Vous êtes sur la page 1sur 42

SUR LE CONTROLE INTERNE

DANS UNE ENTREPRISE D’ASSURANCE

Version révisée le 6 avril 2004.


Prise en compte d’une grande partie des commentaires et suggestions
de M. Pierre COUILLARD (CANADA) et de M. Carlos MONTALVO
REBUELTA (ESPAGNE).
Les ICP ont été réécrits sur la base de leur version 2003.
Les parties modifiées ou ajoutées sont soulignées.

Jean-Louis BELLANDO World Bank


Mr Donald Mac Isaac
Lead Insurance Specialist
Financial Sector
Contrôle interne dans une entreprise d’assurance.

Introduction : Recherche d’une définition.

Chap. 1 – Les objectifs du contrôle interne,

Chap. 2 – Organisation du contrôle interne dans une entreprise,

I – Principes
II- Acteurs

Chap. 3 – Contrôle interne : procédures spécifiques à l’assurance

Chap. 4 – Contrôle interne et autorités de contrôle,

Conclusion

2
Introduction

1 – IAIS (1) ICP 10 Internal control

« The supervisory authority requires insurers to have in place internal


controls that are adequate for the nature and scale of the business. The
oversight and reporting systems allow the board and management to
monitor and control the operations ».

La même exigence ressort de la législation communautaire européenne : « Les autorités


compétentes de l’Etat membre d’origine exigent que toute entreprise d’assurance dispose
d’une bonne organisation administrative et de procédures de contrôle interne adéquates »
(article 9, directive 92/49/CEE du 18 juin 1992 et article 8, directive 92/96/CEE du 10
novembre 1992).

Mais les directives européennes ne donnent aucune définition du contrôle interne.

2. Les définitions du contrôle interne ont évolué au fil des années, sur propositions
successives des associations d’experts comptables ou de commissaires aux comptes,
nationales et internationales :

a) « Ensemble des sécurités conduisant à la maîtrise des risques des entreprises »


(1977, ordre des experts comptables, France).
b) « Le système de contrôle interne est constitué de l’organigramme et de l’ensemble
des méthodes et procédures adoptées par la direction d’une entité lui permettant d’assurer,
autant que possible, la conduite ordonnée et efficace de ses activités… » (recommandation
internationale d’audit n°6 de l’IFAC, International Federation of Accountants, 1981).
c) Cette définition est reprise en substance par l’Institut canadien des comptables
agréés (ICCA, 1986), puis complétée en 1992 par l’évocation « des instructions établies par
la direction de l’entreprise pour la prise des décisions et les marches à suivre ».
Selon ces définitions, le champ d’application du contrôle interne couvre toutes les activités
de l’entreprise, même s’il concerne notamment les enregistrements comptables.
Les auteurs parlent tantôt de « contrôle interne », tantôt de « procédure de contrôle
interne », tantôt de « procédure » tout court. Les procédures ont pour rôle d’indiquer la
marche à suivre.
Le contrôle interne n’est pas un modèle de décision, il ne répond pas à l’interrogation « que
faire ? », il répond aux questions « qui fait quoi ? à quel moment ?, dans quel but ? ».

(1) ICP : Insurance Core Principles


IAIS : International Association of Insurance Supervisors

3
3. D’où une définition, très générale, proposée ici :
Le contrôle interne est un système d’organisation constitué par un ensemble de structures,
méthodes et procédures mises en œuvre au sein d’une entreprise en vue d’assurer une
conduite ordonnée et efficace de ses activités, et notamment :

- le respect des lois et règlements,


- l’application de la politique générale définie par la direction,
- l’encadrement et la maîtrise des risques liés aux activités,
- la qualité de l’information comptable et financière.

L’ensemble du personnel de l’entreprise doit être engagé dans le contrôle interne,


chacun y ayant ses propres devoirs et reponsabilités.

4 Objectifs, organisation, spécificités du secteur de l’assurance, relations avec les


autorités de contrôle, sont les titres des chapitres qui vont s’efforcer d’éclairer la fonction
contrôle interne au sein d’une entreprise d’assurance.

4
Chapitre 1 : Les objectifs du contrôle interne.

5 IAIS ICP 10 / Internal control :

(Explanatory note)
« The purpose of internal control is to verify that :
- the business of an insurer is conducted in a prudent manner in accordance with policies
and strategies established by the board of directors (refer to ICP 9, corporate governance),
- transactions are only entered into with appropriate authority,
- assets are safeguarded (refer to ICP 21, investments),
- accounting and other records provide complete, accurate and timely information,
- management is able to identify, assess, manage and control the risks of the business and
hold sufficient capital for these risks (refer to ICP 18, risk assessment and management,
and ICP 23, capital adequacy and solvency) ».

Au surplus, le contrôle interne doit vérifier que les différents départements de l’entreprise
fonctionnent conformément aux lois et règlements en vigueur dans les juridictions où elle
opère (et notamment aux règles visant à la protection individuelle et collective des assurés),
ainsi qu’aux statuts et règlements intérieurs.

6 Cette énumération montre que le contrôle interne est un auxiliaire essentiel du


conseil d’administration 1 de l’entreprise, dès lors qu’il lui apporte des éléments clés pour
l’aider à définir, mettre en œuvre et corriger sa politique.

7 1e- La maîtrise des risques de l’entreprise constitue une priorité pour les dirigeants.
Le contrôle interne doit fournir aux managers le moyen d’identifier, évaluer, gérer et
contrôler les risques liés à l’activité de l’entreprise.
S’agissant d’une entreprise d’assurance, cet objectif peut revêtir un double aspect :

8 a) d’une part, l’assureur prend en charge les risques de sa clientèle. Le conseil


d’administration définit une stratégie commerciale, une politique tarifaire, des critères
généraux de sélection des risques. Le contrôle interne vérifie l’application de ces
instructions et en mesure le bien-fondé a posteriori.

9 b) d’autre part, l’entreprise d’assurance est exposée à des risques qui menacent sa
solidité financière et compromettent sa rentabilité.
Ces risques ont été analysés ailleurs 2 dans une perspective réglementaire et prudentielle.
Ils sont généralement classés en :

- risques techniques : sous tarification,


sous provisionnement,
réassurance inappropriée.
- risques de placement : risques de taux, de liquidité, de change, de marché, de
défaillance d’une contrepartie ; risques spécifiques aux
instruments dérivés.
- autres risques : défaillance d’un partenaire clé (réassureur, courtier),
pressions externes (entreprise appartenant à un groupe),
défaillances dans la gestion.

1
Board of directors
2
études sur la solvabilité des entreprises d’assurance
5
La liste précédente est indicative, non exhaustive, il s’y ajoute des risques spécifiques à
certains départements de l’entreprise, qui seront énoncés plus loin (cf. n° 56 et suiv.).
Les systèmes de « risk management » comportent des procédures de contrôle interne, dont
l’un des objectifs essentiels est d’alerter les dirigeants sur l’impact que peuvent avoir ces
risques sur la situation de l’entreprise.

10 2e La sauvegarde des actifs constitue un objectif plus spécifique, mais qui dérive du
précédent.
Certains restreignent pourtant le contrôle interne à l’ensemble des procédures visant à la
sauvegarde du patrimoine de l’entreprise et à l’amélioration de ses performances.

11 a) D’une manière générale, sauvegarder le patrimoine, c’est notamment éviter les


erreurs, les fraudes, les prises de risques disproportionnées aux rendements attendus ;
améliorer les performances, c’est intégrer les procédures correspondantes dans une
approche qualitative.

12 b) S’agissant d’une entreprise d’assurance, il appartient aux gestionnaires, avec


l’assistance du contrôle interne, de veiller à ce que :
- Investissements et désinvestissements soient justifiés et réalisés aux meilleures
conditions,
- Les placements soient adaptés aux engagements qu’ils couvrent,
- Les placements soient correctement évalués, les dépréciations éventuelles étant
identifiées,
- Les placements soient protégés contre les risques financiers (cf. supra paragraphe 9), et
aussi contre les risques de disparition (incendies, inondations, etc…), de détournement ou
d’utilisation frauduleuse (cf. n° 67 et suiv. et IAIS ICP 21 Investments, essential criterium
d) sur « The risk management systems ».

13 c) Pour réduire ses risques financiers, une société d’assurance peut intervenir sur le
marché des instruments dérivés.
Ces instruments, qu’ils soient employés à titre de couverture ou pour modifier la structure
de rendement d’un portefeuille de placements, présentent des risques spécifiques : effet de
levier, maniement complexe, contrepartie défaillante, etc…
La maîtrise des risques sur produits dérivés est un problème de contrôle interne. Il importe
que le Conseil d’administration participe à l’élaboration des stratégies d’intervention, soit
informé des positions prises et en comprenne la portée, et ce grâce aux procédures de
contrôle interne (cf. chap. 3, V, référence n° 75).

14 3) Vérifier que les politiques et les stratégies définies par le Conseil


d’administration, ainsi que les décisions qui en découlent, sont correctement appliquées est
une mission fondamentale du contrôle interne.
La remontée d’une information fiable, par exemple en ce qui concerne les tarifs, les
provisionnements, les investissements, est d’autant plus nécessaire que les structures de
l’entreprise sont plus complexes et ses activités plus diversifiées, géographiquement et
techniquement. Cela vaut notamment pour les opérations déléguées (« outsourcing ») et
pour les filiales éloignées : le dirigeant d’une filiale suit-il les règles de la maison-mère ?
N’invoque-t-il pas plutôt des spécificités locales pour s’écarter de la ligne générale ? Il doit
alors exister des procédures qui bloquent ou limitent la portée de ces initiatives centrifuges.
Le chef d’entreprise, qui détient la fonction de décideur, peut commettre des erreurs, par
exemple la promotion d’un tarif inadapté, le sousprovisionnement de certains engagements,
une réassurance inappropriée, un investissement malencontreux…Les pertes qui en
résulteront entameront les fonds propres de l’entreprise, plus ou moins lourdement selon la
capacité des dirigeants, grâce au contrôle interne, à détecter leurs errements, à prendre des
mesures de redressement, à les faire appliquer et à en contrôler l’efficacité.
Le contrôle interne doit faire ressortir les éléments qui permettront à la direction
d’améliorer sa gestion.

6
15 4e) Le contrôle interne doit également veiller à ce que les transactions concernant
l’entreprise ont bien été effectuées par les personnes mandatées pour les négocier et les
conclure, dans les formes arrêtées par le Conseil d’administration (délégations de
signatures, division des tâches, contrôle des procédures).

Les délégations de pouvoirs, d’autant plus nécessaires que l’entreprise couvre un champ
d’activité plus étendu, sont sécurisées par la division des tâches, les fonctions de décision
(ou d’autorisation de décision), de protection (conservation) du patrimoine, de
comptabilisation et de contrôle étant confiées à des personnes différentes. La collusion du
trésorier et du comptable peut ainsi favoriser des turpitudes difficiles à détecter par un
contrôle interne routinier. La faillite de la banque Barings en 1995 est la conséquence des
spéculations malheureuses de son courtier de Singapour, qui simultanément prenait les
décisions et les enregistrait, tout en disposant de son propre programme informatique
auquel nul n’avait accès.

Pour être efficace, le contrôle interne doit disposer :


- d’un organigramme de l’entreprise listant les personnes disposant de la signature sociale
(c’est-à-dire engageant la responsabilité de l’entreprise) et les personnes ayant le pouvoir
d’approuver une décision ;
- d’un manuel écrit décrivant la répartition des tâches, des responsabilités (en matière
d’encadrement notamment) et des pouvoirs (de signature entre autres).
La sécurité des procédures suppose la mise en jeu d’une pluralité d’acteurs sur chaque
opération, le contrôle interne veillant à son efficacité.

