DIRECTION DELEGUEE DIRECTION FINANCIERE ET COMPTABLE YC/PR/MS Le 18 novembre 2011 Plan de maîtrise des risques de la branche Retraite Présentation générale Le plan de maîtrise des risques de la Branche retraite s appuie sur un dispositif qui relève d un corpus de règles législatives et réglementaires, associant dans sa mise en œuvre la responsabilité du Directeur et de l Agent comptable. A ce corpus initial s ajoute d autres sources issues de la Convention d Objectifs et de Gestion et des recommandations des audits menés par la branche (audit interne et général, audit de validation) et venant de corps externes de contrôle tels que la Cour des comptes dans ses missions de certification ou de contrôle juridictionnel, l Igas, l Igf. Cet ensemble de sources est décrit en première partie. La mise en œuvre de ce dispositif de maîtrise et son évaluation a été progressive. Elle a associé des acteurs de différentes directions et services de la Cnavts et de la branche. Afin de donner plus d efficacité et de visibilité à la démarche engagée, des dispositions ont été prises pour construire un système de pilotage cohérent associant les responsables de démarches communes ou complémentaires. Les modalités de ce pilotage sont décrites dans une deuxième partie.
Sommaire PREMIERE PARTIE : LES SOURCES DU PLAN DE MAITRISE DES RISQUES DE LA BRANCHE.... 3 1.1. Le dispositif de maîtrise des risques de la branche retraite relève d un point de vue réglementaire de responsabilités associées ou complémentaires des Directeurs et des Agents comptables de la Branche... 3 1.1.1. Le contrôle interne est une responsabilité conjointe qui associe Directeurs et Agent comptables aux actions communes de maîtrise des risques 3 1.1.2. L Agent comptable élabore un plan de contrôle qui vient s intégrer dans le plan de contrôle interne de l organisme... 4 1.2. Le dispositif de maîtrise des risques de la Branche s appuie sur d autres sources... 5 1.2.1. La COG et le SDSI... 5 1.2.2. Les recommandations issues des dispositifs d évaluation de la Branche.. 7 DEUXIEME PARTIE : UN SYSTEME DE PILOTAGE A ETE CONSTRUIT AFIN DE DONNER DE LA COHERENCE AUX ACTIONS MENEES PAR DIFFERENTS SERVICES ET DIRECTIONS... 9 2.1. Le dispositif de maîtrise de la Branche... 9 2.1.1. Les acteurs de la maîtrise des risques... 9 2.1.2. Les structures de pilotage... 11 2.1.3. Un seul référentiel, un seul outil... 13 2.2. Pilotage de la mise en œuvre et de la qualité du SDSI... 13 2.2.1. L intégration de la Maîtrise des Risques dans le cycle de vie des projets et la qualification... 13 2.2.2. La qualification des applications informatiques... 14 2.2.3. Les structures de pilotage du SDSI... 14 2.3. L évaluation du dispositif de maîtrise de la Branche... 15 2.3.1. Les acteurs de l audit à la Cnavts et dans la branche... 15 2.3.2. La structure de pilotage... 16
PREMIERE PARTIE : LES SOURCES DU PLAN DE MAITRISE DES RISQUES DE LA BRANCHE. 1.1. Le dispositif de maîtrise des risques de la branche retraite relève d un point de vue réglementaire de responsabilités associées ou complémentaires des Directeurs et des Agents comptables de la Branche Dans le pilotage et la gestion d un organisme et du réseau, le Directeur assume une responsabilité générale de maîtrise des risques, dont la formalisation s est faite jour avec le décret du 10 août 1993. Préalablement à ce décret les activités de contrôle étaient plus généralement dévolues à l agent comptable dans le cadre de sa responsabilité propre. La construction progressive du dispositif réglementaire conduit à un champ de responsabilité largement partagé par le directeur et l agent comptable, le périmètre dévolu à ce dernier ayant fait l objet de précisions successives. 1.1.1. Le contrôle interne est une responsabilité conjointe qui associe Directeurs et Agent comptables aux actions communes de maîtrise des risques Le décret du 10 août 1993 a instauré dans les organismes de sécurité sociale, à l instar de la pratique qui se développait dans les entreprises, une obligation conjointe au directeur et à l Agent comptable, de mettre en œuvre un dispositif de contrôle interne. Une acception élargie du contrôle interne a été introduite dans le cadre de l arrêté du 27 novembre 2006 pris en application de l article D 114-4-2 relatif à la validation des comptes des organismes locaux par l Agent comptable national dont le référentiel laisse une large part aux principes de contrôle interne. Les décrets 2007-1500 du 18 octobre 2007 et 2008-1407 du19 décembre 2008 ont ensuite assez sensiblement modifié le contexte réglementaire dans lequel s exerce le contrôle interne des organismes de sécurité sociale et ont élargi le champ des responsabilités communes des Directeurs et Agents comptables en la matière. L ensemble est