Solvabilité 2 Le Pilier 2

Transcription

1 Solvabilité 2 Le Pilier 2 Enjeux opérationnels de la gestion des risques

2 Sommaire Préface Préface 2 Introduction 4 1. Approche normative Les dispositions générales du Pilier Que dit la Directive? Que disent les projets de mesures d application? Le COSO 2 - ERM Mise en œuvre opérationnelle L'organisation générale de la «filière risque» Mettre en place le processus de gestion des risques Piloter les chantiers transverses 35 Conclusion 46 Vos contacts 47 Ce livre blanc est publié à un moment clé de l agenda réglementaire de la Directive Solvabilité 2. En effet, la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise. Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires, offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les mesures de niveau 2 sur le système de gouvernance des risques est en cours d achèvement et celle sur les mesures de niveau 3 a démarré et s accélérera au deuxième semestre C est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des entreprises d assurance s élargissent au Pilier 2. Or, cette étape implique l application opérationnelle d une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et de votre organisation. Elles sont également une opportunité pour optimiser votre performance opérationnelle. L ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion inédite de la solvabilité sur un horizon stratégique de trois à cinq ans. PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la gestion des risques en contribuant notamment à l élaboration du référentiel COSO 2-ERM. Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en conformité à Solvabilité 2. Par ailleurs, nous avons prévu de faire d'autres livres blancs au cours de 2011 et 2012 sur les sujets qui intéressent le marché, notamment, la qualité des données, l'orsa et les reportings financiers. Eric Dupont Jimmy Zou Associé Associé Responsable du secteur Assurance Responsable de Solvabilité 2

3 "Ce livre blanc, par son approche pluri-disciplinaire, présente de façon claire les points essentiels de la gestion des risques complétés d'illustrations possibles. Ce document nous conforte dans nos orientations antérieures et il permet de mieux cerner certaines déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.". MAIF Christophe Raballan Directeur de la Maîtrise des risques et du Contrôle interne Introduction Avant dernière ligne droite pour la mise en conformité à Solvabilité 2, 2011 est une étape importante pour les sociétés d assurance. Pour leur apporter des solutions clés en main, PwC consacre un livre blanc, «les Enjeux du Pilier 2», exclusivement dédié à la mise en œuvre de ces futures obligations. Ce livre blanc propose un cadre méthodologique concret et des points de repères dans le travail de déclinaison des principes du Pilier 2. Sur la route de la mise en conformité à Solvabilité 2, les entreprises d assurance (sociétés d assurance et de réassurance, mutuelles, IP) sont aujourd hui arrivées à un tournant stratégique. Après avoir consacré une part prépondérante de leurs projets de conformité aux aspects quantitatifs du Pilier 1, elles se tournent aujourd hui vers les exigences, plus qualitatives et plus complexes du Pilier 2. En effet, en 2010, vous avez mobilisé vos forces autour de la capacité de votre organisation à modéliser les risques dans un nouveau référentiel et à mesurer l impact de ce nouveau régime sur le montant des fonds propres nécessaire à horizon du 1er janvier Vous avez également finalisé l ensemble des exercices liés au QIS 5. Ces exercices ont été l occasion de réaliser un 1er test «grandeur nature» sur vos méthodes et processus calculatoires. Lors de cette phase, vous effectuez les tests «grandeur nature» pour mettre en place un processus de réalisation des bilans économiques et de calcul des SCR. C est donc, en ce début d année 2011, sur le Pilier 2 de Solvabilité 2 que vos travaux s étendront. Clef de voûte de la Directive, la conformité au Pilier 2 pose donc de nombreuses questions aux sociétés d assurance. Cette étape implique une interrogation sur votre culture du risque, une (re)définition de votre stratégie et de gouvernance des risques et, enfin, une mise en place opérationnelle de votre gestion des risques.des questions difficiles, qui vous mènent souvent au cœur du pilotage de votre activité. Qu exige précisément la réglementation Solvabilité 2? Comment ces dispositions doivent-elles, ou plutôt, peuvent-elles être appliquées à mon organisation? Quels sont les contraintes et déterminants me permettant de dimensionner un dispositif opérationnel de gestion des risques? Quels sont les chantiers que recouvrent les exigences du Pilier 2 au sein de mon projet de conformité? La difficulté majeure, partagée par l ensemble de nos clients et à laquelle s attaque ce livre blanc, est d interpréter et de calibrer les principes des textes réglementaires aux spécificités de l organisation pour créer un dispositif de gestion des risques conforme, adapté et performant. L objectif de ce livre blanc est donc de constituer une sorte de «boîte à outils», utilisable par tous les acteurs intervenant sur les aspects organisationnels de la conformité à Solvabilité 2. Après avoir rappelé les spécifications de la réglementation et du référentiel ERM 1, nous nous proposons de décliner les enjeux opérationnels de vos chantiers de conformité (organisation et gouvernance de la filière risque, processus de gestion des risques, cadrage des chantiers «transversaux» comme la qualité des données ou l ORSA 2 ), de poser les questions structurantes et, enfin, d apporter des pistes de réponse opérationnelles, via des exemples concrets de mise en œuvre. Ce document s adresse aux pilotes opérationnels des projets de conformité à Solvabilité 2, chefs de projet ou directeurs des risques. Toutefois, notre travail de réflexion et de méthodologie pourra également être utile aux dirigeants et administrateurs des organismes d assurance, dont bon nombre sont aujourd hui confrontés à des arbitrages difficiles sur le calibrage du dispositif, entre les impératifs de conformité (qui peuvent paraître lourds au regard des discours de place) et les ambitions de leur entreprise (approche de stricte conformité ou objectif de «best in class» en pilotage des risques?). Nous espérons que vous trouverez, ici, des axes de réflexion utiles pour vos travaux. (1) ERM : Enterprise Risk Management (2) ORSA : Own Risk and Solvency Assessment, Évaluation interne des risques et de la solvabilité 3

4 1. Approche normative Introduction Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu elle a mis en place un système adéquat et efficace de gestion des risques. Deux référentiels principaux servent de guide dans cette perspective de mise en conformité. Le référentiel réglementaire du Pilier 2 constitue la référence essentielle. Ses dispositions couvrent les attentes des régulateurs en matière d organisation opérationnelle de la gestion des risques. Les grands principes de la Directive y sont exprimés dans quelques articles. Des mesures d application, toujours en cours de discussion, viennent les préciser. Le référentiel technique majeur et largement admis est le COSO ERM. Il est utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d une gestion des risques performante. On notera que les agences de notation ont ainsi intégré la «performance» ERM comme un critère d évaluation à part entière. Nous vous proposons une synthèse des principales dispositions et concepts de ces deux référentiels. (3) COSO est l acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui a établi en 1992 une définition standard du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard s'appelle aussi COSO. 5

5 1.1 Les dispositions générales du Pilier Que dit la Directive? Le Pilier 2 recouvre l ensemble des principes et pratiques attendus des organisations en matière de gestion des risques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositions peuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous : La Directive européenne prévoit les bases d une bonne gouvernance comme un système complet composé de fonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernance des risques (défini dans l article n 41) est étayé par 7 «blocs» principaux qui doivent répondre à des attentes spécifiques. Ces «blocs» sont ensuite détaillés dans un article dédié de la Directive, tel qu illustré ci-dessous : Figure 1 Les principales dispositions du Pilier 2 Gouvernance des risques (art. 41 à 49) Nouveau processus de supervision (art. 27 à 39) Exigences du modèle interne (art.120 à 126) Figure 2 La gouvernance des risques GOUVERNANCE (Art.41) Honorabilité et compétences (Art.42 et 43) Des exigences de gouvernance générale (séparation des tâches, gestion des conflits d intérêt ) Un principe de proportionnalité du dispositif risque à la complexité du profil de risque La définition des fonctions clés de la gestion des risques et du périmètre du dispositif risque Des exigences de qualités «fit and proper» pour les principaux acteurs de la gestion des risques Des principes de bonne conduite en termes de rémunération Un nouveau processus de supervision, fondé sur un dialogue permanent avec le régulateur et où l entreprise a la «charge de la preuve» La possibilité pour le régulateur de sanctionner via des «capital add-on» tout écart quantitatif ou qualitatif par rapport aux standards attendus. Une utilisation effective du modèle interne dans le pilotage (gestion opérationnelle des risques, allocation de capital notamment) Une évaluation objectivée selon 9 principes (appropriation par le management, reflet fidèle du profil de risque ) L'existence d un processus interne de validation du modèle et des tests de sensibilité et de stabilité du modèle Gestion des risques (Art.44) Évaluation interne des risques et de la solvabilité - ORSA (Art. 45) Contrôle interne (Art. 46) Audit interne (Art. 47) Fonction actuarielle (Art. 48) Sous-traitance (Art. 49) Art.41 Exigences générales en matière de gouvernance Art.42 & 43 Honorabilité et compétences Art.44 Gestion des risques Source : PwC Lorsque l on cherche à appréhender les enjeux du Pilier 2, les principales difficultés viennent d un constat très simple : les articles et mesures d application définissent des principes structurants, mais fournissent peu d indications concrètes sur le dispositif à L ORSA (art.45) L ORSA recouvre l ensemble des processus et des procédures qui permettent d identifier, évaluer, suivre, contrôler et communiquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face et qui permettent de déterminer le niveau de capital dont l entreprise a besoin pour assurer sa solvabilité en permanence. L ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu à celles des Piliers 2 et 3. mettre en oeuvre. Ces principes doivent être traduits et déclinés pour s appliquer à la réalité de votre organisation. De ce fait, nous avons choisi dans ce document de nous concentrer sur l aspect organisationnel du Pilier 2, à savoir les enjeux de gouvernance des risques couverts par les articles 41 à 49, ainsi que les projets de mesures de niveau 2 et 3 en cours d élaboration par la Commission Européenne. L article 41 précise notamment que les entreprises d assurance et de réassurance doivent mettre «en place un système de gouvernance efficace, qui garantisse une gestion saine et prudente de l'activité». Ces articles 42 et 43 précisent que «toutes les personnes qui dirigent effectivement l entreprise ou qui occupent d autres fonctions clés doivent avoir les qualifications et compétences requises à l exercice de ces fonctions et que leur réputation et leur intégrité sont de bon niveau (honorabilité)». Ces informations doivent en outre être communiquées aux Autorités de Contrôle en cas de changement et nécessitent d être documentées. L article 44 indique que «les entreprises d assurance et de réassurance doivent mettre en place un système de gestion des risques efficace, qui comprenne les stratégies, processus et procédures d information nécessaires pour déceler, mesurer, contrôler, gérer et déclarer, en permanence, les risques, aux niveaux individuel et agrégé, auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques. Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l entreprise d assurance ou de réassurance et dument pris en compte par les personnes qui dirigent effectivement l entreprise ou qui occupent d autres fonctions clés». 6 PwC 7

6 Art.44 suite Il décrit également a minima le périmètre concerné par la gestion des risques (souscription et provisionnement, gestion actifpassif, investissements, risques opérationnels, les risques d illiquidité et de concentration, la réassurance et pour partie le modèle interne) et précise que les politiques de gestion des risques doivent être documentées. En synthèse, retenons surtout que la Directive : présente la fonction de gestion des risques (par la suite appelée «fonction Risque») comme une fonction obligatoire, efficace et intégrée à l organisation, fixe un périmètre minimal en termes de risques couverts à savoir les risques entrant dans le calcul du SCR sans nécessairement s y limiter, décrit les responsabilités particulières de cette fonction, véritable «chef d orchestre» global du dispositif et pilote du modèle interne si applicable. Art.45 Évaluation interne des risques et de la solvabilité - ORSA L article 45 indique que dans le cadre de leur système de gestion des risques, les entreprises d'assurance et de réassurance doivent régulièrement «procéder à une évaluation [...] interne des risques et de la solvabilité». Cette évaluation, propre au profil de risque, conduit l entreprise à expliciter le niveau de risque qui tend le capital requis en vue d apprécier son niveau de fonds propres. Précisons que l ORSA doit répondre à trois points majeurs : Démontrer dans les faits la pertinence des processus de gestion des risques développés par l organisation. S'intégrer à la stratégie commerciale et à la définition de la stratégie de l organisation : ses analyses et productions doivent être prises en compte par les décideurs. Pouvoir être réévalué suite à toute modification significative du profil de risque de l organisation. Art.46 Système de contrôle interne L article 46 précise que «les entreprises d assurance et de réassurance disposent d un système de contrôle interne efficace comprenant a minima des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d information à tous les niveaux de l entreprise et une fonction de vérification de la conformité». Art.47 Audit interne L article 47 stipule que «la fonction d audit interne évalue notamment l adéquation et l efficacité du système de contrôle interne et les autres éléments du système de gouvernance [ ] de manière objective et indépendante des fonctions opérationnelles». Art.48 Fonction actuarielle Au travers de l article 48 de la Directive, la fonction actuarielle est décrite comme une fonction d expertise visant à «coordonner le calcul des provisions techniques et garantir le caractère approprié des méthodologies, des modèles sous-jacents et des hypothèses utilisés pour le calcul des provisions techniques, apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques, comparer les meilleures estimations aux observations empiriques, informer l'organe d'administration, de gestion ou de contrôle de la fiabilité et du caractère adéquat du calcul des provisions techniques, superviser le calcul des provisions techniques, émettre un avis sur la politique globale de souscription, émettre un avis sur l'adéquation des dispositions prises en matière de réassurance, et enfin contribuer à la mise en œuvre effective du système de gestion des risques». Art.49 Sous-traitance Enfin, l article 49 déclare que «les entreprises d'assurance et de réassurance conservent l'entière responsabilité du respect de l'ensemble des obligations qui leur incombent [ ] lorsqu'elles sous-traitent des fonctions ou des activités d'assurance ou de réassurance» et pourvu que cela n ait pas d incidence sur le système de gouvernance, l activité ou le risque opérationnel, ni sur la capacité de surveillance des Autorités de Contrôle. En sus, l entreprise doit informer le Régulateur de son intention d externaliser toute fonction ou activité «importante ou critique». 8 PwC 9

