Solvabilité 2: mise en oeuvre opérationnelle

11,905 views
11,818 views

Published on

Published in: Economy & Finance
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,905
On SlideShare
0
From Embeds
0
Number of Embeds
1,553
Actions
Shares
0
Downloads
338
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Solvabilité 2: mise en oeuvre opérationnelle

  1. 1. www.pwc.fr Solvabilité 2 Le Pilier 2, enjeux opérationnels de la gestion des risquesLivre BlancTome 1
  2. 2. Sommaire Préface 2 Introduction 4 1. Approche normative 6 1.1 Les dispositions générales du Pilier 2 6 1.2 Que dit la Directive ? 7 1.3 Que disent les projets de mesures d’application ? 10 1.4 Le COSO 2 - ERM 13 2. Mise en œuvre opérationnelle 16 2.1 Lorganisation générale de la « filière risque » 16 2.2 Mettre en place le processus de gestion des risques 25 2.3 Piloter les chantiers transverses 35 Conclusion 46 Vos contacts 47
  3. 3. Préface Ce livre blanc est publié à un moment clé de l’agenda réglementaire de la Directive Solvabilité 2. En effet, la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise. Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires, offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les mesures de niveau 2 sur le système de gouvernance des risques est en cours d’achèvement et celle sur les mesures de niveau 3 a démarré et s’accélérera au deuxième semestre 2011. C’est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des entreprises d’assurance s’élargissent au Pilier 2. Or, cette étape implique l’application opérationnelle d’une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et de votre organisation. Elles sont également une opportunité pour optimiser votre performance opérationnelle. L’ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion inédite de la solvabilité sur un horizon stratégique de trois à cinq ans. PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la gestion des risques en contribuant notamment à l’élaboration du référentiel COSO 2-ERM. Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en conformité à Solvabilité 2. Par ailleurs, nous avons prévu de faire dautres livres blancs au cours de 2011 et 2012 sur les sujets qui intéressent le marché, notamment, la qualité des données, lORSA et les reportings financiers. Eric Dupont Jimmy Zou Associé Associé Responsable du secteur Assurance Responsable de Solvabilité 2
  4. 4. Introduction Avant dernière ligne droite pour la mise en conformité à Solvabilité 2, 2011 est une étape importante pour les sociétés d’assurance. Pour leur apporter des solutions clés en main, PwC consacre un livre blanc, « les Enjeux du Pilier 2 », exclusivement dédié à la mise en œuvre de ces futures obligations. Ce livre blanc propose un cadre méthodologique concret et des points de repères dans le travail de déclinaison des principes du Pilier 2.
  5. 5. "Ce livre blanc, par son approche pluri-disciplinaire, présente de façon claire les points essentiels de la gestion des risques complétés dillustrations possibles. Ce document nous conforte dans nos orientations antérieures et il permet de mieux cerner certaines déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.". MAIF Christophe Raballan Directeur de la Maîtrise des risques et du Contrôle interneSur la route de la mise en conformité C’est donc, en ce début d’année 2011, L’objectif de ce livre blanc est doncà Solvabilité 2, les entreprises sur le Pilier 2 de Solvabilité 2 que vos de constituer une sorte de « boîted’assurance (sociétés d’assurance et travaux s’étendront. Clef de voûte de à outils », utilisable par tous lesde réassurance, mutuelles, IP) sont la Directive, la conformité au Pilier 2 acteurs intervenant sur les aspectsaujourd’hui arrivées à un tournant pose donc de nombreuses questions organisationnels de la conformité àstratégique. Après avoir consacré une aux sociétés d’assurance. Cette étape Solvabilité 2. Après avoir rappelé lespart prépondérante de leurs projets de implique une interrogation sur votre spécifications de la réglementation et duconformité aux aspects quantitatifs du culture du risque, une (re)définition référentiel ERM1, nous nous proposonsPilier 1, elles se tournent aujourd’hui de votre stratégie et de gouvernance de décliner les enjeux opérationnelsvers les exigences, plus qualitatives des risques et, enfin, une mise en de vos chantiers de conformitéet plus complexes du Pilier 2. place opérationnelle de votre gestion (organisation et gouvernance de la des risques.Des questions difficiles, filière risque, processus de gestionEn effet, en 2010, vous avez mobilisé qui vous mènent souvent au cœur des risques, cadrage des chantiersvos forces autour de la capacité de du pilotage de votre activité. « transversaux » comme la qualitévotre organisation à modéliser les des données ou l’ORSA 2), de poserrisques dans un nouveau référentiel Qu’exige précisément la réglementation les questions structurantes et, enfin,et à mesurer l’impact de ce nouveau Solvabilité 2 ? Comment ces d’apporter des pistes de réponserégime sur le montant des fonds propres dispositions doivent-elles, ou plutôt, opérationnelles, via des exemplesnécessaire à horizon du 1er janvier 2013. peuvent-elles être appliquées à concrets de mise en œuvre.Vous avez également finalisé l’ensemble mon organisation ? Quels sont lesdes exercices liés au QIS 5. Ces exercices contraintes et déterminants me Ce document s’adresse aux pilotesont été l’occasion de réaliser un 1er test permettant de dimensionner un opérationnels des projets de conformité« grandeur nature » sur vos méthodes dispositif opérationnel de gestion des à Solvabilité 2, chefs de projet ouet processus calculatoires. Lors de risques ? Quels sont les chantiers que directeurs des risques. Toutefois, notrecette phase, vous effectuez les tests « recouvrent les exigences du Pilier 2 au travail de réflexion et de méthodologiegrandeur nature » pour mettre en place sein de mon projet de conformité ? pourra également être utile auxun processus de réalisation des bilans dirigeants et administrateurs deséconomiques et de calcul des SCR. La difficulté majeure, partagée organismes d’assurance, dont bon par l’ensemble de nos clients et à nombre sont aujourd’hui confrontés à laquelle s’attaque ce livre blanc, des arbitrages difficiles sur le calibrage est d’interpréter et de calibrer les du dispositif, entre les impératifs de principes des textes réglementaires conformité (qui peuvent paraître lourds aux spécificités de l’organisation pour au regard des discours de place) et les créer un dispositif de gestion des risques ambitions de leur entreprise (approche conforme, adapté et performant. de stricte conformité ou objectif de « best in class » en pilotage des risques ?). Nous espérons que vous trouverez, ici, des axes de réflexion utiles pour vos travaux.(1) ERM : Enterprise Risk Management(2) RSA : Own Risk and Solvency O Assessment, Évaluation interne des risques et de la solvabilité Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 3
  6. 6. 1. Approche normative
