Vous êtes sur la page 1sur 44

Réf. XXXXXXXXXX.A.

M
CCMSA
Direction de l’audit et
de la maîtrise des risques

Audit interne institutionnel

RAPPORT DEFINITIF D’AUDIT

MSA DE FRANCHE-COMTE

Destinataires :
Président de la CCMSA
Directeur Général de la CCMSA
Agent comptable de la CCMSA
Directeur délégué aux ressources institutionnelles CCMSA
Présidente MSA de Franche-Comté
Directeur Général de MSA Franche-Comté
Agent Comptable de MSA Franche-Comté

16 octobre 2015

H:\DIRECTION\3_Partenaires - CAC\CNAF\Rapport définitif anonysé.docx


SOMMAIRE

SYNTHESE ................................................................................................................................................... 4
1. NATURE ET CONTEXTE DE LA MISSION ....................................................................................................... 4
2. AVIS GENERAL SUR LE DISPOSITIF DE CONTROLE INTERNE ......................................................................... 5
3. RECOMMANDATIONS ................................................................................................................................ 6

PARTIE 1 : DESCRIPTIF SOMMAIRE DE L’ORGANISATION .................................................................. 8

PARTIE 2 : EVALUATION DU DISPOSITIF DE CONTROLE INTERNE COMPOSANTES ET


PRINCIPES ................................................................................................................................................. 10
2.1 ENVIRONNEMENT DE CONTROLE INTERNE ........................................................................................ 10
2.1.1 La déontologie ........................................................................................................................... 10
2.1.2 La supervision par le conseil d’administration...................................................................... 10
2.1.3 L’organisation............................................................................................................................ 11
2.1.4 La compétence .......................................................................................................................... 11
2.1.5 Le rendu compte ....................................................................................................................... 12
2.2 EVALUATION DES RISQUES .............................................................................................................. 12
2.2.1 Les objectifs .............................................................................................................................. 12
2.2.2 L’identification et l’analyse des risques (la cartographie des risques)............................... 13
2.2.3 Le risque de fraude ................................................................................................................... 13
2.2.4 L’adaptation du dispositif local de contrôle interne.............................................................. 14
2.3 ACTIVITES DE CONTROLE ................................................................................................................. 14
2.3.1 Les actions de contrôle ............................................................................................................ 14
2.3.2 Les contrôles informatiques par l’organisme audité ............................................................ 14
2.3.3 Les règles et procédures .......................................................................................................... 15
2.4 INFORMATION ET COMMUNICATION ................................................................................................... 15
2.4.1 La pertinence et la fiabilité de l’information ........................................................................... 15
2.4.2 La communication en interne .................................................................................................. 16
2.4.3 La communication avec les tiers ............................................................................................. 16
2.5 PILOTAGE DU CONTROLE INTERNE................................................................................................... 16
2.5.1 L’évaluation du contrôle interne.............................................................................................. 16
2.5.2 La communication des résultats de l’évaluation ................................................................... 17

PARTIE 3 : EVALUATION DU DISPOSITIF DE CONTROLE INTERNE DANS LE DOMAINE AUDITE. 18


3.1 LE DISPOSITIF DE LUTTE CONTRE LA FRAUDE EXTERNE ..................................................................... 18
3.1.1 Le processus de prévention de la fraude externe ................................................................. 18
3.1.2 Le processus de détection de la fraude externe .................................................................... 20
3.1.2.1 Le service du contrôle externe, acteur central de la détection des fraudes.................... 20
3.1.2.2 Les prestations santé ............................................................................................................ 22
3.1.2.3 Les prestations « famille » et « retraite »............................................................................. 23
3.1.2.4 Le service cotisations............................................................................................................ 23
3.1.2.5 Le service d’action sanitaire et sociale ............................................................................... 24
3.1.2.6 Le service du Front Office ..................................................................................................... 24
3.1.3 Le processus de traitement de la fraude externe .................................................................. 24
3.1.3.1 L’enregistrement et le traitement des dossiers frauduleux ............................................... 24
3.1.3.2 La notification et le recouvrement des créances ............................................................... 25
3.1.3.3 Le suivi des résultats............................................................................................................. 25
3.1.4 Le processus de correction de la lutte contre la fraude externe ......................................... 26

2
3.2 LA LUTTE CONTRE LA FRAUDE INTERNE ............................................................................................ 26
3.2.1 Le processus de prévention de la fraude interne .................................................................. 26
3.2.2 Le processus de détection et de traitement de la fraude interne ........................................ 27
3.2.3 Le processus de correction de la lutte contre la fraude interne et le management du
risque dans l’entreprise ..................................................................................................................... 28

PARTIE 4 : RECOMMANDATIONS ........................................................................................................... 29

PARTIE 5 : ANNEXES ................................................................................................................................ 40


ANNEXE 1 – ORDRE DE MISSION ................................................................................................................. 40
ANNEXE 2 – OBSERVATIONS DE L’ORGANISME AUDITE................................................................................. 40

3
SYNTHESE

1. Nature et contexte de la mission


Le Directeur Général de la CCMSA a missionné l’audit interne institutionnel pour
conduire une mission d’audit d’assurance à la MSA de Franche-Comté.

Cette mission concernait l’évaluation du dispositif de contrôle interne de l’organisme. Elle


a également examiné les processus de gestion de la lutte contre la fraude :
- processus de prévention, de détection, de traitement et de correction de la fraude
externe
- processus de prévention, de détection, de traitement et de correction de la fraude
interne.

La mission a été conduite sur place, du 8 au 19 juin 2015 par :


Elie QUIDU, Directeur auditeur, chef de mission,
Frédéric DUPUIS, Directeur auditeur,
Marc WURMSER, Directeur auditeur.

Les auditeurs ont mené leurs travaux sur les différents sites de l’entreprise, sur la base
d’entretiens et d’investigations à partir de fichiers, de documents et de l’analyse de dossiers
individuels.

4
2. Avis général sur le dispositif de contrôle interne
L’audit des 5 composantes du dispositif de contrôle interne, tel que défini par le
COSO 2013 a permis de relever, concernant :

- L’environnement de contrôle : la caisse manifeste son engagement en faveur de


l’intégrité et de valeurs éthiques, quelques ajustements sont à prévoir. Le conseil
d’administration dispose des éléments réglementaires pour son information. La direction
ne définit pas toutes les modalités de fonctionnement (structure, pouvoirs,
responsabilités) pour atteindre les objectifs, et des modifications sont à réaliser pour
certaines délégations en particulier pour le délégué de l’agent comptable et pour l’agent
comptable. L’entreprise manifeste son engagement à former et à fidéliser ses
collaborateurs sans formaliser de façon explicite la gestion prévisionnelle des
compétences en regard de ses objectifs. Le rendu compte du dispositif de contrôle
interne est effectif.

- L’évaluation des risques : la caisse définit des objectifs sans toujours les formaliser et
s’assurer de leur déclinaison homogène. La caisse n’a pas identifié les risques associés
à la réalisation de ses objectifs et la cartographie des risques locaux n’est pas réalisée.
L’organisation n’intègre pas totalement le risque de fraude. L’adaptation du dispositif de
contrôle interne aux changements est partielle.

- Les activités de contrôle : la caisse développe des activités de contrôle dans le


périmètre préconisé afin de ramener le risque à un niveau acceptable. Elle développe
des contrôles du système d’information (SI), et des habilitations informatiques. Elle définit
partiellement les règles pour atteindre les objectifs et la formalisation des règles et
procédures est à renforcer.

- L’information et la communication : la caisse n’utilise pas totalement l’information


pertinente de nature à faciliter le développement du contrôle interne. Elle ne communique
que partiellement les informations nécessaires au bon fonctionnement du dispositif.
L’entreprise communique incomplètement avec les tiers sur les points qui affectent le
fonctionnement du contrôle interne.

- Le pilotage du contrôle interne : la caisse ne systématise pas l’évaluation continue de


son dispositif de contrôle interne. L’activité de pilotage du contrôle interne dans la caisse
repose essentiellement sur les ACI définies au niveau national ainsi que sur les contrôles
locaux et sur la mise en œuvre des actions correctives qui font suite aux contrôles et aux
audits réalisés.

Pour obtenir une complète efficacité de son dispositif de contrôle interne, la


caisse devra porter son attention sur chacun des principes où l’effectivité n’est
pas retenue. Elle devra en outre mettre en place des mesures complémentaires
donnant suite aux recommandations formulées par l’audit.

5
3. Recommandations

Les constats opérés au cours de la mission sur le dispositif de contrôle interne et dans le
domaine audité conduisent à formuler les recommandations suivantes :

n° 1 Déontologie
Ecrire et mettre en place une procédure de contrôle interne qui prenne en compte le
risque de fraude et de conflits d’intérêts pour les contrôleurs externes.
n° 2 Délégations de pouvoirs
Mettre les délégations en conformité avec la règlementation dans le respect de la
séparation des pouvoirs entre directeur et agent comptable, en distinguant bien la
fonction d’ordonnateur de celle de payeur.
n° 3 Compétences – Plan de formation
Mettre en oeuvre un suivi du plan de formation avec pour objectif de réaliser les
formations prévues et de consommer les budgets prévus.
n° 4 Les procédures
Compléter les procédures des éléments nécessaires au respect des principes du
contrôle interne.
Réaliser en amont une analyse locale des risques.
Réaliser des procédures de contrôle interne dans les secteurs d’activité où il n’en
n’existe pas et où les risques sont identifiés.
Réaliser un répertoire des procédures existantes et en vigueur dans la caisse.
n° 5 Organisation de l’activité LCF
Etablir au début de chaque exercice un plan de lutte contre la fraude couvrant
l’ensemble des activités LCF conduites par chacun des services et déclinant des
objectifs fixés par la Direction.
Organiser la gouvernance du dispositif par des instances adaptées réunies
régulièrement.
Mettre en place une autorité chargée de la coordination transversale des actions
conduites et de la fonction de veille documentaire.
n° 6 Traitement des suspicions de fraude
Rédiger, diffuser et mettre en œuvre une procédure de traitement des dossiers
potentiellement frauduleux formalisant les acteurs, les outils, les circuits et les
modalités de leur suivi opérationnel.
Intégrer dans cette procédure le principe de la séparation des tâches et définir des
modalités permettant d’en superviser le strict respect.
n° 7 Reconnaissance et effets du caractère frauduleux des dossiers contrôlés
Mettre en place l’instance compétente pour la reconnaissance du caractère
frauduleux des dossiers répondant à la définition réglementaire de la fraude aux
prestations sociales.
Réactiver le dispositif de pénalités financières lorsque le cas d’espèce justifie le
recours à cette mesure et formaliser le processus relatif à leur recouvrement.
Ecrire les procédures nécessaires au traitement des cas avérés de fraude externe.
n° 8 Lutte contre la fraude en santé
Définir et mettre en œuvre un dispositif de management du risque de fraude en santé
comprenant des objectifs, des outils de mesure et un programme d’actions.
Articuler ces actions avec celles du plan d’ensemble de la caisse (voir fiche n° 5).

6
n° 9 Notification des indus frauduleux
Revoir le contenu de la notification des indus frauduleux aux assurés convaincus de
fraude afin de faire apparaître plus clairement le caractère illégal de leur action et ses
conséquences financières.
Revoir et adapter le contenu des courriers adressés aux assurés afin de mieux
mettre en évidence le caractère de sanction de la pénalité financière, ainsi que ses
motifs.
n° 10 Dispositif de lutte contre la fraude interne
Définir et promouvoir une politique structurée de prévention de la fraude interne.
Réaliser une cartographie des risques de fraude interne.
Ecrire une procédure de contrôle interne pour les dossiers du personnel et des
administrateurs.
Réaliser un bilan annuel des actions menées.

