Solvabilité 2 Le Pilier 2

Transcription

1 Solvabilité 2 Le Pilier 2 Enjeux opérationnels de la gestion des risques

2 Sommaire Préface Préface 2 Introduction 4 1. Approche normative Les dispositions générales du Pilier Que dit la Directive? Que disent les projets de mesures d application? Le COSO 2 - ERM Mise en œuvre opérationnelle L'organisation générale de la «filière risque» Mettre en place le processus de gestion des risques Piloter les chantiers transverses 35 Conclusion 46 Vos contacts 47 Ce livre blanc est publié à un moment clé de l agenda réglementaire de la Directive Solvabilité 2. En effet, la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise. Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires, offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les mesures de niveau 2 sur le système de gouvernance des risques est en cours d achèvement et celle sur les mesures de niveau 3 a démarré et s accélérera au deuxième semestre C est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des entreprises d assurance s élargissent au Pilier 2. Or, cette étape implique l application opérationnelle d une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et de votre organisation. Elles sont également une opportunité pour optimiser votre performance opérationnelle. L ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion inédite de la solvabilité sur un horizon stratégique de trois à cinq ans. PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la gestion des risques en contribuant notamment à l élaboration du référentiel COSO 2-ERM. Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en conformité à Solvabilité 2. Par ailleurs, nous avons prévu de faire d'autres livres blancs au cours de 2011 et 2012 sur les sujets qui intéressent le marché, notamment, la qualité des données, l'orsa et les reportings financiers. Eric Dupont Jimmy Zou Associé Associé Responsable du secteur Assurance Responsable de Solvabilité 2

3 "Ce livre blanc, par son approche pluri-disciplinaire, présente de façon claire les points essentiels de la gestion des risques complétés d'illustrations possibles. Ce document nous conforte dans nos orientations antérieures et il permet de mieux cerner certaines déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.". MAIF Christophe Raballan Directeur de la Maîtrise des risques et du Contrôle interne Introduction Avant dernière ligne droite pour la mise en conformité à Solvabilité 2, 2011 est une étape importante pour les sociétés d assurance. Pour leur apporter des solutions clés en main, PwC consacre un livre blanc, «les Enjeux du Pilier 2», exclusivement dédié à la mise en œuvre de ces futures obligations. Ce livre blanc propose un cadre méthodologique concret et des points de repères dans le travail de déclinaison des principes du Pilier 2. Sur la route de la mise en conformité à Solvabilité 2, les entreprises d assurance (sociétés d assurance et de réassurance, mutuelles, IP) sont aujourd hui arrivées à un tournant stratégique. Après avoir consacré une part prépondérante de leurs projets de conformité aux aspects quantitatifs du Pilier 1, elles se tournent aujourd hui vers les exigences, plus qualitatives et plus complexes du Pilier 2. En effet, en 2010, vous avez mobilisé vos forces autour de la capacité de votre organisation à modéliser les risques dans un nouveau référentiel et à mesurer l impact de ce nouveau régime sur le montant des fonds propres nécessaire à horizon du 1er janvier Vous avez également finalisé l ensemble des exercices liés au QIS 5. Ces exercices ont été l occasion de réaliser un 1er test «grandeur nature» sur vos méthodes et processus calculatoires. Lors de cette phase, vous effectuez les tests «grandeur nature» pour mettre en place un processus de réalisation des bilans économiques et de calcul des SCR. C est donc, en ce début d année 2011, sur le Pilier 2 de Solvabilité 2 que vos travaux s étendront. Clef de voûte de la Directive, la conformité au Pilier 2 pose donc de nombreuses questions aux sociétés d assurance. Cette étape implique une interrogation sur votre culture du risque, une (re)définition de votre stratégie et de gouvernance des risques et, enfin, une mise en place opérationnelle de votre gestion des risques.des questions difficiles, qui vous mènent souvent au cœur du pilotage de votre activité. Qu exige précisément la réglementation Solvabilité 2? Comment ces dispositions doivent-elles, ou plutôt, peuvent-elles être appliquées à mon organisation? Quels sont les contraintes et déterminants me permettant de dimensionner un dispositif opérationnel de gestion des risques? Quels sont les chantiers que recouvrent les exigences du Pilier 2 au sein de mon projet de conformité? La difficulté majeure, partagée par l ensemble de nos clients et à laquelle s attaque ce livre blanc, est d interpréter et de calibrer les principes des textes réglementaires aux spécificités de l organisation pour créer un dispositif de gestion des risques conforme, adapté et performant. L objectif de ce livre blanc est donc de constituer une sorte de «boîte à outils», utilisable par tous les acteurs intervenant sur les aspects organisationnels de la conformité à Solvabilité 2. Après avoir rappelé les spécifications de la réglementation et du référentiel ERM 1, nous nous proposons de décliner les enjeux opérationnels de vos chantiers de conformité (organisation et gouvernance de la filière risque, processus de gestion des risques, cadrage des chantiers «transversaux» comme la qualité des données ou l ORSA 2 ), de poser les questions structurantes et, enfin, d apporter des pistes de réponse opérationnelles, via des exemples concrets de mise en œuvre. Ce document s adresse aux pilotes opérationnels des projets de conformité à Solvabilité 2, chefs de projet ou directeurs des risques. Toutefois, notre travail de réflexion et de méthodologie pourra également être utile aux dirigeants et administrateurs des organismes d assurance, dont bon nombre sont aujourd hui confrontés à des arbitrages difficiles sur le calibrage du dispositif, entre les impératifs de conformité (qui peuvent paraître lourds au regard des discours de place) et les ambitions de leur entreprise (approche de stricte conformité ou objectif de «best in class» en pilotage des risques?). Nous espérons que vous trouverez, ici, des axes de réflexion utiles pour vos travaux. (1) ERM : Enterprise Risk Management (2) ORSA : Own Risk and Solvency Assessment, Évaluation interne des risques et de la solvabilité 3

4 1. Approche normative Introduction Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu elle a mis en place un système adéquat et efficace de gestion des risques. Deux référentiels principaux servent de guide dans cette perspective de mise en conformité. Le référentiel réglementaire du Pilier 2 constitue la référence essentielle. Ses dispositions couvrent les attentes des régulateurs en matière d organisation opérationnelle de la gestion des risques. Les grands principes de la Directive y sont exprimés dans quelques articles. Des mesures d application, toujours en cours de discussion, viennent les préciser. Le référentiel technique majeur et largement admis est le COSO ERM. Il est utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d une gestion des risques performante. On notera que les agences de notation ont ainsi intégré la «performance» ERM comme un critère d évaluation à part entière. Nous vous proposons une synthèse des principales dispositions et concepts de ces deux référentiels. (3) COSO est l acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui a établi en 1992 une définition standard du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard s'appelle aussi COSO. 5

