B. LES CONTRÔLES SUR LA GESTION DU REGIME
1. Contrôle et audit internes
Le contrôle interne a été introduit dans les textes applicables à la MSA 10 ans après le régime général. Le décret du 26 juin 2003 a précisé les missions du directeur et de l'agent comptable en matière de sécurisation des opérations des processus de production. En 2005, la démarche était encore en cours de généralisation à la caisse centrale et dans les centres informatiques.
Un travail important restait à réaliser pour mettre en place un référentiel national des risques (notamment de fraude) et de leur prévention ainsi que des contrôles internes et externes appropriés.
Depuis 2004, les agents comptables des caisses sont chargés de conduire des vérifications par sondage sur les prestations et les cotisations liquidées, selon des minima de contrôle définis au plan national. Ces minima sont encore très faibles (1 % des dossiers). Une partie des contrôles sont aléatoires, les autres portent sur des thèmes nationaux ou locaux.
En 2005, 6,37 % des dossiers contrôlés présentaient des anomalies sans incidence financière alors que 4,2 % présentaient des anomalies avec incidence financière (dans les deux sens).
Les effectifs dédiés à la mise en oeuvre du contrôle interne ont été évalués par la CCMSA à 51 « équivalents temps plein » en septembre 2006. A la caisse centrale, une mission d'évaluation générale de la gestion des organismes a été créée pour vérifier les méthodes, procédures et moyens mis en oeuvre par les caisses. En 2006, elle est dotée de trois anciens directeurs de caisse et d'un ancien agent comptable.
2. L'audit interne
La MSA n'a pas encore mis en place un service d'audit interne, c'est-à-dire une activité indépendante et objective de contrôle et de conseil, rattachée à la direction générale. Elle ne dispose pas d'agents ayant ce type de qualifications et celles des 51 contrôleurs locaux ne sont pas connues de la caisse centrale.
La CCMSA n'est donc pas en mesure d'attester que le contrôle interne est conduit conformément aux textes. Elle n'a pas la capacité de certifier les processus de management des risques et de contrôle, qu'il s'agisse des procédures administratives ou des applications informatiques.
La Cour a déjà indiqué que dans les régimes où ces situations sont constatées la validation des comptes locaux par l'agent comptable national, en vue de la certification des comptes combinés, sera impossible. Des progrès doivent donc être accomplis pour préparer la future certification de l'ensemble des comptes du régime qui sera effectuée, à partir de l'exercice 2008, par un commissaire aux comptes.