Gérer les risques sous Solvabilité 2

Dan Chelly

Directeur métier « risk mana-gement » de la société de conseil en actuariat et gestion des risques Optimind Win-ter, il est expert en gestion qualitative des risques. DESS Banque-Assurance de Paris-Dauphine et certifié ARM54. Il a été Directeur des risques opérationnels groupe d’une banque et accompagne depuis 2008 des assureurs. Enseignant à l’ENASS, il est également jury du CEFAR (Certificat de l’AMRAE).

Gildas Robert

Senior manager au sein d’Optimind Winter et prac-tice leader Solvabilité 2, il est actuaire membre qualifié de l’Institut et diplômé expert Enterprise Risk Management. Fort d’une expérience de 8 ans dans l’actuariat conseil, il accompagne les organismes d’assurances sur les trois piliers de Solvabilité 2.

Avec les contributions de Laurence Basset, Emmanuel Berthelé, Anne-Florence Destombes, Kevin Ebangue, Maxime Moreau, Sarah Porel, Manuel Pringault.

Gérer les risques sous Solvabilité 2

Dan Chelly • Gildas Robert

L’analyse par les risques est le fondement de la réforme du régime prudentiel issu de la directive Solvabilité 2. Dans ce cadre, pour être à même de développer leur activité économique et répondre à leurs nouvelles exigences prudentielles, les organismes d’assurances doivent savoir gérer les risques auxquels ils s’exposent. D’autant plus que la maîtrise de ces derniers, source de sécurité mais aussi d’opportunités sur un marché concurrentiel, s’incorpore désormais directement dans leur stratégie d’entreprise.Ainsi, la gouvernance, assise sur le pilier 2 de la directive européenne, doit s’appuyer sur une approche opérationnelle du risque. C’est pourquoi l’ouvrage aborde les différentes acceptations du risque, les concepts de l’ORSA (Own Risk and Solvency Assessment), de la gestion transverse et du profil de risques, ou encore le processus de reporting systématisé auprès des organes d’administration, de gestion ou de contrôle. À vocation pratique et pédagogique, l’ouvrage intègre de nombreuses infographies, focus, exemples et idées clés.


LesEssentiels

LesEssentiels9 782354 741303

prix ttc : 29 E

Gér

er le

s ris

ques

sou

s So

lvab

ilité

2

Sommaire

www.argusdelassurance.com 7

Introduction .................................................................................................................. 5

1. Appréhender la notion de « risque » ..................................................................... 9 Qu’est ce que le risque ? ................................................................................................9

L’appréhension du risque ? .......................................................................................14 Les démarches de gestion du risque ....................................................................18

Les spécificités du risque dans le secteur de l’assurance ...............................23

2. Le cadre réglementaire de Solvabilité 2 ................................................... 29Le besoin de réglementation prudentielle .......................................................29Les risques sous Solvabilité 2 ....................................................................... 34Le cadre réglementaire de l’ORSA ..................................................................41Les impacts de Solvabilité 2 pour la gestion des risques dans l’assurance ... 44

3. Mise en œuvre opérationnelle d’une gestion transverse des risques . 47Les grandes étapes de la déclinaison opérationnelle ..............................47 Quelle organisation pour mettre en œuvre une gestion transverse des risques ? ............................................................................................. 53En pratique, qui fait quoi ? ........................................................................61

4. La détermination du profil de risques ............................................. 65L’identification des risques .......................................................................65La quantification / évaluation des risques : mise en œuvre opérationnelle ...75Modèle ORSA : comment évaluer les risques ? ...................................... 84

5. Définir et mettre en œuvre une stratégie de gestion des risques .. 87Vue d’ensemble des principes d’appétence, de tolérance et de limite .. 89 Principes d’abandon, de réduction, d’acceptation, de financement et de transfert du risque .............................................................................91Mise en œuvre opérationnelle ................................................................... 94

Les spécificités pour les groupes ............................................................ 104

6. Processus de revue systématisée des risques et de la solvabilité .. 107Processus de suivi des risques ....................................................................107

Les processus stratégiques ...........................................................................112Exemple concret du lancement d’un nouveau produit ...................................118

Le reporting ORSA ............................................................................................. 122