7 Figure 3 Rappel des exigences du Pilier Que disent les projets de mesures d application? Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62) Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace Cadrage des conflits d intérêt, principe du «4-eyes review», «fit & proper» sur les fonctions clé, politique de rémunération A la lecture des textes, les dispositions de Solvabilité 2 en matière d organisation et de système de gouvernance des risques reposent uniquement sur des principes. Le régulateur souhaite en effet laisser à chaque organisation le soin de définir son propre schéma organisationnel et n a défini à ce titre que les fonctions clés et des attentes très générales. Toutefois, l interprétation qu il est possible de faire au travers de la lecture des articles 41 à 49 a conduit le Régulateur à les préciser. L avis du CEIOPS «Advice for Level 2 Implementing Measures on Solvency 2 : System of Governance» a fourni des premières précisions sur le dispositif de gestion des risques. Les mesures de niveau 3 en cours de discussion préciseront plus avant ce dispositif. En résumé, toute entreprise soumise à Solvabilité 2 doit, selon ce référentiel, démontrer que dans le respect de ces principes, elle possède un dispositif opérationnel de gestion et de pilotage de ses risques qui garantit : Une bonne connaissance des risques auxquels elle est exposée (profil de risque) et une évaluation cohérente de ses expositions à un instant t. Une mécanique réellement opérationnelle de gestion de ces risques, c est-à-dire que les éléments clés sont en place et chacun est en mesure de faire ce qui est prévu. Une remontée des informations nécessaires et la capacité des instances responsables à prendre les décisions qui s imposent. Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; à 3.222) Des processus, procédures et politiques clairement documentées Un périmètre minimal de «zones de risque» à couvrir : souscription, provisionnement, ALM, placements, liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents Fonction de conformité - contrôle interne (3.254 à 3.258) Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication, ) Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité de l information financière et non-financière émise Fonction d audit interne (3.276 à 3.279) Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus Exigence d émission d un rapport annuel sur son activité (plan d audit fondé sur une approche par les risques) Fonction actuarielle (3.328 à 3.343) Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré de fiabilité des modélisations (rapport formel) Dispositif de gestion de l externalisation (3.376 à 3.382) Obligation de s assurer que l externalisation ne dégrade ni la qualité de service ni l exposition globale au risque opérationnel Existence de processus et politiques formalisés et complets sur toutes les dimensions d un projet d externalisation (sélection, contractualisation, pilotage ) La lecture de ces dispositions révèle à l évidence qu il s agit d un «socle minimal» à respecter d un point de vue réglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifique en fonction de sa taille, de son expertise et de la complexité de son profil de risque : c est ce que la Directive appelle le «principe de proportionnalité». Pour autant, le respect de ce principe et la latitude de «marge de manœuvre» dont les différentes organisations pourront disposer reste aujourd hui une question ouverte. 10 PwC 11

8 Figure 4 Une représentation du système de gestion des risques Stratégie Objectifs stratégiques Stratégie risque Valorisation des scénarii stratégiques Utilisation du capital et des ressources fin. Allocation straté Réassurance & autres couvertures Décisions de gestion Horizon de projection Analyse et évaluation des risques Gestion et pilotage de la solvabilité Processus de décision Focus sur les mesures de niveau 2 Le point 3.72 donne l avis du CEIOPS en matière d efficacité d un système de gestion des risques et préconise les points suivants : a) La stratégie de gestion des risques doit être clairement définie et correctement documentée. Cette stratégie doit annoncer les objectifs de gestion des risques et les principes de gestion des risques clés, définir le «risk appetite» de l entreprise, et enfin décrire les missions et responsabilités de la fonction de gestion des risques de manière transversale à l entreprise et en accord avec la stratégie commerciale. b) Les politiques de gestion des risques doivent être écrites et adaptées : elles incluent une définition et une nomenclature des risques portés par l entreprise, les classant par type et par niveau des limites de risque acceptable. Elles devront implémenter la stratégie des risques, faciliter la mise en œuvre des mécanismes de contrôle et prendre en compte la nature, la portée (périmètre) et l horizon de temps de l'activité et des risques associés. c) Les processus de gestion des risques doivent être appropriés et les procédures adaptées pour identifier, évaluer, gérer, contrôler les risques ainsi qu en matière de reporting. d) Les procédures de reporting des risques doivent être appropriées. Ces procédures doivent être coordonnées et challengées par la fonction de gestion des risques et sont activement contrôlées et gérées par toute instance appropriée. e) Les reportings qui sont soumis aux instancespar la fonction de gestion des risques font référence aux risques associés (potentiels ou avérés) à l activité de l entreprise et à l efficacité opérationnelle du système de gestion des risques. f) Enfin, l ORSA doit être adapté aux activités de l entreprise. Cas particulier de l ORSA L ORSA est un sujet majeur qui sera traité dans les mesures de niveau 3 a priori vers le troisième trimestre 2011 par l EIOPA 4. L ACP devrait également apporter sa vision lors d une conférence sur le Pilier 2, la gouvernance et l ORSA prévue au second trimestre Malgré l importance de ce processus, l article 45 n est précisé dans aucun texte relevant des mesures de niveau 2. Le CEIOPS a publié un «Issues Paper» intitulé ORSA en Tel que présenté aujourd hui, l ORSA est un processus qui oblige chaque organisation à calculer et maîtriser ses risques, ainsi qu'à s'assurer qu elle est suffisamment capitalisée. Néanmoins, certaines caractéristiques méritent d être soulignées (figure 4) : L ORSA est de la responsabilité de la Direction Générale qui est en charge de son pilotage et de ses résultats visà-vis du régulateur. Identification des risques Analyses quantitatives Evaluation de la qualité des contrôles Profil de risques Politiques de gestion des risques L ORSA est un processus documenté de la gestion des risques qui doit être présenté au superviseur à intervalle régulier (au moins une fois par an) et dès lors que survient une modification significative du profil de risque de l assureur. Il fait partie intégrante de la gestion quotidienne de l entreprise (politique commerciale, stratégie d investissement, gestion du capital, croissance externe ). Bilan économique Best Estimates Paramètres et hypothèses risque Qualification & chiffrage des fonds propres Stress test & scenario Fongibilité du capital Evaluation des fonds propres Réconciliation de ces évaluations Environnement macro-économique Environnement marco-économique Contexte business Risques émergents Risques à long terme Dispositif de suivi réglementaire Evolution de l environnement juridique Tendances sociales... Il fournit une approche holistique et prospective pour gérer les risques : les risques servant à calculer le SCR et les autres risques (risque de réputation, risque stratégique, risque macroéconomique, risque politique ). L évaluation s inscrit sur un horizon de trois à cinq ans et couvre tout le périmètre du groupe (toutes les entités européennes et celles hors de l Union Européenne qui sont sous sa supervision). Il permet à toute organisation de démontrer qu elle est capable de mobiliser le capital nécessaire pour couvrir le besoin en marge de solvabilité sur l horizon de la planification stratégique (et non sur l horizon d un an utilisé pour le calcul du SCR). Pilotage du profil de risque Pilotage et gestion de la solvabilité Tolérance & appétit aux risques Fréquence des évaluation Support pour les décisions stratégiques Documentation de la gouvernance des risques Publications (Pilier 3) L évaluation des risques dans le processus d ORSA représente la vision «propre» de ses risques que peut avoir une organisation, au-delà des modules de risque identifiés dans le calcul du SCR : différence sur le nombre de risques retenus, sur la mesure des risques c est-à-dire sur l intervalle de confiance selon lequel est calibrée la formule de calcul. De plus, l organisation peut utiliser une approche en formule standard ou un modèle interne pour évaluer son exposition aux risques. La méthodologie employée doit être proportionnée à la complexité de l activité de l entreprise et à la nature des risques auxquels elle est exposée. La question qui se pose est de savoir comment implémenter des fonctions clés et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et compatible avec les pratiques du paritarisme. La Directive est très largement inspirée de concepts applicables au monde capitalistique : elle intègre a priori moins bien dans la valorisation du risque les caractéristiques de la gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de compensation et de rétrocession. Réunica Albert Cohen Directeur des Risques et de la Solvabilité (4) EIOPA : European Authority for nsurance and Occupational Pensions. En janvier 2011, l'eiopa a remplacé le CEIOPS. 12 PwC 13

9 Figure 5 Représentation du référentiel COSO Le COSO 2 - ERM Contexte Le référentiel COSO sur le contrôle interne a été élaboré dès 1991, et est aujourd hui une référence internationale utilisée par les entreprises qui souhaitent mettre à niveau leur dispositif de contrôle interne. Depuis 2002, ce référentiel s est imposé comme le cadre de référence utilisé par les entreprises internationales pour évaluer la conformité de leur structure de contrôle interne avec la loi Sarbanes-Oxley. Celle-ci oblige les dirigeants à évaluer chaque année le contrôle interne de leur entreprise (propositions de la SEC, octobre 2002, et de l'asb, mars 2003). La loi Sarbanes-Oxley exige en outre d émettre un rapport engageant la responsabilité des dirigeants ; le but étant de mettre en place et de maintenir une structure de contrôle interne adéquate pour l'établissement de l information financière. Ce référentiel a émergé suite aux scandales des années 2000 (Enron, Parmalat, Worldcom ). Depuis sa mise en place, il a évolué car les entreprises se sont rendues compte que la stricte perspective du contrôle interne était réductrice et ne permettait pas d appréhender et maîtriser la totalité des risques encourus. Le référentiel a donc été mis à jour en 2004 pour donner naissance au «COSO 2 ERM». D une approche visant à la maîtrise des opérations via la sécurisation par des activités de contrôle, le référentiel a été étendu à : la vision de l ensemble des types de risques auxquels une organisation peut faire face, l organisation des différentes «briques» à l œuvre dans une gestion globale des risques, l intégration des résultats de la gestion des risques dans le "management" de l activité. Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de "management" des Stratégie des risques Profil de risque Système de mesure Politique & processus Contrôle des risques Système de reporting Décisions risques qui représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une matrice en trois dimensions, le fameux «cube COSO». Présentation Les quatre grandes catégories d objectifs de l organisation stratégiques, opérationnels, reporting et conformité sont représentées par les colonnes, les huit «blocs» de la gestion des risques par les lignes et les unités de l organisation par la troisième dimension. Cette représentation illustre la façon d appréhender la gestion des risques dans sa globalité ou bien par catégorie d objectifs, par élément, par unité ou en les combinant. Stratégie Opérations Environnement de contrôle Définition des objectifs Informations Financières Identification des événements Evaluation des risques Traitements des risques Activités de contrôles Information et communication Pilotage Ainsi bâti, le référentiel COSO 2 ERM est la structure qui supporte les grands concepts utilisés par la totalité des acteurs de la gestion des risques : stratégie risque, appétit aux risques, profil de risque, dispositifs de mesure des risques, reporting des expositions Le référentiel a pour objectif principal de permettre une intégration des informations émanant de la gestion des risques aux processus décisionnels et stratégiques de l entreprise. Toute entreprise est à même, en suivant ces préconisations, de piloter sa performance (selon les critères qu elle définit de manière autonome et spécifique) au regard du niveau de risque qu elle prend pour atteindre ses objectifs. Conformité ENTREPRISE DIVISION UNITE DE GESTION FILIALE Il est désormais possible d appréhender l ERM comme un processus opérationnel, établi à partir du COSO 2, fournissant aux décideurs (managers, administrateurs) une assurance raisonnable sur la maîtrise des risques effectivement pris au regard des objectifs stratégiques, dans le cadre d une appétence globalement définie. Il facilite la gestion des incertitudes des activités, la gestion des risques et des opportunités, l identification des événements pouvant être à l origine de risques, ainsi que la définition des solutions de contrôle interne adaptées. 14 PwC 15

10 Le risque étant l essence même du métier de l assurance, on comprend immédiatement l utilité d un tel référentiel qui intègre : la définition des objectifs stratégiques par les instances de décision, la dimension stratégique : comment les instances de décision intègrentelles le risque dans leur processus, comment fixent-elles le cadre de prise de risque de l entreprise (ce qui est autorisé dans la poursuite des objectifs / ce qui est redouté voire interdit)? Conclusion de l approche normative l identification des risques résultant des efforts de l organisation pour atteindre ces objectifs le risque s entendant aussi bien par menace sur l atteinte des objectifs que comme opportunité à poursuivre pour en faciliter leur réalisation, la mise en place d un dispositif performant de pilotage des expositions à ces risques, l information et le reporting des expositions aux responsables ad hoc. Cette intégration du risque dans les processus de pilotage passe par une «diffusion» de la gestion des risques dans l ensemble des niveaux hiérarchiques et processus de l entreprise. Le dispositif sera donc aligné avec le modèle organisationnel de l entreprise, et distinguera des composantes liées à : la dimension organisationnelle : quelles sont les fonctions intervenant dans la gestion des risques, quels sont les processus permettant cette gestion, et pour les entreprises d assurance comment ces analyses sont liées aux exigences de solvabilité, la dimension opérationnelle : comment l organisation se dote-t-elle des outils de mesure des risques, des ressources à même d exploiter ces outils de manière satisfaisante, et quels sont les circuits de remontée de ces informations? Le COSO 2 ERM, conçu comme un référentiel standard et opérationnel, fournit donc les éléments et la démarche globale d un processus de gestion des risques. La réglementation Solvabilité 2, et plus particulièrement le Pilier 2, va obliger les assureurs à préciser les fonctions impliquées dans leur gestion des risques et intégrer l évaluation des risques et de la solvabilité au pilotage de leur entreprise sur un horizon de trois à cinq ans au travers de l'orsa. Mais comment interpréter, adapter et appliquer d une manière opérationnelle ces référentiels au sein de chaque organisation? C est le grand défi du Pilier 2 que d affiner, calibrer et décliner en fonction des spécificités de chaque business, de chaque entreprise et de chaque culture le dispositif de gestion des risques. 16 PwC 17

