Le dispositif national de contrôle interne met en œuvre une stratégie de maîtrise des risques adaptée aux enjeux de gestion, notamment de renforcement de la qualité et de la performance, propres aux activités de l'organisme, du régime ou de la branche. Cette stratégie est déterminée en cohérence avec les objectifs définis dans les conventions d'objectifs et de gestion conclues avec l'autorité compétente de l'Etat.

Le dispositif national de contrôle interne est applicable à l'organisme national et, le cas échéant, aux autres organismes constitutifs du réseau.

Le dispositif national de contrôle interne a pour finalité d'apporter une assurance raisonnable quant au respect des objectifs suivants :

1° La conformité des opérations aux lois, règlements et conventions ;

2° L'exactitude des montants de cotisations et contributions sociales et des autres prélèvements à recouvrer et des prestations liquidées par l'organisme ;

3° La prévention des indus et le recouvrement des créances ;

4° L'utilisation efficiente des fonds publics et des moyens de toute nature mis en œuvre, dans le respect des autorisations budgétaires annuelles et pluriannuelles ;

5° La protection du patrimoine de l'organisme et des personnes ;

6° La prévention et la détection des fraudes internes et externes ;

7° L'intégrité, la fiabilité et le caractère exhaustif des informations financières, comptables, budgétaires et de gestion.

Le dispositif de contrôle interne repose sur les principes suivants :

1° Conception, mise en œuvre et pilotage conjoints du contrôle interne par le directeur et le directeur comptable et financier ;

2° Unicité du dispositif applicable à l'ensemble des activités de l'organisme national et, le cas échéant, aux autres organismes constitutifs du réseau ;

3° Evaluation et hiérarchisation des risques, sur la base d'une analyse partagée de l'ensemble des activités et processus de gestion ;

4° Définition de la stratégie de contrôle en fonction de la criticité de ces risques et des enjeux ;

5° Définition des plans d'action en fonction des résultats des contrôles ;

6° Evaluation périodique de l'effectivité et de l'efficacité des actions de maîtrise des risques et mise à jour régulière du dispositif en fonction des enseignements tirés des contrôles effectués ;

7° Documentation périodique des organisations, des procédures et des risques ;

8° Traçabilité des acteurs et des opérations.

Pour l'application des dispositions de l'article L. 114-8-1, les organismes nationaux définissent, par instruction, la coordination des rôles respectifs du directeur et du directeur comptable et financier dans la conception et la mise en place du dispositif de contrôle interne.

Cette coordination répond aux principes suivants :

-le directeur et le directeur comptable et financier sont chargés d'assurer, dans le fonctionnement de l'organisme, une organisation adaptée aux actions de contrôle. Dans le cadre de la conception, de la mise en œuvre et du pilotage conjoints des dispositifs de contrôle interne, ils s'assurent de la maîtrise des processus d'activités de l'organisme dans leur ensemble, et de l'organisation d'actions de supervision, contrôles et autres moyens intégrés au fonctionnement courant des services garantissant cette maîtrise ;

-le directeur comptable et financier, en sus des vérifications auxquelles il est tenu en application des dispositions réglementaires, s'assure de la maîtrise des processus comptables et financiers de l'organisme.

Le directeur et le directeur comptable et financier définissent, à partir d'une cartographie des risques établie dans les conditions prévues à l'article D. 114-4-7, tous les moyens mis en œuvre afin d'assurer la couverture des risques liés aux activités du régime ou de la branche ainsi que la couverture des risques liés aux opérations effectuées pour leur compte par des organismes délégataires ou des organismes bénéficiant de leur concours financier, y compris les actions de contrôle et de supervision. Les organismes délégataires mettent en place, pour les opérations effectuées pour le compte de la branche ou du régime, des dispositifs de maitrise des risques au titre des activités qui leur sont confiées.

Des instructions et des procédures nationales définissent les principes et règles communs applicables à l'organisme national et le cas échéant aux autres organismes constitutifs du réseau, notamment ceux relatifs au contrôle interne des gestions techniques, des gestions budgétaires et de la comptabilité ainsi qu'au contrôle interne des systèmes d'information.