5 1.1 Les dispositions générales du Pilier Que dit la Directive? Le Pilier 2 recouvre l ensemble des principes et pratiques attendus des organisations en matière de gestion des risques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositions peuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous : La Directive européenne prévoit les bases d une bonne gouvernance comme un système complet composé de fonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernance des risques (défini dans l article n 41) est étayé par 7 «blocs» principaux qui doivent répondre à des attentes spécifiques. Ces «blocs» sont ensuite détaillés dans un article dédié de la Directive, tel qu illustré ci-dessous : Figure 1 Les principales dispositions du Pilier 2 Gouvernance des risques (art. 41 à 49) Nouveau processus de supervision (art. 27 à 39) Exigences du modèle interne (art.120 à 126) Figure 2 La gouvernance des risques GOUVERNANCE (Art.41) Honorabilité et compétences (Art.42 et 43) Des exigences de gouvernance générale (séparation des tâches, gestion des conflits d intérêt ) Un principe de proportionnalité du dispositif risque à la complexité du profil de risque La définition des fonctions clés de la gestion des risques et du périmètre du dispositif risque Des exigences de qualités «fit and proper» pour les principaux acteurs de la gestion des risques Des principes de bonne conduite en termes de rémunération Un nouveau processus de supervision, fondé sur un dialogue permanent avec le régulateur et où l entreprise a la «charge de la preuve» La possibilité pour le régulateur de sanctionner via des «capital add-on» tout écart quantitatif ou qualitatif par rapport aux standards attendus. Une utilisation effective du modèle interne dans le pilotage (gestion opérationnelle des risques, allocation de capital notamment) Une évaluation objectivée selon 9 principes (appropriation par le management, reflet fidèle du profil de risque ) L'existence d un processus interne de validation du modèle et des tests de sensibilité et de stabilité du modèle Gestion des risques (Art.44) Évaluation interne des risques et de la solvabilité - ORSA (Art. 45) Contrôle interne (Art. 46) Audit interne (Art. 47) Fonction actuarielle (Art. 48) Sous-traitance (Art. 49) Art.41 Exigences générales en matière de gouvernance Art.42 & 43 Honorabilité et compétences Art.44 Gestion des risques Source : PwC Lorsque l on cherche à appréhender les enjeux du Pilier 2, les principales difficultés viennent d un constat très simple : les articles et mesures d application définissent des principes structurants, mais fournissent peu d indications concrètes sur le dispositif à L ORSA (art.45) L ORSA recouvre l ensemble des processus et des procédures qui permettent d identifier, évaluer, suivre, contrôler et communiquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face et qui permettent de déterminer le niveau de capital dont l entreprise a besoin pour assurer sa solvabilité en permanence. L ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu à celles des Piliers 2 et 3. mettre en oeuvre. Ces principes doivent être traduits et déclinés pour s appliquer à la réalité de votre organisation. De ce fait, nous avons choisi dans ce document de nous concentrer sur l aspect organisationnel du Pilier 2, à savoir les enjeux de gouvernance des risques couverts par les articles 41 à 49, ainsi que les projets de mesures de niveau 2 et 3 en cours d élaboration par la Commission Européenne. L article 41 précise notamment que les entreprises d assurance et de réassurance doivent mettre «en place un système de gouvernance efficace, qui garantisse une gestion saine et prudente de l'activité». Ces articles 42 et 43 précisent que «toutes les personnes qui dirigent effectivement l entreprise ou qui occupent d autres fonctions clés doivent avoir les qualifications et compétences requises à l exercice de ces fonctions et que leur réputation et leur intégrité sont de bon niveau (honorabilité)». Ces informations doivent en outre être communiquées aux Autorités de Contrôle en cas de changement et nécessitent d être documentées. L article 44 indique que «les entreprises d assurance et de réassurance doivent mettre en place un système de gestion des risques efficace, qui comprenne les stratégies, processus et procédures d information nécessaires pour déceler, mesurer, contrôler, gérer et déclarer, en permanence, les risques, aux niveaux individuel et agrégé, auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques. Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l entreprise d assurance ou de réassurance et dument pris en compte par les personnes qui dirigent effectivement l entreprise ou qui occupent d autres fonctions clés». 6 PwC 7

6 Art.44 suite Il décrit également a minima le périmètre concerné par la gestion des risques (souscription et provisionnement, gestion actifpassif, investissements, risques opérationnels, les risques d illiquidité et de concentration, la réassurance et pour partie le modèle interne) et précise que les politiques de gestion des risques doivent être documentées. En synthèse, retenons surtout que la Directive : présente la fonction de gestion des risques (par la suite appelée «fonction Risque») comme une fonction obligatoire, efficace et intégrée à l organisation, fixe un périmètre minimal en termes de risques couverts à savoir les risques entrant dans le calcul du SCR sans nécessairement s y limiter, décrit les responsabilités particulières de cette fonction, véritable «chef d orchestre» global du dispositif et pilote du modèle interne si applicable. Art.45 Évaluation interne des risques et de la solvabilité - ORSA L article 45 indique que dans le cadre de leur système de gestion des risques, les entreprises d'assurance et de réassurance doivent régulièrement «procéder à une évaluation [...] interne des risques et de la solvabilité». Cette évaluation, propre au profil de risque, conduit l entreprise à expliciter le niveau de risque qui tend le capital requis en vue d apprécier son niveau de fonds propres. Précisons que l ORSA doit répondre à trois points majeurs : Démontrer dans les faits la pertinence des processus de gestion des risques développés par l organisation. S'intégrer à la stratégie commerciale et à la définition de la stratégie de l organisation : ses analyses et productions doivent être prises en compte par les décideurs. Pouvoir être réévalué suite à toute modification significative du profil de risque de l organisation. Art.46 Système de contrôle interne L article 46 précise que «les entreprises d assurance et de réassurance disposent d un système de contrôle interne efficace comprenant a minima des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d information à tous les niveaux de l entreprise et une fonction de vérification de la conformité». Art.47 Audit interne L article 47 stipule que «la fonction d audit interne évalue notamment l adéquation et l efficacité du système de contrôle interne et les autres éléments du système de gouvernance [ ] de manière objective et indépendante des fonctions opérationnelles». Art.48 Fonction actuarielle Au travers de l article 48 de la Directive, la fonction actuarielle est décrite comme une fonction d expertise visant à «coordonner le calcul des provisions techniques et garantir le caractère approprié des méthodologies, des modèles sous-jacents et des hypothèses utilisés pour le calcul des provisions techniques, apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques, comparer les meilleures estimations aux observations empiriques, informer l'organe d'administration, de gestion ou de contrôle de la fiabilité et du caractère adéquat du calcul des provisions techniques, superviser le calcul des provisions techniques, émettre un avis sur la politique globale de souscription, émettre un avis sur l'adéquation des dispositions prises en matière de réassurance, et enfin contribuer à la mise en œuvre effective du système de gestion des risques». Art.49 Sous-traitance Enfin, l article 49 déclare que «les entreprises d'assurance et de réassurance conservent l'entière responsabilité du respect de l'ensemble des obligations qui leur incombent [ ] lorsqu'elles sous-traitent des fonctions ou des activités d'assurance ou de réassurance» et pourvu que cela n ait pas d incidence sur le système de gouvernance, l activité ou le risque opérationnel, ni sur la capacité de surveillance des Autorités de Contrôle. En sus, l entreprise doit informer le Régulateur de son intention d externaliser toute fonction ou activité «importante ou critique». 8 PwC 9

7 Figure 3 Rappel des exigences du Pilier Que disent les projets de mesures d application? Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62) Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace Cadrage des conflits d intérêt, principe du «4-eyes review», «fit & proper» sur les fonctions clé, politique de rémunération A la lecture des textes, les dispositions de Solvabilité 2 en matière d organisation et de système de gouvernance des risques reposent uniquement sur des principes. Le régulateur souhaite en effet laisser à chaque organisation le soin de définir son propre schéma organisationnel et n a défini à ce titre que les fonctions clés et des attentes très générales. Toutefois, l interprétation qu il est possible de faire au travers de la lecture des articles 41 à 49 a conduit le Régulateur à les préciser. L avis du CEIOPS «Advice for Level 2 Implementing Measures on Solvency 2 : System of Governance» a fourni des premières précisions sur le dispositif de gestion des risques. Les mesures de niveau 3 en cours de discussion préciseront plus avant ce dispositif. En résumé, toute entreprise soumise à Solvabilité 2 doit, selon ce référentiel, démontrer que dans le respect de ces principes, elle possède un dispositif opérationnel de gestion et de pilotage de ses risques qui garantit : Une bonne connaissance des risques auxquels elle est exposée (profil de risque) et une évaluation cohérente de ses expositions à un instant t. Une mécanique réellement opérationnelle de gestion de ces risques, c est-à-dire que les éléments clés sont en place et chacun est en mesure de faire ce qui est prévu. Une remontée des informations nécessaires et la capacité des instances responsables à prendre les décisions qui s imposent. Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; à 3.222) Des processus, procédures et politiques clairement documentées Un périmètre minimal de «zones de risque» à couvrir : souscription, provisionnement, ALM, placements, liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents Fonction de conformité - contrôle interne (3.254 à 3.258) Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication, ) Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité de l information financière et non-financière émise Fonction d audit interne (3.276 à 3.279) Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus Exigence d émission d un rapport annuel sur son activité (plan d audit fondé sur une approche par les risques) Fonction actuarielle (3.328 à 3.343) Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré de fiabilité des modélisations (rapport formel) Dispositif de gestion de l externalisation (3.376 à 3.382) Obligation de s assurer que l externalisation ne dégrade ni la qualité de service ni l exposition globale au risque opérationnel Existence de processus et politiques formalisés et complets sur toutes les dimensions d un projet d externalisation (sélection, contractualisation, pilotage ) La lecture de ces dispositions révèle à l évidence qu il s agit d un «socle minimal» à respecter d un point de vue réglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifique en fonction de sa taille, de son expertise et de la complexité de son profil de risque : c est ce que la Directive appelle le «principe de proportionnalité». Pour autant, le respect de ce principe et la latitude de «marge de manœuvre» dont les différentes organisations pourront disposer reste aujourd hui une question ouverte. 10 PwC 11