7
PARTIE 1 : DESCRIPTIF SOMMAIRE DE L’ORGANISATION

La caisse pluridépartementale de MSA de Franche Comté a été créée le 1er avril


2005 ; elle couvre 4 départements : Doubs, Jura, Haute-Saône et Territoire de Belfort.
Le siège social de l’entreprise est fixé à Besançon. Les activités de production sont
réalisées sur 3 sites : Besançon, Lons le Saunier et Vesoul.
L’effectif était de 250,6 ETP (équivalents temps plein) à la fin de l’année 2014. En
début de COG, l’effectif de la caisse était de 277,4 ETP, soit une diminution de 10,6 % des
effectifs en 4 ans. L’objectif à atteindre en fin d’année 2015 est de 245 ETP.

Sur le plan de l’évolution d’activité il faut noter que le nombre de ressortissants


(112.000) diminue de 0,6 % (évolution de 2013-2014) mais le nombre d’établissements
employeurs de main d’œuvre (3 242) est en hausse de 2,9 % (évolution 2012-2013). Les
unités d’acivités (UA) ont progressé de + 0,8 % de 2013 par rapport à 2012.

L’équipe dirigeante de la caisse comprend 5 agents de direction qui exercent


principalement leur activité sur Besançon. Leurs responsabilités sont organisées comme
suit :

- Le directeur général, outre le pilotage général administratif et financier de l’entreprise


assure la direction des RH-formation et relations avec les IRP (instances
représentatives du personnel), du contrôle interne et du contrôle de gestion ainsi que
le suivi du personnel détaché.

- L’agent comptable chargé de la direction financière, de la logistique et de


l’informatique. Ce dernier exerce ses missions sur les 3 sites : Besançon, Vesoul et
Lons le Saunier .

- Le directeur adjoint en charge de l’action sanitaire et sociale (ASS), de la vie


institutionnelle et de la communication ainsi que des MARPA (maison de retraite pour
personnes agées).

- La directrice adjointe chargée de la protection sociale, (secteurs cotisations,


recouvrement, retraite, prestations familiales et logement, CMU), des relations
adhérents et du contrôle.

- Le directeur adjoint en charge de la santé (secteur santé et AT, contrôle médical et


dentaire, prévention santé, santé sécurité au travail).

Pour assurer son fonctionnement, la MSA de Franche Comté s’appuie sur plusieurs
instances de gouvernance :

Le CODIR (comité de direction) se réunit toutes les semaines ; il est composé des 5
agents de direction et des médecins chefs. Le compte rendu est confidentiel, un extrait est
diffusé aux cadres encadrants.

Le COPIL (comité de pilotage) se réunit tous les mois, il est composé de l’ensemble
des agents de direction, des médecins chefs du responsable des RH, du contrôleur de
gestion, du responsable de la communication et de cinq cadres encadrants. Ce comité peut
« être amené à travailler sur tout sujet stratégique, transverse et d’organisation ». Un relevé
de propositions est établi en séance.

La réunion des cadres encadrants se réunit trimestriellement, sans compte rendu de


réalisé mais avec une mise à disposition des documents avant la séance.
8
Les réunions par direction, où sont présents l’ensemble des cadres de cette direction
et les invités. Dans ces différentes réunions, des points obligatoires sont prévus :
(information d’entreprise notamment sur les décisions du CODIR et informations
ascendantes et descendantes de direction).

Concernant plus particulièrement la lutte contre la fraude

Cette mission était confiée au cadre responsable du contrôle interne, rattaché


directement au directeur général jusqu’au 31 décembre 2014. Depuis cette date, l’activité de
lutte contre la fraude a été transférée au responsable du contentieux et du contrôle externe,
sans toutefois que cette nouvelle organisation ne soit clairement officialisée.

Désormais l’activité de lutte contre la fraude est intégrée dans la direction de la


protection sociale et des relations adhérents.
Le cadre doit assurer la coordination de l’ensemble du dispositif et l’interface avec les
services chargés de mener les actions opérationnelles d’instruction et de traitement des
dossiers de fraude potentielle ou reconnus comme tels. Il est également l’interlocuteur des
organismes partenaires et représente la caisse auprès des structures inter-organismes et
notamment les CODAF. Les contrôleurs participent aux différents comités restreints.

Dans les différents services, lors de l’audit, il n’y avait pas de référents de proximité
de désignés en vue de concourir à l’instruction des dossiers au sein de leur entité de
rattachement et de veiller à la mobilisation constante des équipes autour de cette
problématique.

Le service du contrôle externe assure un rôle central dans cet ensemble, tant en
matière de recherche d’informations utiles à la clarification des situations de suspicion que
de lutte contre le travail illégal ou dissimulé.

9
PARTIE 2 : EVALUATION DU DISPOSITIF DE CONTROLE INTERNE
COMPOSANTES ET PRINCIPES

Les 5 composantes et les 17 principes du référentiel COSO 2013 sont retenus pour
l’analyse du dispositif de contrôle interne de l’entreprise.

2.1 Environnement de Contrôle interne


2.1.1 La déontologie

La charte nationale de déontologie a été successivement présentée aux instances


représentatives du personnel puis au Conseil d’administration de la caisse. Elle a été
approuvée par le Conseil et a fait l’objet d’une diffusion officielle par la Direction.
Parallèlement la « charte des bonnes relations humaines au travail » datée du 17
octobre 2013 reste toujours en vigueur dans l’entreprise. En effet les organisations
syndicales de l’entreprise ne souhaitaient pas sa suppression.
Une déclaration de mandats et fonctions exercées hors MSA a été remplie par
l’ensemble des administrateurs en début de mandat et actualisée si nécessaire. Les
administrateurs ne prennent pas part aux votes lorsqu’ils sont concernés dans un dossier.
Le règlement intérieur est complété par des règles relatives au respect du secret
professionnel.
Des circuits spécifiques et des contrôles sont mis en place pour la liquidation des
dossiers du personnel et des administrateurs. Toutefois, les procédures appliquées n’ont pas
été validées ni signées par le directeur et l’agent comptable. Le traçage des contrôles est
réalisé ; par contre, en santé, les flux électroniques ne font pas l’objet de contrôles. En ce qui
concerne les contrôles ils portent uniquement sur les dossiers liquidés par des collègues des
différents secteurs techniques. Ils ne portent pas sur le fait de savoir si l’ensemble des
membres du personnel ont respecté l’ensemble des circuits et consignes prévus (voir
recommandation n° 10).
Les différents contrôleurs exercent leur activité dans un secteur prédéfini, en principe
plusieurs cantons, toutefois certains d’entre eux résident dans leur secteur d’activité, ce qui
constitue un risque de conflit d’intérêts pour la réalisation d’enquêtes pour des assurés qu’ils
connaissent . Il convient de modifier les secteurs pour les contrôleurs concernés pour éviter
un risque de conflit d’intérêts et d’écrire une procédure intégrant les multiples règles et
consignes orales.

Recommandation n° 1

2.1.2 La supervision par le conseil d’administration

Les différents rapports d’audits réalisés dans la caisse sont présentés au conseil
d’administration (par exemple, le rapport d’audit de septembre 2010 a été présenté par le
directeur général au conseil d’administration du 31 mars 2011).
Le directeur bénéficie d’une délégation du conseil d’administration en date de mars
2015. L’agent comptable a une délégation du conseil d’administration (2006), bien qu’il
s’agisse de pouvoirs propres.
Le rapport annuel de contrôle interne est présenté et commenté devant le conseil
d’administration. Les administrateurs du mandat précédent n’ont pas bénéficié de formation
portant sur le contrôle interne.

10
2.1.3 L’organisation

Un organigramme hiérarchique existe et est régulièrement mis à jour. Il n’existe pas


de règlement d’organisation précisant le périmètre de responsabilité de chaque direction et
les missions confiées à chaque service. Il existe un organigramme fonctionnel : il devra être
mis à jour compte tenu des derniers changements.
Des fiches de poste sont diffusées dans les services et mises à jour par les
responsables et validées par la direction. Certains secteurs font l’objet d’une refonte des
fiches de poste, le secteur GI (gestion des individus) par exemple.
Des délégations et subdélégations sont formalisées pour l’ordonnancement.
Certaines d’entre elles portent sur plusieurs domaines.
Il faut noter que l’encadrement de certains services s’avère très réduit, ce qui
constitue un risque pour l’ordonnancement sur certains sites, par exemples Vesoul et Lons le
Saunier.
L’audit a constaté que l’agent comptable était amené à ordonnancer certaines
factures et notamment des notes de frais. Il n’y a pas de délégation prévue à cet effet. On
constate également que sur l’organigramme général de la MSA Franche Comté, l’agent
compable figure sous l’intitulé de « directeur adjoint ». Il faut préciser que sur cet
organigramme daté du 27 mars 2015 le document indique « direction comptable et
financière, informatique et logistique ». A la page 3 de cet organigramme il est indiqué,
« Directeur Adjoint - Agent Comptable ». Cette situation est source de confusion.

Le délégué de l’agent comptable dispose de deux délégations :

Une datée du 2 avril 2009, en qualité de « délégué à l’agent comptable », le


délégant étant l’agent comptable (agréé par le conseil d’administration du 27 mars 2009) ;
Une datée du 1er juillet 2010 pour « engager les dépenses liées aux frais de
déplacement du personnel de ses services » sans précision de montant, le délégant étant le
directeur général. Cette délégation a été renouvelée par le nouveau conseil d’administration
le 5 mars 2015 ; ce qui n’est pas conforme aux textes.
Cette situation a pour conséquence un cumul de fonction d’ordonnateur et de
payeur sur la même personne, ce qui peut constituer un risque. Elle est aussi totalement
contraire aux différents textes applicables qui prévoient la séparation des fonctions
d’ordonnateur et de payeur.

Recommandation n° 2

Les procédures utilisées dans les différents secteurs d’activité ne mentionnent pas
leur date de validation et ne comportent pas la signature de l’agent comptable et du directeur
général.

2.1.4 La compétence

Il n’existe pas d’outil de gestion prévisionnelle des emplois et des compétences


(GPEC). Une réflexion a été engagée depuis le début de l’année 2014 sur les effectifs à
l’horizon 2020. Un comité de pilotage a été mis en place par la DRH.
Les entretiens annuels d’évaluation du personnel sont réalisés ; pour 2014, le taux de
réalisation était de 94 %. Ces échanges annuels permettent de mettre en évidence les
souhaits ou besoins éventuels de mobilité et de formation.
Des procédures sont rédigées pour le domaine RH. Elles ne répondent cependant
pas à toutes les exigences du contrôle interne : identification des risques, contrôles,
supervision.

11
Le plan de formation 2015 est actuellement mis en œuvre. Le taux de réalisation
budgétaire pour la formation est de 66 % pour l’année 2014 (en 2013 il était de 74 %). Les
raisons de cette non consommation sont multiples : pour partie, annulations de stage par
l’ASFOSAR ou l’organisme régional, désistements individuels, absences, changements de
poste des agents. Il convient de mettre en oeuvre un dispositif qui permette la consommation
intégrale du budget formation.

Recommandation n° 3

Par ailleurs il convient de souligner que seul le responsable du contrôle interne a suivi
des formations sur le contrôle interne. Des formations ont été organisées sur la LCF
documentaire pour le Front Office.

2.1.5 Le rendu compte

Les tableaux de suivi des ACI sont finalisés par les services et centralisés par le
responsable du contrôle interne.
Les résultats des contrôles réalisés au titre des ACI sont validés par la direction.
Le circuit spécifique de traitement des dossiers des personnels et administrateurs fait
l’objet de différents contrôles dont les résultats sont communiqués aux responsables des
services concernés.
Les procédures utilisées dans les différents secteurs d’activité de la caisse ne
mentionnent pas la date de validation et la signature de l’agent comptable et du directeur
général.
Les tableaux de bord d’activité (production) des différents secteurs ne sont plus
réalisés depuis septembre 2014.
La caisse n’a pas mis en place de tableaux de bord prospectif dans ses principaux
domaines d’activité.
La centralisation des résultats COG et CPG est assurée par le secteur « contrôle de
gestion - COG ».
Le plan de contrôle interne a bien été réalisé pour l’année 2015, toutefois il date du
19 mai 2015 ce qui parait tardif pour la mise en œuvre de certaines actions. Un bilan du
contrôle interne a également réalisé pour l’année 2014.

