B : Les facteurs clés pour le succès de
la fonction conformité
La réussite de la fonction de la conformité
dépend de la coordination d'un ensemble de facteurs, il s'agit
principalement de l'engagement non conditionné du top management
(I), de l'allocation rationnelle des ressources (II)
et la mise en place par l'entreprise d'un modèle
organisationnel étanche (plus de détails dans le paragraphe 2
ci-après)
34
48 Le périmètre thématique
I. L'engagement non conditionné du top
management
La conformité est l'affaire de tous, mais la mise en
conformité d'une entreprise d'assurances ou de réassurance en
matière de lutte contre le blanchiment d'argent et le financement du
terrorisme ou en matière de protection des droits du consommateur ou
n'importe quelle autre thématique est l'affaire du top management de
l'entreprise, il s'agit d'une stratégie d'entreprise nécessitant
la volonté et l'engagement pour la conduite du changement.
Cet engagement est loin d'être réduit à
une note de la direction générale, bien qu'elle soit obligatoire,
cette note ce n'est que le coup d'envoi pour le lancement d'une démarche
de quatre étapes :
? La première étape consiste à la
définition de la stratégie et la délimitation de la
démarche. Lors de cette étape le top management de l'entreprise
doit identifier les axes porteurs de changement à l'instar du plan de
formation, la formalisation du manuel de procédures, définition
et automatisation des processus...etc.
Le cadrage de la démarche consiste dans l'obligation
pour le top management de prioriser les enjeux, de fixer les
échéances...etc.
Généralement à l'issue de cette phase une
feuille de route formalisant un plan d'action pour le déploiement des
changements envisagées doit voir le jour.
? La deuxième étape consiste dans la
définition des outils et les supports pour mener les changements que
nécessite la mise en conformité. Lors de cette étape, le
top management doit réussir sa stratégie de communication. A
cette fin des choix doivent être faits, il s'agit du choix des supports
soit de communication interne (réunions, notes d'information...) soit de
formation et de sensibilisation (e-learning, présentielle ...). Encore,
le choix doit porter sur le contenu substantiel et pédagogique de la
formation.
? La troisième étape est réservée
au déploiement de la démarche. Cette étape est
considérée la plus critique du fait d'une éventuelle
résistance au changement que peut manifester l'ensemble de personnel. En
raison de cette criticité, le top management de l'entreprise peut se
faire assister par des experts pour le déploiement du changement qui
doit être progressif et non brutal et l'aider à développer
l'argumentation pour expliquer le pourquoi des choses. Lors de cette
étape le top management doit accompagner le changement et le mener.
? La quatrième étape consiste à faire le
suivi des résultats de la démarche, à tirer les
enseignements du vécu et apporter les corrections nécessaires le
cas échéant. A ce niveau de la démarche, le top management
doit valoriser les succès réalisés et les déclarer
pour lancer la dynamique du changement.
Il est intéressant de noter que la mise en
conformité de l'entreprise ne peut réussir sans le parrainage des
instances de gouvernance opérationnelle et institutionnelle, d'ailleurs
leurs rôles ne se limitent pas à la conception de la
stratégie, elles sont responsables de sa mise en oeuvre.
35
Dans ce cadre, il est intéressant de rappeler les deux
principes suivants :
36
> Au sens de l'article 5 de la décision
n°1-2016 du CGA et de l'article n° 229 du projet de
révision du code des assurances, le conseil d'administration est
chargé de définir la politique de conformité, par
proposition de la direction générale, et de superviser la gestion
du risque de non-conformité. Il doit, en premier lieu, approuver la
politique de conformité (y compris le document qui crée la
fonction, la feuille de route pour la démarche de mise en
conformité...), en deuxième lieu, il doit évaluer
périodiquement (au moins une fois par année) la qualité du
dispositif global de gestion du risque de non-conformité.
> Au sens de l'article 7 de la décision
n°1-2016 du CGA et des articles 225 et 226 du projet de
révision du code des assurances, la direction générale est
responsable de la gestion du risque de non-conformité. Elle a la charge
de la mise en place et du déploiement de la fonction conformité
conformément aux directives de la politique de conformité, de
formaliser et de communiquer la politique de conformité, de veiller
à son respect, de rendre des comptes au conseil d'administration sur la
gestion du risque de non-conformité.
