sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques

CENTRE TECHNIQUE DES INSTITUTIONS DE PRÉVOYANCE Recommandations du CTIP sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques JANVIER 2011

CTIP 2011

Recommandations du CTIP sur l organisation des travaux du conseil d administration et son rôle en matière de contrôle interne et des risques JANVIER 2011

AVERTISSEMENT Les deux premières recommandations du CTIP du 18 décembre 2007 et du 10 juillet 2008 relatives au conseil d administration et à son rôle en matière de contrôle interne, invitaient notamment chaque institution de prévoyance et union d institutions de prévoyance à mettre en place un règlement intérieur du conseil d administration et une commission d audit. L ordonnance n 2008-1278 du 8 décembre 2008 est venue introduire pour tout organisme d assurance l'obligation de constituer un comité spécialisé communément dénommé comité d audit. Elle en détaille sa composition et ses attributions. Ce nouveau texte a conduit à la modification adoptée par le Conseil d administration du CTIP au mois de décembre 2009. La loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière étend les attributions du comité spécialisé au «suivi de la politique, des procédures et des systèmes de gestion des risques». La loi laisse à l organe délibérant chargé de l administration ou de la surveillance, la décision de confier cette nouvelle mission soit au comité spécialisé soit à un comité distinct. En pratique, la nouvelle mission de ce comité doit consister à surveiller l efficacité du système de contrôle interne mis en place par la direction générale et celle du système de gestion des risques auxquels l institution est exposée du fait de ses activités. Ces nouvelles dispositions applicables aux institutions de prévoyance rendent impératives la modification du contenu du règlement intérieur du conseil d administration des institutions de prévoyance afin que celui-ci soit complété et précisé conformément à la loi nouvelle. Les dispositions transitoires de la loi de régulation bancaire et financière précisent que ces dispositions entrent en vigueur le premier jour du septième mois suivant celui de la publication de la loi au Journal officiel, soit le 1 er mai 2011. En conséquence, il appartenait au CTIP de procéder à une mise à jour de ses recommandations afin qu elles conservent tout leur sens. Lors de sa délibération du 11 janvier 2011, le Conseil d administration du CTIP a adopté à l unanimité les mises à jour de ces deux recommandations qui, compte tenu de leur complémentarité, ont été rassemblées dans une seule et même publication. Conformément à l article 15 de l accord sur la gouvernance des groupes paritaires de protection sociale (GPS) du 8 juillet 2009, le CTIP veillera au suivi de l application de ses recommandations. 4

SOMMAIRE RECOMMANDATION DU CTIP SUR LE CONSEIL D ADMINISTRATION DES INSTITUTIONS DE PREVOYANCE Avant-propos... 8 I. Contenu du règlement intérieur du conseil d administration des institutions de prévoyance... 10 1. Le conseil d administration et son bureau Eléments généraux... 10 2. L articulation entre le bureau et les commissions... 11 3. Règles spécifiques relatives à l information des administrateurs... 14 4. Règles relatives au recours à un audit externe ou à une personne qualifiée extérieure à l institution de prévoyance... 15 II. Site Internet et rapport annuel... 16 RECOMMANDATION DU CTIP SUR LE ROLE DU CONSEIL D ADMINISTRATION DES INSTITUTIONS DE PREVOYANCE EN MATIERE DE CONTROLE INTERNE ET DES RISQUES Avant-propos... 18 I. Le contrôle interne et des risques et le rôle du conseil d administration... 19 II. Le rapport annuel du conseil d administration sur le contrôle interne et des risques... 21 ANNEXES I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration... 24 II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents... 27 III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne... 30 IV. Lettre de l ACP du 4 octobre 2010 relative à l annexe spécifique au rapport sur le contrôle interne consacrée aux moyens et procédures mis en place au titre du contrôle de la conformité... 50 TEXTES I. Décret n 2008-468 du 19 mai 2008 relatif au contrôle interne des institutions de prévoyance, des mutuelles et de leurs unions... 55 II. Articles 14, 18 et 21 de l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE du 17 mai 2006 et relative aux commissaires aux comptes.... 60 III. Article 29 de la loi n 2010-1249 du 22 octobre 2010 de régulation bancaire et financière... 62 5

Recommandation du CTIP sur le conseil d administration des institutions de prévoyance 7

AVANT-PROPOS En demandant que leur soient transposées les directives relatives à l assurance, les institutions de prévoyance sont devenues, par la loi du 8 août 1994, des entreprises d assurances au sens du droit communautaire soumises aux mêmes règles techniques, financières et prudentielles que celles applicables aux sociétés d assurance. Depuis l adoption de cette loi, le CTIP a poursuivi son action pour que soient mises en place, dans les décrets d application et dans la pratique, de véritables règles de gouvernance destinées à consolider la gestion paritaire des institutions de prévoyance. En 2005, les partenaires sociaux ont élargi l objet du CTIP afin qu il «définisse des orientations et élabore des recommandations destinées à mieux organiser la gouvernance des institutions de prévoyance». En 2009, l accord sur la gouvernance des groupes paritaires de protection sociale consacre sa section 8 aux recommandations du CTIP dans le domaine de la gouvernance et des responsabilités propres des institutions de prévoyance. L article 15 de l accord dispose : «Les Associations sommitales veillent à ce que les institutions de prévoyance mettent en oeuvre les recommandations concernant la gouvernance de celles-ci retenues par le conseil d administration du CTIP. Le CTIP analyse les informations qui lui sont transmises chaque année, à cet égard, par les institutions de prévoyance. Il saisit les conseils d administration des institutions de prévoyance lorsque celles-ci n appliquent pas ces recommandations sans explication suffisante. Il établit chaque année un rapport sur le suivi de ses recommandations». Ce rapport est remis au Conseil d administration du CTIP. Il fait partie intégrante du rapport annuel sur la gouvernance des GPS. Ces missions nouvelles concrétisent la décision des partenaires sociaux du 4 novembre 2004 qui rappelait la nécessité de mieux définir les responsabilités des partenaires sociaux dans la gestion des groupes de protection sociale, afin d exercer pleinement la gouvernance des institutions de prévoyance que la loi du 8 août 1994 leur a attribuée. 8