2.2 Evaluation des risques


2.2.1 Les objectifs

Il n’y a pas d’objectifs précis de fixé par la direction générale, ce qui rend difficile leur
déclinaison dans les différentes directions de branches. En effet le directeur général fait état
d’un principe qui ne fixe pas de résultat chiffré à atteindre.
Dans une note datée du 27 avril 2015 et signée du directeur général il est précisé
que « dans l’attente de la prochaine COG et de l’accord sur la GPEC, les principales
orientations seront :
- Améliorer la performance de notre entreprise par l’accompagnement des
évolutions des postes de travail,
- Renforcer la connaissance des activités de la MSA afin d’assurer un service
de qualité auprès de nos adhérents ».
A partir de ces éléments, l’encadrement élabore des objectifs dans son propre
secteur d’activité. Des objectifs sont fixés individuellement lors des entretiens annuels
d’évaluation. Il faut souligner que ces objectifs ne permettent pas toujours d’identifier les
résultats chiffrés à atteindre.

12
Il n’y a pas de projet de réorganisation de prévu.

2.2.2 L’identification et l’analyse des risques (la cartographie des risques)

La caisse n’a pas à ce jour réalisé de cartographie des risques locaux ni d’inventaire
des processus, ce qui avait déjà été mis en évidence lors de l’audit institutionnel du 29
novembre 2010.
Cette situation est confirmée par une note de l’agent comptable (note du 2 mars
2015).
Les contrôles des ACI nationales sont réalisés conformément à l’analyse des risques
et aux règles diffusées par l’échelon central mais il n’y a pas de contrôle spécifique couvrant
des risques locaux par ailleurs non définis de manière formelle.

Recommandation n° 4

2.2.3 Le risque de fraude

Des plans de LCF (lutte contre la fraude) ont été formalisés en 2011 et 2012. Depuis
cette période, la caisse a simplement appliqué les mesures édictées dans le plan national
qui induit lui-même les orientations du plan de contrôle externe.
En pratique, à ce jour, le plan de contrôle externe est de facto devenu le plan de lutte
contre la fraude externe.
Les indicateurs de suivi de cette activité sont essentiellement ceux mis en place dans
le cadre du CPG déclinant localement les engagements de la COG.
Le comité local de lutte contre la fraude est également tombé en désuétude ; sa
dernière réunion remonte à février 2013 et les projets de procédures pour le saisir restent à
finaliser. La commission des pénalités n’a jamais été réunie au cours du mandat du conseil
d’administration 2010 - 2015.
En pratique, les situations potentiellement frauduleuses sont presque exclusivement
mises en évidence par les enquêtes des contrôleurs sur le terrain, qu’elles résultent de la
déclinaison du plan annuel ou de sollicitations directes des services. Ces demandes
formulées par les techniciens ou par leurs responsables reposent essentiellement sur leur
expérience, leur compétence, leur vigilance et leur conscience professionnelle. Elles ne
résultent pas de consignes de travail ou de processus structurés. Il n’existe pas de document
ou de fiche de signalement des cas de présomption par les services.
Une réflexion, encore incomplètement aboutie, poursuit l’objectif de réorganiser la
lutte contre la fraude en profondeur, avec en premier lieu le changement du responsable
fraude de la caisse et le recrutement d’une chargée d’études juridiques. Si ce changement
de responsable a bien commencé à s’appliquer en pratique, il n’était pas encore
complètement officialisé lors de l’audit puisque l’on note deux dates d’effet différentes pour
sa mise en œuvre : 1er janvier 2015 (date indiquée dans le rapport d’activité LCF 2014) ou 1er
juillet 2015 (information publiée par le site intranet de la caisse). Il n’y a pas eu d’information
générale sur cette réorganisation.
La fiche de poste du cadre concerné n’a pas été modifiée pour y intégrer cette
responsabilité nouvelle qui s’ajoute à celles qu’il assumait précédemment. L’intéressé n’a
pas davantage reçu de notification officielle de la direction ni de lettre de mission. Seul un
entretien d’évaluation d’avril 2014 formalise cette orientation de la Direction.

Au cours des années récentes, la lutte contre le risque de fraude n’a pas été
considérée comme une activité à part entière de la caisse, ni réellement pilotée.
La caisse participe aux différentes instances départementales inter-organismes de
lutte contre la fraude (CODAF pléniers ou opérationnels, Instance Opérationnelle Régionale
en Santé…).
13
Des développements complémentaires sont réalisés dans la troisième partie avec les
recommandations correspondantes (recommandations de 5 à 10).

2.2.4 L’adaptation du dispositif local de contrôle interne

Le service du contrôle interne suit la désignation et la mise à jour de la liste des


acteurs chargés de la réalisation et de la supervision des ACI, sur proposition des
responsables de service.
Le service contrôle interne initie l’élaboration des modes opératoires nécessaires à la
mise en œuvre des ACI qui sont ensuite validés par les superviseurs (en principe les cadres
opérationnels des différents services).
Il n’existe pas de dispositif local de détection des changements externes.
L’adaptation du dispositif à des changements internes n’est pas automatique ni
forcément immédiate. A titre d’exemple, les évolutions relatives à la lutte contre la fraude, en
cours de mise en œuvre au 1er semestre 2015 n’avaient pas encore donné lieu aux
adaptations nécessaires.

2.3 Activités de contrôle


2.3.1 Les actions de contrôle

Le plan de contrôle de l’agent comptable a été réalisé et le bilan a été présenté au


conseil d’administration.
Le plan de vérification comptable est conforme aux quotas de contrôle exigés par la
CCMSA. Il faut signaler pour les contrôles comptables plusieurs problèmes :
- en ASS, la requête pour la sélection des dossiers à contrôler n’est pas
opérationnelle ; de ce fait le contrôleur prend la liste des aides versées sur la période et trie
lui même les dossiers à vérifier.
- pour les exploitants en société, l’outil de requêtage ne fait ressortir qu’un seul
membre ; or le vérificateur doit contrôler la situation de l’ensemble des membres de
l’entreprise ayant la qualité de chef d’exploitation.
Différents domaines ne font pas l’objet de mesures de Contrôle Interne (conventions
avec des partenaires, instructions dossiers du personnel, contrôle médical, prévention des
Risques Professionnels, médecine du travail…).
La caisse participe au dispositif des contrôles croisés de la région UMSAGE.
Le bilan de la lutte contre la fraude pour l’année 2014 a été présenté au conseil
d’administration et transmis à la CCMSA (voir les observations dans la troisième partie).
La caisse n’a pas mis en place d’ACI locales.
Le plan de continuité existe et a été mis à jour.

2.3.2 Les contrôles informatiques par l’organisme audité

L’ensemble des applicatifs, hors applicatifs locaux, sont mis à disposition de la caisse
dans le cadre de l’organisation institutionnelle et répond de ce fait aux préconisations y
afférentes (mise en œuvre des protocoles de maîtrise du SI).
Les conditions d'exploitation sont régulièrement suivies par les services opérationnels
et par l’agence comptable : paramétrage, mise à jour en regard des corrections attendues…
Les demandes de correction et les signalements d’anomalies sont régulièrement
produits selon les protocoles définis (DIDOC, SOLAU…).

14
Les applicatifs informatiques locaux utilisés au sein de la caisse s’inscrivent dans le
cadre des règles institutionnelles (contrôles, modalités d’accès) ce qui procure une
assurance raisonnable de maîtrise en regard des risques.
Le processus de gestion des habilitations est documenté ; un protocole établi entre le
directeur général et l’agent comptable précise la répartition des responsabilités et les
modalités de validation des différents types de demandes (initialisation, modification,
suppression…), y compris pour ce qui concerne les accès des personnels du centre
informatique.
La signature du protocole de référence (protocole relatif à la formalisation des
demandes de droits et affectations - DDA - et à la gestion des habilitations) n’est pas signé
alors qu’il devrait l’être ; la disponibilité en annexe d’un glossaire permettant d’expliciter les
sigles et codes utilisés en faciliterait l’usage et en améliorerait l’efficience ; la cotation du
document devrait permettre de suivre les versions de mise à jour éventuelles. En l’absence
d’outil interactif dédié, l’accès à l’information des habilitations délivrées (tant implicitement
que explicitement) se révèle complexe et relativement opaque ; cette opacité rend difficile la
connaissance des habilitations délivrées à chacun des agents et donc à chacun des postes ;
pour un responsable opérationnel, l’évaluation de la cohérence des habilitations avec
l’organisation des tâches, le processus d’activité mis en œuvre et le degré de maîtrise
recherché en est rendu plus complexe.
Cette situation constitue en soi un facteur de risque dont le niveau n’a pu être
apprécié.
Les ACI institutionnelles applicables sont mises en œuvre et supervisées. Ces
actions couvrent une large gamme de risques : risques associés à l’initialisation du dispositif
de gestion, risques d’incohérence par rapport à l’activité déclarée pour l’agent, risques
d’incompatibilité fonctionnelle (ordonnateur – payeur).
Des défauts constatés dans le fonctionnement de l’application nationale de synthèse
et de transmission des données de Contrôle Interne (défaut de restitution des données dues
à des erreurs d’affichage des tableaux restituant les données saisies) sont de nature à
perturber l’évaluation et le suivi des actions réalisées.

2.3.3 Les règles et procédures

La caisse ne dispose pas de répertoire, d’inventaire des activités ou des processus


ou d’une liste des procédures de contrôle interne en vigueur dans l’entreprise.
Le formalisme est respecté pour les PMS et les différentes ACI correspondantes,
notamment le mode opératoire de chaque ACI qui est standardisé.
Les consignes, les instructions de travail, les procédures écrites utilisées dans les
services ne respectent pas systématiquement les exigences nécessaires pour la bonne
application de tous les principes du contrôle interne.

Recommandation n° 4

2.4 Information et communication


2.4.1 La pertinence et la fiabilité de l’information

Il n’y a pas de processus organisé pour la transmission des informations des services
vers celui du contrôle interne. Les résultats des ACI sont transmis au fil de l’eau et
consolidés dans un tableau général de suivi. En cas de retard dans l’envoi de ces éléments,
une relance de l’équipe ou du chef de service concerné est effectuée par le responsable du
contrôle interne.

15
Il n’y a plus actuellement de comité de pilotage qui permette un partage transversal
de l’information, l’entreprise ayant à ce jour privilégié les contacts bilatéraux directs à
l’initiative du responsable du contrôle interne.
La documentation relative aux actions de contrôle interne est enregistrée dans un
répertoire P:\contrôle interne\privé dont le contenu n’est pas sécurisé.

2.4.2 La communication en interne

Le plan de communication de l’entreprise ne définit pas d’action consacrée au


dispositif de contrôle interne ou à sa déclinaison opérationnelle.
Lors de sa mise en place en 2009, le site intranet de l’entreprise avait été construit en
intégrant une rubrique spécifique sur le contrôle interne. Toutefois au jour de l’audit, cette
rubrique ne contenait encore aucun document.
Une assemblée annuelle du personnel est organisée au début de chaque année et
rassemble les collaborateurs de tous les sites. Cet évènement important en termes de
communication interne permet d’évoquer ponctuellement certains points relatifs aux actions
de contrôle interne réalisées dans les services. Elle ne n’apporte cependant pas une vision
d’ensemble susceptible de mobiliser et d’éclairer l’ensemble des agents de l’entreprise
autour des objectifs et des résultats du dispositif de contrôle interne.

