont été amorcés avec le groupe SSI tout d'abord, puis par la
filière SSI en vue d'une révision en profondeur des processus de sécurité.
En outre, les protocoles signés entre les centres et les caisses de MSA ont évolué en 2014 afin
d’intégrer les conséquences du décret en matière de gestion et de contrôle des habilitations.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 49
3.5 Applications Informatiques Locales (AIL)
Pour répondre aux objectifs de la COG 2011-2015, l’institution s’est engagée dès 2011 dans un
processus de réduction et de maîtrise des applications locales.
Piloté par le CRI et le centre informatique SIER@, un plan de désengagement en deux étapes a été mis
en place en 2012 et 2013 et poursuivi en 2014.
Une première étape réalisée au sein de chaque région a permis d’identifier les applications locales
utilisées au sein de l’institution. L’étape suivante a consisté à en réduire le nombre dans un objectif de
sécurisation du système d’information et des processus de travail. Les caisses ont été invitées à se
désengager progressivement des applications locales avec un objectif de suppression à la fin de l’année
2013.
Les applications locales conservées doivent d'une part respecter la charte de développement et de
maîtrise des applications locales signée par le Directeur général et l’Agent comptable national en
octobre 2011. Cette charte impose, outre certains socles de développements, la non redondance avec
le SI et le partage de ces applications à toutes les caisses.
Depuis 2013, les applications locales conservées doivent également respecter les dispositions prévues
par le décret d’octobre 2013 : PV de validation par le Directeur et l’Agent comptable sous forme d’une
FSU adaptée, règles de gestion des habilitations, recensement des incidents et analyse de leur
traitement.
Le protocole VAINCI a été adapté en conséquence en 2014, afin d'élargir son périmètre aux
applications locales conservées :
- évolution de l'acronyme : Validation des Applications INformatiques et Contrôle Interne,
- élaboration d'une fiche de validation des applications locales cosignée du Directeur et de
l'Agent comptable de la caisse responsable de l'application,
- élaboration d’un modèle de délégation de maîtrise d’ouvrage et d’œuvre pour la réalisation
des AIL.
Ce modèle est décliné sous forme d’une convention tripartite entre arMOnia, le centre SIER@ et la
caisse productrice de l’AIL. Il a été mis en place dès 2014.
2014 a également permis d’ajuster le recensement des AIL.
Au 31/12/2014, le parc total représente 1420 applications recensées, à rapprocher des 1 265
applications connues au 31/12/2013.
L’évolution du total s’explique par une poursuite des travaux de recensement et d’identification du parc
avec les caisses de MSA.
- 135 applications sont éditées par des caisses de MSA et sont mutualisables
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 50
- 94 sont des logiciels du marché
- 90 applications restent présentes dans le parc en attente d’adaptations Agora ou d’autres
Ail existantes.
Dans un premier temps, les suppressions ont porté sur les applications publiées sur les serveurs des
caisses : l’objectif est atteint à 80 %. Les 20 % d’applications restantes sont des applications que les
MSA ne peuvent pas encore abandonner.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 51
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 52
2EME PARTIE : ANALYSE DES RISQUES 2014
En 2014, plusieurs chantiers ont été conduits avec pour objectif l’actualisation du
dispositif de contrôle interne. Ces actions concernent :
- La cartographie des risques
- L’actualisation des actions de contrôle interne
- L’analyse des risques liée à des dossiers nouveaux
- Le contrôle externe
- La lutte contre la fraude
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 53
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 54
I. CARTOGRAPHIE DES RISQUES
1.1 Au plan national
Les dispositions du décret du 14 octobre 2013 sur le contrôle interne prévoient que le directeur et à
l’Agent comptable de l’organisme national ou central établissent une cartographie nationale des risques.
Celle-ci vise à une identification exhaustive des risques de l’organisme national et des éventuels autres
organismes constitutifs du réseau. Elle est adossée à une cartographie de l’ensemble des processus
métiers et supports et à la cartographie des systèmes d’information.
Des travaux avaient été engagés en 2013 à la CCMSA afin d’établir une cartographie unique de
référence recensant l’ensemble des processus métiers et supports et s’appuyant sur les différentes
cartographies établies antérieurement.
Ces travaux ont débouché sur la diffusion au réseau MSA, le 26 décembre 2014, de la cartographie
générale des processus MSA. (lettre à toutes les caisses 2014-670).
Les organismes ont été invités ensuite à s’approprier cette cartographie et à la compléter si nécessaire
au niveau local pour les activités spécifiques réalisées par l’organisme.
Une cartographie synthétique du système d’information de la MSA avait été établie par la Direction des
Systèmes d’Information avec une double approche : fonctionnelle et applicative. Elle a été ensuite
présentée au Comité National de la Maîtrise des risques en juillet 2013.
Cette cartographie a fait l’objet d’une actualisation en 2014 en vue d’une diffusion aux réseaux MSA en
2015 afin que ceux-ci puissent notamment la compléter des applications informatiques locales (AIL)
qu’ils utilisent.
La cartographie des risques établie en 2008 par l’audit interne institutionnel et diffusée au réseau devait
faire l’objet d’une actualisation dans l’esprit du décret contrôle interne, en s’appuyant sur la cartographie
commune des processus métiers et supports et la cartographie des applications informatiques.
Ces travaux ont été organisés en 2014 en lien avec le Comité Directeur Certification.
Un groupe de travail associant la CCMSA et les caisses de MSA a été désigné pour l’élaboration du
projet de cartographie institutionnelle des risques. Il a été composé pour permettre d’optimiser
l’appropriation de la cartographie institutionnelle qui devra ensuite être déclinée par chacune des
caisses de MSA. Les 5 régions institutionnelles sont ainsi représentées à parité Directeurs/agents
comptables, tout en associant les coordonnateurs régionaux pour les contrôles croisés.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 55
Une consultation a été lancée en partenariat avec l’EN3S pour identifier un appui méthodologique
permettant au groupe de progresser à un rythme soutenu. Les caisses pourront, le cas échéant faire
ensuite appel au même appui méthodologique pour décliner la cartographie des risques au plan local.
Six sessions d’accompagnement sont programmées à partir de janvier 2015 pour aboutir à un projet de
cartographie antionale des risques à la fin du premier semestre 2015.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 56
II. L’ACTUALISATION DES ACTIONS DE CONTROLE
INTERNE
L’actualisation des actions de contrôle interne a concerné en 2014 : la maintenance des ACI des
21 Processus métiers socle et la sécurisation des habilitations.
Les risques et les ACI font également l’objet d’une maintenance « au fil de l’eau », en fonction de
l’évolution du contexte législatif, informatique et de l’adaptation de l’analyse de risques initiale. Ces
évolutions sont intégrées dans le dispositif des ACI sans attendre la maintenance globale.
C’est ainsi qu’en 2014 des ACI de deux PMS ont été adaptées :
er
1 ACI du PMs Gestion des IJ Maladie, maternité, Paternité » a été supprimée au 1 janvier 2014 pour
cause d’évolution législative ;
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 57
er
1 ACI du PMs « Rachat et régularisation de cotisations » a vu son contrôle évolué au 1 janvier 2015
compte tenu des pratiques des caisses.
