SUR LE CONTROLE INTERNE

DANS UNE ENTREPRISE D’ASSURANCE

Version révisée le 6 avril 2004. Prise en compte d’une grande partie des commentaires et suggestions de M. Pierre COUILLARD (CANADA) et de M. Carlos MONTALVO REBUELTA (ESPAGNE). Les ICP ont été réécrits sur la base de leur version 2003. Les parties modifiées ou ajoutées sont soulignées.

Jean-Louis BELLANDO World Bank Mr Donald Mac Isaac

Lead Insurance Specialist Financial Sector

2

Contrôle interne dans une entreprise d’assurance.

Introduction : Recherche d’une définition. Chap. 1 – Les objectifs du contrôle interne, Chap. 2 – Organisation du contrôle interne dans une entreprise,

I – Principes II- Acteurs

Chap. 3 – Contrôle interne : procédures spécifiques à l’assurance Chap. 4 – Contrôle interne et autorités de contrôle, Conclusion

3

Introduction

1 – IAIS (1) ICP 10 Internal control « The supervisory authority requires insurers to have in place internal controls that are adequate for the nature and scale of the business. The oversight and reporting systems allow the board and management to monitor and control the operations ».

La même exigence ressort de la législation communautaire européenne : « Les autorités compétentes de l’Etat membre d’origine exigent que toute entreprise d’assurance dispose d’une bonne organisation administrative et de procédures de contrôle interne adéquates » (article 9, directive 92/49/CEE du 18 juin 1992 et article 8, directive 92/96/CEE du 10 novembre 1992).

Mais les directives européennes ne donnent aucune définition du contrôle interne.

2. Les définitions du contrôle interne ont évolué au fil des années, sur propositions successives des associations d’experts comptables ou de commissaires aux comptes, nationales et internationales :

a) « Ensemble des sécurités conduisant à la maîtrise des risques des entreprises » (1977, ordre des experts comptables, France). b) « Le système de contrôle interne est constitué de l’organigramme et de l’ensemble des méthodes et procédures adoptées par la direction d’une entité lui permettant d’assurer, autant que possible, la conduite ordonnée et efficace de ses activités… » (recommandation internationale d’audit n°6 de l’IFAC, International Federation of Accountants, 1981). c) Cette définition est reprise en substance par l’Institut canadien des comptables agréés (ICCA, 1986), puis complétée en 1992 par l’évocation « des instructions établies par la direction de l’entreprise pour la prise des décisions et les marches à suivre ». Selon ces définitions, le champ d’application du contrôle interne couvre toutes les activités de l’entreprise, même s’il concerne notamment les enregistrements comptables. Les auteurs parlent tantôt de « contrôle interne », tantôt de « procédure de contrôle interne », tantôt de « procédure » tout court. Les procédures ont pour rôle d’indiquer la marche à suivre. Le contrôle interne n’est pas un modèle de décision, il ne répond pas à l’interrogation « que faire ? », il répond aux questions « qui fait quoi ? à quel moment ?, dans quel but ? ».

(1) ICP : Insurance Core Principles IAIS : International Association of Insurance Supervisors

4

3. D’où une définition, très générale, proposée ici : Le contrôle interne est un système d’organisation constitué par un ensemble de structures, méthodes et procédures mises en œuvre au sein d’une entreprise en vue d’assurer une conduite ordonnée et efficace de ses activités, et notamment :

- le respect des lois et règlements, - l’application de la politique générale définie par la direction, - l’encadrement et la maîtrise des risques liés aux activités, - la qualité de l’information comptable et financière.

L’ensemble du personnel de l’entreprise doit être engagé dans le contrôle interne, chacun y ayant ses propres devoirs et reponsabilités.

4 Objectifs, organisation, spécificités du secteur de l’assurance, relations avec les autorités de contrôle, sont les titres des chapitres qui vont s’efforcer d’éclairer la fonction contrôle interne au sein d’une entreprise d’assurance.

5

Chapitre 1 : Les objectifs du contrôle interne. 5 IAIS ICP 10 / Internal control : (Explanatory note) « The purpose of internal control is to verify that : - the business of an insurer is conducted in a prudent manner in accordance with policies and strategies established by the board of directors (refer to ICP 9, corporate governance), - transactions are only entered into with appropriate authority, - assets are safeguarded (refer to ICP 21, investments), - accounting and other records provide complete, accurate and timely information, - management is able to identify, assess, manage and control the risks of the business and hold sufficient capital for these risks (refer to ICP 18, risk assessment and management, and ICP 23, capital adequacy and solvency) ».

Au surplus, le contrôle interne doit vérifier que les différents départements de l’entreprise fonctionnent conformément aux lois et règlements en vigueur dans les juridictions où elle opère (et notamment aux règles visant à la protection individuelle et collective des assurés), ainsi qu’aux statuts et règlements intérieurs. 6 Cette énumération montre que le contrôle interne est un auxiliaire essentiel du conseil d’administration 1 de l’entreprise, dès lors qu’il lui apporte des éléments clés pour l’aider à définir, mettre en œuvre et corriger sa politique.

7 1e- La maîtrise des risques de l’entreprise constitue une priorité pour les dirigeants. Le contrôle interne doit fournir aux managers le moyen d’identifier, évaluer, gérer et contrôler les risques liés à l’activité de l’entreprise. S’agissant d’une entreprise d’assurance, cet objectif peut revêtir un double aspect : 8 a) d’une part, l’assureur prend en charge les risques de sa clientèle. Le conseil d’administration définit une stratégie commerciale, une politique tarifaire, des critères généraux de sélection des risques. Le contrôle interne vérifie l’application de ces instructions et en mesure le bien-fondé a posteriori. 9 b) d’autre part, l’entreprise d’assurance est exposée à des risques qui menacent sa solidité financière et compromettent sa rentabilité. Ces risques ont été analysés ailleurs 2 dans une perspective réglementaire et prudentielle. Ils sont généralement classés en : - risques techniques : sous tarification,

sous provisionnement, réassurance inappropriée.

- risques de placement : risques de taux, de liquidité, de change, de marché, de défaillance d’une contrepartie ; risques spécifiques aux instruments dérivés.

- autres risques : défaillance d’un partenaire clé (réassureur, courtier), pressions externes (entreprise appartenant à un groupe), défaillances dans la gestion.

1 Board of directors 2 études sur la solvabilité des entreprises d’assurance

6

La liste précédente est indicative, non exhaustive, il s’y ajoute des risques spécifiques à certains départements de l’entreprise, qui seront énoncés plus loin (cf. n° 56 et suiv.). Les systèmes de « risk management » comportent des procédures de contrôle interne, dont l’un des objectifs essentiels est d’alerter les dirigeants sur l’impact que peuvent avoir ces risques sur la situation de l’entreprise. 10 2e La sauvegarde des actifs constitue un objectif plus spécifique, mais qui dérive du précédent. Certains restreignent pourtant le contrôle interne à l’ensemble des procédures visant à la sauvegarde du patrimoine de l’entreprise et à l’amélioration de ses performances. 11 a) D’une manière générale, sauvegarder le patrimoine, c’est notamment éviter les erreurs, les fraudes, les prises de risques disproportionnées aux rendements attendus ; améliorer les performances, c’est intégrer les procédures correspondantes dans une approche qualitative.

12 b) S’agissant d’une entreprise d’assurance, il appartient aux gestionnaires, avec l’assistance du contrôle interne, de veiller à ce que : - Investissements et désinvestissements soient justifiés et réalisés aux meilleures conditions, - Les placements soient adaptés aux engagements qu’ils couvrent, - Les placements soient correctement évalués, les dépréciations éventuelles étant identifiées, - Les placements soient protégés contre les risques financiers (cf. supra paragraphe 9), et aussi contre les risques de disparition (incendies, inondations, etc…), de détournement ou d’utilisation frauduleuse (cf. n° 67 et suiv. et IAIS ICP 21 Investments, essential criterium d) sur « The risk management systems ». 13 c) Pour réduire ses risques financiers, une société d’assurance peut intervenir sur le marché des instruments dérivés. Ces instruments, qu’ils soient employés à titre de couverture ou pour modifier la structure de rendement d’un portefeuille de placements, présentent des risques spécifiques : effet de levier, maniement complexe, contrepartie défaillante, etc… La maîtrise des risques sur produits dérivés est un problème de contrôle interne. Il importe que le Conseil d’administration participe à l’élaboration des stratégies d’intervention, soit informé des positions prises et en comprenne la portée, et ce grâce aux procédures de contrôle interne (cf. chap. 3, V, référence n° 75). 14 3) Vérifier que les politiques et les stratégies définies par le Conseil d’administration, ainsi que les décisions qui en découlent, sont correctement appliquées est une mission fondamentale du contrôle interne. La remontée d’une information fiable, par exemple en ce qui concerne les tarifs, les provisionnements, les investissements, est d’autant plus nécessaire que les structures de l’entreprise sont plus complexes et ses activités plus diversifiées, géographiquement et techniquement. Cela vaut notamment pour les opérations déléguées (« outsourcing ») et pour les filiales éloignées : le dirigeant d’une filiale suit-il les règles de la maison-mère ? N’invoque-t-il pas plutôt des spécificités locales pour s’écarter de la ligne générale ? Il doit alors exister des procédures qui bloquent ou limitent la portée de ces initiatives centrifuges. Le chef d’entreprise, qui détient la fonction de décideur, peut commettre des erreurs, par exemple la promotion d’un tarif inadapté, le sousprovisionnement de certains engagements, une réassurance inappropriée, un investissement malencontreux…Les pertes qui en résulteront entameront les fonds propres de l’entreprise, plus ou moins lourdement selon la capacité des dirigeants, grâce au contrôle interne, à détecter leurs errements, à prendre des mesures de redressement, à les faire appliquer et à en contrôler l’efficacité. Le contrôle interne doit faire ressortir les éléments qui permettront à la direction d’améliorer sa gestion.

7

15 4e) Le contrôle interne doit également veiller à ce que les transactions concernant l’entreprise ont bien été effectuées par les personnes mandatées pour les négocier et les conclure, dans les formes arrêtées par le Conseil d’administration (délégations de signatures, division des tâches, contrôle des procédures).