2.4.3 La communication avec les tiers

Vis-à-vis du public extérieur en relation avec la MSA (assurés, employeurs,


partenaires, prestataires…), aucune action de communication relative au contrôle interne et
à ses exigences n’a été conduite. Seule la lutte contre la fraude a donné lieu à quelques
réalisations qui ont pris la forme de publications ponctuelles dans les journaux
professionnels ou plus récemment de réunions d’information sur les droits et devoirs des
employeurs (cf. infra § 3.1.1).
Une page du site Internet MSA reprend des informations générales fournies par
l’échelon central sur cette même thématique.
En 2014, des réunions d’information sur la thématique de la fraude sociale, associant
la DIRECCTE, ont été organisées par la MSA pour faire suite aux demandes du secteur
forestier dont l’activité est particulièrement significative en région Franche Comté.

2.5 Pilotage du contrôle interne


2.5.1 L’évaluation du contrôle interne

Différents contrôles d’effectivité ont été réalisés en 2014 par la CCMSA :


- sur les PMS « report aux comptes salarié et non salarié » et « RSA » résultat =
100 %
- sur les PMS famille, « attribuer la PAJE » résultat = 100 %
- sur les PMS gestion de l’entreprise « gestion de la paie » résultat = 100 %
- sur les PMS cotisations « rachat et régularisation de cotisations » = absence de
dossier
Ces différents résultats ne préjugent pas des taux d’anomalies observés.
Plusieurs domaines ne font pas l’objet de mesures de CI (conventions avec des
partenaires, instructions dossiers du personnel, contrôle médical, prévention des RP,
médecine du travail…).
La caisse participe au dispositif des contrôles croisés de la région UMSAGE.

16
2.5.2 La communication des résultats de l’évaluation

Le dispositif d’évaluation inter-régional

Actuellement le dispositif de contrôle interne se limite à la mise en œuvre des


différentes ACI.
Un outil de gestion des requêtes et d’échantillonnage (OGRE) a été développé par la
caisse FC, ce qui permet une meilleure sécurisation des éléments à contrôler.
Des contrôles croisés régionaux se sont déroulés en octobre 2014 (IJ maladie,
maternité, paternité).

Les audits du contrôle interne réalisés

- Un audit de la CCMSA a eu lieu en 2010 ; des actions ont été mises en place suite
aux recommandations formulées. Le suivi du plan d’action a été réalisé le 29 juin 2012.
- Un audit AGRICA en mars 2012 (fiabilisation des données prévoyance et santé).
- Un audit de Mutualia Alsace Grand Est en 2012 (flux techniques).
- Un audit AGRICA en 2013 (adhésion des entreprises).

La caisse rencontre des difficultés pour mobiliser les équipes des différents secteurs
d’activité sur les questions de contrôle interne. Le COPIL Contrôle Interne se réunit
irrégulièrement ; de plus, d’après le compte rendu du 27 octobre 2014 ses membres doutent
de son efficacité. En effet, on peut lire ce qui suit : (quel est) « l’intérêt d’un COPIL Contrôle
Interne pour faire la revue périodique des ACI mises en œuvre ? En l’absence d’ACI locales
non reprises dans les tableaux de la CCMSA, l’intérêt n’est pas élevé ».
Le Directeur Général, dans une lettre de mission datée du 15 juillet 2014, a chargé le
responsable du contrôle interne d’une « réflexion à mener sur la création d’une cellule de
contrôle interne ». Ce groupe a rencontré des difficultés de fonctionnement compte tenu de
mésententes internes et à ce jour aucune position n’a été arrêtée par la direction, bien que
les conclusions devaient être présentées au comité de direction du 22 septembre 2014
(selon les termes de la lettre de mission). On trouve plusieurs procès verbaux de réunions,
en particulier 7 janvier 2015 et 25 février 2015, qui indiquent que l’organisation des
« structures » de contrôle interne est à préciser. (voir recommandation n° 5).

17
PARTIE 3 : EVALUATION DU DISPOSITIF DE CONTROLE
INTERNE DANS LE DOMAINE AUDITE
L’article L 114-3 du Code de la Sécurité sociale dispose que peut être considéré
comme fraudeur « quiconque se rend coupable (…) de fausse déclaration pour obtenir ou
faire obtenir ou tenter de faire obtenir des prestations ou des allocations de toute nature
liquidées et versées par les organismes de protection sociale qui ne sont pas dues ».
Pour la délégation nationale de lutte contre la fraude, une fraude est définie comme
« une irrégularité ou une omission commise de manière intentionnelle au détriment des
finances publiques ».
Conformément à l’ordre de mission reçu du Directeur général de la CCMSA, le
dispositif de contrôle interne appliqué à l’activité de lutte contre la fraude au sein de la MSA
auditée est analysé sur la base de 4 processus, tant pour ce qui concerne la fraude externe
(dont l’instigateur est extérieur à l’organisme) que la fraude interne (résultant de manœuvres
d’un ou de plusieurs salariés de l’organisme) :
• Prévention de la fraude externe / interne
• Détection de la fraude externe / interne
• Traitement de la fraude externe / interne
• Correction de la fraude externe / interne
Compte-tenu de certaines de ses spécificités (importance de l’inter-régimes, relations
avec les professionnels de santé ou avec les établissements, instances paritaires…) le
domaine de la santé a fait l’objet d’une analyse et de développements particuliers.

3.1 Le dispositif de lutte contre la fraude externe


3.1.1 Le processus de prévention de la fraude externe

Le processus de prévention de la fraude externe mis en œuvre par la MSA de


Franche Comté n’est pas modélisé.
En pratique, la politique de prévention conduite par la caisse dans ce domaine se
manifeste principalement par des actions de sensibilisation sur la lutte contre le travail illégal
ou dissimulé. Elles prennent la forme d’encarts d’information dans les journaux
professionnels spécialisés ou plus ponctuellement de réunions ciblant un secteur défini.
Ainsi, en septembre 2014, des réunions d’information (1 par département) préparées et co-
animées par la MSA et par la DIRECCTE et portant en particulier sur cette thématique de la
fraude sociale (droits et obligations des employeurs, rôle des différentes structures) ont été
organisées à la demande du secteur forestier, dont l’activité est particulièrement significative
en région Franche Comté. Une plaquette « la lutte contre le travail dissimulé est l’affaire de
tous » a été réalisée et distribuée à cette occasion. Début juin 2015, une réunion de
sensibilisation à la lutte contre le travail illégal, associant les mêmes organismes MSA et
DIRECCTE a été organisée en direction du secteur viticole du département du Jura.

Lors de l’audit, la caisse n’avait pas formalisé de plan de lutte contre la fraude pour
2015. Il n’y a pas de référents fraude dans les services, chaque technicien étant seulement
invité à la vigilance et à saisir le service de contrôle externe ou sa hiérarchie lorsque des
éléments de suspicion apparaissent lors du traitement d’un dossier.
Le personnel n’a pas suivi de formations sur la lutte contre la fraude. Seules les
équipes du Front Office ont bénéficié, fin 2014, de celle consacrée à la fraude documentaire.
L’essentiel des actions à finalité préventive, mais également de détection, est intégré
dans le plan annuel de contrôle externe (cf. infra § 3.1.2). Il n’existe pas d’analyse de risques
permettant un ciblage précis des actions vers des thématiques préétablies en vue de limiter
18
les risques de fraude de la part des assurés. Il n’y a pas non plus de cartographie des
risques identifiés dans ce domaine, bien que certains d’entre eux le soient après des
échanges informels entre le contrôle externe et les services de protection sociale sur
certains cas d’espèce. Enfin, aucune fonction de « veille documentaire », qui permettrait à la
caisse d’enrichir progressivement une base de données sur tous les cas de fraude identifiés
dans le réseau MSA, n’est organisée.

Recommandation n° 5

Malgré cette absence d’outils de décision, un ciblage apparaît toutefois dans


certaines orientations du plan annuel de contrôle externe, sans pour autant que les actions
qui en découlent ne soient hiérarchisées en termes de niveau de fréquence ou de gravité. A
titre d’exemples :
• Pour le domaine famille : contrôles programmés en direction des populations non
salariées déclarant ne pas avoir de placement financier (pour le RSA), des
allocataires bénéficiaires simultanément du RSA et de l’APL ou des célibataires
dont le loyer dépasse 500 € mensuels.
• Pour le domaine retraite, contrôles de la cessation d’activité effective, contrôles
des ressources avant octroi de l’ASPA ( allocation de solidarité aux personnes
agées)
• En cotisations, enquêtes sur les cotisants solidaires et les critères d’affiliation
• En matière de carrières (avec rachats de périodes) : contrôle de situation suite à
production d’attestations sur l’honneur pour obtention d’une validation gratuite ou
régularisation de périodes d’activité.
D’autres types de dossiers ou de prestations donnent lieu à des contrôles à vocation
préventive. Ainsi, 60 contrôles à vocation préventive, confiés au service famille, ont été
réalisés par les services techniques en 2014 sur l’instruction des droits à la CMU-C. Les
dossiers contrôlés sont en partie sélectionnés aléatoirement, en partie transmis par les
techniciens. Lorsqu’un dossier est incomplet, l’assuré est sollicité pour fournir les pièces
manquantes ; en l’absence de réponse, le dossier est classé sans suite. La vérification des
ressources s’effectue notamment par la consultation des fichiers CAFPRO et Pôle Emploi,
RNCPS. En cas de doute, une enquête par un contrôleur assermenté est demandée. Les
informations complémentaires sont transmises à la technicienne chargée des contrôles
CMU-C qui croise les éléments recueillis avec ceux déjà enregistrés en base. Si les
éléments sont conformes, le dossier est classé et le droit ouvert. Un tableau annuel est établi
pour le suivi de ces contrôles.
Il convient de relever qu’une seule technicienne réalise ces contrôles alors qu’elle
assure par ailleurs des activités de production ; elle peut donc être amenée à vérifier des
dossiers qu’elle a elle même instruits.
Par ailleurs, en matière de carrières (rachats de périodes), une fiche de suivi
spécifique est établie et la caisse recherche elle-même des informations notamment dans les
dossiers archivés sur microfiches. Les périodes de chômage sont vérifiées via l’outil AIDA.
Lorsque des bulletins de salaire sont produits pour établir de nouveaux droits, seuls des
documents originaux sont acceptés par la caisse pour faire foi.
En dehors du champ de la protection sociale légale, le service de l’action sociale qui
gère le paiement de nombreuses prestations pour un budget 2015 de 2,24 millions d’euros a
développé des procédures de contrôle a priori pour chacune des prestations extra-légales
servies par la caisse. Ces procédures sont mises à jour autant que de besoin par les
techniciens et vérifiées par le cadre ; elles ne comportent pas de date d’effet et ne sont pas
officiellement signées par un responsable.
Le niveau des droits aux prestations permettant le maintien à domicile dépend
essentiellement d’une évaluation du degré de dépendance du demandeur. L’instruction du
dossier et des droits est déléguée à un « GIE IMPA » créée par la CARSAT et les MSA de
Bourgogne et de Franche-Comté et qui effectue cette mission d’évaluation sur la base du

19
règlement établi par la caisse en matière de critères de fragilité. Cette professionnalisation
de l’évaluation individuelle encadre et réduit les risques de dérive tout en renforçant en
parallèle la traçabilité de cette opération. Les pièces justificatives (en particulier l’avis fiscal)
sont adressées à la caisse et la validation du droit n’intervient qu’après contrôle de ces
pièces par les techniciennes spécialisées dans la liquidation de ces dossiers. Ces pièces
sont archivées en GEIDE avec mention des vérifications réalisées lors de l’instruction du
dossier.
Enfin, en matière de subventions versées sur les fonds d’action sociale à certaines
structures qui mènent des actions locales, le contrôle de leur bon usage est effectué sur la
base d’une grille de vérification et du rapport annuel d’activité de la structure bénéficiaire de
l’aide financière. On note toutefois qu’il n’y a pas de contrôle sur place du bénéficiaire.

3.1.2 Le processus de détection de la fraude externe

Le processus de détection de la fraude externe mis en œuvre par la MSA de Franche


Comté n’est pas modélisé. Un projet de procédure de traitement des dossiers frauduleux
avait été préparé en 2012 et présenté en COPIL LCF ; il n’a finalement jamais été ni validé ni
mis en œuvre.
En pratique, la détection des situations de fraude repose presque entièrement sur les
actions « terrain » conduites par les agents du service du contrôle externe, qui déclinent les
orientations formalisées dans un plan annuel et réalisent des enquêtes sur sollicitation des
différents services de la caisse ou de certains partenaires de la MSA.

