Structure organisationnelle et système de contrôle interne

Contenu

Cadre règlementaire

  1. Loi Solvabilité II : Art. 42, § 1er, 2° (organisation administrative et comptable et contrôle interne) et 10° (système de reporting), art. 61 (administration centrale), art. 76 (conservation de documents) et art. 199 (informations périodiques et règles comptables)
  2. Règlement délégué 2015/35 : Art. 258, paragraphe 1er, b) (structure organisationnelle), k) (lignes de reporting), f) (procédures) et g) (assignations des tâches)
  3. Circulaire BNB thématique sous-jacente : le volet contrôle interne repris dans le règlement du 19 mai 2015 et la circulaire NBB_2015_21 concernant la fonction Audit interne  
  4. Guidelines EIOPA: orientations 2, 5, 38 et 39

L’exigence d’un dispositif solide et adéquat d’organisation d’entreprise en vue de garantir une gestion efficace et prudente de l’entreprise d’assurance est explicitée dans plusieurs dispositions de la loi Solvabilité II et du Règlement délégué 2015/35.  Il est également attendu des entreprises d’assurance qu’elles respectent en outre les éléments repris ci-dessous spécifiques au secteur des assurances.

4.1. Structure organisationnelle et opérationnelle

L’entreprise d’assurance dispose de structures organisationnelles et opérationnelles conçues pour soutenir les objectifs stratégiques et les opérations de l’entreprise. Ces structures peuvent être adaptées, dans des délais appropriés, aux modifications apportées aux objectifs stratégiques, aux opérations ou à l’environnement dans lequel l’entreprise est active. 

4.1.1. Répartition et séparation des tâches et des responsabilités

L'entreprise d’assurance veille à ce que les tâches et les responsabilités soient réparties, séparées et coordonnées conformément aux politiques de l'entreprise et reflétées dans les descriptions des tâches et des responsabilités. L'entreprise veille à ce que toutes les tâches importantes soient couvertes tout en évitant les chevauchements inutiles et fait en sorte que les lignes de reporting soient clairement définies (notamment dans un organigramme). Une coopération efficace entre membres du personnel est encouragée.

4.1.2. Organisation administrative et comptable et reporting financier

L’entreprise d’assurance dispose d’une organisation administrative et comptable et d’un contrôle interne adéquats, impliquant notamment un système de contrôle procurant un degré de certitude raisonnable quant à la fiabilité du processus de reporting financier.  Sous le contrôle du conseil d’administration, le comité de direction prend les mesures nécessaires pour que l’entreprise dispose d'un reporting financier et prudentiel fiable.  Ce système de reporting financier doit permettre de satisfaire aux demandes d’informations de la Banque en application notamment des articles 201 et 312 de la Loi Solvabilité II.

4.1.3. Politiques, procédures et processus de mise en œuvre

L’entreprise d’assurance doit élaborer un ensemble de politiques, procédures et processus de mises en œuvre qui doivent être efficaces et proportionnés par rapport aux risques.

Les politiques énoncent les principaux fondamentaux qui doivent être respectées dans le cadre des activités de l’entreprise d’assurance. Ces principes sont ensuite concrétisés de manière détaillée dans des procédures et des processus de mises en œuvre (tels que des outils informatiques).

L’entreprise met en cohérence les politiques requises[1] les unes avec les autres, dans le cadre du système de gouvernance, ainsi qu’avec la stratégie de l’entreprise. Chaque politique stipule, à tout le moins, clairement:

  1. les objectifs poursuivis;
  2. les tâches à effectuer et la personne ou la fonction de la personne responsable de celles-ci;
  3. les processus et procédures de communication d’informations à appliquer;
  4. l’obligation d’information des unités organisationnelles concernées à l’égard des fonctions de gestion des risques, de vérification de la conformité, d’audit interne et actuarielle, portant sur tout fait pertinent nécessaire à l’accomplissement de leurs tâches.

