Documente Academic
Documente Profesional
Documente Cultură
I – Principes
II- Acteurs
Conclusion
2
Introduction
2. Les définitions du contrôle interne ont évolué au fil des années, sur propositions
successives des associations d’experts comptables ou de commissaires aux comptes,
nationales et internationales :
3
3. D’où une définition, très générale, proposée ici :
Le contrôle interne est un système d’organisation constitué par un ensemble de structures,
méthodes et procédures mises en œuvre au sein d’une entreprise en vue d’assurer une
conduite ordonnée et efficace de ses activités, et notamment :
4
Chapitre 1 : Les objectifs du contrôle interne.
(Explanatory note)
« The purpose of internal control is to verify that :
- the business of an insurer is conducted in a prudent manner in accordance with policies
and strategies established by the board of directors (refer to ICP 9, corporate governance),
- transactions are only entered into with appropriate authority,
- assets are safeguarded (refer to ICP 21, investments),
- accounting and other records provide complete, accurate and timely information,
- management is able to identify, assess, manage and control the risks of the business and
hold sufficient capital for these risks (refer to ICP 18, risk assessment and management,
and ICP 23, capital adequacy and solvency) ».
Au surplus, le contrôle interne doit vérifier que les différents départements de l’entreprise
fonctionnent conformément aux lois et règlements en vigueur dans les juridictions où elle
opère (et notamment aux règles visant à la protection individuelle et collective des assurés),
ainsi qu’aux statuts et règlements intérieurs.
7 1e- La maîtrise des risques de l’entreprise constitue une priorité pour les dirigeants.
Le contrôle interne doit fournir aux managers le moyen d’identifier, évaluer, gérer et
contrôler les risques liés à l’activité de l’entreprise.
S’agissant d’une entreprise d’assurance, cet objectif peut revêtir un double aspect :
9 b) d’autre part, l’entreprise d’assurance est exposée à des risques qui menacent sa
solidité financière et compromettent sa rentabilité.
Ces risques ont été analysés ailleurs 2 dans une perspective réglementaire et prudentielle.
Ils sont généralement classés en :
1
Board of directors
2
études sur la solvabilité des entreprises d’assurance
5
La liste précédente est indicative, non exhaustive, il s’y ajoute des risques spécifiques à
certains départements de l’entreprise, qui seront énoncés plus loin (cf. n° 56 et suiv.).
Les systèmes de « risk management » comportent des procédures de contrôle interne, dont
l’un des objectifs essentiels est d’alerter les dirigeants sur l’impact que peuvent avoir ces
risques sur la situation de l’entreprise.
10 2e La sauvegarde des actifs constitue un objectif plus spécifique, mais qui dérive du
précédent.
Certains restreignent pourtant le contrôle interne à l’ensemble des procédures visant à la
sauvegarde du patrimoine de l’entreprise et à l’amélioration de ses performances.
13 c) Pour réduire ses risques financiers, une société d’assurance peut intervenir sur le
marché des instruments dérivés.
Ces instruments, qu’ils soient employés à titre de couverture ou pour modifier la structure
de rendement d’un portefeuille de placements, présentent des risques spécifiques : effet de
levier, maniement complexe, contrepartie défaillante, etc…
La maîtrise des risques sur produits dérivés est un problème de contrôle interne. Il importe
que le Conseil d’administration participe à l’élaboration des stratégies d’intervention, soit
informé des positions prises et en comprenne la portée, et ce grâce aux procédures de
contrôle interne (cf. chap. 3, V, référence n° 75).
6
15 4e) Le contrôle interne doit également veiller à ce que les transactions concernant
l’entreprise ont bien été effectuées par les personnes mandatées pour les négocier et les
conclure, dans les formes arrêtées par le Conseil d’administration (délégations de
signatures, division des tâches, contrôle des procédures).
Les délégations de pouvoirs, d’autant plus nécessaires que l’entreprise couvre un champ
d’activité plus étendu, sont sécurisées par la division des tâches, les fonctions de décision
(ou d’autorisation de décision), de protection (conservation) du patrimoine, de
comptabilisation et de contrôle étant confiées à des personnes différentes. La collusion du
trésorier et du comptable peut ainsi favoriser des turpitudes difficiles à détecter par un
contrôle interne routinier. La faillite de la banque Barings en 1995 est la conséquence des
spéculations malheureuses de son courtier de Singapour, qui simultanément prenait les
décisions et les enregistrait, tout en disposant de son propre programme informatique
auquel nul n’avait accès.
7
17 L’informatique présente également des risques liés à la concentration des
informations, qui fragilise leur sauvegarde, et à l’utilisation de traitements complexes, qui
impliquent des anomalies à répétition si le programme est erroné.
Le contrôle interne doit veiller à :
18 L’inventaire des objectifs qui lui sont dévolus démontre l’importance du contrôle
interne. Avant que son rôle ne soit reconnu et développé par les gestionnaires et les
économistes, les entreprises faisaient du contrôle interne sans le savoir, le bon sens les
ayant toujours conduites à rechercher des moyens adéquats pour maîtriser et contrôler leurs
actions.
8
Chapitre 2 : Organisation du contrôle interne dans une entreprise.
20 Les procédures de contrôle interne mises en place par les entreprises d’assurance
sont de plus en plus lourdes, de plus en plus sophistiquées. Encore faut-il qu’elles soient
appropriées. Cette adéquation est, du point de vue prudentiel, particulièrement importante
dans certains domaines d’activité, comptabilité, informatique, mais pas seulement.