L objet de la présente recommandation s inscrit également dans le contexte beaucoup plus large qui résulte notamment de la directive européenne 2009/138/CE du 25 novembre 2009 «sur l accès aux activités de l assurance directe et de la réassurance et leur exercice» et des travaux de l Autorité de contrôle prudentiel sur la gouvernance des organismes assureurs. Le second pilier de la directive est consacré aux activités de contrôle. Il est destiné à renforcer la gouvernance au sein des organismes assureurs en vue de leur garantir une gestion saine et prudente en leur imposant notamment des systèmes de gestion des risques et de contrôle interne qui nécessiteront de la part de chaque organisme assureur des procédures écrites approuvées par leur conseil d administration. Enfin, le troisième pilier du projet Solvabilité II pose un certain nombre d exigences en matière d information du public et des autorités de contrôle. Le Rapport sur la gouvernance des organismes assureurs de l Autorité de contrôle s inscrit dans les mêmes perspectives. S appuyant ainsi sur des principes de gouvernance et de transparence, cette recommandation invite notamment chaque institution de prévoyance à mettre en place un comité spécialisé communément dénommé «comité d audit». Celui-ci a été rendu obligatoire par l ordonnance n 2008-1278 du 8 décembre 2008 transposant la directive européenne 2006/43/CE du 17 mai 2006. La loi n 2010-1249 du 22 octobre 2010 portant régulation bancaire et financière étend les attributions du comité spécialisé au «suivi de la politique, des procédures et des systèmes de gestion des risques». La présente recommandation est axée : - sur l organisation et le fonctionnement du conseil d administration des institutions de prévoyance qui doivent être fixés dans un règlement intérieur approuvé par le conseil d administration de l institution, - sur le rôle du conseil d administration en matière de suivi du contrôle légal des comptes et de l efficacité des systèmes de contrôle interne et de gestion des risques auxquels l institution est exposée du fait de ses activités, - sur la transparence vis-à-vis du public des principales données institutionnelles et financières de l institution. La présente recommandation a fait l objet d une transmission officielle au Ministère chargé de la sécurité sociale et à l Autorité de contrôle prudentiel. 9

I. Contenu du règlement intérieur du conseil d administration des institutions de prévoyance Chaque institution de prévoyance dispose d un règlement intérieur de son conseil d administration. Celui-ci contient, au minimum, un paragraphe sur les thèmes ci-dessous énoncés, lorsqu ils ne sont pas déjà précisés dans les statuts de l institution. Le règlement intérieur a également pour objet de compléter les statuts. 1. Le conseil d administration et son bureau Eléments généraux 1.1. Le règlement intérieur précise, en tant que de besoin, la composition, les règles d alternance entre les collèges pour l élection du président et du vice-président et les attributions du conseil d administration fixées par les statuts ; 1.2. Le règlement intérieur précise les règles relatives à la tenue des réunions et des délibérations du conseil d administration ; 1.3. Lorsque le conseil d administration a constitué un bureau dont la composition et les attributions sont déterminées par les statuts en application de l article R.931-3-11 alinéa 4, le règlement intérieur précise, en tant que de besoin, sa composition, ses attributions et fixe ses modalités de fonctionnement si les statuts ne les précisent pas ; 1.4. Les statuts, ou à défaut le règlement intérieur, prévoient une évaluation annuelle des travaux du conseil d administration. Cette évaluation doit permettre de s assurer que les questions importantes sont effectivement traitées en conseil et d exprimer les améliorations de fonctionnement qui peuvent être effectuées pour une meilleure adéquation de son organisation et de son fonctionnement à ses tâches. Le périmètre de cette évaluation annuelle comprend tant les travaux du conseil luimême que ceux du bureau, du comité spécialisé et des commissions. 1.5. Le règlement intérieur détermine le calendrier des thèmes qui doivent impérativement faire l objet d une délibération annuelle du conseil d administration (voir annexe 1. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration). 1.6. Le règlement intérieur détermine les règles d information du conseil d administration (voir 3. Règles spécifiques relatives à l information des administrateurs). 10

