Chapitre 2: La dimension organisationnelle de la conformité en assurance

C'est sous l'influence de deux facteurs qu'on a vu s'accroitre l'intérêt aux questions relatives aux problématiques liées à la transparence de l'information financière et à la gouvernance d'entreprise d'une façon générale. Il s'agit, d'une part, de l'immensité des révélations faites poste-révolution sur les dossiers de malversations et de corruption, et d'autre part de l'impulsion des organismes internationaux comme la Banque Mondiale (BM), le Fonds Monétaire International (FMI), l'Organisation de Coopération et de Développement Économiques (OCDE).

Ainsi, s'est renforcée la prise de conscience des autorités de tutelle quant à la question de gestion et du contrôle des entreprises d'assurances ou de réassurance, et c'est dans cette perspective qu'une décision a été rendue publique par le CGA le 13 juillet 2016 sous le n°1 relative à la définition des règles de bonne gouvernance des entreprises d'assurances ou de réassurance et que des travaux de révision du code des assurances sont engagées, marquées spécialement par l'insertion d'un titre huit relatif à la gouvernance desdites entreprises

Une lecture attentive de ce projet de révision du code des assurances ou de ladite décision du CGA à la lumière d'autres textes relatifs au domaine des affaires à l'instar de la loi n° 200596 du 18 octobre 2005 relative au renforcement de la sécurité des relations financières, loi n° 2007-69 du 27 décembre 2007, relative à l'initiative économique, la loi n° 2009-16 du 16/03/2009, modifiant et complétant le code des sociétés commerciales et la circulaire de la Banque Centrale de Tunisie (BCT) aux établissements de crédit n° 2011-06, en date du 20 mai 2011, nous révèle la nécessité, voir, l'obligation de mise en place d'un système de gouvernance⁴³ incluant nécessairement la fonction de gestion des risques, la fonction d'audit interne, la fonction actuarielle et la fonction de vérification de la conformité.

L'idée pour les autorités de contrôle est de diffuser la culture de bonne gouvernance et d'inciter, à cette fin, les entreprises d'assurances ou de réassurance à mettre en place un dispositif de contrôle interne faisant obligatoirement partie intégrante de leurs structures organisationnelles et que la fonction de vérification de la conformité soit l'un des piliers sur lesquels repose ce dispositif (section I).

Certes, l'implémentation de la fonction de conformité et le déploiement de ses outils au sein de la structure organisationnelle de l'entreprise sont d'une importance capitale, mais en terme de bonne gouvernance cette fonction est appelée à concilier la conformité et l'excellence opérationnelle (section II) pour pouvoir créer de la valeur et garantir la pérennité de l'entreprise.

⁴³ Dans son article 4, la décision n°1 -2016 du Comité Général des Assurances a rendu obligatoire la création d'un ensemble de fonctions au sein des structures organisationnelles des sociétés d'assurances ou de réassurance. A son tour l'article 241 nouveau du projet de révision du code des assurances oblige lesdites compagnies de faire de la conformité, de l'audit interne, de la gestion des risques et de l'actuariat des fonctions intégrantes dans leurs structures organisationnelles.

30

Section 1 : La fonction de conformité, un outil de gouvernance d'entreprise

« La gouvernance consiste à mettre en oeuvre tous les moyens pour qu'un organisme puisse réaliser les fins pour lesquelles il a été créé, et ce de façon transparente, efficiente et respectueuse des attentes de ses parties prenantes. La gouvernance est donc faite de règles d'imputabilité et de principes de fonctionnement mis en place par le conseil d'administration pour en arrêter les orientations stratégiques, assurer la supervision de la direction et favoriser l'émergence de valeurs de probité et d'excellence au sein de l'organisation⁴⁴.⁴⁵»

Au sens de l'article 218 du projet de révision du code des assurances, la gouvernance désigne un système d'organisation constitué par un ensemble de structures, méthodes et procédures de gestion et de contrôle mises en oeuvre au sein de l'entreprise d'assurances ou de réassurance en vue d'assurer une conduite transparente, ordonnée et efficace de ses activités conformément à la règlementation en vigueur et au principe d'imputabilité.

Au sens de la directive Solvabilité II « Les entreprises d'assurance et de réassurance disposent d'un système de contrôle interne efficace. Ce système comprend au minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d'information à tous les niveaux de l'entreprise et une fonction de vérification de la conformité». Il ressort de ces deux textes que la fonction de contrôle de conformité est l'un des piliers du contrôle interne pour les entreprises d'assurances ou de réassurance (Paragraphe I).

