Download - Solvabilité 2: mise en oeuvre opérationnelle

www.pwc.fr

Livre BlancTome 1

Solvabilité 2Le Pilier 2, enjeux opérationnels de la gestion des risques

Sommaire

Préface 2

Introduction 4

1. Approche normative 6

1.1 Les dispositions générales du Pilier 2 6

1.2 Que dit la Directive ? 7

1.3 Que disent les projets de mesures d’application ? 10

1.4 Le COSO 2 - ERM 13

2. Mise en œuvre opérationnelle 16

2.1 L'organisation générale de la « filière risque » 16

2.2 Mettre en place le processus de gestion des risques 25

2.3 Piloter les chantiers transverses 35

Conclusion 46

Vos contacts 47

Préface

Ce livre blanc est publié à un moment clé de l’agenda réglementaire de la Directive Solvabilité 2. En effet, la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise. Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires, offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les mesures de niveau 2 sur le système de gouvernance des risques est en cours d’achèvement et celle sur les mesures de niveau 3 a démarré et s’accélérera au deuxième semestre 2011.

C’est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des entreprises d’assurance s’élargissent au Pilier 2. Or, cette étape implique l’application opérationnelle d’une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et de votre organisation. Elles sont également une opportunité pour optimiser votre performance opérationnelle. L’ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion inédite de la solvabilité sur un horizon stratégique de trois à cinq ans.

PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la gestion des risques en contribuant notamment à l’élaboration du référentiel COSO 2-ERM. Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en conformité à Solvabilité 2.

Par ailleurs, nous avons prévu de faire d'autres livres blancs au cours de 2011 et 2012 sur les sujets qui intéressent le marché, notamment, la qualité des données, l'ORSA et les reportings financiers.

Eric Dupont Jimmy ZouAssocié AssociéResponsable du secteur Assurance Responsable de Solvabilité 2

Introduction

Avant dernière ligne droite pour la mise en conformité à Solvabilité 2, 2011 est une étape importante pour les sociétés d’assurance.

Pour leur apporter des solutions clés en main, PwC consacre un livre blanc, « les Enjeux du Pilier 2 », exclusivement dédié à la mise en œuvre de ces futures obligations.

Ce livre blanc propose un cadre méthodologique concret et des points de repères dans le travail de déclinaison des principes du Pilier 2.

3Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques

"Ce livre blanc, par son approche pluri-disciplinaire, présente de façon claire les points essentiels de la gestion des risques complétés d'illustrations possibles. Ce document nous conforte dans nos orientations antérieures et il permet de mieux cerner certaines déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.".

MAIF Christophe Raballan Directeur de la Maîtrise des risques et du Contrôle interne

Sur la route de la mise en conformité à Solvabilité 2, les entreprises d’assurance (sociétés d’assurance et de réassurance, mutuelles, IP) sont aujourd’hui arrivées à un tournant stratégique. Après avoir consacré une part prépondérante de leurs projets de conformité aux aspects quantitatifs du Pilier 1, elles se tournent aujourd’hui vers les exigences, plus qualitatives et plus complexes du Pilier 2.

En effet, en 2010, vous avez mobilisé vos forces autour de la capacité de votre organisation à modéliser les risques dans un nouveau référentiel et à mesurer l’impact de ce nouveau régime sur le montant des fonds propres nécessaire à horizon du 1er janvier 2013. Vous avez également finalisé l’ensemble des exercices liés au QIS 5. Ces exercices ont été l’occasion de réaliser un 1er test « grandeur nature » sur vos méthodes et processus calculatoires. Lors de cette phase, vous effectuez les tests « grandeur nature » pour mettre en place un processus de réalisation des bilans économiques et de calcul des SCR.

C’est donc, en ce début d’année 2011, sur le Pilier 2 de Solvabilité 2 que vos travaux s’étendront. Clef de voûte de la Directive, la conformité au Pilier 2 pose donc de nombreuses questions aux sociétés d’assurance. Cette étape implique une interrogation sur votre culture du risque, une (re)définition de votre stratégie et de gouvernance des risques et, enfin, une mise en place opérationnelle de votre gestion des risques.Des questions difficiles, qui vous mènent souvent au cœur du pilotage de votre activité.

Qu’exige précisément la réglementation Solvabilité 2 ? Comment ces dispositions doivent-elles, ou plutôt, peuvent-elles être appliquées à mon organisation ? Quels sont les contraintes et déterminants me permettant de dimensionner un dispositif opérationnel de gestion des risques ? Quels sont les chantiers que recouvrent les exigences du Pilier 2 au sein de mon projet de conformité ?

La difficulté majeure, partagée par l’ensemble de nos clients et à laquelle s’attaque ce livre blanc, est d’interpréter et de calibrer les principes des textes réglementaires aux spécificités de l’organisation pour créer un dispositif de gestion des risques conforme, adapté et performant.

L’objectif de ce livre blanc est donc de constituer une sorte de « boîte à outils », utilisable par tous les acteurs intervenant sur les aspects organisationnels de la conformité à Solvabilité 2. Après avoir rappelé les spécifications de la réglementation et du référentiel ERM1, nous nous proposons de décliner les enjeux opérationnels de vos chantiers de conformité (organisation et gouvernance de la filière risque, processus de gestion des risques, cadrage des chantiers « transversaux » comme la qualité des données ou l’ORSA2), de poser les questions structurantes et, enfin, d’apporter des pistes de réponse opérationnelles, via des exemples concrets de mise en œuvre.