16 5e) Le contrôle interne doit enfin permettre de s’assurer que l’information


développée dans les comptes et les rapports établis par les différents départements de
l’entreprise est complète, exacte et délivrée sans retard de nature à en compromettre
l’intérêt. Dans le même ordre d’idées, il appartient au contrôle interne de vérifier la sécurité
des systèmes informatiques.
En particulier, le contrôle interne agit sur la comptabilité pour limiter les errements
susceptibles d’altérer la qualité de l’information, et donc de fausser l’opinion tant du
décideur que de l’investisseur externe sur la situation financière réelle de l’entreprise.
Parmi les errements que le contrôle interne s’efforce de pourchasser, on citera :

- L’enregistrement d’opérations fictives,


- Le non enregistrement d’opérations réelles,
- Les transactions non autorisées, par exemple un rabais tarifaire consenti par un
intermédiaire au-delà des plafonds fixés par le Conseil d’administration,
- Les erreurs d’imputation : l’affectation de sinistres d’une branche d’assurance à une
autre branche faussera l’appréciation d’un tarif.
- Les erreurs sur la date des enregistrements, entraînant le report sur l’exercice suivant de
charges imputables à l’exercice inventorié (sinistres survenus non déclarés par
exemple),
- Les erreurs de présentation renvoyant par exemple des opérations au hors bilan.

7
17 L’informatique présente également des risques liés à la concentration des
informations, qui fragilise leur sauvegarde, et à l’utilisation de traitements complexes, qui
impliquent des anomalies à répétition si le programme est erroné.
Le contrôle interne doit veiller à :

a) la sécurité physique et logistique des installations et des données : sauvegarde des


fichiers et des programmes, utilisation éventuelle d’installations alternatives.
b) L’existence d’une « piste d’audit », c’est-à-dire d’un ensemble de procédures écrites
permettant de :
- reconstituer les opérations chronologiquement,
- justifier toute opération par une pièce d’origine à partir de laquelle il doit être possible
de remonter par un cheminement ininterrompu au document de synthèse et vice versa,
- expliquer l’évolution des soldes d’un arrêté de comptes à un autre par la conservation
des mouvements ayant affecté les postes comptables.

18 L’inventaire des objectifs qui lui sont dévolus démontre l’importance du contrôle
interne. Avant que son rôle ne soit reconnu et développé par les gestionnaires et les
économistes, les entreprises faisaient du contrôle interne sans le savoir, le bon sens les
ayant toujours conduites à rechercher des moyens adéquats pour maîtriser et contrôler leurs
actions.

19 En France, l’Ordre des experts comptables a souligné : « le contrôle interne n’est,


en soi, ni un système distinct, ni une fonction de l’entreprise. Il est (idéalement) une
préoccupation : la volonté de l’entrepreneur, qui organise son entreprise, de prévoir, dans
chacune des modalités qui concourent à sa gestion, les « sécurités » qui permettent d’en
assurer, autant que possible, l’autorégulation et l’autocontrôle ». C’est la présence de ces
« sécurités » dans les systèmes qui manifeste le contrôle interne de l’entreprise, tant dans
les domaines techniques qu’administratifs » (1977).

8
Chapitre 2 : Organisation du contrôle interne dans une entreprise.

20 Les procédures de contrôle interne mises en place par les entreprises d’assurance
sont de plus en plus lourdes, de plus en plus sophistiquées. Encore faut-il qu’elles soient
appropriées. Cette adéquation est, du point de vue prudentiel, particulièrement importante
dans certains domaines d’activité, comptabilité, informatique, mais pas seulement.
Le contrôle interne est largement traité dans les réglementations bancaires. Dans le secteur
de l’assurance, le sujet est abordé, suivant les juridictions, tantôt par la loi et des
règlements, tantôt par des circulaires de l’autorité de contrôle, tantôt par des
recommandations des associations professionnelles. Les règles sont plus ou moins
détaillées, souvent similaires pour tous les services financiers, parfois développant des
spécificités assurantielles.
En 1992, une obligation de principe, et rien de plus, a été définie par l’Union européenne :
« Les autorités compétentes de l’Etat membre d’origine exigent que toute entreprise
d’assurance dispose d’une bonne organisation administrative et de procédures de contrôle
internes adéquates » (3èmes directives assurance, n° 92/49/CEE, article 9, et n° 92/96/CEE,
article 8).
L’ICP 10 de l’IAIS reprend la même exigence en précisant : « adéquats compte tenu de la
nature et du volume des activités de l’entreprise ».

L’organisation du contrôle interne doit donc être adaptée :

- au secteur d’activité de l’entreprise : assurances dommages et responsabilité,


réassurance, assurances vie et maladie,
- à sa taille,
- à sa structure hiérarchique,
- à sa diversification géographique,
- à sa clientèle : particuliers, entreprises, etc…,
- à la répartition de son capital,
- à sa capacité d’accès aux marchés de capitaux.

21 L’efficacité du contrôle interne repose sur un certain nombre de conditions


essentielles : respect de principes fondamentaux, techniques permettant leur application
correcte, implication à tous les niveaux des acteurs de l’entreprise, surveillance de la mise
en oeuvre des procédures, suivi du degré de réalisation des objectifs fixés.

9
I – LES PRINCIPES FONDAMENTAUX ET LEUR APPLICATION.

22 1e) La formalisation des procédures.


L’entreprise doit être organisée rationnellement, ce qui signifie que ses structures doivent
être décrites dans un organigramme et ses procédures écrites et rassemblées dans un
manuel.
Il n’y a pas d’organisation type. Chaque entreprise s’organise en fonction de ses objectifs,
de sa stratégie, de sa taille, de la diversité de ses activités.

23 L’organigramme doit notamment mettre en relief les personnes disposant de la


signature sociale, c’est-à-dire engageant la responsabilité de l’entreprise et éventuellement
leur propre responsabilité pénale. Plus généralement, l’organigramme doit comprendre la
liste de toutes les personnes habilitées à prendre une décision.

24 Le manuel doit inventorier les délégations de pouvoirs, qui doivent être sans
ambiguïté et faites au profit de personnes qualifiées pour exercer ces pouvoirs. La
délégation doit correspondre aux fonctions effectives du délégataire.
Les procédures ainsi formalisées doivent être appliquées systématiquement et en
permanence.

25 2°) La qualité et la disponibilité de l’information.


L’information recueillie et exploitée dans les circuits du contrôle interne doit être :
a) pertinente, c’est-à-dire adaptée à son utilisation,
b) neutre, c’est-à-dire exempte de toute manipulation,
c) utilisable : elle doit permettre à chaque destinataire d’en tirer les renseignements dont il
a besoin, ratios, tableaux de bord, etc..
d) vérifiable, ce qui implique une documentation claire et facile à examiner. Les
transactions et les autres évènements significatifs doivent être promptement enregistrés
et correctement répertoriés.

26 Un contrôle interne efficace nécessite une bonne remontée de l’information. L’un


des problèmes des dirigeants des grandes entreprises, souvent entourés par une cour de
collaborateurs plus adulateurs que critiques, est d’obtenir des informations non filtrées par
des responsables ou intermédiaires opérationnels et fonctionnels. Ainsi certaines
informations doivent pouvoir être reçues directement par le conseil d’administration : il
s’agit notamment dans le secteur des assurances des réclamations des assurés, des litiges,
du suivi des engagements hors bilan, des écarts entre les émissions et les encaissements de
primes, des différences significatives entre les paiements de sinistres et les provisions, des
cadences de recouvrement des recours, judiciaires ou amiables, auprès des auteurs des
sinistres.

27 3) La compétence et l’honnêteté du personnel (le test « fit and proper »).


« L’efficacité des procédures de contrôle interne est fonction de l’intégrité et de l’éthique
dont font preuve les personnes qui créent ces contrôles, les gèrent et en assurent le
suivi… », selon une affirmation de la Commission Treadway en 1992 (3).
La compétence des employés est confortée par un recrutement pertinent, une formation
permanente dans des instituts spécialisés et sur le terrain, la fixation d’objectifs motivants
et des plans de carrière encourageants.
L’honnêteté est une vertu, pas forcément éternelle : il arrive que de gros sinistres soient
provoqués par des employés de confiance qui brusquement déraillent après avoir eu un
comportement irréprochable pendant de nombreuses années. La mobilité des personnes ou
le transfert des responsabilités, à tous les niveaux de la hiérarchie, peut préserver des
tentations développées par la routine et l’habitude.

3
« National commission on fraudulent financial reporting » (Etats-Unis) plus connue sous le nom de son président.
10
Même dans un cadre très informatisé, l’efficacité du contrôle interne peut toujours être
affectée par une défaillance humaine provoquée par la fatigue ou la distraction.
C’est pourquoi, quelles que soient la compétence et l’intégrité des employés, un contrôle de
leurs opérations est toujours opportun, qu’il soit exercé par leurs responsables
hiérarchiques ou par des vérificateurs ponctuels empruntés à l’audit interne (cf. infra, II, 2e,
réf. 40) ou recrutés à l’extérieur de l’entreprise (auditeur contractuel).

28 4) La disposition de ressources matérielles et humaines suffisantes.


Le contrôle interne doit être proportionné à la situation de l’entreprise et aux risques
encourus par elle : cela suppose la mise en place d’une organisation adéquate en personnel
et en outils d’exécution.
Mais les dépenses engagées doivent être en rapport avec le résultat obtenu, selon la règle
dite du « coût-avantage » (« cost-benefit relationships »). Si les procédures mises en œuvre
pour détecter les fraudes des assurés sur les déclarations et paiements de sinistres ont un
coût beaucoup plus élevé que les économies qu’elles permettent de réaliser, il est judicieux
d’y renoncer. Plus généralement un contrôle interne qui empêcherait toute erreur ou toute
fraude serait évidemment efficace mais démesuré si son prix est prohibitif et s’il multiplie
les redondances au détriment de la rapidité du traitement de l’information.

29 5) La séparation des fonctions (« segregation of duties »).


« The framework for internal controls within the insurer includes arrangements for
delegating authority and responsability, and the segregation on duties… » (IAIS, ICP 10,
essential criterium b).
Le contrôle interne est réputé efficace lorsque, dans une même opération, la même
personne n’accomplit pas simultanément deux des fonctions de décision, de conservation
des actifs, d’enregistrement et de contrôle.

30 Selon une approche traditionnelle :

a) La fonction de décision engage l’entreprise dans le but de réaliser son objet social.
Quand la décision est déléguée à un subalterne, la fonction de décision est liée à la fonction
d’autorisation ou d’approbation.

b) La fonction de conservation (de protection ou de détention) des actifs vise aussi


bien les locaux et les circuits informatiques que les immobilisations financières et les
valeurs mobilières ou les espèces détenues. Son bon exercice suppose des moyens de
protection restreignant ou même interdisant l’accès aux ressources et aux documents, tels
que coffres, badges ou codes d’entrée. L’extension de la télématique implique la mise en
place de contrôles d’accès aux programmes et aux fichiers : mots de passe, verrous,
logiciels d’accès. Cette fonction est notamment exercée par les trésoriers et les personnes
autorisées à vendre ou acheter des titres en bourse.

La fonction de conservation des actifs implique que les biens soient eux-mêmes couverts
par une police d’assurance adéquate.

c) La fonction d’enregistrement ou de comptabilisation comprend la vérification des


documents avant leur enregistrement, tâche aujourd’hui confiée à l’informatique via des
procédures programmées de contrôle.