  7. 7. Introduction Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu’elle a mis en place un système adéquat et efficace de gestion des risques. Deux référentiels principaux servent de guide dans cette perspective de mise en conformité. • Le référentiel réglementaire du Pilier 2 constitue la référence essen- tielle. Ses dispositions couvrent les attentes des régulateurs en matière d’organisation opérationnelle de la gestion des risques. Les grands prin- cipes de la Directive y sont exprimés dans quelques articles. Des mesures d’application, toujours en cours de discussion, viennent les préciser. • Le référentiel technique majeur et largement admis est le COSO 23 - ERM. Il est utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d’une gestion des risques performante. On notera que les agences de notation ont ainsi intégré la « performance » ERM comme un critère d’évaluation à part entière. Nous vous proposons une synthèse des principales dispositions et concepts de ces deux référentiels.(3) OSO est l’acronyme abrégé de Committee Of Sponsoring Organizations C of the Treadway Commission, une commission à but non lucratif qui a établi en 1992 une définition standard du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard sappelle aussi COSO. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 5
  8. 8. 1.1 es dispositions L générales du Pilier 2Le Pilier 2 recouvre l’ensemble des principes et pratiques attendus des organisations en matière de gestion desrisques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositionspeuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous :Figure 1 – Les principales dispositions du Pilier 2 Nouveau processus Gouvernance des risques Exigences du modèle interne de supervision (art. 41 à 49) (art.120 à 126) (art. 27 à 39) • Des exigences de gouvernance • Un nouveau processus de • Une utilisation effective du mo- générale (séparation des tâches, supervision, fondé sur un dèle interne dans le pilotage (ges- gestion des conflits d’intérêt…) dialogue permanent avec le tion opérationnelle des risques, régulateur et où l’entreprise a allocation de capital notamment) • Un principe de proportionna- la « charge de la preuve » lité du dispositif risque à la • Une évaluation objectivée complexité du profil de risque • La possibilité pour le régulateur selon 9 principes (appropria- de sanctionner via des « capi- tion par le management, reflet • La définition des fonctions clés tal add-on » tout écart quan- fidèle du profil de risque…) de la gestion des risques et du titatif ou qualitatif par rapport périmètre du dispositif risque aux standards attendus. • Lexistence d’un processus in- terne de validation du modèle… • Des exigences de qualités « fit and proper » pour les principaux • … et des tests de sensibilité acteurs de la gestion des risques et de stabilité du modèle • Des principes de bonne conduite en termes de rémunération L’ORSA (art.45) • L’ORSA recouvre l’ensemble des processus et des procédures qui permettent d’identifier, évaluer, suivre, contrôler et com- muniquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face et qui permettent de déterminer le niveau de capital dont l’entreprise a besoin pour assurer sa solvabilité en permanence. • L’ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu’à celles des Piliers 2 et 3.Source : PwCLorsque l’on cherche à appréhender mettre en oeuvre. Ces principes doivent savoir les enjeux de gouvernance desles enjeux du Pilier 2, les principales être traduits et déclinés pour s’appliquer risques couverts par les articles 41 àdifficultés viennent d’un constat à la réalité de votre organisation. 49, ainsi que les projets de mesures detrès simple : les articles et mesures niveau 2 et 3 en cours d’élaborationd’application définissent des principes De ce fait, nous avons choisi dans ce par la Commission Européenne.structurants, mais fournissent peu document de nous concentrer surd’indications concrètes sur le dispositif à l’aspect organisationnel du Pilier 2, à 6 PwC
  9. 9. 1.2 Que dit la Directive ?La Directive européenne prévoit les bases d’une bonne gouvernance comme un système complet composé defonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernancedes risques (défini dans l’article n°41) est étayé par 7 « blocs » principaux qui doivent répondre à des attentesspécifiques. Ces « blocs » sont ensuite détaillés dans un article dédié de la Directive, tel qu’illustré ci-dessous :Figure 2 – La gouvernance des risques GOUVERNANCE (Art.41) Honorabilité et compétences (Art.42 et 43) Gestion des risques (Art.44) Évaluation interne des risques et de la solvabilité - ORSA (Art. 45) Contrôle interne (Art. 46) Audit interne (Art. 47) Fonction actuarielle (Art. 48) Sous-traitance (Art. 49)Art.41 – Exigences générales Art.42 43 – Honorabilité Art.44 – Gestion des risquesen matière de gouvernance et compétencesL’article 41 précise notamment que Ces articles 42 et 43 précisent que L’article 44 indique que « les entreprisesles entreprises d’assurance et de « toutes les personnes qui dirigent d’assurance et de réassurance doiventréassurance doivent mettre « en effectivement l’entreprise ou qui mettre en place un système de gestionplace un système de gouvernance occupent d’autres fonctions clés doivent des risques efficace, qui comprenneefficace, qui garantisse une gestion avoir les qualifications et compétences les stratégies, processus et procéduressaine et prudente de lactivité ». requises à l’exercice de ces fonctions d’information nécessaires pour déceler, et que leur réputation et leur intégrité mesurer, contrôler, gérer et déclarer, en sont de bon niveau (honorabilité) ». permanence, les risques, aux niveaux individuel et agrégé, auxquels elles sont Ces informations doivent en outre ou pourraient être exposées ainsi que être communiquées aux Autorités les interdépendances entre ces risques. de Contrôle en cas de changement et nécessitent d’être documentées. Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l’entreprise d’assurance ou de réassurance et dument pris en compte par les personnes qui dirigent effectivement l’entreprise ou qui occupent d’autres fonctions clés ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 7
  10. 10. Art.44 – suite Il décrit également a minima le périmètre concerné par la gestion des risques (souscription et provisionnement, gestion actif- passif, investissements, risques opérationnels, les risques d’illiquidité et de concentration, la réassurance et pour partie le modèle interne) et précise que les politiques de gestion des risques doivent être documentées. En synthèse, retenons surtout que la Directive : • présente la fonction de gestion des risques (par la suite appelée « fonction Risque ») comme une fonction obligatoire, efficace et intégrée à l’organisation, • fixe un périmètre minimal en termes de risques couverts – à savoir les risques entrant dans le calcul du SCR sans nécessairement s’y limiter, • décrit les responsabilités particulières de cette fonction, véritable « chef d’orchestre » global du dispositif et pilote du modèle interne si applicable.8 PwC
