Article | Courtiers et intermédiaires d’assurance : comment faire face à la recrudescence des audits ?

L’enjeu central de la sous-traitance dans le monde de l’assurance

La maitrise des opérations des sous-traitants est aujourd’hui incontournable dans le monde de l’assurance.

La réglementation renforce en permanence les obligations de contrôle interne : Pilier II de Solvabilité II, Directives MIFID, LCBFT, PRIIPS, Loi Eckert, DDA et reforme du courtage. Le non-respect de ces réglementations entraine des sanctions significatives, dommageables sur le plan financier et sur celui de la réputation des assureurs, qui n’ont d’autre choix que de prouver leur maîtrise des opérations confiées à leurs sous-traitants. Il peut ainsi conduire les assureurs à stopper leur relation avec des courtiers en cas de non-maîtrise de ces activités déléguées.

Ce respect de la règlementation revêt deux facettes :

• l’application effective des mesures réglementaires,
• et la possibilité de prouver leur application (une part significative des sanctions récentes se fonde principalement sur une documentation insuffisante du respect de la réglementation).

Des activités déléguées de plus en plus contrôlées

Depuis la mise en œuvre de Solvabilité II, les assureurs doivent s'assurer de la fiabilité de leurs sous-traitants. Les activités confiées par ces assureurs à leurs partenaires doivent justifier de la même maitrise que les activités gérées par l’assureur lui-même.

La maîtrise des opérations déléguées est désormais intégrée aux contrôles de l’ACPR, garantissant le respect des dispositions législatives et réglementaires. Cela a conduit à une multiplication des observations du régulateur lors de ses inspections, entraînant des plans d’action chez les assureurs, comme la structuration de filières d’audit de leurs activités déléguées.

L’ACPR et le H2A (superviseur des commissaires aux comptes) se sont par ailleurs exprimées sur leur souhait de voir les commissaires aux comptes des assureurs approfondir leur connaissance des délégataires des sociétés dont ils sont commissaires aux comptes. En conséquence, les commissaires aux comptes réalisent de plus en plus de contrôles chez les principaux courtiers intervenant en qualité de délégataires des sociétés dont ils certifient les comptes.

Pour les courtiers, cela se traduit par des sollicitations de la part de leurs nombreux partenaires assureurs. Il n’est pas rare qu’un courtier subisse une vingtaine d’audits dans l’année. Les contrôles réalisés sont souvent de même nature et amènent le courtier à répondre à plusieurs reprises aux mêmes questions et demandes de justificatifs tout au long de l’année. Cela monopolise de nombreuses équipes en interne et représente par conséquent un coût important pour les courtiers.

Le rapport ISAE 3402, un élément différenciant

Le recours à l’externalisation étant de plus en plus présent au niveau mondial, le Conseil des normes internationales d'audit et d'assurance (IAASB) de l’International Federation of Accountants (IFAC) a publié au début des années 2010 une norme internationale appelée ISAE 3402 (International Standard on Assurance Engagements).

Cette norme permet aux utilisateurs de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services. Elle porte par conséquent sur l’examen de la conception et de l’efficacité opérationnelle des contrôles internes au sein des départements de l’entité.

Dans un contexte où les assureurs tendent à rationaliser le nombre de partenaires avec lesquels elles entretiennent des relations commerciales, la capacité du courtier à justifier de façon probante de son niveau de contrôle interne est un facteur discriminant lors du choix d’un prestataire dans le cadre d’un appel d’offres.

En ce sens, la démarche ISAE 3402, en plein essor, apporte une réponse pertinente, différenciante et compétitive, permettant de répondre à la problématique de sollicitation des équipes opérationnelles et du management découlant du cumul d’audits subis par les courtiers.

Incontournable pour les sociétés de gestion d’actifs et les sociétés de mise en commun de moyens informatiques, ISAE 3402 est par conséquent un gage de qualité apprécié des compagnies d’assurance et les courtiers.  

En exposant les résultats des tests effectués et les conclusions du dispositif de contrôle mené par l’auditeur indépendant, ISAE 3402 s’impose comme un standard de confiance pour les assureurs et un moyen de se différencier pour les courtiers.

Quelles sont les étapes de déploiement d’un rapport ISAE 3402 ?

Tous les acteurs ne disposent pas du même niveau de maturité de leur contrôle interne. La réalisation d’un diagnostic préalable à l’obtention de la reconnaissance ISAE 3402 est une étape indispensable. Elle permet d’identifier les zones de risques et d’établir un plan de mise en conformité, notamment par la rédaction de procédures et l’instauration de contrôles clés efficaces. Le périmètre de ces travaux couvre les processus liés au métier du courtage, ainsi que le système d’information.

L’ISAE 3402 prévoit deux types de rapports (type I et type II), offrant au courtier une gradation dans sa démarche, avec des résultats probants à court terme :

• la première étape mène à l’obtention du rapport de type I, justifiant l’existence d’un dispositif de contrôle interne à une date donnée,
• une fois ce dispositif stabilisé, la seconde étape consiste à en attester l’efficacité sur une période définie, aboutissant au rapport de type II.

Ces documents, dont la diffusion reste à la discrétion du courtier, décrivent le dispositif de contrôle existant et les conclusions relatives à son efficacité. Ils permettent également d’intégrer des informations additionnelles, offrant ainsi un moyen de communiquer sur la qualité de son organisation opérationnelle.

Forvis Mazars, cabinet d’audit et de conseil leader dans le secteur de l’assurance, peut accompagner les acteurs de l’assurance et du courtage sur l’ensemble des phases aboutissant à la publication d’un rapport de type I ou de type II.