Intégration des fonctions d'assurance

"Le service de conformité a échoué", "Les indications de la gestion des risques ont été ignorées", c'est ainsi que cela se passe dans les médias lorsque des comportements commerciaux inappropriés sont découverts. L'analyse montre souvent que des fonctions d'assurance ont été mises en place dans les entreprises concernées, mais que leur pouvoir d'exécution était limité. Quelle pourrait en être la raison ?

Exigences relatives à l'organisation des fonctions d'assurance
Pour les banques et les entreprises d'assurance, les circulaires FINMA Corporate Governance 2017/1 et 2017/2 s'appliquent, qui expliquent les exigences relatives aux fonctions centrales d'assurance de la gestion des risques et de la conformité en tant qu'éléments d'un SCI efficace. Alors que l'autorité de surveillance réglemente spécifiquement l'intégration organisationnelle du responsable des risques pour les banques pertinentes pour le système (RS 2017/1 de la FINMA, al. 68), la circulaire ne contient aucune exigence correspondante pour les compagnies d'assurance.

En plus des circulaires de la FINMA, il existe d'autres documents tels que la norme d'audit PS980 (EXPERTsuisse), qui énumère les principales caractéristiques d'une organisation (de conformité) telles que la définition des rôles et des responsabilités, des compétences et des ressources, ainsi que les lignes de reporting.

Ces exigences ont en commun d'exiger explicitement l'objectivité et l'indépendance des fonctions d'assurance (éléments de contrôle), sans toutefois entrer dans les détails de la forme organisationnelle qui serait appropriée à cet égard. À cet égard, il est possible de concevoir une intégration adaptée à la taille et à la complexité respectives de l'entreprise.

Le modèle des trois lignes de défense
Le modèle des "trois lignes de défense" s'est imposé comme un modèle de promotion de l'indépendance des fonctions d'assurance. Ce modèle est également mentionné par la FINMA dans son rapport explicatif sur les deux circulaires de gouvernance susmentionnées comme une approche pour définir les rôles et les responsabilités dans le système de gouvernance. L'assurance

"La structure organisationnelle des fonctions d'assurance dépend de la taille de l'entreprise".

Les éléments de la gestion des risques, de la conformité et du SCI sont donc regroupés en deuxième ligne et séparés des activités quotidiennes (première ligne) afin de garantir l'indépendance. En plus des éléments d'assurance susmentionnés, les domaines de la protection des données, de la sécurité de l'information et de la gestion de la qualité sont souvent considérés comme des unités de la deuxième ligne de défense. La troisième ligne de défense comprend la fonction d'audit interne. L'absence d'inclusion des auditeurs externes et du régulateur dans le modèle (par exemple au sens d'une 4e et 5e ligne de défense) est parfois critiquée dans la doctrine.

Bien que le modèle ci-dessus illustre l'interaction des trois lignes de défense et de leurs lignes hiérarchiques, il ne fournit pas d'instructions concrètes pour leur intégration organisationnelle. Diverses études montrent une grande hétérogénéité à cet égard. Les fonctions d'assurance, par exemple, peuvent

• être mis en œuvre en tant qu'éléments uniques dans différentes unités ;
• être regroupé, sur le plan organisationnel, dans une unité du personnel ;
• être subordonné à une unité à but lucratif ; ou
• même être mélangé avec des fonctions à but lucratif en termes de personnel.

La forme organisationnelle des fonctions d'assurance dépend également de la taille de l'entreprise. Au-delà d'un certain nombre d'employés, les fonctions de la deuxième ligne de défense doivent être exercées par des personnes indépendantes des affaires courantes. Dans les petites et moyennes entreprises, toutes les fonctions d'assurance peuvent être regroupées en une seule personne. Dans les grandes entreprises, en revanche, il est logique que les fonctions soient exercées par des personnes différentes. Plus l'entreprise est petite, plus il est probable que les fonctions de la deuxième ligne de défense soient exercées par des personnes actives sur le plan opérationnel. Dans de telles situations, il est particulièrement important que les fonctionnaires aient la personnalité et l'intégrité nécessaires ou qu'ils aient intériorisé le système de valeurs en constante évolution de l'entreprise afin d'exercer leurs activités de contrôle de manière objective et indépendante.