La MSA veille également à conduire une démarche d’amélioration continue des outils nécessaires aux
contrôles afin de gagner en pertinence, en efficacité et en productivité pour la mise en œuvre des ACI.
Pour cela, une collaboration étroite avec l’informatique institutionnelle a été entretenue avec pour
objectif de renforcer l’automatisation des actions de contrôle interne.
A noter que l’ensemble des PMs ont été concernés par les nouvelles modalités de prise en compte des
anomalies avec incidence financière (LTC du 16 décembre 2014) telles que définies dans la circulaire
du 30 octobre 2014.
- L’analyse des habilitations nécessaires pour que les centres informatiques puissent
apporter leur assistance aux organismes a été achevée et le dispositif de contrôle interne
de gestion des habilitations des centres informatiques a été précisé avec notamment la
définition d’un référentiel national d’habilitations. Ces éléments ont fait l’objet d’une entrée
en vigueur courant 2014 avec la diffusion d’instructions au réseau MSA (Lettre à toutes
les caisses 2014-181 du 27 mars 2014). Les modalités de maintenance de ce dispositif et
de validation des évolutions nécessaires ont également été définies et mises en œuvre.
- Les travaux ont été engagés pour la sécurisation des habilitations données par les
organismes aux caisses pivot ainsi qu’aux caisses de gestion mutualisée. Des modalités
de maîtrise des risques analogues à celles retenues pour les centres sont envisagées
avec l’habilitation des personnels concernés à des Groupes d’Actions Elémentaires (GAE)
- Une analyse des risques a également été engagée sur les habilitations à des transactions
sensibles en vue de définir des actions de contrôle compensatoire ou des actions
correctives (évolutions applicatives, évolutions d’organisation). Sont notamment
concernées les habilitations aux outils de consultation/gestion des RIB, de gestion de la
base tiers, et d’affectation de recettes à classer.
- Les règles nationales de gestion des habilitations ont été définies et diffusées au réseau
MSA (circulaire 2015-005 du 28 janvier 2015).
Cette politique institutionnelle devait s’accompagner d’un Plan de Maîtrise des Risques ayant pour
objectifs :
- d’ancrer l’activité d’Offre de Services dans la ligne politique qui a prévalu à sa création,
- de sécuriser la gouvernance des structures d'Offre de Services par la MSA,
- d’avoir des résultats conformes à la politique et aux objectifs définis,
- de vérifier que le mode de fonctionnement et la gestion financière de l’OST sont conformes
aux règles opposables.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 58
L’année 2013 avait vu la préparation de ce plan de maîtrise des risques qui a été diffusé aux caisses de
MSA par la LTC 2014-163 du 13 mars 2014. Il vise les risques de non maitrise de la gouvernance, de
non-conformité, ainsi que les risques financiers et ceux liés à l’activité.
Au cours du second semestre 2014, la CCMSA a complété ce plan de maîtrise des risques :
- pour intégrer les recommandations de la Mission Nationale de Contrôle et d’audit des
organismes de sécurité sociale formulées dans le cadre de l’audit sur les relations des
caisses de MSA avec MSA Services.
- en élaborant, avec l’appui d’un groupe de représentants du réseau, des fiches actions
permettant de préciser les modalités de déclinaison concrètes des actions de contrôle
interne de l’offre de service.
La LTC 2015-044 du 28 janvier 2015 diffuse le plan de maîtrise des risques ainsi enrichi. Treize
processus à risques sont identifiés pour lesquels sont définies 14 actions de contrôle interne couvrant
les processus à risques élevés ainsi que 11 préconisations à intégrer dans le plan local de maîtrise des
risques. L’ensemble des actions de maitrise sont appelées à être intégrées dans le plan de contrôle
interne des caisses de MSA.
Des contrôles d’effectivité de l’application du plan de maîtrise des risques de l’offre de services seront
réalisés par la CCMSA dès 2015.
Un plan de maîtrise des risques a été établi par la CCMSA et diffusé au réseau MSA par la LTC 2014-
501 du 10 octobre 2014. Il identifie les processus à risques et définit les actions de maîtrise des risques
nécessaires soit :
- 17 actions de contrôle interne couvrant 8 processus à risque élevé,
- 4 préconisations à intégrer dans le plan local de maîtrise des risques pour 3 processus
à risque moyen.
En outre, le plan précise que 6 actions de maîtrise des risques seront mises en œuvre par la CCMSA
au plus tard pour le 31 mars 2015. Réalisées en amont de l’action des caisses, elles mettront à leur
disposition les outils utiles pour la mise en œuvre des opérations de leur responsabilité.
Un calendrier de mise en œuvre des actions par les organismes concernés a été précisé.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 59
Le plan de maîtrise des risques a fait l’objet d’une présentation aux dirigeants concernés au cours de
3 réunions d’information organisées à cet effet fin 2014.
Des contrôles d’effectivité de l’application du plan de maîtrise des risques seront réalisés par la CCMSA
dès 2015.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 60
III. L’ANALYSE DES RISQUES LIEE A DES DOSSIERS
NOUVEAUX
3.1 Actions de maîtrise des risques liées à la reprise des dossiers GAMEX
et AAEXA
La loi de financement de la sécurité sociale pour 2014 a transféré à la MSA la gestion des régimes
AMEXA et ATEXA des populations assurées par le GAMEX et l’AAEXA.
Dans le cadre des opérations de transfert d’activité vers la MSA ont été mis en œuvre une analyse des
risques et des dispositifs de contrôle interne spécifiques portant sur :
- La reprise des dossiers invalidité
La reprise des dossiers invalidité ne pouvant être automatisée, il a été acté en avril 2014 entre Apria
RSA (l’association gestionnaire du Gamex et de l’AAEXA) et la CCMSA que le personnel Apria de
Caen serait mis à disposition pour opérer la reprise manuelle des dossiers Apria par ressaisie dans le
SI MSA.
Afin de sécuriser le dispositif de reprise, un dispositif spécifique de maîtrise des risques a été mis en
place. Il a porté sur :
LE CONTROLE DE CONFORMITE DES DOSSIERS CONTENTIEUX PORTANT SUR LE VERSEMENT DES PRESTATIONS
AAEXA ET AMEXA
Cette opération conduite conjointement entre la MSA et APRIA s’est déroulée au cours du mois de juin
2014. Les contrôles ont consisté à vérifier
- La présence des pièces des dossiers permettant d’attester l’existence de la créance,
- que l’action de recouvrement n’est pas prescrite
- qu’en cas de contestation de décision, l’action de la MSA n’est pas forclose.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 61
L’avis émis par les contrôleurs MSA et APRIA à l’issue de ces contrôles a porté sur le niveau de risque
sur :
- les dossiers d’indus de prestations maladie, prestations AT/MP pour lesquels la créance
n’est pas éteinte et quel que soit le montant à recouvrer ou le stade du recouvrement,
- les contestations en cours devant les TASS, par les assurés, des décisions prises par le
GAMEX ou l’association AAEXA.