  11. 11. Art.45 – Évaluation interne des Art.46 – Système de Art.49 – Sous-traitancerisques et de la solvabilité - ORSA contrôle interne Enfin, l’article 49 déclare que «L’article 45 indique que dans le cadre L’article 46 précise que « les entreprises les entreprises dassurance et dede leur système de gestion des risques, d’assurance et de réassurance réassurance conservent lentièreles entreprises dassurance et de disposent d’un système de contrôle responsabilité du respect de lensembleréassurance doivent régulièrement « interne efficace comprenant a minima des obligations qui leur incombentprocéder à une évaluation [...] interne des procédures administratives et […] lorsquelles sous-traitent desdes risques et de la solvabilité ». comptables, un cadre de contrôle fonctions ou des activités dassuranceCette évaluation, propre au profil interne, des dispositions appropriées ou de réassurance » et pourvu que celade risque, conduit l’entreprise à en matière d’information à tous les n’ait pas d’incidence sur le système deexpliciter le niveau de risque qui tend niveaux de l’entreprise et une fonction gouvernance, l’activité ou le risquele capital requis en vue d’apprécier de vérification de la conformité ». opérationnel, ni sur la capacité deson niveau de fonds propres. surveillance des Autorités de Contrôle.Précisons que l’ORSA doit répondre Art.47 – Audit interne En sus, l’entreprise doit informerà trois points majeurs : le Régulateur de son intention L’article 47 stipule que « la fonction d’externaliser toute fonction ou• Démontrer dans les faits la pertinence d’audit interne évalue notamment activité « importante ou critique ». des processus de gestion des risques l’adéquation et l’efficacité du système de développés par l’organisation. contrôle interne et les autres éléments du système de gouvernance […] de• Sintégrer à la stratégie commerciale manière objective et indépendante et à la définition de la stratégie des fonctions opérationnelles ». de l’organisation : ses analyses et productions doivent être prises Art.48 – Fonction actuarielle en compte par les décideurs. Au travers de l’article 48 de la Directive,• Pouvoir être réévalué suite à toute la fonction actuarielle est décrite modification significative du profil comme une fonction d’expertise visant de risque de l’organisation. à « coordonner le calcul des provisions techniques et garantir le caractère approprié des méthodologies, des modèles sous-jacents et des hypothèses utilisés pour le calcul des provisions techniques, apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques, comparer les meilleures estimations aux observations empiriques, informer lorgane dadministration, de gestion ou de contrôle de la fiabilité et du caractère adéquat du calcul des provisions techniques, superviser le calcul des provisions techniques, émettre un avis sur la politique globale de souscription, émettre un avis sur ladéquation des dispositions prises en matière de réassurance, et enfin contribuer à la mise en œuvre effective du système de gestion des risques ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 9
  12. 12. 1.3 Que disentles projets de mesuresd’application ? A la lecture des textes, les dispositions L’avis du CEIOPS « Advice for Level 2 de Solvabilité 2 en matière Implementing Measures on Solvency 2 : d’organisation et de système de System of Governance » a fourni des gouvernance des risques reposent premières précisions sur le dispositif uniquement sur des principes. Le de gestion des risques. Les mesures régulateur souhaite en effet laisser à de niveau 3 en cours de discussion chaque organisation le soin de définir préciseront plus avant ce dispositif. son propre schéma organisationnel et n’a défini à ce titre que les fonctions clés En résumé, toute entreprise soumise à et des attentes très générales. Toutefois, Solvabilité 2 doit, selon ce référentiel, l’interprétation qu’il est possible de faire démontrer que dans le respect de ces au travers de la lecture des articles 41 à principes, elle possède un dispositif 49 a conduit le Régulateur à les préciser. opérationnel de gestion et de pilotage de ses risques qui garantit : • Une bonne connaissance des risques auxquels elle est exposée (profil de risque) et une évaluation cohérente de ses expositions à un instant t. • Une mécanique réellement opérationnelle de gestion de ces risques, c’est-à-dire que les éléments clés sont en place et chacun est en mesure de faire ce qui est prévu. • Une remontée des informations nécessaires et la capacité des instances responsables à prendre les décisions qui s’imposent. 10 PwC
  13. 13. Figure 3 – Rappel des exigences du Pilier 2 Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62) • Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace • Cadrage des conflits d’intérêt, principe du « 4-eyes review », « fit proper » sur les fonctions clé, politique de rémunération Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; 3.220 à 3.222) • Des processus, procédures et politiques clairement documentées • Un périmètre minimal de « zones de risque » à couvrir : souscription, provisionnement, ALM, placements, liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque • Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents Fonction de conformité - contrôle interne (3.254 à 3.258) • Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication,…) • Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité de l’information financière et non-financière émise Fonction d’audit interne (3.276 à 3.279) • Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus • Exigence d’émission d’un rapport annuel sur son activité (plan d’audit fondé sur une approche par les risques) Fonction actuarielle (3.328 à 3.343) • Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré de fiabilité des modélisations (rapport formel) Dispositif de gestion de l’externalisation (3.376 à 3.382) • Obligation de s’assurer que l’externalisation ne dégrade ni la qualité de service ni l’exposition globale au risque opérationnel • Existence de processus et politiques formalisés et complets sur toutes les dimensions d’un projet d’externalisation (sélection, contractualisation, pilotage…)La lecture de ces dispositions révèle à l’évidence qu’il s’agit d’un « socle minimal » à respecter d’un point de vueréglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifiqueen fonction de sa taille, de son expertise et de la complexité de son profil de risque : c’est ce que la Directiveappelle le « principe de proportionnalité ». Pour autant, le respect de ce principe et la latitude de « marge demanœuvre » dont les différentes organisations pourront disposer reste aujourd’hui une question ouverte. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 11
  14. 14. Focus sur les mesures c) Les processus de gestion des Cas particulier de l’ORSAde niveau 2 risques doivent être appropriés et les procédures adaptées pour L’ORSA est un sujet majeur qui seraLe point 3.72 donne l’avis du identifier, évaluer, gérer, contrôler traité dans les mesures de niveau 3 aCEIOPS en matière d’efficacité d’un les risques ainsi qu’en matière de priori vers le troisième trimestre 2011système de gestion des risques et reporting. par l’EIOPA4. L’ACP devrait égalementpréconise les points suivants : apporter sa vision lors d’une conférence d) Les procédures de reporting des sur le Pilier 2, la gouvernance et l’ORSA a) La stratégie de gestion des risques doivent être appropriées. prévue au second trimestre 2011. risques doit être clairement définie Ces procédures doivent être et correctement documentée. Cette coordonnées et challengées par la Malgré l’importance de ce processus, stratégie doit annoncer les objectifs fonction de gestion des risques et sont l’article 45 n’est précisé dans aucun de gestion des risques et les principes activement contrôlées et gérées par texte relevant des mesures de niveau de gestion des risques clés, définir le toute instance appropriée. 