2. L articulation entre le bureau et les commissions Le conseil d administration peut constituer un bureau dont la composition et les attributions sont déterminées par les statuts. Ce bureau peut recevoir des délégations de pouvoirs ponctuelles du conseil d administration, dès lors que celles-ci ne concernent pas des questions sur lesquelles le conseil, en vertu des textes applicables, est tenu de se prononcer. A l inverse, les commissions, qui exercent leur activité sous la responsabilité du conseil, ne peuvent pas recevoir de délégation du conseil d administration, même ponctuelle, à l exception de la commission d action sociale (article R.931-3-12 alinéa 2). L objectif poursuivi au travers du bureau et des commissions est de permettre un examen approfondi des matières relevant de la compétence du conseil afin de préparer ces travaux. En outre, les travaux réalisés dans le cadre du bureau et des commissions contribuent à renforcer la compétence de l ensemble des administrateurs. Partant de ce constat : 2.1. Le conseil d administration veille à ce que les principaux champs stratégiques de l institution soient couverts par le bureau et/ou les commissions. Le règlement intérieur détermine l articulation entre les champs de compétence et d attributions du bureau - lorsqu il existe dans les statuts - des commissions et du comité spécialisé. 2.2. Au-delà des champs de compétence et d attributions du bureau, des commissions et du comité spécialisé, le règlement intérieur précise : Le rôle et les attributions particulières de la commission d action sociale visée à l article R.931-3-12, qui, seule, peut agir par délégation du conseil d administration ; Les conditions dans lesquelles la commission d action sociale rend compte au conseil d administration ; Les règles spécifiques au pilotage de la procédure de sélection du commissaire aux comptes qui disposera nécessairement d une expérience professionnelle reconnue en matière d assurance. 2.3. Le règlement intérieur fixe la composition paritaire du comité spécialisé et des commissions ainsi que la durée des fonctions de leurs membres. Le comité spécialisé et les commissions sont composés de représentants du collège des employeurs et de représentants du collège des salariés du conseil d administration. 2.4. Le règlement intérieur prévoit, outre la commission d action sociale, au minimum, la constitution d un comité spécialisé ou «comité d audit» chargé notamment du «suivi de la politique, des procédures et des systèmes de gestion des risques». Il peut également prévoir lorsqu il l estime nécessaire la constitution d un comité des risques distinct. 11

2.4.1 Constitution et attributions du comité spécialisé Conformément à l article L.823-19 du code de commerce, les institutions de prévoyance doivent obligatoirement constituer un comité spécialisé. Par exception à ce principe, lorsque l institution appartient à un ensemble combiné, la constitution d un comité spécialisé relève de l entité combinante, sous réserve que celui-ci soit soumis à cette obligation (article L.931-14-1 du code de la sécurité sociale). Les institutions qui ne sont pas exemptées de l obligation de constituer un comité spécialisé mais qui, en raison de leur petite taille, souhaitent limiter le nombre de commissions, doivent, dans ce cas, confier à leur bureau les fonctions du comité spécialisé sous réserve, d une part, que le bureau soit clairement identifié comme tel dans les statuts de l institution et le règlement intérieur du conseil d administration, d autre part, que sa composition soit rendue publique (rapport annuel et site Internet). Le comité spécialisé est chargé : de toutes questions relatives au processus d élaboration de l information financière. d assurer le suivi du contrôle légal des comptes annuels et, le cas échéant, des comptes combinés par le commissaire aux comptes. Il examine à cet effet les comptes avant leur soumission au conseil. de suivre l efficacité des systèmes de contrôle interne. de suivre l efficacité des systèmes de gestion des risques. A cet égard, il s assure auprès de la direction générale de l efficacité de l organisation et des processus mis en œuvre notamment en matière de règles de souscription, de provisionnement technique, de définition des cessions en réassurance ou de politique de placements et de gestion actif-passif. Pour l exercice des missions de suivi de l efficacité des systèmes de contrôle interne et des systèmes et dispositifs de gestion des risques, le comité spécialisé reçoit de la direction générale, qui est elle-même soumise à ces obligations, les éléments nécessaires pour accomplir ces missions. Il veille notamment à l efficacité des procédures mises en place pour déceler, mesurer, contrôler, gérer les risques auxquels l institution est ou pourrait être exposée. A cette fin, il entend au moins une fois par an les responsables de l audit interne et des risques hors la présence de la direction générale. Les mêmes recommandations sont applicables lorsque le conseil d administration a décidé de la constitution d un comité des risques distinct. de participer au processus de désignation des commissaires aux comptes. A cet égard, il émet une recommandation sur le commissaire aux comptes proposé à la désignation et s assure de son indépendance. Le comité spécialisé rend compte de ses travaux au conseil d administration lors de la séance du conseil suivant celle du comité. Il consacre au moins une réunion par an au 12

suivi de l efficacité des systèmes de contrôle interne et des systèmes et dispositifs de gestion des risques. 2.4.2 Règles applicables aux membres du comité spécialisé Le comité spécialisé doit être composé d administrateurs en fonction au sein de l institution et choisis en raison de leur compétence ou formés dans ces domaines. Cette recommandation s applique au bureau lorsqu il remplit les attributions de ce comité. Les membres du comité spécialisé ne doivent pas être partie, eux ou un membre de leur famille, à titre personnel, à une convention visée aux articles R.931-3-24 et suivants du code de la sécurité sociale qui présente un caractère significatif pour l institution de prévoyance, susceptible de compromettre l'exercice de leur liberté de jugement et, de manière générale, doivent être en dehors de toute situation de conflit d intérêt réelle ou potentielle. Un membre au moins du comité spécialisé doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par le conseil d administration (par exemple par une mention dans le rapport annuel ou sur le site Internet). L indépendance du membre du comité spécialisé présentant des compétences particulières en matière financière et comptable suppose le respect des trois critères supplémentaires suivants : 1) être désigné par une organisation patronale ou une organisation syndicale représentative de salariés ; 2) ne pas avoir de lien familial proche avec un membre de la direction générale de l institution de prévoyance ; 3) ne pas avoir été auditeur de l institution de prévoyance au cours des cinq années précédentes. Par dérogation, lorsque conformément à l article L.931-14 du code de la sécurité sociale, les statuts de l institution ou le règlement intérieur du conseil d administration prévoient la possibilité pour le conseil d administration de désigner en qualité de membres du comité spécialisé, deux membres au plus, qui ne font pas partie du conseil d administration mais qui sont désignés par lui à raison de leurs compétences, le conseil d administration veille à ce que ces membres respectent les critères précités. De même que les administrateurs, ces membres ainsi désignés ne reçoivent pas de rémunération au titre de leur fonction au sein de ce comité spécialisé. En tout état de cause, les membres du conseil d administration doivent rester majoritaires au sein de ce comité spécialisé. 13