Le contrôle interne est largement traité dans les réglementations bancaires. Dans le secteur
de l’assurance, le sujet est abordé, suivant les juridictions, tantôt par la loi et des
règlements, tantôt par des circulaires de l’autorité de contrôle, tantôt par des
recommandations des associations professionnelles. Les règles sont plus ou moins
détaillées, souvent similaires pour tous les services financiers, parfois développant des
spécificités assurantielles.
En 1992, une obligation de principe, et rien de plus, a été définie par l’Union européenne :
« Les autorités compétentes de l’Etat membre d’origine exigent que toute entreprise
d’assurance dispose d’une bonne organisation administrative et de procédures de contrôle
internes adéquates » (3èmes directives assurance, n° 92/49/CEE, article 9, et n° 92/96/CEE,
article 8).
L’ICP 10 de l’IAIS reprend la même exigence en précisant : « adéquats compte tenu de la
nature et du volume des activités de l’entreprise ».
9
I – LES PRINCIPES FONDAMENTAUX ET LEUR APPLICATION.
24 Le manuel doit inventorier les délégations de pouvoirs, qui doivent être sans
ambiguïté et faites au profit de personnes qualifiées pour exercer ces pouvoirs. La
délégation doit correspondre aux fonctions effectives du délégataire.
Les procédures ainsi formalisées doivent être appliquées systématiquement et en
permanence.
3
« National commission on fraudulent financial reporting » (Etats-Unis) plus connue sous le nom de son président.
10
Même dans un cadre très informatisé, l’efficacité du contrôle interne peut toujours être
affectée par une défaillance humaine provoquée par la fatigue ou la distraction.
C’est pourquoi, quelles que soient la compétence et l’intégrité des employés, un contrôle de
leurs opérations est toujours opportun, qu’il soit exercé par leurs responsables
hiérarchiques ou par des vérificateurs ponctuels empruntés à l’audit interne (cf. infra, II, 2e,
réf. 40) ou recrutés à l’extérieur de l’entreprise (auditeur contractuel).
a) La fonction de décision engage l’entreprise dans le but de réaliser son objet social.
Quand la décision est déléguée à un subalterne, la fonction de décision est liée à la fonction
d’autorisation ou d’approbation.
La fonction de conservation des actifs implique que les biens soient eux-mêmes couverts
par une police d’assurance adéquate.
11
Qui plus est, s’il y a collusion entre le comptable et le trésorier, les deux personnages sont
en mesure d’organiser leurs détournements de façon à mettre en échec toute procédure de
contrôle interne.
- la fonction de conception et
- la fonction d’utilisation.
Le concepteur d’un système informatique ne doit pas pouvoir accéder aux systèmes
d’exploitation.
Par exemple, le comptable enregistre les primes et le trésorier enregistre les chèques reçus
des assurés.
Par exemple, l’acquisition d’un immeuble est enregistrée à la fois par le service technique
de gestion du patrimoine immobilier (fichier des immobilisations), et par le service
comptable (journal des achats et des ventes d’immeubles), le contrôle réciproque consistant
à vérifier la concordance des deux montants.
12
II – LES ACTEURS DU CONTROLE INTERNE.
33 Le contrôle interne est mis en place au niveau d’un département, d’une entreprise,
d’un groupe de sociétés d’assurance, d’un conglomérat financier.
Outil de gestion indispensable pour les décideurs de l’entreprise, le contrôle interne n’est
pas une fonction isolée, distincte, et, même lorsqu’il implique des agents spécialisés,
internes ou externes à l’entreprise, il constitue un système intégré à tous les départements,
dont il met à contribution les personnes qui créent les procédures, les gèrent, les exécutent
et assument le suivi des amendements et redressements décidés.
1) Le Conseil d’administration.
35 a) Principes généraux :
- « The board (of directors) is the focal point of the corporate governance system. It is
ultimately accountable and responsible for the performance and conduct of the insurer.
Delegating authority to board committees or management does not in any way mitigate or
dissipate the discharge by the board of directors of its duties and responsibilities (IAIS, ICP
n° 9, corporate governance, explanatory note).
- « The supervisory authority reviews the internal controls and checks their adequacy to
the nature and the scale of the business and requires strengthening of these controls where
necessary. The board of directors is ultimately responsible for establishing and maintaining
an effective internal control system ».
b) Application :
Le Conseil d’administration :
13
- examine les recommandations reçues en vue d’améliorer le fonctionnement de
l’entreprise,
- ordonne les corrections et les redressements à effectuer, ainsi que les modalités du
suivi de leur mise en œuvre.
36 1bis ) Dans cette tâche, le conseil d’administration peut se faire assister par des
comités spécialement créés à cet effet. Plus l’entreprise est importante, plus le recours à des
comités est usuel. Mais les délégations de pouvoirs à ces comités, qui comprennent des
administrateurs et des dirigeants exécutifs parmi leurs membres, n’exonèrent pas le conseil
de ses obligations et responsabilités.
« The board of directors may establish committees with specific responsabilities like a
compensation committee, audit committee or election committee » (ICP n°9, advanced
criterium d).
Par leur composition, leur objet et leurs pouvoirs, ces comités sont très différents d’une
entreprise à une autre. L’énumération qui suit est simplement indicative.