2. Le CEIOPS a publié un « Issues « risk appetite » de l’entreprise, et enfin Paper » intitulé ORSA en 2008. décrire les missions et responsabilités e) Les reportings qui sont soumis aux de la fonction de gestion des risques instancespar la fonction de gestion Tel que présenté aujourd’hui, l’ORSA de manière transversale à l’entreprise des risques font référence aux risques est un processus qui oblige chaque et en accord avec la stratégie associés (potentiels ou avérés) à organisation à calculer et maîtriser ses commerciale. l’activité de l’entreprise et à l’efficacité risques, ainsi quà sassurer qu’elle est opérationnelle du système de gestion suffisamment capitalisée. Néanmoins, b) Les politiques de gestion des des risques. certaines caractéristiques méritent risques doivent être écrites d’être soulignées (figure 4) : et adaptées : elles incluent une f) Enfin, l’ORSA doit être adapté aux définition et une nomenclature des activités de l’entreprise. • L’ORSA est de la responsabilité de la risques portés par l’entreprise, les Direction Générale qui est en charge classant par type et par niveau des de son pilotage et de ses résultats vis- limites de risque acceptable. Elles à-vis du régulateur. devront implémenter la stratégie des risques, faciliter la mise en œuvre des mécanismes de contrôle et prendre en compte la nature, la portée (périmètre) et l’horizon de temps de lactivité et des risques associés.(4) IOPA : European Authority for nsurance and Occupational Pensions. E En janvier 2011, lEIOPA a remplacé le CEIOPS. 12 PwC
  15. 15. Figure 4 – Une représentation du système Stratégiede gestion des risques • Objectifs stratégiques • Allocation straté • Stratégie risque • Réassurance autres • Valorisation des scénarii couvertures stratégiques • Décisions de gestion • Utilisation du capital et • Horizon de projection des ressources fin. Analyse et évaluation des risques Gestion et pilotage de la solvabilité Processus de décision • Identification des risques • Bilan économique • Stress test scenario • Pilotage du profil de risque • Analyses quantitatives • Best Estimates • Fongibilité du capital • Pilotage et gestion de la solvabilité • Evaluation de la qualité des contrôles • Paramètres et • Evaluation des fonds • Tolérance appétit aux risques • Profil de risques hypothèses risque propres • Fréquence des évaluation • Politiques de gestion des risques • Qualification chiffrage • Réconciliation de ces • Support pour les décisions stratégiques des fonds propres évaluations • Documentation de la gouvernance des risques • Publications (Pilier 3) Environnement macro-économique • Environnement marco-économique • Contexte business • Risques émergents • Risques à long terme • Dispositif de suivi réglementaire • Evolution de l’environnement juridique • Tendances sociales...• L’ORSA est un processus documenté économique, risque politique…). • ’évaluation des risques dans le L de la gestion des risques qui doit être L’évaluation s’inscrit sur un horizon processus d’ORSA représente la présenté au superviseur à intervalle de trois à cinq ans et couvre tout vision « propre » de ses risques que régulier (au moins une fois par an) et le périmètre du groupe (toutes les peut avoir une organisation, au-delà dès lors que survient une modification entités européennes et celles hors de des modules de risque identifiés significative du profil de risque de l’Union Européenne qui sont sous sa dans le calcul du SCR : différence l’assureur. supervision). sur le nombre de risques retenus, sur la mesure des risques c’est-à-dire• Il fait partie intégrante de la • l permet à toute organisation de I sur l’intervalle de confiance selon gestion quotidienne de l’entreprise démontrer qu’elle est capable de lequel est calibrée la formule de (politique commerciale, stratégie mobiliser le capital nécessaire calcul. De plus, l’organisation peut d’investissement, gestion du capital, pour couvrir le besoin en marge utiliser une approche en formule croissance externe…). de solvabilité sur l’horizon de la standard ou un modèle interne pour planification stratégique (et non sur évaluer son exposition aux risques.• l fournit une approche holistique et I l’horizon d’un an utilisé pour le calcul La méthodologie employée doit être prospective pour gérer les risques : les du SCR). proportionnée à la complexité de risques servant à calculer le SCR et les l’activité de l’entreprise et à la nature autres risques (risque de réputation, des risques auxquels elle est exposée. risque stratégique, risque macro- La question qui se pose est de savoir comment implémenter des fonctions clés et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et compatible avec les pratiques du paritarisme. La Directive est très largement inspirée de concepts applicables au monde capitalistique : elle intègre a priori moins bien dans la valorisation du risque les caractéristiques de la gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de compensation et de rétrocession. Réunica Albert Cohen Directeur des Risques et de la Solvabilité Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 13
  16. 16. 1.4 Le COSO 2 - ERM Contexte la responsabilité des dirigeants ; le but étant de mettre en place et de Le référentiel COSO sur le contrôle maintenir une structure de contrôle interne a été élaboré dès 1991, interne adéquate pour létablissement et est aujourd’hui une référence de l’information financière. internationale utilisée par les entreprises qui souhaitent mettre Ce référentiel a émergé suite aux à niveau leur dispositif de contrôle scandales des années 2000 (Enron, interne. Depuis 2002, ce référentiel Parmalat, Worldcom…). Depuis s’est imposé comme le cadre de sa mise en place, il a évolué car les référence utilisé par les entreprises entreprises se sont rendues compte internationales pour évaluer que la stricte perspective du contrôle la conformité de leur structure interne était réductrice et ne permettait de contrôle interne avec la loi pas d’appréhender et maîtriser la Sarbanes-Oxley. Celle-ci oblige les totalité des risques encourus. Le dirigeants à évaluer chaque année le référentiel a donc été mis à jour en contrôle interne de leur entreprise 2004 pour donner naissance au « (propositions de la SEC, octobre COSO 2 – ERM ». D’une approche 2002, et de lASB, mars 2003). La visant à la maîtrise des opérations via loi Sarbanes-Oxley exige en outre la sécurisation par des activités de d’émettre un rapport engageant contrôle, le référentiel a été étendu à : • la vision de l’ensemble des types de risques auxquels une organisation peut faire face, • l’organisation des différentes « briques » à l’œuvre dans une gestion globale des risques, • l’intégration des résultats de la gestion des risques dans le management de l’activité. Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de management des 14 PwC
