Accueil Actualités Le dispositif de contrôle interne et l’accréditation ISAE 3402

Le dispositif de contrôle interne et l’accréditation ISAE 3402

Il est classiquement admis que «  Le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité  ».

Ce dispositif est devenu, au fil des années, incontournable à mettre en œuvre par l’ensemble des entités assurantielles, que cela soit pour les porteurs de risques, les courtiers ou les délégataires de gestion.

Sur la base des référentiels en vigueur, il est généralement structuré autour de trois catégories d’objectifs :

  • ­ objectifs liés à l’efficacité et l’efficience des opérations ;
  • ­ objectifs liés au pilotage et suivi de l’activité, reportings internes comme externes, visant à la fiabilité, le respect des délais, la transparence ou d’autres exigences du régulateur et du superviseur ;
  • ­ et les objectifs liés à la conformité, de plus en plus importants, pour s’assurer du respect des lois et règlements applicables, et qui mettent aujourd’hui les entités sous risques, notamment en cas de contrôle du superviseur.

Ce dispositif est organisé autour de 3 axes principaux  :

  • Le contrôle permanent de niveau 1, qui est le premier niveau de contrôle, généralement inclus dans les procédures et modes opératoires pour être réalisé par les personnes directement en charge des opérations.
  • Le contrôle permanent de niveau 2 vise à s’assurer que les contrôles de niveau 1 sont bien réalisés, avec les attendus de rigueur et de traçabilité requis. Ce second niveau de contrôle est, pour la plupart du temps, réalisé sur la base d’échantillonnage. Il peut être réalisé par le management ou bien des services distincts de l’entité. 
  • Le niveau 3, dit contrôle périodique, recouvre l’activité d’audit interne. Ce dernier niveau de contrôle est effectué via la réalisation de missions d’audit interne afin de s’assurer de la cohérence et de la bonne application des procédures que l’entité a mises en place et entend voir respecter, incluant la mise en œuvre des contrôles permanents de niveau 1 et 2.

L’ensemble de ce dispositif doit évidemment être décrit. Toutes les activités de contrôle doivent pouvoir être prouvées donc doivent faire l’objet d’une traçabilité et d’une formalisation rigoureuse.

Le tout n’a de sens que par rapport aux risques identifiés par l’entreprise sur son activité. Plus le risque est élevé, plus l’activité de contrôle, visant à en diminuer l’impact et plus certainement sa fréquence ou probabilité de survenance, doit être importante et structurée.

L’ensemble doit être cohérent, coordonné et en interaction. Ainsi, les résultats du contrôle permanent doivent pouvoir alimenter les orientations du contrôle périodique. La cartographie des risques doit aussi se « nourrir » des résultats du dispositif de contrôle interne de manière à pouvoir statuer sur son maintien, son renforcement voire son allégement.

 

Quid de l’accréditation ISAE 3402 ?

Le standard ISAE 3402, relatif au contrôle interne des sociétés de services, est une méthodologie d’audit d’origine anglo-saxonne recommandée notamment par l’IAASB (International Auditing And Assurance Standards Board).

Les avantages de cette accréditation sont multiples car elle permet de pouvoir attester, par un tiers indépendant et reconnu, de la fiabilité et qualité du dispositif de contrôle interne de l’entité sur un périmètre défini.

Elle est particulièrement intéressante en cas de délégation de gestion.

En effet, dans ce cadre, nous pouvons noter que ce type d’accréditation vient « rassurer » le porteur de risque qui délègue ses activités (et qui, nous le rappelons, en reste entièrement responsable), sur l’efficience du dispositif de contrôle interne et de maitrise de l’activité déléguée par son délégataire.

Pour ce dernier, cela permet d’adopter les meilleurs standards du marché en la matière, de diminuer la charge d’audit de ses équipes (en fournissant l’accréditation à son porteur de risque) et de pouvoir obtenir un avantage concurrentiel pour conserver et accroitre sa gestion pour compte de tiers.

 

Par addactis – février 2020

Pierre GERMAIN