Le comité « Risk management » est chargé du suivi des risques susceptibles d’entraîner des
pertes pour l’entreprise d’assurance, qu’il s’agisse des risques techniques, des risques de
placement ou des risques de gestion. Ses attributions, liées aux procédures de contrôle
interne, incluent aussi :
Ce comité a pour mission de collecter toutes informations sur l’application des statuts et
des manuels de procédures ou d’audit adoptés par le Conseil d’administration. Sur la base
des constatations effectuées, il propose des amendements au Conseil. Souvent son rôle est
plus formel qu’économique.
Leur rôle est explicité par l’essential criterium c) de l’ICP n° 10 : « The internal and
external audit, actuarial and compliance functions are part of the framework for internal
control, and must test adherence to the internal controls as well as to applicable laws and
regulations ».
14
a) Définitions :
L’audit 4 est un examen critique des informations diffusées au sein d’une entreprise (ou à
des tiers). L’audit est dit financier s’il a pour objet de certifier l’image fidèle des comptes
de l’entreprise. Quant à l’audit opérationnel, il décortique l’activité d’une entreprise en vue
d’améliorer ses performances : il se conclut par des conseils et la proposition éventuelle de
procédures plus efficaces, notamment en matière de contrôle interne.
L’auditeur externe est légal (commissaire aux comptes) ou contractuel, ayant reçu mandat
pour exécuter une mission définie, par exemple la mise en place de procédures de contrôle
interne.
L’auditeur interne est un salarié de l’entreprise qu’il audite. Il « est une fonction
indépendante d’appréciation, exercée dans une organisation par un de ses départements,
pour examiner et évaluer les activités de cette organisation. L’objectif de l’audit interne est
d’aider les membres de l’organisation à exercer efficacement leurs responsabilités. A cet
effet, l’audit interne leur fournit des analyses, appréciations, recommandations, conseils et
informations sur les activités examinées » (institute of internal auditors, 1989).
Si la mise en place d’une fonction d’audit interne n’est pas compatible avec les structures
et dimensions de l’entreprise d’assurance (cas des petites et moyennes entreprises) le
Conseil d’administration doit organiser des procédures de surveillance supplémentaires ou
soustraiter cette fonction afin de donner une sécurité suffisante au système de contrôle
interne.
La spécificité et l’importance de la fonction d’audit interne ont été mises en avant par
l’IAIS, dans son ICP n° 10 (essential critérium j) :
- has unfettered access to all the insurer’s business lines and support departments,
- assesses outsourced functions,
- has appropriate independence, including reporting lines to the board of directors,
- has status within the insurer to ensure that senior management reacts to and acts
upon its recommendations,
- has sufficient resources and staff that are suitably trained and have relevant
experience to understand and evaluate the business they are auditing,
- employs a methodology that identifies the key risks run by the institution and
allocates its resources accordingly ».
4
Audit a pour racine le mot latin « audire » (écouter), mais l’auditeur ne doit pas se contenter d’écouter, il doit aussi
être écouté !
15
43 Pour accomplir leur mission d’analyse, les auditeurs internes doivent être :
- compétents et expérimentés,
- suffisamment nombreux et adéquatement équipés,
- munis de pouvoirs suffisants pour exiger que les départements soumis à leurs
investigations leur remettent rapports, documents et autres matériels nécessaires pour
leur audit. Les audités doivent collaborer.
- indépendants, ce qui signifie que, dans le périmètre de leur mission, leurs pouvoirs ne
sont pas limités. En contrepartie, ils ne sauraient diffuser les informations recueillies à
d’autres que les parties concernées lorsqu’ils n’ont pas de bonnes raisons pour le faire.
- en mesure, plus généralement, d’exécuter leur mission proprement et efficacement,
impartialement et loyalement.
L’audit interne doit en outre être universel, c’est-à-dire couvrir toutes les activités de
l’entreprise.
Un plan annuel de travail est élaboré par un coordinateur (comité d’audit, secrétariat
général, « compliance officer ») et approuvé par le conseil d’administration. Ce plan :
Les plans d’action pour les audits internes individuels sont préparés dans un cadre établi
par le coordinateur qui prend en compte les différents types de risques et leur intensité,
ainsi que la fréquence, la portée et le degré d’approfondissement des travaux effectués
précédemment. L’approbation des plans individuels est souvent déléguée à la direction
générale de l’entreprise.
Un plan individuel doit renseigner sur les objectifs, la méthodologie suivie, les activités à
examiner, le calendrier et le budget prévus.
46 e) Rapport :
A la fin de leur mission, les auditeurs internes rédigent un rapport qui doit :
16
47 f) Le suivi de l’audit interne.
Le rapport individuel de l’auditeur peut être diffusé à d’autres personnes dans l’entreprise,
sur demande du chef de département, proposition du coordinateur et autorisation de la
direction générale.
Pour cet audit de régularité par rapport aux normes comptables et de conformité aux
données économiques enregistrées, il peut être fait appel à des experts comptables externes
ou à des commissaires aux comptes lesquels sont par ailleurs tenus d’exprimer un avis sur
la fiabilité des comptes ainsi que plus généralement sur la solidité du système de contrôle
interne pris dans son ensemble.
17
« Essential criteria
a. The supervisory authority requires and checks that insurers have in place
comprehensive risk management policies and systems capable of promptly
identifying, measuring, reporting and controlling their risks.
b. The risk management policies, and risk control systems are appropriate to the
complexity, size and nature of the insurer ‘s business…
c. The risk management system monitors and controls all material risks ».
