Your SlideShare is downloading. ×

Solvabilité 2: mise en oeuvre opérationnelle

9,155

Published on

Published in: Economy & Finance
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,155
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
276
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. www.pwc.fr Solvabilité 2 Le Pilier 2, enjeux opérationnels de la gestion des risquesLivre BlancTome 1
  • 2. Sommaire Préface 2 Introduction 4 1. Approche normative 6 1.1 Les dispositions générales du Pilier 2 6 1.2 Que dit la Directive ? 7 1.3 Que disent les projets de mesures d’application ? 10 1.4 Le COSO 2 - ERM 13 2. Mise en œuvre opérationnelle 16 2.1 Lorganisation générale de la « filière risque » 16 2.2 Mettre en place le processus de gestion des risques 25 2.3 Piloter les chantiers transverses 35 Conclusion 46 Vos contacts 47
  • 3. Préface Ce livre blanc est publié à un moment clé de l’agenda réglementaire de la Directive Solvabilité 2. En effet, la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise. Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires, offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les mesures de niveau 2 sur le système de gouvernance des risques est en cours d’achèvement et celle sur les mesures de niveau 3 a démarré et s’accélérera au deuxième semestre 2011. C’est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des entreprises d’assurance s’élargissent au Pilier 2. Or, cette étape implique l’application opérationnelle d’une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et de votre organisation. Elles sont également une opportunité pour optimiser votre performance opérationnelle. L’ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion inédite de la solvabilité sur un horizon stratégique de trois à cinq ans. PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la gestion des risques en contribuant notamment à l’élaboration du référentiel COSO 2-ERM. Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en conformité à Solvabilité 2. Par ailleurs, nous avons prévu de faire dautres livres blancs au cours de 2011 et 2012 sur les sujets qui intéressent le marché, notamment, la qualité des données, lORSA et les reportings financiers. Eric Dupont Jimmy Zou Associé Associé Responsable du secteur Assurance Responsable de Solvabilité 2
  • 4. Introduction Avant dernière ligne droite pour la mise en conformité à Solvabilité 2, 2011 est une étape importante pour les sociétés d’assurance. Pour leur apporter des solutions clés en main, PwC consacre un livre blanc, « les Enjeux du Pilier 2 », exclusivement dédié à la mise en œuvre de ces futures obligations. Ce livre blanc propose un cadre méthodologique concret et des points de repères dans le travail de déclinaison des principes du Pilier 2.
  • 5. "Ce livre blanc, par son approche pluri-disciplinaire, présente de façon claire les points essentiels de la gestion des risques complétés dillustrations possibles. Ce document nous conforte dans nos orientations antérieures et il permet de mieux cerner certaines déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.". MAIF Christophe Raballan Directeur de la Maîtrise des risques et du Contrôle interneSur la route de la mise en conformité C’est donc, en ce début d’année 2011, L’objectif de ce livre blanc est doncà Solvabilité 2, les entreprises sur le Pilier 2 de Solvabilité 2 que vos de constituer une sorte de « boîted’assurance (sociétés d’assurance et travaux s’étendront. Clef de voûte de à outils », utilisable par tous lesde réassurance, mutuelles, IP) sont la Directive, la conformité au Pilier 2 acteurs intervenant sur les aspectsaujourd’hui arrivées à un tournant pose donc de nombreuses questions organisationnels de la conformité àstratégique. Après avoir consacré une aux sociétés d’assurance. Cette étape Solvabilité 2. Après avoir rappelé lespart prépondérante de leurs projets de implique une interrogation sur votre spécifications de la réglementation et duconformité aux aspects quantitatifs du culture du risque, une (re)définition référentiel ERM1, nous nous proposonsPilier 1, elles se tournent aujourd’hui de votre stratégie et de gouvernance de décliner les enjeux opérationnelsvers les exigences, plus qualitatives des risques et, enfin, une mise en de vos chantiers de conformitéet plus complexes du Pilier 2. place opérationnelle de votre gestion (organisation et gouvernance de la des risques.Des questions difficiles, filière risque, processus de gestionEn effet, en 2010, vous avez mobilisé qui vous mènent souvent au cœur des risques, cadrage des chantiersvos forces autour de la capacité de du pilotage de votre activité. « transversaux » comme la qualitévotre organisation à modéliser les des données ou l’ORSA 2), de poserrisques dans un nouveau référentiel Qu’exige précisément la réglementation les questions structurantes et, enfin,et à mesurer l’impact de ce nouveau Solvabilité 2 ? Comment ces d’apporter des pistes de réponserégime sur le montant des fonds propres dispositions doivent-elles, ou plutôt, opérationnelles, via des exemplesnécessaire à horizon du 1er janvier 2013. peuvent-elles être appliquées à concrets de mise en œuvre.Vous avez également finalisé l’ensemble mon organisation ? Quels sont lesdes exercices liés au QIS 5. Ces exercices contraintes et déterminants me Ce document s’adresse aux pilotesont été l’occasion de réaliser un 1er test permettant de dimensionner un opérationnels des projets de conformité« grandeur nature » sur vos méthodes dispositif opérationnel de gestion des à Solvabilité 2, chefs de projet ouet processus calculatoires. Lors de risques ? Quels sont les chantiers que directeurs des risques. Toutefois, notrecette phase, vous effectuez les tests « recouvrent les exigences du Pilier 2 au travail de réflexion et de méthodologiegrandeur nature » pour mettre en place sein de mon projet de conformité ? pourra également être utile auxun processus de réalisation des bilans dirigeants et administrateurs deséconomiques et de calcul des SCR. La difficulté majeure, partagée organismes d’assurance, dont bon par l’ensemble de nos clients et à nombre sont aujourd’hui confrontés à laquelle s’attaque ce livre blanc, des arbitrages difficiles sur le calibrage est d’interpréter et de calibrer les du dispositif, entre les impératifs de principes des textes réglementaires conformité (qui peuvent paraître lourds aux spécificités de l’organisation pour au regard des discours de place) et les créer un dispositif de gestion des risques ambitions de leur entreprise (approche conforme, adapté et performant. de stricte conformité ou objectif de « best in class » en pilotage des risques ?). Nous espérons que vous trouverez, ici, des axes de réflexion utiles pour vos travaux.(1) ERM : Enterprise Risk Management(2) RSA : Own Risk and Solvency O Assessment, Évaluation interne des risques et de la solvabilité Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 3
  • 6. 1. Approche normative
  • 7. Introduction Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu’elle a mis en place un système adéquat et efficace de gestion des risques. Deux référentiels principaux servent de guide dans cette perspective de mise en conformité. • Le référentiel réglementaire du Pilier 2 constitue la référence essen- tielle. Ses dispositions couvrent les attentes des régulateurs en matière d’organisation opérationnelle de la gestion des risques. Les grands prin- cipes de la Directive y sont exprimés dans quelques articles. Des mesures d’application, toujours en cours de discussion, viennent les préciser. • Le référentiel technique majeur et largement admis est le COSO 23 - ERM. Il est utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d’une gestion des risques performante. On notera que les agences de notation ont ainsi intégré la « performance » ERM comme un critère d’évaluation à part entière. Nous vous proposons une synthèse des principales dispositions et concepts de ces deux référentiels.(3) OSO est l’acronyme abrégé de Committee Of Sponsoring Organizations C of the Treadway Commission, une commission à but non lucratif qui a établi en 1992 une définition standard du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard sappelle aussi COSO. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 5
  • 8. 1.1 es dispositions L générales du Pilier 2Le Pilier 2 recouvre l’ensemble des principes et pratiques attendus des organisations en matière de gestion desrisques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositionspeuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous :Figure 1 – Les principales dispositions du Pilier 2 Nouveau processus Gouvernance des risques Exigences du modèle interne de supervision (art. 41 à 49) (art.120 à 126) (art. 27 à 39) • Des exigences de gouvernance • Un nouveau processus de • Une utilisation effective du mo- générale (séparation des tâches, supervision, fondé sur un dèle interne dans le pilotage (ges- gestion des conflits d’intérêt…) dialogue permanent avec le tion opérationnelle des risques, régulateur et où l’entreprise a allocation de capital notamment) • Un principe de proportionna- la « charge de la preuve » lité du dispositif risque à la • Une évaluation objectivée complexité du profil de risque • La possibilité pour le régulateur selon 9 principes (appropria- de sanctionner via des « capi- tion par le management, reflet • La définition des fonctions clés tal add-on » tout écart quan- fidèle du profil de risque…) de la gestion des risques et du titatif ou qualitatif par rapport périmètre du dispositif risque aux standards attendus. • Lexistence d’un processus in- terne de validation du modèle… • Des exigences de qualités « fit and proper » pour les principaux • … et des tests de sensibilité acteurs de la gestion des risques et de stabilité du modèle • Des principes de bonne conduite en termes de rémunération L’ORSA (art.45) • L’ORSA recouvre l’ensemble des processus et des procédures qui permettent d’identifier, évaluer, suivre, contrôler et com- muniquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face et qui permettent de déterminer le niveau de capital dont l’entreprise a besoin pour assurer sa solvabilité en permanence. • L’ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu’à celles des Piliers 2 et 3.Source : PwCLorsque l’on cherche à appréhender mettre en oeuvre. Ces principes doivent savoir les enjeux de gouvernance desles enjeux du Pilier 2, les principales être traduits et déclinés pour s’appliquer risques couverts par les articles 41 àdifficultés viennent d’un constat à la réalité de votre organisation. 49, ainsi que les projets de mesures detrès simple : les articles et mesures niveau 2 et 3 en cours d’élaborationd’application définissent des principes De ce fait, nous avons choisi dans ce par la Commission Européenne.structurants, mais fournissent peu document de nous concentrer surd’indications concrètes sur le dispositif à l’aspect organisationnel du Pilier 2, à 6 PwC
  • 9. 1.2 Que dit la Directive ?La Directive européenne prévoit les bases d’une bonne gouvernance comme un système complet composé defonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernancedes risques (défini dans l’article n°41) est étayé par 7 « blocs » principaux qui doivent répondre à des attentesspécifiques. Ces « blocs » sont ensuite détaillés dans un article dédié de la Directive, tel qu’illustré ci-dessous :Figure 2 – La gouvernance des risques GOUVERNANCE (Art.41) Honorabilité et compétences (Art.42 et 43) Gestion des risques (Art.44) Évaluation interne des risques et de la solvabilité - ORSA (Art. 45) Contrôle interne (Art. 46) Audit interne (Art. 47) Fonction actuarielle (Art. 48) Sous-traitance (Art. 49)Art.41 – Exigences générales Art.42 43 – Honorabilité Art.44 – Gestion des risquesen matière de gouvernance et compétencesL’article 41 précise notamment que Ces articles 42 et 43 précisent que L’article 44 indique que « les entreprisesles entreprises d’assurance et de « toutes les personnes qui dirigent d’assurance et de réassurance doiventréassurance doivent mettre « en effectivement l’entreprise ou qui mettre en place un système de gestionplace un système de gouvernance occupent d’autres fonctions clés doivent des risques efficace, qui comprenneefficace, qui garantisse une gestion avoir les qualifications et compétences les stratégies, processus et procéduressaine et prudente de lactivité ». requises à l’exercice de ces fonctions d’information nécessaires pour déceler, et que leur réputation et leur intégrité mesurer, contrôler, gérer et déclarer, en sont de bon niveau (honorabilité) ». permanence, les risques, aux niveaux individuel et agrégé, auxquels elles sont Ces informations doivent en outre ou pourraient être exposées ainsi que être communiquées aux Autorités les interdépendances entre ces risques. de Contrôle en cas de changement et nécessitent d’être documentées. Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l’entreprise d’assurance ou de réassurance et dument pris en compte par les personnes qui dirigent effectivement l’entreprise ou qui occupent d’autres fonctions clés ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 7
  • 10. Art.44 – suite Il décrit également a minima le périmètre concerné par la gestion des risques (souscription et provisionnement, gestion actif- passif, investissements, risques opérationnels, les risques d’illiquidité et de concentration, la réassurance et pour partie le modèle interne) et précise que les politiques de gestion des risques doivent être documentées. En synthèse, retenons surtout que la Directive : • présente la fonction de gestion des risques (par la suite appelée « fonction Risque ») comme une fonction obligatoire, efficace et intégrée à l’organisation, • fixe un périmètre minimal en termes de risques couverts – à savoir les risques entrant dans le calcul du SCR sans nécessairement s’y limiter, • décrit les responsabilités particulières de cette fonction, véritable « chef d’orchestre » global du dispositif et pilote du modèle interne si applicable.8 PwC
  • 11. Art.45 – Évaluation interne des Art.46 – Système de Art.49 – Sous-traitancerisques et de la solvabilité - ORSA contrôle interne Enfin, l’article 49 déclare que «L’article 45 indique que dans le cadre L’article 46 précise que « les entreprises les entreprises dassurance et dede leur système de gestion des risques, d’assurance et de réassurance réassurance conservent lentièreles entreprises dassurance et de disposent d’un système de contrôle responsabilité du respect de lensembleréassurance doivent régulièrement « interne efficace comprenant a minima des obligations qui leur incombentprocéder à une évaluation [...] interne des procédures administratives et […] lorsquelles sous-traitent desdes risques et de la solvabilité ». comptables, un cadre de contrôle fonctions ou des activités dassuranceCette évaluation, propre au profil interne, des dispositions appropriées ou de réassurance » et pourvu que celade risque, conduit l’entreprise à en matière d’information à tous les n’ait pas d’incidence sur le système deexpliciter le niveau de risque qui tend niveaux de l’entreprise et une fonction gouvernance, l’activité ou le risquele capital requis en vue d’apprécier de vérification de la conformité ». opérationnel, ni sur la capacité deson niveau de fonds propres. surveillance des Autorités de Contrôle.Précisons que l’ORSA doit répondre Art.47 – Audit interne En sus, l’entreprise doit informerà trois points majeurs : le Régulateur de son intention L’article 47 stipule que « la fonction d’externaliser toute fonction ou• Démontrer dans les faits la pertinence d’audit interne évalue notamment activité « importante ou critique ». des processus de gestion des risques l’adéquation et l’efficacité du système de développés par l’organisation. contrôle interne et les autres éléments du système de gouvernance […] de• Sintégrer à la stratégie commerciale manière objective et indépendante et à la définition de la stratégie des fonctions opérationnelles ». de l’organisation : ses analyses et productions doivent être prises Art.48 – Fonction actuarielle en compte par les décideurs. Au travers de l’article 48 de la Directive,• Pouvoir être réévalué suite à toute la fonction actuarielle est décrite modification significative du profil comme une fonction d’expertise visant de risque de l’organisation. à « coordonner le calcul des provisions techniques et garantir le caractère approprié des méthodologies, des modèles sous-jacents et des hypothèses utilisés pour le calcul des provisions techniques, apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques, comparer les meilleures estimations aux observations empiriques, informer lorgane dadministration, de gestion ou de contrôle de la fiabilité et du caractère adéquat du calcul des provisions techniques, superviser le calcul des provisions techniques, émettre un avis sur la politique globale de souscription, émettre un avis sur ladéquation des dispositions prises en matière de réassurance, et enfin contribuer à la mise en œuvre effective du système de gestion des risques ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 9
