Articles

Article 1 ENTIEREMENT_MODIF (Décret n° 2013-917 du 14 octobre 2013 relatif au contrôle interne des régimes obligatoires de base de sécurité sociale et des organismes concourant à leur financement)

Article 1 ENTIEREMENT_MODIF (Décret n° 2013-917 du 14 octobre 2013 relatif au contrôle interne des régimes obligatoires de base de sécurité sociale et des organismes concourant à leur financement)


I. ― Au chapitre IV bis du titre Ier du livre Ier du code de la sécurité sociale, il est créé une section 1 intitulée « Organisation comptable » regroupant les articles D. 114-4-1 à D. 114-4-5.
II. ― Après l'article D. 114-4-5, il est créé une section 2 ainsi rédigée :


« Section 2



« Contrôle interne



« Sous-section 1



« Dispositions propres aux organismes nationaux, organisés ou non en réseau, assurant la gestion d'un régime obligatoire de base et à l'Agence centrale des organismes de sécurité sociale


« Paragraphe 1



« Contrôle interne des activités du régime ou de la branche
et de l'activité de recouvrement du régime général


« Art. D. 114-4-6.-Le directeur et l'agent comptable de l'organisme national conçoivent et mettent en place conjointement un dispositif national de contrôle interne dont l'objet est d'assurer la maîtrise des risques de toute nature, notamment financiers, inhérents aux missions confiées à cet organisme.
« Le dispositif national de contrôle interne est applicable aux organismes constitutifs d'un même réseau.
« Le dispositif national de contrôle interne pour finalité d'apporter une assurance raisonnable quant au respect des objectifs suivants :
« 1° La conformité aux lois, règlements et conventions ;
« 2° L'exactitude des montants de cotisations et contributions sociales et des autres prélèvements à recouvrer et des prestations liquidées ;
« 3° La prévention des indus et le recouvrement des créances ;
« 4° L'utilisation efficiente des fonds publics et des moyens de toute nature mis en œuvre, dans le respect des autorisations budgétaires annuelles et pluriannuelles ;
« 5° La protection du patrimoine de l'organisme et des personnes ;
« 6° La prévention et la détection des fraudes internes et externes ;
« 7° L'intégrité, la fiabilité et le caractère exhaustif des informations financières, comptables, budgétaires et de gestion.
« Le dispositif de contrôle interne repose sur les principes suivants :
« 1° Unicité du dispositif ;
« 2° Exhaustivité dans l'identification des processus et des risques associés ;
« 3° Définition de la stratégie de traitement des risques en fonction de leur prévalence et de leur criticité ;
« 4° Evaluation périodique de l'effectivité et de l'efficacité des actions de maîtrise des risques et mise à jour régulière du dispositif en fonction des enseignements tirés des contrôles effectués ;
« 5° Documentation des procédures, des organisations et des risques ;
« 6° Traçabilité des acteurs et des opérations.
« Le dispositif national de contrôle interne définit, à partir d'une cartographie des risques établie dans les conditions prévues à l'article D. 114-4-7, les moyens mis en œuvre afin d'assurer la couverture des risques relatifs aux activités du régime ou de la branche ainsi que la couverture des risques liés aux opérations effectuées pour leur compte par des organismes délégataires ou des organismes bénéficiant de leur concours financier.
« Le dispositif national de contrôle interne définit, par des instructions et des procédures nationales, les principes et règles communs applicables à l'organisme national et aux autres organismes éventuellement constitutifs du réseau relatifs au contrôle interne des gestions techniques, des gestions budgétaires et de la comptabilité ainsi qu'au contrôle interne des systèmes d'information.
« Il définit les moyens de maîtrise, notamment les actions de contrôle et de supervision, mis en œuvre par l'organisme national et les autres organismes éventuellement constitutifs du réseau, y compris au titre des contrôles des agents comptables, afin d'assurer la maîtrise des risques inhérents aux missions qui leur sont confiées, conformément aux objectifs fixés par le directeur et l'agent comptable de l'organisme national.
« Art. D. 114-4-7.-I. ― Le directeur et l'agent comptable établissent une cartographie nationale des risques qui identifie de manière exhaustive les risques de l'organisme national et des éventuels autres organismes constitutifs du réseau. Elle est établie à partir d'une cartographie de l'ensemble des processus métiers et supports et de la cartographie des systèmes d'information mentionnée à l'article D. 114-4-10.
« Les cartographies sont actualisées, le cas échéant, selon une périodicité au moins annuelle.
« II. ― Le directeur et l'agent comptable définissent un plan national de contrôle interne annuel opposable aux autres organismes éventuellement constitutifs du réseau, qui intègre le plan de contrôle annuel national établi par l'agent comptable.
« Le plan national de contrôle interne annuel, qui porte sur une période correspondant à l'année civile :
« ― précise les actions de maîtrise et les axes de contrôle prioritaires pour l'ordonnateur et l'agent comptable au cours de l'exercice ainsi que les objectifs de maîtrise des risques associés, notamment en matière de liquidation des prestations, de recouvrement des cotisations et autres prélèvements, et de sécurités informatiques ;
« ― définit les moyens permettant de vérifier l'effectivité du dispositif de contrôle interne et les indicateurs de suivi de son efficacité au regard de ces objectifs. Ces indicateurs mesurent, notamment, le risque lié aux activités relevant de l'ordonnateur et le risque financier résiduel après supervision de l'ordonnateur et contrôle de l'agent comptable.
« Art. D. 114-4-8.-L'organisme national contrôle sur place l'exécution des opérations dont il délègue la réalisation à d'autres organismes ainsi que celle des opérations effectuées par des organismes bénéficiant d'un concours financier au moyen de ce concours.
« Il peut déléguer ces contrôles à un organisme de son réseau.
« Les organismes délégataires ou bénéficiant d'un concours financier sont tenus de communiquer, à la demande de l'organisme national, tous documents et pièces justificatives relatifs aux missions qui leur sont confiées ou aux activités faisant l'objet d'un financement du régime ou de la branche.
« Le directeur et l'agent comptable de l'organisme national établissent le cadre du contrôle sur pièces à effectuer par ses services, ou par les autres organismes éventuellement constitutifs du réseau, sur les organismes bénéficiant d'un concours financier, au titre des opérations mises en œuvre au moyen de ces concours financiers, ou sur les organismes assurant une gestion déléguée pour le compte de la caisse nationale.


