-

M. Moly Alassane DIENG ingénieur Conseil, ex-DGA
Allianz Sénégal – Retraite

-

Mandaw KANDJI ex-Commissaire contrôleur en Chef de
la CIMA, PDG de IFAGE

SOMMAIRE
• 1- Historique

et cadre réglementaire
• 2- Les définitions
• 3- Le rôle du Contrôle Interne (CI) dans la Gouvernance
des Entreprises
• 4- La mise en place du dispositif de contrôle interne
• 5- La démarche d’audit dans une compagnie d’assurance
• 6- La Charte d’Audit

1- Historique & cadre réglementaire (début)
L’évolution récente des grandes entreprises de l’hémisphère NORD de la fin du
20eme siècle reste caractérisée par un pilotage peu transparent de leurs opérations
avec une orientation marquée pour la spéculation au détriment des activités de leur
cœur de métier, avec les constats suivants :
• Des conseils d’administration totalement subordonnés à des directions générales détenant
tous les pouvoirs,
• Une règlementation favorisant une situation de rente pour les commissaires aux comptes et
dont le renouvellement des mandats dépendait pour une large part de la bonne volonté des
directions générales d’où inévitablement l’existence de graves collusions,
• Une fonction de contrôle interne dépendant fonctionnellement et hiérarchiquement d’une
direction générale omnipotente, donc formellement soumise,
• Une information asymétrique destinée à l’environnement de l’entreprise (clients, actionnaires,
partenaires, autorités, etc.) et dépendant des orientations de la direction générale,
• Etc…

Une faillite a été prononcée pour ces entités et leurs dirigeants condamnés à de lourdes peines pénales et pécuniaires. PARMALAT (Italie) masquait ses énormes pertes par des comptes truqués. VIVENDI (France) fournit au marché des informations fausses tandis que WORLDCOM (USA) truquait ses comptes. . d) Etc. ENRON (USA).Historique & cadre réglementaire (suite) Tous ces éléments combinés ont finalement conduit aux nombreux scandales financiers constatés durant cette fin du siècle dernier et au début du suivant (2000/début 2005). qui falsifie ses comptes avec l’aide de son commissaire aux comptes ARTHUR ANDERSEN (USA). c) En 2003. b) En 2002. dont notamment : a) En 2001.1.

1. certains états décidèrent d’adopter des législations plus restrictives. Ces dérives ayant sérieusement mis en péril le système économique mondial. . plus connu sous le nom de la loi SOX (en particulier en son article 404). En France fut votée la Loi sur la Sécurité Financière (LSF) en Aout 2003 rendant obligatoire la mise en place de dispositifs de contrôle interne pour les sociétés faisant appel à l’épargne public. II.Historique & cadre réglementaire (suite) Cette liste est loin d’être exhaustive. Les Etats Unis adoptèrent le 30 juillet 2002. le Sarbanes Oxley Act. Et c’est ainsi que : I.

sous la houlette de l’Union Européenne et de sa Commission.« Enterprise Risk Management Framework » IV.1. un référentiel de contrôle interne est élaboré par le Committee Of Sponsoring Organizations of the Treadway Commission) connu sous le nom de COSO et dont la première publication date de 1992 et a fait l’objet d’une mise à jour en 2013. les accords de Bâle I. Parallèlement à la prise d’effet de ces différentes législations. puis Solvency II (2007) destinés aux assurances avec mise en application en 2010 puis reportée en janvier 2016. puis Bâle II (2004) et Bâle III (2010) destinés aux banques. les accords sur Solvency I. 2. Il définit les fondamentaux du contrôle interne et est devenu le référentiel le plus utilisé notamment le COSO II (2004) .Historique & cadre réglementaire (suite) III. Au niveau européen. . deux règlementations vont voir le jour : 1.

etc. . Au niveau des pays de la zone CIMA. comme pour les pays occidentaux. Cette réglementation CIMA est.1. le même règlement instruit les compagnies d’assurance de la mise en place d’un dispositif permanent de Contrôle Interne. le règlement n°0005/CIMA/PCMA/CE/SG/2009 du 28 septembre 2009 définit les règles de constitution et de fonctionnement des organes de la Gouvernance d’entreprises en fixant les responsabilités dévolues au Conseil d’Administration et notamment celle de créer des comités spécialisés comme celui de l’Audit. consécutive à la mal-gouvernance de beaucoup de compagnies d’assurance qui ont fait faillite.Historique & cadre réglementaire (suite) V. Par ailleurs. celui des Rémunérations.

à tout le moins de circonscrire les crises économiques et financières.1. une meilleure répartition (séparation) des rôles de contrôle. qui ont sérieusement ébranlées l’économie mondiale à la fin du siècle dernier et mis en péril le schéma organisationnel et de fonctionnement de nos économies. auront donc pour objectif majeur le rééquilibrage des pouvoirs au sein des organes sociaux. Toutes les réformes envisagées. Cependant examinons très rapidement les axes majeurs de ces standards. de supervision et de gestion et décrivent dorénavant les standards internationaux en matière de gouvernance des entreprises (The Best Practices) qui font l’objet d’un autre séminaire (intitulé LA GOUVERNANCE DES ENTREPRISES).Historique & cadre réglementaire (suite) Voilà ainsi décrit le contexte dans lequel les Etats ont été obligés d’élaborer de nouvelles règlementations pour éviter. .

Historique & cadre réglementaire (suite) Elles replacent le Conseil D’Administration.1. Le Conseil de surveillance au centre du dispositif de contrôle et de gestion de l’entreprise avec comme règle d’or : Toutes les décisions relèvent du Conseil ou d’organes dépositaires de délégation. Ces réformes aboutissent à des formes d’organisation favorisant la transparence dont les plus usuelles sont les trois(3) suivantes : • Conseil de surveillance avec directoire • Conseil d’administration avec Président directeur Général et un Administrateur référent • Conseil d’administration avec Président non exécutif et Directeur Général .