  • 12. 1.3 Que disentles projets de mesuresd’application ? A la lecture des textes, les dispositions L’avis du CEIOPS « Advice for Level 2 de Solvabilité 2 en matière Implementing Measures on Solvency 2 : d’organisation et de système de System of Governance » a fourni des gouvernance des risques reposent premières précisions sur le dispositif uniquement sur des principes. Le de gestion des risques. Les mesures régulateur souhaite en effet laisser à de niveau 3 en cours de discussion chaque organisation le soin de définir préciseront plus avant ce dispositif. son propre schéma organisationnel et n’a défini à ce titre que les fonctions clés En résumé, toute entreprise soumise à et des attentes très générales. Toutefois, Solvabilité 2 doit, selon ce référentiel, l’interprétation qu’il est possible de faire démontrer que dans le respect de ces au travers de la lecture des articles 41 à principes, elle possède un dispositif 49 a conduit le Régulateur à les préciser. opérationnel de gestion et de pilotage de ses risques qui garantit : • Une bonne connaissance des risques auxquels elle est exposée (profil de risque) et une évaluation cohérente de ses expositions à un instant t. • Une mécanique réellement opérationnelle de gestion de ces risques, c’est-à-dire que les éléments clés sont en place et chacun est en mesure de faire ce qui est prévu. • Une remontée des informations nécessaires et la capacité des instances responsables à prendre les décisions qui s’imposent. 10 PwC
  • 13. Figure 3 – Rappel des exigences du Pilier 2 Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62) • Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace • Cadrage des conflits d’intérêt, principe du « 4-eyes review », « fit proper » sur les fonctions clé, politique de rémunération Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; 3.220 à 3.222) • Des processus, procédures et politiques clairement documentées • Un périmètre minimal de « zones de risque » à couvrir : souscription, provisionnement, ALM, placements, liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque • Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents Fonction de conformité - contrôle interne (3.254 à 3.258) • Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication,…) • Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité de l’information financière et non-financière émise Fonction d’audit interne (3.276 à 3.279) • Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus • Exigence d’émission d’un rapport annuel sur son activité (plan d’audit fondé sur une approche par les risques) Fonction actuarielle (3.328 à 3.343) • Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré de fiabilité des modélisations (rapport formel) Dispositif de gestion de l’externalisation (3.376 à 3.382) • Obligation de s’assurer que l’externalisation ne dégrade ni la qualité de service ni l’exposition globale au risque opérationnel • Existence de processus et politiques formalisés et complets sur toutes les dimensions d’un projet d’externalisation (sélection, contractualisation, pilotage…)La lecture de ces dispositions révèle à l’évidence qu’il s’agit d’un « socle minimal » à respecter d’un point de vueréglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifiqueen fonction de sa taille, de son expertise et de la complexité de son profil de risque : c’est ce que la Directiveappelle le « principe de proportionnalité ». Pour autant, le respect de ce principe et la latitude de « marge demanœuvre » dont les différentes organisations pourront disposer reste aujourd’hui une question ouverte. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 11
  • 14. Focus sur les mesures c) Les processus de gestion des Cas particulier de l’ORSAde niveau 2 risques doivent être appropriés et les procédures adaptées pour L’ORSA est un sujet majeur qui seraLe point 3.72 donne l’avis du identifier, évaluer, gérer, contrôler traité dans les mesures de niveau 3 aCEIOPS en matière d’efficacité d’un les risques ainsi qu’en matière de priori vers le troisième trimestre 2011système de gestion des risques et reporting. par l’EIOPA4. L’ACP devrait égalementpréconise les points suivants : apporter sa vision lors d’une conférence d) Les procédures de reporting des sur le Pilier 2, la gouvernance et l’ORSA a) La stratégie de gestion des risques doivent être appropriées. prévue au second trimestre 2011. risques doit être clairement définie Ces procédures doivent être et correctement documentée. Cette coordonnées et challengées par la Malgré l’importance de ce processus, stratégie doit annoncer les objectifs fonction de gestion des risques et sont l’article 45 n’est précisé dans aucun de gestion des risques et les principes activement contrôlées et gérées par texte relevant des mesures de niveau de gestion des risques clés, définir le toute instance appropriée. 2. Le CEIOPS a publié un « Issues « risk appetite » de l’entreprise, et enfin Paper » intitulé ORSA en 2008. décrire les missions et responsabilités e) Les reportings qui sont soumis aux de la fonction de gestion des risques instancespar la fonction de gestion Tel que présenté aujourd’hui, l’ORSA de manière transversale à l’entreprise des risques font référence aux risques est un processus qui oblige chaque et en accord avec la stratégie associés (potentiels ou avérés) à organisation à calculer et maîtriser ses commerciale. l’activité de l’entreprise et à l’efficacité risques, ainsi quà sassurer qu’elle est opérationnelle du système de gestion suffisamment capitalisée. Néanmoins, b) Les politiques de gestion des des risques. certaines caractéristiques méritent risques doivent être écrites d’être soulignées (figure 4) : et adaptées : elles incluent une f) Enfin, l’ORSA doit être adapté aux définition et une nomenclature des activités de l’entreprise. • L’ORSA est de la responsabilité de la risques portés par l’entreprise, les Direction Générale qui est en charge classant par type et par niveau des de son pilotage et de ses résultats vis- limites de risque acceptable. Elles à-vis du régulateur. devront implémenter la stratégie des risques, faciliter la mise en œuvre des mécanismes de contrôle et prendre en compte la nature, la portée (périmètre) et l’horizon de temps de lactivité et des risques associés.(4) IOPA : European Authority for nsurance and Occupational Pensions. E En janvier 2011, lEIOPA a remplacé le CEIOPS. 12 PwC
  • 15. Figure 4 – Une représentation du système Stratégiede gestion des risques • Objectifs stratégiques • Allocation straté • Stratégie risque • Réassurance autres • Valorisation des scénarii couvertures stratégiques • Décisions de gestion • Utilisation du capital et • Horizon de projection des ressources fin. Analyse et évaluation des risques Gestion et pilotage de la solvabilité Processus de décision • Identification des risques • Bilan économique • Stress test scenario • Pilotage du profil de risque • Analyses quantitatives • Best Estimates • Fongibilité du capital • Pilotage et gestion de la solvabilité • Evaluation de la qualité des contrôles • Paramètres et • Evaluation des fonds • Tolérance appétit aux risques • Profil de risques hypothèses risque propres • Fréquence des évaluation • Politiques de gestion des risques • Qualification chiffrage • Réconciliation de ces • Support pour les décisions stratégiques des fonds propres évaluations • Documentation de la gouvernance des risques • Publications (Pilier 3) Environnement macro-économique • Environnement marco-économique • Contexte business • Risques émergents • Risques à long terme • Dispositif de suivi réglementaire • Evolution de l’environnement juridique • Tendances sociales...• L’ORSA est un processus documenté économique, risque politique…). • ’évaluation des risques dans le L de la gestion des risques qui doit être L’évaluation s’inscrit sur un horizon processus d’ORSA représente la présenté au superviseur à intervalle de trois à cinq ans et couvre tout vision « propre » de ses risques que régulier (au moins une fois par an) et le périmètre du groupe (toutes les peut avoir une organisation, au-delà dès lors que survient une modification entités européennes et celles hors de des modules de risque identifiés significative du profil de risque de l’Union Européenne qui sont sous sa dans le calcul du SCR : différence l’assureur. supervision). sur le nombre de risques retenus, sur la mesure des risques c’est-à-dire• Il fait partie intégrante de la • l permet à toute organisation de I sur l’intervalle de confiance selon gestion quotidienne de l’entreprise démontrer qu’elle est capable de lequel est calibrée la formule de (politique commerciale, stratégie mobiliser le capital nécessaire calcul. De plus, l’organisation peut d’investissement, gestion du capital, pour couvrir le besoin en marge utiliser une approche en formule croissance externe…). de solvabilité sur l’horizon de la standard ou un modèle interne pour planification stratégique (et non sur évaluer son exposition aux risques.• l fournit une approche holistique et I l’horizon d’un an utilisé pour le calcul La méthodologie employée doit être prospective pour gérer les risques : les du SCR). proportionnée à la complexité de risques servant à calculer le SCR et les l’activité de l’entreprise et à la nature autres risques (risque de réputation, des risques auxquels elle est exposée. risque stratégique, risque macro- La question qui se pose est de savoir comment implémenter des fonctions clés et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et compatible avec les pratiques du paritarisme. La Directive est très largement inspirée de concepts applicables au monde capitalistique : elle intègre a priori moins bien dans la valorisation du risque les caractéristiques de la gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de compensation et de rétrocession. Réunica Albert Cohen Directeur des Risques et de la Solvabilité Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 13
  • 16. 1.4 Le COSO 2 - ERM Contexte la responsabilité des dirigeants ; le but étant de mettre en place et de Le référentiel COSO sur le contrôle maintenir une structure de contrôle interne a été élaboré dès 1991, interne adéquate pour létablissement et est aujourd’hui une référence de l’information financière. internationale utilisée par les entreprises qui souhaitent mettre Ce référentiel a émergé suite aux à niveau leur dispositif de contrôle scandales des années 2000 (Enron, interne. Depuis 2002, ce référentiel Parmalat, Worldcom…). Depuis s’est imposé comme le cadre de sa mise en place, il a évolué car les référence utilisé par les entreprises entreprises se sont rendues compte internationales pour évaluer que la stricte perspective du contrôle la conformité de leur structure interne était réductrice et ne permettait de contrôle interne avec la loi pas d’appréhender et maîtriser la Sarbanes-Oxley. Celle-ci oblige les totalité des risques encourus. Le dirigeants à évaluer chaque année le référentiel a donc été mis à jour en contrôle interne de leur entreprise 2004 pour donner naissance au « (propositions de la SEC, octobre COSO 2 – ERM ». D’une approche 2002, et de lASB, mars 2003). La visant à la maîtrise des opérations via loi Sarbanes-Oxley exige en outre la sécurisation par des activités de d’émettre un rapport engageant contrôle, le référentiel a été étendu à : • la vision de l’ensemble des types de risques auxquels une organisation peut faire face, • l’organisation des différentes « briques » à l’œuvre dans une gestion globale des risques, • l’intégration des résultats de la gestion des risques dans le management de l’activité. Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de management des 14 PwC
  • 17. Figure 5 – Représentation du référentiel COSO 2 ns gie s tio res ité t ion a m té ra rm ciè or ra é fo n nf St Op In ina Co F Environnement de contrôle Stratégie des risques Définition des objectifs UNITE DE GESTION FILIALE FILIALE Profil de risque Identification des événements ENTREPRISE DIVISION Système de mesure Evaluation des risques Politique processus Traitements des risques Contrôle des risques Activités de contrôles Système de reporting Information et communication Décisions Pilotagerisques qui représentent ce qui est Ainsi bâti, le référentiel COSO 2 – Il est désormais possible d’appréhendernécessaire à leur réalisation. La relation ERM est la structure qui supporte les l’ERM comme un processusest illustrée par une matrice en trois grands concepts utilisés par la totalité opérationnel, établi à partir du COSO 2,dimensions, le fameux « cube COSO ». des acteurs de la gestion des risques : fournissant aux décideurs (managers, stratégie risque, appétit aux risques, administrateurs) une assurancePrésentation profil de risque, dispositifs de mesure raisonnable sur la maîtrise des risques des risques, reporting des expositions… effectivement pris au regard desLes quatre grandes catégories d’objectifs objectifs stratégiques, dans le cadrede l’organisation – stratégiques, Le référentiel a pour objectif principal d’une appétence globalement définie.opérationnels, reporting et conformité de permettre une intégration Il facilite la gestion des incertitudes– sont représentées par les colonnes, des informations émanant de la des activités, la gestion des risques etles huit « blocs » de la gestion des gestion des risques aux processus des opportunités, l’identification desrisques par les lignes et les unités décisionnels et stratégiques de événements pouvant être à l’originede l’organisation par la troisième l’entreprise. Toute entreprise est à de risques, ainsi que la définition desdimension. Cette représentation illustre même, en suivant ces préconisations, solutions de contrôle interne adaptées.la façon d’appréhender la gestion des de piloter sa performance (selon lesrisques dans sa globalité ou bien par critères qu’elle définit de manièrecatégorie d’objectifs, par élément, autonome et spécifique) au regardpar unité ou en les combinant. du niveau de risque qu’elle prend pour atteindre ses objectifs. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 15
