POLITIQUE DE GESTION DES RISQUES OPERATIONNELS

Transcription

1 1 POLITIQUE DE GESTION DES RISQUES OPERATIONNELS La présente Politique de gestion des Risques opérationnels a été approuvée par le Conseil d Administration du 6 septembre Politique de risques Souscription Etape Fonction Date Dernière mise à jour Directeur Administratif 27/07/2016 Validation Dirigeants Effectifs 16/08/2016 Validation Bureau 30/08/2016 Approbation Conseil d Administration 06/09/2016 Prochaine revue prévue en

2 2 Table des matières 1. Cadre général Définition et identification des risques couverts par cette politique Objectifs du document et périmètre d application profil de risque Indicateurs et outils de suivi des risques Appétence aux risques Seuils de Tolérance Limites opérationnelles Processus de surveillance et de gestion du risque opérationnel Rôles et responsabilités Contrôle périodique Processus d escalade Mise à jour de la politique Annexe... Erreur! Signet non défini. 2

3 3 1. Cadre général 1.1 Définition et identification des risques couverts par cette politique Le risque opérationnel est le risque de perte résultant de procédures internes, des membres du personnel ou de systèmes inadéquats ou défaillants ou encore d événements extérieurs (Article R du décret du 7 mai 2015). Pour la MPCDC, le risque de conformité - aux lois, règlements, code de conduites, etc.-- pouvant engendrer des pertes financières ou non financières (réputation ) est partie intégrante du risque opérationnel. Il fera l objet de dispositions spécifiques au sein de la politique sur le «Contrôle Interne et Conformité» dont la formalisation est programmée pour La gestion de ce risque doit permettre de guider la Direction Administrative ainsi que le Conseil d Administration sur toutes les questions relatives au respect des dispositions législatives, réglementaires et administratives afférentes à l accès aux activités de la Mutuelle et à leur exercice. La MPCDC doit ainsi instaurer un dispositif de conformité qui lui permette de veiller au respect de différents types de normes : - Externes : lois, règlements, recommandations émises, chartes, codes de conduite, qu il s agisse de dispositions sectorielles (code des assurances, de la mutualité ) ou relevant du droit commun (code civil, CNIL ). - Internes : procédures internes et instructions émanant des organes dirigeants et notamment le respect des Statuts et du Règlement Mutualiste de la Mutuelle. 1.2 Objectifs du document et périmètre d application Ce document a pour objectif de décrire le risque opérationnel de la MPCDC tel que défini précédemment, l organisation de la gestion de ces risques, les méthodes d identification, de mesure, d encadrement, de surveillance et de reporting de ce risque. Le périmètre d application de cette politique couvre l ensemble des processus de la MPCDC. Il s agit des processus suivants : - Organisation, composition, fonctionnement et suivi des instances, - Ressources humaines, - Accueil, - Adhésion santé et prévoyance, - Cotisations, - Prestations santé et prévoyance, - Comptabilité fiscalité, - Statistiques, - Communication, - Système d information. La MPCDC a fait le choix stratégique et organisationnel de sous-traiter certaines de ses activités. 3