Historique & cadre réglementaire (suite) .1.

la problématique de la Gouvernance d’Entreprise se pose avec une acuité particulière quand on sait que la typologie de la société en difficulté révèle que plus que les problèmes techniques. en effet. Toutes les mesures de retrait d’agrément prises par la Commission Régionale de Contrôle des Assurances concernent. ce sont les problèmes de gouvernance qui sont à l’origine de la plupart des difficultés des entreprises d’assurance de cette zone. des sociétés dont le fonctionnement des organes dirigeants et la gestion sont aux antipodes des normes de gouvernance attendues de sociétés du secteur financier » .Historique & cadre réglementaire (suite) Quelle est la SITUATION DANS LES PAYS DE LA CIMA ? • « Pour la zone CIMA.1.

 Un fonctionnement très peu efficace des Conseils d’Administration . Un non-respect des dispositions légales en matière de conventions réglementées.1. (différente de ce qui observé en Occident). Des plans de réassurance inadaptés.Historique & cadre réglementaire (suite) L’absence de contrôle interne ou dispositif de contrôle interne défaillant. Des décisions d’investissement hasardeuses et/ou inopportunes.  Des directeurs généraux sans véritable pouvoir de décision dans la gestion courante. .

Etc. les principaux constats relevés lors des divers audits CIMA peuvent se résumer par : Les difficultés des compagnies à fournir aux autorités de contrôle et de régulation les documents demandés.1. L’absence de formalisme des relations contractuelles. L’absence de descriptifs de postes de travail. Un mauvais système de traitement des réclamations.  Les dossiers d’agrément non mis à jour.Historique & cadre réglementaire (suite) Et de façon générale. . et/ou les informations fournies ne sont pas cohérentes. d’organigramme et de manuels de procédure.

Historique & cadre réglementaire (suite) Sur la base de ces constats d’une part et de la nécessité de hisser les compagnies d’assurance de l’espace CIMA au même niveau des standards internationaux en matière de gestion d’autre part. des cadres dirigeants » . • Ce règlement n°005 définit : • en son article 331-14 les responsabilités du Conseil d’Administration : • « le conseil d’administration délègue ses responsabilités et fixe les procédures de prise de décision • il établit à l’intention des administrateurs. • la CIMA a mis en place un règlement n°0005/CIMA/PCMA/CE/SG/2009 du 28 septembre 2009 portant sur la Gouvernance d’entreprise et le contrôle interne.1. de déontologie • il peut créer des comités chargés de missions spécifiques • il valide le système de rémunération des administrateurs. et de l’ensemble du personnel des règles de gestion. de la direction. Ce règlement s’inspire largement des principes de gouvernance édictés par les travaux de l’AICA (l’Association Internationale des Contrôleurs d’Assurance).

les procédures d’élaboration et de vérification de l’information financière et comptable » . • Ce dispositif comprend entre autres un manuel de procédures internes écrites. • en son article 331-16 le rapport sur le contrôle interne : • « le conseil d’administration approuve au moins annuellement un rapport sur le contrôle interne • Ce rapport détaille les conditions des travaux du conseil d’administration.1. les présences des administrateurs et leurs mandats dans d’autres sociétés. les équipes. la gestion des risques. les procédures mises en œuvre en particulier pour la gestion et le contrôle des placements. les activités opérationnelles. • Il précise les dispositifs du contrôle interne mis en place : organisation.Historique & cadre réglementaire (suite) • en son article 331-15 le dispositif du contrôle interne : • « toute compagnie d’assurance est tenue de mettre en place un dispositif permanent de contrôle interne adapté.

Historique & cadre réglementaire (suite & fin) • en son article 331-17 le rapport sur la politique de placement : • « le conseil d’administration fixe au moins annuellement les lignes directrices de la politique de placement. Enfin le renforcement des fonds propres des compagnies d’assurance ( capital passant à 1 milliard pour les compagnies Non Vie et Vie à partir du 04 avril 2007. puis à 5 milliards à partir du 08 avril 2016) complète l’arsenal des mesures pouvant permettre aux compagnies d’assurances de la CIMA de répondre aux attentes des politiques publiques et de celles de la population locale en matière de sécurisation des investissements .1. » • en son article 331-18 le rapport sur la politique de réassurance : • « le conseil d’administration approuve au moins annuellement les lignes directrices de la politique de réassurance » Ce rapport approuvé par le Conseil d’Administration est transmis aux autorités de tutelle (Ministre en charge du secteur des assurances et à la Commission de contrôle des Assurances).

Les définitions (1/4) Avant d’aborder les mécanismes par lesquels est implanté tout dispositif de contrôle interne. investissement). il est bon de lever définitivement une confusion entretenue dans nos entreprises entre deux fonctions internes majeures : le Contrôle de Gestion et le Contrôle Interne. • L’élaboration et adaptation des outils d’analyse. de budgets.2. » . • La confection des états annuels et intermédiaires CIMA. d’organisation et de moyens. et les propositions de correctifs applicables. • 2-1). • L’identification et analyse des écarts entre les réalisations et les prévisions (budgets opérationnel. Son rôle se présente ainsi : • L’établissement des prévisions d’activités en termes d’objectifs. la mise en place d’indicateurs et de tableaux de bord.LE CONTROLE DE GESTION : « vise la maitrise de la conduite (du pilotage : l’origine anglo-saxonne Cost Control est la source de la confusion. fonctionnement. En effet la bonne traduction pour control est la maitrise et non le contrôle) d’une organisation en prévoyant les événements.