11 Introduction 2. Mise en œuvre opérationnelle Toutes les organisations n attribuent pas la même importance à la gestion des risques. Il est donc naturel que leurs choix divergent face à l investissement important que représente aujourd hui la mise en place d une «filière risque» conforme aux principes et aux contraintes réglementaires de Solvabilité 2. Or c est bien cet arbitrage, réalisé au niveau de la direction générale et en lien avec la stratégie globale de l entreprise, qui est très difficile à réaliser et à objectiver. Nous allons identifier les facteurs clés pour les trois dimensions du programme de mise en conformité : l organisation générale de la «filière risque», la mise en place du processus de gestion des risques, le pilotage des chantiers transversaux les plus importants. 18 PwC 19

12 2.1 L'organisation générale de la «filière risque» Les «blocs organisationnels» du dispositif Organiser une filière risque au sein d une entreprise disposant d un long historique en matière de processus, d expertises, d habitudes, de cultures et d instances de décision constitue un projet complexe de transformation. Compte-tenu de l étendue des changements qu il implique et de l ancienneté de certaines pratiques qu il conduit à faire évoluer, il demande dès Figure 6 La mise en place de la «filière risque» Quels blocs organisationnels dans le dispositif? Quel périmètre pour la fonction Risque? Quelle articulation entre les différentes fonctions? sa conception toute l attention de tous les acteurs concernés, et en premier lieu celle de la direction générale. Si la «nouveauté» principale consiste la plupart du temps à mettre en place ou développer une fonction de gestion des risques, les projets Solvabilité 2 conduisent aujourd hui à définir des schémas organisationnels pour toute la «filière risque», étant entendue comme l ensemble des fonctions, processus et instances concourant au pilotage des risques. Organiser une telle filière nécessite de répondre à cinq questions majeures : Il est primordial de reconnaître et de délimiter le périmètre des fonctions impliquées dans la gestion des risques. En effet, celle-ci n est pas uniquement une affaire de spécialistes et sa gestion concerne tous les niveaux de l entreprise. Le dispositif doit reconnaître qu à ces différents niveaux correspondent des prérogatives différentes : prise de risque opérationnelle coordination de la prise de risque supervision de la prise de risque. Le modèle des «3 lignes de défense» fournit un référentiel utile pour l articulation de ces différentes fonctions et prérogatives. Ce modèle considère que les risques sont pris en premier lieu par les opérationnels et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des risques constituent donc la «1 ère ligne de défense». La «2 nde ligne de défense» est tenue par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les «fonctions clés» de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité). 4 5 Quel niveau de centralisation pour la fonction Risque? Quels indicateurs? L audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l entreprise fournit une «assurance raisonnable» sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la «3 ème ligne de défense». Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu elles soient réglementaires (Solvabilité 2), externes (notation ) ou internes (ambitions, organisation ). 20 PwC 21

13 Figure 7 Les trois lignes de défense 1 ligne de défense 2 ligne de défense 3 ligne de défense Fonctions opérationnelles Fonctions«spécialistes» Fonctions «Risque» Fonction «Assurance» Le périmètre de la fonction Risque Périmètre Toutes fonctions (SI, RH, Finance, Production, ) - Actuariat / Dir. Technique - ALM / Dir. Investissements - Autres (s ouscription, ) - Gestion des risques - Contrôle interne, conformité Audit interne Principes et normes Sur cette base, les entreprises définissent généralement des grands principes d articulation entre les différentes «strates» de la prise de risque, comme illustré ci-dessus. Le schéma organisationnel définit le plus souvent les responsabilités tout au long des étapes du processus de gestion des risques. Ces principes serviront ultérieurement de référence dans les attributions précises des rôles et responsabilités dans la gestion des risques du profil de risque. N/A Propose Revoit et valide / Propose Mise en œuvre Applique Propose / Applique Coordonne / Applique Contrôles Applique / Propose Applique / Propose La mise en œuvre de ces principes se heurte souvent à 2 difficultés : La fonction de gestion des risques peut avoir des responsabilités différentes en fonction des types de risque : généralement coordinateur, elle peut prendre une responsabilité directe sur certains domaines, comme le risque opérationnel. Ces spécificités sont abordées dans l analyse du positionnement de cette fonction (cf. infra). Supervise, consolide, analyse Reportings Produit Produit / Analyse Consolide, analyse, pilote Plans d action Applique Propose / Applique Valide et pilote / Applique rôle de coordination / rôle opérationnel Réalise des revues indépendantes et a posteriori sur : - La pertinence des dispositifs - Leur correcte application L audit interne a un rôle particulier dans le dispositif, et s avère souvent difficile à positionner. Les textes de Solvabilité 2 insistent fortement sur le caractère indépendant de cette fonction. Ses ressources doivent être déchargées de toute autre responsabilité opérationnelle. Par ailleurs, selon les normes de l IIA 5 son objectif est de fournir de manière indépendante une «assurance raisonnable» au management quant à la pertinence, la qualité et la correcte application du dispositif de gestion des risques. On comprend bien alors pourquoi cette fonction doit être indépendante afin de pouvoir spécifier sa propre approche (basée sur sa perception des risques) ainsi que de formuler des recommandations libres de toute influence extérieure. Nous l avons vu, Solvabilité 2 fait de la fonction Risque le pivot et le chef d orchestre du dispositif risque. La réglementation fixe en effet des responsabilités et un périmètre de risques minimaux sur lesquels cette fonction est référent. Dans le cas où l entreprise utilise un modèle interne, elle a en charge la conception, les tests, la mise en œuvre et le suivi de la performance du modèle retenu, qu il soit partiel ou total. Il est donc naturel que la plupart des entreprises commencent les chantiers du Pilier 2 par la mise en place ou la revue du positionnement de cette fonction. Cette fonction prend donc en charge le pilotage de l ensemble du processus de gestion des risques (cf. supra), même si elle ne réalise pas directement l ensemble des opérations, analyses ou calculs nécessaires à ce processus. Le référent pour l élaboration du profil de risque Lorsqu elle se met en place, une fonction Risque a pour première tâche d identifier les risques auxquels l organisation est exposée. Cette identification constitue le préalable à tous ses travaux. Si la réalité des risques effectivement encourus est spécifique à chaque entreprise, l élaboration du profil de risque obéit néanmoins à quelques bonnes pratiques. La première concerne le périmètre des risques que doit identifier ce profil des risques : Il doit couvrir a minima les modules de risque structurant les calculs de besoins de fonds propres, que ceux-ci soient évalués via la formule standard ou un modèle interne : souscription, marché, taux, opérationnel Il ne se limite cependant pas à ces seuls risques, trop réducteurs pour restituer une image fidèle du profil de risques réel. La fonction Risque doit donc identifier les autres risques qui sont propres à l organisation, en prenant en compte l ensemble de ses filiales et métiers (non nécessairement assurantiels). La fonction Risque doit par ailleurs garder à l esprit que le profil de risque ne peut consister en un simple inventaire de la totalité des risques avérés ou potentiels : A partir de ses analyses et des points de vue qu elle collecte, elle priorise les risques devant faire l objet d un suivi. Sa valeur ajoutée à ce stade repose sur sa capacité à proposer une liste réduite de risques pour lesquels l investissement dans un dispositif de mesure, suivi et pilotage permanent se justifie au regard des objectifs business. De ce fait, elle élabore un véritable outil de management en alliant la vision «risque» des intervenants opérationnels (approche «Bottom-up» visant à l exhaustivité du recensement) et celle des dirigeants (approche «top-down» visant à la pertinence et à la priorisation des investissements en matière de risque). Pour finir, elle s assure pour l ensemble des éléments de ce profil de risque priorisé qu un dispositif opérationnel de gestion et de pilotage est effectivement en place. Chacun de ces risques doit être attribué à un propriétaire de risque, porteur de l expertise la plus poussée disponible dans l organisation sur ce sujet : l actuariat pour les risques de souscription, de contrepartie au passif et de réassurance, la gestion d actifs pour les risques de marché et de crédit Cette attribution est la première brique pour permettre la mise en place d un dispositif de gestion des risques effectivement opérationnel. Les composantes du processus de gestion des risques sont reprises en partie 2 ci-dessous. (5) IIA : Institute of Internal Auditors 22 PwC 23

14 Une fonction en pleine évolution sous l influence de Solvabilité 2 Au-delà de cet aspect technique, les organisations positionnent d abord la fonction Risque en faisant évoluer son «droit de regard» sur les décisions opérationnelles. Cette notion recouvre l étendue des prérogatives de cette fonction sur les processus, politiques et opérations de prise de risque pour lesquels elle ne constitue pas l expert de référence. Dans les faits, les interventions de la fonction Risque sont en ligne avec la priorité stratégique accordée au risque : Une entreprise peut avoir une approche conservatrice du risque : sa priorité est alors de ne pas compromettre les protections offertes aux assurés et sécuriser la performance. Dans ce cas, la fonction Risque aura généralement pour fonction de conseiller les responsables opérationnels sur la maîtrise de leurs processus et des risques associés. Elle n aura pas (ou peu) de latitude pour bloquer les processus de décision. Une entreprise peut aussi décider de fonder sa création de valeur sur le pilotage des risques qu elle prend et de leur impact sur ses variables stratégiques : MCEV, capitalisation boursière, capital économique Dans ce cas, la fonction Risques devient un acteur clé dans les décisions opérationnelles : elle est partie prenante intégrale de ces processus, est consultée pour toute décision importante et émet alors un avis formel. Elle dispose éventuellement d une possibilité de blocage (qui nécessite de prévoir un processus d arbitrage). Ces entreprises utilisent quasi systématiquement un modèle interne, qui est intégré dans les processus de décision stratégiques et opérationnels. Les entreprises évoluent progressivement sur la courbe de maturité de l ERM entre ces 2 pôles. Au fur et à mesure de cette progression, la fonction Risque évolue dans son positionnement : Son rattachement hiérarchique tend à remonter. On observe actuellement une vague très cohérente de repositionnements des fonctions Risque, rattachées de plus en plus systématiquement à la direction générale, marquant la prise en compte croissante des enjeux de risque dans le pilotage des entreprises d assurance. Le rôle du directeur des risques évolue. Souvent perçu initialement comme un cadre à orientation conservatrice et technique, il a vocation à se positionner de plus en plus comme un «Business Advisor» auprès des instances de décision. Sa compréhension unique des risques pris par l entreprise et de leurs interactions lui permettent de fournir un conseil pertinent sur les modalités de création de valeur. Les fonctions Risques, initiées autour des impératifs réglementaires successifs (lutte anti-blanchiment, lutte anti-fraude, ) évoluent vers des organisations plus professionnalisées, le plus souvent structurées par types de risque (opérationnels, techniques, capital économique ) L articulation des différentes fonctions impliquées dans la gestion des risques Une fois le profil de risque arrêté, l enjeu pour la fonction Risque est de promouvoir la mise en place d un dispositif risque s appuyant sur des processus de décision clairs et partagés. La fonction Risques dispose pour cela de deux leviers principaux. La définition des rôles et responsabilités sur les principaux risques Pour cela, la fonction Risque part de sa formalisation du profil de risque et pilote l articulation des rôles et responsabilités pour chacun des risques qu elle y a inscrit. La difficulté principale repose dans la diversité et l hétérogénéité des intervenants. «La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2, va nécessiter une plus grande coordination entre tous les acteurs participant à la gestion des risques tout en s appuyant sur les règles de gestion existantes, règles qui devront être renforcées à la marge. La discipline qui va en découler va permettre de faire émerger des opportunités de croissance et de renforcement de la relation avec nos clients tout en garantissant à tous (employés, actionnaires, clients ) un meilleur contrôle des risques et de ses impacts sur la structure de l entreprise. Groupe Euler Hermes Ronan Davit Directeur des risques Si le modèle des 3 lignes de défense illustré précédemment fournit un cadre général en ce sens, cette mise en cohérence doit être déclinée précisément pour chacun des risques du profil. Il est alors nécessaire de : Cartographier les fonctions légitimes dans la prise en charge d'un risque donné : métiers, support, direction ou gouvernance Localiser dans l organisation l expertise clé en matière de gestion de ce risque (en général, il s agit du propriétaire du risque identifié lors des phases amont de mise en place du dispositif). Définir précisément les rôles et responsabilités de chacun dans le processus. Un point d attention particulier est à apporter à la capacité de blocage des fonctions support (typiquement, la fonction Risque) par rapport aux fonctions opérationnelles concernées, et définir ainsi précisément cette notion de «droit de veto» sur les décisions opérationnelles. Notons que la définition de ce droit de blocage doit s accompagner de la mise en place d une procédure claire d arbitrage en cas de désaccord entre la direction des risques et la direction métier concernée. 24 PwC 25