Des exemples de la mise en application de ces principes dans les entreprises d’assurance
sont donnés au chapitre suivant sur différents thèmes : sauvegarde des placements, gestion
actif passif, instruments financiers à terme, acceptation des risques après identification,
analyse et recherche de cumuls (agrégations), etc…
53 c) Les actuaires occupent une place à part dans le fonctionnement et le contrôle des
entreprises d’assurance. Acteurs du contrôle interne au sein d’une société d’assurance vie
(et même non vie dans certaines juridictions), ils sont évoqués logiquement par l’IAIS ICP
n° 10 :
Essential criterium l :
« l. The supervisory authority requires that actuarial reporting to the board and
management where the appointment of an actuary is called for by applicable legislation 02
by the nature of the insurer’s operations ».
Les grands cabinets d’audit internationaux ne disposent généralement pas d’un personnel
suffisamment qualifié pour analyser sérieusement les provisions techniques d’assurance
vie. Ils font alors appel à des actuaires pour évaluer provisions techniques, tarifs et
participations des assurés vie aux bénéfices.
Dans un certain nombre de pays, la loi exige que les entreprises d’assurance désignent un
actuaire responsable (« appointed actuary »). Cet actuaire doit garantir que les primes et les
provisions mathématiques de l’assurance vie sont calculées conformément aux
réglementations et aux principes actuariels généralement admis. Il a donc accès à toutes les
informations qui peuvent lui être utiles. Il rend compte de ses observations au conseil
d’administration. C’est donc un agent important du contrôle interne.
18
Chapitre 3 – Contrôle interne et procédures spécifiques à l’assurance.
55 On décrira ci-après les procédures de contrôle interne mises en place pour maîtriser
les risques attachés à diverses fonctions importantes au sein d’une entreprise d’assurance
(liste non exhaustive) :
19
I) L’ACCEPTATION DES RISQUES (assurance vie).
En assurance vie, le risque est lié à la durée de la vie humaine, l’assuré pouvant décéder
trop tôt (garantie décès) ou trop tard (rente viagère garantie).
57 1e) Dans ce cadre, les procédures de contrôle interne mises en place par l’assureur
vie portent sur :
a) la proposition d’assurance :
- existe-t-il dans la société d’autres contrats en vigueur ayant pour sujet le même
assuré ?
58 2e) Le fichier des contrats regroupant les informations nécessaires à la gestion des
risques, des primes et des provisions mathématiques doit être d’un accès facile.
59 3e) Les problèmes du suivi des primes et des provisions mathématiques suscitent
diverses actions de contrôle interne (liste non exhaustive) :
Les procédures de contrôle interne doivent permettre de s’assurer que le tarif appliqué est
bien conforme au risque mesuré lors de la conclusion du contrat.
20
61 c) Le rattachement de chaque prime à la provision mathématique du bon contrat.
- Risque : une prime enregistrée en produit n’a pas de contrepartie dans la provision
mathématique du contrat.
- Rôle du contrôle interne : analyse systématique des primes impayées ; vérification de
cohérence entre les fichiers primes et les fichiers provisions mathématiques.
61bis Le présent paragraphe (I) peut être transposé à l’assurance non vie, sauf en ce qui
concerne la sélection médicale (1er c) et les provisions mathématiques (3ème c). On insistera
sur :
a) les tarifs : comment est déterminé le tarif applicable ? existe-t-il une procédure de
vérification des tarifs appliqués ? si oui, laquelle ? en cas de dérogation tarifaire,
existe-t-il une procédure d’autorisation hiérarchique particulière liée à l’importance de
la dérogation ? si oui, laquelle ?
D’une manière générale, il appartient au contrôle interne de maintenir un juste
équilibre entre les objectifs commerciaux (produire) et les impératifs techniques (prime
suffisante).
62 Les provisions techniques doivent être suffisantes pour couvrir intégralement les
engagements pris par l’entreprise d’assurance envers ses assurés et bénéficiaires de
contrats.
Dans une société non vie, la provision pour sinistres à payer est destinée à permettre le
règlement intégral de tous les sinistres (et des frais de gestion y afférents) survenus avant la
date de l’inventaire et non encore définitivement payés à cette date. Elle comprend des
sinistres déclarés et des sinistres tardifs (survenus mais non encore déclarés ou IBNR).
La provision pour sinistres, poste le plus important au passif du bilan d’une société
d’assurance non vie, est seulement évaluée : une erreur est toujours possible, faussant
l’image de la situation financière de la compagnie affichée par son bilan.
Le contrôle des provisions pour sinistres est donc prioritaire pour apprécier les risques
encourus par une compagnie d’assurance, et notamment :
Un audit interne des provisions pour sinistres répond à deux objectifs essentiels :
21
La seconde vérification porte sur les méthodes et procédures : sont-elles acceptables au
regard des réglementations ? sont-elles logiques ? sont-elles bien appliquées ? n’y a-t-il pas
de fraude dans les provisions ? La répartition des compétences en matière d’évaluation des
dossiers est-elle organisée de manière à assurer un contrôle satisfaisant des évaluations
elles-mêmes ?
65 L’audit des provisions met donc en évidence des problèmes dépassant la mission
stricte de l’auditeur chargé d’apprécier les provisions de sinistres :
Les réponses des audités aux recommandations du rapport sont analysées par les auditeurs,
qui procèdent ensuite au suivi de l’audit, pointant les réactions suscitées par chaque
recommandation.
66 Remarque : Il peut arriver que les provisions pour sinistres sont bien estimées alors
même que procédures et méthodes utilisées par la compagnie ne sont pas satisfaisantes.
