Vous êtes sur la page 1sur 190

LERDA Aurélien

IAE d’Aix-en-Provence Master « Audit et Gouvernance des Organisations » Directeur du Master : Jacques Vera

des Organisations » Directeur du Master : Jacques Vera Mémoire L’impact du pilier 2 de Solvabilité
des Organisations » Directeur du Master : Jacques Vera Mémoire L’impact du pilier 2 de Solvabilité
des Organisations » Directeur du Master : Jacques Vera Mémoire L’impact du pilier 2 de Solvabilité
Mémoire L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les
Mémoire
L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques »)
sur les fonctions Audit Interne, Contrôle Interne et Risk Management
Audit Interne, Contrôle Interne et Risk Management Institut d'Administration des Entreprises
Audit Interne, Contrôle Interne et Risk Management Institut d'Administration des Entreprises
Audit Interne, Contrôle Interne et Risk Management Institut d'Administration des Entreprises
Audit Interne, Contrôle Interne et Risk Management Institut d'Administration des Entreprises
Audit Interne, Contrôle Interne et Risk Management Institut d'Administration des Entreprises

Institut d'Administration des Entreprises d'Aix-en-Provence

Clos Guiot Puyricard CS 30063

13089 Aix-en-Provence Cedex 2

Année universitaire 2010/2011

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

REMERCIEMENTS

Je tiens tout d’abord à remercier Jacques Vera, Directeur du Master « Audit et Gouvernance des Organisations », qui m’a aidé et m’a permis de mener à bien ce mémoire en répondant à mes questions.

Je remercie également Romain Drappier, Directeur de l'Audit Interne du Groupe Réunica, qui m'a apporté son soutien et a répondu à mes questions tout au long de mon apprentissage. De plus, je remercie tous les membres de la Direction de l'Audit Interne et de la Direction des Risques & de la Solvabilité de Réunica pour leur aide.

Enfin, je tiens à remercier les professionnels qui ont eu la gentillesse de bien vouloir me recevoir et de répondre à mes questions au cours d'entretiens :

-Albert Cohen, Directeur des Risques et de la Solvabilité (Groupe Réunica), -David Blatter, Risk Manager (Groupe Réunica), -Emil Saban, Actuaire (Groupe Réunica), -Paul-Henri Mézin, Directeur de l'Audit Interne (Groupe Malakoff Médéric), -Valérie Trony, Directrice de l'Audit & du Contrôle Internes (Groupe Mornay), -Pierre Crémadès, Directeur de l'Audit Interne (Groupe Prémalliance).

Jean-Jacques Valard, Directeur de l'Audit & de la Maîtrise des Risques, Groupe Novalis Taitbout, lors de son passage à l'IAE, m'a également apporté des connaissances très intéressantes sur le sujet de ce mémoire.

Ces Directeurs ont eu l'amabilité de m'accorder des entretiens très instructifs, me permettant ainsi d'acquérir de nombreuses informations utiles.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

1/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

SOMMAIRE

Introduction

p.6

PARTIE 1 : présentation de Solvabilité 2

p.9

1/ Le monde de l'assurance

p.9

2/ Les buts de Solvabilité 2

p.13

3/ L'accueil réservé à la directive par les professionnels

p.15

4/ Différences entre Solvabilité 1 et Solvabilité 2

p.18

5/ Les divers organismes intervenant dans la démarche Solvabilité 2 p.20

6/ Les trois piliers de Solvabilité 2 p.22

PARTIE 2 : les impacts du pilier 2 sur le Risk Management

p.25

A/ Les articles fondamentaux et leur traduction

p.25

1/ Article consacré à la gestion des risques (article 44)

p.25

2/ Obligation de disposer d'une fonction « Risk Management »

p.26

3/ Autres exigences réglementaires de Solvabilité 2 par rapport au Risk Management

p.30

4/ Le volet « ORSA » (évaluation interne des risques et de la solvabilité)

p.36

5/ Exigences liées à la gouvernance

p.40

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management

p.47

1/ Renforcement et amélioration de la maîtrise des risques

p.47

2/ Meilleur suivi des risques par le Conseil d'Administration

p.47

3/ Augmentation des responsabilités du Risk Management

p.48

4/ Clarification des rôles des différents services

p.49

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Risk Management

p.50

1/ Impact financier élevé p.50

2/ Charge en termes de reporting p.50

3/ Problème de mise à niveau des administrateurs ?

p.51

4/ Problème de gouvernance propre aux Groupes de Protection Sociale

p.52

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

2/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

5/ Questionnement sur l’indépendance de la fonction Risk Management

p.53

6/ Disparition des économies d'échelle?

p.53

Synthèse sur le Risk Management

p.54

PARTIE 3 : les impacts du pilier 2 sur le Contrôle Interne

p.57

A/ Les articles fondamentaux et leur traduction

p.57

1/ Article consacré au Contrôle Interne (article 46)

p.57

2/ Existence obligatoire d'une fonction Contrôle Interne

p.57

3/ Renforcement global des bonnes pratiques p.59 4/ Création d'une fonction Conformité p.62 5/ Renforcement du contrôle des délégataires p.67 6/ Contrôle des dirigeants p.70 7/ Pas de changements majeurs ? p.72

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrôle Interne

p.76

1/ Généralisation du contrôle interne p.76 2/ Renforcement des bonnes pratiques p.76 3/ Renforcement de la maîtrise des risques p.77 4/ Légitimité accrue de la fonction Contrôle Interne p.78 5/ Pas d'augmentation massive de la formalisation p.78

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Contrôle Interne

p.80

1/ Disparition des économies d’échelle et perte de proximité entre les services ?

p.80

2/ Redéfinition des périmètres

p.81

3/ Charge en termes de livrables / reporting

p.81

4/ Impact financier

p.82

Synthèse sur le Contrôle Interne

p.83

PARTIE 4 : les impacts du pilier 2 sur l’Audit Interne

p.85

A/ Les articles fondamentaux et leur traduction

p.85

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

3/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

1/ Article consacré à l'Audit Interne (article 47)

p.85

2/ Séparation de l'Audit Interne et des autres fonctions

p.85

3/ Renforcement global des bonnes pratiques

p.87

4/ Évolution de la méthodologie

p.90

5/ Impact indirect de Solvabilité 2 : impact en termes de missions p.91 6/ Solvabilité 2 s'inscrit dans une continuité p.92

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour l’Audit Interne

p.95

1/ Harmonisation du fonctionnement des services d'Audit Interne

p.95

2/

Confirmation des normes professionnelles

p.95

3/ Renforcement de la maîtrise des risques

p.96

4/ Légitimité accrue de l'Audit Interne

p.96

5/ Clarification des rôles des fonctions-clés en charge de la maîtrise des risques

p.97

6/ Évolution de l'Audit Interne en termes de compétences (compétences techniques d'assurance) p.97 7/ Évolution en termes de missions p.98

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour l’Audit Interne

p.105

1/ Impact financier élevé ?

p.105

2/ Impact « négatif » pour les entreprises qui ont une fonction Audit Interne cumulée avec d'autres fonctions de

l'entreprise

3/ Disparition des économies d’échelle et perte de proximité entre les services p.106

p.105

4/ Redéfinition des périmètres de chaque fonction

p.107

5/ Coût des recrutements

p.108

Synthèse

sur l'Audit Interne

p.111

Synthèse sur les parties 2, 3 & 4

p.114

PARTIE 5 : Vision d’ensemble : modalités de mise en œuvre de Solvabilité 2 et difficultés rencontrées

par les entreprises

p.119

1/ Rôle des cabinets de conseil dans la mise en conformité avec Solvabilité 2

p.119

2/ Différences d'appréhension de Solvabilité 2 entre petits et grands groupes

p.123

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

4/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

3/ Inégalités entre assurances et Institutions de Prévoyance/mutuelles ? p.128

4/ Impacts de Solvabilité 2 sur les autres activités des Groupes de Protection Sociale ? p.132

5/ Impacts de Solvabilité 2 sur les recrutements ?

p.135

6/ Impact de Solvabilité 2 sur la rémunération des dirigeants ?

p.136

7/ Vers une véritable harmonisation des pratiques ?

p.137

8/ Difficultés liées au calendrier de mise en application de Solvabilité 2 p.139 9/ Où en sont les entreprises aujourd'hui dans la démarche de mise en conformité avec Solvabilité 2 ? p.142

10/ L'après 2012 (après la mise en conformité)

p.147

Conclusion

p.155

Lexique

p.159

Sources

p.165

Annexes

p.168

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

5/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Introduction

L’année 2011 est considérée par la Commission Européenne comme l’année-clé de la mise en place de la directive Solvabilité 2.

Cette directive constitue une réforme réglementaire européenne du monde de l'assurance, que les

entreprises d'assurance, les Institutions de Prévoyance et les mutuelles devront mettre en place d'ici à fin 2012 (la date butoir est le 1er janvier 2013). Solvabilité 2 est constituée de trois « piliers »: les exigences quantitatives (concernant principalement le montant de leurs fonds propres), les exigences qualitatives, et les exigences relatives à l'information du public (présentation des états financiers, reporting etc.).

Les exigences qualitatives sont quant à elles relatives à sept aspects : le Contrôle Interne (et la Conformité), l'Audit Interne, la gouvernance (des critères « Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise), la mise en place d'un système de gestion des risques (Risk Management), la fonction actuarielle, la sous-traitance, et enfin, le volet « ORSA » (évaluation interne des risques et de la solvabilité).

Plusieurs raisons ont poussé la Commission Européenne à mettre en place Solvabilité 2 :

-Comme l'a expliqué José Manuel Barroso, président de la Commission Européenne, le 22 avril 2009, « un secteur de l’assurance intégré et concurrentiel faisant l’objet d’une supervision cohérente est essentiel pour tous les consommateurs et toutes les entreprises européennes. Solvabilité 2 aidera à protéger les assurés des mauvaises pratiques. Elle sera bénéfique pour les assureurs et les réassureurs eux-mêmes car elle leur offrira de nouvelles opportunités et elle aidera à rétablir la confiance ». Le but est donc de mettre en place un régime moderne de solvabilité (voir lexique) basé sur le risque, qui va renforcer l’intégration du marché communautaire de l’assurance, améliorer la protection des assurés et rendre plus compétitifs les assureurs de l’Union Européenne. Solvabilité 2 a donc pour ambition principale de donner aux assureurs les moyens de mieux garantir leur solvabilité tout en construisant un marché unique européen de l’assurance.

-Solvabilité 2 impose notamment aux assurances, Institutions de Prévoyance et mutuelles de mettre en place un dispositif de maîtrise des risques avant 2013. Dans la lignée de Bâle 2, son objectif est de mieux adapter les fonds propres exigés des compagnies d'assurance et de réassurance avec les risques que celles-ci encourent dans leur activité. Dans le mouvement de redéfinition de la marge de solvabilité en fonction des risques pour l'ensemble des risques financiers, après la banque, c'est au tour de l'assurance de voir sa réglementation s'adapter pour intégrer le risque. Après Solvabilité 1 qui prévoyait une marge de solvabilité déterminée en fonction de pourcentages sur les primes et les sinistres, la réglementation des assurances passe à des règles plus

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

6/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

complexes intégrant le risque, soit par l'application d'une formule standard, soit par la prise en compte d'un modèle interne. Le ratio de solvabilité est donc globalement égal au total des fonds propres ( voir lexique) divisé par les exigences en fonds propres au titre des risques auxquels doit faire face l'entreprise.

-La directive constitue donc une mise à jour des pratiques en termes de besoin de fonds propres. En effet, suite au passage de Bâle 2 dans les banques, leurs besoins en fonds propres ont dû se caler sur leurs risques (adéquation fonds propres/risques). Les banques se sont donc retrouvées « avantagées » par rapport aux assurances. Celles-ci ont pensé que cette réglementation représentait une forme de concurrence déloyale car elles avaient plus de contraintes à respecter, et ont donc souhaité une réforme de Solvabilité 1 qui prendrait mieux en compte les actions mises en œuvre par les sociétés d'assurance pour gérer leurs risques. Ainsi, le lobby des assureurs a demandé une réforme du système financier. Solvabilité 2 répond donc à un objectif de cohérence des exigences en matière de gouvernance entre les secteurs de la banque et de l'assurance.

Les objectifs majeurs de la directive sont les suivants :

-L'idée principale est d'adapter les fonds propres à la maîtrise des risques (il y a donc des conséquences dans la gestion des fonds propres, au niveau de la supervision et de la stratégie), mais également d’améliorer la protection des assurés en Europe, de moderniser la supervision et de renforcer la compétitivité des organismes assureurs européens, tout en harmonisant les reportings nécessaires aux autorités de contrôle.

En ce qui concerne la gouvernance d'entreprise, Solvabilité 2 place la maîtrise des risques au cœur de l’activité d’une entreprise. La vision des risques doit être prise en compte dans l’activité, et dans la gouvernance, la maîtrise des risques devient centrale.

En effet, la Commission Européenne a jugé que Solvabilité 1 ne couvrait pas tout le spectre des risques portés par un assureur. Ainsi, avec Solvabilité 2, l'idée est de lier précisément le niveau de capital au niveau de risque supporté par l'entreprise (des risques forts doivent faire face à des capitaux élevés, et des risques faibles doivent faire face à des capitaux faibles). Le niveau des capitaux propres devra être proportionné au risque des passifs et actifs détenus par les assurances : plus un actif sera risqué, plus les capitaux propres réglementaires ou exigence en capital correspondants devront être élevés, afin de donner à la société d’assurance la possibilité de faire face à ses engagements en cas d’imprévu. Par exemple, à une obligation d’État correspondra une exigence en capital faible, car cette obligation est très peu risquée, alors qu'une action d’entreprise non cotée (PME), par nature plus risquée (risque de faillite de la PME), conduira à avoir une exigence en capital plus importante.

-L'objectif de Solvabilité 2 d'après l'un de mes interlocuteurs est de renforcer la gestion des risques opérationnels. Idem pour un autre interlocuteur, l'objectif de Solvabilité 2 et surtout du pilier 2 est de renforcer la

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

7/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

maîtrise des risques par les sociétés d’assurance.

-Le pilier 2 de Solvabilité 2 contraint les entreprises à se structurer et à étudier l’impact potentiel de leurs risques sur leur marge de solvabilité. Ce pilier 2 complète les mesures (normes quantitatives) du pilier 1 avec des exigences qualitatives en termes de gouvernance et de gestion des risques. Ces normes qualitatives concernent principalement le Contrôle Interne et la maîtrise des risques. Les entreprises doivent mettre en place un dispositif de maîtrise des risques et de contrôle comprenant les fonctions-clés suivantes : Risk Management, Contrôle Interne, Audit Interne, Actuariat, et Conformité. Le but de ce pilier 2, comme nous le verrons, est donc d'améliorer la gouvernance des risques au sein des entreprises.

Le pilier 2 de Solvabilité 2 va donc avoir un impact important sur les fonctions Audit Interne, Contrôle

Interne et Risk Management. Or, ce pilier a été assez peu traité dans les textes officiels (contrairement au pilier 1) et reste donc un cadre assez ouvert, ce qui explique que j'ai choisi d'évoquer ce sujet de manière approfondie dans ce mémoire. De plus, ayant réalisé mon apprentissage au sein de la Direction de l'Audit Interne du Groupe Réunica, j'ai été témoin des changements provoqués par la mise en conformité avec la directive et des nombreux chantiers en cours en matière de maîtrise des risques, ce qui m'a fait prendre conscience des enjeux de cette réforme pour l'entreprise. Mon maître d'apprentissage a confirmé l'importance que revêtait Solvabilité 2 et plus particulièrement le pilier 2 pour les entreprises et l'intérêt que pourrait avoir un mémoire centré sur ce pilier 2. Il m'a également informé du fait que les professionnels accepteraient de me recevoir au cours d'entretiens afin d'évoquer ce sujet qui constitue un enjeu important pour eux, ce qui m'a d'autant plus convaincu de choisir ce thème.

Nous allons tout d'abord présenter brièvement le monde de l'assurance et la directive, avant de nous

intéresser aux thèmes principaux de ce mémoire : les répercussions concrètes du pilier 2 sur les fonctions Audit Interne, Contrôle Interne et Risk Management, ainsi que les impacts positifs et négatifs engendrés par l'application des exigences de ce pilier 2. Enfin, nous terminerons par une vision d'ensemble, qui se focalisera sur les modalités concrètes de mise en œuvre des exigences de la directive, et les difficultés rencontrées par les entreprises, avant de conclure. Le sujet de cette cinquième et dernière partie s'éloignera donc quelque peu du thème principal de ce mémoire, mais s'est imposé de lui-même au fil des entretiens que j'ai menés, car tous les interlocuteurs que j'ai pu rencontrer ont évoqué ces modalités concrètes de mise en conformité avec la directive et les nombreux obstacles auxquels leurs entreprises ont dû faire face. Il m'a donc semblé important d'évoquer ces thèmes ici afin de replacer le sujet principal du mémoire dans un contexte plus global. Cette « vision d'ensemble » concernera notamment le rôle des cabinets de conseil dans la mise en conformité des entreprises avec Solvabilité 2, les différences d'appréhension de Solvabilité 2 entre petits et grands groupes, l'état d'avancement actuel de la démarche de mise en conformité avec Solvabilité 2, et ce qu'il adviendra après 2012, c'est-à-dire une fois que la mise en conformité sera effectuée.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

8/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Partie 1 : présentation de Solvabilité 2

La directive Solvabilité 2 a un impact sur toutes les entreprises du secteur de l'assurance. Nous allons donc commencer par une brève présentation de ces entreprises, puis nous évoquerons les buts de Solvabilité 2, l'accueil réservé à la directive par les professionnels, les différences entre cette directive et Solvabilité 1, les acteurs impliqués et surtout les différents piliers constituant cette directive.

1/ Le monde de l'assurance

Un contrat d’assurance est un contrat par lequel une partie (le souscripteur) se fait promettre pour son

compte ou celui d’un tiers par une autre partie (l’assureur) une prestation généralement pécuniaire en cas de

réalisation d’un risque, moyennant le paiement d’une prime ou cotisation (voir lexique pour définition plus complète).

L’assureur est la partie qui prend l’engagement d’indemniser le bénéficiaire du contrat d’assurance en cas de sinistre. Dans le droit des assurances, il peut s’agir d’une société commerciale, d’une société civile, d’une société européenne, ou bien encore d’un intermédiaire d’assurances (agent général d’assurances ou courtier).

Le souscripteur, nommé « contractant » en assurance-vie ou « preneur d’assurance » en droit communautaire, est la partie au contrat qui signe les documents contractuels et qui s’engage au paiement des primes.

L’assuré est la personne sur la tête (en assurance-vie) ou sur les intérêts (assurance dommage) de qui pèse le risque assuré. Il ne s’agit pas nécessairement du souscripteur du contrat, car l’assurance peut être contractée par un tiers pour son compte.

Les tiers bénéficiaires sont les personnes qui n’ont eu aucun contact direct avec l’assureur avant la survenance d’un sinistre, mais qui bénéficient des prestations de l’assureur après la réalisation dudit sinistre.

Enfin, pour qu'un événement puisse être assuré, il doit posséder trois caractéristiques : il doit être futur (le risque ne doit pas être déjà réalisé), il doit y avoir incertitude (événement aléatoire), et l'arrivée de l’événement ne doit pas dépendre exclusivement de la volonté de l'assuré.

L’assurance est un secteur très vaste et très concurrentiel, parce qu’il regroupe non seulement de

nombreux acteurs (les trois principaux types d’organismes d’assurance étant les sociétés d’assurance, les Institutions de Prévoyance et les mutuelles), mais aussi de nombreux types de produits et de prestations :

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

9/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-Une mutuelle (voir lexique) est un organisme indépendant à but non-lucratif qui s'organise sur le principe de la solidarité entre ses membres. Elle s'occupe de la prise en charge de ses adhérents et des dépenses santé qui ne sont pas remboursées par la Sécurité Sociale. Une mutuelle gère et distribue des garanties santé appelées complémentaires santé : c'est donc une assurance santé complémentaire à la Sécurité Sociale. La mutuelle se distingue cependant par son fonctionnement : solidarité entre les membres, fonctionnement interne égalitaire, cotisation indépendante du risque individuel de l'adhérent, etc. Une mutuelle santé est régie par le code de la mutualité.

-Une Institution de Prévoyance (voir lexique) est une société de personnes de droit privé. Les Institutions de Prévoyance font partie des Groupes de Protection Sociale : ils constituent l'activité Assurance de Personnes de ces Groupes (et à ce titre sont donc concernés par Solvabilité 2), et gèrent des contrats collectifs d'assurance de personnes couvrant les risques de maladie, incapacité de travail, invalidité, dépendance et décès. Ces garanties viennent en complément des prestations de la Sécurité Sociale et prennent notamment la forme de versements d'indemnités journalières en cas d'incapacité ou d'invalidité et de capitaux décès. Tout comme une mutuelle, une Institution de Prévoyance est à but non lucratif, ce qui signifie que les excédents financiers dégagés par son activité servent non pas à rétribuer des actionnaires (puisqu’il n’y en a pas), mais à proposer de nouvelles garanties, à améliorer les garanties déjà existantes, à renforcer la qualité de ses services ou la sécurité de ses engagements.

Enfin, une Institution de Prévoyance se caractérise par sa gestion paritaire entre les différents partenaires sociaux. Dirigée par un Conseil d’administration, ce dernier se constitue à parts égales de représentants de salariés et de représentants d’entreprises.

-Une compagnie d'assurance (voir lexique) est une entreprise à but lucratif qui pratique largement la sélection des risques. A l'origine, les compagnies d'assurance ne proposaient que des contrats d'assurance automobile ou habitation. Une compagnie d'assurance est donc une institution financière qui offre des produits d'assurance, ainsi qu'une aide financière aux clients (assurés) pour les événements couverts par l'assurance. En retour, les assurés paient des primes d'assurance, qui sont régulières, souvent mensuelles.

Peuvent donc effectuer des opérations d'assurance les entreprises d'assurance (sociétés commerciales ou sociétés d'assurance mutuelles) régies par le code des assurances, les mutuelles régies par le code de la mutualité, et enfin les Institutions de Prévoyance régies par le code de la Sécurité Sociale. Néanmoins, tous ces acteurs n'interviennent pas sur tous les marchés de l'assurance, même si les cloisonnements ont tendance à s'effacer progressivement. En effet, c'est essentiellement sur le terrain de la protection sociale complémentaire que les mutuelles et les Institutions de Prévoyance sont en concurrence avec les autres entreprises d'assurance. Les Institutions de Prévoyance interviennent essentiellement dans le domaine de la prévoyance collective, alors que l'essentiel du chiffre d'affaires des mutuelles est réalisé sur le segment de la couverture

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

10/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

maladie complémentaire. Le marché de l'assurance est donc largement dominé par les sociétés d'assurance, ce qui est logique puisque celles-ci interviennent sur tous les segments de l'assurance (assurance vie, assurance dommages corporels et assurance dommages aux biens), alors que les mutuelles et les Institutions de Prévoyance interviennent surtout en protection sociale complémentaire.

a

Concernant la classification de l'assurance, les directives européennes distinguent deux branches

principales au sein du secteur de l'assurance : la branche vie (assurances vie, décès, bons de capitalisation, fonds de retraite) et la branche non-vie. Cette distinction recoupe la distinction traditionnelle entre assurance-vie et assurance dommages (ou IARD pour Incendie, Accident, Risques Divers), qui coïncide elle-même à peu près avec la classification habituelle de la profession entre assurance de personnes et assurance des biens. Il suffit en effet d'ajouter l'assurance santé à l'assurance vie pour aboutir à l'assurance de personnes.

-Les Assurances IARD correspondent aux assurances dont les primes sont gérées par répartition et regroupent les assurances de choses et de responsabilité, qui font partie des assurances de dommages, ainsi que les assurances individuelles accident et les assurances de santé qui font partie des assurances de personnes. Ce sont des assurances à court terme.

-Les Assurances Vie correspondent aux assurances dont les primes sont gérées par capitalisation. Cette branche regroupe toutes les assurances dont le risque est lié à la durée de vie de l’assuré : l’assurance vie, l’assurance décès, l’assurance épargne, l’assurance retraite, l’invalidité et l’incapacité. Ce sont des assurances à long terme.

Les branches de l’assurance peuvent également être classées en fonction du mode d’indemnisation des sinistres :

-Les Assurances de Dommages correspondent aux assurances obéissant au principe indemnitaire en matière d’indemnisation des sinistres, et regroupent les assurances de choses (assurances qui préviennent l’assuré contre les pertes financières directes qu’il peut subir suite aux atteintes pouvant affecter les choses ou les biens qui lui appartiennent) et les assurances de responsabilités (assurances qui garantissent l’assuré contre les réparations qu’il peut devoir aux tiers, suite aux préjudices qu’il leur a causés et pour lesquels sa responsabilité a été engagée). Les Assurances de Dommages ont toutes pour but de garantir le patrimoine de l’assuré.

-Les Assurances de Personnes correspondent aux assurances soumises, selon les cas, au « principe forfaitaire ou indemnitaire » d’indemnisation des sinistres et rassemblent les Assurances Santé (accidents, maladie, invalidité, incapacité, frais médicaux etc.) et les Assurances vie (vie, décès, épargne, retraite, invalidité, incapacité). Les Assurances de Personnes ont pour but de garantir la personne (et non son patrimoine, comme dans le cas des assurances dommages), en couvrant des risques déterminés et en assurant le versement de

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

11/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

sommes en cas de la réalisation de ces risques. Le tableau suivant synthétise les différents segments de l'assurance :

Assurance de personnes

Assurance (dommages) des biens et des responsabilités

Assurance vie

Assurance automobiles

· assurances en cas de décès

· assurances en cas de vie

Assurances de dommages aux biens

· assurances mixtes

· des particuliers (ex : multirisques habitation, avec volet responsabilité)

· ou épargne capitalisation (sans assuré parfois) ou " tontinière " (après

· des professionnels (ex : multirisques commerciales)

abus des assurances mixtes)

· agricoles (ex : multirisques avec volet dommage et responsabilité)

· protection juridique

Autres assurances de personnes

· assurance accident

Assistance

· assurance incapacité-invalidité

· assurance remboursement des frais médicaux

Assurances de la construction (branche gérée en capitalisation )

Assurances collectives

· dommages à l'ouvrage

· responsabilité civile décennale

· assurances couvrant les emprunteurs (souscrites par les banques)

· assurances souscrites par les entreprises (prévoyance et retraite)

Assurances de responsabilité civile

·

hors volet responsabilité de l'assurance-dommages, risques

professionnels et d'entreprises

Assurance transport

· maritime

· aéronautique

 

· spatial

· assurance des marchandises

Assurance crédit

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

12/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Les assurances ont un rôle important dans le financement de l'économie : l'ensemble des placements des compagnies d'assurances (en valeur de marché) est estimé à 1 603 milliards d'euros à fin 2009, l'équivalent de 84% du Produit Intérieur Brut (PIB). De plus, fin 2009, les titres d'entreprises représentaient un peu plus de la moitié (53 %) des actifs des sociétés d'assurances avec 18 % de l'encours directement ou indirectement investi en actions. Ceci représente 940 millions d’euros placés en actifs d’entreprises. Les assurances poursuivent également leur engagement d'investissement dans les PME à fort potentiel : les membres de la Fédération Française des Sociétés d'Assurance se sont engagés auprès des pouvoirs publics, en 2004, à accroître leurs investissements dans les PME à fort potentiel de croissance, notamment les PME innovantes non cotées. Enfin, en 2010, le secteur de l’assurance a vu son chiffre d’affaires légèrement progresser à 3,8% au total pour atteindre 207,2 milliards d’euros (chiffres de la Fédération Française des Sociétés d'Assurance). Le secteur de l'assurance est donc vaste, étendu, et génère des sommes colossales, ce qui justifie la nécessité de réglementer ce secteur de façon plus stricte afin de contraindre les entreprises à mieux gérer leurs risques.

2/ Les buts de Solvabilité 2

Le but premier de Solvabilité 2 est qu'il y ait une chance sur deux-cents que l'entreprise ne fasse faillite,

ce qui se traduit par une augmentation du montant des fonds propres et du besoin en fonds propres, comme l'indique la directive : « Afin de promouvoir une saine gestion des risques et d'aligner les exigences de fonds propres sur les pratiques du secteur, le Capital de Solvabilité Requis devrait être défini comme le capital économique que doivent détenir les entreprises d'assurance et de réassurance pour limiter la probabilité de ruine à un cas sur deux-cents, ou alternativement, pour que lesdites entreprises demeurent en situation, avec une probabilité d'au moins 99,5%, d'honorer leurs engagements envers les preneurs et les bénéficiaires dans les douze mois qui suivent. Ce capital économique devrait être calculé sur la base du profil de risque réel de l'entreprise, en tenant compte de l'incidence d'éventuelles techniques d'atténuation des risques et des effets de diversification. » Le but est donc d'évaluer le capital permettant d'éviter la ruine à un an avec une probabilité supérieure à 99,5%.

Solvabilité 2 a été créée sur le modèle de Bâle 2, avec une structure en 3 piliers ( voir annexe 1 : résumé

des trois piliers de la directive), mais entre-temps, la crise a eu lieu (accompagnée de faillites d’entreprises etc.),

entraînant une remise en question de la maîtrise des risques des entreprises. Solvabilité 2 a donc été réajustée en conséquence. En effet, à la base, elle devait plutôt constituer un avantage pour les assurances alors que finalement, elle est devenue beaucoup plus contraignante que Bâle 2 : en raison de la crise financière, le CEIOPS a fortement durci les conditions d’application de la directive, avec pour conséquence majeure une augmentation du besoin en fonds propres. En effet, la crise a mis en évidence les évolutions du monde de l'assurance : une internationalisation des grandes sociétés d'assurance, une complexité croissante des

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

13/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

instruments financiers, et surtout, un développement rapide de nouveaux risques. Ainsi, comme l'a indiqué José Manuel Barroso en avril 2009, « Solvabilité 2 est nécessaire en tant que première réponse à la crise financière. Il est indispensable de mettre en place une réglementation qui oblige les entreprises à gérer correctement leurs risques, qui résulte en une plus grande transparence et qui garantisse que les autorités de surveillance coopèrent et coordonnent plus efficacement leurs activités ». Cependant, il faut préciser que les sociétés d’assurances n’ont pas connu de graves problèmes de solvabilité pendant la crise financière : leurs fonds propres sont en moyenne assez élevés, et les politiques d'investissement des assurances sont plus prudentes et sélectives que celle des établissements bancaires, même si elles n'ont pas été totalement épargnées par cette crise financière. Le contexte de crise bancaire et de risque systémique de 2009 a même eu pour effet d'accélérer l'adoption de la directive par la Commission Européenne : la directive a été votée le 22 avril 2009.

Les autres objectifs de la directive sont les suivants :

-Assurer la protection des assurés en renforçant la solvabilité des assureurs (mutuelles, Institutions de Prévoyance, assurances). En effet, une compagnie d'assurance se doit d'être solvable, c'est-à-dire suffisamment solide financièrement pour respecter ses engagements envers ses assurés. -Garantir aux assurés une protection uniforme, renforcée, dans toute l'Union Européenne, et renforcer la qualité et la sécurité des produits auxquels les citoyens ont accès. -Exiger une meilleure allocation des fonds propres aux risques, et inciter les assurances à mieux gérer leurs risques, en fixant une marge de solvabilité mieux adaptée aux risques réellement encourus. -Fournir aux superviseurs les outils et les pouvoirs suffisants pour assurer leur mission de contrôle. -Améliorer les conditions de concurrence entre assureurs européens en imposant une réglementation harmonisée. -Renforcer l’intégration du marché européen de l’assurance. -Renforcer la compétitivité des assureurs et réassureurs européens au niveau international. -Assurer la comparabilité, la transparence et la cohérence. -Éviter que les coûts en fonds propres ne soient inutilement élevés, au risque de menacer la compétitivité globale de l'assurance européenne. -Enfin, favoriser une allocation plus efficace du capital et des risques au sein de l'économie, ce qui devrait favoriser la stabilité financière.