« Paragraphe 2



« Audit interne


« Art. D. 114-4-9.-Les organismes nationaux mettent en place un dispositif d'audit interne qui a, notamment, pour objet d'évaluer périodiquement l'effectivité, l'efficacité et la pertinence du dispositif de contrôle interne. Les activités d'audit interne sont mises en œuvre dans des conditions définies par une charte, établie conjointement par le directeur et l'agent comptable, qui prévoit, notamment, les modalités de gouvernance du dispositif, les règles de programmation annuelle des audits et de suivi de leurs résultats, les modalités de délégation éventuelle des travaux d'audit et les règles de déontologie applicables.
« Ce dispositif tient compte, le cas échéant, des audits effectués dans le cadre de la validation des comptes mentionnée à l'article D. 114-4-2. Les auditeurs exécutent leur mission et rendent compte de ses résultats en toute indépendance.
« Les rapports définitifs d'audit, à l'exception de ceux mentionnés à l'article D. 114-4-17, sont transmis au ministre chargé de la sécurité sociale conjointement à la transmission du rapport de contrôle interne prévu à l'article D. 114-4-16.


« Paragraphe 3



« Contrôle interne des systèmes d'information


« Art. D. 114-4-10.-Le directeur et l'agent comptable de l'organisme national établissent une cartographie de l'ensemble des applications informatiques nationales et des éventuelles applications locales. Cette cartographie est actualisée, le cas échéant, selon une périodicité au moins annuelle.
« Art. D. 114-4-11.-Le directeur et l'agent comptable de l'organisme national assurent la maîtrise d'ouvrage des applications informatiques nationales. Toutefois, la maîtrise d'ouvrage d'une application informatique nationale peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs et les agents comptables desdits organismes.
« Le directeur de l'organisme national assure la maîtrise d'œuvre des applications informatiques nationales. Toutefois, la maîtrise d'œuvre d'une application informatique nationale peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs desdits organismes.
« Art. D. 114-4-12.-Le directeur et l'agent comptable de l'organisme national valident, conjointement, les applications nationales, préalablement à leur mise en production. Lorsque la maîtrise d'ouvrage est déléguée à une caisse ou à une union de caisses relevant d'un organisme national, les applications sont validées, conjointement, par les directeurs et agents comptables de l'organisme national et de la caisse ou de l'union de caisses concernée. Toutefois, la validation peut être déléguée à une caisse ou à une union de caisses relevant d'un organisme national. Les modalités de cette délégation sont définies par une convention signée par les directeurs et agents comptables desdits organismes.
« Le directeur et l'agent comptable sont tenus de procéder, par des essais, au contrôle :
« 1° De l'existence et de l'efficacité de sécurités physiques et logiques destinées à assurer l'intégrité des règles d'accès aux systèmes informatiques, la sauvegarde des programmes, des fichiers, des données et des échanges ;
« 2° De la conformité des règles de gestion programmées dans les applications aux lois, règlements et conventions ;
« 3° De l'exactitude des traitements de liquidation des cotisations et contributions sociales, des autres prélèvements et des prestations ;
« 4° De l'existence de procédures assurant l'intégrité des échanges de données informatisées entre les applications informatiques des services techniques et les applications financières et comptables ;
« 5° De la pertinence et de l'effectivité des contrôles automatisés conçus en lien avec la cartographie des risques ;
