Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI

Société d assurance Type d'agrément Société d'audit Auditeur responsable Année d'exercice 2015 Version du modèle 28.04.2015 Division Assurances Page 1 / 1 Audit base_points d'audit_sci-e_version 2015_FR.xlsx / Vue d ensemble 04.09.2015 / 13:36

Version : année d'exercice 2015 Vue d'ensemble s champs d'audit 1 A B C 2 D 3 E 4 F G H I 5 J K 6 L 7 M N Points d'audit Contrôles englobant toute l'entreprise Règles internes Vérification du respect s règles internes Gestion s conflits d'intérêts Lutte contre les actes frauduleux internes Structure l'entreprise Organisation Conseil d'administration et direction Responsabilité à l'égard du SCI et prise décision Organisation IT Organisation Sécurité du système et gestion s données Contrôles d'accès Activités monitoring Points d'audit Cadre du SCI Eléments base du cadre SCI Documentation et pilotage du SCI Déficits contrôle / Faiblesses contrôle / Contournement contrôles Information / Communication / Etablissement rapports Information / Communication / Etablissement rapports Activités monitoring Surveillance continue l'existence et l'efficacité du SCI Mécanismes indépendants surveillance du SCI 1 8 X Y Z Informations complémentaires Prise en compte s travaux la révision interne Faits pertinents pour la prise en compte s travaux Champs d'audit / Points d'audit Evaluation la qualité et la pertinence Généralités Les points d'audit publiés par la et envoyés aux sociétés d'audit font partie intégrante l'audit pruntiel s entreprises d'assurance ainsi que s groupes et conglomérats d'assurance réalisé conformément aux annexes 10 (Stratégie d'audit standard Entreprises d'assurance) et 11 (Stratégie d audit standard Groupes et conglomérats d assurance) la circulaire 2013/3 «Activités d'audit» la. Les versions publiées et envoyées pour chaque exercice contiennent s points d'audit qui doivent être contrôlés dans le cadre s champs d'audit prévus. La présente introduction concernant les points d'audit ne figure toutefois que dans les versions travail envoyées aux sociétés d'audit. Durant le traitement technique s points d'audit, il peut arriver que certains points d'audit ne doivent pas obligatoirement être traités, compte tenu la logique du programme, ou qu'ils soient récapitulés d'une autre façon. D'autres instructions à ce sujet se trouvent dans les remarques concernant les points d'audit SCI, au chiffre 2 ci-après 1.1 1.2 Traitement technique s points d'audit Les points d'audit sont traités au moyen s fichiers Excel que la met à la disposition s sociétés d'audit. Champs d'audit et points d'audit L audit est conçu façon modulaire. Des points d'audit sont formulés pour les domaines d'audit partiels, aussi appelés champs d'audit. Tous les champs d'audit doivent être examinés pour chaque entreprise ou groupe d'assurance. A l'intérieur s champs d'audit, un contrôle doit être effectué et une réponse doit être donnée pour chaque point d'audit. L'auditeur doit confirmer ou infirmer les points d'audit intifiés par un astérisque (*) en choisissant la mention «Exact» ou «Inexact». Pour chaque point d'audit, doit, dans la colonne G, donner une scription la pratique appliquée dans l'entreprise d'assurance afin traiter le point d'audit. Division Assurances Page 1 / 3 Audit base_points d'audit_sci-e_version 2015_FR.xlsx / 1 Sommaire et introduction 04.09.2015 / 13:36

