L'articulation des fonctions clés : nouveau visage de la gouvernance des risques

La directive européenne 2009/138/CE, applicable au 1^er janvier 2016, comporte au titre de ses exigences qualitatives la mise en place d’une gouvernance des risques renforcée. Cette gouvernance des risques concerne à la fois les organes de décision stratégique (Conseil d’administration, Direction générale) au travers de l’Organe d’administration, de gestion et de contrôle, mais aussi différentes fonctions intervenant sur des enjeux de maîtrise des risques. L’objet de cet article est de retracer les éléments clés de ces exigences et les impacts organisationnels dans le déploiement opérationnel des fonctions dites « clés ».

Présentation des fonctions clés Solvabilité 2

La nouvelle réglementation vise à renforcer les obligations préexistantes dans le Code des assurances ou dans le Code de la mutualité, allant au-delà des exigences relatives à la mise en œuvre d’un comité d’audit ou d’un dispositif de contrôle interne. À cet effet, la mise en œuvre de fonctions dédiées à la sécurisation des activités constitue un échelon indispensable en vue de remonter à la gouvernance, de manière fiable et indépendante des informations relatives au pilotage des activités essentielles au fonctionnement de l’organisme d’assurance.

Ce qu’est une fonction clé : l’apport de la nouvelle réglementation

Une fonction clé doit permettre de garantir une gestion saine et prudente de l’organisme d’assurance. Elle s’intègre à la structure de l’entreprise et à ses procédures de prises de décision tel que précisé dans l’ordonnance 2015-378 et dans le décret 2015-513 transposant la directive en droit français. Chacune des fonctions clés opère sous la responsabilité de l’organe d’administration, de gestion et de contrôle (OAGC) [1] . Les responsables de ces fonctions ont tout pouvoir pour communiquer avec le personnel de l’organisme et doivent disposer des ressources et compétences nécessaires pour mener à bien leurs attributions et notamment en ce qui concerne la notification à l’OAGC de tout problème majeur affectant l’organisme. Les responsables de fonctions clés doivent intervenir de manière objective, indépendante et libre de toute influence des différentes directions et métiers de l’organisme (et ce en étant dotés des ressources nécessaires, ce qui en cas d’insuffisance peut constituer un frein à leur indépendance ou à leur objectivité). En somme, et pour faire simple, une fonction clé est une fonction représentée par un responsable « physique » et ayant un champ d’attribution en matière de vérification de l’information et de remontée d’éléments essentiels en lien direct avec la gouvernance de l’assureur sur un champ d’action donné de responsabilité : gestion globale des risques, actuariat (budget technique et produit, pilotage prudentiel, etc.), ensemble des audits réalisés, vérification de la conformité globale aux différents corpus de normes de manière globale et par ligne métier.

Les fonctions clés a minima obligatoires, leurs rôles et responsabilités

La directive (article L. 354-1 du 3 avril 2015 et articles R. 354-1 et suivants du 10 mai 2015) liste quatre fonctions considérées comme « clés » au titre de l’article 41 de la directive (voir Tableau 1) ​:

• la fonction de gestion des risques (article 44) ;
• la fonction de vérification de la conformité (article 46) ;
• la fonction d’audit interne (article 47) ;
• la fonction actuarielle (article 48).

Les autres fonctions pouvant s’apparenter à des fonctions clés

Par extension, la directive n’exclut pas la possibilité de désigner d’autres fonctions comme « clés » sans toutefois les spécifier. La réglementation indique celles qui sont obligatoires, mais il est possible de considérer comme toutes aussi importantes d’autres fonctions telles que la fonction finance (sur les sujets ALM notamment), la fonction comptable, ou encore la fonction de gestion et de pilotage des systèmes d’information. Dans ces deux exemples, la présence de telles fonctions est tout aussi voire davantage critique pour le bon fonctionnement de l’organisme d’assurance. Ces fonctions s’illustrent également par le haut degré de compétences techniques nécessaires à leur compréhension et à leur fonctionnement. La définition de fonctions clés complémentaires est toutefois spécifique à chaque assureur compte tenu de son organisation ou de la prédominance de telle ou telle activité.

