sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques

CENTRE TECHNIQUE DES INSTITUTIONS DE PRÉVOYANCE Recommandations du CTIP sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques JANVIER 2011

CTIP 2011

Recommandations du CTIP sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques JANVIER 2011

AVERTISSEMENT Les deux premières recommandations du CTIP du 18 décembre 2007 et du 10 juillet 2008 relatives au conseil d administration et à son rôle en matière de contrôle interne, invitaient notamment chaque institution de prévoyance et union d institutions de prévoyance à mettre en place un règlement intérieur du conseil d administration et une commission d audit. L ordonnance n 2008-1278 du 8 décembre 2008 est venue introduire pour tout organisme d assurance l'obligation de constituer un comité spécialisé communément dénommé comité d audit. Elle en détaille sa composition et ses attributions. Ce nouveau texte a conduit à la modification adoptée par le Conseil d administration du CTIP au mois de décembre 2009. La loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière étend les attributions du comité spécialisé au «suivi de la politique, des procédures et des systèmes de gestion des risques». La loi laisse à l organe délibérant chargé de l administration ou de la surveillance, la décision de confier cette nouvelle mission soit au comité spécialisé soit à un comité distinct. En pratique, la nouvelle mission de ce comité doit consister à surveiller l efficacité du système de contrôle interne mis en place par la direction générale et celle du système de gestion des risques auxquels l institution est exposée du fait de ses activités. Ces nouvelles dispositions applicables aux institutions de prévoyance rendent impératives la modification du contenu du règlement intérieur du conseil d administration des institutions de prévoyance afin que celui-ci soit complété et précisé conformément à la loi nouvelle. Les dispositions transitoires de la loi de régulation bancaire et financière précisent que ces dispositions entrent en vigueur le premier jour du septième mois suivant celui de la publication de la loi au Journal officiel, soit le 1 er mai 2011. En conséquence, il appartenait au CTIP de procéder à une mise à jour de ses recommandations afin qu elles conservent tout leur sens. Lors de sa délibération du 11 janvier 2011, le Conseil d administration du CTIP a adopté à l unanimité les mises à jour de ces deux recommandations qui, compte tenu de leur complémentarité, ont été rassemblées dans une seule et même publication. Conformément à l article 15 de l accord sur la gouvernance des groupes paritaires de protection sociale (GPS) du 8 juillet 2009, le CTIP veillera au suivi de l application de ses recommandations. 4

SOMMAIRE RECOMMANDATION DU CTIP SUR LE CONSEIL D ADMINISTRATION DES INSTITUTIONS DE PREVOYANCE Avant-propos... 8 I. Contenu du règlement intérieur du conseil d administration des institutions de prévoyance... 10 1. Le conseil d administration et son bureau Eléments généraux... 10 2. L articulation entre le bureau et les commissions... 11 3. Règles spécifiques relatives à l information des administrateurs... 14 4. Règles relatives au recours à un audit externe ou à une personne qualifiée extérieure à l institution de prévoyance... 15 II. Site Internet et rapport annuel... 16 RECOMMANDATION DU CTIP SUR LE ROLE DU CONSEIL D ADMINISTRATION DES INSTITUTIONS DE PREVOYANCE EN MATIERE DE CONTROLE INTERNE ET DES RISQUES Avant-propos... 18 I. Le contrôle interne et des risques et le rôle du conseil d administration... 19 II. Le rapport annuel du conseil d administration sur le contrôle interne et des risques... 21 ANNEXES I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration... 24 II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents... 27 III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne... 30 IV. Lettre de l ACP du 4 octobre 2010 relative à l annexe spécifique au rapport sur le contrôle interne consacrée aux moyens et procédures mis en place au titre du contrôle de la conformité... 50 TEXTES I. Décret n 2008-468 du 19 mai 2008 relatif au contrôle interne des institutions de prévoyance, des mutuelles et de leurs unions... 55 II. Articles 14, 18 et 21 de l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE du 17 mai 2006 et relative aux commissaires aux comptes.... 60 III. Article 29 de la loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière... 62 5

Recommandation du CTIP sur le conseil d administration des institutions de prévoyance 7

AVANT-PROPOS En demandant que leur soient transposées les directives relatives à l assurance, les institutions de prévoyance sont devenues, par la loi du 8 août 1994, des entreprises d assurances au sens du droit communautaire soumises aux mêmes règles techniques, financières et prudentielles que celles applicables aux sociétés d assurance. Depuis l adoption de cette loi, le CTIP a poursuivi son action pour que soient mises en place, dans les décrets d application et dans la pratique, de véritables règles de gouvernance destinées à consolider la gestion paritaire des institutions de prévoyance. En 2005, les partenaires sociaux ont élargi l objet du CTIP afin qu il «définisse des orientations et élabore des recommandations destinées à mieux organiser la gouvernance des institutions de prévoyance». En 2009, l accord sur la gouvernance des groupes paritaires de protection sociale consacre sa section 8 aux recommandations du CTIP dans le domaine de la gouvernance et des responsabilités propres des institutions de prévoyance. L article 15 de l accord dispose : «Les Associations sommitales veillent à ce que les institutions de prévoyance mettent en oeuvre les recommandations concernant la gouvernance de celles-ci retenues par le conseil d administration du CTIP. Le CTIP analyse les informations qui lui sont transmises chaque année, à cet égard, par les institutions de prévoyance. Il saisit les conseils d administration des institutions de prévoyance lorsque celles-ci n appliquent pas ces recommandations sans explication suffisante. Il établit chaque année un rapport sur le suivi de ses recommandations». Ce rapport est remis au Conseil d administration du CTIP. Il fait partie intégrante du rapport annuel sur la gouvernance des GPS. Ces missions nouvelles concrétisent la décision des partenaires sociaux du 4 novembre 2004 qui rappelait la nécessité de mieux définir les responsabilités des partenaires sociaux dans la gestion des groupes de protection sociale, afin d exercer pleinement la gouvernance des institutions de prévoyance que la loi du 8 août 1994 leur a attribuée. 8

L objet de la présente recommandation s inscrit également dans le contexte beaucoup plus large qui résulte notamment de la directive européenne 2009/138/CE du 25 novembre 2009 «sur l accès aux activités de l assurance directe et de la réassurance et leur exercice» et des travaux de l Autorité de contrôle prudentiel sur la gouvernance des organismes assureurs. Le second pilier de la directive est consacré aux activités de contrôle. Il est destiné à renforcer la gouvernance au sein des organismes assureurs en vue de leur garantir une gestion saine et prudente en leur imposant notamment des systèmes de gestion des risques et de contrôle interne qui nécessiteront de la part de chaque organisme assureur des procédures écrites approuvées par leur conseil d administration. Enfin, le troisième pilier du projet Solvabilité II pose un certain nombre d exigences en matière d information du public et des autorités de contrôle. Le Rapport sur la gouvernance des organismes assureurs de l Autorité de contrôle s inscrit dans les mêmes perspectives. S appuyant ainsi sur des principes de gouvernance et de transparence, cette recommandation invite notamment chaque institution de prévoyance à mettre en place un comité spécialisé communément dénommé «comité d audit». Celui-ci a été rendu obligatoire par l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive européenne 2006/43/CE du 17 mai 2006. La loi n 2010-1249 du 22 octobre 2010 portant régulation bancaire et financière étend les attributions du comité spécialisé au «suivi de la politique, des procédures et des systèmes de gestion des risques». La présente recommandation est axée : - sur l organisation et le fonctionnement du conseil d administration des institutions de prévoyance qui doivent être fixés dans un règlement intérieur approuvé par le conseil d administration de l institution, - sur le rôle du conseil d administration en matière de suivi du contrôle légal des comptes et de l efficacité des systèmes de contrôle interne et de gestion des risques auxquels l institution est exposée du fait de ses activités, - sur la transparence vis-à-vis du public des principales données institutionnelles et financières de l institution. La présente recommandation a fait l objet d une transmission officielle au Ministère chargé de la sécurité sociale et à l Autorité de contrôle prudentiel. 9

I. Contenu du règlement intérieur du conseil d administration des institutions de prévoyance Chaque institution de prévoyance dispose d un règlement intérieur de son conseil d administration. Celui-ci contient, au minimum, un paragraphe sur les thèmes ci-dessous énoncés, lorsqu ils ne sont pas déjà précisés dans les statuts de l institution. Le règlement intérieur a également pour objet de compléter les statuts. 1. Le conseil d administration et son bureau Eléments généraux 1.1. Le règlement intérieur précise, en tant que de besoin, la composition, les règles d alternance entre les collèges pour l élection du président et du vice-président et les attributions du conseil d administration fixées par les statuts ; 1.2. Le règlement intérieur précise les règles relatives à la tenue des réunions et des délibérations du conseil d administration ; 1.3. Lorsque le conseil d administration a constitué un bureau dont la composition et les attributions sont déterminées par les statuts en application de l article R.931-3-11 alinéa 4, le règlement intérieur précise, en tant que de besoin, sa composition, ses attributions et fixe ses modalités de fonctionnement si les statuts ne les précisent pas ; 1.4. Les statuts, ou à défaut le règlement intérieur, prévoient une évaluation annuelle des travaux du conseil d administration. Cette évaluation doit permettre de s assurer que les questions importantes sont effectivement traitées en conseil et d exprimer les améliorations de fonctionnement qui peuvent être effectuées pour une meilleure adéquation de son organisation et de son fonctionnement à ses tâches. Le périmètre de cette évaluation annuelle comprend tant les travaux du conseil luimême que ceux du bureau, du comité spécialisé et des commissions. 1.5. Le règlement intérieur détermine le calendrier des thèmes qui doivent impérativement faire l objet d une délibération annuelle du conseil d administration (voir annexe 1. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration). 1.6. Le règlement intérieur détermine les règles d information du conseil d administration (voir 3. Règles spécifiques relatives à l information des administrateurs). 10

