Académique Documents
Professionnel Documents
Culture Documents
XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Voies d’accès
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
1. Dossier de presse Contrôles et lutte contre les abus et les fraudes à l’Assurance
Maladie, 23 février 2006.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Exemple 1 de scénario
Activité : Contrôle de l’activité de liquidation des prestations.
Tâche concernée : Contrôle des dossiers liquidés pour des assurés décédés.
Description du scénario : Liquidation frauduleuse sur assuré décédé
Pour des considérations techniques, le système permet de saisir sur le compte d’un assuré
décédé des demandes de remboursement pendant 2 ans et trois mois avec des dates de soins
antérieures à la date du décès. Il est donc possible d’imaginer un scénario pour lequel un liqui-
dateur saisirait de fausses demandes de remboursements (par exemples, des honoraires médi-
caux, de la pharmacie, des frais de laboratoire, de transports ou d’hospitalisation) sur le compte
d’un assuré décédé après avoir modifié frauduleusement le RIB de l’assuré décédé.
Gravité du scénario (sur une échelle de 1 à 4) : 4.
Probabilité du scénario (sur une échelle de 1 à 4) : 2.
Type de risque identifié (en Disponibilité, Intégrité ou Confidentialité) : Intégrité : fraude interne.
Nature du risque et conséquences :
Pertes financières et perte d’image pour l’organisme.
Actions à entreprendre :
• Contrôler tous les changements de RIB intervenus dans le fichier des assurés décédés.
• Supervision par des contrôles aléatoires et inopinés sur les changements de RIB intervenus
dans le fichier des assurés décédés ainsi que sur les paiements aux assurés décédés.
Exemple 2 de scénario
Activité : Maintenance du fichier des prestations.
Tâche concernée : Création d’assurés.
Description du scénario : Création frauduleuse d’assurés fictifs
Création d’assurés fictifs soit par fraude interne soit par fraude externe afin de saisir, par la suite,
de vraies ou de fausses demandes de remboursements (potentiellement tous les types de pres-
tations : honoraires médicaux, pharmacie, frais de laboratoire …).
Gravité du scénario (sur une échelle de 1 à 4) : 4.
Probabilité du scénario (sur une échelle de 1 à 4) : 2.
Type de risque identifié (en Disponibilité, Intégrité ou Confidentialité) : Intégrité : fraude interne
et/ou externe.
Nature du risque et conséquences :
Fraude interne et externe => pertes financières et perte d’image.
Actions à entreprendre :
• Rapprochement systématique du fichier de l’organisme avec le répertoire National des
assurés RNIAM (fichier externe).
• Supervision de la hiérarchie consistant à contrôler de manière aléatoire et inopinée la réalité
du rapprochement avec le RNIAM.
• Supervision de la hiérarchie sur échantillon ciblé : radiations et créations d’assurés intervenues
la même semaine ainsi que créations des membres associés.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Montant
Presta- Origine
Fraudeur Nature de la fraude Pièces du
tions de la découverte
préjudice
Contrôleur Fait liquider par un Falsifiées Hôpital 11321 Vérification d’un
CDD de fausses pièces doublon : même
(faux tampons) hôpital, même montant,
mais Nº Insee différent
Comptable S’établit des chèques Non Hono- 6 000 Commissaire aux
en imitant la signature raires comptes : le rapproche-
et procède à de ment bancaire
fausses écritures comporte des sommes
comptables non justifiées
Liquidateur Liquide des indemnités Falsifiées Indem- 25 345 Cas atypique : constat
journalières sans nités jour- d’un paiement d’IJ pour
pièces avec Nº nalières un arrêt de travail de
d’employeur fictif 6 mois auparavant
Assuré Paiement par chèque Falsifiées Hono- 311 Comptable lors du
suite à réimputé. raires rapprochement
L’assuré falsifie le bancaire
montant du chèque
Chirurgien Falsifie indications de Falsifiées Dentaire Signale- Assuré
dentiste soins et facture des ment
soins non réalisés CNAM
Pharmacien Faux renouvellements Falsifiées Pharmacie Signale- Assuré
ment
CNAM
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Les scénarios retenus et les fiches de recueil des fraudes avérées vont donc
permettre de sélectionner les critères les mieux à même de détecter les
fraudes. Il est ensuite nécessaire de réaliser un bilan tenant compte des
actions de contrôle déjà existantes et qui répondent à ces critères afin de
définir les nouvelles opérations de contrôle à instaurer en prenant en
compte au moins quatre dimensions : la nature de l’action, comment la
réaliser, l’acteur concerné et la périodicité.
Ce travail d’analyse est réalisé par l’observatoire des risques en concertation
avec de nombreux acteurs de l’organisme : les opérationnels pour bien
montrer la volonté de report d’attention aux réalités sur le terrain d’exécu-
tion, le responsable de la production pour l’évaluation de la charge de travail
et l’informatique pour mesurer la faisabilité des développements informa-
tiques à réaliser.