L’expérience a démontré l’impérieuse nécessité de séparer les fonctions de comptable et de


trésorier. Le comptable ne doit jamais manipuler des espèces ou des chèques, il ne doit
jamais avoir sa signature autorisée auprès d’une banque. Dans le cas contraire, il serait par
exemple bien placé pour :

- comptabiliser des sinistres fictifs et les payer aussitôt,


- annuler des créances de primes et voler les chèques remis par les assurés,
- comptabiliser une cession d’actif pour un montant inférieur à son montant et
conserver la différence…

11
Qui plus est, s’il y a collusion entre le comptable et le trésorier, les deux personnages sont
en mesure d’organiser leurs détournements de façon à mettre en échec toute procédure de
contrôle interne.

d) La fonction de vérification (ou de contrôle) a pour objet de surveiller les autres


fonctions par des opérations routinières, systématiques et permanentes.

31 Mais cette approche traditionnelle ne correspond plus à l’univers informatisé des


grandes entreprises modernes opérant en système de comptabilité intégrée. Dans une
comptabilité classique, même avec de nombreuses tâches automatisées, chaque agent reste
responsable d’une fonction précise, tandis que, dans une comptabilité intégrée, les tâches
relèvent de traitements programmés dont les étapes s’enchaînent automatiquement à la
suite d’un acte initial unique. Dès lors, il n’y a plus de séparation entre les tâches de
décision, de conservation et de comptabilisation. La ségrégation s’exerce à un autre niveau,
entre :

- la fonction de conception et
- la fonction d’utilisation.

L’utilisateur de l’informatique, comptable, trésorier, gestionnaire de valeurs, doit


seulement disposer du mode opératoire nécessaire à sa mission, à l’exclusion de toute
description exhaustive des traitements et des vérifications informatiques intégrées à ces
traitements.

Le concepteur d’un système informatique ne doit pas pouvoir accéder aux systèmes
d’exploitation.

32 6) Indissociable du principe de la séparation des fonctions, le principe


d’autocontrôle implique des recoupements d’informations et des contrôles réciproques.

a) Le recoupement consiste à comparer des informations semblables et figurant dans


des documents différents, ou à justifier une information à partir de sources différentes.

L’informatique multiplie les possibilités de recoupements automatiques.

b) Le contrôle réciproque est la comparaison d’une même information à partir de son


enregistrement par deux personnes différentes.

Par exemple, le comptable enregistre les primes et le trésorier enregistre les chèques reçus
des assurés.

Par exemple, l’acquisition d’un immeuble est enregistrée à la fois par le service technique
de gestion du patrimoine immobilier (fichier des immobilisations), et par le service
comptable (journal des achats et des ventes d’immeubles), le contrôle réciproque consistant
à vérifier la concordance des deux montants.

c) Une surveillance permanente des responsables hiérarchiques est également


nécessaire pour veiller à la réalisation des objectifs du contrôle interne. Cette surveillance
peut être exercée par des procédures programmées, dont le bon fonctionnement doit être
régulièrement vérifié par des responsables.

12
II – LES ACTEURS DU CONTROLE INTERNE.

33 Le contrôle interne est mis en place au niveau d’un département, d’une entreprise,
d’un groupe de sociétés d’assurance, d’un conglomérat financier.

L’unité de référence retenue ici est l’entreprise.

Outil de gestion indispensable pour les décideurs de l’entreprise, le contrôle interne n’est
pas une fonction isolée, distincte, et, même lorsqu’il implique des agents spécialisés,
internes ou externes à l’entreprise, il constitue un système intégré à tous les départements,
dont il met à contribution les personnes qui créent les procédures, les gèrent, les exécutent
et assument le suivi des amendements et redressements décidés.

34 La conception est de la compétence du conseil d’administration et éventuellement


des comités auxquels il a délégué certains pouvoirs. Le conseil décide également des
redressements qui apparaissent nécessaires à la suite des informations recueillies. Les
tâches de gestion et d’exécution incombent au personnel sur base d’autocontrôles et de
supervision par les responsables hiérarchiques. Ensuite, la vérification de la bonne
conception et du fonctionnement approprié du contrôle interne est exercée par des
missionnaires polyvalents (auditeurs) ou spécialisés (risk managers, actuaires, experts-
comptables), extérieurs ou non à l’entreprise. La synthèse des contrôles, le relevé des
déficiences, le suivi des corrections sont le plus souvent confiés à un coordinateur, parfois
baptisé officier de conformité (« compliance officer »).

1) Le Conseil d’administration.

35 a) Principes généraux :

- « The board (of directors) is the focal point of the corporate governance system. It is
ultimately accountable and responsible for the performance and conduct of the insurer.
Delegating authority to board committees or management does not in any way mitigate or
dissipate the discharge by the board of directors of its duties and responsibilities (IAIS, ICP
n° 9, corporate governance, explanatory note).
- « The supervisory authority reviews the internal controls and checks their adequacy to
the nature and the scale of the business and requires strengthening of these controls where
necessary. The board of directors is ultimately responsible for establishing and maintaining
an effective internal control system ».

b) Application :

Le Conseil d’administration est donc à la fois le concepteur du système de contrôle interne


dans l’entreprise et son utilisateur final.

Le Conseil d’administration :

- établit des principes et des orientations,


- définit des objectifs stratégiques,
- organise les moyens de réaliser ces objectifs, et entre autres le partage des
responsabilités et des tâches,
- définit des procédures pour contrôler et évaluer leur exécution,
- analyse les informations recueillies,
- sollicite éventuellement des compléments d’enquête,

13
- examine les recommandations reçues en vue d’améliorer le fonctionnement de
l’entreprise,
- ordonne les corrections et les redressements à effectuer, ainsi que les modalités du
suivi de leur mise en œuvre.

36 1bis ) Dans cette tâche, le conseil d’administration peut se faire assister par des
comités spécialement créés à cet effet. Plus l’entreprise est importante, plus le recours à des
comités est usuel. Mais les délégations de pouvoirs à ces comités, qui comprennent des
administrateurs et des dirigeants exécutifs parmi leurs membres, n’exonèrent pas le conseil
de ses obligations et responsabilités.

« The board of directors may establish committees with specific responsabilities like a
compensation committee, audit committee or election committee » (ICP n°9, advanced
criterium d).

Par leur composition, leur objet et leurs pouvoirs, ces comités sont très différents d’une
entreprise à une autre. L’énumération qui suit est simplement indicative.

37 a) Le plus fréquent est un comité d’audit à larges compétences :

- élaboration et aménagements d’un code de conduite et d’un manuel d’audit interne,


- fixation de plans d’action annuels pour les auditeurs,
- suivi des rapports d’audit interne (cf. infra, 2e, réf. n° 47).

38 b) Souvent sont mis en place des comités de pilotage spécialisés : « risk


management », placements, informatique, éthique (information et protection des assurés)..

Le comité « Risk management » est chargé du suivi des risques susceptibles d’entraîner des
pertes pour l’entreprise d’assurance, qu’il s’agisse des risques techniques, des risques de
placement ou des risques de gestion. Ses attributions, liées aux procédures de contrôle
interne, incluent aussi :

- le risque informatique : pertes à laquelle est exposée l’entreprise par suite de


dysfonctionnements de ses ordinateurs ou d’une utilisation inappropriée (fraudes,
piratages, sabotages) (cf. n° 77),
- le risque opérationnel : pertes résultant des erreurs et des fraudes du personnel.

39 c) Parfois la vérification de la conformité des actes de l’entreprise aux lois et


réglementations en vigueur, ainsi qu’aux statuts et règlements internes, est confiée à un
comité spécial (« compliance committee »).

Ce comité a pour mission de collecter toutes informations sur l’application des statuts et
des manuels de procédures ou d’audit adoptés par le Conseil d’administration. Sur la base
des constatations effectuées, il propose des amendements au Conseil. Souvent son rôle est
plus formel qu’économique.

Un « compliance officer », qui peut être le secrétaire général du « compliance committee »


ou toute autre personne désignée à cet effet, joue parfois le rôle d’une courroie de
transmission entre les comités et les agents d’exécution : examen des rapports, inventaire
des faiblesses signalées, suivi des actions correctives.

40 2e) Les auditeurs sont les agents de mesure du contrôle interne.

Leur rôle est explicité par l’essential criterium c) de l’ICP n° 10 : « The internal and
external audit, actuarial and compliance functions are part of the framework for internal
control, and must test adherence to the internal controls as well as to applicable laws and
regulations ».

14
a) Définitions :

L’audit 4 est un examen critique des informations diffusées au sein d’une entreprise (ou à
des tiers). L’audit est dit financier s’il a pour objet de certifier l’image fidèle des comptes
de l’entreprise. Quant à l’audit opérationnel, il décortique l’activité d’une entreprise en vue
d’améliorer ses performances : il se conclut par des conseils et la proposition éventuelle de
procédures plus efficaces, notamment en matière de contrôle interne.

41 L’auditeur est la personne physique ou morale (cabinet d’audit) qui exécute un


audit. Il est externe ou interne.

L’auditeur externe est légal (commissaire aux comptes) ou contractuel, ayant reçu mandat
pour exécuter une mission définie, par exemple la mise en place de procédures de contrôle
interne.

L’auditeur interne est un salarié de l’entreprise qu’il audite. Il « est une fonction
indépendante d’appréciation, exercée dans une organisation par un de ses départements,
pour examiner et évaluer les activités de cette organisation. L’objectif de l’audit interne est
d’aider les membres de l’organisation à exercer efficacement leurs responsabilités. A cet
effet, l’audit interne leur fournit des analyses, appréciations, recommandations, conseils et
informations sur les activités examinées » (institute of internal auditors, 1989).

Si la mise en place d’une fonction d’audit interne n’est pas compatible avec les structures
et dimensions de l’entreprise d’assurance (cas des petites et moyennes entreprises) le
Conseil d’administration doit organiser des procédures de surveillance supplémentaires ou
soustraiter cette fonction afin de donner une sécurité suffisante au système de contrôle
interne.

42 b) Pouvoirs et qualités de l’auditeur interne.

La spécificité et l’importance de la fonction d’audit interne ont été mises en avant par
l’IAIS, dans son ICP n° 10 (essential critérium j) :

« j. The supervisory authority requires that an internal audit function :

- has unfettered access to all the insurer’s business lines and support departments,
- assesses outsourced functions,
- has appropriate independence, including reporting lines to the board of directors,
- has status within the insurer to ensure that senior management reacts to and acts
upon its recommendations,
- has sufficient resources and staff that are suitably trained and have relevant
experience to understand and evaluate the business they are auditing,
- employs a methodology that identifies the key risks run by the institution and
allocates its resources accordingly ».

Les auditeurs internes examinent la régularité et la sécurité, l’adéquation et l’efficacité des


systèmes de contrôle interne préparés par chacun des départements de l’entreprise, et cela
en liaison avec le comité d’audit (ou à défaut avec le secrétariat général si celui-ci s’est vu
confier une mission de coordination par le conseil d’administration). Ils apprécient la
cohérence des systèmes avec les opérations réelles, et proposent des remèdes appropriés
aux problèmes qu’ils détectent dans les procédures de contrôle interne.

