« Le dispositif de contrôle interne, et son prolongement au sein du système de gestion des risques opérationnels, s’est renforcé lors de la mise en œuvre de Solvabilité II. Même si les organismes d’assurance ont plus « subi » que « choisi » de se doter de ressources en contrôle interne, son utilité n’est pas à remettre en cause, loin de là, mais sa légitimité est-elle maintenant bien ancrée dans les organismes d’assurance ?
Frédéric Getin – CoExell Conseils
Cette légitimité est d’autant plus importante, que le « client » principal du contrôle interne est le conseil d’administration, qui « surveille » l’activité du contrôle interne, car ultimement responsable de son efficacité et des actions à mettre en œuvre pour assurer la qualité des opérations de l’organisme. Cette surveillance se traduit par la présentation du plan de contrôle interne aux instances, et des résultats associés à ce plan de contrôle interne a minima annuellement. Ainsi, l’organe d’administration a-t-il toutes les cartes en main pour prendre les décisions qui s’imposent en cas de faille en matière de qualité des opérations.
L’ACPR ne s’y trompe pas d’ailleurs, en renforçant son rôle au travers de ses recommandations, où elle ne manque pas d’alimenter le plan de contrôle interne, notamment au travers :
- De la recommandation 2023-R01, relative à la Directive Distribution en Assurance (« DDA »)
- De la recommandation 2022-R01 relative au traitement des réclamations
- Du décret du 06 janvier 2022, relatif au dispositif de Lutte Contre le Blanchiment des Capitaux et au Financement du Terrorisme (« LCB-FT »)
Il est donc maintenant nécessaire d’alimenter le plan de contrôle interne des thématiques imposées par l’ACPR, en plus des travaux classiques liées à l’alimentation du plan de contrôle interne (tests d’efficacité des contrôles et plan d’actions) reflet de l’analyse de la cartographie des risques opérationnels.
La cartographie des risques est donc essentielle pour justifier d’un dispositif de contrôle interne qui soit intégré au système de gestion des risques conformément aux exigences réglementaires, comme illustré dans le schéma ci-dessous :
Afin de pouvoir répondre à cette exigence, il est indispensable de disposer d’une gestion des risques opérationnels basée sur :
- Un référentiel des processus
- Un référentiel des risques opérationnels
- Une méthodologie d’évaluation des risques opérationnels qui restitue le niveau des risques en s’appuyant sur l’efficacité et la formalisation des dispositifs de contrôle
- Une méthodologie de contrôle structurée, et son impact sur l’évaluation des risques opérationnels
- L’intégration de la cartographie des risques de non-conformité dans le dispositif de gestion des risques opérationnels
La mise en cohérence et la bonne articulation de l’activité de contrôle interne avec la cartographie des risques opérationnels permettent de justifier de l’efficacité du dispositif de contrôle interne. C’était déjà vrai. Ça l’est d’autant plus maintenant que l’ACPR intègre le dispositif de contrôle interne de manière systématique dans ses recommandations, rendant incontournable l’activité de contrôle du contrôle interne dans la gouvernance des organismes d’assurance.
