Le contrôle interne en assurance, pilier d’une organisation efficiente : comprendre et cerner ses enjeux

Contrôle interne : quels objectifs, quelles missions ?

Le contrôle interne a évolué au fil du temps pour devenir un pilier incontournable de la gestion d'entreprise. Il est défini par un seul texte de référence, le Committee of Sponsoring Organizations of the Treadway Commission  plus connu sous le nom de COSO, devenu une référence mondiale en la matière, notamment avec son modèle publié en 1992. Ce modèle a établi un cadre complet pour le contrôle interne et a transformé la façon dont les organisations abordent le contrôle interne et la gestion des risques.

En 2004, la publication du COSO 2 a permis d’améliorer son modèle pour l’adapter aux nouvelles réalités économiques et à des exigences réglementaires en constante évolution. Aujourd'hui, le COSO demeure une référence mondiale en matière de bonnes pratiques de contrôle interne pour aider les organisations à renforcer leur gouvernance, leur gestion des risques et leur conformité.

D’un point de vue concret, le contrôle interne consiste à définir, recenser et détailler, dans tous les domaines, les règles et procédures de contrôle de l’organisation. La cartographie des risques permet d’identifier tous les risques auxquels la société fait face, d’évaluer ces risques (scoring), de les mesurer et de les piloter, et de permettre aux instances de gouvernance de définir des plans d’action adaptés en fonction du niveau de criticité.

Conformément au décret numéro 2006-287 du 13 mars 2006, les sociétés d’assurance doivent établir et maintenir un dispositif permanent de contrôle interne, approuvé annuellement par les instances de gouvernances et rapporté à l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

Le contrôle interne, un levier opérationnel pour optimiser la gestion de l’organisation

Longtemps perçu comme une contrainte, le contrôle interne est cependant une opportunité significative pour assurer la performance de l’organisation, optimiser les process et atteindre les objectifs définis par la direction générale. Il permet d’assurer une fiabilité de l'information, de suivre le niveau de couverture des risques identifiés et les activités par l'optimisation des flux internes, tout en veillant à la bonne exécution des procédures - et non simplement à leur formalisation. Il permet également d’assurer une meilleure communication entre les directions concernées.

Le  dispositif de contrôle interne, une fois validé par les instances de gouvernances et exécuté par le biais de tests et de contrôles, offre une assurance raisonnable quant au niveau de maîtrise des activités de l'entreprise. Il convient de s’assurer que ce plan est effectué dans son ensemble pour éviter tout manquement ou failles. Dans le prolongement de la cartographie des risques existante, la direction du contrôle interne définit les plans d’actions à mettre en place ainsi que les tests à réaliser. Cette méthodologie peut être appliquée à travers différents tests (tests de conformité, tests de cheminement...) et permet de recueillir des observations, d’identifier les éventuels écarts et signaux d’alerte, et de transcrire les résultats de ses contrôles en éléments opérationnels activables par la direction générale.

La direction du contrôle interne est également amenée à mettre à jour annuellement son plan de contrôle afin d’y intégrer les évolutions réglementaires ou de processus susceptibles d'impacter ses activités. Les entreprises assurantielles doivent donc veiller à effectuer un travail permanent quant à l’adaptation de leur système de contrôle interne.

Aujourd’hui, le contrôle interne est un outil transverse de maîtrise des risques. Il doit donc collaborer étroitement avec les fonctions clés définies par Solvabilité II : Gestion des risques, Conformité, Audit interne et Actuariat, – et être une fonction support pour ces dernières. Le contrôle interne a pour objectif, aussi, d’adapter son plan de contrôle aux priorités identifiées par ces quatre fonctions clés. 

Le contrôle interne en pleine évolution : les points de vigilance  

À l’ère de la transformation numérique de l’entreprise, le rôle du contrôle interne tend à devenir de plus en plus stratégique, et nécessite une adaptation constante aux évolutions organisationnelles et aux changements externes. Afin d’accroître son efficacité, la création d'une cellule dédiée peut être une stratégie avisée.

Actuellement, les responsables du contrôle permanent dans le secteur assurantiel font face à une double problématique : d'une part, ils doivent maintenir un contrôle rigoureux afin de prévenir tout écart et éviter d’éventuelles sanctions, et d'autre part, ils doivent veiller à l’intégration et à la gestion des nouveaux risques émergents.

À titre d’exemple, ces derniers mois, le contrôle interne doit assurer la mise en conformité des directions concernées aux évolutions réglementaires et plus particulièrement à la Corporate Sustainability Reporting Directive (CSRD) ou au Digital Operational Resilience Act (DORA). Cette situation entraînera la mise en place de nouveaux contrôles de 1^er et de 2^nd niveau, avec une approche axée sur la maîtrise des nouveaux risques. En parallèle, la direction contrôle interne doit s’assurer de disposer des ressources suffisantes pour la réalisation de ces contrôles, tout en capitalisant sur l’existant.

Enfin, de nouveaux risques émergents, et la menace constante de fraudes, de criminalité financière, de cybercriminalité, d'usurpation d'identité requiert une anticipation et une gestion proactive. Les responsables du contrôle permanent, en collaboration avec la direction, doivent élaborer des stratégies avancées pour détecter, prévenir, et contrer ces risques, afin de protéger à la fois l'entreprise et les clients.

Cela nécessite une combinaison d'outils technologiques, de protocoles de sécurité robustes, ainsi qu’une sensibilisation continue au sein de l'organisation pour anticiper et contrer ces menaces. Les entreprises assurantielles sont particulièrement concernées, en particulier celles opérant à l'échelle mondiale avec des processus 100% numériques, car elles sont exposées à des tentatives de fraudes, qui pourraient passer inaperçues sans un dispositif de contrôle interne solide et approprié.

Le contrôle interne occupe un rôle clé au sein d’une structure d'assurance efficiente, dans la mesure où il doit être un moyen de parvenir aux résultats attendus et définis dans le cadre d’un plan stratégique groupe. La coopération de l'ensemble des participants de l'organisation permet de garantir un dispositif de contrôle interne efficace. Le plan de contrôle se doit de répondre à des objectifs précis, qu’ils soient opérationnels, financiers, stratégiques. Pour ce faire, il faut lui affecter les moyens nécessaires et suffisants pour parvenir à un taux de réalisation proche des 100%. Il est donc judicieux d'envisager une analyse plus approfondie de la construction d'un système de contrôle interne afin de mettre en lumière les enjeux et points de vigilance qui méritent une attention particulière, en se basant sur une culture forte du contrôle interne ancrée à tous les niveaux de l’organisation.

Par Kenza Sentissi, Maureen Melut, Mickaël Hassan et Sophie Schwartz, Conseil Assurance chez Mazars