8 Figure 4 Une représentation du système de gestion des risques Stratégie Objectifs stratégiques Stratégie risque Valorisation des scénarii stratégiques Utilisation du capital et des ressources fin. Allocation straté Réassurance & autres couvertures Décisions de gestion Horizon de projection Analyse et évaluation des risques Gestion et pilotage de la solvabilité Processus de décision Focus sur les mesures de niveau 2 Le point 3.72 donne l avis du CEIOPS en matière d efficacité d un système de gestion des risques et préconise les points suivants : a) La stratégie de gestion des risques doit être clairement définie et correctement documentée. Cette stratégie doit annoncer les objectifs de gestion des risques et les principes de gestion des risques clés, définir le «risk appetite» de l entreprise, et enfin décrire les missions et responsabilités de la fonction de gestion des risques de manière transversale à l entreprise et en accord avec la stratégie commerciale. b) Les politiques de gestion des risques doivent être écrites et adaptées : elles incluent une définition et une nomenclature des risques portés par l entreprise, les classant par type et par niveau des limites de risque acceptable. Elles devront implémenter la stratégie des risques, faciliter la mise en œuvre des mécanismes de contrôle et prendre en compte la nature, la portée (périmètre) et l horizon de temps de l'activité et des risques associés. c) Les processus de gestion des risques doivent être appropriés et les procédures adaptées pour identifier, évaluer, gérer, contrôler les risques ainsi qu en matière de reporting. d) Les procédures de reporting des risques doivent être appropriées. Ces procédures doivent être coordonnées et challengées par la fonction de gestion des risques et sont activement contrôlées et gérées par toute instance appropriée. e) Les reportings qui sont soumis aux instancespar la fonction de gestion des risques font référence aux risques associés (potentiels ou avérés) à l activité de l entreprise et à l efficacité opérationnelle du système de gestion des risques. f) Enfin, l ORSA doit être adapté aux activités de l entreprise. Cas particulier de l ORSA L ORSA est un sujet majeur qui sera traité dans les mesures de niveau 3 a priori vers le troisième trimestre 2011 par l EIOPA 4. L ACP devrait également apporter sa vision lors d une conférence sur le Pilier 2, la gouvernance et l ORSA prévue au second trimestre Malgré l importance de ce processus, l article 45 n est précisé dans aucun texte relevant des mesures de niveau 2. Le CEIOPS a publié un «Issues Paper» intitulé ORSA en Tel que présenté aujourd hui, l ORSA est un processus qui oblige chaque organisation à calculer et maîtriser ses risques, ainsi qu'à s'assurer qu elle est suffisamment capitalisée. Néanmoins, certaines caractéristiques méritent d être soulignées (figure 4) : L ORSA est de la responsabilité de la Direction Générale qui est en charge de son pilotage et de ses résultats visà-vis du régulateur. Identification des risques Analyses quantitatives Evaluation de la qualité des contrôles Profil de risques Politiques de gestion des risques L ORSA est un processus documenté de la gestion des risques qui doit être présenté au superviseur à intervalle régulier (au moins une fois par an) et dès lors que survient une modification significative du profil de risque de l assureur. Il fait partie intégrante de la gestion quotidienne de l entreprise (politique commerciale, stratégie d investissement, gestion du capital, croissance externe ). Bilan économique Best Estimates Paramètres et hypothèses risque Qualification & chiffrage des fonds propres Stress test & scenario Fongibilité du capital Evaluation des fonds propres Réconciliation de ces évaluations Environnement macro-économique Environnement marco-économique Contexte business Risques émergents Risques à long terme Dispositif de suivi réglementaire Evolution de l environnement juridique Tendances sociales... Il fournit une approche holistique et prospective pour gérer les risques : les risques servant à calculer le SCR et les autres risques (risque de réputation, risque stratégique, risque macroéconomique, risque politique ). L évaluation s inscrit sur un horizon de trois à cinq ans et couvre tout le périmètre du groupe (toutes les entités européennes et celles hors de l Union Européenne qui sont sous sa supervision). Il permet à toute organisation de démontrer qu elle est capable de mobiliser le capital nécessaire pour couvrir le besoin en marge de solvabilité sur l horizon de la planification stratégique (et non sur l horizon d un an utilisé pour le calcul du SCR). Pilotage du profil de risque Pilotage et gestion de la solvabilité Tolérance & appétit aux risques Fréquence des évaluation Support pour les décisions stratégiques Documentation de la gouvernance des risques Publications (Pilier 3) L évaluation des risques dans le processus d ORSA représente la vision «propre» de ses risques que peut avoir une organisation, au-delà des modules de risque identifiés dans le calcul du SCR : différence sur le nombre de risques retenus, sur la mesure des risques c est-à-dire sur l intervalle de confiance selon lequel est calibrée la formule de calcul. De plus, l organisation peut utiliser une approche en formule standard ou un modèle interne pour évaluer son exposition aux risques. La méthodologie employée doit être proportionnée à la complexité de l activité de l entreprise et à la nature des risques auxquels elle est exposée. La question qui se pose est de savoir comment implémenter des fonctions clés et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et compatible avec les pratiques du paritarisme. La Directive est très largement inspirée de concepts applicables au monde capitalistique : elle intègre a priori moins bien dans la valorisation du risque les caractéristiques de la gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de compensation et de rétrocession. Réunica Albert Cohen Directeur des Risques et de la Solvabilité (4) EIOPA : European Authority for nsurance and Occupational Pensions. En janvier 2011, l'eiopa a remplacé le CEIOPS. 12 PwC 13

9 Figure 5 Représentation du référentiel COSO Le COSO 2 - ERM Contexte Le référentiel COSO sur le contrôle interne a été élaboré dès 1991, et est aujourd hui une référence internationale utilisée par les entreprises qui souhaitent mettre à niveau leur dispositif de contrôle interne. Depuis 2002, ce référentiel s est imposé comme le cadre de référence utilisé par les entreprises internationales pour évaluer la conformité de leur structure de contrôle interne avec la loi Sarbanes-Oxley. Celle-ci oblige les dirigeants à évaluer chaque année le contrôle interne de leur entreprise (propositions de la SEC, octobre 2002, et de l'asb, mars 2003). La loi Sarbanes-Oxley exige en outre d émettre un rapport engageant la responsabilité des dirigeants ; le but étant de mettre en place et de maintenir une structure de contrôle interne adéquate pour l'établissement de l information financière. Ce référentiel a émergé suite aux scandales des années 2000 (Enron, Parmalat, Worldcom ). Depuis sa mise en place, il a évolué car les entreprises se sont rendues compte que la stricte perspective du contrôle interne était réductrice et ne permettait pas d appréhender et maîtriser la totalité des risques encourus. Le référentiel a donc été mis à jour en 2004 pour donner naissance au «COSO 2 ERM». D une approche visant à la maîtrise des opérations via la sécurisation par des activités de contrôle, le référentiel a été étendu à : la vision de l ensemble des types de risques auxquels une organisation peut faire face, l organisation des différentes «briques» à l œuvre dans une gestion globale des risques, l intégration des résultats de la gestion des risques dans le "management" de l activité. Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de "management" des Stratégie des risques Profil de risque Système de mesure Politique & processus Contrôle des risques Système de reporting Décisions risques qui représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une matrice en trois dimensions, le fameux «cube COSO». Présentation Les quatre grandes catégories d objectifs de l organisation stratégiques, opérationnels, reporting et conformité sont représentées par les colonnes, les huit «blocs» de la gestion des risques par les lignes et les unités de l organisation par la troisième dimension. Cette représentation illustre la façon d appréhender la gestion des risques dans sa globalité ou bien par catégorie d objectifs, par élément, par unité ou en les combinant. Stratégie Opérations Environnement de contrôle Définition des objectifs Informations Financières Identification des événements Evaluation des risques Traitements des risques Activités de contrôles Information et communication Pilotage Ainsi bâti, le référentiel COSO 2 ERM est la structure qui supporte les grands concepts utilisés par la totalité des acteurs de la gestion des risques : stratégie risque, appétit aux risques, profil de risque, dispositifs de mesure des risques, reporting des expositions Le référentiel a pour objectif principal de permettre une intégration des informations émanant de la gestion des risques aux processus décisionnels et stratégiques de l entreprise. Toute entreprise est à même, en suivant ces préconisations, de piloter sa performance (selon les critères qu elle définit de manière autonome et spécifique) au regard du niveau de risque qu elle prend pour atteindre ses objectifs. Conformité ENTREPRISE DIVISION UNITE DE GESTION FILIALE Il est désormais possible d appréhender l ERM comme un processus opérationnel, établi à partir du COSO 2, fournissant aux décideurs (managers, administrateurs) une assurance raisonnable sur la maîtrise des risques effectivement pris au regard des objectifs stratégiques, dans le cadre d une appétence globalement définie. Il facilite la gestion des incertitudes des activités, la gestion des risques et des opportunités, l identification des événements pouvant être à l origine de risques, ainsi que la définition des solutions de contrôle interne adaptées. 14 PwC 15