4 4 Le choix de la sous-traitance a été effectué après prise en compte de critères stratégiques, quantitatifs et qualitatifs tels que les compétences techniques, la capacité opérationnelle et financière de la MPCDC à porter des investissements pour réaliser en interne ces activités, le coût de l externalisation, la prévention de conflits d intérêts, la compétence et la notoriété de chaque sous-traitant choisi. Le choix du recours à la sous-traitance et le choix du sous-traitant suivent le processus de décision qui s applique à l ensemble des risques. Le choix de sous-traiter est effectué en s assurant que le recours à la sous-traitance : ne compromet pas la qualité du système de gouvernance de la MPCDC ; n accroit pas le risque opérationnel de la MPCDC ; ne compromet pas la capacité des autorités de contrôle à vérifier que la MPCDC se conforme bien à ses obligations ; ne nuit pas à la prestation continue d un niveau de service satisfaisant à l égard des adhérents de la MPCDC. Dans ce contexte, la MPCDC reçoit annuellement de son principal sous-traitant (MFP Services pour la liquidation des prestations santé) un rapport décrivant l ensemble des processus délégués avec le dispositif de contrôle mis en place et les résultats de ces contrôles. Ces contrôles garantissent le correct traitement de la principale activité déléguée. De manière périodique, le Responsable de la Fonction Clé «Gestion des risques» de la MPCDC prend connaissance de ce rapport et s assure de la maîtrise suffisante des risques de son principal délégataire. S agissant des autres sous-traitants, la MPCDC n a pas encore mis en place de reporting concernant la maîtrise de leurs risques et le dispositif de contrôle interne. Cependant, les principaux d entre eux étant en voie de renouvellement, elle s assurera dans le cadre des contrats à venir que ces reportings seront bien prévus. L adéquation et l implémentation des dispositifs du principal sous-traitant (MFPS) ont été évaluées par la MPCDC dans le cadre d un audit réalisé en septembre 2015 à l agence de Rouen qui a en charge la liquidation des prestations santé de la mutuelle hors tiers-payant. Les résultats de cet audit ont été présentés au Conseil d Administration de la Mutuelle des 6, 7, 8 et 9 octobre Par ailleurs, dans le cadre des renouvellements actuels de la sous-traitance des délégations portant sur les prestations santé et sur les outils informatiques, la MPCDC a sélectionné un prestataire qui dispose d un Plan de Reprise d Activité (PRA) et lui demandera contractuellement l actualisation régulière de celui-ci, afin de garantir à la Mutuelle, la reprise et la continuité de ses activités à la suite d un sinistre ou d un événement perturbant gravement son fonctionnement normal. La MPCDC intégrera à cette occasion la réalisation de tests réguliers portant sur ces PRA. Ces PRA seront eux même visés dans le nouveau Plan de Continuité de l Activité (PCA) en cours de conception qui sera présenté à la validation du Conseil d Administration au cours du premier semestre

5 5 2. profil de risque L évaluation du profil de risque de la MPCDC se base : d une part, sur la mesure des risques quantifiés dans le SCR, d autre part sur le processus ORSA de la Mutuelle, enfin, pour les risques Stratégiques et Opérationnels, qui nécessitent une approche plus qualitative, la MPCDC combine des approches qualitatives et le suivi d indicateurs et scénarii quantitatifs. 3. Indicateurs et outils de suivi des risques 3.1 Appétence aux risques La MPCDC fait le choix d une faible appétence au risque. Aux fins du pilotage, l appétence au risque est exprimée au travers d indicateurs quantifiables qui ensemble assurent le lien entre les objectifs stratégiques, l exposition au risque et la prise de risque que s autorise la Mutuelle. Sur la période , la MPCDC se fixe les objectifs opérationnels suivants : - d un délai moyen de traitement des prestations inférieur à 2 jours, - un taux de décroche > 85%, - un délai de traitement des réclamations inférieur à 5 jours. 3.2 Seuils de Tolérance En fonction de la cartographie des risques et de l appétence définie ci-dessus, la MPCDC a également précisé des tolérances pour pouvoir piloter plus précisément les sources de risques et de rentabilité qui influent la capacité de la Mutuelle à respecter ses appétences aux risques. La MPCDC considère à ce stade que le seuil de tolérance doit correspondre à 50% du seuil d appétence sur le traitement des prestations soit un délai de 3 jours pour la liquidation, de 5 points concernant le taux de décroche (soit un taux de 80%), de 7,5 jours pour le traitement des réclamations. 3.3 Limites opérationnelles Les indicateurs de suivi régulier du risque opérationnel déjà mis en place par la MPCDC sont les suivants. Suivi et reporting trimestriels des réclamations (cf. Annexe 1). Suivi des incidents au sein de la MPCDC (cahier des incidents qui sera mis en place d ici la fin de l année 2016). Ces incidents sont ceux constatés au niveau des processus de gestion. 5