15 Utiliser une matrice des rôles et des responsabilités, telle que présentée dans l exemple ci-dessous, permet de formaliser aisément cette répartition des rôles. La comitologie peut ainsi s organiser de manière cohérente au sein de l entreprise, comme illustré dans l exemple indicatif ci-dessous : Figure 8 Une matrice des rôles et des responsabilités pour la gestion des investissements Fi gure 9 Matrice des rôles et responsabilités Gestion des investissements Marché Crédit Souscription Opérationnel Responsable (responsabilité en dernier ressort) Conseil d administration (via le comité des risques) : responsabilité de supervision globale Direction générale : validation et pilotage de la politique de placements Comex Comité des risques Acteur (pilotage de la mise en œuvre opérationnelle) Direction des Investissements : propose à la validation les orientations de l allocation stratégique, définit les modalités d allocation tactique, réalise le suivi. Preneurs de risque Comité d Investissement Comité de Souscription Comité Contrôle Interne Consulté (avis sollicité de façon systématique, publié et pris en compte dans la décision) Direction des Risques : émet un avis au regard de l exposition globale du Groupe et de son niveau de solvabilité selon l exposition de l entité considérée aux risques de marché. Si avis contraire, arbitrage en comité exécutif. Reporting & Mitigation Comité ALM Reporting Reporting Informé (modalités de gestion communiquées régulièrement) Service Trésorerie (Direction Financière) : informé de l ensemble des évolutions de la politique de placements. La mise en place d une architecture de prise de décision Le dispositif de gestion des risques le mieux conçu ne sera efficace et performant que s il est accompagné d un dispositif d application opérationnelle des décisions. Il s agit de garantir que d une part, l ensemble des informations utiles remontent à temps aux niveaux hiérarchiques appropriés et que d autre part, ces instances examinent les problématiques et prennent les décisions nécessaires. L entreprise est alors à même de piloter ses expositions aux risques de manière continue et de réagir rapidement en cas de déviation inattendue de son profil de risque. L organisation de la décision est bien entendu propre à la culture de chaque entreprise et fonction de son niveau d avancement sur la «courbe de maturité» de l ERM. Néanmoins, la revue ou la mise en place de l architecture de décision passe par quelques étapes clés : Définir les niveaux organisationnels clés en matière de décision risques. Ces niveaux sont souvent ceux des principales strates décisionnelles de l entreprise (comité de direction, fonctions clés dans la prise de risque, exécutants ) et sont définis en cohérence avec les rôles et responsabilités identifiés pour chaque type de risque du profil de risque. Prioriser les types de risque pour lesquels des instances de pilotage formelles et régulières sont nécessaires. Au regard de ces priorités, l entreprise formalisera les responsabilités attendues de chaque niveau organisationnel (supervision globale, définition des pratiques, suivi et reporting ). Concevoir les instances de décision ad hoc à chaque niveau : type de comité, membres, attributions, modalités et droits de vote, fréquence de réunion. Le nécessaire lien entre la gestion et le contrôle des risques Une des leçons principales de la crise financière est qu une gestion des risques performante nécessite un dispositif cohérent, garantissant une articulation opérationnelle réelle entre : d une part, la définition de politiques et processus risque pertinents (essentiellement du ressort de la direction des risques), et d autre part, la correcte application de ces politiques et processus par les acteurs concernés (fonctions opérationnelles, contrôle interne ). Initialement, beaucoup d entreprises d assurance ont engagé des démarches de cartographie des risques un peu lourdes car fondées sur un niveau de détail très granulaire. Ces démarches ont cherché à identifier et maîtriser les risques spécifiques à certains processus ou domaines opérationnels : fiabilité des processus d information financière (projets SOX), sécurité des systèmes d information, lutte contre la fraude ou le blanchiment d argent Ces réflexions conduisent les entreprises à mener des travaux spécifiques sur la maîtrise du risque opérationnel. Il s agit en effet de la mission première du contrôle interne (ou contrôle permanent) : assurer la correcte maîtrise des processus et opérations de l entreprise et la fiabilité des informations produites par l entreprise, quelles soient financières ou non. A ce stade, ces réflexions ont été initiées mais ne semblent pas avoir été complètement arbitrées par les entreprises d assurance : le risque opérationnel, très difficile à appréhender, est totalement spécifique à chaque organisation et ne fait pas l objet de définitions précises dans Solvabilité 2. Les calibrations du SCR au titre du risque opérationnel aboutissent d ailleurs à une charge minime en fonds propres, n incitant pas ou peu à investir dans un dispositif poussé de maîtrise de ce risque. 26 PwC 27

16 Un certain nombre d acteurs du marché initie actuellement des démarches spécifiques à l analyse du risque opérationnel et à l articulation risque contrôle. Parmi les pistes actuellement envisagées, les principales sont les suivantes : Regroupement progressif des fonctions risque et contrôle sous une unique responsabilité (majoritairement, le directeur des risques). Cela permet de donner une meilleure cohérence entre des initiatives parfois déconnectées auparavant. Ces réflexions sont souvent concentrées sur la problématique de la fonction de conformité : s agit-il d un sujet piloté par les acteurs du juridique (réalisation de la veille réglementaires) ou du contrôle interne (diffusion des dispositions légales dans les processus opérationnels)? Nous observons une tendance assez nette en ce sens à (i) nommer un responsable conformité, chargé de définir les principaux enjeux de la conformité pour l entreprise et coordonner l application des dispositions juridiques applicables en la matière tout en (ii) maintenant la responsabilité de la veille juridique au niveau de la direction juridique, mais en créant une instance de coordination à fréquence régulière entre ces deux acteurs. D une manière générale, les entreprises tendent à mettre leur fonction de gestion des risques en mesure de superviser à la fois la pertinence de leur cadre ERM et la correcte application des dispositions qu il met en place. Cadrage du dispositif de risque opérationnel. Dans un premier temps, l effort se porte sur ce que recouvre cette notion. Il ressort généralement de ces analyses que le risque opérationnel recouvre tout élément compromettant l atteinte des objectifs des processus opérationnels (voir la nomenclature définie en ce sens par Bâle 2), ou encore toute élément compromettant la correcte application des politiques de risques définies par l entreprise. Certaines organisations sont allées plus loin : face à la volumétrie trop importante des risques opérationnels, elles ont priorisé les domaines d exposition critiques et concentré leurs efforts de déploiement des dispositifs de maîtrise sur ces quelques domaines. Modélisation du risque opérationnel. Certaines entreprises ont mis en place des dispositifs de collecte de données liées aux pertes opérationnelles. Ces dispositifs permettent d évaluer l exposition réelle de l entreprise aux pertes opérationnelles, de dimensionner de manière plus cohérente leur dispositif de maîtrise, voire de réaliser des économies en besoins de fonds propres. Il reste toutefois que pour être efficace, ce dispositif doit être cadré (par exemple, en définissant clairement ce qu est une perte opérationnelle et à partir de quelle valeur de seuil on collecte les montants des pertes) et profiter d une profondeur historique importante. On estime que les résultats deviennent significatifs au bout de trois à cinq ans de collecte. Les assureurs sont donc encore peu avancés en matière conceptuelle sur la modélisation de ce risque Le degré de centralisation de la fonction Risque Les groupes d assurance sont confrontés à une difficulté opérationnelle majeure concernant le périmètre opérationnel de la fonction Risque. Comment celleci intègre-t-elle dans ses analyses et processus des entités et activités diverses et non nécessairement assurantielles (gestion pour compte de régimes de retraite complémentaires ou de sécurité sociale, services de soins et d accompagnement, participations stratégiques )? Si la plupart des organisations sont encore en recherche du bon niveau d efficacité dans l articulation du dispositif Risque entre les différentes entités d un groupe, quelques bonnes pratiques émergent néanmoins : L organisation de la «filière risques» au sein du groupe est alignée sur la structure organisationnelle et décisionnelle en place. Dans un groupe très décentralisé, les différentes entités ou filiales disposent souvent d une fonction Risque locale, rattachée hiérarchiquement à leur direction générale mais reliées fonctionnellement à la direction des risques du groupe. Dans un groupe plus centralisé, la direction des risques du groupe supervise les entités juridiques. Elle définit éventuellement un principe de subsidiarité réglant les marges de manœuvre des entités, qui disposent dans ce cas d un «correspondant risque». Dans tous les cas, la fonction Risques est amenée à animer un fonctionnement en réseau. Les groupes ont tendance à imposer à l ensemble de leurs entités assurantielles des principes et schémas de reporting cohérents, définis et pilotés centralement. Ceci est particulièrement vrai pour les groupes internationaux disposant de filiales ou entités étrangères exerçant dans des pays non soumis à Solvabilité 2. Dans ce cas, un double reporting est le plus souvent choisi : maintien du reporting inspiré des normes prudentielles locales, envoi d un reporting risque normalisé (souvent selon un «format Solvabilité 2») au groupe. 28 PwC 29

17 On retrouve très fréquemment des principes assez communs sur l organisation de la filière risque, comme illustré dans le schéma ci-après Les indicateurs clés de la gestion des risques Figure 10 Benchmark Fonction Risque réalisé par PwC ERM ALM Actuariat Reinsurance Contrôle Permanent Capital économique Internal capital model Risk management model Capital Management Market risk exposure Contrôle interne Comptabilité Solvabilité 2 Principales responsabilités du CRO Contrôle de gestion 0% 20% 40% 60% 80% Sur la base d un benchmark réalisé parmi les trente plus gros acteurs du secteur de l assurance (compagnies d assurance, mutuelles et institutions de prévoyance) Pour autant, il n existe pas de schéma "standard" en ce qui concerne l étendue de la fonction Risque. Il s agit plutôt d incompatibilités dans certains cas, notamment pour respecter les principes d'indépendance et d'objectivité par rapport aux fonctions opérationnelles. De nombreuses compagnies ont aussi souhaité «muscler» leur fonction Risque au-delà du strict minimum réglementaire. En effet, cette fonction a vocation à devenir davantage centrale et tous ses enjeux ne sont pas forcément perçus dans un premier Organigramme possible de la direction des risques CEO CRO 67% ERM ALM Actuariat Corporate Contrôle permanent Capital économique Réassurance 75% 67% 33% 17% 17% 17% temps. Des compagnies ont donc ajouté des fonctions plus "traditionnelles" à la fonction Risque pour lui donner davantage de contenu et d'importance. Concernant les filiales, les solutions observées sont le plus souvent basées sur le principe de subsidiarité. La filiale dispose ainsi d une importante autonomie de gestion de ses risques, le groupe ne couvrant que les quelques types de pertes maximales que l activité de cette filiale peut générer (notion de «risque filiale»). Dans sa discussion avec la direction générale, un des rôles les plus fondamentaux de la fonction Risque est de définir les indicateurs clés de la gestion des risques. En effet, le choix de ces indicateurs est le révélateur de l importance accordée par l entreprise à une gestion des risques performante. Cette réflexion s inscrit dans le cadre de la définition d une stratégie risque. Toutefois, avant de se lancer dans ce chantier il est nécessaire d en définir les indicateurs de référence. Ces indicateurs doivent avoir un certain nombre de caractéristiques : Elles reflètent les dimensions principales du couple risque performance qu entend offrir l organisation à ses parties prenantes (ROE, qualité de service, sécurité des protections ). Elles permettent de mesurer la résilience de l organisation dans les cas extrêmes (c est-à-dire les queues de distribution), mais restent réalistes et intègrent toujours la notion de performance (rentabilité ) en regard. Elles sont aisément mesurables, c est-à-dire le coût de mise en œuvre de l infrastructure de calcul et de pilotage n est pas prohibitif (notamment si celle-ci s appuie sur des processus déjà en place) au regard de la valeur ajoutée qu apporte son suivi. Elles sont compréhensibles et explicites pour les personnes en charge de leur suivi. Il est donc clé à ce stade de définir ou valider avec les instances de direction qu elles comprennent et désirent effectivement disposer de ces indicateurs de pilotage. Dans la majorité des cas toutefois, les organisations ont recours à un nombre très limité d indicateurs «fondamentaux» pour leur approche ERM. Leurs approches allient en général : un indicateur de résultat comme le résultat avant impôts, une mesure de la valeur comme la MCEV, un indicateur de la solvabilité comme le ratio de couverture du SCR ou le capital économique. 30 PwC 31

