La gestion des risques dans les entreprises d'assurances

Transcription

1 Circulaire _2008_13 du 5 juin 2008 La gestion des risques dans les entreprises d'assurances Champ d'application: Entreprises d'assurances belges ainsi que les succursales des entreprises d'assurances relevant du droit d'un Etat non membre de l'espace économique européen. Résumé/Objectifs: Cette circulaire énonce les attentes de la en matière d'organisation de la gestion des risques auprès des entreprises d'asssurances; sa mise en oeuvre dépendra de la complexité, de la nature et de l'étendue des activités des entreprises concernées. Madame, Monsieur, 1. Motivation et champ d application Le législateur et la ont pris récemment diverses initiatives 1 portant sur la définition d un cadre prudentiel relatif à la gestion des risques dans les établissements financiers. Les attentes de la sont en grande partie inspirées des normes et meilleures pratiques internationales, comme celles développées par : - Le Committee of European Insurance and Occupational Pensions Supervisors (CEIOPS), notamment dans les documents de référence suivants : Draft Advice to the European Commission in the framework of the Solvency II project on insurance undertakings Internal Risk and Capital Assessment requirements, supervisors evaluation procedures and harmonized supervisors powers and tools Nous nous référons notamment aux dispositions légales et réglementaires suivantes : - la loi du 15 mai 2007 transposant la directive européenne CRD et modifiant la loi du 22 mars 1993 (en particulier les articles 20, 20 bis et 43, 2), la loi du 6 avril 1995 (en particulier les articles 60, 60bis et 90, 2) et la loi du 20 juillet 2004 (en particulier l article 153); - le règlement de la du 5 juin 2007 relatif aux règles organisationnelles applicables aux établissements fournissant des services d investissement; - l arrêté de la du 17 octobre 2006 relatif au règlement sur les fonds propres des établissements de crédit et des entreprises d investissement (en particulier le titre XII «Processus d évaluation propre à l établissement» - ICAAP); - la circulaire CPA CPA du 19 septembre 2006 aux entreprises d assurances concernant les modèles de gestion des risques des entreprises d assurances.

2 _2008_13 du 5 juin / 7 - International Association of Insurance Supervisors (IAIS), notamment dans les documents de référence suivants : Guidance paper on Enterprise Risk Management for capital adequacy and solvency purposes ; Guidance paper on the Use of Internal Models for risk and capital management purposes by insurers le Comité de Bâle sur le contrôle bancaire, notamment dans les documents de références suivants : Core Principles for Effective Banking Supervision 2006; Management of Credit risk 2000; Sound Practices for Managing Liquidity 2000; Principles for the management and supervision of interest rate risk le Committee of European Banking Supervisors (CEBS), notamment dans les documents de référence suivants : Guidelines on Supervisory Review 2006; Guidelines on interest rate risk, concentration risk and stress testing L un des objectifs poursuivis par la est de développer une politique transsectorielle aussi uniforme et cohérente que possible. A cette fin, la présente circulaire énonce des principes concernant la gestion des risques qui peuvent, en principe, s appliquer à tout établissement financier, mais qui sont, dans une large mesure, déjà incorporés dans l ensemble des dispositions légales et réglementaires précitées applicables aux établissements de crédit. Cependant, un tel cadre légal et réglementaire fait encore à certains égards défaut dans le secteur des assurances. Dans l attente d une approche transectorielle uniforme e.a. pour la gestion des risques, il s indique, sous l angle prudentiel, d adresser la présente circulaire aux entreprises d assurances de droit belge, ainsi qu aux entreprises d assurances ne relevant pas du droit d un Etat membre de l Espace Economique Européen. La présente circulaire se rattache à l article 14bis de la loi du 9 juillet Cet article prévoit que les entreprises d assurances doivent disposer d une structure de gestion, d une organisation administrative et comptable et d un contrôle interne approprié aux activités qu elles exercent. Il est essentiel que les entreprises disposent d un système de gestion des risques qui comprend les stratégies, processus et procédures nécessaires pour suivre, gérer et déclarer, en permanence, les risques auxquels les entreprises sont ou pourraient être exposées ainsi que les interdépendances entre ces risques, au niveau individuel et agrégé. Ce système de gestion des risques est parfaitement intégré à la structure organisationnelle de l entreprise d assurances. La présente circulaire précise les critères sur lesquels la s appuiera pour juger de la qualité de la gestion des risques au sein des entreprises d assurances. Ces principes, qui s inspirent des 'best practices' déjà suivies actuellement par des entreprises d assurances, ont une valeur de recommandations générales ; leur mise en œuvre dépendra de la nature, de l étendue et de la complexité des activités des entreprises d assurances.