10 Le risque étant l essence même du métier de l assurance, on comprend immédiatement l utilité d un tel référentiel qui intègre : la définition des objectifs stratégiques par les instances de décision, la dimension stratégique : comment les instances de décision intègrentelles le risque dans leur processus, comment fixent-elles le cadre de prise de risque de l entreprise (ce qui est autorisé dans la poursuite des objectifs / ce qui est redouté voire interdit)? Conclusion de l approche normative l identification des risques résultant des efforts de l organisation pour atteindre ces objectifs le risque s entendant aussi bien par menace sur l atteinte des objectifs que comme opportunité à poursuivre pour en faciliter leur réalisation, la mise en place d un dispositif performant de pilotage des expositions à ces risques, l information et le reporting des expositions aux responsables ad hoc. Cette intégration du risque dans les processus de pilotage passe par une «diffusion» de la gestion des risques dans l ensemble des niveaux hiérarchiques et processus de l entreprise. Le dispositif sera donc aligné avec le modèle organisationnel de l entreprise, et distinguera des composantes liées à : la dimension organisationnelle : quelles sont les fonctions intervenant dans la gestion des risques, quels sont les processus permettant cette gestion, et pour les entreprises d assurance comment ces analyses sont liées aux exigences de solvabilité, la dimension opérationnelle : comment l organisation se dote-t-elle des outils de mesure des risques, des ressources à même d exploiter ces outils de manière satisfaisante, et quels sont les circuits de remontée de ces informations? Le COSO 2 ERM, conçu comme un référentiel standard et opérationnel, fournit donc les éléments et la démarche globale d un processus de gestion des risques. La réglementation Solvabilité 2, et plus particulièrement le Pilier 2, va obliger les assureurs à préciser les fonctions impliquées dans leur gestion des risques et intégrer l évaluation des risques et de la solvabilité au pilotage de leur entreprise sur un horizon de trois à cinq ans au travers de l'orsa. Mais comment interpréter, adapter et appliquer d une manière opérationnelle ces référentiels au sein de chaque organisation? C est le grand défi du Pilier 2 que d affiner, calibrer et décliner en fonction des spécificités de chaque business, de chaque entreprise et de chaque culture le dispositif de gestion des risques. 16 PwC 17

11 Introduction 2. Mise en œuvre opérationnelle Toutes les organisations n attribuent pas la même importance à la gestion des risques. Il est donc naturel que leurs choix divergent face à l investissement important que représente aujourd hui la mise en place d une «filière risque» conforme aux principes et aux contraintes réglementaires de Solvabilité 2. Or c est bien cet arbitrage, réalisé au niveau de la direction générale et en lien avec la stratégie globale de l entreprise, qui est très difficile à réaliser et à objectiver. Nous allons identifier les facteurs clés pour les trois dimensions du programme de mise en conformité : l organisation générale de la «filière risque», la mise en place du processus de gestion des risques, le pilotage des chantiers transversaux les plus importants. 18 PwC 19

12 2.1 L'organisation générale de la «filière risque» Les «blocs organisationnels» du dispositif Organiser une filière risque au sein d une entreprise disposant d un long historique en matière de processus, d expertises, d habitudes, de cultures et d instances de décision constitue un projet complexe de transformation. Compte-tenu de l étendue des changements qu il implique et de l ancienneté de certaines pratiques qu il conduit à faire évoluer, il demande dès Figure 6 La mise en place de la «filière risque» Quels blocs organisationnels dans le dispositif? Quel périmètre pour la fonction Risque? Quelle articulation entre les différentes fonctions? sa conception toute l attention de tous les acteurs concernés, et en premier lieu celle de la direction générale. Si la «nouveauté» principale consiste la plupart du temps à mettre en place ou développer une fonction de gestion des risques, les projets Solvabilité 2 conduisent aujourd hui à définir des schémas organisationnels pour toute la «filière risque», étant entendue comme l ensemble des fonctions, processus et instances concourant au pilotage des risques. Organiser une telle filière nécessite de répondre à cinq questions majeures : Il est primordial de reconnaître et de délimiter le périmètre des fonctions impliquées dans la gestion des risques. En effet, celle-ci n est pas uniquement une affaire de spécialistes et sa gestion concerne tous les niveaux de l entreprise. Le dispositif doit reconnaître qu à ces différents niveaux correspondent des prérogatives différentes : prise de risque opérationnelle coordination de la prise de risque supervision de la prise de risque. Le modèle des «3 lignes de défense» fournit un référentiel utile pour l articulation de ces différentes fonctions et prérogatives. Ce modèle considère que les risques sont pris en premier lieu par les opérationnels et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des risques constituent donc la «1 ère ligne de défense». La «2 nde ligne de défense» est tenue par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les «fonctions clés» de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité). 4 5 Quel niveau de centralisation pour la fonction Risque? Quels indicateurs? L audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l entreprise fournit une «assurance raisonnable» sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la «3 ème ligne de défense». Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu elles soient réglementaires (Solvabilité 2), externes (notation ) ou internes (ambitions, organisation ). 20 PwC 21