Les délégations de pouvoirs, d’autant plus nécessaires que l’entreprise couvre un champ d’activité plus étendu, sont sécurisées par la division des tâches, les fonctions de décision (ou d’autorisation de décision), de protection (conservation) du patrimoine, de comptabilisation et de contrôle étant confiées à des personnes différentes. La collusion du trésorier et du comptable peut ainsi favoriser des turpitudes difficiles à détecter par un contrôle interne routinier. La faillite de la banque Barings en 1995 est la conséquence des spéculations malheureuses de son courtier de Singapour, qui simultanément prenait les décisions et les enregistrait, tout en disposant de son propre programme informatique auquel nul n’avait accès. Pour être efficace, le contrôle interne doit disposer : - d’un organigramme de l’entreprise listant les personnes disposant de la signature sociale (c’est-à-dire engageant la responsabilité de l’entreprise) et les personnes ayant le pouvoir d’approuver une décision ; - d’un manuel écrit décrivant la répartition des tâches, des responsabilités (en matière d’encadrement notamment) et des pouvoirs (de signature entre autres). La sécurité des procédures suppose la mise en jeu d’une pluralité d’acteurs sur chaque opération, le contrôle interne veillant à son efficacité. 16 5e) Le contrôle interne doit enfin permettre de s’assurer que l’information développée dans les comptes et les rapports établis par les différents départements de l’entreprise est complète, exacte et délivrée sans retard de nature à en compromettre l’intérêt. Dans le même ordre d’idées, il appartient au contrôle interne de vérifier la sécurité des systèmes informatiques. En particulier, le contrôle interne agit sur la comptabilité pour limiter les errements susceptibles d’altérer la qualité de l’information, et donc de fausser l’opinion tant du décideur que de l’investisseur externe sur la situation financière réelle de l’entreprise. Parmi les errements que le contrôle interne s’efforce de pourchasser, on citera : - L’enregistrement d’opérations fictives, - Le non enregistrement d’opérations réelles, - Les transactions non autorisées, par exemple un rabais tarifaire consenti par un

intermédiaire au-delà des plafonds fixés par le Conseil d’administration, - Les erreurs d’imputation : l’affectation de sinistres d’une branche d’assurance à une

autre branche faussera l’appréciation d’un tarif. - Les erreurs sur la date des enregistrements, entraînant le report sur l’exercice suivant de

charges imputables à l’exercice inventorié (sinistres survenus non déclarés par exemple),

- Les erreurs de présentation renvoyant par exemple des opérations au hors bilan.

8

17 L’informatique présente également des risques liés à la concentration des informations, qui fragilise leur sauvegarde, et à l’utilisation de traitements complexes, qui impliquent des anomalies à répétition si le programme est erroné. Le contrôle interne doit veiller à : a) la sécurité physique et logistique des installations et des données : sauvegarde des

fichiers et des programmes, utilisation éventuelle d’installations alternatives. b) L’existence d’une « piste d’audit », c’est-à-dire d’un ensemble de procédures écrites

permettant de : - reconstituer les opérations chronologiquement, - justifier toute opération par une pièce d’origine à partir de laquelle il doit être possible

de remonter par un cheminement ininterrompu au document de synthèse et vice versa, - expliquer l’évolution des soldes d’un arrêté de comptes à un autre par la conservation

des mouvements ayant affecté les postes comptables.

18 L’inventaire des objectifs qui lui sont dévolus démontre l’importance du contrôle interne. Avant que son rôle ne soit reconnu et développé par les gestionnaires et les économistes, les entreprises faisaient du contrôle interne sans le savoir, le bon sens les ayant toujours conduites à rechercher des moyens adéquats pour maîtriser et contrôler leurs actions. 19 En France, l’Ordre des experts comptables a souligné : « le contrôle interne n’est, en soi, ni un système distinct, ni une fonction de l’entreprise. Il est (idéalement) une préoccupation : la volonté de l’entrepreneur, qui organise son entreprise, de prévoir, dans chacune des modalités qui concourent à sa gestion, les « sécurités » qui permettent d’en assurer, autant que possible, l’autorégulation et l’autocontrôle ». C’est la présence de ces « sécurités » dans les systèmes qui manifeste le contrôle interne de l’entreprise, tant dans les domaines techniques qu’administratifs » (1977).

9

Chapitre 2 : Organisation du contrôle interne dans une entreprise. 20 Les procédures de contrôle interne mises en place par les entreprises d’assurance sont de plus en plus lourdes, de plus en plus sophistiquées. Encore faut-il qu’elles soient appropriées. Cette adéquation est, du point de vue prudentiel, particulièrement importante dans certains domaines d’activité, comptabilité, informatique, mais pas seulement. Le contrôle interne est largement traité dans les réglementations bancaires. Dans le secteur de l’assurance, le sujet est abordé, suivant les juridictions, tantôt par la loi et des règlements, tantôt par des circulaires de l’autorité de contrôle, tantôt par des recommandations des associations professionnelles. Les règles sont plus ou moins détaillées, souvent similaires pour tous les services financiers, parfois développant des spécificités assurantielles. En 1992, une obligation de principe, et rien de plus, a été définie par l’Union européenne : « Les autorités compétentes de l’Etat membre d’origine exigent que toute entreprise d’assurance dispose d’une bonne organisation administrative et de procédures de contrôle internes adéquates » (3èmes directives assurance, n° 92/49/CEE, article 9, et n° 92/96/CEE, article 8). L’ICP 10 de l’IAIS reprend la même exigence en précisant : « adéquats compte tenu de la nature et du volume des activités de l’entreprise ». L’organisation du contrôle interne doit donc être adaptée : - au secteur d’activité de l’entreprise : assurances dommages et responsabilité,

réassurance, assurances vie et maladie, - à sa taille, - à sa structure hiérarchique, - à sa diversification géographique, - à sa clientèle : particuliers, entreprises, etc…, - à la répartition de son capital, - à sa capacité d’accès aux marchés de capitaux.

21 L’efficacité du contrôle interne repose sur un certain nombre de conditions essentielles : respect de principes fondamentaux, techniques permettant leur application correcte, implication à tous les niveaux des acteurs de l’entreprise, surveillance de la mise en oeuvre des procédures, suivi du degré de réalisation des objectifs fixés.

10

I – LES PRINCIPES FONDAMENTAUX ET LEUR APPLICATION. 22 1e) La formalisation des procédures. L’entreprise doit être organisée rationnellement, ce qui signifie que ses structures doivent être décrites dans un organigramme et ses procédures écrites et rassemblées dans un manuel. Il n’y a pas d’organisation type. Chaque entreprise s’organise en fonction de ses objectifs, de sa stratégie, de sa taille, de la diversité de ses activités. 23 L’organigramme doit notamment mettre en relief les personnes disposant de la signature sociale, c’est-à-dire engageant la responsabilité de l’entreprise et éventuellement leur propre responsabilité pénale. Plus généralement, l’organigramme doit comprendre la liste de toutes les personnes habilitées à prendre une décision.

24 Le manuel doit inventorier les délégations de pouvoirs, qui doivent être sans ambiguïté et faites au profit de personnes qualifiées pour exercer ces pouvoirs. La délégation doit correspondre aux fonctions effectives du délégataire. Les procédures ainsi formalisées doivent être appliquées systématiquement et en permanence. 25 2°) La qualité et la disponibilité de l’information. L’information recueillie et exploitée dans les circuits du contrôle interne doit être : a) pertinente, c’est-à-dire adaptée à son utilisation, b) neutre, c’est-à-dire exempte de toute manipulation, c) utilisable : elle doit permettre à chaque destinataire d’en tirer les renseignements dont il

a besoin, ratios, tableaux de bord, etc.. d) vérifiable, ce qui implique une documentation claire et facile à examiner. Les

transactions et les autres évènements significatifs doivent être promptement enregistrés et correctement répertoriés.

26 Un contrôle interne efficace nécessite une bonne remontée de l’information. L’un des problèmes des dirigeants des grandes entreprises, souvent entourés par une cour de collaborateurs plus adulateurs que critiques, est d’obtenir des informations non filtrées par des responsables ou intermédiaires opérationnels et fonctionnels. Ainsi certaines informations doivent pouvoir être reçues directement par le conseil d’administration : il s’agit notamment dans le secteur des assurances des réclamations des assurés, des litiges, du suivi des engagements hors bilan, des écarts entre les émissions et les encaissements de primes, des différences significatives entre les paiements de sinistres et les provisions, des cadences de recouvrement des recours, judiciaires ou amiables, auprès des auteurs des sinistres. 27 3) La compétence et l’honnêteté du personnel (le test « fit and proper »). « L’efficacité des procédures de contrôle interne est fonction de l’intégrité et de l’éthique dont font preuve les personnes qui créent ces contrôles, les gèrent et en assurent le suivi… », selon une affirmation de la Commission Treadway en 1992 (3). La compétence des employés est confortée par un recrutement pertinent, une formation permanente dans des instituts spécialisés et sur le terrain, la fixation d’objectifs motivants et des plans de carrière encourageants. L’honnêteté est une vertu, pas forcément éternelle : il arrive que de gros sinistres soient provoqués par des employés de confiance qui brusquement déraillent après avoir eu un comportement irréprochable pendant de nombreuses années. La mobilité des personnes ou le transfert des responsabilités, à tous les niveaux de la hiérarchie, peut préserver des tentations développées par la routine et l’habitude.

3 « National commission on fraudulent financial reporting » (Etats-Unis) plus connue sous le nom de son président.

11

Même dans un cadre très informatisé, l’efficacité du contrôle interne peut toujours être affectée par une défaillance humaine provoquée par la fatigue ou la distraction. C’est pourquoi, quelles que soient la compétence et l’intégrité des employés, un contrôle de leurs opérations est toujours opportun, qu’il soit exercé par leurs responsables hiérarchiques ou par des vérificateurs ponctuels empruntés à l’audit interne (cf. infra, II, 2e, réf. 40) ou recrutés à l’extérieur de l’entreprise (auditeur contractuel). 28 4) La disposition de ressources matérielles et humaines suffisantes. Le contrôle interne doit être proportionné à la situation de l’entreprise et aux risques encourus par elle : cela suppose la mise en place d’une organisation adéquate en personnel et en outils d’exécution. Mais les dépenses engagées doivent être en rapport avec le résultat obtenu, selon la règle dite du « coût-avantage » (« cost-benefit relationships »). Si les procédures mises en œuvre pour détecter les fraudes des assurés sur les déclarations et paiements de sinistres ont un coût beaucoup plus élevé que les économies qu’elles permettent de réaliser, il est judicieux d’y renoncer. Plus généralement un contrôle interne qui empêcherait toute erreur ou toute fraude serait évidemment efficace mais démesuré si son prix est prohibitif et s’il multiplie les redondances au détriment de la rapidité du traitement de l’information. 29 5) La séparation des fonctions (« segregation of duties »). « The framework for internal controls within the insurer includes arrangements for delegating authority and responsability, and the segregation on duties… » (IAIS, ICP 10, essential criterium b). Le contrôle interne est réputé efficace lorsque, dans une même opération, la même personne n’accomplit pas simultanément deux des fonctions de décision, de conservation des actifs, d’enregistrement et de contrôle. 30 Selon une approche traditionnelle : a) La fonction de décision engage l’entreprise dans le but de réaliser son objet social. Quand la décision est déléguée à un subalterne, la fonction de décision est liée à la fonction d’autorisation ou d’approbation. b) La fonction de conservation (de protection ou de détention) des actifs vise aussi bien les locaux et les circuits informatiques que les immobilisations financières et les valeurs mobilières ou les espèces détenues. Son bon exercice suppose des moyens de protection restreignant ou même interdisant l’accès aux ressources et aux documents, tels que coffres, badges ou codes d’entrée. L’extension de la télématique implique la mise en place de contrôles d’accès aux programmes et aux fichiers : mots de passe, verrous, logiciels d’accès. Cette fonction est notamment exercée par les trésoriers et les personnes autorisées à vendre ou acheter des titres en bourse. La fonction de conservation des actifs implique que les biens soient eux-mêmes couverts par une police d’assurance adéquate. c) La fonction d’enregistrement ou de comptabilisation comprend la vérification des documents avant leur enregistrement, tâche aujourd’hui confiée à l’informatique via des procédures programmées de contrôle. L’expérience a démontré l’impérieuse nécessité de séparer les fonctions de comptable et de trésorier. Le comptable ne doit jamais manipuler des espèces ou des chèques, il ne doit jamais avoir sa signature autorisée auprès d’une banque. Dans le cas contraire, il serait par exemple bien placé pour : - comptabiliser des sinistres fictifs et les payer aussitôt, - annuler des créances de primes et voler les chèques remis par les assurés, - comptabiliser une cession d’actif pour un montant inférieur à son montant et

conserver la différence…

12

Qui plus est, s’il y a collusion entre le comptable et le trésorier, les deux personnages sont en mesure d’organiser leurs détournements de façon à mettre en échec toute procédure de contrôle interne.

d) La fonction de vérification (ou de contrôle) a pour objet de surveiller les autres fonctions par des opérations routinières, systématiques et permanentes.

