Note n° SGMCAS/2026/7 du 25 mars 2026 : Feuille de route relative au dispositif de maîtrise des risques liés aux processus financiers des agences régionales de santé pour 2026

La ministre de la santé, des familles, de l'autonomie
et des personnes handicapées

à

Mesdames et Messieurs les directeurs généraux
des agences régionales de santé (ARS)

Copie à :

Monsieur le directeur général de la cohésion sociale

Madame la directrice générale de l’offre de soins

Madame la déléguée au numérique en santé

Monsieur le directeur de la caisse nationale de solidarité pour l’autonomie

Monsieur le contrôleur budgétaire et comptable ministériel

Le contexte actuel structurant - notamment le régime de responsabilité financière des gestionnaires publics en vigueur depuis le 1er janvier 2023, l’attention croissante portée aux niveaux national et international à la fraude et à l’intégrité publique, le plan national de relance et de résilience (PNRR), l’encadrement du recours aux prestations intellectuelles et des dépenses de communication - et l’objectif d’exemplarité de la gestion publique (régularité, efficacité, efficience) qui en découle, impliquent le déploiement, au sein de votre agence, d’un dispositif de maîtrise des risques intégré à l’exercice de ses missions. Sa finalité est de sécuriser cet exercice, en premier lieu sur les plans juridique, déontologique, financier et opérationnel, et d’être en capacité de justifier les actions menées et les décisions prises.

À cet effet, dans la continuité de la précédente[1] et sur la base de la réglementation en vigueur[2], la présente feuille de route précise les actions et éléments attendus de votre part en 2026 pour conforter le dispositif de gestion des risques de votre agence.

Elle vise à sécuriser l’atteinte des objectifs de toutes natures liés aux processus financiers. Elle dépasse donc le contrôle interne financier[3] qui vise la sécurisation des seuls objectifs de soutenabilité budgétaire et de qualité comptable.

Elle concerne les processus financiers associés aux budgets principal et annexe et, dans la perspective des audits de l’Autorité nationale d’audit pour les fonds européens (AnAFe), de la Commission européenne et de la Cour des comptes européenne, ceux associés aux mesures du PNRR[4]. Le refinancement de celles-ci par l’Union européenne (UE) au titre de la facilité pour la reprise et la résilience est en effet conditionné au résultat positif de ces audits.

Le projet de réforme des ARS en cours pourrait impliquer une refonte de certaines procédures et un changement dans les acteurs impliqués et donc nécessiter une adaptation de votre dispositif de maîtrise des risques. Un addendum à la présente feuille de route vous sera, le cas échéant, adressé une fois la réforme suffisamment précisée.

La gestion des risques exclusivement « métier », i.e. ceux affectant l’atteinte des objectifs de politiques publiques, fera quant à elle l’objet de consignes ad hoc du comité stratégique de maîtrise des risques[5]. Elle sera toutefois initiée dès la présente feuille de route s’agissant des processus financiers associés à la programmation, à la répartition, à la notification et au suivi de l’exécution des crédits de l’objectif global de dépenses (OGD) que vous allouez aux établissements et services médico‑sociaux (ESMS) et gérez hors budgets principal et annexe.

L’impulsion et le pilotage de ces sujets à un niveau stratégique au sein de votre agence constituent un gage d’effectivité et d’efficacité, en écho à la responsabilité managériale qui impose à tout responsable un devoir d’organisation, de pilotage et de contrôle. Vous leur accorderez donc une attention particulière et veillerez à impliquer la ligne managériale.

Votre démarche reposera sur une approche systémique [approche par processus intégrant les risques de toutes natures en vue du respect du droit de l’UE et du droit national applicables]. Elle concernera les processus financiers stricto sensu mais aussi l’environnement dans lequel ils s’inscrivent. Elle recherchera l’optimisation des actions menées [capitalisation, harmonisation et mutualisation de ce qui peut l’être].