13 Figure 7 Les trois lignes de défense 1 ligne de défense 2 ligne de défense 3 ligne de défense Fonctions opérationnelles Fonctions«spécialistes» Fonctions «Risque» Fonction «Assurance» Le périmètre de la fonction Risque Périmètre Toutes fonctions (SI, RH, Finance, Production, ) - Actuariat / Dir. Technique - ALM / Dir. Investissements - Autres (s ouscription, ) - Gestion des risques - Contrôle interne, conformité Audit interne Principes et normes Sur cette base, les entreprises définissent généralement des grands principes d articulation entre les différentes «strates» de la prise de risque, comme illustré ci-dessus. Le schéma organisationnel définit le plus souvent les responsabilités tout au long des étapes du processus de gestion des risques. Ces principes serviront ultérieurement de référence dans les attributions précises des rôles et responsabilités dans la gestion des risques du profil de risque. N/A Propose Revoit et valide / Propose Mise en œuvre Applique Propose / Applique Coordonne / Applique Contrôles Applique / Propose Applique / Propose La mise en œuvre de ces principes se heurte souvent à 2 difficultés : La fonction de gestion des risques peut avoir des responsabilités différentes en fonction des types de risque : généralement coordinateur, elle peut prendre une responsabilité directe sur certains domaines, comme le risque opérationnel. Ces spécificités sont abordées dans l analyse du positionnement de cette fonction (cf. infra). Supervise, consolide, analyse Reportings Produit Produit / Analyse Consolide, analyse, pilote Plans d action Applique Propose / Applique Valide et pilote / Applique rôle de coordination / rôle opérationnel Réalise des revues indépendantes et a posteriori sur : - La pertinence des dispositifs - Leur correcte application L audit interne a un rôle particulier dans le dispositif, et s avère souvent difficile à positionner. Les textes de Solvabilité 2 insistent fortement sur le caractère indépendant de cette fonction. Ses ressources doivent être déchargées de toute autre responsabilité opérationnelle. Par ailleurs, selon les normes de l IIA 5 son objectif est de fournir de manière indépendante une «assurance raisonnable» au management quant à la pertinence, la qualité et la correcte application du dispositif de gestion des risques. On comprend bien alors pourquoi cette fonction doit être indépendante afin de pouvoir spécifier sa propre approche (basée sur sa perception des risques) ainsi que de formuler des recommandations libres de toute influence extérieure. Nous l avons vu, Solvabilité 2 fait de la fonction Risque le pivot et le chef d orchestre du dispositif risque. La réglementation fixe en effet des responsabilités et un périmètre de risques minimaux sur lesquels cette fonction est référent. Dans le cas où l entreprise utilise un modèle interne, elle a en charge la conception, les tests, la mise en œuvre et le suivi de la performance du modèle retenu, qu il soit partiel ou total. Il est donc naturel que la plupart des entreprises commencent les chantiers du Pilier 2 par la mise en place ou la revue du positionnement de cette fonction. Cette fonction prend donc en charge le pilotage de l ensemble du processus de gestion des risques (cf. supra), même si elle ne réalise pas directement l ensemble des opérations, analyses ou calculs nécessaires à ce processus. Le référent pour l élaboration du profil de risque Lorsqu elle se met en place, une fonction Risque a pour première tâche d identifier les risques auxquels l organisation est exposée. Cette identification constitue le préalable à tous ses travaux. Si la réalité des risques effectivement encourus est spécifique à chaque entreprise, l élaboration du profil de risque obéit néanmoins à quelques bonnes pratiques. La première concerne le périmètre des risques que doit identifier ce profil des risques : Il doit couvrir a minima les modules de risque structurant les calculs de besoins de fonds propres, que ceux-ci soient évalués via la formule standard ou un modèle interne : souscription, marché, taux, opérationnel Il ne se limite cependant pas à ces seuls risques, trop réducteurs pour restituer une image fidèle du profil de risques réel. La fonction Risque doit donc identifier les autres risques qui sont propres à l organisation, en prenant en compte l ensemble de ses filiales et métiers (non nécessairement assurantiels). La fonction Risque doit par ailleurs garder à l esprit que le profil de risque ne peut consister en un simple inventaire de la totalité des risques avérés ou potentiels : A partir de ses analyses et des points de vue qu elle collecte, elle priorise les risques devant faire l objet d un suivi. Sa valeur ajoutée à ce stade repose sur sa capacité à proposer une liste réduite de risques pour lesquels l investissement dans un dispositif de mesure, suivi et pilotage permanent se justifie au regard des objectifs business. De ce fait, elle élabore un véritable outil de management en alliant la vision «risque» des intervenants opérationnels (approche «Bottom-up» visant à l exhaustivité du recensement) et celle des dirigeants (approche «top-down» visant à la pertinence et à la priorisation des investissements en matière de risque). Pour finir, elle s assure pour l ensemble des éléments de ce profil de risque priorisé qu un dispositif opérationnel de gestion et de pilotage est effectivement en place. Chacun de ces risques doit être attribué à un propriétaire de risque, porteur de l expertise la plus poussée disponible dans l organisation sur ce sujet : l actuariat pour les risques de souscription, de contrepartie au passif et de réassurance, la gestion d actifs pour les risques de marché et de crédit Cette attribution est la première brique pour permettre la mise en place d un dispositif de gestion des risques effectivement opérationnel. Les composantes du processus de gestion des risques sont reprises en partie 2 ci-dessous. (5) IIA : Institute of Internal Auditors 22 PwC 23

14 Une fonction en pleine évolution sous l influence de Solvabilité 2 Au-delà de cet aspect technique, les organisations positionnent d abord la fonction Risque en faisant évoluer son «droit de regard» sur les décisions opérationnelles. Cette notion recouvre l étendue des prérogatives de cette fonction sur les processus, politiques et opérations de prise de risque pour lesquels elle ne constitue pas l expert de référence. Dans les faits, les interventions de la fonction Risque sont en ligne avec la priorité stratégique accordée au risque : Une entreprise peut avoir une approche conservatrice du risque : sa priorité est alors de ne pas compromettre les protections offertes aux assurés et sécuriser la performance. Dans ce cas, la fonction Risque aura généralement pour fonction de conseiller les responsables opérationnels sur la maîtrise de leurs processus et des risques associés. Elle n aura pas (ou peu) de latitude pour bloquer les processus de décision. Une entreprise peut aussi décider de fonder sa création de valeur sur le pilotage des risques qu elle prend et de leur impact sur ses variables stratégiques : MCEV, capitalisation boursière, capital économique Dans ce cas, la fonction Risques devient un acteur clé dans les décisions opérationnelles : elle est partie prenante intégrale de ces processus, est consultée pour toute décision importante et émet alors un avis formel. Elle dispose éventuellement d une possibilité de blocage (qui nécessite de prévoir un processus d arbitrage). Ces entreprises utilisent quasi systématiquement un modèle interne, qui est intégré dans les processus de décision stratégiques et opérationnels. Les entreprises évoluent progressivement sur la courbe de maturité de l ERM entre ces 2 pôles. Au fur et à mesure de cette progression, la fonction Risque évolue dans son positionnement : Son rattachement hiérarchique tend à remonter. On observe actuellement une vague très cohérente de repositionnements des fonctions Risque, rattachées de plus en plus systématiquement à la direction générale, marquant la prise en compte croissante des enjeux de risque dans le pilotage des entreprises d assurance. Le rôle du directeur des risques évolue. Souvent perçu initialement comme un cadre à orientation conservatrice et technique, il a vocation à se positionner de plus en plus comme un «Business Advisor» auprès des instances de décision. Sa compréhension unique des risques pris par l entreprise et de leurs interactions lui permettent de fournir un conseil pertinent sur les modalités de création de valeur. Les fonctions Risques, initiées autour des impératifs réglementaires successifs (lutte anti-blanchiment, lutte anti-fraude, ) évoluent vers des organisations plus professionnalisées, le plus souvent structurées par types de risque (opérationnels, techniques, capital économique ) L articulation des différentes fonctions impliquées dans la gestion des risques Une fois le profil de risque arrêté, l enjeu pour la fonction Risque est de promouvoir la mise en place d un dispositif risque s appuyant sur des processus de décision clairs et partagés. La fonction Risques dispose pour cela de deux leviers principaux. La définition des rôles et responsabilités sur les principaux risques Pour cela, la fonction Risque part de sa formalisation du profil de risque et pilote l articulation des rôles et responsabilités pour chacun des risques qu elle y a inscrit. La difficulté principale repose dans la diversité et l hétérogénéité des intervenants. «La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2, va nécessiter une plus grande coordination entre tous les acteurs participant à la gestion des risques tout en s appuyant sur les règles de gestion existantes, règles qui devront être renforcées à la marge. La discipline qui va en découler va permettre de faire émerger des opportunités de croissance et de renforcement de la relation avec nos clients tout en garantissant à tous (employés, actionnaires, clients ) un meilleur contrôle des risques et de ses impacts sur la structure de l entreprise. Groupe Euler Hermes Ronan Davit Directeur des risques Si le modèle des 3 lignes de défense illustré précédemment fournit un cadre général en ce sens, cette mise en cohérence doit être déclinée précisément pour chacun des risques du profil. Il est alors nécessaire de : Cartographier les fonctions légitimes dans la prise en charge d'un risque donné : métiers, support, direction ou gouvernance Localiser dans l organisation l expertise clé en matière de gestion de ce risque (en général, il s agit du propriétaire du risque identifié lors des phases amont de mise en place du dispositif). Définir précisément les rôles et responsabilités de chacun dans le processus. Un point d attention particulier est à apporter à la capacité de blocage des fonctions support (typiquement, la fonction Risque) par rapport aux fonctions opérationnelles concernées, et définir ainsi précisément cette notion de «droit de veto» sur les décisions opérationnelles. Notons que la définition de ce droit de blocage doit s accompagner de la mise en place d une procédure claire d arbitrage en cas de désaccord entre la direction des risques et la direction métier concernée. 24 PwC 25