Ce document s’adresse aux pilotes opérationnels des projets de conformité à Solvabilité 2, chefs de projet ou directeurs des risques. Toutefois, notre travail de réflexion et de méthodologie pourra également être utile aux dirigeants et administrateurs des organismes d’assurance, dont bon nombre sont aujourd’hui confrontés à des arbitrages difficiles sur le calibrage du dispositif, entre les impératifs de conformité (qui peuvent paraître lourds au regard des discours de place) et les ambitions de leur entreprise (approche de stricte conformité ou objectif de « best in class » en pilotage des risques ?). Nous espérons que vous trouverez, ici, des axes de réflexion utiles pour vos travaux.

(1) ERM : Enterprise Risk Management (2) ORSA : Own Risk and Solvency

Assessment, Évaluation interne des risques et de la solvabilité

1. Approche normative


Introduction

Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu’elle a mis en place un système adéquat et efficace de gestion des risques. Deux référentiels principaux servent de guide dans cette perspective de mise en conformité.

• Le référentiel réglementaire du Pilier 2 constitue la référence essen-tielle. Ses dispositions couvrent les attentes des régulateurs en matière d’organisation opérationnelle de la gestion des risques. Les grands prin-cipes de la Directive y sont exprimés dans quelques articles. Des mesures d’application, toujours en cours de discussion, viennent les préciser.

• Le référentiel technique majeur et largement admis est le COSO 23 - ERM. Il est utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d’une gestion des risques performante. On notera que les agences de notation ont ainsi intégré la « performance » ERM comme un critère d’évaluation à part entière.

Nous vous proposons une synthèse des principales dispositions et concepts de ces deux référentiels.

(3) COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui a établi en 1992 une définition standard du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard s'appelle aussi COSO.

6 PwC

1.1 Les dispositions générales du Pilier 2

Le Pilier 2 recouvre l’ensemble des principes et pratiques attendus des organisations en matière de gestion des risques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositions peuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous :

Source : PwC

Lorsque l’on cherche à appréhender les enjeux du Pilier 2, les principales difficultés viennent d’un constat très simple : les articles et mesures d’application définissent des principes structurants, mais fournissent peu d’indications concrètes sur le dispositif à

mettre en oeuvre. Ces principes doivent être traduits et déclinés pour s’appliquer à la réalité de votre organisation.

De ce fait, nous avons choisi dans ce document de nous concentrer sur l’aspect organisationnel du Pilier 2, à

savoir les enjeux de gouvernance des risques couverts par les articles 41 à 49, ainsi que les projets de mesures de niveau 2 et 3 en cours d’élaboration par la Commission Européenne.

Gouvernance des risques(art. 41 à 49)

Nouveau processus de supervision(art. 27 à 39)

Exigences du modèle interne(art.120 à 126)

• Des exigences de gouvernance générale (séparation des tâches, gestion des conflits d’intérêt…)

• Un principe de proportionna-lité du dispositif risque à la complexité du profil de risque

• La définition des fonctions clés de la gestion des risques et du périmètre du dispositif risque

• Des exigences de qualités « fit and proper » pour les principaux acteurs de la gestion des risques

• Des principes de bonne conduite en termes de rémunération

• Un nouveau processus de supervision, fondé sur un dialogue permanent avec le régulateur et où l’entreprise a la « charge de la preuve »

• La possibilité pour le régulateur de sanctionner via des « capi-tal add-on » tout écart quan-titatif ou qualitatif par rapport aux standards attendus.

• Une utilisation effective du mo-dèle interne dans le pilotage (ges-tion opérationnelle des risques, allocation de capital notamment)

• Une évaluation objectivée selon 9 principes (appropria-tion par le management, reflet fidèle du profil de risque…)

• L'existence d’un processus in-terne de validation du modèle…

• … et des tests de sensibilité et de stabilité du modèle

L’ORSA (art.45)

• L’ORSA recouvre l’ensemble des processus et des procédures qui permettent d’identifier, évaluer, suivre, contrôler et com-muniquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face et qui permettent de déterminer le niveau de capital dont l’entreprise a besoin pour assurer sa solvabilité en permanence.

• L’ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu’à celles des Piliers 2 et 3.

Figure 1 – Les principales dispositions du Pilier 2


1.2 Que dit la Directive ?

La Directive européenne prévoit les bases d’une bonne gouvernance comme un système complet composé de fonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernance des risques (défini dans l’article n°41) est étayé par 7 « blocs » principaux qui doivent répondre à des attentes spécifiques. Ces « blocs » sont ensuite détaillés dans un article dédié de la Directive, tel qu’illustré ci-dessous :

Art.41 – Exigences générales en matière de gouvernance

L’article 41 précise notamment que les entreprises d’assurance et de réassurance doivent mettre « en place un système de gouvernance efficace, qui garantisse une gestion saine et prudente de l'activité ».

Art.42 & 43 – Honorabilité et compétences

Ces articles 42 et 43 précisent que « toutes les personnes qui dirigent effectivement l’entreprise ou qui occupent d’autres fonctions clés doivent avoir les qualifications et compétences requises à l’exercice de ces fonctions et que leur réputation et leur intégrité sont de bon niveau (honorabilité) ».