I.-Le directeur et le directeur comptable et financier établissent une cartographie nationale des risques constituée :

-d'une identification de l'ensemble des risques, y compris liés à la fraude, de l'organisme national et le cas échéant des autres organismes constitutifs du réseau. Les risques sont identifiés à partir de l'examen des processus d'activité, de l'évaluation des risques afférents et de la cartographie des systèmes d'information mentionnée à l'article D. 114-4-10. Cette analyse des risques est actualisée, en tant que de besoin, notamment en cas de changements pouvant avoir un impact significatif sur le dispositif de contrôle interne, et au moins tous les trois ans ;

-d'une identification, au sein de ces risques, des risques majeurs de toute nature, compris entre dix et trente, dont les risques financiers auxquels l'organisme national et le cas échéant les autres organismes constitutifs du réseau sont exposés, qui font l'objet d'un suivi particulier en raison de leur criticité. Cette sélection est actualisée, en tant que de besoin, notamment en cas de changements pouvant avoir un impact significatif sur le dispositif de contrôle interne, et au moins tous les trois ans.

II.-Le directeur et le directeur comptable et financier définissent conjointement un plan national de contrôle interne, opposable le cas échéant aux autres organismes constitutifs du réseau. Ce plan intègre notamment, en réponse aux risques financiers majeurs, les vérifications auxquelles le directeur comptable et financier est tenu en application des dispositions réglementaires, notamment celles prévues aux articles D. 122-1 à D. 122-4 et aux articles D. 122-8 et D. 122-9.

Ce plan national de contrôle interne unique, qui porte sur une période correspondant à l'année civile :

-précise les objectifs de maîtrise des risques, les actions de maîtrise des risques associées ainsi que les axes de contrôle prioritaires pour les services placés respectivement sous la responsabilité du directeur et du directeur comptable et financier ;

-tient compte des actions de lutte contre la fraude externe et la fraude interne ;

-définit les moyens permettant de vérifier la mise en œuvre effective du dispositif de contrôle interne et les indicateurs de suivi de son efficacité au regard de ces objectifs. Ces indicateurs mesurent, notamment, le risque lié aux activités relevant de l'ordonnateur et le risque financier résiduel après supervision de l'ordonnateur et contrôle du directeur comptable et financier ;

-détermine les modalités d'analyse des résultats des contrôles et des indicateurs, ainsi que d'identification des principales causes d'erreurs ou d'anomalies par catégorie d'opérations. Le plan national de contrôle interne précise les conditions de définition et de suivi des actions permettant de réduire ces anomalies à la source ou, à défaut, de les détecter et les corriger.

En vue d'assurer l'efficacité et l'efficience du dispositif de maîtrise des risques, le directeur et le directeur comptable et financier s'assurent de la coordination des actions de contrôle et de supervision mises en œuvre par leurs services.

Le directeur et le directeur comptable et financier diligentent les contrôles de manière à proportionner leur fréquence, leur périodicité et leur périmètre aux enjeux associés.

La notion de risque financier résiduel et les indicateurs utilisés pour le mesurer sont déterminés en fonction de la nature des activités de l'organisme. Ces indicateurs doivent permettre, le cas échéant, de distinguer les risques liés aux données déclarées de ceux résultant de la mise en œuvre des opérations internes à l'organisme.

En fonction, le directeur et le directeur comptable et financier se répartissent les travaux de fiabilité et de mise en œuvre de la mesure du risque financier résiduel.

La période couverte par les contrôles prévus au plan national de contrôle interne peut être adaptée aux besoins spécifiques de production et d'analyse des indicateurs de suivi de l'efficacité du contrôle interne. Cette période peut correspondre à douze mois glissants, en cohérence avec le plan de contrôle.

Dans l'organisation de la gestion des activités relevant de leurs compétences respectives, le directeur et le directeur comptable et financier vérifient que la séparation des tâches entre les agents est assurée et adaptée aux besoins de maîtrise des risques, notamment à la couverture des risques de fraudes.

La séparation des tâches mentionnée au premier alinéa s'entend comme un partage des rôles assurant qu'un même agent ne cumule pas des opérations d'engagement et de paiement de la dépense, ni ne cumule, pour un processus donné, les tâches d'exécution d'une opération et de contrôle de cette même opération.