La directive Solvabilité 2 s'inscrit dans un contexte économique complexe (internationalisation, crise des

marchés financiers etc.) : de nombreux bouleversements intervenus dans les années 2000 ont façonné un nouvel environnement économique. Pour faire face à ces évolutions, les dirigeants politiques (et économiques) de nombreux pays ont mis en place de nouveaux cadres réglementaires, comme la Loi de Sécurité Financière, la Loi de Modernisation de l'Économie, les normes IFRS, mais aussi Bâle 2 (réglementation que doivent

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

14/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

appliquer les banques) et Solvabilité 2 pour les assurances.

3/ L'accueil réservé à la directive par les professionnels

Les buts de Solvabilité 2 sont donc nobles puisque la directive vise globalement à renforcer la solvabilité des assureurs afin que les entreprises puissent mieux protéger les assurés. Néanmoins, les avis des professionnels au sujet de la directive ne sont pas tous positifs, et Solvabilité 2 a fait face depuis quelques années à de nombreuses critiques.

Ainsi, de nombreux assureurs européens se sont exprimés pour contester la directive. Ils désapprouvent sa complexité et la lourdeur de sa mise en place, notamment pour les petites entreprises. Certains considèrent même que Solvabilité 2 est une « sanction » inappropriée alors que la crise les a épargnés. Solvabilité 2 provoque donc depuis quelques années de nombreux débats, ce qui est la preuve que les enjeux sont élevés. Nous allons voir en résumé quels sont les avis des professionnels au sujet de la directive.

Tout d'abord, en 2010, le PDG d'AXA a émis plusieurs réserves sur Solvabilité 2 (voir l'article « AXA : Le PDG de l’assureur critique Solvabilité 2 » du 1er juin 2010 sur investir.fr), en pointant les conséquences négatives de l'application de la directive. Il a notamment jugé la réforme de la régulation des assurances « bonne dans le principe, mais c’est comme pour un médicament, un mauvais dosage peut être dangereux ». De même, il a reconnu que l’obligation de fonds propres (correspondant à un risque de défaut de 1 pour 200) imposée par la directive était « raisonnable », mais a néanmoins pointé plusieurs inconvénients : par exemple, il a jugé inapproprié le fait que cette réglementation oblige à mesurer « les risques à un horizon d’un an alors que [leurs] modèles économiques ont des horizons de sept ou huit ans ». Ensuite, il a prévenu de la chute de la part des actions dans les portefeuilles d’AXA, qui représentaient 20% des actifs en 2000, 10% en 2007 et moins de 5% aujourd’hui. En effet, avec Solvabilité 2, les obligations nécessitent une charge en capital moindre que celle des actions.

De même, en 2010, Denis Kessler a émis des critiques sur la directive (voir l'article « Denis Kessler critique ouvertement la mise en place de Solvabilité 2 » sur scor.com) : le PDG de SCOR, une grande société de réassurance, a prédit des conséquences négatives pour la réforme Solvabilité 2. Il a averti que la mise en place de la réforme risquait de poser de sérieux problèmes à l’ensemble du secteur, car la directive prévoit notamment de sanctionner les entreprises procédant à des investissements couverts contre les effets de l’inflation tels que l’achat d’actions ou de biens immobiliers, en appliquant un coût d’emprunt de capital élevé. Ainsi, les achats d’actions s'accompagnent d'une charge en capital élevée, contrairement aux achats d’obligations à revenu fixe. D'après lui, la version actuelle de Solvabilité 2 « est le meilleur moyen pour mener le secteur de l’assurance droit au mur ».

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

15/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

De plus, certains sujets liés à Solvabilité 2 posent toujours problème aux professionnels aujourd'hui :

l'élaboration du bilan prudentiel est jugée très complexe, car les règles de valorisation prévalant en France sont très éloignées de la notion de valeur économique sous Solvabilité 2 ; la formule standard pour le calcul du SCR (Solvency Capital Requirement ou Capital Cible, c'est-à-dire le capital requis pour assurer la solvabilité) est jugée trop complexe et inadaptée pour certains calculs, et concernant la détermination des fonds propres, certains éléments restent difficiles à traiter. Certains acteurs s'inquiètent également de la lourdeur et de la complexité d'une mise en place d'un modèle interne concernant le calcul du SCR : en effet, les entreprises pourront opter pour un mode de calcul du SCR basé sur une formule standard ou sur un modèle interne complet (basé sur leur structure de risque spécifique). Selon eux, ce modèle ne pourrait être adopté que par les grandes entreprises qui disposent de moyens financiers et humains suffisants pour collecter toutes les informations disponibles et les utiliser. Dès lors, le traitement préférentiel applicable aux sociétés qui adoptent le modèle interne ne bénéficieraient qu'aux entreprises les plus importantes, laissant de côté les plus petites entités.

Le Président de la Fédération Française des Sociétés d'Assurance (FFSA) a en 2009 soulevé une autre critique : « l'hyperprudence a aussi un hypercoût ». Cette formule traduit l'idée que lorsque les entreprises devront se soumettre aux dispositions réglementaires de Solvabilité 2, elles verront leurs exigences en termes de fonds propres augmenter fortement et devront donc trouver des moyens de se recapitaliser, ce qui risque de poser problème à de nombreuses entreprises. Des assureurs français ont même adressé un courrier commun à Christine Lagarde, fin 2009, pour lui faire part de leur inquiétude sur les modalités d'application de Solvabilité 2, d'après la FFSA, car ils ont constaté un durcissement des critères exigés par la directive en termes de solvabilité et de fonds propres. On constate donc que la complexité et le niveau d'exigence élevé de la directive peut poser problème même à de grands groupes.

On constate également l'existence d'un site internet nommé « www.stopsolvabilite2.com », créé par la Réunion des Organismes d’Assurance Mutuelle, un syndicat professionnel d'assureurs mutualistes, composé aujourd'hui de 46 sociétés d'assurance mutuelles de petite et moyenne taille essentiellement. Ce site explique que Solvabilité 2 sera contre-productif voire nocif pour les consommateurs (car la directive favorise les garanties courtes et pénalise la détention par les assureurs des biens tels que les actions et l'immobilier, qui protègent les assurés contre l'inflation), pour la stabilité du système économique, et même pour la démocratie (!) car son extrême complexité rend les résultats tributaires des valeurs retenues pour le paramétrage des modèles. Il serait donc impossible de vérifier que le contrôle des entreprises, et en particulier des multinationales, a été correctement effectué, avec deux conséquences : un risque pour les assurés de défaillance des entreprises et une inégalité concurrentielle entre les assureurs et entre les pays.

D'après ce site internet, les sociétés sont inquiètes « face à l'extrême complexité de ce dispositif qui en rendra l'application incontrôlable ». Ce site propose même une pétition à signer pour exprimer son mécontentement face à la directive.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

16/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Il apparaît logique que les mutuelles soient réticentes vis-à-vis de Solvabilité 2 car contrairement aux grandes assurances, les mutuelles, de taille plus modeste, ont et auront des difficultés à répondre aux exigences de la directive. Ainsi, en 2010, l'Association des assureurs mutuels et des coopératives d’assurance a critiqué la directive, puisque son président a déclaré que « la finalité du nouveau régime n’est pas de restructurer le marché européen de l’assurance, mais c’est pourtant exactement ce qu’il risque de se produire en l’état actuel des choses ». Il a ajouté que « si le principe de proportionnalité ne fonctionne pas dans la pratique, nous risquons d’assister à une consolidation agressive du marché » (voir l'article « Solvabilité 2 : les mutualistes européens donnent de la voix » du 11 mars 2010 sur www.argusdelassurance.com). Cela signifie que si les exigences de la directive ne sont pas adaptées de façon « individuelle » pour chaque entreprise et ses spécificités, et sont seulement fixées au niveau global, de nombreuses mutuelles ne pourront pas répondre à ces exigences, ce qui devrait conduire à des rachats de ces mutuelles par des grands groupes, voire à des rapprochements/fusions entre mutuelles si elles veulent survivre, entraînant donc une restructuration du marché tout entier qui favoriserait uniquement les grands groupes. Nous verrons dans la cinquième partie de ce mémoire (points 2 et 10) que cet argument ne semble pas tout à fait injustifié.

Au-delà de ces nombreuses critiques, il faut tout de même noter que la directive n'a pas reçu un accueil uniquement négatif. Ainsi, Solvabilité 2 a été saluée par bon nombre de professionnels qui voient en elle une approche modernisée, réaliste et prudente de la façon dont doit être menée l'activité d'assurance. La directive constitue même pour certains une « révolution culturelle et managériale ». En effet, la culture du risque et de l'anticipation est au cœur de Solvabilité 2 : l'entreprise est incitée à développer sa propre mesure du risque par l'intermédiaire du modèle interne qui servira à calculer le capital de solvabilité requis. De plus, par rapport au modèle standard, la mise en place d'un modèle interne est lourde pour une entreprise, mais elle a l'avantage d'être moins coûteuse en termes de fonds propres puisque plus fine en évaluation des risques.

Nous reviendrons sur ces sujets au cours du mémoire, mais on constate en ce qui concerne l'accueil réservé à la directive par les professionnels qu'il est logique que de nombreuses réticences soient exprimées. En effet, comme nous allons le voir tout au long de ce mémoire, Solvabilité 2 s'accompagne de nombreux changements importants pour les entreprises, qui doivent donc se livrer à des chantiers de mise en conformité longs et complexes, s'étalant sur plusieurs années. Une fois cette phase de mise en conformité terminée, on peut penser que les entreprises seront en mesure de réaliser les effets positifs engendrés par la directive. Cependant, pour l'instant, les entreprises sont toujours dans cette phase « chantier » de mise en conformité, et ont donc l'impression que la directive se traduit pour l'instant uniquement par des exigences importantes à mettre en œuvre, qui ont un coût élevé en termes de temps et d'argent. Ceci explique sans doute les opinions plutôt négatives exprimées par les professionnels sur la directive jusqu'à aujourd'hui.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

17/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

4/ Différences entre Solvabilité 1 et Solvabilité 2

Les différences majeures entre Solvabilité 1 et Solvabilité 2 sont les suivantes :

Tout d'abord, le calcul de la marge de solvabilité a été modifié et intègre désormais pleinement les

risques. Avec Solvabilité 1, tous les risques étaient traités de la même façon, et l'exigence de marge de solvabilité était simple à déterminer (par l’application de coefficients), car les risques propres à chaque entreprise n'étaient pas suffisamment pris en compte. Par exemple, considérons deux sociétés d'assurance qui assurent le paiement d'annuités différentes : l'une assure un rendement aux annuités de 0% tandis que l'autre garantit à hauteur de 5%. Cette dernière devrait donc être soumise à des exigences en capital supérieures afin de faire face au risque, or cela n'était pas le cas avec Solvabilité 1. Avec Solvabilité 2, on adopte l'idée que lorsque l'entreprise a une activité « dangereuse », son capital doit être adapté en fonction (la marge de solvabilité correspond au capital nécessaire pour faire face aux événements imprévus). De plus, Solvabilité 2 prend en compte tous les risques. Auparavant, c'était surtout le risque de souscription q ui était pris en compte (c'est-à-dire ce que l'entreprise devrait payer en dommages en assurant les clients), alors que Solvabilité 2 prend en compte les risques opérationnels, naturels, etc. et donc pas uniquement les risques liés à l'activité (risques assurantiels). Ainsi, voici quelques exemples de risques qui n'étaient pas intégrés dans les déterminations de fonds propres antérieurement à Solvabilité 2 :

-erreurs d'exécution (erreurs humaines, manque ou inadéquation des procédures), -défaillances des systèmes d'information (pannes matérielles et logicielles), -systèmes d'information victimes de malveillance ( piratage), -dommages aux moyens d'exploitation ( locaux, catastrophes, troubles sociaux), -fraudes, -litiges commerciaux (défaillance de conseil, c'est-à-dire argumentation commerciale incorrecte, incomplète ou biaisée), -litiges avec les autorités (fiscalité, territorialité, conformité, etc.). Solvabilité 2 constitue donc un meilleur reflet des risques supportés par les entreprises.

Au niveau des Institutions de Prévoyance, la marge de solvabilité demandée par Solvabilité 1 était

maîtrisée, puisque cette directive exigeait de disposer d'une marge égale à deux fois l’exigence de marge de solvabilité nécessaire pour faire face aux risques, afin d’avoir un « matelas » visant à se protéger du risque. Mais Solvabilité 2 entraîne la création de nouvelles contraintes financières, notamment sur la partie Gestion d’Actifs. Solvabilité 2 est donc une directive globalement beaucoup plus exigeante que Solvabilité 1. Le raisonnement disant « si nous commettons une erreur, la marge de sécurité nous protégera » n’est plus valable.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

18/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Solvabilité 2 comporte des règles de solvabilité homogènes, complètes, cohérentes et surtout adaptées

à l’activité des entreprises. Les contraintes de solvabilité sont harmonisées au niveau européen, tant sur le calcul de fonds propres nécessaires que sur les moyens et pouvoirs des autorités de tutelle. Le système se fonde sur la prise en considération de tous les risques. Les sources de réduction des risques (couverture financière, réassurance, dispersion) devront aussi être appréciées dans l’évaluation de la solidité financière de l’entreprise.

Solvabilité 1 comportait des limites dues à une approche non basée sur les risques, à l'absence de

cohérence avec l'application des normes IFRS et aux disparités réglementaires existantes entre les États

membres de l'Union Européenne, ce qui a conduit la Commission Européenne à réformer l'environnement réglementaire européen du secteur de l'assurance.

Solvabilité 1 était centrée uniquement sur des critères techniques, et n’était consacrée qu’à la marge de

solvabilité, tandis que Solvabilité 2 a une portée beaucoup plus gran de. Le projet est donc plus difficile à cadrer, car beaucoup plus transversal.

Ainsi, le pilier 2, c'est-à-dire l'aspect qualitatif dans la maîtrise des risques, qui était négligé dans

Solvabilité 1, est complètement nouveau. C'est la principale nouveauté apportée par Solvabilité 2, et la principale différence entre Solvabilité 1 et Solvabilité 2. En effet, Solvabilité 1 n'était constituée que d'exigences quantitatives. Ce pilier 2 intègre les chantiers à mener sur la gestion des risques, le Contrôle Interne et l'Audit Interne, et a donc d'importantes conséquences directes sur ces fonctions. Les activités de contrôle décrites dans ce pilier 2 consistent à définir et harmoniser les activités de surveillance, au niveau des assurances et au niveau des superviseurs. Ce pilier permet donc d'accorder une attention particulière au système de surveillance de l’entreprise (gouvernance d’entreprise et Contrôle Interne).

La directive encourage les entreprises à adopter la démarche ERM (Enterprise Risk Management),

démarche de gestion globale des risques, car le but de Solvabilité 2 est de prendre en compte tous les risques de l'entreprise. Avec Solvabilité 1, l’idée générale était que pour exercer le métier d’assureur, il fallait que l’entreprise possède un certain niveau de fonds propres. Quand le niveau de fonds propres dépassait le seuil réglementaire, l'entreprise était homologuée. Avec Solvabilité 2, on décide qu’un certain niveau de fonds propres n’est plus suffisant pour exercer le métier d’assureur. Il faut également disposer d’un dispositif de Gouvernance des Risques à hauteur des risques que l’on porte. Sinon, le législateur dispose de la faculté d’imposer des pénalités en termes de fonds propres à l’entreprise. Le pilier 2 (« Gouvernance des risques ») est donc la principale nouveauté de Solvabilité 2 par rapport à Solvabilité 1.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

19/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

L'objectif de la directive est donc de mieux protéger les assurés : Solvabilité 2 a l'ambition d'être plus protectrice que Solvabilité 1, au moins dans l'intention. Et l'autre objectif est d'obtenir une uniformisation des règles de calcul de la marge de solvabilité :

-le MCR (Minimum Capital Requirement ou Capital Minimum Requis) est le capital minimum exigé par l'autorité de régulation dans le cadre de Solvabilité 2. Il représente le niveau minimum de fonds propres en-dessous duquel l'intervention de l'autorité de contrôle sera systématique, et pourra entraîner le retrait de l'agrément de l'entreprise. Ce MCR repose sur un calcul linéaire en pourcentage des primes, des provisions techniques, des impôts différés, et des dépenses administratives. Il doit notamment permettre de couvrir le maximum de pertes attendues avec un niveau de confiance de 85% sur une période d'un an. Il doit être borné entre 25 et 45% du SCR calculé selon la formule standard ou le modèle interne, et doit être calculé au moins une fois par trimestre.

-le SCR (Solvency Capital Requirement ou Capital Cible) est le capital exigé pour assurer la solvabilité d'une entreprise dans le cadre de la directive. Il représente le capital cible nécessaire pour absorber le choc provoqué par une sinistralité exceptionnelle, et donc procurer aux assurés une assurance raisonnable que l'assureur pourra honorer ses engagements. Le SCR devrait devenir l'outil principal des autorités de contrôle. En effet, il est fondé sur l'exposition aux risques, en incorporant tous les risques liés à l'activité de l'entreprise, c'est-à-dire principalement les risques de souscription, de crédit, de liquidité, de marché, et le risque opérationnel. Ce capital cible doit être calibré de telle manière que si tous les risques se réalisent, seulement 0,5% d'entre eux ne pourront pas être honorés, et doit donc être égal à 99,5% du montant total des risques encourus.

Dans le détail, il n'y a donc rien de comparable entre les deux directives ( voir annexe 2 : différences majeures entre Solvabilité 1 et Solvabilité 2). D'ailleurs, Solvabilité 2 n'est pas une version « améliorée » de Solvabilité 1, car la Commission Européenne est repartie de zéro pour créer cette nouvelle directive, et a essayé d'identifier les véritables risques portés par les assureurs, ce qui explique le fait qu'il y ait de nombreuses différences entre ces deux directives. Solvabilité 1 est donc aujourd'hui considérée comme une solution provisoire, avant l'adoption d'une nouvelle réglementation reflétant de manière plus réaliste les risques auxquels les entreprises sont confrontées, permettant de réviser en profondeur les règles de solvabilité afin de créer un cadre prudentiel harmonisé au niveau européen et adapté au profil de risque de chaque entreprise.

5/ Les divers organismes intervenant dans la démarche Solvabilité 2f

Les organismes suivants ont chacun un rôle spécifique dans l'application de la directive :

Le CTIP (Centre technique des Institutions de Prévoyance) ne fait que dispenser des bonnes pratiques ;

c’est le pendant des fédérations, pour les Institutions de Prévoyance. Il représente et défend les intérêts des

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

20/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Institutions de Prévoyance (rôle de porte-parole), ainsi que ceux des entreprises adhérentes et des salariés participants, et a aidé à mettre en place Solvabilité 2.

Le CEIOPS (voir annexe 3 : les acteurs concernés par la directive), remplacé par l'Autorité Européenne

de Contrôle de l’Assurance (ou EIOPA pour European Insurance and Occupational Pensions Authority) depuis le 1er janvier 2011, regroupait les représentants des autorités de contrôle des 30 États membres de l’Union Européenne et de l’Espace Économique Européen. C’est dans le cadre du CEIOPS que s'est fait l’essentiel de la coopération de l’ACP avec les autorités de contrôle européennes. La Commission Européenne a saisi le CEIOPS pour lui demander des avis techniques ou des projets de mesures dites « de niveau 2 » dans le cadre du processus Lamfalussy. Le CEIOPS suivait également l’application des directives communautaires s’appliquant à l’assurance et aux pensions professionnelles. C’est dans le cadre du CEIOPS que l’ACP a travaillé, en coopération avec les autres autorités de contrôle de l’Union Européenne, à la mise en place de Solvabilité 2. Le CEIOPS a notamment fourni à la Commission Européenne une expertise technique pour la rédaction de la proposition de directive de « niveau 1 », et a travaillé sur les mesures de « niveau 2 ». La directive prévoit une cinquantaine de mesures d’application - comparables à des décrets d’application au niveau français - que la Commission Européenne a adopté début 2011. Pour atteindre cet objectif, elle a confié au CEIOPS les travaux de préparation de ces mesures et la consultation publique auprès des organismes assureurs. L'EIOPA a pris la suite de ses missions depuis début 2011.

a

L’autorité de tutelle est l’ACP (Autorité de Contrôle Prudentiel, qui comprend l’ACAM aujourd’hui). Elle a

un pouvoir de contrôle et de sanction. Solvabilité 2 a été préparée et rédigée par les corps de contrôle des

grands pays (31 pays), dont l'ACP.

L'ACP veille à la qualité de la situation financière des entités des secteurs qu'elle supervise dans le but de garantir la stabilité du système financier et la protection de leurs clientèles. Cet organisme vient de la fusion des quatre autorités de la banque et de l’assurance (la Commission Bancaire, l'Autorité de Contrôle des Assurances et Mutuelles, le Comité des Entreprises d'Assurance, et le Comité des Établissements de Crédit et des Entreprises d'Investissement).

L'ACP peut contrôler les mutuelles et les Institutions de Prévoyance, mais surtout les banques et les assurances, sur des thèmes variés. Par exemple, l'ACP est venu contrôler le Groupe de Protection Sociale de l'un de mes interlocuteurs en février-mars 2011, et l'un des deux thèmes faisant l'objet d'un contrôle était la gouvernance (même si cela n'avait rien à voir avec Solvabilité 2). L'ACP vient à intervalles réguliers effectuer des contrôles : cet organisme était déjà venu contrôler ce Groupe de Protection Sociale en 2006, puis est revenu en février-mars 2011 afin d'effectuer une mission d'audit générale sur la solvabilité et la gouvernance.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

21/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

En ce qui concerne la solvabilité, l'ACP s'assure notamment que le Groupe de Protection Sociale dispose des fonds propres nécessaires pour respecter ses engagements sur contrats, et contrôle également les conditions générales des produits. En ce qui concerne la gouvernance, l'ACP contrôle principalement que le Conseil d'Administration est bien informé (reporting conforme à la réalité) et que la Direction Générale fait des choix de gouvernance adaptés (par exemple, si l'assurance vend un produit déficitaire, il faut que cela soit justifié).

Ainsi, à partir de 2013, l'ACP contrôlera des thèmes liés à Solvabilité 2 : par exemple, l’ACP viendra s’assurer que le pilier 2 est bien appliqué, à partir du 1er janvier 2013 en théorie. Cependant, en pratique, l'ACP attendra certainement qu’un exercice ne s’écoule, afin que les entreprises puissent leur transmettre leur reporting (bilans, comptes-rendus, descriptions des politiques de gestion des risques, et autres (nombreux) documents liés à Solvabilité 2). Le but sera de s’assurer que ce pilier 2 est bien compris et approprié, et que l’organisation mise en place exploite bien les dispositions du pilier 1.

Le rôle de l'autorité de tutelle est donc de faire en sorte que le plus grand nombre d'entreprises soient prêtes et respectent les exigences de Solvabilité 2 au 1er janvier 2013, en les aidant et en les incitant à se mettre en conformité avec les exigences de la directive et en organisant des conférences et des échanges pour répondre aux questions des assureurs.

Enfin, précisons que les fédérations Agirc-Arrco n'ont aucun rôle à jouer ici car Solvabilité 2 ne concerne pas l'activité « Retraite » des Groupes de Protection Sociale. Les fédérations Agirc-Arrco sont des associations gérant les institutions de retraite complémentaire, or cette partie des Groupes de Protection Sociale n’est pas directement impactée par Solvabilité 2 (voir le lexique pour plus de détails).

6/ Les trois piliers de Solvabilité 2 sont les suivants :

Le pilier 1 détermine des exigences quantitatives à respecter, notamment sur l'harmonisation des

provisions et l'instauration de minima de fonds propres. Ce pilier concerne donc les calculs des provisions et du

capital réglementaire, en définissant des seuils quantitatifs de fonds propres et de provisions techniques : les MCR et SCR. C'est donc une évaluation économique des exigences (provisions techniques, SCR, MCR) et des ressources (fonds propres).

responsabilités, production et suivis d'indicateurs…), en définissant des normes qualitatives.

Le

pilier

2

impose

la

mise

en

place

de

dispositifs

de

gouvernance

des

risques

(processus,

Le pilier 3 traite de la publication des informations sur lesquels les deux précédents piliers sont basés et

qui permettront au public (actionnaires et analystes principalement) et aux autorités de contrôle de juger si

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

22/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

l'analyse effectuée est fidèle à la réalité. Il fixe les exigences en termes de reporting et de transparence, en demandant aux entreprises la mise à disposition d’un ensemble d'informations détaillées concernant notamment la détermination de leur exigence de capital. La transparence est donc le symbole du pilier 3, dont les obligations viennent compléter le dispositif existant au niveau des piliers 2 et 3. Les entreprises devront notamment fournir aux autorités de contrôle le Rapport aux Superviseurs (destiné uniquement aux autorités de contrôle), qui devra comprendre les informations nécessaires au contrôle et permettre de prendre « toute décision appropriée qu'impose l'exercice de leurs droits et obligations prudentiels », et également le Rapport sur la Solvabilité et la Situation Financière. Ce rapport sera public et donnera les informations essentielles relatives à la situation financière et à la solvabilité des assureurs. La publication de ces deux rapports s'effectuera sous la responsabilité des organes de direction.

Pour en revenir au pilier 2 (voir annexe 4 : présentation générale du pilier 2), ses exigences qualitatives

sont relatives à sept aspects : le Contrôle Interne (et la Conformité), l'Audit Interne, la gouvernance (des critères

« Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise), la mise en place d'un système de gestion des risques (Risk Management), la fonction actuarielle, la sous-traitance, et enfin, le volet « ORSA » (évaluation interne des risques et de la solvabilité).

Ce pilier 2 met donc l’accent sur les exigences qualitatives, en soulignant l’importance de la bonne

gouvernance pour la gestion du risque de l’assureur et pour l’efficacité de la supervision. Il concerne donc le système de gouvernance des risques, c'est-à-dire le Risk Management, le Contrôle Interne et l'Audit Interne principalement. Nous nous attarderons ici sur ces trois fonctions et sur les impacts directs et indirects provoqués par Solvabilité 2 sur celles-ci.

Le but du pilier 2 de Solvabilité 2 est de renforcer les mécanismes de Contrôle Interne et la

gouvernance, et donc de « valider » le pilier 1 en justifiant les chiffres et en les surveillant, par le biais de la création d'un dispositif de maîtrise des risques. En effet, il va permettre de garantir la maîtrise des activités nécessaires à la mise en œuvre du pilier 1, de fournir des données complémentaires, notamment sur le risque opérationnel, et surtout d'intégrer les résultats obtenus dans le pilier 1 dans les modes de fonctionnement et gouvernance de l’entreprise. Ce pilier 2 va donc permettre d'anticiper, connaître, organiser et administrer les risques, et de créer des politiques qui permettront de les gérer. Il entraîne donc logiquement une augmentation des pouvoirs confiés aux Conseils d'Administration, ainsi que la création de Comités d'Audit et de Comités des Risques.

Le système de maîtrise des risques à mettre en place doit reposer sur quatre dispositifs que sont la gouvernance, la gestion des risques, le Contrôle Interne et l'Audit Interne (voir annexe 5 : les acteurs de la gestion des risques et leurs rôles). Ces dispositifs sont renforcés par la mise en place de fonctions-clés au sein des organisations. Les acteurs concernés par les changements provoqués par le pilier 2 en termes de maîtrise

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

23/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

des risques sont donc principalement la Direction du Contrôle Interne, la fonction Risk Management, les responsables de la fonction Conformité, et la Direction de l’Audit Interne.

Ce mémoire va donc se centrer sur les impacts du pilier 2 sur ces fonctions, qui sont les principaux acteurs de la gouvernance des risques.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

24/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Partie 2 : les impacts du pilier 2 sur le Risk Management

A/ Les articles fondamentaux et leur traduction

1/ Article consacré à la gestion des risques (article 44)

L'article consacré à la gestion des risques dans la directive Solvabilité 2 est le suivant :

« 1.

Les entreprises d'assurance et de réassurance mettent en place un système de gestion des risques efficace, qui comprenne les

stratégies, processus et procédures d'information prudentielle nécessaires pour déceler, mesurer, contrôler, gérer et déclarer, en

permanence, les risques auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques, au

niveau individuel et agrégé.

Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de

décision de l'entreprise d'assurance ou de réassurance et dûment pris en compte par les personnes qui dirigent effectivement

l'entreprise ou qui occupent d'autres fonctions-clés.

2.

Le système de gestion des risques couvre les risques à prendre en considération dans le calcul du Capital de Solvabilité Requis

 

conformément à l'article 101, paragraphe 4, ainsi que les risques n'entrant pas ou n'entrant pas pleinement dans ce calcul.

Il

couvre au moins les domaines suivants:

a)

la souscription et le provisionnement;

b)

la gestion actif-passif;

c)

les investissements, en particulier dans les instruments dérivés et engagements similaires;

d)

la gestion du risque de liquidité et de concentration;

d

bis)

la gestion opérationnelle des risques;

e)

la réassurance et les autres techniques d'atténuation du risque.

Les politiques écrites concernant la gestion des risques visées à l'article 41, paragraphe 3, comprennent des politiques concernant

le

deuxième alinéa, points a) à e), du présent paragraphe.

3.

En ce qui concerne le risque d'investissement, les entreprises d'assurance et de réassurance démontrent qu'elles satisfont aux

 

dispositions du chapitre VI, section 6.

4.

Les entreprises d'assurance et de réassurance prévoient une fonction "gestion des risques", qui est structurée de façon à faciliter la

 

mise en œuvre du système de gestion des risques.

5.

Pour les entreprises d'assurance et de réassurance utilisant un modèle interne partiel ou intégral qui a été approuvé conformément

aux articles 110 et 111, la fonction "gestion des risques" recouvre les tâches supplémentaires suivantes:

a) conception et mise en œuvre du modèle interne;

b) test et validation du modèle interne;

c) suivi documentaire du modèle interne et de toute modification qui lui est apportée;

d) information de l'organe d'administration ou de gestion concernant, d'une part, la performance du modèle interne, avec

suggestions quant aux éléments à améliorer, et, d'autre part, l'état d'avancement des efforts déployés pour remédier aux

faiblesses précédemment détectées;

e) analyse de la performance du modèle interne et production de rapports de synthèse concernant cette analyse. »

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

25/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Tout d'abord, il faut préciser que, afin que les changements provoqués par Solvabilité 2 soient progressivement mis en œuvre, l'adoption de la directive s'est déroulée dans le respect du processus « Lamfallussy », schématisé en annexe 6 (cette précision est valable pour les parties 2, 3 et 4) :

-la directive définit les grands principes de la réforme (niveau 1) ;

-les mesures d'application spécifient les éléments techniques et donnent des règles plus précises (niveau 2). Sur mandat de la Commission Européenne, le CEIOPS a donc rédigé des avis techniques (mesures d'exécution) en vue de l’élaboration des mesures de niveau 2 (appelés « Issue Papers » et « Consultations Papers »). En annexe 7 figurent les mesures d'application relatives aux articles cités dans ce mémoire ;

-des recommandations élaborées par le CEIOPS sont adoptées en vue d'une application convergente au sein de l'Union Européenne (niveau 3) ;

-enfin, le niveau 4 est la vérification de la conformité des droits nationaux avec le droit européen.

Ainsi, d'après cet extrait de la directive, la mesure d'application correspondante (voir annexe 7), mes entretiens avec des Directeurs de l'Audit Interne (mon guide d'entretien figure en annexe), et mes recherches, les changements principaux entraînés au niveau du Risk Management par Solvabilité 2 sont les suivants :

2/ Obligation de disposer d'une fonction « Risk Management »

Le point le plus important de cet article est qu'il implique la création (ou le renforcement) d'un système de gestion des risques, et donc d'un service Risk Management (voir lexique). Ce système de gestion des risques doit être intégré à la structure organisationnelle de l'entreprise et doit constituer un dispositif d'identification, d'évaluation et de gestion permanente des risques financiers, assurantiels, opérationnels etc. (voir annexe 8 :

construction d'un système de management des risques). Le service Risk Management, qui doit être indépendant et donc détaché de tout autre service (y compris le Contrôle Interne et l'Audit Interne) devra également assister et conseiller le Conseil d'Administration et la Direction en ce qui concerne la gestion des risques (par le biais par exemple de reporting sur l'exposition aux risques), et globalement, prendre en charge le système de gestion des risques.