2. L articulation entre le bureau et les commissions Le conseil d administration peut constituer un bureau dont la composition et les attributions sont déterminées par les statuts. Ce bureau peut recevoir des délégations de pouvoirs ponctuelles du conseil d administration, dès lors que celles-ci ne concernent pas des questions sur lesquelles le conseil, en vertu des textes applicables, est tenu de se prononcer. A l inverse, les commissions, qui exercent leur activité sous la responsabilité du conseil, ne peuvent pas recevoir de délégation du conseil d administration, même ponctuelle, à l exception de la commission d action sociale (article R.931-3-12 alinéa 2). L objectif poursuivi au travers du bureau et des commissions est de permettre un examen approfondi des matières relevant de la compétence du conseil afin de préparer ces travaux. En outre, les travaux réalisés dans le cadre du bureau et des commissions contribuent à renforcer la compétence de l ensemble des administrateurs. Partant de ce constat : 2.1. Le conseil d administration veille à ce que les principaux champs stratégiques de l institution soient couverts par le bureau et/ou les commissions. Le règlement intérieur détermine l articulation entre les champs de compétence et d attributions du bureau - lorsqu il existe dans les statuts - des commissions et du comité spécialisé. 2.2. Au-delà des champs de compétence et d attributions du bureau, des commissions et du comité spécialisé, le règlement intérieur précise : Le rôle et les attributions particulières de la commission d action sociale visée à l article R.931-3-12, qui, seule, peut agir par délégation du conseil d administration ; Les conditions dans lesquelles la commission d action sociale rend compte au conseil d administration ; Les règles spécifiques au pilotage de la procédure de sélection du commissaire aux comptes qui disposera nécessairement d une expérience professionnelle reconnue en matière d assurance. 2.3. Le règlement intérieur fixe la composition paritaire du comité spécialisé et des commissions ainsi que la durée des fonctions de leurs membres. Le comité spécialisé et les commissions sont composés de représentants du collège des employeurs et de représentants du collège des salariés du conseil d administration. 2.4. Le règlement intérieur prévoit, outre la commission d action sociale, au minimum, la constitution d un comité spécialisé ou «comité d audit» chargé notamment du «suivi de la politique, des procédures et des systèmes de gestion des risques». Il peut également prévoir lorsqu il l estime nécessaire la constitution d un comité des risques distinct. 11

2.4.1 Constitution et attributions du comité spécialisé Conformément à l article L.823-19 du code de commerce, les institutions de prévoyance doivent obligatoirement constituer un comité spécialisé. Par exception à ce principe, lorsque l institution appartient à un ensemble combiné, la constitution d un comité spécialisé relève de l entité combinante, sous réserve que celui-ci soit soumis à cette obligation (article L.931-14-1 du code de la sécurité sociale). Les institutions qui ne sont pas exemptées de l obligation de constituer un comité spécialisé mais qui, en raison de leur petite taille, souhaitent limiter le nombre de commissions, doivent, dans ce cas, confier à leur bureau les fonctions du comité spécialisé sous réserve, d une part, que le bureau soit clairement identifié comme tel dans les statuts de l institution et le règlement intérieur du conseil d administration, d autre part, que sa composition soit rendue publique (rapport annuel et site Internet). Le comité spécialisé est chargé : de toutes questions relatives au processus d élaboration de l information financière. d assurer le suivi du contrôle légal des comptes annuels et, le cas échéant, des comptes combinés par le commissaire aux comptes. Il examine à cet effet les comptes avant leur soumission au conseil. de suivre l efficacité des systèmes de contrôle interne. de suivre l efficacité des systèmes de gestion des risques. A cet égard, il s assure auprès de la direction générale de l efficacité de l organisation et des processus mis en œuvre notamment en matière de règles de souscription, de provisionnement technique, de définition des cessions en réassurance ou de politique de placements et de gestion actif-passif. Pour l exercice des missions de suivi de l efficacité des systèmes de contrôle interne et des systèmes et dispositifs de gestion des risques, le comité spécialisé reçoit de la direction générale, qui est elle-même soumise à ces obligations, les éléments nécessaires pour accomplir ces missions. Il veille notamment à l efficacité des procédures mises en place pour déceler, mesurer, contrôler, gérer les risques auxquels l institution est ou pourrait être exposée. A cette fin, il entend au moins une fois par an les responsables de l audit interne et des risques hors la présence de la direction générale. Les mêmes recommandations sont applicables lorsque le conseil d administration a décidé de la constitution d un comité des risques distinct. de participer au processus de désignation des commissaires aux comptes. A cet égard, il émet une recommandation sur le commissaire aux comptes proposé à la désignation et s assure de son indépendance. Le comité spécialisé rend compte de ses travaux au conseil d administration lors de la séance du conseil suivant celle du comité. Il consacre au moins une réunion par an au 12

suivi de l efficacité des systèmes de contrôle interne et des systèmes et dispositifs de gestion des risques. 2.4.2 Règles applicables aux membres du comité spécialisé Le comité spécialisé doit être composé d administrateurs en fonction au sein de l institution et choisis en raison de leur compétence ou formés dans ces domaines. Cette recommandation s applique au bureau lorsqu il remplit les attributions de ce comité. Les membres du comité spécialisé ne doivent pas être partie, eux ou un membre de leur famille, à titre personnel, à une convention visée aux articles R.931-3-24 et suivants du code de la sécurité sociale qui présente un caractère significatif pour l institution de prévoyance, susceptible de compromettre l'exercice de leur liberté de jugement et, de manière générale, doivent être en dehors de toute situation de conflit d intérêt réelle ou potentielle. Un membre au moins du comité spécialisé doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par le conseil d administration (par exemple par une mention dans le rapport annuel ou sur le site Internet). L indépendance du membre du comité spécialisé présentant des compétences particulières en matière financière et comptable suppose le respect des trois critères supplémentaires suivants : 1) être désigné par une organisation patronale ou une organisation syndicale représentative de salariés ; 2) ne pas avoir de lien familial proche avec un membre de la direction générale de l institution de prévoyance ; 3) ne pas avoir été auditeur de l institution de prévoyance au cours des cinq années précédentes. Par dérogation, lorsque conformément à l article L.931-14 du code de la sécurité sociale, les statuts de l institution ou le règlement intérieur du conseil d administration prévoient la possibilité pour le conseil d administration de désigner en qualité de membres du comité spécialisé, deux membres au plus, qui ne font pas partie du conseil d administration mais qui sont désignés par lui à raison de leurs compétences, le conseil d administration veille à ce que ces membres respectent les critères précités. De même que les administrateurs, ces membres ainsi désignés ne reçoivent pas de rémunération au titre de leur fonction au sein de ce comité spécialisé. En tout état de cause, les membres du conseil d administration doivent rester majoritaires au sein de ce comité spécialisé. 13

Ces recommandations, fixées aux points 2.3 et 2.4 s appliquent au comité des risques lorsque celui-ci est distinct du comité spécialisé. Ces informations figurent dans le rapport annuel. 2.5. En fonction des besoins identifiés par le conseil d administration, le règlement intérieur peut prévoir la mise en place de commissions de rémunération, des placements et de suivi des filiales. 2.6. Le règlement intérieur détermine également les modalités de désignation d un président de chacun des comités et commissions du conseil d administration. Le règlement intérieur précise éventuellement les règles d alternance entre les collèges pour la désignation du président des commissions. 2.7. Le règlement intérieur fixe l organisation et le fonctionnement du comité spécialisé et des commissions et notamment : les modalités de saisine, la périodicité des réunions, le délai minimum dans lequel se tiennent les réunions du comité spécialisé et des commissions préalablement aux réunions du conseil d administration, les moyens du comité spécialisé et des commissions, le formalisme à respecter pour certaines des interventions du comité spécialisé et des commissions. 2.8. Le règlement intérieur fixe les conditions dans lesquelles s établissent les relations entre, d une part, le bureau et le comité spécialisé ou les commissions et, d autre part, la direction générale ou ses représentants. 2.9. Le règlement intérieur fixe les modalités de mise à jour annuelle de la liste des mandats qu exercent les administrateurs au sein du groupe auquel l institution appartient ainsi que ceux qu ils exercent dans des organismes extérieurs à celui-ci. 3. Règles spécifiques relatives à l information des administrateurs Pour l exercice de ses fonctions, le conseil d administration doit recevoir une information suffisante et en temps utile. La loi consacre le principe selon lequel le directeur général est tenu de communiquer à chaque administrateur «tous les documents et informations nécessaires à l accomplissement de sa mission». L exemple de calendrier des travaux du conseil d administration d une institution de prévoyance joint en annexe est destiné à faciliter le recensement des thèmes impliquant annuellement une information suffisante et en temps utile du conseil d administration. 14

Par ailleurs, afin de respecter l égalité des droits entre les administrateurs, le règlement intérieur fixe : les règles relatives aux modalités de restitution au conseil d administration des travaux du bureau, du comité spécialisé et des commissions ainsi que les conditions d accès des administrateurs aux documents de travail du comité spécialisé, des commissions et du bureau ; les règles relatives à la transmission préalable au bureau, au comité spécialisé ou aux commissions concernées des différents projets de rapports prévus par la loi. Cette transmission préalable est essentielle dans la mesure où ces rapports doivent conduire le conseil d administration à une réflexion approfondie. Pour cela, le comité spécialisé et les commissions concernées doivent disposer d éléments suffisants pour porter un jugement prospectif sur les résultats et sur la solidité financière de l institution ; les règles de communication au conseil d administration des rapports qui sont adressés par l Autorité de contrôle prudentiel à l institution. Enfin, le règlement intérieur précise les obligations de confidentialité qui s attachent aux informations communiquées au conseil d administration. Le rapport annuel sur l activité, le plan d actions et le rapport annuel du CTIP sont communiqués par la direction générale au conseil d administration. 4. Règles relatives au recours à un audit externe ou à une personne qualifiée extérieure à l institution de prévoyance Le règlement intérieur fixe les règles suivant lesquelles le conseil d administration pourrait avoir recours de manière ponctuelle et exceptionnelle à un audit externe ou à une personne qualifiée extérieure à l institution. L absence d indication dans le règlement intérieur n interdit pas au conseil d administration de recourir de manière ponctuelle et exceptionnelle à un audit externe ou à une personne qualifiée extérieure à l institution. Pour l obtention d un avis ponctuel, le règlement intérieur peut prévoir que le comité spécialisé et les commissions du conseil d administration peuvent, à titre exceptionnel, recourir à un audit externe ou à une personne qualifiée extérieure à l institution, après avoir obtenu l autorisation du conseil. 15