1.3 Etendue l'audit (Circ.- 13/3 «Activités d'audit», Cm 32 à 34) L'étendue l'audit audit ou revue critique est précisée pour chaque domaine d'audit façon générique dans la stratégie d'audit standard concernée (annexes 10 et 11 la Circ.- 13/3 «Activités d'audit»). L'étendue d'audit chaque point d'audit est indiquée dans la colonne correspondante du présent programme d'audit (Etendue l'audit la ). Vous trouverez plus amples informations à ce sujet au chiffre 2.4. 1.4 Références mentionnées dans certains points d'audit Les points d'audit SCI-E se réfèrent à l'art. 27 al. 1 LSA ainsi qu'aux autres documents officiels tels que les circulaires et les guis. Les bases légales utilisées sont récapitulées dans l'annexe 1 du Gui pratique d'assurance. 1.5 Contrôle s points d'audit et appréciation L'auditeur effectue les contrôles d'audit nécessaires pour porter une appréciation correcte sur chaque point d'audit et consigne le résultat ces contrôles conformément aux chiffres marginaux 35 à 43 la Circ.- 13/3 «Activités d'audit». Si ne peut contrôler un point d'audit, il doit cocher la mention Inexact et fournir une justification probante. Pour autant qu'il n'y ait pas simultanément d'infraction s prescriptions pruntielles, aucune mention d'irrégularité/ recommandation ne doit être faite dans ce cas. 1.6 s et recommandations (art. 11 OA-) Si, dans le cadre l'audit ou la revue critique, constate que s dispositions pruntielles n'ont pas été respectées pour un point d'audit, il doit faire une scription s faits claire et compréhensible par un tiers dans le champ correspondant. Il doit en outre indiquer dans la colonne prévue à cet effet () qu'il s'agit d'une irrégularité. Les irrégularités doivent être consignées dans le rapport sur l'audit pruntiel. Si, dans le cadre l'audit ou la revue critique, constate qu'un point d'audit présente une faiblesse ou s signes critiques susceptibles d'affecter le respect futur s dispositions pruntielles, il doit faire une scription s faits claire et compréhensible par un tiers et préciser si une recommandation sera formulée pour ce point dans le rapport sur l'audit pruntiel. Toute autre information découverte lors s contrôles et susceptible d'être digne d'intérêt pour le domaine d'audit concerné doit être mentionnée sous la forme d'une remarque. 1.7 Etablissement rapports Les points d'audit traités selon la stratégie d'audit standard applicable aux entreprises d'assurance et celle applicable aux groupes et conglomérats d'assurance font partie intégrante du processus d'établissement rapports sur l'audit pruntiel. Les points d'audit ayant donné lieu à la mention d'une irrégularité ou à la formulation d'une recommandation doivent être énumérés séparément dans le rapport, au chapitre 4, et ce, pour chaque domaine d'audit. En outre, les auditeurs responsables rennt au chapitre 6 une appréciation d'ensemble s domaines d'audit correspondants. Si, entre la date d'envoi s présents points d'audit SCI-E (fin décembre) et la date d'envoi du rapport sur l'audit pruntiel, s modifications matérielles ayant une influence positive ou négative sur l'opinion en relation avec les points d'audit vaient intervenir, doit l'indiquer dans le rapport, au chapitre 6 également. Vous trouverez plus amples détails à ce sujet dans le Gui pratique d'assurance fondé sur la Circ.- 13/3. 2 s concernant les points d'audit SCI-E Contrôles englobant toute l'entreprise et cadre du SCI 2.1 But Par l'intermédiaire du présent document, les auditeurs sont chargés vérifier si les entreprises d'assurance ainsi que les groupes et conglomérats d'assurance respectent les exigences pruntielles relatives au SCI. Les points d'audit formulés couvrent l'organisation et les mécanismes contrôle au niveau l'entreprise (contrôles englobant toute l'entreprise), le traitement s données et l'organisation IT ainsi que la structure organisationnelle et fonctionnelle du SCI (cadre du SCI). Division Assurances Page 2 / 3 Audit base_points d'audit_sci-e_version 2015_FR.xlsx / 1 Sommaire et introduction 04.09.2015 / 13:36