Le tableau suivant présente deux exemples d’actions mises en place après
réalisation de requêtes informatiques spécifiques :
Acteur/
Nature Périodicité Comment
Supervision
Exploiter la Mensuelle Par sondage : Contrôleur/
requête des Si dentaire, vérifier qu’il n’y ait pas eu de travaux sur Direction
seuils de plus les mêmes dents et ce sur un an environ.
de x Euros. Si appareil auditif, vérifier qu’il n’y ait pas eu d’autre
achat récent (un an environ).
Si IJ (Indemnité Journalière), vérifier la réalité et
l’exhaustivité du paiement en remontant à la pièce.
Pour toutes ces prestations, en cas de suspicion,
faire un signalement au contrôle médical et une
fiche gestion du risque.
Exploiter la Mensuelle Exhaustivement : contrôle sur le montant, le code Contrôleur/
requête des + acte, la date d’exécution, le numéro de sécurité Direction
de x sociale, la date de naissance du bénéficiaire.
décomptes. Soumettre au service médical. Selon l’avis du
service médical, régularisation ou contrôle obliga-
toire sur une période donnée.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Le hasard est le plus grand facteur de découverte, mais l’entreprise peut aussi
apprendre à trouver.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Ils font trop confiance aux audités. Beaucoup de fraudes pourraient être
détectées et même évitées si les auditeurs se montraient plus scep-
tiques. Plus d’une fois, les auditeurs se sont contentés des explications
des salariés sans chercher à vérifier ce qu’ils disaient. En d’autres
termes, si les explications sont logiques, elles sont suffisantes ;
• Ils pensent que les responsables sont au courant de tout ce qui se passe
dans leur service et sont plus à même de détecter les fraudes et de
prendre les mesures qui s’imposent ;
• Ils ne connaissent pas vraiment les indicateurs qui peuvent mettre en
alerte sur les cas de fraude ;
• Ils surestiment trop la fiabilité des contrôles par sondage ;
• Ils sont trop limités dans le temps et par le budget pour pousser plus loin
leurs investigations ;
• Ils n’accordent pas d’importance aux symptômes de fraude parce que
l’appréciation générale sur le fonctionnement d’un service est bonne ;
• Ils ne sont peut-être pas toujours aussi indépendants qu’ils le devraient,
et ne se sentent pas libres de leurs agissements.
Les auditeurs internes doivent connaître les indicateurs et les risques
spécifiques liés à l’environnement dans lequel évolue l’entreprise. Un
indicateur est défini comme la manifestation d’une condition qui est direc-
tement liée à l’activité d’une action frauduleuse.
Le spectre de la détection pourrait être plus fort avec un service d’audit
plus présent. Dans de nombreux cas l’audit pourrait jouer un très grand
rôle de dissuasion si les salariés et les responsables savaient qu’ils recher-
chaient activement à démasquer les fraudes. Les auditeurs ne peuvent pas
découvrir toutes les fraudes, mais ils peuvent montrer qu’ils les recher-
chent. En adoptant cette attitude, les fraudeurs en puissance se sentiront
déjà moins libres de leurs actes.
Pour détecter les fraudes, les auditeurs doivent vouloir les voir.
Un des rôles importants de l’audit repose sur le fait d’identifier et de
rendre compte des problèmes non encore connus, tels que les défail-
lances du Contrôle Interne, les erreurs et les fraudes. Les techniques
d’audit et les tests réalisés par l’audit sont là pour porter les
problèmes à la surface.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v Structure et organisation
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v Définitions de poste
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Comparer l’activité des employés les uns par rapport aux autres à fonc-
tion égale.
• Si une telle comparaison n’est pas possible, analyser l’évolution de
l’activité des salariés dans le temps.
Existe-t-il un tableau de suivi des erreurs ?
• Les auditeurs internes devront accorder une attention particulière aux
erreurs réalisées par les salariés. En effet, celles-ci peuvent révéler qu’un
salarié est en train de tester le système et faiblesse du système.
Ces indicateurs doivent permettre à l’audit interne de juger de la cohé-
rence dans l’organisation générale de l’entreprise, notamment en terme de
séparation de fonctions et de hiérarchie, de s’assurer de l’existence des
contrôles réalisés par l’encadrement.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Quelles sont les mesures de protection d’entrée et sortie dans les locaux de
l’entreprise ?
• Entretien avec les services Maintenance et Sécurité.
• Analyser les dispositifs existants : sas de sécurité, badge d’entrée…
Quelles sont les mesures de protection d’entrée dans les bureaux ?
Quelles sont les mesures d’entrée et sortie dans les entrepôts de l’entre-
prise (s’il y en a) ?
Les salariés ferment-ils systématiquement la porte de leur bureau à clé ?
• Au cours des entretiens avec les opérationnels et chefs de service, se
faire expliquer les règles de sécurité exigeaient de chacun.
• Faire des contrôles inopinés : aller dans les bureaux aux heures de
déjeuner par exemple, et vérifier si les bureaux sont fermés à clé.
• Si les bureaux restent ouverts en cas d’absence prolongée, essayer de se
connecter sur les ordinateurs.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Sécurité informatique :
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Exploitation
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
IV I
ORGANISATION, ÉVALUATION
ET PILOTAGE
DE LA FONCTION CONTRÔLE INTERNE