31 Mais cette approche traditionnelle ne correspond plus à l’univers informatisé des grandes entreprises modernes opérant en système de comptabilité intégrée. Dans une comptabilité classique, même avec de nombreuses tâches automatisées, chaque agent reste responsable d’une fonction précise, tandis que, dans une comptabilité intégrée, les tâches relèvent de traitements programmés dont les étapes s’enchaînent automatiquement à la suite d’un acte initial unique. Dès lors, il n’y a plus de séparation entre les tâches de décision, de conservation et de comptabilisation. La ségrégation s’exerce à un autre niveau, entre : - la fonction de conception et - la fonction d’utilisation.

L’utilisateur de l’informatique, comptable, trésorier, gestionnaire de valeurs, doit seulement disposer du mode opératoire nécessaire à sa mission, à l’exclusion de toute description exhaustive des traitements et des vérifications informatiques intégrées à ces traitements. Le concepteur d’un système informatique ne doit pas pouvoir accéder aux systèmes d’exploitation. 32 6) Indissociable du principe de la séparation des fonctions, le principe d’autocontrôle implique des recoupements d’informations et des contrôles réciproques.

a) Le recoupement consiste à comparer des informations semblables et figurant dans des documents différents, ou à justifier une information à partir de sources différentes.

L’informatique multiplie les possibilités de recoupements automatiques. b) Le contrôle réciproque est la comparaison d’une même information à partir de son enregistrement par deux personnes différentes.

Par exemple, le comptable enregistre les primes et le trésorier enregistre les chèques reçus des assurés. Par exemple, l’acquisition d’un immeuble est enregistrée à la fois par le service technique de gestion du patrimoine immobilier (fichier des immobilisations), et par le service comptable (journal des achats et des ventes d’immeubles), le contrôle réciproque consistant à vérifier la concordance des deux montants. c) Une surveillance permanente des responsables hiérarchiques est également nécessaire pour veiller à la réalisation des objectifs du contrôle interne. Cette surveillance peut être exercée par des procédures programmées, dont le bon fonctionnement doit être régulièrement vérifié par des responsables.

13

II – LES ACTEURS DU CONTROLE INTERNE. 33 Le contrôle interne est mis en place au niveau d’un département, d’une entreprise, d’un groupe de sociétés d’assurance, d’un conglomérat financier.

L’unité de référence retenue ici est l’entreprise. Outil de gestion indispensable pour les décideurs de l’entreprise, le contrôle interne n’est pas une fonction isolée, distincte, et, même lorsqu’il implique des agents spécialisés, internes ou externes à l’entreprise, il constitue un système intégré à tous les départements, dont il met à contribution les personnes qui créent les procédures, les gèrent, les exécutent et assument le suivi des amendements et redressements décidés. 34 La conception est de la compétence du conseil d’administration et éventuellement des comités auxquels il a délégué certains pouvoirs. Le conseil décide également des redressements qui apparaissent nécessaires à la suite des informations recueillies. Les tâches de gestion et d’exécution incombent au personnel sur base d’autocontrôles et de supervision par les responsables hiérarchiques. Ensuite, la vérification de la bonne conception et du fonctionnement approprié du contrôle interne est exercée par des missionnaires polyvalents (auditeurs) ou spécialisés (risk managers, actuaires, experts-comptables), extérieurs ou non à l’entreprise. La synthèse des contrôles, le relevé des déficiences, le suivi des corrections sont le plus souvent confiés à un coordinateur, parfois baptisé officier de conformité (« compliance officer »).

1) Le Conseil d’administration. 35 a) Principes généraux :

- « The board (of directors) is the focal point of the corporate governance system. It is ultimately accountable and responsible for the performance and conduct of the insurer. Delegating authority to board committees or management does not in any way mitigate or dissipate the discharge by the board of directors of its duties and responsibilities (IAIS, ICP n° 9, corporate governance, explanatory note). - « The supervisory authority reviews the internal controls and checks their adequacy to the nature and the scale of the business and requires strengthening of these controls where necessary. The board of directors is ultimately responsible for establishing and maintaining an effective internal control system ».

b) Application :

Le Conseil d’administration est donc à la fois le concepteur du système de contrôle interne dans l’entreprise et son utilisateur final. Le Conseil d’administration : - établit des principes et des orientations, - définit des objectifs stratégiques, - organise les moyens de réaliser ces objectifs, et entre autres le partage des

responsabilités et des tâches, - définit des procédures pour contrôler et évaluer leur exécution, - analyse les informations recueillies, - sollicite éventuellement des compléments d’enquête,

14

- examine les recommandations reçues en vue d’améliorer le fonctionnement de l’entreprise,

- ordonne les corrections et les redressements à effectuer, ainsi que les modalités du suivi de leur mise en œuvre.

36 1bis ) Dans cette tâche, le conseil d’administration peut se faire assister par des comités spécialement créés à cet effet. Plus l’entreprise est importante, plus le recours à des comités est usuel. Mais les délégations de pouvoirs à ces comités, qui comprennent des administrateurs et des dirigeants exécutifs parmi leurs membres, n’exonèrent pas le conseil de ses obligations et responsabilités.

« The board of directors may establish committees with specific responsabilities like a compensation committee, audit committee or election committee » (ICP n°9, advanced criterium d). Par leur composition, leur objet et leurs pouvoirs, ces comités sont très différents d’une entreprise à une autre. L’énumération qui suit est simplement indicative. 37 a) Le plus fréquent est un comité d’audit à larges compétences :

- élaboration et aménagements d’un code de conduite et d’un manuel d’audit interne, - fixation de plans d’action annuels pour les auditeurs, - suivi des rapports d’audit interne (cf. infra, 2e, réf. n° 47).

38 b) Souvent sont mis en place des comités de pilotage spécialisés : « risk management », placements, informatique, éthique (information et protection des assurés)..

Le comité « Risk management » est chargé du suivi des risques susceptibles d’entraîner des pertes pour l’entreprise d’assurance, qu’il s’agisse des risques techniques, des risques de placement ou des risques de gestion. Ses attributions, liées aux procédures de contrôle interne, incluent aussi : - le risque informatique : pertes à laquelle est exposée l’entreprise par suite de

dysfonctionnements de ses ordinateurs ou d’une utilisation inappropriée (fraudes, piratages, sabotages) (cf. n° 77),

- le risque opérationnel : pertes résultant des erreurs et des fraudes du personnel.

39 c) Parfois la vérification de la conformité des actes de l’entreprise aux lois et réglementations en vigueur, ainsi qu’aux statuts et règlements internes, est confiée à un comité spécial (« compliance committee »).

Ce comité a pour mission de collecter toutes informations sur l’application des statuts et des manuels de procédures ou d’audit adoptés par le Conseil d’administration. Sur la base des constatations effectuées, il propose des amendements au Conseil. Souvent son rôle est plus formel qu’économique. Un « compliance officer », qui peut être le secrétaire général du « compliance committee » ou toute autre personne désignée à cet effet, joue parfois le rôle d’une courroie de transmission entre les comités et les agents d’exécution : examen des rapports, inventaire des faiblesses signalées, suivi des actions correctives. 40 2e) Les auditeurs sont les agents de mesure du contrôle interne. Leur rôle est explicité par l’essential criterium c) de l’ICP n° 10 : « The internal and external audit, actuarial and compliance functions are part of the framework for internal control, and must test adherence to the internal controls as well as to applicable laws and regulations ».

15

a) Définitions :

L’audit 4 est un examen critique des informations diffusées au sein d’une entreprise (ou à des tiers). L’audit est dit financier s’il a pour objet de certifier l’image fidèle des comptes de l’entreprise. Quant à l’audit opérationnel, il décortique l’activité d’une entreprise en vue d’améliorer ses performances : il se conclut par des conseils et la proposition éventuelle de procédures plus efficaces, notamment en matière de contrôle interne. 41 L’auditeur est la personne physique ou morale (cabinet d’audit) qui exécute un audit. Il est externe ou interne.

L’auditeur externe est légal (commissaire aux comptes) ou contractuel, ayant reçu mandat pour exécuter une mission définie, par exemple la mise en place de procédures de contrôle interne. L’auditeur interne est un salarié de l’entreprise qu’il audite. Il « est une fonction indépendante d’appréciation, exercée dans une organisation par un de ses départements, pour examiner et évaluer les activités de cette organisation. L’objectif de l’audit interne est d’aider les membres de l’organisation à exercer efficacement leurs responsabilités. A cet effet, l’audit interne leur fournit des analyses, appréciations, recommandations, conseils et informations sur les activités examinées » (institute of internal auditors, 1989). Si la mise en place d’une fonction d’audit interne n’est pas compatible avec les structures et dimensions de l’entreprise d’assurance (cas des petites et moyennes entreprises) le Conseil d’administration doit organiser des procédures de surveillance supplémentaires ou soustraiter cette fonction afin de donner une sécurité suffisante au système de contrôle interne. 42 b) Pouvoirs et qualités de l’auditeur interne.

La spécificité et l’importance de la fonction d’audit interne ont été mises en avant par l’IAIS, dans son ICP n° 10 (essential critérium j) : « j. The supervisory authority requires that an internal audit function : - has unfettered access to all the insurer’s business lines and support departments, - assesses outsourced functions, - has appropriate independence, including reporting lines to the board of directors, - has status within the insurer to ensure that senior management reacts to and acts

upon its recommendations, - has sufficient resources and staff that are suitably trained and have relevant

experience to understand and evaluate the business they are auditing, - employs a methodology that identifies the key risks run by the institution and

allocates its resources accordingly ».

Les auditeurs internes examinent la régularité et la sécurité, l’adéquation et l’efficacité des systèmes de contrôle interne préparés par chacun des départements de l’entreprise, et cela en liaison avec le comité d’audit (ou à défaut avec le secrétariat général si celui-ci s’est vu confier une mission de coordination par le conseil d’administration). Ils apprécient la cohérence des systèmes avec les opérations réelles, et proposent des remèdes appropriés aux problèmes qu’ils détectent dans les procédures de contrôle interne.

4 Audit a pour racine le mot latin « audire » (écouter), mais l’auditeur ne doit pas se contenter d’écouter, il doit aussi être écouté !