2.2 Explication s termes utilisés Les termes utilisés dans les points d'audit pour désigner les organes (conseil d'administration, direction, par ex.) s'appliquent par analogie à d'autres formes juridiques telles que le conseil fondation pour les fondations, les fondés pouvoir pour les succursales, etc. Si nécessaire, d'autres termes seront insérés dans le Gui pratique d'assurance. 2.3 Champ d application Les points d'audit doivent être traités conformément au champ d'application défini au point C, Cm 3, la Circ.- 08/32. Précision relative au champ d'application pour chaque type d'agrément / forme juridique Type d'agrément / Forme juridique Groupes d'assurance Conglomérats d'assurance Entreprises d'assurance suisses (ayant leur siège en Suisse) Champ d application Organes, structures et processus nécessaires à la gestion, au pilotage, à la surveillance et au contrôle Ensemble s organes, structures et processus 2.4 Divers Entreprises d'assurance ayant leur siège en Suisse et faisant partie d'un groupe d'assurance étranger Succursales suisses d'entreprises d'assurance ayant leur siège à l'étranger Captives réassurance Organes, structures et processus présents en Suisse (relation «filiale maisonmère» incluse) Organes, structures et processus présents en Suisse (S'applique dans un premier temps à toutes les entreprises d'assurance s catégories surveillance 2, 3 et 4) Organes, structures et processus présents en Suisse (S'applique dans un premier temps à toutes les entreprises d'assurance s catégories surveillance 2, 3 et 4) concernant les caisses-maladie : Les points d'audit SCI-E ne sont pas applicables aux caisses-maladie placées sous la surveillance institutionnelle l'office fédéral la santé publique (OFSP). Etendue l'audit : L'étendue l'audit applicable est indiquée pour chaque point d'audit. Une colonne séparée «Etendue l'audit» est prévue à cet effet pour. En principe, c'est l'étendue l'audit spécifiée par la pour chaque point d'audit qui s'applique. Néanmoins, si souhaite modifier l'étendue l'audit en effectuant un «audit» au lieu d'une «revue critique» pour certains points d'audit, il doit le justifier dans le champ prévu à cet effet pour chaque point d'audit. La réduction l'étendue d'audit spécifiée par la (en effectuant une revue critique au lieu d'un audit) n'est pas autorisée. Procédure d'audit : La procédure d'audit retenue par la société d'audit doit être décrite dans le Rapport sur l'audit pruntiel, point 5.2. Division Assurances Page 3 / 3 Audit base_points d'audit_sci-e_version 2015_FR.xlsx / 1 Sommaire et introduction 04.09.2015 / 13:36

Points d'audit Contrôles englobant toute l'entreprise 1 Règles internes Etendue l'audit Champs réservés à A Vérification du respect s règles internes la A 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en place s mécanismes afin vérifier le respect s principes, pratiques et lignes directrices internes. - Description succincte - Nombre maximal caractères par cellule : 1700 Nombre maximal caractères par cellule : 1700 A 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a instauré un système notification et sanction approprié qui est utilisé en cas d'infraction aux principes, pratiques et lignes directrices internes. La direction et/ou le conseil d'administration est informé(e) l'infraction en fonction la gravité celle-ci. B Gestion s conflits d'intérêts la B 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a adopté s dispositions visant à prévenir et à gérer les conflits d'intérêts. Ces dispositions s'appliquent aux conflits d'intérêts survenant à l'intérieur ou à l'extérieur l'entreprise. B 2 Les dispositions visant à prévenir et à gérer les conflits d'intérêts s'appliquent à tous les collaborateurs l'entreprise d'assurance, du groupe ou conglomérat d'assurance, y compris les membres du conseil d'administration et la direction. B 3 L'entreprise d'assurance, le groupe ou conglomérat d'assurance vérifie le respect s dispositions visant à prévenir et à gérer les conflits d'intérêts. C Lutte contre les actes frauduleux internes la C 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a adopté s dispositions visant à lutter contre les actes frauduleux internes. C 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance vérifie le respect s dispositions visant à lutter contre les actes frauduleux internes.