  • 18. Le risque étant l’essence même • la dimension stratégique : commentdu métier de l’assurance, on les instances de décision intègrent-comprend immédiatement l’utilité elles le risque dans leur processus,d’un tel référentiel qui intègre : comment fixent-elles le cadre de prise de risque de l’entreprise (ce qui est• la définition des objectifs stratégiques autorisé dans la poursuite des objectifs par les instances de décision, / ce qui est redouté voire interdit) ?• l’identification des risques résultant • la dimension organisationnelle : quelles des efforts de l’organisation pour sont les fonctions intervenant dans atteindre ces objectifs – le risque la gestion des risques, quels sont les s’entendant aussi bien par menace processus permettant cette gestion, sur l’atteinte des objectifs que comme et pour les entreprises d’assurance opportunité à poursuivre pour en comment ces analyses sont liées aux faciliter leur réalisation, exigences de solvabilité,• la mise en place d’un dispositif • la dimension opérationnelle : performant de pilotage des comment l’organisation se dote-t-elle expositions à ces risques, des outils de mesure des risques, des ressources à même d‘exploiter ces• l’information et le reporting des outils de manière satisfaisante, et expositions aux responsables ad hoc. quels sont les circuits de remontée de ces informations ?Cette intégration du risque dansles processus de pilotage passe parune « diffusion » de la gestion desrisques dans l’ensemble des niveauxhiérarchiques et processus del’entreprise. Le dispositif sera doncaligné avec le modèle organisationnelde l’entreprise, et distinguera descomposantes liées à : 16 PwC
  • 19. Conclusion del’approche normative Le COSO 2 – ERM, conçu comme un Mais comment interpréter, adapter et référentiel standard et opérationnel, appliquer d’une manière opérationnelle fournit donc les éléments et la démarche ces référentiels au sein de chaque globale d’un processus de gestion des organisation ? C’est le grand défi risques. La réglementation Solvabilité du Pilier 2 que d’affiner, calibrer et 2, et plus particulièrement le Pilier 2, décliner en fonction des spécificités va obliger les assureurs à préciser les de chaque business, de chaque fonctions impliquées dans leur gestion entreprise et de chaque culture le des risques et intégrer l’évaluation des dispositif de gestion des risques. risques et de la solvabilité au pilotage de leur entreprise sur un horizon de trois à cinq ans au travers de lORSA. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 17
  • 20. 2. Mise en œuvreopérationnelle 18 PwC
  • 21. Introduction Toutes les organisations n’attribuent Nous allons identifier les facteurs pas la même importance à la gestion clés pour les trois dimensions du des risques. Il est donc naturel que leurs programme de mise en conformité : choix divergent face à l’investissement important que représente aujourd’hui • ’organisation générale de l la mise en place d’une « filière la « filière risque », risque » conforme aux principes et aux contraintes réglementaires de • la mise en place du processus Solvabilité 2. Or c’est bien cet arbitrage, de gestion des risques, réalisé au niveau de la direction générale et en lien avec la stratégie • le pilotage des chantiers globale de l’entreprise, qui est très transversaux les plus importants. difficile à réaliser et à objectiver. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 19
  • 22. 2.1 Lorganisation généralede la « filière risque »Organiser une filière risque au sein sa conception toute l’attention de tous pour toute la « filière risque », étantd’une entreprise disposant d’un long les acteurs concernés, et en premier entendue comme l’ensemble deshistorique en matière de processus, lieu celle de la direction générale. fonctions, processus et instancesd’expertises, d’habitudes, de cultures concourant au pilotage des risques.et d’instances de décision constitue un Si la « nouveauté » principale consisteprojet complexe de transformation. la plupart du temps à mettre en Organiser une telle filière nécessite deCompte-tenu de l’étendue des place ou développer une fonction répondre à cinq questions majeures :changements qu’il implique et de de gestion des risques, les projetsl’ancienneté de certaines pratiques qu’il Solvabilité 2 conduisent aujourd’hui àconduit à faire évoluer, il demande dès définir des schémas organisationnels Figure 6 – La mise en place de la « filière risque » • Quels sont les «blocs» organisationnels regroupés sous le périmètre Quels blocs organisationnels de la fonction de gestion des risques : risk management ? Actuariat ? 1 dans le dispositif ? Conformité ? Sécurité des SI ?... • Quelles sont les fonctions ayant un rôle clé dans la gestion des risques ? Quel périmètre pour 2 • Quelles sont leurs responsabilités (contrôle, pilotage, reporting…) ? la fonction Risque ? • Quelle est l’articulation des prérogatives entre les fonctions Risque Quelle articulation entre centrales et locales, notamment dans les implantations à l’étranger ? 3 les différentes fonctions ? • Quelles sont les règles de délégation à mettre en place ? • Comment répartir concrètement les responsabilités entre la fonction Quel niveau de centralisation de gestion des risques et les fonctions métier sur les risques clés 4 pour la fonction Risque ? (ALM, investissements, technique…) ? • Quels sont les indicateurs fondamentaux guidant le pilotage du 5 Quels indicateurs ? couple performance / risque (ROE, SCR, MCEV…) ? Quels sont les critères d’objectivation du risk appetite ?Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu’elles soient réglementaires(Solvabilité 2), externes (notation…) ou internes (ambitions, organisation…). 20 PwC
  • 23. 2.1.1. Les « blocsorganisationnels »du dispositif Il est primordial de reconnaître Le modèle des « 3 lignes de défense et de délimiter le périmètre des » fournit un référentiel utile pour fonctions impliquées dans la gestion l’articulation de ces différentes des risques. En effet, celle-ci n’est fonctions et prérogatives. pas uniquement une affaire de spécialistes et sa gestion concerne • Ce modèle considère que les risques tous les niveaux de l’entreprise. Le sont pris en premier lieu par les dispositif doit reconnaître qu’à ces opérationnels et leur hiérarchie sur le différents niveaux correspondent terrain, dont les pratiques et processus des prérogatives différentes : de maîtrise des risques constituent donc la « 1ère ligne de défense ». • rise de risque opérationnelle p • coordination de la prise de risque • La « 2nde ligne de défense » est tenue • upervision de la prise de risque. s par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité). • L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l’entreprise fournit une « assurance raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la « 3ème ligne de défense ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 21
  • 24. Figure 7 – Les trois lignes de défense 1° ligne de défense 2° ligne de défense 3° ligne de défense - ctuariat / Dir. A Toutes fonctions (SI, RH, Technique - ALM / Dir. - Gestion des risques Périmètre Finance, Production,…) Investissements - ontrôle interne, C Audit interne - utres A conformité… (s uscription,…) o Principes et N/A Propose Revoit et valide / Propose normes Mise en œuvre Applique Propose / Applique Coordonne / Applique Réalise des revues indépendantes et a Contrôles Applique / Propose Applique / Propose Supervise, consolide, posteriori sur : analyse - a pertinence des L dispositifs Reportings Produit Produit / Analyse Consolide, analyse, pilote - Leur correcte application Plans d’action Applique Propose / Applique Valide et pilote / Applique rôle de coordination / rôle opérationnelSur cette base, les entreprises La mise en œuvre de ces principes • L’audit interne a un rôle particulierdéfinissent généralement des grands se heurte souvent à 2 difficultés : dans le dispositif, et s’avère souventprincipes d’articulation entre les difficile à positionner. Les textes dedifférentes « strates » de la prise de • La fonction de gestion des risques peut Solvabilité 2 insistent fortement sur lerisque, comme illustré ci-dessus. avoir des responsabilités différentes caractère indépendant de cetteLe schéma organisationnel définit en fonction des types de risque : fonction. Ses ressources doivent êtrele plus souvent les responsabilités généralement coordinateur, elle peut déchargées de toute autretout au long des étapes du processus prendre une responsabilité directe sur responsabilité opérationnelle. Parde gestion des risques. certains domaines, comme le risque ailleurs, selon les normes de l’IIA 5 son opérationnel. Ces spécificités sont objectif est de fournir de manièreCes principes serviront ultérieurement abordées dans l’analyse du indépendante une « assurancede référence dans les attributions positionnement de cette fonction raisonnable » au management quant àprécises des rôles et responsabilités dans (cf. infra). la pertinence, la qualité et la correctela gestion des risques du profil de risque. application du dispositif de gestion des risques. On comprend bien alors pourquoi cette fonction doit être indépendante afin de pouvoir spécifier sa propre approche (basée sur sa perception des risques) ainsi que de formuler des recommandations libres de toute influence extérieure. (5) IIA : Institute of Internal Auditors 22 PwC
  • 25. 2.1.2. Le périmètrede la fonction RisqueNous l’avons vu, Solvabilité 2 fait La première concerne le périmètre • De ce fait, elle élabore un véritablede la fonction Risque le pivot et le des risques que doit identifier outil de management en alliant lachef d’orchestre du dispositif risque. ce profil des risques : vision « risque » des intervenantsLa réglementation fixe en effet des opérationnels (approche « Bottom-up »responsabilités et un périmètre de • Il doit couvrir a minima les modules visant à l’exhaustivité durisques minimaux sur lesquels cette de risque structurant les calculs de recensement) et celle des dirigeantsfonction est référent. Dans le cas où besoins de fonds propres, que ceux-ci (approche « top-down » visant à lal’entreprise utilise un modèle interne, soient évalués via la formule standard pertinence et à la priorisation deselle a en charge la conception, les ou un modèle interne : souscription, investissements en matière de risque).tests, la mise en œuvre et le suivi de marché, taux, opérationnel…la performance du modèle retenu, Pour finir, elle s’assure pour l’ensemblequ’il soit partiel ou total. Il est donc • Il ne se limite cependant pas à ces des éléments de ce profil de risquenaturel que la plupart des entreprises seuls risques, trop réducteurs pour priorisé qu’un dispositif opérationnel decommencent les chantiers du Pilier restituer une image fidèle du profil de gestion et de pilotage est effectivement2 par la mise en place ou la revue du risques réel. La fonction Risque doit en place. Chacun de ces risques doitpositionnement de cette fonction. donc identifier les autres risques qui être attribué à un propriétaire deCette fonction prend donc en charge sont propres à l’organisation, en risque, porteur de l’expertise la plusle pilotage de l’ensemble du processus prenant en compte l’ensemble de ses poussée disponible dans l’organisationde gestion des risques (cf. supra), filiales et métiers (non nécessairement sur ce sujet : l’actuariat pour les risquesmême si elle ne réalise pas directement assurantiels). de souscription, de contrepartie aul’ensemble des opérations, analyses ou passif et de réassurance, la gestioncalculs nécessaires à ce processus. La fonction Risque doit par ailleurs d’actifs pour les risques de marché garder à l’esprit que le profil de risque ne et de crédit… Cette attribution estLe référent pour l’élaboration du peut consister en un simple inventaire la première brique pour permettreprofil de risque de la totalité des risques avérés ou la mise en place d’un dispositif de potentiels : gestion des risques effectivementLorsqu’elle se met en place, une fonction opérationnel. Les composantes duRisque a pour première tâche d’identifier • A partir de ses analyses et des points processus de gestion des risques sontles risques auxquels l’organisation est de vue qu’elle collecte, elle priorise les reprises en partie 2 ci-dessous.exposée. Cette identification constitue le risques devant faire l’objet d’un suivi.préalable à tous ses travaux. Si la réalité Sa valeur ajoutée à ce stade repose surdes risques effectivement encourus sa capacité à proposer une liste réduiteest spécifique à chaque entreprise, de risques pour lesquelsl’élaboration du profil de risque obéit l’investissement dans un dispositif denéanmoins à quelques bonnes pratiques. mesure, suivi et pilotage permanent se justifie au regard des objectifs business. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 23
  • 26. Une fonction en pleine évolution Les entreprises évoluentsous l’influence de Solvabilité 2 progressivement sur la courbe de maturité de l’ERM entre ces 2Au-delà de cet aspect technique, les pôles. Au fur et à mesure de cetteorganisations positionnent d’abord la progression, la fonction Risquefonction Risque en faisant évoluer son évolue dans son positionnement :« droit de regard » sur les décisionsopérationnelles. Cette notion • Son rattachement hiérarchique tend àrecouvre l’étendue des prérogatives remonter. On observe actuellementde cette fonction sur les processus, une vague très cohérente depolitiques et opérations de prise de repositionnements des fonctionsrisque pour lesquels elle ne constitue Risque, rattachées de plus en pluspas l’expert de référence. Dans les systématiquement à la directionfaits, les interventions de la fonction générale, marquant la prise en compteRisque sont en ligne avec la priorité croissante des enjeux de risque dans lestratégique accordée au risque : pilotage des entreprises d’assurance.• Une entreprise peut avoir une approche conservatrice du risque : sa • Le rôle du directeur des risques priorité est alors de ne pas évolue. Souvent perçu initialement compromettre les protections offertes comme un cadre à orientation aux assurés et sécuriser la conservatrice et technique, il a performance. Dans ce cas, la fonction vocation à se positionner de plus en Risque aura généralement pour plus comme un « Business Advisor » fonction de conseiller les responsables auprès des instances de décision. Sa opérationnels sur la maîtrise de leurs compréhension unique des risques processus et des risques associés. Elle pris par l’entreprise et de leurs n’aura pas (ou peu) de latitude pour interactions lui permettent de fournir bloquer les processus de décision. un conseil pertinent sur les modalités de création de valeur.• Une entreprise peut aussi décider de fonder sa création de valeur sur le • Les fonctions Risques, initiées autour pilotage des risques qu’elle prend et de des impératifs réglementaires leur impact sur ses variables successifs (lutte anti-blanchiment, stratégiques : MCEV, capitalisation lutte anti-fraude,…) évoluent vers des boursière, capital économique… Dans organisations plus professionnalisées, ce cas, la fonction Risques devient un le plus souvent structurées par types acteur clé dans les décisions de risque (opérationnels, techniques, opérationnelles : elle est partie capital économique…). prenante intégrale de ces processus, est consultée pour toute décision importante et émet alors un avis formel. Elle dispose éventuellement d’une possibilité de blocage (qui nécessite de prévoir un processus d’arbitrage). Ces entreprises utilisent quasi systématiquement un modèle interne, qui est intégré dans les processus de décision stratégiques et opérationnels. 24 PwC