Une alternative consiste à externaliser les activités de contrôle à des tiers (par exemple des sociétés d'audit ou des cabinets d'avocats).

En raison de l'hétérogénéité des formes d'organisation, l'objectivité et l'indépendance requises par la réglementation doivent être évaluées en fonction de chaque entreprise.

Mesures de sauvegarde de l'indépendance
Quelles sont les possibilités qui favorisent une approche des meilleures pratiques en ce qui concerne l'intégration organisationnelle des fonctions de contrôle et donc implicitement aussi le plus haut degré d'indépendance possible ?

Fusion organisationnelle
Les éléments d'assurance de la gestion des risques et de la conformité garantissent ensemble le respect de la gouvernance d'entreprise en tant que SCI efficace. Afin de créer des synergies, il est donc logique de fusionner ces domaines en une seule unité organisationnelle. Il y a des chevauchements entre la gestion des risques et la conformité en particulier. Les risques de conformité, par exemple, sont les suivants

"Les fonctions d'assurance doivent être considérées comme faisant partie de la gouvernance fondée sur le risque".

enfin les risques opérationnels, qui constituent la base d'un système de contrôle interne (SCI) axé sur les risques. En outre, les redondances dans les rapports au conseil d'administration et au directoire peuvent être évitées en coordonnant intégralement non seulement le calendrier de publication de ces rapports, mais aussi l'accent mis sur le contenu des différents sujets au sein de l'équipe. La gestion d'une telle unité d'assurance peut également se voir accorder un poids supplémentaire (tone-at-the-top) en ayant un siège au conseil d'administration, par exemple sans droit de vote, afin d'éviter les conflits d'intérêts dans le processus décisionnel.

Séparation du personnel de la première et de la deuxième ligne de défense
Si possible en raison de la taille de l'entreprise, les activités d'assurance doivent être strictement découplées des activités opérationnelles. Au moins la gestion respective de la deuxième ligne de défense devrait être indépendante de la première ligne de défense, surtout en termes de personnel. De cette manière, les conflits d'intérêts potentiels entre les actions en tant que partenaire commercial et celles en tant que gardien (autorité de contrôle) sont évités et les autorités de contrôle ne deviennent pas des "preneurs de risques".

Nomination et révocation par un organisme non opérationnel
Alors que l'audit interne, en tant que troisième ligne de défense, relève de la direction générale (conseil d'administration ou comité), les fonctions d'assurance relèvent généralement d'une unité à but lucratif. Cela s'applique également à une unité du personnel sous la direction du PDG. Afin de préserver l'indépendance, la nomination ou la révocation d'une fonction de contrôle de haut niveau peut être subordonnée à l'approbation de la direction générale (conseil d'administration ou son comité des risques). D'autres options sont, par exemple, une quasi-protection contre le licenciement, en vertu de laquelle le titulaire d'une fonction d'assurance ne peut être licencié pendant une certaine période.

Pas d'incitations par une rémunération variable et liée aux performances
La non-inclusion des fonctions d'assurance dans le cas des composantes de performance rémunérées en argent s'est imposée aujourd'hui comme une norme et est également propagée par le régulateur comme un élément de sélection de l'indépendance (cf. circulaire de la FINMA sur le gouvernement d'entreprise).

Conclusion
L'intégration des fonctions d'assurance dans la gestion des entreprises ne peut trouver qu'une réponse partielle en termes d'approche des meilleures pratiques.

Cependant, c'est précisément sous l'aspect de la plus grande indépendance possible que l'on peut identifier les domaines de développement qui rendent cette approche possible.

Trois aspects semblent être centraux :

• la fusion organisationnelle,
• le découplage du personnel des fonctions décisionnelles opérationnelles,
• la délégation des décisions en matière de personnel à l'encadrement supérieur, et
• l'évitement des incitations par une rémunération variable.

La mesure dans laquelle elles peuvent être mises en œuvre dépend toujours de la taille de l'entreprise et de la culture d'entreprise. Les fonctions d'assurance doivent toujours être considérées comme faisant partie d'une gestion d'entreprise axée sur le risque, mais pas comme une instance de contrôle réactif.