Courtiers : comment faire face à la recrudescence des audits

Les activités déléguées de plus en plus contrôlées

Depuis la mise en œuvre de Solvabilité II, les assureurs ont l’obligation de s’assurer de la fiabilité de leurs sous-traitants : il est ainsi exigé que les activités confiées à des partenaires soient tout aussi maîtrisées que celles gérées directement, sans intermédiaire. La maîtrise des opérations déléguées est une dimension désormais pleinement intégrée aux contrôles menés par l’ACPR, garante du respect des dispositions législatives et réglementaires. D’où la multiplication des observations faites par le régulateur au cours de ses inspections, d’ailleurs à l’origine de plans d’action chez les assureurs comme la structuration de filières d’audit de leurs activités déléguées.

Effectivement, l’article 274 du règlement délégué précise que toute entreprise d'assurance sous-traitant des fonctions ou activités opérationnelles importantes ou critiques se doit de veiller à ce que les éléments pertinents des systèmes de gestion des risques et de contrôle interne du prestataire n’entraînent pas indûment un accroissement du risque opérationnel. Naturellement, cette démarche est bien plus délicate à justifier et documenter dans la pratique.

Pour garantir le niveau de transparence et de conformité requis, il est pourtant expressément prévu que l'entreprise d'assurance ou son auditeur externe jouisse d'un accès à l’ensemble des informations relatives aux fonctions et activités externalisées. Théoriquement, cela inclut la possibilité d'effectuer des inspections sur place, directement dans les locaux du prestataire. Concrètement, pour les courtiers, cet impératif se traduit par une sollicitation de l’assureur… ou plutôt des plusieurs dizaines de compagnies d’assurance dont ils sont délégataires. En effet, il n’est pas rare qu’un professionnel du courtage ait à subir une vingtaine d’audits par an, fait d’autant plus pénible que ces contrôles sont identiques pour la plupart d’entre eux.

ISAE 3402 : ce standard de référence qui séduit les courtiers

Une solution permet toutefois aux courtiers de faire face à cette marée d’examens en les limitant considérablement. Cette démarche consiste, pour le professionnel, à documenter par ses propres moyens l’existence, la robustesse et l’efficience de son contrôle interne et à le faire attester par un auditeur indépendant au sein d’un rapport dénommé « ISAE 3402 ». Derrière cet acronyme de « International Standard for Assurance Engagements » se cache un standard unique mis en place en 2011 permettant de démontrer le bon fonctionnement ainsi que la fiabilité des processus et contrôles participant à l’élaboration de l’information financière.

Dans les faits, tous les acteurs ne disposent pas du même niveau de maturité de leur contrôle interne : c’est pourquoi la réalisation d’un diagnostic préalable à l’obtention de la reconnaissance internationale ISAE 3402 est une première étape indispensable. Elle consiste en une analyse de l’existant permettant d’identifier les potentielles zones de risques, mais aussi d’établir, si nécessaire, un plan de mise en conformité notamment par la rédaction de procédures et l’instauration de contrôles clés efficaces. Si le périmètre de ces travaux couvre logiquement les processus liés au métier du courtage à l’instar de la gestion des souscriptions, recouvrements et sinistres, il concerne également le système d’information. A ne pas négliger, ce dernier n’échappera en effet pas aux tests : de l’exploitation à la sécurité logique en passant par la gestion des changements. Pour le courtier, entreprendre une telle démarche constitue bien entendu l’opportunité, non seulement de perfectionner ses pratiques et outils, mais surtout de les hisser au meilleur niveau du marché tout en le faisant savoir. A la clé ? Gain d’avantage concurrentiel assuré vis-à-vis des pairs et excellence technique avérée aux yeux des compagnies.

Si la concrétisation de ces actions peut prendre du temps, il reste intéressant de souligner que l’ISAE 3402 prévoit deux types de rapports (type 1 et type 2). Cela offre au courtier la possibilité d’une gradation dans sa démarche, avec des résultats déjà probants à court terme. Plus précisément, la première étape de la démarche mène à l’obtention du rapport de type 1, se limitant à la seule justification de l’existence d’un dispositif de contrôle interne à une date donnée. Une fois ce premier dispositif stabilisé, la seconde étape consiste à en attester l’efficacité sur une période définie, qui s’achèvera par la délivrance d’un second rapport : celui de type 2. Ces deux documents, dont la diffusion reste à la discrétion du courtier, se composent de parties normatives imposées, décrivent le dispositif de contrôle existant ainsi que les conclusions relatives à son efficacité dans le cas d’un rapport de type 2. Ils offrent également la possibilité d’intégrer librement des informations additionnelles et deviennent ainsi un moyen supplémentaire, pour le courtier, de communiquer sur la qualité de son organisation opérationnelle.

Cette reconnaissance est devenue une référence incontestée permettant d’apprécier les prestations de tiers :  incontournable pour les sociétés de gestion d’actifs et sociétés de mise en commun de moyens informatiques, elle gagne progressivement le monde de l’assurance et notamment les courtiers. ISAE 3402 constitue un gage de qualité particulièrement apprécié des compagnies d’assurance, et ce pour deux principales raisons : tout d’abord, les assureurs évoluent dans un contexte où les processus clés sont de plus en plus délégués à des experts, qu’il convient d’auditer pluri annuellement. D’autre part, les principales insuffisances relevées par l’ACPR lors de ses contrôles se situent précisément au niveau de la maîtrise de la sous-traitance, insuffisances d’autant plus criantes que l’ACPR est aussi le régulateur des banques, bien plus avancées en la matière. En exposant les résultats des tests effectués et les conclusions du dispositif de contrôle mené par l’auditeur indépendant, ISAE 3402 s’impose, côté assureurs, comme un standard de confiance, et côté courtiers, comme un moyen probant de se différencier de la concurrence.

¹ selon le rapport annuel de l’ORIAS

Article paru dans L'Argus de l'Assurance

Quels enjeux pour le secteur de l'assurance ?