  17. 17. Figure 5 – Représentation du référentiel COSO 2 ns gie s tio res ité t ion a m té ra rm ciè or ra é fo n nf St Op In ina Co F Environnement de contrôle Stratégie des risques Définition des objectifs UNITE DE GESTION FILIALE FILIALE Profil de risque Identification des événements ENTREPRISE DIVISION Système de mesure Evaluation des risques Politique processus Traitements des risques Contrôle des risques Activités de contrôles Système de reporting Information et communication Décisions Pilotagerisques qui représentent ce qui est Ainsi bâti, le référentiel COSO 2 – Il est désormais possible d’appréhendernécessaire à leur réalisation. La relation ERM est la structure qui supporte les l’ERM comme un processusest illustrée par une matrice en trois grands concepts utilisés par la totalité opérationnel, établi à partir du COSO 2,dimensions, le fameux « cube COSO ». des acteurs de la gestion des risques : fournissant aux décideurs (managers, stratégie risque, appétit aux risques, administrateurs) une assurancePrésentation profil de risque, dispositifs de mesure raisonnable sur la maîtrise des risques des risques, reporting des expositions… effectivement pris au regard desLes quatre grandes catégories d’objectifs objectifs stratégiques, dans le cadrede l’organisation – stratégiques, Le référentiel a pour objectif principal d’une appétence globalement définie.opérationnels, reporting et conformité de permettre une intégration Il facilite la gestion des incertitudes– sont représentées par les colonnes, des informations émanant de la des activités, la gestion des risques etles huit « blocs » de la gestion des gestion des risques aux processus des opportunités, l’identification desrisques par les lignes et les unités décisionnels et stratégiques de événements pouvant être à l’originede l’organisation par la troisième l’entreprise. Toute entreprise est à de risques, ainsi que la définition desdimension. Cette représentation illustre même, en suivant ces préconisations, solutions de contrôle interne adaptées.la façon d’appréhender la gestion des de piloter sa performance (selon lesrisques dans sa globalité ou bien par critères qu’elle définit de manièrecatégorie d’objectifs, par élément, autonome et spécifique) au regardpar unité ou en les combinant. du niveau de risque qu’elle prend pour atteindre ses objectifs. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 15
  18. 18. Le risque étant l’essence même • la dimension stratégique : commentdu métier de l’assurance, on les instances de décision intègrent-comprend immédiatement l’utilité elles le risque dans leur processus,d’un tel référentiel qui intègre : comment fixent-elles le cadre de prise de risque de l’entreprise (ce qui est• la définition des objectifs stratégiques autorisé dans la poursuite des objectifs par les instances de décision, / ce qui est redouté voire interdit) ?• l’identification des risques résultant • la dimension organisationnelle : quelles des efforts de l’organisation pour sont les fonctions intervenant dans atteindre ces objectifs – le risque la gestion des risques, quels sont les s’entendant aussi bien par menace processus permettant cette gestion, sur l’atteinte des objectifs que comme et pour les entreprises d’assurance opportunité à poursuivre pour en comment ces analyses sont liées aux faciliter leur réalisation, exigences de solvabilité,• la mise en place d’un dispositif • la dimension opérationnelle : performant de pilotage des comment l’organisation se dote-t-elle expositions à ces risques, des outils de mesure des risques, des ressources à même d‘exploiter ces• l’information et le reporting des outils de manière satisfaisante, et expositions aux responsables ad hoc. quels sont les circuits de remontée de ces informations ?Cette intégration du risque dansles processus de pilotage passe parune « diffusion » de la gestion desrisques dans l’ensemble des niveauxhiérarchiques et processus del’entreprise. Le dispositif sera doncaligné avec le modèle organisationnelde l’entreprise, et distinguera descomposantes liées à : 16 PwC
  19. 19. Conclusion del’approche normative Le COSO 2 – ERM, conçu comme un Mais comment interpréter, adapter et référentiel standard et opérationnel, appliquer d’une manière opérationnelle fournit donc les éléments et la démarche ces référentiels au sein de chaque globale d’un processus de gestion des organisation ? C’est le grand défi risques. La réglementation Solvabilité du Pilier 2 que d’affiner, calibrer et 2, et plus particulièrement le Pilier 2, décliner en fonction des spécificités va obliger les assureurs à préciser les de chaque business, de chaque fonctions impliquées dans leur gestion entreprise et de chaque culture le des risques et intégrer l’évaluation des dispositif de gestion des risques. risques et de la solvabilité au pilotage de leur entreprise sur un horizon de trois à cinq ans au travers de lORSA. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 17
  20. 20. 2. Mise en œuvreopérationnelle 18 PwC
  21. 21. Introduction Toutes les organisations n’attribuent Nous allons identifier les facteurs pas la même importance à la gestion clés pour les trois dimensions du des risques. Il est donc naturel que leurs programme de mise en conformité : choix divergent face à l’investissement important que représente aujourd’hui • ’organisation générale de l la mise en place d’une « filière la « filière risque », risque » conforme aux principes et aux contraintes réglementaires de • la mise en place du processus Solvabilité 2. Or c’est bien cet arbitrage, de gestion des risques, réalisé au niveau de la direction générale et en lien avec la stratégie • le pilotage des chantiers globale de l’entreprise, qui est très transversaux les plus importants. difficile à réaliser et à objectiver. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 19
  22. 22. 2.1 Lorganisation généralede la « filière risque »Organiser une filière risque au sein sa conception toute l’attention de tous pour toute la « filière risque », étantd’une entreprise disposant d’un long les acteurs concernés, et en premier entendue comme l’ensemble deshistorique en matière de processus, lieu celle de la direction générale. fonctions, processus et instancesd’expertises, d’habitudes, de cultures concourant au pilotage des risques.et d’instances de décision constitue un Si la « nouveauté » principale consisteprojet complexe de transformation. la plupart du temps à mettre en Organiser une telle filière nécessite deCompte-tenu de l’étendue des place ou développer une fonction répondre à cinq questions majeures :changements qu’il implique et de de gestion des risques, les projetsl’ancienneté de certaines pratiques qu’il Solvabilité 2 conduisent aujourd’hui àconduit à faire évoluer, il demande dès définir des schémas organisationnels Figure 6 – La mise en place de la « filière risque » • Quels sont les «blocs» organisationnels regroupés sous le périmètre Quels blocs organisationnels de la fonction de gestion des risques : risk management ? Actuariat ? 1 dans le dispositif ? Conformité ? Sécurité des SI ?... • Quelles sont les fonctions ayant un rôle clé dans la gestion des risques ? Quel périmètre pour 2 • Quelles sont leurs responsabilités (contrôle, pilotage, reporting…) ? la fonction Risque ? • Quelle est l’articulation des prérogatives entre les fonctions Risque Quelle articulation entre centrales et locales, notamment dans les implantations à l’étranger ? 3 les différentes fonctions ? • Quelles sont les règles de délégation à mettre en place ? • Comment répartir concrètement les responsabilités entre la fonction Quel niveau de centralisation de gestion des risques et les fonctions métier sur les risques clés 4 pour la fonction Risque ? (ALM, investissements, technique…) ? • Quels sont les indicateurs fondamentaux guidant le pilotage du 5 Quels indicateurs ? couple performance / risque (ROE, SCR, MCEV…) ? Quels sont les critères d’objectivation du risk appetite ?Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu’elles soient réglementaires(Solvabilité 2), externes (notation…) ou internes (ambitions, organisation…). 20 PwC