4
Audit a pour racine le mot latin « audire » (écouter), mais l’auditeur ne doit pas se contenter d’écouter, il doit aussi
être écouté !
15
43 Pour accomplir leur mission d’analyse, les auditeurs internes doivent être :

- compétents et expérimentés,
- suffisamment nombreux et adéquatement équipés,
- munis de pouvoirs suffisants pour exiger que les départements soumis à leurs
investigations leur remettent rapports, documents et autres matériels nécessaires pour
leur audit. Les audités doivent collaborer.
- indépendants, ce qui signifie que, dans le périmètre de leur mission, leurs pouvoirs ne
sont pas limités. En contrepartie, ils ne sauraient diffuser les informations recueillies à
d’autres que les parties concernées lorsqu’ils n’ont pas de bonnes raisons pour le faire.
- en mesure, plus généralement, d’exécuter leur mission proprement et efficacement,
impartialement et loyalement.

L’audit interne doit en outre être universel, c’est-à-dire couvrir toutes les activités de
l’entreprise.

44 c) Plusieurs types d’audits internes sont régulièrement mis en œuvre :

- l’audit annuel de chaque département de l’entreprise,


- l’audit sur un thème particulier couvrant plusieurs départements,
- l’audit de suivi d’un audit, pour vérifier que les actions correctives engagées par les
responsables des départements sont (ou non) adéquates, efficaces et exécutées dans
des délais acceptables.

45 d) La mission d’audit interne.

Un plan annuel de travail est élaboré par un coordinateur (comité d’audit, secrétariat
général, « compliance officer ») et approuvé par le conseil d’administration. Ce plan :

- définit la politique générale de l’entreprise en matière d’audit,


- met en relief des exigences prioritaires compatibles avec les objectifs du
management,
- inventorie les plans d’action individuels.

Les plans d’action pour les audits internes individuels sont préparés dans un cadre établi
par le coordinateur qui prend en compte les différents types de risques et leur intensité,
ainsi que la fréquence, la portée et le degré d’approfondissement des travaux effectués
précédemment. L’approbation des plans individuels est souvent déléguée à la direction
générale de l’entreprise.

Un plan individuel doit renseigner sur les objectifs, la méthodologie suivie, les activités à
examiner, le calendrier et le budget prévus.

46 e) Rapport :

A la fin de leur mission, les auditeurs internes rédigent un rapport qui doit :

- rassembler les informations recueillies et les analyses qui en découlent,


- mettre en valeur les travaux effectués pour en faciliter l’exploitation
par des tiers,
- mentionner la liste des activités auditées, la facilité avec laquelle la
mission a pu être exécutée, la liste des interviews, les observations,
conclusions, opinions et suggestions du rédacteur.

16
47 f) Le suivi de l’audit interne.

Interviews et rapport, commentaires du coordinateur et notification aux audités constituent


les étapes d’un dialogue qui doit susciter actions et réactions des dirigeants de l’entreprise
et des responsables des départements, débouchant sur des initiatives de nature à corriger les
déficiences relevées et à améliorer les procédures de contrôle interne dans le sens souhaité
par l’auditeur.

48 Le coordinateur transmet au chef du département audité le résultat de l’audit,


annoté par ses propres commentaires, avis , instructions, suggestions. Le chef du
département est invité à présenter un plan d’actions correctives des déficiences constatées.

Le rapport individuel de l’auditeur peut être diffusé à d’autres personnes dans l’entreprise,
sur demande du chef de département, proposition du coordinateur et autorisation de la
direction générale.

49 Un rapport d’ensemble est élaboré par le coordinateur à l’intention du conseil


d’administration. Il est strictement confidentiel, mais adressé aux chefs de département et
ouvert aux commissaires aux comptes. Il répertorie les items étudiés, les problèmes à
résoudre, les observations et les recommandations effectuées.

50 Avec l’assistance du coordinateur, le chef du département épinglé doit prendre


immédiatement des mesures en vue de remédier aux problèmes soulignés par l’auditeur ou
même par la direction générale. Dans un compte rendu pour le coordinateur, il détaillera les
actions engagées, indiquera les résultats obtenus, annoncera de futures initiatives, tout en
démontrant que les instructions reçues ont été respectées. Le suivi de ces actions
correctives par le coordinateur est alors formalisé comme un nouvel audit régulier, ayant
pour objet d’en constater la réalisation et d’en évaluer l’efficacité.

2ème bis) Les autres acteurs de l’audit interne.

51 a) Les missions d’audit comptable et financier sont des missions particulières de


l’audit, ayant pour objet de vérifier que les états financiers arrêtés par l’entreprise
traduisent correctement sa situation économique et son activité.

Pour cet audit de régularité par rapport aux normes comptables et de conformité aux
données économiques enregistrées, il peut être fait appel à des experts comptables externes
ou à des commissaires aux comptes lesquels sont par ailleurs tenus d’exprimer un avis sur
la fiabilité des comptes ainsi que plus généralement sur la solidité du système de contrôle
interne pris dans son ensemble.

52 b) Les spécificités de l’assurance conduisent à donner un rôle particulier aux « risk


managers » et aux actuaires dans l’organisation du contrôle interne et son appréciation
qualitative.
Cf. IAIS ICP n° 18, Risk assessment and management :

17
« Essential criteria

a. The supervisory authority requires and checks that insurers have in place
comprehensive risk management policies and systems capable of promptly
identifying, measuring, reporting and controlling their risks.
b. The risk management policies, and risk control systems are appropriate to the
complexity, size and nature of the insurer ‘s business…
c. The risk management system monitors and controls all material risks ».

Des exemples de la mise en application de ces principes dans les entreprises d’assurance
sont donnés au chapitre suivant sur différents thèmes : sauvegarde des placements, gestion
actif passif, instruments financiers à terme, acceptation des risques après identification,
analyse et recherche de cumuls (agrégations), etc…

53 c) Les actuaires occupent une place à part dans le fonctionnement et le contrôle des
entreprises d’assurance. Acteurs du contrôle interne au sein d’une société d’assurance vie
(et même non vie dans certaines juridictions), ils sont évoqués logiquement par l’IAIS ICP
n° 10 :

Essential criterium l :

« l. The supervisory authority requires that actuarial reporting to the board and
management where the appointment of an actuary is called for by applicable legislation 02
by the nature of the insurer’s operations ».

L’actuaire est un auditeur spécialisé ayant un accès direct au conseil d’administration.

Les grands cabinets d’audit internationaux ne disposent généralement pas d’un personnel
suffisamment qualifié pour analyser sérieusement les provisions techniques d’assurance
vie. Ils font alors appel à des actuaires pour évaluer provisions techniques, tarifs et
participations des assurés vie aux bénéfices.

Dans un certain nombre de pays, la loi exige que les entreprises d’assurance désignent un
actuaire responsable (« appointed actuary »). Cet actuaire doit garantir que les primes et les
provisions mathématiques de l’assurance vie sont calculées conformément aux
réglementations et aux principes actuariels généralement admis. Il a donc accès à toutes les
informations qui peuvent lui être utiles. Il rend compte de ses observations au conseil
d’administration. C’est donc un agent important du contrôle interne.

18
Chapitre 3 – Contrôle interne et procédures spécifiques à l’assurance.

54 D’une manière générale, l’approche d’une entreprise d’assurance, en ce qui


concerne le contrôle interne, ses objectifs, ses principes, ses acteurs et un certain nombre de
procédures, ne s’écarte pas de celle des autres entreprises du secteur financier.

Mais des procédures spécifiques prennent en compte :

1) Les particularités de l’opération d’assurance :

- fixation a priori des prix (risque de sous-tarification) ;


- sélection des risques (idem) ;
- souscription d’engagements à long terme (risque de sous-provisionnement) ;
- corrélation entre les contrats d’assurance vie et les placements (risques de taux, de
dépréciation, de contrepartie) ;
- réassurance (risques spécifiques) ;
- intermédiation (risque de défaillance d’un partenaire) ;
- délégations de gestion (id).

2) La nécessité d’une protection renforcée des consommateurs d’assurance.


Le contrôle interne doit s’attacher à mesurer la qualité du service rendu aux assurés, par
exemple sur la base d’informations précises, telles que le paiement des rachats (assurance
vie) et le règlement des sinistres (assurance non vie).

55 On décrira ci-après les procédures de contrôle interne mises en place pour maîtriser
les risques attachés à diverses fonctions importantes au sein d’une entreprise d’assurance
(liste non exhaustive) :

I. L’acceptation des risques (assurance vie)


II. Les provisions pour sinistres à payer (assurance non vie)
III. La sauvegarde des placements
IV. La gestion actif passif
V. Les instruments financiers à terme
VI. Le risque informatique
VII. Le rôle des intermédiaires
VIII. Les gestions déléguées
IX. Le blanchiment des capitaux

Dans chacun de ces types d’opération, seront décrits :

- les risques spécifiques à l’activité étudiée,


- les objectifs subséquents du contrôle interne,
- les principales procédures de contrôle interne mises en œuvre.

19
I) L’ACCEPTATION DES RISQUES (assurance vie).

56 L’objet d’un contrat d’assurance est la garantie d’un risque.

En assurance vie, le risque est lié à la durée de la vie humaine, l’assuré pouvant décéder
trop tôt (garantie décès) ou trop tard (rente viagère garantie).

L’assureur doit mesurer le risque afin de :

1 – décider s’il l’accepte ;


2 – déterminer le montant de la prime correspondante.

57 1e) Dans ce cadre, les procédures de contrôle interne mises en place par l’assureur
vie portent sur :

a) la proposition d’assurance :

- est-elle conçue pour permettre une appréciation correcte du risque ?


- est-elle bien remplie ?

b) la recherche d’un cumul de risques :

- existe-t-il dans la société d’autres contrats en vigueur ayant pour sujet le même
assuré ?

c) la sélection médicale (garantie décès) :

- questionnaire médical et, le cas échéant, examens complémentaires constituent-ils une


protection efficace contre le risque d’antisélection ?

d) la réassurance des capitaux garantis d’un montant dépassant la capacité de l’assureur :

- est-elle adaptée à ses moyens financiers ?


- est-elle appliquée ?

58 2e) Le fichier des contrats regroupant les informations nécessaires à la gestion des
risques, des primes et des provisions mathématiques doit être d’un accès facile.

59 3e) Les problèmes du suivi des primes et des provisions mathématiques suscitent
diverses actions de contrôle interne (liste non exhaustive) :

a) Le quittancement des primes :

Les procédures de contrôle interne doivent permettre de s’assurer que le tarif appliqué est
bien conforme au risque mesuré lors de la conclusion du contrat.

L’informatisation du calcul des primes facilite en général la solution de ce problème.

60 b) L’encaissement des primes.

Les procédures pour remédier au risque de détournement ou de perte du paiement et au


risque d’affectation erronée du versement à un contrat sont organisationnelles, et le
contrôle interne doit veiller à leur bonne application : encaissement direct, séparation des
tâches entre la réception des fonds, leur affectation et le suivi des comptes bancaires, etc…

20
61 c) Le rattachement de chaque prime à la provision mathématique du bon contrat.

- Risque : une prime enregistrée en produit n’a pas de contrepartie dans la provision
mathématique du contrat.
- Rôle du contrôle interne : analyse systématique des primes impayées ; vérification de
cohérence entre les fichiers primes et les fichiers provisions mathématiques.

61bis Le présent paragraphe (I) peut être transposé à l’assurance non vie, sauf en ce qui
concerne la sélection médicale (1er c) et les provisions mathématiques (3ème c). On insistera
sur :

a) les tarifs : comment est déterminé le tarif applicable ? existe-t-il une procédure de
vérification des tarifs appliqués ? si oui, laquelle ? en cas de dérogation tarifaire,
existe-t-il une procédure d’autorisation hiérarchique particulière liée à l’importance de
la dérogation ? si oui, laquelle ?
D’une manière générale, il appartient au contrôle interne de maintenir un juste
équilibre entre les objectifs commerciaux (produire) et les impératifs techniques (prime
suffisante).

b) les sinistres et les provisions pour sinistres : cf. infra, II.