consolidé dans une circulaire DSS/A4/2008/224 du 8 juillet 2008 qui facilite la lecture du nouvel ensemble réglementaire 1.1.1.1. Le champ des responsabilités communes s étend à la non qualité et précise la provenance du risque Le champ d intervention du contrôle interne concerne désormais l ensemble des risques, et non plus seulement financiers. Il s étend aux risques d'erreurs, d anomalies, de fraudes ou cas de non-respect des règles et procédures se traduisant par une perte financière, mais aussi sur le risque de «non qualité». Avec la mise en œuvre du contrôle interne, le Directeur et l Agent comptable d un organisme doivent se fixer les objectifs suivants : la réalisation et l optimisation des opérations, la fiabilité des informations financières, la conformité aux lois et aux réglementations en vigueur Les risques peuvent être d'origine externe ou interne :
le risque externe tient à la qualité et à la fiabilité des informations reçues et traitées par l organisme, le risque interne tient à la qualité des traitements et procédures mises en œuvre pour exploiter les informations reçues 1.1.1.2. La lutte contre les fraudes devient un objectif commun Cet objectif particulier de lutte contre la fraude, fixé aux Directeurs et aux Agents comptables des organismes de sécurité sociale, est désormais une priorité rappelée dans plusieurs textes, dont l article L 161-1-4 du code de la sécurité sociale et le décret n 2007-1500. Le Directeur et l Agent comptable doivent notamment veiller à la mise à jour du plan de contrôle interne de l organisme et l Agent comptable doit adapter son plan de contrôle en fonction des nouvelles possibilités de fraudes ou des nouveaux types de fraudes détectés. Le plan de contrôle interne de l organisme et le plan de contrôle de l Agent comptable doivent être suffisamment précis pour permettre de définir une stratégie de lutte contre les fraudes. Ils doivent faire l objet d une veille permanente et être régulièrement évalués et améliorés en fonction des failles éventuellement identifiées. 1.1.1.3. La qualité du système d information est une responsabilité associée du Directeur et de l Agent comptable national La qualité du système d information repose sur les dispositifs de qualification qui font appel aux compétences des équipes de maîtrise d œuvre et de maîtrise d ouvrage sous la responsabilité du Directeur. Toutefois, l article D.122-10 précise le rôle des Agents comptables, et en particulier de l Agent comptable de l organisme national dans la validation des applications informatiques nationales et dans la maîtrise d ouvrage des applications informatiques qui touchent aux opérations financières et comptables. Il permet à l Agent comptable de l organisme national de déléguer à un Agent comptable d organisme local la validation d une application informatique nationale. La vérification périodique, par sondage, de la fiabilité des moyens informatiques par l Agent comptable dispense de vérifier systématiquement l exactitude matérielle des calculs effectués par les traitements automatisés, mais il doit pouvoir justifier que des vérifications sont régulièrement effectuées, notamment en cas de changement de procédures entraînant des modifications dans les calculs. 1.1.2. L Agent comptable élabore un plan de contrôle qui vient s intégrer dans le plan de contrôle interne de l organisme 1.1.2.1. Le plan de contrôle de l Agent comptable s inscrit dans le dispositif de contrôle interne de l organisme Prévu par l article D 122-8 du CSS ce plan de contrôle élaboré spécifiquement par l Agent comptable est distinct du plan de contrôle interne de l organisme élaboré conjointement par le Directeur et l Agent comptable. Il s insère dans celui-ci et respecte les instructions diffusées par l Agent comptable de l organisme national. Le plan de contrôle de l Agent comptable fixe notamment :
les procédures de vérification de la régularité des dépenses des gestions techniques et budgétaires, les dispositifs de contrôle visant à détecter les fraudes et les risques majeurs liés au traitement automatique des informations, les modalités de contrôle des pièces justificatives (existence, conformité et réalité), la hiérarchie à exercer dans les contrôles (contrôle exhaustif, sélectif, par sondage suivant la nature des opérations), la nature des actions à mener dès lors que des anomalies ont été décelées, les procédures d examen des fichiers et des mouvements qui génèrent des flux d informations permettant la liquidation des opérations. L art D 122. 