  • 27. « La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2, va nécessiter une plus grande coordination entre tous les acteurs participant à la gestion des risques tout en s’appuyant sur les règles de gestion existantes, règles qui devront être renforcées à la marge. La discipline qui va en découler va permettre de faire émerger des opportunités de croissance et de renforcement de la relation avec nos clients tout en garantissant à tous (employés, actionnaires, clients…) un meilleur contrôle des risques et de ses impacts sur la structure de l’entreprise. Groupe Euler Hermes Ronan Davit Directeur des risques2.1.3. L’articulationdes différentes fonctionsimpliquées dans la gestiondes risquesUne fois le profil de risque arrêté, Si le modèle des 3 lignes de défense • Définir précisément les rôles etl’enjeu pour la fonction Risque est illustré précédemment fournit un responsabilités de chacun dans lede promouvoir la mise en place d’un cadre général en ce sens, cette mise processus. Un point d’attentiondispositif risque s’appuyant sur des en cohérence doit être déclinée particulier est à apporter à la capacitéprocessus de décision clairs et partagés. précisément pour chacun des risques de blocage des fonctions supportLa fonction Risques dispose pour du profil. Il est alors nécessaire de : (typiquement, la fonction Risque) parcela de deux leviers principaux. rapport aux fonctions opérationnelles • Cartographier les fonctions légitimes concernées, et définir ainsiLa définition des rôles et dans la prise en charge dun risque précisément cette notion de « droit deresponsabilités sur les principaux donné : métiers, support, direction ou veto » sur les décisionsrisques gouvernance… opérationnelles. Notons que la définition de ce droit de blocage doitPour cela, la fonction Risque part de • Localiser dans l’organisation s’accompagner de la mise en placesa formalisation du profil de risque l’expertise clé en matière de gestion de d’une procédure claire d’arbitrage enet pilote l’articulation des rôles et ce risque (en général, il s’agit du cas de désaccord entre la direction desresponsabilités pour chacun des propriétaire du risque identifié lors risques et la direction métierrisques qu’elle y a inscrit. La difficulté des phases amont de mise en place du concernée.principale repose dans la diversité et dispositif).l’hétérogénéité des intervenants. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 25
  • 28. Utiliser une matrice des rôles et des responsabilités, telle que présentée dansl’exemple ci-dessous, permet de formaliser aisément cette répartition des rôles.Figure 8 – Une matrice des rôles et des responsabilités pour la gestion desinvestissements Gestion des investissements Conseil d’administration (via le comité des risques) : responsabilité de supervision Responsable globale (responsabilité en dernier ressort) Direction générale : validation et pilotage de la politique de placements Acteur Direction des Investissements : propose à la validation les orientations de (pilotage de la mise en œuvre l’allocation stratégique, définit les modalités d’allocation tactique, réalise le suivi. opérationnelle) Consulté Direction des Risques : émet un avis au regard de l’exposition globale du Groupe (avis sollicité de façon et de son niveau de solvabilité selon l’exposition de l’entité considérée aux risques de systématique, publié et pris en marché. Si avis contraire, arbitrage en comité exécutif. compte dans la décision) Informé Service Trésorerie (Direction Financière) : informé de l’ensemble des évolutions de (modalités de gestion la politique de placements. communiquées régulièrement)La mise en place d’une L’organisation de la décision est • Prioriser les types de risque pourarchitecture de prise de décision bien entendu propre à la culture lesquels des instances de pilotage de chaque entreprise et fonction formelles et régulières sontLe dispositif de gestion des risques de son niveau d’avancement sur la nécessaires. Au regard de ces priorités,le mieux conçu ne sera efficace et « courbe de maturité » de l’ERM. l’entreprise formalisera lesperformant que s’il est accompagné d’un Néanmoins, la revue ou la mise en responsabilités attendues de chaquedispositif d’application opérationnelle place de l’architecture de décision niveau organisationnel (supervisiondes décisions. Il s’agit de garantir que passe par quelques étapes clés : globale, définition des pratiques, suivid’une part, l’ensemble des informations et reporting…).utiles remontent à temps aux niveaux • Définir les niveaux organisationnelshiérarchiques appropriés et que clés en matière de décision risques. • Concevoir les instances de décision add’autre part, ces instances examinent Ces niveaux sont souvent ceux des hoc à chaque niveau : type de comité,les problématiques et prennent les principales strates décisionnelles de membres, attributions, modalités etdécisions nécessaires. L’entreprise est l’entreprise (comité de direction, droits de vote, fréquence de réunion.alors à même de piloter ses expositions fonctions clés dans la prise de risque,aux risques de manière continue et de exécutants…) et sont définis enréagir rapidement en cas de déviation cohérence avec les rôles etinattendue de son profil de risque. responsabilités identifiés pour chaque type de risque du profil de risque. 26 PwC
  • 29. La comitologie peut ainsi s’organiser de manière cohérente au sein del’entreprise, comme illustré dans l’exemple indicatif ci-dessous :Figure 9 – Matrice des rôles et responsabilités Marché Crédit Souscription Opérationnel Comex Comité des risques Comité d’Investissement Comité Preneurs Contrôle de risque Comité de Souscription Interne Reporting Comité ALM Reporting Reporting MitigationLe nécessaire lien entre la gestion Initialement, beaucoup d’entreprises stade, ces réflexions ont été initiées maiset le contrôle des risques d’assurance ont engagé des démarches ne semblent pas avoir été complètement de cartographie des risques un peu arbitrées par les entreprises d’assurance :Une des leçons principales de la crise lourdes car fondées sur un niveau de le risque opérationnel, très difficile àfinancière est qu’une gestion des risques détail très granulaire. Ces démarches appréhender, est totalement spécifique àperformante nécessite un dispositif ont cherché à identifier et maîtriser chaque organisation et ne fait pas l’objetcohérent, garantissant une articulation les risques spécifiques à certains de définitions précises dans Solvabilitéopérationnelle réelle entre : processus ou domaines opérationnels 2. Les calibrations du SCR au titre du : fiabilité des processus d’information risque opérationnel aboutissent d’ailleurs• d’une part, la définition de politiques financière (projets SOX), sécurité des à une charge minime en fonds propres, et processus risque pertinents systèmes d’information, lutte contre la n’incitant pas ou peu à investir dans un (essentiellement du ressort de la fraude ou le blanchiment d’argent… dispositif poussé de maîtrise de ce risque. direction des risques), Ces réflexions conduisent les entreprises• et d’autre part, la correcte application à mener des travaux spécifiques sur la de ces politiques et processus par les maîtrise du risque opérationnel. Il s’agit acteurs concernés (fonctions en effet de la mission première du contrôle opérationnelles, contrôle interne…). interne (ou contrôle permanent) : assurer la correcte maîtrise des processus et opérations de l’entreprise et la fiabilité des informations produites par l’entreprise, quelles soient financières ou non. A ce Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 27
  • 30. Un certain nombre d’acteurs du Cadrage du dispositif demarché initie actuellement des risque opérationnel.démarches spécifiques à l’analyse durisque opérationnel et à l’articulation • Dans un premier temps, l’effort serisque – contrôle. Parmi les pistes porte sur ce que recouvre cette notion.actuellement envisagées, les Il ressort généralement de cesprincipales sont les suivantes : analyses que le risque opérationnel recouvre tout élément compromettantRegroupement progressif des l’atteinte des objectifs des processusfonctions risque et contrôle opérationnels (voir la nomenclaturesous une unique responsabilité définie en ce sens par Bâle 2), ou(majoritairement, le encore toute élément compromettantdirecteur des risques). la correcte application des politiques de risques définies par l’entreprise.• Cela permet de donner une meilleure Certaines organisations sont allées cohérence entre des initiatives parfois plus loin : face à la volumétrie trop déconnectées auparavant. Ces importante des risques opérationnels, réflexions sont souvent concentrées elles ont priorisé les domaines sur la problématique de la fonction de d’exposition critiques et concentré conformité : s’agit-il d’un sujet piloté leurs efforts de déploiement des par les acteurs du juridique dispositifs de maîtrise sur ces quelques (réalisation de la veille domaines. réglementaires) ou du contrôle interne (diffusion des dispositions légales Modélisation du risque dans les processus opérationnels) ? opérationnel. Nous observons une tendance assez nette en ce sens à (i) nommer un • Certaines entreprises ont mis en place responsable conformité, chargé de des dispositifs de collecte de données définir les principaux enjeux de la liées aux pertes opérationnelles. Ces conformité pour l’entreprise et dispositifs permettent d’évaluer coordonner l’application des l’exposition réelle de l’entreprise aux dispositions juridiques applicables en pertes opérationnelles, de la matière tout en (ii) maintenant la dimensionner de manière plus responsabilité de la veille juridique au cohérente leur dispositif de maîtrise, niveau de la direction juridique, mais voire de réaliser des économies en en créant une instance de besoins de fonds propres. Il reste coordination à fréquence régulière toutefois que pour être efficace, ce entre ces deux acteurs. D’une manière dispositif doit être cadré (par exemple, générale, les entreprises tendent à en définissant clairement ce qu’est une mettre leur fonction de gestion des perte opérationnelle et à partir de risques en mesure de superviser à la quelle valeur de seuil on collecte les fois la pertinence de leur cadre ERM et montants des pertes) et profiter d’une la correcte application des dispositions profondeur historique importante. On qu’il met en place. estime que les résultats deviennent significatifs au bout de trois à cinq ans de collecte. Les assureurs sont donc encore peu avancés en matière conceptuelle sur la modélisation de ce risque. 28 PwC
  • 31. 2.1.4. Le degréde centralisationde la fonction Risque Les groupes d’assurance sont confrontés juridiques. Elle définit éventuellement à une difficulté opérationnelle majeure un principe de subsidiarité réglant les concernant le périmètre opérationnel marges de manœuvre des entités, qui de la fonction Risque. Comment celle- disposent dans ce cas d’un ci intègre-t-elle dans ses analyses « correspondant risque ». Dans tous les et processus des entités et activités cas, la fonction Risques est amenée à diverses et non nécessairement animer un fonctionnement en réseau. assurantielles (gestion pour compte de régimes de retraite complémentaires • Les groupes ont tendance à imposer à ou de sécurité sociale, services l’ensemble de leurs entités de soins et d’accompagnement, assurantielles des principes et participations stratégiques…) ? schémas de reporting cohérents, définis et pilotés centralement. Ceci Si la plupart des organisations sont est particulièrement vrai pour les encore en recherche du bon niveau groupes internationaux disposant de d’efficacité dans l’articulation du filiales ou entités étrangères exerçant dispositif Risque entre les différentes dans des pays non soumis à Solvabilité entités d’un groupe, quelques bonnes 2. Dans ce cas, un double reporting est pratiques émergent néanmoins : le plus souvent choisi : maintien du reporting inspiré des normes • L’organisation de la « filière risques » prudentielles locales, envoi d’un au sein du groupe est alignée sur la reporting risque normalisé (souvent structure organisationnelle et selon un « format Solvabilité 2 ») au décisionnelle en place. Dans un groupe. groupe très décentralisé, les différentes entités ou filiales disposent souvent d’une fonction Risque locale, rattachée hiérarchiquement à leur direction générale mais reliées fonctionnellement à la direction des risques du groupe. Dans un groupe plus centralisé, la direction des risques du groupe supervise les entités Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 29
  • 32. On retrouve très fréquemment des principes assez communs surl’organisation de la filière risque, comme illustré dans le schéma ci-après.Figure 10 – Benchmark Fonction Risque réalisé par PwC Principales responsabilités du CRO Organigramme possible de la direction des risques ERM CEO 67% ALM Actuariat CRO Reinsurance Contrôle Permanent ERM 75% Capital économique Internal capital model ALM 67%Risk management model Actuariat Capital Management Corporate 33% Market risk exposure Contrôle Contrôle interne permanent 17% Comptabilité Capital économique Solvabilité 2 17% Contrôle de gestion Réassurance 17% 0% 20% 40% 60% 80% Sur la base d’un benchmark réalisé parmi les trente plus gros acteurs du secteur de l’assurance (compagnies d’assurance, mutuelles et institutions de prévoyance) Pour autant, il n’existe pas de schéma temps. Des compagnies ont donc ajouté standard en ce qui concerne l’étendue des fonctions plus traditionnelles de la fonction Risque. Il s’agit plutôt à la fonction Risque pour lui donner d’incompatibilités dans certains cas, davantage de contenu et dimportance. notamment pour respecter les principes Concernant les filiales, les solutions dindépendance et dobjectivité par observées sont le plus souvent basées rapport aux fonctions opérationnelles. sur le principe de subsidiarité. La De nombreuses compagnies ont aussi filiale dispose ainsi d’une importante souhaité « muscler » leur fonction autonomie de gestion de ses risques, Risque au-delà du strict minimum le groupe ne couvrant que les réglementaire. En effet, cette fonction quelques types de pertes maximales a vocation à devenir davantage que l’activité de cette filiale peut centrale et tous ses enjeux ne sont pas générer (notion de « risque filiale »). forcément perçus dans un premier 30 PwC
  • 33. 2.1.5. Les indicateursclés de la gestiondes risques Dans sa discussion avec la direction • Elles sont compréhensibles et générale, un des rôles les plus explicites pour les personnes en fondamentaux de la fonction Risque charge de leur suivi. Il est donc clé à ce est de définir les indicateurs clés de la stade de définir ou valider avec les gestion des risques. En effet, le choix instances de direction qu’elles de ces indicateurs est le révélateur de comprennent et désirent effectivement l’importance accordée par l’entreprise disposer de ces indicateurs de à une gestion des risques performante. pilotage. Cette réflexion s’inscrit dans le cadre Dans la majorité des cas de la définition d’une stratégie risque. toutefois, les organisations ont Toutefois, avant de se lancer dans ce recours à un nombre très limité chantier il est nécessaire d’en définir d’indicateurs « fondamentaux » les indicateurs de référence. Ces pour leur approche ERM. Leurs indicateurs doivent avoir un certain approches allient en général : nombre de caractéristiques : • un indicateur de résultat comme le • lles reflètent les dimensions E résultat avant impôts, principales du couple risque – performance qu’entend offrir • une mesure de la valeur comme la l’organisation à ses parties prenantes MCEV, (ROE, qualité de service, sécurité des protections…). Elles permettent de • un indicateur de la solvabilité mesurer la résilience de l’organisation comme le ratio de couverture du SCR dans les cas extrêmes (c’est-à-dire les ou le capital économique. queues de distribution), mais restent réalistes et intègrent toujours la notion de performance (rentabilité…) en regard. • lles sont aisément mesurables, E c’est-à-dire le coût de mise en œuvre de l’infrastructure de calcul et de pilotage n’est pas prohibitif (notamment si celle-ci s’appuie sur des processus déjà en place) au regard de la valeur ajoutée qu’apporte son suivi. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 31
  • 34. 2.2 Mettre en placele processus de gestiondes risques Figure 11 – Les étapes de la mise en place d’un processus de gestion des risques De manière simplifiée, il est possible de regrouper les différentes étapes du Definir le cadre de processus de gestion des risques selon la prise de risque le schéma suivant. Chacune de ces étapes se fonde sur un certain nombre de composantes. L’objectif de cette partie est d’examiner la nature de ces composantes, d’identifier les principaux enjeux et leur application opérationnelle Identifier et et de fournir des exemples concrets évaluer les risques de leur mise en œuvre. Gérer les risques Suivre et reporter les risques Établir la planification stratégique du capital 32 PwC