Ainsi, dans une petite société, le directeur général, par son expérience du marché et de son
portefeuille, est particulièrement apte à évaluer les provisions pour sinistres prudemment et
consciencieusement et à inscrire au bilan un montant fiable et suffisant. Même si ses
résultats sont corrects, une telle procédure n’est pourtant pas acceptable au regard des
principes du contrôle interne, et notamment de celui de la séparation des tâches.
22
III – LA SAUVEGARDE DES PLACEMENTS.
L’IAIS ICP n°21 (investments) a fixé des standards et souligné l’importance du contrôle
interne dans ce domaine.
« The supervisory authority checks that insurers have in place adequate internal controls to
ensure that assets are managed in accordance with the overall investment policy, as well as
in compliance with legal, accounting, and regulatory requirements. These controls should
ensure that investment procedures are documented and properly overseen. Normally the
functions responsible for measuring, monitoring, settling and controlling asset transactions
are separate from the front office functions ».
1) Veiller à ce que la gestion des actifs soit conforme aux lois et règlements.
2) Veiller à ce que la stratégie d’investissement définie par écrit par le conseil
d’administration (ou un comité d’investissement ou tout autre responsable ayant reçu une
délégation à cet effet) soit correctement appliquée. Cette stratégie doit notamment
déterminer (cf. ICP 21, essential criterium c) :
3) Evaluer les dispositifs de protection contre les risques liés aux investissements
susceptibles d’altérer la couverture des provisions techniques et la marge de solvabilité :
risques de marché (y compris de dépréciation boursière), de taux, de liquidité, de
défaillance d’une contrepartie, de destruction matérielle, de détournement ou d’utilisation
frauduleuse…(cf. IAIS ICP n° 21, essential criterium d).
5) Veiller à la séparation des tâches, afin de répondre plus sûrement à des questions
telles que : les acquisitions et les cessions sont-elles justifiées ? ont-elles été exécutées dans
les meilleures conditions? l’évaluation des placements au bilan est-elle correcte ?
Le contrôle interne doit fournir au décideur les outils nécessaires à ses prises de position
stratégiques.
23
Un rapport sur la politique d’investissement est soumis au moins une fois par an au conseil
d’administration. Il détaille, entre autres :
Des audits réguliers doivent en outre identifier les faiblesses du contrôle interne et les
déficiences de la gestion (cf. ICP n° 21, essential criterium h).
Ici le rôle du contrôle interne est d’abord préventif ; à défaut, il doit permettre de détecter à
temps les accidents préjudiciables à la situation financière de l’entreprise.
24
IV – LA GESTION ACTIF PASSIF (GAP) – (Asset liability management ou ALM).
70 Pour une société d’assurance vie, la gestion actif passif (GAP) a pour objet la
constitution d’un actif adapté aux engagements inscrits à son passif.
La GAP consiste à agir sur la composition des placements pour optimiser les résultats tout
en maîtrisant les risques financiers.
Le gestionnaire actif passif s’efforce de réaliser un compromis optimal entre les logiques
du passif et de l’actif, recherche du produit le plus attractif pour le client (passif) ou choix
des actifs en fonction de critères de sécurité (risque) et de rentabilité.
Le gestionnaire actif passif doit s’appuyer sur les compétences disponibles dans les
différents départements de la société : techniciens et commerciaux, gérants d’actifs…
La construction d’une fonction actif passif passe donc par un système de contrôle interne :
71 1e) Un audit doit inventorier les risques spécifiques actif passif, qui s’ajoutent aux
risques financiers énoncés par ailleurs. Ce sont notamment :
Contrats en devises :
72 2) Un comité actif passif (ou à défaut le comité des investissements) est l’organe de
décision qui :
25
d) adopte un cahier des charges reprenant par écrit objectifs et stratégie, listant les
opérations financières autorisées et les types de placements admis, et décrivant une
procédure de dérogation (pour éviter éventuellement les lenteurs d’une gestion
financière trop rigide).
73 3) Le gestionnaire actif passif est libre de ses décisions dans les limites qui lui ont
été fixées. Il rend compte de ses activités au comité actif passif dans un rapport au moins
annuel.
La gestion peut être confiée à une unité spéciale interne réunissant des représentants du
passif et de l’actif de l’entreprise. Elle peut aussi être déléguée à un tiers, avec inclusion
d’un cahier des charges dans le mandat de gestion.
Le contrôle de l’application du cahier des charges ou des instructions peut être effectué à
plusieurs niveaux :
Le contrôleur peut également formuler des observations de fond sur la politique actif
passif, voire procéder à un audit complet des risques d’actif passif.
26
V – LES INSTRUMENTS FINANCIERS A TERME (IFT) (produits dérivés).
75 L’entreprise d’assurance s’expose, en intervenant sur les marchés des IFT, à des
risques particuliers :
Les transactions s’effectuent très rapidement, à partir d’ordres oraux (parole donnée) et sur
des volumes parfois considérables, ce qui leur donne un caractère quasiment insaisissable.
c) maniement complexe :
Le personnel gérant les IFT doit être particulièrement qualifié, tout autant que ceux qui
décident de la politique à suivre en la matière.
d) problème de liquidités,
e) risque de contrepartie.
Les IFT requièrent une maîtrise, un suivi des positions et un contrôle interne rigoureux.
« The supervisory authority requires insurers to comply with standards on the use of
derivatives and similar commitments. These standards address restrictions in their use, and
disclosure requirements as well as internal controls and monitoring of the related
positions ».