3 _2008_13 du 5 juin / 7 2. Definitions Le système de gestion des risques comprend les stratégies, processus et procédures nécessaires pour suivre, gérer et déclarer, en permanence, les risques auxquels les entreprises sont ou pourraient être exposées ainsi que les interdépendances entre ces risques, au niveau individuel et agrégé; est parfaitement intégré dans la structure organisationnelle de l entreprise d assurances. L'objectif de ce système est d'identifier, évaluer, gérer 2 et suivre les risques auxquels les entreprises d'assurances sont ou pourraient être exposées. La fonction de gestion des risques est la fonction qui est chargée par la direction effective de la mise en œuvre effective du système de gestion des risques. 3. Pratiques sur la saine gestion des risques Une saine gestion des risques repose sur le respect de quatre principes fondamentaux - une implication de l'organe d'administration et de la direction effective, le cas échéant le comité de direction; - une fonction appropriée de gestion des risques; - des politiques adéquates de gestion des risques; - un monitoring et un reporting appropriés. Lors de l application de ces principes, les entreprises tiendront compte de la nature, de l étendue et de la complexité de leurs activités. En conséquence, l éventail des pratiques considérées comme adéquates est très large. Ainsi, les entreprises dont les activités sont moins complexes - ce qui permet à la direction effective, le cas échéant le comité de direction, d intervenir activement dans le déroulement des opérations quotidiennes - peuvent s appuyer un système relativement simple de gestion des risques. D autres organisations, en revanche, qui exercent des activités plus complexes et très diversifiées, recourront à des approches plus élaborées et structurées pour prendre en compte l éventail de leurs activités et fournir à la direction effective, le cas échéant le comité de direction, les informations nécessaires à la surveillance et à la conduite des activités quotidiennes. a. Implication de l'organe légal d'administration et de la direction effective, le cas échéant le comité de direction L implication de l'organe légal d'administration et de la direction effective, le cas échéant le comité de direction, est un élément essentiel d une saine gestion des risques. Il importe à cet effet que l'organe légal d'administration et la direction effective, le cas échéant le comité de direction, soient conscients de leurs responsabilités à cet égard et assurent le bon fonctionnement de la gestion des risques au sein de l entreprise. Principe 1: L'organe légal d'administration de l entreprise d assurances définit les limites de tolérance aux risques, revoit périodiquement les stratégies et politiques en matière de gestion des risques, et s assure que la direction effective, le cas échéant le comité de direction, prend les mesures nécessaires à l identification, à la mesure, à la gestion et au suivi des risques. Il est tenu informé régulièrement des risques encourus. Il incombe à l'organe légal d'administration de définir les stratégies générales en matière de gestion des risques et d examiner les objectifs globaux de l entreprise sous l angle des risques. Le conseil définit l'appétence au risque. Il approuve les politiques précisant les compétences et les responsabilités en matière d identification, de mesure, de gestion et de suivi des risques. L'organe légal d'administration s assure que la direction effective, le cas échéant le comité de direction, a pris les dispositions nécessaires pour mettre en œuvre un système de gestion des risques. L'organe légal 2 Le terme "gestion" doit être compris dans le sens de "traitement".