Ces informations doivent en outre être communiquées aux Autorités de Contrôle en cas de changement et nécessitent d’être documentées.

Art.44 – Gestion des risques

L’article 44 indique que « les entreprises d’assurance et de réassurance doivent mettre en place un système de gestion des risques efficace, qui comprenne les stratégies, processus et procédures d’information nécessaires pour déceler, mesurer, contrôler, gérer et déclarer, en permanence, les risques, aux niveaux individuel et agrégé, auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques.

Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de l’entreprise d’assurance ou de réassurance et dument pris en compte par les personnes qui dirigent effectivement l’entreprise ou qui occupent d’autres fonctions clés ».

Honorabilité et compétences (Art.42 et 43)

Gestion des risques (Art.44)

Évaluation interne des risques et de la solvabilité - ORSA (Art. 45)

Contrôle interne (Art. 46)

Audit interne (Art. 47)

Fonction actuarielle (Art. 48)

Sous-traitance (Art. 49)

GOUVERNANCE (Art.41)

Figure 2 – La gouvernance des risques

8 PwC

Art.44 – suite

Il décrit également a minima le périmètre concerné par la gestion des risques (souscription et provisionnement, gestion actif-passif, investissements, risques opérationnels, les risques d’illiquidité et de concentration, la réassurance et pour partie le modèle interne) et précise que les politiques de gestion des risques doivent être documentées.

En synthèse, retenons surtout que la Directive :

• présente la fonction de gestion des risques (par la suite appelée « fonction Risque ») comme une fonction obligatoire, efficace et intégrée à l’organisation,

• fixe un périmètre minimal en termes de risques couverts – à savoir les risques entrant dans le calcul du SCR sans nécessairement s’y limiter,

• décrit les responsabilités particulières de cette fonction, véritable « chef d’orchestre » global du dispositif et pilote du modèle interne si applicable.


Art.45 – Évaluation interne des risques et de la solvabilité - ORSA

L’article 45 indique que dans le cadre de leur système de gestion des risques, les entreprises d'assurance et de réassurance doivent régulièrement « procéder à une évaluation [...] interne des risques et de la solvabilité ». Cette évaluation, propre au profil de risque, conduit l’entreprise à expliciter le niveau de risque qui tend le capital requis en vue d’apprécier son niveau de fonds propres.

Précisons que l’ORSA doit répondre à trois points majeurs :

• Démontrer dans les faits la pertinence des processus de gestion des risques développés par l’organisation.

• S'intégrer à la stratégie commerciale et à la définition de la stratégie de l’organisation : ses analyses et productions doivent être prises en compte par les décideurs.

• Pouvoir être réévalué suite à toute modification significative du profil de risque de l’organisation.

Art.46 – Système de contrôle interne

L’article 46 précise que « les entreprises d’assurance et de réassurance disposent d’un système de contrôle interne efficace comprenant a minima des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d’information à tous les niveaux de l’entreprise et une fonction de vérification de la conformité ».

Art.47 – Audit interne

L’article 47 stipule que « la fonction d’audit interne évalue notamment l’adéquation et l’efficacité du système de contrôle interne et les autres éléments du système de gouvernance […] de manière objective et indépendante des fonctions opérationnelles ».

Art.48 – Fonction actuarielle

Au travers de l’article 48 de la Directive, la fonction actuarielle est décrite comme une fonction d’expertise visant à « coordonner le calcul des provisions techniques et garantir le caractère approprié des méthodologies, des modèles sous-jacents et des hypothèses utilisés pour le calcul des provisions techniques, apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques, comparer les meilleures estimations aux observations empiriques, informer l'organe d'administration, de gestion ou de contrôle de la fiabilité et du caractère adéquat du calcul des provisions techniques, superviser le calcul des provisions techniques, émettre un avis sur la politique globale de souscription, émettre un avis sur l'adéquation des dispositions prises en matière de réassurance, et enfin contribuer à la mise en œuvre effective du système de gestion des risques ».

Art.49 – Sous-traitance

Enfin, l’article 49 déclare que « les entreprises d'assurance et de réassurance conservent l'entière responsabilité du respect de l'ensemble des obligations qui leur incombent […] lorsqu'elles sous-traitent des fonctions ou des activités d'assurance ou de réassurance » et pourvu que cela n’ait pas d’incidence sur le système de gouvernance, l’activité ou le risque opérationnel, ni sur la capacité de surveillance des Autorités de Contrôle.

En sus, l’entreprise doit informer le Régulateur de son intention d’externaliser toute fonction ou activité « importante ou critique ».

10 PwC

1.3 Que disent les projets de mesures d’application ?

A la lecture des textes, les dispositions de Solvabilité 2 en matière d’organisation et de système de gouvernance des risques reposent uniquement sur des principes. Le régulateur souhaite en effet laisser à chaque organisation le soin de définir son propre schéma organisationnel et n’a défini à ce titre que les fonctions clés et des attentes très générales. Toutefois, l’interprétation qu’il est possible de faire au travers de la lecture des articles 41 à 49 a conduit le Régulateur à les préciser.