2 Structure l'entreprise Etendue l'audit Champs réservés à D Organisation L'organisation l'entreprise d'assurance, du groupe ou conglomérat d'assurance est définie, actuelle et documentée façon vérifiable par un tiers indépendant compétent. la D 1 La documentation l'organisation couvre l'organisation administrative et opérationnelle l'entreprise d'assurance, du groupe ou conglomérat d'assurance dans son entier, contient une scription claire s voies décisionnelles et hiérarchiques à l'échelle toute l'entreprise, désigne au minimum les organes chargés - la haute direction - la surveillance - du contrôle - la gestion et décrit les responsabilités, les compétences et les obligations rendre compte ces organes. D 2 Les organes définis selon le point d'audit D1 sont organisés façon à garantir une séparation s fonctions adaptée à la taille, à la complexité et au profil risque l'entreprise. D 3 D 4 D 5 Les voirs surveillance qui incombent au conseil d'administration en relation avec le SCI sont fixés par écrit et connus du conseil d'administration. Le conseil d'administration a défini sa stratégie et les objectifs liés au SCI façon compréhensible par un tiers indépendant compétent et communique ceux-ci à l'échelle toute l'entreprise. L'ensemble s règles l'entreprise d'assurance, du groupe ou conglomérat d'assurance (directives, dispositions, règlements) reflète la situation actuelle spécifique l'entreprise. La vérification et l'actualisation l'ensemble s règles sont documentées façon compréhensible 3 Conseil d'administration et direction Etendue l'audit Champs réservés à E E 1 Responsabilité à l'égard du SCI et prise décision Le conseil d'administration met en œuvre s outils adaptés à la taille, à la complexité et au profil risque l'entreprise afin d'assumer la responsabilité qui lui incombe en matière d'organisation, pilotage et surveillance du système contrôle interne. la E 2 Le procès-verbal s séances du conseil d'administration et la direction (et s éventuels comités ces organes) est conçu façon à ce que : - la régularité l'adoption s décisions puisse être vérifiée - les discussions soient consignées sous une forme résumée et concise - l'ensemble s propositions, votes et déclarations inscrites au procès-verbal émanant membres (par ex. en cas d'opposition explicite à certaines décisions) soit consigné - les résultats s votes et s élections soient mentionnés.

4 Organisation IT Etendue l'audit Champs réservés à F Organisation la F 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance possè un organigramme actuel l'organisation IT. F 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en œuvre s processus permettant vérifier le respect s exigences légales en matière technologies l'information. Tout écart par rapport à ces exigences est examiné et fait l'objet mesures en vue le réduire. Exigences relatives à l'organisation IT (liste non exhaustive) : par exemple, la sécurité et la disponibilité s informations, la conservation s données (archivage et gestion s documents), la documentation, le caractère démontrable, vérifiable et révisable s transactions commerciales, la protection s données, l'utilisation licite l'infrastructure informatique (protection s logiciels par exemple) ainsi que l'exécution électronique s transactions commerciales. F 3 Les rôles, tâches, responsabilités et compétences nécessaires à l'exploitation d'une organisation IT sont définies, documentées et connues s collaborateurs. F 4 Les rôles, tâches, responsabilités et compétences formulées selon le point d'audit F3 sont définies façon à garantir une séparation s fonctions adaptée à la taille, à la complexité et au profil risque l'entreprise d'assurance, du groupe ou conglomérat d'assurance. F 5 L'entreprise d'assurance, le groupe ou conglomérat d'assurance possè une documentation actuelle et compréhensible pour un tiers compétent qui englobe tous les processus et contrôles informatiques clés intifiés selon le point d'audit J2. Les systèmes clés et leurs données sont assignés à s personnes responsables désignées à cet effet. G G 1 G 2 Sécurité du système et gestion s données L'organisation IT a défini s lignes directrices applicables à l'inventaire et à la classification s données et systèmes critiques. Elle vérifie le respect ces lignes directrices. L'entreprise d'assurance le groupe ou conglomérat d'assurance a mis en place s mécanismes qui régissent le traitement, la distribution et l'enregistrement s données sensibles / qui doivent faire l'objet d'une protection particulière. la G 3 G 4 La durée conservation s documents, données, programmes et rapports ainsi que s messages entrants et sortants est définie selon le droit suisse. Le respect s durées conservation est garanti. Tous les programmes et outils développés ou modifiables par l'utilisateur final et considérés comme importants sont inventoriés et documentés pour les processus intifiés au point d'audit J2. L'intégrité du traitement s données chacun s programmes/outils intifiés selon le présent point d'audit est régulièrement vérifiée.

