Paragraphe 2 : Configuration et déploiement de la
structure de contrôle de conformité
L'obligation pour les entreprises d'assurances et de
réassurance de créer une fonction pour le contrôle de
conformité ne les « empêche pas de décider librement
de la façon d'organiser cette fonction en pratique50 »,
et « ne devrait pas conduire à des exigences trop lourdes, car il
faudrait tenir compte de la nature, de l'ampleur et de la complexité des
opérations de l'entreprise. Toutefois ce caractère obligatoire ne
doit pas éclipser l'aspect nécessaire de la fonction de
contrôle de la conformité et ne doit pas traduire uniquement la
soumission des entreprises d'assurances ou de réassurance à une
règle de droit, mais encore leur volonté de faire de cette
fonction un outil de gouvernance (par la définition d'un nouveau
processus de prise de décision) et une source de création de
valeurs.
Il n'y a pas donc de recette standard pour la configuration de
cette fonction ou pour son positionnement dans l'organigramme de l'entreprise.
Néanmoins, toute proposition d'un modèle doit observer quelques
exigences règlementaires au sens des deux textes
référentiels en Tunisie51.
A ce titre, les entreprises sont appelées d'une part
à observer, sous contrôle du CGA, la
compétence et l'honorabilité pour la nomination du responsable de
la fonction de contrôle de conformité, d'autre part à
veiller à la non cumulation des fonctions pour ce responsable et en fin
à garantir son indépendance par rapport aux lignes
métiers.
À ces trois impératifs règlementaires, on
peut ajouter un quatrième principe relatif à la capacité
d'action.
Dans la pratique, les entreprises bénéficient
d'une grande marge pour concevoir leur propre modèle. Et
l'adéquation d'un modèle organisationnel (B) au
profil de l'entreprise et son efficacité dépendent largement de
l'observation d'un ensemble de principes et objectifs organisationnels
(A) qui représentent finalement des facteurs
clés pour la réussite d'une éventuelle structuration pour
la fonction de contrôle conformité.
A : Les principes et les objectifs organisationnels
La création d'une fonction conformité doit faire
l`objet d'un document formalisant sa mise en place au sein de l'entreprise, il
s'agit d'un acte fondateur, détaillant entre autres les questions
relatives à l'indépendance de la fonction, à la nature de
ses relations avec les entités ou fonctions de l'entreprise, à
son emplacement, à son niveau hiérarchique, à ses
attributions...etc. Ce document constitutif doit ensuite être
communiqué à l'ensemble du personnel.
Dans ce cadre on peut évoquer deux principes
fondamentaux celui de l'autonomie (I) de la structure du
contrôle de conformité et celui de la synergie (II)
entre les entités.
I. L'autonomie de la fonction de
conformité
Généralement l'organisation d'une entreprise
doit faire apparaitre trois macro-processus : le processus métier,
processus pilotage et celui de support. Tenant compte des exigences de
l'efficacité, la question qui se pose, est où est-ce que l'on
doit affecter la fonction de contrôle conformité ?
50 La directive solvabilité II paragraphe
31.
51 La décision n° 1-2016 du CGA et le
projet de révision du code des assurances.
39
40
Le principe de l'indépendance des lignes de
défense par rapport aux lignes métier fait exclure le processus
métier. Reste alors à vérifier s'il s'agit d'une fonction
de support ou d'une fonction de pilotage.
Sachant que le processus de pilotage est un processus
d'analyse et de décision52 et que le processus de support est
un processus destiné à supporter et à accompagner
l'activité principale de l'entreprise et à contribuer au bon
déroulement des autres processus, on peut confirmer d'abord que le
processus de contrôle de conformité est un processus transversal,
ensuite que cette fonction revête un double aspect, elle est à la
fois organe de support et organe de pilotage.
Ayant ainsi un caractère hybride, la fonction
conformité doit être placée dans le dispositif global de la
gouvernance de l'entreprise au sens de l'article 222 du projet de
révision du code des assurances et de la directive solvabilité
253. De ce fait, cette fonction exige la séparation
hiérarchique et organisationnelle d'avec des fonctions
génératrices de risques.
Encore, faut souligner que pour des fins de reporting, cette
fonction nécessite un accès direct (le cas échéant
par l'intermédiaire du comité des risques) au conseil
d'administration54.
Dans la même perspective et en vue de consolider
l'autonomie de la fonction conformité, l'article 229 du projet de
révision du code des assurances stipule que le conseil d'administration
est garant de son indépendance.
Outre les attributs de l'indépendance par rapport au
management opérationnel, de la séparation hiérarchique et
organisationnelle et de la relation privilégiée avec le conseil
d'administration, l'autonomie de la fonction conformité demeure
incomplète.