. en vue d’assurer. 2-2).2. • l’établissement en temps voulu des informations comptables. administratifs et opérationnels) de l’activité. la prévention et la détection des irrégularités et inexactitudes. financiers. dans la mesure du possible.LE CONTROLE INTERNE : • « est l’ensemble des politiques et procédures mises en œuvre par la Direction d’une entreprise. administratives et opérationnelles fiables ». financières. Il implique : • • • • le respect des politiques de gestion. la sauvegarde des actifs. l’exactitude et l’exhaustivité des enregistrements (comptables. la gestion rigoureuse et efficace de ses activités.Les définitions (2/4) .

défini et mis en œuvre sous sa responsabilité. Il a pour but d’un côté d’assurer la protection. la sauvegarde du patrimoine et la qualité de l’information.2. Il se manifeste par l’organisation. les méthodes et les procédures de chacune des activités de l’entreprise pour maintenir la pérennité de celle-ci. » . • L’application des instructions et orientations de la Direction Générale.D’autres définitions du Contrôle Interne • Le Conseil de l’Ordre des Experts Comptables Français (1977) • « Le contrôle interne est l’ensemble des sécurités contribuant à la maitrise de l’entreprise. de l’autre l’application des instructions de la direction et de favoriser l’amélioration des performances.Les définitions (3/4) • 2-3). et qui vise à assurer : • La conformité aux lois et règlements. notamment ceux concourant à la sauvegarde de ses actifs • La fiabilité des informations comptables et financières. » • L’Autorité des Marchés Financiers : • « le Contrôle interne est un dispositif de la société. • Le bon fonctionnement des processus internes de la société.

les dirigeants et le personnel de l’entreprise pour fournir une assurance raisonnable quant à la réalisation des trois(3) objectifs suivants : • Réalisation et optimisation des opérations.2. . • Fiabilité des opérations financières.Les définitions (4/4) • Le Committee of Sponsoring organizations of the Treadway Commission (COSO) : • “le contrôle interne est un processus mis en œuvre par le Conseil d’Administration. • Conformité aux lois et règlements ».

notamment ceux concourant à la bonne évaluation des engagements réglementés et à la sauvegarde de ses actifs. • L’application des instructions et des orientations fixées par la Direction Générale. • Le bon fonctionnement des processus internes de la société.Le rôle du Contrôle Interne dans la Gouvernance des Entreprises A partir de ces définitions. • A l’efficacité des opérations de la société.3. • A l’utilisation efficiente des ressources de la société. De façon générale. • La prévention et la détection des fraudes et irrégularités • La fiabilité des informations • La fiabilité des comptes publiés. et qui vise à assurer : • La conformité aux lois et règlements. le dispositif de Contrôle interne doit contribuer à : • A la maitrise des activités de la société. défini et mis en œuvre sous sa responsabilité. nous pouvons retenir : Que le Contrôle interne est un dispositif de la société. .

2. la gestion des risques) apportent expertise et conseil par rapport aux objectifs de performance et de contrôle L’audit interne permet un regard indépendant et des revues variées dans le but d’améliorer le contrôle interne. . Les opérationnels doivent s’assurer de la bonne conception et du bon fonctionnement du contrôle interne Les supports (chargé de la conformité. Ce dispositif met en amont trois(3) lignes de défense : 1. le COSO (référentiel le plus utilisé au monde) en a dérivé 17 principes indispensables à la mise en place d’un dispositif de contrôle interne. 3. la sécurité.Le rôle du Contrôle Interne dans la Gouvernance des Entreprises • 3-1 PRESENTATION DU CADRE REFERENTIEL LE PLUS UTILISE : Sur la base de ces cinq (5) grands principes ou piliers.3.

3- Le rôle du Contrôle Interne dans la Gouvernance
des Entreprises
3-1-1)- Cinq(5) piliers qui guident la mise en place du contrôle interne :
• La définition de l’environnement de contrôle : Ce sont des personnes qui
accomplissent leurs tâches et leurs responsabilités. Celles-ci le font avec leurs
caractéristiques propres (avec leurs qualités individuelles, leurs compétences, leur
intégrité, leur éthique etc.). Ceci va forcément influencer l’organisation. Par conséquent,
celle-ci doit respecter les normes suivantes :
• Une organisation appropriée,
• Des responsabilités et des pouvoirs clairement définis,
• Une politique de gestion des ressources humaines efficace
• Des systèmes d’information adaptés aux objectifs de la société. Leur continuité
d’exploitation doit être assurée. Les informations relatives aux analyses, à la
programmation, à l’exploitation bien documentées
• Les procédures précisant la manière dont doit s’accomplir une action ou un processus
(manuel des procédures).
• La phase d’évaluation des risques : L’entreprise doit être consciente des risques
(internes et externes) et les maitriser. Elle doit instaurer des mécanismes permettant
d’identifier, d’analyser, et de gérer les risques correspondants dans l’atteinte de ses
objectifs. Cette phase est appelée cartographie des risques et aboutit à la mise en

3- Le rôle du Contrôle Interne dans la Gouvernance
des Entreprises
• Les activités de contrôle : les normes et procédures de contrôle doivent
être élaborées et appliquées pour s’assurer que sont exécutées
efficacement les mesures identifiées par le management comme
nécessaires à la réduction des risques liés à la réalisation des objectifs de
l’entreprise.
• L’information et la communication : les systèmes d’information et de
communication doivent permettre au personnel de recueillir et échanger
les informations nécessaires à la conduite, à la gestion et au contrôle des
opérations. Cette connaissance permet à chacun d’exercer ses
responsabilités,
• Le pilotage et la surveillance permanente: l’ensemble des processus
doit faire l’objet d’un suivi, et des corrections apportées rapidement.