Dans la pratique et compte tenu de sa qualité de ligne de défense, cette structure nécessite une organisation spécifique (Paragraphe II) à fin de lui garantir l'efficacité et faciliter ses interactions avec les autres structures.

Paragraphe 1 : la fonction de conformité au Coeur du contrôle interne

La notion de gestion est en tant que telle un concept d'organisation, d'où la création d'une fonction pour la gestion du risque de non-conformité qui illustre la mise en oeuvre de cette notion.

Certes, créer une fonction c'est mettre en place des procédures adéquates pour structurer, communiquer, ordonner et piloter des ressources afin d'atteindre un objectif.

Ainsi la gestion de la conformité dans les entreprises d'assurances ou de réassurance est une fonction qui doit jouir d'une structure autonome dans le dispositif global de la gouvernance de l'entreprise et de « la capacité administrative de remplir certaines tâches de gouvernance⁴⁶ ».

La création de cette fonction de conformité est désormais obligatoire selon les dispositions de la décision n°1 -2016 du CGA et de l'article 241 du projet de révision du code des assurances, elle se trouve aujourd'hui au coeur du contrôle interne et constitue une deuxième ligne de défense (A).

⁴⁴ Gouvernance : https://fr.wikipedia.org/wiki/Gouvernance#Gouvernance_de_l'entreprise.

⁴⁵ YVAN ALLAIRE : président du conseil d'administration de l'Institut sur la gouvernance d'organisations privées et publiques (IGOPP) et président du Global Council on The Role of Business, Forum économique mondial, « forum de Davos »

⁴⁶ Directive 2009/138/ce du parlement européen et du conseil du 25 novembre 2009

31

Pour les entreprises d'assurances ou de réassurance, la création de cette fonction ne doit pas faire un objectif en soi, il faut penser à conjuguer un ensemble de facteurs pour faire réussir la fonction de conformité (B)

A : la fonction de conformité, une deuxième ligne de défense

Adopter une approche systématique et proactive pour la gestion des risques (identifier, évaluer, maîtriser et contrôler) nécessite la définition des relations entre les unités opérationnelles et les fonctions de contrôle au sein des entreprises d'assurances ou de réassurance et la fondation d'un modèle de gestion qui s'articule autour de trois lignes de défense.

Une première ligne formée par les unités opérationnelles, et à laquelle revient principalement l'identification des risques par l'application stricte des procédures.

Une deuxième ligne de défense comprenant la fonction de gestion de risque, la fonction actuarielle et la fonction de contrôle de conformité qui sont chargées de s'assurer de l'efficacité des opérations d'identification des risques et en assurer l'évaluation, la maîtrise et le contrôle.

La troisième ligne est constituée de l'audit interne qui a pour mission principale la veille à l'efficacité du système de contrôle interne de l'entreprise.

Ce modèle de trois lignes de défense recouvre deux catégories de contrôle, un contrôle permanent assuré par les deux premières lignes dont le contrôle conformité constitue un sous-ensemble et un contrôle périodique assuré par la troisième ligne.

Figure 2 : Les catégories et les lignes du contrôle interne

32

Certes, la multiplicité des lignes de défense et des fonctions de contrôle d'une part et la diversité des catégories de contrôle au sein des organismes d'assurances ou de réassurance nous amènent à faire le point sur la spécificité du contrôle de conformité, notamment son processus (I) et son périmètre (II)

I. Le processus du contrôle de conformité

Pour définir le processus du contrôle de conformité, on entend beaucoup parler du « cycle vertueux de la conformité ». Il s'agit réellement d'un ensemble d'étapes successives formant un cycle répétitif.

Bien que ces étapes sont au nombre de huit, rien n'empêche de les reclasser sous quatre activités corrélées.

a) L'identification

A ce niveau du processus, et dans une première étape, la fonction de contrôle de la conformité procède à un travail de veille règlementaire qui consiste au recensement des obligations règlementaires et déontologique qui sont lui imposées et à la prospection de tout éventuel changement règlementaire. Dans une deuxième étape, la fonction de contrôle de la conformité doit mettre à jour la cartographie des risques de non-conformité à la lumière des nouvelles obligations recensées après avoir analyser leurs impacts sur l'entreprise.