« 6° De l'absence de régression des systèmes d'information résultant de la mise en production de l'application.
« Un procès-verbal de validation est dressé par le directeur et l'agent comptable.
« L'agent comptable de l'organisme national peut refuser la mise en production d'une application informatique dont il estime qu'elle ne respecte pas les règles fixées par le présent code. Il en informe le directeur de l'organisme national qui a la possibilité de passer outre ce refus par décision notifiée à l'agent comptable. Le directeur transmet une copie de cette décision, dûment motivée, au ministre chargé de la sécurité sociale.
« Les applications informatiques dont la maîtrise d'ouvrage est déléguée sont validées conjointement par le directeur et l'agent comptable de l'organisme national dans les mêmes conditions.
« Art. D. 114-4-13.-Le directeur et l'agent comptable de l'organisme national recensent les incidents informatiques constatés dans les organismes compris dans le périmètre du régime ou de la branche et procèdent à une analyse régulière de leur criticité, notamment en termes d'incidence financière, et de l'effectivité de leur traitement.
« Art. D. 114-4-14.-Le directeur et l'agent comptable national établissent un plan national de sécurité des systèmes d'information actualisé, le cas échéant, annuellement. Ce plan a, notamment, pour objet d'assurer la disponibilité du système d'information, la sécurité des accès, l'intégrité des données, la qualité de preuve des données et la protection de leur confidentialité.
« Le directeur et l'agent comptable national établissent également un plan national de reprise d'activité des systèmes d'information, afin d'assurer la continuité du service en cas d'incident ou de sinistre majeur. Ce plan est actualisé, le cas échéant, annuellement.
« Le directeur et l'agent comptable de l'organisme national établissent les règles de gestion des habilitations qui sont actualisées, le cas échéant, annuellement.
« Art. D. 114-4-15.-Dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, les échanges de données informatisées entre organismes de protection sociale font l'objet d'un conventionnement. Les conventions définissent, notamment, le contenu des données transmises, les échéances de transmission, les contrôles mis en œuvre par l'émetteur et le destinataire des données, qui portent notamment sur leur exactitude, et les modalités de traitement des rejets. Elles précisent également les modalités de suivi et d'évaluation réciproques des engagements conventionnels.
« La mise en œuvre des conventions fait l'objet d'un audit périodique en application de l'article D. 114-4-9.


« Paragraphe 4



« Rapport annuel de contrôle interne du régime ou de la branche
et de l'activité de recouvrement du régime général


« Art. D. 114-4-16.-Un rapport présentant un bilan du dispositif national de contrôle interne et intégrant les conclusions des audits est établi annuellement par le directeur et l'agent comptable de l'organisme national. Il est communiqué au ministre chargé de la sécurité sociale au plus tard le 30 juin de l'année suivant celle au titre de laquelle il a été établi, accompagné des rapports d'audit prévus à l'article D. 114-4-9.
« Le rapport de contrôle interne comprend, notamment, une description des principales caractéristiques du dispositif et du plan de contrôle interne, les résultats des activités de contrôle et des indicateurs de maîtrise des risques, l'analyse des principaux motifs d'erreur ou d'anomalie détectées par catégorie d'opérations, ainsi que la description des actions de correction mises en œuvre ou prévues, le cas échéant, dans le cadre de plans d'actions spécifiques.


