Académique Documents
Professionnel Documents
Culture Documents
XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Nous vous proposons donc la définition suivante : « Le Contrôle Interne est une
démarche de détermination des risques ayant pour objectif la maîtrise permanente des
activités. »
36 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
38 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Le dispositif de Contrôle Interne est complété par la fonction d’Audit Interne, organe
indépendant au sein de l’organisation, rattaché de préférence à la Direction Générale et
véritable pierre angulaire de l’édifice. Ces missions sont d’être garantes du respect et
de la bonne application des règles du Groupe et d’évaluer l’efficacité de règles locales
qui ont été édictées et mises en œuvre sur le terrain.
L’Audit Interne (ou le Contrôle Interne de second degré) évalue le degré de maîtrise
des opérations au sein d’une organisation, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
La Gestion des Risques est une politique d’entreprise qui permet d’assurer la conti-
nuité de l’activité coûte que coûte. Il lui est nécessaire d’avoir une vision globale de
l’activité dans son actualité et par rapport à des situations extrêmes afin de pouvoir
apporter des solutions concrètes.
La Gestion des Risques repose sur une auto-identification des risques afin de bâtir
une autoprévention de ces risques.
n Le Contrôle Interne versus la Gestion des Risques est alors un outil indispensable
dans l’élaboration d’une politique de contrôle des risques.
40 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Le contrôle éthique et déontologique se porte garant que l’organisation (et ses colla-
borateurs) se conforme à la lettre et à l’esprit de tous les codes, lois, règlements,
normes et bonnes pratiques professionnelles. Cette fonction garantie que l’activité est
exercée avec intégrité et professionnalisme.
Son responsable devra précisément identifier les points de contrôle déontologiques.
n Le Contrôle Interne se doit d’intégrer la définition des règles et le cadre de réfé-
rence de la fonction déontologie dans la mise en place des procédures.
Le déontologue doit donner un avis sur une situation. La tendance actuelle dans les
organisations est la nomination d’un déontologue qui se porte garant de tout manque-
ment significatif, vis-à-vis des régulateurs extérieurs.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
42 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Extraits :
« III. FIABILISER LA CHAÎNE DE VALEUR DE L’INFORMATION FINANCIÈRE
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
44 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Les Commissaires aux Comptes (CAC) doivent faire part de leurs propres
observations sur le rapport du Président « pour celles des procédures de
Contrôle Interne qui sont relatives à l’élaboration et au traitement de
l’information comptable et financière » (article L. 225-235 du Code de
Commerce et art. 120 de LSF) :
• le CAC doit lui aussi rédiger un rapport spécial, lequel sera joint à son
rapport général. Dans ce cadre, il est nécessaire que le CAC dispose des
informations utiles à son établissement (la CNCC précise que le contenu
du rapport du président doit être suffisamment documenté afin de
permettre aux CAC de mettre en œuvre leurs diligences),
• selon l’ANSA (Association Nationale des Sociétés Anonymes), « le
CAC n’a pas à porter de jugement sur l’efficacité du Contrôle Interne
et doit se borner à vérifier l’exactitude factuelle des informations
contenues dans le rapport ; en cas d’inexactitude, il doit la signaler ».
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
46 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v Solvabilité II
Depuis 2005, le monde des assurances est entré – comme l’on déjà fait les
bancassureurs avec le projet Bâle II – dans une logique de renforcement
des exigences en matière de suivi des risques et de Contrôle Interne. Plus
particulièrement, c’est l’analyse même de la solvabilité des entreprises
d’assurance 1 qui va connaître de profondes mutations. Ces mutations
1. Les trois familles d’assureurs sont visées par les réformes en cours : mutuelles (Code
de la Mutualité), Institutions de Prévoyance (Code de la Sécurité Sociale), Compagnies
d’Assurances (Code des Assurances).
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Justesse du provisionnement
48 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Ces dispositions ont été enrichies en 2003 avec la mise en place du test
d’exigibilité (cf. état ministériel C6 bis). En cas de risque de liquidité
avéré, les autorités de contrôle peuvent demander des compléments de
fonds propres.
L’ensemble de ces éléments doit être détaillé dans le rapport de solvabilité
annuel.
L’approche « Solvabilité 1 », qui n’a pas failli à ce jour en France,
présente néanmoins des limites indéniables :
• Le système des ratios utilisé pour calculer l’exigence de marge de solva-
bilité s’applique à des grandeurs comptables telles que les provisions,
alors même que cette notion n’est pas homogène à travers l’Europe. Plus
généralement, les systèmes comptables ne sont pas encore comparables
(malgré les normes IFRS pour les comptes consolidés des entreprises
faisant appel public à l’épargne), ne serait-ce par exemple qu’au niveau
du traitement des actifs (valeur comptable vs valeur historique).
• Les risques ne sont pas toujours appréhendés dans le détail et de manière
explicite mais au travers de méthodes et d’hypothèses « prudentes ».
• L’approche Solvabilité 1 ne pénalise pas systématiquement les entre-
prises qui sous-provisionnent ou qui sous-tarifient les risques, mais
pénalise en revanche les entreprises qui tarifient ou provisionnent avec
des marges de prudence importantes.
