Le CRIPP - Assurances de personnes Séminaire ACORS 2016 L IFACI est affilié à The Institute of Internal Auditors
Plan 1. Le CRIPP dans le secteur des assurances 2. La fonction audit interne au niveau du Groupe 3. Le programme d audit interne 4. Le fonctionnement de l audit interne 5. La Gouvernance de l audit 3
1. Le CRIPP dans le secteur des assurances
1.1 Cadres de référence Le Cadre de Référence International des Pratiques Professionnelles de l Audit Interne publié par l IIA (CRIPP) Le Référentiel Professionnel de l Audit Interne (Ifaci Certification) Dans le domaine des assurances : Articles R. 354-5 du code des assurances relatif à la fonction d audit interne et R.356-49 à la fonction d audit interne au niveau d un Groupe Directive de la réglementation Solvabilité II en Assurances : 1. Article 47 de la directive 2009/138/CE Contrôle interne 2. Article 271 du réglement européen sur le Fonction Audit interne 5
1.2 Rôle et responsabilités de l audit interne L audit interne a la responsabilité de la fonction de contrôle périodique pour les différents organismes qui composent le Groupe. Dans son approche globale, l audit interne contribue : au renforcement de la sécurité des processus à la protection des actifs à la fiabilité des données comptables et financières Les enjeux nécessitent prioritairement de : s assurer de la maîtrise effective des risques vérifier l efficacité du dispositif de contrôle permanent orienter les efforts dans la mise en œuvre de plans d actions correctrices 6
1.3 Composantes du dispositif de contrôle interne Gouvernance Audit Interne : missions ponctuelles réalisées à un instant t afin d apporter une évaluation du niveau de maîtrise des risques d une organisation / processus / entité (3 ème ligne de défense) Information Contrôles périodiques Contrôles permanents Information Communication Audit interne Communication Maîtrise des risques Identifier et évaluer les risques des processus clés du Groupe Renforcer le niveau de maîtrise de ces risques (2 ème ligne de défense) Environnement de contrôle Autocontrôle, Surveillance Renforcer la culture de contrôle interne dans le groupe Ancrer le dispositif dans les modes de fonctionnement => approche processus => rôle des managers dans le contrôle de leurs activités (1 ère ligne de défense) 7
1.3 Composantes du dispositif de contrôle interne Un dispositif de maîtrise des risques structuré autour de 3 lignes de défense : le contrôle permanent des activités assuré par : les contrôles de 1er niveau : Gestionnaire les contrôles de 2ème niveau : Management le développement de l autocontrôle opérationnel L audit interne intervient dans le cadre de missions ponctuelles en tant que 3ème ligne de défense : diagnostic sur l existence d un dispositif de contrôles opérationnels permanents, efficaces et efficients 8
1.3 Composantes du dispositif de contrôle interne L Audit interne doit répondre aux exigences de Conformité et s assurer de la mise en œuvre et de l efficacité des dispositifs Exemples de dispositifs réglementaires à auditer régulièrement : Lutte anti-blanchiment des capitaux et FT Protection de la Clientèle Gestion des réclamations clients Déclarations des traitements à la CNIL Gestion de la sécurité des données médicales Sécurité des biens et des personnes Gouvernance des données sensibles 9
2. La fonction audit au niveau Groupe
2.1 Objectifs de la fonction audit Les missions de l Audit Interne : Établir, mettre en œuvre et garder opérationnel un plan d audit détaillant les missions à conduire sur 2 ans, compte tenu de l ensemble des activités et du système de gouvernance de l entreprise Adopter une approche fondée sur l analyse des risques Communiquer le plan d audit à l organe d administration, de gestion ou de contrôle de l entreprise Emettre des recommandations opérationnelles fondées sur le résultat des travaux, conduits conformément aux méthodes et référentiels de la profession S assurer de la mise en œuvre effective des recommandations 11
2.2 L audit interne : une fonction clé Un périmètre d activités étendu à l ensemble des entités juridiques rentrant dans le périmètre de combinaison des comptes du Groupe Une équipe composée de responsables de missions et d auditeurs recrutés par mobilité interne et à l extérieur pour des expertises Une capitalisation des acquis par une analyse régulière de retours d expérience des missions réalisées Le développement de compétences pour auditer les SI et les phases clés de la gestion des projets informatiques et organisationnels Une contribution aux missions d évaluation et d acquisition (Due diligence) d entités ou de partenariats 12