L’avis du CEIOPS « Advice for Level 2 Implementing Measures on Solvency 2 : System of Governance » a fourni des premières précisions sur le dispositif de gestion des risques. Les mesures de niveau 3 en cours de discussion préciseront plus avant ce dispositif.

En résumé, toute entreprise soumise à Solvabilité 2 doit, selon ce référentiel, démontrer que dans le respect de ces principes, elle possède un dispositif opérationnel de gestion et de pilotage de ses risques qui garantit :

• Une bonne connaissance des risques auxquels elle est exposée (profil de risque) et une évaluation cohérente de ses expositions à un instant t.

• Une mécanique réellement opérationnelle de gestion de ces risques, c’est-à-dire que les éléments clés sont en place et chacun est en mesure de faire ce qui est prévu.

• Une remontée des informations nécessaires et la capacité des instances responsables à prendre les décisions qui s’imposent.


La lecture de ces dispositions révèle à l’évidence qu’il s’agit d’un « socle minimal » à respecter d’un point de vue réglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifique en fonction de sa taille, de son expertise et de la complexité de son profil de risque : c’est ce que la Directive appelle le « principe de proportionnalité ». Pour autant, le respect de ce principe et la latitude de « marge de manœuvre » dont les différentes organisations pourront disposer reste aujourd’hui une question ouverte.

Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62)

• Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace

• Cadrage des conflits d’intérêt, principe du « 4-eyes review », « fit & proper » sur les fonctions clé, politique de rémunération

Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; 3.220 à 3.222)• Des processus, procédures et politiques clairement documentées

• Un périmètre minimal de « zones de risque » à couvrir : souscription, provisionnement, ALM, placements, liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque

• Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents

Fonction de conformité - contrôle interne (3.254 à 3.258)• Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication,…)

• Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité de l’information financière et non-financière émise

Fonction d’audit interne (3.276 à 3.279)• Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus

• Exigence d’émission d’un rapport annuel sur son activité (plan d’audit fondé sur une approche par les risques)

Fonction actuarielle (3.328 à 3.343)• Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes

et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré de fiabilité des modélisations (rapport formel)

Dispositif de gestion de l’externalisation (3.376 à 3.382)• Obligation de s’assurer que l’externalisation ne dégrade ni la qualité de service ni l’exposition globale

au risque opérationnel

• Existence de processus et politiques formalisés et complets sur toutes les dimensions d’un projet d’externalisation (sélection, contractualisation, pilotage…)

Figure 3 – Rappel des exigences du Pilier 2

12 PwC

Focus sur les mesures de niveau 2

Le point 3.72 donne l’avis du CEIOPS en matière d’efficacité d’un système de gestion des risques et préconise les points suivants :

a) La stratégie de gestion des risques doit être clairement définie et correctement documentée. Cette stratégie doit annoncer les objectifs de gestion des risques et les principes de gestion des risques clés, définir le « risk appetite » de l’entreprise, et enfin décrire les missions et responsabilités de la fonction de gestion des risques de manière transversale à l’entreprise et en accord avec la stratégie commerciale.

b) Les politiques de gestion des risques doivent être écrites et adaptées : elles incluent une définition et une nomenclature des risques portés par l’entreprise, les classant par type et par niveau des limites de risque acceptable. Elles devront implémenter la stratégie des risques, faciliter la mise en œuvre des mécanismes de contrôle et prendre en compte la nature, la portée (périmètre) et l’horizon de temps de l'activité et des risques associés.

c) Les processus de gestion des risques doivent être appropriés et les procédures adaptées pour identifier, évaluer, gérer, contrôler les risques ainsi qu’en matière de reporting.

d) Les procédures de reporting des risques doivent être appropriées. Ces procédures doivent être coordonnées et challengées par la fonction de gestion des risques et sont activement contrôlées et gérées par toute instance appropriée.

e) Les reportings qui sont soumis aux instancespar la fonction de gestion des risques font référence aux risques associés (potentiels ou avérés) à l’activité de l’entreprise et à l’efficacité opérationnelle du système de gestion des risques.

f) Enfin, l’ORSA doit être adapté aux activités de l’entreprise.

Cas particulier de l’ORSA

L’ORSA est un sujet majeur qui sera traité dans les mesures de niveau 3 a priori vers le troisième trimestre 2011 par l’EIOPA4. L’ACP devrait également apporter sa vision lors d’une conférence sur le Pilier 2, la gouvernance et l’ORSA prévue au second trimestre 2011.

Malgré l’importance de ce processus, l’article 45 n’est précisé dans aucun texte relevant des mesures de niveau 2. Le CEIOPS a publié un « Issues Paper » intitulé ORSA en 2008.

Tel que présenté aujourd’hui, l’ORSA est un processus qui oblige chaque organisation à calculer et maîtriser ses risques, ainsi qu'à s'assurer qu’elle est suffisamment capitalisée. Néanmoins, certaines caractéristiques méritent d’être soulignées (figure 4) :

• L’ORSA est de la responsabilité de la Direction Générale qui est en charge de son pilotage et de ses résultats vis-à-vis du régulateur.

(4) EIOPA : European Authority for nsurance and Occupational Pensions. En janvier 2011, l'EIOPA a remplacé le CEIOPS.


• L’ORSA est un processus documenté de la gestion des risques qui doit être présenté au superviseur à intervalle régulier (au moins une fois par an) et dès lors que survient une modification significative du profil de risque de l’assureur.