18 2.2 Mettre en place le processus de gestion des risques Définir le cadre de la prise de risque Figure 11 Les étapes de la mise en place d un processus de gestion des risques De manière simplifiée, il est possible de regrouper les différentes étapes du processus de gestion des risques selon le schéma suivant. Chacune de ces étapes se fonde sur un certain nombre de composantes. L objectif de cette partie est d examiner la nature de ces composantes, d identifier les principaux enjeux et leur application opérationnelle et de fournir des exemples concrets de leur mise en œuvre. Definir le cadre de la prise de risque Identifier et évaluer les risques Gérer les risques Suivre et reporter les risques Établir la planification stratégique du capital Les articles 44 et 45 imposent à l'entreprise de démontrer qu elle a mis en place un système adéquat et efficace de gestion des risques, comprenant une stratégie des risques acceptés, une procédure d'enregistrement des risques, de gouvernance de ces derniers et enfin une documentation suffisante des résultats de cette gestion. Dans le cadre de ce système, la Directive impose également, qu au travers de cette stratégie, les liens entre objectifs de performance et de risque soient clairement établis. Les composantes d une stratégie des risques C est à travers cette stratégie des risques que l entreprise définit le cadre «accepté» de la gestion des risques. Au préalable, il est bien entendu nécessaire d avoir défini les indicateurs de référence de la gestion des risques, comme évoqué précédemment. Une démarche de stratégie des risques repose sur cinq concepts clés : L appétit (ou appétence) au risque, qui constitue le niveau de risque agrégé (c est-à-dire au niveau groupe) qu une entreprise accepte de prendre en vue de la poursuite de son activité et de son développement. Il constitue une limite globale qui est déclarée par la direction de l entreprise, et qui s exprime sous la forme d un niveau de déviation acceptée d agrégats clés de l entreprise par rapport à une situation espérée. La tolérance au risque représente le niveau de risque que l entreprise accepte de prendre en vue de poursuivre son activité et son développement pour un périmètre plus restreint. C est une répartition à un niveau plus fin de l appétit aux risques. Cette déclinaison peut être réalisée aussi bien sur des grandes familles de risque que des entités ou périmètres géographiques. Les limites de risques se définissent comme les limites opérationnelles en cohérence avec le budget de risque et/ ou l appétit aux risques. Ces limites sont spécifiques au processus auquel elles se rapportent. Le profil de risque est déterminé par la réaction d agrégats financiers à un choc d une variable sous-jacente. La mesure est réalisée sur un périmètre donné, à une date fixée. Cette mesure peut être réalisée sur des périmètres très restreints comme le risque de mortalité pour un produit spécifique d une filiale. Elle peut également être réalisée à tous les niveaux d agrégation possibles jusqu au périmètre intégral de l entreprise. Le budget de risque est la mesure du niveau anticipé d exposition aux risques à un horizon donné, sur un périmètre donné. Cette mesure est une mesure du profil de risque sur une projection de l entreprise, avec des niveaux de granularité identiques Il est important d avoir à l esprit que la stratégie des risques fixe non seulement le cadre de la prise de risque mais également les modalités selon lesquelles ces principes généraux doivent se diffuser au sein de l organisation. Elle définit les enveloppes et les niveaux cibles adaptées à la volonté de prise de risque en fonction de la stratégie définie. A travers l articulation des différents composants de la stratégie des risques se profile une gestion totalement intégrée de l actif et du passif. Cette stratégie est élaborée majoritairement via une approche top-down (c est-à-dire définie par le management) mais cette réflexion est nourrie par les remontées opérationnelles (approche bottom-up) : 32 PwC 33

19 Figure 12 Description de la stratégie des risques des acteurs de l'assurance Approche Top - Down Approche Bottom - UP Opérationnels Business Units CRO - CFO CRO CFO - CIO COMEX Risque maximal acceptable Où pouvons nous nous positionner en termes de risque? Profil de risque cible Où souhaitons nous nous positionner? Appétence au risque Document intégrant la stratégie retenue par le COMEX et sa déclinaison en termes de risques tant dans son positionnement concurrentiel (Risk capacity, Risk appetite) que dans la prise en compte des spécificités de l entreprise (Risk Profile) Risque de marché Gouvernance des risques Profil de risque actuel Quel est notre positionnement actuel? Risque de souscription Risque de contrepartie Appétence au risque Tolérance Tolérance au au risque risque Risque de opérationnel Profil de risque actuel Quel est notre positionnement actuel? Opérationnels Exécution Contrôle Evaluation Risk Management Règles / Procédures Méthodologies / Process / Cadre fonctionnel et organisationnel Supervision / Reporting Positionnement par rapport à la concurrence, par rapport à la réglementation, par rapport aux spécifités business Positionnement par rapport aux spécifités business, aux exigences de l actionnaire en termes de performance Mise en perspective de l appétence au risque définie par le COMEX avec le profil de risque cible Mise en perspective de la stratégie définie et du réel avec une déclinaison par type de risque et d activité. Une stratégie générale, basée seulement sur des métriques de résultat ou de solvabilité, ne peut constituer un guide opérationnel exploitable pour les preneurs de risque. L aspect critique dans l exécution de cette stratégie est donc sa déclinaison en limites opérationnelles de risque. Pour cela, l implication des dirigeants est primordiale. Il est en effet nécessaire de cartographier les différentes parties prenantes (actionnaires, marché, clients, agences de notation ) et leurs attentes respectives. C est à partir de la compréhension de ces attentes que l entreprise définit une stratégie des risques ainsi que sa déclinaison en un système de limites opérationnelles. Figure 14 Le processus budgétaire Business Plan Draft business plan Déroulement du plan dans le cadre usuel Le BP s intègre t il dans l appétence au risque? Itération du Business Plan Non Contraignant Flexible Etablissement des limites et de la cible Etablissement des limites de risque Prise en compte des engagements vis-àvis des assurés. Figure 13 La déclinaison de la stratégie de risques Horizon stratégique (3-5 ans) Horizon bugétaire (1-3 ans) Opérationnel (année courante) Non Surveillance Confrontation du profil de risque et des limites Le profil de risque est-il dans les limites définies Oui Fin Profil d activités Redescente des objectifs de performance Attentes des actionnaires Business plan Cadre des limites Appétit aux risques (métriques sous-jacentes) Redescente des limites de risque Surveillance / mesures de gestion Pour parfaire l intégration du contenu de la stratégie des risques dans les décisions, il est nécessaire de compléter ces travaux par une mise à jour du processus budgétaire, afin d y inclure des critères d évaluation au regard des montants de risques encourus. Oui Prendre des mesures d ajustement 34 PwC 35

20 Identifier et mesurer les risques Identifier les risques applicables à l activité Un système efficace d identification des risques doit permettre de recenser en amont l exhaustivité des risques grâce à une cartographie détaillée. Ensuite, ce système doit prévoir de recouper cette vision détaillée avec les risques majeurs identifiés par une approche globale. Par la combinaison de ces deux approches, détaillée et globale, l entreprise est en capacité d en comprendre les causes et les interdépendances. Le système d identification des risques doit être mis à jour régulièrement ou lors d un changement important du profil de risque. Figure 15 Le système d identification des risques Plan and prepare One off exercise Identify individuals within business units for ownership of risk register Emerging risks Risk investigation: 1. Using risk categorisation model 2. Supplemented with specific business knowledge Undertake quaterly process Risk information visualisation study Focus groups Risk identification process (one-off) Identifiy categorise and score risks Transfer mechanism Conduct risk and controls assessment (facilitated by risk management) Risk identification process (quaterly) Evaluate controls Review and challenge by TMC Lessons learnt Risk mgt Assed planned controls framework Internal audit Le système d identification des risques (voir schéma ci-dessous) comporte deux éléments : Une cartographie des risques (ou «heat map») qui permet de classer les risques en fonction de leur impact financier potentiel et de leur probabilité de survenance. L évaluation de l impact financier et de leur probabilité de survenance doit s effectuer de manière cohérente dans toutes les entités opérationnelles (même taxonomie des risques et calibration des impacts) et pour tous types de risque. Tout aussi important est l efficacité des procédures de Management attestation for key risks and controls Risk assessment process Trend analysis of heat map Risk mgt Develop risk register software tool Populate sofware tool Identify actions Risk distributions for use in internal model Scenario analysis of heat map Risk mgt Aggregation Prioritisation collecte et de mise à jour des bases de données recensant les risques (loss database). Une liste des risques majeurs qui doit contenir les quelques «grands» risques critiques auxquels l organisation est exposée. Ces grands risques qui peuvent conduire à la faillite doivent être analysés en profondeur afin d identifier les composantes clefs (causes, scenario d occurrence, impacts ). Risk heat map Risk profile (and qualification) as at Loss databases Risk Register Items 1 Capital Losses from Investment Portfolio 2 Inappropriate Investment Processes 7 Insufficient Working Capital Risk Type BU 1 BU 2 BU 3 BU? (DB 1 ) Firm Nat Cat risk Gl Pricing risk Risk Type Credit DB 1 Total Risk and Control Heatmap Gross Likelihood 5 high Med Hight Med low Med Low Low 2- low Med Med 4 Med Hight Gross Likelihood 7 5 high Record of risk events. List of losses, and near misses Systèmes de mesure des risques Les méthodologies de mesure des risques sont couvertes par le Pilier 1 de Solvabilité 2, via la formule standard qui définit les principes de modélisation des provisions techniques en best estimate et les exigences pour le calcul du SCR (module de risque, chocs à appliquer, matrice de corrélation). Les entreprises ont également la possibilité de recourir à un modèle interne reflétant mieux les spécificités de leur profil de risque. En effet, le modèle interne permet, à partir d une même base, de multiples utilisations qui vont de l exigence de solvabilité à l «embedded value», la gestion actifpassif, les études de profit-testing lors de la création de produits, l appétit aux risques, ou même l ORSA. Bien plus qu un outil de calculs, le modèle interne est un outil de mesure, de contrôle, de gestion et de reporting des risques. Il est ainsi au cœur de la stratégie et du pilotage des risques. Comme illustré par le graphique suivant, ce modèle est au cœur du dispositif de gestion des risques. Composé de méthodologies, d hypothèses (endogènes et exogènes) et de données de paramétrages conçus par des experts dédiés, il reflète les politiques définies. Ainsi, le modèle interne agit dans le cadre des processus internes propres à l activité. Il permet ainsi de produire dans un cadre délimité et sécurisé par le contrôle interne de nombreux reportings qui vont être utilisés à des fins diverses en fonction des besoins du management. Dans ce cadre il peut être utilisé pour produire des éléments de valorisation de l entreprise (MCEV), de bilan économique mesurant la performance économique, et bien sûr les nouvelles mesures de solvabilité de l entreprise. Demain, ces modèles serviront aussi aux évaluations comptables en IFRS sous IFRS 4 phase 2. Le modèle interne est en effet au centre des processus de décision de l entreprise, à toutes les étapes, aussi bien en amont lors de la souscription des contrats que lors de la gestion et le pilotage des risques sous-jacents. Elément constitutif de la gouvernance, le modèle interne est mis en place en cohérence avec les fonctions contrôle interne, actuarielle, l audit interne, et la gestion des risques. Cependant sa mise en place peut s avérer coûteuse dans un contexte où les exigences nées de la Directive Solvabilité 2 sollicitent déjà beaucoup les entreprises d assurance et de réassurance. Dans ces cas, il peut paraître plus opportun de se tourner vers la formule standard. Le recours au modèle interne ne doit en effet pas constituer un dogme. Enfin, il ne faut pas oublier que le modèle interne, pour être utilisé, doit faire l objet d une approbation par le superviseur, point abordé ci-après en partie PwC 37

21 Gérer les risques Figure 16 Le périmètre du modèle interne La vision de PwC du périmètre du modèle interne Proces. Commercial Processus Risques Processus Risques Gestion contrats Gestion sinistres Gestion actifs Données externes Sources de Risque Données RiskOp Enregistr. risques Agrégations Données contreparties Transferts risques Business Plans Réassurance Processus de validation du Modèle interne Modèle interne Internal Model input quality Controls Expert judgement - assumption setting Structure de contrôle du Modèle Interne Model Input Data Structure Gouvernance du Modèle Interne Hypothèses Provisionnement Investissements Méthodologies Qualité Statistiq. & Calibration Input Controls Moteur de calcul Output Controls Validation des sorties Analyse de variation Stress & Scenario, Tests de Sensibilités Processus Modèle Interne Politiques du Modèle Interne Variations Données Validation Autres politiques Déroulement Processus Internal Model Output Data structure Distribution Review and Conversion Internal Model output controls Capital (SCR & CapEco) Bilan (Actif & Passif) Compte de Résultats (Cadrage Comptab.) Test Utilisation Management Information Comité de direction Comité Exécutif Risk Management Finance Actuariat Souscription ORSA Profil de Risque Pilotage Solvabilité Gestion exposition ALM Pilotage stratégie Sensibilités Business plan M & A Souscription Tarification Reward RI purchase Stratégie Allocation du capital Innovation Produits Investissements ORSA Gouvernance Gestion des risques Processus commercial Une fois la stratégie de risque définie, il est possible de la décliner en politique de risque qui s applique à toutes les entités et peut comporter des déclinaisons locales pour tenir compte de la réglementation du pays ou des spécificités du marché local. La politique de risque s'articule autour de la mise en place d une gouvernance qui couvre au minimum les risques de : souscription en non-vie, soucription en vie, soucription en santé, marché, contrepartie. Une gouvernance est un ensemble de principes et de règles permettant grâce à un processus de décision clair et partagé et des outils adaptés de suivre et piloter les risques. Elle comporte habituellement les éléments suivants : Un corpus de règles : meilleures pratiques (reconnues par la profession ou internes à l entreprise), pratiques tolérées, pratiques interdites. Des procédures de délégation de pouvoirs : toute décision engageant significativement la compagnie doit obtenir l accord de deux personnes au moins, niveau de l engagement en adéquation avec le niveau hiérarchique. La tarification et le provisionnement : objectif de rentabilité, bases techniques utilisées, méthodologie de tarification et de provisionnement. Le suivi du risque : indicateurs de risque, risques spécifiques nécessitant un suivi particulier, stress tests. Les outils : documentation, outils standards, outils non standards. 38 PwC 39