Au cours des entretiens que j'ai menés dans le cadre de ce mémoire, j'ai donc demandé à mes interlocuteurs les changements provoqués par l'application de la directive au sein de leur entreprise, au niveau du Risk Management.

Ainsi, un premier interlocuteur m'a expliqué qu'au sein de son entreprise, un Groupe de Protection Sociale de taille moyenne, a été lancé en 2006 un projet de constitution d'une cartographie des risques dont le périmètre couvrait tous les métiers du groupe, puis a été créée en 2008 la fonction « Management des risques » afin de

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

26/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

compléter le dispositif de Contrôle Interne en apportant une vision globale et synthétique des risques opérationnels majeurs portés par le groupe, et de participer à la prévention des risques opérationnels et à la maîtrise des situations de crise (création de Plans de Continuité d'Activité notamment). Cependant, cette fonction était à l'état embryonnaire, et était reliée à l'Audit Interne.

La séparation de la Direction de l'Audit Interne et du pôle Management des Risques a eu lieu en 2009, afin d'assurer l'indépendance de l'Audit Interne, en vue de la mise en conformité avec Solvabilité 2, comme nous le verrons dans la partie 4, consacrée à l'Audit Interne.

Puis, toujours dans l'optique de cette mise en conformité, l'entreprise a décidé de créer une véritable fonction Risk Management. La Direction des Risques et de la Solvabilité (DRS) a donc été créée en 2010, puisque la directive demande à tout organisme d'assurance de mettre en place une vision exhaustive, transverse et intégrée des risques, aussi bien opérationnels qu'assurantiels. C'est pour répondre à cet objectif qu'a été créée cette DRS, initialement constituée du Management des Risques et de l'Actuariat Central. Cette Direction est composée de deux pôles : un pôle Management des Risques, en charge plus particulièrement des risques opérationnels, des Plans de Continuité d'Activité (PCA) et de la cellule de crise du groupe, et un pôle Solvabilité, en charge plus particulièrement de la gestion de la base « Solvabilité 2 », des reportings réglementaires, des calculs de solvabilité, et de l'ORSA.

Les principales missions de cette Direction sont les suivantes :

-administration et coordination du dispositif de gestion des risques sur un axe quantitatif mais aussi un axe qualitatif au sein du groupe.

-consolidation de la gouvernance des risques du groupe. A cet effet, elle doit poursuivre l'identification, la mesure et la maîtrise des risques majeurs, en coordination avec les différents managers, le Contrôle Interne et

Afin que l'analyse des risques soit pertinente et anticipatrice, cette

Direction s'appuie sur une activité de veille qui permettra de remonter les zones de vulnérabilité jugées dangereuses ou inacceptables pour le groupe ; cette veille est interne (analyse des incidents et des manquements aux objectifs) et externe (anticipation des événements politiques, sociaux, économiques pouvant avoir des conséquences sur l'organisation et l'image du groupe). Mon interlocuteur m'a précisé qu'au sein de son entreprise, l'accent est mis sur les risques informatiques, ce qui est logique puisque pour une activité d'assurance, toutes les données sont dématérialisées. Les risques liés aux données (ressource principale du métier de l'assurance), aux applicatifs et aux ressources seront consolidés et gérés au travers de la cartographie des risques du groupe.

ses outils (cartographie, base incidents

).

-conseil en matière de maîtrise des risques et de pilotage de la solvabilité auprès de la Direction Générale, permettant ainsi de garantir le respect des équilibres financiers du groupe, notamment dans une vision

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

27/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

moyen/long terme. Elle contribue donc à définir la stratégie de l'entreprise, et veille notamment au bon niveau de solvabilité de l'activité Assurances de Personnes du groupe.

-prévention des risques liés aux grandes mutations de l'entreprise : en coordination avec le Département Organisation, il s'agit de formaliser les risques critiques liés aux projets majeurs, aux mutations ou décisions stratégiques et de les intégrer dans la cartographie des risques du groupe.

-gestion des situations de crise : la DRS a pour mission de mettre en place des PCA, et est en charge de la gestion des crises au sein du groupe. A ce titre sont organisés des tests de crise de façon à préparer le groupe à faire face à ces situations extrêmes. Enfin, concernant la sécurité des biens et des personnes, la DRS réalise chaque année une analyse du niveau de sécurité des bâtiments du groupe.

Ses principaux objectifs sont donc les suivants :

-identifier les zones de risques et apporter un conseil en matière de maîtrise de ces risques, -veiller à ce que le système de gestion, de prévention, de contrôle, et de management des risques du groupe soit cohérent et efficient, -offrir une vision de la solvabilité sur un axe réglementaire mais aussi sur un axe de pilotage, -assurer le reporting sur la solvabilité, les risques et actionner des alertes si besoin (reporting interne et réglementaire). En effet, concernant le reporting réglementaire, la DRS est le pilote du processus d'élaboration des reportings « réglementaires » (pilier 3 de la directive). A ce titre, elle administre la base « Solvabilité 2 » permettant de collecter en amont les informations nécessaires à ces reportings, établit les reportings, et est l'interlocuteur privilégié des autorités de contrôle de l'assurance.

Au sein de cette entreprise, cette Direction est rattachée à la Direction Générale, qui doit disposer d'une vision complète des risques du groupe et répondre aux enjeux associés à Solvabilité 2. A ce titre, la DRS couvre l'ensemble des activités de ce groupe : retraite, assurance, action sociale, gestion d'actifs, gestion directe ou pour compte de tiers. Le but est de répondre de manière coordonnée aux réglementations qui s'imposent au groupe en matière de maîtrise des risques, qui sont les recommandations de l'Agirc-Arrco pour les activités de retraite, le règlement général de l'AMF, et surtout Solvabilité 2.

Cette Direction devra donc surtout prendre en charge la gestion des risques opérationnels (voir lexique), et fournir à la Direction Générale et au Conseil d'Administration une visibilité suffisante sur des opportunités mais aussi des zones de vulnérabilité. Les enjeux concernant ces risques opérationnels sont notamment :

-d'en améliorer l'analyse et la maîtrise via le processus d'identification, de mesure et de reporting, -de protéger le patrimoine, la responsabilité et les personnes au travers du pilotage du portefeuille des contrats d'assurance du groupe, -de coordonner la mise en place et le maintien en condition opérationnelle des PCA du groupe,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

28/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-d'être le garant du bon fonctionnement du dispositif de gestion de crise du groupe.

Un second interlocuteur m'a expliqué qu'au sein de son entreprise, un groupe de taille importante, une Direction des Risques a été créée en 2008, comprenant une Direction « Chantier Solvabilité 2 » (ayant pour rôle principal le suivi de la mise en conformité avec la directive), une Direction Conformité, une Direction des Systèmes d'Information, une Direction du Contrôle Interne, et un service Management des Risques. Toutes ces Directions seront impactées par la directive, et l'on constate que la création d'un service Risk Management a été conditionnée par la mise en conformité avec Solvabilité 2.

Un autre Directeur m'a confirmé que l'impact principal causé par Solvabilité 2 concerne les c hangements d'organisation, puisqu'il n'existait pas de Direction des Risques au sein de son entreprise il y a quelques années. Il a donc fallu la créer puis sensibiliser toute l'entreprise à la maîtrise des risques.

Enfin, deux autres Directeurs m'ont indiqué que leurs entreprises, de « petits » Groupes de Protection Sociale, partent de zéro en ce qui concerne le Risk Management, car leurs groupes ne disposent toujours pas, pour le moment, d'une fonction Gestion des Risques. Étant donné que Solvabilité 2 impose l'existence d'une telle fonction, ces entreprises vont devoir la créer, en définissant tout d'abord en quoi cette fonction va consister, puis en lui définissant un périmètre, des missions, et en lui assignant des collaborateurs et des compétences. Solvabilité 2 provoque donc un changement considérable pour ces entreprises.

On constate donc que l'obligation de disposer d'une fonction Risk Management impacte toutes les entreprises, sans exception, mais que certaines ont été plus promptes que d'autres à réagir et à répondre à cette exigence. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ce sujet fait même l'objet d'un « projet stratégique » identifié comme tel dans la stratégie du groupe (« mettre en place le système de management des risques et de la qualité du groupe »). Bien sûr, les grands groupes, qui disposent de plus de moyens, ont eu (et auront) plus de facilités pour répondre aux exigences de la directive, d'autant plus que le pilier 2 de Solvabilité 2 provoque des changements plus faibles au sein de ces entreprises puisqu'elles sont déjà souvent assez avancées dans le domaine de la Gestion des Risques, et disposent des moyens et compétences suffisants pour s'adapter aux changements. En revanche, certaines petites entreprises vont devoir créer et structurer une fonction Risk Management en partant de zéro, ce qui aura un coût financier important, mais également un coût en termes de temps. Il faudra également assigner des collaborateurs à cette fonction, en les recrutant si les compétences ne font pas déjà partie de l'entreprise, ce qui aura un coût supplémentaire. Enfin, la création d'un nouveau service et d'une nouvelle fonction aura un impact fort sur l'organisation toute entière de ces entreprises, des opérationnels (le Risk Management devant souvent travailler avec eux afin d'identifier et d'évaluer les risques à gérer) jusqu'aux dirigeants (les travaux du Risk Management devant être pris en compte dans la prise de décision).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

29/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

3/ Autres exigences réglementaires de Solvabilité 2 par rapport au Risk Management

Au-delà de ce changement principal, la directive comprend d'autres exigences :

-Tout d'abord, la fonction Risk Management doit disposer d'une stratégie de gestion des risques précisant notamment les objectifs de la gestion des risques et l'appétit au risque de l'organisation, d'un véritable dispositif de maîtrise des risques (passant souvent par l'achat d'un logiciel dédié à la gestion des risques) ainsi que des cartographies des processus et des risques financiers, stratégiques, juridiques et surtout opérationnels. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, le service Risk Management a formalisé une cartographie des risques composée de 2900 risques de niveau « micro » (risques principalement opérationnels) concernant tous les processus, mais également une cartographie des risques « macro » (risques opérationnels, financiers etc.) composée d'une trentaine de risques, associés aux processus impactés par ces risques. Cette cartographie concerne surtout l'activité Assurance de Personnes du groupe, en vue de Solvabilité 2. Les risques découlant des décisions stratégiques et les risques de réputation sont traités à part, comme nous le verrons dans le point 4 sur le volet ORSA.

De plus, Solvabilité 2 définit sept catégories de risques opérationnels :

-malveillance intentionnelle (fraude interne), -fraude externe, -ressources humaines et environnement de travail, -clients, produits et pratiques professionnelles, -réalisation des opérations, -systèmes d'information et continuité, -périls.

Les risques opérationnels sont donc des risques de pertes dues à une inadéquation ou à une défaillance des procédures, personnels, systèmes internes ou à des événements extérieurs. L'entreprise devra évaluer l'exigence de fonds propres relative à ces risques opérationnels. Pour cela, il faudra tout d'abord recenser ces risques, puis les mesurer (les évaluer en termes de fréquence et d'impact), en adoptant une approche « par les processus » (en décomposant en activités chaque processus de l'entreprise). Ainsi, un chantier concernant l'identification et le traitement des risques opérationnels a été mis en place au sein de l'entreprise de l'un de mes interlocuteurs ; les Directeurs de l'Audit, du Contrôle Interne et du Risk Management se réunissent une fois par mois pour faire le point sur ce sujet. Cette obligation d'inclure les risques opérationnels dans les exigences de solvabilité avait été critiquée par certaines entreprises lors de la publication de la directive car il leur apparaissait difficile de modéliser ces risques, qui sont considérés comme complexes à isoler et à quantifier. Cependant, les entreprises d'assurance sont directement exposées à ces risques et peuvent donc retirer un avantage de leur pilotage efficace.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

30/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Il faut également prendre en compte les risques de souscription (risques pris par un assureur lors de la distribution de contrats d'assurance auprès de personnes physiques morales), le risque de marché ( risque de variation du prix d’une grandeur économique constatée sur un marché se traduisant par une perte), et le risque de crédit (ou risque de contrepartie, c'est-à-dire le risque qu'un tiers ne respecte pas ses engagements), d'après l'article 101. Ces risques recouvrent globalement les catégories suivantes :

-risques techniques, liés à la définition et à la conception des produits d’assurance, -risques liés aux équilibres de souscription, relatifs à la maîtrise des risques sur les opérations de souscription d’un contrat d’assurance ou réassurance, -risques liés au versement des prestations garanties par les contrats, -risques liés au provisionnement (sur primes et sinistres), -risques liés au recours à la réassurance : cessions, acceptations ou rétrocessions internes.

De plus, le CEIOPS a recommandé aux entreprises de mettre en place une échelle de cotation des risques à cinq niveaux, en termes de probabilité de survenance (de « très faible probabilité » à « inévitable ») et d'impact (de « « aucune conséquence » à « conséquences négatives et impact majeur sur les opérations quotidiennes »), afin de classer ces risques. Une démarche globale de management des risques comprend en effet les étapes suivantes, traditionnellement :

recensement et évaluation des risques, recensement et évaluation des actions de maîtrise, priorisation des actions, et définition du plan d'action (voir annexe 9 : les différentes étapes d'une approche permettant de maîtriser les risques de l'organisation). Quant à la démarche de cartographie des risques, elle passe généralement par les étapes suivantes :

décomposition de chaque processus en activités, recensement des risques de chaque activité et des contrôles associés, évaluation des risques (évaluation du risque brut, puis évaluation des contrôles, et évaluation du risque résiduel, c'est-à-dire le niveau de risque après prise en compte de l'efficacité des dispositifs de contrôle mis en place). Le Risk Management devra également se positionner par rapport à un niveau d’acceptation du risque fixé par la gouvernance.

-Cette fonction devra donc identifier et mesurer les risques, puis les gérer, c'est-à-dire les prendre en compte dans la stratégie de l'entreprise.

Bien sûr, les entreprises d'assurance n'ont pas attendu Solvabilité 2 pour accorder une attention particulière à la notion de risque, puisque l'assurance s'est construite autour du transfert et de la gestion des risques : l'assuré transfère ses risques à un assureur qui y fera face moyennant le paiement d’une prime. C’est pour cela que les autorités de contrôle des assurances sont très attentives à la solvabilité des compagnies d’assurance : en effet,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

31/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

l’assureur ayant encaissé les primes de ses assurés doit pouvoir faire face aux engagements qu’il a pris envers eux. Pour cela, il devra constituer une provision technique correspondant à ses engagements ainsi que des fonds propres. Le métier des assureurs est donc bien de prendre en charge les risques, de les quantifier et de les tarifer au mieux. Ainsi, le ratio « S/P » (sinistres sur primes) est considéré avec beaucoup d'attention par les sociétés d'assurance : ce ratio représente le résultat technique, qui compare les encaissements (le « P » représente les encaissements de chiffre d'affaires) et la charge globale des prestations versées aux clients (le « S »). Si ce ratio est inférieur à 1, cela signifie donc que l'activité est bien gérée. En moyenne, dans le secteur de l'assurance, ce ratio est d'environ 0,85.

Solvabilité 2 ne présente donc pas un aspect révolutionnaire au niveau du Risk Management puisque cette directive vise surtout à renforcer la gestion des risques. Par exemple, concernant l'acceptation des risques, la position du groupe devra être la suivante afin de respecter Solvabilité 2 : l'entreprise doit faire le choix d'accepter des risques si et seulement si elle a les moyens en termes de fonds propres pour les couvrir. Solvabilité 2, et plus particulièrement son pilier 1, va donc se traduire par des exigences plus élevées en termes de fonds propres. Ainsi, le Directeur d'un Groupe de Protection Sociale que j'ai rencontré m'a indiqué que son entreprise dispose aujourd'hui d'une marge de solvabilité égale à 8 (c'est-à-dire que le groupe dispose d'un capital 8 fois supérieur à l'exigence en capital demandée par Solvabilité 1), alors que Solvabilité 1 exige que cette marge de solvabilité soit « simplement » supérieure à 2. En effet, la marge de solvabilité est calculée en divisant les fonds propres par l'exigence de marge de solvabilité. La plupart des assureurs disposent cependant d'une marge de solvabilité environ égale à 4 en moyenne aujourd'hui. Cette entreprise qui dispose d'une marge égale à 8 est donc dans une situation très appréciable puisque largement au-dessus des exigences minimales.

Or, avec les exigences revues à la hausse de Solvabilité 2, ce chiffre passera à 3,15 : cela signifie que l'entreprise couvre le capital cible (le SCR) environ 3 fois. Cela reste très confortable et signifie que ce groupe dispose de fonds propres élevés, car pour la majorité des entreprises, ce chiffre se situera plutôt entre 1 et 2. En effet, un Groupe de Protection Sociale peut se permettre de disposer de fonds propres élevés ; cependant, les sociétés d'assurance cherchent plutôt à rapprocher ce chiffre de 1 car plus le montant de leurs fonds propres est élevé, plus elles doivent en distribuer à leurs actionnaires. En effet, ceux-ci sont rémunérés à partir des fonds propres : une augmentation de ces derniers est donc contraignante puisqu'elle entraîne une augmentation de la rémunération des actionnaires. En revanche, les Groupes de Protection Sociale n'ont pas d'actionnaires, et peuvent donc se permettre d'avoir des fonds propres élevés. D'autant qu'une marge de solvabilité élevée constitue une sécurité, et renvoie une image positive du groupe puisque c'est un gage de bonne santé financière de l'entreprise.

Pour respecter Solvabilité 2, il faudra, pour chaque démarche stratégique, identifier et surtout tenir compte des risques. Par exemple, une entreprise qui souhaite développer des partenariats avec des petites mutuelles devra

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

32/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

prendre en compte les risques que cela comporte et donc avoir les moyens en termes de fonds propres pour les couvrir afin de respecter les exigences de Solvabilité 2. C'est en cela que le pilier 2 et ses dispositions concernant le Risk Management viennent « soutenir » les entreprises dans leur démarche visant à répondre aux exigences quantitatives élevées du pilier 1.

-Pour préparer ces changements, les entreprises ont donc mis en place des plans d'actions, visant à :

-Définir et formaliser une politique de gestion des risques (définition du profil de risque du groupe et de chacune des entités, des indicateurs de risques, description des mesures prises en matière de maîtrise des risques et d'évaluation de leur efficacité), -Décliner la politique de gestion des risques par familles de risques (assurantiels, financiers et actif/ passif, contrepartie, opérationnels), -Mettre en cohérence les différentes stratégies et politiques (politique financière, assurantielle, réassurance, développement, etc.…) avec la politique de gestion des risques, -Définir une limite globale de solvabilité au regard des exigences de marge et des éléments de capital entrant en couverture de ces exigences, des profils de risques, et des objectifs de développement et du besoin de capital associé.

-Pour cela, la directive encourage les entreprises à adopter la démarche « Enterprise Risk Management » (détaillée dans le référentiel COSO 2), afin qu'elles soient en mesure par elles-mêmes d'apprécier et de mesurer leurs risques. D'après le COSO 2, la gestion des risques ou Enterprise Risk Management est un processus impliquant le Conseil d'Administration, le management et tout le personnel, par lequel l'entreprise identifie, évalue et répond à tous les risques susceptibles d'impacter les objectifs stratégiques et financiers de l'organisation. Ce processus permet de maîtriser les risques afin qu’ils soient dans les limites de l'appétence au risque de l’organisation, et permet de fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation (qui peuvent être stratégiques, opérationnels, relatifs au reporting ou à la conformité).

La gestion des risques est décomposée en cinq éléments : définition des objectifs, identification des événements, évaluation des risques, traitement des risques, et activités de contrôle. Cette démarche ERM nécessite donc d'identifier tous les risques importants auxquels est exposée l'entreprise, à tous niveaux, ce qui implique la construction d'une cartographie des risques (en utilisant les approches classiques bottom-up ou top-down), puis d'en extraire les principaux risques susceptibles d'avoir un impact réel sur l'activité. Le but est de concentrer les efforts sur les risques les plus adverses en termes de fréquence et/ou d'intensité, afin de déterminer la réponse la plus adaptée (acceptation, transfert, réduction ou évitement du risque). Cette démarche est constituée des étapes suivantes :

1/ Identifier les risques, 2/ Mesurer ces risques,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

33/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

3/ Essayer de les réduire, 4/ Il reste à gérer les risques résiduels restants, 5/ Mettre des fonds propres en face de ces risques afin de les maîtriser au mieux.

L'entreprise doit donc commencer par :

-Formaliser une politique de gestion des risques (voir annexe 10 : les missions de la fonction Risk Management), -Déterminer son profil de risque (niveau d’exposition au risque) et son appétence aux risques, -Définir des limites de risques permettant de gérer l’activité en cohérence avec l’appétence aux risques définie, -Mettre en place un processus visant à orienter le processus budgétaire en fonction de l’appétence aux risques (seuils fixés par risques), -Analyser la capacité à poursuivre le développement de l’activité à moyen/long terme en mesurant les exigences en matière de gestion des risques et de ressources financières associées.

Le pilotage de l'ERM doit être confié à une cellule indépendante des directions opérationnelles disposant d'un rapport direct avec le Conseil d'Administration : c'est donc logiquement au service Risk Management de le prendre en charge. L'implication du Conseil d'Administration est essentielle pour construire la stratégie de l'entreprise par rapport à la gouvernance des risques notamment. A noter, l'Audit Interne a entres autres pour mission de fournir une assurance raisonnable quant à l'efficacité et au bon fonctionnement du processus de Risk Management, et de contribuer à l'améliorer, mais il peut aussi être amené, éventuellement, à avoir un rôle de consultant dans la démarche ERM.

Le but est que les entreprises soient en mesure par elles-mêmes d'apprécier et de mesurer leurs risques. Au- delà de la simple validation d'une « check-list », l'autorité de contrôle aura les pouvoirs de contrôler la qualité des données, les procédures d'estimation et les systèmes mis en place pour mesurer et maîtriser les risques au cas où ils se matérialiseraient. L'autorité de contrôle aura même le pouvoir d'imposer une marge de solvabilité complémentaire (capital add-on), sous certaines conditions, dans le cas où il aura été jugé que les risques sont mal appréciés par l'entreprise.

Cependant, il faut préciser que Solvabilité 2 demande avant tout d'identifier puis de manager les risques de façon rigoureuse : peu importe la démarche, les entreprises devront le faire. Elles ne sont donc pas dans l'obligation d'utiliser une base de données ERM, et sont libres d'utiliser les outils souhaités. La directive demande « simplement » aux entreprises de connaître les risques qu'elles ont à gérer, de les hiérarchiser et de les quantifier en fonction de leur impact et de leur probabilité, et de les gérer au mieux. Les entreprises doivent donc mettre en place des méthodes pour recenser, analyser et gérer les risques d'origine interne et externe auxquels elles peuvent être confrontées, mais sont donc libres d'utiliser le référentiel de management des risques de leur choix. Celui-ci peut être COSO 2 (et son cadre de référence de la gestion des risques appelé

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

34/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

« Enterprise Risk Management Framework »), mais également le référentiel de l'AMF, la norme ISO 31000, ou encore le référentiel FERMA, qui classe les risques en quatre grandes catégories (financiers, opérationnels, stratégiques et risques de péril), etc. Par la suite, les techniques utilisées pour réduire les risques peuvent être :

-la réassurance : par exemple, tous les Groupes de Protection Sociale sont réassurés, et un Directeur rencontré a résumé la situation en m'indiquant que l'Institution de Prévoyance est simplement « présentée » au client, mais qu'une grande partie du risque est en fait pris en charge par un réassureur comme AXA. -la sécurité informatique. -le Contrôle Interne. Le but est d'arriver à un niveau de risque supportable par rapport aux fonds propres dont dispose l'entreprise.

-Ainsi, Solvabilité 2 demande aux entreprises de mettre en place une véritable gestion des risques. Cela se traduit par un renforcement des fonctions Risk Management et Contrôle Interne (principalement), mais aussi par un renforcement de la formalisation de la « piste d’audit ». En effet, pour respecter les exigences du pilier 3, les entreprises devront effectuer beaucoup plus de reporting et expliquer leurs chiffres plus précisément.

Cette démarche est plus ou moins complexe à mettre en œuvre selon les acteurs :

-les grandes sociétés d’assurance ont pour la plupart un service d’Audit Interne indépendant, un service Contrôle Interne et un service Risk Management qui appliquent des méthodologies rigoureuses, formalisent leurs travaux et travaillent en suivant un cadre précis. L'application de cette démarche n’est donc pas une grande épreuve pour elles, d'autant plus qu'elles disposent des moyens, effectifs et compétences suffisants pour la mettre en œuvre. Il faudra « simplement » renforcer ce qui existe déjà.

-les Groupes de Protection Sociale disposent souvent d'un seul service, qui s’occupe de l’Audit Interne, du Contrôle Interne et de la Qualité, voire de l’Audit Interne et du Risk Management. Or Solvabilité 2 exige implicitement qu’une scission de ces activités soit faite, puisqu’elle exige que ces fonctions (notamment l'Audit Interne) soient indépendantes et qu'une fonction Risk Management existe. Ainsi, Solvabilité 2 va avoir un fort impact sur les Groupes de Protection Sociale puisqu'il faut commencer par séparer ces fonctions avant de s'intéresser à leurs nouvelles missions entraînées par la mise en conformité avec Solvabilité 2. Si une fonction Risk Management n'existe pas, il faudra la créer, puis définir son périmètre d'activité, ses objectifs, méthodes de travail et missions, et lui assigner des collaborateurs. Solvabilité 2 entraîne donc un changement important pour ces entreprises, qui s'accompagne d'une réorganisation.

-enfin, les petites mutuelles, pour la plupart, n’ont pas de réelles fonctions Audit Interne, Contrôle Interne et Risk Management. La mise en conformité avec le pilier 2 de Solvabilité 2 va donc être très contraignante pour elles, même si les exigences de l'autorité de contrôle seront évidemment revues à la baisse et moins élevées

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

35/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

que pour les grands groupes. Le manque d'effectifs et le budget limité de ces entreprises sont les principaux obstacles à leur mise en conformité avec ce pilier 2. Cependant, leur principal problème reste le pilier 1 et ses exigences en termes de fonds propres : ainsi, l'évolution du monde de l’assurance après Solvabilité 2 pourrait être marquée par le fait que de nombreuses petites mutuelles ne passeront pas le cap de Solvabilité 2 en raison d'une marge de solvabilité trop faible (nous évoquerons ce sujet dans la cinquième partie de ce mémoire).

4/ Le volet « ORSA » (évaluation interne des risques et de la solvabilité)

-L'article consacré à l'ORSA est l'article 45 de la directive :

« 1.

Dans le cadre de son système de gestion des risques, chaque entreprise d'assurance ou de réassurance procède à une évaluation

interne des risques et de la solvabilité.

Cette évaluation porte au moins sur les éléments suivants:

a)

le besoin global de solvabilité, compte tenu du profil de risque spécifique, des limites approuvées de tolérance au risque

et de la stratégie commerciale de l'entreprise;

b)

le respect permanent des exigences de fonds propres prévues au chapitre VI, sections 4 et 5, et des exigences

concernant les provisions techniques prévues au chapitre VI, section 2;

c)

la mesure dans laquelle le profil de risque de l'entreprise s'écarte des hypothèses qui sous-tendent le Capital de

Solvabilité Requis prévu à l'article 101, paragraphe 3, calculé à l'aide de la formule standard conformément au chapitre VI,

section 4, sous-section 2, ou avec un modèle interne partiel ou intégral conformément au chapitre VI, section 4, sous-section

3.

2.

Aux fins du paragraphe 1, point a), l'entreprise concernée met en place des procédures qui sont proportionnées à la nature, à

l'ampleur et à la complexité des risques inhérents à son activité et qui lui permettent d'identifier et d'évaluer adéquatement les

risques auxquels elle est exposée à court et long terme, ainsi que ceux auxquels elle est exposée, ou pourrait être exposée.

L'entreprise démontre la pertinence des méthodes qu'elle a utilisées pour cette évaluation.

3.

Dans le cas visé au paragraphe 1, point c), lorsqu'un modèle interne est utilisé, l'évaluation est effectuée parallèlement au

recalibrage qui aligne les résultats du modèle interne sur la mesure de risque et le calibrage qui sous-tendent le Capital de

 

Solvabilité Requis.

4.

L'évaluation interne du risque et de la solvabilité fait partie intégrante de la stratégie commerciale, et il en est tenu systématiquement

compte dans les décisions stratégiques de l'entreprise.

5.

Les entreprises d'assurance et de réassurance procèdent à l'évaluation prévue au paragraphe 1 sur une base régulière et

immédiatement à la suite de toute évolution notable de leur profil de risque.

6.

Les entreprises d'assurance et de réassurance informent les autorités de contrôle des conclusions de chaque évaluation interne du

risque et de la solvabilité, dans le cadre des informations à fournir en vertu de l'article 35.

6 bis.

L'évaluation interne des risques et de la solvabilité ne sert pas à calculer un montant de capital requis. Le Capital de Solvabilité

Requis ne peut varier que conformément aux articles 37, 229, 230, 231 et 236. »

f

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

36/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Ce volet ORSA (« Own Risk and Solvency Assessment ») fait l'objet d'un article qui lui est propre au sein de la directive, ce qui montre son importance. D'autant plus qu'un « Issue Paper » du CEIOPS vient le compléter (voir annexe 7), ainsi qu'un « Feedback Statement » visant à répondre aux principales interrogations des entreprises, et un projet de texte de niveau 3 publié en décembre 2010. C'est au service Risk Management de prendre en charge ce travail (même si le Contrôle et l'Audit Internes pourront être amenés à participer également), ce qui explique qu'il soit évoqué ici :

-L'ORSA (voir annexe 11 : organisation générale de l'ORSA ) doit contenir l'évaluation d'un besoin global de solvabilité, la couverture permanente des exigences de fonds propres (les fonds propres doivent être en permanence suffisants pour couvrir les SCR et MCR), l'adéquation ou non des hypothèses de la formule standard (ou du modèle interne, voir lexique) au profil des risques de l'entreprise, et l'identification des principaux risques auxquels est exposée l'entreprise. L'ORSA doit faire partie intégrante du système de Risk Management, et doit être adapté à la nature, la complexité et l'ampleur des risques pris. Ch aque entreprise devra donc analyser ses risques et évaluer ses besoins de fonds propres en tenant compte de son profil de risque spécifique, de ses limites approuvées de tolérance au risque et de sa stratégie commerciale. Le but est d'aller au-delà du calcul réglementaire imposé par le pilier 1 tout en le complétant, et de traduire l’analyse des risques en termes de besoin en capital.

-L'ORSA est donc un outil de gestion des risques spécifique à Solvabilité 2, défini par le CEIOPS comme « un processus interne faisant partie des décisions stratégiques de l'entreprise ». Il doit permettre de démontrer que les risques de l'entreprise sont identifiés et quantifiés de façon adéquate. L'évaluation interne du risque doit aussi permettre d'ajuster l'adéquation entre les fonds propres et les exigences de capital calculées dans le cadre du pilier 1, et d'identifier les mesures de risques dans le modèle interne ou dans la formule standard qui s'écartent trop de la réalité. Le but principal est donc d'aider l’entreprise à déterminer la valeur réelle des fonds propres nécessaires pour répondre à ses engagements. La directive décrit l’ORSA comme un outil du système de management des risques qui demande aux entreprises d’évaluer leurs risques à court et long terme ainsi que la quantité de fonds propres nécessaires pour les couvrir. L’ORSA représente également une importante source d’information pour les autorités de supervision.