Index alphabétique .............................................................................................125

www.argusassurance.com 87

Dès lors que le profil de risques a été établi, le dispositif de gestion des risques doit conduire à la définition et à la mise en œuvre d’une stratégie de gestion des risques. Nous verrons dans cette partie ce que recouvre une telle stratégie et comment celle-ci peut être constituée puis déclinée dans toute l’entreprise.Pour être optimale, la définition d’une stratégie de gestion des risques doit être effec-tuée d’une façon coordonnée et collaborative au sein de l’assureur. Dans le cadre de l’établissement du profil de risques, cette approche permettra de recueillir un maxi-mum d’informations. La mise en œuvre de la stratégie – une fois établie par les ins-tances dirigeantes – sera déclinée strates par strates : à chaque niveau hiérarchique correspond une étape de la stratégie.La gestion des risques fait ainsi intervenir l’ensemble des acteurs de l’entreprise d’as-surance, du top management aux différents propriétaires de risques. Ces derniers peuvent être définis de manière simple comme les personnes ou services en charge de la gestion opérationnelle des différents types de risques, notamment :- les directions commerciales et la direction technique pour les risques de sous-

cription ;- la direction des investissements et la direction ALM pour les risques de marché ;- l’ensemble des directions opérationnelles pour les risques opérationnels.La vision annuelle présentée dans le schéma proposé ci-dessus intègre 2 étapes majeures :- la mesure du profil de risques, étape préalable consistant principalement en la

mise à jour en continue de la cartographie des risques et la mesure agrégée des contributions des différents risques au profil de risques.

- la déclinaison de la stratégie des risques, étape de définition et de mise en œuvre opérationnelle de la stratégie de gestion des risques, incluant la défi-nition de l’appétence aux risques et sa déclinaison en tolérances et limites de

Définir et mettre en œuvre une stratégie de gestion des risques

www.argusdelassurance.com88


risques. Cette étape inclut notamment la définition des seuils d’alertes et des procédures à suivre en cas de dépassement des limites de risques définies. Cette étape sera d’autant mieux réussie que l’ensemble des strates concer-nées auront été sollicitées lors de la mesure du profil de risques.

Une fois le profil de risques établi, l’organe dirigeant doit définir sa stratégie par rap-port aux risques. Ainsi, à chaque décision de pilotage (ex : lancement d’un produit, changement de stratégie ALM), l’entreprise mesure l’impact potentiel sur son pro-fil de risques et la cohérence entre le niveau de risque supplémentaire auquel elle s’expose en comparaison des gains attendus. L’ORSA définit un macro-processus d’aide à la décision.La déclinaison annuelle de la gestion des risques doit répondre aux principaux objec-tifs de l’entreprise à court, moyen et long terme, notamment :- la pérennité de l’entreprise ;- le respect des normes réglementaires ;- la maximisation du rendement pour les actionnaires.

La déclinaison annuelle de la stratégie de gestion des risques

Le respect de ces objectifs passe par la définition et le respect d’objectifs intermé-diaires pouvant être plus quantitativement suivis, comme par exemple :- l’évolution des encours ou des effectifs du portefeuille clients assurés afin d’as-

surer la pérennité de l’entreprise ;- l’évolution des fonds propres de l’entreprise sur lesquels pèsent les contraintes

réglementaires ;- l’évolution des marges de l’entreprise afin de maximiser le rendement servi aux

actionnaires, ou l’optimisation du niveau des prestations et/ou des cotisations pour les adhérents d’une mutuelle.

Il est donc dès à présent important de noter que la gestion des risques en assurance participe à la réalisation, à des horizons potentiellement différents, d’objectifs mul-tiples pouvant être quantifiés.



1. Vue d’ensemble des principes d’appétence, de tolérance et de limite

1.1 L’appétence au risque L’appétence au risque est le niveau de risque agrégé qu’une entreprise dans son ensemble accepte de prendre en vue de la poursuite de son activité et de son déve-loppement.L’appétence au risque définit le niveau de risque agrégé que l’entreprise accepte de courir dans son ensemble. Pour chaque décision de pilotage, cette appétence au risque sera répartie entre les différents facteurs de risques identifiés en définissant la tolérance au risque, c’est-à-dire le niveau maximum de risque accepté dans chacun de ces facteurs. Avant chaque décision stratégique, le profil de risques induit doit être établi afin de vérifier que l’appétence au risque est toujours respectée.La gestion du risque est au cœur du métier de l’assurance. La réglementation et les procédures internes de suivi mises en place établissent les limites et les champs d’application de chacune des activités liées à l’entreprise. L’ORSA propose de généraliser les notions de gestion quantitative et qualitative des risques via une vision agrégée pour l’ensemble de l’entreprise. Cette vision globale se définit par l’appétence au risque de l’entreprise. La définition de l’appétence au risque est sous la responsabilité du top management de l’entreprise et représente un arbitrage fort entre les différents objectifs poursuivis par l’entreprise. Elle constitue donc un outil de pilotage qui correspond à la fois à un objectif et une contrainte dans la stratégie de l’entreprise. Pour la mettre en œuvre, il convient de définir les acteurs et les parties prenantes ainsi que les modalités de mesure et de définition de l’appétence.