3-1-2)-

LA DERIVATION DES 17 PRINCIPES

.

S’ils sont négatifs.La mise en place du Dispositif de Contrôle Interne • 4-1 OBJECTFS DE LA MISE EN PLACE DU DISPOSITIF DE CONTROLE INTERNE La mise en place du dispositif de contrôle interne doit s’opérer selon les étapes suivantes : 1. Identifier les événements potentiels susceptibles d’affecter la réalisation des objectifs de l’organisation : a. il s’agit d’opportunité pour l’entreprise b. Etablir la cartographie des risques en les classifiant et en évaluant le degré de vulnérabilité (fréquence. impacts) .4. Maitriser les risques en fonction du niveau de risque que l’organisation est prête à accepter et que le Conseil d’Administration a défini pour accroitre sa valeur. durée. il s’agit de risques 2. S’ils sont positifs.

de la politique suivie par l’entité .4. Enfin fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation : a. b. Application des instructions et orientations fixées par le management i. Informer et former les collaborateurs sur les règles qui les concernent.La mise en place du Dispositif de Contrôle Interne 3. Conformité aux lois et règlements : i. Mettre en place une veille de conformité pour analyser l’évolution de l’environnement juridique iii. Bonne information du personnel sur ce qui attendu d’eux. Transcrire ces règles dans les procédures internes iv. Connaitre les lois et règlements qui sont applicables au secteur ii. des objectifs fixés.

etc.4. notamment ceux concourant à la bonne évaluation des engagements réglementés et à la sauvegarde des actifs : i. Tous les actifs (matériels et immatériels) sont concernés d.La mise en place du Dispositif de Contrôle Interne c. fonctionnelles. contrôle et validation) ii. Séparation des taches (opérationnelles. Indicateurs de performance sont mis en place iii. Bon fonctionnement des processus internes. commerciaux.) ii. L’ensemble des processus est concerné (opérationnel. comptables et financiers. Tous les engagements réglementés sont inclus iv. Fiabilité des informations : v. Système de contrôle des informations .

le système d’information sera le support de nombreuses procédures de contrôle interne. . Cet aspect sera traité par l’audit informatique. Il est donc impératif de garantir que les contrôles nécessaires sont en place dans les applications et les systèmes et qu’ils sont efficaces. les processus opérationnels étant la plupart informatisés. En effet.La mise en place du Dispositif de Contrôle Interne De manière générale. la mise en place du dispositif de contrôle interne repose en grande partie sur les contrôles implantés dans les systèmes informatiques.4.

L’analyse des risques est effectuée selon un processus bien identifié et une périodicité bien définie. Le dispositif de maitrise des risques (DMR) est mis en œuvre et évalué.Les risques résiduels sont analysés avec le niveau acceptable défini par le conseil d’administration. 5.La mise en place du Dispositif de Contrôle Interne L’expérience de la mise en place de dispositif de contrôle interne a mis en lumière les 15 pratiques suivantes (leur présence au sein de l’entreprise est un gage de succès : condition nécessaire mais non suffisante) pour garantir la qualité dudit dispositif : 1. .Les activités de contrôle sont mises en œuvre. 4.Les réponses aux risques sont élaborées et le DMR réajusté 7. 8.4.Les risques et leurs incidences sont évalués.L’appétence aux risques (tolérance aux risques) est définie par le Conseil d’Administration.La cartographie est régulièrement mise à jour. 2. 6.Les responsabilités en matière de gestion des risques sont clairement définies et diffusées au sein de l’entité 3.

Les activités de contrôle sont évaluées.La mise en place du Dispositif de Contrôle Interne 9.4. Les incidents avérés sont recensés et analysés 15. 10. Les plans de remédiation font l’objet d’un suivi documenté 14. Les activités de contrôle sont supervisées par des fonctions de surveillance. 12. 11. Les objectifs et la stratégie du dispositif sont régulièrement mis à jour. . L’évaluation des activités de contrôle peut faire l’objet d’une revue indépendante. Des indicateurs clés relatifs à la gestion des risques sont définis suivis et 13.

La mise en place du Dispositif de Contrôle Interne 4-2 INSTALLATION DE LA GESTION DES RISQUES On constate que le système de gestion des risques et en amont la mise en place d’une cartographie des risques constituent l’épine dorsale de tout dispositif de contrôle interne. ou une inaction affecte la capacité de l’entreprise à atteindre ses objectifs stratégiques et compromette la création de valeur. • à mettre en œuvre cette option et • à contrôler l’efficacité de la solution retenue par rapport aux attentes ».4. Comment peut–on alors définir le risque ? Nous emprunterons notre définition des travaux du cabinet Ernst & Young : « Le risque est la menace qu’un évènement. . actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné. une action. » La gestion des risques vise donc « • à identifier et anticiper les évènements. • à définir les options de traitement et s’assurer qu’une option optimale est choisie .

La mise en place du Dispositif de Contrôle Interne Plusieurs tentatives de classification des risques existent. nous retiendrons celle issue des travaux de BALE & SOLVENCY qui distinguent : •Risques économiques liés à l’environnement économique de l’entreprise •Risques opérationnels. ce sont les dysfonctionnements dans les processus internes •Risques liés à un évènement naturel. •Risques financiers •Risques pays •Risques de contrepartie •Risques de crédit •Risques de change •Risques de marché •Risque de taux (en fonction des scénarios de hausse ou de baisse) •Risque action •Risque immobilier •Risque de signature (fonction des maturités) •Risque de concentration (sur certains émetteurs) •Risques de liquidité .4.

La mise en place du Dispositif de Contrôle Interne • Risques de conformité • • • • Les aspects légaux et règlementaires Les risques de sanction : administrative.4. judiciaire et disciplinaire Le risque de réputation ou d’image Non-respect de la déontologie .