D’un point de vue réglementaire, l’ORSA sera donc un exercice à travers lequel les entreprises devront fournir la preuve au superviseur qu’elles appréhendent leurs risques de façon cohérente et formalisée. Il ne sera pas nécessaire d’avoir recours à une modélisation complexe, mais l’approche retenue devra être « convaincante ». On retrouve là l’aspect qualitatif du pilier 2, qui le différencie du pilier 1 et le rend plus « flou » et plus difficile à appréhender, mais aussi à juger.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

37/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

D'après l'un de mes interlocuteurs, au sein de son entreprise, la Direction des Risques est responsable de l'ORSA, conformément à ce qu’indique la directive. Réalisé en coordination avec l'ensemble des services

contributeurs (technique, financier, commercial, contrôle de gestion

),

ce document permet de :

-déterminer le niveau de fonds propres « économiques » disponibles (montant de fonds propres nécessaire pour faire face à des pertes inattendues), en intégrant l'ensemble des risques, un horizon de temps en phase avec les engagements, les stratégies de développement et les limites de tolérance aux risques approuvées par le Conseil d'Administration.

-déterminer le niveau de fonds propres « règlementaires » disponibles (qui se caractérisent par une mesure individualisée du risque, et notamment par une segmentation entre classes de risque).

En résumé, d'après un Directeur rencontré, l'ORSA consiste à mettre en place un processus visant à identifier les risques, les évaluer et mettre en place un dispositif de gestion des risques adapté. Il est en train d'être étudié par les entreprises en ce moment-même. C'est donc l'ensemble des processus, procédures et cartographies permettant d’identifier, mesurer, gérer les risques, de réaliser un reporting sur ceux-ci et de déterminer les fonds propres nécessaires pour couvrir ces risques. Il s'agit pour l'entreprise de démontrer sa capacité à maîtriser ses risques.

-De plus, l’autre utilité du volet ORSA vient du fait que le pilier 1 de Solvabilité 2 permet de calculer le montant de capital requis : les paramètres pris en compte dans ce calcul sont destinés à couvrir les risques techniques, financiers et opérationnels par le biais d’un calcul forfaitaire. Le défaut de ce système est donc qu'il ne couvre pas la totalité des risques que peuvent rencontrer les entreprises d’assurance, notamment les risques stratégiques et les risques de réputation. En effet, les risques opérationnels comprennent les risques juridiques mais pas les risques découlant des décisions stratégiques et les risques de réputation. Ces risques doivent donc être gérés à part, afin de calculer leur impact sur la marge de solvabilité du groupe. En effet, les risques opérationnels peuvent être quantifiés (on détermine qu'ils sont égaux à un certain pourcentage des cotisations encaissées), à la différence du risque stratégique et du risque de réputation. Or ces risques peuvent avoir un impact énorme sur la solvabilité du groupe. Le problème est qu’ils sont difficilement quantifiables, ce qui explique qu'on les analyse à part, afin de tout de même essayer de calculer l’impact qu’ils pourraient avoir sur la solvabilité du groupe. L'ORSA est donc un outil permettant de dépasser la vision réglementaire de la solvabilité et de traduire l'opinion de l'entreprise sur l'exposition aux risques et le niveau de capital requis pour les couvrir, et de prendre en compte les risques ignorés dans l'évaluation réglementaire de la solvabilité.

-De plus, certaines entreprises, les Institutions de Prévoyance notamment, retiennent la formule standard pour le calcul du montant des fonds propres (pilier 1), qui consiste à appliquer des barèmes standard de détermination des fonds propres, contrairement à l'approche interne qui consiste à définir une méthode personnalisée de calcul des MCR et SCR. Cette formule standard est construite sur la base de modules correspondant aux différents risques identifiés : risques de marché, de souscription, de contrepartie et risque opérationnel. L'objectif

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

38/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

de cette formule standard est de donner un résultat de capital réglementaire correct pour un maximum d'entreprises.

D'après l’un de mes interlocuteurs, l'autre aspect de l’ORSA consiste ainsi à répondre à la question suivante :

est-ce que les modèles mis en œuvre pour calculer les provisions sont assez pertinents ? En effet, le pilier 1 de la directive exige de calculer la solvabilité instantanée ou à un an : le SCR est l’équivalent de la solvabilité instantanée, qui permet donc de répondre à la question « l'entreprise va-t-elle pouvoir résister aux chocs de l'année ? », ce qui est différent de la solvabilité à long terme, qui va dépendre de la stratégie commerciale, de la stratégie de développement, de la gestion des risques etc. Ainsi, d'après l’un de mes interlocuteurs, le business plan à moyen terme et à long terme de son entreprise a été modifié afin de prendre en compte les risques dans la stratégie de l'entreprise. Ce processus ORSA consiste donc à prendre du recul sur la partie purement « calcul » du pilier 1 et donner un avis, propre à chaque groupe, sur le montant des capitaux propres, en évaluant les conséquences des décisions stratégiques que le groupe envisage de prendre sur la solvabilité à moyen terme.

-Le volet ORSA est donc un processus individualisé pour chaque groupe. La majorité des entreprises est en train en ce moment de le découvrir et de le mettre en œuvre. Cela consiste pour le moment en un processus d’autoévaluation par le biais de questionnements. Puis la fonction actuarielle devra donner son avis sur les modèles mis en place par la Technique, de façon « indépendante ». Lorsqu'il sera finalisé, l'ORSA devrait en théorie devenir un outil de gestion donnant une vision d'ensemble (au moins annuelle) sur l'ensemble des risques pesant sur la réalisation de la stratégie au regard des besoins en fonds propres futurs.

A terme, l’ORSA offrira l’opportunité de mettre en place des tableaux de bord permettant le suivi de l’activité, des risques et des besoins en fonds propres, de définir des procédures et des outils d’allocation du capital, et de fixer des limites de risque en fonction d’une appétence au risque formalisée.

Globalement, l'ORSA devra comprendre une cartographie exhaustive des risques, bien sûr, mais également une stratégie de gestion des risques (précisant notamment le niveau d'appétence au risque choisi), et un suivi

permanent de l'activité (mise à jour de l'ORSA etc.). Il conduit donc à un renforcement de la gestion des risques de l'entreprise, et sera logiquement plus facile à mettre en œuvre pour les entreprises qui disposent déjà d'une fonction Risk Management en charge de cartographier les risques. En effet, ces entreprises n'auront qu'à renforcer et améliorer leurs méthodes, et pourront se baser sur leurs travaux précédents. Le service Risk Management sera donc responsable de l'évaluation interne des risques et de la solvabilité du groupe dans une vision à moyen/long terme au travers de l'ORSA, mais ce travail sera réalisé en coordination avec l'ensemble

des services contributeurs (technique, financier, commercial, contrôle de gestion

En revanche, pour les

entreprises qui ne disposent pas d'un service Risk Management et qui sont peu familières avec les méthodes et outils servant à gérer les risques, l'ORSA représente un changement majeur (peut-être l’un des plus importants du pilier 2), et sera sans doute très compliqué et long à mettre en œuvre.

).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

39/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-Enfin, le Conseil d'Administration doit valider un rapport sur ce sujet, qui lui sera soumis une fois par an pour approbation. Ce rapport présentera notamment les risques identifiés (sous formes de cartographies des risques), l'appétit pour le risque, l'adéquation des ressources en capital au plan stratégique à x années, les décisions prises pour réduire les risques ou augmenter le capital disponible, la description de la politique et du processus ORSA (mise en évidence des liens entre le profil de risque, la tolérance aux risques et les exigences de solvabilité et fréquence de l'ORSA notamment), les différents process qui contribuent à l'ORSA, ainsi que les résultats de l'ORSA (méthodologie, conclusions).

Cela est donc utile pour le Conseil d'Administration, puisque ce document lui permettra de juger la pertinence de la stratégie adoptée et d'en mesurer les conséquences à terme (évolutions significatives des gammes de produits/services, évolutions organisationnelles majeures, choix de partenariats, projets de rapprochements

stratégiques

autorités de tutelle doivent être informées du résultat des évaluations internes des risques et de la solvabilité menées par les entreprises. Ce rapport pourra par exemple être utile à l'ACP afin d'anticiper les situations problématiques. Par exemple, si l'ACP constate qu'une entreprise a une mauvaise solvabilité à court terme mais une solvabilité très ambitieuse à long terme, elle pourra alors analyser la situation et déterminer si elle est dangereuse, ou bien si l'entreprise a vraiment les moyens de ses ambitions. En effet, l ’ORSA doit intégrer une dimension prospective sur les événements susceptibles d’impacter la solvabilité future de l’assureur afin de conduire à une prise de recul par rapport aux risques. Le but d'ORSA n'est pas d'empêcher l'entreprise de suivre des stratégies risquées, mais de l'obliger à prévoir les fonds propres nécessaires afin de maîtriser au mieux les risques qu'elle prend.

Le Conseil d'Administration devra valider ce rapport puis l'envoyer à l'ACP : en effet, les

).

-Pour finir, l'un de mes interlocuteurs m'a indiqué que tous les groupes sont en train en ce moment de découvrir cette nouveauté. J'ai en effet constaté que le discours des Directeurs que j'ai rencontrés n'était pas toujours très clair sur ce sujet, et qu'ils ne semblaient pas toujours connaître les détails de ce volet. Cela s'explique sans doute par l'originalité de cette nouveauté, d'autant que l'ORSA a fait l'objet de développements relativement limités pour l'instant.

5/ Exigences liées à la gouvernance

-L'article consacré aux exigences générales en matière de gouvernance est l'article 41 :

« 1.

Les États membres exigent des entreprises d'assurance et de réassurance qu'elles mettent en place un système de gouvernance

efficace, qui garantisse une gestion saine et prudente de l'activité.

Ce système comprend au moins une structure organisationnelle transparente adéquate, avec une répartition claire et une

séparation appropriée des responsabilités, ainsi qu'un dispositif efficace de transmission des informations. Il satisfait aux

exigences énoncées aux articles 42 à 48. Il fait l'objet d'un réexamen interne régulier.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

40/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

2. Le système de gouvernance est proportionné à la nature, à la taille et à la complexité des opérations de l'entreprise d'assurance ou

de réassurance.

3. Les entreprises d'assurance et de réassurance disposent de politiques écrites concernant au moins leur gestion des risques, leur

contrôle interne, leur audit interne et, le cas échéant, la sous-traitance. Elles veillent à ce que ces politiques soient mises en

œuvre.

Ces politiques écrites sont réexaminées au mois une fois par an. Elles sont soumises à l'approbation préalable de l'organe

d'administration ou de gestion et elles sont adaptées compte tenu de tout changement important affectant le système ou le

domaine concerné.

4. Les autorités de contrôle disposent des moyens, méthodes et pouvoirs nécessaires pour contrôler le système de gouvernance des

entreprises d'assurance et de réassurance et pour évaluer les risques émergents détectés par ces entreprises et susceptibles

d'affecter leur solidité financière.

Les États membres veillent à ce que les autorités de contrôle disposent du pouvoir d'exiger que le système de gouvernance soit

amélioré et renforcé de façon à satisfaire aux exigences énoncées aux articles 42 à 48. »

-De plus, l'article 44, consacré à la gestion des risques, indique que le système de gestion des risques doit être « efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l'entreprise d'assurance ou de réassurance et dûment pris en compte par les personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-clés ».

-Afin de respecter cet article et les « Issue Papers » relatifs à la gouvernance (voir annexe 7), l'entreprise doit disposer d'un système de gouvernance adapté à la nature et la taille de l'activité, disposer de procédures détaillées couvrant l'ensemble des activités, et élaborer des politiques sur la gestion des risques, le Contrôle Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer d'un s ystème de gouvernance efficace, d'une répartition claire des rôles et responsabilités dans la politique de gestion des risques, d'une structure organisationnelle adéquate, ainsi que d’un dispositif efficace de transmission des informations.

En particulier, les entreprises vont tout d'abord devoir s’assurer que les rôles et responsabilités de chacun des acteurs partie prenante dans la gouvernance des risques (voir lexique) sont documentés et appropriés et que les fonctions-clés comme celles de l’Actuariat, du Risk Management, de la Conformité et de l’Audit Interne existent et sont bien prises en compte dans la stratégie, les procédures et la documentation nécessaire pour identifier, faire le suivi, gérer, contrôler et informer en continu sur l’exposition aux risques. Pour cela, il faudra é tudier le périmètre de responsabilités et le champ d'actions de ces fonctions, puis les positionner au regard des fonctions existantes et du périmètre d'activité à couvrir. L'article englobe donc les principaux éléments constitutifs d'un système de gouvernance, qui sont les structures, les procédures et les comportements.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

41/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

En effet, Solvabilité 2 place la maîtrise des risques au cœur de l’activité d’une entreprise. La vision des risques doit être prise en compte dans l’activité, et la maîtrise des risques devient centrale dans la gouvernance. Ainsi, l'un de mes interlocuteurs m'a indiqué que le service Risk Management de son entreprise est en train de réécrire la politique de gestion des risques, ce qui a un impact sur les politiques existantes de Contrôle Interne.

-Solvabilité 2 entraîne d'autres changements en matière de gouvernances des risques, changements qui concernent surtout le Conseil d'Administration et ses « émanations » :

Il faudra créer des Comités des Risques, comprenant des membres de l'entreprise et de la Direction

Générale : ces Comités seront chargés d’éclairer les décisions stratégiques du Conseil d'Administration en matière de risques assurantiels (règles de souscription, règles de provisionnement technique, définition des cessions en réassurance…), risques financiers (politique de placements, gestion actif/passif) et risques opérationnels. Ils présenteront donc leurs résultats aux administrateurs. Les Comités des Risques (dont l'organisation, l'animation et le secrétariat seront assurés par le Risk Management), rattachés à la Direction Générale, seront globalement chargés de :

-fournir à la Direction Générale l’assurance que les risques sont identifiés, mesurés et ramenés à un niveau accepté. Ils présentent périodiquement les principales expositions aux risques actuels ou potentiels, et proposent à la Direction Générale des politiques et actions de maîtrise des risques. -fournir à la Direction Générale l’assurance que les actions de maîtrise des risques sont mises en œuvre de manière adéquate, et proposer des axes d’amélioration.

Les entreprises devront également disposer d'un Comité d'Audit (voir partie 4). En relais du Conseil

d'Administration, le Comité d’Audit :

-assure le suivi du processus d’élaboration de l’information comptable et financière, -s’assure de l’efficacité des systèmes de gestion des risques et de Contrôle Interne, -s’assure de l’indépendance des CAC, -examine le plan d’audit et s’assure de la couverture des risques encourus par l’entreprise.

Le Conseil d'Administration, lui, doit être chargé des fonctions suivantes :

-définir le niveau maximal de risque accepté (marge de solvabilité cible), -établir des objectifs stratégiques conformes au niveau de risque maximal : les différentes stratégies en termes de développement, de partage de risques (dont réassurance) et de prise de risques dans la politique de placements devront être revues en fonction des niveaux de risque acceptés par la gouvernance et du niveau de capital associé aux risques pris, -valider des limites de risques, ces limites devant permettre de s’assurer que les opérations sont réalisées conformément au niveau de risque accepté,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

42/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-approuver et examiner périodiquement les dispositifs de gestion des risques. A ce titre, il validera de façon formelle la politique générale de management des risques du groupe (risques financiers, opérationnels ou d'assurance), et les dispositifs de Contrôle Interne (Contrôle permanent/Contrôle de Conformité) : en effet, le Risk Management devra formaliser puis présenter au Conseil d'Administration la politique de management des risques (appétit au risque, identification, mesure et gestion des

risques

politique de gestion des risques de l'entreprise (approbation ou non). Le rapport que l'on présente au Conseil d'Administration doit définir toute la gestion des risques, le pilotage etc. Il faudra également présenter une cartographie des risques tous les trimestres aux administrateurs (à chaque Conseil d'Administration). Le Conseil d'Administration validera ainsi le pilotage des risques du groupe au travers des commissions spécialisées ou de ses délibérations (validation des rapports de solvabilité, des revalorisations annuelles des tarifs, des nouveaux produits, des plans de cession).

),

puis un vote est censé représenter la position du Conseil d'Administration vis-à-vis de la

Concernant la Direction Générale, elle est en charge de décliner et de mettre en œuvre la stratégie et

les objectifs fixés. Elle décline aussi les limites globales de risques en limites opérationnelles et s’assure du respect des limites fixées, et doit proposer au Conseil d'Administration le cadre de fonctionnement de la gestion des risques et du Contrôle Interne, tout en gardant la responsabilité opérationnelle de la mise en œuvre de ce cadre et des stratégies. Enfin, elle doit faire des propositions au Conseil d'Administration sur le niveau de risque maximal accepté (appétence aux risques).

Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ont déjà été mises en place ces dernières années des Comités des risques par métier ainsi qu’un Comité des risques assurantiels Groupe, chargés d’améliorer la culture du risque à tous les niveaux. On constate donc que certaines entreprises ont fait le choix de mettre en œuvre ces changements de manière anticipée. De plus, les grands groupes disposent pour la plupart d’ores-et- déjà d’un Comité d’Audit et d’un Comité des Risques ; la directive n’entraîne donc pas de grands changements pour eux, insistant surtout sur la présence de ces Comités et la formalisation de leurs travaux. En revanche, les petits groupes sont face à un chantier important pour répondre à ces exigences.

-Pour préparer ces changements, les entreprises que j'ai rencontrées ont commencé par mettre en place des plans d'actions, visant à :

-définir la gouvernance des risques au niveau du groupe (fixation du niveau d’intégration souhaité au niveau du groupe, définir les rôles et responsabilités du groupe par rapport au Conseil d'Administration en matière de gestion des risques), -mettre en place des Comités d’Audit, -mettre en place des Comités des Risques (avec définition des règles d'organisation et de fonctionnement).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

43/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-A noter : on retrouve dans cet article des références à d'autres exigences de la directive : la « séparation appropriée des responsabilités » évoque la séparation des fonctions Audit Interne, Contrôle Interne et Risk Management ; le principe de proportionnalité est évoqué avec la phrase « le système de gouvernance est proportionné à la nature, à la taille et à la complexité des opérations de l'entreprise d'assurance » ; la formalisation des procédures est également évoquée (« les entreprises d'assurance disposent de politiques écrites concernant au moins leur gestion des risques, leur contrôle interne, leur audit interne et, le cas échéant, la sous-traitance »).

-De même, le CEIOPS a émis des recommandations venant compléter cet article, qui rappellent les principes suivants :

-l'importance du reporting et de la communication à tous niveaux de l'organisation, -les membres du Conseil d'Administration, et les membres de l'entreprise de manière générale, doivent posséder les compétences nécessaires pour pouvoir effectuer leurs missions, -le personnel doit utiliser et appliquer les procédures, qui doivent être mises à jour régulièrement, -la confidentialité des informations doit être assurée, -les Systèmes d’Information utilisés doivent être fiables.

Cependant, la conséquence principale entraînée par la directive en ce qui concerne la gouvernance reste la nette augmentation des pouvoirs confiés aux organes de gouvernance que sont le Conseil d'Administration et les Comités « émanations » du Conseil d'Administration. L'article 40 de la directive confirme cet élément, en précisant que « les États membres veillent à ce que l'organe d'administration ou de gestion de l'entreprise assume la responsabilité ultime du respect, par l'entreprise concernée, des dispositions législatives, réglementaires et administratives adoptées en vertu de la présente directive ». Pour qu’il puisse être mené à

bien, ce chantier « gouvernance » requiert donc la sensibilisation et la mobilisation des membres du Conseil d’Administration, de ses émanations et des dirigeants, puisqu'il concerne en priorité les Comités d'Audit et des Risques, la formation/sensibilisation des administrateurs, et la définition des politiques (Risk Management,

Pour les moyennes et grandes structures, Solvabilité 2 ne va demander qu’une phase

Contrôle interne

d’adaptation, mais pour les petites structures, Solvabilité 2 est quasiment une révolution en raison de la création de ces Comités spécialisés (Comités d'Audit, Comités des Risques).

).

-Sans compter que la mise en conformité avec Solvabilité 2 entraîne d'ores-et-déjà la création de « Comités de Pilotage » du projet Solvabilité 2, réunissant les principaux dirigeants de l'entreprise (Directeurs du Contrôle Interne, de l'Audit Interne, de la Comptabilité etc.), comme j'ai pu le constater au cours de mes entretiens. L'un de mes interlocuteurs m'a indiqué que ces Comités permettent de faire le point sur l'état d'avancement du projet Solvabilité 2 au sein de l'entreprise, sur l'actualité réglementaire, le planning, le suivi des actions et des prochaines étapes, le budget et les risques du projet. Un autre interlocuteur m'a indiqué que ces Comités, au sein de son entreprise, sont composés d’une dizaine de membres : chacun représente une Direction du groupe

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

44/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

ou bien une activité concernée par Solvabilité 2, telles que la Direction Financière et Technique, la Direction Juridique, la Direction de l’Audit Interne et le Responsable du Contrôle Interne (qui fait pour l’instant partie de l’Audit Interne), la MOA (volet informatique), la Direction du Développement, la Direction de la Gestion (notamment service délégataire de gestion), et l’activité Mutuelle. Dans certaines entreprises, le processus de mise en conformité avec Solvabilité 2 a même entraîné la création d’un service entièrement dédié au suivi de l’avancement de la mise en conformité (c’est ce qui s’est passé au sein de l'une des entreprises rencontrées dans le cadre de ce mémoire). Ces changements rendent l’application de la directive d’autant plus difficile pour les petits groupes.

-Il est cependant nécessaire de nuancer l'idée que la directive entraîne une forte augmentation des pouvoirs confiés aux organes de gouvernance en précisant que de nombreux autres textes et lois qui ont précédé Solvabilité 2 allaient déjà dans le même sens. Ainsi ; -les recommandations de l'Association Française de la Gestion Financière sur le gouvernement d'entreprise, en France, en 1998, et modifiées en 2001, 2004 et 2006, qui encadraient les droits et obligations des actionnaires et du Conseil d'Administration, -les rapports Viénot 1 (qui définissait notamment une série de bonnes pratiques pour les administrateurs, la composition, l'organisation et le fonctionnement du Conseil d'Administration et du Comité d'Audit, en 1995) et 2 (1999), en France, -le rapport Marini (1996), qui étendait le pouvoir des « émanations » du Conseil d'Administration, en France, -la loi NRE (2001) en France, qui réglementait entre autres la notion de dirigeant d'entreprise, l'information concernant les conventions conclues par une société avec un de ses dirigeants, les cessions ou acquisitions d'actions cotées sur les marchés financiers, et renforçait l'indépendance des administrateurs, -la loi Sarbanes-Oxley aux États-Unis (qui entraînait notamment l'obligation pour les présidents et les directeurs financiers de certifier personnellement les comptes et l'obligation de nommer des administrateurs indépendants au Comité d'Audit) et le rapport Bouton en France (qui entraînait la création de Comités spécialisés et une évaluation du Conseil d'Administration) en 2002, -le rapport Bouton en France, en 2002, qui visait à améliorer le gouvernement des sociétés cotées, -la loi sur la Sécurité Financière (France, 2003), qui entraînait notamment, comme la loi Sarbanes-Oxley, une augmentation des responsabilités des dirigeants, -la directive de la Commission Européenne du 16 mars 2004 portant sur les règles d'audit des entreprises de l'Union Européenne, -le décret du 19 mai 2008 sur le Contrôle Interne, en France, -la loi du 3 juillet 2008 (transposant en France les quatrième et septième directives européennes), qui a entraîné une augmentation des obligations de transparence des sociétés en matière de gouvernement d’entreprise et de Contrôle Interne,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

45/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-ainsi que la huitième directive européenne sur le droit des sociétés (entre autres),

déjà une augmentation des pouvoirs confiés aux Comités « émanations » des Conseils

d'Administration et aux Conseils d'Administration, tout en fournissant un cadre au fonctionnement de ces organes de gouvernance. De plus, le livre blanc de l'IIA dispense déjà un certain nombre de bonnes pratiques en matière de gouvernance. Enfin, d'autres textes plus anciens s'intéressaient déjà à la gouvernance d'entreprise et visaient à mieux encadrer et renforcer les responsabilités des administrateurs, comme le rapport Cadbury (1992), le rapport Turnbull (1999) ou encore le rapport Smith (2003) en Angleterre. Les années 90 et 2000 sont d'ailleurs parfois surnommées « l'ère des actionnaires », puisque de nombreux textes visant à accentuer le degré de contrôle des dirigeants ont été votés, souvent à la suite de scandales financiers comme Enron.

entraînaient

Ainsi, Solvabilité 2 n'entraîne pas de révolutions dans les domaines de la gouvernance des risques et plus globalement du gouvernement d'entreprise puisqu'elle reprend et confirme ce qui existe déjà sur de nombreux points. Cependant, la différence majeure avec les textes qui l'ont précédée est qu'elle constitue une loi au niveau européen : toutes les entreprises d'assurance, les Institutions de Prévoyance et les mutuelles de l'Union Européenne devront l'appliquer, ce qui est positif puisque cela permet d'étendre et de banaliser les bonnes pratiques qui étaient jusqu'à maintenant appliquées uniquement dans certains pays. D'autant que les changements entraînés par la directive concernent tous les éléments constitutifs de la gouvernance, qui sont les structures, les procédures, et les comportements (bonnes pratiques), comme le montre le schéma récapitulatif (en annexe 12 : les exigences générales de Solvabilité 2 en matière de gouvernance).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

46/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management

1/ Renforcement et amélioration de la maîtrise des risques

L'entreprise doit rédiger une véritable politique de gestion des risques et disposer d'une cartographie des risques prenant en compte les risques opérationnels, assurantiels, financiers, stratégiques. Si elle existe déjà, il faut développer la cartographie existante et améliorer la méthodologie de recensement et d’évaluation des risques.

Le management des risques doit créer un véritable dispositif de maîtrise des risques et une politique de gestion des risques. L'aspect positif est donc le renforcement et l'amélioration de la maîtrise des risques, puisque le

service Risk Management est chargé de l'identification, l'évaluation et la gestion permanente des risques :

-sur un axe quantitatif : mesure des fonds propres à immobiliser au regard des risques pris (formule standard) et

évaluation des différentes politiques (allocation d'actifs, réassurance

-sur un axe qualitatif : recensement des risques et actions d'atténuation, proposition de plans d'actions.

).

Le système de gestion des risques doit au moins couvrir les sujets suivants: la souscription et le provisionnement, la gestion actif-passif et les investissements, la gestion opérationnelle des risques, la réassurance et les autres techniques d'atténuation du risque. Il est évident qu'une meilleure gestion des risques ne peut être que positive pour les entreprises.

De plus, le Risk Management, en raison d'un contexte législatif de plus en plus contraignant (Solvabilité 2, bien sûr, mais aussi la NRE, la LSF etc.) prend de plus en plus d'importance au sein des entreprises, avec pour missions premières l’analyse des vulnérabilités et la mise en place de méthodologies et d‘indicateurs afin de protéger les engagements et prévenir tout impact négatif sur les objectifs.

Quant au volet ORSA, il vient en complément du pilier 1 afin d’aider l’entreprise à déterminer la valeur réelle des fonds propres nécessaires pour répondre à ses engagements, en s’attardant sur les risques les plus complexes à mesurer. Il entre donc également dans le renforcement de la maîtrise des risques.

Ce renforcement de la maîtrise des risques est positif puisqu’il permet à l'entreprise de mieux maîtriser ses activités et les risques qui en découlent, même si cela peut avoir un coût élevé pour l'entreprise.

2/ Meilleur suivi des risques par le Conseil d'Administration

Au niveau de la gouvernance, Solvabilité 2 met l'administrateur au centre du système de pilotage des risques, et demande un fort degré d'implication du Conseil d'Administration. Cela se traduit par de nombreux rapports à destination du Conseil d'Administration :

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

47/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-la politique de gestion des risques (équivalent du rapport sur la solvabilité), -un rapport sur l'ORSA rédigé par le Risk Management à présenter au Conseil d'Administration, -un rapport sur le contrôle des sous-traitants à présenter au Conseil d'Administration, -un rapport sur l'Audit Interne à présenter au Comité d'Audit et des Risques puis au Conseil d'Administration, -des rapports de Contrôle Interne, d'abord présentés au Conseil d'Administration, puis envoyés à l'ACP pour le côté Assurances de Personnes.

Solvabilité 2 renforce donc fortement le reporting à présenter au Conseil d'Administration et donne donc plus de pouvoir à ce Conseil, en charge de valider tous ces documents. Ainsi, on peut penser qu'un renforcement du reporting entraîne un renforcement de la gestion et du suivi des risques par les administrateurs, et donc une diminution de ces risques, ce qui est positif pour l'entreprise.

Ce point positif est cependant à nuancer car au sein des Groupes de Protection Sociale, les administrateurs ont d’ores-et-déjà un rôle important : les Conseils d'Administration se composent de représentants des employés et des employeurs des sociétés adhérentes (structure paritaire), afin de garantir une transparence de gestion. Ce point positif est donc surtout valable pour les sociétés d’assurance.

Ainsi, il est clair que la directive renforce les pouvoirs des administrateurs en leur donnant l'opportunité de mieux suivre la gestion des risques de leur entreprise. D'autant plus que l'ACP, lors de ses audits relatifs à la mise en place des exigences de Solvabilité 2, viendra analyser le profil des administrateurs membres des Comités « spécialisés » que sont le Comité des Risques et le Comité d'Audit, demandera leurs CV, et étudiera le nombre de Comités ayant eu lieu dans l'année écoulée. Ce suivi réalisé par l'ACP témoigne de l'intérêt que cette Autorité accorde aux administrateurs, et devrait achever de convaincre les entreprises de renforcer le rôle du Conseil d'Administration et de ses émanations.

3/ Augmentation des responsabilités du Risk Management

Le changement majeur entraîné par la directive pour la fonction Gestion des Risques est que celle-ci va avoir une contribution beaucoup plus significative dans la prise de décision, notamment à travers son rôle dans les Comités de Direction et les comités de Direction Générale (en effet, les Comités de Direction sont amenés à prendre des décisions sur la stratégie de l'entreprise, et doivent donc prendre en compte les risques (ORSA) pour être en conformité avec Solvabilité 2), et ses livrables et reportings.

Ainsi, d'après l'un de mes interlocuteurs, cela va se traduire par une contribution formelle au début, c'est-à-dire dans tout ce qui concerne la formalisation (revues de processus, comptes-rendus de Comités de Direction, les nombreux rapports et documents évoqués précédemment, etc.) car les entreprises auront certainement besoin d'un temps d'adaptation pour savoir comment intégrer plus concrètement cette fonction. Puis par la suite, le Risk

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

48/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Management interviendra sans doute de façon plus fluide dans la prise de décisions, d'autant plus que la mise en place d’un système de management des risques sollicite d'autres acteurs que le Risk Management, comme les Instances Dirigeantes, le Conseil d’administration, le management, et les unités opérationnelles. Le Risk Management peut également être amené à dialoguer avec toutes les directions du groupe comme la Direction Technique, la Direction Financière, la Direction des Systèmes d'Information, la Direction du Contrôle Interne etc.

Le Risk Management va donc être amené à collaborer avec tous les acteurs importants de l'entreprise afin d'identifier et d'évaluer les risques auxquels ils sont confrontés, et de mettre en place des actions de maîtrise de ces risques, ce qui peut contribuer à diffuser dans toute l'organisation une « culture » de la maîtrise des risques.

Ceci est un point positif, toujours dans l'optique d'amélioration de la maîtrise des risques du groupe :

l’augmentation des pouvoirs et missions du Risk Management entraînés par Solvabilité 2 ne pourra pas passer uniquement par une plus forte formalisation et une augmentation du reporting. Ce sera sans doute le cas dans un premier temps, mais par la suite, le Risk Management sera forcément partie intégrante de la prise de décision, à un haut niveau. Bien sûr, ceci est déjà le cas dans certaines grandes sociétés d’assurance.