« Paragraphe 5



« Dispositions spécifiques aux organismes nationaux gérant un régime ou une branche organisés en réseau et à l'Agence centrale des organismes de sécurité sociale
« Art. D. 114-4-17.-Chaque organisme constitutif du réseau fait l'objet d'un audit sur place selon une périodicité fixée par le directeur et l'agent comptable de l'organisme national. Le directeur et l'agent comptable de l'organisme national peuvent prévoir une périodicité plus rapprochée pour les organismes dont les performances sont inférieures à la moyenne nationale, notamment dans la réalisation des objectifs des contrats pluriannuels de gestion. Le directeur peut également décider d'audits inopinés.
« Pour l'exercice de sa compétence d'audit, l'organisme national peut requérir des organismes locaux la communication sur place ou sur pièces de tous documents détenus par ces organismes, notamment les pièces comptables et correspondances relatifs aux gestions techniques et budgétaires, à la comptabilité et au contrôle interne informatique de ces organismes.
« Les auditeurs mettent en œuvre une procédure contradictoire à l'égard des organismes contrôlés. Les réponses de l'organisme assorties, le cas échéant, des observations des auditeurs sur ces dernières sont annexées au rapport d'audit définitif, qui est transmis pour information au service mentionné à l'article R. 155-1 dans un délai de trente jours suivant son adoption définitive.
« Le directeur de l'organisme local est tenu de communiquer au directeur et à l'agent comptable de l'organisme national les suites données aux recommandations formulées.
« Art. D. 114-4-18.-En cas de défaillances importantes, le directeur de l'organisme national demande à l'organisme local, en concertation avec l'agent comptable, de mettre en œuvre un plan de redressement dont il définit les orientations et les modalités d'exécution. Le directeur de l'organisme local concerné est tenu de communiquer au directeur et à l'agent comptable de l'organisme national les suites données aux recommandations du plan de redressement.


« Sous-section 2



« Dispositions propres aux organismes locaux



« Paragraphe 1



« Contrôle interne


« Art. D. 114-4-19.-Le directeur et l'agent comptable de l'organisme local mettent en œuvre et, le cas échéant, complètent en fonction des activités et de la criticité des risques locaux le dispositif de contrôle interne national mentionné à l'article D. 114-4-6.
« Art. D. 114-4-20.-Le directeur et l'agent comptable de l'organisme local déclinent et, le cas échéant, complètent en fonction des risques et des processus propres à l'organisme les cartographies mentionnées à l'article D. 114-4-7. Elles sont actualisées, le cas échéant, selon une périodicité annuelle.
« Le directeur et l'agent comptable mettent en œuvre et, le cas échéant, complètent le plan de contrôle interne national mentionné à l'article D. 114-4-7 en fonction des activités et de la criticité des risques locaux, en cohérence avec le plan de contrôle annuel de l'agent comptable mentionné à l'article D. 122-8.
« Ce plan local, qui porte sur une période correspondant à l'année civile :
« ― précise l'objet des contrôles et des supervisions à effectuer au cours de l'exercice et les objectifs de maîtrise des risques associés, notamment en matière de liquidation des prestations, de recouvrement des cotisations et d'habilitations informatiques ;
« ― décline les moyens destinés à mesurer l'effectivité du dispositif de contrôle interne et les indicateurs de suivi de son efficacité définis par l'organisme national. Il les complète, le cas échéant, d'outils et d'indicateurs propres à l'organisme. Ces indicateurs mesurent, notamment, le risque lié aux activités relevant de l'ordonnateur et le risque financier résiduel après les supervisions de l'ordonnateur et les contrôles de l'agent comptable.
« Art. D. 114-4-21.-Un rapport de contrôle interne présentant un bilan du dispositif de contrôle interne est établi annuellement par le directeur et l'agent comptable de l'organisme local. Il comprend, notamment, une description des principales caractéristiques du dispositif et du plan de contrôle annuel, les résultats des activités de contrôle et des indicateurs de maîtrise des risques, l'analyse des principaux motifs d'erreur ou d'anomalie détectées par catégorie d'opérations ainsi que la description des actions de correction mises en œuvre ou prévues. Il est communiqué à l'organisme national dont il relève au plus tard le 31 mai de l'année suivante.