II. Site Internet et rapport annuel Les institutions de prévoyance qui ne possèderaient pas de site Internet se dotent d un site contenant toutes les informations utiles pour ses membres adhérents et ses membres participants ainsi que toutes les informations à caractère non confidentiel permettant de situer l organisme et notamment, s il y a lieu, au sein de son groupe. Les informations suivantes portant sur les instances dirigeantes de l institution et sa situation comptable et financière figurent dans le rapport annuel : Les informations sur les instances dirigeantes de l institution : la liste des administrateurs, les membres du comité spécialisé en précisant les critères d indépendance retenus par le conseil d administration, les membres du bureau lorsque celui-ci est chargé des missions du comité spécialisé et de la direction générale ; le nombre des séances du conseil d administration ; les dates de début et d expiration du mandat de chaque administrateur ; la composition nominative de chaque commission du conseil. Ces recommandations valent pour le comité des risques s il a été créé. Les informations sur la situation comptable et financière de l institution : le rapport de gestion du conseil à l assemblée générale ; les comptes (bilan, comptes de résultat et annexe) ; les rapports des commissaires aux comptes ; les projets de résolutions de l assemblée générale. Le rapport annuel de chaque institution est publié sur son site Internet. 16

Recommandation du CTIP sur le rôle du conseil d administration des institutions de prévoyance en matière de contrôle interne et des risques 17

AVANT-PROPOS La présente recommandation s inscrit dans le prolongement de la première recommandation du CTIP relative à l organisation et au fonctionnement du conseil d administration ainsi qu à la transparence vis-à-vis du public. Elle vient préciser les modalités de mise en œuvre du contrôle interne dans les institutions de prévoyance et leurs unions - tel qu institué par le décret n 2008-468 du 19 mai 2008 - et plus spécifiquement le rôle dévolu au conseil d administration en cette matière. A cet égard, l ordonnance n 2008-1278 du 8 décembre 2008 rend obligatoire la création d un comité spécialisé de l organe chargé de l administration ou de l organe de surveillance pour assurer le suivi des questions relatives à l élaboration et au contrôle des informations comptables et financières. La finalité du contrôle interne et des risques est d assurer : l efficacité et la qualité du fonctionnement interne, l efficacité de la gestion des risques et le développement d une culture de contrôle des risques au sein des institutions de prévoyance et de leurs unions, la sécurité des opérations, la conformité aux lois, règlements et politiques internes. Le conseil d administration de toute institution de prévoyance ou union d institutions de prévoyance doit pouvoir obtenir de la direction générale la garantie qu un dispositif de contrôle interne et de gestion des risques est en place et l assurance raisonnable que les objectifs stratégiques préalablement fixés par le conseil d administration sont atteints. L article R.931-43 du code de la sécurité sociale dispose : «l'institution ou l'union est tenue de mettre en place un dispositif permanent de contrôle interne. Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'autorité de contrôle prudentiel.» La présente recommandation a fait l objet d une transmission officielle au Ministère chargé de la sécurité sociale et à l Autorité de contrôle prudentiel. 18

I. Le contrôle interne et des risques et le rôle du conseil d administration Le conseil d administration s assure, notamment par l intermédiaire du comité spécialisé qu il a institué en son sein, du suivi : du processus d élaboration de l information financière. A cet égard, le commissaire aux comptes, ou éventuellement le cabinet d'audit, informe le comité spécialisé sur les aspects essentiels touchant au contrôle, en particulier les faiblesses significatives du contrôle interne au regard du processus d'information financière. du contrôle légal des comptes et de l examen des états financiers. de l efficacité du système de contrôle interne et de gestion des risques. Le comité spécialisé reçoit de la direction générale, qui est elle-même soumise à cette obligation, les éléments nécessaires pour accomplir cette mission. de l indépendance du commissaire aux comptes et du cabinet d audit éventuel, en particulier pour ce qui concerne la fourniture de services complémentaires à l institution de prévoyance. Le comité spécialisé émet une recommandation sur les commissaires aux comptes proposés à la désignation par la commission paritaire ou par l assemblée générale. Le conseil d administration procède, notamment par l intermédiaire du comité spécialisé, à : l examen des rapports qui lui sont présentés par la direction générale sur le contrôle permanent et sur le contrôle périodique, l audition du responsable du contrôle interne et/ou de l audit interne, du responsable des risques et/ou du responsable des activités d assurance de l institution ou de l union. Ces auditions se déroulent au moins une fois par an hors la présence de la direction générale. Si un comité des risques distinct du comité spécialisé a été créé, le comité spécialisé s appuie en tant que de besoin sur les travaux de ce comité des risques. (Concernant les attributions du comité spécialisé et les règles qui lui sont applicables, voir la recommandation sur le conseil d administration des institutions de prévoyance). 19

Modalités de fonctionnement des commissions du conseil d administration : L ordre du jour et le dossier d informations du comité spécialisé et des commissions sont proposés par la direction générale. Les membres du comité spécialisé et des commissions peuvent modifier ou ajouter tout point à l ordre du jour et, le cas échéant, demander communication des documents et informations complémentaires, nécessaires à l exercice de leur mission. Le comité spécialisé et les commissions se réunissent au minimum avant chaque réunion ordinaire du conseil d administration. Ils émettent des avis à destination du conseil d administration et, de manière générale, rendent compte, par l intermédiaire de leur président, des travaux réalisés, lors de chaque réunion ordinaire du conseil d administration. En cas de difficulté rencontrée dans l exercice de leurs missions, ils informent sans délai le conseil d administration. L ensemble de ces travaux constitue le socle à partir duquel le rapport annuel sur le contrôle interne est approuvé par le conseil d administration. Formation des membres du comité spécialisé Chaque institution de prévoyance ou union met en oeuvre les moyens nécessaires pour que chacun des membres du comité spécialisé puisse, si nécessaire, recevoir une formation adaptée en matière financière, comptable et de gestion des risques. Un membre au moins du comité spécialisé doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par le conseil d administration (voir la recommandation du CTIP sur le conseil d administration des institutions de prévoyance). Cette recommandation s applique au bureau lorsqu il remplit ces attributions. Elle s applique également au comité des risques dès lors que sa création a été décidée par le conseil d administration. 20

II. Le rapport annuel du conseil d administration sur le contrôle interne et des risques L institution ou l union est tenue de soumettre annuellement un rapport sur le contrôle interne à l approbation de son conseil d administration. Ce rapport est obligatoirement présenté en deux parties consacrées respectivement à : la description des conditions de préparation et d organisation des travaux du conseil d administration, la description des procédures de contrôle interne mises en place, ainsi que leurs objectifs, en insistant notamment sur : - le contrôle interne des placements, - la conformité des opérations d assurance à la réglementation et aux orientations internes à l entreprise, - les risques liés aux engagements de l entreprise, - les risques liés aux filiales, aux activités externalisées et aux modes de commercialisation, ainsi que les procédures d élaboration et de vérification de l information financière et comptable. Il est conseillé de consacrer une annexe spécifique au rapport sur le contrôle interne relative aux moyens et procédures mis en place au titre du contrôle de la conformité en vue de respecter les règles de protection de la clientèle (voir Annexe 4). Le document d «aide à la rédaction du rapport du conseil d administration sur le contrôle interne» complète la présente recommandation (voir Annexe 3). Ce document a une double vocation : d une part, il constitue pour les institutions de prévoyance et leurs unions, un guide sur le contenu du rapport sur le contrôle interne et, d autre part, il apporte à tout administrateur un outil de réflexion pour l exercice de ses fonctions. 21

ANNEXES I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration... 24 II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents... 27 III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne... 30 IV. Lettre de l ACP du 4 octobre 2010 relative à l annexe spécifique au rapport sur le contrôle interne consacrée aux moyens et procédures mis en place au titre du contrôle de la conformité... 50 23

I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration Les indications de mois figurent uniquement à titre indicatif. Le calendrier d arrêté de comptes sera très probablement modifié par les textes réglementaires à venir qui pourraient ramener, à terme proche, les opérations d arrêté de comptes par le conseil d administration à la fin du premier trimestre. HORS CALENDRIER : sujets à traiter au moins une fois par an par le CA (le moment et la fréquence dépendent de chaque institution de prévoyance) : Décisions de l institution de prévoyance prises dans le cadre des orientations stratégiques du groupe : décisions du CA Fonctionnement interne : Budgets de fonctionnement de l IP : information du CA / Validation par le CA Quote-part des moyens mis à disposition de l IP : information du CA - actée dans le rapport de gestion Lignes directrices de la politique de placement : décision du CA, éléments inclus dans le rapport de solvabilité Obligation de se prononcer sur la qualité des actifs, les opérations sur instruments financiers à terme et le choix des intermédiaires financiers : décision du CA Gestion administrative et Relations clients - rapport du médiateur interne, lorsqu il existe : information du CA Politique immobilière : information du CA sur le récurrent et décision du CA sur le ponctuel, ces éléments se retrouvent dans le rapport de gestion Rapport sur la politique de réassurance : décision du CA Identification des risques : information du CA et traduction dans le rapport sur le contrôle interne Point d actualité sur les textes législatifs et réglementaires : information du CA Formation des administrateurs : information du CA, décision du CA Rapport sur l activité, plan d actions et rapport annuel du CTIP : communication au CA 24

Fonctionnement statutaire : Renouvellement des instances (CA, commissions, bureau) Point sur la désignation des délégués à l AG Délégations de pouvoirs et Délégations de signature Conventions réglementées Désignation des délégués à l assemblée générale du CTIP Calendrier Février - Mars 1 re réunion du Bureau du Conseil d administration Mars 1 re réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe intéressant l IP Comptes rendus des dernières réunions des commissions du Conseil d administration Bouclage budgétaire Tableau de bord trimestriel Bilan de la participation à la CMU sur l année N-1 pour les IP adhérentes Avril 2 e réunion du Bureau du Conseil d administration Le rapport de solvabilité constitue un instrument de pilotage important. Il est donc souhaitable qu avant d être définitivement arrêté par le conseil, il donne lieu à un examen préalable : un bureau ou une commission peuvent être réunis à cet effet. Avril 2 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe Comptes rendus des dernières réunions des commissions du conseil d administration Arrêté des comptes annuels (Rapport de la commission d audit au CA et présentation au CA de la mission de contrôle du CAC) Arrêté des comptes combinés si l IP est l entité combinante Rapport de gestion N-1 de l IP Rapport de gestion du groupe 25

