Académique Documents
Professionnel Documents
Culture Documents
sein de l’INAM
La tenue à jour de ce document est sous la responsabilité du Risk Manager. L’Appétit pour le
risque de l’INAM est revu systématiquement tous les ans dans le cadre des travaux du Comité des
Risques ; il peut, toutefois, être inscrit à l’ordre du jour de cette instance pour diverses raisons : revue
de limites, traitement d’une procédure d’alerte ou d’une situation de crise.
1.2. Définitions
- L’Appétit pour le risque est le niveau de risque que l’INAM est prêt à assumer dans le cadre
de la réalisation de ses objectifs stratégiques.
- La capacité de risque est le risque maximum que l’INAM est capable d’absorber sans remettre
en cause sa viabilité. Le niveau de la capacité de risque est supérieur à celui de la tolérance au
risque.
une stratégie de gestion des risques clairement définie, qui soit cohérente avec la
stratégie globale de l’Institut. Les objectifs et les principes fondamentaux de cette
stratégie de gestion des risques, les limites approuvées de tolérance au risque et la
répartition des responsabilités entre toutes les activités de l'entreprise sont consignés par
écrit ;
des politiques écrites qui définissent et catégorisent effectivement par type, les risques
importants auxquels l'INAM est exposé, et indiquent les limites approuvées de tolérance
au risque pour chaque type de risque. Ces politiques mettent en œuvre la stratégie de
l'Institut en matière de risque, prévoient des mécanismes de contrôle et tiennent compte
de la nature, de l'étendue et de l'horizon temporel des activités, ainsi que des risques qui
leur sont liés ;
des procédures et processus de reporting garantissant que les informations relatives aux
risques importants auxquels l'entreprise est exposée et à l'efficacité du système de
gestion des risques sont activement suivies et analysées et, si nécessaire, que les
modifications appropriées sont au fur et à mesure apportées au système.
Le processus de gestion des risques a pour objet de permettre une approche méthodologique
cohérente du ‘’Risk management’’ au sein de l'ensemble de la société. Il englobe toutes les activités
de l’INAM, qu'elles soient internes ou externes à l'entreprise. Il intègre l'ensemble des outils et
pratiques appropriés et adéquatement mis en place pour une approche holistique de la gestion et de
la communication des risques, en fournissant un cadre et un langage commun à l'ensemble de l’INAM
pour non seulement évaluer les risques mais aussi fixer les priorités d'actions pour atténuer ces
derniers.
La gestion des risques s’inscrit dans le cadre d’une structure de gestion des risques dont les
différentes entités sont responsables à des degrés divers de l’élaboration, de l’implémentation du suivi
et du contrôle de la gestion des risques.
Logistique (constitution de base de données de fournisseurs, passation de marché, gestion des contrats, gestion des stocks)
Système d’information (maintenance, automatisation des processus, communication, administration base de données)
Finance et comptabilité (gestion de la trésorerie, placements, fourniture de l’information financière fiable) // Activités actuarielles
Affiliation des
organismes Recouvrement des Immatriculation des Achat des prestations de Paiement des
Activités
Principales
FORCES FAIBLESSES
OPPORTUNITES MENACES
Immatriculation frauduleuse d'un bénéficiaire (assuré principal & ayants droits) - Taux de dossiers frauduleux (%)
Renouvellement frauduleux de vignettes pour des assurés (renouvellement accordés
- Taux de renouvellements frauduleux (%)
à des assurés ne cotisant plus, ajout d'ayant droits non prescrits)
Non-respect du principe de contribution de la part patronale au niveau de l'Etat en
tant qu'employeur (les cotisations représentent 7% du salaire dont 50% employeur,
- Taux de non-conformité de la quote part Etat
50% salarié) : la part revenant à l'Etat est versée sous forme de "subventions" ne
respectant pas forcément le montant prévu
- Nombre de conventionnés n'ayant pas subi de contre visite/ nombre
Evaluation insuffisante ou non conforme du prestataire due à une connivence interne de nouveaux conventionnés (base trimestrielle)
(fraude)
-Nombre de prestataires conventionnés de niveau non conformes
Risque de retard dans le traitement des factures de prestations de soins Taux de rupture de charge (Nombre de jours d'arrêt de travail par mois)
Risque lié à l'absence d'assistance SI (support) au sein du Centre de saisie en cas Fréquence de rupture de charge/interruption du travail lié à l'absence
de pannes) d'acteur du DSI
Risque de pertes et/ou d'altération de données saisies dans MAGESTION : certaines
feuilles ou actes saisies précédemment sont introuvables (possibilité donc de saisir Nombre de factures affecté (Taux)
une même fiche plusieurs feuilles)
Risque lié au mode prépaiement des prestataires (prestataire prépayé avant contrôle
Taux de paiements indus
et traitement des pièces justificatives) : en raison des retards de vérification des
prestations avec les pièces justificatives, il y a risque que des prestations déjà
(Taux de factures payées après traitement)
remboursées ne soient pas valables/Risque lié au stock de factures non traitées
Risque lié au retard de validation des factures. Ce retard ne permet pas de corriger
- Délai de traitement des factures
des erreurs antérieures et leur prise en compte dans la prescription des nouvelles
factures (trainer une erreur récurrente, risque d'image et risque de rupture/résiliation
- Taux de Traitement (saisie, contrôle, validation)
en cas de contestation)
Risque lié à l'absence de dispositif chez les prestataires ne leur permettant pas de
vérifier le droit d'accès aux soins. Non remboursement des frais de prestataires en Volume de réclamations prestataires suite à des non remboursements
cas d'utilisation d'une vignette non valide
Risque lié au retard de validation des factures. Ce retard ne permet pas de corriger
des erreurs antérieures et leur prise en compte dans la prescription des nouvelles
Délai de validation des factures
factures (trainer une erreur récurrente, risque d'image et risque de rupture/résiliation
en cas de contestation)
Risque de méconnaissance, de connaissance insuffisante ou de non application des
bonnes pratiques en matière informatique lié à l'absence de démarche formelle de Taux du personnel IT non formé (aux standards & référentiels
formation et de sensibilisation aux référentiels de bonnes pratiques (COBIT, ITIL, normatifs)
ISO 27001, GDPR, etc.)