Au plan prudentiel, la Banque s’attend à ce que les politiques suivantes aient été élaborées et qu’elles puissent lui être transmises à première demande de ses services :

Politiques à mettre à disposition de la Banque à première demande

Base légale imposant l’élaboration de la politique

Politiques de gestion des risques

Politique d'appétence au risque

Art. 259 du Règlement délégué 2015/35

Politique générale de gestion des risques

Art. 259 du Règlement délégué 2015/35

Politique de gestion du risque de souscription et de provisionnement

Art. 260 du Règlement délégué 2015/35

Politique de gestion actif-passif (asset liability management ou ALM)

Art. 260 du Règlement délégué 2015/35

Politique de gestion du risque d'investissement

Art. 260 du Règlement délégué 2015/35

Politique de gestion du risque de liquidité

Art. 260 du Règlement délégué 2015/35

Politique de gestion du risque de concentration

Art. 260 du Règlement délégué 2015/35

Politique de gestion du risque opérationnel

Art. 260 du Règlement délégué 2015/35

Politique de réassurance

Art. 260 du Règlement délégué 2015/35

Politique de crédit hypothécaire (le cas échéant)

Art. 261 du Règlement délégué 2015/35

Politique de valorisation des actifs et des passifs

Art. 267, point 2 du Règlement délégué 2015/35

Politique de participations bénéficiaires

Art. 59, §1, 10° de la loi Solvabilité II

Politique ORSA

Art. 91, §2 de la loi Solvabilité II

Politique de gestion du capital

Art. 262 du Règlement délégué 2015/35

Politique concernant le reporting à la BNB

Art. 77, §7 de la loi Solvabilité II

 

 

Politiques en matière de gouvernance sensu stricto

Politique Fit & Proper

Art. 273 du Règlement délégué 2015/35

Politique de rémunération

Art. 42, §1, 6° de la loi Solvabilité II et Art. 275 du Règlement délégué 2015/35

Règles internes en matière de fonctions extérieures

Art. 83, §3 de la loi Solvabilité II

Politique de sous-traitance

Art. 274 du Règlement délégué 2015/35

Politique de continuité

Art. 258, point 3 du Règlement délégué 2015/35

Politique d'intégrité couvrant au moins les sujets suivants : (i) Objectifs et valeurs d’entreprise, (ii) Prévention du blanchiment de capitaux et du financement du terrorisme, (iii) Whistleblowing / alerte interne et (iv) Conflits d’intérêts

Art. 42, §1, 5°, 8° et 44 de la loi Solvabilité II et Art. 258, point 5 du Règlement délégué 2015/35

 

 

Chartes/politiques des fonctions de contrôle indépendantes

Charte/politique de gestion des risques

Art. 54, §1, alinéa 2 de la loi Solvabilité II

Charte/politique de la fonction actuarielle

Art. 54, §1, alinéa 2 de la loi Solvabilité II

Charte/politique d'Audit interne

Art. 54, §1, alinéa 2 de la loi Solvabilité II

Charte/politique de Compliance

Art. 54, §1, alinéa 2 de la loi Solvabilité II

[1]   Par « politiques requises », il faut entendre toutes les politiques dont l’élaboration est prévue dans la loi Solvabilité II, que celles-ci portent sur des aspects gestion des risques (par exemple : la politique générale de gestion des risques et les politiques risque de souscription et de provisionnement, gestion actif-passif, risque d'investissement, risque de liquidité, risque de concentration, risque opérationnel, réassurance, crédit hypothécaire, valorisation des actifs et des passifs et ORSA) ou des aspects gouvernance sensu stricto (par exemple : la politique fit & proper, de sous-traitance, de rémunération, règles internes en matière de fonctions extérieures, politique d'intégrité, d’alerte interne, de continuité, de gestion des conflits d'intérêts).

4.2. Système de contrôle interne

4.2.1. Environnement de contrôle interne

L’entreprise souligne l’importance de l’exécution de contrôles internes appropriés en veillant à ce que tous les membres du personnel soient conscients de leur rôle au sein du système de contrôle interne. Les activités de contrôle sont proportionnées aux risques découlant des activités et des processus à contrôler.

4.2.2. Suivi et communication des informations

Il y a des mécanismes de suivi et de communication des informations au sein du système de contrôle interne qui fournissent au conseil d’administration et au comité de direction les informations pertinentes pour les processus décisionnels.

4.2.3. Mécanismes de contrôle interne

L’entreprise met en œuvre un système de contrôle interne qui couvre l’ensemble des activités de l’entreprise.  Ce système est composé d’un ensemble de mécanismes de contrôle périodiques et permanents qui couvrent l’ensemble des employés de l’entreprise. 