9 précise également les vérifications que doit exercer l Agent comptable dès lors que l organisme fait appel à des procédures informatisées, telles que : habilitation des personnes autorisées à saisir ou manipuler des données utilisées pour les calculs de liquidation de droits, justification des données saisies ou traitées, détection des fraudes et des risques majeurs liés au traitement automatique des informations, traitement des données justifiées et d elles seules, contrôle des sécurités physiques et logiques destinées à assurer le respect des règles d accès aux systèmes informatiques, la sauvegarde des programmes et des fichiers, ainsi que l intégrité des fichiers, des données et des échanges. 1.1.2.2. La responsabilité des Agents comptables dans le cadre d activités mutualisées est précisée Depuis le décret du 19 décembre 2008 un cadre de responsabilité de l Agent comptable dans les activités mutualisées est expressément prévu : l Agent comptable de l organisme auquel le Directeur ou le Directeur général de l organisme national a confié la réalisation de missions ou d activités communes conformément à l article L.216-2-1 où à l article L.221-3-1 ou auquel un Directeur d un autre organisme a délégué une mission conformément à l article L.216-2-2 ou à l article L.611-11 est chargé des opérations comptables et financières relevant de ces missions ou de ces activités. 1.2. Le dispositif de maîtrise des risques de la Branche s appuie sur d autres sources L élaboration du dispositif repose également sur les engagements de la Convention d Objectifs et de Gestion entre l Etat et la Branche, et va également s appuyer sur les recommandations d audit, qu elles soient issues des audits menés par la branche ou des corps extérieurs de contrôle. 1.2.1. La COG et le SDSI 1.2.1.1. Un chapitre de la COG Etat-Branche retraite est consacré à la maîtrise des risques Il repose sur la mission première de la Branche et en déduit une orientation majeure: payer les prestations à temps, au bon montant, aux seuls assurés titulaires de droits à retraite.
Les activités de la branche doivent reposer sur un dispositif de maîtrise des risques formalisé, rénové et adapté en permanence. Le premier axe va engager la branche dans la réalisation d un référentiel unique et national de maîtrise des risques (Run-MR), destiné à devenir le cadre de synthèse de l ensemble du dispositif de maîtrise (contrôle interne, démarches qualité, sécurité des systèmes d information, lutte contre la fraude). Le renforcement des référentiels de données de la branche (SNGI et SNGC) par la qualité des identifications, la fiabilisation des données reçues et la sécurisation des opérations de régularisation de carrière, constitue le second volet de ce dispositif de maîtrise. Les trois axes suivants du chapitre 4 de la COG précisent les démarches d évaluation et d amélioration continue du dispositif de maîtrise des risques, l organisation et le recentrage de son pilotage et enfin les évolutions des outils, notamment l outil informatique destiné à répondre aux orientations de la convention. 1.2.1.2. Le SDSI intègre la maîtrise des risques en principe général et sa concrétisation s intègre dans la gestion des projets En matière de production informatique et de fonction support, les orientations d amélioration de la qualité programmées dans le cadre du SDSI s appuient sur la démarche ITIL conduite sur les processus de gestion des incidents et problèmes, les configurations et changements, les mises en production, la continuité et la disponibilité. Le plan d ensemble est défini pour la mise en œuvre en termes de méthode, de proposition d outils, de gestion de projet et de détermination d indicateurs de progrès (Tableau de bord ITIL). Concernant les différents domaines des SI, les orientations qualité vont s appuyer sur des principes de qualité partagés au sein de la Branche et avec les organismes partenaires, et vont faire l objet d un pilotage renforcé. L accent sera porté sur : la fiabilisation des données des référentiels de la Branche (approche unifiée de l identification avec nos partenaires, qualité des données «entrantes», sécurisation du référentiel national des carrières.) la sécurisation des opérations comptables et financières (expertise dans les domaines comptables et financiers, amélioration de la gestion des indus et du recouvrement) des structures de pilotage, de maîtrise du risque et de lutte contre les fraudes clairement identifiées et renforcées notamment par la conception d applications respectant strictement le principe de séparation des tâches et en mettant en place un dispositif de qualification plus performant et plus étendu pour l ensemble des processus, des outils pour prévenir ou détecter les risques et lutter contre la fraude tels que prévus dans le chapitre 4 de la COG. Concernant enfin la prise en compte de la maîtrise des risques dans les projets, un développement spécifique est consacré à ce sujet dans le cadre du pilotage (point 2.2.1).