15 Utiliser une matrice des rôles et des responsabilités, telle que présentée dans l exemple ci-dessous, permet de formaliser aisément cette répartition des rôles. La comitologie peut ainsi s organiser de manière cohérente au sein de l entreprise, comme illustré dans l exemple indicatif ci-dessous : Figure 8 Une matrice des rôles et des responsabilités pour la gestion des investissements Fi gure 9 Matrice des rôles et responsabilités Gestion des investissements Marché Crédit Souscription Opérationnel Responsable (responsabilité en dernier ressort) Conseil d administration (via le comité des risques) : responsabilité de supervision globale Direction générale : validation et pilotage de la politique de placements Comex Comité des risques Acteur (pilotage de la mise en œuvre opérationnelle) Direction des Investissements : propose à la validation les orientations de l allocation stratégique, définit les modalités d allocation tactique, réalise le suivi. Preneurs de risque Comité d Investissement Comité de Souscription Comité Contrôle Interne Consulté (avis sollicité de façon systématique, publié et pris en compte dans la décision) Direction des Risques : émet un avis au regard de l exposition globale du Groupe et de son niveau de solvabilité selon l exposition de l entité considérée aux risques de marché. Si avis contraire, arbitrage en comité exécutif. Reporting & Mitigation Comité ALM Reporting Reporting Informé (modalités de gestion communiquées régulièrement) Service Trésorerie (Direction Financière) : informé de l ensemble des évolutions de la politique de placements. La mise en place d une architecture de prise de décision Le dispositif de gestion des risques le mieux conçu ne sera efficace et performant que s il est accompagné d un dispositif d application opérationnelle des décisions. Il s agit de garantir que d une part, l ensemble des informations utiles remontent à temps aux niveaux hiérarchiques appropriés et que d autre part, ces instances examinent les problématiques et prennent les décisions nécessaires. L entreprise est alors à même de piloter ses expositions aux risques de manière continue et de réagir rapidement en cas de déviation inattendue de son profil de risque. L organisation de la décision est bien entendu propre à la culture de chaque entreprise et fonction de son niveau d avancement sur la «courbe de maturité» de l ERM. Néanmoins, la revue ou la mise en place de l architecture de décision passe par quelques étapes clés : Définir les niveaux organisationnels clés en matière de décision risques. Ces niveaux sont souvent ceux des principales strates décisionnelles de l entreprise (comité de direction, fonctions clés dans la prise de risque, exécutants ) et sont définis en cohérence avec les rôles et responsabilités identifiés pour chaque type de risque du profil de risque. Prioriser les types de risque pour lesquels des instances de pilotage formelles et régulières sont nécessaires. Au regard de ces priorités, l entreprise formalisera les responsabilités attendues de chaque niveau organisationnel (supervision globale, définition des pratiques, suivi et reporting ). Concevoir les instances de décision ad hoc à chaque niveau : type de comité, membres, attributions, modalités et droits de vote, fréquence de réunion. Le nécessaire lien entre la gestion et le contrôle des risques Une des leçons principales de la crise financière est qu une gestion des risques performante nécessite un dispositif cohérent, garantissant une articulation opérationnelle réelle entre : d une part, la définition de politiques et processus risque pertinents (essentiellement du ressort de la direction des risques), et d autre part, la correcte application de ces politiques et processus par les acteurs concernés (fonctions opérationnelles, contrôle interne ). Initialement, beaucoup d entreprises d assurance ont engagé des démarches de cartographie des risques un peu lourdes car fondées sur un niveau de détail très granulaire. Ces démarches ont cherché à identifier et maîtriser les risques spécifiques à certains processus ou domaines opérationnels : fiabilité des processus d information financière (projets SOX), sécurité des systèmes d information, lutte contre la fraude ou le blanchiment d argent Ces réflexions conduisent les entreprises à mener des travaux spécifiques sur la maîtrise du risque opérationnel. Il s agit en effet de la mission première du contrôle interne (ou contrôle permanent) : assurer la correcte maîtrise des processus et opérations de l entreprise et la fiabilité des informations produites par l entreprise, quelles soient financières ou non. A ce stade, ces réflexions ont été initiées mais ne semblent pas avoir été complètement arbitrées par les entreprises d assurance : le risque opérationnel, très difficile à appréhender, est totalement spécifique à chaque organisation et ne fait pas l objet de définitions précises dans Solvabilité 2. Les calibrations du SCR au titre du risque opérationnel aboutissent d ailleurs à une charge minime en fonds propres, n incitant pas ou peu à investir dans un dispositif poussé de maîtrise de ce risque. 26 PwC 27

16 Un certain nombre d acteurs du marché initie actuellement des démarches spécifiques à l analyse du risque opérationnel et à l articulation risque contrôle. Parmi les pistes actuellement envisagées, les principales sont les suivantes : Regroupement progressif des fonctions risque et contrôle sous une unique responsabilité (majoritairement, le directeur des risques). Cela permet de donner une meilleure cohérence entre des initiatives parfois déconnectées auparavant. Ces réflexions sont souvent concentrées sur la problématique de la fonction de conformité : s agit-il d un sujet piloté par les acteurs du juridique (réalisation de la veille réglementaires) ou du contrôle interne (diffusion des dispositions légales dans les processus opérationnels)? Nous observons une tendance assez nette en ce sens à (i) nommer un responsable conformité, chargé de définir les principaux enjeux de la conformité pour l entreprise et coordonner l application des dispositions juridiques applicables en la matière tout en (ii) maintenant la responsabilité de la veille juridique au niveau de la direction juridique, mais en créant une instance de coordination à fréquence régulière entre ces deux acteurs. D une manière générale, les entreprises tendent à mettre leur fonction de gestion des risques en mesure de superviser à la fois la pertinence de leur cadre ERM et la correcte application des dispositions qu il met en place. Cadrage du dispositif de risque opérationnel. Dans un premier temps, l effort se porte sur ce que recouvre cette notion. Il ressort généralement de ces analyses que le risque opérationnel recouvre tout élément compromettant l atteinte des objectifs des processus opérationnels (voir la nomenclature définie en ce sens par Bâle 2), ou encore toute élément compromettant la correcte application des politiques de risques définies par l entreprise. Certaines organisations sont allées plus loin : face à la volumétrie trop importante des risques opérationnels, elles ont priorisé les domaines d exposition critiques et concentré leurs efforts de déploiement des dispositifs de maîtrise sur ces quelques domaines. Modélisation du risque opérationnel. Certaines entreprises ont mis en place des dispositifs de collecte de données liées aux pertes opérationnelles. Ces dispositifs permettent d évaluer l exposition réelle de l entreprise aux pertes opérationnelles, de dimensionner de manière plus cohérente leur dispositif de maîtrise, voire de réaliser des économies en besoins de fonds propres. Il reste toutefois que pour être efficace, ce dispositif doit être cadré (par exemple, en définissant clairement ce qu est une perte opérationnelle et à partir de quelle valeur de seuil on collecte les montants des pertes) et profiter d une profondeur historique importante. On estime que les résultats deviennent significatifs au bout de trois à cinq ans de collecte. Les assureurs sont donc encore peu avancés en matière conceptuelle sur la modélisation de ce risque Le degré de centralisation de la fonction Risque Les groupes d assurance sont confrontés à une difficulté opérationnelle majeure concernant le périmètre opérationnel de la fonction Risque. Comment celleci intègre-t-elle dans ses analyses et processus des entités et activités diverses et non nécessairement assurantielles (gestion pour compte de régimes de retraite complémentaires ou de sécurité sociale, services de soins et d accompagnement, participations stratégiques )? Si la plupart des organisations sont encore en recherche du bon niveau d efficacité dans l articulation du dispositif Risque entre les différentes entités d un groupe, quelques bonnes pratiques émergent néanmoins : L organisation de la «filière risques» au sein du groupe est alignée sur la structure organisationnelle et décisionnelle en place. Dans un groupe très décentralisé, les différentes entités ou filiales disposent souvent d une fonction Risque locale, rattachée hiérarchiquement à leur direction générale mais reliées fonctionnellement à la direction des risques du groupe. Dans un groupe plus centralisé, la direction des risques du groupe supervise les entités juridiques. Elle définit éventuellement un principe de subsidiarité réglant les marges de manœuvre des entités, qui disposent dans ce cas d un «correspondant risque». Dans tous les cas, la fonction Risques est amenée à animer un fonctionnement en réseau. Les groupes ont tendance à imposer à l ensemble de leurs entités assurantielles des principes et schémas de reporting cohérents, définis et pilotés centralement. Ceci est particulièrement vrai pour les groupes internationaux disposant de filiales ou entités étrangères exerçant dans des pays non soumis à Solvabilité 2. Dans ce cas, un double reporting est le plus souvent choisi : maintien du reporting inspiré des normes prudentielles locales, envoi d un reporting risque normalisé (souvent selon un «format Solvabilité 2») au groupe. 28 PwC 29

