La fonction de vérification de la conformité est l’une des quatre fonctions clés instaurées par le régime prudentiel Solvabilité 2 s’appliquant depuis le 1er janvier 2016 aux sociétés d’assurance et de réassurance. Présente au sein du pilier 2 des exigences qualitatives, la conformité incarne une pièce majeure du dispositif de maîtrise des risques opérationnels.

Dans l’univers bancaire et assurantiel, le terme de conformité, ou encore de compliance, désigne le respect des dispositions législatives et règlementaires, donc des dispositions normatives propres aux activités bancaires et financières, mais aussi des normes professionnelles et déontologiques, ainsi que des orientations de l’organe délibérant ou des instructions de l’organe exécutif.

La tâche de la fonction conformité est ainsi plus large qu’il n’y paraît de prime abord. En effet, elle participe à la construction, puis la revue du cadre réglementaire (au sens large) qui s’applique aux activités de l’entreprise. Elle doit constituer un référentiel des dispositions applicables et mesurer les éventuels écarts avec les pratiques de l’organisme. Ces écarts constituent des risques de non-conformité qui doivent être solutionnés par des plans d’actions de mise en conformité.

La conformité qui définit le cadre de travail de l’entreprise est à l’origine du circuit de la maîtrise des risques. En effet, elle initie par la constitution, puis la revue du référentiel des dispositions applicables, par l’animation d’une veille juridique, de nouveaux risques auxquels le contrôle interne peut tester la résistance de l’entreprise en termes de maîtrise. La conformité et le contrôle interne peuvent ensuite participer à la mise en conformité de l’entreprise.

La conformité peut disposer de plusieurs outils afin de mener à bien sa mission. Ainsi, elle doit d’abord constituer une base réglementaire sur ces domaines de prédilection : protection de la clientèle, sécurité financière, protection des données à caractère personnel. Selon les organisations, d’autres domaines peuvent aussi être rattachés à la conformité : la déontologie, l’éthique, la RSE, la qualité, etc. La constitution d’une base réglementaire est une tâche de longue haleine compte tenu de l’étendue des dispositions applicables. Il s’agit donc d’une mission de fond qui s’alimente progressivement avec d’autres outils. On peut ainsi citer la veille réglementaire qui permet de prendre en compte les nouvelles dispositions et leurs impacts, le suivi des sanctions telles que celles prononcées par l’ACPR pour détecter de nouveaux risques.

D’autres éléments peuvent intégrer la boîte à outils de la conformité : indicateurs internes comme le suivi des réclamations, médiations et contentieux, indicateurs externes sur le marché. L’objectif est de pouvoir constituer ensuite une cartographie des risques de non-conformité complémentaire de la cartographie des risques opérationnels du contrôle interne. De cette cartographie découle ensuite des contrôles de second niveau menés par le contrôle interne.

Néanmoins, si la gestion des risques ou le contrôle interne sont des acteurs majeurs du dispositif de maîtrise des risques, la conformité peut être considérée comme pierre angulaire du système. En effet, les deux autres fonctions ont pour matière des risques propres à l’entité par leur identification, évaluation et maîtrise. La conformité détecte des risques externes, dont la source est la réglementation (de loi aux normes professionnelles) comme des risques internes initiées par l’entreprise elle-même avec la déontologie et l’éthique.

Pour autant, de nombreuses interactions sont possibles, et même souhaitables entre gestion des risques, conformité et contrôle interne. Chacune de ses fonctions participent au dispositif de maîtrise des risques et sont interconnectées, sinon interdépendantes.

Jérôme Charré

Share This