  23. 23. 2.1.1. Les « blocsorganisationnels »du dispositif Il est primordial de reconnaître Le modèle des « 3 lignes de défense et de délimiter le périmètre des » fournit un référentiel utile pour fonctions impliquées dans la gestion l’articulation de ces différentes des risques. En effet, celle-ci n’est fonctions et prérogatives. pas uniquement une affaire de spécialistes et sa gestion concerne • Ce modèle considère que les risques tous les niveaux de l’entreprise. Le sont pris en premier lieu par les dispositif doit reconnaître qu’à ces opérationnels et leur hiérarchie sur le différents niveaux correspondent terrain, dont les pratiques et processus des prérogatives différentes : de maîtrise des risques constituent donc la « 1ère ligne de défense ». • rise de risque opérationnelle p • coordination de la prise de risque • La « 2nde ligne de défense » est tenue • upervision de la prise de risque. s par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité). • L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l’entreprise fournit une « assurance raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la « 3ème ligne de défense ». Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 21
  24. 24. Figure 7 – Les trois lignes de défense 1° ligne de défense 2° ligne de défense 3° ligne de défense - ctuariat / Dir. A Toutes fonctions (SI, RH, Technique - ALM / Dir. - Gestion des risques Périmètre Finance, Production,…) Investissements - ontrôle interne, C Audit interne - utres A conformité… (s uscription,…) o Principes et N/A Propose Revoit et valide / Propose normes Mise en œuvre Applique Propose / Applique Coordonne / Applique Réalise des revues indépendantes et a Contrôles Applique / Propose Applique / Propose Supervise, consolide, posteriori sur : analyse - a pertinence des L dispositifs Reportings Produit Produit / Analyse Consolide, analyse, pilote - Leur correcte application Plans d’action Applique Propose / Applique Valide et pilote / Applique rôle de coordination / rôle opérationnelSur cette base, les entreprises La mise en œuvre de ces principes • L’audit interne a un rôle particulierdéfinissent généralement des grands se heurte souvent à 2 difficultés : dans le dispositif, et s’avère souventprincipes d’articulation entre les difficile à positionner. Les textes dedifférentes « strates » de la prise de • La fonction de gestion des risques peut Solvabilité 2 insistent fortement sur lerisque, comme illustré ci-dessus. avoir des responsabilités différentes caractère indépendant de cetteLe schéma organisationnel définit en fonction des types de risque : fonction. Ses ressources doivent êtrele plus souvent les responsabilités généralement coordinateur, elle peut déchargées de toute autretout au long des étapes du processus prendre une responsabilité directe sur responsabilité opérationnelle. Parde gestion des risques. certains domaines, comme le risque ailleurs, selon les normes de l’IIA 5 son opérationnel. Ces spécificités sont objectif est de fournir de manièreCes principes serviront ultérieurement abordées dans l’analyse du indépendante une « assurancede référence dans les attributions positionnement de cette fonction raisonnable » au management quant àprécises des rôles et responsabilités dans (cf. infra). la pertinence, la qualité et la correctela gestion des risques du profil de risque. application du dispositif de gestion des risques. On comprend bien alors pourquoi cette fonction doit être indépendante afin de pouvoir spécifier sa propre approche (basée sur sa perception des risques) ainsi que de formuler des recommandations libres de toute influence extérieure. (5) IIA : Institute of Internal Auditors 22 PwC
  25. 25. 2.1.2. Le périmètrede la fonction RisqueNous l’avons vu, Solvabilité 2 fait La première concerne le périmètre • De ce fait, elle élabore un véritablede la fonction Risque le pivot et le des risques que doit identifier outil de management en alliant lachef d’orchestre du dispositif risque. ce profil des risques : vision « risque » des intervenantsLa réglementation fixe en effet des opérationnels (approche « Bottom-up »responsabilités et un périmètre de • Il doit couvrir a minima les modules visant à l’exhaustivité durisques minimaux sur lesquels cette de risque structurant les calculs de recensement) et celle des dirigeantsfonction est référent. Dans le cas où besoins de fonds propres, que ceux-ci (approche « top-down » visant à lal’entreprise utilise un modèle interne, soient évalués via la formule standard pertinence et à la priorisation deselle a en charge la conception, les ou un modèle interne : souscription, investissements en matière de risque).tests, la mise en œuvre et le suivi de marché, taux, opérationnel…la performance du modèle retenu, Pour finir, elle s’assure pour l’ensemblequ’il soit partiel ou total. Il est donc • Il ne se limite cependant pas à ces des éléments de ce profil de risquenaturel que la plupart des entreprises seuls risques, trop réducteurs pour priorisé qu’un dispositif opérationnel decommencent les chantiers du Pilier restituer une image fidèle du profil de gestion et de pilotage est effectivement2 par la mise en place ou la revue du risques réel. La fonction Risque doit en place. Chacun de ces risques doitpositionnement de cette fonction. donc identifier les autres risques qui être attribué à un propriétaire deCette fonction prend donc en charge sont propres à l’organisation, en risque, porteur de l’expertise la plusle pilotage de l’ensemble du processus prenant en compte l’ensemble de ses poussée disponible dans l’organisationde gestion des risques (cf. supra), filiales et métiers (non nécessairement sur ce sujet : l’actuariat pour les risquesmême si elle ne réalise pas directement assurantiels). de souscription, de contrepartie aul’ensemble des opérations, analyses ou passif et de réassurance, la gestioncalculs nécessaires à ce processus. La fonction Risque doit par ailleurs d’actifs pour les risques de marché garder à l’esprit que le profil de risque ne et de crédit… Cette attribution estLe référent pour l’élaboration du peut consister en un simple inventaire la première brique pour permettreprofil de risque de la totalité des risques avérés ou la mise en place d’un dispositif de potentiels : gestion des risques effectivementLorsqu’elle se met en place, une fonction opérationnel. Les composantes duRisque a pour première tâche d’identifier • A partir de ses analyses et des points processus de gestion des risques sontles risques auxquels l’organisation est de vue qu’elle collecte, elle priorise les reprises en partie 2 ci-dessous.exposée. Cette identification constitue le risques devant faire l’objet d’un suivi.préalable à tous ses travaux. Si la réalité Sa valeur ajoutée à ce stade repose surdes risques effectivement encourus sa capacité à proposer une liste réduiteest spécifique à chaque entreprise, de risques pour lesquelsl’élaboration du profil de risque obéit l’investissement dans un dispositif denéanmoins à quelques bonnes pratiques. mesure, suivi et pilotage permanent se justifie au regard des objectifs business. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 23