• Il fait partie intégrante de la gestion quotidienne de l’entreprise (politique commerciale, stratégie d’investissement, gestion du capital, croissance externe…).

• Il fournit une approche holistique et prospective pour gérer les risques : les risques servant à calculer le SCR et les autres risques (risque de réputation, risque stratégique, risque macro-

économique, risque politique…). L’évaluation s’inscrit sur un horizon de trois à cinq ans et couvre tout le périmètre du groupe (toutes les entités européennes et celles hors de l’Union Européenne qui sont sous sa supervision).

• Il permet à toute organisation de démontrer qu’elle est capable de mobiliser le capital nécessaire pour couvrir le besoin en marge de solvabilité sur l’horizon de la planification stratégique (et non sur l’horizon d’un an utilisé pour le calcul du SCR).

• L’évaluation des risques dans le processus d’ORSA représente la vision « propre » de ses risques que peut avoir une organisation, au-delà des modules de risque identifiés dans le calcul du SCR : différence sur le nombre de risques retenus, sur la mesure des risques c’est-à-dire sur l’intervalle de confiance selon lequel est calibrée la formule de calcul. De plus, l’organisation peut utiliser une approche en formule standard ou un modèle interne pour évaluer son exposition aux risques. La méthodologie employée doit être proportionnée à la complexité de l’activité de l’entreprise et à la nature des risques auxquels elle est exposée.

• Pilotage du profil de risque• Pilotage et gestion de la solvabilité• Tolérance & appétit aux risques• Fréquence des évaluation• Support pour les décisions stratégiques• Documentation de la gouvernance des risques• Publications (Pilier 3)

Gestion et pilotage de la solvabilit Processus de décisioné

• Bilan économique• Best Estimates• Paramètres et

hypothèses risque• Qualification & chiffrage

des fonds propres

• Stress test & scenario• Fongibilité du capital• Evaluation des fonds

propres • Réconciliation de ces

évaluations

•••••

Analyse et évaluation des risques

Identification des risquesAnalyses quantitativesEvaluation de la qualité des contrôlesProfil de risquesPolitiques de gestion des risques

Environnement macro-économique

• Environnement marco-économique• Contexte business• Risques émergents• Risques à long terme• Dispositif de suivi réglementaire• Evolution de l’environnement juridique• Tendances sociales...

é

Stratégie

• Objectifs stratégiques• Stratégie risque• Valorisation des scénarii

stratégiques• Utilisation du capital et

des ressources fin.

• Allocation strat• Réassurance & autres

couvertures• Décisions de gestion• Horizon de projection

La question qui se pose est de savoir comment implémenter des fonctions clés et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et compatible avec les pratiques du paritarisme. La Directive est très largement inspirée de concepts applicables au monde capitalistique : elle intègre a priori moins bien dans la valorisation du risque les caractéristiques de la gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de compensation et de rétrocession.

Réunica Albert Cohen Directeur des Risques et de la Solvabilité

Figure 4 – Une représentation du système de gestion des risques

14 PwC

1.4 Le COSO 2 - ERM

la responsabilité des dirigeants ; le but étant de mettre en place et de maintenir une structure de contrôle interne adéquate pour l'établissement de l’information financière.

Ce référentiel a émergé suite aux scandales des années 2000 (Enron, Parmalat, Worldcom…). Depuis sa mise en place, il a évolué car les entreprises se sont rendues compte que la stricte perspective du contrôle interne était réductrice et ne permettait pas d’appréhender et maîtriser la totalité des risques encourus. Le référentiel a donc été mis à jour en 2004 pour donner naissance au « COSO 2 – ERM ». D’une approche visant à la maîtrise des opérations via la sécurisation par des activités de contrôle, le référentiel a été étendu à :

• la vision de l’ensemble des types de risques auxquels une organisation peut faire face,

• l’organisation des différentes « briques » à l’œuvre dans une gestion globale des risques,

• l’intégration des résultats de la gestion des risques dans le "management" de l’activité.

Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de "management" des

Contexte

Le référentiel COSO sur le contrôle interne a été élaboré dès 1991, et est aujourd’hui une référence internationale utilisée par les entreprises qui souhaitent mettre à niveau leur dispositif de contrôle interne. Depuis 2002, ce référentiel s’est imposé comme le cadre de référence utilisé par les entreprises internationales pour évaluer la conformité de leur structure de contrôle interne avec la loi Sarbanes-Oxley. Celle-ci oblige les dirigeants à évaluer chaque année le contrôle interne de leur entreprise (propositions de la SEC, octobre 2002, et de l'ASB, mars 2003). La loi Sarbanes-Oxley exige en outre d’émettre un rapport engageant


FILIA

LE

Stratégie des risques

Profil de risque

Système de mesure

Politique & processusPolitique & processus

Contrôle des risques

Système de reporting

Décisions

Stratégie

Opérations

Informatio

ns

Financières

Conformité

Environnement de contrôle

Définition des objectifs

Identification des événements

Evaluation des risques

Traitements des risques

Activités de contrôles

Information et communication

Pilotage

FILIA

LE

UN

ITE

DE

GE

ST

ION

DIV

ISIO

N

EN

TR

EP

RIS

E

risques qui représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une matrice en trois dimensions, le fameux « cube COSO ».

