• Aucun résultat trouvé

B - Vérifications réalisées par la Cour

1 - Les dispositifs de contrôle interne

La Cour a examiné les dispositifs généraux de maîtrise des risques susceptibles d’avoir une portée financière et les dispositifs de prévention et de détection des fraudes externes et internes et des conflits d’intérêt. Elle a également examiné l’organisation de la fonction d’audit interne, les thèmes couverts par les audits récents, les résultats de ces audits et les suites données aux recommandations des auditeurs internes.

L’examen des dispositifs de contrôle interne propres aux principales activités des organismes du régime général de sécurité sociale a couvert les principaux flux de prélèvements sociaux acquittés par les cotisants (employeurs et travailleurs indépendants) et d’impôts et de taxes affectés au financement de la sécurité sociale (comme la TVA, ou les remises versées par les entreprises pharmaceutiques), les principaux flux de prestations sociales (remboursements de frais de santé, indemnités journalières, pensions d’invalidité et rentes AT-MP ; prestations familiales légales et extra-légales et prestations de solidarité versées pour le compte de l’État et des départements ; retraites de droit propre et de droit dérivé ; prises en charge médico-sociales), ainsi que les droits à prestations lorsque la reconnaissance de ces derniers précède l’attribution proprement dite de prestations (droits aux prestations d’assurance maladie, données de carrière prises en compte pour les retraites de droit propre).

Les mesures du risque financier résiduel qui affecte les principales prestations mises en paiement et comptabilisées par les différentes branches, qui rendent compte de l’efficacité du contrôle interne, ont notamment été vérifiées au moyen de tests permettant d’apprécier la fiabilité du calcul des indicateurs correspondants (règlements de frais de santé en facturation directe, indemnités journalières, retraites et prestations légales et extra-légales versées par les CAF).

2 - Les systèmes d’information

Les dispositifs de contrôle interne propres aux systèmes d’information ont également été audités, afin d’évaluer la portée des risques informatiques. La Cour a notamment examiné les processus relatifs à la sécurité des systèmes d’information et aux dispositifs de secours informatique.

Les exigences réglementaires applicables en matière de sécurité des systèmes d’information97 ne sont que partiellement satisfaites. Le retard important pris en la matière expose les branches à des risques significatifs, notamment au titre de la gestion des données. En cas d’incident affectant leurs sites de production, les dispositifs de secours informatique mis en œuvre par les branches font par ailleurs apparaître des marges de progrès.

À titre d’exemple, le système d’information de la branche famille ne présente pas une disponibilité suffisante pour lui permettre de liquider des prestations légales depuis son site de secours.

La Cour a, par ailleurs, confié à des prestataires de service, agissant pour son compte et placés sous sa responsabilité, la conduite d’audits informatiques :

- pour les branches maladie, un audit a porté sur les outils de contrôle de la valorisation de l’activité des établissements publics et privés à but non lucratif gérés par l’agence technique de l'information sur l'hospitalisation (Atih) dans le cadre du programme de médicalisation des systèmes d'information (PMSI) ;

97 Politique de sécurité des systèmes d’information des ministères chargés des affaires sociales (PSSI-MCAS), publiée en octobre 2015, règlement général sur la protection des données (RGPD) depuis mai 2018 et exigences relatives à désignation des organismes de sécurité sociale en tant qu’opérateurs de services essentiels (OSE) en septembre 2019.

- pour la branche famille, un audit a porté sur la mise en œuvre du nouveau système d’information (NSI) de la branche, dont les premières fonctionnalités consistent en l’acquisition des données du dispositif ressources mensuelles (DRM) et le calcul des aides au logement à partir de ces dernières ;

- pour la branche vieillesse, un audit a porté sur les premiers modules déployés au titre du nouveau système de régularisation des carrières (Syrca), relatifs aux critères de sélection des dossiers à régulariser et à l’automatisation de certaines tâches.

3 - Les enregistrements comptables et l’information financière La justification des opérations comptabilisées et la correcte application par les organismes locaux des traitements comptables fixés par les organismes nationaux ont été vérifiées, ainsi que la correcte comptabilisation par les caisses nationales des notifications de l’Acoss.

S’agissant de l’activité de recouvrement, la Cour a plus largement examiné la correcte répartition entre les attributaires de l’Acoss des produits, des encaissements et des charges de prélèvements sociaux et d’impôts et de taxes affectés, ainsi que la réciprocité des créances et des dettes avec l’État.

Ont également été audités les enregistrements comptables qui résultent d’une estimation, notamment les dépréciations de créances sur les cotisants, les produits à recevoir et les provisions pour réductions de produits de prélèvements sociaux (avec le concours d’un prestataire de service placé sous le contrôle de la Cour), et les charges à payer et provisions pour charges relatives aux prestations sociales.

Les principaux transferts financiers entre les branches du régime général (AVPF notamment) et entre ces dernières et des entités tierces ont également été examinés (transferts en provenance du FSV et intégrations financières aux branches du régime général notamment). Il en va de même des reprises de déficits effectuées par la Cades.

Le processus de combinaison des comptes des organismes appartenant au périmètre des différentes branches et de l’activité de recouvrement a été audité afin d’en apprécier la fiabilité.

Les règles d’élaboration et de présentation des bilans et des comptes de résultat ont été examinées, pour s’assurer du respect des principes comptables, notamment ceux de comptabilisation en droits constatés, d’indépendance des exercices et de non-compensation entre les charges et les produits, et entre les dettes et les créances.

Enfin, la Cour a examiné l’incidence sur les comptes des branches du régime général et de l’activité de recouvrement, ainsi que sur les comptes des organismes nationaux, des événements significatifs intervenus entre le 31 décembre 2021 et le 12 mai 2022, date à laquelle le présent rapport a été approuvé par la chambre du conseil.

C - Suivi des constats formulés par la Cour