4.3. Administration centrale en Belgique

La loi Solvabilité II prévoit comme condition d’agrément que les entreprises d’assurance de droit belge aient leur administration centrale en Belgique c’est-à-dire dans le même Etat membre que leur siège statutaire. Cette obligation légale est la conséquence de la directive européenne 95/26/CE du 29 juin 1995, dite « BCCI ».

La notion d’administration centrale s’entend au sens de l’article 48 du traité CE et couvre donc la notion de « siège réel », c’est-à-dire le lieu où sont prises les décisions essentielles de la société et où se concentre effectivement la conduite des affaires de la société. Il s’agit du principal établissement administratif et non du lieu d’exploitation principal. La notion d’administration centrale correspond donc à l’endroit d’où la société est dirigée et où se réunissent ses organes.

Il est certain que les moyens actuels de prise de décision à distance rendent la notion d’administration centrale plus difficile à cerner. Ainsi, pour qu’il puisse être conclu que le « centre nerveux » des affaires d’une entreprise qui a une organisation transfrontalière est en Belgique et que l’entreprise en question répond donc à la condition légale d’administration centrale, il est au moins recommandé que :

  1. tous les responsables de fonctions de contrôle indépendantes soient localisés sur le registre du personnel (payroll) de l’entreprise d’assurance de droit belge,
  2. que la majorité des réunions du conseil d’administration et du comité de direction se fassent sur le territoire belge et
  3. que les membres du comité de direction soient suffisamment disponibles en Belgique.

4.4. Conservation des documents

La Loi Solvabilité II (article 76) prévoit que les entreprises d’assurance conservent les documents relatifs à leurs activités à leur siège social.  Tenant compte des évolutions technologiques récentes et du fait que les informations concernant les activités d’assurance ou de réassurance sont dorénavant très régulièrement conservées dans des datacenters ou des supports IT sécurisés équivalents (comme les « clouds »), la Banque -en concertation avec la FSMA- considère qu’un tel système peut être considéré comme équivalent à une conservation au siège social lorsque ces nouveaux systèmes de conservation de documents rencontrent les 4 conditions suivantes :  

  1. les entreprises d’assurance ont en permanence accès aux documents qui sont stockés dans les datacenters ou supports IT sécurisés équivalents ;
  2. les entreprises d’assurance sont en mesure de répondre de manière complète et adéquate et avec rapidité - c’est-à-dire en principe dans les deux jours ouvrables à compter de la demande - aux demandes des autorités de contrôle ou des autorités judiciaires belges ;
  3. les entreprises d’assurance gardent la maîtrise des décisions importantes concernant ces datacenters ou les supports IT sécurisés équivalents ; garder la maîtrise des décisions importantes signifie que l’entreprise d’assurance doit être informée préalablement des modifications importantes et pouvoir mettre fin au contrat et transférer les données sur un autre système avant l’introduction des modifications si elles ne lui conviennent pas ;
  4. les datacenters ou supports IT sécurisés équivalent utilisés garantissent la confidentialité, l’intégrité et la disponibilité des informations transmises et répondent
    1. aux exigences de la Banque en matière de sécurité informatique (cf. la circulaire 2015_32 pour les entreprises d’importance systémique) ;
    2. aux exigences de la Banque en matière de continuité informatique (cf. la circulaire 2015_32 pour les entreprises d’importance systémique);
    3. le cas échéant, aux exigences de la Banque en matière de sous-traitance.

Si la conservation des données se fait (en totalité ou en partie) en version papier, les conditions suivantes s’appliquent :

  1. Une convention doit être conclue entre les deux parties pour régler la conservation des documents et les droits et obligations y relatifs ;
  2. Les documents relatifs à un même portefeuille d’activités doivent être conservés au même endroit en veillant à ce que toutes les mesures de protection soient remplies (p.ex. endroit protégé contre le feu) ;
  3. Le(s) lieu(x) de conservation doi(ven)t être accessible(s) tant à la FSMA qu’à la BNB ;
  4. Si tous les documents ne sont pas conservés sur des supports IT, le(s) lieu(x) de conservation doi(ven)t se situer en Belgique ; et
  5. Les mesures de sécurité et de continuité doivent faire l’objet d’un contrôle périodique.