4 _2008_13 du 5 juin / 7 d'administration ou l un des comités spécialisés constitués en son sein évalue régulièrement, sur base d informations suffisamment précises et actuelles, si la direction effective, le cas échéant le comité de direction, suit les risques en conformité avec les politiques définies par l'organe légal d'administration. La fréquence de cette évaluation tient compte de la complexité des activités. En outre, le conseil ou l un de ses comités spécialisés constitués en son sein réévalue périodiquement les politiques de gestion des risques et les stratégies opérationnelles globales qui encadrent l exposition aux risques de l entreprise d assurances. L entreprise d assurances procède à intervalles réguliers à l évaluation du fonctionnement de sa structure de gestion, et notamment de ses organes de gestion, y compris leurs compétences, leur composition et leur taille. L'organe légal d'administration encourage le dialogue entre ses membres et la direction effective, le cas échéant le comité de direction, ainsi qu entre celle-ci et les autres cadres, sur l exposition aux risques. Afin d exercer ses responsabilités, l'organe légal d'administration peut se faire assister, soit par le comité d audit, soit par un comité spécialisé. Principe 2: La direction effective, le cas échéant le comité de direction, est responsable de la mise en oeuvre d un système de gestion des risques qui comprend des politiques, processus et procédures permettant d identifier, de mesurer, de gérer et suivre les risques auxquels l entreprise est exposée ou pourrait l être. Il incombe à la direction effective, le cas échéant le comité de direction, de mettre en œuvre les directives de l'organe d'administration en conformité avec la stratégie de l entreprise d assurances. Un système de gestion des risques efficace implique la mise en place, d une part, d une structure organisationnelle transparente et connue de l ensemble du personnel qui reflète clairement les responsabilités et délégations, et d autre part, des processus documentés et des contrôles efficaces. Les rapports sur les risques adressés à la direction effective, le cas échéant le comité de direction, fournissent des informations concises et complètes ainsi que des précisions complémentaires suffisantes pour permettre l évaluation de la sensibilité de l entreprise aux modifications des facteurs de risque. La gestion effective, le cas échéant le comité de direction, revoit également de manière périodique les politiques et procédures de gestion des risques pour s assurer qu elles demeurent appropriées et fiables. b. Exigence d une fonction de gestion des risques Principe 3: La direction effective, le cas échéant le comité de direction, prend les mesures nécessaires pour que l entreprise d assurances dispose en permanence d une fonction de gestion des risques. Cette fonction s occupe de la mise en œuvre du système de gestion des risques. Les entreprises plus importantes ou plus complexes disposent d un département autonome responsable de la gestion des risques. L entreprise d assurances met en place une fonction permanente de gestion des risques. Elle s assure que tous les risques sont couverts. Les entreprises d assurances dont la taille ou la complexité des activités le requièrent, constituent un département autonome de gestion des risques. Indépendance de la fonction Principe 4 : La fonction de gestion des risques est indépendante des fonctions génératrices des risques. L indépendance implique que la fonction relève directement d un membre de la direction effective, le cas échéant le comité de direction, et que la fonction dispose d un statut particulier au sein de l entreprise. La fonction de gestion des risques relève directement d un membre de la direction effective, le cas échéant le comité de direction. La collégialité de la direction effective, le cas échéant le comité de direction, ne fait pas obstacle à l attribution de domaines de compétences spécifiques aux membres. Cependant, cette répartition interne des tâches ne peut pas créer des conflits d intérêts dans le chef du dirigeant effectif duquel relève la fonction de gestion des risques. Le statut adéquat de la fonction est garanti par un document, approuvé par la direction effective, le cas échéant le comité de direction, et confirmé par l'organe légal d'administration dans le cadre de sa mission de surveillance. Ce document définit au moins les missions, les responsabilités, l autorité, la place dans l organisation, les compétences ainsi que les relations avec les autres fonctions et services.