Le rapport d’audit des dossiers contentieux prestations en date du 8 juillet 2014 fait apparaitre
que le niveau de risque moyen constaté a été considéré comme satisfaisant pour permettre à la
MSA d’assurer la reprise des dossiers précontentieux et contentieux relatifs aux prestations
d’APRIA dans des conditions correctes.
En outre, l’instauration des indemnités journalières AMEXA avait conduit à réaliser en 2013 une
analyse de risques avec un projet de PMS-ACI établi fin 2013. Celui-ci a été développé de façon
opérationnelle en 2014 en vue de son déploiement en 2015.
Enfin, en 2014 ont été engagés des travaux sur l’identification des principaux risques des activités de
recours contre tiers. Cette analyse s’inscrit notamment dans le contexte de la mutualisation de la
gestion de cette activité à la MSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 62
IV. AUTRES DOMAINES DE L’ORDONNATEUR POUR
LESQUELS A ETE CONDUITE UNE ANALYSE DE
RISQUES
4.1 Le contrôle externe
La politique institutionnelle de contrôle vise à établir les orientations devant être déclinées par les
caisses de MSA dans le cadre de leur plan de contrôle. Par ailleurs, elle inscrit le cadre par lequel la
MSA est en mesure de justifier, auprès des pouvoirs publics, de la bonne exécution de la mission de
contrôle qui compte parmi les obligations de service public à l’égard de ses ressortissants cotisants et
allocataires.
En 2013, la MSA a conduit une réflexion pour actualiser sa politique institutionnelle de contrôle externe.
La réflexion conduite tout au long de l’année 2013 a abouti à la rédaction d’un rapport sur la « Politique
institutionnelle de contrôle externe / priorités 2014-2015 », qui cible particulièrement le pilotage du
contrôle externe comme une priorité. Cette priorité se développe notamment avec le renforcement de
la place de l’analyse des risques dans l’élaboration et la mise en œuvre des plans de contrôle externe.;
Une analyse de risques spécifique est conduite chaque année pour identifier les priorités à intégrer par
les caisses de MSA lors de la préparation de leur plan de contrôle externe. Les priorités pour 2015 ont
été diffusées aux caisses par lettre à toutes les caisses 2014-475 du 26 septembre 2014 et présentées
au réseau en réunion institutionnelle le 10 octobre 2014.
Ainsi, en complément des actions de contrôle socle, ont été identifiées comme actions prioritaires les
actions de contrôle visant à couvrir les risques sur certains sujet ou situations :
- Les atypies dans les déclarations de salaires (DTS et TESA) concernant la « réduction de
cotisations patronales Fillon »
- La durée d’application de l’exonération « Travailleurs Occasionnels/ Demandeurs d’emploi
» (TO-DE) pour les groupements d’employeurs bénéficiaires de l’exonération
- Le dispositif de « modulation » des contributions d’assurance chômage (AC)
- La déclaration par les exploitants d’ un revenu entre 5300 et 5400 euros,
- le versement des IJ AMEXA,
- l’exploitation des signalements issus des requêtes nationales mises à disposition dans le
cadre de la lutte contre la fraude
- les ratio situation d’entreprises présentant un ratio anormalement élevé d’emplois à temps
partiel ou un ratio anormalement bas de déclarations d’heures supplémentaires (au regard
de l’ensemble de l’effectif salarié de ces entreprises).
- le secteur des entreprises /exploitations viticoles,.
- les domaines qui présentent un taux d’anomalies détectées suite à contrôle conséquent
et/ou en forte augmentation :
• Affiliation et parcellaire (taux d’anomalies suite à contrôle d’environ 50% en 2013) ;
• Assiette salaire des sociétés (taux d’anomalies suite à contrôle d’environ 53 % en
2013) ;
• Assiette salaire des entreprises individuelles (taux d’anomalies suite à contrôle
d’environ 54% en 2013) ;
• Prestations liées à l’isolement (taux d’anomalies suite à contrôle de 65,5% en 2013) ;
• Invalidité des NSA (taux d’anomalies suite à contrôle d’environ 62% en 2013) ;
• RSA (taux d’anomalies suite à contrôle d’environ 68,5 % en 2013).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 63
- La participation active aux opérations conjointes de contrôle concernant les situations de
détachement de salariés en agriculture.
En 2012, une opération d’évaluation de la fraude aux IJ, a permis de mettre en évidence trois critères
discriminants :
- Salariés domiciliés "chez",
- Salariés ayant eu une prolongation de leur arrêt de travail par différents prescripteurs,
- Salariés à temps partiel ayant eu plusieurs employeurs.
Sur la base de l’exploitation de ces critères discriminants, cinq requêtes ont été livrées au réseau MSA
en 2014 :
- assuré ayant déclaré une adresse avec « habite chez » (Mal et AT-MP) :
- renouvellement de l'arrêt de travail par un prescripteur différent du prescripteur initial (Mal
et AT-MP) :
- assuré étant à temps partiel avec présomption d'employeurs multiples (Mal) :
- arrêt de travail en rapport avec le lundi matin ou le lendemain de jour férié (AT-MP) :
- arrêt de travail en rapport avec le jour de l’embauche (AT-MP) :
La 2ème étude d’évaluation statistique de la fraude engagée depuis 2012, portant sur l’évaluation de la
fraude aux cotisations s’est poursuivie sur 2013 et 2014.
L’approche initiale visait l’évaluation de la fraude dans le secteur viticole. A fin 2013, au regard de la
complexité du rapprochement des données caractéristiques portées par deux bases de données, il a
été décidé, d’élargir l’évaluation du montant de la fraude à tous les domaines d’activités relevant de la
MSA L’objectif est l’évaluation du montant des cotisations éludées des employeurs de main d’œuvre.
Les travaux en 2014 ont été poursuivis sur la base de cette orientation et feront l’objet d’un rapport
courant 2015.
Un cas de fraude interne dans une caisse de MSA a mis en évidence la nécessité d’un plan d’action à
déployer dans tous les organismes Une analyse a été conduite entre la MSA concernée et la CCMSA
pour renforcer la maitrise du risque de fraude lié :
- à l’usage de transactions sensibles : mouvements de la base tiers (A26), mise en paiement
et gestion des RIB (T23), affectation de recettes à classer (F10)
- à la gestion de comptes spécifiques (CSG).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 64
A l’issue de l’analyse des risques, un plan d’actions été défini et validé par le CNMR pour mise en
œuvre.