Essential criterium e)
« The supervisory authority requires that insurers have in place risk management systems,
covering the risks from derivatives activities to ensure that the risks arising from all
derivatives transactions undertaken by the insurer can be :
- analysed and monitored individually and in aggregate,
- monitored and managed in an integrated manner with similar risks arising from
nonderivatives activities so that exposures can be regularly assessed on a
consolidated basis ».
Les rapports de contrôle interne doivent être suffisamment détaillés pour permettre aux
organes de direction d’arrêter la liste des stratégies autorisées et d’approuver (ou non) toute
nouvelle stratégie.
27
2ème sujet : l’entreprise doit être dotée de moyens informatiques, de communication et de
gestion suffisamment performants pour permettre aux opérateurs d’intervenir à bon escient
et rapidement.
L’efficacité du système peut être testée par certaines évaluations, telle que la mesure d’une
position donnée ou la construction d’un scénario de crise (« stress test »).
Dans une stratégie d’investissement, la société doit disposer des liquidités nécessaires à
l’achat futur des titres sous contrat.
Des procédures de contrôle interne doivent permettre de répondre à ces questions. D’autres
doivent s’attacher au respect des limites d’intervention sur les IFT fixées par le conseil
d’administration, limites par type de stratégie, par produit, par marché, par contrepartie
(opération de gré à gré).
28
VI – LE RISQUE INFORMATIQUE
En même temps, l’ordinateur a fait naître de nouveaux risques entrant dans le périmètre du
contrôle interne.
Il ne s’agit pas de traiter ici des risques spécifiques liés aux particularités techniques de
chaque type de système informatique, centralisé ou non, avec ou sans micro-ordinateurs
indépendants, etc…
Mais tous ces systèmes présentent des risques communs, inhérents à l’utilisation de
l’informatique :
Chaque erreur présente un caractère systématique : si elle s’est déjà produite, il est
probable qu’elle est due à un défaut de conception du système et qu’elle se renouvellera
chaque fois que les mêmes conditions seront réunies.
3) Le risque de négligence : alors que la nécessité d’un contrôle attentif est d’autant
plus grande que les moyens matériels sont plus perfectionnés, la confiance, parfois aveugle,
que les opérateurs ont dans ces moyens, tue leur esprit critique et crée un climat
psychologique d’optimisme et d’insouciance particulièrement favorable aux erreurs et à la
fraude.
L’utilisation d’un support à neuf chiffres pour totaliser des provisions de sinistres évaluées
dossier par dossier étêtera tous les montants dépassant un million.
- du matériel,
- des données introduites dans l’ordinateur,
- du traitement des données,
- de la conservation des données,
- de la description des traitements.
29
En outre, pour prévenir les destructions de matériels et de données et y remédier
éventuellement, les procédures de contrôle interne doivent s’assurer d’un certain nombre de
règles élémentaires en matière de :
a) Le risque de souscription.
80 Pour se prémunir contre ces risques, les entreprises d’assurance mettent en place
des procédures de contrôle interne :
4 – Audits sur place, incluant des contrôles de caisse, en vue de garantir que
l’intermédiaire :
L’objectif est de prévenir une accumulation des dettes de l’intermédiaire au-delà de limites
fixées à l’avance.
30
VIII - LA SOUS-TRAITANCE D’ACTIVITES (outsourcing).
81 La sous-traitance est de plus en plus employée par les entreprises d’assurance, qui
se déchargent sur des tiers de certaines de leurs fonctions vitales.
Aucun des IAIS ICP n’a pour objet la sous-traitance mais le sujet est traité dans plusieurs
d’entre eux. Ainsi :
-………….
« h The supervisory authority requires oversight and clear accountability for all outsourced
functions as if these functions were performed internally and subject to the normal
standards of internal controls ».
-……….
31
82 L’éventail des fonctions sous-traitées est très large. Il comprend :
- réduction des coûts grâce aux économies d’échelle réalisées par le fournisseur de
services,
- bénéfices tirés de la compétence d’un sous-traitant spécialiste.
Elle comporte aussi des risques pour la situation économique de l’entreprise et la maîtrise de
ses opérations.
1 – le risque légal : non respect des dispositions légales par les fournisseurs (surtout
lorsqu’ils ne sont pas assureurs eux-mêmes) ;
32
IX – LE BLANCHIMENT DES CAPITAUX
85 Dans de nombreux pays, des lois imposent aux organismes financiers d’identifier
leurs contractants et les véritables bénéficiaires des contrats lorsqu’il leur apparaît que leur
interlocuteur pourrait ne pas agir pour son propre compte.
Une obligation de vigilance particulière vise les opérations importantes présentant des
conditions inhabituelles de complexité et ne paraissant pas avoir de justification
économique ou d’objet licite.
L’assurance vie est plus spécialement concernée, mais les autres compagnies d’assurance
n’échappent pas à ce risque, susceptible de porter atteinte à la réputation d’une entreprise,
au détriment finalement de sa solidité financière.
« The supervisory authority requires insurers and intermediaries to take effective measures
to deter, detect and report money laundering and the financing of terrorism ».
Essential criterium f :
Essential criteria
87 Les sociétés d’assurance doivent donc mettre en place les procédures de contrôle
interne permettant :
En cas de doute, l’entreprise d’assurance doit être en mesure d’établir une « déclaration de
soupçon » à transmettre aux autorités qualifiées pour détecter le blanchiment de capitaux,
ainsi qu’à l’autorité chargée du contrôle de l’activité d’assurance, s’il y a lieu.