4.La mise en place du Dispositif de Contrôle Interne • Bâle classe les risques opérationnels en 8 classes : • • • • • • • • Fraude interne Fraude externe Sécurité des systèmes Pratiques en matière d’emploi et de sécurité sur les lieux de travail Clients. produits et pratiques commerciales Dommages aux actifs corporels Dysfonctionnement de l’activité et des systèmes Exécution. livraison et gestion des processus .

production et suivi d’indicateurs) ». » .4. ». • Le Pilier III : « fixe les exigences en termes de reporting et de transparence en matière de discipline de marché. notamment l’harmonisation des provisions et l’instauration de minima pour les fonds propres. • Le Pilier II : « exige la mise en place de dispositifs de gouvernance des risques (processus.La mise en place du Dispositif de Contrôle Interne • Outre cette classification des risques opérationnels. responsabilités. en mettant en place un Minimum Capital Requirement (MCR)/ Capital Minimum Requis et un Solvency Capital Requirement (SCR)/ Capital de Solvabilité Requis. la démarche règlementaire pour les compagnies d’assurance issue de SOLVENCY II repose sur trois(3) piliers : • Le Pilier I : « détermine les exigences quantitatives à respecter.

4. • Dans les entreprises où la production est automatisée/informatisée.La mise en place du Dispositif de Contrôle Interne La gestion des risques procède donc d’une démarche globale et d’une prise en compte de plus en plus complète de toutes les vulnérabilités pouvant entraver la bonne marche de l’entreprise. le responsable de la sécurité des systèmes peut jouer ce rôle • Le transfert des risques vers un assureur est aussi un choix . L’implantation de la fonction gestion des risques dépend de la stratégie de l’entreprise : • Directement par un Risk Manager. Elle tend à être intégrée dans la stratégie globale de l’entreprise.

Les risques résiduels font l’objet généralement d’un transfert s’ils sont au-delà de la tolérance définie par le Conseil d’Administration) • Les actions correctrices font l’objet d’un suivi et d’un contrôle .La mise en place du Dispositif de Contrôle Interne La procédure de gestion des risques : • Identification des risques : cartographie et évaluation • Mise en place de plans d’action et de traitement de risques (DMR).4.

un ou des moteurs de transformation) • La limitation dans le temps • La production d’un résultat mesurable (des sorties). Selon la norme ISO 9000 :2000 : « un processus est un ensemble d’activités organisées dans le temps et produisant un résultat précis et mesurable ».4.La mise en place du Dispositif de Contrôle Interne Cette cartographie des risques repose sur une démarche d’analyse de chaque processus de l’entreprise. . Trois (3) notions à retenir dans l’identification d’un processus : • Un ensemble d’activités organisées (des entrées.

la logistique. Ceux-ci comprennent par exemple les achats. de la fonction commerciale. la production. la vente et le support après-vente. de la gestion des sinistres et prestations. de la gestion de la réassurance. • Les processus supports regroupant toutes les fonctions de soutien à la mise en œuvre et à l’exploitation des processus liés aux produits et aux services de l’entreprise ainsi qu’à ceux destinés au bon fonctionnement de celle-ci : par exemple : la gestion des ressources humaines. la gestion financière.4. le juridique… . l’informatique. il s’agit de la production. Dans le cas d’une société d’assurance.La mise en place du Dispositif de Contrôle Interne • Les processus peuvent être classifiés en trois(3) macro-processus: • Les processus opérationnels vont de la conception à la réalisation des produits et des services que l’entreprise fournit à ses clients. etc.

son déploiement opérationnel et la mise à disposition des ressources nécessaires et aux pilotages de l’ensemble. .La mise en place du Dispositif de Contrôle Interne • Les processus de direction et de pilotage ou vont être concentrées toutes les responsabilités et les autorités relevant de la direction. en particulier les activités liés à la stratégie de développement. Et bien sûr les activités de contrôle et d’évaluation.4.

4.La mise en place du Dispositif de Contrôle Interne .

La mise en place du Dispositif de Contrôle Interne • 4-3 ORGANISATION DU CONTROLE INTERNE • 4-3-1). Il est généralement composé de trois(3) à cinq(5) administrateurs non exécutifs. Idéalement avec au moins un(1) administrateur indépendant (non actionnaire). De manière générale.4. c’est l’affaire de tous . . le Contrôle Interne. qui assure le suivi • du processus d’élaboration de l’information financière • de l’efficacité des systèmes de contrôle interne et de gestion des risques • du contrôle légal des comptes annuels et des comptes consolidés par les commissaires aux comptes • de l’indépendance des commissaires aux comptes Le comité d’audit pilote l’ensemble du processus. • Le Conseil d’administration avec ses différents comités notamment: • Le Comité d’audit. le Président du Conseil d’Administration peut assister au comité mais il ne le préside pas.LES ACTEURS DU CONTROLE INTERNE : D’abord.

La mise en place du Dispositif de Contrôle Interne Le Directeur Général ne peut pas être membre de ce comité mais il peut assister aux travaux. • Etc.4. • Le Comité de rémunération. le plan annuel d’audit • Il prépare le rapport annuel de contrôle interne • L’auditeur interne et le Risk Manager peuvent participer aux travaux du comité d’audit. • Le Comité d’investissement. La mission principale du Comité d’Audit est de surveiller la performance du système de contrôle interne mise en place par la Direction Générale de la société et le système de gestion des risques : • Il examine l’existence et la mise en place des procédures de contrôle interne et de maitrise des risques • Il examine le rapport établi par le Risk manager (pour la gestion des risques) /l’auditeur interne (pour l’audit) • Il examine les rapports des auditeurs externes et leurs recommandations • Il s’assure de l’indépendance de la direction audit/contrôle interne et de sa performance • Il valide et fait approuver par le Conseil d’Administration la charte d’audit. le périmètre d’audit. .