H Contrôles d'accès la H 1 Il existe s procédures permettant d'authentifier suffisamment les utilisateurs qui accènt aux systèmes clés et d'empêcher tout accès non autorisé. H 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en place s mécanismes en vue vérifier la configuration s droits d'accès aux logiciels applicatifs et aux systèmes stockage s données afin que chaque utilisateur ne puisse accér qu'aux informations qui lui sont nécessaires pour accomplir ses tâches (principe du need to know ). H 3 H 4 La validité et la conformité s droits d'accès aux systèmes clés sont vérifiées à intervalles réguliers. L'accès au(x) centre(s) calcul est réservé au personnel autorisé et nécessite une intification et une authentification adaptées. I Activités monitoring la I 1 L'organisation IT l'entreprise d'assurance, du groupe ou conglomérat d'assurance a mis en place s mécanismes afin surveiller en permanence l'efficacité s contrôles informatiques clés. I 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance dispose processus garantissant le bon fonctionnement l'infrastructure et s applications informatiques. Les déficiences et les défaillances s contrôles informatiques clés sont traitées, analysées, réduites et communiquées aux services compétents en temps utile.

Points d'audit Cadre du SCI 5 Eléments base du cadre SCI Etendue l'audit Champs réservés à J Documentation et pilotage du SCI la J 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance possè une documentation qui présente la structure et la mise en œuvre du SCI. Cette documentation décrit notamment - l'organisation du SCI - les tâches, compétences et responsabilités nécessaires à l'exploitation et à la maintenance du SCI - les exigences relatives au SCI (y c. la définition s contrôles clés) - les mécanismes contrôles existants - ainsi que les lignes directrices internes relatives au SCI. Audit J 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance vérifie périodiquement (au moins une fois par an) que le domaine d'application du SCI (scope ) est correct sur la base la taille, la complexité et du profil risque actuel l'entreprise/du groupe ou conglomérat et compte tenu s prescriptions pruntielles (LSA, OS, circulaires la ). Cette vérification est effectuée par le conseil d'administration. Audit J 3 L'entreprise d'assurance, le groupe ou conglomérat d'assurance possè en son sein une fonction responsable la coordination du SCI à l'échelle toute l'entreprise. J 4 L'entreprise d'assurance, le groupe ou conglomérat d'assurance possè s règles clairement définies pour documenter les processus et les contrôles considérés comme importants sur la base s vérifications périodiques selon le point d'audit J2. Les règles relatives à la documentation sont définies d'une façon compréhensible pour un tiers indépendant compétent. J 5 Les personnes responsables selon le point d'audit J1 procènt régulièrement (au moins une fois par an) à une évaluation l'efficacité s contrôles clés qui leur sont assignés. J 6 J 7 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en place un processus qui garantit la validation, par une fonction indépendante, s évaluations effectuées selon le point J5. L'entreprise d'assurance, le groupe ou conglomérat d'assurance veille à ce que les collaborateurs soient informés s tâches et s responsabilités qui leur sont confiées dans le cadre du SCI, en adéquation avec leur échelon hiérarchique. J 8 L'entreprise d'assurance, le groupe ou conglomérat d'assurance utilise une solution informatique adaptée à sa taille, à sa complexité et à son profil risque afin piloter et surveiller le SCI à l'échelle l'entreprise.

