Section 2: Les outils de la gestion de la
conformité
Souvent perçues comme des barrières au
développement commercial, les enjeux de la conformité doivent
faire l'objet d'une gestion étudiée et planifiée pour
pouvoir concilier conformité et l'excellence opérationnelle.
Une gestion étudiée désigne pour
l'entreprise d'assurances le choix d'une approche parmi trois possibles :
? L'approche réactive qui
implique l'intervention pour la mise en conformité après un
contrôle sur place de l'autorité de supervision. Cette approche
peut coûter cher dans la mesure où l'entreprise se trouve dans
l'obligation de réaliser des travaux dans l'urgence, de mobiliser des
ressources massives surtout en faisant appel à des prestataires
externes.
? L'approche active qui signifie une
gestion au quotidien, l'entreprise ne procède pas à un travail
d'anticipation, elle traite les enjeux de la conformité dès la
promulgation d'une nouvelle règlementation. l'adoption de cette approche
peut aboutir à des résultats précipités du fait des
dates limites serrées édictées souvent par les nouvelles
réglementations.
? L'approche proactive qui implique
le maintien de l'entreprise en état d'alerte, elle nécessite une
maîtrise parfaite de l'environnement réglementaire dans lequel
opère l'entreprise d'assurances, une ouverture sur le
développement de l'activité d'assurance dans le monde et une
veille réglementaire très active.
A notre sens, cette approche proactive se révèle
la moins coûteuse et la plus efficace et doit être appliquée
par la fonction conformité.
L'approche proactive repose sur l'identification prospective
des nouvelles réglementations et permet par conséquent à
l'entreprise d'assurances ou de réassurance de se préparer
à la mise en conformité, de planifier les actions
nécessaires pour la conduite des changements, de choisir rationnellement
les ressources à mobiliser...etc.
Par ailleurs et outre la question de l'approche la plus
appropriée pour la mise en conformité, l'idée de la
gestion de la conformité nous amène à évoquer la
question du plan de conformité, qu'est-ce qu'un plan de
conformité ? À quoi sert un plan de conformité ? Qui
prépare le plan de conformité ?...
Techniquement, le plan de la conformité
c'est le document qui illustre les axes de la stratégie de
conformité comme conçue par le top management
opérationnelle de l'entreprise. La préparation de ce plan
nécessite au préalable un mappage pour les zones d'exposition aux
risques et une identification et hiérarchisation des risques de
non-conformité. Il vise à définir les thèmes de la
conformité qui devront être traités en priorité.
En pratique, nous estimons que la stratégie peut
couvrir une période de trois ans, tandis que le plan de
conformité doit être annuel, ainsi il est possible d'apporter les
ajustements nécessaires le cas échéant.
Le plan annuel de conformité doit être
consolidé par un plan d'action propre à chaque thème
détaillant surtout les mesures de traitement des risques lui
inhérents. Dans ce cadre l'entreprise est appelé à
entreprendre les mesures suivantes :
? L'évitement, pour les risques qui n'entrent pas dans
l'appétence aux risques par le biais d'un procédé que
l'entreprise juge utile.
? La réduction de l'impact ou de l'occurrence du risque
par la mise en place d'un ensemble de mesures limitant l'une ou des deux dites
dimensions, tout en gardant permanents le contrôle et la surveillance.
? Le transfert du risque par l'externalisation ou par la
souscription d'une assurance.
? L'acceptation pour les risques qui entrent dans le seuil
d'appétence aux risques par l'entreprise.
Logiquement, le plan d'action doit mettre l'accent
principalement sur deux axes : les mesures de réduction des risques
à travers le renforcement du dispositif du contrôle soit pour
limité leur survenance soit pour en mitiger l'impact et les supports de
communication et de formation et les contenus pédagogique lui
inhérents.
Une fois le choix d'une approche de gestion est fait et les
plans de la mise en conformité sont préparés, la fonction
de la conformité doit disposer au moins de deux outils pour assurer une
gestion efficace, il s'agit du référentiel réglementaire
(paragraphe 1) et la cartographie des risques
(paragraphe 2).
Paragraphe 1 : Le référentiel
réglementaire
Considéré d'ordre public, le secteur des
assurances est parmi les activités les plus réglementées,
raison pour laquelle les sociétés d'assurances ou de
réassurance doivent avoir une vision holistique de leur environnement
réglementaire, cette vision doit aller au-delà du recensement de
l'existant pour anticiper les éventuels changements pour pouvoir
préparer au mieux les plans de mise en conformité.
Ainsi on peut confirmer que la veille réglementaire est
la pierre angulaire pour toute démarche de mise en conformité,
d'où la nécessité de mettre la lumière en premier
lieu sur la constitution du référentiel réglementaire
(A) pour pouvoir élaborer un exemple en matière
de lutte anti blanchiment d'argent et financement du terrorisme
(LAB/FT) (B) en deuxième lieu.
A : La constitution d'un référentiel
réglementaire
Le référentiel réglementaire est en tant
que tel un document récapitulatif, comprenant essentiellement un
recensement des textes juridiques et réglementaires applicables
(I), les interprétations à vulgariser pour
servir de culture à partager par l'ensemble du personnel (II) ,
les sanctions et risques encourus en cas de manquements (III)
et les meilleurs pratiques ou des recommandations
(VI).