4/ Clarification des rôles des différents services

La séparation des services Risk Management, Contrôle Interne et Audit Interne entraînée par la directive, en plus de permettre à la fonction Audit Interne d'être totalement indépendante, va permettre de clarifier les rôles de ces fonctions, notamment au sein des Groupes de Protection Sociale, qui ont souvent tendance, par manque de moyens, à réunir ces fonctions. On trouve ainsi souvent des « Directions de l'Audit et des Risques » voire des « Directions du Contrôle et de l'Audit Internes ». Cela n'est pas le cas chez les grandes sociétés d'assurances, qui disposent déjà de services spécifiques dédiés à chacune de ces fonctions.

Cette séparation plus marquée peut être bénéfique pour le Risk Management, puisqu'elle devrait logiquement permettre à chacune de ces fonctions d'avoir un périmètre et un rôle spécifiques et donc d'être plus efficaces, en plus d'être indépendantes les unes des autres. Cela permettra aussi aux opérationnels qui seront amenés à collaborer avec les risk managers de mieux comprendre la fonction Risk Management, qui est souvent méconnue, voire confondue avec le Contrôle ou l'Audit Interne. Cela est d'ailleurs logique puisque certains petits groupes ne disposent pas, pour le moment, d'une fonction Risk Management ; ainsi, c'est la fonction Contrôle Interne qui prend en charge des missions relevant davantage du Risk Management, ce qui participe à la confusion.

Cependant, ces fonctions devront continuer à collaborer, par le biais d'instances de coordination par exemple, car leur domaine d'activité reste le même : la maîtrise des risques. Cette clarification des rôles est positive car elle permet à chaque fonction d'avoir un rôle bien précis dans le dispositif de maîtrise des risques de l'entreprise.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

49/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Risk Management

1/ Impact financier élevé

Un premier impact négatif entraîné par Solvabilité 2 concerne l'impact financier élevé que demande la création d'un service dédié au Risk Management, auquel il faudra ajouter le coût des recrutements éventuels. D'autant que la redéfinition des périmètres des services entraîne également une charge financière et une charge en termes de travail.

Ce problème concerne en priorité les petits groupes, qui devront, avant de créer cette fonction, définir en quoi elle consiste, lui définir un périmètre, des missions, puis lui assigner des collaborateurs, ce qui aura un coût financier important mais également un coût en termes de temps de travail : réunions de la Direction, etc.

De même, si un service Risk Management existe déjà au sein de l'entreprise mais qu'il est « couplé » à une autre fonction, il sera nécessaire de le rendre indépendant, ce qui va engendrer des travaux de réorganisation importants et aura un coût élevé.

Bien sûr, les grands groupes ne sont pas concernés par ce problème financier, d'autant plus que la grande majorité de ces groupes dispose d'ores-et-déjà d'un service dédié au Risk Management.

2/ Charge en termes de reporting

La masse de reporting est en forte évolution avec la directive Solvabilité 2, qui entraîne la formalisation de nouveaux livrables à présenter au Conseil d'Administration pour validation, comme la politique de gestion des risques, le rapport de Contrôle Interne, le rapport sur la sous-traitance, le rapport sur l'Audit Interne, le rapport sur l'ORSA, le rapport sur la solvabilité, le rapport aux superviseurs, etc.

Le service Risk Management devra également fournir d'autres livrables tels que les cartographies des risques, le processus de gestion des risques, la définition et/ou le renforcement des approches méthodologiques et outils existants, la politique groupe de risques, la mise en œuvre de bases incidents, la mise en place d’indicateurs de risques, la définition de reportings aux différents niveaux de l’organisation, le suivi régulier des risques et plans d’action de réduction des risques, etc.

Globalement, il est clair que Solvabilité 2 entraîne plus de reporting et de formalisme, mais c'est la fonction Risk Management qui est concernée en priorité par ce sujet. Le Contrôle Interne et l'Audit Interne sont aussi concernés, mais dans une bien moindre mesure. Bien que la production de ces nombreux livrables ait pour but

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

50/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

de faciliter le travail de suivi des dirigeants et des administrateurs et donc d'améliorer la maîtrise des risques, elle s'accompagne d'une charge de travail élevée et d'un aspect contraignant.

3/ Problème de mise à niveau des administrateurs ?

Comme nous l'avons vu, de nombreux sujets liés à Solvabilité 2 seront présentés au Conseil d'Administration. Or les administrateurs ne sont pas spécialistes de ces sujets. Il y a donc un problème de mise à niveau :

d'après l'un de mes interlocuteurs, les entreprises devront former leurs administrateurs afin de leur donner les moyens de porter un jugement pertinent sur les sujets qui leur sont présentés pour validation.

En effet, Solvabilité 2 entraîne la nécessité pour les administrateurs de maîtriser de nouvelles notions concernant la gestion des risques. De nouvelles formations sont donc à mettre en place afin de mettre les administrateurs à niveau. Le CTIP prévoit d'ailleurs déjà des formations à cet effet. Ce problème de compétences n'est pas nouveau, et s'est déjà présenté par le passé : ainsi, l'ordonnance du 8 décembre 2008, qui a entraîné la création de Comités d'Audit pour la partie Assurances de Personnes des Groupes de Protection Sociale, a indiqué qu'un des membres du Comité d'Audit devrait présenter des connaissances financières ou comptables (un critère « Fit & Proper »).

De plus, dans le cadre de la mise en conformité avec Solvabilité 2, un Comité des Risques a été créé au sein de l'entreprise de l'un de mes interlocuteurs il y a quelques mois (un Comité d'Audit existait déjà), animé par le Directeurs des Risques et de la Solvabilité, et évoquait des sujets tels que la gestion des risques, la tarification et le suivi de portefeuille. Cependant, le CTIP a demandé à cette entreprise de n'organiser qu'un Comité au lieu de ces deux Comités : le Comité d'Audit et des Risques a donc été créé, et il a du être constitué en partie d'experts. En effet, d'après l'ordonnance du 8 décembre 2008, les entreprises peuvent faire appel à des experts dans tous les Comités (mis à part le Conseil d'Administration). Le Conseil d'Administration s'entoure donc de Comités, « émanations » du Conseil d'Administration, qui sont chargés d'approfondir certains sujets. Par exemple, le Comité d'Audit et des Risques dispose de plus de temps que le Conseil d'Administration pour étudier certains sujets, et peut faire appel à des experts externes.

Ce plus grand pouvoir de décision donné aux Conseils d'Administration ne semble donc pas être totalement positif, puisque les administrateurs ne sont pas des spécialistes de ces sujets souvent très techniques, même s'ils connaissent bien l'entreprise et ses enjeux. Ainsi, aux Conseils d'Administration s'ajoutent des « émanations » des Conseils d'Administration, chargés d'étudier plus en détail et de façon plus experte certains sujets. Or si les administrateurs délèguent de plus en plus leurs responsabilités, cela peut signifier qu'ils suivent de moins près les sujets qui les concernent, alors qu'à la base, un des buts de Solvabilité 2 est justement de permettre aux instances dirigeantes de mieux « gouverner » et d'effectuer un meilleur suivi des sujets importants

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

51/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

comme la maîtrise des risques. Ainsi, il y a aujourd'hui un risque que Solvabilité 2 aboutisse à un résultat inverse au résultat souhaité, en ne permettant pas au Conseil d'Administration d'effectuer un véritable suivi de la maîtrise des risques.

4/ Problème de gouvernance propre aux Groupes de Protection Sociale

Comme nous l'avons vu, Solvabilité 2 met l'administrateur au centre du système de pilotage des risques. Cela se traduit par plusieurs rapports traitant de la gestion des risques à destination du Conseil d'Administration. Par exemple, il faudra présenter au Conseil d'Administration la politique de management des risques, puis un vote sera censé représenter la position du Conseil d'Administration vis-à-vis de cette politique. Les rapports que l'on présente au Conseil d'Administration doivent définir en détail toute la gestion des risques, la politique de gestion de ces risques, le pilotage, etc. Le Conseil d'Administration a donc de nouvelles responsabilités puisqu'il est situé en haut de la pyramide de gouvernance des risques, et doit en valider tout le dispositif.

Pour les sociétés d'assurance, qui sont des sociétés privées, cela ne pose pas de problème. En revanche, les Groupes de Protection Sociale (comme Novalis ou Réunica par exemple) sont des groupes « paritaires », ce qui signifie que les administrateurs sont constitués de syndicalistes (représentants du personnel) à 50%. On peut penser que ces administrateurs n'ont pas les compétences nécessaires pour apporter un jugement pertinent sur un sujet comme la gestion des risques, car ils ne sont pas formés pour traiter un sujet comme celui-ci. Mais la question qui se pose est : est-ce vraiment raisonnable de les former ? En effet, des sujets très techniques comme l'ORSA, l'actuariat ou encore la gestion des fonds propres demanderaient des formations vastes et longues, avant d'être pleinement maîtrisés.

En résumé, cet aspect de Solvabilité 2 ne pose pas de problème pour les sociétés privées, mais en ce qui concerne les groupes paritaires, l'un de mes interlocuteurs m'a indiqué que les dispositions de Solvabilité 2 en ce qui concerne le rôle des administrateurs représentent un choc de culture, car ces groupes ne sont pas familiers avec ce concept de pouvoirs importants confiés au Conseil, et aux « pratiques » qui en découlent. Par exemple, au sein des sociétés privées, il y a couramment des échanges entre les Directeurs présents dans les Conseils d'Administration, afin de se rendre service mutuellement, ce qui est différent au sein des groupes paritaires car le Conseil d'Administration est constitué à 50% de représentants des salariés et est à 50% patronal.

Il est donc légitime de se demander si cette évolution vers un plus grand pouvoir confié aux Conseils d'Administration est vraiment positive pour les entreprises, notamment pour les Groupes de Protection Sociale, ou si elle n'est qu'une « façade ».

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

52/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

5/ Questionnement sur l’indépendance de la fonction Risk Management

Après la mise en conformité avec les exigences de Solvabilité 2, les Directions des Risques seront désormais rattachées à la Direction Générale, après avoir été longtemps rattachées aux Directions Financières. Ce rattachement aux Directions Financières pouvait s'expliquer par le fait qu'au sein des assurances, la vision des risques est souvent très financière.

Or, après la mise en conformité avec la directive, les Directions des Risques seront rattachées à la Direction Générale, ce qui est logique puisque Solvabilité 2 demande à l'entreprise et au Risk Management d'adopter une vision beaucoup plus large des risques. De plus, cela devrait permettre un reporting plus direct.

Les risques pris en compte seront plus larges, ce qui est positif ; cependant, les services Risk Management seront dorénavant plus proches de la stratégie. On peut donc supposer qu'il y a un risque d'instrumentalisation du Risk Management par la Direction à des fins stratégiques. Il faut cependant préciser que ce changement concernant le rattachement des services Risk Management à la Direction Générale n'est pas rendu obligatoire par Solvabilité 2.

6/ Disparition des économies d’échelle ?

Enfin, on peut supposer que la séparation obligatoire des services Risk Management, Contrôle Interne et Audit Interne peut entraîner une perte de proximité entre les services ainsi qu'une disparition des « économies d’échelle » qui pouvaient exister du fait de la collaboration entre ces services. Cela est dommageable car il est logique que le Contrôle Interne et le Risk Management aient des préoccupations similaires (détection des risques, détermination d'actions visant à réduire ces risques etc.), par exemple.

Désormais, ces fonctions continueront à exercer des tâches assez similaires mais devront le faire de façon séparée. Or si ces fonctions travaillent « chacune de leur côté » et sans se concerter, il y a un risque qu'elles ne soient pas efficaces : certaines zones de risques ou certains contrôles pourraient être mal identifiées, ce qui pourrait avoir de graves conséquences pour l'entreprise, à terme.

Il sera donc important de définir clairement les périmètres de chaque service avant de procéder à leur séparation, puis de créer de nouvelles instances de coordination une fois les services séparés. Des comités de coordination Audit Interne/Contrôle Interne sont organisés au sein de l'entreprise de l'un de mes interlocuteurs par exemple. Un second interlocuteur n'est cependant pas d'accord avec l'idée de disparition des « économies d'échelle » venant de la séparation des services, car selon lui, les fonctions concernées et leurs préoccupations sont trop différentes, surtout au sein des grandes structures.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

53/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Synthèse sur le Risk Management

Afin de mieux gérer les risques, Solvabilité 2 demande donc aux entreprises de mettre en place un dispositif de gestion des risques efficace, allant au-delà de la quantification et des contrôles. Les aspects organisationnels et la responsabilisation des acteurs deviennent par exemple des éléments essentiels de la gestion des risques. La question du pilotage et de la gouvernance est également de première importance.

Concernant le Risk Management, le point le plus important de la directive concerne la création (ou le renforcement) d'un système de gestion des risques, et donc d'un service Risk Management. Ce système de gestion des risques devra être intégré à la structure organisationnelle de l'entreprise et constituer un dispositif d'identification, d'évaluation et de gestion des risques. Le service Risk Management devra apporter son expertise au Conseil d'Administration et à la Direction en ce qui concerne la gestion des risques et prendre en charge le système de gestion des risques. Les grands groupes auront logiquement plus de facilités pour répondre aux exigences de la directive, d'autant plus que la directive provoque des changements relativement faibles dans ces entreprises, qui sont déjà avancées dans le domaine de la Gestion des Risques. En revanche, certaines petites entreprises vont devoir créer une fonction Risk Management, ce qui aura un coût financier élevé (création, organisation, structuration de la fonction etc.). Il faudra également lui assigner des collaborateurs, ce qui aura un coût supplémentaire. Enfin, la création d'un nouveau service et d'une nouvelle fonction aura un impact fort sur l'organisation toute entière de l'entreprise.

En plus de ce changement principal, la directive comprend d'autres exigences : ainsi, la fonction Risk Management devra disposer d'une véritable stratégie de gestion des risques, d'un dispositif de maîtrise des risques, et des cartographies des processus et des risques financiers, stratégiques et surtout opérationnels. Le CEIOPS a recommandé de mettre en place une échelle de cotation des niveaux de risques à cinq niveaux, en termes de probabilité et d'impact, afin de classer ces risques. Cette fonction devra ainsi identifier et mesurer les risques, puis les gérer, c'est-à-dire les prendre en compte dans la stratégie de l'entreprise.

De plus, le volet ORSA est un élément-clé de la directive : il constitue un outil de gestion des risques spécifique à Solvabilité 2 ainsi qu'un processus interne faisant partie des décisions stratégiques de l'entreprise. Il doit permettre de démontrer que les risques de l'entreprise sont identifiés et quantifiés de façon adéquate. L'évaluation interne du risque doit aussi permettre d'ajuster l'adéquation entre les fonds propres et les exigences de capital calculées dans le cadre du pilier 1, et d'identifier les mesures de risques dans le modèle interne ou dans la formule standard qui s'écartent trop de la réalité. Le but principal est donc d'aider les entreprises à déterminer la valeur réelle de leurs fonds propres nécessaires pour répondre à leurs engagements. Ce document permet de déterminer le niveau de fonds propres disponibles, en intégrant l'ensemble des risques, et permettra aux Conseils d'Administration de juger la pertinence de la stratégie adoptée et d'en mesurer les conséquences à terme. Globalement, l'ORSA devra donc comprendre une cartographie exhaustive des risques,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

54/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

une stratégie de gestion des risques, et un suivi permanent de l'activité. Il conduit donc à un renforcement de la gestion des risques de l'entreprise, et sera logiquement plus facile à mettre en œuvre pour les entreprises qui disposent déjà d'une fonction Risk Management. Pour les entreprises qui ne disposent pas d'un service Risk Management et qui sont peu familières avec les méthodes et outils servant à gérer les risques, l'ORSA représente un changement majeur, et sera très complexe et long à mettre en œuvre.

L'entreprise devra également disposer d'un système de gouvernance adapté à la nature et la taille de l'activité, disposer de procédures détaillées couvrant l'ensemble des activités, et élaborer des politiques sur la gestion des risques, le Contrôle Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer d'un système de gouvernance efficace. Solvabilité 2 s'accompagne d'une forte augmentation des pouvoirs confiés aux organes de gouvernance que sont le Conseil d'Administration et les Comités « émanations » du Conseil d'Administration. Pour les grandes structures, Solvabilité 2 ne va donc demander qu’une phase d’adaptation, mais pour les petites structures, Solvabilité 2 est quasiment une révolution en raison notamment de la création des Comités spécialisés (Comités d'Audit, Comités des Risques etc.).

Globalement, l'application des exigences de la directive devrait entraîner une amélioration de la maîtrise des risques, ce qui est positif, d'autant plus que la directive entraîne aussi un meilleur suivi des risques par le Conseil d'Administration, en mettant l'administrateur au centre du système de pilotage des risques et en demandant une forte implication du Conseil d'Administration. Le changement majeur entraîné par la directive pour la fonction Risk Management est que celle-ci va avoir une contribution beaucoup plus significative dans la prise de décision et va avoir plus de responsabilités, ce qui est positif, toujours dans une optique d'amélioration de la maîtrise des risques. Enfin, la séparation des services Risk Management, Contrôle Interne et Audit Interne entraînée par la directive va permettre de clarifier les rôles de chacune de ces fonctions, et pourra être bénéfique pour le Risk Management en permettant à chacune de ces fonctions d'avoir un périmètre et un rôle spécifiques et donc d'être en théorie plus efficaces.

Cependant, l'impact financier élevé que demande la création d'un service dédié au Risk Management constitue un premier point négatif pour les entreprises. D'autant que la redéfinition des périmètres des services entraîne également une charge financière et une charge en termes de temps de travail. Ce problème concerne en priorité les petits groupes puisque les grands groupes disposent d'ores-et-déjà d'un service dédié au Risk Management.

De plus, la masse de reporting est en forte évolution avec la directive Solvabilité 2, ce qui entraîne la formalisation de nombreux nouveaux livrables à présenter au Conseil d'Administration. Or, les administrateurs n'étant pas des spécialistes de ces sujets, ils devront être formés afin de leur donner les moyens de porter un jugement pertinent sur les sujets qui leur sont présentés. Ce problème est d'autant plus important pour les Groupes de Protection Sociale. Il faudra aussi veiller à ce que la présence des Comités « spécialisés » comme le Comité d'Audit ou le Comité des Risques n'entraîne pas un suivi moindre des sujets concernant le Risk

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

55/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Management par les administrateurs, qui délègueraient de plus en plus de responsabilités à ces Comités et suivraient donc de moins près les sujets qui les concernent.

Enfin, au niveau de l'organisation des services Risk Management, on constate que ces services seront désormais plus proches de la stratégie, ce qui entraîne un risque d'instrumentalisation du Risk Management par la Direction à des fins stratégiques. De plus, on peut supposer que la séparation des services Risk Management, Contrôle Interne et Audit Interne demandée par la directive entraîne une disparition des « économies d’échelle » qui pouvaient exister du fait de la collaboration entre ces services, ce qui est dommageable car ces services ont des préoccupations similaires.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

56/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Partie 3 : les impacts du pilier 2 sur le Contrôle Interne

A/ Les articles fondamentaux et leur traduction

1/ Article consacré au Contrôle Interne (article 46)

L'article consacré au Contrôle Interne est le suivant :

« 1. Les entreprises d'assurance et de réassurance disposent d'un système de contrôle interne efficace. Ce système comprend au

minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d'information

prudentielle à tous les niveaux de l'entreprise et une fonction de conformité.

2. Dans le cadre de cette fonction de conformité, l'organe d'administration ou de gestion est conseillé sur le respect des dispositions

législatives, réglementaires et administratives adoptées en vertu de la présente directive. La fonction de conformité comprend

également l'évaluation de l'impact possible de tout changement de l'environnement législatif sur les opérations de l'entreprise

concernée, ainsi que l'identification et l'évaluation du risque de conformité. »

Ainsi, d'après la directive, les « Issue Papers » du CEIOPS (voir annexe 7), et les informations obtenues au cours de mes entretiens, les changements majeurs entraînés par la directive au niveau du Contrôle Interne sont les suivants :

2/ Existence obligatoire d'une fonction Contrôle Interne

Cet article indique qu'une fonction Contrôle Interne (ou « contrôle permanent ») doit exister au sein de l'entreprise (voir lexique). Si cela n'est pas le cas, la directive entraîne donc la création d'un système de contrôle permanent, sans toutefois donner de détails très précis. Le but de cette fonction doit être de contribuer à atteindre les objectifs définis par la stratégie, en minimisant les risques, et les objectifs de cette fonction tels que définis par le CEIOPS rappellent fortement la définition du COSO, en ce qui concerne par exemple la réalisation et l’optimisation des opérations, la fiabilité des informations, le respect des réglementations, etc. (voir définition du COSO dans le lexique).

Les entreprises doivent donc disposer d'un service Contrôle Interne indépendant et donc détaché de toute autre fonction (y compris le Risk Management et l'Audit Interne), un dispositif permanent de Contrôle Interne en place ainsi qu'une politique de Contrôle Interne et des contrôles efficaces et efficients permettant de couvrir les risques. En effet, l'article reste vague mais définit des concepts généraux qui concernent en fait le dispositif de Contrôle Interne dans sa globalité, ce qui entraîne les obligations suivantes pour l'entreprise :

-se conformer à un cadre de référence (comme le référentiel COSO ou le référentiel de l'AMF), -obligation d'avoir des procédures, des règles et une stratégie de Contrôle Interne, -obligation d'effectuer des contrôles de 1 er et de 2 ème niveau, les contrôles de niveau 1 étant les contrôles réalisés par les opérationnels ou les Responsables d'Équipe (mis en place en collaboration avec le service Contrôle

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

57/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Interne afin de déterminer les points de contrôle les plus pertinents), tandis que les contrôles de niveau 2 représentent le contrôle permanent et sont effectués par le service Contrôle Interne sur un échantillon de dossiers déjà contrôlés par les opérationnels, par exemple, afin de s'assurer que les contrôles de niveau 1 ont été correctement réalisés, -effectuer un suivi des plans d’amélioration du Contrôle Interne des fonctions support, -mettre en place des tableaux de bord, -mettre en œuvre le principe de séparation des tâches, -transmettre régulièrement des rapports sur les résultats du Contrôle Interne (fragilités, incidents) au management, -rédiger un rapport sur le Contrôle Interne. Les Conseils d'Administration devront approuver au moins annuellement ce rapport sur le Contrôle Interne, qui sera ensuite transmis à l'ACP. Ce rapport devra fixer les lignes directrices de la politique de placement concernant notamment les modalités de choix des intermédiaires financiers et la qualité des actifs. Il devra aussi présenter le Conseil d'Administration, décrire l'organisation et le dispositif de Contrôle Interne, et enfin la mise en œuvre du Contrôle Interne (maîtrise et gestion des risques, contrôle permanent, sécurité financière, veille juridique et réglementaire). L'objectif de ce rapport est donc de démontrer à l'autorité de contrôle que les méthodes de contrôle employées sont adéquates et adaptées à l'activité et aux risques de l'entreprise. -la Direction Générale devra approuver une stratégie de Contrôle Interne et maintenir un système de C ontrôle Interne adéquat et efficace, mener l’implémentation de mesures de contrôles préventifs, créer une culture d’entreprise permettant de démontrer l’importance du Contrôle Interne à tous les niveaux de l’entreprise, initier le développement, l’implémentation et le maintien du Contrôle Interne, en cohérence avec la stratégie établie, et assurer l’efficacité des contrôles, -créer ou renforcer une fonction Conformité (voir partie 4), -effectuer un reporting sur le Contrôle Interne (déficiences, plans d’actions…).

Le Contrôle Interne évoqué ici concerne surtout la gestion des risques opérationnels, car il doit porter en priorité sur ces risques, d'après Solvabilité 2. Cela doit être un dispositif permanent de Contrôle Interne, organisé, mis en place et dirigé par la fonction Contrôle Interne, et impliquant la participation des collaborateurs à chaque niveau de l'organisation et à chaque étape des processus-clés des entreprises d'assurance. L’importance accordée à ce sujet par Solvabilité 2 s’explique par le fait qu’un dispositif de Contrôle Interne adapté et efficace est un facteur de la solvabilité d'une entreprise car il contribue à sécuriser ces opérations et à maîtriser les risques, notamment opérationnels. D'après le CEIOPS, ce système de Contrôle Interne devra être adapté à la taille et à la structure de l'organisme, dissocié des activités opérationnelles quotidiennes, basé sur des contrôles à tous les niveaux de l'organisation, et évalué régulièrement par l'Audit Interne (contrôle périodique).

Ainsi, pour les entreprises qui n'ont pas de fonction Contrôle Interne, la mise en conformité avec la directive implique de mettre en place une telle fonction, ce qui constitue un changement important et une charge de

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

58/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

travail élevée car en plus de la création d’un service dédié, ce chantier concerne l’entreprise dans sa globalité, à tous les niveaux, notamment à travers la mise en place des contrôles de premier et second niveau. Il entraîne donc une réorganisation de l’entreprise. Cependant, pour les entreprises qui disposent déjà d'une fonction ou d'un service Contrôle Interne, cet article n'entraîne pas de changements majeurs, et va surtout entraîner un renforcement des bonnes pratiques et des pratiques déjà mises en place au sein de ces entreprises ainsi que des restructurations, comme nous allons le voir.

3/ Renforcement global des bonnes pratiques

Les Directeurs que j'ai rencontrés travaillent majoritairement au sein de grands groupes : ainsi, ils m'ont expliqué que pour leurs entreprises, cet article n'entraîne pas de changements majeurs (en dehors de la fonction Conformité) car un système de Contrôle Interne est déjà mis en place et opérationnel au sein de leurs groupes. Pour eux, l'article ne fait quasiment que confirmer les bonnes pratiques.

Par exemple, l’un de mes interlocuteurs m'a indiqué que son entreprise a déjà beaucoup travaillé sur la partie « gestion des risques opérationnels », ce qui fait que Solvabilité 2 ne va pas entraîner une évolution énorme au niveau du Contrôle Interne. Il faudra simplement être plus efficace au niveau de la réalisation des contrôles, mais des contrôles trimestriels sont déjà effectués. En effet, au niveau de la Gestion Prévoyance, à l’issue des travaux menés sur la cartographie des risques, des contrôles trimestriels ont été mis en place : chaque trimestre, les services de gestion réalisent des contrôles en se basant sur une check-list préétablie des différents points de contrôle à analyser, puis en rendent compte en remplissant des fiches de contrôle sur un outil dédié. Les résultats sont captés dans un outil « business object » qui permet de générer des statistiques sur les anomalies trouvées, en émettant des requêtes informatiques. Les contrôleurs internes cherchent ensuite à comprendre pourquoi ces anomalies se sont produites, et mettent en œuvre les plans d’action pour que ces anomalies ne se reproduisent pas. De plus, un Comité des Risques est déjà organisé et évoque des sujets liés aux problématiques de Contrôle Interne.

Au sein de cette entreprise ont également été nommés des référents de Contrôle Interne, positionnés sur chaque site de gestion, qui correspondent à 8 représentations régionales. Ces référents effectuent une analyse locale des résultats des contrôles effectués par les opérationnels (contrôles de niveau 1), puis consolident ces résultats dans une note envoyée au Référent National de Contrôle Interne. Celui-ci va présenter ces résultats ainsi que les plans d’action proposés par les référents de Contrôle Interne au Comité des Risques. Ce Comité va alors valider ces plans d’action.

Cette entreprise a mis en place cette organisation à la fin de l’année 2009. Avant cette date, le service Contrôle Interne (composé de 2 personnes actuellement mais qui était auparavant constitué d’une seule personne) avait « en front » tous les responsables de service, c’est-à-dire 30 personnes. Comprendre les anomalies puis

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

59/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

proposer des plans d’action à mettre en place pour réduire ces anomalies représentait donc un travail trop imposant pour une seule (ou 2) personne(s).

Des représentants locaux de Contrôle Interne (qui sont des référents de Contrôle Interne, et qui ont également une mission qualité) ont donc été désignés, et l'entreprise a fait le choix de cette vision consolidée (avec la présence d'un Référent National de Contrôle Interne). Le Référent National conseille, donne des directives en termes de méthodologie, mais les référents de Contrôle Interne sont de plus en plus autonomes sur leurs travaux de Contrôle Interne et d’analyse des résultats. De plus, en ce moment, des travaux de mise à jour de la cartographie des risques sont menés. Auparavant, la Direction du Contrôle Interne s’en chargeait, mais la charge de travail est également trop importante pour seulement deux personnes : en ce moment, les référents régionaux de Contrôle Interne sont en train d’être formés à la cartographie des risques par le biais de groupes de travail, et vont se charger de la mise à jour de cette cartographie des risques.

Ainsi, le principal changement provoqué par Solvabilité 2 pour ce groupe en matière de Contrôle Interne est la nécessité d’étendre cette démarche aux Directions qui n’en bénéficient pas encore pour le moment (Direction du Développement, Direction Comptable et Financière dont la Direction Technique, etc.). Ainsi, la mise en conformité avec la directive ne provoque pas un changement énorme dans ce domaine car le système est déjà calibré. Il ne reste plus qu’à adopter une démarche d’extension du périmètre du Contrôle Interne, ce qui ne devrait pas poser de problèmes majeurs puisque le système est déjà en place. Cette situation avantageuse vient du fait que cette entreprise a mis en œuvre cette démarche avec un délai suffisant, et également parce que les exigences qualitatives du pilier 2 fixent des exigences mais laissent une marge de manœuvre importante aux entreprises.

Un second interlocuteur m'a expliqué que le Contrôle Interne fait d’ores-et-déjà l’objet d’un service dédié au sein de son groupe. Ses principales missions concernent la coordination centrale du dispositif de contrôle permanent, l’animation du dispositif et le reporting sur le Contrôle Interne (déficiences relevées, plans d’actions à mettre en place pour les améliorer…).

Concrètement, ce service met en place les procédures, les logigrammes (flow charts), et réalise les tableaux de contrôles en collaboration avec les opérationnels afin que ceux-ci puissent ensuite réaliser leurs contrôles de premier niveau. Les contrôleurs internes, positionnés sur chaque « secteur » de l'entreprise (prévoyance, santé etc.) sont, eux, en charge des contrôles de second niveau, qui consistent à vérifier que les contrôles de premier niveau ont été faits correctement (en sélectionnant un échantillon de dossiers et en refaisant les contrôles réalisés par les opérationnels). Les autres livrables sont les diverses règles et procédures de Contrôle Interne ainsi que le rapport annuel de Contrôle Interne à présenter au Conseil.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

60/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Les missions principales du département Contrôle Interne sont donc les suivantes :

-l'animation du dispositif de Contrôle Interne (diffusion des méthodologies applicables en matière de cartographie des risques, d’élaboration des plans de contrôle et de la base incidents, management fonctionnel du réseau de contrôleurs internes, suivi des plans d’amélioration du Contrôle Interne des fonctions support et coordination du contrôle de la sous-traitance (activités déléguées/externalisées) en lien avec les départements opérationnels,

-l'identification des contrôles « clés » au sein des processus métier en distinguant les contrôles manuels des contrôles automatisés, puis mise en place d’un dispositif de validation de ces contrôles « clés » et d’un suivi des plans de contrôle permanent, -la mise en œuvre d’une méthodologie de suivi et de mesure des risques opérationnels par l’analyse des incidents (risques avérés et quantifiables), et la fixation des modalités de fonctionnement d’une base incidents,

-la consolidation et le reporting (consolidation des résultats des contrôles et des plans d’amélioration du Contrôle Interne, réalisation du reporting auprès de la Direction Générale, du Comité d'Audit et des Risques et du Conseil d'Administration, élaboration des rapports sur le Contrôle Interne en collaboration avec le réseau des contrôleurs internes),

-la sécurité informatique (participation à l’élaboration de la politique sécurité du groupe, suivi des plans d’actions opérationnels et déclinaison de la politique sécurité, administration des outils de gestion des risques du groupe). L'accent est mis sur les risques informatiques, car les données constituent la ressource principale du métier

Au sein de cette entreprise, le département Contrôle Interne est rattaché à la Direction de la Performance, et travaille en étroite collaboration avec le département Qualité du groupe. Cette fonction centrale du dispositif de Contrôle Interne est appuyée par des acteurs définis dans la charte de Contrôle Interne, que sont les pilotes de processus, les Correspondants de Contrôle Interne, les cellules de Contrôle Interne, et les opérationnels. Ces mêmes acteurs doivent veiller au recensement et à l’évaluation des risques de leur périmètre d’activité, en veillant à intégrer les activités externalisées qui y sont rattachées. La directive ne provoque donc pas de changements à ce niveau pour cette entreprise car un dispositif très complet est déjà mis en place.

