Sous réserve de leurs compétences respectives, le directeur et l'agent comptable de chaque organisme de mutualité sociale agricole élaborent en commun un dispositif de contrôle interne et le mettent en place dans le but d'optimiser et de sécuriser les procédures liées à l'accomplissement des missions de l'organisme.
Le dispositif de contrôle interne permet de déterminer les actions à entreprendre sous le contrôle du directeur et de l'agent comptable, dans leur domaine de compétence respective, au travers de l'identification des risques inhérents aux missions confiées à l'organisme et dans le but de les maîtriser.
Pour faciliter l'élaboration et la mise en oeuvre des dispositifs locaux de contrôle interne, la Caisse centrale de la mutualité sociale agricole établit et met à jour un guide commun des processus relatifs aux missions des organismes de mutualité sociale agricole et des risques associés ainsi que la méthodologie de contrôle interne.
Le dispositif de contrôle interne concerne notamment la sécurité des opérations relatives à :
1° La correcte application des lois, règlements et conventions ;
2° La protection des personnes ;
3° L'exactitude des montants de cotisations à recouvrer et des liquidations de prestations ;
4° La prévention des indus et le suivi des sommes à recouvrer ;
5° L'utilisation économe et efficace des fonds publics et des moyens ;
6° La protection du patrimoine de l'organisme ;
7° La lutte contre les fraudes ;
8° La régularité des opérations comptables ;
9° L'intégrité, la fiabilité et le caractère exhaustif des informations financières, comptables et de gestion.
Un bilan annuel du dispositif de contrôle interne est présenté pour information au conseil d'administration ou au comité directeur de l'organisme de mutualité sociale agricole, qui est également informé des éventuelles actions correctives y faisant suite.
Le directeur et l'agent comptable sont tenus d'actualiser chaque année le dispositif de contrôle interne, dont l'efficacité et la pertinence sont évaluées périodiquement par des auditeurs internes. Ces auditeurs définissent le champ de leur intervention, exécutent leur mission et rendent compte de ses résultats en toute indépendance.
L'agent comptable d'un organisme de mutualité sociale agricole procède régulièrement à l'audit des applications informatiques utilisées par les services de cet organisme afin notamment de prévenir les fraudes et les erreurs. Il contrôle notamment la mise en oeuvre dans l'organisme du dispositif de contrôle interne portant sur :
1° L'habilitation des personnes autorisées à saisir ou manipuler les données informatiques ;
2° La justification des opérations financières par des pièces comptables ;
3° L'utilisation des données pour l'ouverture des droits et le calcul de liquidation des cotisations et des prestations conformément aux lois et règlements ou aux décisions des conseils d'administration ;
4° L'utilisation des dernières versions validées des programmes informatiques ;
5° L'existence des procédures de sauvegarde des fichiers de programmes et de données et l'existence des solutions de secours informatique ;
6° La vérification de l'exactitude des traitements au moyen de sondages portant sur les contrôles d'existence, de vraisemblance et de validité des opérations ;
7° L'agent comptable d'un organisme de mutualité sociale agricole détermine, sous sa responsabilité personnelle, la nature et la fréquence des contrôles par sondage des cotisations et des prestations liquidées. Les minima de contrôle sont définis au plan national par l'agent comptable de la Caisse centrale de la mutualité sociale agricole.
La maîtrise d'ouvrage d'une application informatique nationale confiée à un organisme de mutualité sociale est exercée conjointement par le directeur et l'agent comptable dudit organisme.
Le directeur et l'agent comptable de la Caisse centrale de la mutualité sociale agricole participent à la conception des applications informatiques nationales.
La Caisse centrale de la mutualité sociale agricole assure la maîtrise d'ouvrage de ses propres applications informatiques.
La maîtrise d'ouvrage d'une application informatique consiste, notamment, à :
1° Recenser et qualifier les besoins des utilisateurs ;
2° Définir les fonctionnalités des applications informatiques à concevoir et des actions correctives à entreprendre sur les programmes existants ;
3° Valider les solutions fonctionnelles et techniques ;
4° Elaborer les tests de contrôle pour vérifier la conformité des programmes informatiques aux fonctionnalités prédéfinies ainsi que leur exhaustivité et fiabilité.
La maîtrise d'oeuvre des applications informatiques nationales peut être confiée à un organisme de mutualité sociale agricole. La maîtrise d'ouvrage et la maîtrise d'oeuvre d'une même application informatique nationale sont organiquement séparées.
Le directeur et l'agent comptable de la caisse exerçant la maîtrise d'ouvrage valident conjointement les applications réalisées par la maîtrise d'oeuvre.
L'agent comptable est tenu de procéder, au moyen de jeux d'essai, au contrôle :
1° De l'existence des sécurités physiques et logiques destinées à assurer l'intégrité des règles d'accès aux systèmes informatiques ;
2° De la conformité des programmes informatiques aux règles de gestion fixées en application des lois et règlements ;
3° De l'exactitude des traitements de liquidation des cotisations et des prestations ;
4° De l'existence de procédures assurant l'intégrité des échanges de données informatisées entre les applications informatiques des services techniques et celles de l'agence comptable ;
5° Des traitements de contrôle interne automatisés et des éditions d'anomalies.
Seules les applications informatiques nationales validées conjointement par les directeurs et les agents comptables de la Caisse centrale de la mutualité sociale agricole et de l'organisme ayant exercé la maîtrise d'ouvrage peuvent être exploitées par les organismes de mutualité sociale agricole.
L'agent comptable d'un organisme de mutualité sociale agricole peut refuser la mise en exploitation d'une application informatique dont il estime qu'elle ne respecte pas les règles fixées par le présent décret. Dans ce cas, il en informe le directeur de l'organisme qui a la possibilité de passer outre ce refus par décision notifiée à l'agent comptable. L'agent comptable transmet une copie de cette décision au conseil d'administration et aux autorités de tutelle compétentes.
Si, pour des besoins spécifiques, il s'avère nécessaire de mettre en oeuvre des programmes locaux, les applications réalisées localement sont validées par le directeur et l'agent comptable de l'organisme de mutualité sociale agricole concerné. Un procès-verbal de validation est dressé contradictoirement.
Les applications informatiques réalisées en collaboration avec d'autres régimes de protection sociale font l'objet de procédures spécifiques de validation.