1. Périmètre de l’audit
Le périmètre de l’audit interne couvre les activités et processus de l’entreprise et de ses filiales, contrôlées majoritairement. Ce périmètre inclut également les activités déléguées ou sous-traitées par l’entreprise.
Les activités de l’audit interne sont certifiées par l’Institut français de l’audit et du contrôle internes (IFACI) et répondent au référentiel professionnel de l’audit interne, issu des normes internationales d’audit Interne de l’IIA (Institute of Internal Auditors). À ce titre, l’évaluation externe des pratiques de l’audit interne est assurée par « IFACI Certification » qui réalise un suivi annuel et un audit de certification tous les trois ans.
2. Indépendance et objectivité de la fonction audit interne
Le responsable de l’audit interne :
- est rattaché au directeur général du groupe CNP Assurances et lui rend compte de ses besoins et de l’ensemble de ses travaux ;
- exerce la fonction clé audit interne au sens de Solvabilité 2 et n’exerce aucune autre fonction clé ;
- rapporte périodiquement au comité d’audit et des risques du conseil d’administration. Il présente pour approbation du conseil d’administration, sa politique, son programme, ses ressources et expose son bilan annuel d’activité ; - tient à la disposition du comité les rapports détaillés des missions.
Les affectations des auditeurs internes sont effectuées de manière à éviter tout conflit d’intérêt ou manque d’impartialité potentiels ou réels. Ainsi les auditeurs internes ne peuvent, pendant un an, réaliser des missions d’audit sur leur ancien domaine de responsabilité.
Enfin, les auditeurs internes ne contribuent pas à la mise en œuvre des recommandations : les plans d’actions sont définis et mis en œuvre par les audités, en toute responsabilité.
3. Réseau d’audit interne Groupe
Le directeur de l’audit interne de CNP Assurances est responsable du réseau d’audit du Groupe. Il veille à la déclinaison de la politique d’audit au niveau local et à sa conformité à la réglementation Solvabilité 2.
Les plans d’audit des filiales sont élaborés en coordination avec l’audit Groupe.
Le responsable de l’audit interne organise une réunion présentielle annuelle avec les responsables de la fonction audit interne au sein des filiales (détenues majoritairement).
Par ailleurs, un comité trimestriel de la fonction audit interne est en place avec chacune des filiales. L’objectif est de veiller à la correcte mise en œuvre de la politique d’audit et à l’identification des zones de risques ayant potentiellement un impact sur le groupe.
CNP Assurances SFCR Groupe au 31 décembre 2020
69
Le responsable de l’audit interne veille, en particulier à la consolidation au niveau Groupe des constats majeurs et du suivi des recommandations.
4. Dispositif d’élaboration du plan d’audit annuel
Le plan d’audit s’inscrit dans la stratégie du Groupe et son environnement concurrentiel.
Il est élaboré en trois grandes étapes : 1. Construction de l’univers d’audit
- Identification des risques inhérents aux activités du Groupe tels que cartographiés par la Direction des risques Groupe et qui constituent les « objets d’audit »,
- Priorisation en fonction de l’évaluation de ces risques,
- Prise en compte des risques identifiés de manière complémentaire par les parties prenantes, externes ou internes, en charge de différents types de contrôle,
- Prises en compte des demandes des dirigeants du Groupe,
- Couverture quinquennale de l’univers d’audit (approche rétrospective) et projection d’un plan à 5 ans (approche prospective).
2. Finalisation du plan d’audit
- Couverture des filiales pour lesquelles la direction de l’audit Groupe porte la responsabilité de la fonction-clé, - Calibrage par rapport aux ressources disponibles (jours/homme et compétences).
3. Validation du plan d’audit
- Coordination avec l’inspection générale de La Banque postale,
- Présentation au directeur général du groupe CNP Assurances puis au président du conseil d’administration et, enfin, au comité exécutif.
- Présentation au comité d’audit et des risques avant présentation pour approbation au conseil d’administration du groupe CNP Assurances.
A chaque étape, les éventuelles remarques sont prises en compte.
5. La conduite des missions d’audit interne
La conduite des missions d’audit interne s’organise autour des étapes suivantes :
- Lettre de mission : signée du directeur de l’audit interne Groupe, elle définit le périmètre, la nature, les objectifs et la durée indicative de la mission ;
- Déroulé de la mission : la mission est organisée en trois phases successives de préparation, de réalisation et de conclusion, au cours desquelles sont identifiés, analysés, évalués et documentés des constats et donnant lieu à des recommandations.
CNP Assurances SFCR Groupe au 31 décembre 2020
70
- Les livrables produits sont : un projet de rapport contenant les constats et les recommandations hiérarchisés en fonction de l’appréciation du niveau de risque résiduel estimé sur le périmètre d’activité audité ; un rapport définitif enrichi des réponses des audités aux recommandations (plans d’action, responsable, échéance) et des
commentaires de l’audit sur les plans d’action proposés (documents de preuve attendus).
- L’opinion d’audit sur le degré de maîtrise du périmètre est maintenant définie sur une échelle à 4 niveaux de satisfaisant à insatisfaisant. Il en est de même pour les risques résiduels cotés de critique à faible. Le degré de priorité des recommandations en découle directement. Lorsque la mission d’audit porte sur une filiale, l’opinion d’audit est complétée par une évaluation du risque porté au final par le Groupe, compte tenu de la taille de ladite filiale.
- Suivi des recommandations : le suivi des recommandations par l’audit interne s’effectue sur la base des documents transmis par les entités responsables attestant de l’avancement du plan d’action mis en œuvre. L’audit interne peut, exceptionnellement, opérer des vérifications sur site dans le cadre d’un audit de suivi. L’état des recommandations fait l’objet d’un rapport trimestriel au comité exécutif et annuel au comité d’audit et des risques (dans le cadre du bilan) ; Le suivi est trimestriel pour le directeur général et le Comex. Toute recommandation de niveau 1 présentant un retard quelconque de mise en œuvre est détaillée.
- Archivage : L’équipe d’audit archive les documents et les travaux d’audit relatifs à la mission à la suite de la diffusion du rapport définitif.
CNP Assurances SFCR Groupe au 31 décembre 2020
71