Rapport de solvabilité Rapport sur la réassurance Rapport sur le contrôle interne Rapport sur les opérations d intermédiation et de délégation de gestion Projet de rapport du CAC sur les conventions Tableau de bord trimestriel Revalorisation des prestations de l année N au 1 er juillet Bilan de la participation à la CMU sur l année N-1 Préparation de la Commission paritaire ou de l AG (OJ, résolutions, dossiers) Projets de modifications des statuts et des règlements Désignations des délégués à l AG du CTIP Septembre - octobre 3 e réunion du Bureau du Conseil d administration Octobre 3 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe Comptes rendus des dernières réunions des commissions du Conseil d administration Règlements - Revalorisation des prestations et révision des cotisations Tableau de bord trimestriel Calendrier des réunions d instances de l année N+1 Novembre ou début décembre 4 e réunion du Bureau du Conseil d administration Fin novembre à fin décembre 4 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe, Comptes rendus des dernières réunions des commissions du conseil d administration Budget de fonctionnement et d investissement des activités réglementaires Remboursement des frais des administrateurs Tableau de bord trimestriel Budget du (des) fonds d action sociale Bilan de l action sociale Examen de l équilibre des régimes et des tarifs Politique financière de l année N+1 Calendrier des réunions d instances de l année N+1 26

II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents 1. Documentation comptable et rapports destinés à la commission paritaire ou à l assemblée générale (établis avant le 30 juin) Les comptes annuels comprennent : le compte de résultat, le bilan y compris le tableau des engagements reçus et donnés et l annexe comprenant : le montant des soldes débiteurs et créditeurs des comptes 402, 403, 404, 410, 411, l état détaillé des placements, la proposition d affectation du résultat présenté par le CA et les états d analyse : les états C 1 à C 21 (réassurance, marge de solvabilité, engagements réglementés, provisions techniques) et les états C 30, C 31, C 40 à C 42 (cotisations, action sociale). Le rapport de gestion doit exposer de manière claire et précise la situation de l'institution et son activité au cours de l'exercice écoulé, les résultats de cette activité, les conditions dans lesquelles l'institution ou l'union garantit les engagements qu'elle prend vis-à-vis des membres participants, bénéficiaires et ayants droit, les progrès réalisés, les difficultés rencontrées et l'évolution prévisible de l'institution ou de l'union et ses perspectives d'avenir. Est joint un tableau faisant apparaître les résultats de l'institution ou de l'union au cours de chacun des cinq derniers exercices. Le rapport sur les opérations d intermédiation et de délégation de gestion : L'obligation pour le conseil d administration d établir un rapport annuel dans lequel il rend compte des opérations d intermédiation et de délégation de gestion s'applique aux institutions de prévoyance (Article L.932-51), même si le décret fixant son contenu n'a pas été publié, il apparaîtrait néanmoins opportun que figurent dans ce rapport les éléments suivants : le montant des commissions d apport et des commissions de gestion versées ; la nature des risques faisant l objet d une délégation de gestion ; le rappel de l existence de procédures de contrôle mises en place par l institution de prévoyance pour les opérations courtées et pour les délégations de gestion. A cette occasion l institution peut rappeler notamment les contrôles sur l immatriculation des intermédiaires, sur le respect des obligations en matière de lutte contre le blanchiment et de lutte contre le travail clandestin, les clauses de confidentialité, de respect des règles sur la protection des données personnelles, clause d audit et de la prestation du délégataire 27

Il serait également important de faire figurer dans le rapport les grands principes qui régissent les conventions de gestion et, de manière générale, ceux qui encadrent le recours à l intermédiation et à la délégation de gestion ainsi que le fait de justifier de leur respect. Parmi ces principes, figure celui du contrôle du délégataire afin de vérifier la qualité des prestations. 2. Rapports communiqués aux commissaires aux comptes et à l Autorité de contrôle prudentiel (établis avant le 30 juin) Le rapport de solvabilité expose les conditions dans lesquelles l'entreprise garantit, par la constitution des provisions techniques suffisantes dont les modalités de calcul et les hypothèses retenues sont explicitées et justifiées, les engagements qu'elle prend à l'égard des assurés, rappelle les orientations définies en matière de placements, présente et analyse les résultats obtenus et indique si la marge de solvabilité est constituée conformément à la réglementation applicable. Le rapport de solvabilité contient obligatoirement une analyse des conditions dans lesquelles l'entreprise est en mesure, à moyen et long termes, de faire face à l'ensemble de ses engagements. Il est établi par le conseil d administration à la clôture de chaque exercice. Le rapport sur le contrôle interne La première partie de ce rapport détaille : les conditions de préparation et d organisation des travaux du conseil d administration et, le cas échéant, les limitations apportées par le conseil d administration aux pouvoirs du directeur général dans l exercice de ses fonctions. La seconde partie de ce rapport détaille : a) Les objectifs, la méthodologie, la position et l organisation générale du contrôle interne au sein de l IP ; les mesures prises pour assurer l indépendance et l efficacité du contrôle interne et notamment la compétence et l expérience des équipes chargées de le mettre en oeuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ; b) Les procédures permettant de vérifier que les activités de l IP sont menées selon les politiques et stratégies établies par le conseil d administration et les procédures permettant de vérifier la conformité des opérations d assurance aux dispositions législatives et réglementaires ; c) Les méthodes utilisées pour assurer la mesure, l évaluation et le contrôle des placements, en particulier en ce qui concerne l évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l appréciation des performances et des marges des intermédiaires financiers utilisés ; 28

d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l information, les procédures internes de contrôle ou d audit ; e) Les procédures et dispositifs permettant d identifier, d évaluer, de gérer et de contrôler les risques liés aux engagements de l entreprise et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de l IP dans ces domaines, définie dans les rapports de solvabilité et de politique de réassurance ; f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l IP et les risques qui pourraient en résulter ; g) Les procédures d élaboration et de vérification de l information financière et comptable. h) Les procédures et mesures de contrôle interne des risques de blanchiment des capitaux et de financement du terrorisme. Le rapport sur la politique de réassurance Ce rapport décrit : a) Les orientations prises par l'entreprise en matière de cessions en réassurance, en particulier en ce qui concerne la nature et le niveau de protection visé et le choix des entreprises cessionnaires ; b) Les critères qualitatifs et quantitatifs sur lesquels l'entreprise se fonde pour s'assurer de l'adéquation de ses cessions en réassurance avec les risques souscrits ; c) Les orientations de la politique de réassurance concernant les risques souscrits au cours de l'exercice suivant le dernier exercice clos ainsi que les principales cessions de réassurance ; d) L'organisation concernant la définition, la mise en oeuvre et le contrôle du programme de réassurance ; e) Les méthodes d'analyse et de suivi qu'utilise l'entreprise en ce qui concerne le risque de contrepartie lié à ses opérations de cessions en réassurance ainsi que les conclusions résultant de l'emploi de ces méthodes. Après son approbation, ce rapport peut être inclus dans le rapport de solvabilité. 29

III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne TABLE DES MATIÈRES Préambule... 31 1. Gouvernance, organisation interne... 32 2. Dispositif de contrôle interne... 32 2.1. Organisation générale... 33 a. Objectifs et principes fondamentaux... 33 b. Organisation du dispositif... 34 c. Conformité des activités... 35 c.1. Surveillance de la conformité des activités de l'entreprise avec les politiques et la stratégie des organes dirigeants... 35 c.2. Surveillance de la conformité des activités de l'entreprise avec la réglementation... 36 2.2. Les placements... 36 a. Méthodes pour assurer la mesure, l évaluation et le contrôle des placements (immobilier, financier)... 36 b. Dispositif interne de contrôle de la gestion des placements... 38 2.3. La gestion et le financement du risque... 40 a. Description des engagements de l'institution... 40 b. Etat des lieux du dispositif de maîtrise des risques assurantiels... 41 b.1. Maîtrise des risques liés à la conception des nouveaux produits... 41 b.2. Maîtrise des risques liés à la tarification... 41 b.3. Inventaire des risques liés aux contrats en cours... 42 c. Suivi de la réassurance/coassurance/acceptation... 42 d. Politique de solvabilité et gestion actif/passif... 43 2.4. Le risque opérationnel... 44 a. Commercialisation des produits... 44 b. Gestion des sinistres... 45 c. Suivi des filiales... 45 d. Maîtrise des activités externalisées... 46 2.5. L information financière et comptable... 47 a. Procédures de gestion «courante»... 47 b. Procédures d'inventaire... 48 30

PRÉAMBULE Ce document, issu des réflexions des membres du Club Audit du CTIP, se présente sous la forme d une proposition de plan détaillé. Il a pour objectif de fournir des éléments indicatifs et illustratifs afin d orienter chaque institution dans la préparation et la rédaction de son propre rapport. Ce rapport devra être rédigé de manière cohérente avec la nature et le volume d activités réalisées. Pour des raisons évidentes de clarté, il apparaît souhaitable que ce rapport n excède pas une dizaine de pages. Ce document met en avant, à titre d'exemple, un certain nombre d'items. Le choix des items retenus dans le rapport sur le contrôle interne reste de la responsabilité de chaque institution, notamment au regard de sa propre organisation et de son propre fonctionnement. 31

1. Gouvernance, organisation interne Cette partie devra être détaillée en fonction des spécificités organisationnelles de l'institution. 2. Le dispositif de contrôle interne Pour chacune des grandes parties de la proposition de plan suivante, figurent un certain nombre de thèmes : Les thèmes pouvant être abordés présentent les grandes lignes à traiter éventuellement dans le rapport de l'institution. Les illustrations mettent en avant des exemples spécifiques permettant de détailler ou d illustrer les points clés visés par cette partie, relatifs au contrôle interne. Les interlocuteurs représentent les exemples de fonctions pouvant constituer à la fois les acteurs "relais" du contrôle interne dans l'entité, mais aussi tous les intervenants susceptibles de fournir des informations significatives permettant d'illustrer les procédures de contrôle interne appliquées dans l'entité. La documentation et les principales sources de réglementation constituent les principaux éléments, aussi bien internes qu'externes, susceptibles d apporter au rédacteur un maximum d'informations tant techniques, que juridiques ou organisationnelles. 32