5 _2008_13 du 5 juin / 7 La direction effective, le cas échéant le comité de direction, veille à mettre en place des procédures et des règles permettant d assurer l indépendance de la fonction de gestion des risques par rapport aux personnes et services qui concluent et gèrent les opérations. Cette fonction indépendante peut être organisée au niveau du groupe. Des opinions externes peuvent également être recueillies. La fonction de gestion des risques a la possibilité d informer directement et de sa propre initiative le président de l'organe légal d'administration ou les membres du comité chargé d assister l'organe légal d'administration, selon les modalités prévues dans le document relatif au statut de la fonction. Compétence Principe 5 : Les compétences particulières du gestionnaire des risques ou du département dans son ensemble sont essentielles à son bon fonctionnement. Il importe que la direction effective, le cas échéant le comité de direction, prenne les mesures nécessaires pour garantir que la gestion des risques est exercée par des collaborateurs qualifiés possédant l expérience et les capacités techniques et actuarielles requises correspondant à la nature et à la complexité des activités de l entreprise. Les effectifs devraient être suffisamment étoffés pour gérer les risques efficacement et en permanence, et les compétences régulièrement actualisées en fonction de l évolution des activités de l'entreprise et de son environnement. Proportionnalité Principe 6 : Compte tenu du caractère hétérogène des entreprises d assurances au sein du secteur, les principes et techniques de gestion des risques tiennent compte de la nature, de la taille et de la complexité des activités de chaque entreprise individuelle. c. Politique adéquate de gestion des risques Identification et mesure des risques Principe 7 : Une gestion des risques efficace requiert l identification et l évaluation de l ensemble des risques auxquels est exposée l entreprise d assurances. D une manière générale, chaque entreprise d assurances devrait, en fonction de la complexité et de la gamme de ses activités, disposer d un système de mesure des risques. La complexité du système peut différer d une entreprise à l autre : soit des calculs simples, soit des simulations sophistiquées, voire des modélisations dynamiques tenant compte de l impact des décisions futures. Ce système fournit des mesures représentatives de l exposition courante aux divers risques et devrait permettre de détecter les dépassements de limites fixées par la direction effective, le cas échéant le comité de direction. Le système de mesure: - évalue l ensemble des risques; - repose sur des hypothèses et paramètres réalistes dûment explicités et justifiés. Le système de mesure englobe les expositions relatives à l ensemble des activités. Ceci n exclut pas d utiliser un système de mesure et des approches de gestion du risque différents selon le type d activités et le type de risques. Toutefois, il incombe à la direction effective, le cas échéant le comité de direction, de s assurer de la mise en place d une gestion des risques efficace à chaque niveau de décision. Quel que soit le système de mesure, l utilité de chaque technique dépend de la validité des hypothèses de base et de la rigueur des méthodologies utilisées pour modéliser l exposition aux risques. Le niveau de détail des informations sera adéquatement défini tenant compte de la complexité des opérations et des estimations disponibles en matière d'exposition aux risques. L intégrité et la transmission en temps utile des données constituent également un élément essentiel du système de mesure du risque. L entreprise d assurances s assure que l ensemble de ses données comptables et extra-comptables est incorporé en temps utile dans le système de mesure. Une

6 _2008_13 du 5 juin / 7 adaptation manuelle des données ne peut se faire que si elle est suffisamment expliquée, justifiée et documentée. Il est important que la fonction de gestion des risques et le membre de la direction effective, le cas échéant le comité de direction, responsable de la gestion des risques connaissent suffisamment l impact des hypothèses de base lors de leur évaluation des résultats du système de mesure des risques. Il convient d éviter que le système ne devienne une «boite noire» susceptible de produire des résultats qui ne sont corrects qu en apparence par manque de maîtrise des hypothèses et des paramètres spécifiques. Les hypothèses de base seront expliquées, justifiées, documentées et approuvées par la direction effective, le cas échéant le comité de direction, et feront l objet d un réexamen ou, le cas échéant, d'une révision au moins une fois an. Gestion des risques Principe 8 : La direction effective établit et impose des limites et autres pratiques permettant de maintenir les risques au niveau des limites de la tolérance aux risques tel que défini par l'organe légal d'administration. La gestion des risques a pour objectif de maintenir l exposition au risque dans les limites de la tolérance aux risques. Un système de reporting et directives en matière de limites de risques permet de réaliser cet objectif. Un tel système fixe des seuils de risques et permet d assigner des limites à chaque portefeuille, activité ou unité. Le système de limites garantira également que les positions dépassant certains montants soient communiquées à la direction effective, le cas échéant le comité de direction, en temps utile. Conçu de manière appropriée, ce système permettra