D'autres prérequis semblent indispensables pour
l'autonomie de cette fonction, il est à noter dans ce cadre que cette
fonction nécessite :
? un niveau hiérarchique suffisamment
élevé exprimant ses attributions et le pouvoir dont elle
dispose.
? la mise à disposition d'un ensemble d'outils et des
moyens techniques appropriés (seront détaillés
ultérieurement).
? Une équipe dotée de bonnes compétences
et d'un bon niveau de technicité. L'expertise juridique, l'expertise en
matière de l'organisation et de maitrise des processus et l'expertise en
matière de contrôle et gestion des risques sont plus que cruciales
pour l'autonomie de la fonction conformité
II. Promotion de la synergie
Par définition, la synergie désigne l'action
coordonnée de plusieurs organes pour la réalisation d'un objectif
partagé. La leçon tirée pour notre sujet consiste pour
l'entreprise dans l'obligation de bien placer cette fonction et de bien
définir ses relations avec les différentes unités ou
fonctions
52 Jl est alimenté par l'ensemble des
informations remontées par les autres processus. A partir de ces flux de
données, il permet de réaliser une analyse fine dont pourront
être tirées des directives destinées aux autres
processus.
53Paragraphe (30) stipule « Le système de
gouvernance inclut la fonction de gestion des risques, la fonction de
vérification de la conformité, la fonction d'audit interne et la
fonction actuarielle ».
54 L'article 13 de la décision n°1-2016 du
CGA
constituantes de son organigramme. Pratiquement pour
créer de la synergie il faut d'une part la définition stricte du
périmètre d'intervention de chaque fonction et d'autre part la
formalisation des procédures organisant les interactions entre les
différentes parties prenantes.
C'est dans ce cadre qu'on doit rappeler que l'objectif globale
de la mise en conformité de l'entreprise est l'affaire de toutes les
parties prenantes en interne et que la fonction conformité n'a pas
vocation à rassembler en son sein toutes les expertises
nécessaires pour la réalisation de ses missions, et pour
atteindre ses objectifs elle est appelée à nouer des partenariats
avec de différentes structures.
Ainsi, la direction juridique doit
interagir et collaborer quotidiennement avec la fonction conformité pour
le recensement, l'analyse et l'interprétation des textes
réglementaires applicables et pour l'anticipation de tout
éventuel changement dans l'environnement réglementaire. Ce
travail de veille réglementaire doit aboutir à la diffusion d'une
culture juridique partagée par tout le personnel de l'entreprise.
Dans le même esprit la fonction de gestion
des risques est considérée comme partenaire par
excellence pour la fonction conformité, c'est en collaboration que ces
deux fonction procèdent à la définition de la
méthodologie pour cartographier et piloter les risques. Au-delà
de la collaboration, la fonction conformité est appelée à
alimenter le tableau de bord de suivi des risques et à rapporter
auprès de la fonction de gestion des risques les cas
échéants.
Chargée du contrôle périodique,
la fonction d'audit interne se trouve à son
tour étroitement liée avec la fonction de contrôle de
conformité, cette relation consiste notamment dans un échange
fréquent. A ce titre, les deux fonctions sont tenues de coordonner leurs
programmes de contrôle et d'échanger les données relatives
à des sujets d'intérêt commun et les résultats des
missions de contrôle le cas échéant. Cette relation peut
aller jusqu'à l'exécution des missions de contrôle
approfondi par la fonction d'audit interne pour le compte de la fonction de
contrôle de conformité.
De ce que précède, on peut qualifier la relation
de la fonction conformité avec les autres fonctions clés de
relation de coordination et de collaboration, mais la question se pose encore
pour ses relations avec les structures métier, sachant que c'est au
niveau de ces lignes que la conformité se vérifie.
De prime abord, et compte tenu de la stratification des lignes
de défense dans l'entreprise, il est légitime de qualifier cette
relation de relation de complémentarité.
Aujourd'hui et face à l'ampleur des enjeux
réglementaire et déontologique, la fonction conformité
n'est pas l'acteur unique sur le processus de gestion des risques de
non-conformité. Supporter et superviser les lignes métier en
matière de conformité implique pour cette fonction la
nécessité d'impliquer les lignes métier et leur
reconnaître un rôle vital sur ce processus.
Structurellement, des relais à cette fonction doivent
être logés au sein des lignes métier pour assurer la
vérification du déroulement et de l'exécution des missions
de contrôle par les opérationnels conformément aux
procédures et de collecter les incidents.
41
Assurant ainsi l'une des étapes du processus de gestion
des risques de non-conformité, les directions métier en leur
qualité de première ligne de défense participent à
la maitrise des risques qu'ils génèrent.
| 