2.1. Organisation générale a. Objectifs et principes fondamentaux Thèmes pouvant être abordés Définition du contrôle interne Contrôle permanent / contrôle périodique Textes de référence interne et externe Limites du contrôle interne Objectifs de contrôle interne de l année Périmètre Illustrations Nomination d un coordinateur du contrôle interne Mise en place de relais de contrôle interne dans les directions opérationnelles Sensibilisation de l'ensemble du personnel Projet d'entreprise Interlocuteurs Coordinateur du contrôle interne Déontologue / Responsable de la conformité Audit interne Relais de contrôle interne Documentation et principales sources réglementaires Politique en matière de contrôle interne Charte d'audit/de contrôle interne Code de déontologie/éthique Règlement intérieur Référentiel CTIP et Autorité de contrôle (Mise en perspective du projet Solvabilité 2) 33

b. Organisation du dispositif Thèmes pouvant être abordés Rôle de l organe délibérant Contrôle sur l'existence et l'efficacité du contrôle interne (conseils d administration) Rôle de l organe exécutif Direction générale (responsable du dispositif) --> Comité exécutif Comité de sécurité informatique Pilotage et mise en œuvre du dispositif Audit interne Coordinateur du contrôle interne Mise en œuvre du dispositif Relais éventuels de contrôle interne Ensemble des collaborateurs Fonctionnement du dispositif Organisation des activités de contrôle - Contrôle de 1er niveau - Contrôle de 2ème niveau : Encadrement, Relais éventuels de contrôle interne, Responsable sécurité des systèmes d information, Responsable anti-blanchiment - Contrôle de 3ème niveau : Audit interne, Commissaires aux comptes, Autres auditeurs externes Utilisation d un ou des outils de contrôle interne Cas particulier des activités déléguées Structures concernées Modalités de reporting Illustrations Mise en place d'une organisation définissant le rôle de chacun en matière de contrôle interne (formation, opération de sensibilisation, formalisation des rôles,...) Interlocuteurs Documentation et principales sources réglementaires Audit interne Coordinateur du contrôle interne Déontologue / Responsable de la conformité Opérationnels Procès-verbaux de conseil et des comités Délégations de pouvoirs Organigramme de la société/organigramme fonctionnel Charte de contrôle interne/d audit interne Code de déontologie et éthique Recommandations du CTIP et de l Autorité de contrôle sur la gouvernance et le contrôle interne Tableaux de bord et de suivi (tableaux de bord de suivi des procédures) Système documentaire de contrôle interne : cartographie des risques et applicative, description des processus, analyse de risques, maîtrise des risques, plans d actions et indicateurs 34

c. Conformité des activités c.1. Surveillance de la conformité des activités de l'entreprise avec les politiques et la stratégie des organes dirigeants Thèmes pouvant être abordés Processus décisionnels Définition et diffusion des orientations fixées par les conseils d'administration Modalités de mise en œuvre par les opérationnels des orientations des conseils d'administration Conformité des actions mises en œuvre par les opérationnels par rapport à la stratégie et aux orientations Outils ou passerelles de l information : connaissance des orientations, transmission des informations - Déclinaison des orientations en objectifs stratégiques et opérationnels - Projets, mise en place de plans d actions, suivi, reporting - Comité d audit, de rémunération - Commissions spécialisées (engagements,...) Reporting auprès des conseils d'administration (compte rendu d activité, ordre du jour du conseil,...) : - Etat d avancement - Incidents éventuels Structure des instances - Traitement des informations descendantes Membres des comités de direction : fonctions/rattachements aux directions Rôles/missions Nombre de réunions Ordres du jour, comptes rendus Prise de décisions, suivi des décisions Plans d actions Reporting Illustrations Interlocuteurs Connaissance ou déclinaison des objectifs Secrétariat général Direction générale Déontologue/Responsable de la conformité Documentation et principales sources réglementaires Procès-verbaux des conseils d administration Notes explicitant le rôle des différents comités Tableaux de bord Notes de stratégie : budget Statuts Règlement intérieur Code de bonnes pratiques internes (charte du management,...) 35

c.2.surveillance de la conformité des activités de l'entreprise avec la réglementation Thèmes pouvant être abordés Risques juridiques ou réglementaires Risques liés à la sécurité de l information (CNIL, gestion des licences...) Illustrations Identification d'un responsable de la conformité Cartographie des principales règles applicables et des risques potentiels de non-conformité Interlocuteurs Responsable de la conformité Responsable juridique RSSI Documentation et principales sources réglementaires Textes réglementaires Description du processus de conformité 2.2. Les placements a. Méthodes pour assurer la mesure, l évaluation et le contrôle des placements (immobilier, financier) Thèmes pouvant être abordés Processus d évaluation de la qualité de la gestion actif/passif Processus d évaluation de la qualité des actifs Méthodes de suivi des opérations sur instruments financiers à terme Méthodes d appréciation des performances et des marges des intermédiaires financiers Illustrations Processus d évaluation de la qualité de la gestion actif/passif Définition et mise en oeuvre des lignes directrices de la politique de placements et modalités de validation par le conseil d administration en application de la gestion actif / passif (cf. 2.3 d.) Allocation stratégique Allocation tactique Arbitrage entre les deux allocations Prise en compte des contraintes et limites internes (directives du conseil d administration) et externes (réglementation) : règles de dispersion et de congruence (1), limitation par type d actifs,... Prise en compte des contraintes de rendement et d'échéance liées à la liquidation des provisions techniques. (1) Couverture des placements en devises. 36

Processus d évaluation de la qualité des actifs Définition de la structure et de la qualité du portefeuille de placements en fonction des différents risques (taux, marché, contrepartie, liquidité, etc.) et modalités de suivi des lignes directrices définies par le conseil d administration. Exemples/risques de marché : Répartition du portefeuille selon les places boursières Répartition globale du portefeuille obligataire, avec les pourcentages d'emprunts d'etat ou de titres du secteur public Répartition entre titres cotés et non cotés Poids des actifs stratégiques du groupe Sensibilité du portefeuille aux variations des différents indices (boursiers, économiques,...) Montant de la réserve de capitalisation sur laquelle l'institution peut réaliser des prélèvements en cas de remontée des taux Exposition au risque de change Exemples/risques de contrepartie : Illustrations Notations des instruments financiers par une agence reconnue Avoir mis en place des comités de suivi des risques, une gestion actif/passif. Méthodes de suivi des opérations sur instruments financiers à terme Stratégie suivie pour les opérations d'investissement, de désinvestissement ou de rendement Méthode retenue pour mesurer l'efficacité de la stratégie Limites fixées aux risques de marché, de contrepartie, de liquidités encourus sur les opérations à venir Modalités de suivi de ces opérations Information de l Autorité de contrôle lors de la première utilisation d IFT, le cas échéant. Méthode d appréciation des performances et des marges des intermédiaires financiers (sociétés de gestion, établissements de crédit,...) (suite page suivante) Evaluation des intermédiaires financiers : modalités de sélection (appels d offre formalisés, cahiers des charges), benchmarking, modalités de reporting, analyse des performances Modalités de rémunération des intermédiaires Existence d analyse des marges des intermédiaires financiers dans le cadre du comité de suivi des risques (tableau de bord de suivi des marges). 37

(suite du tableau) Interlocuteurs Comptabilité Finance, comité financier Comité de gestion actif/passif Documentation et principales sources réglementaires Décret n 2006-287 du 13/03/2006 Consultation publique sur la gouvernance des organismes d assurance (ACAM, 2006 - page 18, C) Source d information interne : reprise du texte sur le suivi des placements, l exposition aux différents risques et les rendements existant dans le rapport de solvabilité Rapports des comités financiers, comités de gestion actifs/passifs,... Comptes rendus des comités de gestion des risques Rapports des délégataires (sociétés de gestion) b. Dispositif interne de contrôle de la gestion des placements Thèmes pouvant être abordés Répartition interne des responsabilités Processus de délégation de pouvoir Procédure de diffusion de l information Procédures internes de contrôle ou d audit Répartition interne des responsabilités Illustrations Existence d une gestion interne et/ou d une gestion déléguée Répartition des rôles et responsabilités (poids, type d actifs gérés, modalités de gestion) Existence d un organigramme et d un descriptif des fonctions chargées de la gestion des placements Structures du groupe impliquées dans la gestion des actifs de l'institution, existence d'un Comité financier / Comité de gestion actif-passif au sein du conseil d'administration Séparation des fonctions : - Responsabilité par fonction (front office, middle office, back office) - Existence d une fonction identifiée pour le contrôle et le respect des règles de déontologie (RCSI (2), déontologue) - Système d information - Présentation de l outil (outil interne ou acquis sur le marché, sécurisation, sauvegarde, confidentialité) - Gestion des habilitations sur les outils informatiques de traitement des opérations de placement. (2) Responsable du Contrôle des Services d Investissement. 38

Délégations de pouvoirs Existence de délégations de pouvoirs internes formalisées Existence de délégations de pouvoirs externes ou de convention de gestion formalisées (gestion déléguée de tout ou partie des activités de placement) Modalités de sélection des délégataires de gestion des placements : - Processus décisionnaire du recours à la gestion déléguée - Procédures de sélection des différents intermédiaires - Mise en place d un droit de suite. Diffusion de l information Transmission aux gestionnaires : - Information des gestionnaires internes sur la politique arrêtée par le conseil d'administration - Modalités de veille réglementaire et financière - Procédures de fixation et de suivi des objectifs des délégataires (existence d un cahier des charges, modalités de révision). Illustrations Reporting : - Modalités de reporting au management et aux instances décisionnaires : fréquence, destinataires, informations communiquées (respect de la politique fixée et/ou du cahier des charges, résultats internes et externes) - Procédures et outils de reporting des délégataires auprès de l'institution (interface entre les outils internes et ceux des délégataires) - Gestion de la confidentialité du reporting. Procédures internes de contrôle ou d audit (suite page suivante) Description des processus, identification des risques et des dispositifs de contrôle -> Cartographie des risques, base incidents Sécurité des opérations : - Existence d un plan de contrôle annuel - Opérations de contrôle réalisées - Formalisation des contrôles Réalisation d audit du régulateur (Autorité de contrôle et éventuellement AMF) Réalisation d audits internes Suivi des recommandations et des plans d actions Modalités d exercice du "droit de suite" chez les délégataires : contrôles sur pièces, sur place, suivi des axes d amélioration préconisés. 39