22 Un exemple d application de la politique des risques Nous avons vu dans la première partie de ce document les principes instaurés par la Directive en matière de gouvernance. Ces politiques de risques s entendent par risque suivant ainsi l approche modulaire de Solvabilité 2. La fonction technique, par exemple, est propriétaire du risque de souscription : en cela elle est en charge de la mesure, de la gestion, du contrôle et de la communication des composantes de ce risque. C est bien l ensemble de ces éléments que doit refléter la politique du risque de souscription. Figure 17 Les modules de risque pour l assurance vie SCR Market Adj L approche modulaire de la cartographie des risques sous Solvabilité 2 guide également le processus de gouvernance des risques. La gouvernance repose sur le respect de principes ou guidelines établis conformément aux bonnes pratiques reconnus par la profession, aussi bien qu aux pratiques internes propres à l entreprise. Ces guidelines interviennent dès la souscription du contrat, puisqu elles normalisent notamment les politiques tarifaires en matière de sélection des risques (lorsque cela est possible) et de mesure du prix du risque. SCR Default SCR BSCR SCR Life Life MORT Life LONG Life DIS Life LAPSE Life EXP Life REV S agissant du risque de longévité par exemple dans le cas des rentes viagères, la fonction actuarielle peut préférer une table d expérience certifiée par un actuaire indépendant plutôt que les tables de mortalité réglementaires TGF05 et TGH05. En effet, la bonne connaissance du portefeuille conduit l entreprise dans ce cas à retenir des hypothèses de mortalité plus faibles que la norme compte tenu du type de population couverte profitant d un niveau élevé de vie et de soin. SCR OP SCR Intang Suivre et reporter les risques Sur la base des outils et processus de mesure du risque, le dispositif de gestion des risques doit produire et remonter aux responsables concernés l ensemble des informations nécessaires à un pilotage adapté et réactif. Il doit donc générer des reportings internes et externes. Les reportings internes L objectif d un rapport de risque est de faciliter le suivi des risques en fournissant les informations nécessaires et l analyse des risques existants et potentiels auxquels est exposée l entreprise. Le contenu du rapport de risque doit être adapté à son lectorat : La Direction générale : le rapport présente en une dizaine de pages une vue d ensemble des risques affectant l entreprise (la cartographie des risques, les trois ou cinq risques majeurs, la situation du marché, une comparaison avec les concurrents). La ligne de métier ou l entité opérationnelle : le rapport comporte une quinzaine de pages sur les risques auxquels est exposée la ligne de métier ou l entité opérationnelle. Le rapport détaillé des risques : c est un document (le plus souvent d une centaine de pages ou plus) qui fournit tous les évaluations et plans d action détaillés pour chaque risque. Les reportings externes Ces éléments sont définis dans le Pilier 3 de la Directive. Le périmètre des reportings concernés est celui décrit dans le CP58. Il comporte des parties qualitatives et quantitatives, sur différents aspects (comptable, prudentiel, de gouvernance, etc.), qui sont détaillées dans les reportings suivants : Reporting To Supervisors (RTS) annuel, à destination des régulateurs comprenant entre autre un Quantitative Reporting Template annuel (QRT) qui détaille les informations fournies dans le RTS. Solvency and Financial Condition Report (SFCR) annuel, à destination du marché, et reprenant la structure du RTS sans les informations à destination des régulateurs. RTS trimestriel, comprenant principalement un QRT trimestriel allégé par rapport au QRT annuel. La nécessaire convergence Risque / Finance On remarque que les organisations tendent de plus en plus à prévoir un chantier opérationnel spécifique sur ce sujet, et ce pour plusieurs raisons : C est d abord un enjeu technique. Les entreprises sont confrontées à une multiplication de leurs bases de reporting (SFCR et RTS en régime de croisière Solvabilité 2, MCEV, IFRS 4 Phase 2, rapports pour les agences de notation ), dont les référentiels s avèrent partiellement divergents. Chaque entreprise devra donc s assurer d une part, qu elle maîtrise les risques d erreur sur ses différents processus de reporting (logique de contrôle interne) et d autre part, qu elle est à même de réconcilier et justifier les différences entre les résultats des différentes publications (différences de méthode, de base d évaluation ). C est également un enjeu de performance opérationnelle. Du fait des impératifs cités ci-dessus, beaucoup d entreprises vont devoir multiplier les processus de clôture et les reportings. Cela crée un souci légitime d efficacité et de réduction des coûts de ces processus. Un grand nombre d acteurs prévoit en ce sens la mise en place d un datawarehouse commun, alimenté par les systèmes sources (gestion, actifs, inventaire ) et à partir duquel les données sont extraites de manière cohérente par les différents intervenants sur certains «univers» de traitement. En aval, ces entreprises tendent à organiser l ensemble des communications vers le marché afin d assurer la meilleure cohérence des messages délivrés ainsi que la maîtrise des calendriers de publication. C est enfin un enjeu stratégique. Sous l effet de l incitation réglementaire, les pratiques de marché convergent vers une évaluation et un pilotage de la performance pondérée du risque. Les dispositifs de pilotage devront donc produire en plus de la performance financière et opérationnelle «classique» une vision du niveau de risque encouru par l entreprise pour atteindre ces chiffres, voire de la «performance» spécifique de la prise de risque de l entreprise. Cette évolution entraînera certainement des projets de convergence de ces dispositifs et de refonte des outils du pilotage de la direction générale et de la communication aux actionnaires. Ces sujets sont une priorité des directions générales et instances politiques, et se matérialiseront progressivement au fur et à mesure de la maturation des processus d ORSA. Life CAT 40 PwC 41

23 Établir la planification stratégique du capital 2.3. Piloter les chantiers transverses L analyse prospective des fonds propres est en quelque sorte le livrable ultime du processus de gestion des risques. Mesurer et piloter les risques, dans la perspective de Solvabilité 2, doit permettre à l organisation de garantir sa solvabilité de manière continue et de réaliser l équilibre entre les objectifs business et le montant de risque encouru pour les atteindre. Cette évaluation prospective de l exigence de capital ou planification stratégique du capital est au cœur du processus d ORSA, qui doit de ce fait être mené en association étroite avec les instances de direction. L objectif de ce processus est de démontrer que l assureur est capable de mobiliser le capital nécessaire pour couvrir le besoin en marge de solvabilité (BMS) sur l horizon de la planification stratégique. Pour chaque stratégie commerciale, l assureur va simuler un grand nombre de scénarios dans lesquels il fait évoluer les paramètres de risque afin de comparer les BMS et les capitaux disponibles. Une telle analyse est réalisée avant chaque décision stratégique majeure (fusion, acquisition, lancement d une nouvelle activité ). Si l analyse révèle une souscapitalisation, l assureur doit pouvoir montrer l existence d un plan de sauvegarde réaliste : plan de recapitalisation, transfert de risque (réassurance, couverture par des dérivés, titrisation ), limitation de l exposition brute (plafond de souscription, plafond d investissement, ) via par exemple un amendement du schéma stratégique retenu (joint venture plutôt que nouvelle société ), mécanismes d absorption des pertes (participation aux bénéfices, rappel de cotisations ). Par ailleurs, l organisation doit également être à même de mesurer la sensibilité de ces analyses à des dégradations de son environnement concurrentiel ou macro-économique. Les analyses de planification du capital sont donc complétées par l utilisation des scénarii de stress, afin de comprendre les hypothèses sousjacentes, les déterminants de cette planification et ses sensibilités aux risques. En particulier, les scénarii de stress permettent d identifier les menaces potentielles et de préparer les plans de sauvegarde pour diminuer leurs impacts sur le bilan. Les scenarii de stress sont clairement explicités, comme par exemple ceux utilisés par l EIOPA en 2009 pour évaluer la solvabilité du secteur européen des assurances : scénario adverse : diminution de 15% à 50% en valeur relative des taux en fonction de leur maturité, élargissement des spreads de crédit, baisse de 10% à 20% des actions, baisse de 15% de l immobilier concomitante à une vague de rachats massifs, scénario de profonde récession : diminution de 40% à 60% en valeur relative des taux en fonction de leur maturité, élargissement des spreads de crédit, baisse de 40% à 55% des actions, baisse de 25% de l immobilier concomitante à une vague de rachats massifs, scénario d inflation : hausse de 40% à 500% en valeur relative des taux en fonction de leur maturité concomitante à une vague de rachats massifs. Au sein de votre projet de conformité à Solvabilité 2, les aspects liés au Pilier 2 nécessitent de prévoir des chantiers transverses qui, s ils ne résultent pas directement d exigences des textes réglementaires, sont néanmoins indispensables d un point de vue opérationnel. Nous avons choisi de nous attarder ici sur un nombre limité de ces chantiers, étroitement liés aux aspects du Pilier 2 : La qualité des données - mesurer et piloter les risques puis les traduire en planifications stratégiques de capital nécessite de disposer d un niveau important de confiance sur la fiabilité des données utilisées et des processus de calcul afférents. La validation du modèle interne - les organisations ayant opté pour son utilisation dès le 1er janvier 2013 doivent prendre en compte les nombreuses contraintes liées au processus de pré-validation puis approbation finale par le superviseur. La conduite du changement - les exigences réglementaires nécessitent la plupart du temps des transformations organisationnelles importantes ainsi que des changements de pratiques significatifs, que vous avez besoin de comprendre, calibrer et accompagner. La mise en place de l ORSA - ce processus doit démontrer la capacité de l organisation à intégrer effectivement ses risques dans son pilotage et sa stratégie. Le processus ORSA est à ce jour peu formalisé. Bien souvent, les organisations doivent assembler les briques existantes et en faire sens au regard des exigences réglementaires. 42 PwC 43

24 Garantir la qualité des données Les exigences de maîtrise des données La qualité des données est une problématique centrale de la Directive Solvabilité 2. A l instar de Bâle 2, le point concerne l exhaustivité, la pertinence et la précision des données exploitées dans le cadre de la production des indicateurs réglementaires de Solvabilité. L alternative entre modèle interne et approche standard ne change finalement pas les choses, en termes de gestion de la qualité des données. Certes, l homologation par le régulateur ne concerne que le seul modèle interne : à cet égard, elle demandera les efforts les plus significatifs en termes de mise en conformité de la part des acteurs qui ont fait ce choix. Il est ici question d un niveau de qualité certifiable et vérifiable ; autrement dit, le niveau d exigence est comparable avec celui du monde comptable d une part, enfin la charge de la preuve incombe à l assureur. Deux aspects doivent être distingués pour bien couvrir le champ des exigences réglementaires : Un aspect statique, strictement circonscrit à la donnée qui alimente le modèle, quelle que soit son origine et sa provenance. Un aspect dynamique, traitant de la mise sous contrôle des processus d extraction, d acheminement et de transformation des données depuis les applications de gestion jusqu aux moteurs actuariels de calculs et de projection des cash-flows et aux composants de reporting pour la «publication» des indicateurs réglementaires de solvabilité. Ces deux aspects sont à croiser avec ce qui fait l ADN de Solvabilité 2 par rapport au régime actuel forfaitaire de solvabilité : il s agit d un régime qui introduit la sensibilité aux portefeuilles de risques des assureurs ; chaque ligne métier est traitée de façon distincte, en considérant que pour une même prime, le niveau d exposition et donc la consommation en fond propre varie en fonction de la nature du risque souscrit. Le calcul de l exigence réglementaire en capital (SCR) est spécifique à chaque ligne métier. Par conséquent, les outils, les contrôles et les données sont également spécifiques à chaque ligne métier : Vie, Non Vie, etc. Les enjeux «statiques» : maîtriser la donnée D un point de vue statique, on retrouve dans la Directive et dans plusieurs «consultation papers» la mention des trois axes d analyse pour la qualité des données : Exhaustivité : les données mises à disposition couvrent avec le même niveau de granularité, de profondeur d historique tous les risques en portefeuille, que ce soit en gestion directe, en gestion déléguée, en coassurance ou en réassurance. Précision : les données exploitées pour le calcul réglementaire sont exemptes de tout biais d origine informatique, technique ou humaine qui les rendrait impropres à leur exploitation pour le calcul d un indicateur réglementaire. Pertinence : les données sont effectivement exploitées de façon appropriée dans le cadre du calcul réglementaire. En cas de déficience ou de manque, le «proxy» utilisé est explicitement documenté et justifié pour la bonne compréhension du régulateur. Il convient de préciser enfin que ces principes couvrent toutes les données qui sont utilisées dans le cadre du calcul réglementaire, qu elles soient issues des applications de gestion (description des contrats, sinistres, primes), de la gestion actif-passif ou de la comptabilité (frais, commissions...) ou externes (données d hypothèses, données marketing, chocs, ratings, scénarios économiques, données macro-économiques, etc.) Cette problématique s aborde via trois livrables principaux : le dictionnaire des données, recensant l ensemble des données exploitées au titre du modèle interne ou de la formule standard. C est sur ce périmètre précis de données que l organisation devra démontrer sa maîtrise sur les trois critères cités précédemment. Les autorités de contrôle s attendent à ce que chaque assureur s approprie ces trois concepts et les déclinent en critères mesurables de la qualité des données ; c est le travail prioritaire à mener parallèlement à la construction du dictionnaire des données utilisées par les filières risques. La conception de ces critères de mesure de la qualité des données combinée à la constitution du dictionnaire des données risques par ligne métier et par filière/système source est la pierre angulaire de deux livrables majeurs que sont la charte ou la Politique qualité des données de l assureur et le modèle de gouvernance des données. la politique qualité des données risques est un document clé établissant précisément : - les objectifs, enjeux périmètre, moyens - les critères de mesure de la qualité des données, alignés sur les trois axes de la Directive (Exhaustivité, Précision et Pertinence) pour chacune des lignes métiers de l assureur, - les principes de revue de la qualité des données (fréquence, profondeur, périmètre, restitution, responsabilité), - le tableau de bord de suivi de la qualité des données par lignes métiers, selon notamment : la sécurité des données et des réseaux, l intégrité des données, la disponibilité des données, la constitution des historiques. Le modèle de gouvernance des données risques établit quant à lui : - les principes de revues et de contrôles de la qualité des données, - les rôles et responsabilités des différents profils impliqués, - la comitologie (Instances, périmètre de décision, fréquence ), - les moyens et notamment la politique Qualité des données, le guide de procédures (timing, sign-off), - les plans de remédiation et leur suivi, - les liens avec les autres instances comme l audit interne et le contrôle permanent, - les modalités d intégration dans l organisation existante. Les enjeux «dynamiques» : sécuriser les filières d acheminement Sur le plan dynamique, les travaux à mener concernent la mise sous contrôle de l infrastructure et des processus de gestion des données risques. Dans la plupart des cas, les acteurs du marché ont mis en œuvre des environnements de type entrepôts de données dans lesquels se déversent les données métiers et à partir desquels sont calculés des indicateurs (Capital économique, MCEV ), les provisions techniques, des indicateurs de pilotage opérationnel et financier. Ils permettent aussi en général d alimenter les tableaux de bord de direction ainsi que les rapprochements comptabilité gestion. Les assureurs doivent concentrer tous leurs efforts sur le traitement des filières d acheminement des données ; une filière de donnée Solvabilité 2 prend sa source dans une application de gestion, elle intègre une succession de composants d infrastructures et d opérations de transformation, d agrégation et de calculs des données, jusqu à l intégration des hypothèses, des chocs, la projection des cash flows, le calcul des différents SCR et la production des différents reportings internes et réglementaires. Il s agit d une filière de bout en bout qui doit impérativement comporter une piste d audit complète et documentée. Il y a pratiquement autant de filières de données que de systèmes sources ; les infocentres ou entrepôts de données jouent un rôle de concentrateur de données, le dictionnaire des données permet d aligner les flux issus des systèmes sources et de redresser les données issues de tels ou tels systèmes le cas échéant afin de garantir la parfaite cohérence des portefeuilles entre eux indépendamment de leurs systèmes d origine. L autre conséquence positive est d éviter de propager dans l entrepôt de données la logique métier de l application de gestion d origine (logique relationnelle, terminologie, etc) les données ainsi extraites et transformées sont disponibles pour un plus grand nombre de «clients» et satisfont plus facilement aux exigences du «Use tests» comme le demande la Directive. 44 PwC 45