Ces recommandations, fixées aux points 2.3 et 2.4 s appliquent au comité des risques lorsque celui-ci est distinct du comité spécialisé. Ces informations figurent dans le rapport annuel. 2.5. En fonction des besoins identifiés par le conseil d administration, le règlement intérieur peut prévoir la mise en place de commissions de rémunération, des placements et de suivi des filiales. 2.6. Le règlement intérieur détermine également les modalités de désignation d un président de chacun des comités et commissions du conseil d administration. Le règlement intérieur précise éventuellement les règles d alternance entre les collèges pour la désignation du président des commissions. 2.7. Le règlement intérieur fixe l organisation et le fonctionnement du comité spécialisé et des commissions et notamment : les modalités de saisine, la périodicité des réunions, le délai minimum dans lequel se tiennent les réunions du comité spécialisé et des commissions préalablement aux réunions du conseil d administration, les moyens du comité spécialisé et des commissions, le formalisme à respecter pour certaines des interventions du comité spécialisé et des commissions. 2.8. Le règlement intérieur fixe les conditions dans lesquelles s établissent les relations entre, d une part, le bureau et le comité spécialisé ou les commissions et, d autre part, la direction générale ou ses représentants. 2.9. Le règlement intérieur fixe les modalités de mise à jour annuelle de la liste des mandats qu exercent les administrateurs au sein du groupe auquel l institution appartient ainsi que ceux qu ils exercent dans des organismes extérieurs à celui-ci. 3. Règles spécifiques relatives à l information des administrateurs Pour l exercice de ses fonctions, le conseil d administration doit recevoir une information suffisante et en temps utile. La loi consacre le principe selon lequel le directeur général est tenu de communiquer à chaque administrateur «tous les documents et informations nécessaires à l accomplissement de sa mission». L exemple de calendrier des travaux du conseil d administration d une institution de prévoyance joint en annexe est destiné à faciliter le recensement des thèmes impliquant annuellement une information suffisante et en temps utile du conseil d administration. 14

Par ailleurs, afin de respecter l égalité des droits entre les administrateurs, le règlement intérieur fixe : les règles relatives aux modalités de restitution au conseil d administration des travaux du bureau, du comité spécialisé et des commissions ainsi que les conditions d accès des administrateurs aux documents de travail du comité spécialisé, des commissions et du bureau ; les règles relatives à la transmission préalable au bureau, au comité spécialisé ou aux commissions concernées des différents projets de rapports prévus par la loi. Cette transmission préalable est essentielle dans la mesure où ces rapports doivent conduire le conseil d administration à une réflexion approfondie. Pour cela, le comité spécialisé et les commissions concernées doivent disposer d éléments suffisants pour porter un jugement prospectif sur les résultats et sur la solidité financière de l institution ; les règles de communication au conseil d administration des rapports qui sont adressés par l Autorité de contrôle prudentiel à l institution. Enfin, le règlement intérieur précise les obligations de confidentialité qui s attachent aux informations communiquées au conseil d administration. Le rapport annuel sur l activité, le plan d actions et le rapport annuel du CTIP sont communiqués par la direction générale au conseil d administration. 4. Règles relatives au recours à un audit externe ou à une personne qualifiée extérieure à l institution de prévoyance Le règlement intérieur fixe les règles suivant lesquelles le conseil d administration pourrait avoir recours de manière ponctuelle et exceptionnelle à un audit externe ou à une personne qualifiée extérieure à l institution. L absence d indication dans le règlement intérieur n interdit pas au conseil d administration de recourir de manière ponctuelle et exceptionnelle à un audit externe ou à une personne qualifiée extérieure à l institution. Pour l obtention d un avis ponctuel, le règlement intérieur peut prévoir que le comité spécialisé et les commissions du conseil d administration peuvent, à titre exceptionnel, recourir à un audit externe ou à une personne qualifiée extérieure à l institution, après avoir obtenu l autorisation du conseil. 15