Pour une entreprise ayant objectivé son résultat IFRS et l’évolution de ses fonds propres, l’appétence déclarée peut par exemple s’exprimer comme suit :- Résultat_IFRS@Risk (95%) = 25 % : le Résultat_IFRS@Risk (95%) représente la variation maximale du résultat IFRS pour un intervalle de confiance de 95 %. Dans le cas présent, le résultat IFRS doit être supérieur à 75 % du résultat budgété dans 19 cas sur 20.- SCR < 1 Md€ : le SCR est équivalent à une NAV@Risk (99,5%) et permet d’intégrer les contraintes liées aux risques extrêmes sur 1 an. Ici, la contrainte est d’avoir un SCR inférieur à 1 milliard d’euro sur l’année à venir. [NAV : Net Asset Value].



1.2 La tolérance au risqueLa tolérance au risque est le niveau de risque maximum alloué à chaque catégorie de risque à laquelle l’entreprise est prête à s’exposer afin de réaliser ses objectifs stra-tégiques, tout en respectant le cadre prédéfini d’appétence au risque de l’entreprise.Chaque entreprise fait effectivement face à des risques divers et variés qu’il convient de segmenter par catégories. Celles-ci sont identifiées par l’assureur au sein de la cartographie des risques établie lors de la définition du profil de risque.La définition des tolérances consiste donc à établir la contribution attendue de chaque facteur de risque à l’appétence de l’assureur. C’est la première étape de déclinaison de l’appétence en permettant un suivi de chaque risque par les directions propriétaires des risques.La définition des tolérances sera le résultat d’un mécanisme complexe. Tout d’abord, les tolérances au risque doivent être déterminées en tenant compte de l’effet de diversification lié au fait que pour un même volume d’affaires, plus l’activité d’une entreprise est variée moins les risques encourus sont importants. La diversification apparaît à deux niveaux : entre les risques de différentes nature d’une part, et, pour un même risque, entre les différentes expositions géographiques d’autre part. La fonction gestion des risques va donc chercher l’allocation entre les différentes activi-tés qui permet de maximiser le bénéfice de diversification dans son ensemble. Il est ensuite primordial de créer un lien étroit entre la fonction gestion des risques et les différents preneurs de risques. En effet, les deux parties ont souvent une vision à la fois opposée et complémentaire dans la détermination des tolérances au risque. Ceux-ci doivent en effet s’avérer compatibles avec les autres contraintes auxquelles sont sujettes les directions opérationnelles. En affectant un budget de risque de mar-ché ne permettant pas de conserver la même part d’actions en portefeuille, les tolé-rances au risque peuvent conduire à la définition d’une allocation ne permettant pas de couvrir les engagements dans des conditions adéquates, par exemple en termes de perspective de rendements pour les assurés. Des échanges entre la fonction gestion des risques, les équipes de gestion actif/passif et la direction permettront ainsi d’arbitrer et d’envisager une réévaluation de la tolérance au risque définie ini-tialement.De la même manière, l’expertise des directions commerciales est indispensable pour fixer les budgets de risque de souscription. Ceux-ci doivent être définis en lien avec les objectifs commerciaux de l’entreprise et sont indissociables de nombreuses contraintes : concurrence, demandes des réseaux et des partenaires, équilibre né-cessaire entre les différentes lignes d’activité historiques, etc.