(suite du tableau) Interlocuteurs Secrétariat général/gestion des instances Coordinateur de contrôle interne Juridique Audit Interne Finance/comités financiers Documentation et principales sources réglementaires Guide des procédures Résultats de la cartographie des risques Plan de contrôle Base incidents Conventions, mandats de gestion Rapports d audit interne ou externe (commissaire aux comptes, tutelles, régulateur,...) Rapports financiers 2.3. La gestion et le financement du risque (3) a. Description des engagements de l institution Thèmes pouvant être abordés Présentation succincte des principales garanties et des engagements correspondants de l institution Illustrations Répartition des différentes branches d activité de l institution : - Par métier (santé collective, prévoyance lourde,...) - Par activité (répartition sectorielle ou géographique) Interlocuteurs Documentation et principales sources réglementaires Technique Rapport d'activité du groupe Rapport de solvabilité (3) Cette partie va traiter du dispositif de maîtrise des risques liés aux engagements de l institution, et notamment dans la perspective de la mise en œuvre de la directive Solvabilité 2. 40

b. Etat des lieux du dispositif de maîtrise des risques assurantiels b.1. Maîtrise des risques liés à la conception des nouveaux produits Thèmes pouvant être abordés Processus de conception des nouveaux produits Illustrations Principales phases de la construction d'un produit Principaux acteurs Processus décisionnel et d arbitrage du lancement d'un produit Modalités de paramétrage du contrat dans le système de gestion Interlocuteurs Documentation et principales sources réglementaires Marketing Juridique Technique Commercial Veille stratégique et concurrentielle Etudes de marché b.2. Maîtrise des risques liés à la tarification Thèmes pouvant être abordés Processus de tarification et de contrôle des engagements Illustrations Principales phases de la tarification des produits (outils, contrôles, tableaux de bord) Processus d'habilitation (visa, délégation, agrément) Processus d'acceptation médicale Interlocuteurs Commercial Technique Médecin Conseil Documentation et principales sources réglementaires Politique de souscription Dispositif de délégation 41

b.3. Inventaire des risques liés aux contrats en cours Thèmes pouvant être abordés Processus d'inventaire des engagements en cours : - Calcul des provisions réglementées - Contrôle des engagements Illustrations Procédures d'inventaire des engagements provisionnés et méthode de provisionnement Procédures de révision tarifaire : - Indexation - Résiliation pour ordre - Instances d'arbitrage Interlocuteurs Technique Commercial Documentation et principales sources réglementaires Guide des procédures Rapport de solvabilité c. Suivi de la réassurance/coassurance/acceptation Thèmes pouvant être abordés Processus d'élaboration et de contrôle de la politique de réassurance / coassurance / acceptation Illustrations Organisation et processus décisionnel mis en place pour le choix des réassureurs, stratégie de réassurance souscrite et niveau des couvertures Procédures de souscription, d'exécution et de suivi des traités Interlocuteurs Technique Documentation et principales sources réglementaires Rapport de solvabilité Traités de réassurance Rapport sur la politique de réassurance Notation des réassureurs 42

d. Politique de solvabilité et gestion actif /passif Thèmes pouvant être abordés Stratégie de l'institution permettant de détenir des capitaux propres suffisants au regard de ses engagements Processus de gestion actif/passif Illustrations Politique de solvabilité : - Organisation pour le calcul et le suivi de la solvabilité de l'institution, reporting au conseil d'administration - Méthodologie, existence d'une validation externe - Recours à des projections prospectives Gestion actif/passif : - Organisation existante pour la mise en place, le suivi et le reporting au conseil d'administration de la gestion actif / passif (coordination avec la gestion des placements,...) - Référentiel utilisé, existence d'une validation externe,... Interlocuteurs Technique Finance Documentation et principales sources réglementaires Référentiel réglementaire Rapport de solvabilité Etats Autorité de contrôle 43

2.4. Le risque opérationnel a. Commercialisation des produits Thèmes pouvant être abordés Organisation du réseau commercial et des modes de distribution Maîtrise des risques liés à la commercialisation (blanchiment, validation / habilitation à signer un contrat,...) Maîtrise des risques liés à la vente à distance (Internet, téléphone,..) et au courtage Gestion des dérogations commerciales (marges de manœuvre laissées aux commerciaux) Maîtrise des appels et recouvrement des cotisations (émission de primes chiffrées ou non, contentieux) Illustrations Veille concurrentielle Définition d une politique commerciale Pilotage et suivi d activité : - Méthode d analyse des résultats (marge et chiffres d affaires, parts de marché, évolution de la valeur des affaires nouvelles,...) - Compte de résultats par contrat, par institution ou par type de garantie Cartographie des risques Identification des contrats à risques (blanchiment, fraude,...) Description des processus et des procédures associées (contrôles de 1 er et 2 nd niveau, gestion des habilitations, suivi du contentieux,...) Gestion des insatisfactions clients Procédures de recouvrement Interlocuteurs Commercial Technique Actuariat Contrôle de gestion Gestion des contrats de l encaissement jusqu au contentieux Documentation et principales sources réglementaires Outils de pilotage (suivi des résultats, suivi d activité) Délégations de pouvoirs et signatures Manuel des procédures Cartographie des processus Rapports de la Direction commerciale Tableaux de suivi des procédures de contentieux Bilan des réclamations 44

b. Gestion des sinistres Thèmes pouvant être abordés Maîtrise des risques liés à la gestion des sinistres (ouverture et instruction du dossier, mise en paiement, gestion des indus, archivage) Illustrations Processus de gestion des provisions dossier par dossier Sécurisation des données et des actes de gestion sensibles Suivi des opérations spécifiques (système manuel de gestion dédié à ces opérations) Contrôle médical (médecin conseil,...) et confidentialité des données médicales Surveillance du risque de fraude ou de blanchiment Délégations de pouvoirs et signatures Interlocuteurs Technique Coordinateur du contrôle interne Risk manager Contrôle médical Documentation et principales sources réglementaires Tableaux de bord Cartographie des processus Cartographie des risques Manuel de procédures Bilan des réclamations c. Suivi des filiales Thèmes pouvant être abordés Processus de remontée d informations et de pilotage de l activité Illustrations Définition des informations à remonter à la maison mère, de leur périodicité et des destinataires Modalités de contrôle des filiales (sur place, sur pièce) Interlocuteurs Responsable reporting filiale Contrôle de gestion Coordinateur de contrôle interne Documentation et principales sources réglementaires Manuel de procédures de contrôle interne Rapport d activité de la filiale 45

d. Maîtrise des activités externalisées Thèmes pouvant être abordés Maîtrise des risques liés aux délégations de gestion accordées (délégation de gestion totale ou partielle) Maîtrise des risques liés aux activités sous-traitées (centre d appels, contentieux, recouvrement, gestion financière, système d informations, courtage) Illustrations Suivi des délégataires (gestion financière déléguée, courtiers, sociétés de gestion de portefeuille,...) Maîtrise de la facturation et du contrôle Modalités du reporting : - Rapport d activité Conformité des contrats : - Clause d auditabilité - Clause de qualité et d efficacité - Clause de confidentialité et de sécurité - Clause de lutte contre le blanchiment et le financement du terrorisme Description des processus et des procédures associées Procédure de sélection des délégataires ou des prestataires Interlocuteurs Finance Technique Audit interne Contrôle interne Documentation et principales sources réglementaires Manuel des procédures Conventions entre l entreprise et les délégataires Charte de courtage Cartographie des conventions et contrats Tableaux de reporting montrant le suivi des délégations de gestion Existence de comité de suivi --> comptes rendus Rapport d audit Tableaux de bord Bilan des réclamations 46

2.5. L information financière et comptable a. Procédures de gestion courante Thèmes pouvant être abordés Organisation des services et activités comptables Articulation des responsabilités entre la comptabilité générale et les comptabilités auxiliaires Qualité de la piste d audit Niveau d intégration de la comptabilité et du contrôle de gestion dans la vie de l entreprise Maîtrise des flux d'informations entrants Illustrations Comptabilité maître de toutes les informations (avec possibilité d intervenir en dehors de son périmètre) ou simple réceptacle des comptabilités auxiliaires Existence de réunions d information, d échange et de coordination entre les directions lors de la conception, la mise en place de nouveaux produits, la conclusion d accords et de tout acte sortant du cadre de la gestion courante Interlocuteurs Ensemble des directions Comptabilité Documentation et principales sources réglementaires Cartographie par flux d information des alimentations informatiques et manuelles, ainsi que des schémas comptables associés Manuels de présentation par flux : - Contrôles permettant de s assurer de la fiabilité et de l exhaustivité des alimentations - Etats de périodicité des contrôles - Tableaux et outils de suivi - Modalités de supervision - Modalités de justification des soldes de comptes (comptes concernés, périodicité de contrôle, modalités de supervision, outils de suivi,...) Compte rendu des réunions inter-directions 47

b. Procédures d'inventaire (4) Thèmes pouvant être abordés Procédure d élaboration des états financiers Degré d intégration ou de cohérence du support informatique comptable avec ceux permettant le montage des différents états Relations avec le commissaire aux comptes Qualité de la piste d audit Processus de répartition analytique des charges au sein de l institution Illustrations Existence de réunions de pré-validation des états comptables et financiers avec les directions techniques, du contrôle de gestion, comptable, financière Travaux réalisés par la comptabilité suite aux recommandations des commissaires aux comptes Interlocuteurs Comptabilité Finance Contrôle de gestion Technique Commissaires aux comptes Documentation et principales sources réglementaires Constitution d un dossier permanent contenant les éléments pluriannuels de justification de la comptabilité : - Contrats - Factures d immobilisation et plan d amortissement - Procès-verbaux d assemblée générale Constitution d un dossier annuel présentant le détail des rapprochements réalisés et des justifications de compte : - Rapprochements bancaires de fin d année - Rapprochements DADS / livre de paie - Rapprochements réalisations / budget - Revues analytiques (frais généraux, commissions,...) Planning de clôture Compte rendu des réunions de suivi Manuels sur les règles de ventilation des charges Procédure de montage des états et des rapports Manuel présentant la piste d'audit Compte rendu des réunions de pré-validation des états financiers Rapports des commissaires aux comptes (intérim, final) (4) Procédures de réalisation des états financiers, états réglementaires, rapport financier, rapport de solvabilité,... 48