Les organismes nationaux mettent en place un dispositif d'audit interne qui a, notamment, pour objet d'évaluer périodiquement l'effectivité, l'efficacité et la pertinence du dispositif de contrôle interne. Les activités d'audit interne sont mises en œuvre dans des conditions définies par une charte, établie conjointement par le directeur et le directeur comptable et financier, qui prévoit, notamment, les modalités de gouvernance du dispositif, les règles de programmation annuelle des audits et de suivi de leurs résultats, les modalités de délégation éventuelle des travaux d'audit et les règles de déontologie applicables.

Le directeur et le directeur comptable et financier veillent à la cohérence de l'articulation de ce dispositif avec les audits effectués dans le cadre de la validation des comptes mentionnée à l'article D. 114-4-2. Les auditeurs exécutent leur mission et rendent compte de ses résultats en toute indépendance.

Les rapports définitifs d'audit, à l'exception de ceux mentionnés à l'article D. 114-4-17, sont transmis au ministre chargé de la sécurité sociale conjointement à la transmission du rapport de contrôle interne prévu à l'article D. 114-4-16.

Le directeur et le directeur comptable et financier de l'organisme national établissent une cartographie de l'ensemble des applications informatiques nationales et des éventuelles applications locales. Cette cartographie est actualisée, le cas échéant, selon une périodicité au moins annuelle.

Le directeur et le directeur comptable et financier de l'organisme national assurent la maîtrise d'ouvrage des applications informatiques nationales. Toutefois, la maîtrise d'ouvrage d'une application informatique nationale peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs et les directeurs comptables et financiers desdits organismes.

Le directeur de l'organisme national assure la maîtrise d'œuvre des applications informatiques nationales. Toutefois, la maîtrise d'œuvre d'une application informatique nationale peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs desdits organismes.

Le directeur et le directeur comptable et financier de l'organisme national valident, conjointement, les applications nationales, préalablement à leur mise en production. Lorsque la maîtrise d'ouvrage est déléguée à une caisse ou à une union de caisses relevant d'un organisme national, les applications sont validées, conjointement, par les directeurs et directeurs comptables et financiers de l'organisme national et de la caisse ou de l'union de caisses concernée. Toutefois, la validation peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs et directeurs comptables et financiers desdits organismes.

Pour l'établissement du cahier des charges des applications, les risques d'erreurs dans la mise en œuvre des opérations sont pris en compte afin de concevoir des contrôles automatisés de façon appropriée.

Pour la validation des applications, le directeur et le directeur comptable et financier sont tenus de procéder, par des essais, au contrôle :

1° De l'existence et de l'efficacité de sécurités physiques et logiques destinées à assurer l'intégrité des règles d'accès aux systèmes informatiques, la sauvegarde des programmes, des fichiers, des données et des échanges ;

2° De la conformité des règles de gestion programmées dans les applications aux lois, règlements et conventions ;

3° De l'exactitude des traitements de liquidation des prestations, des cotisations et contributions sociales, et des autres prélèvements ;

4° De l'existence de procédures assurant l'intégrité des échanges de données informatisées entre les applications informatiques des services techniques et les applications financières et comptables ;

5° De la pertinence et de l'effectivité des contrôles automatisés conçus au regard des risques identifiés dans les cartographies mentionnées aux articles D. 114-4-7 et D. 114-4-20, y compris des risques d'erreur liés aux opérations réalisées par les agents ;

6° De l'absence de régression des systèmes d'information résultant de la mise en production de l'application.

Un procès-verbal de validation est dressé par le directeur et le directeur comptable et financier .

Le directeur comptable et financier de l'organisme national peut refuser la mise en production d'une application informatique dont il estime qu'elle ne respecte pas les règles fixées par le présent code. Il en informe le directeur de l'organisme national qui a la possibilité de passer outre ce refus par décision notifiée au directeur comptable et financier. Le directeur de l'organisme national transmet une copie de cette décision, dûment motivée, au ministre chargé de la sécurité sociale.

Les applications informatiques dont la maîtrise d'ouvrage est déléguée sont validées conjointement par le directeur et le directeur comptable et financier de l'organisme national dans les mêmes conditions.

Le directeur et le directeur comptable et financier de l'organisme national recensent les incidents informatiques constatés dans les organismes compris dans le périmètre du régime ou de la branche et procèdent à une analyse régulière de leur criticité, notamment en termes d'incidence financière, et de l'effectivité de leur traitement.