  • 35. 2.2.1. Définir le cadrede la prise de risqueLes articles 44 et 45 imposent à • La tolérance au risque représente le • Le budget de risque est la mesure dulentreprise de démontrer qu’elle a mis niveau de risque que l’entreprise niveau anticipé d’exposition auxen place un système adéquat et efficace accepte de prendre en vue de risques à un horizon donné, sur unde gestion des risques, comprenant poursuivre son activité et son périmètre donné. Cette mesure estune stratégie des risques acceptés, développement pour un périmètre une mesure du profil de risque sur uneune procédure denregistrement plus restreint. C’est une répartition à projection de l’entreprise, avec desdes risques, de gouvernance de ces un niveau plus fin de l’appétit aux niveaux de granularité identiquesderniers et enfin une documentation risques. Cette déclinaison peut êtresuffisante des résultats de cette réalisée aussi bien sur des grandes Il est important d’avoir à l’esprit que lagestion. Dans le cadre de ce système, familles de risque que des entités ou stratégie des risques fixe non seulementla Directive impose également, qu’au périmètres géographiques. le cadre de la prise de risque maistravers de cette stratégie, les liens également les modalités selon lesquellesentre objectifs de performance et de • Les limites de risques se définissent ces principes généraux doivent serisque soient clairement établis. comme les limites opérationnelles en diffuser au sein de l’organisation. Elle cohérence avec le budget de risque et/ définit les enveloppes et les niveauxLes composantes d’une ou l’appétit aux risques. Ces limites cibles adaptées à la volonté de prise destratégie des risques sont spécifiques au processus auquel risque en fonction de la stratégie définie. elles se rapportent.C’est à travers cette stratégie des A travers l’articulation des différentsrisques que l’entreprise définit le cadre • Le profil de risque est déterminé par composants de la stratégie des risques« accepté » de la gestion des risques. la réaction d’agrégats financiers à un se profile une gestion totalementAu préalable, il est bien entendu choc d’une variable sous-jacente. La intégrée de l’actif et du passif. Cettenécessaire d’avoir défini les indicateurs mesure est réalisée sur un périmètre stratégie est élaborée majoritairementde référence de la gestion des risques, donné, à une date fixée. Cette mesure via une approche top-down (c’est-à-direcomme évoqué précédemment. Une peut être réalisée sur des périmètres définie par le management) mais cettedémarche de stratégie des risques très restreints comme le risque de réflexion est nourrie par les remontéesrepose sur cinq concepts clés  : mortalité pour un produit spécifique opérationnelles (approche bottom-up) : d’une filiale. Elle peut également être• L’appétit (ou appétence) au risque, réalisée à tous les niveaux qui constitue le niveau de risque d’agrégation possibles jusqu’au agrégé (c’est-à-dire au niveau groupe) périmètre intégral de l’entreprise. qu’une entreprise accepte de prendre en vue de la poursuite de son activité et de son développement. Il constitue une limite globale qui est déclarée par la direction de l’entreprise, et qui s’exprime sous la forme d’un niveau de déviation acceptée d’agrégats clés de l’entreprise par rapport à une situation espérée. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 33
  • 36. Figure 12 – Description de la stratégie des risques des acteurs de lassurance Risque maximal acceptable Positionnement par rapport à la concurrence, par rapport Où pouvons nous nous positionner en termes de risque ? à la réglementation, par rapport aux spécifités business COMEX Positionnement par rapport Profil de risque cible Approche Top - Down aux spécifités business, aux exigences de Où souhaitons nous nous positionner ? l’actionnaire en termes de performance Appétence au risque CRO – CFO - CIO Document intégrant la stratégie retenue Appétence au risque par le COMEX et sa déclinaison en termes Mise en perspective de risques tant dans son positionnement de l’appétence au risque définie par le concurrentiel (Risk capacity, Risk appetite) COMEX avec le profil que dans la prise en compte des spécifici- de risque cible tés de l’entreprise (Risk Profile) Tolérance au risque Tolérance au risque Profil de risque actuel Mise en perspective Quel est notre positionnement actuel ? CRO - CFO de la stratégie définie et du réel avec une dé clinaison par type de risque et d’activit é. Risque de Risque de Risque de Risque de marché souscription contrepartie opérationnel Profil de risque actuel Quel est notre positionnement actuel ? Opérationnels Risk Management Opérationnels – Business Units Règles / Procédures Approche Bottom - UP Exécution Gouvernance des risques Méthodologies / Process / Cadre fonctionnel et organisationnel Contrôle Supervision / Reporting Evaluation 34 PwC
  • 37. Figure 13 – La déclinaison de la stratégie de risqueset les limites - illustration Interaction entre les promesses faites aux actionnairesUne stratégie générale, basée seulement Contraignantsur des métriques de résultat ou Attentes des actionnairesde solvabilité, ne peut constituer Horizon stratégiqueun guide opérationnel exploitable (3-5 ans)pour les preneurs de risque. L’aspect Profil d’activités Appétit aux risques (métriques sous-jacentes)critique dans l’exécution de cettestratégie est donc sa déclinaison enlimites opérationnelles de risque. Business planPour cela, l’implication des dirigeants Horizon bugétaireest primordiale. Il est en effet nécessaire (1-3 ans)de cartographier les différentes parties Cadre des limitesprenantes (actionnaires, marché,clients, agences de notation…) et leursattentes respectives. C’est à partir de Redescente des Redescente desla compréhension de ces attentes que objectifs de limites de risquel’entreprise définit une stratégie des Opérationnel performance Flexible (année courante)risques ainsi que sa déclinaison en unsystème de limites opérationnelles. Surveillance / mesures de gestionFigure 14 – Le processus budgétaireIntégration de l’appétence au risque dans le processus budgétaire - illustration Pour parfaire l’intégration du contenu Etablissement des de la stratégie des risques dans les Business Plan Surveillance limites et de la cible décisions, il est nécessaire de compléter ces travaux par une mise à jour du Etablissement des Confrontation du processus budgétaire, afin d’y inclure Draft business plan profil de risque et limites de risque des limites des critères d’évaluation au regard des montants de risques encourus. Itération Déroulement du plan du Prise en compte des Le profil de risque dans le cadre usuel Business engagements vis-à- est-il dans les Oui Fin Plan vis des assurés. limites définies Le BP s’intègre t’il dans l’appétence au Non Non risque? Oui Prendre des mesures d’ajustement Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 35
  • 38. 2.2.2. Identifieret mesurer les risquesIdentifier les risques Le système d’identification des collecte et de mise à jour des bases deapplicables à l’activité risques (voir schéma ci-dessous) données recensant les risques (loss comporte deux éléments : database).Un système efficace d’identification desrisques doit permettre de recenser en • Une cartographie des risques (ou • Une liste des risques majeurs quiamont l’exhaustivité des risques grâce à « heat map ») qui permet de classer les doit contenir les quelques « grands »une cartographie détaillée. Ensuite, ce risques en fonction de leur impact risques critiques auxquelssystème doit prévoir de recouper cette financier potentiel et de leur l’organisation est exposée. Ces grandsvision détaillée avec les risques majeurs probabilité de survenance. risques qui peuvent conduire à laidentifiés par une approche globale. Par L’évaluation de l’impact financier et de faillite doivent être analysés enla combinaison de ces deux approches, leur probabilité de survenance doit profondeur afin d’identifier lesdétaillée et globale, l’entreprise est s’effectuer de manière cohérente dans composantes clefs (causes, scenarioen capacité d’en comprendre les toutes les entités opérationnelles d’occurrence, impacts…).causes et les interdépendances. Le (même taxonomie des risques etsystème d’identification des risques calibration des impacts) et pour tousdoit être mis à jour régulièrement types de risque. Tout aussi importantou lors d’un changement est l’efficacité des procédures deimportant du profil de risque.Figure 15 – Le système d’identification des risques Risk identification process (one-off) Risk heat map Risk and Control Heatmap Plan and prepare – One off exercise Risk Register Develop 5 high 5 10 2 15 7 20 1 25 Items Identify Risk investigation: Transfer mechanism risk individuals 1. Using risk register Aggregation 4 Med 1 Capital Losses from Gross Likelihood software 4 8 12 16 20 within categorisation Hight Investment business model tool Portfolio units for 2. Supplemented 3- Med 3 6 9 12 15 Conduct risk and 2 Inappropriate ownership with specific controls assessment Populate 2- low Investment of risk business ( facilitated by risk sofware Prioritisation Med 2 4 6 8 10 Processes register knowledge management) tool 1- Low 1 2 3 4 5 7 Insufficient Working 2- low 4 Med 1- Low 3- Med 5 high Capital Med Hight Risk identification process (quaterly) Gross Likelihood Undertake – quaterly process Risk profile (and qualification) as at… Identifiy Management Emerging categorise Evaluate attestation for Identify Risk Type BU1 BU2 BU3 BU? (DB1) Firm risks and score controls key risks and actions risks controls Nat Cat risk Gl Pricing risk Review and challenge Risk distributions for by TMC use in internal model Risk Type Credit Risk assessment process DB1 Total Risk Assed Trend Scenario information Lessons planned analysis of analysis of visualisation learnt controls heat map heat map study framework Loss databases Internal Risk mgt Risk mgt Focus groups Risk mgt Record of risk events. List of losses, and near misses audit 36 PwC
  • 39. Systèmes de mesuredes risquesLes méthodologies de mesure desrisques sont couvertes par le Pilier 1 deSolvabilité 2, via la formule standardqui définit les principes de modélisationdes provisions techniques en bestestimate et les exigences pour le calculdu SCR (module de risque, chocs àappliquer, matrice de corrélation).Les entreprises ont également lapossibilité de recourir à un modèleinterne reflétant mieux les spécificitésde leur profil de risque. En effet, lemodèle interne permet, à partir d’une économique mesurant la performance Enfin, il ne faut pas oublier que lemême base, de multiples utilisations économique, et bien sûr les nouvelles modèle interne, pour être utilisé,qui vont de l’exigence de solvabilité à mesures de solvabilité de l’entreprise. doit faire l’objet d’une approbationl’ « embedded value », la gestion actif- par le superviseur, point abordépassif, les études de profit-testing lors Demain, ces modèles serviront aussi ci-après en partie 2.3.de la création de produits, l’appétit aux évaluations comptables en IFRSaux risques, ou même l’ORSA. sous IFRS 4 phase 2. Le modèle interne est en effet au centre des processus deBien plus qu’un outil de calculs, le décision de l’entreprise, à toutes lesmodèle interne est un outil de mesure, étapes, aussi bien en amont lors de lade contrôle, de gestion et de reporting souscription des contrats que lors dedes risques. Il est ainsi au cœur de la la gestion et le pilotage des risquesstratégie et du pilotage des risques. sous-jacents. Elément constitutif de laComme illustré par le graphique suivant, gouvernance, le modèle interne est misce modèle est au cœur du dispositif en place en cohérence avec les fonctionsde gestion des risques. Composé contrôle interne, actuarielle, l’auditde méthodologies, d’hypothèses interne, et la gestion des risques.(endogènes et exogènes) et de donnéesde paramétrages conçus par des experts Cependant sa mise en place peutdédiés, il reflète les politiques définies. s’avérer coûteuse dans un contexteAinsi, le modèle interne agit dans le où les exigences nées de la Directivecadre des processus internes propres Solvabilité 2 sollicitent déjà beaucoupà l’activité. Il permet ainsi de produire les entreprises d’assurance etdans un cadre délimité et sécurisé par le de réassurance. Dans ces cas, ilcontrôle interne de nombreux reportings peut paraître plus opportun de sequi vont être utilisés à des fins diverses tourner vers la formule standard. Leen fonction des besoins du management. recours au modèle interne ne doitDans ce cadre il peut être utilisé pour en effet pas constituer un dogme.produire des éléments de valorisationde l’entreprise (MCEV), de bilan Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 37
  • 40. Figure 16 – Le périmètre du modèle interne La vision de PwC du périmètre du modèle interne Processus de validation du Modèle interne Test Utilisation Processus Risques Gestion contrats Modèle interne Comité de direction Gouvernance Gestion Comité Exécutif sinistres Gouvernance du Modèle Interne Risk Management Gestion actifs Structure de contrôle du Modèle Interne Capital Finance (SCR Actuariat Données externes Hypothèses CapEco) Souscription Validation Expert judgement - assumption setting des sorties Internal Model Output Data structure Internal Model input quality Controls Distribution Review and Conversion Gestion des risques Sources ORSA Internal Model output controls Model Input Data Structure de Risque Profil de Risque Processus Risques Management Information Output Controls Données Input Controls Pilotage Solvabilité RiskOp de calcul Gestion exposition Moteur Enregistr. Méthodo- Analyse risques Bilan ALM logies de variation (Actif Pilotage stratégie Agrégations Passif) Sensibilités Données contreparties Business plan Qualité Stress Transferts Scenario, MA Statistiq. risques Tests de Processus commercial Calibration Souscription Sensibilités Compte Tarification Proces. Commercial Business de Plans Reward Résultats Provisionne- Processus Modèle Interne (Cadrage RI purchase ment Comptab.) Stratégie Politiques du Modèle Interne Allocation du capital Réassurance Variations Données Validation Innovation Produits Investisse- Autres politiques Investissements ments ORSA Déroulement Processus 38 PwC
  • 41. 2.2.3. Gérer les risques Une fois la stratégie de risque définie, Une gouvernance est un ensemble de il est possible de la décliner en principes et de règles permettant grâce politique de risque qui s’applique à à un processus de décision clair et toutes les entités et peut comporter partagé et des outils adaptés de suivre des déclinaisons locales pour tenir et piloter les risques. Elle comporte compte de la réglementation du pays habituellement les éléments suivants : ou des spécificités du marché local. • Un corpus de règles : meilleures La politique de risque sarticule autour pratiques (reconnues par la profession de la mise en place d’une gouvernance ou internes à l’entreprise), pratiques qui couvre au minimum les risques de : tolérées, pratiques interdites. • souscription en non-vie, • Des procédures de délégation de pouvoirs : toute décision engageant • oucription en vie, s significativement la compagnie doit obtenir l’accord de deux personnes au • oucription en santé, s moins, niveau de l’engagement en adéquation avec le niveau • arché, m hiérarchique. • ontrepartie. c • La tarification et le provisionnement : objectif de rentabilité, bases techniques utilisées, méthodologie de tarification et de provisionnement. • Le suivi du risque : indicateurs de risque, risques spécifiques nécessitant un suivi particulier, stress tests. • Les outils : documentation, outils standards, outils non standards. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 39