Enfin, un autre interlocuteur m'a expliqué qu'au sein de son entreprise, le dispositif de Contrôle Interne est composé de trois niveaux : le dispositif des opérationnels (contrôles de premier niveau réalisé par les opérationnels), le dispositif hiérarchique (Contrôle Interne réalisé par les Responsables d'équipes, les Directeurs d'une activité voire même le Contrôle de gestion), puis l'Audit Interne, qui constitue un contrôle périodique/ponctuel. Pour ce groupe, la directive ne provoque pas non plus de changements notables au niveau du Contrôle Interne. De même, au sein d’une autre entreprise, un dispositif de Contrôle Interne existe déjà :

Solvabilité 2 va donc seulement pousser à mieux l’organiser, à créer des structures organisationnelles, et à

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

61/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

renforcer les bonnes pratiques (procédures, contrôles de premier et second niveaux, correspondants de Contrôle Interne etc).

On constate donc que cet article n'entraîne pas de révolution dans le domaine du Contrôle Interne, puisqu'il rappelle surtout les bases. Ce système doit permettre de fournir une assurance sur la conformité avec les réglementations et le respect des politiques et procédures internes, la fiabilité des informations, l'adéquation des contrôles aux risques et leur efficacité. Il doit aussi garantir que les déficiences identifiées sont priorisées et traitées sans délai, ainsi que documenter et diffuser à l'ensemble du personnel les rôles et responsabilités, les procédures et les modes de reporting.

De même, les domaines d’intervention de la structure de Contrôle Interne, prévus par décret, n'entraînent pas de bouleversements majeurs : ces domaines sont les placements, la gestion actif/passif, la gestion des risques et le suivi de la gestion des sinistres, des filiales et des activités externalisées. Comme nous l’avons vu précédemment, la mise en œuvre concrète du Contrôle Interne est ensuite à déterminer l ibrement par chaque entreprise. On note tout de même que d'après une étude réalisée en 2010 par le cabinet Sinequa, en matière de Contrôle Interne, la mise en œuvre de Solvabilité 2 a amené les entreprises à revoir leur dispositif en termes de formalisation des activités de contrôle, d'adéquation avec la cartographie des risques, d'exploitation des résultats issus des activités de contrôle, et d'adaptation des plans de contrôle.

Cette partie de Solvabilité 2 va donc entraîner de grands changements uniquement au sein des entreprises qui sont en retard au niveau du Contrôle Interne, principalement les mutuelles et les petites Institutions de Prévoyance. En effet, cela ne sera pas un problème pour les grands groupes, d'autant que le métier des assureurs consiste à gérer le risque : c'est donc habituel pour eux. Cependant, pour les petites mutuelles, la mise en œuvre de l'article sera rendue difficile en raison de leur manque d’expérience dans le domaine du Contrôle Interne et du coût élevé de ces changements. D'autant que l'enjeu n'est pas toujours là, qu'il faut aussi évoluer au niveau des instances dirigeantes, et que les mutuelles sont moins habituées à gérer le risque.

Les autres entreprises vont plutôt devoir renforcer ou étendre leurs bonnes pratiques ainsi que déployer le Contrôle Interne à toute l'entreprise si ce n'est pas déjà fait. Cependant, la plupart des groupes l'ont anticipé, et il ne reste donc plus qu'à l'améliorer.

a

4/ Création d'une fonction Conformité

a

La directive impose également la création d’une fonction Conformité, qui doit être placée sous l'autorité de la Direction du Contrôle Interne, et lui accorde une importance particulière en l'incluant dans le système de gouvernance, puisqu'il est précisé dans la directive que « le système de gouvernance inclut la fonction de gestion des risques, la fonction actuarielle, la fonction d'audit interne et la fonction de conformité ».

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

62/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

La mise en place de cette fonction permanente de conformité a pour but de s'assurer que le groupe est en conformité avec les lois existantes (Tracfin, Informatiques & Libertés, etc.), et doit consister en une veille, somme des veilles existantes. Son existence s'explique par le fait qu'une des finalités du Contrôle Interne est d’assurer la conformité aux lois, règlements et politiques internes et externes.

La conformité, face au renforcement permanent du cadre législatif et réglementaire, est par définition le respect de l’ensemble des lois et règlements propres aux activités financières, bancaires et d’assurance, des normes et usages professionnels et des codes de conduite et procédures internes du groupe ; elle se compose de la conformité interne et de la conformité externe. La conformité externe est le respect de la réglementation

objective ; les comportements non-conformes définis à partir de textes externes (lois, réglementations

sont

susceptibles de sanctions judiciaires administratives et disciplinaires. La conformité interne est le respect des textes internes et déontologiques (normes, guides, chartes, codes de bonne conduite diffusés dans le groupe). Les comportements non-conformes sont également susceptibles de sanctions administratives et disciplinaires.

)

Elle consiste ainsi à s’assurer du respect des dispositions législatives, réglementaires et administratives régissant l’activité. Elle comprend également l’évaluation de l’impact possible de tout changement de l’environnement législatif sur les opérations de l’entreprise, et doit donc se tenir informé en permanence des évolutions de l’environnement externe, afin de mettre en place les plans d’action adéquats. Elle est aussi chargée d'élaborer une cartographie des risques de non-conformité et d'identifier les procédures et mesures internes nécessaires à l’application des lois et règlements, ainsi que les règles de bonne conduite et des principes de comportement fixés par les instances professionnelles et le groupe. Elle doit aussi contrôler le respect des règles et procédures de « conformité » (de manière centrale ou déléguée). Le « plan de conformité » (indiquant les activités de conformité à mettre en place pour s’assurer que tous les domaines significatifs de l’entreprise ont été couverts correctement) doit prendre en compte tous les domaines de l'activité qui peuvent être exposés au risque de non-conformité.

Au niveau du groupe, cette fonction doit être intégrée dans le système de Contrôle Interne et associée au contrôle permanent et à la gestion des risques, ce qui explique qu’elle soit évoquée ici. Elle doit toutefois posséder un statut approprié au sein de l’entreprise, afin de pouvoir communiquer de sa propre initiative avec n’importe quel membre du personnel, obtenir l'accès à n’importe quel dossier nécessaire à l’exécution de ses responsabilités, et signaler à la Direction tout problème majeur de conformité identifié.

J'ai pu constater au cours des entretiens que j'ai menés que la mise en place de cette fonction n'était pas chose aisée car elle constitue une nouveauté dans le monde de l'assurance, y compris pour les grands groupes, même si des fonctions similaires sont souvent mises en place au sein des grands groupes.

Ainsi, un premier interlocuteur m'a expliqué qu'au sein de son groupe, une fonction équivalente à la fonction

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

63/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Conformité a été créée en 2008. Cette fonction appelée « Officer Compliance » remplit les missions suivantes :

-donner aux documents l'autorisation de sortir ou non de l'entreprise (car certaines informations doivent obligatoirement figurer sur les documents liés aux assurances),

-respecter les mentions légales, et faire figurer des informations obligatoires sur les documents pré contractuels et contractuels (ex : note d’information, conditions générales),

-effectuer une validation juridique des documents pré contractuels et contractuels.

D’après ce Directeur, c'est une fonction très importante, mais nouvelle dans le monde des assurances, alors

qu'elle existe déjà dans d'autres secteurs. Elle s'apparente à une « veille », et contrôle que tous les documents qui sortent de cette entreprise sont bien conformes à la loi (Code des Assurances, Code de la Sécurité

Le premier problème est donc que cette fonction est difficile à appréhender car elle est de l'ordre du

juridique, alors que la Directive indique qu'elle doit faire partie du Contrôle Interne. Ainsi, au sein de cette entreprise, la directive va provoquer une réorganisation sur ce point, mais ne provoquera pas de changement fondamental dans les missions de ce service. De plus, la directive ne précise pas si ce doit être une fonction ou un processus, d’après cet interlocuteur.

Sociale

).

a

Un second interlocuteur m'a expliqué que son entreprise n'a pas encore complètement traité le sujet, mais qu'une fonction équivalente à cette fonction Conformité existe déjà au sein du département Juridique. Il reste donc du travail sur ce point, mais le responsable du Contrôle Interne pense que ce n'est pas à lui de s'en occuper, ce qui a retardé la mise en œuvre de ce projet. KPMG, dans son diagnostic de mise en conformité avec Solvabilité 2 visant à indiquer à l’entreprise les actions à accomplir afin de respecter la directive, a pourtant fait la proposition suivante : « la fonction de contrôle de conformité pourrait être assurée au travers du dispositif de Contrôle Interne, avec un rôle de coordination centrale assurée par le département Contrôle Interne et des relais existants au niveau des métiers et du Secrétariat Général - Juridique (veille juridique) », et a expliqué que ses missions seront les suivantes :

-élaboration d’une cartographie des risques de non-conformité et identification des procédures et mesures internes nécessaires à l’application des lois et règlements ainsi que les règles de bonne conduite et des principes de comportement fixés par les instances professionnelles et le groupe,

-assistance métier pour l’application des lois, règlements, procédures et normes internes,

-contrôle du respect des règles et procédures « conformité » (de manière centrale ou déléguée).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

64/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Ainsi, la Direction du Contrôle Interne de cette entreprise va sans doute se développer dans un futur proche et accueillir de nouveaux collaborateurs afin de mettre en place cette fonction, même si cela pose problème puisque qu'une fonction équivalente existe déjà au sein du département Juridique. Cette question n'a donc pas encore été totalement traitée au sein de cette entreprise, et devrait provoquer des changements importants en termes de réorganisation.

Un troisième interlocuteur m'a expliqué que cette fonction est déjà mise en place au sein de son entreprise, mais qu'aujourd’hui, le Contrôle Interne et la Direction Juridique s’en occupent. L'organisation n'est donc pas très claire et définie : la Direction Juridique s’occupe de la veille réglementaire et de la diffusion de l’information, et le Contrôle Interne s’occupe en particulier de la lutte anti-blanchiment et de la lutte contre la fraude. Pour être en conformité avec Solvabilité 2, il va être nécessaire de modifier et améliorer cette organisation. Il faudra également améliorer l'organisation de la diffusion de l’information réglementaire. Il y a actuellement un débat sur ce qui doit être modifié dans ce système, au sein de cette entreprise.

Un autre interlocuteur m'a précisé que cette fonction Conformité, qui consiste à s'assurer que l'entreprise respecte bien les diverses règles auxquelles elle est soumise, existait déjà au sein de son entreprise, mais qu'il a fallu la séparer du service Juridique afin de la « spécialiser » et donc de respecter les exigences de Solvabilité 2. D'autant qu'il y a de plus en plus de textes et d'exigences à respecter ; cette fonction aurait donc pris de l'importance même sans les dispositions de Solvabilité 2. Afin de respecter la directive, il a fallu consolider cette fonction et la placer au niveau de la Direction des Risques afin de la lier au Contrôle Interne, à l'Actuariat et au Risk Management. Cela permet de regrouper au sein d'une même structure ces fonctions, qui pourront fonctionner ensemble : des synergies pourront se mettre en place entre les services. Cette entreprise a donc décidé de ne pas attendre et d'adopter cette organisation dès aujourd'hui.

De même, un dernier interlocuteur m'a expliqué que son entreprise a d'ores-et-déjà mis en place une fonction Conformité. Les missions principales de la nouvelle fonction Conformité de ce groupe seront les suivantes :

-s'assurer que des veilles existent dans tous les domaines de l'entreprise. Par exemple, aujourd'hui, une veille existe au niveau de la Retraite mais pas au niveau de l'Assurance de Personnes et de la Comptabilité, par exemple. Les comptables suivent bien sûr l'évolution des lois, mais cela n'est pas réalisé de manière rigoureuse et formalisée. Ainsi, lorsque ces veilles n'existent pas, la Conformité devra s'en charger.

-s'assurer que des plans d'action sont mis en place afin d'aboutir à une conformité avec la loi, si cela n'est pas encore le cas. Ces plans d'action devront être validés par les Directeurs concernés ou les Directeurs Généraux Adjoints. Par exemple, en ce qui concerne la fiscalité des Institutions de Prévoyance, il faudra s'assurer que la Comptabilité a un plan d'action. De même, en ce qui concerne la troisième directive de lutte anti-blanchiment

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

65/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

(datant d'il y a trois ans), la fonction Conformité devra s'assurer que l'on y répond bien aujourd'hui, étant donné que cette fonction n'existait pas à l'époque.

Cette fonction Conformité sera donc proche du Contrôle Interne car elle devra réaliser des contrôles périodiques, mais également de l'Audit Interne, car elle sera amenée à collaborer avec les auditeurs pour certaines missions, et du département Juridique car elle fournira à ce département tous les documents, textes et lois auxquels est soumise l'entreprise. Elle devra également rédiger un rapport sur la Conformité qui présentera entre autres son activité ainsi que toutes les lois auxquelles est soumis le groupe. Globalement, d'après un interlocuteur, les missions principales de cette fonction consisteront à vérifier que les contrats vendus sont conformes à la loi, que les contrôles entrants et sortants concernant la lutte anti-blanchiment sont bien réalisés, et que la confidentialité des données (données médicales notamment) est respectée. Solvabilité 2 exige également que cette fonction dispose de cartographies des risques de non-conformité.

Ainsi, la mise en place de cette fonction représente une nouveauté dans le monde de l'assurance, ce qui la rend difficile à mettre en place. D'autant qu'elle est difficile à appréhender car de l'ordre du juridique. Ainsi, cette partie de Solvabilité 2 a été globalement assez peu travaillée par les entreprises pour le moment, notamment pour ce qui est des contrôles de second niveau. La veille et le déploiement des exigences réglementaires semblent avoir bénéficié de plus d'attention. Même au sein des entreprises qui ont déjà mis en place une fonction Conformité, celle-ci n'en est qu'à ses balbutiements.

Enfin, pour les entreprises qui disposent déjà de l'équivalent d'une telle fonction au sein d'un département Juridique, Solvabilité 2 entraîne une réorganisation puisque désormais, cette fonction devr a faire partie du département Contrôle Interne. Les entreprises devront donc commencer par formaliser le dispositif de contrôle

de conformité : description des procédures de contrôle de conformité (veille, nouvelles activités, réglementation,

définition du champ d’action du contrôle de la conformité et

des rôles et responsabilités en ce qui concerne la veille et le contrôle. Pour les entreprises qui ne disposent pas encore de cette fonction, il faudra commencer par définir un cadre et une méthodologie de contrôle de la conformité, puis mettre en œuvre la fonction en lui assignant des collaborateurs.

fiscalité, placements, lutte anti-blanchiment, etc

),

Cette exigence de Solvabilité 2 peut avoir un aspect contraignant à court terme, mais la mise en place d'une telle fonction ne peut être que bénéfique à l'entreprise sur le long terme, notamment dans un environnement aussi complexe (lois et réglementations à respecter de plus en plus nombreuses etc.). Cette fonction est d'autant plus importante qu'en cas de non respect des dispositions légales, réglementaires et des normes professionnelles/déontologiques, il y a un risque de « sanction judiciaire, administrative ou disciplinaire, d'atteinte à la réputation et de pertes financières », d'après l'ACP.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

66/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

5/ Renforcement du contrôle des délégataires

La directive entraîne également un renforcement du contrôle des sous-traitants (voir annexe 13 : représentation de la sous-traitance), au travers de l'article 49 :

« 1.

Les États membres veillent à ce que, lorsqu'elles sous-traitent des fonctions ou des activités d'assurance ou de réassurance, les

entreprises d'assurance et de réassurance conservent l'entière responsabilité du respect de l'ensemble des obligations qui leur

incombent en vertu de la présente directive.

2.

La sous-traitance d'activités ou de fonctions opérationnelles importantes ou critiques n'est pas effectuée d'une manière susceptible

d'entraîner l'une des conséquences suivantes:

a) nuire gravement à la qualité du système de gouvernance de l'entreprise concernée;

b) accroître indûment le risque opérationnel;

c) compromettre la capacité des autorités de contrôle de vérifier que l'entreprise concernée se conforme bien à ses

 

obligations;

 

d)

nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des preneurs.

3.

Les entreprises d'assurance et de réassurance informent en temps utile les autorités de contrôle de leur intention de sous-traiter des

activités ou des fonctions importantes ou critiques, puis de toute évolution importante concernant ces activités ou ces fonctions. »

Solvabilité 2 et la mesure d'application correspondante (voir annexe 7) précise donc qu'il est important de contrôler tous les délégataires et partenaires, et entraîne donc un renforcement de ces contrôles. Ainsi, la politique de sous-traitance doit faire l’objet d’un document écrit et approuvé par les instances dirigeantes de la société, et un dispositif de contrôle particulier doit être mis en place sur les activités déléguées/externalisées. L’assureur déléguant ne peut se prévaloir de l’existence d’un système de maîtrise des risques chez le délégataire pour ne pas procéder à ses propres contrôles : il doit maîtriser ses risques même lorsqu'il sous-traite une activité, ce qui est banal dans le monde de l'assurance.

D'après l'un de mes interlocuteurs, l'application de la directive entraîne pour l'entreprise un certain nombre d'obligations et d'interdictions :

-Le recours à la sous-traitance ne doit pas conduire à compromettre la qualité du système de gouvernance, accroître le risque opérationnel, compromettre le contrôle par les superviseurs de l’exécution des obligations de l’assureur, et nuire à la prestation continue d’un niveau de service satisfaisant à l’égard des clients. Outre les sanctions de droit commun, le constat d’un de ces éléments pourrait entraîner un « capital add-on » (pénalité imposée par l'ACP prenant la forme d'un supplément de capital ajouté au SCR calculé).

-De plus, l'entrée en affaire avec le sous-traitant devra faire l’objet d’étapes de contrôle documentées : audit des capacités du sous-traitant, vérification des ressources financières du sous-traitant, vérification de l'efficacité des systèmes de Risk Management et de Contrôle Interne du sous-traitant, vérifications de l'absence de conflits

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

67/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

d’intérêt, revue des contrats par les organismes de direction de l’assureur, etc. La procédure de sélection des sous-traitants doit donc être fortement renforcée et formalisée, comme l'indique en détail le texte du CEIOPS.

-Le contrat de sous-traitance doit contenir des clauses permettant de sécuriser l’activité par un suivi des risques et le maintien d’un système de contrôle satisfaisant : audits et contrôles permanents, revue des plans de continuité d’activité du sous-traitant, critères de confidentialité des données de l'entreprise à respecter notamment. L'entreprise doit donc connaître et maîtriser les risques de l'activité qu'elle sous-traite, en étant réellement impliquée dans le processus de contrôle de cette activité.

-Enfin, les entreprises doivent informer préalablement les autorités de contrôle de leur intention de sous-traiter des activités ou des fonctions importantes, et toute évolution importante ultérieure concernant ces fonctions ou ces activités doit également faire l’objet d’une information.

Pour les entreprises d'assurance, il va donc falloir renforcer les fonctions qui existent, comme le Contrôle Interne, afin de mieux contrôler leurs délégataires. Solvabilité 2 demande également un reporting sur ce sujet :

« pour assurer un contrôle efficace des fonctions ou des activités sous-traitées, il est essentiel que les autorités de contrôle de l'entreprise d'assurance sous-traitante aient accès à toutes les données pertinentes détenues par le prestataire du service externalisé, qu'il s'agisse d'une entité réglementée ou non, et puissent effectuer des inspections sur place ».

Solvabilité 2 demande donc à l'entreprise de maîtriser ses propres risques, mais considère à juste titre que l'entreprise est également responsable de ses risques lorsqu'elle a recours à des prestataires externes : le recours à la sous-traitance ne dégage pas une entreprise de ses responsabilités, et l'assureur doit maîtriser le processus sous-traité. Les assureurs doivent donc mesurer les risques supportés par les fonctions sous-traitées, en faire un rapport, et le présenter au Conseil d'Administration pour validation. Cela concerne aussi la sous- traitance à l'intérieur d'un même groupe : ainsi, pour l'un de mes interlocuteurs, le prestataire informatique de son groupe est aussi concerné.

Afin de maîtriser les activités déléguées, l'entreprise qui délègue ses activités doit mettre en place des contrats définissant les exigences en matière de réalisation des opérations, exiger la mise en place de dispositifs de maîtrise et de contrôle des risques sur les opérations déléguées, instaurer la mise en place de reporting adéquats, et prévoir des clauses d’audit sur les risques majeurs des opérations déléguées.

En effet, Solvabilité 2 demande de contrôler les sous-traitants de manière récurrente, en priorité sur des sujets porteurs de risques importants (par exemple, mettre en place un contrôle des sommes que versent les sous- traitants à l'entreprise). Ce contrôle fera ensuite l'objet d'un rapport, ou plutôt d'une « note » faisant partie du rapport sur le Contrôle Interne, qui sera présentée par le Contrôle Interne au Conseil d'Administration. Ce

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

68/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

contrôle doit être prévu dans le contrat passé entre l'entreprise et ses sous-traitants, qui doit évidemment préciser que l'entreprise a un droit de contrôle. Des « audits » périodiques seront donc effectués par la suite : le Contrôle Interne sera en charge de ces audits, voire les opérationnels eux-mêmes.

Au sein de l'entreprise de l'un de mes interlocuteurs, l'une des missions officielles du département Contrôle Interne est d'ores-et-déjà la coordination du contrôle de la sous-traitance, en lien avec les départements opérationnels. Les pilotes de processus, les Correspondants de Contrôle Interne, les cellules de Contrôle Interne et les opérationnels doivent veiller au recensement et à l’évaluation des risques de leur périmètre d’activité, en veillant à intégrer les activités externalisées qui y sont rattachées. Le département Contrôle Interne est ensuite chargé de réaliser un « audit » du délégataire, qui se déroule quasiment de la même façon qu'une mission d'audit « classique » :

-envoi d'une lettre de mission au délégataire quelques semaines avant l'audit, -préparation de la mission en regroupant les documents internes, -demande effectuée auprès du délégataire afin d'obtenir la documentation relative à son dispositif de Contrôle Interne, -analyse des informations recueillies, -réalisation de l'audit « sur place » à partir des éléments recueillis pendant la phase de préparation, -animation du débat contradictoire chez le délégataire concerné, -rédaction du rapport d'audit et de la lettre de fin de mission, -envoi du rapport au délégataire pour validation, -par la suite, réalisation d'un suivi trimestriel des actions mises en place par le délégataire suite aux recommandations formulées.

Ce ne sera donc pas à l'Audit Interne de se charger de ce contrôle des sous-traitants, mais l'Audit pourra éventuellement contrôler le dispositif de contrôle des sous-traitants afin de s'assurer qu'il est bien mis en place. En effet, même si le contrôle des délégataires n'est pas du ressort de l'Audit Interne, les auditeurs pourront s'assurer au cours d'une mission que les équipes et le département Contrôle Interne contrôlent correctement le(s) délégataire(s) de l'entreprise.

Un autre interlocuteur m'a expliqué que le contrôle des délégataires est déjà mis en place dans son entreprise, et qu'il est piloté directement par les services concernés. Il existe également un service dédié au pilotage des délégataires, rattaché à la Direction Générale, qui est chargé de s’assurer que les délégataires ont mis en place un dispositif de Contrôle Interne conforme aux attentes de l'entreprise. Ce service existe depuis 6 ans. L’Audit Interne peut être amené à auditer ce sujet, et un audit du contrôle des délégataires a déjà eu lieu au sein de cette entreprise, mission au cours de laquelle les auditeurs sont allés rencontrer deux délégataires (sur quarante).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

69/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Afin de se mettre en conformité avec ce point de la directive, les entreprises devront commencer par mettre en œuvre les actions suivantes :

-Recenser le périmètre de la sous-traitance : identification des processus liés aux activités déléguées/ externalisées, réaliser une cartographie des protocoles existants (existence, validité etc.), -Identifier les risques liés aux activités déléguées/externalisées et les objectifs de pilotage et de maîtrise de ces activités (qualité, délais, exhaustivité, sécurité, conformité, etc.), -Évaluer les actions de maîtrise des risques existantes et définir des actions complémentaires à mettre en place si nécessaire afin de renforcer le contrôle des délégataires : actions de maîtrise mises en œuvre par le groupe (indicateurs de suivi, actions de contrôles/audit, etc.), actions de maîtrise partagées avec le partenaire (dont la mise en place de protocoles ou de conventions de partenariat), actions de maîtrise mises en œuvre par le partenaire (réalisation de contrôles, qualifications et assurances professionnelles, etc.), -Définir une politique de sous-traitance, -Mettre en œuvre les procédures de contrôles et effectuer un suivi des actions de maîtrise des risques et indicateurs de reporting.

Solvabilité 2 n'impose pas ce renforcement du contrôle des délégataires par hasard : en effet, l'une des spécificités du secteur de l'assurance est la gestion déléguée, et il est donc essentiel que l'entreprise maîtrise toutes ses activités, y compris celles qu'elle sous-traite. Il est donc rare qu'un tel contrôle ne soit pas déjà mis en place au sein des entreprises, même sous une forme rudimentaire, ce qui est positif. Si ce n'est pas fait, la directive impose de le mettre en place. Pour les entreprises qui effectuent déjà ce contrôle de leurs délégataires (c'est-à-dire une grande majorité d'entreprises), il va donc surtout falloir renforcer les contrôles déjà en place, notamment en termes de méthodologie (plus de formalisme et de reporting).

d

6/ Contrôle des dirigeants

L'article consacré aux exigences d'honorabilité et de compétence applicables aux personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-clés est l'article 42 :

« 1.

Les entreprises d'assurance et de réassurance veillent à ce que toutes les personnes qui dirigent effectivement l'entreprise ou qui

occupent d'autres fonctions-clés satisfassent en permanence aux exigences suivantes:

 

a)

leurs qualifications, connaissances et expérience professionnelles sont propres à permettre une gestion saine et

prudente (compétence);

b)

leur réputation et leur intégrité sont de bon niveau (honorabilité).

2.

Les entreprises d'assurance et de réassurance communiquent aux autorités de contrôle tout changement survenu dans l'identité des

personnes qui dirigent effectivement l'entreprise ou qui assument la responsabilité d'autres fonctions-clés, ainsi que toute

information nécessaire pour apprécier si toute personne nouvellement nommée à la direction de l'entreprise satisfait aux

exigences d'honorabilité et de compétence.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

70/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

3. Les entreprises d'assurance et de réassurance informent les autorités de contrôle du remplacement de toute personne visée aux

paragraphes 1 et 2, parce qu'elle ne remplissait plus les exigences énoncées au paragraphe 1. »

Ainsi, afin de respecter cet article et les mesures d'application correspondantes (voir annexe 7), des critères « Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise, et les responsables concernés seront désormais plus contrôlés. En effet, pour répondre aux obligations de Solvabilité 2, il convient de définir et répertorier ces fonctions-clés et les compétences requises afin de les exercer, formaliser des fiches de fonction, définir des critères de compétences, valider ces critères à l’appui de pièces justificatives (diplômes, formation, évaluation, etc.), et concernant l'honorabilité, un extrait de casier judiciaire sera systématiquement demandé par l’ACP pour les personnes occupant des fonctions-clés. Ainsi, il faudra notifier à l'autorité de contrôle tout changement de personnes dirigeant l'entreprise (Président du Conseil, Directeur Général) ou occupant une fonction-clé, ainsi que tous les éléments permettant d'apprécier leur honorabilité et leur compétence (CV, références, casier judiciaire etc.). Par ailleurs, il convient de prévoir un processus d’évaluation et de revue systématique du respect de ces critères.

Les fonctions-clés usuelles identifiées par la directive sont la Direction Générale, la Direction comptable et financière, le Contrôle de Gestion, la Direction technique (actuariat), le Risk Management, le Contrôle Interne et l'Audit Interne.

Ces exigences revues à la hausse concernant le contrôle des dirigeants s'expliquent par le fait que les compagnies d'assurance doivent être gérées de façon saine et prudente, et ce afin de mieux protéger les intérêts des assurés, ce qui est un des buts premiers de Solvabilité 2. À cet égard, il apparaît essentiel que les personnes occupant des postes-clés (les membres du Conseil d'Administration et de ses « émanations », le management, les principaux Directeurs) fassent preuve de compétence et ne constituent pas un risque pour les intérêts de l'entreprise, par exemple par le biais de conflits d'intérêts ou d'une activité criminelle. Les exigences de Solvabilité 2 concernant le contrôle des dirigeants vont donc concerner l'aptitude et la probité des membres du Conseil et des personnes qui occupent des postes-clés de gestion, et l'autorité de contrôle va contrôler ces points. Les entreprises devront donc démontrer que ces personnes sont qualifiées et compétentes et que le Conseil a suffisamment de connaissances et de compétences pour exercer un contrôle efficace ainsi qu’une véritable analyse et une remise en question des décisions de la Direction.

Pour exemple, l'un de mes interlocuteurs m'a précisé que pour son entreprise, les CV des « personnes-clés » que sont le Directeur de l'Audit Interne, le Directeur des Risques, le Directeur du Contrôle Interne, et le Directeur Général vont être envoyés à l’autorité de contrôle, qui va également vérifier s'ils ont un casier judiciaire vierge. Ainsi, les « personnes-clés » devront satisfaire des exigences en termes de compétence (qualifications, connaissances, expériences professionnelles propres à permettre une gestion saine et prudente de l'activité) et d'honorabilité (réputation et intégrité). Tous ces critères seront analysés par l'ACP.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

71/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Il faut préciser que l’ACP intervient d’ores-et-déjà au sein des entreprises afin d’analyser leur système de gouvernance : ce renforcement du contrôle des dirigeants n’est pas une révolution mais plutôt une version plus poussée et plus formalisée d’un contrôle qui existe déjà. Ce changement est sans doute positif car les grandes assurances gèrent de très nombreux clients et des capitaux élevés : il apparaît donc logique d’obtenir l’assurance que les dirigeants de ces entreprises sont compétents et peuvent assumer leurs responsabilités.

On peut cependant émettre des réserves sur cette nouveauté puisqu'il apparaît difficile de véritablement juger ces critères de façon objective. Que signifient par exemple une intégrité et une réputation « de bon niveau » ? Comment l’ACP peut-elle s’assurer que leurs qualifications sont « propres à permettre une gestion saine et prudente » ? Ces éléments apparaissent difficiles à juger, et il y a donc un risque que ce renforcement du contrôle des dirigeants ne soit qu’un changement de façade et n’ait pas vraiment de fond.

De plus, si l’on comprend la nécessité d’un tel contrôle pour les grands groupes, on peut remettre en question sa pertinence pour les petites entreprises, qui seront pourtant également soumises à cette obligation.

Néanmoins, l’existence de ce contrôle témoigne de l'intérêt accordé par la directive aux dirigeants de l'entreprise, et met en évidence le fait que les dirigeants ont un grand rôle à jouer dans la bonne gestion de l'activité.

7/ Pas de changements majeurs ?

Le Contrôle Interne, le contrôle des sous-traitants ainsi qu’un équivalent de la fonction Conformité existent déjà dans la plupart des entreprises. Sur ces points, la directive ne fait donc que confirmer et renforcer ce qui existe déjà. De plus, des évolutions réglementaires (notamment la loi sur la Sécurité Financière de 2003, le décret du 19 mai 2008 sur le Contrôle Interne et la loi du 3 juillet 2008) qui ont eu lieu avant Solvabilité 2 allaient déjà dans le même sens.