II – LES PROVISIONS POUR SINISTRES A PAYER (sociétés non vie).

62 Les provisions techniques doivent être suffisantes pour couvrir intégralement les
engagements pris par l’entreprise d’assurance envers ses assurés et bénéficiaires de
contrats.

Dans une société non vie, la provision pour sinistres à payer est destinée à permettre le
règlement intégral de tous les sinistres (et des frais de gestion y afférents) survenus avant la
date de l’inventaire et non encore définitivement payés à cette date. Elle comprend des
sinistres déclarés et des sinistres tardifs (survenus mais non encore déclarés ou IBNR).

La provision pour sinistres, poste le plus important au passif du bilan d’une société
d’assurance non vie, est seulement évaluée : une erreur est toujours possible, faussant
l’image de la situation financière de la compagnie affichée par son bilan.

Le contrôle des provisions pour sinistres est donc prioritaire pour apprécier les risques
encourus par une compagnie d’assurance, et notamment :

- le sous provisionnement, qui fausse le bilan ;


- la sous tarification, qui est masquée par une mauvaise appréciation des coûts ;
- une gestion inadaptée des sinistres ;
- des fraudes : paiements indus de sinistres réels ou fictifs.

63 Les procédures de contrôle interne doivent mesurer la qualité de la gestion des


sinistres et la pertinence des montants de provisions retenus. Par la nature même de leurs
fonctions, les auditeurs internes apparaissent comme étant les personnes les plus aptes à
examiner dans le détail les provisions et à y consacrer beaucoup de temps si nécessaire.

Un audit interne des provisions pour sinistres répond à deux objectifs essentiels :

1) La vérification des montants à une date donnée (par ex. au bilan),


2) La vérification des procédures et des méthodes d’évaluation de l’entreprise.

La première vérification porte sur le niveau des provisions : sont-elles légalement


correctes ? sont-elles suffisantes ? L’auditeur doit indiquer le montant qui lui paraît
adéquat.

21
La seconde vérification porte sur les méthodes et procédures : sont-elles acceptables au
regard des réglementations ? sont-elles logiques ? sont-elles bien appliquées ? n’y a-t-il pas
de fraude dans les provisions ? La répartition des compétences en matière d’évaluation des
dossiers est-elle organisée de manière à assurer un contrôle satisfaisant des évaluations
elles-mêmes ?

64 Le rapport d’audit interne doit aussi :

a) – garantir que les procédures comptables appliquées sont correctes ;


- indiquer l’influence de ces procédures sur les statistiques de sinistres et l’examen des
provisions ;
- proposer des améliorations.
Existe-t-il un rapprochement entre les paiements enregistrés dans les dossiers de sinistres et
les paiements enregistrés en trésorerie ?
Y a t-il une procédure renforcée pour les paiements dépassant un montant fixé à l’avance ?

b) - évaluer le système informatique appliqué aux sinistres à la lumière de l’étude des


provisions ;
- indiquer l’incidence des imperfections de ce système sur les provisions ;
- formuler des recommandations.

c) - donner une appréciation générale de la gestion des provisions au sein du département


des sinistres : évaluation à l’ouverture du dossier ; révision systématique à l’occasion
de chaque fait nouveau ;
- porter un jugement sur les outils disponibles pour les gestionnaires (manuel
d’évaluation et de gestion des sinistres) : mise à jour périodique de ces outils ;
- indiquer l’incidence des imperfections constatées dans la gestion ou les outils sur les
provisions ;
- proposer des améliorations de la gestion et des outils, en particulier sur la base
d’analyses spécifiques des insuffisances de provisions constatées.

65 L’audit des provisions met donc en évidence des problèmes dépassant la mission
stricte de l’auditeur chargé d’apprécier les provisions de sinistres :

1e) Remise en cause :


- de la tarification,
- de la stratégie commerciale de l’entreprise.

2e) Dysfonctionnements au sein de la comptabilité.

3e) Défaillances dans les chaînes de traitement informatique.

L’émergence de ces problèmes provoquera d’autres audits.

Les réponses des audités aux recommandations du rapport sont analysées par les auditeurs,
qui procèdent ensuite au suivi de l’audit, pointant les réactions suscitées par chaque
recommandation.

66 Remarque : Il peut arriver que les provisions pour sinistres sont bien estimées alors
même que procédures et méthodes utilisées par la compagnie ne sont pas satisfaisantes.
Ainsi, dans une petite société, le directeur général, par son expérience du marché et de son
portefeuille, est particulièrement apte à évaluer les provisions pour sinistres prudemment et
consciencieusement et à inscrire au bilan un montant fiable et suffisant. Même si ses
résultats sont corrects, une telle procédure n’est pourtant pas acceptable au regard des
principes du contrôle interne, et notamment de celui de la séparation des tâches.

22
III – LA SAUVEGARDE DES PLACEMENTS.

67 Les placements d’une entreprise d’assurance constituent la contrepartie de ses


engagements vis-à-vis de ses assurés.

Ils doivent donc offrir sécurité et rendement.

Dans la plupart des pays, ils sont réglementés.

L’IAIS ICP n°21 (investments) a fixé des standards et souligné l’importance du contrôle
interne dans ce domaine.

ICP n° 21 Investments : Essential criterium e) :

« The supervisory authority checks that insurers have in place adequate internal controls to
ensure that assets are managed in accordance with the overall investment policy, as well as
in compliance with legal, accounting, and regulatory requirements. These controls should
ensure that investment procedures are documented and properly overseen. Normally the
functions responsible for measuring, monitoring, settling and controlling asset transactions
are separate from the front office functions ».

68 Les objectifs du contrôle interne sont clairs :

1) Veiller à ce que la gestion des actifs soit conforme aux lois et règlements.
2) Veiller à ce que la stratégie d’investissement définie par écrit par le conseil
d’administration (ou un comité d’investissement ou tout autre responsable ayant reçu une
délégation à cet effet) soit correctement appliquée. Cette stratégie doit notamment
déterminer (cf. ICP 21, essential criterium c) :

- La répartition des placements entre les différentes catégories autorisées,


- Des plafonds d’investissement par type d’actif, contrepartie, gestionnaire délégué,
marché, monnaie et région géographique,
- Des objectifs de rentabilité ajustés sur les rendements requis par les engagements
(recherche d’une adéquation des taux et des durations).

3) Evaluer les dispositifs de protection contre les risques liés aux investissements
susceptibles d’altérer la couverture des provisions techniques et la marge de solvabilité :
risques de marché (y compris de dépréciation boursière), de taux, de liquidité, de
défaillance d’une contrepartie, de destruction matérielle, de détournement ou d’utilisation
frauduleuse…(cf. IAIS ICP n° 21, essential criterium d).

4) Contrôler l’intégrité et la fiabilité des informations traitées et produites : les


placements détenus, les acquisitions et cessions les concernant, les revenus correspondants
sont-ils correctement enregistrés et affectés ?

5) Veiller à la séparation des tâches, afin de répondre plus sûrement à des questions
telles que : les acquisitions et les cessions sont-elles justifiées ? ont-elles été exécutées dans
les meilleures conditions? l’évaluation des placements au bilan est-elle correcte ?

6) Proposer des améliorations qualitatives de la gestion.

Le contrôle interne doit fournir au décideur les outils nécessaires à ses prises de position
stratégiques.

23
Un rapport sur la politique d’investissement est soumis au moins une fois par an au conseil
d’administration. Il détaille, entre autres :

- les méthodes utilisées pour l’évaluation et le contrôle des placements, en particulier


pour évaluer la qualité des actifs ;
- le dispositif interne de contrôle des placements : répartition des responsabilités,
délégations de pouvoir, procédures internes de contrôle ;
- la structure du portefeuille de placements, les résultats par type de placements.

69 Les procédures de contrôle interne comprennent :

a) La vérification de la concordance entre les placements figurant au bilan et les


existants, grâce au suivi des transactions et à l’examen des informations fournies au
comptable ;
b) La justification des opérations et des existences : contrôle par exemple des actes de
propriété ou de vente des immeubles ;
c) Le suivi des contreparties par un système d’évaluation interne ou externe (agence de
notation) :
d) L’établissement d’un dossier spécial pour les participations : bilan, compte de résultat,
plaquette publiée, coupures de presse, etc..
e) La mise en place d’un contrôle de gestion visant au suivi de la rentabilité des
placements grâce à des indicateurs de performance, des simulations dans le temps, des
ratios de cohérence, etc…

Des audits réguliers doivent en outre identifier les faiblesses du contrôle interne et les
déficiences de la gestion (cf. ICP n° 21, essential criterium h).

Ici le rôle du contrôle interne est d’abord préventif ; à défaut, il doit permettre de détecter à
temps les accidents préjudiciables à la situation financière de l’entreprise.

24
IV – LA GESTION ACTIF PASSIF (GAP) – (Asset liability management ou ALM).

70 Pour une société d’assurance vie, la gestion actif passif (GAP) a pour objet la
constitution d’un actif adapté aux engagements inscrits à son passif.

La GAP consiste à agir sur la composition des placements pour optimiser les résultats tout
en maîtrisant les risques financiers.

Elle s’applique à deux niveaux :

- à un produit, par ex. un contrat en unités de compte (unit linked),


- à l’ensemble du bilan.

A ce deuxième niveau, la GAP est un outil d’analyse et de pilotage global.

Le gestionnaire actif passif s’efforce de réaliser un compromis optimal entre les logiques
du passif et de l’actif, recherche du produit le plus attractif pour le client (passif) ou choix
des actifs en fonction de critères de sécurité (risque) et de rentabilité.

Le gestionnaire actif passif doit s’appuyer sur les compétences disponibles dans les
différents départements de la société : techniciens et commerciaux, gérants d’actifs…

La construction d’une fonction actif passif passe donc par un système de contrôle interne :

71 1e) Un audit doit inventorier les risques spécifiques actif passif, qui s’ajoutent aux
risques financiers énoncés par ailleurs. Ce sont notamment :

Contrats en devises :

a) le risque de réinvestissement : risque que le taux de rendement des investissements


futurs soit inférieur aux taux garantis dans les contrats d’assurance,
b) le risque de liquidation, lorsque la compagnie est contrainte de céder des
obligations en moins-value avant leur remboursement.

Contrats en unités de compte :

c) le risque d’illiquidité d’une unité de compte au moment du paiement de la


prestation due à l’assuré,
d) le risque de non adéquation actif passif, quand l’assureur tarde à acquérir (ou
vendre) les unités de compte correspondant à des variations dans le volume des
engagements,
e) le risque lié aux garanties plancher.

72 2) Un comité actif passif (ou à défaut le comité des investissements) est l’organe de
décision qui :

a) identifie les risques propres à l’entreprise d’assurance (cf. supra),


b) définit les objectifs de l’entreprise, par exemple respecter les ratios réglementaires
ou protéger les rentes contre l’inflation à long terme,
c) arrête une stratégie financière :
L’allocation des actifs, qui doit obéir aux contraintes réglementaires, comptables
ou fiscales, est orientée différemment selon le degré d’intérêt attaché
respectivement au rendement et à la sécurité.

25
d) adopte un cahier des charges reprenant par écrit objectifs et stratégie, listant les
opérations financières autorisées et les types de placements admis, et décrivant une
procédure de dérogation (pour éviter éventuellement les lenteurs d’une gestion
financière trop rigide).