33
Chapitre 4 : Contrôle interne et autorités de contrôle 5
Il est donc soumis d’une part aux diligences des commissaires aux comptes, d’autre part à
la surveillance des autorités chargées de contrôler le secteur des assurances, et plus
spécialement la solidité financière et les conditions d’exploitation des entreprises.
Cette description inclut les faiblesses de contrôle interne que le commissaire aux comptes a
pu relever, les risques qui en découlent et les améliorations qu’il propose.
91 Ces pouvoirs et missions sont énoncés de façon précise dans certains principes
généraux de l’IAIS, à savoir :
Déjà présentés aux chapitres précédents, ces ICP énoncent une règle générale et des
recommandations applicables à diverses fonctions essentielles de l’entreprise d’assurance.
5
autorité de contrôle : supervisory authority
6
statutory auditor
34
2) Suivi par le superviseur :
b) Il exige que l’assureur dispose d’une fonction d’audit permanente (ICP n° 10,
essential criteria h, i, j) (réf. N° 42).
c) Les contrôles sur place incluent l’évaluation du système de contrôle interne (ICP n°
13, explanatory note 13.3).
« d. At a minimum, group wide supervision of insurers which are part of insurance groups
or financial conglomerates includes, as a supplement to solo supervision, at a group level,
and intermediate level as appropriate, adequate policies on and supervisory oversight of :
-……….
etc….
* *
35
2) de vérifier que les tâches et les responsabilités de chacun sont clairement définies,
avec cloisonnement et séparation des fonctions clés ;
3) de vérifier que la fonction d’audit est dotée des moyens nécessaires à un exercice
efficace de sa mission :
4) de vérifier que :
93 Pour évaluer le système de contrôle interne mis en place par une entreprise
d’assurance, le superviseur procède par étapes. La démarche décrite ci-après est un
exemple, non un modèle unique :
Pour bien comprendre les circuits du traitement d’une information, depuis l’initiation d’une
opération jusqu’à sa traduction dans les comptes de l’entreprise, le superviseur :
94 2) La rédaction d’un descriptif du système pour conserver une trace écrite des
informations collectées.
Cette description ne se limite pas à une approche comptable ; elle couvre aussi les
traitements complémentaires mis en place par l’entreprise, tels que les statistiques
effectuées sur les affaires nouvelles, sur les risques répartis en classes homogènes, sur les
sinistres par tranches de coûts, etc…
Dans ce but, le superviseur peut exploiter des questionnaires préétablis pour chaque
fonction de l’entreprise et chacun des objectifs du contrôle interne. Parmi les très
nombreuses questions à poser :
36
97 5) La vérification du fonctionnement effectif des procédures décrites :
Le superviseur fixe le degré de confiance qu’il accorde au système de contrôle interne d’une
entreprise en se fondant :
37
Finalement, l’objet de l’appréciation du contrôle interne est double :
Le superviseur évalue la qualité des rapports d’audit en contrôlant l’exactitude des données
et la pertinence des analyses.
Sa tâche n’est pas toujours aisée en l’absence d’une véritable standardisation de la forme et
du contenu des rapports d’audit, souvent par ailleurs trop riches en informations de détail, à
usage purement interne, et non certifiées.
100 8) Analyse des manquements et faiblesses relevés par les auditeurs, et des suites
données à leurs observations dans les départements et à la tête de l’entreprise.
* *
101 Le superviseur est en quelque sorte un « super » auditeur externe. Ses pouvoirs,
objectifs, diligences, le distinguent très largement des auditeurs internes :
38
III – L’utilisation du contrôle interne par le superviseur.
102 Les observations et les résultats du contrôle interne sont plus ou moins largement
exploités par le superviseur selon le jugement qu’il porte sur la fiabilité et l’efficacité des
procédures mises en œuvre par l’entreprise. Mais, quelle que soit sa confiance dans le
contrôle interne, le superviseur ne saurait renoncer à ses propres investigations par le
moyen notamment de contrôles sur place, seuls susceptibles :
* *
103 D’une manière générale, les résultats du contrôle interne sont utilisés par le
superviseur :
- le plus souvent pour apprécier des opérations déterminées telles que l’emploi des
produits dérivés, la politique de souscription, la stratégie de réassurance, le choix des
investissements, avec un regard particulièrement attentif sur la sous-traitance ;
- parfois pour projeter dans l’avenir l’évolution de la situation financière de l’entreprise.
* *
104 Le contrôle interne est plus particulièrement sollicité par le superviseur lorsqu’il
souhaite évaluer la qualité du service rendu aux assurés, l’efficacité du contrôle des risques,
la conformité du fonctionnement de l’entreprise avec les lois et les règlements en vigueur,
ainsi que l’adéquation de l’audit interne.
105 Le superviseur utilise les analyses et les conclusions du contrôle interne pour
apprécier la gestion de l’entreprise sur des points clés bien précis tels que :
- Les participations des assurés aux bénéfices, leur répartition entre les différentes
catégories de contrats, la justification de leurs montants au regard de simulations sur
les cash flows futurs de l’entreprise ;
- Le traitement des contrats interrompus, les délais de paiement des valeurs de rachat, le
calcul des provisions afférentes aux polices réduites ;
- L’information des assurés, la qualité des circulaires qui leur sont envoyées, la fiabilité
des plates-formes d’appel téléphonique.