II. Site Internet et rapport annuel Les institutions de prévoyance qui ne possèderaient pas de site Internet se dotent d un site contenant toutes les informations utiles pour ses membres adhérents et ses membres participants ainsi que toutes les informations à caractère non confidentiel permettant de situer l organisme et notamment, s il y a lieu, au sein de son groupe. Les informations suivantes portant sur les instances dirigeantes de l institution et sa situation comptable et financière figurent dans le rapport annuel : Les informations sur les instances dirigeantes de l institution : la liste des administrateurs, les membres du comité spécialisé en précisant les critères d indépendance retenus par le conseil d administration, les membres du bureau lorsque celui-ci est chargé des missions du comité spécialisé et de la direction générale ; le nombre des séances du conseil d administration ; les dates de début et d expiration du mandat de chaque administrateur ; la composition nominative de chaque commission du conseil. Ces recommandations valent pour le comité des risques s il a été créé. Les informations sur la situation comptable et financière de l institution : le rapport de gestion du conseil à l assemblée générale ; les comptes (bilan, comptes de résultat et annexe) ; les rapports des commissaires aux comptes ; les projets de résolutions de l assemblée générale. Le rapport annuel de chaque institution est publié sur son site Internet. 16

Recommandation du CTIP sur le rôle du conseil d administration des institutions de prévoyance en matière de contrôle interne et des risques 17

AVANT-PROPOS La présente recommandation s inscrit dans le prolongement de la première recommandation du CTIP relative à l organisation et au fonctionnement du conseil d administration ainsi qu à la transparence vis-à-vis du public. Elle vient préciser les modalités de mise en œuvre du contrôle interne dans les institutions de prévoyance et leurs unions - tel qu institué par le décret n 2008-468 du 19 mai 2008 - et plus spécifiquement le rôle dévolu au conseil d administration en cette matière. A cet égard, l ordonnance n 2008-1278 du 8 décembre 2008 rend obligatoire la création d un comité spécialisé de l organe chargé de l administration ou de l organe de surveillance pour assurer le suivi des questions relatives à l élaboration et au contrôle des informations comptables et financières. La finalité du contrôle interne et des risques est d assurer : l efficacité et la qualité du fonctionnement interne, l efficacité de la gestion des risques et le développement d une culture de contrôle des risques au sein des institutions de prévoyance et de leurs unions, la sécurité des opérations, la conformité aux lois, règlements et politiques internes. Le conseil d administration de toute institution de prévoyance ou union d institutions de prévoyance doit pouvoir obtenir de la direction générale la garantie qu un dispositif de contrôle interne et de gestion des risques est en place et l assurance raisonnable que les objectifs stratégiques préalablement fixés par le conseil d administration sont atteints. L article R.931-43 du code de la sécurité sociale dispose : «l'institution ou l'union est tenue de mettre en place un dispositif permanent de contrôle interne. Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'autorité de contrôle prudentiel.» La présente recommandation a fait l objet d une transmission officielle au Ministère chargé de la sécurité sociale et à l Autorité de contrôle prudentiel. 18

I. Le contrôle interne et des risques et le rôle du conseil d administration Le conseil d administration s assure, notamment par l intermédiaire du comité spécialisé qu il a institué en son sein, du suivi : du processus d élaboration de l information financière. A cet égard, le commissaire aux comptes, ou éventuellement le cabinet d'audit, informe le comité spécialisé sur les aspects essentiels touchant au contrôle, en particulier les faiblesses significatives du contrôle interne au regard du processus d'information financière. du contrôle légal des comptes et de l examen des états financiers. de l efficacité du système de contrôle interne et de gestion des risques. Le comité spécialisé reçoit de la direction générale, qui est elle-même soumise à cette obligation, les éléments nécessaires pour accomplir cette mission. de l indépendance du commissaire aux comptes et du cabinet d audit éventuel, en particulier pour ce qui concerne la fourniture de services complémentaires à l institution de prévoyance. Le comité spécialisé émet une recommandation sur les commissaires aux comptes proposés à la désignation par la commission paritaire ou par l assemblée générale. Le conseil d administration procède, notamment par l intermédiaire du comité spécialisé, à : l examen des rapports qui lui sont présentés par la direction générale sur le contrôle permanent et sur le contrôle périodique, l audition du responsable du contrôle interne et/ou de l audit interne, du responsable des risques et/ou du responsable des activités d assurance de l institution ou de l union. Ces auditions se déroulent au moins une fois par an hors la présence de la direction générale. Si un comité des risques distinct du comité spécialisé a été créé, le comité spécialisé s appuie en tant que de besoin sur les travaux de ce comité des risques. (Concernant les attributions du comité spécialisé et les règles qui lui sont applicables, voir la recommandation sur le conseil d administration des institutions de prévoyance). 19

Modalités de fonctionnement des commissions du conseil d administration : L ordre du jour et le dossier d informations du comité spécialisé et des commissions sont proposés par la direction générale. Les membres du comité spécialisé et des commissions peuvent modifier ou ajouter tout point à l ordre du jour et, le cas échéant, demander communication des documents et informations complémentaires, nécessaires à l exercice de leur mission. Le comité spécialisé et les commissions se réunissent au minimum avant chaque réunion ordinaire du conseil d administration. Ils émettent des avis à destination du conseil d administration et, de manière générale, rendent compte, par l intermédiaire de leur président, des travaux réalisés, lors de chaque réunion ordinaire du conseil d administration. En cas de difficulté rencontrée dans l exercice de leurs missions, ils informent sans délai le conseil d administration. L ensemble de ces travaux constitue le socle à partir duquel le rapport annuel sur le contrôle interne est approuvé par le conseil d administration. Formation des membres du comité spécialisé Chaque institution de prévoyance ou union met en oeuvre les moyens nécessaires pour que chacun des membres du comité spécialisé puisse, si nécessaire, recevoir une formation adaptée en matière financière, comptable et de gestion des risques. Un membre au moins du comité spécialisé doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par le conseil d administration (voir la recommandation du CTIP sur le conseil d administration des institutions de prévoyance). Cette recommandation s applique au bureau lorsqu il remplit ces attributions. Elle s applique également au comité des risques dès lors que sa création a été décidée par le conseil d administration. 20