16

43 Pour accomplir leur mission d’analyse, les auditeurs internes doivent être :

- compétents et expérimentés, - suffisamment nombreux et adéquatement équipés, - munis de pouvoirs suffisants pour exiger que les départements soumis à leurs

investigations leur remettent rapports, documents et autres matériels nécessaires pour leur audit. Les audités doivent collaborer.

- indépendants, ce qui signifie que, dans le périmètre de leur mission, leurs pouvoirs ne sont pas limités. En contrepartie, ils ne sauraient diffuser les informations recueillies à d’autres que les parties concernées lorsqu’ils n’ont pas de bonnes raisons pour le faire.

- en mesure, plus généralement, d’exécuter leur mission proprement et efficacement, impartialement et loyalement.

L’audit interne doit en outre être universel, c’est-à-dire couvrir toutes les activités de l’entreprise. 44 c) Plusieurs types d’audits internes sont régulièrement mis en œuvre :

- l’audit annuel de chaque département de l’entreprise, - l’audit sur un thème particulier couvrant plusieurs départements, - l’audit de suivi d’un audit, pour vérifier que les actions correctives engagées par les

responsables des départements sont (ou non) adéquates, efficaces et exécutées dans des délais acceptables.

45 d) La mission d’audit interne.

Un plan annuel de travail est élaboré par un coordinateur (comité d’audit, secrétariat général, « compliance officer ») et approuvé par le conseil d’administration. Ce plan : - définit la politique générale de l’entreprise en matière d’audit, - met en relief des exigences prioritaires compatibles avec les objectifs du

management, - inventorie les plans d’action individuels.

Les plans d’action pour les audits internes individuels sont préparés dans un cadre établi par le coordinateur qui prend en compte les différents types de risques et leur intensité, ainsi que la fréquence, la portée et le degré d’approfondissement des travaux effectués précédemment. L’approbation des plans individuels est souvent déléguée à la direction générale de l’entreprise. Un plan individuel doit renseigner sur les objectifs, la méthodologie suivie, les activités à examiner, le calendrier et le budget prévus. 46 e) Rapport :

A la fin de leur mission, les auditeurs internes rédigent un rapport qui doit :

- rassembler les informations recueillies et les analyses qui en découlent, - mettre en valeur les travaux effectués pour en faciliter l’exploitation

par des tiers, - mentionner la liste des activités auditées, la facilité avec laquelle la

mission a pu être exécutée, la liste des interviews, les observations, conclusions, opinions et suggestions du rédacteur.

17

47 f) Le suivi de l’audit interne.

Interviews et rapport, commentaires du coordinateur et notification aux audités constituent les étapes d’un dialogue qui doit susciter actions et réactions des dirigeants de l’entreprise et des responsables des départements, débouchant sur des initiatives de nature à corriger les déficiences relevées et à améliorer les procédures de contrôle interne dans le sens souhaité par l’auditeur. 48 Le coordinateur transmet au chef du département audité le résultat de l’audit, annoté par ses propres commentaires, avis , instructions, suggestions. Le chef du département est invité à présenter un plan d’actions correctives des déficiences constatées.

Le rapport individuel de l’auditeur peut être diffusé à d’autres personnes dans l’entreprise, sur demande du chef de département, proposition du coordinateur et autorisation de la direction générale. 49 Un rapport d’ensemble est élaboré par le coordinateur à l’intention du conseil d’administration. Il est strictement confidentiel, mais adressé aux chefs de département et ouvert aux commissaires aux comptes. Il répertorie les items étudiés, les problèmes à résoudre, les observations et les recommandations effectuées.

50 Avec l’assistance du coordinateur, le chef du département épinglé doit prendre immédiatement des mesures en vue de remédier aux problèmes soulignés par l’auditeur ou même par la direction générale. Dans un compte rendu pour le coordinateur, il détaillera les actions engagées, indiquera les résultats obtenus, annoncera de futures initiatives, tout en démontrant que les instructions reçues ont été respectées. Le suivi de ces actions correctives par le coordinateur est alors formalisé comme un nouvel audit régulier, ayant pour objet d’en constater la réalisation et d’en évaluer l’efficacité. 2ème bis) Les autres acteurs de l’audit interne. 51 a) Les missions d’audit comptable et financier sont des missions particulières de l’audit, ayant pour objet de vérifier que les états financiers arrêtés par l’entreprise traduisent correctement sa situation économique et son activité.

Pour cet audit de régularité par rapport aux normes comptables et de conformité aux données économiques enregistrées, il peut être fait appel à des experts comptables externes ou à des commissaires aux comptes lesquels sont par ailleurs tenus d’exprimer un avis sur la fiabilité des comptes ainsi que plus généralement sur la solidité du système de contrôle interne pris dans son ensemble. 52 b) Les spécificités de l’assurance conduisent à donner un rôle particulier aux « risk managers » et aux actuaires dans l’organisation du contrôle interne et son appréciation qualitative. Cf. IAIS ICP n° 18, Risk assessment and management :

18

« Essential criteria a. The supervisory authority requires and checks that insurers have in place

comprehensive risk management policies and systems capable of promptly identifying, measuring, reporting and controlling their risks.

b. The risk management policies, and risk control systems are appropriate to the complexity, size and nature of the insurer ‘s business…

c. The risk management system monitors and controls all material risks ».

Des exemples de la mise en application de ces principes dans les entreprises d’assurance sont donnés au chapitre suivant sur différents thèmes : sauvegarde des placements, gestion actif passif, instruments financiers à terme, acceptation des risques après identification, analyse et recherche de cumuls (agrégations), etc…

53 c) Les actuaires occupent une place à part dans le fonctionnement et le contrôle des entreprises d’assurance. Acteurs du contrôle interne au sein d’une société d’assurance vie (et même non vie dans certaines juridictions), ils sont évoqués logiquement par l’IAIS ICP n° 10 :

Essential criterium l :

« l. The supervisory authority requires that actuarial reporting to the board and management where the appointment of an actuary is called for by applicable legislation 02 by the nature of the insurer’s operations ».

L’actuaire est un auditeur spécialisé ayant un accès direct au conseil d’administration.

Les grands cabinets d’audit internationaux ne disposent généralement pas d’un personnel suffisamment qualifié pour analyser sérieusement les provisions techniques d’assurance vie. Ils font alors appel à des actuaires pour évaluer provisions techniques, tarifs et participations des assurés vie aux bénéfices. Dans un certain nombre de pays, la loi exige que les entreprises d’assurance désignent un actuaire responsable (« appointed actuary »). Cet actuaire doit garantir que les primes et les provisions mathématiques de l’assurance vie sont calculées conformément aux réglementations et aux principes actuariels généralement admis. Il a donc accès à toutes les informations qui peuvent lui être utiles. Il rend compte de ses observations au conseil d’administration. C’est donc un agent important du contrôle interne.

19

Chapitre 3 – Contrôle interne et procédures spécifiques à l’assurance. 54 D’une manière générale, l’approche d’une entreprise d’assurance, en ce qui concerne le contrôle interne, ses objectifs, ses principes, ses acteurs et un certain nombre de procédures, ne s’écarte pas de celle des autres entreprises du secteur financier. Mais des procédures spécifiques prennent en compte : 1) Les particularités de l’opération d’assurance : - fixation a priori des prix (risque de sous-tarification) ; - sélection des risques (idem) ; - souscription d’engagements à long terme (risque de sous-provisionnement) ; - corrélation entre les contrats d’assurance vie et les placements (risques de taux, de

dépréciation, de contrepartie) ; - réassurance (risques spécifiques) ; - intermédiation (risque de défaillance d’un partenaire) ; - délégations de gestion (id). 2) La nécessité d’une protection renforcée des consommateurs d’assurance. Le contrôle interne doit s’attacher à mesurer la qualité du service rendu aux assurés, par exemple sur la base d’informations précises, telles que le paiement des rachats (assurance vie) et le règlement des sinistres (assurance non vie). 55 On décrira ci-après les procédures de contrôle interne mises en place pour maîtriser les risques attachés à diverses fonctions importantes au sein d’une entreprise d’assurance (liste non exhaustive) : I. L’acceptation des risques (assurance vie) II. Les provisions pour sinistres à payer (assurance non vie) III. La sauvegarde des placements IV. La gestion actif passif V. Les instruments financiers à terme VI. Le risque informatique VII. Le rôle des intermédiaires VIII. Les gestions déléguées IX. Le blanchiment des capitaux Dans chacun de ces types d’opération, seront décrits : - les risques spécifiques à l’activité étudiée, - les objectifs subséquents du contrôle interne, - les principales procédures de contrôle interne mises en œuvre.

20

I) L’ACCEPTATION DES RISQUES (assurance vie).

56 L’objet d’un contrat d’assurance est la garantie d’un risque. En assurance vie, le risque est lié à la durée de la vie humaine, l’assuré pouvant décéder trop tôt (garantie décès) ou trop tard (rente viagère garantie). L’assureur doit mesurer le risque afin de : 1 – décider s’il l’accepte ; 2 – déterminer le montant de la prime correspondante. 57 1e) Dans ce cadre, les procédures de contrôle interne mises en place par l’assureur vie portent sur : a) la proposition d’assurance :

- est-elle conçue pour permettre une appréciation correcte du risque ? - est-elle bien remplie ?

b) la recherche d’un cumul de risques :

- existe-t-il dans la société d’autres contrats en vigueur ayant pour sujet le même

assuré ?

c) la sélection médicale (garantie décès) :

- questionnaire médical et, le cas échéant, examens complémentaires constituent-ils une protection efficace contre le risque d’antisélection ?

d) la réassurance des capitaux garantis d’un montant dépassant la capacité de l’assureur : - est-elle adaptée à ses moyens financiers ? - est-elle appliquée ? 58 2e) Le fichier des contrats regroupant les informations nécessaires à la gestion des risques, des primes et des provisions mathématiques doit être d’un accès facile. 59 3e) Les problèmes du suivi des primes et des provisions mathématiques suscitent diverses actions de contrôle interne (liste non exhaustive) : a) Le quittancement des primes :

Les procédures de contrôle interne doivent permettre de s’assurer que le tarif appliqué est bien conforme au risque mesuré lors de la conclusion du contrat. L’informatisation du calcul des primes facilite en général la solution de ce problème.

60 b) L’encaissement des primes.

Les procédures pour remédier au risque de détournement ou de perte du paiement et au risque d’affectation erronée du versement à un contrat sont organisationnelles, et le contrôle interne doit veiller à leur bonne application : encaissement direct, séparation des tâches entre la réception des fonds, leur affectation et le suivi des comptes bancaires, etc…

21

61 c) Le rattachement de chaque prime à la provision mathématique du bon contrat.

- Risque : une prime enregistrée en produit n’a pas de contrepartie dans la provision

mathématique du contrat. - Rôle du contrôle interne : analyse systématique des primes impayées ; vérification de

cohérence entre les fichiers primes et les fichiers provisions mathématiques.