73 3) Le gestionnaire actif passif est libre de ses décisions dans les limites qui lui ont
été fixées. Il rend compte de ses activités au comité actif passif dans un rapport au moins
annuel.

La gestion peut être confiée à une unité spéciale interne réunissant des représentants du
passif et de l’actif de l’entreprise. Elle peut aussi être déléguée à un tiers, avec inclusion
d’un cahier des charges dans le mandat de gestion.

74 4) Les procédures de contrôle interne visent d’abord au respect des dispositions du


cahier des charges ou des instructions données au gestionnaire.

Le contrôle de l’application du cahier des charges ou des instructions peut être effectué à
plusieurs niveaux :

- par le comité actif passif, sur la base du rapport du gestionnaire,


- par l’audit interne,
- par un contrôle financier spécifique, sur pièces et sur place.

Le contrôleur peut également formuler des observations de fond sur la politique actif
passif, voire procéder à un audit complet des risques d’actif passif.

Pour contrôler régulièrement le niveau des risques encourus et leur évolution, le


vérificateur pourra utiliser des simulations de bilan, projetant dans l’avenir les résultats et
la situation financière de l’entreprise sur la base de scénarios prédéterminés. Ces scénarios,
ou jeux d’hypothèses, incluant l’environnement économique et financier, la production de
l’entreprise, le comportement des clients, permettent de bâtir des indicateurs de risques,
comportant des seuils d’alerte.

26
V – LES INSTRUMENTS FINANCIERS A TERME (IFT) (produits dérivés).

75 L’entreprise d’assurance s’expose, en intervenant sur les marchés des IFT, à des
risques particuliers :

a) caractère abstrait des IFT :

Les transactions s’effectuent très rapidement, à partir d’ordres oraux (parole donnée) et sur
des volumes parfois considérables, ce qui leur donne un caractère quasiment insaisissable.

b) effet de levier important :

Pertes et gains peuvent être considérables rapportés à l’investissement effectué.

c) maniement complexe :

Le personnel gérant les IFT doit être particulièrement qualifié, tout autant que ceux qui
décident de la politique à suivre en la matière.

d) problème de liquidités,
e) risque de contrepartie.

Les IFT requièrent une maîtrise, un suivi des positions et un contrôle interne rigoureux.

Cf. IAIS ICP 22 Derivatives and similar commitments

« The supervisory authority requires insurers to comply with standards on the use of
derivatives and similar commitments. These standards address restrictions in their use, and
disclosure requirements as well as internal controls and monitoring of the related
positions ».

Essential criterium e)

« The supervisory authority requires that insurers have in place risk management systems,
covering the risks from derivatives activities to ensure that the risks arising from all
derivatives transactions undertaken by the insurer can be :
- analysed and monitored individually and in aggregate,
- monitored and managed in an integrated manner with similar risks arising from
nonderivatives activities so that exposures can be regularly assessed on a
consolidated basis ».

76 Selon la COB, Commission des opérations de bourse (France) « la maîtrise des


risques sur produits dérivés est un problème de contrôle interne… », contrôle interne aux
aspects divers :

1er sujet de contrôle interne : description détaillée des stratégies.

Le conseil d’administration, la direction générale et les autres responsables hiérarchiques


doivent comprendre très précisément les stratégies mises en œuvre par les opérateurs, et
apprécier chaque fois objectifs poursuivis et modalités de mise en œuvre.

Les rapports de contrôle interne doivent être suffisamment détaillés pour permettre aux
organes de direction d’arrêter la liste des stratégies autorisées et d’approuver (ou non) toute
nouvelle stratégie.

27
2ème sujet : l’entreprise doit être dotée de moyens informatiques, de communication et de
gestion suffisamment performants pour permettre aux opérateurs d’intervenir à bon escient
et rapidement.

L’efficacité du système peut être testée par certaines évaluations, telle que la mesure d’une
position donnée ou la construction d’un scénario de crise (« stress test »).

3ème sujet : le suivi des liquidités.

Dans une stratégie d’investissement, la société doit disposer des liquidités nécessaires à
l’achat futur des titres sous contrat.

- Ou s’arrête la notion de liquidités ? avoirs disponibles en banque seulement ? ou


notion plus large, comprenant des dépôts à terme et des cash flow futurs, tels que
coupons courus, titres amortis, primes à encaisser ?
- La trésorerie n’est-elle pas utilisée plusieurs fois avec des objectifs différents ?

Des procédures de contrôle interne doivent permettre de répondre à ces questions. D’autres
doivent s’attacher au respect des limites d’intervention sur les IFT fixées par le conseil
d’administration, limites par type de stratégie, par produit, par marché, par contrepartie
(opération de gré à gré).

28
VI – LE RISQUE INFORMATIQUE

77 L’informatique a transformé les structures des entreprises d’assurance en leur


permettant notamment de traiter rapidement un très grand nombre d’informations sur les
contrats, les primes, les sinistres, les provisions techniques, les commissions, les
placements.

En même temps, l’ordinateur a fait naître de nouveaux risques entrant dans le périmètre du
contrôle interne.

Il ne s’agit pas de traiter ici des risques spécifiques liés aux particularités techniques de
chaque type de système informatique, centralisé ou non, avec ou sans micro-ordinateurs
indépendants, etc…

Mais tous ces systèmes présentent des risques communs, inhérents à l’utilisation de
l’informatique :

1) Le risque d’erreur : l’utilisation de traitements informatiques complexes implique


un nombre répétitif et considérable d’opérations, donc d’anomalies si le programme
contient une erreur.

Chaque erreur présente un caractère systématique : si elle s’est déjà produite, il est
probable qu’elle est due à un défaut de conception du système et qu’elle se renouvellera
chaque fois que les mêmes conditions seront réunies.

2) Le risque de malveillance ou de fraude : la facilité d’utilisation des logiciels (à


l’inverse des anciens outils comptables) met toute personne mal intentionnée en mesure
d’enregistrer une écriture erronée.

La concentration des informations fragilise leur sauvegarde.

3) Le risque de négligence : alors que la nécessité d’un contrôle attentif est d’autant
plus grande que les moyens matériels sont plus perfectionnés, la confiance, parfois aveugle,
que les opérateurs ont dans ces moyens, tue leur esprit critique et crée un climat
psychologique d’optimisme et d’insouciance particulièrement favorable aux erreurs et à la
fraude.

L’histoire de l’informatique est riche en évènements illustrant ce propos.

4) Le risque d’accidents de parcours, tels que :

- Cafouillage d’un logiciel lors d’une interruption accidentelle provoquée par un


encodage dépassant la capacité d’un fichier.
- Dépassement de la capacité d’accueil d’un support quand le résultat d’une addition
comprend plus de chiffres que n’en peut recevoir le support.

L’utilisation d’un support à neuf chiffres pour totaliser des provisions de sinistres évaluées
dossier par dossier étêtera tous les montants dépassant un million.

78 Le contrôle interne doit surveiller la fiabilité :

- du matériel,
- des données introduites dans l’ordinateur,
- du traitement des données,
- de la conservation des données,
- de la description des traitements.

29
En outre, pour prévenir les destructions de matériels et de données et y remédier
éventuellement, les procédures de contrôle interne doivent s’assurer d’un certain nombre de
règles élémentaires en matière de :

a) mécanismes de sécurité : verrous, mots de passe… ;


b) sauvegarde des fichiers et des programmes ;
Il s’agit ici de protéger l’information contre les prédations de l’intérieur (utilisation par des
personnes non autorisées, pertes d’informations) et de l’extérieur (concurrents et pirates).
c) protection des installations contre les phénomènes naturels (orages, coupures de courant,
poussières…) ;
d) relais en cas d’indisponibilité par des installations informatiques extérieures.
Il s’agit ici de vérifier que l’entreprise est en mesure de surmonter les effets d’une crise
informatique (risque d’asservissement aux technologies mises en œuvre pour
l’information).

VII – LE ROLE DES INTERMEDIAIRES.

79 Agents et courtiers jouent un rôle primordial dans l’activité d’une entreprise


d’assurance, dont ils constituent la force commerciale.

Souvent des tâches de gestion leur sont déléguées :

- émission des polices,


- encaissements des primes,
- règlements des sinistres.

Il en résulte des risques spécifiques :

a) Le risque de souscription.

L’intermédiaire est susceptible d’accepter une mauvaise affaire, et même d’engager


l’assureur au-delà des limites que celui-ci s’est fixé.

b) Le risque de fraude, par la vente de polices fictives et le paiement de prestations


indues.

c) Le risque de détournement des fonds versés par les souscripteurs de contrat.

d) Le risque financier lié au reversement tardif des fonds reçus.

80 Pour se prémunir contre ces risques, les entreprises d’assurance mettent en place
des procédures de contrôle interne :

1 – Contrôle d’honorabilité des intermédiaires ;

2 – Séparation des fonctions entre les intermédiaires et les services chargés de la


tarification, de l’émission des primes, etc…

3 – Surveillance régulière des soldes d’intermédiaires, sur la base de ratios d’encours ;

4 – Audits sur place, incluant des contrôles de caisse, en vue de garantir que
l’intermédiaire :

- ne règle pas des prestations indues ;


- reverse régulièrement à l’entreprise les primes collectées ;
- n’engage pas la société au-delà des plafonds autorisés.

L’objectif est de prévenir une accumulation des dettes de l’intermédiaire au-delà de limites
fixées à l’avance.
30
VIII - LA SOUS-TRAITANCE D’ACTIVITES (outsourcing).

81 La sous-traitance est de plus en plus employée par les entreprises d’assurance, qui
se déchargent sur des tiers de certaines de leurs fonctions vitales.

Aucun des IAIS ICP n’a pour objet la sous-traitance mais le sujet est traité dans plusieurs
d’entre eux. Ainsi :

1) ICP 6 Licensing.Essential criterium b :

« b. clear, objective and public licensing criteria require :

-………….

- information on contracts with affiliates and outsourcing arrangements ».

2) ICP 13 On site inspection.Essential criterium f :

« g. The supervisory authority can extend on-site inspection to obtain informations


from intermediaries and companies that have accepted functions outsourced by the
supervised insurer ».

3) ICP 10 Internal control essential criteria h et j :

« h The supervisory authority requires oversight and clear accountability for all outsourced
functions as if these functions were performed internally and subject to the normal
standards of internal controls ».

« j. The supervisory authority requires that an internal audit function :

-……….

- assesses outsourced functions…. »

31
82 L’éventail des fonctions sous-traitées est très large. Il comprend :

- l’activité de souscription des contrats,


- le règlement des sinistres,
- le calcul des provisions techniques,
- l’établissement de tarifs,
- les travaux actuariels,
- la gestion informatique,
- la gestion d’un portefeuille d’actifs,
- le reporting prudentiel,
- l’audit interne, etc…

La sous-traitance présente des avantages :

- réduction des coûts grâce aux économies d’échelle réalisées par le fournisseur de
services,
- bénéfices tirés de la compétence d’un sous-traitant spécialiste.

Elle comporte aussi des risques pour la situation économique de l’entreprise et la maîtrise de
ses opérations.