3.1.2.1 Le service du contrôle externe, acteur central de la détection des


fraudes

La MSA de Franche-Comté a donné au service du contrôle externe le rôle central en


matière de détection des cas de fraude dans sa circonscription. Ce service comporte 6
agents assermentés soit environ 2 par département (quelques secteurs se situent à cheval
sur 2 départements) et une secrétaire assistante, sous la responsabilité d’un chef de service
par ailleurs chargé du recouvrement et du contentieux.
Le responsable du service ou, en cas d’indisponibilité, un contrôleur assermenté du
secteur, représente la caisse dans les CODAF départementaux pléniers. Les contrôleurs
participent aux structures restreintes.
La documentation du service est alimentée et mise à jour par la secrétaire
assistante ; elle n’est pas sécurisée.
L’activité du service est essentiellement organisée sur la base du plan annuel de
contrôle, qui décline et quantifie les orientations institutionnelles et les objectifs découlant de
la COG en actions locales. Pour l’année 2015, ce plan a été validé le 12 décembre 2014 par
la CCMSA.
La première partie du plan concerne le domaine cotisations (employeurs, non
salariés, affiliation et lutte contre le travail illégal). Pour ces activités, la majorité des
enquêtes à réaliser (580 pour l’année 2015) est arrêtée par le service lui-même sur la base
des orientations et priorités du plan de l’année. A l’inverse, pour la seconde partie qui couvre
les prestations (famille, santé, retraite), les demandes d’enquêtes (320 prévues en 2015)
proviennent majoritairement des services concernés. En effet, en l’absence de référents
fraude de proximité ou de fiches de signalement, les techniciens ont consigne de demander
une enquête pour tout dossier dans lequel des éléments constitutifs de fraude sont
présumés, afin de collecter des éléments permettant au final d’apprécier le caractère
frauduleux ou non de la situation qui donne lieu au contrôle. Le responsable du service
demandeur n’est pas automatiquement informé lors de la demande. Des sélections par
requêtes demandées par les services complètent ce panel d’enquêtes annuelles en vue de
20
garantir un ciblage de toutes les situations considérées comme à risques reprises dans le
plan annuel de contrôle externe (cf. supra § 3.1.1).
S’il apparait pertinent qu’une action de contrôle puisse être demandée lorsqu’un
technicien suspecte une possible situation de fraude, il faut relever que les critères
permettant de dresser ce constat initial de suspicion ne sont pas formalisés. Cela crée une
incertitude ou une inégalité dans cette appréciation qui dépend de la méthode d’analyse ou
de la sensibilité plus ou moins développée de chaque agent à certaines situations, avec un
risque d’omission de certains cas particuliers potentiellement constitutifs de fraudes.

Recommandation n° 6

Une note interne au service contrôle prévoit que les enquêtes demandées par les
services doivent être bouclées dans un délai de 3 mois maximum. Un point de situation est
effectué par le responsable du service après 60 jours afin d’éviter tout retard dans la
réalisation de ces enquêtes « terrain ».

En pratique, le processus de traitement d’une demande d’enquête permettant la


détection d’une possible fraude se déroule selon les étapes suivantes :
• Le technicien ayant un doute sur une situation en cours d’instruction par ses soins
demande une enquête au service du contrôle externe via l’outil J 84 ; selon le
service concerné, le responsable hiérarchique est informé ou non de la demande
dès ce stade initial.
• Un message est généré vers le groupe des contrôleurs. La demande est affectée
à l’un d’entre eux par la secrétaire administrative du service en fonction du
secteur de chacun et du planning des enquêtes à réaliser. La secrétaire prépare
et expédie l’avis de passage et collecte les informations sur l’assuré en cause, en
consultant en particulier les fichiers FICOBA et RNCPS, complété dans quelques
cas par des données recueillies grâce au droit de communication.
• Le contrôleur réalise son enquête sur place et établit un pré-rapport adressé via J
84 au service et à l’agent à l’origine de la demande, pour information et calcul de
l’indu éventuel sur la base d’une grille à compléter. Le responsable du service à
l’origine de la demande est destinataire de ce retour d’informations.
• L’ensemble des informations est centralisé par la secrétaire administrative qui
prépare et met en forme le projet de document de fin de contrôle (DFC) en y
intégrant alors le montant de l’éventuel indu.
• Le DFC provisoire est transmis au contrôleur qui a réalisé l’enquête pour
vérification.
• Le DFC est ensuite validé en concertation entre le contrôleur assermenté et le
responsable du service du contrôle externe puis signé par le contrôleur, ce qui lui
donne son caractère définitif.

C’est à ce dernier stade du processus que le caractère frauduleux ou non de la


situation est établi lorsque les éléments recueillis permettent une conclusion en ce sens. En
effet, depuis l’abandon « de fait » du COPIL fraudes (dont la dernière réunion remonte au 12
février 2013), la reconnaissance du caractère frauduleux des situations ainsi étudiées
incombe entièrement au service du contrôle externe. La décision est prise par le responsable
du service, en étroite concertation avec l’agent assermenté qui a rassemblé les éléments à
prendre en considération en vue de déterminer l’éventuelle intention frauduleuse de
l’adhérent à l’occasion de la validation du DFC. Depuis 2015, cette responsabilité semble
pouvoir être partagée avec l’agent de direction en charge de la protection sociale mais
l’organisation de ce nouveau circuit de décision, s’il doit désormais constituer la règle, n’est
pas formalisée. Les services techniques ne sont pas impliqués dans le processus de
reconnaissance et de qualification de la fraude.

21
Dans le cas où une fraude est mise en évidence, le DFC y fait en principe allusion ;
ce n’est cependant pas systématique.

Recommandation n° 7

3.1.2.2 Les prestations santé

La lutte contre la fraude en santé ne fait pas l’objet d’un management spécifique ; elle
ne dispose pas :
• d’une doctrine et d’une politique précisément définie
• d’objectifs
• d’identification et d’évaluation de ses enjeux (cartographie des risques)
• d’affectation de ressources et de définition des modalités spécifiques ou induites
de l’activité.

La doctrine à laquelle il est fait référence dans le cadre général des relations avec les
professionnels de santé et pour la mise en œuvre des actions du contrôle médical n’est pas
formalisée et tend à privilégier des actes de conciliation à vertu pédagogique : « conciliation
plutôt que coercition ».
La lutte contre la fraude ne donne pas lieu à une fixation d’objectifs en termes
d’activité ou en termes de résultats.
Si la possibilité de situations ou de comportements potentiellement frauduleux est
reconnue, elle n’est pas évaluée ; la fraude en santé n’est pas cartographiée et les situations
génératrices et les types de fraude ne sont pas recensés.
Les actions de lutte contre la fraude menées par la caisse résultent essentiellement
de sollicitations reçues du régime général (signalement de dossiers en cours et demandes
de poursuivre l’instruction dans la sphère agricole). La MSA est susceptible de coopérer
avec les autres régimes pour les dossiers ouverts à leur initiative (actions non recensées).
Elle contribue également au pilotage des contrôles T2A par la participation aux instances
régionales, sans participer directement à ces contrôles ; elle ne gère pas non plus les
dossiers contentieux qui en résultent.
La caisse met en œuvre des actions de gestion du risque en santé, en application
des plans nationaux de GdR et de maîtrise médicalisée (le plan national GdR ne mentionne
pas spécifiquement d’objectifs de lutte anti fraudes). Cette mise en œuvre est contrainte par
la taille des moyens affectés. Ces actions sont recensées (tableau de bord national) et
documentées (méthodologie nationale). Elles sont susceptibles de conduire à des actions de
récupération d’indus. Cette activité n’est pas supervisée.
Les situations irrégulières constatées lors de cette mise en œuvre ne donnent pas
lieu à requalification en suspicion de fraude ou en situation de fraude avérée susceptible de
conduire à une instruction adaptée du dossier.
En matière de liquidation des prestations, une vigilance est exercée par les
collaborateurs lors du traitement des dossiers pour s’assurer de leur conformité (exhaustivité
des éléments requis par la réglementation) et de leur véracité (absence de falsifications). La
notion de fraude est connue et de nature à justifier certaines modalités d’action des services.
Ces actions identifient parfois des irrégularités qui peuvent se traduire par un refus de droit
(rejet d’une déclaration d’arrêt de travail par exemple) ou par la notification d’un indu
récupérable.
La vigilance des équipes de liquidation Santé résulte exclusivement d’une posture
« culturelle » : ses modalités d’exercice ne sont pas documentées, les résultats éventuels ne
sont pas recensés et les recommandations de la hiérarchie ne sont pas formalisées.

Recommandation n° 8

22
3.1.2.3 Les prestations « famille » et « retraite »

Dans ces 2 services, la thématique LCF est peu présente et ne fait pas l’objet
d’objectifs formalisés. Seules des consignes orales sont rappelées périodiquement.
Il n’existe pas d’analyse des risques ni de cartographie structurée de ceux-ci. La
pratique a pourtant permis d’identifier certaines situations considérées comme des sources
de risques fraudogènes plus fréquentes comme par exemple les situations de vie maritale
non déclarée ou le niveau des ressources, de nombreuses prestations étant liées à ces
éléments. Cela justifie leur ciblage dans le plan de contrôle. Pour le service famille, les droits
au RSA et à la CMU-C (cf. supra § 3.1.1) font l’objet d’une vigilance particulière (90 contrôles
prévus pour 2015 pour ces minima sociaux). Les paiements supérieurs à 1.500 € donnent
également lieu à un contrôle systématique. Pour le service retraite, depuis 2012, tous les
dossiers ASPA sont vérifiés avant versement de la prestation. Les dossiers de réversion
pour des assurés n’ayant pas encore liquidé un droit propre (situation personnelle, familiale,
ressources) font l’objet de contrôles a posteriori.
En matière de reconstitution de carrières, certains contrôles ou recherches (archives,
fichiers caisse, microfiches…) peuvent résulter des demandes des assurés eux-mêmes
lorsque les informations qui leur sont communiquées sont jugées comme erronées ou
incomplètes. De telles demandes permettent un examen complet de la situation en cause. A
l’issue des contrôles, les justificatifs sont ensuite tous archivés en GEIDE ce qui permet leur
conservation et leur consultation aisée.
Dans les 2 services, la consigne de demande d’enquête pour tout cas de suspicion,
après information du responsable du service est appliquée. Certaines de ces demandes
peuvent trouver leur origine dans les constats ou observations opérés par les vérificateurs
comptables.
En 2014, 15 dossiers ont finalement été reconnus frauduleux pour le domaine famille
(16 en 2013).
Les fichiers EOPPS (recherche de possibles doublons) et Pôle Emploi (informations
sur les ressources et droits à l’allocation de libre choix du mode de garde) sont les plus
régulièrement utilisés par les techniciens du service Famille. Au service des retraites, les
fichiers EOPPS / RNCPS et PPR (Portail des Partenaires Retraite) sont utilisés par les
techniciens pour obtenir des informations utiles à la connaissance complète des situations.
Dans les deux services, la documentation à caractère législatif est accessible via les
portails institutionnels : Essentiel Famille et Essentiel Retraite. Pour les responsables de
service, l’ergonomie et la facilité d’utilisation de ces sources documentaires mises en place
par le niveau national ont réduit les risques d’erreurs des techniciens.