Pourcentage
Nombre de Nombre de Nombre de Nombre de
de contrôles
contrôle à contrôles contrôles non contrôles non
effectués et
effectuer effectués formalisés applicables
formalisés
Organismes
MSA11 - 66 - MSA Grand Sud 1530 1038 0 492 100%
MSA12 - 46-81-82 - MSA Midi Pyrénées Nord 1506 1038 0 468 100%
MSA13 - 06 - MSA Provence Azur 1512 1013 6 493 99%
MSA14 - 50 - MSA des Côtes Normandes 1494 1002 0 492 100%
MSA17 - 16 - MSA des Charentes 1518 1020 0 498 100%
MSA20 - MSA Corse 1476 960 0 516 100%
MSA21 - 58-89-71 - MSA Bourgogne 1518 1038 0 480 100%
MSA22 - 29 - MSA d'Armorique 1524 1026 0 498 100%
MSA24 - 47 - MSA Dordogne Lot et Garonne 1536 966 0 570 100%
MSA25 - 39-70 - MSA Franche Comté 1521 1034 1 486 100%
MSA26 - 07-42 - MSA Ardèche Drôme Loire 1566 1046 20 500 98%
MSA27 - 76 - MSA de Haute Normandie 1539 997 2 540 100%
MSA28 - 18-45 - MSA Beauce Coeur de Loire 1530 1031 0 499 100%
MSA32 - 09-31-65 - MSA Midi Pyrénées Sud 1542 1116 0 426 100%
MSA33 - MSA Gironde 1530 1032 0 498 100%
MSA35 - 56 - MSA des Portes de Bretagne 1536 1050 0 486 100%
MSA41 - 36-37 - MSA Berry Touraine 1518 1008 6 504 99%
MSA48 - 30-34 - MSA du Languedoc 1530 1057 0 473 100%
MSA49 - MSA Maine-et-Loire 1554 1110 0 444 100%
MSA51 - 08-55 - MSA Marne-Ardennes-Meuse 1506 994 1 511 100%
MSA52 - 10 - MSA Sud Champagne 1524 1002 0 522 100%
MSA54 - 57-88 - MSA Lorraine 1506 998 4 504 100%
MSA59 - 62 - MSA Nord Pas de Calais 1533 1029 0 504 100%
MSA63 - 03-15-43 - MSA Auvergne 1545 1056 3 486 100%
MSA64 - 40 - MSA Sud Aquitaine 1518 1038 0 480 100%
MSA68 - MSA Alsace 1509 961 0 548 100%
MSA69 - 01 - MSA Ain Rhône 1518 971 29 518 97%
MSA72 - 61-53 - MSA Mayenne-Orne-Sarthe 1482 1008 0 474 100%
MSA73 - 38-74 - MSA Alpes du Nord 1542 1026 0 516 100%
MSA75 - MSA Ile-de-France 1479 999 0 480 100%
MSA80 - 02-60 - MSA Picardie 1506 1001 0 505 100%
MSA84 - 04-05 - MSA Alpes Vaucluse 1560 1042 26 492 98%
MSA85 - 44 - MSA Loire Atlantique Vendée 1506 1013 0 493 100%
MSA86 - 79 - MSA Sèvres Vienne 1536 1050 0 486 100%
MSA87 - 19-23 - MSA Limousin 1512 1006 2 504 100%
Total MSA 53262 35776 100 17386 99,7%
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 65
Pourcentage
Nombre de Nombre de Nombre de Nombre de
de contrôles
contrôle à contrôles contrôles non contrôles non
effectués et
effectuer effectués formalisés applicables
formalisés
Organism es
CIT59 - SIGMAP 342 102 6 234 94%
CIT82 - SIERA 360 138 0 222 100%
GIE93 - AGORA 360 120 0 240 100%
ARM93 - ARMONIA 306 24 0 282 100%
ARO05 - AROMSA de Bretagne 312 30 0 282 100%
ARO06 - AROMSA du Centre 294 0 0 294
ARO07 - AROMSA Champagne Ardennes 294 6 0 288 100%
ARO10 - AROMSA du Languedoc-Roussillon 294 6 0 288 100%
ARO12 - AROMSA de Lorraine 294 6 0 288 100%
ARO13 - AROMSA de Midi-Pyrénées 336 94 0 242 100%
ARO15 - AROMSA de Basse-Normandie 294 18 0 276 100%
ARO17 - AROMSA des Pays de la Loire 318 42 0 276 100%
ARO19 - AROMSA de la Région Poitou-Charentes 294 6 0 288 100%
ARO20 - AROMSA de la Région Provence-Alpes-Côte d Azur 294 6 0 288 100%
ARO22 - AROMSA de la Région Rhône-Alpes 330 94 0 236 100%
ARFOM - ARFOMACEE 306 24 3 279 89%
ARF26 294 0 0 294
ASFOM - ARFLSO 300 18 0 282 100%
ASFAU - ASFAUVERGNE 300 26 1 273 96%
AFOMA - FORCE NORD 294 12 0 282 100%
UMSAO - UMSAO 336 82 0 254 100%
AC17 - ADMTPA de Charente Maritime 1128 216 0 912 100%
Total Autres Organismes 7680 1070 10 6600 99,1%
DOM95 - CGSS de la Réunion 1248 306 12 930 96%
DOM96 - CGSS de la Guadeloupe 1248 330 0 918 100%
DOM97 - CGSS de la Guyane 1200 208 2 990 99%
DOM98 - CGSS de la Martinique 1254 294 0 960 100%
Total CGSS 4950 1138 14 3798 98,8%
Total général 65892 37984 124 27784 99,7%
Au global, le taux de couverture des risques comptables et financiers des organismes de la mutualité
sociale agricole est de 99,7 %, contre 98,5 % en 2013.
Pour les caisses, ce taux est de 99,7 % contre 98,7 % en 2013 ; pour les autres organismes, il est de
99,1 % contre 96,6 % en 2013, et pour les CGSS, le taux est de 98,8% contre 95 % en 2013.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 66
VI. ANALYSE DES RISQUES DE SECURITE DU
SYSTEME D’INFORMATION
La filière SSI de l'informatique a engagé depuis 2011 une démarche d'ensemble visant à l'amélioration
de la sécurité du SI, traduite dans un plan d'action séquencé.
La mise en place d'analyses des risques a été retenue comme une des actions prioritaires à mettre en
place.
La démarche d'analyse des risques cible dans un premier temps les risques liés à l'activité de
conception et développement du produit informatique.
Une méthode appuyée sur la norme ISO27000 contextualisée aux contextes et méthodes de
l'informatique institutionnelle de la MSA a été définie, décrite et outillée.
Cette méthode baptisée ISP (Intégration de la Sécurité dans les Projets) a été conçue comme un
bagage devant être utilisé par les acteurs intervenant dans les activités de conception et
développement, lors des phases d'étude et de définition des fonctionnalités.
La méthode ISP vise également à produire les éléments d'analyse des risques et les mesures de
sécurité permettant d'atteindre les exigences posées par la réglementation, notamment le Référentiel
Général de Sécurité.
En 2013, les animateurs de la filière sécurité de l'informatique MSA ont mis la démarche d'analyse de
risque ISP à l'épreuve de 5 projets en cours de développement, afin de la vérifier et éventuellement de
l'amender avant son déploiement général.
Les résultats de ce pilote ont abouti à un plan de déploiement séquencé pour 2014, devant aboutir à
une appropriation par l'ensemble des équipes au plus tard en 2015.