b) L'évaluation

Lors de ce deuxième niveau du processus et en une première étape, la fonction de contrôle conformité procède à la formalisation d'un plan de mise en conformité et à la mobilisation des moyens nécessaires à cette fin à la lumière des risques identifiés et en fonction de la gravité de chaque risque. La deuxième étape de ce deuxième niveau du processus et réservée à la formalisation des nouvelles procédures et leur mise en place au niveau de la première ligne de défense, c'est-à-dire au niveau des unités opérationnelles et ce en exécution du plan de mise en conformité préalablement établi.

c) Le contrôle ou la surveillance

À ce niveau du processus, seuls les risques qui rentrent dans la sphère de l'acceptation par l'entreprise doivent faire l'objet de ce contrôle, par conséquent, la fonction de contrôle de la conformité est tenu, en une première étape, de définir les mesures adéquates et de les mettre en oeuvre en vue soit d'éliminer les risques soit de limiter ou mitiger leurs impacts. La deuxième étape à ce niveau est une étape de suivi régulier et elle consiste à faire les ajustements nécessaires et à gérer les alertes et les incidents avec la due vigilance.

d) Le pilotage et le reporting

Le dernier niveau du processus couvre à son tour deux étapes, la première consiste dans le pilotage du dispositif de contrôle de la conformité. A ce fait un ensemble d'indicateurs clés⁴⁷ d'ordre quantitatif et qualitatif doivent être dégagés sous forme de ratios et de notations. La deuxième étape pour ce niveau et la dernière pour le processus dans son ensemble consiste dans la gestion de la

⁴⁷ Il s'agit par exemple des ratios suivants : le taux de réalisation des contrôles (ratio, contrôles réalisés / contrôles planifiés). Ou encore taux d'efficacité (ratio, risques maitrisés / risques cartographiés)...etc.

La notation pour juger les aspects qualitatifs du dispositif de contrôle a l'instar du degré d'implication des relais dans le processus...etc.

33

relation avec les organes de supervision en interne et les instances de contrôle en externe. Lors de cette phase, la fonction de contrôle de la conformité joue un rôle d'aide à la prise de décision par la fourniture de l'information et le rôle de correspondant par l'émission des comptes rendus les cas échéants.

Figure 3 : Processus de gestion des risques de non-conformité

II. Le périmètre du contrôle permanent de la conformité

Le contrôle de la conformité est en tant que tel un sous-ensemble du contrôle interne permanent, il s'agit de deux fonctions très proches mais chacune d'entre eux a son propre périmètre.

Les contours du périmètre de contrôle de conformité se clarifient à la lumière du programme de contrôle préalablement défini. Mis à part son objet⁴⁸, ce programme doit obligatoirement définir en premier lieu les contrôles qui seront effectués par les lignes métiers, en second lieu le contrôle sur les contrôles ou encore la supervision de la fonction de contrôle de conformité en sa qualité de deuxième ligne et en fin les contrôles à réaliser d'emblée par la fonction de contrôle de conformité. Essentiellement le périmètre du contrôle de conformité doit couvrir au moins les missions suivantes :

> L'identification et la définition d'une politique de prévention des risques de non-conformité.

> Informer et conseiller les unités opérationnelles et les organes dirigeants des exigences de l'environnement règlementaire dans lequel opère l'entreprise.

> Superviser le dispositif de conformité et juger sa pertinence en regard des objectifs de performance de l'entreprise.

> L'aide à la mise en oeuvre des garde-fous de contrôle au sein des processus de toutes les structures de l'entreprise.

> L'évaluation de l'efficacité des contrôles et de l'engagement des opérationnels dans leur réalisation.

> Assister le management opérationnel pour pouvoir opérer en bonne conduite et en conformité avec les aspects stratégiques, juridiques, réglementaires prédéfinis.

Généralement les missions de contrôle permanent relevant du périmètre du contrôle de la conformité doivent viser deux objectifs :

D'une part, contrôler la bonne implémentation des dispositifs déployés au sein des structures métiers de l'entreprise, ainsi et par conséquent, toute défaillance des missions de contrôle implique une mauvaise conception du programme de contrôle préalablement défini par la fonction conformité ou son incomplétude.

D'autre part, il s'agit de s'assurer de la bonne réalisation des contrôles par la première ligne de défense. Ainsi par exemple pour les contrôles effectués aux fins de lutte contre le blanchiment d'argent et le financement du terrorisme, l'identification et la vérification de l'identité des personnes lors d'une nouvelle souscription doivent se faire au niveau de la première ligne de défense et la deuxième ligne, notamment la fonction conformité n'intervient que pour s'assurer que ce contrôle a effectivement été réalisé.