Ce guide a été élaboré par le CTIP avec le concours des membres du Club Audit Interne. 49

IV. Lettre de l ACP du 4 octobre 2010 relative à l annexe spécifique au rapport sur le contrôle interne consacrée aux moyens et procédures mis en place au titre du contrôle de la conformité 50

ANNEXE AU RAPPORT DE CONTRÔLE INTERNE RELATIVE AUX REGLES DE PROTECTION DE LA CLIENTELE Etant donné l'importance accordée à l'objectif de protection de la clientèle dans les missions de l'autorité de Contrôle Prudentiel (ACP), il serait utile, pour une meilleure connaissance et compréhension de ces dispositifs, que les rapports de contrôle interne détaillent un certain nombre d'éléments sur les pratiques commerciales au titre du contrôle de la conformité. Les éléments suivants sont mentionnés à titre indicatif et doivent être modulés au vu de l'activité et de l'organisation de l'organisme. Le nom et les coordonnées du ou des interlocuteurs de l'acp sur les questions de protection de la clientèle ; Les procédures et les moyens spécialement dédiés au contrôle du respect des règles de protection des assurés, adhérents, souscripteurs ou bénéficiaires, contenues dans le Code des assurances, le Code civil, le Code de la consommation (livres I et III), les Codes de conduite des associations professionnelles (homologués ou non), les règles de bonne pratique constatées et les recommandations de l'acp ; Les procédures et moyens mis en place pour vérifier le respect des engagements déontologiques professionnels ; Les outils et la méthodologie utilisés pour ces contrôles ; Le nombre de contrats d'assurance vie identifiés comme non réclamés et la procédure mise en place pour la recherche des bénéficiaires ; La fréquence, les thèmes et les principales conclusions des contrôles périodiques (audit interne, inspection générale ou équivalent) sur le contrôle interne et la conformité ayant porté sur les contrats, les pratiques commerciales, les réseaux de commercialisation, les services en charge du traitement des réclamations de la clientèle ou l'application des règles de protection de la clientèle ; Le dispositif de traitement des réclamations (5), et ses enseignements. Les données indiquées dans le tableau ci-dessous peuvent fournir une indication des informations à porter à la connaissance de l'acp : (5) Les réclamations étant définies d'après la recommandation de la Commission du 12 mai 2010 relative à l'utilisation d'une méthode harmonisée pour classer les réclamations et demandes des consommateurs et communiquer les données y afférentes (2010/304/UE) «Réclamation du consommateur», une déclaration actant le mécontentement exprime par un consommateur envers un professionnel «Demande du consommateur» une demande d'information ou de conseil ne constituant pas une réclamation, introduite par un consommateur auprès d'un organisme de traitement des réclamations. 51

Le cas échéant, le dispositif de médiation (y compris les engagements éventuellement pris par l'organisme sur ses relations avec le médiateur) ; le nombre de réclamations transmises au médiateur et, le cas échéant, leur sort (pourcentage de réclamations traitées, en attente de traitement et pourcentage de cas où le médiateur s'est déclaré incompétent) ; les enseignements tirés de ses avis en matière de commercialisation ; Le nombre de procédures contentieuses avec les assurés, adhérents, souscripteurs ou bénéficiaires, la catégorie d'assurance concernée et la phase contractuelle en cause (formation du contrat y compris devoir de conseil et information précontractuelle, exécution du contrat, fin du contrat) ; Lorsqu'il existe, le dispositif de gestion de la satisfaction client ou la certification de qualité (normes ISO 9001 par exemple). 52

53

TEXTES I. Décret n 2008-468 du 19 mai 2008 relatif au contrôle interne des institutions de prévoyance, des mutuelles et de leurs unions... 55 II. Articles 14, 18 et 21 de l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE du 17 mai 2006 et relative aux commissaires aux comptes... 60 III. Article 29 de la loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière... 62 54

I. Décret n 2008-468 du 19 mai 2008 relatif au contrôle interne des institutions de prévoyance, des mutuelles et de leurs unions Le Premier ministre, Sur le rapport du ministre du travail, des relations sociales, de la famille et de la solidarité et de la ministre de la santé, de la jeunesse, des sports et de la vie associative, Vu le code des assurances, notamment son article L. 322-2-4 ; Vu le code de la mutualité, notamment ses articles L. 211-10, L. 212-3, L. 212-7 et L. 212-7-5 ; Vu le code de la sécurité sociale, notamment ses articles L. 931-15, L. 931-34 et L. 933-4-2 ; Vu l'avis du Conseil supérieur de la mutualité en date du 17 octobre 2007 ; Le Conseil d'etat (section des finances) entendu, Décrète : CHAPITRE IER : INSTITUTIONS DE PREVOYANCE ET UNIONS D'INSTITUTIONS DE PREVOYANCE Article 1 A l'article R. 931-10-51 du code de la sécurité sociale, les mots : «le rapport prévu à l'article R. 931-43.» sont remplacés par les mots : «le rapport prévu à l'article L. 322-2-4 du code des assurances.» Article 2 L'article R. 931-43 du même code est remplacé par les articles R. 931-43 et R. 931-43-1 suivants : «Art. R. 931-43.-L'institution ou l'union est tenue de mettre en place un dispositif permanent de contrôle interne. «Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'autorité de contrôle des assurances et des mutuelles. «1 La première partie de ce rapport détaille les conditions de préparation et d'organisation des travaux du conseil d'administration et, le cas échéant, les pouvoirs nécessaires à la gestion de l'institution ou de l'union délégués au directeur général par le conseil d'administration dans le cadre de l'article R. 931-3-11. «2 La seconde partie de ce rapport détaille : «a) Les objectifs, la méthodologie, la position et l'organisation générale du contrôle interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indépendance et l'efficacité du contrôle interne et notamment la compétence et l'expé- 55

rience des équipes chargées de le mettre en œuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ; «b) Les procédures permettant de vérifier que les activités de l'institution ou de l'union sont conduites selon les politiques et stratégies établies par les organes dirigeants et les procédures permettant de vérifier la conformité des opérations d'assurance aux dispositions législatives et réglementaires ; «c) Les méthodes utilisées pour assurer la mesure, l'évaluation et le contrôle des placements, en particulier en ce qui concerne l'évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l'appréciation des performances et des marges des intermédiaires financiers utilisés ; «d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l'information, les procédures internes de contrôle ou d'audit ; «e) Les procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les risques liés aux engagements de l'institution ou de l'union et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de l'institution ou de l'union dans ces domaines, définie dans le rapport mentionné à l'article L. 322-2-4 du code des assurances ; «f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l'institution ou de l'union, et les risques qui pourraient en résulter ; «g) Les procédures d'élaboration et de vérification de l'information financière et comptable. «Art. R. 931-43-1.-Les organismes chargés d'établir et de publier les comptes consolidés ou combinés d'un ensemble au sens de l'article L. 931-34 ou d'un conglomérat financier au sens de l'article L. 933-4-2 soumis à la surveillance complémentaire de l'autorité de contrôle des assurances et des mutuelles fournissent en outre un rapport décrivant également le dispositif de contrôle interne de l'ensemble ou du conglomérat financier. «Ce rapport contient notamment une description des éléments mentionnés à l'article R. 933-1, à l'article R. 933-6 et aux III et IV de l'article R. 933-11.» Article 3 L'article R. 931-44 du même code est remplacé par les dispositions suivantes : «Art. R. 931-44.-Le conseil d'administration fixe, au moins annuellement, les lignes directrices de la politique de placement. Il se prononce en particulier sur les modalités de choix des intermédiaires financiers, sur la gestion actif-passif, sur la qualité des actifs et sur les opérations sur instruments financiers à terme. «A cet effet, il s'appuie sur le rapport de solvabilité mentionné à l'article L. 322-2-4 du code des assurances qui, dans une partie distincte relative aux placements, présente les résultats obtenus pour chaque portefeuille et chaque catégorie de placements, détaille les opérations mentionnées aux articles R. 931-10-48 à R. 931-10-51 réalisées 56

au cours de la période écoulée et fixe, pour ces opérations, les limites aux risques de marché, de contrepartie et de liquidité encourus sur les opérations à venir. «Le conseil d'administration peut modifier les limites mentionnées à l'alinéa précédent. Dans ce cas, il rend compte de ces modifications sans délai à l'autorité de contrôle des assurances et des mutuelles et dans le prochain rapport de solvabilité.» Article 4 A l'article R. 931-45 du code de la sécurité sociale, les mots : «, en lui transmettant le rapport sur la politique de placement mentionné à l'article L. 931-43, après son approbation par le conseil d'administration» sont supprimés. CHAPITRE II : MUTUELLES ET UNIONS DE MUTUELLES Article 5 L'article R. 211-28 du code de la mutualité est remplacé par les articles R. 211-28 et R. 211-28-1 suivants : «Art. R. 211-28.-La mutuelle ou union est tenue de mettre en place un dispositif permanent de contrôle interne. «Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'autorité de contrôle des assurances et des mutuelles. «1 La première partie de ce rapport détaille les conditions de préparation et d'organisation des travaux du conseil d'administration et, le cas échéant, les pouvoirs délégués aux dirigeants salariés dans le cadre du 7 de l'article L. 114-4. «2 La seconde partie de ce rapport détaille : «a) Les objectifs, la méthodologie, la position et l'organisation générale du contrôle interne au sein de la mutuelle ou de l'union ; les mesures prises pour assurer l'indépendance et l'efficacité du contrôle interne et notamment la compétence et l'expérience des équipes chargées de le mettre en œuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ; «b) Les procédures permettant de vérifier que les activités de la mutuelle ou de l'union sont conduites selon les politiques et stratégies établies par les organes dirigeants et les procédures permettant de vérifier la conformité des opérations d'assurance aux dispositions législatives et réglementaires ; «c) Les méthodes utilisées pour assurer la mesure, l'évaluation et le contrôle des placements, en particulier en ce qui concerne l'évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l'appréciation des performances et des marges des intermédiaires financiers utilisés ; «d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l'information, les procédures internes de contrôle ou d'audit ; «e) Les procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de 57