1.3 Les limites opérationnelles de risqueLes limites de risque correspondent à une déclinaison opérationnelle des tolérances au risque. Le niveau de risque maximal de risque à ne pas franchir est défini sur la base d’indicateurs directement accessibles aux directions preneuses de risque. Al-



louées aux différentes entités opérationnelles de l’organisme d’assurance, elles per-mettent à ces dernières d’exercer leurs activités de façon cohérente avec le niveau de tolérance préalablement défini.Les limites opérationnelles de risque permettent ainsi aux directions opérationnelles, propriétaires du risque, de s’assurer au quotidien du respect de la stratégie de l’en-treprise. Ce principe de Day to Day risk management permet de remonter les infor-mations rapidement aux fonctions de supervision de l’entreprise. Dès lors, en cas de dépassement des limites, l’assureur pourra réagir de manière rapide et efficace et rectifier son niveau de prise de risques. Ces éléments seront développés en partie 3 dans le cadre de la mise en œuvre opérationnelle.

2. Principes d’abandon, de réduction, d’acceptation, de financement et de transfert du risque

Toutes les mesures expliquées ci-après interviennent en amont du risque, avant sa survenance. Il s’agit d’agir sur un des paramètres du risque, c’est-à-dire sur sa fré-quence ou sa gravité ou encore d’en améliorer sa prévisibilité afin d’en limiter les impacts pour l’entreprise et de donner à l’entreprise la capacité d’en absorber les effets. Certaines de ces mesures seront décidées au niveau du top management, c’est-à-dire tout ce qui concerne les décisions stratégiques (ex : acceptation, évite-ment), tandis que d’autres seront mises en œuvre par les directions opérationnelles directement, dans le respect des limites qui ont été définies. De manière générale, le top management sera concerné par toutes les mesures impactant le profil de risques d’une entreprise, susceptible de le modifier.

2.1 L’acceptationUn risque est accepté dès lors qu’il intègre la politique de gestion des risques de l’entreprise. Les risques acceptés doivent être analysés préalablement, mesurés et suivis afin d’éviter de fonder l’acception sur de fausses informations. En dehors des risques opérationnels, les risques acceptés doivent générer une ren-tabilité adéquate au regard des risques générés. Les risques opérationnels ont la spécificité d’être subis. Bien que les entreprises cherchent au maximum à les éviter, un risque sans gravité conséquente peut être accepté par l’entrepriseL’entreprise peut faire le choix d’accepter le risque lorsque le moyen de protection coûte trop cher ou lorsque la mise en place de procédures devient trop contraignante pour l’activité.Il existe deux types d’acceptation : - l’acceptation passive, qui ne nécessite aucune action, mais qui doit être for-

malisée pour ne pas être un simple oubli. Le silence ne doit pas être un feu vert, la décision d’accepter le risque doit se faire sur des bases concrètes, être



analysée, documentée, challengée ; - l’acceptation active, qui relève d’un souhait de l’assureur d’assumer un risque

donné en vue de répondre à un besoin stratégique. Exemple : volonté de l’as-sureur d’augmenter son allocation en actions afin de maximiser son rendement, en acceptant les impacts en termes de volatilité croissante de la valorisation des actifs financiers.

2.2 L’abandon / l’évitementIl s’agit de modifier un projet ou un processus afin d’éliminer le risque ou de protéger les objectifs des effets de ce risque. Cette stratégie peut également être appelée suppression du risque. L’objectif est d’éliminer la possibilité de survenance d’un risque (de faire en sorte de ne pas le créer), ce risque ayant majoritairement pour conséquence de déstabiliser l’organisation et/ou d’engendrer des pertes. Elle est généralement mise en place lorsque les mesures de prévention et de protec-tion ne sont pas suffisantes pour réduire la vulnérabilité de l’entreprise. L’entreprise peut procéder de diverses manières, en fonction de la nature du risque : - changer de fournisseur, accepter de perdre un client ou arrêter un projet quand

les pertes éventuelles sont supérieures aux gains espérés (on parle alors plus de suppression du risque : on supprime le risque en abandonnant l’activité porteuse de ce risque) ;

- recourir à une technique connue plutôt qu’à une technique innovante. Dans ce cas, on abandonne une technique au profit d’une autre, sans doute moins profitable, mais dont les effets et les conséquences sont connus et donc pré-visibles ;

- adapter sa politique commerciale, dans le cas de l’abandon d’une activité ;- adapter sa politique d’investissements, pour les risques de marché.Cependant, dans bien des cas, cette stratégie n’est pas applicable, puisque l’organi-sation ne peut pas renoncer à son projet ou à son activité sans risquer de mettre en péril sa survie économique. Dans le cas où l’organisation abandonne ou supprime le risque, sa vulnérabilité est réduite à zéro. Mais cette stratégie très radicale suggère tellement de sacrifice pour l’entreprise qu’elle est rarement utilisée telle quelle en pratique. En effet, et particu-lièrement en assurance, c’est dans le risque qu’existent les potentialités de gain et une entreprise ne saurait exister sans s’exposer à un minimum de risques. Il convient toutefois de distinguer le risque pris volontairement en lien avec le cœur de l’activité et les risques subis (ex : inondation touchant les bureaux, problèmes informatiques, pandémie, etc.) qu’il convient de restreindre au maximum.