• Le Comité exécutif ou Comité Directeur • Le Risk manager • La direction de l’Audit/du Contrôle interne • L’Audit interne : • A la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et de faire toutes les préconisations pour son amélioration. . par exemple : • • • • • La charte de la lutte contre la fraude Le code de déontologie La charte de l’utilisateur d’un poste de travail La charte de l’utilisateur internet Etc. • N’est pas directement impliqué dans la mise en place et la mise en œuvre quotidienne du dispositif. • A noter : les commissaires aux comptes ne font pas partie du dispositif de contrôle interne.4. • Le personnel. • Par son engagement à respecter les différentes chartes et codes édictés par la société.La mise en place du Dispositif de Contrôle Interne • La direction générale ou le directoire. prennent connaissance du contrôle interne afin d’identifier et d’évaluer le risque d’anomalie significative dans les comptes. Ils certifient les comptes et dans ce cadre.

qui donne à une organisation une assurance sur le degré de maitrise de ses opérations. Il aide cette organisation à atteindre ses objectifs en évaluant par une approche systémique et méthodique.4. ses processus de management des risques. et de gouvernement d’entreprise » . lui apporte les conseils pour les améliorer et contribuer à créer de la valeur. de contrôle.La mise en place du Dispositif de Contrôle Interne • 4-3-2) – LA MISE EN ŒUVRE : • Définition de l’audit : • « L’audit interne est une activité indépendante et objective.

de l’efficacité et de l’efficience du système de contrôle interne » . axée sur l’examen et l’appréciation du bon fonctionnement.4.La mise en place du Dispositif de Contrôle Interne • Définition de l’Institute of Internal Auditors : • « L’audit interne est une fonction d’évaluation indépendante au sein de l’entreprise.

Evaluation du degré de vulnérabilité (fréquence. opérationnelles. impacts). b. la conception d’un plan annuel des travaux d’audit peut démarrer en respectant les phases suivantes : 1. c. reporting. . L’identification des risques potentiels critiques (dans les catégories stratégiques. d. durée. compliance). Sélectionner les missions sur les unités (ou domaines) les plus risquées. Etablir un planning annuel des missions d’audit à réaliser.4. Planification annuelle des missions d’audit en prenant en compte : a. e.La mise en place du Dispositif de Contrôle Interne Une fois que le dispositif est mis en place. Inventorier les missions effectives dans le passé (3 à 5 dernières années).

Mise en œuvre des missions d’audit : a). ii. Mettre en place un questionnaire d’audit iv. soit un dysfonctionnement constaté au sein de l’entreprise nécessitant une revue immédiate). La Direction Générale ou la Direction de l’Audit prépare la lettre de mission (toujours sous la signature du Directeur Général) adressée à la Direction concernée en précisant clairement : i.4. . 1. la souscription de contrats auto. Et l’équipe la composant. Vérifier que le système de management est entretenu et efficace 2. L’étendue de la mission (par exemple l’audit des sinistres payés. S’assurer que le processus audité apporte les résultats escomptés par rapport aux objectifs qui lui sont fixés iii. Les objectifs de la mission. vi. Sa durée.Définition de la mission d’audit : (c’est soit l’exécution d’un plan annuel d’audit préalablement établi.La mise en place du Dispositif de Contrôle Interne 2.) v. etc. La ou les entités concernées.

b. planning des entretiens. Les auditeurs s’informent de l’ensemble du processus à auditer pour mieux connaitre son fonctionnement. Ils examinent le positionnement du processus à auditer a. missions b.4. De présenter la revue de la mission (la revue des objectifs. procédures. circuits des informations. c. la revue de la charte d’audit si elle existe. Cette réunion a pour but : 1. et la présentation de l’équipe d’audit). a. la durée. revue éventuelle des dernières conclusions des audits précédents).La mise en place du Dispositif de Contrôle Interne b). les processus en amont et en aval. 2. De rencontrer les responsables des entités à auditer pour préparer le recueil des informations (questionnaire. organigrammes. la planification de la mission en précisant les entités. les responsables de ces entités doivent y assister). Ils procèdent au recueil des documents nécessaires.Planification et préparation de la mission I. en gros les processus qui seront analysés. . A cette occasion. La Direction de l’Audit ou l’Auditeur Interne planifie une réunion avec la Direction du ou des entités à auditer (bien entendu. documents à préparer.

1. sinon à sa hiérarchie de proximité pour avis et observations. validation) III.La mise en place du Dispositif de Contrôle Interne c).Déroulement de la mission I. A la fin de chaque entretien. manuel de procédures.Travail de terrain (examen et analyses de documents.Mise en œuvre des entretiens planifiés avec les correctifs nécessaires (si possible avec un guide d’entretien préalablement élaboré). d’une synthèse de documentation d’un dysfonctionnement (SDD) décrivant : 1.Identification de la cause et de son impact (en termes de fréquence et de coût autant que faire se peut) 3. analyse des documents fournis (organigramme.Recommandations .Prise en charge de l’existant de l’entité ou des entités. etc. rédaction d’un rapport d’entretien documenté et confidentiel. IV. questionnaires. Ce rapport d’entretien mettant en exergue les manquements et dysfonctionnements notés sera transmis à la personne avec laquelle l’entretien s’est déroulé (si pertinent). Mise en place pour chaque dysfonctionnement noté. 4. restitution de documents par le SI.). cohérence. Ces entretiens concernent la Direction de l’entité ou des entités.Description environnement du processus et du dysfonctionnement.4. interviews. fichiers & bases de données. II. les principaux responsables (la hiérarchie de proximité) des processus sous analyse et leurs agents (l’analyse des fiches de poste aura permis d’identifier les personnes ressources et critiques). fiches de postes.Planning de réalisation 2.Evaluation de la gestion des risques et des mécanismes de détection et de solution pour ce type de dysfonctionnement. 2.