1.2.2. Les recommandations issues des dispositifs d évaluation de la Branche 1.2.2.1. Le cadre réglementaire des CPG, de l audit interne et de la validation des comptes La Caisse nationale décline la COG en contrats pluriannuels de gestion passés avec les organismes du réseau et définit les modes procéduraux d évaluation associés. En réponse au décret de 1993, mis à jour en 2007, la Branche retraite a mis en place un dispositif d audit interne chargé d évaluer le contrôle interne et sa mise en œuvre. Le cadre d évaluation a évolué avec la certification des comptes et le référentiel de validation des comptes. Chaque organisme national est responsable de la mise en œuvre du référentiel de validation commun et en définit les modalités d application pour son réseau par circulaire annuelle ou lettre-réseau. Celles-ci comprennent en outre les règles spécifiques à chaque organisme national. Selon l arrêté du 27 novembre 2006, le référentiel de validation comprend les éléments suivants/ Les principes du contrôle interne du domaine de la comptabilité générale et des domaines des gestions budgétaires : description du système d information comptable et ses modalités de mises à jour, description des évolutions prévues de ce système d information, en particulier des évolutions destinées à améliorer la traçabilité des opérations, contenu du plan de contrôle interne du domaine comptabilité et des domaines des gestions budgétaires, Les principes du contrôle interne des gestions techniques : structuration du plan de contrôle interne par processus, définition d un objectif de couverture de l ensemble des processus par les règles de contrôle interne définies par la Caisse nationale, nécessité d information de l organisme national par les organismes locaux sur la mise en œuvre de ces règles, un indicateur reflétant cette mise en œuvre, Les principes du contrôle interne informatique concernant à minima les domaines suivants : o Organisation de la politique de sécurité du système d information, o Gestion documentaire, o Sécurité du patrimoine, o Sécurité physique et sécurités liées aux personnes o Sécurité des informations, o Sécurité logique des traitements et des communications, o Sécurité et cycle de vie des projets, o Exploitation du système d information. L organisme national calcule au moins un indicateur pour chaque domaine du contrôle interne informatique montrant le taux de couverture atteint dans chaque organisme. 1.2.2.2. L évaluation dans le cadre de l amélioration continue Les audits menés par la branche participent à améliorer le dispositif de maîtrise en identifiant des risques non couverts et des actions de maîtrise non appropriées. Les résultats des audits et leur consolidation permettent alors de proposer une mise à jour du référentiel de maîtrise et des axes d amélioration.
1.2.2.3. Les recommandations de la Cour des Comptes Dans ses opérations d audit, la Cour des comptes a identifié des faiblesses de contrôle interne, identification qui a conduit à émettre des réserves dans son rapport de certification des comptes. Ces réserves font l objet de plans d action suivi conjointement par la Cnav et la Cour, celles-ci étant amenées à faire évoluer son opinion d un exercice à l autre en prenant en compte les progrès réalisés par la branche. Les recommandations issues d autres évaluateurs externes (Igas, Igf, MNC, autres missions de la Cour des Comptes ) sont également suivies et conduisent, le cas échéant, à enclencher un plan d action
DEUXIEME PARTIE : UN SYSTEME DE PILOTAGE A ETE CONSTRUIT AFIN DE DONNER DE LA COHERENCE AUX ACTIONS MENEES PAR DIFFERENTS SERVICES ET DIRECTIONS Afin de rénover et conduire de manière efficace les actions dans ce domaine, les services de la Cnavts se sont adaptés et un dispositif de pilotage a été progressivement construit tant en matière de dispositif de maîtrise des risques que de cadre évaluatif. Le réseau contribue par ailleurs fortement à cette organisation soit en partie prenante aux projets, soit par le maillage des correspondants locaux. 