II. Le rapport annuel du conseil d administration sur le contrôle interne et des risques L institution ou l union est tenue de soumettre annuellement un rapport sur le contrôle interne à l approbation de son conseil d administration. Ce rapport est obligatoirement présenté en deux parties consacrées respectivement à : la description des conditions de préparation et d organisation des travaux du conseil d administration, la description des procédures de contrôle interne mises en place, ainsi que leurs objectifs, en insistant notamment sur : - le contrôle interne des placements, - la conformité des opérations d assurance à la réglementation et aux orientations internes à l entreprise, - les risques liés aux engagements de l entreprise, - les risques liés aux filiales, aux activités externalisées et aux modes de commercialisation, ainsi que les procédures d élaboration et de vérification de l information financière et comptable. Il est conseillé de consacrer une annexe spécifique au rapport sur le contrôle interne relative aux moyens et procédures mis en place au titre du contrôle de la conformité en vue de respecter les règles de protection de la clientèle (voir Annexe 4). Le document d «aide à la rédaction du rapport du conseil d administration sur le contrôle interne» complète la présente recommandation (voir Annexe 3). Ce document a une double vocation : d une part, il constitue pour les institutions de prévoyance et leurs unions, un guide sur le contenu du rapport sur le contrôle interne et, d autre part, il apporte à tout administrateur un outil de réflexion pour l exercice de ses fonctions. 21

ANNEXES I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration... 24 II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents... 27 III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne... 30 IV. Lettre de l ACP du 4 octobre 2010 relative à l annexe spécifique au rapport sur le contrôle interne consacrée aux moyens et procédures mis en place au titre du contrôle de la conformité... 50 23

I. Exemple de calendrier des travaux du conseil d administration d une institution de prévoyance / Liste des thèmes impliquant une information suffisante et en temps utile du conseil d administration Les indications de mois figurent uniquement à titre indicatif. Le calendrier d arrêté de comptes sera très probablement modifié par les textes réglementaires à venir qui pourraient ramener, à terme proche, les opérations d arrêté de comptes par le conseil d administration à la fin du premier trimestre. HORS CALENDRIER : sujets à traiter au moins une fois par an par le CA (le moment et la fréquence dépendent de chaque institution de prévoyance) : Décisions de l institution de prévoyance prises dans le cadre des orientations stratégiques du groupe : décisions du CA Fonctionnement interne : Budgets de fonctionnement de l IP : information du CA / Validation par le CA Quote-part des moyens mis à disposition de l IP : information du CA - actée dans le rapport de gestion Lignes directrices de la politique de placement : décision du CA, éléments inclus dans le rapport de solvabilité Obligation de se prononcer sur la qualité des actifs, les opérations sur instruments financiers à terme et le choix des intermédiaires financiers : décision du CA Gestion administrative et Relations clients - rapport du médiateur interne, lorsqu il existe : information du CA Politique immobilière : information du CA sur le récurrent et décision du CA sur le ponctuel, ces éléments se retrouvent dans le rapport de gestion Rapport sur la politique de réassurance : décision du CA Identification des risques : information du CA et traduction dans le rapport sur le contrôle interne Point d actualité sur les textes législatifs et réglementaires : information du CA Formation des administrateurs : information du CA, décision du CA Rapport sur l activité, plan d actions et rapport annuel du CTIP : communication au CA 24

Fonctionnement statutaire : Renouvellement des instances (CA, commissions, bureau) Point sur la désignation des délégués à l AG Délégations de pouvoirs et Délégations de signature Conventions réglementées Désignation des délégués à l assemblée générale du CTIP Calendrier Février - Mars 1 re réunion du Bureau du Conseil d administration Mars 1 re réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe intéressant l IP Comptes rendus des dernières réunions des commissions du Conseil d administration Bouclage budgétaire Tableau de bord trimestriel Bilan de la participation à la CMU sur l année N-1 pour les IP adhérentes Avril 2 e réunion du Bureau du Conseil d administration Le rapport de solvabilité constitue un instrument de pilotage important. Il est donc souhaitable qu avant d être définitivement arrêté par le conseil, il donne lieu à un examen préalable : un bureau ou une commission peuvent être réunis à cet effet. Avril 2 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe Comptes rendus des dernières réunions des commissions du conseil d administration Arrêté des comptes annuels (Rapport de la commission d audit au CA et présentation au CA de la mission de contrôle du CAC) Arrêté des comptes combinés si l IP est l entité combinante Rapport de gestion N-1 de l IP Rapport de gestion du groupe 25