-Taux de non couverture des domaines métiers IT
Risque de perte de compétences critiques et spécifiques au niveau IT
- Taux de rotation du personnel IT
les équipes opérationnelles présentent leurs orientations et les prises de risques souhaitées en
perspective du plan stratégique
la fonction Risk management (et la Direction financière, pour les indicateurs de type financier)
mènent une analyse contradictoire. Celle-ci intègre
o une analyse des facteurs de risques,
o une projection des résultats, indicateurs et des hypothèses du plan stratégique
la fonction ‘’Risk Management’’ fixe des limites jugées acceptables avant de les soumettre à la
Direction Générale (suivant la même logique qu’une Direction Financière dans le cadre du budget).
Dans le cadre de la gouvernance de l’appétence pour le risque, la Direction générale s’appuie entre
autres sur la fonction Risque et la fonction Finance lorsque des enjeux financiers se présentent.
Le contrôle permanent effectue des diligences qui permettent de s’assurer que les données
remontées par les métiers et transmises aux instances de gouvernance sont fiables et traduisent à la
fois la réalité de l’exposition de l’INAM. A cet effet, les organes de contrôle permanent (Département
Risk Management et Contrôle de l’INAM) veilleront à adapter le cycle de contrôle à celui du de
reporting des risques.
Lorsque des contraintes opérationnelles ne permettront pas de contrôler les données de risques avant
transmission aux instances, le ‘’Risk manager’’ précisera aux destinataires le caractère déclaratif des
données.
Vert
Orange Rouge
Libellé du Risque Indicateurs associés (valeur
(seuil d'alerte) (crise)
cible)
- Nombre de conventionnés n'ayant pas subi de contre
visite/ nombre de nouveaux conventionnés (base <20% 20%<t<25% >25%
Evaluation insuffisante ou non conforme du prestataire dû trimestrielle)
à une connivence interne (fraude)
-Nombre de prestataires conventionnés de niveau non
<20% 20%<t<25% >25%
conformes
Risque de création frauduleuse d'un prestataire (création
d'un prestataire fictif) en raison de l'absence de séparation Nombre de fiches de création prestataire/Nombre de
100% 99% <99%
des tâches (profils) entre l'agent qui saisit la création et le prestataires conventionnés (base trimestrielle)
validateur de la création dans MAGESTION
- Taux de dossiers remontés au MC >90% 80%<t<90% <80%
Risque de fraude : saisie prestations fictives /falsifiés -Nombre de dossiers fictifs identifiés (base contrôles sur
<10% 10<t<20% >20%
place ou sur pièce)
- Nombre de fiches de demandes d’octroi de prestation /
Nombres de demandes de prestations saisies >=95% 95<t<=90 <90%
Risque d'erreur de saisie ou d'omission des éléments de la
(mensuellement)
demande
- Taux de conformité des saisies de fiches de demande
>=90% 90<t<=80% <80%
(mensuellement)
- Fréquence de visites (d'évaluation) : au moins 1 fois tous
Risque de modification frauduleuse du niveau du >=80% 80<t<=70% 60%
les 3ans
prestataire en absence de dossier de réévaluation de
niveau - Nombre de FS visitée/ nombre total conventionnées de la
35% 30% 25%
zone (annuel)
Immatriculation frauduleuse d'un bénéficiaire (assuré
Taux de dossiers frauduleux (%) < = 0,5% 0,5% < t <= 0,7% t > 0,7%
principal & ayants droits)
Renouvellement frauduleux de vignettes pour des assurés
(renouvellement accordés à des assurés ne cotisant plus, Taux de renouvellements frauduleux (%) < = 0,5% 0,5% < t <= 0,7% t > 0,7%
ajout d'ayant droits non prescrits)
Risque de non fiabilité de la base de données se trouvant
dans MAGESTION (non exhaustivité des actes, des codes
Taux de non fiabilité de la base tarifaire (MAGESTION)/
prescripteurs et erreurs enregistrées, fichiers <=5% 5%<t<=10% t>10%
Taux de non-conformité des dossiers saisis
introuvables) entrainant des analyses statistiques,
analyses de coûts erronées etc.
A chaque session du Comité des Risques, la fonction ‘’Risk management’’ adressera un reporting
spécial sur les aspects qualitatifs pour lesquelles des indices pourraient constituer des motifs
d’inquiétude (changement d’orientation politique de la tutelle, Bad press / attaques médiatiques,
dégradation du climat social, relation avec les prestataires, durcissement réglementaire, etc.).
Le tableau de bord recense les faits marquants de la période, les principales initiatives en cours, les
principaux incidents clients.
Le responsable décide s’il est opportun d’alerter la Direction générale sur le dépassement du seuil
et accompagne cette alerte d’un plan de remédiation.
Tout dépassement de limite relevant d’une approbation du Conseil d’administration lui est reporté.
La procédure d’alerte est coordonnée par le ‘’Risk Manager’’ dans le respect des délais déclinés ci-
dessous :