61bis Le présent paragraphe (I) peut être transposé à l’assurance non vie, sauf en ce qui concerne la sélection médicale (1er c) et les provisions mathématiques (3ème c). On insistera sur : a) les tarifs : comment est déterminé le tarif applicable ? existe-t-il une procédure de

vérification des tarifs appliqués ? si oui, laquelle ? en cas de dérogation tarifaire, existe-t-il une procédure d’autorisation hiérarchique particulière liée à l’importance de la dérogation ? si oui, laquelle ? D’une manière générale, il appartient au contrôle interne de maintenir un juste équilibre entre les objectifs commerciaux (produire) et les impératifs techniques (prime suffisante).

b) les sinistres et les provisions pour sinistres : cf. infra, II. II – LES PROVISIONS POUR SINISTRES A PAYER (sociétés non vie). 62 Les provisions techniques doivent être suffisantes pour couvrir intégralement les engagements pris par l’entreprise d’assurance envers ses assurés et bénéficiaires de contrats. Dans une société non vie, la provision pour sinistres à payer est destinée à permettre le règlement intégral de tous les sinistres (et des frais de gestion y afférents) survenus avant la date de l’inventaire et non encore définitivement payés à cette date. Elle comprend des sinistres déclarés et des sinistres tardifs (survenus mais non encore déclarés ou IBNR). La provision pour sinistres, poste le plus important au passif du bilan d’une société d’assurance non vie, est seulement évaluée : une erreur est toujours possible, faussant l’image de la situation financière de la compagnie affichée par son bilan. Le contrôle des provisions pour sinistres est donc prioritaire pour apprécier les risques encourus par une compagnie d’assurance, et notamment : - le sous provisionnement, qui fausse le bilan ; - la sous tarification, qui est masquée par une mauvaise appréciation des coûts ; - une gestion inadaptée des sinistres ; - des fraudes : paiements indus de sinistres réels ou fictifs. 63 Les procédures de contrôle interne doivent mesurer la qualité de la gestion des sinistres et la pertinence des montants de provisions retenus. Par la nature même de leurs fonctions, les auditeurs internes apparaissent comme étant les personnes les plus aptes à examiner dans le détail les provisions et à y consacrer beaucoup de temps si nécessaire. Un audit interne des provisions pour sinistres répond à deux objectifs essentiels : 1) La vérification des montants à une date donnée (par ex. au bilan), 2) La vérification des procédures et des méthodes d’évaluation de l’entreprise. La première vérification porte sur le niveau des provisions : sont-elles légalement correctes ? sont-elles suffisantes ? L’auditeur doit indiquer le montant qui lui paraît adéquat.

22

La seconde vérification porte sur les méthodes et procédures : sont-elles acceptables au regard des réglementations ? sont-elles logiques ? sont-elles bien appliquées ? n’y a-t-il pas de fraude dans les provisions ? La répartition des compétences en matière d’évaluation des dossiers est-elle organisée de manière à assurer un contrôle satisfaisant des évaluations elles-mêmes ? 64 Le rapport d’audit interne doit aussi :

a) – garantir que les procédures comptables appliquées sont correctes ;

- indiquer l’influence de ces procédures sur les statistiques de sinistres et l’examen des provisions ;

- proposer des améliorations. Existe-t-il un rapprochement entre les paiements enregistrés dans les dossiers de sinistres et les paiements enregistrés en trésorerie ? Y a t-il une procédure renforcée pour les paiements dépassant un montant fixé à l’avance ? b) - évaluer le système informatique appliqué aux sinistres à la lumière de l’étude des

provisions ; - indiquer l’incidence des imperfections de ce système sur les provisions ; - formuler des recommandations.

c) - donner une appréciation générale de la gestion des provisions au sein du département des sinistres : évaluation à l’ouverture du dossier ; révision systématique à l’occasion de chaque fait nouveau ;

- porter un jugement sur les outils disponibles pour les gestionnaires (manuel d’évaluation et de gestion des sinistres) : mise à jour périodique de ces outils ;

- indiquer l’incidence des imperfections constatées dans la gestion ou les outils sur les provisions ;

- proposer des améliorations de la gestion et des outils, en particulier sur la base d’analyses spécifiques des insuffisances de provisions constatées.

65 L’audit des provisions met donc en évidence des problèmes dépassant la mission stricte de l’auditeur chargé d’apprécier les provisions de sinistres : 1e) Remise en cause : - de la tarification, - de la stratégie commerciale de l’entreprise. 2e) Dysfonctionnements au sein de la comptabilité. 3e) Défaillances dans les chaînes de traitement informatique. L’émergence de ces problèmes provoquera d’autres audits. Les réponses des audités aux recommandations du rapport sont analysées par les auditeurs, qui procèdent ensuite au suivi de l’audit, pointant les réactions suscitées par chaque recommandation. 66 Remarque : Il peut arriver que les provisions pour sinistres sont bien estimées alors même que procédures et méthodes utilisées par la compagnie ne sont pas satisfaisantes. Ainsi, dans une petite société, le directeur général, par son expérience du marché et de son portefeuille, est particulièrement apte à évaluer les provisions pour sinistres prudemment et consciencieusement et à inscrire au bilan un montant fiable et suffisant. Même si ses résultats sont corrects, une telle procédure n’est pourtant pas acceptable au regard des principes du contrôle interne, et notamment de celui de la séparation des tâches.

23

III – LA SAUVEGARDE DES PLACEMENTS. 67 Les placements d’une entreprise d’assurance constituent la contrepartie de ses engagements vis-à-vis de ses assurés. Ils doivent donc offrir sécurité et rendement. Dans la plupart des pays, ils sont réglementés. L’IAIS ICP n°21 (investments) a fixé des standards et souligné l’importance du contrôle interne dans ce domaine. ICP n° 21 Investments : Essential criterium e) : « The supervisory authority checks that insurers have in place adequate internal controls to ensure that assets are managed in accordance with the overall investment policy, as well as in compliance with legal, accounting, and regulatory requirements. These controls should ensure that investment procedures are documented and properly overseen. Normally the functions responsible for measuring, monitoring, settling and controlling asset transactions are separate from the front office functions ». 68 Les objectifs du contrôle interne sont clairs : 1) Veiller à ce que la gestion des actifs soit conforme aux lois et règlements. 2) Veiller à ce que la stratégie d’investissement définie par écrit par le conseil d’administration (ou un comité d’investissement ou tout autre responsable ayant reçu une délégation à cet effet) soit correctement appliquée. Cette stratégie doit notamment déterminer (cf. ICP 21, essential criterium c) : - La répartition des placements entre les différentes catégories autorisées, - Des plafonds d’investissement par type d’actif, contrepartie, gestionnaire délégué, marché, monnaie et région géographique, - Des objectifs de rentabilité ajustés sur les rendements requis par les engagements (recherche d’une adéquation des taux et des durations). 3) Evaluer les dispositifs de protection contre les risques liés aux investissements susceptibles d’altérer la couverture des provisions techniques et la marge de solvabilité : risques de marché (y compris de dépréciation boursière), de taux, de liquidité, de défaillance d’une contrepartie, de destruction matérielle, de détournement ou d’utilisation frauduleuse…(cf. IAIS ICP n° 21, essential criterium d). 4) Contrôler l’intégrité et la fiabilité des informations traitées et produites : les placements détenus, les acquisitions et cessions les concernant, les revenus correspondants sont-ils correctement enregistrés et affectés ? 5) Veiller à la séparation des tâches, afin de répondre plus sûrement à des questions telles que : les acquisitions et les cessions sont-elles justifiées ? ont-elles été exécutées dans les meilleures conditions? l’évaluation des placements au bilan est-elle correcte ? 6) Proposer des améliorations qualitatives de la gestion. Le contrôle interne doit fournir au décideur les outils nécessaires à ses prises de position stratégiques.

24

Un rapport sur la politique d’investissement est soumis au moins une fois par an au conseil d’administration. Il détaille, entre autres : - les méthodes utilisées pour l’évaluation et le contrôle des placements, en particulier pour évaluer la qualité des actifs ; - le dispositif interne de contrôle des placements : répartition des responsabilités, délégations de pouvoir, procédures internes de contrôle ; - la structure du portefeuille de placements, les résultats par type de placements. 69 Les procédures de contrôle interne comprennent : a) La vérification de la concordance entre les placements figurant au bilan et les

existants, grâce au suivi des transactions et à l’examen des informations fournies au comptable ;

b) La justification des opérations et des existences : contrôle par exemple des actes de propriété ou de vente des immeubles ;

c) Le suivi des contreparties par un système d’évaluation interne ou externe (agence de notation) :

d) L’établissement d’un dossier spécial pour les participations : bilan, compte de résultat, plaquette publiée, coupures de presse, etc..

e) La mise en place d’un contrôle de gestion visant au suivi de la rentabilité des placements grâce à des indicateurs de performance, des simulations dans le temps, des ratios de cohérence, etc…

Des audits réguliers doivent en outre identifier les faiblesses du contrôle interne et les déficiences de la gestion (cf. ICP n° 21, essential criterium h). Ici le rôle du contrôle interne est d’abord préventif ; à défaut, il doit permettre de détecter à temps les accidents préjudiciables à la situation financière de l’entreprise.

25

IV – LA GESTION ACTIF PASSIF (GAP) – (Asset liability management ou ALM). 70 Pour une société d’assurance vie, la gestion actif passif (GAP) a pour objet la constitution d’un actif adapté aux engagements inscrits à son passif. La GAP consiste à agir sur la composition des placements pour optimiser les résultats tout en maîtrisant les risques financiers. Elle s’applique à deux niveaux : - à un produit, par ex. un contrat en unités de compte (unit linked), - à l’ensemble du bilan. A ce deuxième niveau, la GAP est un outil d’analyse et de pilotage global. Le gestionnaire actif passif s’efforce de réaliser un compromis optimal entre les logiques du passif et de l’actif, recherche du produit le plus attractif pour le client (passif) ou choix des actifs en fonction de critères de sécurité (risque) et de rentabilité. Le gestionnaire actif passif doit s’appuyer sur les compétences disponibles dans les différents départements de la société : techniciens et commerciaux, gérants d’actifs… La construction d’une fonction actif passif passe donc par un système de contrôle interne : 71 1e) Un audit doit inventorier les risques spécifiques actif passif, qui s’ajoutent aux risques financiers énoncés par ailleurs. Ce sont notamment : Contrats en devises : a) le risque de réinvestissement : risque que le taux de rendement des investissements

futurs soit inférieur aux taux garantis dans les contrats d’assurance, b) le risque de liquidation, lorsque la compagnie est contrainte de céder des

obligations en moins-value avant leur remboursement. Contrats en unités de compte : c) le risque d’illiquidité d’une unité de compte au moment du paiement de la

prestation due à l’assuré, d) le risque de non adéquation actif passif, quand l’assureur tarde à acquérir (ou

vendre) les unités de compte correspondant à des variations dans le volume des engagements,

e) le risque lié aux garanties plancher. 72 2) Un comité actif passif (ou à défaut le comité des investissements) est l’organe de décision qui : a) identifie les risques propres à l’entreprise d’assurance (cf. supra), b) définit les objectifs de l’entreprise, par exemple respecter les ratios réglementaires

ou protéger les rentes contre l’inflation à long terme, c) arrête une stratégie financière :

L’allocation des actifs, qui doit obéir aux contraintes réglementaires, comptables ou fiscales, est orientée différemment selon le degré d’intérêt attaché respectivement au rendement et à la sécurité.

26

d) adopte un cahier des charges reprenant par écrit objectifs et stratégie, listant les

opérations financières autorisées et les types de placements admis, et décrivant une procédure de dérogation (pour éviter éventuellement les lenteurs d’une gestion financière trop rigide).