Solvabilité 2 n'entraîne donc pas de révolutions dans le domaine du Contrôle Interne. Par exemple, la loi Sarbanes-Oxley, en 2002, entraînait déjà l'obligation pour les sociétés cotées de mettre en place un système de Contrôle Interne s'appuyant sur un cadre conceptuel comme le COSO. Cependant, cette loi ne s’applique pas

en Europe mais uniquement aux États-Unis.

De plus, le rapport sur le Contrôle Interne à présenter au Conseil d'Administration pour validation vient à l'origine de la LSF (1 er Août 2003), et pas de Solvabilité 2. La LSF a en effet instauré le rapport du Président du Conseil

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

72/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

d'Administration décrivant le gouvernement d'entreprise et le dispositif de Contrôle Interne, afin d'informer les actionnaires et le marché sur ces sujets.

De même, en France, en 2006, la mise en place d'un dispositif permanent de Contrôle Interne a été rendue obligatoire pour les entreprises d'assurance par le décret du 13 mars. Ce décret prévoyait également les domaines d'intervention de ce dispositif de Contrôle Interne (placements, gestion actif/passif, gestion des risques, suivi de la gestion des sinistres, des filiales et des activités externalisées). De plus, ce décret évoquait aussi le rapport sur le Contrôle Interne à soumettre annuellement pour approbation au Conseil d'Administration, en allant plus loin que la LSF et en précisant de manière détaillée le contenu de ce rapport. L'entreprise doit notamment y décrire les procédures et dispositifs permettant de gérer les risques liés aux engagements de l'entreprise, les procédures permettant de vérifier que les activités de l'entreprise sont menées selon les stratégies établies par la direction et sont conformes aux dispositions réglementaires, les procédures de Contrôle Interne mises en place, et la conformité des opérations d'assurance à la réglementation et aux orientations internes à l'entreprise.

Concernant le service Contrôle Interne en lui-même, ce rapport doit préciser ses objectifs, la méthodologie employée, le positionnement hiérarchique de la structure, son organisation, les compétences et l'expérience des équipes. Ce rapport va donc au-delà des informations financières et comptables en instaurant une dimension qualitative dans la gestion des risques. En ce sens, ce décret peut être vu a posteriori comme une opportunité pour se préparer aux exigences du pilier 2 de Solvabilité 2, d'autant plus que les domaines d'intervention du dispositif de Contrôle Interne prévus par ce décret correspondent aux domaines d'application prévus par Solvabilité 2.

Puis en 2008, la mise en place d'un dispositif permanent de Contrôle Interne est aussi devenue une obligation pour les Institutions de Prévoyance et les mutuelles.

En effet, le décret du 19 mai 2008 relatif au Contrôle Interne des Institutions de Prévoyance et des mutuelles indiquait l'obligation pour celles-ci de mettre en place un dispositif permanent de Contrôle Interne mais précisait également que le Conseil d'Administration doit approuver, au moins annuellement, un rapport sur le Contrôle Interne, qui est transmis à l'Autorité de contrôle des assurances et des mutuelles, l’ACP. Le décret détaille aussi le contenu de ce rapport, qui doit évoquer les sujets suivants : objectifs, méthodologie, position et organisation générale du Contrôle Interne au sein de l’entreprise, mesures prises pour assurer l'indépendance et l'efficacité du Contrôle Interne, procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les risques etc., et doit être divisé en deux parties (« description des conditions de préparation et d’organisation du Conseil d’Administration » et « présentation du Contrôle Interne et des mesures prises pour en assurer

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

73/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

l’indépendance et l’efficacité »).

L'objectif de ces décrets était donc déjà de maîtriser l’ensemble des opérations concourant à l’activité et porteuses de risques :

-la gouvernance, avec les différentes instances, -l'organisation générale du Contrôle Interne, -les procédures liées à la conformité des opérations d’assurance aux dispositions législatives et réglementaires, -le domaine des placements et la gestion actif-passif, -les procédures relatives aux risques gérés et à l'information financière et comptable, -les procédures de gestion (en particulier pour la gestion externalisée). Cela montre donc que Solvabilité 2 n'a rien d'une révolution en ce qui concerne le Contrôle Interne et ne fait que renforcer ce qui existait déjà.

D'autre part, une recommandation du CTIP de 2008 sur le rôle du Conseil d’Administration des Institutions de Prévoyance en matière de Contrôle Interne précise les modalités de mise en œuvre du Contrôle Interne dans les Institutions de Prévoyance tel qu’institué par le décret du 19 mai 2008, et plus spécifiquement le rôle dévolu au Conseil d’Administration sur ce sujet.

Cette recommandation rappelle que l'entreprise est tenue de mettre en place un dispositif permanent de Contrôle Interne, puis rappelle les fonctions principales du Conseil d’Administration (assurer le suivi de l’efficacité du système de Contrôle Interne et de la gestion des risques etc.), et précise que l’entreprise doit soumettre annuellement un rapport sur le Contrôle Interne à l’approbation du Conseil d’Administration. Ce rapport décrit notamment les procédures de Contrôle Interne mises en place, ainsi que leurs objectifs, en insistant notamment sur :

-le contrôle interne des placements, -la conformité des opérations d’assurance à la réglementation et aux orientations internes à l’entreprise, -les risques liés aux engagements de l’entreprise, -les risques liés aux filiales, aux activités externalisées et aux modes de commercialisation, ainsi que les procédures d’élaboration et de vérification de l’information financière et comptable.

Par la suite, la loi du 3 juillet 2008 (transposition des quatrième et septième directives européennes) a complété le rapport LSF et a entraîné l'obligation pour les entreprises de se conformer à un cadre de référence de Contrôle Interne comme le COSO ou le référentiel de l'AMF, qui doivent donc faire référence à un code de gouvernement d'entreprise dans leur rapport LSF. Si elles ne le font pas, elles doivent le justifier. De plus, cette loi modifie le rapport LSF en demandant aux entreprises de réaliser une description de leur dispositif de gestion des risques, en plus du dispositif de Contrôle Interne. Cette loi concerne cependant uniquement les sociétés faisant appel public à l'épargne.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

74/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Enfin, en ce qui concerne la Conformité, d'après le décret du 13 mars 2006 relatif au Contrôle Interne des entreprises d’assurance, le rapport annuel doit détailler les procédures permettant de vérifier la conformité des opérations d’assurance aux dispositions législatives et réglementaires.

Ainsi, la directive Solvabilité 2 ne fait globalement que rappeler et renforcer ce qui existe déjà sur tous ces points, en allant dans le sens des dernières réformes françaises ayant pour but de renforcer les mécanismes de Contrôle Interne et la gouvernance. D'autant que les Groupes de Protection Sociale reçoivent régulièrement des instructions et des recommandations provenant du CTIP ou des fédérations Agirc-Arrco en matière de Contrôle Interne et de maîtrise des risques.

L'intérêt principal de Solvabilité 2 en ce qui concerne le Contrôle Interne vient donc du fait que cette directive doit être appliquée par toutes les assurances, Institutions de Prévoyance et mutuelles, dans tous les pays européens, et qu'elle dépasse donc le droit national et les particularités de chaque entreprise. Elle se base donc, sur certains points, sur des lois qui l'ont précédée, afin de les globaliser à l'ensemble des pays européens et de diffuser les bonnes pratiques. Ceci est un des aspects positifs principaux de la directive.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

75/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrôle Interne

1/ Généralisation du Contrôle Interne

Afin de respecter les exigences de la directive, toutes les compagnies d'assurance, Institutions de Prévoyance et mutuelles doivent mettre en place un dispositif permanent de Contrôle Interne et produire des procédures et un rapport décrivant l’activité et les missions du Contrôle Interne. Ce rapport décrira également les objectifs, la méthodologie employée, le positionnement hiérarchique de la structure, son organisation, les compétences et l'expérience des équipes ainsi que les mesures prises pour en assurer l'indépendance. Il est donc nécessaire de disposer d’un cadre défini pour cette activité.

Cependant, la directive en elle-même reste assez vague et évoque simplement la présence nécessaire d'un système de Contrôle Interne efficace et d'un cadre de Contrôle Interne, même si des mesures d’application viennent la compléter. Cela n'apporte donc pas grand-chose pour les entreprises qui disposent déjà d'une fonction Contrôle Interne : tout au plus, ces entreprises devront améliorer ce qu’elles font déjà, même si cela peut déjà constituer une charge de travail élevée.

En revanche, pour les entreprises qui ne possèdent pas de service dédié à cette fonction, la directive les contraint à créer une fonction dédiée : le problème évident pour les petites structures reste leur manque de moyens, mais cela sera certainement bénéfique pour ces entreprises sur le long terme. La directive a donc le mérite d’entraîner une généralisation du Contrôle Interne dans toutes les entreprises concernées par la directive, au niveau européen.

2/ Renforcement des bonnes pratiques

En dehors de la création de la fonction Conformité, l'article consacré au Contrôle Interne, à l'instar de l'article sur l'Audit Interne (voir partie 4), rappelle surtout les bonnes pratiques (type COSO). Ces bonnes pratiques sont principalement :

-Posséder un système de Contrôle Interne efficace, -Disposer d'un cadre et d'une méthodologie de Contrôle Interne, -Disposer de procédures administratives et comptables et de modes opératoires, -Disposer de plans de contrôle, -Disposer d'habilitations informatiques, -Mettre en place des séparations de tâches, -Mettre en place des contrôles (de premier niveau, de second niveau, contrôle des délégataires, etc.) et analyser les résultats de ces contrôles (reporting) dans tous les domaines de l'entreprise,

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

76/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

-Selon les résultats des contrôles, mettre en œuvre des actions correctives si besoin.

Ainsi, pour les moyennes et grandes entreprises qui disposent déjà d’une telle fonction, cet article vient seulement confirmer et renforcer les bonnes pratiques déjà mises en œuvre, et développe le rôle du Contrôle Interne.

Un autre avantage vient du fait qu’il n’existe pas aujourd'hui de définition unique du Contrôle Interne. En effet, différents cadres de référence existent, en France et à l'étranger (référentiel de l'AMF, référentiel COSO, etc.), donnant des définitions assez différentes de ce que doit être le Contrôle Interne ( voir lexique), et pouvant créer des divergences importantes d'une entreprise à l'autre. Or les activités de contrôle décrites dans le pilier 2 de Solvabilité 2 consistent à définir et harmoniser les activités de surveillance au niveau des entreprises :

Solvabilité 2 permet donc de donner une définition et des pratiques de Contrôle Interne applicables par toutes les sociétés d'assurance, renforçant ainsi les bonnes pratiques vues précédemment.

3/ Renforcement de la maîtrise des risques

La généralisation du Contrôle Interne ainsi que le renforcement des bonnes pratiques en matière de Contrôle Interne et de Conformité va obligatoirement entraîner un renforcement de la maîtrise des risques, ce qui est positif pour les entreprises. Le service dédié devra en effet réaliser des activités de contrôle couvrant toutes les zones de risques majeures de l’entreprise.

De plus, l'un des responsables que j'ai rencontrés m'a indiqué que son entreprise, qui dispose déjà d'un dispositif de Contrôle Interne à trois niveaux constitué du dispositif des opérationnels, du dispositif hiérarchique (Contrôle Interne réalisé par les responsables d'équipe) et de l'Audit Interne, qui effectue un contrôle périodique/ponctuel, allait étendre la démarche Contrôle Interne à des Directions qui ne sont pour l’instant pas concernées, comme la Direction du Développement, la Direction Comptable et Financière dont la Direction Technique, etc. Une démarche d’extension du périmètre du Contrôle Interne est donc en cours au sein de cette entreprise. L'aspect positif principal entraîné par Solvabilité 2 est donc l'amélioration de la maîtrise des risques, puisque cette entreprise disposait déjà d’une fonction Contrôle Interne : la directive a eu pour effet principal d’augmenter son périmètre de travail.

Enfin, un Directeur rencontré m’a précisé qu’au sein de son entreprise, Solvabilité 2 a pour effet positif de recentrer les fonctions Risk Management, Contrôle Interne et Conformité au niveau d'une même Direction, la Direction des Risques, alors qu’auparavant, le Contrôle Interne pouvait être déployé sur certains métiers et pas sur d'autres, et la Conformité était au niveau du Juridique, par exemple. Ce changement va donc renforcer l’activité de maîtrise des risques en lui donnant un cadre précis, et favorisant la possibilité de synergies entre ces fonctions qui sont tout de même très similaires.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

77/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

4/ Légitimité accrue de la fonction Contrôle Interne

La directive légitime et renforce la fonction Contrôle Interne car Solvabilité 2 implique de disposer de cartographies des risques et des contrôles à tous les niveaux. Ceci existe déjà dans les grands groupes, mais cela force les petites mutuelles à mettre en place un dispositif de Contrôle Interne, ou à le renforcer, ce qui est positif du point de vue de la maîtrise des risques. Pour les grands groupes, la directive n'entraîne pas de grands changements car un dispositif de Contrôle Interne est déjà en place, mais renforce la légitimité de cette fonction, car le COSO n'a rien d'obligatoire alors que Solvabilité 2 est une loi. L’importance élevée que lui accorde la directive est donc un signe de reconnaissance de l'utilité de cette fonction.

De plus, la création de la fonction Conformité, qui sera bien sûr très liée au Contrôle Interne, participe également à prouver l'importance de celui-ci au sein de l'entreprise. Cette fonction Conformité sera en effet en charge de la veille (identifier les lois et règlements s’appliquant à l’organisation, a nalyser les nouveautés réglementaires et organiser leur diffusion au sein de l’entreprise, et s'assurer de leur prise en compte dans les normes et pratiques de l’organisation), de l'animation du dispositif de conformité (valider les procédures au regard de la réglementation, identifier les risques de non-conformité et intégrer la conformité dans la culture de l’organisation), du contrôle (identifier et mettre en place des contrôles de conformité dans l’organisation, suivre les actions de contrôles et réaliser des contrôles) et de l'assistance juridique (assistance de la Direction Générale en matière d’analyse juridique en cas de réalisation d’un risque de non conformité). Le champ d’intervention de cette fonction devrait donc être très large.

Ainsi, on constate que cette fonction aura une influence sur l'organisation toute entière, puisque son champ d'action s'étendra des opérationnels (avec les contrôles de conformité) à la Direction Générale. Elle met donc en avant l'importance du Contrôle Interne et de la Conformité dans toute l'entreprise, et aucun membre de l'entreprise ne pourra l'ignorer.

5/ Pas d'augmentation massive de la formalisation

Solvabilité 2 indique simplement que l'entreprise doit disposer de cartographies des risques, maîtriser ses risques en mettant en place des contrôles et rédiger des procédures ainsi qu'un rapport sur le Contrôle Interne, mais n'exige pas un plus grand nombre de procédures. Une fois de plus, pour les entreprises qui disposent déjà d'une fonction Contrôle Interne, l’application de la directive ne va pas changer en profondeur les méthodes de travail, même si elle risque fortement d’ajouter une charge de travail supplémentaire en élargissant le périmètre d’intervention de cette fonction. Pour les autres, cela va nécessiter un travail plus lourd (rédaction de procédures, mise en place de contrôles et de reporting etc.).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

78/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

A noter que les Groupes de Protection Sociale représentent un cas particulier : en effet, en plus d'avoir pour autorité de contrôle l'ACP pour leur partie Assurances de Personnes, ils ont également des comptes à rendre aux fédérations Agirc-Arrco pour leur partie Retraite Complémentaire. Celles-ci fournissent régulièrement des recommandations en matière de Contrôle Interne, notamment sur les sujets suivants : rédaction de procédures et de modes opératoires, contrôles à mettre en œuvre, nature et niveau de reporting, actions correctives à mettre en œuvre, et gestion des habilitations informatiques.

Ceci participe à la mise en œuvre d'une « culture » du Contrôle Interne au sein de ces entreprises, et, pour de nombreuses entreprises, ces pratiques sont généralisées à toutes leurs activités, et non cantonnées à l'activité Retraite Complémentaire. Ainsi, Solvabilité 2 n'entraînera pas pour ces entreprises une forte augmentation de la formalisation, puisqu'elles sont déjà assez avancées à ce niveau.

En revanche, les plus petites entreprises qui ne seraient pas encore dotées d’un cadre précis de Contrôle Interne, voire même d’une fonction Contrôle Interne, feront face à une charge de travail élevée afin de répondre aux exigences de la directive en termes de mise en place des contrôles et de formalisation.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

79/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Contrôle Interne

1/ Disparition des économies d’échelle et perte de proximité entre les services ?

On peut penser que la stricte séparation des services Audit Interne, Contrôle Interne et Risk Management découlant de l'application de la directive risque d'entraîner une disparition des « économies d’échelle » ainsi qu'une perte de proximité entre ces services, au sein des entreprises qui les avaient réunis. Par exemple, au sein d'une entreprise rencontrée, la Direction du Contrôle Interne est désormais complètement séparée du Risk Management et de l'Audit Interne, alors que ces fonctions étaient auparavant réunies.

La disparition des « économies d’échelle » vient du fait que ces services, notamment le Risk Management et le Contrôle Interne, vont continuer à réaliser des tâches similaires (ayant trait à la maîtrise des risques), tout en étant désormais séparés.

Le Contrôle Interne sera par exemple chargé d'identifier les risques et d'instaurer un dispositif permanent d'identification des risques au-delà d'une photographie instantanée de l'exposition aux risques pouvant être obtenue à travers une cartographie. Pour cela, il faudra affecter les risques recensés à travers l'exercice de cartographie selon les segmentations proposées par les acteurs, valider l'exhaustivité des risques recensés et structurer une démarche de mise à jour régulière d'identification des risques. Enfin, il faudra procéder à une affectation des risques recensés selon la segmentation des risques retenue, et proposer une liste des risques et domaines de risques à enrichir par rapport à la cartographie déjà créée.

De même, le Contrôle Interne sera chargé de se livrer à une appréciation des risques, c'est-à-dire définir une mesure de l'exposition aux risques bruts et résiduels pour les risques quantifiables, et d'évaluer le risque de criticité des risques non quantifiables. Pour cela, il faut identifier, pour chaque risque, des paramètres quantitatifs et des facteurs qualitatifs ayant une influence sur la probabilité de survenance et son impact potentiel, et réaliser une répartition des risques entre ceux pouvant être couverts par des capitaux propres (risques quantifiables) et les risques non quantifiables. Pour chaque risque, le Contrôle Interne devra vérifier le choix des variables à retenir pour le calcul de l'exposition (risques quantifiables) ou pour l'appréciation de leur criticité (risques non quantifiables) et élaborer un processus de reporting permettant d'avoir une vue synthétique sur la situation. En conclusion, le Contrôle Interne devra rédiger des plans d'action afin de réduire le niveau de risque résiduel.

Ainsi, ces deux exemples de missions reflètent l'idée que la stricte séparation entre les services Risk Management et Contrôle Interne entraîne une disparition des « économies d’échelle », car des missions de ce type pourraient tout à fait être réalisées par un service Risk Management : cela montre bien que ces services réalisent globalement des missions assez similaires.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

80/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Ainsi, alors qu'auparavant, un seul service pouvait être en charge de missions de ce type, les services Risk Management et Contrôle Interne devront dorénavant être séparés, tout en continuant à réaliser des tâches relativement similaires, chacun de leur côté. C'est en cela que la séparation de ces services et la perte de proximité qui en découle entraîne une disparition des « économies d'échelle », d'autant que les travaux de ces services gagneraient en pertinence si ces services travaillaient en étroite collaboration : il sera donc impératif de créer au minimum des instances de coordination entre ces services afin que leurs travaux ne se chevauchent pas et qu'il n'y ait pas de répétitions.

2/ Redéfinition des périmètres

La création de la fonction Conformité (« conformité aux lois & aux règlements »), peut entraîner une redéfinition des périmètres. En effet, si une entreprise crée cette fonction pour une seule personne (par manque de moyens), il faudra obligatoirement redéfinir précisément les périmètres de chaque fonction car cela pourrait empiéter sur le travail d’autres personnes, notamment les membres du service Juridique, qui réalisent des tâches similaires à celles que cette fonction Conformité aura à sa charge.

Solvabilité 2 entraîne également une réorganisation pour les entreprises qui disposent déjà de l'équivalent d'une fonction Conformité au sein d'un département Juridique, puisque cette fonction devra désormais faire partie du département Contrôle Interne. Mes interlocuteurs ont confirmé que ce changement s'accompagnait de réorganisations importantes (changements de services, nouveaux collaborateurs assignés à cette fonction, etc.).

De même, la création d'une fonction Contrôle Interne au sein des entreprises qui ne disposeraient pas encore d'une telle fonction va forcément entraîner une définition préalable de son champ d'intervention et de ses missions, afin d'éviter que celles-ci n'empiètent sur le travail d’autres personnes et qu'il y ait des doublons.

3/ Charge en termes de livrables / reporting

Comme nous l'avons dit, Solvabilité 2 indique simplement que l'entreprise doit disposer de cartographies des risques, de procédures comportant des contrôles de premier et de second niveau, de reporting sur ces contrôles, et d'un rapport sur le Contrôle Interne (décrivant les objectifs du Contrôle Interne, la méthodologie employée, le positionnement hiérarchique de la structure, son organisation et les compétences et l'expérience des équipes), mais n'exige pas explicitement un plus grand nombre de procédures.

Cependant, pour les entreprises qui ne disposent pas pour le moment d'un service Contrôle Interne, la création de cartographies des risques (en particulier opérationnels) afin de lister, évaluer et quantifier ces risques, de procédures, d'indicateurs de risques, de plans de contrôle et de divers rapports (rapport sur le contrôle des sous-traitants etc.) va demander une charge de travail conséquente, notamment en termes de formalisation.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

81/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Les entreprises qui disposent d'ores-et-déjà d'un service Contrôle Interne ne sont pas totalement « épargnées » non plus par cette augmentation des exigences de formalisation. Ainsi, l'un des Directeurs rencontrés m'a par exemple indiqué que le renforcement du contrôle des délégataires au sein de son entreprise demandé par la directive entraînait la conséquence suivante : le service va devoir se renforcer, notamment en termes de méthodologie, de formalisme et de reporting. Afin de produire le reporting et d'alimenter les calculs, il faudra notamment cartographier les données de manière beaucoup plus rigoureuse et documentée.

4/ Impact financier

Un dernier impact négatif de ces nouvelles dispositions concerne l'impact financier élevé causé par la création d'un service dédié au Contrôle Interne. Les petites entreprises qui ne disposent pas d'une telle fonction vont certainement être amenées à recruter, et vont devoir mettre en place une structure et un véritable dispositif de Contrôle Interne. Ce point négatif concerne également, dans une moindre mesure, les entreprises qui disposent déjà d'un service dédié, mais qui n'est pas assez « conséquent » ou organisé de manière assez rigoureuse pour satisfaire aux exigences de la directive. Ces changements risquent d'avoir un coût élevé, notamment en termes de Ressources Humaines et de structuration.

De même, au niveau du Contrôle Interne, un impact financier lié à une charge de travail importante se fera sentir si rien n'est préparé en termes de cartographies des risques et de contrôles, et la création de la fonction Conformité risque également d'avoir un impact financier important.

Une fois de plus, les grands groupes ne percevront pas cet aspect négatif, mais les entreprises de taille plus modeste devront le surmonter.

D'autant qu'en cas de défaillance avec l'une des exigences majeures du pilier 2 telle que la mise en place d’un dispositif permanent de Contrôle Interne, des sanctions sur les capitaux propres sont d'ores-et-déjà prévues par l'ACP.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

82/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Synthèse sur le Contrôle Interne

Les composantes du pilier 2 s'inspirent du COSO : l'impact pour les grandes sociétés d'assurance ayant adopté le COSO comme référentiel de Contrôle Interne sera donc globalement assez faible. L'enjeu majeur pour ces entreprises sera surtout d'élargir le périmètre des activités de contrôle. En revanche, la mise en place d'un service Contrôle Interne afin de se conformer aux exigences de la directive peut s'avérer longue et coûteuse pour les entreprises de taille plus modeste : malgré l'application du principe de proportionnalité, le système de Contrôle Interne mis en place par les petites entreprises devra comprendre au minimum des procédures couvrant toutes les activités de l'entreprise, un cadre de Contrôle Interne, des dispositions appropriées en matière d'information prudentielle et une fonction permanente de Conformité. Notons tout de même que dans le cadre de l'application du principe de proportionnalité, une séparation moins stricte des pouvoirs entre Contrôle Interne et Risk Management sera tolérée selon certaines circonstances, et les exigences de formalisation seront également revues à la baisse. Les fonctions Contrôle Interne et Risk Management pourront même être fusionnées au sein des petites entreprises.

La mise en place d'un dispositif de Contrôle Interne nécessite une forte implication de la Direction Générale et de s'inspirer des meilleures pratiques du marché : documentation homogène, liens formalisés entre les risques et les contrôles, procédures de tests et de reporting sur l'efficacité des contrôles. Cette obligation est donc une difficulté supplémentaire pour les petites entreprises.

En résumé, la directive indique qu'une fonction Contrôle Interne doit exister au sein de l'entreprise : si ce n'est pas le cas, la directive entraîne la création d'un système de contrôle permanent, sans toutefois donner de détails précis. Les entreprises qui n'ont pas de fonction Contrôle Interne vont devoir mettre en place une telle fonction, ce qui constitue un changement important et une charge de travail élevée. Cependant, pour les entreprises qui disposent déjà d'un service Contrôle Interne, cet article n'entraîne pas de changements majeurs, et va surtout entraîner un renforcement des bonnes pratiques, ainsi qu'un renforcement du contrôle des dirigeants (nous avons vu que la gouvernance est un sujet évoqué avec insistance par la directive) ainsi qu'un renforcement du contrôle des sous-traitants. Solvabilité 2 impose ce renforcement car l'une des spécificités de l'assurance est la gestion déléguée : il est donc rare qu'un tel contrôle ne soit pas déjà mis en place au sein des entreprises. Toutefois, si cela n'est pas fait, la directive impose de le mettre en place.

La directive impose également la création d'une fonction Conformité à placer sous l'autorité de la Direction du Contrôle Interne, et lui accorde une importance particulière, en l'incluant dans le système de gouvernance. Cette fonction représente une nouveauté dans le monde de l'assurance et sa mise en place n'est donc pas aisée. Ainsi, cette fonction a été assez peu travaillée par les entreprises pour le moment. Celles qui disposent déjà de l'équivalent d'une telle fonction au sein d'un département Juridique sont également concernées par ce sujet car Solvabilité 2 indique que désormais, cette fonction devra faire partie du département Contrôle Interne, entraînant

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

83/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

donc une réorganisation.

Le Contrôle Interne et un équivalent de la fonction Conformité existant déjà dans la plupart des entreprises, la

directive ne fait que renforcer ce qui existe déjà sur ces points. De plus, nous avons vu que des lois et décrets ayant précédé Solvabilité 2 visaient déjà à renforcer le Contrôle Interne au sein des assurances, Institutions de Prévoyance et mutuelles. La directive s'inspire donc de ces textes, tout en devant être appliquée au niveau européen : elle dépasse donc le droit national et les particularités de chaque entreprise, ce qui fait tout son intérêt.

o

Elle permet aussi de généraliser le Contrôle Interne et de renforcer les bonnes pratiques et la maîtrise des risques, ce qui sera positif pour les entreprises. La directive légitime et renforce la fonction Contrôle Interne car elle demande de disposer de cartographies des risques et des contrôles à tous niveaux. Ceci existe déjà dans les grands groupes, mais cela force les petites mutuelles à mettre en place un tel dispositif, ou à le renforcer, ce qui est positif du point de vue de la maîtrise des risques. Pour les grands groupes, la directive n'entraîne pas de grands changements car un dispositif de Contrôle Interne est déjà en place, mais renforce la légitimité de cette fonction, car Solvabilité 2 est une loi, contrairement aux référentiels de Contrôle Interne comme le COSO. L'importance accordée au Contrôle Interne dans la directive est donc un signe de reconnaissance de l'utilité de cette fonction. Enfin, la création de la fonction Conformité, qui sera liée au Contrôle Interne, participe également

à prouver l'importance du Contrôle Interne au sein de l'entreprise. Un dernier point positif est que, contrairement

à ce que l'on pourrait croire, la directive n'entraîne pas une augmentation massive de la formalisation.

Cependant, la mise en conformité avec la directive peut entraîner une d isparition des « économies d’échelle » et une perte de proximité entre les services Audit Interne, Contrôle Interne et Risk Management, puisqu'elle demande de les séparer. De plus, la création de la fonction Conformité va obligatoirement entraîner une redéfinition des périmètres. En termes de livrables / reporting, comme nous l'avons vu, pour les entreprises qui ne disposent pas pour le moment d'un service Contrôle Interne, la création de cartographies des risques opérationnels, de procédures et documentation, d'indicateurs de risques, de plans de contrôle, de contrôles de niveaux 1 et 2, et de divers rapports sur son activité va demander une charge de travail conséquente. Enfin, les petites entreprises qui ne disposent pas d'une fonction Contrôle Interne (ou si celle-ci n'est pas assez conséquente) et d'une fonction Conformité vont certainement être amenées à recruter, et vont devoir mettre en place un véritable dispositif de Contrôle Interne, ce qui aura un coût financier élevé (ressources humaines, temps de travail, organisation, structuration etc.).

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

84/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Partie 4 : les impacts du pilier 2 sur l’Audit Interne

A/ Les articles fondamentaux et leur traduction

1/ Article consacré à l'Audit Interne (article 47)

L'article consacré à l'Audit Interne est le suivant :

« 1.

Les entreprises d'assurance et de réassurance mettent en place une fonction d'audit interne efficace.

2.

La fonction d'audit interne évalue notamment l'adéquation et l'efficacité du système de contrôle interne et d'autres éléments du

système de gouvernance.

3.

La fonction d'audit interne est exercée d'une manière objective et indépendante des fonctions opérationnelles.

4.

Toute conclusion et toute recommandation de l'audit interne est communiquée à l'organe d'administration ou de gestion, qui

déterminent quelles actions doivent être menées pour chacune de ces conclusions et recommandations de l'audit interne et qui

veillent à ce que ces actions soient menées à bien. »

Ainsi, pour rédiger cette partie, je me suis basé sur cet article mais aussi et surtout sur les nombreuses informations que j'ai obtenues au cours de mes différents entretiens avec des Responsables de l’Audit Interne, car la directive et les « Issue Papers » du CEIOPS (voir annexe 7) traitent très brièvement de la fonction Audit Interne. Les changements entraînés par Solvabilité 2 au niveau de l'Audit Interne sont donc les suivants :

2/ Séparation de l'Audit Interne et des autres fonctions

Solvabilité 2 rappelle tout d'abord la nécessité de disposer d'une fonction Audit Interne indépendante : la directive est claire puisqu'elle précise que l'Audit Interne (voir lexique) doit être en dehors de toutes les autres fonctions (voir annexe 14 : le positionnement de l'Audit Interne dans l'organisation). Ceci s'explique par le fait que les auditeurs internes peuvent être amenés à aller auditer tous les autres services de l'entreprise. L'Audit Interne ne peut donc pas être juge et parti. Ceci n'entraîne pas de conséquences majeures puisque l'Audit Interne est généralement séparé des fonctions opérationnelles, à l’heure actuelle (des exceptions existent cependant puisque l’Audit Interne est parfois rattaché à la Direction Administrative et Financière de l’entreprise).

Cependant, l'article a également comme conséquence l'obligation de séparer les fonctions Contrôle Interne et Audit Interne, ou Risk Management et Audit Interne, lorsque celles-ci sont regroupées au sein d'une même direction, toujours dans cette optique d'indépendance de l’Audit Interne. Ce point est plus contraignant pour les entreprises, puisque dans de nombreux cas, l'Audit Interne est rattaché à l'une de ces deux fonctions, notamment dans les Groupes de Protection Sociale. On trouve souvent, par exemple, des « Directions de l'Audit et du Contrôle Interne ».