17 On retrouve très fréquemment des principes assez communs sur l organisation de la filière risque, comme illustré dans le schéma ci-après Les indicateurs clés de la gestion des risques Figure 10 Benchmark Fonction Risque réalisé par PwC ERM ALM Actuariat Reinsurance Contrôle Permanent Capital économique Internal capital model Risk management model Capital Management Market risk exposure Contrôle interne Comptabilité Solvabilité 2 Principales responsabilités du CRO Contrôle de gestion 0% 20% 40% 60% 80% Sur la base d un benchmark réalisé parmi les trente plus gros acteurs du secteur de l assurance (compagnies d assurance, mutuelles et institutions de prévoyance) Pour autant, il n existe pas de schéma "standard" en ce qui concerne l étendue de la fonction Risque. Il s agit plutôt d incompatibilités dans certains cas, notamment pour respecter les principes d'indépendance et d'objectivité par rapport aux fonctions opérationnelles. De nombreuses compagnies ont aussi souhaité «muscler» leur fonction Risque au-delà du strict minimum réglementaire. En effet, cette fonction a vocation à devenir davantage centrale et tous ses enjeux ne sont pas forcément perçus dans un premier Organigramme possible de la direction des risques CEO CRO 67% ERM ALM Actuariat Corporate Contrôle permanent Capital économique Réassurance 75% 67% 33% 17% 17% 17% temps. Des compagnies ont donc ajouté des fonctions plus "traditionnelles" à la fonction Risque pour lui donner davantage de contenu et d'importance. Concernant les filiales, les solutions observées sont le plus souvent basées sur le principe de subsidiarité. La filiale dispose ainsi d une importante autonomie de gestion de ses risques, le groupe ne couvrant que les quelques types de pertes maximales que l activité de cette filiale peut générer (notion de «risque filiale»). Dans sa discussion avec la direction générale, un des rôles les plus fondamentaux de la fonction Risque est de définir les indicateurs clés de la gestion des risques. En effet, le choix de ces indicateurs est le révélateur de l importance accordée par l entreprise à une gestion des risques performante. Cette réflexion s inscrit dans le cadre de la définition d une stratégie risque. Toutefois, avant de se lancer dans ce chantier il est nécessaire d en définir les indicateurs de référence. Ces indicateurs doivent avoir un certain nombre de caractéristiques : Elles reflètent les dimensions principales du couple risque performance qu entend offrir l organisation à ses parties prenantes (ROE, qualité de service, sécurité des protections ). Elles permettent de mesurer la résilience de l organisation dans les cas extrêmes (c est-à-dire les queues de distribution), mais restent réalistes et intègrent toujours la notion de performance (rentabilité ) en regard. Elles sont aisément mesurables, c est-à-dire le coût de mise en œuvre de l infrastructure de calcul et de pilotage n est pas prohibitif (notamment si celle-ci s appuie sur des processus déjà en place) au regard de la valeur ajoutée qu apporte son suivi. Elles sont compréhensibles et explicites pour les personnes en charge de leur suivi. Il est donc clé à ce stade de définir ou valider avec les instances de direction qu elles comprennent et désirent effectivement disposer de ces indicateurs de pilotage. Dans la majorité des cas toutefois, les organisations ont recours à un nombre très limité d indicateurs «fondamentaux» pour leur approche ERM. Leurs approches allient en général : un indicateur de résultat comme le résultat avant impôts, une mesure de la valeur comme la MCEV, un indicateur de la solvabilité comme le ratio de couverture du SCR ou le capital économique. 30 PwC 31

18 2.2 Mettre en place le processus de gestion des risques Définir le cadre de la prise de risque Figure 11 Les étapes de la mise en place d un processus de gestion des risques De manière simplifiée, il est possible de regrouper les différentes étapes du processus de gestion des risques selon le schéma suivant. Chacune de ces étapes se fonde sur un certain nombre de composantes. L objectif de cette partie est d examiner la nature de ces composantes, d identifier les principaux enjeux et leur application opérationnelle et de fournir des exemples concrets de leur mise en œuvre. Definir le cadre de la prise de risque Identifier et évaluer les risques Gérer les risques Suivre et reporter les risques Établir la planification stratégique du capital Les articles 44 et 45 imposent à l'entreprise de démontrer qu elle a mis en place un système adéquat et efficace de gestion des risques, comprenant une stratégie des risques acceptés, une procédure d'enregistrement des risques, de gouvernance de ces derniers et enfin une documentation suffisante des résultats de cette gestion. Dans le cadre de ce système, la Directive impose également, qu au travers de cette stratégie, les liens entre objectifs de performance et de risque soient clairement établis. Les composantes d une stratégie des risques C est à travers cette stratégie des risques que l entreprise définit le cadre «accepté» de la gestion des risques. Au préalable, il est bien entendu nécessaire d avoir défini les indicateurs de référence de la gestion des risques, comme évoqué précédemment. Une démarche de stratégie des risques repose sur cinq concepts clés : L appétit (ou appétence) au risque, qui constitue le niveau de risque agrégé (c est-à-dire au niveau groupe) qu une entreprise accepte de prendre en vue de la poursuite de son activité et de son développement. Il constitue une limite globale qui est déclarée par la direction de l entreprise, et qui s exprime sous la forme d un niveau de déviation acceptée d agrégats clés de l entreprise par rapport à une situation espérée. La tolérance au risque représente le niveau de risque que l entreprise accepte de prendre en vue de poursuivre son activité et son développement pour un périmètre plus restreint. C est une répartition à un niveau plus fin de l appétit aux risques. Cette déclinaison peut être réalisée aussi bien sur des grandes familles de risque que des entités ou périmètres géographiques. Les limites de risques se définissent comme les limites opérationnelles en cohérence avec le budget de risque et/ ou l appétit aux risques. Ces limites sont spécifiques au processus auquel elles se rapportent. Le profil de risque est déterminé par la réaction d agrégats financiers à un choc d une variable sous-jacente. La mesure est réalisée sur un périmètre donné, à une date fixée. Cette mesure peut être réalisée sur des périmètres très restreints comme le risque de mortalité pour un produit spécifique d une filiale. Elle peut également être réalisée à tous les niveaux d agrégation possibles jusqu au périmètre intégral de l entreprise. Le budget de risque est la mesure du niveau anticipé d exposition aux risques à un horizon donné, sur un périmètre donné. Cette mesure est une mesure du profil de risque sur une projection de l entreprise, avec des niveaux de granularité identiques Il est important d avoir à l esprit que la stratégie des risques fixe non seulement le cadre de la prise de risque mais également les modalités selon lesquelles ces principes généraux doivent se diffuser au sein de l organisation. Elle définit les enveloppes et les niveaux cibles adaptées à la volonté de prise de risque en fonction de la stratégie définie. A travers l articulation des différents composants de la stratégie des risques se profile une gestion totalement intégrée de l actif et du passif. Cette stratégie est élaborée majoritairement via une approche top-down (c est-à-dire définie par le management) mais cette réflexion est nourrie par les remontées opérationnelles (approche bottom-up) : 32 PwC 33