  26. 26. Une fonction en pleine évolution Les entreprises évoluentsous l’influence de Solvabilité 2 progressivement sur la courbe de maturité de l’ERM entre ces 2Au-delà de cet aspect technique, les pôles. Au fur et à mesure de cetteorganisations positionnent d’abord la progression, la fonction Risquefonction Risque en faisant évoluer son évolue dans son positionnement :« droit de regard » sur les décisionsopérationnelles. Cette notion • Son rattachement hiérarchique tend àrecouvre l’étendue des prérogatives remonter. On observe actuellementde cette fonction sur les processus, une vague très cohérente depolitiques et opérations de prise de repositionnements des fonctionsrisque pour lesquels elle ne constitue Risque, rattachées de plus en pluspas l’expert de référence. Dans les systématiquement à la directionfaits, les interventions de la fonction générale, marquant la prise en compteRisque sont en ligne avec la priorité croissante des enjeux de risque dans lestratégique accordée au risque : pilotage des entreprises d’assurance.• Une entreprise peut avoir une approche conservatrice du risque : sa • Le rôle du directeur des risques priorité est alors de ne pas évolue. Souvent perçu initialement compromettre les protections offertes comme un cadre à orientation aux assurés et sécuriser la conservatrice et technique, il a performance. Dans ce cas, la fonction vocation à se positionner de plus en Risque aura généralement pour plus comme un « Business Advisor » fonction de conseiller les responsables auprès des instances de décision. Sa opérationnels sur la maîtrise de leurs compréhension unique des risques processus et des risques associés. Elle pris par l’entreprise et de leurs n’aura pas (ou peu) de latitude pour interactions lui permettent de fournir bloquer les processus de décision. un conseil pertinent sur les modalités de création de valeur.• Une entreprise peut aussi décider de fonder sa création de valeur sur le • Les fonctions Risques, initiées autour pilotage des risques qu’elle prend et de des impératifs réglementaires leur impact sur ses variables successifs (lutte anti-blanchiment, stratégiques : MCEV, capitalisation lutte anti-fraude,…) évoluent vers des boursière, capital économique… Dans organisations plus professionnalisées, ce cas, la fonction Risques devient un le plus souvent structurées par types acteur clé dans les décisions de risque (opérationnels, techniques, opérationnelles : elle est partie capital économique…). prenante intégrale de ces processus, est consultée pour toute décision importante et émet alors un avis formel. Elle dispose éventuellement d’une possibilité de blocage (qui nécessite de prévoir un processus d’arbitrage). Ces entreprises utilisent quasi systématiquement un modèle interne, qui est intégré dans les processus de décision stratégiques et opérationnels. 24 PwC
  27. 27. « La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2, va nécessiter une plus grande coordination entre tous les acteurs participant à la gestion des risques tout en s’appuyant sur les règles de gestion existantes, règles qui devront être renforcées à la marge. La discipline qui va en découler va permettre de faire émerger des opportunités de croissance et de renforcement de la relation avec nos clients tout en garantissant à tous (employés, actionnaires, clients…) un meilleur contrôle des risques et de ses impacts sur la structure de l’entreprise. Groupe Euler Hermes Ronan Davit Directeur des risques2.1.3. L’articulationdes différentes fonctionsimpliquées dans la gestiondes risquesUne fois le profil de risque arrêté, Si le modèle des 3 lignes de défense • Définir précisément les rôles etl’enjeu pour la fonction Risque est illustré précédemment fournit un responsabilités de chacun dans lede promouvoir la mise en place d’un cadre général en ce sens, cette mise processus. Un point d’attentiondispositif risque s’appuyant sur des en cohérence doit être déclinée particulier est à apporter à la capacitéprocessus de décision clairs et partagés. précisément pour chacun des risques de blocage des fonctions supportLa fonction Risques dispose pour du profil. Il est alors nécessaire de : (typiquement, la fonction Risque) parcela de deux leviers principaux. rapport aux fonctions opérationnelles • Cartographier les fonctions légitimes concernées, et définir ainsiLa définition des rôles et dans la prise en charge dun risque précisément cette notion de « droit deresponsabilités sur les principaux donné : métiers, support, direction ou veto » sur les décisionsrisques gouvernance… opérationnelles. Notons que la définition de ce droit de blocage doitPour cela, la fonction Risque part de • Localiser dans l’organisation s’accompagner de la mise en placesa formalisation du profil de risque l’expertise clé en matière de gestion de d’une procédure claire d’arbitrage enet pilote l’articulation des rôles et ce risque (en général, il s’agit du cas de désaccord entre la direction desresponsabilités pour chacun des propriétaire du risque identifié lors risques et la direction métierrisques qu’elle y a inscrit. La difficulté des phases amont de mise en place du concernée.principale repose dans la diversité et dispositif).l’hétérogénéité des intervenants. Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 25
  28. 28. Utiliser une matrice des rôles et des responsabilités, telle que présentée dansl’exemple ci-dessous, permet de formaliser aisément cette répartition des rôles.Figure 8 – Une matrice des rôles et des responsabilités pour la gestion desinvestissements Gestion des investissements Conseil d’administration (via le comité des risques) : responsabilité de supervision Responsable globale (responsabilité en dernier ressort) Direction générale : validation et pilotage de la politique de placements Acteur Direction des Investissements : propose à la validation les orientations de (pilotage de la mise en œuvre l’allocation stratégique, définit les modalités d’allocation tactique, réalise le suivi. opérationnelle) Consulté Direction des Risques : émet un avis au regard de l’exposition globale du Groupe (avis sollicité de façon et de son niveau de solvabilité selon l’exposition de l’entité considérée aux risques de systématique, publié et pris en marché. Si avis contraire, arbitrage en comité exécutif. compte dans la décision) Informé Service Trésorerie (Direction Financière) : informé de l’ensemble des évolutions de (modalités de gestion la politique de placements. communiquées régulièrement)La mise en place d’une L’organisation de la décision est • Prioriser les types de risque pourarchitecture de prise de décision bien entendu propre à la culture lesquels des instances de pilotage de chaque entreprise et fonction formelles et régulières sontLe dispositif de gestion des risques de son niveau d’avancement sur la nécessaires. Au regard de ces priorités,le mieux conçu ne sera efficace et « courbe de maturité » de l’ERM. l’entreprise formalisera lesperformant que s’il est accompagné d’un Néanmoins, la revue ou la mise en responsabilités attendues de chaquedispositif d’application opérationnelle place de l’architecture de décision niveau organisationnel (supervisiondes décisions. Il s’agit de garantir que passe par quelques étapes clés : globale, définition des pratiques, suivid’une part, l’ensemble des informations et reporting…).utiles remontent à temps aux niveaux • Définir les niveaux organisationnelshiérarchiques appropriés et que clés en matière de décision risques. • Concevoir les instances de décision add’autre part, ces instances examinent Ces niveaux sont souvent ceux des hoc à chaque niveau : type de comité,les problématiques et prennent les principales strates décisionnelles de membres, attributions, modalités etdécisions nécessaires. L’entreprise est l’entreprise (comité de direction, droits de vote, fréquence de réunion.alors à même de piloter ses expositions fonctions clés dans la prise de risque,aux risques de manière continue et de exécutants…) et sont définis enréagir rapidement en cas de déviation cohérence avec les rôles etinattendue de son profil de risque. responsabilités identifiés pour chaque type de risque du profil de risque. 26 PwC
