1. Rappel des dispositions règlementaires
L’objectif de la réglementation est de sécuriser le dispositif de sous-traitance notamment pour les prestataires importants ou critiques (PIC), et ce, de l’entrée en relation avec le prestataire jusqu’au plan de continuité d’activité.
L’objectif de la règlementation est que l’assureur ne s’exonère pas de ses engagements en sous-traitant.
A cet effet, les entreprises d’Assurance sont tenues de se doter d’une Politique Groupe de Sous-Traitance, validée par le conseil d’administration, qui précise le processus à respecter, pour chaque étape de la relation à savoir
- L’étude d’opportunité.
- La sélection du prestataire.
- La contractualisation.
- Le suivi et le contrôle de la prestation.
- La continuité d’activité.
L’article L. 310-3 du code des assurances définit l’externalisation comme
« un accord, quelle que soit sa forme, conclu entre une entreprise et un prestataire de services, soumis ou non à un contrôle, en vertu duquel ce prestataire de services exécute, soit directement, soit en recourant lui-même à l’externalisation, une procédure, un service ou une activité, qui serait autrement exécuté par l’entreprise elle-même.».
L’Article R. 354-7 du Code des Assurances retient comme activités ou fonctions opérationnelles importantes ou critiques au sens de l’article L. 354-3, les fonctions clés mentionnées à l’article L. 354-1 et celles dont l’interruption est susceptible d’avoir un impact significatif sur l’activité de l’entreprise, sur sa capacité à gérer efficacement les risques ou de remettre en cause les conditions de son agrément au regard des éléments suivants
- Le coût de l’activité externalisée.
- L’impact financier, opérationnel et sur la réputation de l’entreprise de l’incapacité du prestataire de service d’accomplir sa prestation dans les délais impartis .
- La difficulté de trouver un autre prestataire ou de reprendre l’activité en direct.
- La capacité de l’entreprise à satisfaire aux exigences réglementaires en cas de problèmes avec le prestataire.
- Les pertes potentielles pour les assurés, souscripteurs ou bénéficiaires de contrats ou les entreprises réassurées en cas de défaillance du prestataire.
L’entreprise d’Assurance est invitée à établir pour les entreprises du Groupe, une liste des activités susceptibles d’être retenues comme importantes ou critiques à partir des dispositions de l’EIOPA
- La souscription de contrats d’assurance.
- La gestion de sinistres ou règlements de prestations.
- Les activités d’assistance.
- L’assurance de protection juridique.
- La conception et la tarification des produits d’assurance.
- La gestion d’actifs financiers.
- Les fonctions clés vérification de la conformité, audit interne, gestion des risques et actuarielles.
- La fonction comptable.
- Le processus ORSA.
- L’archivage des données.
- Les services informatiques de support et de maintien en condition opérationnelle dès lors que le service fourni est considéré comme essentiel ou critique dans le BIA (analyse Bilan Impact Activité dans la démarche Plan de Continuité d’Activité – PCA).
2. Rôles et responsabilités des intervenants
2.1 Directions opérationnelles et supports délégantes
- Rédigent le cahier des charges des prestations attendues.
- Sollicitent la direction des achats.
- Participent à la sélection du prestataire.
- Veillent à la complétude des éléments de connaissance du prestataire (attestations, agrément, etc.) et à leur mise à jour annuelle.
- Désignent les superviseurs de la prestation.
- Participent aux comités de pilotage selon les activités.
- Contrôlent la réalisation du suivi à la charge du superviseur (suivi des indicateurs de pilotage, qualité, notification d’incidents, suivi des plans d’action à engager par le sous-traitant, etc.).
- Contrôlent la facturation.
- Effectuent la cartographie des prestations sous-traitée et procèdent à sa révision annuelle.
2.2 Superviseur de la prestation
- Formalise le contrat et la convention de service (définit le niveau de service pour chacune des prestations rendues) avec la Direction Juridique.
- Récupère annuellement les documents de connaissance du prestataire (agrément, attestations, éléments financiers, etc.).
- Coordonne le pilotage de la prestation (suivi des indicateurs de pilotage, qualité, suivi des plans d’action à engager par le sous-traitant, etc.).
- Réalise le suivi des notifications d’incidents et alimente l’outil de gestion des risques opérationnels.
- Veille à l’organisation et à la tenue des comités de suivi et de pilotage.
- Réalise le suivi des plans d’action à engager par le prestataire.
- Réalise le suivi de la facturation.
- S’assure de la mise en œuvre d’un dispositif de Contrôle Interne chez le prestataire et recueille les justificatifs périodiques des éléments contrôlés.
- Met en place un dispositif de contrôle sur le suivi de la prestation en interne.
- Collecte les PCA du prestataire ainsi que les résultats des tests qu’il soumet au Responsable de son entité.
2.3 Direction Juridique
- Assiste le superviseur dans la contractualisation.
- Est sollicitée pour toute dérogation aux dispositions et clauses groupe.
- Assure la veille juridique liée à la sous-traitance en coordination avec la fonction de vérification de la conformité.
2.4 Direction vérification de la Conformité
- Est sollicitée pour toute dérogation aux dispositions et clauses contractuelles groupe.
- Assiste la direction délégante dans la vérification de la mise en œuvre du dispositif de Contrôle Permanent de niveau 1 et 2, du rapport annuel de contrôle interne, des résultats des contrôles et suivi des plans d’action.
- Le responsable PCA de l’entreprise valide les documents PCA, apprécie les résultats des tests et alerte le superviseur de la prestation en cas d’insuffisance constatée.
2.5 Audit
- Audite les prestataires externes ainsi que les prestataires intra groupe.
2.6 Comité des risques opérationnels de l’entité
- Valide la nomination des superviseurs et la procédure de désignation des prestataires importants ou critiques.
- Révise annuellement la liste des prestataires Importants ou Critiques.
- Reçoit les reportings sur les indicateurs de performance et sur le dispositif de contrôle.
2.8 Comité de Direction générale de l’entité
Pour les Prestataires Importants ou Critique:
- Valide l’étude d’opportunité, la sélection, la constitution du dossier ainsi que les modifications ultérieures.
- Valide le contrat et la convention de services.
- Reçoit les reportings sur les indicateurs de performance et sur le dispositif de contrôle.
2.9 Conseil d’Administration de l’entité
Pour les Prestataires Importants ou Critiques
- Est informé de la mise en œuvre de la sous-traitance, de la notification à l’ACPR ainsi, que des évolutions significatives.
- Reçoit les reportings sur les indicateurs de performance et sur le dispositif de contrôle.
3. Plan d’action pour la déclinaison opérationnelle de la politique de sous-traitance
- Identifier rapidement les sous-traitants « PIC » et les sous-traitants en cascade des « PIC »
- Élaborer et décliner le plan d’action de mise en œuvre du dispositif décrit dans la politique Sous-traitance
- Adaptation de la convention de sous-traitance.
- Recueil des éléments de connaissance du sous-traitant.
- Mise en œuvre du dispositif de pilotage et de contrôles (suivi des reportings de qualité et de performance, comités de suivi et de pilotage, cartographie des risques liés à la sous-traitance, plan de contrôle, suivi des incidents…).
- Puis en vue de la notification à l’Autorité de Contrôle Prudentiel et de Résolution pour les accords à compter du 1er janvier 2016
- Validation du dossier par la Direction Générale.
- Information du Conseil d’Administration.
- Mettre en place un suivi de la Sous-traitance au niveau de l’entité.