Présentation

Les quatre grandes catégories d’objectifs de l’organisation – stratégiques, opérationnels, reporting et conformité – sont représentées par les colonnes, les huit « blocs » de la gestion des risques par les lignes et les unités de l’organisation par la troisième dimension. Cette représentation illustre la façon d’appréhender la gestion des risques dans sa globalité ou bien par catégorie d’objectifs, par élément, par unité ou en les combinant.

Ainsi bâti, le référentiel COSO 2 – ERM est la structure qui supporte les grands concepts utilisés par la totalité des acteurs de la gestion des risques : stratégie risque, appétit aux risques, profil de risque, dispositifs de mesure des risques, reporting des expositions…

Le référentiel a pour objectif principal de permettre une intégration des informations émanant de la gestion des risques aux processus décisionnels et stratégiques de l’entreprise. Toute entreprise est à même, en suivant ces préconisations, de piloter sa performance (selon les critères qu’elle définit de manière autonome et spécifique) au regard du niveau de risque qu’elle prend pour atteindre ses objectifs.

Il est désormais possible d’appréhender l’ERM comme un processus opérationnel, établi à partir du COSO 2, fournissant aux décideurs (managers, administrateurs) une assurance raisonnable sur la maîtrise des risques effectivement pris au regard des objectifs stratégiques, dans le cadre d’une appétence globalement définie. Il facilite la gestion des incertitudes des activités, la gestion des risques et des opportunités, l’identification des événements pouvant être à l’origine de risques, ainsi que la définition des solutions de contrôle interne adaptées.

Figure 5 – Représentation du référentiel COSO 2

16 PwC

Le risque étant l’essence même du métier de l’assurance, on comprend immédiatement l’utilité d’un tel référentiel qui intègre :

• la définition des objectifs stratégiques par les instances de décision,

• l’identification des risques résultant des efforts de l’organisation pour atteindre ces objectifs – le risque s’entendant aussi bien par menace sur l’atteinte des objectifs que comme opportunité à poursuivre pour en faciliter leur réalisation,

• la mise en place d’un dispositif performant de pilotage des expositions à ces risques,

• l’information et le reporting des expositions aux responsables ad hoc.

Cette intégration du risque dans les processus de pilotage passe par une « diffusion » de la gestion des risques dans l’ensemble des niveaux hiérarchiques et processus de l’entreprise. Le dispositif sera donc aligné avec le modèle organisationnel de l’entreprise, et distinguera des composantes liées à :

• la dimension stratégique : comment les instances de décision intègrent-elles le risque dans leur processus, comment fixent-elles le cadre de prise de risque de l’entreprise (ce qui est autorisé dans la poursuite des objectifs / ce qui est redouté voire interdit) ?

• la dimension organisationnelle : quelles sont les fonctions intervenant dans la gestion des risques, quels sont les processus permettant cette gestion, et pour les entreprises d’assurance comment ces analyses sont liées aux exigences de solvabilité,

• la dimension opérationnelle : comment l’organisation se dote-t-elle des outils de mesure des risques, des ressources à même d‘exploiter ces outils de manière satisfaisante, et quels sont les circuits de remontée de ces informations ?


Le COSO 2 – ERM, conçu comme un référentiel standard et opérationnel, fournit donc les éléments et la démarche globale d’un processus de gestion des risques. La réglementation Solvabilité 2, et plus particulièrement le Pilier 2, va obliger les assureurs à préciser les fonctions impliquées dans leur gestion des risques et intégrer l’évaluation des risques et de la solvabilité au pilotage de leur entreprise sur un horizon de trois à cinq ans au travers de l'ORSA.

Mais comment interpréter, adapter et appliquer d’une manière opérationnelle ces référentiels au sein de chaque organisation ? C’est le grand défi du Pilier 2 que d’affiner, calibrer et décliner en fonction des spécificités de chaque business, de chaque entreprise et de chaque culture le dispositif de gestion des risques.

Conclusion de l’approche normative

18 PwC

2. Mise en œuvre opérationnelle


Introduction

Toutes les organisations n’attribuent pas la même importance à la gestion des risques. Il est donc naturel que leurs choix divergent face à l’investissement important que représente aujourd’hui la mise en place d’une « filière risque » conforme aux principes et aux contraintes réglementaires de Solvabilité 2. Or c’est bien cet arbitrage, réalisé au niveau de la direction générale et en lien avec la stratégie globale de l’entreprise, qui est très difficile à réaliser et à objectiver.

Nous allons identifier les facteurs clés pour les trois dimensions du programme de mise en conformité :

• l’organisation générale de la « filière risque »,

• la mise en place du processus de gestion des risques,

• le pilotage des chantiers transversaux les plus importants.

20 PwC

2.1 L'organisation générale de la « filière risque »

Organiser une filière risque au sein d’une entreprise disposant d’un long historique en matière de processus, d’expertises, d’habitudes, de cultures et d’instances de décision constitue un projet complexe de transformation. Compte-tenu de l’étendue des changements qu’il implique et de l’ancienneté de certaines pratiques qu’il conduit à faire évoluer, il demande dès

sa conception toute l’attention de tous les acteurs concernés, et en premier lieu celle de la direction générale.