2.2 L audit interne : une fonction clé Valeur ajoutée de l audit interne analyses approfondies sur la fiabilité des données et la sécurité des processus de gestion (approche transverse) pertinence des recommandations opérationnelles avec une évaluation des impacts (financiers, règlementaires, image ) actualisation continue de la cartographie des risques fonde sa crédibilité par un suivi régulier de la mise en œuvre des recommandations et des plans d actions 13
3. Le programme d audits internes
3.1 Objectifs du programme d audit Un programme d audits qui tient compte des priorités et des enjeux du Groupe Adaptation du programme de missions en fonction d un environnement en constante mutation et de l évolution des risques : nouvelles exigences réglementaires renforcement de la conformité des activités et opérations évolution dans la gestion des risques (propres et émergents) importance croissante de la Gouvernance d entreprise problématiques de déontologie et d éthique sécurité et qualité des données de gestion (SI, Comptabilité) opérations sous-traitées et délégations de gestion 15
3.2 Principes d élaboration du programme d audit Un programme d audit élaboré sur 2 ans qui s appuie sur l évolution de la cartographie des risques par métier et process majeurs. Un programme flexible, réactif qui intègre des priorités différentes : missions demandées par la Gouvernance arbitrages et demandes de la Direction Générale attentes et besoins des directions du Groupe propositions formulées par les équipes Audit et Risque 16
3.2 Principes d élaboration du programme d audit Le programme d audit composé de missions : ciblées sur des objectifs précis de sécurisation de la gestion des opérations sensibles de l entreprise (services et relations clients) priorisées en fonction des besoins de diminution des risques opérationnels, informatiques, financiers, RH orientées sur la qualité et la fiabilité des reportings opérationnels, commerciaux, comptables et financiers (états et délais) d audits de filiales (rentabilité/performances) et de partenariats (gestionnaires, commerciaux, financiers) 17
4. Le fonctionnement de l audit interne
4.1 Documents de référence dans la pratique de l audit Un système de fonctionnement de l Audit aligné sur : Le Cadre de Référence International des Pratiques Professionnelles de l Audit Interne publié par l IIA (CRIPP) Le Référentiel Professionnel de l Audit Interne (Ifaci Certification) Des documents de référence permanents : La politique d audit définit pour le Groupe les principes généraux d audit interne La charte du Comité d audit présente les modalités d intervention de la fonction audit au niveau du Groupe Le code de déontologie de l audit précise les règles à suivre par les auditeurs dans le cadre des missions 19
4.1 Documents de référence dans la pratique de l audit Des livrables structurants : Le plan d audit annuel : liste des missions menées sur l année n+1 par domaine d activités et entité juridique répartition par macro-processus sur un cycle de 3 ans niveau de couverture des risques Les rapports de mission : constats et recommandations Le suivi des recommandations (trimestriel) Le Bilan d audit : rapport de synthèse des constats et recommandations des missions réalisées sur l année n 20
4.2 Etapes clés du processus Lancement de l audit : Ordre de mission signé par la Direction générale Nomination du chef de mission et constitution de l équipe d audit Structurer la note de lancement (périmètre, objectifs, résultats) Organisation de la réunion d ouverture avec les audités Préparation des entretiens et des contrôles : Check-lists par nature d activité / process / SI Traitement des fichiers sources reçus (premières investigations) Collecte des données : Extraction des fichiers (environnement de production, dates) Sélection des données contractuelles et opérationnelles 21
4.2 Etapes clés du processus Construction des échantillons représentatifs : Tests d efficacité réalisés sur les premiers échantillons Choix des échantillons : données quantitatives/ qualitatives Réalisation de l audit sur site et sur pièces : Organisation des travaux par ½ journée (binôme) Examens contradictoires des anomalies/écarts identifiés Présentation sur site d une synthèse des principaux constats Notification des éléments restant à produire et rappel de la suite de l audit (envoi sous 1 mois du projet de rapport) Rédaction du rapport final et annexes : Chiffrage des écarts, constats et recommandations Executive summary, Fiche d observations 22
5. La gouvernance de l audit
5.1 La charte du comité d audit La Charte du Comité d Audit est structurée comme suit : Rôle du Comité d audit : assister le CA dans l exercice de ses responsabilités de surveillance des informations données au actionnaires, tiers, du suivi des mécanismes de gestion des risques et du contrôle interne mis en place au sein de l entreprise Responsabilités : Reporting financier (intégrité des états financiers communiqués) Contrôle interne gestion des risques : risques majeurs/actions Audit interne : plan d audit, efficacité des travaux, conseils Audit externe : nomination des CAC, coûts, missions réalisée Composition Fonctionnement Pouvoirs 24