K Déficits contrôle / Faiblesses contrôle / Contournement contrôles la K 1 L'entreprise d'assurance, le groupe ou conglomérat possè une définition compréhensible s déficits contrôle, s faiblesses contrôle et s contournements contrôles imputables au management. K 2 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a défini une procédure clairement formulée qui est appliquée en cas déficits contrôle, faiblesses contrôle et contournements contrôles imputables au management. K 3 Le conseil d'administration et/ou la direction sont informés s déficits et faiblesses contrôle constatés en fonction du gré sévérité ceux-ci. Les contournements contrôles imputables au management sont portés à la connaissance du conseil d'administration dans tous les cas. K 4 L'application mesures visant à éliminer les contournements contrôles et les déficits / faiblesses contrôle matériels constatés est surveillée par une fonction indépendante. Le conseil d'administration en est informé. 6 Information / Communication / Etablissement rapports Etendue l'audit Champs réservés à L Information / Communication / Etablissement rapports la L 1 Les informations concernant l'état s processus clés et s contrôles clés nécessaires au pilotage et à la surveillance d'un SCI efficace (par exemple, sign et operating effectiveness, erreurs intifiées lors s contrôles, mesures d'amélioration, etc.) sont intifiées et présentes. Ces informations sont mises en temps utile à la disposition s personnes/organes compétent(e)s pour le domaine concerné. Un rapport sur le SCI est régulièrement remis au conseil d'administration et à la direction. Ce rapport est utilisé pour vérifier si le SCI est mis en œuvre comme prévu par le conseil d'administration, s'il fonctionne et s'il est conforme aux prescriptions légales. L 2 (Il contient par exemple les informations suivantes : état l'environnement contrôle, faiblesses constatées au niveau s activités contrôle, domaine d'application du SCI, résultat s vérifications du SCI, limites non respectées, pertes subies en raison déficits ou faiblesses dans le SCI, mesures d'amélioration) Note : est tenu d'énumérer les thèmes figurant dans le rapport.

7 Activités monitoring Etendue l'audit Champs réservés à M Surveillance continue l'existence et l'efficacité du SCI la M 1 L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en œuvre un processus qui inclut la surveillance continue tous les éléments du SCI selon le point d'audit J4 et qui garantit que les contrôles clés fonctionnent comme prévu. Exemple : les mesures surveillance permanente incluent par exemple les contrôles effectués par les responsables processus afin vérifier si les contrôles clés prévus dans leur processus sont présents et s'ils fonctionnent conformément à la scription ( management controls ). N Mécanismes indépendants surveillance du SCI la L'entreprise d'assurance, le groupe ou conglomérat d'assurance a mis en œuvre un processus qui inclut la surveillance l'existence et l'efficacité du SCI par une fonction indépendante. Exemple : les appréciations indépendantes émises à l'égard du SCI ne font généralement pas partie intégrante s processus opérationnels et sont le fait d'une fonction/d'un service opérationnel indépendant. N 1 8 Informations complémentaires : prise en compte s travaux la révision interne Champs réservés à X Faits pertinents pour la prise en compte s travaux Réponse s et informations complémentaires X 1 Quels sont les faits qui permettent à la société d'audit d'estimer que les travaux la révision interne constituent une base suffisante et appropriée, tant du point vue son contenu que son étendue, pouvant être prise en compte dans le domaine d'audit concerné? Y Champs d'audit / Points d'audit Champs d'audit / Points d'audit Etendue s contrôles A quels résultats la révision interne est-elle parvenue? Champ d'audit / Point d'audit : Champ d'audit / Point d'audit : Quels sont les champs ou points d'audit couverts par les contrôles réalisés par Champ d'audit / Point d'audit : Y 1 la révision interne et quelle est l'étendue ces contrôles? Champ d'audit / Point d'audit : Champ d'audit / Point d'audit : Champ d'audit / Point d'audit : Z Evaluation la qualité et la pertinence Réponse s et informations complémentaires Z 1 Comment la société d'audit évalue-t-elle la qualité et la pertinence s travaux effectués par la révision interne?