Elle s’articulera autour de quatre composantes :

• Le pilotage

Vous définirez et formaliserez l’organisation du dispositif de maîtrise des risques de votre agence dans une note d’organisation.

Vous désignerez via une lettre de mission un ou des responsables de maîtrise des risques qui vous assisteront pour son animation et sa mise en œuvre.

Vous formaliserez, dans une note annuelle d’objectifs à destination interne, votre stratégie pour la gestion des risques liés aux processus financiers : objectifs fixés pour 2026 et actions prévues pour les atteindre. Lui sera joint un bilan quantitatif et qualitatif du plan d’action 2025. / Signée par vous, elle s’adressera aux responsables de chaque direction/service du siège et des délégations départementales qui, sur leur périmètre respectif, seront responsables de son application. Elle sera présentée au conseil d’administration qui, le cas échéant, pourra la valider.

Vous veillerez à la diffusion d'une culture de gestion du risque à destination de tous les agents et à l’adéquation du plan de formation de votre agence à leurs missions.

La note d’organisation (si évolution par rapport à 2025), la ou les lettres de mission (si évolution par rapport à 2025), la note annuelle d’objectifs 2026 et le bilan du plan d’action 2025 sont à transmettre pour le 15 mai 2026.

• L’identification, l’analyse et le traitement des risques

Vous identifierez, évaluerez et hiérarchiserez les risques majeurs, de toutes natures, susceptibles d’impacter la mise en œuvre des processus concernés par la présente note. Ces travaux seront consignés dans une ou des cartes des risques.

Vous définirez et mettrez ensuite en œuvre un plan d’action visant à traiter les risques majeurs identifiés [au vu du niveau de leur criticité résiduelle, renforcement du dispositif existant en vue de ramener celle-ci à un niveau acceptable ou suivi de l’effectivité de leur maîtrise].

Ces documents seront actualisés périodiquement, a minima une fois par an. Le plan d’action sera validé par le conseil d’administration au vu de la ou des cartes des risques qui lui seront présentées. / Sur le périmètre du contrôle interne financier, la validation du plan d’action par le conseil d’administration est prévue par le cadre de référence réglementaire visé dans la rubrique « Textes de référence ».

Les documents sur la base desquels a été établie votre stratégie pour 2026 sont à transmettre pour le 30 avril 2026. Un premier bilan quantitatif et qualitatif du plan d’action est attendu pour le 31 octobre 2026.

Les agences pour lesquelles les documents relatifs à 2027 seront établis et présentés au conseil d’administration en fin d’année les transmettront à cette temporalité.

• La documentation

En priorité pour les processus majeurs, vous les décrirez et documenterez les risques, les procédures et les contrôles qui leur sont associés (ex. : logigramme, organigramme fonctionnel nominatif, fiches de procédure, fiche de contrôle…).

Un exemple de la documentation associée à un processus majeur sera transmis pour le 31 octobre 2026.

• L’évaluation du dispositif de maîtrise des risques visant à en vérifier l’effectivité et l’efficacité

a) Vous définirez et mettrez en œuvre un plan de contrôle adapté aux risques identifiés et aux enjeux qui sont les vôtres. Celui-ci comportera des contrôles permettant de s’assurer du respect des consignes de l’instruction n° SGMCAS/Pôle Santé-ARS/Pôle Modernisation/2024/98 du 27 juin 2024 visant à améliorer l’encadrement et le suivi du recours aux prestations intellectuelles et aux prestations intellectuelles informatiques dans les agences régionales de santé et de la circulaire du Premier ministre n° 6514/SG du 15 décembre 2025 relative à la refonte de la stratégie et des moyens de la fonction communication de l’État.

Vous procèderez au bilan quantitatif et qualitatif des résultats et, si nécessaire, mettrez en œuvre des actions préventives, détectives et/ou correctives.