contrôler les risques liés aux engagements de la mutuelle ou de l'union et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de la mutuelle ou de l'union dans ces domaines, définie dans le rapport mentionné à l'article L. 212-3 ; «f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de la mutuelle ou de l'union, et les risques qui pourraient en résulter ; «g) Les procédures d'élaboration et de vérification de l'information financière et comptable. «Art. R. 211-28-1.-Les organismes chargés d'établir et de publier les comptes consolidés ou combinés d'un groupe au sens de l'article L. 212-7 ou d'un conglomérat financier au sens de l'article L. 212-7-5 soumis à la surveillance complémentaire de l'autorité de contrôle des assurances et des mutuelles fournissent en outre un rapport décrivant également le dispositif de contrôle interne du groupe ou du conglomérat financier. «Ce rapport contient notamment une description des éléments mentionnés à l'article R. 213-1, à l'article R. 213-6 et aux III et IV de l'article R. 213-11.» Article 6 L'article R. 211-29 du même code est remplacé par les dispositions suivantes : «Art. R. 211-29.-Le conseil d'administration fixe, au moins annuellement, les lignes directrices de la politique de placement. Il se prononce en particulier sur les modalités de choix des intermédiaires financiers, sur la gestion actif-passif, sur la qualité des actifs et sur les opérations sur instruments financiers à terme. «A cet effet, il s'appuie sur le rapport de solvabilité mentionné à l'article L. 212-3 qui, dans une partie distincte relative aux placements, présente les résultats obtenus pour chaque portefeuille et chaque catégorie de placements, détaille les opérations mentionnées aux articles R. 212-70 à R. 212-73 réalisées au cours de la période écoulée et fixe, pour ces opérations, les limites aux risques de marché, de contrepartie et de liquidité encourus sur les opérations à venir. «Le conseil d'administration peut modifier les limites mentionnées à l'alinéa précédent. Dans ce cas, il rend compte de ces modifications sans délai à l'autorité de contrôle des assurances et des mutuelles et dans le prochain rapport de solvabilité.» Article 7 A l'article R. 211-30 du même code, les mots : «, en lui transmettant le rapport sur la politique de placement mentionné à l'article R. 211-28, après son approbation par le conseil d'administration» sont supprimés. Article 8 A l'article R. 212-73 du même code, les mots : «le rapport prévu à l'article R. 211-28.» sont remplacés par les mots : «le rapport prévu à l'article L. 212-3.» 58

CHAPITRE III : DISPOSITIONS TRANSITOIRES ET FINALES Article 9 Le premier rapport sur le contrôle interne prévu aux articles R. 931-43 et R. 931-43-1 du code de la sécurité sociale et aux articles R. 211-28 et R. 211-28-1 du code de la mutualité est transmis par les institutions de prévoyance, les mutuelles et leurs unions à l'autorité de contrôle des assurances et des mutuelles au plus tard six mois après la publication du présent décret. Toutefois, le délai mentionné au précédent alinéa est de douze mois, à compter de la publication du présent décret : 1 Pour les organismes réalisant exclusivement les opérations de couverture des risques de dommages corporels liés à des accidents ou à la maladie, à l'exception des prestations d'une durée supérieure à un an, qui n'ont pas encaissé au cours de chacun des trois derniers exercices clos un montant de cotisations supérieur à quarantecinq millions d'euros ni versé au cours de chacun des mêmes exercices un montant de prestations supérieur à trente-six millions d'euros ; 2 Pour les mutuelles et les unions auxquelles d'autres organismes se sont substitués selon les modalités prévues à l'article L. 211-5 du code de la mutualité. Article 10 Le ministre du travail, des relations sociales, de la famille et de la solidarité et la ministre de la santé, de la jeunesse, des sports et de la vie associative sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française. Fait à Paris, le 19 mai 2008. Par le Premier ministre : François Fillon La ministre de la santé, de la jeunesse, des sports et de la vie associative, Roselyne Bachelot-Narquin Le ministre du travail, des relations sociales, de la famille et de la solidarité, Xavier Bertrand 59

II. Articles 14, 18 et 21 de l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE du 17 mai 2006 et relative aux commissaires aux comptes Article 14 Après l'article L. 823-18, sont insérés deux articles L. 823-19 et L. 823-20 ainsi rédigés : «Art.L. 823-19.-Au sein des personnes et entités dont les titres sont admis à la négociation sur un marché réglementé, ainsi que dans les établissements de crédit mentionnés à l'article L. 511-1 du code monétaire et financier, les entreprises d'assurances et de réassurances, les mutuelles régies par le livre II du code de la mutualité et les institutions de prévoyance régies par le titre III du livre IX du code de la sécurité sociale, un comité spécialisé agissant sous la responsabilité exclusive et collective des membres, selon le cas, de l'organe chargé de l'administration ou de l'organe de surveillance assure le suivi des questions relatives à l'élaboration et au contrôle des informations comptables et financières. «La composition de ce comité est fixée, selon le cas, par l'organe chargé de l'administration ou de la surveillance. Le comité ne peut comprendre que des membres de l'organe chargé de l'administration ou de la surveillance en fonctions dans la société, à l'exclusion de ceux exerçant des fonctions de direction. Un membre au moins du comité doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par l'organe chargé de l'administration ou de la surveillance. «Sans préjudice des compétences des organes chargés de l'administration, de la direction et de la surveillance, ce comité est notamment chargé d'assurer le suivi : «a) Du processus d'élaboration de l'information financière ; «b) De l'efficacité des systèmes de contrôle interne et de gestion des risques ; «c) Du contrôle légal des comptes annuels et, le cas échéant, des comptes consolidés par les commissaires aux comptes ; «d) De l'indépendance des commissaires aux comptes. «Il émet une recommandation sur les commissaires aux comptes proposés à la désignation par l'assemblée générale ou l'organe exerçant une fonction analogue. «Il rend compte régulièrement à l'organe collégial chargé de l'administration ou à l'organe de surveillance de l'exercice de ses missions et l'informe sans délai de toute difficulté rencontrée. «Art.L. 823-20.-Sont exemptés des obligations mentionnées à l'article L. 823-19 : «1 Les personnes et entités contrôlées au sens de l'article L. 233-16, lorsque la personne ou l'entité qui les contrôle est elle-même soumise aux dispositions de l'article L. 823-19 ; «2 Les organismes de placement collectif mentionnés à l'article L. 214-1 du code monétaire et financier ; «3 Les établissements de crédit dont les titres ne sont pas admis à la négociation sur un marché réglementé et qui n'ont émis, de manière continue ou répétée, que des titres obligataires, à condition que le montant total nominal de ces titres reste inférieur 60

à 100 millions d'euros et qu'ils n'aient pas publié de prospectus ; «4 Les personnes et entités disposant d'un organe remplissant les fonctions du comité spécialisé mentionné à l'article L. 823-19, sous réserve d'identifier cet organe, qui peut être l'organe chargé de l'administration ou l'organe de surveillance, et de rendre publique sa composition.» Article 18 Le code de la sécurité sociale est ainsi modifié : 1 Après l'article L. 931-13-1, il est rétabli un article L. 931-14 ainsi rédigé : «Art.L. 931-14.-Par dérogation aux dispositions de l'article L. 823-19 du code de commerce, le comité spécialisé mentionné à cet article peut comprendre deux membres au plus qui ne font pas partie du conseil d'administration mais qui sont désignés par lui à raison de leurs compétences.» ; 2 Après l'article L. 931-14 est inséré un article L. 931-14-1 ainsi rédigé : «Art.L. 931-14-1.-Outre les personnes et entités contrôlées au sens de l'article L. 233-16 du code de commerce, sont exemptées des obligations mentionnées à l'article L. 823-19 du même code les personnes et entités liées à un organisme de référence au sens du 1 de l'article L. 933-2 lorsque l'organisme de référence est lui-même soumis à ces obligations.» Article 21 Les dispositions du 2 de l'article L. 823-16 du code de commerce ainsi que celles des articles 14 à 18 de la présente ordonnance entrent en vigueur à l'expiration d'un délai de huit mois qui suit la clôture du premier exercice ouvert à compter du 1er janvier 2008 au cours duquel un mandat au sein de l'organe d'administration ou de surveillance vient à échéance. 61

III. Article 29 de la loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière Article 29 La section 7 du chapitre Ier du titre Ier du livre V du code monétaire et financier est complétée par un article L. 511-46 ainsi rédigé : «Art. L. 511-46. - Au sein des établissements de crédit mentionnés à l'article L. 511-1, à l'exception de ceux mentionnés à l'article L. 512-1-1, des entreprises d'assurance et de réassurance, à l'exception de celles mentionnées à l'article L. 322-3 du code des assurances, des mutuelles régies par le livre II du code de la mutualité, à l'exception de celles mentionnées à l'article L. 212-3-1 du même code, et des institutions de prévoyance régies par le titre III du livre IX du code de la sécurité sociale, à l'exception de celles mentionnées à l'article L. 931-14-1 du même code, le comité mentionné à l'article L. 823-19 du code de commerce assure également le suivi de la politique, des procédures et des systèmes de gestion des risques. «Toutefois, sur décision de l'organe chargé de l'administration ou de la surveillance, cette mission peut être confiée à un comité distinct, régi par les deuxième et dernier alinéas du même article L. 823-19.» 62

10, rue Cambacérès - 75008 Paris Tél. : 01 42 66 68 49 - Fax : 01 42 66 64 90 www.ctip.asso.fr