à la direction de contrôler l exposition aux risques, de provoquer des discussions, et de surveiller la prise de risque par rapport aux tolérances préétablies. Les limites de l'appétence aux risques seront compatibles avec l approche générale de mesure des risques. Des seuils globaux qui circonscrivent clairement le niveau de risque acceptable seront définis par l'organe légal d'administration et réévalués à intervalles réguliers. Ils seront proportionnels à la dimension, à la complexité, au niveau de fonds propres et à la capacité de l entreprise à mesurer et à gérer les risques. Les dépassements de limites seront signalés en temps utile aux membres de la direction effective, le cas échéant le comité de direction. Une politique devrait préciser clairement et formaliser les modalités d information de la gestion effective, le cas échéant le comité de direction, ainsi que la nature et l étendue de l action que la gestion effective, le cas échéant le comité de direction, pourra entreprendre en cas de dépassement de limites. Il appartient à la direction effective, le cas échéant le comité de direction, de déterminer si les limites sont absolues, c est-à-dire qu elles ne pourront jamais être dépassées, ou, si des dépassements pourront être admis dans des conditions spécifiques qui devront être expliquées, justifiées et documentées. La fonction de gestion des risques évalue régulièrement la méthodologie, les modèles et les hypothèses permettant de mesurer et de limiter les positions. Une documentation adéquate des ces éléments du système est essentielle pour procéder à des évaluations efficaces. Il importe de vérifier notamment si la hauteur des limites est justifiée par la rentabilité des activités et la solidité financière de l entreprise. La fréquence et l ampleur de la réévaluation des méthodes et modèles tiennent compte de la complexité des activités et de l évolution du marché. Une entreprise d assurances procède au-moins une fois par an à l évaluation interne de son exposition aux risques et de sa solvabilité. Elle veille à cette occasion au caractère adéquat de l ensemble de sa politique de gestion des risques et y apporte, le cas échéant, les adaptations nécessaires pour se conformer aux dispositions légales, réglementaires et administratives en cette matière. d. Monitoring et reporting (suivi des risques) Principe 9: Les entreprises d assurances disposent d'un système d information adéquat pour surveiller et notifier en temps utile leur exposition aux risques encourus. Des rapports sont transmis en temps utile au conseil d administration, à la direction effective, le cas échéant le comité de direction, et, le cas échéant, aux responsables des différents départements opérationnels. La direction effective, le cas échéant le comité de direction, et l'organe légal d'administration disposent d un système d information à la fois exact, complet et rapide, tant pour la transmission de données que

7 _2008_13 du 5 juin / 7 pour le contrôle du respect des orientations définies par le conseil. La communication des mesures de risques se fait à intervalles réguliers et comporte des comparaisons précises entre les expositions courantes et les limites définies. En outre, les prévisions ou les estimations des risques réalisées antérieurement sont comparées aux résultats réels afin de mettre en évidence les éventuelles lacunes des modèles (contrôle a posteriori). Les rapports sur le niveau de l exposition aux risques encourus sont régulièrement examinés par la direction effective, le cas échéant le comité de direction, et l'organe légal d'administration. La nature des informations qui leur sont communiquées peut varier selon le profil de risque de l entreprise; les rapports devraient cependant inclure au moins les éléments suivants: - recensements de l exposition globale; - états montrant le respect des politiques et limites établies; - résultats des tests critiques, y compris ceux qui prévoient des modifications éventuelles des hypothèses et paramètres essentiels; - résumés des conclusions du contrôle, d une part, du caractère adéquat et du respect des politiques et procédures fixées en matière de gestion des risques, et d autre part, de l adéquation du système de mesure des risques. Les rapports peuvent aussi inclure, le cas échéant, les conclusions des auditeurs internes et externes ou de consultants extérieurs. e. Audit interne Principe 10 : La gestion des risques entre dans le champ d investigation du service d audit interne, conformément au prescrit de la circulaire PPB CPA sur le contrôle interne et l audit interne (chaque activité et chaque entité de l entreprise entrent dans le champ d investigation du service d audit interne). Dans le cadre de leur plan d audit établi sur base d une analyse préalable des risques encourus, les auditeurs internes évaluent et testent périodiquement le processus de gestion des risques, ainsi que le caractère adéquat du contrôle interne. Il incombe aux auditeurs internes d évaluer l indépendance et l efficacité globale de la gestion des risques de l entreprise d assurances. L évaluation par les auditeurs internes du caractère adéquat des contrôles internes implique un processus de compréhension, d appréciation, de vérification et de documentation, et du système de contrôle interne. * * * Une copie de la présente circulaire est adressée au(x) réviseur(s) de votre établissement. Veuillez croire, Madame, Monsieur, à l'assurance de notre considération distinguée. Le Président, Jean-Paul SERVAIS.