Les organismes d’assurance peuvent décider de sous-traiter certaines de leurs fonctions ou activités, y compris sur leur cœur de métier. Cette externalisation peut répondre à des objectifs stratégiques, économiques ou simplement à des contraintes opérationnelles.
Il est fréquent que l‘activité sous-traitée soit centrale pour l’organisme d’assurance : souscription, gestion partielle ou totale des contrats d’assurance, gestion d’actifs, sous-traitance informatique, infogérance, …
Le bon fonctionnement et le pilotage de cette sous-traitance sont essentiels pour les deux parties. Assureurs et sous-traitants ont donc un intérêt commun à l’obtention d’une reconnaissance ISAE 3402 pour les sous-traitants.
Qu’est-ce que la norme ISAE 3402 ?
La norme ISAE 3402, relative au contrôle interne des sociétés de services, est une norme internationale publiée par l’IAASB (International Auditing and Assurance Standards Boards). Elle a pour objectif d’encadrer le contrôle interne mis en œuvre par les prestataires de services, en vue d’apporter la preuve d’un dispositif de contrôle interne efficace et adapté au regard des risques encourus.
Cette norme ne donne pas une véritable certification, mais une reconnaissance établie par un auditeur indépendant qui rend ses conclusions dans deux rapports :
• Un rapport sur la description et la conception des contrôles (dit « de type 1 ») attestant qu’à une date spécifiée, le prestataire de services a décrit fidèlement ses activités de contrôle et que les contrôles ont été convenablement conçus pour atteindre les objectifs, mais sans évaluation de leur efficacité ;
• Un rapport sur la description, la conception et l’efficacité opérationnelle des contrôles (dit « de type 2 ») attestant, outre les éléments cités dans le rapport de type 1, de l’efficacité opérationnelle des contrôles.
Le rapport ISAE 3402 qui découle de ces contrôles est composé de plusieurs sections portant sur :
• l’opinion de l’auditeur indépendant : cette partie présente les conclusions de l’auditeur indépendant sur la qualité du contrôle interne mis en place autour des prestations concernées ;
• la lettre d’assertion rédigée par la société de services : il s’agit d’une déclaration confirmant la sincérité de la description du dispositif de contrôle interne autour des prestations rendues pour les clients et l’efficacité de celui-ci ;
• la description du contrôle interne et des objectifs de contrôle : il s’agit d’une présentation du dispositif de contrôle interne autour des prestations rendues pour les clients ;
• la description des contrôles, tests et résultats (rapport de type 2 uniquement) : rédigée par l’auditeur indépendant, cette section décrit les tests réalisés par l’auditeur et leurs résultats.
Les enjeux pour les organismes d’assurance et les sous-traitants
Enjeux réglementaires pour les assureurs
Le 1er janvier 2016 a vu l’entrée en vigueur de la Directive Solvabilité 2. Ce nouveau régime prudentiel a notamment renforcé les exigences en matière de maîtrise des activités sous-traitées par les organismes d’assurance avec l’obligation de maîtriser les risques des activités externalisées autant que si elles étaient réalisées en interne.
Ainsi, l’article 49 de la Directive stipule que les assureurs délégants conservent « l’entière responsabilité du respect de l’ensemble des obligations qui leur incombent lorsqu’elles sous-traitent ces fonctions ».
Il précise également que « la sous-traitance d’activités ou de fonctions opérationnelles critiques ne doit pas avoir comme conséquences de :
• compromettre gravement la qualité du système de gouvernance,
• accroître indûment le risque opérationnel,
• compromettre la capacité des autorités de contrôle à vérifier que l’entreprise concernée se conforme bien à ses obligations
• nuire à la prestation continue d’un niveau de service satisfaisant. »
L’ACPR est particulièrement attentive au respect de ces obligations.
Enjeux de certification des comptes pour les assureurs
Les organismes d’assurance doivent également faire face à un autre enjeu, celui de la certification de leurs comptes annuels.
En effet, la Réforme Européenne de l’Audit (REA) de 2016 a renforcé l’environnement de contrôle du commissaire aux comptes, avec, en particulier, l’instauration d’un nouveau cadre de contrôle, d’une meilleure documentation de l’étaiement de l’opinion et d’un renforcement des pouvoirs de l’organisme de surveillance des commissaires aux comptes.
Ainsi, la capacité des commissaires aux comptes à collecter des éléments probants et appropriés pour étayer leur opinion quant aux informations ayant un impact sur les comptes transmis par les sous-traitants, est devenu un enjeu majeur du processus de certification.
De plus, la norme internationale d’audit ISA 402, qui traite des obligations de l’auditeur, est en passe d’être transposée en droit français. Cette norme explicite la façon dont l’auditeur de l’entité délégataire doit acquérir une connaissance suffisante du sous-traitant et notamment de son contrôle interne. Cette norme prévoit la possibilité pour l’auditeur de s’appuyer sur les rapports ISAE 3402 pour répondre à ses obligations, à défaut de quoi il devra réaliser des audits chez les sous-traitants.
Même si, à ce jour, la transposition n’est pas effective, la profession s’accorde à reconnaître que cette transposition sera le premier pas vers la généralisation de la norme ISAE 3402, lorsqu’il s’agira d’auditer les états financiers d’entreprises utilisatrices de services externes.
Enjeux pour les sous-traitants
Le sous-traitant a l’obligation contractuelle de répondre aux demandes de ses clients. Il doit ainsi faire face à de fréquents audits, aboutissant à des constats et des recommandations dont il lui faut ensuite organiser la mise en œuvre et le suivi.
Ces travaux peuvent considérablement perturber l’activité de ses services opérationnels et support, au détriment de la production.
Un sous-traitant qui n’obtiendrait pas la reconnaissance ISAE 3402 pourrait ainsi se voir rapidement exclu du marché.
En synthèse
Reconnaissance internationale et attestation par des auditeurs indépendants font de la norme ISAE 3402 une garantie de fiabilité pour les clients des prestataires de services, qui apporte une vraie plus-value en termes d’images pour le fournisseur et deviendra très probablement à terme une exigence de place.
En effet, à la fois pour faire face à leurs obligations prudentielles et répondre aux demandes de leurs commissaires aux comptes, les organismes d’assurance qui recourent à de la sous-traitance pour des activités significatives ou critiques, devront dans le futur exiger de ceux-ci qu’ils leur fournissent des rapports ISAE 3402 de type 2, ou a minima, dans un premier temps, de type 1.
Plutôt que de subir de multiples audits exigés et réalisés par les clients ou leurs commissaires aux comptes, l’entreprise reconnue ISAE 3402 pourra prouver la fiabilité de son système de contrôle interne.
Dans ce contexte il est important :
• pour les entreprises d’assurance d’exiger de leurs délégataires la reconnaissance ISAE 3402, notamment au regard des exigences solvabilité 2 ;
• pour un sous-traitant de préparer dès aujourd’hui sa structure en vue de répondre aux exigences des rapports ISAE 3402 de type 1 ou 2 car cela sera un véritable atout concurrentiel et un moyen de se positionner comme un acteur de référence sur son marché.
Les équipes d’Asigma restent à votre disposition pour toute question ou besoin d’assistance concernant la norme et sa mise en œuvre.