2.3 La réduction du risque La réduction du risque est le moyen de maîtriser des risques par des mesures de prévention et de protection. Dans ce cas, il ne s’agit pas de réduire le risque à néant : le risque résiduel est accepté, à la différence de la stratégie d’abandon ou d’évite-ment dans lequel l’assureur fait le choix de faire disparaître totalement le risque. La prévention a pour objectif de réduire la fréquence de survenance du risque. Cer-tains assureurs sont des acteurs important de prévention : en participant ainsi à un effort collectif de la société, ils proposent à leurs assurés une gamme de services variés tout en réduisant la fréquence de leurs sinistres. C’est notamment le cas de nombreux assureurs auto ou santé. La prévention a également toute sa place pour les risques opérationnels : ce sont toutes les mesures mises en place en termes de contrôle et d’audit interne. Les assureurs effectuent ainsi un suivi des indicateurs de risque sous-jacents à leurs activités leur fournissant une évaluation régulière de l’évolution du profil de risques et de l’environnement de prévention et de contrôle. La protection quant à elle consiste à réduire la gravité d’un risque, par exemple le montant total d’un sinistre. L’objectif est de réduire les conséquences d’un événement défavorable à un seuil acceptable par l’entreprise. Les exercices de prévention, les formations, la mise en place de consignes de sécu-rités, de règles de bonne conduite, de chartes, de procédures sont des moyens classiques de réduction du risque. Les plans de continuité d’activité définis par les assureurs entrent pleinement dans les mesures de protection. On peut également citer la politique actif-passif, à travers les processus de définition de l’allocation d’ac-tifs, les investissements et désinvestissements et la définition de la participation aux bénéfices, qui est souvent établie dans l’objectif de protéger le bilan de l’assureur contre des scénarios adverses. L’objectif est de réduire son exposition aux risques jugés importants afin de maintenir la pérennité de l’activité de l’entreprise.

2.4 transfert du risque - Deux grands types de transfert Le transfert de risque s’établit lorsque tout ou partie du risque est supporté par une autre entité. En fonction des catégories de risques, les assureurs disposent de nom-breux outils à disposition :



- les risques opérationnels peuvent être transférés par la souscription d’une ga-rantie d’assurance ou par le recours à l’externalisation ;

- la réassurance et la titrisation permettent de céder des risques de souscription.Notons que dans le cas de la sous-traitance, le partage des risques doit être spécifi-quement et contractuellement établi entre les parties.Il est important de garder en mémoire que le traitement d’un risque peut engen-drer d’autres risques qu’il convient d’identifier avant de choisir une stratégie. Par exemple, dans le cas d’un recours à la réassurance, il y a effectivement un transfert de risque de souscription, mais un risque de contrepartie apparaît directement au titre de l’opération.

3. Mise en œuvre opérationnelle La mise à jour de la stratégie de gestion des risques doit être réalisée au minimum une fois par an. Notons que cette mise à jour doit également être pratiquée en cas de changement significatif du profil de risque, qu’il soit d’origine exogène (choc sur les marchés financiers) ou lié à une décision stratégique majeur, comme le lancement d’une nouvelle activité.

3.1 L’appétence au risque

uu Les acteurs : rôles et responsabilités

Un certain nombre de protagonistes jouent un rôle clé, direct ou indirect, dans la défi-nition de l’appétence au risque d’une compagnie d’assurance. Malgré des intérêts divergents, ces différents acteurs sont tous concernés par la stratégie de gestion des risques définie par l’entreprise : - pour les actionnaires, l’appétence au risque permet de maximiser leurs profits

tout en limitant les risques de pertes sur le capital investi. Elle est définie sur la base du profil de risque, des objectifs supra-annuels et des anticipations régle-mentaires et macro-économiques.

- les assurés quant à eux recherchent un assureur en mesure de respecter ses engagements et/ou de maximiser le rendement de ses encours (pour l’assu-rance-vie). Pour cela, les risques pris par l’entreprise doivent nécessairement être correctement identifiés, gérés, suivis et maîtrisés.