3.1.2.4 Le service cotisations

Comme pour les prestations, les actions de lutte et de détection contre la fraude aux
cotisations sociales sont décidées et conduites en étroite concertation entre le service des
cotisations et le service du contrôle externe. Ces actions concernent la lutte contre le travail
dissimulé, la vérification des revenus professionnels, et du respect des conditions ouvrant
droit aux exonérations partielles de cotisations pour l’emploi de salariés occasionnels. Les
nouvelles installations donnent également lieu à une enquête à réaliser dans les 60 jours
suivant la demande adressée par l’agent cotisations qui instruit le dossier.
Le domaine des cotisations occupe de loin la part la plus importante pour le plan
annuel de contrôle externe puisque près de 75 % des enquêtes réalisées par les agents
assermentés le concernent.
Les secteurs d’activités donnant lieu au plus grand nombre de contrôles sont la
viticulture, les entrepreneurs de travaux forestiers ou agricoles. Au niveau du service des
cotisations, deux procédures portant sur les enquêtes « installations » (règles de droit
commun et travaux forestiers) ont été modélisées. Elles ne répondent cependant pas à
toutes les exigences du contrôle interne.
23
En dehors de ces cas, il n’y a pas de consignes particulières données aux agents du
service en matière de lutte contre la fraude. Comme dans les autres services, les situations
de suspicion éventuelles font l’objet d’une demande d’enquête.
A noter qu’en matière de détection et de lutte contre le travail dissimulé, une partie
des actions conduites par la MSA découle d’informations ou de signalements extérieurs. La
MSA peut notamment être sollicitée par la DIRECCTE voire par des salariés estimant que
leurs droits ne sont pas convenablement respectés par leur employeur.

3.1.2.5 Le service d’action sanitaire et sociale

En action sanitaire et sociale, les situations considérées comme les plus exposées au
risque de fraude concernent l’affectation pertinente des aides financières « ciblées » visant
un objectif fixé au préalable, les dons en espèces ou la juste appréciation du niveau des
ressources des bénéficiaires de prestations extra-légales.
La vigilance permettant la détection de possibles situations de fraudes est rappelée
dans les consignes des travailleurs sociaux et des techniciens du service d’action sanitaire et
sociale. Les repérages de telles situations peuvent intervenir de manière fortuite ou résulter
de constats du travailleur social ou des techniciens, qui recherchent ou vérifient les
informations qui leur sont nécessaires dans les bases GI ou famille. Lorsqu’un risque de
fraude potentielle est ainsi mis en évidence, une alerte est systématiquement transmise au
responsable fraude de la caisse pour suite à donner.
Par ailleurs, chaque prestation extra-légale fait l’objet d’une fiche de procédures
formalisant des contrôles à réaliser périodiquement ; ceux-ci concourent à la détection de
cas de fraude potentielle.
En cas de persistance du doute, des consignes de suspension de paiement sont
appliquées.

3.1.2.6 Le service du Front Office

Le service est peu impliqué dans la recherche de situations de fraudes. Les


documents réceptionnés lors de contacts avec les assurés sont immédiatement transmis
vers l’équipe GI (gestion des individus). Les éventuels cas de suspicion sont tracés au
niveau de l’équipe GI. Il n’y a pas de retour d’information vers le Front Office.
L’équipe du Front Office a pourtant bénéficié de la formation sur la fraude
documentaire à la fin de l’année 2014.

3.1.3 Le processus de traitement de la fraude externe

Il n’existe pas de processus formalisé de traitement des cas avérés de fraude.


Comme pour la détection, le service du contrôle externe intervient à différentes phases de
traitement des dossiers. ( voir recommandation n° 7).

3.1.3.1 L’enregistrement et le traitement des dossiers frauduleux

Le caractère frauduleux des dossiers ayant donné lieu à une enquête par un agent
assermenté de contrôle est reconnu par l’agent de contrôle en concertation avec le
responsable de service (cf. supra § 3.1.2.1). A la suite de cette décision, le DFC signé par
l’agent assermenté est envoyé à l’assuré concerné en courrier recommandé avec avis de
réception. Cet envoi ouvre un délai légal de 30 jours permettant à l’assuré en cause de
contester les conclusions ou d’apporter des éléments complémentaires. A l’issue de ce délai,
24
le DFC est transmis pour information dans la corbeille du service à l’origine de la demande et
les éléments du dossier sont transmis à une équipe spécialisée du service contentieux /
recouvrement, rattachée au même responsable que le contrôle externe (service SR2C :
service recouvrement-contentieux-contrôle).
Pour les techniciens des services de prestations, la reconnaissance éventuelle du
caractère frauduleux de certains dossiers n’a pas d’incidence sur leur activité. En revanche,
pour le domaine cotisations, des manœuvres reconnues de nature frauduleuse permettent
d’allonger les délais de prescription pour le recalcul de cotisations (3 ans si erreur de bonne
foi et jusqu’à 30 ans en cotisations sur salaires en cas de manœuvres frauduleuses ou de
dissimulations).

3.1.3.2 La notification et le recouvrement des créances

Depuis 2015, la notification des indus frauduleux est confiée au service SR2C
(recouvrement, contentieux, contrôle). Elle était précédemment réalisée par le responsable
LCF. A chaque fin de mois, le chargé d’études du secteur contentieux vérifie les enquêtes
clôturées dans l’outil J84 et notifie par lettre recommandée avec AR la mise en demeure à
l’assuré pour le recouvrement de la somme en cause. Les créances sont enregistrées et
suivies par l’outil CALIMERO.
A noter que les courriers de notification adressés à l’adhérent sont rédigés de
manière « neutre » pour l’adhérent. En effet, le texte ne fait pas apparaître explicitement le
caractère frauduleux, donc intentionnel, qui est à l’origine de l’indu. Ainsi le dispositif
« répressif » mis en œuvre par la caisse s’en trouve affaibli. Et si une pénalité financière était
prononcée, la notification serait adressée à l’assuré après un délai pouvant atteindre
plusieurs semaines, ce qui ne permet pas de faire directement le lien avec l’indu
précédemment notifié, en particulier dans le document de fin de contrôle.

Recommandation n° 9

Le service du recouvrement contacte directement le débiteur avec l’objectif de l’inciter


à s’acquitter immédiatement de sa dette, compte-tenu du caractère frauduleux de l’indu. Une
enquête de solvabilité est réalisée en parallèle, en prenant en compte les revenus connus
(consultation systématique des données bancaires via FICOBA) et la situation de l’intéressé
et de sa famille. Si la dette (indu et pénalité financière éventuelle) s’avère trop importante par
rapport aux possibilités financières du débiteur, un plan de paiement est proposé par
exception, après validation de ses modalités par l’agent de direction. Si nécessaire, une
contrainte est signifiée un mois après la mise en demeure et les procédures de
recouvrement forcé sont déclenchées.

3.1.3.3 Le suivi des résultats

Un tableau de suivi des opérations de recouvrement (suivi commun indus contentieux


/ LCF) est en place dans le service depuis 2009 et régulièrement mis à jour. Outre les
données relatives au débiteur, il reprend les informations sur le service à l’origine de l’indu, la
date d’émission et le montant des indus émis, les règlements successifs avec cumul, le
solde restant à recouvrer, le taux d’encaissement de chacune des créances ainsi que les
éléments relatifs à d’éventuelles actions de recouvrement forcé.
Selon le rapport annuel d’activité de la lutte contre la fraude pour l’exercice 2014, le
taux de recouvrement des indus frauduleux atteignait 73,93 %. Ce taux est obtenu en raison
de délais de recouvrement volontairement courts et des méthodes de recouvrement mises
en œuvre qui laissent peu de place au recouvrement amiable en cas de fraude caractérisée.
Le service remplit également les tableaux nationaux de suivi des engagements COG.

25
3.1.4 Le processus de correction de la lutte contre la fraude externe

Depuis la « mise en sommeil » du COPIL Fraudes, il n’y a plus d’autorité régulatrice


et normative chargée de la mise en œuvre d’actions de correction ou d’adaptation.
Aucun processus de correction ou d’adaptation du fonctionnement de l’entreprise
suite à la mise en évidence de cas de fraude caractérisés n’est donc formalisé.
Aussi n’y a-t-il pas à ce jour d’assurance que les enseignements des situations déjà
rencontrées ou les conclusions des actions antérieurement menées sont bien pris en compte
ou analysés. L’adaptation des processus de production repose exclusivement sur la
vigilance et le professionnalisme des agents concernés ; elle n’est pratiquée que de manière
informelle. (voir recommandation n° 7).

3.2 La lutte contre la fraude interne


Les règles de bonne gestion comme les textes réglementaires (pour l’essentiel le
décret du 14 octobre 2013 relatif au contrôle interne des régimes obligatoires de Sécurité
sociale) posent le principe de l’obligation de mise en œuvre d’un dispositif de contrôle interne
comportant des mesures de lutte contre la fraude interne. Le référentiel COSO (Commitee
Of Sponsoring Organisations) le conçoit comme l’une des composantes du dispositif de
contrôle interne.

3.2.1 Le processus de prévention de la fraude interne

Il n’existe pas de politique structurée de prévention de la fraude interne. Les seules


actions préventives existantes ont un caractère ponctuel et partiel. Elles prennent
essentiellement la forme de vérifications dont la publicité peut produire un effet dissuasif.
Celles-ci portent par exemple sur l’effectivité et l’opportunité des déplacements dans certains
secteurs, le suivi de l’usage des véhicules en libre-service ou encore la normalisation du
traitement des marchés. La communication portant sur ces actions ou sur les risques de
fraude est peu développée et les agents de l’entreprise y sont, de manière générale, peu
sensibilisés. Elle devra être formalisée dans sa dimension « responsabilités » et
« conséquences ».
Il n’existe pas non plus d’objectifs pour la lutte contre la fraude interne tant en termes
de résultats que d’action.
Bien que les facteurs de risque soient potentiellement nombreux, le risque de fraude
interne ne fait pas l’objet d’une attention particulière en termes de reconnaissance
fonctionnelle, de management approprié, d’analyse détaillée et de réponse dédiée. Il n’existe
pas de dispositif de management d’entreprise dédié au pilotage de la fraude interne qui
viserait à fixer les éléments de doctrine, à analyser les facteurs de risques, à les évaluer et à
développer un dispositif de maîtrise.
Au global, la caisse n’a pas élaboré de cartographie exhaustive des risques de fraude
interne ni de recensement de situations susceptibles de favoriser les comportements
indésirables permettant de couvrir les processus pour lesquels il n’existe pas de référentiel
national ou lorsque les incidences de l’organisation sont potentiellement significatives.
Globalement, ce risque est pris en considération sur la base d’éléments de « culture
d’entreprise » (rigueur dans l’exécution des tâches), de transparence (petite taille des unités
et connaissance mutuelle) et de confiance développée dans la collaboration.
Une analyse attentive démontre cependant que plusieurs facteurs sont de nature à
contrer ces éléments modérateurs de risques : structures éclatées (pluridépartementalité,

26
dispersion géographique), pratique de l’oralité et consignes « coutumières » (habitudes…),
absence de supervision…

3.2.2 Le processus de détection et de traitement de la fraude interne

La maîtrise des processus de gestion réside dans leur conception et dans les actions
de contrôle interne intégrées. Ponctuellement, certains risques de fraude interne sont
reconnus par la mise en œuvre des ACI institutionnelles (par exemple dans les domaines de
la paie, des marchés publics, des forçages des fichiers carrières).
La définition et la mise en œuvre d’une procédure de traitement des dossiers du
personnel et de ceux des administrateurs témoignent d’une prise en compte du risque de
fraude interne et d’une préoccupation de comportements déontologiques.
Quelques risques sont repérés dans certaines des règles de gestion mises en œuvre
à l’initiative de la caisse :
• information lors de l’accueil des nouveaux collaborateurs ;
• traitement des dossiers de protection sociale du personnel (interdiction du
traitement par l’agent de son dossier personnel ou de celui d’un membre de
sa famille) ;
• gestion des frais de déplacement ;
• gestion du parc automobile ;
Ces risques ne sont pas recensés formellement ni documentés.