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

85/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

L’un des Directeurs de l'Audit que j'ai rencontrés m'a notamment expliqué qu'au niveau de l'Audit Interne, son entreprise n'est pas très éloignée de la mise en conformité avec Solvabilité 2 et que l'organisation de son service est solide (même si ce Directeur pensait que son service n’obtiendrait pas la certification IFACI à l’heure actuelle s'il venait à en faire la demande). L'Audit Interne de ce petit groupe de Protection Sociale existe depuis une vingtaine d’années : pendant les 10 premières années, le service n’était composé que d’un Directeur et d’un collaborateur mais aujourd’hui, il est composé d'un Directeur et de trois collaborateurs, qui appliquent la méthodologie, les normes et le code de déontologie de l’IFACI, et possèdent une charte de l’Audit Interne. Ce service est rattaché à la Direction Générale. Cependant, pour des raisons historiques, le Contrôle Interne et l’Audit Interne sont regroupés au sein d'une même direction, et ce Directeur est donc pour l'instant « Directeur de l'Audit et du Contrôle Interne ». Solvabilité 2 entraîne donc ici un changement important puisque, pour des raisons d’indépendance, il est nécessaire de procéder à une séparation entre ces deux services. Cela n'a pas encore été réalisé (en mars 2011), mais une réflexion sur ce sujet a été menée, et il a été décidé qu'un Directeur du Contrôle Interne sera nommé (l’un des contrôleurs internes sera nommé Responsable du service), et que les fonctions Audit Interne et Contrôle Interne seront désormais séparées.

Un autre Directeur de l'Audit Interne que j'ai rencontré m'a indiqué que son entreprise a décidé de séparer les fonctions Audit Interne et Risk Management en 2010 et de créer une véritable fonction Risk Management, en vue de la mise en conformité avec Solvabilité 2. Idem pour un troisième interlocuteur : la Direction de l'Audit Interne est désormais complètement séparée du Contrôle Interne et du Risk Management.

Pour les entreprises concernées, cet article peut donc entraîner une réorganisation et un changement importants, mais ceux-ci doivent être nuancés car dans les cas où le Directeur de l'Audit a également une autre responsabilité (Directeur du Contrôle Interne par exemple), les deux services concernés sont souvent d’ores-et- déjà bien distincts et ont des missions et responsabilités qu'ils ne partagent pas. On peut donc considérer que, sur cet aspect « indépendance de l'Audit Interne », le changement provoqué par l'article 47 n'est qu'un changement sur la forme.

Ce changement va donc concerner en priorité les Groupes de Protection Sociale et les mutuelles, qui possèdent souvent un service d’Audit Interne couplé au Contrôle Interne, au Risk Management, voire à la Qualité. Cela peut s'expliquer par des raisons historiques, mais aussi par une question de coût, ces entreprises n’ayant pas forcément les moyens suffisants pour gérer plusieurs services distincts et leur attribuer des collaborateurs.

Les grandes sociétés d'assurance ainsi que les grands Groupes de Protection Sociale, eux, disposent généralement d'un service d'Audit Interne d'ores-et-déjà indépendant et rattaché à la Direction Générale depuis un certain temps. C'est le cas de l'un des grands Groupes de Protection Sociale (ayant une forte activité

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

86/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Assurances de Personnes) que j'ai rencontrés. La directive ne provoque donc aucun changement pour ces entreprises sur ce point.

Enfin, les petites mutuelles sont nombreuses à ne pas disposer d'un service d'Audit Interne : avant de se soucier de cette notion d'indépendance, elles devront donc créer un service dédié et le structurer, même s'il n'est constitué que d'une équipe réduite.

3/ Renforcement global des bonnes pratiques

Au niveau des normes, cet article ne fait que renforcer les bonnes pratiques et les rendre obligatoires, ce qui est positif puisque aujourd'hui, il n'y a pas d'obligation pour les services d'Audit Interne de respecter les normes professionnelles de l'IFACI, sauf s'ils souhaitent obtenir la certification IFACI. Cet article et les mesures d'application du CEIOPS n'entraînent donc pas de « révolution » puisque ces textes se contentent de rappeler les normes et bonnes pratiques de l’IIA et de l'IFACI, sur plusieurs points :

-Solvabilité 2 indique que l'Audit Interne est chargé d'évaluer l'efficacité du Contrôle Interne et du Risk Management et de vérifier la conformité des activités avec la stratégie, les processus et les procédures de l'entreprise, tout en étant indépendant des opérationnels. La directive rappelle donc les principes présents dans la définition officielle de l'Audit Interne de l'IFACI, puisque celle-ci indique que l'Audit Interne « aide l'organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. »

-L'indépendance nécessaire de l'Audit Interne est réaffirmée, comme nous l'avons vu. On peut préciser que la séparation des activités Audit Interne, Contrôle Interne et Risk Management n'est pas vraiment une obligation puisqu'elle n'est pas explicitement demandée dans l'article. Cependant, la directive préconise une indépendance totale de l'Audit Interne, qui doit constituer un département complètement séparé des autres activités et surtout sans autre responsabilité opérationnelle. Le CEIOPS a confirmé cette position, et le texte du CEIOPS précise également que chaque service et chaque activité de l'entreprise est dans le « champ d'action » de l'Audit Interne. L’Audit Interne doit donc rester un acteur indépendant du système de Contrôle Interne puisqu'il est responsable de son évaluation. La séparation de l'Audit Interne et des fonctions Contrôle Interne et Risk Management est donc plutôt une interprétation de la Directive, qui vise à renforcer l'indépendance de l'Audit Interne. La directive demande d’établir une fonction Audit Interne indépendante, efficace et objective, qui répond aux besoins des parties prenantes. Si l'Audit Interne dépend déjà de la Direction Générale et est déjà autonome, comme c'est le cas dans plusieurs entreprises rencontrées, il n'y aura pas de changements importants. Cependant, très souvent, l'Audit Interne est lié au Contrôle Interne ou à la Qualité, et il faudra donc séparer ces fonctions.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

87/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Par extension, il faudra aussi revoir la Charte de l'Audit Interne, afin de bien affirmer l'indépendance du service d'Audit Interne, et d'expliquer son fonctionnement.

-De plus, on constate dans cet article de la directive et dans les textes du CEIOPS de nombreux rappels des principes présents dans le Code de Déontologie de l'IFACI et régissant la profession, qui sont les suivants :

intégrité, objectivité, confidentialité, et compétence. On constate également un rappel des principes présents dans les Normes Professionnelles pour la Pratique de l'Audit Interne de l'IFACI, notamment l'indépendance et l'objectivité. Bien sûr, la directive ne vient en aucun cas remplacer ces normes, qui sont bien plus complètes et détaillées. Elle ne fait qu'en rappeler quelques principes, notamment :

-les normes de qualification (la phrase « la fonction d'audit interne est exercée d'une manière objective et indépendante des fonctions opérationnelles » renvoie à la norme 1100 « Indépendance et objectivité »), qui énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des activités d’Audit Interne,

-les normes de fonctionnement (la phrase « la fonction d'audit interne évalue notamment l'adéquation et l'efficacité du système de contrôle interne et d'autres éléments du système de gouvernance » renvoie à la norme 2100 « Nature du travail », et la phrase « toute conclusion et toute recommandation de l'audit interne est communiquée à l'organe d'administration ou de gestion, qui déterminent quelles actions doivent être menées pour chacune de ces conclusions et recommandations de l'audit interne et qui veillent à ce que ces actions soient menées à bien » renvoie à la norme 2400 « Communication des résultats »). Ces normes décrivent la nature des activités d’Audit Interne et définissent des critères de qualité permettant d’évaluer les services fournis.

L'article de la directive fait donc référence à tous les éléments du Cadre de Référence International des Pratiques Professionnelles, qui sont la définition de l'Audit Interne, le Code de Déontologie et les Normes.

-Le texte du CEIOPS rappelle également un principe qui est habituellement indiqué dans la Charte de l'Audit Interne : l'accès sans aucune restriction des auditeurs aux documents, aux personnes et aux biens jugés pertinents et nécessaires à la réalisation des missions d'Audit Interne, puisque ce texte explique que les auditeurs doivent disposer du droit d'obtenir toute information nécessaire à leur mission.

-L'article ne fait également que rappeler les bonnes pratiques en ce qui concerne la communication des recommandations et la nécessité d'obtenir des plans d'action et d'effectuer un suivi des recommandations. L'un de mes interlocuteurs m'a par exemple indiqué qu'un véritable outil de suivi des recommandations a été mis en place au sein de son entreprise en 2009 ; l'une des raisons qui ont motivé cette décision était la volonté de mise en conformité avec Solvabilité 2. Afin de respecter la directive, le service d'Audit Interne devra également

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

88/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

disposer de rapports d'audit formalisés, de plans d'action, effectuer un suivi de ces plans d'actions, et, d'après le texte du CEIOPS, rédiger un rapport sur son activité, au moins une fois par an, au Conseil. Tout ceci n'est qu'un simple « rappel » des bases, qui va surtout être utile pour les petites mutuelles. En effet, les services d'Audit Interne qui font partie de grands groupes appliquent déjà globalement les normes de l'IFACI. Pour eux, cet article n'aura donc pas de conséquences majeures. Cependant, les services d'Audit Interne faisant partie de plus petites entreprises ne respectent pas forcément ces pratiques car ils n'ont pas le temps ou les moyens nécessaires. Cet article a donc un impact important et positif à ce niveau.

-De même, l’un des textes officiels indique la présence obligatoire d'un Comité d'Audit : cela n'est pas une nouveauté puisqu'en France, l'obligation de mettre en place un Comité d'Audit existait déjà pour les assurances, les Institutions de Prévoyance et les mutuelles, par le biais de l'ordonnance du 8 décembre 2008 qui a transposé en France la huitième directive européenne (voir point 6).

-Concernant la formalisation de plans d'audits pluriannuels, l’un des Directeurs de l'Audit Interne que j'ai rencontrés m'a expliqué que l’un des textes officiels liés à la directive notait la « nécessité » pour le service d'Audit Interne de disposer d'un plan d'audit pluriannuel basé sur les risques. La mise en place d'un plan de ce type fait même partie du plan d'action visant à être en conformité avec Solvabilité 2, pour cette entreprise (« mettre en place un plan d’audit pluriannuel avec intégration des développements nécessaires pour une mise en conformité avec Solvabilité 2 »).

Or, un autre Directeur de l'Audit Interne que j'ai rencontré m'a indiqué que la notion de plans pluriannuels n'est pas abordée dans Solvabilité 2 : ce n'est qu'une bonne pratique, mais pas une obligation, d'après lui. Il y a donc une divergence d'opinion sur ce point, mais on constate que l'article ne mentionne pas cet aspect et reste beaucoup plus vague, évoquant simplement « l'efficacité » nécessaire de la fonction Audit Interne. J'ai d'ailleurs constaté au fil de mes entretiens que, pour l'instant, la présence de plans d'audit pluriannuels n'était pas généralisée au sein des services d'Audit Interne. Quant au texte du CEIOPS, il ne fait que préciser que le service d'Audit Interne doit disposer d'un plan d'audit basé sur une approche par les risques , ce qui n'est une fois de plus qu'un rappel des normes de l'IFACI, mais n'évoque pas la notion de plans pluriannuels. On peut cependant penser que, logiquement, une approche par les risques pertinente va de pair avec un plan d'audit s'étalant sur plusieurs années.

-Pour conclure sur ce point, l'impact du pilier 2 de Solvabilité 2 sur l'Audit Interne en termes de normes est faible. Cela s'explique par le fait que cette fonction est déjà très encadrée : il existe déjà des normes professionnelles, celles de l'IFACI pour l'Audit Interne (le Cadre de Référence International des Pratiques Professionnelles étant constitué principalement de la définition de l'Audit Interne, du Code de Déontologie et des normes), auxquelles on peut ajouter le COSO pour le Contrôle Interne.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

89/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Par exemple, l’un des Directeurs de l'Audit Interne rencontrés m'a expliqué que la directive n'entraîne pas de changements majeurs pour son service. Le cabinet KPMG, qui a été engagé par cette entreprise afin de réaliser un « diagnostic » de conformité (indiquant les actions restantes à mettre en place afin d'être en conformité avec Solvabilité 2), a simplement rappelé que l'Audit Interne devait se charger de l'évaluation du fonctionnement et de l’efficacité du dispositif de maîtrise des risques, que ses principaux livrables étaient les plans d’audits et les rapports d’audit, et que ses missions principales étaient les suivantes : évaluation des processus de management des risques mis en œuvre par l’organisation, évaluation des dispositifs de Contrôle Interne/maîtrise des risques des différentes entités du groupe, évaluation de la pertinence et de l’efficacité opérationnelle des contrôles relatifs à la fraude, évaluation des processus-clés de gouvernement d’entreprise, reporting régulier à la Direction Générale et au Comité d’Audit, et coordination des missions d’audit externe.

Étant donné que cette fonction est déjà très encadrée et « réglementée » par un ensemble de standards bien établis (méthodologie, charte d’audit, planification et réalisation des missions, suivi des recommandations, plan d’audit formalisé etc.), la mise en conformité avec Solvabilité 2 ne sera pas très complexe à atteindre pour la plupart des entreprises. Ainsi, l'Audit Interne est aujourd'hui le point d’avancement le plus abouti du pilier 2 de Solvabilité 2 pour de nombreuses entreprises.

Ce que propose Solvabilité 2 sur ce point n'a donc rien d'original, mais il y a une différence majeure entre les normes de l'IFACI et le contenu de la directive : Solvabilité 2 est une loi. Pour les services d'Audit Interne de grandes entreprises, Solvabilité 2 ne va certainement pas avoir de conséquences majeures, mais pour les entreprises de taille plus modeste, qui ont un service d'Audit Interne de taille réduite qui ne respecte pas forcément les normes de l'IFACI, cela va provoquer un changement positif.

4/ Évolution de la méthodologie

Concernant la méthodologie de l'Audit Interne, Solvabilité 2 entraîne une évolution vers encore plus de rigueur et de formalisme (rapports d'audit, plans d'action et suivi de ces plans d'action formalisés etc.). Le responsable du service devra adopter une approche basée sur les risques afin de déterminer les priorités, formaliser une politique d'Audit Interne, et produire un rapport écrit au moins une fois par an, présentant les travaux et conclusions de l'Audit Interne. Ce rapport devra préciser les éventuels manquements concernant l'efficience ainsi que les défauts majeurs de conformité avec les politiques et les procédures internes, et sera soumis au Conseil d'Administration.

La directive n'entraîne donc pas de révolution en ce qui concerne la méthodologie et les livrables des auditeurs internes, puisque, de manière générale, elle ne fait que rappeler ce qu'indiquent déjà les normes professionnelles de l'IFACI. La différence vient du fait que les normes de l'Audit Interne ne sont pas obligatoires

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

90/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

mais conseillées (sauf si le service d'Audit Interne souhaite obtenir la certification de l'IFACI), alors que Solvabilité 2 est une réglementation, et doit donc être obligatoirement appliquée.

On note d'ailleurs que cette évolution vers toujours plus de formalisme va certainement avoir un impact financier indirect positif pour l'IFACI, puisque le nombre de services d'Audit Interne souhaitant obtenir la certification IFACI après avoir effectué ces changements devrait certainement augmenter.

5/ Impact indirect de Solvabilité 2 : impact en termes de missions

Indirectement, Solvabilité 2 va représenter un changement notable, notamment pour les petites structures, car une fois que Solvabilité 2 sera appliquée, les auditeurs internes seront chargés d'auditer des sujets très techniques (voir partie B point 7), qui sortent du champ des missions « classiques » (évaluation des processus de management des risques, des dispositifs de Contrôle Interne, des processus-clés de gouvernement d’entreprise etc.). Au niveau comptable, par exemple, il sera nécessaire d'auditer le bilan Solvabilité 2, puisque si les Commissaires aux Comptes ne certifient pas ce bilan, ce sera aux auditeurs de le faire. En effet, avec Solvabilité 2, les entreprises devront disposer d’un bilan « classique », ainsi que d’un bilan « façonné » Solvabilité 2. Or la directive et les textes associés ne prévoient pas, pour l'instant, que ce dernier bilan soit audité par les Commissaires aux Comptes : si ce n'est pas fait par les auditeurs externes, ce travail reviendra logiquement aux auditeurs internes, nécessitant des compétences accrues en comptabilité.

Après la mise en conformité avec la directive, l'Audit Interne devra également auditer les bases de données construites par l'entreprise pour répondre à Solvabilité 2 (en effet, le principal impact de Solvabilité 2 en termes de Systèmes d'Information porte sur le développement de bases de données et d'outils, comme une plate-forme de calcul pilier 1, les progiciels métiers, les indicateurs de risques et des outils de simulations actif/passif, et l'automatisation du reporting), ainsi que d'autres éléments de Solvabilité 2. Ceci va donc provoquer un impact global sur la gestion des compétences du service d'Audit Interne des entreprises d'assurances, et sur la composition des auditeurs internes. On peut notamment supposer qu'une course aux compétences actuarielles en audit va avoir lieu afin d'être en mesure de réaliser des missions d'audit actuariel (le pilier 1 de la directive étant très porté sur l’actuariat), ce qui n'existe pas dans les petites mutuelles et Institutions de Prévoyance aujourd'hui.

Enfin, en termes d'organisation des missions, l'impact indirect de Solvabilité 2 concerne la création de plans d'audit pluriannuels : même si ceux-ci ne sont pas clairement évoqués dans la directive, la mise en œuvre d'une « approche par les risques » lors de la définition du plan d'audit, qui est demandée par la directive, peut logiquement s'accompagner d'une vision pluriannuelle, pour être véritablement efficace.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

91/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

6/ Solvabilité 2 s'inscrit dans une continuité

Le peu de changements majeurs provoqués par la directive en matière d'Audit Interne peut s'expliquer, en dehors du fait que la profession est déjà très normée et encadrée, par le fait que Solvabilité 2 s'inscrit dans une continuité : d'autres lois et textes l'ont précédée et ont engendré des changements importants. Solvabilité 2 ne fait pas mention de tous ces changements, ou les évoque sans donner de détails, mais s'en inspire grandement.

Par exemple, l'obligation de mettre en place un Comité d'Audit existait déjà : Solvabilité 2 ne fait donc que confirmer l'ordonnance du 8 décembre 2008, qui transposait en France la huitième directive européenne. Cette ordonnance, qui concerne les entités d'intérêt public (c'est-à-dire les sociétés cotées (personnes et entités dont les titres sont admis à la négociation sur un marché réglementé), les établissements de crédit, les entreprises régies par le code des assurances, les mutuelles régies par le livre II du Code de la mutualité, et les Institutions de Prévoyance régies par le titre III du livre IX du Code de la sécurité sociale), était le premier texte de loi en France qui instaurait l'obligation d'avoir un Comité d'Audit, composé des membres administrateurs (à l'exclusion des dirigeants) et d'au moins un membre indépendant et un membre présentant des compétences en finance/comptabilité.

Sa mission est de suivre l'efficacité du système de Contrôle Interne et de gestion des risques (suivi du processus d'élaboration de l'information financière, suivi de l'efficacité des systèmes de Contrôle Interne, d'Audit Interne et de gestion des risques, examens périodiques de la cartographie des risques, suivi du contrôle légal des comptes annuels et des comptes consolidés, et suivi de l'indépendance des Commissaires Aux Comptes notamment).

Le Comité d'Audit doit donc principalement :

-analyser les résultats du dispositif de gestion des risques, du dispositif de Contrôle Interne et des audits réalisés, -entendre les différents acteurs du dispositif, -valider le plan d'audit pluriannuel, -contrôler l'indépendance et l'objectivité des auditeurs externes.

L'ordonnance a en effet entraîné un renforcement des relations avec les Commissaires Aux Comptes : ceux-ci doivent porter à la connaissance du Comité d'Audit les faiblesses significatives de Contrôle Interne sur le processus d'élaboration de l'information comptable et financière, et le Comité d'Audit doit examiner les risques pesant sur l'indépendance des Commissaires Aux Comptes et les mesures prises pour atténuer ces risques notamment.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

92/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

Cette ordonnance du 8 décembre 2008 a bien sûr entraîné la création de « bonnes pratiques » à suivre par les Comités d'Audit vis-à-vis de la gestion des risques (revue des risques majeurs et de la gouvernance des risques, s'assurer que le système de Contrôle Interne est adéquat et efficace, évaluer l'Audit Interne etc.) et de leur fonctionnement (budget et temps appropriés, communication au Conseil d'Administration, agenda s'attardant sur la gestion des risques, le Contrôle Interne et l'Audit Interne, évaluation de la performance du Comité d'Audit et du Conseil d'Administration etc.).

A noter que l'importance du Comité d'Audit s'était déjà développée précédemment au travers de textes comme :

-le rapport Viénot 1 (1995), qui préconisait la mise en place d'un tel Comité et précisait quelles devaient être ses principales missions, -le rapport Marini (1996), qui étendait le pouvoir des « émanations » du Conseil d'Administration, et notamment le Comité d'Audit, -le rapport Bouton (2002), qui a apporté de nouvelles recommandations quant au fonctionnement souhaitable des Comités d'Audit (composition, formation des membres, méthodes de travail etc.), et a préconisé que les membres du Comité d'Audit aient des compétences financières ou comptables, -la directive de la Commission Européenne du 16 mars 2004 sur les règles d'audit des entreprises de l'Union Européenne, qui indiquait que les sociétés contrôlées devraient instituer un Comité d'Audit composé de membres indépendants, qui superviserait le processus d'audit, en communiquant directement avec les auditeurs externes, sans passer par le management. Ce Comité devrait aussi sélectionner les auditeurs externes et proposerait leur désignation aux actionnaires. -les rapports de l'AFEP et du MEDEF, qui donnent également des recommandations en la matière, -d'autant que la présence d'un Comité d'Audit au sein de l'organisation fait partie des bonnes pratiques de l'Institut Français des Administrateurs, qui a d’ailleurs publié en janvier 2008 un rapport appelé « Comité d'audit :

les 100 bonnes pratiques ».

Ainsi, aujourd'hui, les entreprises françaises sont déjà en conformité en ce qui concerne la présence d'un Comité d’Audit, puisque c'est une obligation légale depuis l'ordonnance du 8 décembre 2008. Les entreprises que j'ai pu rencontrer disposaient ainsi d'un Comité d'Audit, chargé de s’assurer de l’efficacité de l’environnement de contrôle de l’entreprise, d’approuver les processus de contrôle interne mis en œuvre et d’approuver la politique de gestion des risques. Il détermine également si les états financiers présentés donnent une image fidèle de la situation de l’entreprise, les approuve, et approuve également la détermination des méthodes comptables employées. Enfin, il entretient des relations avec les Commissaires Aux Comptes (Contrôle Externe) et réalise un suivi du contrôle légal des comptes annuels. Le Comité d’Audit est donc une partie prenante critique de l’environnement général de contrôle, et l'action de l'Audit Interne sera d'autant plus efficace qu'il dispose d'un interlocuteur privilégié qu'est le Comité d'Audit. En effet, ce Comité garantit et consacre l'indépendance de l'Audit Interne.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

93/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

De plus, la directive confirme aussi que l'Audit Interne doit être une fonction indépendante et rappelle les grands principes qui doivent régir cette fonction. Cette démarche était déjà présente dans la loi du 18 décembre 2009 relative à la profession de l’audit, transposant la directive 2006/43/CE du Parlement Européen et du Conseil du 17 mai 2006 concernant entre autres l'organisation de la profession de l’audit, ainsi que dans un texte du CEIOPS associé à la directive de décembre 2009, et surtout dans les normes professionnelles de l'IFACI, même si celles-ci ne constituent pas une loi. Solvabilité 2 n'apporte donc pas énormément de changements à ce niveau-là, en ne faisant que confirmer les textes officiels sortis précédemment.

On constate donc que des évolutions réglementaires importantes qui ont eu lieu avant Solvabilité 2 allaient déjà dans le même sens : la directive Solvabilité 2 ne fait donc que rappeler ce qui existe déjà sur ces points. Tout comme pour le Contrôle Interne et le Risk Management, l'intérêt majeur est que Solvabilité 2 doit être appliquée par toutes les assurances, Institutions de Prévoyance et mutuelles, dans tous les pays européens, dépassant donc le droit national et les particularités de chaque entreprise. Elle permet donc de globaliser certaines lois précédentes à l'ensemble des pays européens et de diffuser les bonnes pratiques associées.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

94/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour l’Audit Interne

1/ Harmonisation du fonctionnement des services d'Audit Interne

Solvabilité 2 va permettre d'harmoniser le fonctionnement des services d'Audit Interne au sein des entreprises d’assurance, ainsi que leurs méthodes de travail. En effet, la directive donne (ou plutôt rappelle) des principes communs (mais pas identiques) à toutes les Directions de l'Audit Interne. Il y a donc une volonté d'uniformiser les pratiques entre toutes les assurances, Institutions de Prévoyance et mutuelles, ce qui est positif, car aujourd'hui, l'écart entre l'organisation d'un service d'Audit Interne au sein d'une grande assurance et l'organisation d'un tel service au sein d'une petite mutuelle est énorme. Cependant, malgré l'application du pilier 2 de la directive, des différences seront toujours perceptibles, car en vertu du principe de proportionnalité, les entreprises doivent déployer des efforts proportionnels aux risques qu'elles portent : l'ACP sera donc plus « indulgente » et moins exigeante avec les petites entreprises. Cette uniformisation des pratiques ne peut toutefois que renforcer la profession d'Auditeur Interne, ce qui est un point positif.

De même, la présence obligatoire d'un Comité d'Audit au sein de l'entreprise renforce l'harmonisation du fonctionnement des services d'Audit Interne, tout en renforçant également la profession d'Auditeur Interne. En effet, l'action de l'Audit Interne sera d'autant plus efficace qu'il dispose dans l'entreprise de cet interlocuteur qu'est le Comité d'Audit, celui-ci garantissant l'indépendance de l'Audit Interne et effectuant un suivi des missions. L'Audit Interne doit donc apporter aux membres de ce Comité un regard impartial et professionnel sur les risques de l'entreprise, et contribuer ainsi à améliorer l'information du Conseil d'Administration sur ce sujet. Chaque Comité d'Audit devrait fonctionner sur la base d'une charte approuvée par le Conseil d'Administration qui précise son rôle et ses modalités de fonctionnement.

2/ Confirmation des normes professionnelles

Comme nous l'avons vu précédemment, la directive a aussi pour effet positif de confirmer les normes internationales d’Audit Interne (qu'on appelle aussi le Cadre de Référence International des Pratiques Professionnelles) et vise donc à renforcer cette fonction d’Auditeur Interne, ainsi que sa légitimité au sein de l'entreprise. De plus, les normes de l'IFACI n’ont pas un caractère obligatoire pour les services d'Audit Interne mais seulement conseillé (sauf pour un service d'Audit Interne qui souhaiterait obtenir la certification IFACI), alors que la directive doit obligatoirement être appliquée, sous peine de sanctions financières imposées par l'ACP. Toutes les entreprises devront donc respecter ses dispositions concernant l'Audit Interne, et par extension, respecter les normes professionnelles de l'IFACI, ce qui entraîne une meilleure application des bonnes pratiques et donc une gestion plus efficace de l'activité d'Audit Interne.

Une fois de plus, ceci est surtout valable pour les mutuelles, qui disposent souvent d'un service d'Audit Interne

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

95/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

qui ne respecte pas forcément les normes de l'IFACI de manière rigoureuse, par manque de temps et/ou de moyens. La directive va donc permettre une diffusion et une application des bonnes pratiques, ce qui est positif.

3/ Renforcement de la maîtrise des risques

On peut supposer que Solvabilité 2 va provoquer une meilleure prise en compte des risques ainsi qu'un renforcement de la maîtrise de ces risques, en renforçant et en séparant les fonctions Risk Management, Contrôle Interne et Audit Interne et en sensibilisant davantage la Direction Générale et les opérationnels à cette problématique de gestion des risques.

Ainsi, indirectement, ceci pourrait avoir un impact positif sur l'image de l'Audit Interne, car cette fonction est garante du bon fonctionnement du dispositif de maîtrise des risques de l'entreprise. En effet, étant donné que les auditeurs doivent apporter un jugement indépendant et objectif, ils ont un rôle important à jouer pour aider leurs entreprises à développer et mettre en place des systèmes de gouvernance et de gestion efficaces. L'Audit Interne constitue en effet une « troisième ligne de défense », après le Risk Management et le Contrôle Interne (contrôles de premier niveau réalisés par les opérationnels et contrôles de second niveau pris en charge par le Contrôle Interne), et est en charge de s'assurer que les deux premières fonctionnent correctement. C'est donc un instrument essentiel de la gouvernance d'entreprise puisqu'il doit vérifier l'application des procédures de l'entreprise, relever les manquement éventuels et faire des propositions pour améliorer l'efficacité et l'efficience des processus.

Enfin, la directive pourra modifier la culture d'entreprise, en mettant en évidence l'importance de la gestion des risques, ce qui sera indirectement positif pour l'Audit Interne également si les opérations de l'entreprise sont davantage maîtrisées.

4/ Légitimité accrue de l'Audit Interne

Au même titre que les normes professionnelles, le Code de Déontologie ou la Charte de l'Audit Interne, Solvabilité 2 permet de mettre en avant la légitimité des missions, pouvoirs et responsabilités de l'Audit Interne puisque cette réglementation indique quel doit être le positionnement de l'Audit Interne dans l'organisation, met en valeur son indépendance nécessaire, et rappelle quelles doivent être ses principales missions et ses organes de supervision. C'est donc un signe fort de reconnaissance de l'importance de cette fonction : le fait qu'une directive européenne aussi importante que Solvabilité 2 place l'Audit Interne au premier plan du dispositif de maîtrise des risques de l'entreprise met en avant le rôle crucial de cette fonction aujourd'hui.

De plus, l'Audit Interne étant centré sur la maîtrise des risques, le développement de dispositifs de contrôle et la recherche d'efficacité et de performance, cette fonction va se retrouver au cœur du dispositif Solvabilité 2 car

Master « Audit et Gouvernance des Organisations » (2010 - 2011)

96/189

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

elle sera chargée de garantir l'intégrité et la pertinence de l'ensemble du processus de gestion des risques. Indirectement, l'Audit Interne va donc voir son rôle renforcé par la directive.

En effet, l'Audit Interne, de part son rôle de conseil auprès de la Direction Générale, va tenir une place importante dans le dispositif de gestion des risques : l'intervention de la Direction de l'Audit Interne est même au cœur du pilier 2 de la directive puisque sa mission d'évaluation des processus de management des risques, de contrôle et de gouvernement d'entreprise revêt une importance considérable dans les fondements de Solvabilité 2. Ainsi, l'Audit Interne va voir son rôle, ses missions et sa légitimité renforcés sur tous les aspects du pilier 2.

5/ Clarification des rôles des fonctions-clés en charge de la maîtrise des risques

Afin d'obtenir une fonction Audit Interne totalement indépendante, les entreprises doivent séparer cette fonction des fonctions Risk Management et Contrôle Interne, qui lui sont parfois rattachées. Ainsi, l'un de mes interlocuteurs m'a expliqué que pour lui, Solvabilité 2 va permettre de clarifier les rôles, notamment au sein des Groupes de Protection Sociale, qui disposent souvent d'une fonction Audit Interne rattachée à une autre fonction.

Cela n'est pas le cas au sein des grandes sociétés d'assurances, qui disposent d'un service d’Audit Interne indépendant des autres services. L'application de cette démarche n’est donc pas une grande épreuve pour elles. Mais pour certaines entreprises, cette clarification des rôles est très positive car, d'après lui, certaines réunions qui avaient lieu jusqu'à maintenant ne concernaient pas l'Audit Interne, par exemple. L'Audit Interne pourra donc se consacrer pleinement à ses missions, qui sont d'apporter aux opérationnels la vision transversale « métiers » de l'Audit, construire un cadre d'identification et de maîtrise des risques, rechercher et promouvoir les meilleures pratiques, valider les dispositifs de contrôle et de management des risques, et conseiller sur l'élaboration et l'amélioration des systèmes de contrôle et sur les stratégies à mettre en œuvre pour maîtriser les risques.

d