25 Figure 18 Le périmètre de validation du modèle interne Obtenir la validation du modèle interne Nous l avons vu précédemment, le modèle interne est plus qu un simple moteur de calcul, il est un élément clé dans les processus de décision de l entreprise. Ce modèle, qu il soit total ou partiel, doit pouvoir être approuvé par le superviseur. Pour ce faire, une documentation assez dense doit être établie de manière à prouver que les exigences de la Directive sont bien respectées. Les conditions de validation Pour rappel, la Directive fixe huit conditions qu une organisation candidate à l utilisation d un modèle interne doit entretenir pour envisager une validation de son modèle interne : 1. Test d utilisation ou «Use test» - l organe de gestion doit comprendre et considérer les évaluations du risque et du capital à partir du modèle interne comme moteur fondamental de la mise en place de son plan commercial et de ses processus décisionnels stratégiques. 2. Test de qualité statistique des données - les évaluations doivent se baser sur des facteurs de risques opportuns, fiables, cohérents et compréhensibles ; elles doivent être fondées sur des hypothèses de risques réalistes, crédibles et vérifiables. 3. Test de calibration : les résultats doivent être calibrés à une valeur à risque (VaR) de 99,5% à un an 4. Test d attribution des profits et pertes - Les entreprises doivent vérifier régulièrement si la classification du risque et l attribution des profits et pertes dans leurs modèles reflète fidèlement les origines et les causes de ces profits/pertes au sein des unités opérationnelles. 5. Test de validation - la pertinence des évaluations et des hypothèses sous-jacentes doit être régulièrement confrontée aux données tirées de l expérience. Les entreprises doivent également jauger la sensibilité des résultats aux changements des hypothèses clés. 6. Test de documentation - les entreprises doivent garder des traces écrites mises à jour régulièrement de la conception, des opérations, des fondements mathématiques et des hypothèses sous-jacentes de leur modèle. 7. Test de gouvernance - le modèle interne ne sera approuvé que si l assureur a une gouvernance satisfaisante et des contrôles internes bien mis en place. 8. Test sur les modèles et données externes - les tests spécifiés s appliquent également aux données ou aux modèles provenant d un tiers (sous-traitance). Organisation du processus de validation Il est important notamment de pouvoir démontrer que le modèle est approprié en interne par les instances de décision, qu il est compris et effectivement utilisé, en somme qu il joue tout son rôle dans le système de gouvernance. Les méthodes de calcul utilisées par le modèle doivent être adéquates et fondées sur des hypothèses crédibles. L entreprise doit pouvoir expliquer les écarts éventuels entre les hypothèses sous-jacentes du modèle et celles de la formule standard. Le modèle doit bien entendu couvrir tous les risques auxquels l entreprise est exposée. Le modèle doit par ailleurs permettre d analyser annuellement les pertes et profits de l activité, en ventilant ces derniers par catégorie de risques pris en compte par le modèle de manière à restituer le réel profil de risque de l entreprise. L entreprise doit en outre se doter d une politique de suivi et validation régulière du modèle afin de s assurer de la permanente adéquation entre le modèle et le profil de risque. Ce processus de validation, illustré ci-dessous, doit permettre de démontrer au superviseur que les exigences de capital résultant du modèle sont bien adéquates au profil de risque réel de l entreprise. Documentation au fil de l eau du processus de validation Politiques de changement du Modèle Validation Indépendante L homologation du modèle se fait pour le régulateur par l analyse du dossier constitué par l entreprise. Ce dossier doit comprendre l ensemble des éléments cités et permettre de démontrer que le modèle interne est le résultat d une démarche structurée, qu il est parfaitement intégré et documenté. Cette étape de constitution du dossier d homologation peut être assez lourde en pratique et doit donc être planifiée avec soin. Dans sa conférence du 22 novembre 2010, l ACP a apporté d utiles précisions sur ses attentes quant à la documentation du dossier d homologation : Au-delà du dossier qui servira de base à son appréciation, l ACP attend une disponibilité de la totalité des documentations de support, qui doivent être regroupées dans un sommaire détaillé. Périmètre de validation Matérialité Outils de validation Fréquence Rôles et Responsabilités Reporting En amont de la démarche de validation, il est nécessaire de définir : - le périmètre du modèle interne : comment le modèle a-t-il été défini, selon quels processus? - le périmètre des principes de validation : le modèle est-il couvert de façon exhaustive? - la proportionnalité retenue : quelles parties du modèle pourraient être éventuellement exclues? En outre, il convient de déterminer le niveau de matérialité requis par le management dans sa politique de validation. Fonction des parties (fonctionnelles et/ou géographiques) concernées, il pourrait y avoir des exigences différenciées en matière de seuil de matérialité. Cette partie concerne l inventaire des outils fondamentaux utilisés pour les tests de validation, ainsi que la cartographie de leur zone de couverture respective. Il est notamment important de considérer : - les approches locales des filiales le cas échéant - les éventuelles réserves ou limitations identifiées dans la validation. Les règles de validation doivent bien entendu prévoir la fréquence à laquelle les étapes du processus de validation seront menées. A nouveau, une différenciation est possible en fonction des modules et/ou des pays concernés. Il faut également identifier les faits déclencheurs du «OK» de validation ainsi que ceux déclencheurs d une modification du modèle. Il est important à ce stade de bien identifier : - les intervenants clés «valideurs» des politiques et règles - les rôles et responsabilités dans le processus de validation du modèle interne : notamment la répartition entre les acteurs centraux et locaux, comme les modalités de la revue indépendante qui sera menée dès La sécurisation du processus se fait par consolidations successives dans une approche par étages. Pour cela, doivent être clairement définis : - les modalités de reporting des résultats du processus de validation (comprenant notamment la revue indépendante) - le format standard de reporting. Pour les groupes internationaux, la langue de travail est l anglais mais il sera nécessaire de prévoir une traduction au moins partielle du dossier en français. Les méthodologies mathématiques utilisées (hypothèses, traduction opérationnelle, paramétrage, fréquence des réévaluations) doivent être clairement décrites. Le dossier contient une description précise des processus de gouvernance du modèle, notamment en ce qui concerne l articulation entre les filiales et le groupe. Les politiques de validation interne du modèle, de gestion des données et d évolution du modèle interne sont à joindre au dossier. Le régulateur prévoit un processus de validation du modèle interne inscrit dans les contraintes de timing fixées par la directive. Ce processus prévoit notamment une phase de préparation des entreprises concernées, ainsi qu une phase de pré homologation. L ACP a donné dans cette même conférence des indications sur les principaux jalons de son calendrier de validation : Les discussions préalables avec les organisations candidates à la validation de leur modèle s achèveront avant le 31 mars 2011 pour les entreprises qui souhaitent un modèle interne validé avant le 1 er janvier Pour cette première vague de demande d utilisation d un modèle interne, le calendrier de livraison doit prévoir une remise complète de tous les composants du modèle interne échelonnée jusqu au plus tard le 31 mars PwC 47

26 «La gouvernance Solvabilité 2 impose un engagement formel de la part de tous les responsables d'entités opérationnelles : l'accompagnement au changement sera déterminant pour les faire adhérer à des modalités qui les engagent bien au delà de ce à quoi certains ont pu être confrontés jusqu'alors.» Allianz France Philippe Léglise Directeur des risques Il n existe pas de structure idéale, chaque organisation définit les modalités de gestion de programme en fonction de contraintes, objectifs et calendrier qui lui sont propres. Nous proposons un exemple générique d une telle structure ci-dessous. Nous soulignons toutefois deux éléments à notre sens majeurs dans la calibration de cette structure : Elle doit être à même de piloter simultanément les divers chantiers du programme, mais également leurs interactions (mutualisation de ressources, impacts croisés des choix structurants pris sur un chantier précis ). Elle doit refléter assez finement la structure organisationnelle en place, afin de diffuser à l échelle de l ensemble des entités du groupe les chantiers et évolutions de culture nécessaires Accompagner le changement Figure 19 Un exemple de structure projet pour la mise en place du Pilier 2 Niveau Groupe Sponsor Direction du Programme Solvabilité 2 Gestion des risques projet Conduite du changement Pilier 1 Pilier 2 Pilier 3 Au sens large, le projet de conformité à Solvabilité 2 est un réel projet d entreprise structurant, impactant la grande majorité des strates de l entreprise : processus stratégiques et décisionnels, organisation, gouvernance, systèmes d information mais également et surtout la culture de l entreprise! L adoption de ces nouveaux modes de fonctionnement nécessite une adhésion forte de tous les collaborateurs car Solvabilité 2 implique des changements dans les comportements (notamment à l égard des risques) et dans la façon de travailler. Il est crucial de prévoir, planifier et mettre en place les moyens d agir sur la diffusion de la culture «Solvabilité 2» dès le démarrage du projet. 1. Calculs de Solvabilité Pilote de chantier Contributeurs Niveau Local 2. Modèles internes Pilote de chantier Contributeurs 3. Stratégie des risques Pilote de chantier Contributeurs 4. Organisation / Gouvernance des risques Pilote de chantier Contributeurs 9. Déploiement 5. Evolution des référentiels et normes internes Pilote de chantier Contributeurs 6. Mise en place de l ORSA Pilote de chantier Contributeurs 7. Reporting et communication financière Pilote de chantier Contributeurs Pilote filiale 1 Pilote filiale 2 Pilote filiale 3 Pilote filiale 4 8. Industrialisation des processus d arrêtés Pilote de chantier Contributeurs Une nécessaire discipline dans la gestion du programme On parle de programme lorsqu il y a plusieurs chantiers complexes à coordonner. Etant donné l étendue, la complexité et la multiplicité des contributeurs pour l ensemble des chantiers du programme Solvabilité 2, la mise en place d une structure performante et transversale de gestion de programme est un facteur de succès incontournable. Sa mise en place constitue un des préalables du lancement des travaux opérationnels, avec pour perspective la totalité de ses responsabilités : coordonner les différents chantiers liés aux trois piliers, ainsi que les autres projets contributeurs ou adhérents (ex : projet d évolution des SI déjà en cours, évolution du dispositif de contrôle interne ), coordonner la communication et la formation sur le programme, favoriser la diffusion d une «culture Solvabilité 2» au sein de l organisation. La création dans cette structure d une cellule dédiée à la conduite du changement est souhaitable : elle aura en charge de gérer la communication interne du programme et le déploiement de la culture risque. Elle pourra aussi prendre en charge, en coordination avec la fonction RH, la gestion des besoins de formation et de ressources supplémentaires qui émergent dans le cadre de la mise en œuvre des différents chantiers. Le périmètre de la conduite du changement ne se limite pas uniquement au programme mais concerne tous les collaborateurs de l entreprise. 48 PwC 49