Deux actions de sensibilisation aux concepts de la sécurité du SI ont ainsi été bâties et dispensées :
Ces présentations ont permis de valider le contenu et de donner le feu vert au déploiement de la
formation sécurité vers les concepteurs et développeurs MO et ME.
Des travaux d’adaptation des bagages méthodologiques du cycle de vie logiciel ont été initialisés dès le
second semestre 2014, afin d’intégrer la sécurité dans la totalité du cycle de vie logiciel.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 67
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 68
3EME PARTIE : AUDITS ET CONTROLES
D’EFFECTIVITE 2014
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 69
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 70
I. AUDITS
1.1 L’audit interne institutionnel
1.1.1 Le contexte
L’audit interne MSA a été mis en place en 2008, en application du décret du 22 mai 2008 relatif aux
contrôles de la CCMSA (Art D 723-248 et 249 du CRPM).
Le décret du 14 octobre 2013 relatif au contrôle interne précise que « les organismes nationaux sont
dotés d’un dispositif d’audit interne, qui a notamment pour objet d’évaluer périodiquement l’effectivité,
l’efficacité et la pertinence du dispositif de contrôle interne (Art. D 114-4-9 du Code de la Sécurité
Sociale. Toutefois, les articles sur les contrôles de la CCMSA introduits en 2008 dans le Code Rural et
de la Pêche Maritime n’ont pas été abrogés par le décret d’octobre 2013 sur le contrôle interne.
Ainsi :
- les contrôles sur l’activité et l’organisation des organismes (prévus par le décret de 2008)
et notamment ceux dont la performance est inférieure à la moyenne nationale au regard
des CPOG restent également de la mission de l’audit interne MSA.
Dès 2008, il a été fait le choix que les missions conduites par l’audit interne MSA soient des missions
d’évaluation du dispositif de contrôle interne. Pour cela, l’audit s’appuie sur une référence
incontournable dans le domaine du contrôle interne : le référentiel COSO(*). Au regard du décret de
2013, ce choix peut apparaître comme précurseur. En effet, il a pleinement préparé l’application des
dispositions du décret de 2013.
- réalisé six suivis d’audit permettant d’évaluer le degré de réalisation des plans d’actions mis
en œuvre par les organismes pour répondre aux recommandations contenues dans les
rapports d’audit,
- effectué neuf missions d’audit d’assurance dans le réseau des organismes de MSA,
Le rapport d’activité de l’audit interne pour 2014 précise l’ensemble de ces éléments et notamment les
principaux constats portés lors des missions d’audit.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 71
1.1.3 Les suites données aux recommandations de l’audit
Un bilan de la mise en œuvre des recommandations de l’audit interne est régulièrement établi. Ce bilan
fait l’objet d’une transmission à l’Etat dans le cadre des engagements COG.
Une recommandation peut couvrir plusieurs actions à mettre en œuvre. Les auditeurs réalisent un suivi
de mise en œuvre des actions. Le taux est donc calculé par rapport aux actions à mettre en place :
(nombre d'actions sans suite par les organismes de MSA/ nombre total d'actions préconisées pour les
organismes de MSA)* 100
Le résultat de l’indicateur et le taux cible institutionnel sont examinés régulièrement lors des réunions du
Comité National d’Audit et lors des revues COG de la Direction de l’Audit et de la Maîtrise des Risques
de la CCMSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 72
En 2014, le taux s’est dégradé, passant de 5,3% à 13,3%, au-dessus de la cible institutionnelles de 10%.
Ce résultat s’explique en partie par :
- 2 actions dont la mise en œuvre était programmée comme postérieure à la visite des
auditeurs lors de la mission de suivi. Ces 2 actions ont donc été considérées comme non
mises en place,
- 1 action dont la mise en place a été retardée suite à la mutualisation de l’activité avec une
autre caisse,
- 1 action dont la mise en œuvre nécessitait une action de la caisse centrale, non réalisée
au moment de la visite de suivi.
Au regard des volumes de recommandations examinées par les auditeurs (75 en 2014 et 14 en 2013) on
note une augmentation des efforts des organismes du réseau avec 65 actions mises en place en 2014
contre 18 en 2013.
Certaines recommandations formulées par l’audit interne aux organismes du réseau sont susceptibles
d’entraîner un engagement de la CCMSA à intervenir (ex : diffusion d’éléments de cadrage pour la mise
en œuvre de la réglementation, mise à disposition d’outils…). Ces engagements sont déterminés à
partir de l’examen du rapport annuel d’activité de l’audit.
Après l’élaboration du bilan annuel de la campagne d’audit, un courrier spécifique est adressé aux
organismes du réseau pour rappeler utilement certaines consignes et les informer des engagements
pris par l’échelon central.
A partir de 2014 le réseau MSA reçoit via un courrier unique le rapport d’activité de l’audit et le tableau
des « Suites à donner au rapport d’activité de l’audit », incluant les engagements de la CCMSA.
Depuis 2009, première année de bilan de l’audit interne, la CCMSA a ainsi pris 32 engagements.
La COG 2011-2015 prévoit un suivi des recommandations de l’audit impliquant la CCMSA. L’indicateur
retenu est le taux de recommandations sans suite à plus d’un an de la part de la caisse centrale. Il est
ainsi défini : (Nombre d'engagements caisse centrale sans suite à plus d'un an / nombre total des
engagements caisse centrale depuis l'origine) * 100
Le degré de complexité de la mise en œuvre des recommandations de portée nationale diffère selon :
De fait, pour certaines recommandations, il faut parfois plus d’une année pour que les actions soient
mises en place.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 73
Sur la période, 26 recommandations de portée nationale ont été formulées dont les suites données ont
été évaluées au 31 décembre 2014. Sur 26 recommandations formulées, 24 avaient fait l’objet d’une
suite soit 92%.
Six engagements ont été pris par la CCMSA en juillet 2014 au titre de la campagne d’audit 2013. Leur
mise en œuvre sera évaluée en fin 2015.
13 organismes signalent avoir été concernés par un audit externe. Les audits ainsi recensés relèvent :
- de l’initiative des corps de contrôle et des corps de tutelle :
• Audits ou enquêtes MNC (Mission nationale de contrôle et d’audit des organismes de sécurité
sociale) répartis sur les thèmes : « Politique immobilière des caisses de MSA », « Relations
MSA et MSA Services », « Majoration pour tierce personne (MTP) » « Faute inexcusable de
l'employeur (FIE) », « Rescrit social » « Recours contre tiers ».
• audits IGAS (Inspection générale des affaires sociales) : « Les mandataires judiciaires à la
protection des majeurs » «Les sanctions administratives en matière de lutte contre le travail
illégal » « Modernisation de la gestion des régimes de retraite » « Zones de revitalisation rurale
(ZRR) » « Gestion des prélèvements obligatoires » « Protection sociale des jeunes »
« Convention Etat / UNAF » « Processus d'affiliation des personnes nées à l'étranger ».