Réunion plénière d’examen du pré-rapport avec essentiellement les aspects suivants : 1.4.Synthèse des faiblesses et dysfonctionnements relevés et retenus 4.Synthèse des entités audités et de la revue des processus 3. évaluation de ces réponses (intégration ou rejet). 3.A la Direction Générale. 5.A la Direction de ou des entités auditées . Rédaction du rapport final de la mission avec notamment : 1.Plan de suivi de la mise en œuvre des recommandations V.La mise en place du Dispositif de Contrôle Interne d). Ce rapport final est destiné : 1.Présentation documentée des dysfonctionnements (SDD) 2.Analyse des réponses et observations apportées par l’audité. du déroulement de la mission et de l’équipe l’ayant menée. Rédaction d’un projet de rapport (pré-rapport) soumis à la Direction Générale. au Directeur Général et à la direction audité III.Elaboration des recommandations en précisant leur urgence. Réception des réponses de l’audité et rédaction du pré-rapport contenant les conclusions définitives de l’auditeur et transmission à la Direction de l’audit. de l’étendue. 2.Rappel du mandat.Conclusion de la mission I. II. pour observations .Au Comité d’Audit 2. 3. à la Direction de l’entité ou des entités sous audit. date de prochaine revue. délai de réalisation.Synthèse in fine des faiblesses et dysfonctionnements finalement retenus IV. des objectifs. ressource responsable.

le Risk manager évaluera et intégrera dans le système de gestion des risques les recommandations issues de l’audit et modifiera ainsi la cartographie des risques. notamment la partie évaluation de l’impact.La mise en place du Dispositif de Contrôle Interne e). Uniquement dans le cas ou cet audit a mis à jour une faiblesse et/ou un dysfonctionnement de la gestion des risques de l’entreprise.4. .Impacts sur la Gestion des risques 1.

4.La mise en place du Dispositif de Contrôle Interne • 4-3-3).EVALUATION DU DISPOSITIF DE CONTROLE INTERNE L’évaluation du dispositif de contrôle interne est dévolue au Comité d’Audit dont la fonction essentielle est la surveillance du système de gestion des risques de l’entreprise. le comité d’audit utilise les instruments suivants : • Le cadre de fonctionnement du comité d’audit : • La charte d’audit sur laquelle s’appuie toute mission d’audit • La définition du périmètre des risques qui feront l’objet de suivi . Pour cela.

informations dans l’exercice de sa mission • Le licenciement de l’auditeur interne est pris par décision du conseil d’administration • L’audit interne responsable des vérifications • Périmètre de l’audit interne • Toutes les activités de la société sans exclusive • Les filiales et succursales • Plan d’audit annuel • Activités planifiées • Dysfonctionnement inopiné • Rapport annuel d’audit comportant toutes les recommandations et le suivi de ces recommandations. fichiers. le département ou le service de contrôle interne (abusivement appelé audit interne) • Indépendance de la fonction : • Le service.4.La mise en place du Dispositif de Contrôle Interne • Les acteurs sur lesquels pourra s’appuyer le comité d’audit : • Le Risk Manager responsable de la cartographie des risques • La direction. le département ou la direction de l’audit reporte directement au conseil d’administration • La charte d’audit doit reprendre cette disposition en mentionnant le pouvoir étendu de prendre connaissance de tous les documents. .

La mise en place du Dispositif de Contrôle Interne • Différents types d’Audit : • Audit stratégique • Audit opérationnel • Audit de qualité • Audit comptable & financier • Audit fiscal • Audit social • Etc. • Les experts indépendants .4.

4. la fonction Risk Manager. etc. les fonctions de surveillance (Direction du contrôle interne. la Direction Qualité.) • Deuxième mission : obtenir des assurances de la Direction sur le fonctionnement du système de contrôle interne et de gestion des risques .La mise en place du Dispositif de Contrôle Interne • Les diligences à mettre en œuvre : • Première mission : réaliser un diagnostic du dispositif de gouvernance des risques et de contrôle interne en auditant les directions opérationnelles.

La mise en place du Dispositif de Contrôle Interne • Troisième mission : procéder à l’examen des défaillances du système de contrôle interne et de gestion des risques : • • • • • • Tableau de bord de suivi de l’efficacité du dispositif Cartographie des risques Synthèse des résultats de l’auto-évaluation Synthèse des rapports de l’audit interne Synthèse des rapports de commissaire aux comptes Synthèse des plans d’actions de la société pour remédier aux faiblesses significatives .4.

La démarche d’Audit dans une compagnie d’assurance Les principaux cycles d’audit d’une compagnie d’assurance sont les suivantes : • Production et provisions de primes dommages autres que santé • • • • • Souscription Encaissement Evaluation des provisions Qualité et surveillance du portefeuille Contrôle des politiques de lutte contre le blanchiment de capitaux et le Financement du Terrorisme (LBC/FT) ou (LAB/FT) • Production vie • • • • • Souscription Encaissement Qualité et surveillance du portefeuille La profitabilité du portefeuille Contrôle des politiques de lutte contre le blanchiment et le Financement du Terrorisme (LBFT) .5.