Si la « nouveauté » principale consiste la plupart du temps à mettre en place ou développer une fonction de gestion des risques, les projets Solvabilité 2 conduisent aujourd’hui à définir des schémas organisationnels

pour toute la « filière risque », étant entendue comme l’ensemble des fonctions, processus et instances concourant au pilotage des risques.

Organiser une telle filière nécessite de répondre à cinq questions majeures :

Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu’elles soient réglementaires (Solvabilité 2), externes (notation…) ou internes (ambitions, organisation…).

1

2

4

5

3

Quels blocs organisationnels dans le dispositif ?

Quel périmètre pour la fonction Risque ?

Quelle articulation entre les différentes fonctions ?

Quel niveau de centralisation pour la fonction Risque ?

Quels indicateurs ?

• Quelles sont les fonctions ayant un rôle clé dans la gestion des risques ?• Quelles sont leurs responsabilités (contrôle, pilotage, reporting…) ?

• Quels sont les «blocs» organisationnels regroupés sous le périmètre de la fonction de gestion des risques : risk management ? Actuariat ? Conformité ? Sécurité des SI ?...

• Comment répartir concrètement les responsabilités entre la fonction de gestion des risques et les fonctions métier sur les risques clés (ALM, investissements, technique…) ?

• Quelle est l’articulation des prérogatives entre les fonctions Risque centrales et locales, notamment dans les implantations à l’étranger ?

• Quelles sont les règles de délégation à mettre en place ?

• Quels sont les indicateurs fondamentaux guidant le pilotage du couple performance / risque (ROE, SCR, MCEV…) ? Quels sont les critères d’objectivation du risk appetite ?

Figure 6 – La mise en place de la « filière risque »


Il est primordial de reconnaître et de délimiter le périmètre des fonctions impliquées dans la gestion des risques. En effet, celle-ci n’est pas uniquement une affaire de spécialistes et sa gestion concerne tous les niveaux de l’entreprise. Le dispositif doit reconnaître qu’à ces différents niveaux correspondent des prérogatives différentes :

• prise de risque opérationnelle

• coordination de la prise de risque

• supervision de la prise de risque.

Le modèle des « 3 lignes de défense » fournit un référentiel utile pour l’articulation de ces différentes fonctions et prérogatives.

• Ce modèle considère que les risques sont pris en premier lieu par les opérationnels et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des risques constituent donc la « 1ère ligne de défense ».

• La « 2nde ligne de défense » est tenue par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité).

• L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l’entreprise fournit une « assurance raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la « 3ème ligne de défense ».

2.1.1. Les « blocs organisationnels » du dispositif

22 PwC

Sur cette base, les entreprises définissent généralement des grands principes d’articulation entre les différentes « strates » de la prise de risque, comme illustré ci-dessus. Le schéma organisationnel définit le plus souvent les responsabilités tout au long des étapes du processus de gestion des risques.

Ces principes serviront ultérieurement de référence dans les attributions précises des rôles et responsabilités dans la gestion des risques du profil de risque.

La mise en œuvre de ces principes se heurte souvent à 2 difficultés :

• La fonction de gestion des risques peut avoir des responsabilités différentes en fonction des types de risque : généralement coordinateur, elle peut prendre une responsabilité directe sur certains domaines, comme le risque opérationnel. Ces spécificités sont abordées dans l’analyse du positionnement de cette fonction (cf. infra).

• L’audit interne a un rôle particulier dans le dispositif, et s’avère souvent difficile à positionner. Les textes de Solvabilité 2 insistent fortement sur le caractère indépendant de cette fonction. Ses ressources doivent être déchargées de toute autre responsabilité opérationnelle. Par ailleurs, selon les normes de l’IIA5 son objectif est de fournir de manière indépendante une « assurance raisonnable » au management quant à la pertinence, la qualité et la correcte application du dispositif de gestion des risques. On comprend bien alors pourquoi cette fonction doit être indépendante afin de pouvoir spécifier sa propre approche (basée sur sa perception des risques) ainsi que de formuler des recommandations libres de toute influence extérieure.

1° ligne de défense 2° ligne de défense 3° ligne de défense

PérimètreToutes fonctions (SI, RH, Finance, Production,…)

- Actuariat / Dir. Technique - ALM / Dir.Investissements

- Autres (s ouscription,…)

- Gestion des risques

- Contrôle interne,

conformité…

Audit interne

Principes et normes

N/A Propose Revoit et valide / Propose

Réalise des revues indépendantes et a posteriori sur :- La pertinence des

dispositifs- Leur correcte application

Mise en œuvre Applique Propose / Applique Coordonne / Applique

Contrôles Applique / Propose Applique / Propose Supervise, consolide, analyse

Reportings Produit Produit / Analyse Consolide, analyse, pilote

Plans d’action Applique Propose / Applique Valide et pilote / Applique

rôle de coordination / rôle opérationnel

Figure 7 – Les trois lignes de défense

(5) IIA : Institute of Internal Auditors


2.1.2. Le périmètre de la fonction Risque

Nous l’avons vu, Solvabilité 2 fait de la fonction Risque le pivot et le chef d’orchestre du dispositif risque. La réglementation fixe en effet des responsabilités et un périmètre de risques minimaux sur lesquels cette fonction est référent. Dans le cas où l’entreprise utilise un modèle interne, elle a en charge la conception, les tests, la mise en œuvre et le suivi de la performance du modèle retenu, qu’il soit partiel ou total. Il est donc naturel que la plupart des entreprises commencent les chantiers du Pilier 2 par la mise en place ou la revue du positionnement de cette fonction. Cette fonction prend donc en charge le pilotage de l’ensemble du processus de gestion des risques (cf. supra), même si elle ne réalise pas directement l’ensemble des opérations, analyses ou calculs nécessaires à ce processus.