- Le suivi des réclamations des assurés qui estiment avoir été mal informés sur les
caractéristiques de leurs contrats (« unit linked », valeurs de rachat).
39
En revanche, les éléments fournis par les procédures de contrôle interne ne sont pas
toujours assez pointus pour aider le superviseur à porter un jugement sérieux sur le niveau
des provisions mathématiques.
106 Le superviseur analyse le système de contrôle des risques mis en place par
l’entreprise, qui, s’il est pertinent, contribue à former son jugement sur la solidité financière
de l’entreprise : il peut ainsi adapter les ratios prudentiels aux spécificités mises en
évidence par l’inventaire des risques.
- Les données recueillies par l’entreprise pour le calcul des provisions techniques sont-
elles suffisantes, pertinentes et bien exploitées ?
- Les traités de réassurance protègent-ils efficacement l’entreprise contre les
évènements catastrophiques et une fréquence anormale de sinistres ? La qualité et la
solvabilité des partenaires réassureurs ont-elles été correctement appréhendées ?
- Les dossiers de prêts sont-ils suffisamment documentés pour alerter l’entreprise sur les
risques de défaillance des emprunteurs ?
- L’analyse prospective du risque de liquidité, incluant une analyse des cash flows, est-
elle effectuée et, si elle l’est, effectuée selon des critères appropriés ?
107 Cela concerne non seulement les réglementations nationales applicables à toutes les
entreprises d’une juridiction mais aussi les règlements internes adoptés par chaque
entreprise.
a) S’agissant des réglementations générales, nul n’est mieux placé que le superviseur
pour en apprécier la bonne application dans une entreprise. Il lui appartient notamment de
déterminer si les ratios prudentiels sont respectés et si les structures administratives sont
adéquates.
Mais les auditeurs internes doivent pour leur part signaler au conseil d’administration tous
les manquements qu’ils sont amenés à constater dans l’exercice de leurs contrôles. Il est
également important qu’ils procèdent à des simulations sur l’évolution des ratios
prudentiels, notamment sur la capacité de l’entreprise à absorber des pertes potentielles.
108 b) Le superviseur est également tenu d’examiner si les règlements internes sont
pertinents et s’ils sont appliqués :
40
4) L’adéquation de l’audit interne.
109 Comme cela a déjà été indiqué, le superviseur doit mettre en relief les lacunes de
l’audit interne, entre autres :
* *
110 Au total, le contrôle interne aide le superviseur à former son jugement sur la
situation financière d’une entreprise d’assurance, les conditions de son exploitation, son
organisation administrative et commerciale.
Dans certains pays, des sanctions sont prévues par la réglementation en cas d’absence ,
d’insuffisances ou de faiblesses du contrôle interne.
Les rapports de contrôle interne peuvent aussi servir de base à des sanctions s’ils font
apparaître des infractions à la réglementation. Dans certains Etats comme la France,
toutefois, un rapport faisant suite à un contrôle sur place doit attester la réalité de ces
infractions.
Conclusion
111 Une entreprise, et entre autres une entreprise d’assurance, ne peut être considérée
comme étant dans la durée en bonne santé financière si elle ne dispose pas d’un système de
contrôle interne adéquat et performant.
Aujourd’hui les superviseurs en sont tellement convaincus qu’ils ont tendance à placer
cette exigence sur le même plan que le respect des ratios prudentiels.
Il n’en a pas toujours été ainsi même si les entreprises bien gérées n’ont pas attendu les
recommandations des experts et les réglementations pour mettre en œuvre des procédures
de contrôle interne suffisamment efficaces pour permettre à leurs dirigeants de maîtriser les
principaux risques auxquels elles sont exposées.
L’accroissement du nombre des contrats gérés et du volume des placements effectués, une
plus large diversification géographique et technique des activités, une sophistication
toujours plus grande des traitements, ont contribué à une prise de conscience généralisée
des personnes responsables ou comptables, de l’intérieur ou de l’extérieur, du bon
fonctionnement des entreprises et de la bonne fin de leurs opérations.
Dans le secteur assurance, le contrôle interne doit couvrir l’ensemble des activités de
l’entreprise, et pas seulement sous leur aspect comptable, même si son intérêt est à
souligner plus particulièrement dans certains domaines opérationnels comme l’acceptation
des risques à assurer, la gestion actif-passif, les instruments financiers à terme ou la sous-
traitance.
41
112 Les procédures de contrôle interne sont commentées et notées dans des rapports
destinés en premier lieu aux décideurs de l’entreprise, conseil d’administration d’abord
mais aussi direction générale, comité d’audit, comités divers……Ces rapports sont
parallèlement mis à la disposition des commissaires aux comptes et des superviseurs, soit
de façon systématique, soit sur demande, soit à l’occasion de contrôles sur place.
113 Les commissaires aux comptes doivent porter un jugement écrit sur la fiabilité du
contrôle interne. Quant au superviseur, il lui appartient, dans le cadre de son appréciation
sur une entreprise :
114 Dans ses travaux, l’IAIS a souligné la nécessité et l’importance du contrôle interne.
L’un des « Insurance core principles » (ICP n°10) lui est consacré ; plusieurs autres lui
réservent une place significative dans l’inventaire des critères essentiels qui décrivent des
enjeux, proposent des solutions, recommandent des interventions du superviseur.
La présente étude a démontré la pertinence de ces principes et critères, qui ne sauraient être
rigides mais doivent évoluer à la fois dans le temps et en considération des besoins de
chaque entreprise.
Jean-Louis BELLANDO
6.04.2004
42