Le plan de contrôle établi au titre de 2025 est à transmettre pour le 30 avril 2026.
Un premier bilan quantitatif et qualitatif de sa mise en œuvre est attendu pour le 31 octobre 2026.

b) Vous renseignerez, comme chaque année, le questionnaire relatif au déploiement du contrôle interne budgétaire et du contrôle interne comptable qui sera transmis en septembre/octobre 2026 par la direction du budget (DB) et la direction générale des finances publiques (DGFiP).

c) Vous pourrez aussi évaluer votre dispositif par d’autres voies (diagnostic de maîtrise des risques [outil DGFiP], outil d’auto-diagnostic du contrôle interne budgétaire [outil DB], audit interne…).

Les annexes 1 à 4, conçues avec les autorités délégataires de gestion des mesures du PNRR, précisent les actions spécifiques à mener pour leur sécurisation. À cet effet, vous pourrez vous appuyer sur le dispositif de contrôle interne financier existant au sein de votre agence et les acteurs et compétences associés.

Dans la continuité des consignes déjà diffusées, vous veillerez tout particulièrement à :

• la protection des intérêts financiers de l'UE[6], en particulier en ce qui concerne la prévention, la détection et la correction de la fraude, de la corruption et des conflits d'intérêts, le respect du droit de la commande publique et de celui des aides d’État, l’effectivité des dispositifs d’alerte externe et interne ;
• l’absence de double financement européen [7] / cf. à cet effet les annexes 1.1 et 1.2 ;
• la publicité du financement européen[8], par l'apposition de l'emblème de l'Union et de la mention « financé par l'Union européenne - NextGenerationEU » / Ce point, systématiquement vérifié par les auditeurs, se doit aussi de l’être lors de vos contrôles.

L’annexe 5 vise les axes de travail actés pour le fonds d'intervention régional (FIR), suite à l’audit d’assurance des dispositifs de maîtrise des risques déployés dans les ARS pour sécuriser la chaîne financière dans le nouveau cadre de responsabilité des gestionnaires publics, conduit par la mission d’audit interne de l’inspection générale des affaires sociales. L’annexe 6 précise quant à elle les attendus pour l’OGD.

Les éléments, hors ceux spécifiques aux mesures du PNRR, au FIR et à l’OGD pour lesquels les modalités de transmission sont précisées dans les annexes dédiées, sont à envoyer à dfas-mrfin-organismes@sg.social.gouv.fr.

Mes services, en particulier la direction des finances, des achats et des services, se tiennent à votre disposition pour toute précision et autre appui méthodologique.

Pour la ministre et par délégation :
La secrétaire générale,
Virginie MAGNANT

[1] Note n° DFAS/MRFin/2025/2 du 9 avril 2025 : Feuille de route relative au dispositif de maîtrise des risques liés aux processus financiers des agences régionales de santé pour 2025.
[2] Cf. rubrique « Textes de référence ».
[3] Prévu par l’article 215 du décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique.
[4] Mesures C9.I1 « Rattrapage du retard sur les standards techniques pour le numérique en santé », C9.I2 « Modernisation et restructuration des hôpitaux et de l’offre de soins » et C9.I3 « Rénovation des établissements médico-sociaux ».
[5] Le comité stratégique de maîtrise des risques (CSMR) définit et pilote la politique de maîtrise des risques liés à la gestion des politiques publiques du ministère. Par délégation du CSMR, cette mission est exercée par le comité de maîtrise des risques financiers sur le périmètre des processus financiers.
[6] Cf. article 22 du Règlement (UE) 2021/241.
[7] Article 9 du Règlement (UE) 2021/241 : « Le soutien apporté au titre de la facilité s'ajoute au soutien apporté au titre d'autres programmes et instruments de l'Union. Les réformes et les projets d'investissement peuvent bénéficier d'un soutien au titre d'autres programmes et instruments de l'Union, à condition que ce soutien ne couvre pas les mêmes coûts. »
[8] Cf. article 34 du Règlement (UE) 2021/241.