La Commission Européenne a donc annoncé son intention de présenter
une directive 1 en matière d’assurance « Solvabilité II » dont les effets sont
présentés comme pouvant modifier en profondeur le contexte de l’exercice
de l’activité d’assurance.
Le Comité Européen des Contrôleurs des Assurances et des Pensions
professionnelles (CEIOPS), au sein duquel l’ACAM (Autorité de Contrôle
des Assurances et des Mutuelles) est le représentant français, est réguliè-
rement consulté par la Commission Européenne pour lui apporter avis et
éclairages durant la phase de préparation de cette directive. Le CEIOPS a
ainsi été mandaté pour mener des études quantitatives d’impact (QIS
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Le projet Solvabilité II offre avant tout un cadre formel pour la gestion des
risques au sein des entreprises d’assurance, tant sur le plan quantitatif que
sur le plan qualitatif. Les principes d’analyse sont les suivants :
50 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Un bilan économique
52 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
54 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Cette méthode est basée sur le principe que les actionnaires des entreprises
d’assurance (ou les preneurs de risques) doivent être rémunérés au delà
des taux de rémunération offerts par les placements sans risque. Le taux
de rémunération supplémentaire est fixé à 6 % par le CEIOPS pour le
moment (soit une rémunération annuelle totale de 10 % avec un rendement
sans risque de 4 %). La détermination de la marge de risque nécessite de
projeter les besoins en fonds propres futurs pour couvrir les SCR futurs ; la
marge de risque est alors égale à 6 % de la valeur actuelle des besoins en
fonds propres futurs.
1. Cette méthode (« coc », « cost of capital ») est privilégiée par le CEIOPS dans les
questionnaires d’impact 3 et 4. La méthode du coût du capital est également utilisée par
les entreprises d’assurance valorisant périodiquement leur valeur intrinsèque ou
« Embedded Value ».
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v Quelques illustrations
56 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Le capital cible
58 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Le capital minimum
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
sur les différentes structures d’assurance (au niveau solo et groupe). Les
opérateurs sont conviées à répondre, sur base volontaire, à ces
questionnaires.
Les principaux enseignements du QIS 3, réalisé en 2007 (et dont les
résultats ont été restitués en octobre et novembre), sont les suivants :
• En assurance vie :
Les provisions sont globalement en légère hausse. Des fortes hausses
peuvent être constatées sur les contrats présentant des options ou des
garanties spécifiques (facultés de rachat, de prorogation, conversion en
rentes à des conditions prédéfinies par exemple).
Des interprétations très diverses ont été observées sur les modalités de
calcul du « Best Estimate » (notamment au niveau de la prise en compte de
la participation aux bénéfices future).
Le SCR est en hausse parfois sensible. Environ 75 % du SCR est expliqué
par le risque de marché (avec une part importante du risque Actions/immo-
bilier), 15 % par le risque de souscription et le reste par les autres risques.
La couverture globale des nouvelles exigences de solvabilité demeure
respectée par les opérateurs français.
• En assurance non vie :
Les provisions sont globalement en baisse du fait de l’escompte.
Le SCR en revanche est en hausse (parfois de façon significative et en
particulier pour les risques longs). Plus de la moitié du SCR est expliquée
par le risque de souscription, une part importante par le risque de marché
et une part plus ou moins élevée (suivant la politique de réassurance et la
nature des réassureurs) par le risque de concentration.
La couverture globale des nouvelles exigences de solvabilité demeure
respectée par les opérateurs français.
Le prochain QIS 4, dont les contours ont été dévoilés le 20 décembre 2007,
offrira une nouvelle fois l’occasion aux entreprises d’assurance de mesurer
les futures exigences pour leur cas particulier et, si besoin, d’influer sur le
cadre d’analyse à travers leurs fédérations de rattachement notamment.
Il sera officiellement lancé an avril 2008 et les résultats devront être
fournis au CEIOPS pour juillet 2008.
60 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
II I
Le risque est la possibilité qu’un événement se produise et ait une incidence défavo-
rable sur la poursuite et/ou l’atteinte des objectifs et/ou sur les actifs de l’entreprise.
L’événement doit être potentiel et sa potentialité de survenance doit être évaluée.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
62 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Aléas conjoncturels :
– baisse de la demande,
– hausse imprévue de la demande.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
chacun des acteurs soit capable de gérer ses propres risques, là où il est,
pour ce qui le concerne et en toutes circonstances.
Enfin, les risques issus des scénarios recensés sont évalués et classés en
trois catégories (majeurs, courants et non-qualité) sur la base de deux
critères traditionnels en analyse de risque :
• la gravité du risque qui mesure les conséquences pour l’entreprise,
• la probabilité de réalisation du risque qui détermine le taux d’occurrence,
Le résultat du produit « gravité x probabilité » donne ce que l’on nomme
l’espérance mathématique de la gravité (ou criticité). La criticité d’un
risque est donc un indicateur de l’acuité du risque.