  • 42. Un exemple d’application de L’approche modulaire de la cartographie S’agissant du risque de longévité parla politique des risques des risques sous Solvabilité 2 exemple dans le cas des rentes viagères, guide également le processus la fonction actuarielle peut préférerNous avons vu dans la première de gouvernance des risques. une table d’expérience certifiée parpartie de ce document les principes un actuaire indépendant plutôt queinstaurés par la Directive en matière de La gouvernance repose sur le respect les tables de mortalité réglementairesgouvernance. Ces politiques de risques de principes ou guidelines établis TGF05 et TGH05. En effet, la bonnes’entendent par risque suivant ainsi conformément aux bonnes pratiques connaissance du portefeuille conduitl’approche modulaire de Solvabilité 2. reconnus par la profession, aussi l’entreprise dans ce cas à retenir des bien qu’aux pratiques internes hypothèses de mortalité plus faiblesLa fonction technique, par exemple, est propres à l’entreprise. Ces guidelines que la norme compte tenu du typepropriétaire du risque de souscription : interviennent dès la souscription de population couverte profitanten cela elle est en charge de la mesure, du contrat, puisqu’elles normalisent d’un niveau élevé de vie et de soin.de la gestion, du contrôle et de la notamment les politiques tarifairescommunication des composantes en matière de sélection des risquesde ce risque. C’est bien l’ensemble (lorsque cela est possible) et dede ces éléments que doit refléter la mesure du prix du risque.politique du risque de souscription.Figure 17 –Les modules de risque pour l’assurance vie SCR Adj BSCR SCR OP SCRMarket SCRDefault SCRLife SCR Intang LifeMORT LifeLONG LifeDIS LifeLAPSE LifeEXP Life REV LifeCAT 40 PwC
  • 43. 2.2.4. Suivre et reporterles risques • C’est également un enjeu de perfor-Sur la base des outils et processus de sur différents aspects (comptable, mance opérationnelle. Du fait desmesure du risque, le dispositif de gestion prudentiel, de gouvernance, etc.), qui sont impératifs cités ci-dessus, beaucoupdes risques doit produire et remonter aux détaillées dans les reportings suivants : d’entreprises vont devoir multiplier lesresponsables concernés l’ensemble des • Reporting To Supervisors (RTS) processus de clôture et les reportings.informations nécessaires à un pilotage annuel, à destination des régula- Cela crée un souci légitime d’efficacitéadapté et réactif. Il doit donc générer teurs comprenant entre autre un et de réduction des coûts de ces proces-des reportings internes et externes. Quantitative Reporting Template sus. Un grand nombre d’acteurs prévoit annuel (QRT) qui détaille les infor- en ce sens la mise en place d’un da-Les reportings internes mations fournies dans le RTS. tawarehouse commun, alimenté par les systèmes sources (gestion, actifs, inven-L’objectif d’un rapport de risque est de • Solvency and Financial Condition taire…) et à partir duquel les donnéesfaciliter le suivi des risques en fournissant Report (SFCR) annuel, à destination sont extraites de manière cohérente parles informations nécessaires et l’analyse du marché, et reprenant la struc- les différents intervenants sur certainsdes risques existants et potentiels ture du RTS sans les informations « univers » de traitement. En aval,auxquels est exposée l’entreprise. à destination des régulateurs. ces entreprises tendent à organiser l’ensemble des communications vers leLe contenu du rapport de risque • RTS trimestriel, comprenant prin- marché afin d’assurer la meilleure cohé-doit être adapté à son lectorat : cipalement un QRT trimestriel rence des messages délivrés ainsi que la allégé par rapport au QRT annuel.• La Direction générale : le rapport maîtrise des calendriers de publication. présente en une dizaine de pages La nécessaire convergence • C’est enfin un enjeu stratégique. Sous une vue d’ensemble des risques Risque / Finance l’effet de l’incitation réglementaire, affectant l’entreprise (la cartographie les pratiques de marché convergent des risques, les trois ou cinq risques On remarque que les organisations vers une évaluation et un pilotage de majeurs, la situation du marché, une tendent de plus en plus à prévoir un la performance pondérée du risque. comparaison avec les concurrents). chantier opérationnel spécifique sur Les dispositifs de pilotage devront ce sujet, et ce pour plusieurs raisons : donc produire en plus de la perfor-• La ligne de métier ou l’entité opéra- tionnelle : le rapport comporte une mance financière et opérationnelle • C’est d’abord un enjeu technique. « classique » une vision du niveau de quinzaine de pages sur les risques Les entreprises sont confrontées à risque encouru par l’entreprise pour auxquels est exposée la ligne de une multiplication de leurs bases de atteindre ces chiffres, voire de la « métier ou l’entité opérationnelle. reporting (SFCR et RTS en régime de performance » spécifique de la prise de• Le rapport détaillé des risques : c’est croisière Solvabilité 2, MCEV, IFRS risque de l’entreprise. Cette évolution un document (le plus souvent d’une 4 Phase 2, rapports pour les agences entraînera certainement des projets centaine de pages ou plus) qui fournit de notation…), dont les référentiels de convergence de ces dispositifs et tous les évaluations et plans d’ac- s’avèrent partiellement divergents. de refonte des outils du pilotage de la tion détaillés pour chaque risque. Chaque entreprise devra donc s’as- direction générale et de la communi- surer d’une part, qu’elle maîtrise les cation aux actionnaires. Ces sujets sontLes reportings externes risques d’erreur sur ses différents une priorité des directions générales et processus de reporting (logique de instances politiques, et se matérialise-Ces éléments sont définis dans le contrôle interne) et d’autre part, qu’elle ront progressivement au fur et à mesurePilier 3 de la Directive. Le périmètre est à même de réconcilier et justifier de la maturation des processus d’ORSA.des reportings concernés est celui les différences entre les résultats desdécrit dans le CP58. Il comporte des différentes publications (différencesparties qualitatives et quantitatives, de méthode, de base d’évaluation…). Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 41
  • 44. 2.2.5. Établir la planificationstratégique du capitalL’analyse prospective des fonds propres Si l’analyse révèle une sous- menaces potentielles et de préparer lesest en quelque sorte le livrable ultime capitalisation, l’assureur doit plans de sauvegarde pour diminuer leursdu processus de gestion des risques. pouvoir montrer l’existence d’un impacts sur le bilan. Les scenarii deMesurer et piloter les risques, dans plan de sauvegarde réaliste : stress sont clairement explicités, commela perspective de Solvabilité 2, doit par exemple ceux utilisés par l’EIOPApermettre à l’organisation de garantir • plan de recapitalisation, en 2009 pour évaluer la solvabilité dusa solvabilité de manière continue et secteur européen des assurances :de réaliser l’équilibre entre les objectifs • transfert de risque (réassurance,business et le montant de risque encouru couverture par des dérivés, • scénario adverse : diminution de 15%pour les atteindre. Cette évaluation titrisation…), à 50% en valeur relative des taux enprospective de l’exigence de capital fonction de leur maturité,ou planification stratégique du capital • limitation de l’exposition brute élargissement des spreads de crédit,est au cœur du processus d’ORSA, qui (plafond de souscription, plafond baisse de 10% à 20% des actions,doit de ce fait être mené en association d’investissement,…) via par exemple baisse de 15% de l’immobilierétroite avec les instances de direction. un amendement du schéma concomitante à une vague de rachats stratégique retenu (joint venture massifs,L’objectif de ce processus est de plutôt que nouvelle société…),démontrer que l’assureur est capable • scénario de profonde récession :de mobiliser le capital nécessaire pour • mécanismes d’absorption des pertes diminution de 40% à 60% en valeurcouvrir le besoin en marge de solvabilité (participation aux bénéfices, rappel de relative des taux en fonction de leur(BMS) sur l’horizon de la planification cotisations…). maturité, élargissement des spreadsstratégique. Pour chaque stratégie de crédit, baisse de 40% à 55% descommerciale, l’assureur va simuler Par ailleurs, l’organisation doit actions, baisse de 25% de l’immobilierun grand nombre de scénarios dans également être à même de mesurer concomitante à une vague de rachatslesquels il fait évoluer les paramètres de la sensibilité de ces analyses à des massifs,risque afin de comparer les BMS et les dégradations de son environnementcapitaux disponibles. Une telle analyse concurrentiel ou macro-économique. • scénario d’inflation : hausse de 40% àest réalisée avant chaque décision Les analyses de planification du 500% en valeur relative des taux enstratégique majeure (fusion, acquisition, capital sont donc complétées par fonction de leur maturitélancement d’une nouvelle activité…). l’utilisation des scénarii de stress, afin concomitante à une vague de rachats de comprendre les hypothèses sous- massifs. jacentes, les déterminants de cette planification et ses sensibilités aux risques. En particulier, les scénarii de stress permettent d’identifier les 42 PwC
  • 45. 2.3. Piloter les chantierstransverses Au sein de votre projet de conformité à • La validation du modèle interne - Solvabilité 2, les aspects liés au Pilier 2 les organisations ayant opté pour son nécessitent de prévoir des chantiers utilisation dès le 1er janvier 2013 transverses qui, s’ils ne résultent pas doivent prendre en compte les directement d’exigences des textes nombreuses contraintes liées au réglementaires, sont néanmoins processus de pré-validation puis indispensables d’un point de vue approbation finale par le superviseur. opérationnel. Nous avons choisi de nous attarder ici sur un nombre • La conduite du changement - limité de ces chantiers, étroitement les exigences réglementaires liés aux aspects du Pilier 2 : nécessitent la plupart du temps des transformations • La qualité des données - mesurer et organisationnelles importantes ainsi piloter les risques puis les traduire en que des changements de pratiques planifications stratégiques de capital significatifs, que vous avez besoin de nécessite de disposer d’un niveau comprendre, calibrer et accompagner. important de confiance sur la fiabilité des données utilisées et des processus • La mise en place de l’ORSA - de calcul afférents. ce processus doit démontrer la capacité de l’organisation à intégrer effectivement ses risques dans son pilotage et sa stratégie. Le processus ORSA est à ce jour peu formalisé. Bien souvent, les organisations doivent assembler les briques existantes et en faire sens au regard des exigences réglementaires. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 43
  • 46. 2.3.1. Garantirla qualité des donnéesLes exigences de Ces deux aspects sont à croiser avec • Pertinence : les données sontmaîtrise des données ce qui fait l’ADN de Solvabilité 2 par effectivement exploitées de façon rapport au régime actuel forfaitaire appropriée dans le cadre du calculLa qualité des données est une de solvabilité : il s’agit d’un régime qui réglementaire. En cas de déficience ouproblématique centrale de la Directive introduit la sensibilité aux portefeuilles de manque, le « proxy » utilisé estSolvabilité 2. A l’instar de Bâle 2, le point de risques des assureurs ; chaque ligne explicitement documenté et justifiéconcerne l’exhaustivité, la pertinence et métier est traitée de façon distincte, pour la bonne compréhension dula précision des données exploitées dans en considérant que pour une même régulateur.le cadre de la production des indicateurs prime, le niveau d’exposition et donc laréglementaires de Solvabilité. consommation en fond propre varie en Il convient de préciser enfin que ces fonction de la nature du risque souscrit. principes couvrent toutes les donnéesL’alternative entre modèle interne Le calcul de l’exigence réglementaire qui sont utilisées dans le cadre du calculet approche standard ne change en capital (SCR) est spécifique à réglementaire, qu’elles soient issues desfinalement pas les choses, en termes chaque ligne métier. Par conséquent, applications de gestion (description desde gestion de la qualité des données. les outils, les contrôles et les données contrats, sinistres, primes), de la gestionCertes, l’homologation par le régulateur sont également spécifiques à chaque actif-passif ou de la comptabilité (frais,ne concerne que le seul modèle ligne métier : Vie, Non Vie, etc. commissions...) ou externes (donnéesinterne : à cet égard, elle demandera d’hypothèses, données marketing,les efforts les plus significatifs en Les enjeux « statiques » : chocs, ratings, scénarios économiques,termes de mise en conformité de maîtriser la donnée données macro-économiques, etc.)la part des acteurs qui ont fait cechoix. Il est ici question d’un niveau D’un point de vue statique, onde qualité certifiable et vérifiable ; retrouve dans la Directive et dansautrement dit, le niveau d’exigence plusieurs « consultation papers » laest comparable avec celui du monde mention des trois axes d’analysecomptable d’une part, enfin la charge pour la qualité des données :de la preuve incombe à l’assureur. • Exhaustivité : les données mises àDeux aspects doivent être distingués disposition couvrent avec le mêmepour bien couvrir le champ des niveau de granularité, de profondeurexigences réglementaires : d’historique tous les risques en portefeuille, que ce soit en gestion• Un aspect statique, strictement directe, en gestion déléguée, en circonscrit à la donnée qui alimente le coassurance ou en réassurance. modèle, quelle que soit son origine et sa provenance. • Précision : les données exploitées pour le calcul réglementaire sont• Un aspect dynamique, traitant de la exemptes de tout biais d’origine mise sous contrôle des processus informatique, technique ou humaine d’extraction, d’acheminement et de qui les rendrait impropres à leur transformation des données depuis les exploitation pour le calcul d’un applications de gestion jusqu’aux indicateur réglementaire. moteurs actuariels de calculs et de projection des cash-flows et aux composants de reporting pour la « publication » des indicateurs réglementaires de solvabilité. 44 PwC
