L'institution ou l'union est tenue de mettre en place un dispositif permanent de contrôle interne.
Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'Autorité de contrôle des assurances et des mutuelles.
1° La première partie de ce rapport détaille les conditions de préparation et d'organisation des travaux du conseil d'administration et, le cas échéant, les pouvoirs nécessaires à la gestion de l'institution ou de l'union délégués au directeur général par le conseil d'administration dans le cadre de l'article R. 931-3-11.
2° La seconde partie de ce rapport détaille :
a) Les objectifs, la méthodologie, la position et l'organisation générale du contrôle interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indépendance et l'efficacité du contrôle interne et notamment la compétence et l'expérience des équipes chargées de le mettre en œuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ;
b) Les procédures permettant de vérifier que les activités de l'institution ou de l'union sont conduites selon les politiques et stratégies établies par les organes dirigeants et les procédures permettant de vérifier la conformité des opérations d'assurance ou de réassurance aux dispositions législatives et réglementaires ;
c) Les méthodes utilisées pour assurer la mesure, l'évaluation et le contrôle des placements, en particulier en ce qui concerne l'évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l'appréciation des performances et des marges des intermédiaires financiers utilisés ;
d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l'information, les procédures internes de contrôle ou d'audit ;
e) Les procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les risques liés aux engagements de l'institution ou de l'union et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de l'institution ou de l'union dans ces domaines, définie dans le rapport mentionné à l'article L. 322-2-4 du code des assurances ;
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l'institution ou de l'union, et les risques qui pourraient en résulter ;
g) Les procédures d'élaboration et de vérification de l'information financière et comptable ;
h) Les procédures et mesures de contrôle interne des risques de blanchiment des capitaux et de financement du terrorisme, pour les institutions mentionnées au 3° de l'article L. 561-2 du code monétaire et financier.
Ces procédures et mesures sont mis en œuvre dans les conditions prévues par un arrêté du ministre chargé de la sécurité sociale ou, pour les institutions relevant du II de l'article L. 727-2 du code rural par un arrêté du ministre chargé de l'agriculture. Les arrêtés sont pris après avis du ministre chargé de l'économie.