Les agences de notation émettent une opinion sur la robustesse financière de l’en-treprise. Elles s’intéressent à de nombreux critères mêlant analyse quantitative et qualitative des risques. Les notes émises par les agences de notation sont très suivies sur les marchés financiers. Toute dégradation de la note d’une entreprise a des conséquences non négligeables sur celle-ci en termes de résultat, de développement, de capitaux à immobiliser et de réputation. Les entreprises ont donc tout intérêt à mettre en avant une gestion des risques efficiente afin de bénéficier d’une notation de qualité.



Les directions contribuent à la maîtrise des risques sur leurs périmètres respectifs. Ainsi, par exemple, l’ALM sera en charge du risque de marché et la direction tech-nique interviendra sur les risques de souscription. L’appétence au risque est déclinée par le top management et la direction en charge de la gestion des risques de l’entre-prise en tolérances aux risques que les fonctions propriétaires de risques doivent maîtriser. Le Conseil d’administration et la Direction Générale prennent les décisions concer-nant la définition et la révision de l’appétence au risque. Ces décisions dépendent notamment des attentes de l’ensemble des acteurs précédemment cités. Il lui faut donc déterminer l’appétence au risque de l’entreprise de telle manière que les diffé-rents acteurs en comprennent la définition, la signification et l’impact sur leurs intérêts respectifs.

uu modalités de définition de l’appétence au risque

L’appétence au risque de l’entreprise est déclinée à travers une approche top-down. Le Conseil d’administration et la Direction Générale vont définir le niveau maximal de risque acceptable compte tenu des objectifs stratégiques de l’entreprise puis celui-ci sera décliné au niveau des instances opérationnelles. L’appétence au risque se définit en fonction, d’une part, de la rentabilité souhaitée de l’entreprise et, d’autre part, en fonction d’un certain niveau de sécurité. Il s’agit donc pour le top management d’arbitrer entre ces deux notions. Toutefois les ambitions en termes de développement de l’activité et de rentabilité ne sont pas à elles seules suffisantes pour la définition de l’appétence au risque car elles ne sauraient satisfaire l’ensemble des parties prenantes de la stratégie de gestion des risques. Deux questions essentielles sont à se poser lors de l’établissement de l’appétence au risque : - quelles natures de risques l’entreprise veut-elle prendre ? - quelles sont les limites acceptables de cette prise de risques ? En d’autres

termes, que peut-elle se permettre de perdre ?Des seuils de tolérance pour sécuriser et limiter la prise de risque sont ainsi définis lors de l’établissement de l’appétence au risque. Par exemple, une entreprise pourra choisir de définir un seuil plancher applicable au ratio de solvabilité et définir un inter-valle dans lequel le résultat de l’entreprise doit se situer. À chaque instant, le profil de risques devra respecter ces limites, suivies grâce à des indicateurs ou des alertes en cas de dépassement. Dans le cadre de l’ORSA, les autorités de contrôle imposent à l’organe dirigeant de revoir ces dernières pério-diquement mais également lors de changements majeurs au niveau de l’entreprise (développement d’un nouveau produit, souscription d’un programme de réassu-rance, intégration d’une nouvelle filiale, etc.).



uu Indicateurs permettant la définition du niveau d’appétence au risque

L’appétence au risque doit se définir à travers une ou plusieurs métriques. Ces métriques doivent être choisies afin que l’ensemble des parties en comprennent la signification. les assureurs considèrent en général qu’un unique indicateur ne saurait convenir pour définir l’appétence au risque de l’entreprise. Le top management devra tenir compte des intérêts divergents des parties intéressées pour définir son appé-tence au risque. Plusieurs métriques pourront donc définir l’appétence au risque dans sa globalité. Des indicateurs de résultat (ex : résultat IFRS), de valeur (ex : MCEV, NAV) et de solvabilité (ex : SCR ou ratio de solvabilité) permettront par exemple à chaque acteur de comprendre où se situe le niveau maximal de risque que l’entreprise veut prendre. Les métriques choisies pour mesurer l’appétence au risque doivent être celles uti-lisées dans le cadre de la mesure du profil de risque. En effet, il s’agit de pouvoir déterminer dans quelle mesure le profil de risque, reflet de l’exposition aux risques constatée de l’entreprise, respecte l’appétence aux risques définie par le top mana-gement. Par ailleurs, à tout moment, le profil de risques doit pouvoir être confronté au niveau d’appétence au risque. L’appétence au risque est définie de façon quantitative à travers les métriques. Toute-fois, les risques non quantifiables doivent être pris en compte par l’entreprise et il faut donc associer une approche qualitative à l’approche quantitative.