73 3) Le gestionnaire actif passif est libre de ses décisions dans les limites qui lui ont été fixées. Il rend compte de ses activités au comité actif passif dans un rapport au moins annuel. La gestion peut être confiée à une unité spéciale interne réunissant des représentants du passif et de l’actif de l’entreprise. Elle peut aussi être déléguée à un tiers, avec inclusion d’un cahier des charges dans le mandat de gestion. 74 4) Les procédures de contrôle interne visent d’abord au respect des dispositions du cahier des charges ou des instructions données au gestionnaire. Le contrôle de l’application du cahier des charges ou des instructions peut être effectué à plusieurs niveaux : - par le comité actif passif, sur la base du rapport du gestionnaire, - par l’audit interne, - par un contrôle financier spécifique, sur pièces et sur place. Le contrôleur peut également formuler des observations de fond sur la politique actif passif, voire procéder à un audit complet des risques d’actif passif. Pour contrôler régulièrement le niveau des risques encourus et leur évolution, le vérificateur pourra utiliser des simulations de bilan, projetant dans l’avenir les résultats et la situation financière de l’entreprise sur la base de scénarios prédéterminés. Ces scénarios, ou jeux d’hypothèses, incluant l’environnement économique et financier, la production de l’entreprise, le comportement des clients, permettent de bâtir des indicateurs de risques, comportant des seuils d’alerte.

27

V – LES INSTRUMENTS FINANCIERS A TERME (IFT) (produits dérivés). 75 L’entreprise d’assurance s’expose, en intervenant sur les marchés des IFT, à des risques particuliers : a) caractère abstrait des IFT : Les transactions s’effectuent très rapidement, à partir d’ordres oraux (parole donnée) et sur des volumes parfois considérables, ce qui leur donne un caractère quasiment insaisissable. b) effet de levier important : Pertes et gains peuvent être considérables rapportés à l’investissement effectué. c) maniement complexe : Le personnel gérant les IFT doit être particulièrement qualifié, tout autant que ceux qui décident de la politique à suivre en la matière. d) problème de liquidités, e) risque de contrepartie. Les IFT requièrent une maîtrise, un suivi des positions et un contrôle interne rigoureux. Cf. IAIS ICP 22 Derivatives and similar commitments « The supervisory authority requires insurers to comply with standards on the use of derivatives and similar commitments. These standards address restrictions in their use, and disclosure requirements as well as internal controls and monitoring of the related positions ». Essential criterium e) « The supervisory authority requires that insurers have in place risk management systems, covering the risks from derivatives activities to ensure that the risks arising from all derivatives transactions undertaken by the insurer can be : - analysed and monitored individually and in aggregate, - monitored and managed in an integrated manner with similar risks arising from

nonderivatives activities so that exposures can be regularly assessed on a consolidated basis ».

76 Selon la COB, Commission des opérations de bourse (France) « la maîtrise des risques sur produits dérivés est un problème de contrôle interne… », contrôle interne aux aspects divers : 1er sujet de contrôle interne : description détaillée des stratégies. Le conseil d’administration, la direction générale et les autres responsables hiérarchiques doivent comprendre très précisément les stratégies mises en œuvre par les opérateurs, et apprécier chaque fois objectifs poursuivis et modalités de mise en œuvre. Les rapports de contrôle interne doivent être suffisamment détaillés pour permettre aux organes de direction d’arrêter la liste des stratégies autorisées et d’approuver (ou non) toute nouvelle stratégie.

28

2ème sujet : l’entreprise doit être dotée de moyens informatiques, de communication et de gestion suffisamment performants pour permettre aux opérateurs d’intervenir à bon escient et rapidement. L’efficacité du système peut être testée par certaines évaluations, telle que la mesure d’une position donnée ou la construction d’un scénario de crise (« stress test »). 3ème sujet : le suivi des liquidités. Dans une stratégie d’investissement, la société doit disposer des liquidités nécessaires à l’achat futur des titres sous contrat. - Ou s’arrête la notion de liquidités ? avoirs disponibles en banque seulement ? ou

notion plus large, comprenant des dépôts à terme et des cash flow futurs, tels que coupons courus, titres amortis, primes à encaisser ?

- La trésorerie n’est-elle pas utilisée plusieurs fois avec des objectifs différents ? Des procédures de contrôle interne doivent permettre de répondre à ces questions. D’autres doivent s’attacher au respect des limites d’intervention sur les IFT fixées par le conseil d’administration, limites par type de stratégie, par produit, par marché, par contrepartie (opération de gré à gré).

29

VI – LE RISQUE INFORMATIQUE 77 L’informatique a transformé les structures des entreprises d’assurance en leur permettant notamment de traiter rapidement un très grand nombre d’informations sur les contrats, les primes, les sinistres, les provisions techniques, les commissions, les placements. En même temps, l’ordinateur a fait naître de nouveaux risques entrant dans le périmètre du contrôle interne. Il ne s’agit pas de traiter ici des risques spécifiques liés aux particularités techniques de chaque type de système informatique, centralisé ou non, avec ou sans micro-ordinateurs indépendants, etc… Mais tous ces systèmes présentent des risques communs, inhérents à l’utilisation de l’informatique : 1) Le risque d’erreur : l’utilisation de traitements informatiques complexes implique un nombre répétitif et considérable d’opérations, donc d’anomalies si le programme contient une erreur. Chaque erreur présente un caractère systématique : si elle s’est déjà produite, il est probable qu’elle est due à un défaut de conception du système et qu’elle se renouvellera chaque fois que les mêmes conditions seront réunies. 2) Le risque de malveillance ou de fraude : la facilité d’utilisation des logiciels (à l’inverse des anciens outils comptables) met toute personne mal intentionnée en mesure d’enregistrer une écriture erronée. La concentration des informations fragilise leur sauvegarde. 3) Le risque de négligence : alors que la nécessité d’un contrôle attentif est d’autant plus grande que les moyens matériels sont plus perfectionnés, la confiance, parfois aveugle, que les opérateurs ont dans ces moyens, tue leur esprit critique et crée un climat psychologique d’optimisme et d’insouciance particulièrement favorable aux erreurs et à la fraude. L’histoire de l’informatique est riche en évènements illustrant ce propos. 4) Le risque d’accidents de parcours, tels que : - Cafouillage d’un logiciel lors d’une interruption accidentelle provoquée par un encodage dépassant la capacité d’un fichier. - Dépassement de la capacité d’accueil d’un support quand le résultat d’une addition comprend plus de chiffres que n’en peut recevoir le support. L’utilisation d’un support à neuf chiffres pour totaliser des provisions de sinistres évaluées dossier par dossier étêtera tous les montants dépassant un million. 78 Le contrôle interne doit surveiller la fiabilité : - du matériel, - des données introduites dans l’ordinateur, - du traitement des données, - de la conservation des données, - de la description des traitements.

30

En outre, pour prévenir les destructions de matériels et de données et y remédier éventuellement, les procédures de contrôle interne doivent s’assurer d’un certain nombre de règles élémentaires en matière de : a) mécanismes de sécurité : verrous, mots de passe… ; b) sauvegarde des fichiers et des programmes ; Il s’agit ici de protéger l’information contre les prédations de l’intérieur (utilisation par des personnes non autorisées, pertes d’informations) et de l’extérieur (concurrents et pirates). c) protection des installations contre les phénomènes naturels (orages, coupures de courant, poussières…) ; d) relais en cas d’indisponibilité par des installations informatiques extérieures. Il s’agit ici de vérifier que l’entreprise est en mesure de surmonter les effets d’une crise informatique (risque d’asservissement aux technologies mises en œuvre pour l’information). VII – LE ROLE DES INTERMEDIAIRES. 79 Agents et courtiers jouent un rôle primordial dans l’activité d’une entreprise d’assurance, dont ils constituent la force commerciale. Souvent des tâches de gestion leur sont déléguées : - émission des polices, - encaissements des primes, - règlements des sinistres. Il en résulte des risques spécifiques : a) Le risque de souscription. L’intermédiaire est susceptible d’accepter une mauvaise affaire, et même d’engager l’assureur au-delà des limites que celui-ci s’est fixé. b) Le risque de fraude, par la vente de polices fictives et le paiement de prestations indues. c) Le risque de détournement des fonds versés par les souscripteurs de contrat. d) Le risque financier lié au reversement tardif des fonds reçus. 80 Pour se prémunir contre ces risques, les entreprises d’assurance mettent en place des procédures de contrôle interne : 1 – Contrôle d’honorabilité des intermédiaires ; 2 – Séparation des fonctions entre les intermédiaires et les services chargés de la tarification, de l’émission des primes, etc… 3 – Surveillance régulière des soldes d’intermédiaires, sur la base de ratios d’encours ; 4 – Audits sur place, incluant des contrôles de caisse, en vue de garantir que l’intermédiaire : - ne règle pas des prestations indues ; - reverse régulièrement à l’entreprise les primes collectées ; - n’engage pas la société au-delà des plafonds autorisés. L’objectif est de prévenir une accumulation des dettes de l’intermédiaire au-delà de limites fixées à l’avance.

31

VIII - LA SOUS-TRAITANCE D’ACTIVITES (outsourcing). 81 La sous-traitance est de plus en plus employée par les entreprises d’assurance, qui se déchargent sur des tiers de certaines de leurs fonctions vitales. Aucun des IAIS ICP n’a pour objet la sous-traitance mais le sujet est traité dans plusieurs d’entre eux. Ainsi : 1) ICP 6 Licensing.Essential criterium b : « b. clear, objective and public licensing criteria require : -…………. - information on contracts with affiliates and outsourcing arrangements ». 2) ICP 13 On site inspection.Essential criterium f : « g. The supervisory authority can extend on-site inspection to obtain informations from intermediaries and companies that have accepted functions outsourced by the supervised insurer ». 3) ICP 10 Internal control essential criteria h et j :

« h The supervisory authority requires oversight and clear accountability for all outsourced functions as if these functions were performed internally and subject to the normal standards of internal controls ». « j. The supervisory authority requires that an internal audit function : -………. - assesses outsourced functions…. »

32

82 L’éventail des fonctions sous-traitées est très large. Il comprend :

- l’activité de souscription des contrats, - le règlement des sinistres, - le calcul des provisions techniques, - l’établissement de tarifs, - les travaux actuariels, - la gestion informatique, - la gestion d’un portefeuille d’actifs, - le reporting prudentiel, - l’audit interne, etc…

La sous-traitance présente des avantages :

- réduction des coûts grâce aux économies d’échelle réalisées par le fournisseur de services,

- bénéfices tirés de la compétence d’un sous-traitant spécialiste.

Elle comporte aussi des risques pour la situation économique de l’entreprise et la maîtrise de ses opérations.

83 Ces risques incluent :

1 – le risque légal : non respect des dispositions légales par les fournisseurs (surtout lorsqu’ils ne sont pas assureurs eux-mêmes) ; 2 - des risques opérationnels :

- risque de perte de contrôle sur les activités sous-traitées ; - risque de perte de compétence de l’entreprise d’assurance pour gérer elle-même les

activités sous-traitées ; - risque de dépendance vis-à-vis du fournisseur ; - risque de conflit d’intérêt lorsque le fournisseur travaille pour plusieurs assureurs ;

3 – des risques généraux :

- incompétence du fournisseur et détérioration de la qualité du service fourni ; - coût trop élevé entraînant un alourdissement des frais mis à la charge des assurés.