  • 47. Cette problématique s’aborde via -- le tableau de bord de suivi de la et financier. Ils permettent aussitrois livrables principaux : qualité des données par lignes en général d’alimenter les tableaux métiers, selon notamment : de bord de direction ainsi que les• le dictionnaire des données, recensant ·· la sécurité des données rapprochements comptabilité – gestion. l’ensemble des données exploitées au et des réseaux, titre du modèle interne ou de la ·· l’intégrité des données, Les assureurs doivent concentrer tous formule standard. C’est sur ce ·· la disponibilité des données, leurs efforts sur le traitement des périmètre précis de données que ·· la constitution des historiques. filières d’acheminement des données l’organisation devra démontrer sa ; une filière de donnée Solvabilité 2 maîtrise sur les trois critères cités • Le modèle de gouvernance des prend sa source dans une application précédemment. Les autorités de données risques établit quant à lui : de gestion, elle intègre une succession contrôle s’attendent à ce que chaque de composants d’infrastructures assureur s’approprie ces trois concepts -- les principes de revues et de et d’opérations de transformation, et les déclinent en critères mesurables contrôles de la qualité des données, d’agrégation et de calculs des données, de la qualité des données ; c’est le jusqu’à l’intégration des hypothèses, travail prioritaire à mener -- les rôles et responsabilités des des chocs , la projection des cash parallèlement à la construction du différents profils impliqués, flows, le calcul des différents SCR et la dictionnaire des données utilisées par production des différents reportings les filières risques. La conception de -- la comitologie (Instances, périmètre internes et réglementaires. Il s’agit ces critères de mesure de la qualité des de décision, fréquence…), d’une filière de bout en bout qui doit données combinée à la constitution du impérativement comporter une piste dictionnaire des données risques par -- les moyens et notamment la politique d’audit complète et documentée. Il y ligne métier et par filière/système Qualité des données, le guide de a pratiquement autant de filières de source est la pierre angulaire de deux procédures (timing, sign-off), données que de systèmes sources ; les livrables majeurs que sont la charte ou infocentres ou entrepôts de données la Politique qualité des données de -- les plans de remédiation et leur suivi, jouent un rôle de concentrateur de l’assureur et le modèle de gouvernance données, le dictionnaire des données des données. -- les liens avec les autres instances permet d’aligner les flux issus des comme l’audit interne et le contrôle systèmes sources et de redresser les• la politique qualité des données permanent, données issues de tels ou tels systèmes risques est un document clé le cas échéant afin de garantir la établissant précisément : -- les modalités d’intégration dans parfaite cohérence des portefeuilles l’organisation existante. entre eux indépendamment de -- les objectifs, enjeux périmètre, leurs systèmes d’origine. moyens… Les enjeux « dynamiques » : sécuriser les filières L’autre conséquence positive est d’éviter -- les critères de mesure de la qualité d’acheminement de propager dans l’entrepôt de données des données, alignés sur les trois la logique métier de l’application de axes de la Directive (Exhaustivité, Sur le plan dynamique, les travaux à gestion d’origine (logique relationnelle, Précision et Pertinence) pour mener concernent la mise sous contrôle terminologie, etc) les données chacune des lignes métiers de de l’infrastructure et des processus de ainsi extraites et transformées sont l’assureur, gestion des données risques. Dans la disponibles pour un plus grand plupart des cas, les acteurs du marché nombre de « clients » et satisfont plus -- les principes de revue de la qualité ont mis en œuvre des environnements facilement aux exigences du « Use des données (fréquence, profondeur, de type entrepôts de données dans tests » comme le demande la Directive. périmètre, restitution, lesquels se déversent les données responsabilité), métiers et à partir desquels sont calculés des indicateurs (Capital économique, MCEV…), les provisions techniques, des indicateurs de pilotage opérationnel Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 45
  • 48. 2.3.2. Obtenir la validationdu modèle interneNous l’avons vu précédemment, le 4. Test d’attribution des profits et pertes Organisation du processusmodèle interne est plus qu’un simple - Les entreprises doivent vérifier de validationmoteur de calcul, il est un élément régulièrement si la classificationclé dans les processus de décision du risque et l’attribution des profits Il est important notamment de pouvoirde l’entreprise. Ce modèle, qu’il soit et pertes dans leurs modèles démontrer que le modèle est appropriétotal ou partiel, doit pouvoir être reflète fidèlement les origines et en interne par les instances de décision,approuvé par le superviseur. Pour les causes de ces profits/pertes au qu’il est compris et effectivementce faire, une documentation assez sein des unités opérationnelles. utilisé, en somme qu’il joue tout sondense doit être établie de manière rôle dans le système de gouvernance.à prouver que les exigences de la 5. Test de validation - la pertinence Les méthodes de calcul utilisées parDirective sont bien respectées. des évaluations et des hypothèses le modèle doivent être adéquates et sous-jacentes doit être régulièrement fondées sur des hypothèses crédibles.Les conditions de validation confrontée aux données tirées L’entreprise doit pouvoir expliquer les de l’expérience. Les entreprises écarts éventuels entre les hypothèsesPour rappel, la Directive fixe huit doivent également jauger la sous-jacentes du modèle et celles deconditions qu’une organisation sensibilité des résultats aux la formule standard. Le modèle doitcandidate à l’utilisation d’un modèle changements des hypothèses clés. bien entendu couvrir tous les risquesinterne doit entretenir pour envisager auxquels l’entreprise est exposée.une validation de son modèle interne : 6. Test de documentation - les entreprises doivent garder Le modèle doit par ailleurs permettre1. Test d’utilisation ou « Use test » - des traces écrites mises à jour d’analyser annuellement les pertes et l’organe de gestion doit comprendre régulièrement de la conception, profits de l’activité, en ventilant ces et considérer les évaluations du des opérations, des fondements derniers par catégorie de risques pris risque et du capital à partir du mathématiques et des hypothèses en compte par le modèle de manière modèle interne comme moteur sous-jacentes de leur modèle. à restituer le réel profil de risque fondamental de la mise en place de l’entreprise. L’entreprise doit en de son plan commercial et de ses 7. Test de gouvernance - le modèle outre se doter d’une politique de suivi processus décisionnels stratégiques. interne ne sera approuvé que si et validation régulière du modèle l’assureur a une gouvernance afin de s’assurer de la permanente2. Test de qualité statistique des satisfaisante et des contrôles adéquation entre le modèle et le profil données - les évaluations doivent internes bien mis en place. de risque. Ce processus de validation, se baser sur des facteurs de risques illustré ci-dessous, doit permettre opportuns, fiables, cohérents et 8. Test sur les modèles et données de démontrer au superviseur que compréhensibles ; elles doivent être externes - les tests spécifiés les exigences de capital résultant fondées sur des hypothèses de risques s’appliquent également aux du modèle sont bien adéquates au réalistes, crédibles et vérifiables. données ou aux modèles provenant profil de risque réel de l’entreprise. d’un tiers (sous-traitance).3. Test de calibration : les résultats doivent être calibrés à une valeur à risque (VaR) de 99,5% à un an 46 PwC
  • 49. Figure 18 – Le périmètre de validation du modèle interne En amont de la démarche de validation, il est nécessaire de définir : Périmètre de - le périmètre du modèle interne : comment le modèle a-t-il été défini, selon quels processus ? validation - le périmètre des principes de validation : le modèle est-il couvert de façon exhaustive ? - la proportionnalité retenue : quelles parties du modèle pourraient être éventuellement exclues ? Documentation au fil de l’eau du processus de validation En outre, il convient de déterminer le niveau de matérialité requis par le management dans sa politique de validation. Fonction des parties (fonctionnelles et/ou Matérialité géographiques) concernées, il pourrait y avoir des exigences différenciées en matière de seuil de matérialité. Cette partie concerne l’inventaire des outils fondamentaux utilisés pour les tests de validation, ainsi que la cartographie de leur zone de couverture respective. Outils de Il est notamment important de considérer : - les approches locales des filiales le cas échéant validation - les éventuelles réserves ou limitations identifiées dans la validation. Les règles de validation doivent bien entendu prévoir la fréquence à laquelle les étapes Politiques de du processus de validation seront menées. A nouveau, une différenciation est possible changement du Fréquence en fonction des modules et/ou des pays concernés. Il faut également identifier les faits déclencheurs du « OK » de validation ainsi que ceux Modèle déclencheurs d’une modification du modèle. Il est important à ce stade de bien identifier : Rôles et - les intervenants clés « valideurs » des politiques et règles - les rôles et responsabilités dans le processus de validation du modèle interne : Responsabilités Validation notamment la répartition entre les acteurs centraux et locaux, comme les modalités de la revue indépendante qui sera menée dès 2013. Indépendante La sécurisation du processus se fait par consolidations successives dans une approche par étages. Pour cela, doivent être clairement définis : Reporting - les modalités de reporting des résultats du processus de validation (comprenant notamment la revue indépendante) - le format standard de reporting.L’homologation du modèle se fait • Pour les groupes internationaux, la Le régulateur prévoit un processus depour le régulateur par l’analyse du langue de travail est l’anglais mais il validation du modèle interne inscritdossier constitué par l’entreprise. Ce sera nécessaire de prévoir une dans les contraintes de timing fixéesdossier doit comprendre l’ensemble traduction au moins partielle du par la directive. Ce processus prévoitdes éléments cités et permettre de dossier en français. notamment une phase de préparationdémontrer que le modèle interne est des entreprises concernées, ainsi qu’unele résultat d’une démarche structurée, • Les méthodologies mathématiques phase de pré homologation. L’ACP aqu’il est parfaitement intégré et utilisées (hypothèses, traduction donné dans cette même conférence desdocumenté. Cette étape de constitution opérationnelle, paramétrage, indications sur les principaux jalonsdu dossier d’homologation peut être fréquence des réévaluations) doivent de son calendrier de validation :assez lourde en pratique et doit donc être clairement décrites.être planifiée avec soin. Dans sa • es discussions préalables avec les Lconférence du 22 novembre 2010, • Le dossier contient une description organisations candidates à lal’ACP a apporté d’utiles précisions sur précise des processus de gouvernance validation de leur modèle s’achèverontses attentes quant à la documentation du modèle, notamment en ce qui avant le 31 mars 2011 pour lesdu dossier d’homologation : concerne l’articulation entre les entreprises qui souhaitent un modèle filiales et le groupe. interne validé avant le 1er janvier• Au-delà du dossier qui servira de base 2013. à son appréciation, l’ACP attend une • Les politiques de validation interne du disponibilité de la totalité des modèle, de gestion des données et • our cette première vague de P documentations de support, qui d’évolution du modèle interne sont à demande d’utilisation d’un modèle doivent être regroupées dans un joindre au dossier. interne, le calendrier de livraison doit sommaire détaillé. prévoir une remise complète de tous les composants du modèle interne échelonnée jusqu’au plus tard le 31 mars 2012. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 47
  • 50. « La gouvernance Solvabilité 2 impose un engagement formel de la part de tous les responsables dentités opérationnelles : laccompagnement au changement sera déterminant pour les faire adhérer à des modalités qui les engagent bien au delà de ce à quoi certains ont pu être confrontés jusqualors. » Allianz France Philippe Léglise Directeur des risques2.3.3. Accompagnerle changementAu sens large, le projet de conformité àSolvabilité 2 est un réel projet d’entreprisestructurant, impactant la grande majoritédes strates de l’entreprise : processusstratégiques et décisionnels, organisation,gouvernance, systèmes d’information…mais également et surtout la culturede l’entreprise ! L’adoption de cesnouveaux modes de fonctionnementnécessite une adhésion forte de tous lescollaborateurs car Solvabilité 2 impliquedes changements dans les comportements(notamment à l’égard des risques) etdans la façon de travailler. Il est crucialde prévoir, planifier et mettre en place lesmoyens d’agir sur la diffusion de la culture« Solvabilité 2 » dès le démarrage du projet.Une nécessaire discipline dans facteur de succès incontournable. Sa • coordonner la communication et lala gestion du programme mise en place constitue un des formation sur le programme, préalables du lancement des travauxOn parle de programme lorsqu’il y opérationnels, avec pour perspective • favoriser la diffusion d’une « culturea plusieurs chantiers complexes à la totalité de ses responsabilités : Solvabilité 2 » au sein decoordonner. Etant donné l’étendue, l’organisation.la complexité et la multiplicité des • coordonner les différents chantierscontributeurs pour l’ensemble des liés aux trois piliers, ainsi que leschantiers du programme Solvabilité autres projets contributeurs ou2, la mise en place d’une structure adhérents (ex : projet d’évolution desperformante et transversale de SI déjà en cours, évolution dugestion de programme est un dispositif de contrôle interne…), 48 PwC
  • 51. Il n’existe pas de structure idéale, chaque Nous soulignons toutefois deux • Elle doit refléter assez finement laorganisation définit les modalités de éléments à notre sens majeurs dans structure organisationnelle en place,gestion de programme en fonction de la calibration de cette structure : afin de diffuser à l’échelle decontraintes, objectifs et calendrier qui lui l’ensemble des entités du groupe lessont propres. Nous proposons un exemple • Elle doit être à même de piloter chantiers et évolutions de culturegénérique d’une telle structure ci-dessous. simultanément les divers chantiers du nécessaires. programme, mais également leurs interactions (mutualisation de ressources, impacts croisés des choix structurants pris sur un chantier précis…).Figure 19 – Un exemple de structure projet pour la mise en place du Pilier 2 Niveau Groupe Sponsor Direction du Programme Solvabilité 2 Gestion des Conduite du risques projet changement Pilier 1 Pilier 2 Pilier 3 3. Stratégie 4. Organisation / 5. Evolution des 7. Reporting et 8. Industrialisation 1. Calculs de 2. Modèles des 6. Mise en place Gouvernance référentiels et communication des processus Solvabilité internes risques des risques normes internes de l’ORSA financière d’arrêtés Pilote de Pilote de Pilote de Pilote de Pilote de Pilote de Pilote de Pilote de chantier chantier chantier chantier chantier chantier chantier chantier Contributeurs Contributeurs Contributeurs Contributeurs Contributeurs Contributeurs Contributeurs Contributeurs 9. Déploiement Niveau Local Pilote filiale 1 Pilote filiale 2 Pilote filiale 3 Pilote filiale 4La création dans cette structure prendre en charge, en coordination changement ne se limite pas uniquementd’une cellule dédiée à la conduite du avec la fonction RH, la gestion des au programme mais concerne touschangement est souhaitable : elle aura besoins de formation et de ressources les collaborateurs de l’entreprise.en charge de gérer la communication supplémentaires qui émergent dans leinterne du programme et le déploiement cadre de la mise en œuvre des différentsde la culture risque. Elle pourra aussi chantiers. Le périmètre de la conduite du Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 49
  • 52. Définir une stratégie de communicationLa communication est un élément fondamental du changement,permettant l’émergence d’une nouvelle culture. L’approche de cetteproblématique doit prendre en compte les différents niveaux de Communication institutionnellecommunication, correspondant à des publics et des attentes différents : et grand public :  communiqués de presse, rapport annuel, information du public… Figure 20 – La stratégie de Communication réglementaire :  communication ACP, reportings réglementaires 3. Communication externe Communication aux collaborateurs : newsletters programme Solvabilité 2. Communication interne 2, information à caractère général Groupe de l’ensemble des collaborateurs via l’Intranet ou autre media… 1. Communication Communication interne au interne au programme programme Solvabilité 2 :  Solvabilité 2 Points d’avancement, Comités de pilotage, Comités de programme, Comités de chantiers à l’initiative des responsables de chantier, base documentaire… 50 PwC