3.2 Les tolérances au risque

uu Catégories et dimensions de risque

La granularité de de déclinaison de l’appétence au risque dépend de la structure et de l’organisation spécifique de l’assureur. Dans le cadre général, elle s’effectue par entité / pays puis par catégorie de risque. Ainsi un groupe international, possédant des filiales, pourra décliner son appétence par exemple en tolérances par pays, par filiale et par catégorie de risque. Il n’y a ce-pendant pas de règle précise dans cet exercice, c’est-à-dire que chaque organisme procédera de la manière la plus adaptée à ses caractéristiques. Les trois modalités suivantes sont en effet possibles : pays -> filiale -> catégorie de risque ou filiale -> pays -> catégorie de risque ou encore catégorie de risque -> filiale -> pays.L’exercice est simplifié pour un assureur ne possédant pas de filiale et n’étant présent que sur un marché géographique : la déclinaison l’appétence en tolérances se fera directement par catégorie de risque.Par conséquent, l’exercice commun à tout assureur consiste à décliner son appé-tence par catégorie de risque. Cette partie se concentrera donc sur cette étape.



Schéma de déclinaison de l’appétence avec risques en tolérance (par pays et filiale, puis par catégorie de risques)

uu Cohérence des mesures servant à la mesure du profil de risques et à la déclinaison de l’appétence au risque en tolérances

Dans le cadre de la déclinaison de l’appétence au risque en tolérances, il est impor-tant d’évaluer le profil de risques actuel de chaque catégorie de risque. Cela donnera une vision claire de chacune de ces catégories et permettra un pilotage efficace des risques en présence. Il convient de chercher à intégrer dans cet exercice les mêmes mesures de risque qui auront été utilisées pour chaque dimension caractérisant l’appétence pour le risque de l’entreprise. Cela peut paraitre évident, mais il existe de nombreuses mesures de risque et toutes les catégories de risques peuvent ne pas être exprimées ou estimées selon une mesure spécifique. Les principales mesures de risques qui peuvent être utilisées sont les suivantes :- mesure basée sur les résultats comptables de l’entreprise : Earnings at Risk (EaR) ;- mesure basée sur le capital, la valeur de l’entreprise : Capital at Risk (CaR) ;- mesure basée sur la solvabilité de l’entreprise : Capital économique, SCR, Ratio

de solvabilité économique ;- mesure basée sur le rating de l’entreprise : une mesure basée sur le rating (ex :

maintenir un rating AA) est difficilement déclinable en l’état et nécessite d’être traduite en une mesure quantifiable qui pourra être plus aisément déclinée en tolérances aux risques (ex : Capital économique, EaR, CaR) ;

- mesure basée sur la liquidité de l’entreprise : Cash-Flow at Risk (CFaR) ;- mesure basée sur la réputation de l’entreprise : Difficile à quantifier, l’entreprise peut

par exemple instaurer une tolérance zéro sur ce risque. Une telle mesure pourra éventuellement donner une indication quant au développement de l’activité mais n’est pas suffisamment objective pour être utilisée pour définir l’appétence.

Pour suivre efficacement le profil de risque, il convient de se baser systématiquement sur les mêmes mesures de risque. Cela confère une homogénéité indispensable



aux résultats et permet de hiérarchiser et de comparer les différentes catégories de risque entres elles.Dans le cas d’une mesure fondée sur les risques en capital, il faut par exemple mo-déliser le Capital at Risk sur chacune des activités de l’entreprise. Cela permettra d’obtenir des renseignements sur l’effet combiné de la prise de risque sur l’ensemble de ces activités et de mesurer l’impact général de ces prises de risque sur la valeur économique de l’entreprise. Il faut ensuite s’assurer que le montant global pondéré de Capital at Risk pour chaque catégorie de risque, chaque activité, ne dépasse pas le seuil fixé. Il faudra par ailleurs comparer le profil de risques actuel de chaque catégorie de risque aux tolérances définies.

uu Déclinaison en tolérances et cibles par catégorie de risque

En pratique, les assureurs ne définiront pas seulement une tolérance maximale, mais complèteront cette approche avec une prise de risque minimale. Certains assureurs se fixent également un seuil cible de risque à prendre, permettant par exemple d’op-timiser le coupe rentabilité / solvabilité. Les assureurs définiront donc des intervalles de risque - ou plage de tolérance opti-mal - que l’entreprise souhaite prendre pour chaque catégorie de risque dans le but de réaliser ses objectifs stratégiques tout en respectant les limites de tolérances attribuées à chaque catégorie.D’une manière générale, certains objectifs poursuivis par l’entreprise tendent à être antagonistes quant à la définition des tolérances aux risques.