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 74
• Cour des Comptes : « La gestion des créances par les OPS » « ASS habitat logement »
« Assurance maternité » « La fraude aux cotisations sociales » « Relations conventionnelles
entre l'assurance maladie et les professions libérales de santé » « Réductions générales de
cotisations patronales » « Maintien à domicile des personnes âgées en perte d'autonomie »
« Les aides personnelles au logement » « Recouvrement des cotisations sociales en Corse »
« La gestion des agents de direction de la sécurité sociale » « Compensation de l'allègement
des cotisations sociales patronales des jeunes entreprises innovantes » « L'articulation des
prises en charge sanitaire et sociale en faveur du maintien à domicile des personnes âgées en
risque de perte d'autonomie » « Organisation du recouvrement des prélèvements à la charge
des entreprises ».
• audits Commissaires aux comptes : « Mise en œuvre des ACI des PMs», « mise en œuvre du
PCAC »
- De l’initiative des partenaires de la MSA dans le cadre de la gestion pour leur compte :
• Audits AGRICA « conformité de la gestion déléguée à la caisse, de l’adhésion au paiement des
prestations » « Appel et facturation de cotisations », « Contrôle des comptes 2013»,
« Indemnités journalières »,
• Audits MUTUALIA : « Traitement des devis et prise en charge », « Appel de cotisations sur les
contrats collectifs », « Gestion du précontentieux des cotisations » réalisé par Fiducial.
Conclusion
1
Au cours de l’année 2014, les organismes de MSA ont été concernés par 118 audits ou contrôles
réalisés soit par la caisse centrale soit par des entités extérieures. Ce chiffre ne comptabilise pas les
contrôles croisés entre caisses. A noter que la durée des missions sur site varie de 1 ou 2 jours à 10
jours pour les audits internes de la caisse centrale.
Les 118 audits sont répartis de la manière suivante :
1
Chiffre issu des rapports de contrôle interne des organismes MSA ainsi que des informations disponibles à la
CCMSA.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 75
Par organisme, le nombre des audits/contrôles varie de 1 (Alsace, Maine-et-Loire, Sèvres Vienne,
SIGMAP) à 6 au maximum (Gironde et Nord Pas-de-Calais)
Total audits et
Organismes
contrôles
Total 118
Gironde 6
Nord Pas-de-Calais 6
Grand Sud 5
Limousin 5
Portes de Bretagne 5
Alpes Vaucluse 4
Beauce Cœur de Loire 4
Bourgogne 4
Côtes Normandes 4
Loire-Atlantique Vendée 4
Midi Pyrénées Sud 4
Sud champagne 4
CCMSA 3
Ain Rhône 3
Alpes du Nord 3
Ardèche Drôme Loire 3
Auvergne 3
Berry Tourraine 3
Dordogne Lot-et-Garonne 3
Languedoc 3
Marne Ardennes Meuse 3
Mayenne Orne Sarthe 3
Midi Pyrénées Nord 3
Provence Azur 3
Sud Aquitaine 3
Sier@ Montauban 3
Corse 3
Armorique 2
Charentes 2
Franche Comté 2
Haute-Normandie 2
Ile-de-France 2
Lorraine 2
Picardie 2
Alsace 1
Maine-et-Loire 1
Sèvres Vienne 1
SIGMAP 1
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 76
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 77
II. CONTROLES D’EFFECTIVITE
2.1 Contrôles nationaux d’effectivité des ACI
Pour la quatrième année consécutive, la mise en œuvre des ACI a fait l’objet d’au moins un contrôle
d’effectivité conduit par la CCMSA dans chacune des caisses de MSA, les centres informatiques et à la
CCMSA. 557 ACI ont ainsi été contrôlées au titre de l’exercice comptable 2014.
Pour l’élaboration du plan de contrôle des ACI, les priorités suivantes ont été retenues :
- Nombre d'ACI par mission: 16 (min) et 17 (max) en moyenne pour un nombre total d’ACI
contrôlées par campagne au moins égal au nombre d’ACI contrôlées en 2012 ( 682 en 2011
– 543 en 2012 – 521 en 2013)
- Prise en compte du domaine examiné en Audit.(contrôle des PMS concernés par une
mission d’audit (en totalité ou pour partie) pour la mission de contrôle ACI des caisses
auditées)
- Contrôle des ACI dans les caisses de gestion mutualisée. (deux PMS concernés en 2014 :
invalidité et retraites internationales)
La campagne de contrôle national des Actions de Contrôle Interne a démarré en février 2014 et s’est
terminée en janvier 2015 :
- 35 caisses, 2 centres informatiques (SIGMAP et SIER@) et la CCMSA ont été contrôlées et
les 38 rapports de fin de mission ont été établis,
- tous les PMs ont été testés entre 3 (Droits Maladie, invalidité et Marchés publics) et 8 fois
(Immatriculer un individu, Retraite hors CIR),
- 557 ACI ont été contrôlées
Les contrôles ont été réalisés par la Direction de l’Audit et de la Maîtrise des Risques en binôme avec la
participation de 23 contrôleurs régionaux. Tous ont appliqué la même méthode pour réaliser les
contrôles et ont utilisé les mêmes supports pour la documentation des contrôles.
2.1.3 Résultats
- le taux de validation net ne prenant en compte que trois critères: « ACI non mise en
place » « ACI réalisée non conformément à la fiche de risque », « quota non respecté » : les
contrôles demandés sont faits et le risque est couvert même si le formalisme du contrôle
interne est imparfaitement respecté.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 78
T AUX DE VALIDATION PAR ORGANISME
Pour 2014, le taux de validation brut s’élève à 94 % (557 ACI contrôlées dont 522 validées), soit une
hausse de 6 points par rapport à l’exercice 2013 (88 %).
18 organismes (dont la CCMSA) enregistrent un taux de validation brut de 100 % (11 en 2013).
Comme en 2013, 8 organismes enregistrent un taux validation inférieur ou égal à 85 %.
35 ACI n’ont pas été validées, soit un taux brut de non validation de 6 % (1 2% en 2013).
Les 5 motifs d’invalidation les plus fréquents représentent 80 % des ACI non validées.
Pour 2014, le taux de validation net sur l’ensemble des ACI contrôlées est de 98 % (546 ACI
validées sur 557 contrôlées), il était de 94 % en 2013.
29 organismes enregistrent un taux de validation net de 100 % (23 en 2013).
Les 9 organismes restants enregistrent un taux de validation compris entre 82 % et 94 %
(13 organismes enregistraient un taux inférieur à 94 % en 2013, dont 4 affichaient un taux inférieur à
82 %).
- 9 PMs ont enregistré un taux de validation compris entre 85% et 99% (4 PMs en 2013).
- 4 PMs ont enregistré un taux de validation inférieur à 85% (7 PMs en 2013).
Globalement, l’effectivité des actions de contrôle interne (ACI) des organismes de MSA a continué de
progresser entre 2013 et 2014.
Toutefois lors de la diffusion du bilan de la campagne 2014, la CCMSA a attiré l’attention des
organismes sur :
- la nécessité de tenir à jour les modes opératoires avec une rédaction suffisamment détaillée.