6 6 4. Processus de surveillance et de gestion du risque opérationnel 4.1 Rôles et responsabilités Les parties prenantes au processus de gestion du risque opérationnel sont : Le Conseil d Administration, Le Comité en charge du Contrôle Interne et le Comité d Audit Le Comité des Risques Opérationnels, Les Dirigeants Effectifs, Le Responsable de la Fonction Clé «Gestion des risques». Les rôles et responsabilités de ces comités sont décrits dans la Charte de gouvernance et de gestion des risques de la MPCDC dont le processus est rappelé ci-dessous. Il convient néanmoins de noter que le Comité des Risques Opérationnels qui suit recense et suit les risques opérationnels est composé comme suit : - Le Directeur Administratif - Les responsables des Fonctions Clés «Gestion des Risques» et «Conformité» - L assistante de direction En tant que de besoin, le Directeur peut y associer tout autre collaborateur de la Mutuelle dont notamment celui en charge du contrôle interne. Selon les sujets abordés, le Président du Conseil d Administration y participe. Il se réunit autant de fois que nécessaire et au minimum une fois par trimestre pour établir le bilan des actions menées tant d un point de vue des activités courantes que des projets, en identifiant les risques rencontrés opérationnellement durant la période écoulée, et en déterminant les plans d actions nécessaires à la réduction de ces risques. 4.2 Contrôle périodique La mise en œuvre du contrôle périodique de la MPCDC est assurée par le Comité d Audit de la Mutuelle conformément au dispositif d audit interne développé par la MPCDC. Les modalités d exercice du contrôle périodique sont décrites dans la politique d audit interne de la MPCDC. Jusqu à présent, les principaux processus opérationnel que le Comité d Audit a souhaité voir audités sont ceux concernant l activité des accueils, le processus de rapprochement gestioncomptabilité et en termes de gestion opérationnelle, les processus d adhésions, de cotisations, de suivi statistiques et de répartition des rôles entre Présidence et Direction. 4.3 Processus d escalade En cas de dérive de la maîtrise du risque opérationnel observée par le suivi des limites opérationnelles ci-dessus, les différents responsables d activités opérationnelles alertent les Dirigeants Effectifs. 6

7 7 Ensemble, ils identifient les causes et conséquences du dépassement de limite opérationnelle. Sur la base de cette analyse, les décisions ad hoc sont prises. Le cas échéant, des évaluations supplémentaires peuvent être demandées pour expliquer les causes de ces dérives et trouver les moyens d en corriger les effets. 5. Mise à jour de la politique Le Directeur Administratif, conjointement avec le Responsable de la Fonction Clé «Gestion des risques», est chargé de la mise à jour de cette politique de risque, a minima de manière annuelle. Chaque révision est soumise à l approbation du Conseil d Administration de la MPCDC. Dans le cadre de la mise à jour de cette politique, celui-ci veille à : communiquer sur les nouveaux éléments pris en compte dans la politique et leurs impacts, informer sur tout changement dans la politique, vérifier que ces éléments ont été pris en compte par le Conseil d Administration dans le cadre de la révision des appétences et seuils de tolérance, assurer des formations sur la compréhension et l application de nouveaux principes, assurer un rôle de support aux opérationnels, alerter le Président, le Trésorier, le Secrétaire et les présidents des commissions et comités sur les éventuels dérives ou manquement dans le respect de cette politique. Les éléments suivants peuvent être pris en compte dans le cadre de la mise à jour de cette politique : changements dans l activité ou l organisation de la MPCDC, évolutions dans l environnement de la MPCDC, décisions du Conseil d Administration en matière de gestion des risques (révision annuelle de l appétence au risque et des seuils de tolérance), modifications de la règlementation ou des normes. FIN DU DOCUMENT 7