84 Le contrôle interne a pour objectif de prévenir les risques et d’en limiter éventuellement les effets. Les procédures mises en place ont notamment pour objet de vérifier que :

a) la sous-traitance ne met pas en danger les intérêts des assurés ; b) le conseil d’administration de l’entreprise se considère bien comme restant

responsable de toutes les activités sous-traitées et se comporte en conséquence pour définir et surveiller ces activités ;

c) les lignes conductrices arrêtées par le conseil sont décrites avec précision dans le contrat de sous-traitance et respectées par le fournisseur de services ;

d) les moyens dont s’est dotée l’entreprise pour analyser les risques liés aux activités de sous-traitance sont adéquats et efficaces ;

e) des solutions de remplacement existent pour le cas où des problèmes de fonctionnement surgiraient du fait des fournisseurs de services ;

f) l’entreprise d’assurance a le pouvoir de résilier le contrat de sous-traitance à tout moment s’il suscite des difficultés nuisibles à sa réputation, sa politique commerciale, sa situation financière.

33

IX – LE BLANCHIMENT DES CAPITAUX 85 Dans de nombreux pays, des lois imposent aux organismes financiers d’identifier leurs contractants et les véritables bénéficiaires des contrats lorsqu’il leur apparaît que leur interlocuteur pourrait ne pas agir pour son propre compte. Une obligation de vigilance particulière vise les opérations importantes présentant des conditions inhabituelles de complexité et ne paraissant pas avoir de justification économique ou d’objet licite. L’assurance vie est plus spécialement concernée, mais les autres compagnies d’assurance n’échappent pas à ce risque, susceptible de porter atteinte à la réputation d’une entreprise, au détriment finalement de sa solidité financière. 86 L’IAIS a formulé une recommandation qui s’adresse essentiellement aux autorités de contrôle, mais met aussi en évidence le rôle du contrôle interne. ICP 28 Anti-money laundering « The supervisory authority requires insurers and intermediaries to take effective measures to deter, detect and report money laundering and the financing of terrorism ». Essential criterium f : « Monitoring and reporting of suspicious transactions Essential criteria f) The supervisory authority requires that insurers and intermediaries : - co-operate with the competent authorities, - ensure transparency of money flows, in particular monitor for complex, unusual large

transactions, or unusual patterns of transactions, that have no apparent or visible economic or lawful purpose,

- promptly report to the competent authority suspicious transactions, such as a transaction where the proceeds could either stem from a criminal activity or be linked or related to, or are to be used to, finance terrorism,

- be alert to significant, unexpected and unexplained changes in the behaviour of policyholder accounts,

- check reinsurance or retrocession arrangements to ensure the monies are paid to bona fide reinsurance entities,

- should suspicion of money laundering or financing of terrorism arise, refrain from warning (« tipping off ») their customers when information relating to them is reported to competent authorities.

87 Les sociétés d’assurance doivent donc mettre en place les procédures de contrôle interne permettant : 1) de sensibiliser le personnel chargé de la souscription ou des encaissements, ainsi que

les intermédiaires ; 2) d’identifier le souscripteur d’un contrat ; 3) de conserver en mémoire le détail d’une opération aussi longtemps que la loi l’exige. En cas de doute, l’entreprise d’assurance doit être en mesure d’établir une « déclaration de soupçon » à transmettre aux autorités qualifiées pour détecter le blanchiment de capitaux, ainsi qu’à l’autorité chargée du contrôle de l’activité d’assurance, s’il y a lieu.

34

Chapitre 4 : Contrôle interne et autorités de contrôle 5 88 Le contrôle interne répond à une nécessité prudentielle. Il est donc soumis d’une part aux diligences des commissaires aux comptes, d’autre part à la surveillance des autorités chargées de contrôler le secteur des assurances, et plus spécialement la solidité financière et les conditions d’exploitation des entreprises. 89 Le commissaire aux comptes 6 doit exprimer une opinion sur la régularité, la sincérité et l’image fidèle des comptes annuels de l’entreprise auditée. Il décrit en outre dans un rapport spécial au conseil d’administration : - les documents comptables auxquels des modifications devraient être apportées, en

faisant toutes observations utiles sur les méthodes utilisées pour la fabrication de ces documents ;

- les irrégularités et les inexactitudes découvertes ; - les conclusions qui en résultent pour les comptes de l’entreprise. Cette description inclut les faiblesses de contrôle interne que le commissaire aux comptes a pu relever, les risques qui en découlent et les améliorations qu’il propose. 90 L’autorité de contrôle de son côté : 1 – veille à la fiabilité et à l’efficacité du contrôle interne ; 2 – utilise les travaux du contrôle interne pour porter un jugement sur la solidité financière de l’entreprise et les conditions de son exploitation. Seront détaillés ci-après : 1 – Les pouvoirs et missions de l’autorité de contrôle, 2 - L’évaluation du contrôle interne par le superviseur, 3 – L’utilisation du contrôle interne par le superviseur. I – Pouvoirs et missions de l’autorité de contrôle (ci-après dénommée superviseur). 91 Ces pouvoirs et missions sont énoncés de façon précise dans certains principes généraux de l’IAIS, à savoir : - l’ICP n°10, qui traite spécifiquement du contrôle interne ; - les ICP n° 9, 13, 17, 18, 21 et 22, qui y renvoient. Déjà présentés aux chapitres précédents, ces ICP énoncent une règle générale et des recommandations applicables à diverses fonctions essentielles de l’entreprise d’assurance. 1) Le principe général (ICP 10, réf. N° 5) : L’autorité de contrôle exige la mise en place de contrôles internes. La responsabilité de leur établissement, de leur suivi et de leur efficacité incombe au conseil d’administration, qui doit veiller à l’existence de systèmes organisant la bonne circulation d’une information fiable entre les différents niveaux hiérarchiques, et surtout vérifier leur bon fonctionnement.

5 autorité de contrôle : supervisory authority 6 statutory auditor

35

2) Suivi par le superviseur : a) Le superviseur exige que l’entreprise d’assurance, et notamment son conseil d’administration, respectent les standards de gouvernement d’entreprise (« corporate governance ») recommandés par l’ICP 9 (réf. N° 35). b) Il exige que l’assureur dispose d’une fonction d’audit permanente (ICP n° 10, essential criteria h, i, j) (réf. N° 42). c) Les contrôles sur place incluent l’évaluation du système de contrôle interne (ICP n° 13, explanatory note 13.3). 3) Application à certaines fonctions essentielles et situations particulières : a) Entreprises d’assurance appartenant à un groupe (ICP n° 17, essential criterium d) : « d. At a minimum, group wide supervision of insurers which are part of insurance groups or financial conglomerates includes, as a supplement to solo supervision, at a group level, and intermediate level as appropriate, adequate policies on and supervisory oversight of : -………. - internal control mechanisms and risk management processes, including reporting lines and fit and proper testing of senior management ». b) Risk management et systèmes capables d’identifier rapidement, de mesurer, de

décrire et de contrôler les risques des entreprises d’assurance (ICP n° 18, essential criterium a, réf. N° 52).

c) Gestion et sauvegarde des actifs (ICP n° 21, essential criterium e, réf. N° 67). d) Recours aux instruments financiers à terme (ICP n° 22, réf. N° 75).

etc….

*

* *

92 En d’autres termes, l’autorité de contrôle a pour objectifs et missions : 1) d’imposer aux administrateurs et dirigeants des entreprises d’assurance la mise en place de standards et de contrôles internes couvrant tous les aspects de la gestion de ces entreprises ;

36

2) de vérifier que les tâches et les responsabilités de chacun sont clairement définies, avec cloisonnement et séparation des fonctions clés ; 3) de vérifier que la fonction d’audit est dotée des moyens nécessaires à un exercice efficace de sa mission : - accès à tous les services et secteurs de l’entreprise ; - indépendance par rapport aux dirigeants et aux administrateurs ; - moyens matériels et humains (qualification et expérience) suffisants ; - méthodologie adéquate. 4) de vérifier que : - l’information du conseil d’administration est correctement organisée ; - les recommandations de l’audit sont prises sérieusement en compte. 5) d’exiger si nécessaire un renforcement des contrôles internes. II – La méthodologie d’appréciation du contrôle interne. 93 Pour évaluer le système de contrôle interne mis en place par une entreprise d’assurance, le superviseur procède par étapes. La démarche décrite ci-après est un exemple, non un modèle unique : 1) La prise de connaissance du système. Pour bien comprendre les circuits du traitement d’une information, depuis l’initiation d’une opération jusqu’à sa traduction dans les comptes de l’entreprise, le superviseur : - s’entretient avec les responsables des services et les intervenants ; - analyse le manuel de contrôle interne ; - prend connaissance des rapports des auditeurs internes. 94 2) La rédaction d’un descriptif du système pour conserver une trace écrite des informations collectées. Cette description ne se limite pas à une approche comptable ; elle couvre aussi les traitements complémentaires mis en place par l’entreprise, tels que les statistiques effectuées sur les affaires nouvelles, sur les risques répartis en classes homogènes, sur les sinistres par tranches de coûts, etc… 95 3) La vérification de l’existence du système par des tests de conformité permettant de confirmer (ou d’infirmer) la pertinence du descriptif établi. 96 4) L’examen des traitements et des vérifications mis en œuvre par l’entreprise, en vue de s’assurer que la conception des systèmes et des procédures élimine (ou du moins réduit fortement) les risques d’erreurs et de pertes. Dans ce but, le superviseur peut exploiter des questionnaires préétablis pour chaque fonction de l’entreprise et chacun des objectifs du contrôle interne. Parmi les très nombreuses questions à poser : - comment retrouver les pièces justificatives à partir des écritures comptabilisées ? - par quelles procédures les personnes habilitées à signer des titres de paiement

peuvent-elles vérifier que l’opération est justifiée, par exemple le paiement d’un sinistre ou l’apurement d’un solde de réassurance ?

37

97 5) La vérification du fonctionnement effectif des procédures décrites :

- sont-elles réellement utilisées ? - le sont-elles en permanence ?

Pour répondre à ces interrogations, le superviseur peut refaire le traitement ou le contrôle réalisé par le personnel ou l’ordinateur de l’entreprise. Ainsi un « test data » consiste à injecter dans les programmes informatiques utilisés par l’entreprise des données préparées par le superviseur afin de vérifier que les traitements et les contrôles prévus par l’entreprise sont effectivement exécutés.

98 6) La synthèse : l’évaluation finale.

Le superviseur fixe le degré de confiance qu’il accorde au système de contrôle interne d’une entreprise en se fondant :

- sur sa propre évaluation de la conception des procédures ; - sur les résultats des sondages effectués pour mesurer le fonctionnement de ces

procédures.

38

Finalement, l’objet de l’appréciation du contrôle interne est double :

a) Le superviseur convaincu de la fiabilité des procédures effectuera peu de sondages. A

contrario, la constatation de procédures peu fiables l’incitera à multiplier les tests de validation ;

b) S’il constate une certaine inefficacité des procédures, le superviseur recommandera des améliorations.