19 Figure 12 Description de la stratégie des risques des acteurs de l'assurance Approche Top - Down Approche Bottom - UP Opérationnels Business Units CRO - CFO CRO CFO - CIO COMEX Risque maximal acceptable Où pouvons nous nous positionner en termes de risque? Profil de risque cible Où souhaitons nous nous positionner? Appétence au risque Document intégrant la stratégie retenue par le COMEX et sa déclinaison en termes de risques tant dans son positionnement concurrentiel (Risk capacity, Risk appetite) que dans la prise en compte des spécificités de l entreprise (Risk Profile) Risque de marché Gouvernance des risques Profil de risque actuel Quel est notre positionnement actuel? Risque de souscription Risque de contrepartie Appétence au risque Tolérance Tolérance au au risque risque Risque de opérationnel Profil de risque actuel Quel est notre positionnement actuel? Opérationnels Exécution Contrôle Evaluation Risk Management Règles / Procédures Méthodologies / Process / Cadre fonctionnel et organisationnel Supervision / Reporting Positionnement par rapport à la concurrence, par rapport à la réglementation, par rapport aux spécifités business Positionnement par rapport aux spécifités business, aux exigences de l actionnaire en termes de performance Mise en perspective de l appétence au risque définie par le COMEX avec le profil de risque cible Mise en perspective de la stratégie définie et du réel avec une déclinaison par type de risque et d activité. Une stratégie générale, basée seulement sur des métriques de résultat ou de solvabilité, ne peut constituer un guide opérationnel exploitable pour les preneurs de risque. L aspect critique dans l exécution de cette stratégie est donc sa déclinaison en limites opérationnelles de risque. Pour cela, l implication des dirigeants est primordiale. Il est en effet nécessaire de cartographier les différentes parties prenantes (actionnaires, marché, clients, agences de notation ) et leurs attentes respectives. C est à partir de la compréhension de ces attentes que l entreprise définit une stratégie des risques ainsi que sa déclinaison en un système de limites opérationnelles. Figure 14 Le processus budgétaire Business Plan Draft business plan Déroulement du plan dans le cadre usuel Le BP s intègre t il dans l appétence au risque? Itération du Business Plan Non Contraignant Flexible Etablissement des limites et de la cible Etablissement des limites de risque Prise en compte des engagements vis-àvis des assurés. Figure 13 La déclinaison de la stratégie de risques Horizon stratégique (3-5 ans) Horizon bugétaire (1-3 ans) Opérationnel (année courante) Non Surveillance Confrontation du profil de risque et des limites Le profil de risque est-il dans les limites définies Oui Fin Profil d activités Redescente des objectifs de performance Attentes des actionnaires Business plan Cadre des limites Appétit aux risques (métriques sous-jacentes) Redescente des limites de risque Surveillance / mesures de gestion Pour parfaire l intégration du contenu de la stratégie des risques dans les décisions, il est nécessaire de compléter ces travaux par une mise à jour du processus budgétaire, afin d y inclure des critères d évaluation au regard des montants de risques encourus. Oui Prendre des mesures d ajustement 34 PwC 35

20 Identifier et mesurer les risques Identifier les risques applicables à l activité Un système efficace d identification des risques doit permettre de recenser en amont l exhaustivité des risques grâce à une cartographie détaillée. Ensuite, ce système doit prévoir de recouper cette vision détaillée avec les risques majeurs identifiés par une approche globale. Par la combinaison de ces deux approches, détaillée et globale, l entreprise est en capacité d en comprendre les causes et les interdépendances. Le système d identification des risques doit être mis à jour régulièrement ou lors d un changement important du profil de risque. Figure 15 Le système d identification des risques Plan and prepare One off exercise Identify individuals within business units for ownership of risk register Emerging risks Risk investigation: 1. Using risk categorisation model 2. Supplemented with specific business knowledge Undertake quaterly process Risk information visualisation study Focus groups Risk identification process (one-off) Identifiy categorise and score risks Transfer mechanism Conduct risk and controls assessment (facilitated by risk management) Risk identification process (quaterly) Evaluate controls Review and challenge by TMC Lessons learnt Risk mgt Assed planned controls framework Internal audit Le système d identification des risques (voir schéma ci-dessous) comporte deux éléments : Une cartographie des risques (ou «heat map») qui permet de classer les risques en fonction de leur impact financier potentiel et de leur probabilité de survenance. L évaluation de l impact financier et de leur probabilité de survenance doit s effectuer de manière cohérente dans toutes les entités opérationnelles (même taxonomie des risques et calibration des impacts) et pour tous types de risque. Tout aussi important est l efficacité des procédures de Management attestation for key risks and controls Risk assessment process Trend analysis of heat map Risk mgt Develop risk register software tool Populate sofware tool Identify actions Risk distributions for use in internal model Scenario analysis of heat map Risk mgt Aggregation Prioritisation collecte et de mise à jour des bases de données recensant les risques (loss database). Une liste des risques majeurs qui doit contenir les quelques «grands» risques critiques auxquels l organisation est exposée. Ces grands risques qui peuvent conduire à la faillite doivent être analysés en profondeur afin d identifier les composantes clefs (causes, scenario d occurrence, impacts ). Risk heat map Risk profile (and qualification) as at Loss databases Risk Register Items 1 Capital Losses from Investment Portfolio 2 Inappropriate Investment Processes 7 Insufficient Working Capital Risk Type BU 1 BU 2 BU 3 BU? (DB 1 ) Firm Nat Cat risk Gl Pricing risk Risk Type Credit DB 1 Total Risk and Control Heatmap Gross Likelihood 5 high Med Hight Med low Med Low Low 2- low Med Med 4 Med Hight Gross Likelihood 7 5 high Record of risk events. List of losses, and near misses Systèmes de mesure des risques Les méthodologies de mesure des risques sont couvertes par le Pilier 1 de Solvabilité 2, via la formule standard qui définit les principes de modélisation des provisions techniques en best estimate et les exigences pour le calcul du SCR (module de risque, chocs à appliquer, matrice de corrélation). Les entreprises ont également la possibilité de recourir à un modèle interne reflétant mieux les spécificités de leur profil de risque. En effet, le modèle interne permet, à partir d une même base, de multiples utilisations qui vont de l exigence de solvabilité à l «embedded value», la gestion actifpassif, les études de profit-testing lors de la création de produits, l appétit aux risques, ou même l ORSA. Bien plus qu un outil de calculs, le modèle interne est un outil de mesure, de contrôle, de gestion et de reporting des risques. Il est ainsi au cœur de la stratégie et du pilotage des risques. Comme illustré par le graphique suivant, ce modèle est au cœur du dispositif de gestion des risques. Composé de méthodologies, d hypothèses (endogènes et exogènes) et de données de paramétrages conçus par des experts dédiés, il reflète les politiques définies. Ainsi, le modèle interne agit dans le cadre des processus internes propres à l activité. Il permet ainsi de produire dans un cadre délimité et sécurisé par le contrôle interne de nombreux reportings qui vont être utilisés à des fins diverses en fonction des besoins du management. Dans ce cadre il peut être utilisé pour produire des éléments de valorisation de l entreprise (MCEV), de bilan économique mesurant la performance économique, et bien sûr les nouvelles mesures de solvabilité de l entreprise. Demain, ces modèles serviront aussi aux évaluations comptables en IFRS sous IFRS 4 phase 2. Le modèle interne est en effet au centre des processus de décision de l entreprise, à toutes les étapes, aussi bien en amont lors de la souscription des contrats que lors de la gestion et le pilotage des risques sous-jacents. Elément constitutif de la gouvernance, le modèle interne est mis en place en cohérence avec les fonctions contrôle interne, actuarielle, l audit interne, et la gestion des risques. Cependant sa mise en place peut s avérer coûteuse dans un contexte où les exigences nées de la Directive Solvabilité 2 sollicitent déjà beaucoup les entreprises d assurance et de réassurance. Dans ces cas, il peut paraître plus opportun de se tourner vers la formule standard. Le recours au modèle interne ne doit en effet pas constituer un dogme. Enfin, il ne faut pas oublier que le modèle interne, pour être utilisé, doit faire l objet d une approbation par le superviseur, point abordé ci-après en partie PwC 37