27 Définir une stratégie de communication La communication est un élément fondamental du changement, permettant l émergence d une nouvelle culture. L approche de cette problématique doit prendre en compte les différents niveaux de communication, correspondant à des publics et des attentes différents : Figure 20 La stratégie de communication Communication institutionnelle et grand public : communiqués de presse, rapport annuel, information du public Communication réglementaire : ACP, reportings réglementaires Dans le cadre de la gestion du programme, il est utile de définir une stratégie globale de communication. Celle-ci a un objectif majeur, à savoir mobiliser et faire s'engager les acteurs clés du programme Solvabilité 2 par la mise en place d'actions de mobilisation autour des enjeux du programme (compréhension des exigences des 3 piliers, appropriation de leur déclinaison au niveau des opérations). La stratégie de communication est généralement déclinée en plans de communication. Le tableau ci-dessous est un exemple qui en synthétise les principaux aspects 3. Communication externe Figure 21 Un exemple de plan de communication Communication aux collaborateurs : newsletters programme Solvabilité 2, information à caractère général de l ensemble des collaborateurs via l Intranet ou autre media Communication interne au programme Solvabilité 2 : Points d avancement, Comités de pilotage, Comités de programme, Comités de chantiers à l initiative des responsables de chantier, base documentaire 2. Communication interne Groupe 1. Communication interne au programme Solvabilité 2 Niveau de communication 1. Communication interne au programme Solvabilité 2 2. Communication interne Groupe Destinataires / Cibles Tous les acteurs du programme Solvabilité 2 Les membres du COPIL, Les membres du COPRO Les instances propres à chaque chantier Les administrateurs Les membres du COMEX Les membres du CODIR Les managers du Groupe Tous les collaborateurs du Groupe au sens large Canal ou media de communication Réunions d équipe, groupes de travail, Comités Documentation interne (support de présentation, formation, compte rendus de réunion etc.) Points d avancement du programme, information à caractère général et / ou technique (ex : support de formation) Possibilité d un espace / portail dédié sur l intranet Newsletters du programme S2, information à caractère général de l ensemble des collaborateurs via l intranet Support de présentation du programme Rôle de la direction du programme Solvabilité 2 / de la cellule de conduite du changement Est responsable et gère la communication interne au programme de manière autonome Propose le format Valide le contenu et les messages Est responsable de la diffusion Propose le contenu et aide à la formalisation des messages Rôle de la Direction de la communication Conseille /et met à disposition du projet les outils de communication le cas échéant Vérifi e et valide la cohérence des messages et du format Gère les outils de communication Vérifi e et valide la cohérence des messages et du format Est responsable de la diffusion Le grand public Les clients du Groupe Communiqués de presse, rapport annuel, information au public via le site Internet du Groupe, conférences Propose le contenu et aide à la formalisation des messages Valide le contenu, les messages, le format avec la DG Est responsable de la diffusion 3. Communication externe L ACP Les instances européennes (CEIOPS ) Reportings sur l avancement des travaux, demandes de l ACP, participation aux travaux de place etc. Valide le contenu, les messages avec les autres directions concernées (Direction technique, Direction fi nancière ) Est responsable de la diffusion via le correspondant ACP Est informé systématiquement avant toute diffusion 50 PwC 51

28 Piloter l évolution des ressources humaines Les Ressources Humaines constituent le deuxième volet clé de la conduite du changement. La direction des Ressources Humaines est un interlocuteur majeur dans la conduite et la réussite de ce programme. Celui-ci nécessite en effet de mobiliser une grande majorité des attributions de cette direction : Formation : faire évoluer les compétences métier des salariés et leur fournir les bases techniques pour remplir leurs missions en «environnement Solvabilité 2». Recrutement : attirer et fidéliser à l extérieur les compétences dont ne dispose pas actuellement l organisation, dans un contexte de tension sur certains profils (actuaires, spécialistes de la gestion des risques ). Gestion des compétences : identifier les attentes en matière d évolution des capacités techniques et managériales en environnement Solvabilité 2 et piloter la transition. Gestion de la performance individuelle : accompagner les changements au niveau le plus fin de l organisation. La formation contribuera fortement à la montée en compétences des collaborateurs durant la phase projet mais aussi après la mise en œuvre de la Directive. Il s agit de dispenser des formations sur le contenu de la réglementation elle-même (par exemple, les trois piliers de la Directive, les CP, le QIS 5), mais aussi des formations sur la gestion des risques. On s attend à ce que les formations sur les nouveaux risques à prendre en compte par les assureurs soient particulièrement demandées (risques de marché, risques de crédit, risques opérationnels ). De même, les formations liées aux techniques financières et aux produits devraient connaître une forte demande de la part des collaborateurs qui appartiennent à la filière technique, à la filière risque, à la filière finance ou encore aux autres lignes métiers. Afin de diffuser une culture risque, enjeu clé du Pilier 2, il est important de prévoir bien sûr des formations avec un contenu technique pour les professionnels mais aussi des formations dites de «sensibilisation», qui s adressent à tous les collaborateurs de l entreprise. Dans ce cas, elles doivent mettre l accent sur la présentation des principaux concepts présents dans la Directive, mais surtout sur ses enjeux pour l entreprise et pour le secteur de l assurance, de même que sur les changements attendus au niveau du métier d assureur. Par ailleurs, un des leviers permettant d accélérer la diffusion des connaissances sur Solvabilité 2 dans l entreprise, est d en favoriser l appropriation rapide par les managers opérationnels. Pour cela, ils doivent être le vecteur de la formation et à ce titre faire partie de la première population (in)formée, puis à leur tour, être capable au moins sur les sujets les concernant de former leurs équipes. C est le principe du «train the trainer» (former les formateurs). L effort de formation lié à Solvabilité 2 sera particulièrement important en 2011 et Les DRH doivent d ores et déjà recueillir les besoins et anticiper leurs impacts sur les budgets de formation. En termes de gestion des compétences, les entreprises qui disposent d une GPEC (Gestion Prévisionnelle de l Emploi et des Compétences) devront également prendre en compte très tôt les évolutions attendues au niveau des compétences des collaborateurs. Il y a un important travail de cartographie des compétences (actuelles vs cibles) à réaliser. Les écarts devront être gérés à la fois par un effort de formation et par des recrutements. Pour cette raison, les besoins de recrutements sur la période doivent être identifiés rapidement, certains profils (comme des actuaires ou des gestionnaires actif-passif) étant particulièrement difficiles à trouver. Enfin, il faut aussi noter l importance de la gestion de la performance comme accélérateur du changement. En effet les entreprises souhaitant faciliter leur mise en conformité par rapport à Solvabilité 2 peuvent prévoir de fixer des objectifs spécifiques aux managers, soit dans les lettres de mission, soit dans le cadre de leurs entretiens annuels de fixation des objectifs. Il s agit par exemple d objectifs relatifs à la mise en œuvre du Pilier 2 (mise en place du dispositif d ORSA, formalisation des processus, d identification des risques et des contrôles etc.) Mettre en place le processus d ORSA «L'ORSA constituera un outil de pilotage stratégique de l'activité assurance dont les bénéfices sont étroitement liés à la flexibilité de sa mise en œuvre opérationnelle». Société Générale Insurance Sébastien Simon Directeur du Programme Solvabilité 2 L implémentation de l ORSA suit un processus en cinq étapes qui est intégré dans le cadre de la gestion des risques de l entreprise : Identification et évaluation du risque, Appétit au risque, Planification stratégique, Stress testing, Allocation du capital. L exécution de ce processus mobilise tous les niveaux de l entreprise suivant une approche top-down et bottom-up : La Direction Générale vers les unités opérationnelles : définition de la stratégie d entreprise, définition de l appétit au risque, allocation du capital aux lignes de métiers. Des unités opérationnelles vers la Direction Générale : identification des risques, mesure du profil de risque, reporting des risques. 52 PwC 53

29 Le graphique suivant donne une vision dynamique du processus ORSA durant l exercice budgétaire : Figure 22 Une vision dynamique du processus ORSA durant l exercice budgétaire M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M1 M2 M3 Conclusion de la mise en œuvre opérationnelle Board Top-down risk ID Top Tier risks agreed Risk Appetite Vision Strategic aspiration Sign-off Quarterly reporting / steeting Executive Committee 3-yr strategic target setting Agree stress scenarios Agree plan Quarterly reporting / steeting Risk Committee Risk Function Finance Function BU 1 BU 2 BU 3 BU 4 Proposed top-down risk ID. Risk identification (ID) Risk template Bottom - up risk ID Proposed Top Tier risks Risk aggregation and priorisation Deep dive risk assessment Agreed and adopt Risk Policy Redefine Risk controlling, mitigation plan process and reporting requirement Day to day operational implementation Risk Appetite Statement Risk Appetite assessment Facilitate strategic financial plan Bottom-up strategic financial plan Review stress scenarios Define stress scenarios (input from Bus) Stress-test of plan / capital planning BUs stress-testing Capital allocation to BUs Riskadjusted performance measures - tools and techniques Risk Appetite monitoring Riskadjusted performance measures - aggregation Riskadjusted performance measures - calculations Capital allocation to BUs La mise en œuvre opérationnelle de la gestion des risques implique de profonds changements au niveau de l organisation mais aussi au niveau du pilotage de l activité de l entreprise. Le lancement de tels projets nécessite une réflexion autour de quelques concepts clés sous-tendus par la Directive. L «appétit au risque», doit ainsi être défini et formalisé au regard des ambitions en termes de business et des moyens disponibles, économiques, humains, techniques... Tout comme la «culture risque» de l entreprise, c est à dire l adhésion des collaborateurs à un profil et une stratégie des risques clairement identifiée. Troisième clé de la conduite opérationnelle de la mise en conformité, les choix d organisation et de gouvernance de la «filière risque». Quel système de décision choisir? A qui attribuer les pouvoirs de décisions et de contrôle? Quel périmètre pour la fonction Risque? Autant de décisions nécessaires pour appliquer les principes du Pilier 2 selon les spécificités de chaque organisation. BU 5 Legend Function Iterative process Strategic planning Risk Appetite Quarterly steering Risk identification Stress testing Facilitate Decision-make Execute Articulation et industrialisation du rapport ORSA avec les rapports de risque du Pilier 3 Les articles 35 et 50 de la Directive ainsi que le CP 58 stipulent que le rapport ORSA remis au régulateur comporte des éléments quantitatifs et qualitatifs qu il partage avec les rapports réglementaires (RTS et SFCR) du Pilier PwC 55

30 Conclusion Des trois piliers de la Directive, le Pilier 2 est sans doute le plus important et le plus complexe à mettre en œuvre. En effet, il conduit l entreprise à placer la gestion des risques au cœur du pilotage de son activité. Il implique, comme nous l avons développé à travers ce livre blanc, la mise en place d un nouveau cadre de référence en matière de gestion des risques qui doit désormais faire partie intégrante de la fonction managériale. Il nécessite surtout des travaux de cadrage et de dimensionnement difficile au regard de sa déclinaison opérationnelle à tous les niveaux de l entreprise : de l organisation en passant par les fonctions de contrôle, la gouvernance ou encore les relations avec les «fournisseurs». Les outils et référentiels, comme la démarche ERM, permettent de lier la stratégie de l entreprise avec un niveau de prise de risque accepté et assumé par les dirigeants et par les opérationnels. Les spécifications du Pilier 2 positionnent ainsi la fonction risque comme la «pierre angulaire» du dispositif de gestion des risques. La mise en place d une culture du risque constitue un élément majeur du Pilier 2. Au regard d un dispositif opérationnel et performant, il s agit d un des éléments majeurs pour atteindre l objectif de mise en conformité. Pour cela, les entreprises auront recours aux deux leviers principaux qui sont la communication et la gestion des ressources humaines. Mais le Pilier 2 représente surtout un changement radical pour beaucoup d acteurs du secteur de l assurance. En effet, le degré de mise en œuvre de Solvabilité 2 est inégal suivant les entreprises. La Directive Solvabilité 2 constitue donc une opportunité, notamment dans un contexte de crise économique. Une opportunité pour optimiser la gestion de l entreprise et gagner en efficacité opérationnelle dans toutes les fonctions, grâce à une formalisation et une rationalisation des processus, une évolution du système d information et des outils utilisés ou encore un renforcement des compétences des collaborateurs. De la même manière, la mise en œuvre de l ORSA invite les assureurs à maîtriser leur profil de risques sur un horizon «stratégique» (de trois à cinq ans), à mettre en adéquation le capital de l entreprise et leurs aspirations commerciales. L ORSA est ainsi destiné à devenir un instrument de pilotage stratégique. Cette performance opérationnelle attendue devrait, à terme, compenser les importants coûts de mise en œuvre des chantiers de mise en conformité avec la Directive et en particulier le Pilier 2. Selon les résultats de l étude paneuropéenne PwC 2010 sur la préparation à Solvabilité 2, les assureurs semblent bien avoir pris la juste mesure des enjeux d une réglementation qui place la gouvernance des risques au cœur de leur activité. 56 PwC 57

31 Vos interlocuteurs Eric Dupont Associé responsable du secteur Assurance en France Jimmy Zou Associé responsable de Solvabilité 2 en France [email protected] Votre contact marketing Elodie Coquerel [email protected] Les informations contenues dans cette publication ne peuvent en aucun cas être assimilées à des prestations de services ou de conseil rendues par leurs auteurs ou éditeurs. «Aussi, Les informations elles ne peuvent contenues être dans utilisées cette comme publication un ne substitut peuvent à en une aucun consultation cas être assimilées rendue par à des une prestations personne de professionnellement services ou de conseil compétente. rendues par leurs Cette auteurs publication ou éditeurs. est la propriété de Aussi, PwC. Toute elles ne reproduction peuvent être utilisées et /ou diffusion, comme un en substitut tout ou à partie, une consultation par quelque rendue moyen par une que personne ce soit est professionnellement interdite sans autorisation compétente. préalable. Cette publication est la propriété de PricewaterhouseCoopers 2014 PricewaterhouseCoopers Audit. Toute France. reproduction Tous et droits /ou diffusion, réservés. en tout ou partie, par quelque moyen que ce soit est interdite sans autorisation préalable. 58 PwC PricewaterhouseCoopers Audit (2014). Tous droits réservés».

32