D'après ces deux principes, l'engagement du top
management de l'entreprise d'assurances ou de réassurance n'est pas
uniquement moral, il est encore juridique, il est soumis au contrôle des
instances de régulation.
II. L'allocation rationnelle des ressources
Ayant la qualité d'une « capacité
administrative de remplir certaines tâches de gouvernance49
», la fonction conformité ne peut réussir ses missions que
par la mobilisation d'un ensemble de ressources humaines (a)
et matérielles notamment un système d'information
(b).
a) Les bonnes compétences
Le métier de conformité nécessite de
multiples compétences : une bonne connaissance de l'environnement
réglementaire de l'entreprise et une veille réglementaire et
juridique permanente, une approche transversale du métier de l'assurance
ou de réassurance, une bonne maîtrise de la cartographie des
risques et des outils de contrôle permanents, ainsi que la
capacité d'analyse et de contrôle réglementaire.
L'équipe dédiée à la fonction
conformité doit être capable de:
> évaluer les enjeux liés à
l'activité et aux risques au sein de l'entreprise,
> planifier les missions de conformité, de
contrôle et de gestion des risques,
> comprendre le système global de contrôle et
les caractéristiques essentielles de ses composantes (contrôle
périodique et contrôle permanent, filière conformité
et filière risque),
> concevoir et réaliser des missions de
contrôle (recueil d'informations, vérifications de
conformité, mesures d'écart, recommandations
d'amélioration, contrôle des processus...),
> établir, conformément aux attentes,
l'ensemble des états et rédiger des rapports concernant la
conformité à l'attention des organes de gouvernance de
l'entreprise et des instances de régulation le cas
échéant.
49 Directive 2009/138/ce du parlement européen
et du conseil du 25 novembre 2009
37
L'expertise juridique, l'expertise en matière de
l'organisation et de maitrise des processus et l'expertise en matière de
contrôle et gestion des risques sont plus que cruciales pour le
succès de la fonction conformité.
b) Le système d'information
Par définition, le système d'information est un
ensemble organisé de ressources qui permet de collecter, stocker,
traiter et véhiculer l'information, c'est un système qui
dégage des informations de certaines qualités permettant une
prise de décision plus pertinente.
Comme toute fonction, le succès de la conformité
dépend largement de la qualité de l'information
dégagée par ce système, ainsi, la maîtrise des
risques de non-conformité nécessite une connaissance parfaite et
à jour des clients, de même, le suivi des opérations de
contrôle et l'évaluation des résultats nécessitent
l'accès à de nombreuses informations et le recours à des
outils de visualisation des données.
Dans la même perspective, on peut préciser que
l'animation de la filière conformité
(Plus de détails dans le paragraphe 2 ci-après)
nécessite le déploiement d'un outil (logiciel) pour faciliter la
communication entre les différentes parties agissantes sur le processus
de gestion du risque de non-conformité.
Cet outil ne doit pas être limité à la
mission de reporting, il doit fournir d'autres fonctionnalités comme
> la capacité de l'analyse de données pour
mesurer l'exposition aux risques, mieux orienter
les efforts et les missions de contrôle...etc.
> la capacité de visualiser les données et les
informations pour assurer un pilotage et un
reporting efficaces,
> la capacité de générer des alertes et
des blocages, le cas échéant, dans les outils des
opérationnels,
> la capacité de définir les risques, les
rattacher à des processus et les évaluer,
> la capacité de définir et formaliser les
contrôles de premier et de deuxième niveau et les
rattacher à des processus et à des risques,
> la capacité de définir et formaliser les plans
d'actions et suivre leur exécution,
> la capacité de recenser de nouveaux risques et mettre
à jour la cartographie des risques.
Toutefois, il est a rappelé que l'efficacité de
l'outil de gestion de risque de non-conformité ne dépend pas de
la diversité des fonctions qu'il fournit, il dépend de la
qualité des données recueillies et stoker dans le système
d'information de l'entreprise. Pour atteindre cette efficacité, les
entreprises d'assurances et de réassurance doivent formaliser une
politique de qualité des données et mettre en place une
stratégie de gouvernance en la matière.
38
| 