Rapport de solvabilité Rapport sur la réassurance Rapport sur le contrôle interne Rapport sur les opérations d intermédiation et de délégation de gestion Projet de rapport du CAC sur les conventions Tableau de bord trimestriel Revalorisation des prestations de l année N au 1 er juillet Bilan de la participation à la CMU sur l année N-1 Préparation de la Commission paritaire ou de l AG (OJ, résolutions, dossiers) Projets de modifications des statuts et des règlements Désignations des délégués à l AG du CTIP Septembre - octobre 3 e réunion du Bureau du Conseil d administration Octobre 3 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe Comptes rendus des dernières réunions des commissions du Conseil d administration Règlements - Revalorisation des prestations et révision des cotisations Tableau de bord trimestriel Calendrier des réunions d instances de l année N+1 Novembre ou début décembre 4 e réunion du Bureau du Conseil d administration Fin novembre à fin décembre 4 e réunion du Conseil d administration Approbation du procès-verbal de la réunion précédente Comptes rendus pour information des dernières décisions du groupe, Comptes rendus des dernières réunions des commissions du conseil d administration Budget de fonctionnement et d investissement des activités réglementaires Remboursement des frais des administrateurs Tableau de bord trimestriel Budget du (des) fonds d action sociale Bilan de l action sociale Examen de l équilibre des régimes et des tarifs Politique financière de l année N+1 Calendrier des réunions d instances de l année N+1 26

II. Bref rappel sur la documentation, les rapports du conseil d administration et les délais afférents 1. Documentation comptable et rapports destinés à la commission paritaire ou à l assemblée générale (établis avant le 30 juin) Les comptes annuels comprennent : le compte de résultat, le bilan y compris le tableau des engagements reçus et donnés et l annexe comprenant : le montant des soldes débiteurs et créditeurs des comptes 402, 403, 404, 410, 411, l état détaillé des placements, la proposition d affectation du résultat présenté par le CA et les états d analyse : les états C 1 à C 21 (réassurance, marge de solvabilité, engagements réglementés, provisions techniques) et les états C 30, C 31, C 40 à C 42 (cotisations, action sociale). Le rapport de gestion doit exposer de manière claire et précise la situation de l'institution et son activité au cours de l'exercice écoulé, les résultats de cette activité, les conditions dans lesquelles l'institution ou l'union garantit les engagements qu'elle prend vis-à-vis des membres participants, bénéficiaires et ayants droit, les progrès réalisés, les difficultés rencontrées et l'évolution prévisible de l'institution ou de l'union et ses perspectives d'avenir. Est joint un tableau faisant apparaître les résultats de l'institution ou de l'union au cours de chacun des cinq derniers exercices. Le rapport sur les opérations d intermédiation et de délégation de gestion : L'obligation pour le conseil d administration d établir un rapport annuel dans lequel il rend compte des opérations d intermédiation et de délégation de gestion s'applique aux institutions de prévoyance (Article L.932-51), même si le décret fixant son contenu n'a pas été publié, il apparaîtrait néanmoins opportun que figurent dans ce rapport les éléments suivants : le montant des commissions d apport et des commissions de gestion versées ; la nature des risques faisant l objet d une délégation de gestion ; le rappel de l existence de procédures de contrôle mises en place par l institution de prévoyance pour les opérations courtées et pour les délégations de gestion. A cette occasion l institution peut rappeler notamment les contrôles sur l immatriculation des intermédiaires, sur le respect des obligations en matière de lutte contre le blanchiment et de lutte contre le travail clandestin, les clauses de confidentialité, de respect des règles sur la protection des données personnelles, clause d audit et de la prestation du délégataire 27

Il serait également important de faire figurer dans le rapport les grands principes qui régissent les conventions de gestion et, de manière générale, ceux qui encadrent le recours à l intermédiation et à la délégation de gestion ainsi que le fait de justifier de leur respect. Parmi ces principes, figure celui du contrôle du délégataire afin de vérifier la qualité des prestations. 2. Rapports communiqués aux commissaires aux comptes et à l Autorité de contrôle prudentiel (établis avant le 30 juin) Le rapport de solvabilité expose les conditions dans lesquelles l'entreprise garantit, par la constitution des provisions techniques suffisantes dont les modalités de calcul et les hypothèses retenues sont explicitées et justifiées, les engagements qu'elle prend à l'égard des assurés, rappelle les orientations définies en matière de placements, présente et analyse les résultats obtenus et indique si la marge de solvabilité est constituée conformément à la réglementation applicable. Le rapport de solvabilité contient obligatoirement une analyse des conditions dans lesquelles l'entreprise est en mesure, à moyen et long termes, de faire face à l'ensemble de ses engagements. Il est établi par le conseil d administration à la clôture de chaque exercice. Le rapport sur le contrôle interne La première partie de ce rapport détaille : les conditions de préparation et d organisation des travaux du conseil d administration et, le cas échéant, les limitations apportées par le conseil d administration aux pouvoirs du directeur général dans l exercice de ses fonctions. La seconde partie de ce rapport détaille : a) Les objectifs, la méthodologie, la position et l organisation générale du contrôle interne au sein de l IP ; les mesures prises pour assurer l indépendance et l efficacité du contrôle interne et notamment la compétence et l expérience des équipes chargées de le mettre en oeuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ; b) Les procédures permettant de vérifier que les activités de l IP sont menées selon les politiques et stratégies établies par le conseil d administration et les procédures permettant de vérifier la conformité des opérations d assurance aux dispositions législatives et réglementaires ; c) Les méthodes utilisées pour assurer la mesure, l évaluation et le contrôle des placements, en particulier en ce qui concerne l évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l appréciation des performances et des marges des intermédiaires financiers utilisés ; 28