5.1 La charte du comité d audit Mission : aider le CA dans l exercice de ses responsabilités de suivi des états financiers, de l actualisation des cartographies des risques, de l efficacité des systèmes de contrôle interne permanent Responsabilités : contrôle légal des comptes annuels et consolidés par les CAC, processus d élaboration de l information financière et comptable, indépendance des auditeurs internes et des CA Le Comité d audit prépare l information utile, exhaustive, fiable transmise au CA et propose des recommandations Le Comité d audit assure la supervision de l activité d audit interne du Groupe, le suivi des audits externes et l auto-évaluation du comité d audit 25
5.2 Le Comité d audit Le Comité d Audit est un organe consultatif du Conseil d administration, son fonctionnement (rôles et responsabilités) est à définir dans un règlement intérieur (validation et décision par le CA) Composition : le comité d audit est composé d au moins 3 administrateurs indépendants désignés par le CA, mandat de 3 ans Formations et ressources : les membres doivent avoir des connaissances approfondies dans les domaines d activités du Groupe, financiers et comptables Le comité fixe la durée du mandat de ses membres et les règles de révocation et renouvellement Le Comité d audit examine les dispositifs d alerte éthique notamment dans les domaines des états financiers et dispositif de contrôle interne 26
5.3 Le fonctionnement du Comité d audit Secrétaire : le président du comité désigne la personne en charge d assurer le secrétariat des travaux du comité Présence aux réunions : le DG, directeur financier, les CAC peuvent assister aux réunions sur invitation du comité uniquement. Au moins 1 fois par an, le comité doit s entretenir avec les auditeurs internes et les CAC en réunion distincte Fréquence des réunions à fixer sur la base de 4 par an Validation de l ordre du jour et du PV par le Président Compte rendu des travaux et révision annuelle des modalités de fonctionnement et de son efficacité Rapport annuel du comité d audit : synthèse des travaux réalisés 27
5.4 Les travaux du Comité d audit Une organisation du comité d audit en adéquation avec : Echéancier de clôture des comptes Travaux d intérim et revue finale des CAC Délais suffisants entre les réunions du comité d audit et les instances des bureaux et conseils Une structuration des ordres du jour en fonction : Etat d avancement des missions d Audit interne Priorités de la DG et des directions Actualisation de la cartographie des risques Articulation du comité d'audit avec d autres commissions : Commission des risques Commissions financières et budgétaires Commissions des rémunérations 28
5.5 Mission 1 du Comité d audit Suivi du contrôle légal des comptes annuels et des comptes combinés par les CAC Examen des comptes : périmètre de combinaison, états financiers consolidés et sociaux et rapports y afférents Examen des principes et méthodes comptables généralement retenus pour la préparation des comptes ainsi que toute modification de ces principes, méthodes et règles comptables Examen et suivi du processus de production et de traitement de l information comptable et financière Echanges périodiques avec les CAC (plan, coûts) 29
5.5 Mission 2 du Comité d audit Suivi de l efficacité des systèmes de contrôle interne et de gestion des risques des entités juridiques composant le Groupe : Présentation à la DG de l exposition aux risques majeurs et des engagements hors-bilan significatifs Veille à l efficacité des procédures mis en place pour anticiper, mesurer, contrôler, gérer les risques Examen des missions d audit interne du Groupe Veille à ce que l audit interne et l audit externe coordonnent leurs missions et cycles de révisions par entité juridique Donne son avis au CA sur le projet de rapport du Président du CA à l AG sur les procédures de contrôle interne et de gestion des risques mises en place par le Groupe 30
5.5 Mission 3 du Comité d audit Le Comité d audit est chargé d émettre une recommandation sur le CAC proposé à la désignation Examen et contrôle des appels d offres pour la sélection des CA.C et recommandations au CA sur les CAC proposés à la désignation par l AG et sur le montant des honoraires annuels Examen des risques pesant le cas échéant sur l indépendance des CAC (risque d incompatibilité) et les mesures de sauvegarde prises pour atténuer ces risques et approuver préalablement toute mission hors-audit mais accessoire ou directement complémentaire à l audit des comptes qui leur serait confiée 31