Les prestations familiales et les liquidations de retraites concernant les


administrateurs et le personnel font l’objet d’un contrôle particulier et en principe
systématique.
Pour les administrateurs, un fichier est établi annuellement par le secrétariat de
direction et adressé aux techniciens famille ou retraite chargés de ces contrôles. Les
opérations de contrôle reprennent l’intégralité du processus de liquidation ou de révision de
chaque dossier avec une vigilance particulière. Une fiche par dossier permet de retracer les
résultats de chacun des contrôles réalisés. Elle est ensuite archivée dans un répertoire dédié
à cette activité.
Pour ce qui concerne le personnel de la caisse, le mode opératoire est identique, à la
notable exception de la sélection des dossiers à contrôler : en effet, l’experte chargée de ces
contrôles ne les réalise que sur les dossiers transmis « au fil de l’eau » par les techniciens
PF. Il existe donc un risque réel que certains dossiers échappent à leur vigilance et donc au
contrôle, la liste complète du personnel n’étant pas nécessairement connue et transmise à
tous. Il n’y a donc pas de garantie que l’intégralité des contrôles prévus par la direction de la
caisse soit effectivement réalisée. Aucune supervision n’est organisée en la matière.
Les contrôles sur la liquidation des pensions de retraite pour ces publics sont
systématiques par nature, la prestation n’étant liquidée qu’une seule fois. Mais rien ne
précise la sanction encourue si une irrégularité volontaire venait à être détectée.
Enfin, pour les prestations maladie, seuls les dossiers « papier », aujourd’hui de
faible volume, font l’objet de contrôles visant à la détection d’une éventuelle fraude interne.
Ce dispositif apparait donc insuffisant pour donner une assurance raisonnable de la
maîtrise du risque de comportements inappropriés de la part des salariés de la caisse lors du
traitement de leurs dossiers ou de ceux pour lesquels un lien d’intérêt avec le bénéficiaire
pourrait exister.

Dans le domaine de la gestion des Ressources Humaines, le processus de calcul et


de service de la rémunération fait l’objet d’une série de vérifications et de contrôles
correspondant aux ACI institutionnelles.
Les frais de déplacement sont soumis au contrôle du responsable opérationnel du
service (opportunité, vraisemblance et cohérence avec la mission), de l’ordonnateur, et de

27
l’agence comptable (justification) sur la base d’un dispositif diffusé dans une note de service.
Il n’existe pas de mesures de contrôle interne associées.

Le département de la logistique assure la gestion d’un important parc de véhicules


dont une part est sous contrat d’usage individuel (véhicules de fonction et véhicules
affectés). Les éléments de calcul sont déclarés. Les vérifications opérées ne sont que
partiellement documentées et il n’existe pas de contrôle interne associé.
Il existe par ailleurs un parc de véhicules à disposition des collaborateurs, dont une
partie est affectée aux agents de direction. Le dispositif mis en place ne contribue que
partiellement à donner l’assurance d’un bon niveau de maîtrise des conditions d’utilisation de
ces véhicules qui ne sont que partiellement maîtrisées en l’absence de contrôle complet
(usage du CLAM, vérification des kilométrages, opportunité des déplacements…).
La gestion de la maintenance du parc de véhicules est vérifiée par un contrôle de
vraisemblance des frais engagés et du suivi de leur montant. Les achats de carburant sont
pris en compte dans le cadre d’un contrat avec une compagnie distributrice et les
consommations sont comparées au kilométrage déclaré, mais il reste possible d’acquérir du
carburant en dehors du réseau conventionné.

3.2.3 Le processus de correction de la lutte contre la fraude interne et


le management du risque dans l’entreprise

La caisse n’a pas développé de référentiels méthodologiques de conception et de


mise en œuvre de parades aux risques de fraude interne auxquels elle est exposée. En
conséquence, il n’existe pas de processus formalisé de correction de ses processus de
production ou de ses consignes internes de travail suite à l’identification de cas de fraude
interne. Si de telles situations n’ont pas été détectées au cours des années récentes, il n’est
cependant pas possible de conclure à un niveau satisfaisant de maîtrise de ce risque. En
effet, de manière globale, les absences de management du risque de fraude interne, de
vision exhaustive de ce risque et de son évaluation sont de nature à réduire fortement le
degré d’assurance d’une maîtrise de ce risque.
En l’absence d’identification et d’évaluation des risques, la pluralité des vérifications
réalisées ne saurait à elle seule donner l’assurance de leur pertinence ou de leur efficacité.
Et le protocole de contrôle des dossiers du personnel n’est lui-même pas suffisant pour
donner une assurance raisonnable sur le bon déroulement des différents processus de
production puisque certains dossiers peuvent échapper à ces contrôles.
Le dispositif de suivi du parc de véhicules (quelle que soit la nature de leur mise à
disposition aux personnels) ne permet pas de s’assurer totalement de l’effectivité et de
l’imputabilité à l’activité professionnelle des déplacements réalisés. La confirmation du
caractère supposé marginal des irrégularités éventuelles passe par leur évaluation préalable.
Le dispositif relatif au contrôle des frais de déplacement des agents laisse lui aussi subsister
un risque résiduel ; là encore, seule une évaluation pourra démontrer que ce risque est
marginal ou négligeable, comme le management de l’entreprise le perçoit à ce jour.
Dans les deux cas, un dispositif de contrôle interne adapté au niveau et à la nature
des risques objectivés doit être développé.

Recommandation n° 10

28
PARTIE 4 : RECOMMANDATIONS

Dispositif de contrôle interne Référence de la mission


15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 1 – Déontologie

CONSTATS

L’équipe de contrôleurs actuelle exerce son activité sur un secteur prédéterminé. Certains de
ces contrôleurs résident sur leur secteur d’activité et peuvent être amenés à réaliser des
enquêtes notamment sur leur commune de résidence ce qui n’apparait pas souhaitable.
Des règles sont mises en pratique pour les enquêtes concernant les membres de la famille
des contrôleurs notamment. Toutefois ces différentes règles ne sont pas écrites.

CAUSES

Le lieu de résidence des contrôleurs n’a pas été pris en compte lors de l’élaboration des
différents secteurs d’activité.
Il n’y a pas d’évaluation des risques de conflits d’intérêts.

CONSEQUENCES

Risques de fraudes.
Risques d’entraves au bon déroulement d’une enquête ou d’une opération de contrôle.

RECOMMANDATION

Ecrire et mettre en place une procédure de contrôle interne qui prenne en compte le risque
de fraude et de conflits d’intérêts pour les contrôleurs externes.

29
Dispositif de contrôle interne Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 2 – Délégations de pouvoirs

CONSTATS

Les délégations (écrites) de l’agent comptable datent du conseil d’administration du 10


novembre 2006 ; elles ont été validées par la tutelle.
L’agent comptable assure, en sus de l’activité comptable, la responsabilité du domaine
logistique et informatique. Dans ce cadre il est amené à ordonnancer des dépenses ce qui
n’est pas prévu dans sa délégation et contraire aux textes. Par ailleurs la mention
complémentaire de « directeur adjoint » dans plusieurs documents crée une confusion sur la
fonction.
Le délégué de l’agent comptable dispose de deux délégations, l’une de l’agent comptable
datée du 27 mars 2009 et l’autre du directeur général en date du 1er juillet 2010, renouvellée
le 5 mars 2015. Cette situation a pour conséquence un cumul de fonction d’ordonnateur et
de payeur sur la même personne, ce qui peut constituer un risque.

CAUSES

Absence d’analyse et non prises en compte des risques


Manque de précision dans la définition des missions au sein de l’organisation de l’agence
comptable.
Non respect des textes notamment du principe de séparation des tâches entre l’ordonnateur
et le payeur .

CONSEQUENCES

Risques de non-conformité
Risques d’erreur ou de fraude.

RECOMMANDATION

Mettre les délégations en conformité avec la règlementation dans le respect de la séparation


des pouvoirs entre directeur et agent comptable, en distinguant bien la fonction
d’ordonnateur de celle de payeur.

30
Dispositif de contrôle interne Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 3 – Compétences – Plan de formation

CONSTATS

Le plan de formation est réalisé selon une procédure qui engage les responsables
opérationnels pour leurs différents collaborateurs. L’expression des besoins individuels, et
collectifs sont chiffrés et compte tenu des contraintes budgétaires certaines demandes de
formation sont refusées ou différées.
Or, on constate depuis plusieurs années, pour des causes multiples, que le budget consacré
à la formation n’est pas entièrement consommé : 62 % en 2012, 74 % en 2013 et 66 % en
2014. La caisse signale que cette tendance se poursuit pour l’année 2015.

CAUSES

Annulation des formations par les différents opérateurs de formation : ASFOSAR, organisme
de formation national, ARFOMA organisme de formation régional et ce notamment pour
faute d’animateurs.
Non particiation des stagiaires aux formations prévues pour différentes raisons :
déplacements, surcharge de travail.
Une note datée du 24 mars 2015 signée du directeur général, fait obligation aux agents se
déplaçant sur PARIS de réaliser l’aller-retour dans la même journée en TGV, ce qui peut
constituer un obstacle pour réaliser leur formation.

CONSEQUENCES

Certains agents ne bénéficient pas de la formation qu’ils attendaient.


Les agents écartés lors de l’élaboration du budget, peuvent s’étonner de cette situation.
Risques de réduction des budgets consacrés à la formation pour les années suivantes.
Risque d’inéquation des compétences.

RECOMMANDATION

Mettre en oeuvre un suivi du plan de formation avec pour objectif de réaliser les formations
prévues et de consommer les budgets prévus.

31
Dispositif de contrôle interne Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 4 – Les procédures

CONSTATS

La caisse n’a pas à ce jour réalisé de cartographie de risques.


Des procédures existent dans plusieurs services ( RH, ASS, Contrôle externe) mais certains
principes du contrôle interne ne sont pas systématiquement appliqués, notamment les
aspects contrôle et supervision.
Les procédures sont essentiellement des rappels de la législation. Il n’y a pas d’analyse des
risques.
A ce jour il n’y a pas de répertoire des procédures réalisées et effectives.

CAUSES

Difficultés d’interprétation de l’action du contrôle interne


Difficultés d’interprétation des principes du contrôle interne
Difficultés de mise en œuvre du contrôle interne au-delà des ACI

CONSEQUENCES

Risques d’erreurs
Risques de fraudes
Risques de contestation de la part des assurés et des tiers

RECOMMANDATION

Compléter les procédures des éléments nécessaires au respect des principes du contrôle
interne.
Réaliser en amont une analyse locale des risques.
Réaliser des procédures de contrôle interne dans les secteurs d’activité où il n’en n’existe
pas et où les risques sont identifiés.
Réaliser un répertoire des procédures existantes et en vigueur dans la caisse.

32
Lutte contre la fraude externe Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 5 – Organisation de l’activité LCF

CONSTATS

La lutte contre la fraude n’est pas reconnue comme une activité de la caisse à part entière ni
réellement pilotée. Une réflexion, encore non aboutie à ce jour, poursuit l’objectif de
réorganiser cette activité.
Depuis la « mise en sommeil » du COPIL Fraudes n’y a plus d’autorité régulatrice et
normative chargée de la mise en œuvre d’actions de correction ou d’adaptation.
Le plan de lutte contre la fraude 2015, qui doit être annexé au plan de contrôle interne,
n’était pas établi lors de l’audit. En pratique, les actions de détection conduites au sein de la
caisse résultent essentiellement de la mise en œuvre du plan annuel de contrôle externe.
Les autres actions de détection conduites par les contrôleurs assermentés résultent de
demandes des services techniques ; elles ne font pas l’objet d’une coordination.
Il n’y a pas à ce jour d’assurance que les enseignements des situations déjà rencontrées
sont bien prises en compte ou analysés.
Il n’y a pas de fonction de veille documentaire organisée qui permettrait d’enrichir
progressivement les connaissances de la caisse en matière de fraudes identifiées au sein du
réseau des MSA.