2.1. Le dispositif de maîtrise de la Branche Les acteurs de la maîtrise des risques appartiennent à plusieurs directions et départements en charge de fonctions nationales. Toutefois, un pilotage global a été mis en œuvre et la fédération des efforts se construit dans le cadre d un seul référentiel et d un seul outil, le Run-MR. 2.1.1. Les acteurs de la maîtrise des risques 2.1.1.1. A la Cnavts Dans le cadre d une répartition structurelle des acteurs de la maîtrise des risques, le management des risques et du contrôle interne est rattaché à l Agent comptable national. Le Département Management des Risques et du Contrôle Interne est ainsi placé sous la responsabilité de la Direction du Réseau Financier et Comptable. Cette Direction assure également le pilotage national de la politique et des outils de contrôle de l Agent comptable, ce qui facilite sa bonne intégration dans le contrôle interne. Le Département «Management des Risques et du Contrôle Interne» Ce département est dédié au dispositif de gestion des risques et du contrôle interne. Il a notamment en charge la mise en œuvre du nouveau Référentiel unique national de Maîtrise des Risques. Ses principales missions consistent à assurer : o le pilotage Référentiel Unique National de Maîtrise des Risques et de ses outils o la gestion de la transition et l accompagnement des caisses dans la mise en œuvre du Run-MR o la modélisation et l analyse des risques dans le cadre de la gestion d outils spécifiques o l animation du réseau des correspondants contrôle interne puis maîtrise des risques Le Département «Politique et outils de contrôle» Il a pour mission de piloter la politique et les outils de contrôle de l Agent Comptable sur le domaine Retraite et assure les missions suivantes : o pilotage de la mise en œuvre de la politique de contrôle nationale, o administration et suivi des indicateurs de risque financier,
o maîtrise d ouvrage des outils de contrôle en coordination avec la DMOA, Le Département national de «Prévention et Lutte contre les Fraudes» Le DNPLF est rattaché à la Direction Juridique et Réglementation Nationale. La mission générale du DNPLF est de : o développer les axes de prévention, o d'animer le réseau des référents fraude de la branche, o de suivre les engagements vis-à-vis de la Tutelle, o de participer à la mise à disposition d'outils communs. Le Département Politique de Sécurité de la Direction du Système d information (DSI) Il est placé sous la responsabilité du Responsable Sécurité des Systèmes d Information (RSSI) de la Branche retraite. Il est le garant du référentiel PSSI et de l animation du réseau des RSSI dans les caisses. Il assure le suivi des travaux qui ont pour objet de décliner cette PSSI en procédures et modes opératoires pouvant donner lieu à des audits. Il consolide les résultats des audits en matière de sécurité des S.I. Il s assure de la convergence entre le PSSI et le référentiel «Run-MR». 2.1.1.2. Dans les caisses régionales et générales Des réseaux de correspondants sont constitués dans les caisses régionales sur les différents champs de la maîtrise des risques : Correspondants Maîtrise des risques, lutte contre la fraude et sécurité des systèmes d information. A ces réseaux s ajoute celui des responsables qualité qui participent au projet Run-MR compte tenu de son approche intégré contrôle interne-qualité (et ce bien que la branche ne soit pas engagée dans un démarche de certification ISO). Les Correspondants Maîtrise des Risques Dans le cadre du déploiement du Run-MR un réseau de Correspondants Maîtrise des Risques» a été constitué. Ces correspondants sont chargés de contribuer au déploiement du Run-MR dans les organismes et de coordonner au niveau local l intervention des différents acteurs de ce dispositif et ses outils. Selon l organisation des caisses régionales ces réseaux sont totalement ou partiellement regroupés au sein de structures transverses et peuvent être rattachés structurellement au Directeur ou/et à l Agent Comptable. Ils s appuient également sur des référents opérationnels dans les processus concernés. Le réseau des CMR est animé par le Département Management des Risques et du Contrôle Interne. Cette animation se traduit par des réunions régulières, des formations, la mise à disposition de tous les documents utiles dans une base de partage, l échange des pratiques, l assistance par mail ou téléphone.