99 7) Recoupements des conclusions du superviseur par l’examen des rapports d’audit interne : Le superviseur a accès à tous les rapports des auditeurs internes, et leur examen permet de fortifier ses convictions.

Le superviseur évalue la qualité des rapports d’audit en contrôlant l’exactitude des données et la pertinence des analyses.

Sa tâche n’est pas toujours aisée en l’absence d’une véritable standardisation de la forme et du contenu des rapports d’audit, souvent par ailleurs trop riches en informations de détail, à usage purement interne, et non certifiées. Confronté à cette situation, le superviseur pourra recommander à l’entreprise de mettre en place un encadrement des rapports d’audit en vue de rationaliser leurs structures et de sélectionner les informations qu’ils contiennent. 100 8) Analyse des manquements et faiblesses relevés par les auditeurs, et des suites données à leurs observations dans les départements et à la tête de l’entreprise.

*

* * 101 Le superviseur est en quelque sorte un « super » auditeur externe. Ses pouvoirs, objectifs, diligences, le distinguent très largement des auditeurs internes : - sa compétence est universelle et le met en situation d’obtenir une vue synthétique du

contrôle interne au sein d’une entreprise. La mission de l’auditeur interne est généralement restreinte à un département,

- ses diligences sont exercées avec discernement, de façon sélective, leur degré d’approfondissement étant ajusté en fonction de sa connaissance de l’entreprise. L’auditeur interne de son côté est tenu d’établir un état des lieux aussi complet que possible pour répondre aux interrogations de la hiérarchie, du « compliance officer » et du conseil d’administration.

- ses conclusions sont adressées au conseil d’administration et ses recommandations ont valeur d’injonction pour l’entreprise qui est tenue de mettre en œuvre les actions correctives demandées. Les observations de l’auditeur interne constituent seulement la première étape d’un dialogue qui peut être à rebondissements.

39

III – L’utilisation du contrôle interne par le superviseur. 102 Les observations et les résultats du contrôle interne sont plus ou moins largement exploités par le superviseur selon le jugement qu’il porte sur la fiabilité et l’efficacité des procédures mises en œuvre par l’entreprise. Mais, quelle que soit sa confiance dans le contrôle interne, le superviseur ne saurait renoncer à ses propres investigations par le moyen notamment de contrôles sur place, seuls susceptibles : - de confirmer la permanence des qualités du contrôle interne ; - de réunir sur les conditions d’exploitation et la solidité financière de l’entreprise (ce qui

constitue sa préoccupation prioritaire) les informations nécessaires à un jugement externe et indépendant.

*

* *

103 D’une manière générale, les résultats du contrôle interne sont utilisés par le superviseur :

- le plus souvent pour apprécier des opérations déterminées telles que l’emploi des

produits dérivés, la politique de souscription, la stratégie de réassurance, le choix des investissements, avec un regard particulièrement attentif sur la sous-traitance ;

- parfois pour projeter dans l’avenir l’évolution de la situation financière de l’entreprise.

*

* * 104 Le contrôle interne est plus particulièrement sollicité par le superviseur lorsqu’il souhaite évaluer la qualité du service rendu aux assurés, l’efficacité du contrôle des risques, la conformité du fonctionnement de l’entreprise avec les lois et les règlements en vigueur, ainsi que l’adéquation de l’audit interne. On se limitera à quelques exemples. 1) Protection des assurés et qualité du service rendu (assurance vie) : 105 Le superviseur utilise les analyses et les conclusions du contrôle interne pour apprécier la gestion de l’entreprise sur des points clés bien précis tels que : - Les participations des assurés aux bénéfices, leur répartition entre les différentes

catégories de contrats, la justification de leurs montants au regard de simulations sur les cash flows futurs de l’entreprise ;

- Le traitement des contrats interrompus, les délais de paiement des valeurs de rachat, le calcul des provisions afférentes aux polices réduites ;

- L’information des assurés, la qualité des circulaires qui leur sont envoyées, la fiabilité des plates-formes d’appel téléphonique.

- Le suivi des réclamations des assurés qui estiment avoir été mal informés sur les caractéristiques de leurs contrats (« unit linked », valeurs de rachat).

40

En revanche, les éléments fournis par les procédures de contrôle interne ne sont pas toujours assez pointus pour aider le superviseur à porter un jugement sérieux sur le niveau des provisions mathématiques. Le superviseur est fondé à demander à l’actuaire de l’entreprise une évaluation prospective des engagements de l’entreprise sur la base des données économiques les plus récentes (table de survie, taux d’intérêt, charges de gestion). 2) Le système de contrôle des risques. 106 Le superviseur analyse le système de contrôle des risques mis en place par l’entreprise, qui, s’il est pertinent, contribue à former son jugement sur la solidité financière de l’entreprise : il peut ainsi adapter les ratios prudentiels aux spécificités mises en évidence par l’inventaire des risques. Parmi les questions cruciales : - Les données recueillies par l’entreprise pour le calcul des provisions techniques sont-

elles suffisantes, pertinentes et bien exploitées ? - Les traités de réassurance protègent-ils efficacement l’entreprise contre les

évènements catastrophiques et une fréquence anormale de sinistres ? La qualité et la solvabilité des partenaires réassureurs ont-elles été correctement appréhendées ?

- Les dossiers de prêts sont-ils suffisamment documentés pour alerter l’entreprise sur les risques de défaillance des emprunteurs ?

- L’analyse prospective du risque de liquidité, incluant une analyse des cash flows, est-elle effectuée et, si elle l’est, effectuée selon des critères appropriés ?

3) La conformité du fonctionnement de l’entreprise avec les lois et règlements. 107 Cela concerne non seulement les réglementations nationales applicables à toutes les entreprises d’une juridiction mais aussi les règlements internes adoptés par chaque entreprise. a) S’agissant des réglementations générales, nul n’est mieux placé que le superviseur pour en apprécier la bonne application dans une entreprise. Il lui appartient notamment de déterminer si les ratios prudentiels sont respectés et si les structures administratives sont adéquates. Mais les auditeurs internes doivent pour leur part signaler au conseil d’administration tous les manquements qu’ils sont amenés à constater dans l’exercice de leurs contrôles. Il est également important qu’ils procèdent à des simulations sur l’évolution des ratios prudentiels, notamment sur la capacité de l’entreprise à absorber des pertes potentielles. 108 b) Le superviseur est également tenu d’examiner si les règlements internes sont pertinents et s’ils sont appliqués : - Le conseil d’administration est-il correctement informé, notamment sur la conclusion

de contrats importants, le paiement des gros sinistres ou les mesures effectivement prises par les services en réponse aux conclusions de l’audit interne ?

- Les fonctions et les modalités d’exercice (rôle, tâches, responsabilités…) des comités destinataires de pouvoirs délégués sont-elles clairement définies ?

- Le rôle du « compliance officer » n’est-il pas seulement nominal au vu de tâches, de responsabilités, de pouvoirs insuffisamment précis ?

- Une procédure de révision régulière du règlement intérieur et du manuel d’audit est-elle prévue pour en corriger périodiquement les inconsistances et les lacunes ?

41

4) L’adéquation de l’audit interne. 109 Comme cela a déjà été indiqué, le superviseur doit mettre en relief les lacunes de l’audit interne, entre autres :

- un manque de savoir-faire pour auditer certaines fonctions techniques ; - une mauvaise identification de certains risques ; - l’imprécision des critères adoptés pour le « reporting » au conseil administration ; - l’insuffisance du suivi, par les départements concernés, des points ayant fait l’objet

d’observations et de recommandations des auditeurs.

*

* *

110 Au total, le contrôle interne aide le superviseur à former son jugement sur la situation financière d’une entreprise d’assurance, les conditions de son exploitation, son organisation administrative et commerciale. Dans certains pays, des sanctions sont prévues par la réglementation en cas d’absence , d’insuffisances ou de faiblesses du contrôle interne. Les rapports de contrôle interne peuvent aussi servir de base à des sanctions s’ils font apparaître des infractions à la réglementation. Dans certains Etats comme la France, toutefois, un rapport faisant suite à un contrôle sur place doit attester la réalité de ces infractions. Conclusion 111 Une entreprise, et entre autres une entreprise d’assurance, ne peut être considérée comme étant dans la durée en bonne santé financière si elle ne dispose pas d’un système de contrôle interne adéquat et performant.

Aujourd’hui les superviseurs en sont tellement convaincus qu’ils ont tendance à placer

cette exigence sur le même plan que le respect des ratios prudentiels.

Il n’en a pas toujours été ainsi même si les entreprises bien gérées n’ont pas attendu les recommandations des experts et les réglementations pour mettre en œuvre des procédures de contrôle interne suffisamment efficaces pour permettre à leurs dirigeants de maîtriser les principaux risques auxquels elles sont exposées.

L’accroissement du nombre des contrats gérés et du volume des placements effectués, une plus large diversification géographique et technique des activités, une sophistication toujours plus grande des traitements, ont contribué à une prise de conscience généralisée des personnes responsables ou comptables, de l’intérieur ou de l’extérieur, du bon fonctionnement des entreprises et de la bonne fin de leurs opérations. Dans le secteur assurance, le contrôle interne doit couvrir l’ensemble des activités de l’entreprise, et pas seulement sous leur aspect comptable, même si son intérêt est à souligner plus particulièrement dans certains domaines opérationnels comme l’acceptation des risques à assurer, la gestion actif-passif, les instruments financiers à terme ou la sous-traitance.

42

112 Les procédures de contrôle interne sont commentées et notées dans des rapports destinés en premier lieu aux décideurs de l’entreprise, conseil d’administration d’abord mais aussi direction générale, comité d’audit, comités divers……Ces rapports sont parallèlement mis à la disposition des commissaires aux comptes et des superviseurs, soit de façon systématique, soit sur demande, soit à l’occasion de contrôles sur place. 113 Les commissaires aux comptes doivent porter un jugement écrit sur la fiabilité du contrôle interne. Quant au superviseur, il lui appartient, dans le cadre de son appréciation sur une entreprise :

- d’évaluer régulièrement ses procédures de contrôle interne ; - de veiller à l’indépendance des agents du contrôle interne par rapport au

management de l’entreprise, et notamment de vérifier que leurs observations sont suivies d’effet et les lacunes relevées corrigées dans les meilleurs délais.

Mais un contrôle interne, même d’excellente qualité, ne saurait dispenser le superviseur d’effectuer les investigations, et notamment les contrôles sur place, qui seuls permettront :

- de confirmer la permanence de cette qualité ; - de porter sur l’entreprise un jugement synthétique, externe et indépendant.

114 Dans ses travaux, l’IAIS a souligné la nécessité et l’importance du contrôle interne. L’un des « Insurance core principles » (ICP n°10) lui est consacré ; plusieurs autres lui réservent une place significative dans l’inventaire des critères essentiels qui décrivent des enjeux, proposent des solutions, recommandent des interventions du superviseur.

La présente étude a démontré la pertinence de ces principes et critères, qui ne sauraient être rigides mais doivent évoluer à la fois dans le temps et en considération des besoins de chaque entreprise.

Jean-Louis BELLANDO 6.04.2004