Toute entreprise mentionnée à l'article L. 310-1 ou au 1° du III de l'article L. 310-1-1 est tenue de mettre en place un dispositif permanent de contrôle interne.
Le conseil d'administration ou le conseil de surveillance approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'Autorité de contrôle.
1° La première partie de ce rapport détaille les conditions de préparation et d'organisation des travaux du conseil d'administration ou du conseil de surveillance et, le cas échéant, les limitations apportées par le conseil d'administration aux pouvoirs du directeur général dans l'exercice de ses fonctions.
Toutefois, les entreprises dont les titres financiers sont admis aux négociations sur un marché réglementé ne sont pas tenues de fournir ces éléments lorsqu'elles transmettent à l'Autorité de contrôle le rapport mentionné, selon les cas, à l'article L. 225-37 ou à l'article L. 225-68 du code de commerce.
2° La seconde partie de ce rapport détaille :
a) Les objectifs, la méthodologie, la position et l'organisation générale du contrôle interne au sein de l'entreprise ; les mesures prises pour assurer l'indépendance et l'efficacité du contrôle interne et notamment la compétence et l'expérience des équipes chargées de le mettre en oeuvre, ainsi que les suites données aux recommandations des personnes ou instances chargées du contrôle interne ;
b) Les procédures permettant de vérifier que les activités de l'entreprise sont menées selon les politiques et stratégies établies par les organes dirigeants et les procédures permettant de vérifier la conformité des opérations d'assurance ou de réassurance aux dispositions législatives et réglementaires ;
c) Les méthodes utilisées pour assurer la mesure, l'évaluation et le contrôle des placements, en particulier en ce qui concerne l'évaluation de la qualité des actifs et de la gestion actif-passif, le suivi des opérations sur instruments financiers à terme et l'appréciation des performances et des marges des intermédiaires financiers utilisés ;
d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut la répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer les transactions ne pouvant être également chargées de leur suivi, les délégations de pouvoir, la diffusion de l'information, les procédures internes de contrôle ou d'audit ;
e) Les procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les risques liés aux engagements de l'entreprise et de détenir des capitaux suffisants pour ces risques, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés à la politique de l'entreprise dans ces domaines, définie dans les rapports mentionnés à l'article L. 322-2-4 et à l'article R. 336-5 ;
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l'entreprise, et les risques qui pourraient en résulter ;
g) Les procédures d'élaboration et de vérification de l'information financière et comptable ;
h) Les procédures et les mesures de contrôle interne des risques de blanchiment des capitaux et de financement du terrorisme, pour les entreprises mentionnées au 2° de l'article L. 561-2 du code monétaire et financier.
Ces procédures et mesures sont mises en œuvre dans les conditions prévues par un arrêté du ministre chargé de l'économie.
Les organismes chargés d'établir et de publier les comptes consolidés ou combinés d'un groupe d'assurance au sens du 6° de l'article L. 334-2 fournissent en outre un rapport décrivant également le dispositif de contrôle interne du groupe d'assurance.
Ce rapport contient notamment une description des éléments mentionnés à l'article R. 334-40 et à l'article R. 334-45.
Les dispositions du présent article sont applicables aux entreprises mentionnées au 1° de l'article L. 310-2 aux entreprises mentionnées au 1° du III de l'article L. 310-1-1 ainsi qu'aux succursales des entreprises étrangères mentionnées aux 3° et 4° de l'article L. 310-2. Pour ces dernières, le mandataire général représentant la société est substitué au conseil d'administration ou de surveillance.