« Paragraphe 2



« Contrôle interne des systèmes d'information


« Art. D. 114-4-22.-Le contrôle interne des systèmes d'information des organismes locaux est conforme au dispositif national défini à la sous-section 1 de la présente section.
« Art. D. 114-4-23.-Le directeur et l'agent comptable de l'organisme local complètent, le cas échéant, la cartographie nationale des applications informatiques mentionnée à l'article D. 114-4-10. Cette cartographie est actualisée, le cas échéant, selon une périodicité annuelle.
« Art. D. 114-4-24.-Le directeur et l'agent comptable de l'organisme recensent les incidents informatiques propres aux applications locales et procèdent à une analyse régulière de leur criticité, notamment en termes d'incidence financière, et de l'effectivité de leur traitement. Ce recensement est transmis à l'organisme national selon une périodicité annuelle.
« Art. D. 114-4-25.-Le directeur et l'agent comptable déclinent et, le cas échéant, complètent le plan national de sécurité des systèmes d'information mentionné à l'article D. 114-4-14. Ce plan est actualisé, le cas échéant, selon une périodicité au moins annuelle.
« Le directeur et l'agent comptable s'assurent du respect des règles de gestion des habilitations pour les applications nationales définies en application de l'article D. 114-4-14 et établissent, le cas échéant, les règles de gestion des habilitations des applications locales.
« Art. D. 114-4-26.-Les applications réalisées localement, qui doivent répondre à un besoin spécifique de l'organisme local, sont validées par le directeur et l'agent comptable de l'organisme local conformément aux dispositions de l'article D. 114-4-12, après accord exprès du directeur et de l'agent comptable de l'organisme national. Un procès-verbal de validation est dressé par le directeur et l'agent comptable de l'organisme local.
« L'agent comptable de l'organisme local peut refuser la mise en production d'une application informatique dont il estime qu'elle ne respecte pas les règles fixées par le présent code. Il en informe le directeur de l'organisme qui a la possibilité de passer outre ce refus par décision notifiée à l'agent comptable. Le directeur transmet une copie de cette décision au directeur et à l'agent comptable de l'organisme national qui disposent d'un délai de trente jours pour s'opposer à cette décision.


« Sous-section 3



« Dispositions propres aux régimes obligatoires de base gérés
par des organismes régis par des dispositions particulières


« Art. D. 114-4-27.-Pour l'application des dispositions de la présente section aux régimes obligatoires de base qui ne sont pas gérés par un organisme national de sécurité sociale :
« 1° Les mots : " le directeur et l'agent comptable ”, les mots : " le directeur et l'agent comptable de l'organisme national ”, les mots : " le directeur ” et les mots : " l'agent comptable ” sont remplacés par les mots : " l'organisme gestionnaire ” ;
« 2° Les dispositions du dixième alinéa de l'article D. 114-4-12 ne sont pas applicables ;
« 3° A l'article D. 114-4-9, les mots : " les organismes nationaux ” sont remplacés par les mots : " les organismes gestionnaires ” ».
« Art. D. 114-4-28.-Les dispositions de la présente section sont applicables à la Mutualité sociale agricole dans les limites fixées par les articles L. 723-13 et L. 723-13-1 du code rural et de la pêche maritime et sous réserve des dispositions des sous-sections 6 et 7 de la section IV du chapitre III du titre II du livre VII de ce même code.


« Sous-section 4



« Dispositions propres aux organismes concourant au financement
des régimes obligatoires de base de sécurité sociale


« Art. D. 114-4-29.-Les dispositions des articles D. 114-4-6, D. 114-4-7 et D. 114-4-16 sont applicables aux organismes concourant au financement des régimes obligatoires de base de sécurité sociale selon des modalités adaptées à la nature de leurs activités. »