Les référents fraudes Le DNPLF anime le Comité National Prévention et Lutte contre les Fraudes (CNPLF) composé systématiquement de l ensemble des référents fraude régionaux et en fonction des sujets d invités des Directions de la Cnavts (DSP, DSINDS, DMOA ) ou Carsat. L objectif de ce Comité est de : o partager les pratiques de prévention et de lutte contre les fraudes entre organisme, o présenter les travaux des groupes de travail animés et les valider ou prévalider, o présenter les orientations nationales fraude provenant de la DSS, de le DNLF (délégation nationale de lutte contre les fraudes) et du DNPLF o d informer des évolutions législatives et réglementaires en lien exclusif avec le thème de la fraude. Le réseau des RSSI La caisse nationale, chaque caisse régionale (Carsat et Crav) ainsi que chaque caisse générale de sécurité sociale (Dom) dispose d un RSSI régional - responsable de la sécurité des systèmes d information. Le RSSI régional est le relais local du RSSI national. Ce réseau est animé par le RSSI national. Il est réuni deux fois par an au cours de journées nationales de travail et d information. L objectif de ce réseau est d assurer localement la mise en œuvre de la PSSI à partir du plan d actions SSI, de relayer toute décision ou toute action ponctuelle de sécurité prise au niveau national et de renseigner les indicateurs de sécurité. 2.1.2. Les structures de pilotage Une note de service Cnavts du 3 février 2009 a précisé les structures de pilotage du dispositif de maîtrise. 2.1.2.1. Le comité stratégique de la maîtrise des risques CSMR Le CSMR a vocation à traiter des orientations stratégiques et décisions impactant la gestion des organismes dans les domaines suivants : gestion des risques et contrôle interne lutte contre la fraude politique de sécurité du système d information stratégie de réponse de la branche suite aux recommandations d audit Ce comité stratégique est aussi le lieu de rencontre des organismes et de la Cour des Comptes, suite à ses rapports de mission. Il se réunit 1 ou 2 fois par an et/ou le cas échéant sur demande de la Cour des Comptes. Il est composé de : Au titre du réseau :
o Directeurs de Carsat Crav Cgss o Agents Comptables de Carsat Crav Cgss o Secrétaire général Cnav o Directeur Financier et Comptable de l Etablissement (Cnav) Au titre de la Direction de la Cnav : o Directeur Général o Directeur Délégué o Agent Comptable o Directeur du Système d Information o Directeur de la Maîtrise d Ouvrage o Directeur Juridique et Réglementation National o Directeur Statistiques et Prospective o En fonction de l ordre du jour et des présentations, d autres directions ou départements de la Cnav apporteront leur concours. 2.1.2.2. Le Comité de maîtrise des risques CoMR Le Comité de Maîtrise des Risques a vocation à prendre des décisions dans un registre plus opérationnel et se réunit 4 fois par an. Il a pour mission de : proposer la stratégie nationale de maîtrise des risques notamment en lien avec les objectifs COG, assurer la cohérence des différentes démarches de maîtrise des risques en coordonnant les acteurs, les outils et les instructions, valider l avancement des actions mises en œuvre (COG, contrôle interne, fraude, sécurité du SI), décider des actions à mener suite aux recommandations d audits (externes et internes), étudier les analyses des risques réalisées par les équipes MOA et MOE dans le cadre des projets informatiques et décider du niveau de risque acceptable. Le CoMR valide les travaux des groupes de travail ou des acteurs permanents de la maîtrise des risques, et définit notamment la stratégie de réponse suite aux recommandations d audits internes (Cog, réseau, validation des comptes) et des audits externes (Cour, prestataires informatiques, tutelle...) Le CoMR est ainsi composé : Au titre du réseau : o 4 Directeurs de Carsat Crav Cgss o 4 Agents Comptables de Carsat Crav Cgss Au titre de la Direction de la Cnav : o Directeur Délégué o Agent Comptable o Directeur de la Maîtrise d ouvrage o Directeur du Système d Information o Directeur Juridique et Réglementation Nationale o Directeur Statistiques et Prospective o Selon l ordre du jour, il associe également : le Secrétaire Général, le Directeur du Réseau Financier et Comptable,
le Département Management des Risques et du Contrôle Interne, le Département National de Prévention et de Lutte contre les Fraudes, le Département Sécurité des Système d Informations, la Direction de la Coordination Nationale Audit Interne* et la Direction Financière et Comptable Nationale Département Validation des Comptes* (*suivi plans d actions d audit interne et Cour des Comptes) 2.1.3. Un seul référentiel, un seul outil Le principe de refondre le dispositif de maîtrise des risques de la branche a été adopté en 2008 et les orientations suivantes ont été données au futur dispositif : Etablir une cartographie nationale des processus de la Branche retraite commune au SDSI au dispositif de maîtrise et à la comptabilité analytique, Définir une méthode pour la Branche retraite