CAUSES

Activité jugée non essentielle par la Direction


Organisation inadaptée et décentralisée
La LCF n’est pas considérée comme une composante du dispositif de contrôle interne

CONSEQUENCES

Mobilisation aléatoire et insuffisante des services


Absence d’objectifs et de visibilité de la stratégie d’entreprise
Perte d’énergie, dispersion de moyens

RECOMMANDATION

Etablir au début de chaque exercice un plan de lutte contre la fraude couvrant l’ensemble
des activités LCF conduites par chacun des services et déclinant des objectifs fixés par la
Direction.
Organiser la gouvernance du dispositif par des instances adaptées réunies régulièrement.
Mettre en place une autorité chargée de la coordination transversale des actions conduites
et de la fonction de veille documentaire.

33
Lutte contre la fraude externe Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 6 – Traitement des suspicions de fraude

CONSTATS

Les processus de prévention et de détection des situations potentielles de fraudes ne sont


pas modélisés ; un projet de procédure de traitement des dossiers frauduleux a été préparé
en 2012 ; il n’a jamais été validé ni diffusé.
Il n’y a pas d’analyse locale des risques en matière de fraude aux prestations sociales et la
fonction de veille relative à l’exploitation de situations antérieurement détectées n’est pas
organisée à ce jour.
La détection des situations de fraude potentielle repose sur la vigilance et l’expertise des
techniciens des services, sur l’étude des situations de suspicion par les contrôleurs
assermentés et sur la mise en œuvre du plan annuel de contrôle externe.
Des requêtes prévues dans le plan annuel de LCF et de contrôle externe permettent de
cibler des situations considérées comme à risques.
Certains contrôles sont suivis par le technicien qui avait instruit le dossier.

CAUSES

Activité jugée non prioritaire par la Direction


Manque de rigueur dans le suivi de l’activité
La LCF n’est pas considérée comme une composante du dispositif de contrôle interne
Gestion « éclatée » de cette activité

CONSEQUENCES

Risque d’hétérogénéité des actions menées selon les acteurs concernés


Connaissance incomplète des risques et des situations fraudogènes
Actions inadaptées ; pas de mesure de leur pertinence
Risque de non-détection de certains dossiers

RECOMMANDATION

Rédiger, diffuser et mettre en œuvre une procédure de traitement des dossiers


potentiellement frauduleux formalisant les acteurs, les outils, les circuits et les modalités de
leur suivi opérationnel.
Intégrer dans cette procédure le principe de la séparation des tâches et définir des modalités
permettant d’en superviser le strict respect.

34
Lutte contre la fraude externe Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 7 – Reconnaissance et effets du caractère


frauduleux des dossiers contrôlés

CONSTATS

Le comité local de lutte contre la fraude ne s’est plus réuni depuis 2013.
L’autorité ou l’instance chargée de la reconnaissance définitive du caractère frauduleux des
dossiers de suspicion de fraude n’est pas clairement désignée à ce jour ; en pratique cette
mission repose essentiellement sur les contrôleurs assermentés, leur responsable de service
ou la direction. Il n’y a pas de critères formalisés de décision sur ce sujet.
Aucune pénalité financière n’a été prononcée en 2013 et 2014 pour sanctionner des
manœuvres reconnues comme constitutives de fraude.
La commission des pénalités financières n’a jamais été réunie lors du mandat du précédent
Conseil d’administration.
Il n’existe pas de processus de traitement de cas avérés de fraude extrene.

CAUSES

Implication insuffisante de la Direction dans l’activité LCF


Absence de pilotage de cette activité
Mise en application incomplète des directives CCMSA de mars 2008 et septembre 2010
La LCF n’est pas considérée comme une mission prioritaire ni comme une composante du
dispositif de contrôle interne

CONSEQUENCES

Absence ou retards de décisions


Absence de ligne directrice claire ou de consignes à suivre
Non reconnaissance du caractère frauduleux de certains dossiers

RECOMMANDATION

Mettre en place l’instance compétente pour la reconnaissance du caractère frauduleux des


dossiers répondant à la définition réglementaire de la fraude aux prestations sociales.
Réactiver le dispositif de pénalités financières lorsque le cas d’espèce justifie le recours à
cette mesure et formaliser le processus relatif à leur recouvrement.
Ecrire les procédures nécessaires au traitement des cas avérés de fraude externe.

35
Lutte contre la fraude externe Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 8 – Lutte contre la fraude en santé

CONSTATS

La lutte contre la fraude en santé ne fait pas l’objet d’un management spécifique. Elle ne
donne pas lieu à la fixation d’objectifs ni à l’évaluation de ses enjeux.
Les actions conduites par la MSA proviennent essentiellement de sollicitations du régime
général.
Les actions déclinant le plan de gestion du risque institutionnel ne sont pas orientées vers
une recherche de situations frauduleuses, même si elles peuvent permettre d’en identifier
ponctuellement.

CAUSES

Absence d’analyse de risques au niveau MSA


Activitée considérée comme non prioritaire
Référence exclusive au plan national de gestion du risque, qui ne comporte pas d’objectifs
de lutte contre la fraude

CONSEQUENCES

Actions MSA ne couvrant pas nécessairement les risques les plus importants
Difficulté de mesurer les résultats obtenus pour orienter les actions à mener vers les
situations les plus à risques

RECOMMANDATION

Définir et mettre en œuvre un dispositif de management du risque de fraude en santé


comprenant des objectifs, des outils de mesure et un programme d’actions.
Articuler ces actions avec celles du plan d’ensemble de la caisse (voir fiche n° 5).

36
Lutte contre la fraude externe Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 9 – Notification des indus frauduleux

CONSTATS

La notification des indus frauduleux est réalisée par le service SR2C ou par le responsable
LCF. En pratique, elle est réalisée selon des règles analogues à celles qui s’appliquent à des
indus de droit commun, ce qui réduit fortement la portée du constat de manœuvres
frauduleuses de l’assuré lorsque celles-ci sont avérées.
Si une pénalité financière est prononcée, la notification est adressée à l’assuré après un
délai pouvant atteindre plusieurs semaines, ce qui ne permet pas de faire directement le lien
avec l’indu précédemment notifié, en particulier dans le document de fin de contrôle.
La rédaction du courrier de notification présente un caractère largement « neutre ».

CAUSES

Absence de pilotage de l’activité LCF


Absence de consignes de la Direction
Objectifs de recouvrement prioritaires par rapport à ceux de détection de nouveaux dossiers
Hétérogénéité des analyses selon les acteurs en cause
Pas de réel objectif de répression de la fraude

CONSEQUENCES

Absence du caractère dissuasif de la lutte contre la fraude


Défaut de communication efficace en direction des assurés
Effet démobilisateur en interne

RECOMMANDATION

Revoir le contenu de la notification des indus frauduleux aux assurés convaincus de fraude
afin de faire apparaître plus clairement le caractère illégal de leur action et ses
conséquences financières.
Revoir et adapter le contenu des courriers adressés aux assurés afin de mieux mettre en
évidence le caractère de sanction de la pénalité financière, ainsi que ses motifs.

37
Lutte contre la fraude interne Référence de la mission
15.03.1.25.A.M
CCMSA
DAMR

Fiche d’observation n° 10 – Dispositif de lutte contre la fraude


interne

CONSTATS

Les contrôles portent uniquement sur les dossiers liquidés par des collègues des différents
secteurs techniques. Ils ne portent pas sur le fait de savoir si l’ensemble des membres du
personnel ont respecté l’ensemble des circuits et consignes prévus.

Les procédures n’ont pas été validées ni signées par le Directeur Général et l’Agent
Comptable.

La caisse de Franche Comté met en œuvre une procédure de traitement des dossiers du
personnel et des administrateurs, mais les niveaux de contrôles selon les secteurs d’activités
sont différents. Par exemple le secteur retraite en lien avec la DRH, identifie l’ensemble des
membres du personnel concernés par une demande de départ à la retraite. A l’inverse dans
le secteur santé, compte tenu de l’absence de contrôle a priori, les responsables n’ont pas la
certitude qu’un technicien de ce service ne traite pas son propre dossier. Par ailleurs les flux
électroniques en santé ne font pas l’objet de contrôles.
Les prestations familiales et les liquidations de retraites concernant les administrateurs et le
personnel font l’objet d’un contrôle particulier.
Des règles de gestion sont mises par ailleurs en place notamment concernant les frais de
déplacement, la gestion du parc automobile. Par contre les différents risques ne sont pas
formellement identifiés, ni documentés.

La lutte contre la fraude interne n’est pas à ce jour considérée et présentée comme une
activité nécessaire à la bonne gestion de l’entreprise. Il n’existe pas de cartographie locale
des risques en interne.

CAUSES

Absence de contrôles des flux électroniques santé pour les dossiers du personnel
Absence de cartographie des risques de fraude interne
Communication peu développée sur les actions mises en place

CONSEQUENCES

Risques de fraudes
Risques que l’intégralité des contrôles prévus dans le dispositif en place ne soit pas réalisée
Risques de pertes financières

38
RECOMMANDATION

Définir et promouvoir une politique structurée de prévention de la fraude interne.


Réaliser une cartographie des risques de fraude interne.
Ecrire une procédure de contrôle interne pour les dossiers du personnel et des
administrateurs.
Réaliser un bilan annuel des actions menées.

Visé pour diffusion

Visé pour diffusion Le chef de mission,

Marie-Christine CHAMBE
Elie QUIDU
Directrice de l’audit et de la maîtrise des risques

39
PARTIE 5 : ANNEXES
Annexe 1 – Ordre de mission

40
Annexe 2 – Observations de l’organisme audité

41
Annexe 3 – Réponses des auditeurs aux observations de la
MSA Franche-Comté

Réponse de l’audit

Les considérations sur les moyens constituent des hypothèses qui n’entrent pas en ligne de
compte dans l’objectif de maîtrise des risques.

Cette précision n’entraine pas de modification du rapport.

Réponse de l’audit

La recommantation porte sur la sous consommation du budget formation sur plusieurs


années consécutives et non sur un niveau insuffisant de formation. La compétence acquise
par la formation est un facteur de maîtrise des risques et constitue une des composantes du
référentiel COSO ( principe n° 4).L’écart entre formations prévues et formations réalisées
constitue un indicateur de réponse aux besoins de formation.

Cette précision n’entraine pas de modification du rapport.

Réponse de l’audit

Observation prise en compte.

Réponse de l’audit

42
Pour l’audit la situation observée ne se limite pas à une erreur de paramétrage. Il s’agit
d’opérations d’ordonnancement par l’agent comptable et son délégué.
L’observation de la MSA Franche Comté conforte l’analyse réalisée par l’audit sur l’existence
d’un risque avéré.

Cette précision n’entraine pas de modification du rapport.

Réponse de l’audit

Cette précision n’entraine pas de modification du rapport.

Réponse de l’audit

L’observation comporte des considérations qui sont en dehors du constat de l’audit. Il


n’existe pas de dispositif de lutte contre la fraude en santé, ce qui constitue un risque. Le
risque porte sur la mauvaise application de la législation et sur la maîtrise insuffisante des
processus du domaine santé.
L’observation renforce le constat des auditeurs selon lequel la lutte contre la fraude ne fait
pas l’objet d’un management spécifique. La recommandation n° 8 qui n’est pas contestée
d’ailleurs précise ce point.

Sur un autre plan, il est exact que les limites imposées par la règlementation à la
compétence des contrôleurs constituent un obstacle susceptible d’obérer l’effectivité et
l’efficacité des différentes interventions de la MSA auprès des professionnels de santé
notamment.

Ces différentes précisions n’entrainent pas de modification du rapport.

43
La recommandation n° 8 relative au dispositif de lutte contre la fraude interne n’évoque pas
la notion de résultats.
Par ailleurs la taille de l’entreprise ne saurait constituer un argument .

Cette précision n’entraîne pas de modification du rapport.

Dans l’hypothèse où des actions de maîtrise sont en place, leur formalisation permettrait leur
évaluation, ce qui n’était pas le cas lors de l’audit.

Ces différentes précisions n’entrainent pas de modification du rapport.

Cette argumentation, n’est pas recevable .

Ces différentes précisions n’entrainent pas de modification du rapport.

44

Vous aimerez peut-être aussi