Le directeur et le directeur comptable et financier national établissent un plan national de sécurité des systèmes d'information actualisé, le cas échéant, annuellement. Ce plan a, notamment, pour objet d'assurer la disponibilité du système d'information, la sécurité des accès, l'intégrité des données, la qualité de preuve des données et la protection de leur confidentialité.

Le directeur et le directeur comptable et financier national établissent également un plan national de reprise d'activité des systèmes d'information, afin d'assurer la continuité du service en cas d'incident ou de sinistre majeur. Ce plan est actualisé, le cas échéant, annuellement.

Le directeur et le directeur comptable et financier de l'organisme national établissent les règles de gestion des habilitations qui sont actualisées, le cas échéant, annuellement.

Le directeur et le directeur comptable et financier établissent un tableau de bord sur la base des résultats du contrôle interne. Ce tableau de bord de contrôle interne est établi une fois par an, sur une situation arrêtée au 30 juin de l'année en cours. Il présente une synthèse des résultats des actions mises en place pour lutter contre les risques majeurs, dont les risques financiers et de fraude, pour les activités gérées par l'organisme ou faisant l'objet d'une délégation.

Un rapport présentant un bilan du dispositif national de contrôle interne et intégrant les conclusions des audits est établi annuellement par le directeur et le directeur comptable et financier de l'organisme national. Il est communiqué au ministre chargé de la sécurité sociale au plus tard le 30 avril de l'année suivant celle au titre de laquelle il a été établi, accompagné des rapports d'audit prévus à l'article D. 114-4-9.

Le rapport annuel de contrôle interne intègre, en sus du tableau de bord, pour les activités gérées par l'organisme et pour les activités déléguées, les informations essentielles au pilotage de la maîtrise des risques, dont :

-une information sur l'environnement de contrôle, ainsi que sur les moyens de maîtrise généraux mis en œuvre dans le cadre du contrôle interne y compris pour la lutte contre la fraude ;

-une information sur les incidents majeurs, notamment informatiques, constatés au cours de l'année et les actions correctives apportées ;

-des éléments d'analyse synthétiques sur les principales sources d'anomalies de portée financière et les conditions dans lesquelles les risques majeurs sont maîtrisés.

Il prend notamment en compte, en fonction de la disponibilité des données, les résultats afférents aux objectifs fixés dans le cadre des conventions d'objectif et de gestion conclues avec l'Etat.

Une synthèse du rapport annuel de contrôle interne est présentée au conseil d'administration lors de la séance qui approuve les comptes de l'organisme.

Chaque organisme constitutif du réseau fait l'objet d'un audit sur place selon une périodicité fixée par le directeur et le directeur comptable et financier de l'organisme national. Le directeur et le directeur comptable et financier de l'organisme national peuvent prévoir une périodicité plus rapprochée pour les organismes dont les performances sont inférieures à la moyenne nationale, notamment dans la réalisation des objectifs des contrats pluriannuels de gestion. Le directeur peut également décider d'audits inopinés.

Pour l'exercice de sa compétence d'audit, l'organisme national peut requérir des organismes locaux la communication sur place ou sur pièces de tous documents détenus par ces organismes, notamment les pièces comptables et correspondances relatifs aux gestions techniques et budgétaires, à la comptabilité et au contrôle interne informatique de ces organismes.

Les auditeurs mettent en œuvre une procédure contradictoire à l'égard des organismes contrôlés. Les réponses de l'organisme assorties, le cas échéant, des observations des auditeurs sur ces dernières sont annexées au rapport d'audit définitif, qui est transmis pour information au service mentionné à l'article R. 155-1 dans un délai de trente jours suivant son adoption définitive.

Le directeur de l'organisme local est tenu de communiquer au directeur et au directeur comptable et financier de l'organisme national les suites données aux recommandations formulées.

En cas de défaillances importantes, le directeur de l'organisme national demande à l'organisme local, en concertation avec le directeur comptable et financier, de mettre en œuvre un plan de redressement dont il définit les orientations et les modalités d'exécution. Le directeur de l'organisme local concerné est tenu de communiquer au directeur et au directeur comptable et financier de l'organisme national les suites données aux recommandations du plan de redressement.