intégrant les différentes démarches existantes (contrôle interne, démarche qualité et plan de maîtrise socle, PSSI, ) afin d établir un Référentiel Unique National de Maîtrise des Risques. Déterminer les outils à utiliser dans la mise en œuvre de cette méthode. Des orientations complémentaires ont été ensuite validées par le CDSI le 13 février 2009, en particulier la formalisation partagée des processus de la branche (cartographie ou vue «métier») est prise en charge par le projet Run-MR. Les travaux de cartographie et leur validation associent tous les acteurs concernés. La méthodologie nécessaire à la définition du référentiel commun «métiers» et «SI» (architecture de la cartographie, conventions de format, gestion des filtres, scripts, droits d accès ) est définie conjointement par le projet d urbanisation de la DSI et le projet Run- MR. Dans le cadre de ces projets, une instance de pilotage opérationnel est constituée pour assurer la convergence des approches et des méthodes. Elle est chargée de : valider l architecture de la cartographie «vue métier», les conventions de format, la gestion des filtres, la gestion des droits d accès, veiller à la cohérence des approches entre les projets en cours (Run-MR, Sinergi, cartographie du processus «gérer les SI», urbanisation du SI), assurer les relations avec l éditeur du ou des outils retenus, gérer la transition entre le mode projet et l organisation pérenne à mettre en place. 2.2. Pilotage de la mise en œuvre et de la qualité du SDSI Le schéma directeur des systèmes d information 2009/2013, par l importance qu il revêt dans la gestion de la branche, fait l objet d un développement particulier abordant successivement les démarches de cycle de vie des projets, de qualification, avec leurs acteurs et le pilotage. 2.2.1. L intégration de la Maîtrise des Risques dans le cycle de vie des projets et la qualification Afin d améliorer la qualité de conduite de ses projets informatiques, il a été décidé de doter la branche Retraite d une direction Qualité Méthodes Urbanisation, en charge, entre autres, de la méthodologie de conduite de projet.
Un cadre commun, intitulé «cycle de vie des projets», a ainsi été mis en place pour l ensemble des projets informatiques de la branche, et validé par le CDSI. Cette approche vise à décomposer toutes les activités afférentes à un projet en grands processus (prendre en compte les demandes, concevoir et réaliser un projet, intégrer, mettre en production) et à expliciter chaque processus sous forme de successions d étapes, nécessitant parfois des boucles de rétroaction. Ainsi chaque processus fait-il l objet d une représentation graphique claire en étapes, chacune d elles étant caractérisée par une fiche simple : ceci donne aux acteurs des projets une lisibilité réelle sur ce qui est attendu d eux, et permet d éviter des oublis majeurs. La conception même du cycle de vie des projets accorde une place centrale à la maîtrise des risques : prise en compte de la maîtrise des risques dans les phases de conception du projet clarification des responsabilités MOA MOE dans les différentes étapes mise en exergue du processus de qualification dans son ensemble étapes explicitement dédiées à la sécurité mise en évidence de plusieurs «points de décision» (exemple : PV de VABF), qui peuvent conduire à revenir en arrière dans le projet si les critères de validation ne sont pas respectés accent mis sur les revues (revue de tests unitaires, revue de conception, revue d orientations de qualification, revue de cahier des charges, ), qui constituent un excellent moyen de prévenir les risques en intervenant très en amont 2.2.2. La qualification des applications informatiques La qualification des applications informatiques est partagée entre la maîtrise d œuvre et la maîtrise d ouvrage. La qualification fonctionnelle relève des services de la DSI. La vérification d aptitude au bon fonctionnement, à l issue de l intégration, permettant de porter à la signature de l Agent comptable national un procès verbal de VABF est confié, sous la responsabilité de la DMOA, à deux centres nationaux de qualification, le premier à Paris pour la qualification retraite, le second à Marseille pour tous les autres processus. Un expert qualité, adjoint à l Agent comptable national est associé à la construction du dispositif et en surveille sa cohérence. Il vérifie par ailleurs la qualité et la traçabilité des différents tests. Enfin un dispositif documentaire homogène permet d assurer pour les Agents comptables du réseau, la visibilité complète des décisions prises quant la mise en production d applications nouvelles ou de versions lourdes. 2.2.3. Les structures de pilotage du SDSI 2.2.3.1. Le Comité Stratégique du Schéma Directeur des SI (CSSDSI) Composé des Directeurs du réseau et d un représentant des Agents comptables, il a pour mission de s'assurer que les évolutions des SI correspondent bien aux ambitions métiers du projet branche à assurance retraite années 2010». Il intervient donc sur la dimension stratégique.