  • 53. Dans le cadre de la gestion du clés du programme Solvabilité 2 par la au niveau des opérations). La stratégieprogramme, il est utile de définir une mise en place dactions de mobilisation de communication est généralementstratégie globale de communication. autour des enjeux du programme déclinée en plans de communication.Celle-ci a un objectif majeur, à savoir (compréhension des exigences des 3 Le tableau ci-dessous est un exemple quimobiliser et faire sengager les acteurs piliers, appropriation de leur déclinaison en synthétise les principaux aspectsFigure 21 – Un exemple de plan de communication Niveau de Destinataires / Cibles Canal ou media Rôle de la direction du Rôle de la Direction de la communication de communication programme Solvabilité 2 / communication de la cellule de conduite du changement • Tous les acteurs du • Réunions d’équipe, groupes • Est responsable et • Conseille /et met à programme Solvabilité 2 de travail, Comités… gère la communication disposition du projet les 1. interne au programme outils de communication • Les membres du COPIL, • Documentation interne de manière autonome le cas échéant Communication interne (support de présenta- au programme • Les membres du COPRO tion, formation, compte Solvabilité 2 rendus de réunion etc.) • Les instances propres à chaque chantier • Les administrateurs • Points d’avancement du • Propose le format • Vérifie et valide la programme, information cohérence des mes- • Les membres du COMEX à caractère général et • Valide le contenu sages et du format / ou technique (ex : et les messages • Les membres du CODIR • Gère les outils support de formation) • Est responsable • Les managers du Groupe de communication • Possibilité d’un espace / de la diffusion 2. Communication interne portail dédié sur l’intranet Groupe • Tous les collaborateurs • Newsletters du pro- • Propose le contenu et • Vérifie et valide la du Groupe au sens large gramme S2, information aide à la formalisa- cohérence des mes- à caractère général de tion des messages sages et du format l’ensemble des collabo- rateurs via l’intranet… • Est responsable de la diffusion • Le grand public • Communiqués de presse, • Propose le contenu et • Valide le contenu, rapport annuel, information aide à la formalisa- les messages, le • Les clients du Groupe au public via le site Internet tion des messages format avec la DG du Groupe, conférences • Est responsable de la diffusion 3. • L’ACP • Reportings sur l’avancement • Valide le contenu, • Est informé systématique- Communication des travaux, demandes les messages avec ment avant toute diffusion externe • Les instances euro- de l’ACP, participation aux les autres directions péennes (CEIOPS…) travaux de place etc. concernées (Direction technique, Direc- tion financière…) • Est responsable de la diffusion via le Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 51
  • 54. Piloter l’évolution des que les formations sur les nouveaux En termes de gestion des compétences,ressources humaines risques à prendre en compte par les les entreprises qui disposent d’une GPEC assureurs soient particulièrement (Gestion Prévisionnelle de l’Emploi etLes Ressources Humaines constituent demandées (risques de marché, risques des Compétences) devront égalementle deuxième volet clé de la conduite de crédit, risques opérationnels…). prendre en compte très tôt les évolutionsdu changement. La direction attendues au niveau des compétencesdes Ressources Humaines est un De même, les formations liées aux des collaborateurs. Il y a un importantinterlocuteur majeur dans la conduite techniques financières et aux produits travail de cartographie des compétenceset la réussite de ce programme. devraient connaître une forte demande (actuelles vs cibles) à réaliser. Les écartsCelui-ci nécessite en effet de de la part des collaborateurs qui devront être gérés à la fois par un effortmobiliser une grande majorité des appartiennent à la filière technique, de formation et par des recrutements.attributions de cette direction : à la filière risque, à la filière finance Pour cette raison, les besoins de ou encore aux autres lignes métiers. recrutements sur la période 2011-2013• Formation : faire évoluer les doivent être identifiés rapidement, compétences métier des salariés et Afin de diffuser une culture risque, certains profils (comme des actuaires leur fournir les bases techniques pour enjeu clé du Pilier 2, il est important ou des gestionnaires actif-passif) étant remplir leurs missions en de prévoir bien sûr des formations particulièrement difficiles à trouver. « environnement Solvabilité 2 ». avec un contenu technique pour les professionnels mais aussi des Enfin, il faut aussi noter l’importance• Recrutement : attirer et fidéliser à formations dites de « sensibilisation », de la gestion de la performance comme l’extérieur les compétences dont ne qui s’adressent à tous les collaborateurs accélérateur du changement. En effet dispose pas actuellement de l’entreprise. Dans ce cas, elles doivent les entreprises souhaitant faciliter l’organisation, dans un contexte de mettre l’accent sur la présentation leur mise en conformité par rapport à tension sur certains profils (actuaires, des principaux concepts présents Solvabilité 2 peuvent prévoir de fixer spécialistes de la gestion des dans la Directive, mais surtout sur des objectifs spécifiques aux managers, risques…). ses enjeux pour l’entreprise et pour soit dans les lettres de mission, soit dans le secteur de l’assurance, de même le cadre de leurs entretiens annuels• Gestion des compétences : identifier que sur les changements attendus de fixation des objectifs. Il s’agit par les attentes en matière d’évolution des au niveau du métier d’assureur. exemple d’objectifs relatifs à la mise capacités techniques et managériales en œuvre du Pilier 2 (mise en place en environnement Solvabilité 2 et Par ailleurs, un des leviers du dispositif d’ORSA, formalisation piloter la transition. permettant d’accélérer la diffusion des processus, d’identification des des connaissances sur Solvabilité 2 risques et des contrôles etc.).• Gestion de la performance dans l’entreprise, est d’en favoriser individuelle : accompagner les l’appropriation rapide par les managers changements au niveau le plus fin de opérationnels. Pour cela, ils doivent l’organisation. être le vecteur de la formation et à ce titre faire partie de la premièreLa formation contribuera fortement population (in)formée, puis à leurà la montée en compétences des tour, être capable au moins sur lescollaborateurs durant la phase projet sujets les concernant de former leursmais aussi après la mise en œuvre équipes. C’est le principe du « train thede la Directive. Il s’agit de dispenser trainer » (former les formateurs). L’effortdes formations sur le contenu de la de formation lié à Solvabilité 2 seraréglementation elle-même (par exemple, particulièrement important en 2011 etles trois piliers de la Directive, les CP, 2012. Les DRH doivent d’ores et déjàle QIS 5), mais aussi des formations sur recueillir les besoins et anticiper leursla gestion des risques. On s’attend à ce impacts sur les budgets de formation. 52 PwC
  • 55. 2.3.4. Mettre en placele processus d’ORSA L’implémentation de l’ORSA suit L’exécution de ce processus mobilise un processus en cinq étapes qui est tous les niveaux de l’entreprise suivant intégré dans le cadre de la gestion une approche top-down et bottom-up : des risques de l’entreprise : • La Direction Générale vers les unités • dentification et évaluation du risque, I opérationnelles : définition de la stratégie d’entreprise, définition de • Appétit au risque, l’appétit au risque, allocation du capital aux lignes de métiers. • Planification stratégique, • Des unités opérationnelles vers la • Stress testing, Direction Générale : identification des risques, mesure du profil de risque, • Allocation du capital. reporting des risques. « LORSA constituera un outil de pilotage stratégique de lactivité assurance dont les bénéfices sont étroitement liés à la flexibilité de sa mise en œuvre opérationnelle ». Société Générale Insurance Sébastien Simon Directeur du Programme Solvabilité 2 Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 53
  • 56. Le graphique suivant donne unevision dynamique du processus ORSAdurant l’exercice budgétaire :Figure 22 – Une vision dynamique du processus ORSA durant l’exercice budgétaire - Illustrative - M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M1 M2 M3 Risk Quarterly Board Top-down Top Tier Appetite Strategic Sign-off reporting / risk ID risks agreed Vision aspiration steeting 3-yrExecutive strategic Quarterly Agree stress Agree plan target reporting /Committee scenarios setting steeting Proposed Proposed ‘Deep dive’ Agreed and Risk Review Risk Risk top-down Top Tier risk adopt Risk Appetite stress AppetiteCommittee risk ID. risks assessment Statement scenarios monitoring Policy Risk Define stress Risk Risk aggregation Redefine Risk controlling , Risk scenarios identification Risk mitigation plan process and Appetite Function template and (input from Risk- Risk- (ID) priorisation reporting requirement assessment Bus) adjusted adjusted performance performance measures - measures - tools and aggregation Facilitate Stress-test techniques strategic of plan / Capital Capital Finance allocation allocation Function financial capital plan planning to BUs to BUs BU 1 BU 2 Risk- Day to day Bottom-up adjusted Bottom - up operational strategic BUs performance BU 3 implementation measures - risk ID financial stress-testing plan calculations BU 4 BU 5 Legend Strategic planning Facilitate Function Risk identification Risk Appetite Decision-make Iterative process Stress testing Quarterly steering ExecuteArticulation et industrialisation Les articles 35 et 50 de la Directive ainsidu rapport ORSA avec les que le CP 58 stipulent que le rapportrapports de risque du Pilier 3 ORSA remis au régulateur comporte des éléments quantitatifs et qualitatifs qu’il partage avec les rapports réglementaires (RTS et SFCR) du Pilier 3. 54 PwC
  • 57. Conclusion de la miseen œuvre opérationnelle La mise en œuvre opérationnelle de un profil et une stratégie des risques la gestion des risques implique de clairement identifiée. Troisième clé de profonds changements au niveau de la conduite opérationnelle de la mise l’organisation mais aussi au niveau du en conformité, les choix d’organisation pilotage de l’activité de l’entreprise. Le et de gouvernance de la « filière lancement de tels projets nécessite une risque ». Quel système de décision réflexion autour de quelques concepts choisir ? A qui attribuer les pouvoirs clés sous-tendus par la Directive. de décisions et de contrôle ? Quel périmètre pour la fonction Risque ? L’ « appétit au risque », doit ainsi être défini et formalisé au regard des Autant de décisions nécessaires pour ambitions en termes de business et appliquer les principes du Pilier 2 selon des moyens disponibles, économiques, les spécificités de chaque organisation. humains, techniques... Tout comme la « culture risque » de l’entreprise, c’est à dire l’adhésion des collaborateurs à Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 55
  • 58. Conclusion 56 PwC
  • 59. Des trois piliers de la Directive, le Pilier La mise en place d’une culture du risque à cinq ans), à mettre en adéquation2 est sans doute le plus important et constitue un élément majeur du Pilier 2. le capital de l’entreprise et leursle plus complexe à mettre en œuvre. Au regard d’un dispositif opérationnel et aspirations commerciales. L’ORSAEn effet, il conduit l’entreprise à performant, il s’agit d’un des éléments est ainsi destiné à devenir unplacer la gestion des risques au majeurs pour atteindre l’objectif de mise instrument de pilotage stratégique.cœur du pilotage de son activité. en conformité. Pour cela, les entreprisesIl implique, comme nous l’avons auront recours aux deux leviers Cette performance opérationnelledéveloppé à travers ce livre blanc, la principaux qui sont la communication attendue devrait, à terme, compenser lesmise en place d’un nouveau cadre de et la gestion des ressources humaines. importants coûts de mise en œuvre desréférence en matière de gestion des chantiers de mise en conformité avec larisques qui doit désormais faire partie Mais le Pilier 2 représente surtout un Directive et en particulier le Pilier 2.intégrante de la fonction managériale. changement radical pour beaucoupIl nécessite surtout des travaux de d’acteurs du secteur de l’assurance. Selon les résultats de l’étude pan-cadrage et de dimensionnement En effet, le degré de mise en œuvre européenne PwC 2010 sur ladifficile au regard de sa déclinaison de Solvabilité 2 est inégal suivant les préparation à Solvabilité 2, lesopérationnelle à tous les niveaux entreprises. La Directive Solvabilité assureurs semblent bien avoir prisde l’entreprise : de l’organisation 2 constitue donc une opportunité, la juste mesure des enjeux d’uneen passant par les fonctions de notamment dans un contexte de crise réglementation qui place la gouvernancecontrôle, la gouvernance ou encore les économique. Une opportunité pour des risques au cœur de leur activité.relations avec les « fournisseurs ». optimiser la gestion de l’entreprise et gagner en efficacité opérationnelleLes outils et référentiels, comme la dans toutes les fonctions, grâce à unedémarche ERM, permettent de lier formalisation et une rationalisationla stratégie de l’entreprise avec un des processus, une évolution duniveau de prise de risque accepté et système d’information et des outilsassumé par les dirigeants et par les utilisés ou encore un renforcementopérationnels. Les spécifications du des compétences des collaborateurs.Pilier 2 positionnent ainsi la fonction De la même manière, la mise enrisque comme la « pierre angulaire » œuvre de l’ORSA invite les assureursdu dispositif de gestion des risques. à maîtriser leur profil de risques sur un horizon « stratégique » (de trois Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 57
  • 60. Vos interlocuteurs Eric Dupont Jimmy Zou Associé Associé Responsable Responsable du Secteur Assurance de Solvabilité 2 01 56 57 80 39 01 56 57 72 13 06 08 90 64 52 06 74 27 34 79 eric.dupont@fr.pwc.com jimmy.zou@fr.pwc.com Quoc Nguyen Dao Antoine de la Bretesche Stéphane Kuypers Senior Manager Directeur Associé Spécialiste réglementation Qualité des données Actuariat prudentielle et gestion de projets et gestion de projets 01 56 57 57 14 01 56 57 82 92 01 56 57 12 83 06 74 32 19 33 06 85 08 93 20 06 03 80 56 97 quocnguyen.dao@fr.pwc.com antoine.de.la.bretesche@fr.pwc.com stephane.kuypers @fr.pwc.com • Sébastien de la Lande Merci pour leur Votre contact contribution • Dominique Daijardin marketing • Pierre-Antoine Duez • Elodie Coquerel • Stéphanie Artigaud 01 56 57 85 56 elodie.coquerel@fr.pwc.com • Benoît Germain • Eric Demerlé 58 PwC
  • 61. © PricewaterhouseCoopers 2011. Tous droits réservés.« PwC » est la marque sous laquelle les entités membres de PricewaterhouseCoopers International Limited (PwCIL) opèrent et rendent leurs services. Ces entités forment ensemble leréseau PwC. Chaque entité membre du réseau est peuvent en aucun cas être assimilées à en prestations de services ou de conseil rendues par leurs auteurs ou éditeurs.« Les informations contenues dans cette publication nejuridiquement autonome et n’agit pas destant qu’agent de PwCIL ni d’aucune autre entité membre. PwCIL ne fournit aucun serviceaux clients.Elle n’est être utilisées comme actes et omissions de ses membres et n’a ni le droit ni la capacité juridique d’en contrôler l’exercice professionnel ouAussi, elles ne peuventpas responsable desun substitut à une consultation rendue par une personne professionnellement compétente. Cette publication est la propriété de de les engager d’unequelconque façon.PricewaterhouseCoopers Audit. Toute reproduction et /ou diffusion, en tout ou partie, par quelque moyen que ce soit est interdite sans autorisation préalable.© PricewaterhouseCoopers Audit (2011). Tous droits réservés ».
  • 62. www.pwc.fr

×