83 Ces risques incluent :

1 – le risque légal : non respect des dispositions légales par les fournisseurs (surtout
lorsqu’ils ne sont pas assureurs eux-mêmes) ;

2 - des risques opérationnels :

- risque de perte de contrôle sur les activités sous-traitées ;


- risque de perte de compétence de l’entreprise d’assurance pour gérer elle-même les
activités sous-traitées ;
- risque de dépendance vis-à-vis du fournisseur ;
- risque de conflit d’intérêt lorsque le fournisseur travaille pour plusieurs assureurs ;

3 – des risques généraux :

- incompétence du fournisseur et détérioration de la qualité du service fourni ;


- coût trop élevé entraînant un alourdissement des frais mis à la charge des assurés.

84 Le contrôle interne a pour objectif de prévenir les risques et d’en limiter


éventuellement les effets. Les procédures mises en place ont notamment pour objet de
vérifier que :

a) la sous-traitance ne met pas en danger les intérêts des assurés ;


b) le conseil d’administration de l’entreprise se considère bien comme restant
responsable de toutes les activités sous-traitées et se comporte en conséquence pour
définir et surveiller ces activités ;
c) les lignes conductrices arrêtées par le conseil sont décrites avec précision dans le
contrat de sous-traitance et respectées par le fournisseur de services ;
d) les moyens dont s’est dotée l’entreprise pour analyser les risques liés aux activités de
sous-traitance sont adéquats et efficaces ;
e) des solutions de remplacement existent pour le cas où des problèmes de
fonctionnement surgiraient du fait des fournisseurs de services ;
f) l’entreprise d’assurance a le pouvoir de résilier le contrat de sous-traitance à tout
moment s’il suscite des difficultés nuisibles à sa réputation, sa politique commerciale,
sa situation financière.

32
IX – LE BLANCHIMENT DES CAPITAUX

85 Dans de nombreux pays, des lois imposent aux organismes financiers d’identifier
leurs contractants et les véritables bénéficiaires des contrats lorsqu’il leur apparaît que leur
interlocuteur pourrait ne pas agir pour son propre compte.

Une obligation de vigilance particulière vise les opérations importantes présentant des
conditions inhabituelles de complexité et ne paraissant pas avoir de justification
économique ou d’objet licite.

L’assurance vie est plus spécialement concernée, mais les autres compagnies d’assurance
n’échappent pas à ce risque, susceptible de porter atteinte à la réputation d’une entreprise,
au détriment finalement de sa solidité financière.

86 L’IAIS a formulé une recommandation qui s’adresse essentiellement aux autorités


de contrôle, mais met aussi en évidence le rôle du contrôle interne.

ICP 28 Anti-money laundering

« The supervisory authority requires insurers and intermediaries to take effective measures
to deter, detect and report money laundering and the financing of terrorism ».

Essential criterium f :

« Monitoring and reporting of suspicious transactions

Essential criteria

f) The supervisory authority requires that insurers and intermediaries :

- co-operate with the competent authorities,


- ensure transparency of money flows, in particular monitor for complex, unusual large
transactions, or unusual patterns of transactions, that have no apparent or visible
economic or lawful purpose,
- promptly report to the competent authority suspicious transactions, such as a transaction
where the proceeds could either stem from a criminal activity or be linked or related to,
or are to be used to, finance terrorism,
- be alert to significant, unexpected and unexplained changes in the behaviour of
policyholder accounts,
- check reinsurance or retrocession arrangements to ensure the monies are paid to bona
fide reinsurance entities,
- should suspicion of money laundering or financing of terrorism arise, refrain from
warning (« tipping off ») their customers when information relating to them is reported
to competent authorities.

87 Les sociétés d’assurance doivent donc mettre en place les procédures de contrôle
interne permettant :

1) de sensibiliser le personnel chargé de la souscription ou des encaissements, ainsi que


les intermédiaires ;
2) d’identifier le souscripteur d’un contrat ;
3) de conserver en mémoire le détail d’une opération aussi longtemps que la loi l’exige.

En cas de doute, l’entreprise d’assurance doit être en mesure d’établir une « déclaration de
soupçon » à transmettre aux autorités qualifiées pour détecter le blanchiment de capitaux,
ainsi qu’à l’autorité chargée du contrôle de l’activité d’assurance, s’il y a lieu.

33
Chapitre 4 : Contrôle interne et autorités de contrôle 5

88 Le contrôle interne répond à une nécessité prudentielle.

Il est donc soumis d’une part aux diligences des commissaires aux comptes, d’autre part à
la surveillance des autorités chargées de contrôler le secteur des assurances, et plus
spécialement la solidité financière et les conditions d’exploitation des entreprises.

89 Le commissaire aux comptes 6 doit exprimer une opinion sur la régularité, la


sincérité et l’image fidèle des comptes annuels de l’entreprise auditée.

Il décrit en outre dans un rapport spécial au conseil d’administration :

- les documents comptables auxquels des modifications devraient être apportées, en


faisant toutes observations utiles sur les méthodes utilisées pour la fabrication de ces
documents ;
- les irrégularités et les inexactitudes découvertes ;
- les conclusions qui en résultent pour les comptes de l’entreprise.

Cette description inclut les faiblesses de contrôle interne que le commissaire aux comptes a
pu relever, les risques qui en découlent et les améliorations qu’il propose.

90 L’autorité de contrôle de son côté :

1 – veille à la fiabilité et à l’efficacité du contrôle interne ;


2 – utilise les travaux du contrôle interne pour porter un jugement sur la solidité financière
de l’entreprise et les conditions de son exploitation.

Seront détaillés ci-après :

1 – Les pouvoirs et missions de l’autorité de contrôle,


2 - L’évaluation du contrôle interne par le superviseur,
3 – L’utilisation du contrôle interne par le superviseur.

I – Pouvoirs et missions de l’autorité de contrôle (ci-après dénommée superviseur).

91 Ces pouvoirs et missions sont énoncés de façon précise dans certains principes
généraux de l’IAIS, à savoir :

- l’ICP n°10, qui traite spécifiquement du contrôle interne ;


- les ICP n° 9, 13, 17, 18, 21 et 22, qui y renvoient.

Déjà présentés aux chapitres précédents, ces ICP énoncent une règle générale et des
recommandations applicables à diverses fonctions essentielles de l’entreprise d’assurance.

1) Le principe général (ICP 10, réf. N° 5) : L’autorité de contrôle exige la mise en


place de contrôles internes.

La responsabilité de leur établissement, de leur suivi et de leur efficacité incombe au


conseil d’administration, qui doit veiller à l’existence de systèmes organisant la bonne
circulation d’une information fiable entre les différents niveaux hiérarchiques, et surtout
vérifier leur bon fonctionnement.

5
autorité de contrôle : supervisory authority
6
statutory auditor
34
2) Suivi par le superviseur :

a) Le superviseur exige que l’entreprise d’assurance, et notamment son conseil


d’administration, respectent les standards de gouvernement d’entreprise (« corporate
governance ») recommandés par l’ICP 9 (réf. N° 35).

b) Il exige que l’assureur dispose d’une fonction d’audit permanente (ICP n° 10,
essential criteria h, i, j) (réf. N° 42).

c) Les contrôles sur place incluent l’évaluation du système de contrôle interne (ICP n°
13, explanatory note 13.3).

3) Application à certaines fonctions essentielles et situations particulières :

a) Entreprises d’assurance appartenant à un groupe (ICP n° 17, essential criterium d) :

« d. At a minimum, group wide supervision of insurers which are part of insurance groups
or financial conglomerates includes, as a supplement to solo supervision, at a group level,
and intermediate level as appropriate, adequate policies on and supervisory oversight of :

-……….

- internal control mechanisms and risk management processes, including reporting


lines and fit and proper testing of senior management ».

b) Risk management et systèmes capables d’identifier rapidement, de mesurer, de


décrire et de contrôler les risques des entreprises d’assurance (ICP n° 18, essential
criterium a, réf. N° 52).
c) Gestion et sauvegarde des actifs (ICP n° 21, essential criterium e, réf. N° 67).
d) Recours aux instruments financiers à terme (ICP n° 22, réf. N° 75).

etc….

* *

92 En d’autres termes, l’autorité de contrôle a pour objectifs et missions :

1) d’imposer aux administrateurs et dirigeants des entreprises d’assurance la mise en


place de standards et de contrôles internes couvrant tous les aspects de la gestion de ces
entreprises ;

35
2) de vérifier que les tâches et les responsabilités de chacun sont clairement définies,
avec cloisonnement et séparation des fonctions clés ;
3) de vérifier que la fonction d’audit est dotée des moyens nécessaires à un exercice
efficace de sa mission :

- accès à tous les services et secteurs de l’entreprise ;


- indépendance par rapport aux dirigeants et aux administrateurs ;
- moyens matériels et humains (qualification et expérience) suffisants ;
- méthodologie adéquate.

4) de vérifier que :

- l’information du conseil d’administration est correctement organisée ;


- les recommandations de l’audit sont prises sérieusement en compte.

5) d’exiger si nécessaire un renforcement des contrôles internes.

II – La méthodologie d’appréciation du contrôle interne.

93 Pour évaluer le système de contrôle interne mis en place par une entreprise
d’assurance, le superviseur procède par étapes. La démarche décrite ci-après est un
exemple, non un modèle unique :

1) La prise de connaissance du système.

Pour bien comprendre les circuits du traitement d’une information, depuis l’initiation d’une
opération jusqu’à sa traduction dans les comptes de l’entreprise, le superviseur :

- s’entretient avec les responsables des services et les intervenants ;


- analyse le manuel de contrôle interne ;
- prend connaissance des rapports des auditeurs internes.

94 2) La rédaction d’un descriptif du système pour conserver une trace écrite des
informations collectées.

Cette description ne se limite pas à une approche comptable ; elle couvre aussi les
traitements complémentaires mis en place par l’entreprise, tels que les statistiques
effectuées sur les affaires nouvelles, sur les risques répartis en classes homogènes, sur les
sinistres par tranches de coûts, etc…

95 3) La vérification de l’existence du système par des tests de conformité permettant


de confirmer (ou d’infirmer) la pertinence du descriptif établi.

96 4) L’examen des traitements et des vérifications mis en œuvre par l’entreprise, en


vue de s’assurer que la conception des systèmes et des procédures élimine (ou du moins
réduit fortement) les risques d’erreurs et de pertes.

Dans ce but, le superviseur peut exploiter des questionnaires préétablis pour chaque
fonction de l’entreprise et chacun des objectifs du contrôle interne. Parmi les très
nombreuses questions à poser :

- comment retrouver les pièces justificatives à partir des écritures comptabilisées ?


- par quelles procédures les personnes habilitées à signer des titres de paiement
peuvent-elles vérifier que l’opération est justifiée, par exemple le paiement d’un
sinistre ou l’apurement d’un solde de réassurance ?

36
97 5) La vérification du fonctionnement effectif des procédures décrites :

- sont-elles réellement utilisées ?


- le sont-elles en permanence ?

Pour répondre à ces interrogations, le superviseur peut refaire le traitement ou le contrôle


réalisé par le personnel ou l’ordinateur de l’entreprise. Ainsi un « test data » consiste à
injecter dans les programmes informatiques utilisés par l’entreprise des données préparées
par le superviseur afin de vérifier que les traitements et les contrôles prévus par l’entreprise
sont effectivement exécutés.

98 6) La synthèse : l’évaluation finale.

Le superviseur fixe le degré de confiance qu’il accorde au système de contrôle interne d’une
entreprise en se fondant :

- sur sa propre évaluation de la conception des procédures ;


- sur les résultats des sondages effectués pour mesurer le fonctionnement de ces
procédures.

37
Finalement, l’objet de l’appréciation du contrôle interne est double :

a) Le superviseur convaincu de la fiabilité des procédures effectuera peu de sondages. A


contrario, la constatation de procédures peu fiables l’incitera à multiplier les tests de
validation ;
b) S’il constate une certaine inefficacité des procédures, le superviseur recommandera des
améliorations.