I. Identification du cadre
réglementaire
Maîtriser l'environnement réglementaire est une
condition incontournable pour lancer une démarche de mise en
conformité. Pour un secteur très réglementé et dans
un monde de plus en plus ouvert, les entreprises d'assurances ou de
réassurances sont appelées à se soumettre non seulement
à un cadre légal national mais encore à des textes de lois
transnationaux comme par exemple la loi américaine sur la
conformité fiscale des comptes étrangers de 2010 connue sous
l'acronyme FATCA55.
L'identification des textes applicables doit s'étendre
aux différentes sources de législation possible (notes et
procédures internes, décisions et directives des instances de
régulation, arrêts et décrets ministériels, les lois
nationales, des textes émanant des instances internationales ou encore
des gouvernements mais à vocation internationale...). Une fois les
textes sont recensés, la fonction conformité doit les classer par
thèmes et selon un ordre décroissant en fonction de leurs
forces.
Dans ce cadre, il est important pour le RCC
de se rappeler que « nul n'est censé ignorer la loi »
et qu'une veille réglementaire pertinente constitue la pierre angulaire
pour la démarche de la mise en conformité, il est
nécessaire de connaitre nos obligations pour pouvoir les respecter.
De plus, il faut rappeler qu'une gestion proactive de la
conformité rend crucial pour le RCC d'opter pour une
veille prospective, par conséquent il faut :
? Aller chercher l'information juridique là où
elle peut exister (même auprès des sources informelles).
? Etre actif et ouvert sur les associations professionnelles
(FTUSA56, corps des experts en assurances, corps
des intermédiaires en assurances, les lobbyistes...).
? Identifier les pratiques de l'entreprise qui n'ont pas
encore fait l'objet d'une règlementation et les traiter à la
lumière des bonnes pratiques et des expériences
comparées.
55 La loi FATCA (Foreign Account Tax Compliance
Act) est une loi visant à s'assurer que les personnes soumises
à l'impôt selon le régime fiscal américain
déclarent les revenus perçus sur les avoirs financiers qu'elles
détiennent en dehors des Etats-Unis dans le but de détecter et
lutter contre la fraude fiscale.
La Tunisie a signé le 30 Novembre 2014 un accord de
principe intergouvernemental et a opté pour le modèle 1 selon
lequel les institutions financières tunisiennes doivent rapporter
auprès de l'autorité de la tutelle qui a le pouvoir de
représentation avec son homologue américaine.
Cet accord de principe a été
concrétisé par un traité signé entre la Tunisie et
les Etats Unis d'Amérique le 13 mai 2019 afin de mettre en oeuvre la loi
FATCA.
46
56 FTUSA : la fédération tunisienne des
sociétés d'assurances.
II.
47
La vulgarisation de l'information et La simplification
des exigences réglementaires
La vulgarisation réglementaire consiste en deux
tâches élémentaires, à savoir :
? L'interprétation des textes juridiques et
règlementaires : Il s'agit pour la fonction de contrôle
conformité de reformuler les textes réglementaires avec un
langage plus intelligible pour qu'ils soient appréhendés par une
population non juriste.
En interprétant les textes, le RCC doit faire
prévaloir l'esprit sur le texte mais sans aller à distordre le
sens et l'étendue des exigences réglementaires, c'est une
identification simplifiée des obligations réglementaires de
l'entreprise.
Pour assurer la pertinence des interprétations, le RCC
doit se faire assister par la direction juridique et par des experts
métier le cas échéant.
? La diffusion de l'information juridique et
réglementaire : Après avoir reformulé l'information
réglementaire et la simplifier, le RCC doit procéder à sa
diffusion auprès de l'ensemble du personnel de l'entreprise.
Le référentiel réglementaire est un
outil de travail qui doit être à la portée de tout le
personnel et c'est par le biais de ce document et son contenu que la fonction
conformité assiste le top management de l'entreprise dans la conduite de
changement.
Le but de la vulgarisation c'est donc d'identifier les
obligations à respecter, de les proposer dans un document
simplifié et d'inciter les gens à se référer
à ce document pour s'autocontrôler sous peine de sanctions ou de
risques. La vulgarisation vise à traduire les textes
réglementaires en obligations opérationnelles, de ce fait, le
référentiel réglementaire peut servir de
référence pour la rédaction des notes de direction et les
procédures.
III. Définition des sanctions
encourus
Parmi les axes d'une démarche pour la conduite de
changement c'est d'agir sur la culture partagée par l'ensemble du
personnel et pousser vers son harmonisation avec la stratégie globale de
l'entreprise.
Pour une démarche de mise en conformité, le
référentiel réglementaire est considéré
comme l'outil le plus pertinent pour gérer les changements culturels,
par conséquent ce document doit favoriser la culture de risque par la
définition des risques de non-conformité et les sanctions
encourues.
Dans la pratique, la fonction conformité doit
identifier les sanctions prévues par les réglementations
intégrant le périmètre de la veille réglementaire
et évaluer les risques encourus en cas de non-conformité (risque
d'image, risque de perte financière, risque de sanctions), puis elle
propose pour diffusion un sommaire bien organisé (par thème, par
nature de risque, par gravité...etc.) et facile à consulter par
le personnel de l'entreprise.
| 