  29. 29. La comitologie peut ainsi s’organiser de manière cohérente au sein del’entreprise, comme illustré dans l’exemple indicatif ci-dessous :Figure 9 – Matrice des rôles et responsabilités Marché Crédit Souscription Opérationnel Comex Comité des risques Comité d’Investissement Comité Preneurs Contrôle de risque Comité de Souscription Interne Reporting Comité ALM Reporting Reporting MitigationLe nécessaire lien entre la gestion Initialement, beaucoup d’entreprises stade, ces réflexions ont été initiées maiset le contrôle des risques d’assurance ont engagé des démarches ne semblent pas avoir été complètement de cartographie des risques un peu arbitrées par les entreprises d’assurance :Une des leçons principales de la crise lourdes car fondées sur un niveau de le risque opérationnel, très difficile àfinancière est qu’une gestion des risques détail très granulaire. Ces démarches appréhender, est totalement spécifique àperformante nécessite un dispositif ont cherché à identifier et maîtriser chaque organisation et ne fait pas l’objetcohérent, garantissant une articulation les risques spécifiques à certains de définitions précises dans Solvabilitéopérationnelle réelle entre : processus ou domaines opérationnels 2. Les calibrations du SCR au titre du : fiabilité des processus d’information risque opérationnel aboutissent d’ailleurs• d’une part, la définition de politiques financière (projets SOX), sécurité des à une charge minime en fonds propres, et processus risque pertinents systèmes d’information, lutte contre la n’incitant pas ou peu à investir dans un (essentiellement du ressort de la fraude ou le blanchiment d’argent… dispositif poussé de maîtrise de ce risque. direction des risques), Ces réflexions conduisent les entreprises• et d’autre part, la correcte application à mener des travaux spécifiques sur la de ces politiques et processus par les maîtrise du risque opérationnel. Il s’agit acteurs concernés (fonctions en effet de la mission première du contrôle opérationnelles, contrôle interne…). interne (ou contrôle permanent) : assurer la correcte maîtrise des processus et opérations de l’entreprise et la fiabilité des informations produites par l’entreprise, quelles soient financières ou non. A ce Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 27
  30. 30. Un certain nombre d’acteurs du Cadrage du dispositif demarché initie actuellement des risque opérationnel.démarches spécifiques à l’analyse durisque opérationnel et à l’articulation • Dans un premier temps, l’effort serisque – contrôle. Parmi les pistes porte sur ce que recouvre cette notion.actuellement envisagées, les Il ressort généralement de cesprincipales sont les suivantes : analyses que le risque opérationnel recouvre tout élément compromettantRegroupement progressif des l’atteinte des objectifs des processusfonctions risque et contrôle opérationnels (voir la nomenclaturesous une unique responsabilité définie en ce sens par Bâle 2), ou(majoritairement, le encore toute élément compromettantdirecteur des risques). la correcte application des politiques de risques définies par l’entreprise.• Cela permet de donner une meilleure Certaines organisations sont allées cohérence entre des initiatives parfois plus loin : face à la volumétrie trop déconnectées auparavant. Ces importante des risques opérationnels, réflexions sont souvent concentrées elles ont priorisé les domaines sur la problématique de la fonction de d’exposition critiques et concentré conformité : s’agit-il d’un sujet piloté leurs efforts de déploiement des par les acteurs du juridique dispositifs de maîtrise sur ces quelques (réalisation de la veille domaines. réglementaires) ou du contrôle interne (diffusion des dispositions légales Modélisation du risque dans les processus opérationnels) ? opérationnel. Nous observons une tendance assez nette en ce sens à (i) nommer un • Certaines entreprises ont mis en place responsable conformité, chargé de des dispositifs de collecte de données définir les principaux enjeux de la liées aux pertes opérationnelles. Ces conformité pour l’entreprise et dispositifs permettent d’évaluer coordonner l’application des l’exposition réelle de l’entreprise aux dispositions juridiques applicables en pertes opérationnelles, de la matière tout en (ii) maintenant la dimensionner de manière plus responsabilité de la veille juridique au cohérente leur dispositif de maîtrise, niveau de la direction juridique, mais voire de réaliser des économies en en créant une instance de besoins de fonds propres. Il reste coordination à fréquence régulière toutefois que pour être efficace, ce entre ces deux acteurs. D’une manière dispositif doit être cadré (par exemple, générale, les entreprises tendent à en définissant clairement ce qu’est une mettre leur fonction de gestion des perte opérationnelle et à partir de risques en mesure de superviser à la quelle valeur de seuil on collecte les fois la pertinence de leur cadre ERM et montants des pertes) et profiter d’une la correcte application des dispositions profondeur historique importante. On qu’il met en place. estime que les résultats deviennent significatifs au bout de trois à cinq ans de collecte. Les assureurs sont donc encore peu avancés en matière conceptuelle sur la modélisation de ce risque. 28 PwC
  31. 31. 2.1.4. Le degréde centralisationde la fonction Risque Les groupes d’assurance sont confrontés juridiques. Elle définit éventuellement à une difficulté opérationnelle majeure un principe de subsidiarité réglant les concernant le périmètre opérationnel marges de manœuvre des entités, qui de la fonction Risque. Comment celle- disposent dans ce cas d’un ci intègre-t-elle dans ses analyses « correspondant risque ». Dans tous les et processus des entités et activités cas, la fonction Risques est amenée à diverses et non nécessairement animer un fonctionnement en réseau. assurantielles (gestion pour compte de régimes de retraite complémentaires • Les groupes ont tendance à imposer à ou de sécurité sociale, services l’ensemble de leurs entités de soins et d’accompagnement, assurantielles des principes et participations stratégiques…) ? schémas de reporting cohérents, définis et pilotés centralement. Ceci Si la plupart des organisations sont est particulièrement vrai pour les encore en recherche du bon niveau groupes internationaux disposant de d’efficacité dans l’articulation du filiales ou entités étrangères exerçant dispositif Risque entre les différentes dans des pays non soumis à Solvabilité entités d’un groupe, quelques bonnes 2. Dans ce cas, un double reporting est pratiques émergent néanmoins : le plus souvent choisi : maintien du reporting inspiré des normes • L’organisation de la « filière risques » prudentielles locales, envoi d’un au sein du groupe est alignée sur la reporting risque normalisé (souvent structure organisationnelle et selon un « format Solvabilité 2 ») au décisionnelle en place. Dans un groupe. groupe très décentralisé, les différentes entités ou filiales disposent souvent d’une fonction Risque locale, rattachée hiérarchiquement à leur direction générale mais reliées fonctionnellement à la direction des risques du groupe. Dans un groupe plus centralisé, la direction des risques du groupe supervise les entités Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 29

×