d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l information, les procédures internes de contrôle ou d audit ; e) Les procédures et dispositifs permettant d identifier, d évaluer, de gérer et de contrôler les risques liés aux engagements de l entreprise et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de l IP dans ces domaines, définie dans les rapports de solvabilité et de politique de réassurance ; f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l IP et les risques qui pourraient en résulter ; g) Les procédures d élaboration et de vérification de l information financière et comptable. h) Les procédures et mesures de contrôle interne des risques de blanchiment des capitaux et de financement du terrorisme. Le rapport sur la politique de réassurance Ce rapport décrit : a) Les orientations prises par l'entreprise en matière de cessions en réassurance, en particulier en ce qui concerne la nature et le niveau de protection visé et le choix des entreprises cessionnaires ; b) Les critères qualitatifs et quantitatifs sur lesquels l'entreprise se fonde pour s'assurer de l'adéquation de ses cessions en réassurance avec les risques souscrits ; c) Les orientations de la politique de réassurance concernant les risques souscrits au cours de l'exercice suivant le dernier exercice clos ainsi que les principales cessions de réassurance ; d) L'organisation concernant la définition, la mise en oeuvre et le contrôle du programme de réassurance ; e) Les méthodes d'analyse et de suivi qu'utilise l'entreprise en ce qui concerne le risque de contrepartie lié à ses opérations de cessions en réassurance ainsi que les conclusions résultant de l'emploi de ces méthodes. Après son approbation, ce rapport peut être inclus dans le rapport de solvabilité. 29

III. Aide à la rédaction du rapport du conseil d administration sur le contrôle interne TABLE DES MATIÈRES Préambule... 31 1. Gouvernance, organisation interne... 32 2. Dispositif de contrôle interne... 32 2.1. Organisation générale... 33 a. Objectifs et principes fondamentaux... 33 b. Organisation du dispositif... 34 c. Conformité des activités... 35 c.1. Surveillance de la conformité des activités de l'entreprise avec les politiques et la stratégie des organes dirigeants... 35 c.2. Surveillance de la conformité des activités de l'entreprise avec la réglementation... 36 2.2. Les placements... 36 a. Méthodes pour assurer la mesure, l évaluation et le contrôle des placements (immobilier, financier)... 36 b. Dispositif interne de contrôle de la gestion des placements... 38 2.3. La gestion et le financement du risque... 40 a. Description des engagements de l'institution... 40 b. Etat des lieux du dispositif de maîtrise des risques assurantiels... 41 b.1. Maîtrise des risques liés à la conception des nouveaux produits... 41 b.2. Maîtrise des risques liés à la tarification... 41 b.3. Inventaire des risques liés aux contrats en cours... 42 c. Suivi de la réassurance/coassurance/acceptation... 42 d. Politique de solvabilité et gestion actif/passif... 43 2.4. Le risque opérationnel... 44 a. Commercialisation des produits... 44 b. Gestion des sinistres... 45 c. Suivi des filiales... 45 d. Maîtrise des activités externalisées... 46 2.5. L information financière et comptable... 47 a. Procédures de gestion «courante»... 47 b. Procédures d'inventaire... 48 30

PRÉAMBULE Ce document, issu des réflexions des membres du Club Audit du CTIP, se présente sous la forme d une proposition de plan détaillé. Il a pour objectif de fournir des éléments indicatifs et illustratifs afin d orienter chaque institution dans la préparation et la rédaction de son propre rapport. Ce rapport devra être rédigé de manière cohérente avec la nature et le volume d activités réalisées. Pour des raisons évidentes de clarté, il apparaît souhaitable que ce rapport n excède pas une dizaine de pages. Ce document met en avant, à titre d'exemple, un certain nombre d'items. Le choix des items retenus dans le rapport sur le contrôle interne reste de la responsabilité de chaque institution, notamment au regard de sa propre organisation et de son propre fonctionnement. 31

1. Gouvernance, organisation interne Cette partie devra être détaillée en fonction des spécificités organisationnelles de l'institution. 2. Le dispositif de contrôle interne Pour chacune des grandes parties de la proposition de plan suivante, figurent un certain nombre de thèmes : Les thèmes pouvant être abordés présentent les grandes lignes à traiter éventuellement dans le rapport de l'institution. Les illustrations mettent en avant des exemples spécifiques permettant de détailler ou d illustrer les points clés visés par cette partie, relatifs au contrôle interne. Les interlocuteurs représentent les exemples de fonctions pouvant constituer à la fois les acteurs "relais" du contrôle interne dans l'entité, mais aussi tous les intervenants susceptibles de fournir des informations significatives permettant d'illustrer les procédures de contrôle interne appliquées dans l'entité. La documentation et les principales sources de réglementation constituent les principaux éléments, aussi bien internes qu'externes, susceptibles d apporter au rédacteur un maximum d'informations tant techniques, que juridiques ou organisationnelles. 32

2.1. Organisation générale a. Objectifs et principes fondamentaux Thèmes pouvant être abordés Définition du contrôle interne Contrôle permanent / contrôle périodique Textes de référence interne et externe Limites du contrôle interne Objectifs de contrôle interne de l année Périmètre Illustrations Nomination d un coordinateur du contrôle interne Mise en place de relais de contrôle interne dans les directions opérationnelles Sensibilisation de l'ensemble du personnel Projet d'entreprise Interlocuteurs Coordinateur du contrôle interne Déontologue / Responsable de la conformité Audit interne Relais de contrôle interne Documentation et principales sources réglementaires Politique en matière de contrôle interne Charte d'audit/de contrôle interne Code de déontologie/éthique Règlement intérieur Référentiel CTIP et Autorité de contrôle (Mise en perspective du projet Solvabilité 2) 33