99 7) Recoupements des conclusions du superviseur par l’examen des rapports d’audit


interne : Le superviseur a accès à tous les rapports des auditeurs internes, et leur examen
permet de fortifier ses convictions.

Le superviseur évalue la qualité des rapports d’audit en contrôlant l’exactitude des données
et la pertinence des analyses.

Sa tâche n’est pas toujours aisée en l’absence d’une véritable standardisation de la forme et
du contenu des rapports d’audit, souvent par ailleurs trop riches en informations de détail, à
usage purement interne, et non certifiées.

Confronté à cette situation, le superviseur pourra recommander à l’entreprise de mettre en


place un encadrement des rapports d’audit en vue de rationaliser leurs structures et de
sélectionner les informations qu’ils contiennent.

100 8) Analyse des manquements et faiblesses relevés par les auditeurs, et des suites
données à leurs observations dans les départements et à la tête de l’entreprise.

* *

101 Le superviseur est en quelque sorte un « super » auditeur externe. Ses pouvoirs,
objectifs, diligences, le distinguent très largement des auditeurs internes :

- sa compétence est universelle et le met en situation d’obtenir une vue synthétique du


contrôle interne au sein d’une entreprise. La mission de l’auditeur interne est
généralement restreinte à un département,
- ses diligences sont exercées avec discernement, de façon sélective, leur degré
d’approfondissement étant ajusté en fonction de sa connaissance de l’entreprise.
L’auditeur interne de son côté est tenu d’établir un état des lieux aussi complet que
possible pour répondre aux interrogations de la hiérarchie, du « compliance officer »
et du conseil d’administration.
- ses conclusions sont adressées au conseil d’administration et ses recommandations ont
valeur d’injonction pour l’entreprise qui est tenue de mettre en œuvre les actions
correctives demandées. Les observations de l’auditeur interne constituent seulement la
première étape d’un dialogue qui peut être à rebondissements.

38
III – L’utilisation du contrôle interne par le superviseur.

102 Les observations et les résultats du contrôle interne sont plus ou moins largement
exploités par le superviseur selon le jugement qu’il porte sur la fiabilité et l’efficacité des
procédures mises en œuvre par l’entreprise. Mais, quelle que soit sa confiance dans le
contrôle interne, le superviseur ne saurait renoncer à ses propres investigations par le
moyen notamment de contrôles sur place, seuls susceptibles :

- de confirmer la permanence des qualités du contrôle interne ;


- de réunir sur les conditions d’exploitation et la solidité financière de l’entreprise (ce qui
constitue sa préoccupation prioritaire) les informations nécessaires à un jugement
externe et indépendant.

* *

103 D’une manière générale, les résultats du contrôle interne sont utilisés par le
superviseur :

- le plus souvent pour apprécier des opérations déterminées telles que l’emploi des
produits dérivés, la politique de souscription, la stratégie de réassurance, le choix des
investissements, avec un regard particulièrement attentif sur la sous-traitance ;
- parfois pour projeter dans l’avenir l’évolution de la situation financière de l’entreprise.

* *

104 Le contrôle interne est plus particulièrement sollicité par le superviseur lorsqu’il
souhaite évaluer la qualité du service rendu aux assurés, l’efficacité du contrôle des risques,
la conformité du fonctionnement de l’entreprise avec les lois et les règlements en vigueur,
ainsi que l’adéquation de l’audit interne.

On se limitera à quelques exemples.

1) Protection des assurés et qualité du service rendu (assurance vie) :

105 Le superviseur utilise les analyses et les conclusions du contrôle interne pour
apprécier la gestion de l’entreprise sur des points clés bien précis tels que :

- Les participations des assurés aux bénéfices, leur répartition entre les différentes
catégories de contrats, la justification de leurs montants au regard de simulations sur
les cash flows futurs de l’entreprise ;
- Le traitement des contrats interrompus, les délais de paiement des valeurs de rachat, le
calcul des provisions afférentes aux polices réduites ;
- L’information des assurés, la qualité des circulaires qui leur sont envoyées, la fiabilité
des plates-formes d’appel téléphonique.
- Le suivi des réclamations des assurés qui estiment avoir été mal informés sur les
caractéristiques de leurs contrats (« unit linked », valeurs de rachat).

39
En revanche, les éléments fournis par les procédures de contrôle interne ne sont pas
toujours assez pointus pour aider le superviseur à porter un jugement sérieux sur le niveau
des provisions mathématiques.

Le superviseur est fondé à demander à l’actuaire de l’entreprise une évaluation prospective


des engagements de l’entreprise sur la base des données économiques les plus récentes
(table de survie, taux d’intérêt, charges de gestion).

2) Le système de contrôle des risques.

106 Le superviseur analyse le système de contrôle des risques mis en place par
l’entreprise, qui, s’il est pertinent, contribue à former son jugement sur la solidité financière
de l’entreprise : il peut ainsi adapter les ratios prudentiels aux spécificités mises en
évidence par l’inventaire des risques.

Parmi les questions cruciales :

- Les données recueillies par l’entreprise pour le calcul des provisions techniques sont-
elles suffisantes, pertinentes et bien exploitées ?
- Les traités de réassurance protègent-ils efficacement l’entreprise contre les
évènements catastrophiques et une fréquence anormale de sinistres ? La qualité et la
solvabilité des partenaires réassureurs ont-elles été correctement appréhendées ?
- Les dossiers de prêts sont-ils suffisamment documentés pour alerter l’entreprise sur les
risques de défaillance des emprunteurs ?
- L’analyse prospective du risque de liquidité, incluant une analyse des cash flows, est-
elle effectuée et, si elle l’est, effectuée selon des critères appropriés ?

3) La conformité du fonctionnement de l’entreprise avec les lois et règlements.

107 Cela concerne non seulement les réglementations nationales applicables à toutes les
entreprises d’une juridiction mais aussi les règlements internes adoptés par chaque
entreprise.

a) S’agissant des réglementations générales, nul n’est mieux placé que le superviseur
pour en apprécier la bonne application dans une entreprise. Il lui appartient notamment de
déterminer si les ratios prudentiels sont respectés et si les structures administratives sont
adéquates.

Mais les auditeurs internes doivent pour leur part signaler au conseil d’administration tous
les manquements qu’ils sont amenés à constater dans l’exercice de leurs contrôles. Il est
également important qu’ils procèdent à des simulations sur l’évolution des ratios
prudentiels, notamment sur la capacité de l’entreprise à absorber des pertes potentielles.

108 b) Le superviseur est également tenu d’examiner si les règlements internes sont
pertinents et s’ils sont appliqués :

- Le conseil d’administration est-il correctement informé, notamment sur la conclusion


de contrats importants, le paiement des gros sinistres ou les mesures effectivement
prises par les services en réponse aux conclusions de l’audit interne ?
- Les fonctions et les modalités d’exercice (rôle, tâches, responsabilités…) des comités
destinataires de pouvoirs délégués sont-elles clairement définies ?
- Le rôle du « compliance officer » n’est-il pas seulement nominal au vu de tâches, de
responsabilités, de pouvoirs insuffisamment précis ?
- Une procédure de révision régulière du règlement intérieur et du manuel d’audit est-
elle prévue pour en corriger périodiquement les inconsistances et les lacunes ?

40
4) L’adéquation de l’audit interne.

109 Comme cela a déjà été indiqué, le superviseur doit mettre en relief les lacunes de
l’audit interne, entre autres :

- un manque de savoir-faire pour auditer certaines fonctions techniques ;


- une mauvaise identification de certains risques ;
- l’imprécision des critères adoptés pour le « reporting » au conseil administration ;
- l’insuffisance du suivi, par les départements concernés, des points ayant fait l’objet
d’observations et de recommandations des auditeurs.

* *

110 Au total, le contrôle interne aide le superviseur à former son jugement sur la
situation financière d’une entreprise d’assurance, les conditions de son exploitation, son
organisation administrative et commerciale.

Dans certains pays, des sanctions sont prévues par la réglementation en cas d’absence ,
d’insuffisances ou de faiblesses du contrôle interne.

Les rapports de contrôle interne peuvent aussi servir de base à des sanctions s’ils font
apparaître des infractions à la réglementation. Dans certains Etats comme la France,
toutefois, un rapport faisant suite à un contrôle sur place doit attester la réalité de ces
infractions.

Conclusion

111 Une entreprise, et entre autres une entreprise d’assurance, ne peut être considérée
comme étant dans la durée en bonne santé financière si elle ne dispose pas d’un système de
contrôle interne adéquat et performant.

Aujourd’hui les superviseurs en sont tellement convaincus qu’ils ont tendance à placer
cette exigence sur le même plan que le respect des ratios prudentiels.

Il n’en a pas toujours été ainsi même si les entreprises bien gérées n’ont pas attendu les
recommandations des experts et les réglementations pour mettre en œuvre des procédures
de contrôle interne suffisamment efficaces pour permettre à leurs dirigeants de maîtriser les
principaux risques auxquels elles sont exposées.

L’accroissement du nombre des contrats gérés et du volume des placements effectués, une
plus large diversification géographique et technique des activités, une sophistication
toujours plus grande des traitements, ont contribué à une prise de conscience généralisée
des personnes responsables ou comptables, de l’intérieur ou de l’extérieur, du bon
fonctionnement des entreprises et de la bonne fin de leurs opérations.

Dans le secteur assurance, le contrôle interne doit couvrir l’ensemble des activités de
l’entreprise, et pas seulement sous leur aspect comptable, même si son intérêt est à
souligner plus particulièrement dans certains domaines opérationnels comme l’acceptation
des risques à assurer, la gestion actif-passif, les instruments financiers à terme ou la sous-
traitance.

41
112 Les procédures de contrôle interne sont commentées et notées dans des rapports
destinés en premier lieu aux décideurs de l’entreprise, conseil d’administration d’abord
mais aussi direction générale, comité d’audit, comités divers……Ces rapports sont
parallèlement mis à la disposition des commissaires aux comptes et des superviseurs, soit
de façon systématique, soit sur demande, soit à l’occasion de contrôles sur place.

113 Les commissaires aux comptes doivent porter un jugement écrit sur la fiabilité du
contrôle interne. Quant au superviseur, il lui appartient, dans le cadre de son appréciation
sur une entreprise :

- d’évaluer régulièrement ses procédures de contrôle interne ;


- de veiller à l’indépendance des agents du contrôle interne par rapport au
management de l’entreprise, et notamment de vérifier que leurs observations sont
suivies d’effet et les lacunes relevées corrigées dans les meilleurs délais.

Mais un contrôle interne, même d’excellente qualité, ne saurait dispenser le superviseur


d’effectuer les investigations, et notamment les contrôles sur place, qui seuls permettront :

- de confirmer la permanence de cette qualité ;


- de porter sur l’entreprise un jugement synthétique, externe et indépendant.

114 Dans ses travaux, l’IAIS a souligné la nécessité et l’importance du contrôle interne.
L’un des « Insurance core principles » (ICP n°10) lui est consacré ; plusieurs autres lui
réservent une place significative dans l’inventaire des critères essentiels qui décrivent des
enjeux, proposent des solutions, recommandent des interventions du superviseur.

La présente étude a démontré la pertinence de ces principes et critères, qui ne sauraient être
rigides mais doivent évoluer à la fois dans le temps et en considération des besoins de
chaque entreprise.

Jean-Louis BELLANDO
6.04.2004

42