Marges de manœuvre et points d’attention dans la mise en œuvre

Au-delà des aspects structurants précités, la mise en œuvre opérationnelle des fonctions clés suppose également de traiter un ensemble de questions techniques mais aussi organisationnelles.

Peut-on sous-traiter les fonctions clés ?

La directive prévoit dans sa déclinaison opérationnelle la possibilité de distinguer la responsabilité de la fonction clé et sa réalisation opérationnelle, notamment pour permettre la sous-traitance de certaines activités (exemple : l’audit des calculs dans le cadre de la fonction actuarielle). Dans tous les cas, la responsabilité de la fonction doit rester internalisée et tout choix d’externalisation partielle de la fonction (par exemple : commanditer un audit sur des éléments techniques du fait de carences de compétences en interne) doit être soumis à l’accord de la gouvernance, en application de la directive et de la politique d’externalisation ; et ce afin de ne pas compromettre le bon fonctionnement de la gouvernance (article 49 de la directive 2009/138/CE). Les principes contenus dans la directive permettent donc une marge de manœuvre concernant la mise en place des fonctions clés, l’objectif n’étant pas de paralyser son action mais bien de permettre à chaque fonction de bénéficier des compétences nécessaires pour remplir son rôle. La condition étant que le responsable de la fonction clé pilote l’ensemble des travaux, internes ou externes, rentrant dans son champ d’intervention.

Quelle comitologie en interaction avec les fonctions clés ?

Il est également possible de prévoir un comité pour des fonctions au champ d’action particulièrement étendu : on pense notamment à la fonction de gestion des risques et à la mise en place de comité des risques comme cela est le cas depuis de nombreuses années en banque. Là encore, les principes contenus dans la directive permettent une marge de manœuvre : combiner comité d’audit et comité des risques, combiner comité des risques et comité de souscription, mettre en place un comité risques et contrôle interne, intégrer les différents membres du comité de direction dans un comité des risques, restreindre l’accès aux responsables de fonctions clés en membres permanents et prévoir des présences ponctuelles d’autres acteurs, mettre en place un comité risque axé gouvernance et des comités plus spécifiques (comme par exemple le comité risque opérationnel qui réunira davantage les experts par métier tels que le responsable sécurité SI, le responsable fraude, etc.).

Les aspects RH et la gestion des conflits d'intérêts

Les responsables des fonctions clés, quel que soit leur positionnement dans l’organisation (un positionnement proche des instances de gouvernance est néanmoins préconisé), rendent directement des comptes à la Direction générale et au Conseil d’administration, pouvant ainsi passer outre leurs liens hiérarchiques, du moins en théorie. Pour qu’une telle approche soit possible en pratique, cela implique de prévoir clairement dans les attributions du responsable de fonction clé étant nommé la possibilité d’intervenir sur des alertes en ayant un accès direct à la plus haute hiérarchie. Il est également important de prévoir sur le plan du contrat de travail une sécurisation des acteurs en charge de ces fonctions clés, soumis à un niveau de responsabilité renforcé, ayant une délégation de pouvoir significative. Si le droit du travail ne fournit pas davantage de sécurité dans ce cas précis, il semble important d’anticiper de tels sujets, un responsable de fonction clé pouvant être un « lanceur d’alerte » interne, positionnement pour lequel le droit du travail français ne fournit pas encore de protection réelle comme le montrent des cas récents issus du secteur bancaire (Bourdon, 2015).

Une autre question directement liée à cet enjeu du lien de subordination à la Direction générale consiste à trancher la question de savoir si l’on peut nommer un représentant élu (administrateur) responsable de fonction clé : on pense en particulier à la fonction d’audit interne qui pourrait être assumée par le président du comité d’audit. Un tel choix reviendrait à inféoder un élu à la Direction générale dans le cadre de ses attributions sur la fonction clé. Pour cette raison, une telle solution n’est pas préconisée aujourd’hui, dans les débats de place alliant professionnels et membres des autorités de tutelle. Par exemple, dans le cas de la fonction audit interne, il est donc préférable de privilégier un salarié, qui pourrait être directeur de l’audit interne, ou chef de mission, etc.