5.La démarche d’Audit dans une compagnie d’assurance • Production santé • Souscription • Encaissement • Gestion des décomptes • • • • • Vérification des décomptes Liquidation des décomptes Traitement des réclamations Qualité et surveillance du portefeuille Surveillance des prestataires • Provision mathématique et participations aux excédents des entreprises d’assurance vie • Calcul des provisions mathématiques • Calcul des Provisions pour Participation aux excédents techniques & financiers .

La démarche d’Audit dans une compagnie d’assurance • Sinistres et provisions pour sinistres dommages • • • • Déclaration de sinistre L’instruction d’un dossier de sinistre Le règlement et respect des délais réglementaires Le dossier sinistre et ses évolutions (en particulier l’inventaire permanent) • Les provisions (SAP.5. IBNR) .

La démarche d’Audit dans une compagnie d’assurance • Prestations vie • La gestion administrative des dossiers. • Cumul de capitaux • Le calcul de l’indemnité de fin de carrière (IFC). • Réassurance • La Couverture des risques • Les comptes techniques • Les agréments et relations contractuelles .5. demandes de liquidation. etc.

» . en particulier l’évaluation de la qualité des actifs et de la gestion actif-passif.La démarche d’Audit dans une compagnie d’assurance • Coassurance • Agents. alinéa C) : vérifier « les méthodes utilisées pour assurer l’évaluation et le contrôle des placements.5. courtiers et autres producteurs • Les agréments • Les chartes • Placements : • Objectifs article 331-16.

5. .La démarche d’Audit dans une compagnie d’assurance • Et bien entendu les fonctions de support : • La logistique et les achats • Les ressources humaines • Contrôle des politiques anti-fraude et anti-corruption • Les frais généraux • Le Système d’information (audit informatique) • Etc.

La Charte d’Audit • 6-1. • Pour cela l’audit interne appréhende l’ensemble des objectifs de l’organisation. • L’audit interne est une activité indépendante et objective qui apporte au management une assurance sur le degré de maitrise de ses opérations. Les risques résiduels sont soumis au management pour validation. lui apporte ses conseils pour les améliorer et contribuer à créer de la valeur ajoutée.6.MISSION DE L’AUDIT INTERNE • Le comité d’audit assiste le conseil d’administration dans sa mission de surveillance de l’exécution des obligations de la société. . analyse les risques liés à ses objectifs et évalue périodiquement la robustesse des contrôles mise en place pour gérer ces risques.

La Charte d’Audit • 6-2. la documentation des missions et leur supervision.6. .PRINCIPES DIRECTEURS • Les principes généraux suivants qui respectent les normes professionnels et la déontologie des activités d’audit sont : • Objectivité : garantie par l’objectivation des conclusions. de même qu’un processus contradictoire • Indépendance : assuré par le niveau de rattachement de la fonction d’audit • Impartialité : l’audit interne n’est pas impliqué dans l’organisation et l’activité opérationnelles • Accès aux informations : l’audit interne a accès à l’ensemble des informations de la société • Confidentialité : chaque auditeur est tenu par un strict devoir de réserve et de discrétion • Compétence : les besoins de formation sont évalués dans le cadre des évaluations annuelles • Méthodologie commune : les auditeurs utilisent la même méthodologie.

processus.La Charte d’Audit • 6-3. Le périmètre d’intervention comprend tous les processus tant opérationnels. de supports et de gestion que le gouvernement d’entreprise. systèmes et entités appartiennent aux champs d’action de l’audit interne sans réserve ni exception.DOMAINES D’INTERVENTION • Toutes les activités.6. • Le champ d’investigation pour les sociétés d’assurance porte sur toute l’activité et s’étend aussi aux intermédiaires avec lesquels travaille la société. les processus de gestion des risques et de contrôle. .

La Charte d’Audit • 6-4-ORGANISATION DE LA FONCTION La fonction peut être organisée autour d’un service. L’auditeur interne dispose d’un accès direct au Président du conseil d’administration et aux membres du comité d’audit. d’un département ou d’une direction de l’audit (en fonction de la taille et de l’organisation de la société).6. La fonction est responsable : • De la stratégie de l’audit de la société • De la définition et l’application d’une méthodologie commune d’analyse des risques • De la définition et de l’application d’une méthodologie commune d’audit • De la définition et l’application d’une méthodologie commune de suivi des recommandations • La coordination et l’évaluation des programmes de financement relatifs à l’audit .

6. semestriels et annuels • Conseille le conseil d’administration en matière de communication financière • Interface avec les commissaires aux comptes .La Charte d’Audit • 6-5-LE COMITE D’AUDIT Est responsable : • Surveillance du système de gestion des risques et de l’évaluation du dispositif de contrôle interne de la société • Examine les comptes trimestriels.

Inventorisation des missions effectuées dans le passé (3 à 5 dernières années) 4.6. reporting. Enfin il est en relation avec les autorités de contrôle et les réviseurs dont il constitue l’interface. à la fin de chaque mission.) 3. établit et met à jour une base de données de l’ensemble des recommandations issues des rapports d’audit et définit (ou révise) une procédure formelle de suivi de la mise en place des recommandations. opérationnelles. . supports et conformité) 2. Sélection des missions sur les unités (ou domaines) les plus exposées 5. impacts. Identification des risques potentiels critiques (dans les catégories stratégiques.La Charte d’Audit • 6-6-TRAVAUX D’AUDIT 1. L’auditeur interne. durée. etc. Evaluation du degré de vulnérabilité des risques (fréquence.

7.Les référentiels du Contrôle Interne • Principaux référentiels • Reprises dans les rapports de l’AMF (Autorité des Marchés Financiers) et par l’Autorité de Contrôle des Assurances et des Mutuelles (ACAM) • Les principes de gouvernance définis par l’Association Internationale des Contrôleurs d’Assurance (IAIS – AICA) pour les Assurances • Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) particulièrement en matière de dispositif de contrôle interne .