Définir un objectif de rentabilité ou de résultat d’une part et un objectif de solvabilité d’autre part, conduit à l’obtention de critères de maximisation d’une part et de minimisation d’autre part du poids du portefeuille actions à détenir.

Les différents objectifs définissent donc les tolérances par catégories de risques comme un intervalle de risque toléré par l’entreprise. La tolérance basse est obtenue comme le maximum des tolérances maximisant la borne du critère observé et la tolérance haute est obtenue comme le minimum des tolérances minimisant la borne du critère observé.

Soit 3 objectifs A, B et C ayant été déclinés en tolérance quant à la part d’action à détenir dans l’allocation d’actifs :- objectif A : part action ≥ 7% de l’allocation d’actifs ;- objectif B : part action ≥ 5% de l’allocation d’actifs ;- objectif C : part action ≤ 12% de l’allocation d’actifs.La plage de tolérance à observer est alors de détenir une part action contenue dans l’intervalle [max(7% ; 5%) ; 12%], soit [7% ; 12%].La tolérance cible, quant à elle, se situera à l’intérieur de l’intervalle cible.



Le dispositif de gestion des risques doit permettre de comparer le profil de risques actuel et les niveaux de risque pour chacune des catégories avec l’intervalle de tolé-rance et le niveau de tolérance cible. Ainsi, si l’exposition de la catégorie étudiée s’avère inadapté, il sera nécessaire d’effectuer certains ajustements afin de rétablir l’équilibre profil de risque/intervalle de tolérance (niveau cible). Ces ajustements peuvent aussi bien se faire par le biais d’une réduction d’exposition à certains types de risques, par l’achat de couvertures ou encore par des techniques de transfert de risque (assurance, coassurance, réas-surance).

Un assureur présente son exposition sur trois catégories de risques par rapport aux seuils maximaux, minimaux et cibles définis dans le cadre de la stratégie de gestion des risques.• Risque marché La situation montre que le profil de risques n’est pas compatible avec les seuils de tolérance établis. Le seuil maximal est dépassé, indiquant donc que la prise de risque est exagérée. Il faudra alors chercher à réduire une partie du risque généré par cette activité en révisant l’allocation d’actifs, a priori en réduisant la part investie sur les actifs les plus risqués.• Risque opérationnel Les conclusions montrent que l’exposition au risque opérationnel est en deçà des objectifs de solvabilité de l’entreprise. Or, contrairement aux risques choisis, le risque opérationnel est subit et est uniquement la source de pertes financières, ce qui n’impose évidemment pas que le risque opérationnel soit réajusté aux limites et au seuil de tolérance.• Risque souscription L’exposition au risque pour la catégorie « souscription » est parfaitement adapté aux plages de tolérances définies. Il se situe à l’intérieur de l’intervalle de tolérance et est très proche du seuil cible. Ce profil de risques entraine un respect total de la stratégie générale de l’entreprise en termes de compétitivité et de gestion des risques. Toutefois, il convient d’avoir conscience que les risques cœurs de métiers ne sont pas des vases clos, et ce particulièrement en assurance vie. En effet, le profil constaté sur le risque de marché devrait amener l’assureur à revoir son alloca-tion d’actifs, ce qui peut donc avoir une incidence négative sur les perspectives de rendement pour les assurés avec un impact potentiel à la hausse des risques de souscription. Cet exemple illustre la nécessité de mise en œuvre de modèles prospectifs permettant de tester l’impact de différentes hypothèses sur le profil de risques notamment quant aux évolutions apportées à l’allocation d’actifs dans le cas présent.Pour conclure, il est intéressant de voir l’intervalle de tolérance comme un outil visant à optimiser le couple risque/rentabilité de l’entreprise, dont le point optimal correspondrait au niveau cible de tolérance.

Gérer les risques sous Solvabilité 2

Documents

Transcript of Gérer les risques sous Solvabilité 2