Les comptes de la branche famille pourront-ils être certifiés cette année ?

II. LES AUTRES CHANTIERS PRÉALABLES À LA CERTIFICATION DES COMPTES

A. LA RÉORGANISATION DE LA MAÎTRISE DES RISQUES

1. Les mutations du référentiel national des risques à l'horizon 2010

La politique de maîtrise des risques est fondée, depuis 2004, sur un référentiel national qui constitue un répertoire organisé autour de la notion de « risque générique ». L'approche utilisée est celle de risque lié à la situation des allocataires et de leurs ayants droit, dans la mesure où cette situation est susceptible d'avoir un impact sur la ou les différentes prestations versées à ces personnes. La notion de risque générique conduit à définir comme cible de recherche, par exemple, les ressources des ménages allocataires, lesquelles conditionnent, en effet, l'accès à toute une série de prestations. La démarche permet de couvrir des risques portant sur plusieurs prestations à la fois.

Dans le cadre de son audit, la Cour des comptes a révélé les insuffisances liées à ce mode d'approche. D'une part, les cibles désignées, au nombre de cent trente-cinq, sont trop nombreuses et n'apparaissent pas toutes justifiées ; en outre, elles ne font pas, de la part de la Cnaf, l'objet d'un examen critique systématique quant à leur degré de pertinence. D'autre part, il existe des lacunes importantes dans le constat des indus et des fraudes, comme le révèlent les contrôles et les tests de reliquidation effectués a posteriori . Certains risques sont ainsi ignorés et ne peuvent pas être traités.

La Cour a donc demandé à la Cnaf de modifier sa démarche et de lui substituer une analyse des risques détaillée au niveau de chaque prestation .

Pour répondre à cette injonction, il a été décidé de procéder en deux temps.

• Dans un premier temps (2008 et 2009), une cible spécifique de contrôle a été définie dans le plan de maîtrise des risques pour chacune des prestations ayant fait l'objet d'une observation de la Cour des comptes dans ses rapports de certification. Une attention particulière est ainsi accordée aux situations et domaines suivants :

- versement d'allocations familiales seules (sans versement d'autres prestations) et cas de garde alternée ;

- présence d'enfants de six à seize ans ;

- isolement (dont la réalité doit être plus étroitement contrôlée) ;

- versement d'un complément de libre choix d'activité et salaire des assistantes maternelles ;

- déclaration d'un logement et de son adresse (dont la réalité doit, là aussi, être plus étroitement contrôlée) ;

- versement de la prestation Aline (allocation d'installation étudiante) pour les étudiants qui s'installent dans un nouveau logement ;

- cumul de l'allocation pour adulte handicapé (AAH) avec une pension ou une rente.

Ces cibles, dont il faut certes saluer la définition, ont cependant été livrées très tard aux caisses locales (en octobre 2008). Les premières remontées laissent penser que les nouvelles cibles ont été bien choisies, mais l'impact de leur mise en oeuvre sur les comptes 2008 devrait s'avérer très faible, voire quasi nul. Sans doute peut-on en attendre un peu plus d'effet pour les comptes de 2009.

• Dans un second temps (à partir de 2010 au plus tôt), la Cnaf disposera d'un nouveau référentiel des risques, réorganisé selon les préconisations de la Cour des comptes, c'est-à-dire à partir d'une analyse des risques effectuée prestation par prestation et à chaque stade de la gestion de toutes les allocations versées.

La Cnaf a ainsi recruté un prestataire avec lequel elle a commencé à élaborer le nouveau système ^{20 ( * )} qui devrait être opérationnel au début de l'année prochaine. Le cahier des charges prévoit un changement complet de conception :

- une nouvelle cartographie des risques va être dressée, dans le respect de la procédure définie par la Cour ;

- les règles de mise en oeuvre du contrôle interne seront harmonisées sur l'ensemble du territoire alors que la pratique actuelle apparaît très variable d'une caisse à l'autre ; il s'agit en fait de rendre effectivement applicables à la branche famille les dispositions de l'article D. 122-7 du code de la sécurité sociale qui précise que les organismes locaux de sécurité sociale mettent en place un dispositif interne de maîtrise des risques « respectant les préconisations de l'organisme national » ^{21 ( * )} ;

- une méthodologie sera parallèlement conçue et mise à disposition des caisses locales pour leur permettre d'analyser les données qu'elles ont elles-mêmes collectées dans le cadre de leur activité de maîtrise des risques, car, actuellement, cet effort d'analyse n'est pas systématiquement fait par les Caf ; grâce à ce travail préalable, et en s'appuyant sur les données géographiques et économiques locales, il sera possible d'obtenir une déclinaison fine des objectifs définis nationalement ; en pratique, les caisses locales ne feront pas une application exhaustive du nouveau référentiel mais devront sélectionner et mettre en oeuvre les cibles pertinentes au regard du profil socio-économique du rayon d'action de leur circonscription ;

- enfin, des mécanismes seront élaborés pour permettre aux Caf de prouver qu'elles ont effectivement procédé aux contrôles requis et qu'elles ont, à cette occasion, suivi les protocoles d'intervention prévus par le nouveau référentiel de risques ; des preuves de matérialité des contrôles et, lorsque cela n'est pas possible, des notes de procédure devront être ainsi mises à la disposition des auditeurs de la Cnaf par les Caf.

L'horizon fixé par le cahier des charges est ambitieux et correspond très exactement aux préconisations émises par la Cour des comptes dans ses rapports de certification. Il y a donc lieu de s'en réjouir, tout en faisant observer que les nouvelles modalités du contrôle interne pourront au mieux ne produire d'effets que sur les comptes de 2010 qui seront examinés par la Cour en juin 2011. Ce constat impose qu'à tout le moins, aucun retard ne soit admis dans la mise en place du référentiel de risques rénové.

* ²⁰ Il s'agit d'un groupement de deux prestataires, IBM et Sinéqua. Une première réunion a eu lieu le 1 ^er décembre 2008.

* ²¹ Article D. 122-7 du code de la sécurité sociale (issu du décret n° 2007-1500 du 18 octobre 2007 relatif à la responsabilité personnelle et pécuniaire des agents comptables des organismes de sécurité sociale) : « Sous réserve de leur compétence respective, le directeur et l'agent comptable conçoivent et mettent en place, en commun, un dispositif de contrôle interne respectant les préconisations de l'organisme national et permettant de maîtriser les risques, notamment financiers, directs et indirects, inhérents aux missions confiées aux organismes de sécurité sociale.

« Ce dispositif respecte les instructions et les modalités de contrôle interne définies par l'organisme national dans le cadre du référentiel de validation des comptes prévu au II de l'article D. 114-4-2. »