La condition fit and proper pour les fonctions clés

La notion de fit and proper (compétences et honorabilités) consiste à fournir aux autorités de tutelle (ACPR) et à la gouvernance toutes les garanties que le responsable de la fonction clé disposera des compétences et de la hauteur de vue pour exercer pleinement sa fonction. Il devra également apporter la preuve de l’absence de conflit d’intérêts ou d’un passif sur le plan des infractions pénales (financières principalement) remettant en cause son indépendance et sa légitimité. En pratique, la condition fit and proper ne s’applique qu’au responsable de la fonction clé dans le cadre des nominations obligatoires à l’ACPR, l’assureur devant fournir la preuve des compétences par un CV détaillé avec mentions des expériences, diplômes et autres attributions, éléments de preuve à l’appui (l’honorabilité se limite à fournir un extrait de casier judiciaire bulletin n° 3). Toutefois, il est possible d’étendre ces exigences à d’autres collaborateurs intervenant au sein des fonctions : comme par exemple sur la fonction de gestion des risques pour des postes très spécifiques : responsable de la sécurité financière, responsable fraude, contrôleurs des risques, Risk Managers, etc.

Les interactions ou la transversalité des processus comme levier d’implémentation

Au-delà des exigences réglementaires, un enjeu essentiel de la mise en œuvre des fonctions clés consiste à promouvoir une vraie culture de la transversalité entre les dites fonctions, et ce afin de ne pas limiter le rôle des fonctions clés à la remontée d’alertes à la gouvernance. Il est donc essentiel de prendre en compte la philosophie inscrite dans la directive sur cette architecture à quatre fonctions, a fortiori dans des organisations historiquement en silo (Torre-Enciso, Barros, 2013)

Le tableau ci-après, fondé sur les travaux issus d’une étude doctorale (Dufour, 2015) ainsi que sur différents retours d’expérience (résultats du groupe de travail et conférences FNMF [2] 2014-2015), illustre les interactions récurrentes entre ces fonctions. Il est à noter l’importance de la fonction de gestion des risques comme étant au centre de ces nombreuses interactions, preuve d’une forte transversalité attendue de ce type de fonction, en inspiration des logiques de gestion globale des risques.

 

 

Bibliographie

• Ai J., Brockett P.L., Cooper W.W. et Golden L.L. (2011), « Enterprise Risk Management through Strategic Allocation of Capital », The Journal of Risk and Insurance, pp. 1-27.
• Arnold V., Benford T., Canada J. et Sutton S.G. (2011), « The Role of Strategic Enterprise Risk Management and Organizational Flexibility in Easing New Regulatory Compliance », International Journal of Accounting Information Systems, Vol.12, pp. 171-188.
• Bourdon W. (2015), « Les lanceurs d’alerte en mal de statut », Revue Banque, n° 783.
• Colbert J.L. et Alderman C.W. (1995), « A Risk-driven Approach to the Internal Audit », Managerial Auditing Journal, vol. 10 (2), pp. 38-44.
• Dufour N. (2015), « Contribution à l’analyse critique de la norme de contrôle. Le cas des risques opérationnels dans le secteur financier : de la normativité à l’effectivité », Thèse de doctorat en sciences de gestion, Cnam, 4 mars 2015.
• Ewald F. et Thourot P. (2013), Gestion de l’entreprise d’assurance, Dunod.
• Torre-Enciso M.I. et Barros M.H. (2013), « Operational Risk Management for Insurers », International Business Research, Vol. 6 (1), pp. 1-11.

 

• EIOPA, 2013, Orientations relatives au système de gouvernance, EIOPA_CP_ 13/08 FR.
• Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II). JORF du 4 avril 2015.
• Décret n° 2015-513 du 7 mai 2015 pris pour l’application de l’ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice. JORF du 10 mai 2015.