En effet, des modes opératoires insuffisamment précis paraissent à l’origine de la
dégradation des taux de validation de certains PMs. Cette vigilance est d’autant plus
nécessaire dans la phase de réorganisation que connaissent certaines caisses avec la
spécialisation des sites.
- La vigilance à apporter en 2015 sur la mise en œuvre des ACI des 4 PMs enregistrant en
2014 un taux de validation inférieur à 85 %. L’attention doit porter notamment sur les PMs
Cotisations Salariés, Droits Maladie-CMU-C et Rachat et régularisation de cotisations qui
enregistrent une baisse de taux de validation significative.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 79
2.2 Contrôles croisés régionaux pour l’effectivité des ACI
En 2014, toutes les régions ont été engagées dans la démarche des contrôles croisés régionaux. Les
régions décident en toute liberté du nombre de missions et des PMs à contrôler pour leur programme
annuel. Depuis le début de la démarche, les contrôleurs régionaux utilisent la même méthodologie et les
mêmes motifs d’invalidation des ACI que la CCMSA.
- Région Sud-Ouest
Tous les organismes (6 MSA et 1 centre informatique) ont fait l’objet des contrôles croisés régionaux.
De 1 PMs (pour SIER@) à 5 PMs ont été contrôlés par organisme.
- Région UMSAGE
Cette région compte 6 MSA mais le contrôle a été mené dans 5 MSA, une d’entre elles n’ayant pas
désigné de contrôleurs. De 1 à 3 PMs ont été contrôlés par caisse.
- Région UMSAO
Toutes les caisses (6 MSA) ont fait l’objet des contrôles croisés régionaux. De 4 à 7 PMs ont été
contrôlés par caisse.
Au total 733 ACI ont été contrôlées en 2014 au cours de l’ensemble des contrôles croisés réalisés dans
les 5 régions institutionnelles.
L’ensemble des organismes (Caisses et CITIs) seront contrôlés au moins une fois sur la période de la
COG. Pour rappel, 24 organismes avaient été contrôlés sur la période de 2011 à 2013, l’Agent
comptable de la CCMSA a choisi de procéder au contrôle de 7 organismes en 2014.
Le PCAC formalise les obligations légales de l’Agent comptable, l’intégralité de celui-ci doit donc (par
principe) être mis en œuvre et être opérationnel.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 80
PLANNING ET RESULTATS CONTROLES PCAC 2014
Les résultats des contrôles mis en œuvre en 2014 font apparaître un taux d’effectivité au global de
98,03 %, en légère amélioration par rapport à 2013 (97,4 %) ; ils sont compris entre 94 % et 100 %.
Pour 4 organismes les contrôles n’appellent aucune remarque significative (98 % à 100 %).
Pour les 3 autres organismes, les recommandations portent principalement sur des contrôles
moyennement formalisés, ou moyennement pertinents.
La synthèse réalisée à la fin de ces contrôles d’effectivité a permis aux organismes concernés de mieux
appréhender les résultats attendus, leur permettant d'intégrer immédiatement les améliorations pour
atteindre la pleine effectivité du PCAC.
Globalement la démarche est bien intégrée par l’ensemble des organismes avec des outils de suivi qui
tendent à se généraliser.
En 2014, en sus des contrôles d’effectivité diligentés par la CCMSA ou les commissaires aux comptes,
une région a intégré des contrôles PCAC dans la démarche des contrôles croisés régionaux. Les
contrôleurs régionaux utilisent la même méthodologie de validation que la CCMSA et déterminent les
domaines de contrôle.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 81
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 82
4EME PARTIE : PILOTAGE DU PLAN DE
CONTROLE INTERNE 2014
Un plan national de contrôle interne a été diffusé aux organismes du réseau MSA le 27 février
2014 par LTC 2014-138
Sa mise en œuvre s’est appuyée sur
- Les travaux des instances de pilotage
- Les éléments de cadrage du plan annuel de contrôle interne
- Des actions d’accompagnement : actions de formation et de communication
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 83
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 84
I. INSTANCES DE PILOTAGE DU CONTROLE INTERNE
1.1 Au plan institutionnel
Sur le plan opérationnel, la Direction de l’audit et de la maîtrise des risques de la CCMSA, créée en
2012, a en charge la conception générale du dispositif de contrôle interne et l’animation de sa mise en
œuvre. Elle établit le rapport annuel de contrôle interne
Deux instances sont impliquées dans le pilotage du contrôle interne au plan institutionnel :
Il a pour mission d’orienter la politique de maîtrise des risques de l’institution, impulsée par la CCMSA.
Ce comité se réunit au moins deux fois par an. En 2014 il s’est réuni le 14 avril, 9 juillet et le
26 novembre. Le secrétariat en est assuré par la Direction de l’audit et de la maîtrise des risques.
La mise en place d’un comité de la maîtrise des risques permet de répondre à la préoccupation
d’appréciation d’ensemble de la maîtrise des risques en cohérence avec l’esprit du décret d’octobre
2013 sur le contrôle interne lequel porte une approche globale du management des risques.
Il a été créé ou maintenu, par décision du Directeur Général en date du 7 avril 2009, modifié le 3
décembre 2009, huit comités directeurs parmi ceux-ci, le Comité Directeur de la certification.
Ce comité est notamment chargé du suivi de la cartographie des risques et de la maîtrise des risques
et est chargé d’émettre des avis et suggestions sur tous sujets concernant la maîtrise des risques. Il
relaie dans les régions institutionnelles la politique nationale et fait remonter les propositions locales.
Il est composé de :
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 85
La co-animation du comité directeur est assurée par l’Agent comptable de la CCMSA et un directeur du
réseau désigné en son sein.
En 2013, le Comité Directeur de la Certification s’est réuni quatre fois (le 11 mars, le17 juin, le
25 septembre et le 10 décembre).
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 86
II. LES ELEMENTS DE CADRAGE DU CONTROLE
INTERNE
2.1 Plan d’actions suite au décret du 14 octobre 2013
A la suite de la parution du décret du 14 octobre 2013 relatif au contrôle interne des régimes
obligatoires de base de sécurité sociale et des organismes concourant à leur financement, la MSA a mis
en œuvre un plan d’action visant à identifier et organiser la mise en œuvre des actions à conduire. 39
actions ont été identifiées.
Un point d’avancement de ce plan d’action est effectué dors de chaque Comité National de Maîtrise des
risques et il donne lieu à une information régulière lors du Comité Directeur Certification.
Elle a fait l’objet d’une présentation au réseau MSA lors d’une journée nationale d’information le 30
janvier 2015.
La CCMSA a été destinataire de 38 plans de contrôle interne 2014 dans les délais requis soit
l’ensemble des organismes à l’exception de l’un d’entre eux. Pour 2015, l’ensemble des organismes ont
transmis un plan de contrôle interne à la CCMSA.
Il est communiqué au ministre chargé de la sécurité sociale au plus tard le 30 juin de l’année suivant
celle au titre de laquelle il a été établi, accompagné des rapports d’audit prévus à l’article D. 114-4-9.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 87
2014 a vu la production du premier rapport national de contrôle interne produit dans l’esprit du décret
d’octobre 2013. Le rapport national relatif à l’exercice 2013 a été produit et diffusé à la direction de la
sécurité sociale le 30 juin 2014.