Comme l’indiquent les tableaux suivants, une échelle à quatre niveaux est
utilisée pour chaque critère (gravité et probabilité), qui permet le classe-
ment des risques dans les trois catégories énoncées (cf. Fig. 3) :
• risques majeurs,
• risques courants,
• risques mineurs ou de non-qualité.
Une fois les risques identifiés en fonction de leur enjeu, nous pouvons
ensuite les classer et les prioriser à travers la matrice de vulnérabilité qui
reprend les critères de gravité et de fréquence. On obtient le graphique
ci-après.
64 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Lorsque les risques ont été hiérarchisés, le travail n’est pas pour autant
terminé car il est nécessaire de déterminer qui, dans la hiérarchie, sera
chargé de mettre en place les actions de maîtrise des risques. Pour ce faire,
ce sont les enjeux inhérents aux risques qui sont associés aux niveaux de
responsabilités existants dans la structure concernée. Nous illustrons ce
principe à l’aide du tableau (cf. figure 4) où les actions de maîtrise des
risques majeurs de niveau 4 sont initiées et pilotées par la Direction et ainsi
de suite jusqu’aux risques de non qualité de niveau 1 qui peuvent être gérés
par les employés directement. Bien entendu, il s’agit d’une technique à
adapter dans chaque entreprise en fonction de l’organisation adoptée.
66 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
68 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Chaque critère est ensuite croisé avec la nature de l’activité analysée. Par
exemple, le critère de confidentialité sera décliné pour une activité
d’accueil à la fois pour l’accueil physique du public mais également pour
l’accueil au téléphone. Cela nous amène directement au paragraphe
suivant consacré aux entretiens qui vont permettre de détecter les risques.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Ce n’est que sur cette première base de travail que l’analyse des activités
peut véritablement commencer avec les opérationnels et les managers des
activités étudiées.
Le premier travail du groupe consiste à décrire chronologiquement
chacune des tâches qui composent l’activité analysée.
Il s’agit ensuite d’imaginer collectivement les causes qui vont permettre de
détecter les risques pesant sur ces tâches.
Chaque scénario de risque est ensuite évalué et classé (risque majeur,
risque courant ou risque de non qualité) en appliquant des barèmes de
gravité et de probabilité de la méthode MIRIS, ce qui revient à s’interroger
sur les conséquences et les chances de survenue de ces risques.
Pour chaque scénario, le groupe examine ensuite, et le cas échéant, les
parades ou actions de Contrôle Interne déjà existantes en appréciant leur
degré de pertinence et d’efficacité. S’il n’existe pas encore de parades
mises en place, le groupe recherche alors les actions de préventions et/ou
de protections qui pourraient être mises en œuvre pour diminuer l’exposi-
tion aux risques.
C’est l’exposition résiduelle (risque – parades mises en place ou risque
net) qui est appelée vulnérabilité de l’organisation au risque identifié.
Pour conclure sur ce point, ces séances de créativité, et donc la détection
des risques, se font selon une approche participative de type latine. Dans
une séance de créativité, ce ne sont pas les hommes que l’on juge, mais les
situations. L’objectif recherché est l’amélioration continue et l’éradica-
tion des dysfonctionnements et défauts d’une organisation. Ces séances de
créativité sont d’autant plus fondamentales que le crédit des promoteurs
de la maxime « pour progresser, il faut savoir identifier ses faiblesses »
dépend de leur capacité à s’appliquer à eux-mêmes le principe fonda-
mental de leur démarche.
Cette logique ne se conçoit évidemment que dans le cadre d’une entreprise
sachant gérer ce type de situation sans mettre en porte à faux les collabo-
rateurs « jouant le jeu » de bonne foi. Bien entendu, dans le cadre d’une
structure importante où l’exploitation plus étendue d’une telle franchise
de pensée devient inimaginable, il est au moins indispensable que les parti-
cipants aux séances de créativité réalisent entre eux avec sincérité cet
examen des bons et des mauvais fonctionnements, et puissent au moins en
discuter librement entre eux et avec leur hiérarchie immédiate.
70 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
72 I Contrôle interne
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Coûts
Charge
des Délai
Rappel Qui en Jours
Désignation Qui moyens maximum Méthode
de super- ou
de l’action fait ? éventuels de mise employée
l’enjeu vise ? Heures X
(en en place
homme
KEuros)
Activité métier. Semaine Recenser les
Action numéro 4 4 X M. X 1/2J 10 ki 35 habilitations
Écrire
Comptabilité Comp- la nouvelle
action numéro 3 3 table M. Y 1/4H 0 Immédiat procédure
Etc. – – – – – – –
Pour terminer, rappelons que pour bien mener une démarche de change-
ment en matière de Contrôle Interne, il faut » sans trop intellectualiser la
méthode » qu’elle soit délocalisée et partagée par tout le monde. Pour être
délocalisée, elle ne doit s’intéresser qu’à ce qui préoccupe les collabora-
teurs, c’est-à-dire s’intéresser uniquement à leurs activités.
Il s’agit donc avant tout :
• de délocaliser le Contrôle Interne pour bien montrer la volonté de
report d’attention aux réalités sur le terrain d’exécution,