Il est consulté pour toutes les évolutions SI susceptibles d'avoir un impact important sur les organisations et structures des caisses et demande, le cas échéant, des inflexions ou évolutions de ces projets. Il est informé de la réalisation des grands projets du schéma directeur et émet des avis sur des évolutions ou actions correctrices. 2.2.3.2. Le Comité de Direction des S.I (CDSI) Le Comité de Direction des S.I a pour mission de prendre les décisions qui permettent la mise en œuvre générale du schéma directeur et le bon fonctionnement général des systèmes d information, notamment : Arrête l organisation de chaque domaine du S.I et fixe la composition des Comité Opérationnel de Pilotage et de Suivi (CoPS) et des Comités de Pilotage (Copil) de domaines transversaux, Désigne, le cas échéant, les responsables des projets majeurs, Valide pour chaque processus et domaine fonctionnel : Le plan pluri - annuel des macros projets du domaine Le plan d'évolution annuel avec la répartition des ressources et moyens entre nouveaux projets et projets et activités de maintenance 2.2.3.3. Les CoPS et CoPIL Ils associent le réseau et les experts de la DMOA et de la DSI à la construction du SDSI. Pilotés par un trinôme «directeur métier DSI et DMOA», ils enrichissent de la composante métier l ensemble du dispositif et peuvent constituer un relais pour le dispositif de maîtrise (Run-MR). 2.3. L évaluation du dispositif de maîtrise de la Branche Les structures et le pilotage de l audit associent les moyens des différents acteurs : audit général, audit interne et audit de validation de comptes. 2.3.1. Les acteurs de l audit à la Cnavts et dans la branche 2.3.1.1. A la Cnavts Deux directions à la Cnavts ont en charge des missions d audit : la DCN et la DFCN. D autres directions peuvent mandater des audits, telle que la DSI pour les audits informatiques. La Direction de la Coordination Nationale (DCN) Le département «Audit National» réalise notamment des audits des engagements et des indicateurs CPG, des audits de changement de Directeurs et de suivi de mises en place de recommandations. Le département «Audit Interne» anime le réseau des auditeurs internes, consolide les résultats des missions audits référents et de conformité inscrites au plan national et réalise des audits de conformité.
La Direction Financière et Comptable Nationale (DFCN) Le département «Validation des comptes» réalise des audits au regard du référentiel de validation. Un audit du contrôle interne des processus est mené lors des missions intermédiaires afin d analyser le risque que des anomalies soient contenues dans les états financiers, audités lors des missions finales. Des audits de conformité relatifs aux actions locales ou nationales peuvent être réalisés. Dans le cadre de la validation, un audit des systèmes d information concourant directement ou indirectement à la production de l information financière est mené afin de conclure sur sa fiabilité. Il comprend notamment l audit de sécurité informatique au regard du référentiel Cobit ainsi qu un audit de la mise en œuvre de la PSSI dans les organismes. La Direction du Système d Information (DSI) La DSI est susceptible de mandater un prestataire dans le cadre des audits de système d information portant notamment sur la vulnérabilité et la conformité de mise en œuvre de l architecture. 2.3.1.2. Dans la branche Les auditeurs internes de la branche Retraite réalisent les audits référents dans leurs organismes et les audits de conformité prévus au plan national d audit. Ils mènent également les audits d initiative locale. 2.3.2. La structure de pilotage Afin de coordonner les audits réalisés par la Cnavts, une structure de pilotage et de coordination des audits de la Caisse Nationale a été créée pour la Branche Retraite : le Comité National d'audit (CNA). Composée du Directeur général de la Caisse nationale représentée par le Directeur délégué, de l Agent comptable de la Caisse nationale, des Directeurs de la DCN et de la DFCN, des responsables des départements «Audit national» et «Audit interne» de la DCN et du département «Validation des comptes» de la DFCN. En fonction de l actualité le CNA, fait appel à des intervenants internes ou externes. Le CNA a pour objectifs et missions : d arrêter un plan national d audit à partir de propositions conjointes faites par la DCN et la DFCN, de suivre l avancement du plan d audit, d en analyser les résultats, de transmettre, dans le cadre de l amélioration continue, les recommandations au CoMR pour qu il définisse la stratégie de réponse appropriée, le CNA peut demander la réalisation d audit de suivi, de recenser les missions de contrôle (réalisées ou mandatées par les autres directions de la Cnavts, des corps de contrôles externes tels que la Cour des Comptes) d en suivre les résultats et d évaluer leurs impacts éventuels sur le plan d audit. Le CNA s assure enfin de la bonne application de la charte d audit.