Un rapport de contrôle interne présentant un bilan du dispositif de contrôle interne doit être établi
annuellement par le directeur et l’Agent comptable de chaque organisme et communiqué à la CCMSA
pour le 31 mai de l’année suivante.
En 2014, comme en 2015, la CCMSA a été destinataire des rapports de contrôle interne des 39
organismes concernés. Ces rapports ont pu être pris en compte pour la production du rapport national.
Courant 2014, sans attendre la circulaire d’application du décret d’octobre 2014, plusieurs organismes
ont mis à jour leur protocole de contrôle interne en vue d’une mise en conformité avec les dispositions
du nouveau décret.
Il convient également de souligner que des organismes ont également établi des protocoles de lutte
contre la fraude engageant les services de l’ordonnateur et de l ‘Agent comptable.
Six indicateurs s’ajoutent en effet aux cinq indicateurs commentés plus haut au titre de la lutte contre la
fraude (deux indicateurs sur le taux de recouvrement, trois indicateurs sur le taux de couverture et le
taux de redressement par le contrôle externe, un indicateur sur le taux d’erreur dans les dossiers mis en
paiement)
Ces indicateurs font l’objet d’un suivi régulier par la CCMSA dans le cadre du comité de pilotage
institutionnel. Ils donnent lieu à une restitution annuelle auprès des Ministères en charge des affaires
sociales, du Budget et de l’Agriculture.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 88
III. ACCOMPAGNEMENT DU CONTROLE INTERNE
3.1 Formation
3.1.1 Les formations gérées au plan institutionnel
La mise en place d’un outil de suivi quantitatif semestriel piloté par l’Institution a permis en 2014
d’assurer une traçabilité de l’ensemble des formations suivies en matière de maîtrise des risques et de
lutte contre la fraude.
L’initiative des formations incombe aux organismes de MSA dans le cadre de leurs orientations
stratégiques et de leur plan de formation. Ils font le choix de solliciter l’Institution, d’autres organismes
de MSA en vue d’une mutualisation de moyens ou des organismes de formation externes.
4829 heures de formation à la maîtrise des risques ont été dispensées en 2014 dont :
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 89
Les partenariats avec les autres régimes ont permis de déployer des formations à l’instar des formations
proposées par le CRF Auvergne sur les thèmes « Fraude à l'identité » et « Détection de faux
documents ».
L’INTEFP (Institut National du travail, de l'Emploi et de la Formation Professionnelle) a permis le suivi
de formations sur les thèmes : « traitement des situations complexes en matière de travail illégal », « le
contrôle des PSI », « les formes d'emploi atypiques », « la lutte contre le travail illégal » et « la lutte
contre le travail illégal dans le secteur de l'agriculture » ...
• Le contrôle externe
Le dispositif de formation actuel pour les nouveaux contrôleurs repose sur un parcours de formation
initial obligatoire à l’exercice du métier sur les domaines législatifs, la posture et le métier.
L’offre de formation de perfectionnement pour les contrôleurs est en cours de construction. Elle
accompagnera la montée en compétences et garantira l’actualisation des connaissances métiers au
regard de l’évolution de la réglementation. Il s’agira en outre de contribuer à l’homogénéité des
pratiques en situation de travail.
Pour illustrer les formations, la MSA propose des formations à la méthodologie du contrôle des
rémunérations collectives, des mesures d’exonération de charges ...
• Le contrôle interne
La MSA a proposé en 2014 une formation à l’élaboration des procédures de contrôle interne. Une
réflexion a par ailleurs été engagée afin de compléter l’offre de formation actuelle pour répondre aux
besoins du réseau.
- Bien que n'ayant pas toute déclaré la réalisation de formation au nouvel outil de suivi des
ACI (actions de contrôle interne), les caisses de MSA ont toute accompagné leurs
collaborateurs lors de la mise en place de l'outil. En effet, on a pu constater une
appropriation rapide du nouvel outil.
- Enfin de façon générale, on constate que les organismes intègrent dans leur plan de
formation 2014, des formations ayant trait au contrôle interne, aux ACI, à la LCF/ contrôle
externe et à l'audit.
3.2 Communication
3.2.1 Les actions de portée nationale
En 2014 la CCMSA a tenu à jour et enrichi le site dédié au contrôle interne sur l’intranet institutionnel.
Comme l’année précédente, une réunion de l’ensemble du réseau a été organisée pour faire le point sur
l’actualité du contrôle interne. Cette réunion s’est tenue le 30 janvier 2015
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 90
53 personnes représentant l’ensemble des organismes du réseau ont participé à cette journée avec à
l’ordre du jour:
- Point sur la mise en œuvre du décret : circulaire contrôle interne
- Des actions ont également été conduites à l’égard des employeurs et donneurs d’ordres afin
de les sensibiliser aux risques du travail dissimulé et de la solidarité financière auxquels ils
sont potentiellement exposés.
Diverses actions de communication relatives au Contrôle interne sont avancées par les organismes du
réseau. Il est observé que la communication sur le contrôle interne est très souvent réalisée à l’initiative
du coordonnateur contrôle interne et s’appuie sur l’encadrement, l’espace intranet et le journal interne
des entreprises.
- Certains organismes ont mis en place un plan de communication dédié au contrôle interne
- Mise en place de diaporamas dans les lieux d’accueil concernant la lutte contre la fraude
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 91
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 92
CONCLUSION
L’année 2014 a été marquée comme la première année pleine d’application du décret
d’octobre 2013 sur le contrôle interne des organismes de sécurité sociale.
L’ensemble de l’institution MSA s’est mobilisée pour l’application des dispositions du décret
avec notamment la mise en œuvre d’un plan d’actions spécifique et la préparation de la
circulaire d’application de ce texte. A la fin de l’année 2014, 100% des actions du plan étaient
réalisées (87 %) ou engagées (13%).
En outre, au cours de l’année 2014 la MSA a conçu des dispositifs spécifiques de maîtrise
des risques pour sécuriser des activités nouvelles ou des domaines spécifiques avec :
- La création d’un Processus métier socle (PMS) et des actions de contrôle interne
concernant l’instauration d’indemnités journalières maladie pour les non-salariés
agricoles,
o L’offre de services
o L’engagement de la MSA dans les établissements sanitaires et médico
sociaux
Tous les organismes de MSA concernés ont produit un rapport de contrôle interne 2014 qui a
permis d’enrichir le présent rapport national.
Enfin, les évaluations ressortant des audits et des contrôles d’effectivité (ACI, PCAC) illustrent
la mobilisation du réseau MSA pour une bonne mise en œuvre du dispositif de contrôle interne
institutionnel.
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 93
Vos interlocuteurs à la Direction de l’Audit et de la Maîtrise des Risques
DIRECTION DE L’AUDIT ET DE LA MAITRISE DES RISQUES – RAPPORT NATIONAL DE CONTROLE INTERNE 2014 Page 94