Le référent pour l’élaboration du profil de risque

Lorsqu’elle se met en place, une fonction Risque a pour première tâche d’identifier les risques auxquels l’organisation est exposée. Cette identification constitue le préalable à tous ses travaux. Si la réalité des risques effectivement encourus est spécifique à chaque entreprise, l’élaboration du profil de risque obéit néanmoins à quelques bonnes pratiques.

La première concerne le périmètre des risques que doit identifier ce profil des risques :

• Il doit couvrir a minima les modules de risque structurant les calculs de besoins de fonds propres, que ceux-ci soient évalués via la formule standard ou un modèle interne : souscription, marché, taux, opérationnel…

• Il ne se limite cependant pas à ces seuls risques, trop réducteurs pour restituer une image fidèle du profil de risques réel. La fonction Risque doit donc identifier les autres risques qui sont propres à l’organisation, en prenant en compte l’ensemble de ses filiales et métiers (non nécessairement assurantiels).

La fonction Risque doit par ailleurs garder à l’esprit que le profil de risque ne peut consister en un simple inventaire de la totalité des risques avérés ou potentiels :

• A partir de ses analyses et des points de vue qu’elle collecte, elle priorise les risques devant faire l’objet d’un suivi. Sa valeur ajoutée à ce stade repose sur sa capacité à proposer une liste réduite de risques pour lesquels l’investissement dans un dispositif de mesure, suivi et pilotage permanent se justifie au regard des objectifs business.

• De ce fait, elle élabore un véritable outil de management en alliant la vision « risque » des intervenants opérationnels (approche « Bottom-up » visant à l’exhaustivité du recensement) et celle des dirigeants (approche « top-down » visant à la pertinence et à la priorisation des investissements en matière de risque).

Pour finir, elle s’assure pour l’ensemble des éléments de ce profil de risque priorisé qu’un dispositif opérationnel de gestion et de pilotage est effectivement en place. Chacun de ces risques doit être attribué à un propriétaire de risque, porteur de l’expertise la plus poussée disponible dans l’organisation sur ce sujet : l’actuariat pour les risques de souscription, de contrepartie au passif et de réassurance, la gestion d’actifs pour les risques de marché et de crédit… Cette attribution est la première brique pour permettre la mise en place d’un dispositif de gestion des risques effectivement opérationnel. Les composantes du processus de gestion des risques sont reprises en partie 2 ci-dessous.

24 PwC

Une fonction en pleine évolution sous l’influence de Solvabilité 2

Au-delà de cet aspect technique, les organisations positionnent d’abord la fonction Risque en faisant évoluer son « droit de regard » sur les décisions opérationnelles. Cette notion recouvre l’étendue des prérogatives de cette fonction sur les processus, politiques et opérations de prise de risque pour lesquels elle ne constitue pas l’expert de référence. Dans les faits, les interventions de la fonction Risque sont en ligne avec la priorité stratégique accordée au risque :

• Une entreprise peut avoir une approche conservatrice du risque : sa priorité est alors de ne pas compromettre les protections offertes aux assurés et sécuriser la performance. Dans ce cas, la fonction Risque aura généralement pour fonction de conseiller les responsables opérationnels sur la maîtrise de leurs processus et des risques associés. Elle n’aura pas (ou peu) de latitude pour bloquer les processus de décision.

• Une entreprise peut aussi décider de fonder sa création de valeur sur le pilotage des risques qu’elle prend et de leur impact sur ses variables stratégiques : MCEV, capitalisation boursière, capital économique… Dans ce cas, la fonction Risques devient un acteur clé dans les décisions opérationnelles : elle est partie prenante intégrale de ces processus, est consultée pour toute décision importante et émet alors un avis formel. Elle dispose éventuellement d’une possibilité de blocage (qui nécessite de prévoir un processus d’arbitrage). Ces entreprises utilisent quasi systématiquement un modèle interne, qui est intégré dans les processus de décision stratégiques et opérationnels.

Les entreprises évoluent progressivement sur la courbe de maturité de l’ERM entre ces 2 pôles. Au fur et à mesure de cette progression, la fonction Risque évolue dans son positionnement :

• Son rattachement hiérarchique tend à remonter. On observe actuellement une vague très cohérente de repositionnements des fonctions Risque, rattachées de plus en plus systématiquement à la direction générale, marquant la prise en compte croissante des enjeux de risque dans le pilotage des entreprises d’assurance.

• Le rôle du directeur des risques évolue. Souvent perçu initialement comme un cadre à orientation conservatrice et technique, il a vocation à se positionner de plus en plus comme un « Business Advisor » auprès des instances de décision. Sa compréhension unique des risques pris par l’entreprise et de leurs interactions lui permettent de fournir un conseil pertinent sur les modalités de création de valeur.

• Les fonctions Risques, initiées autour des impératifs réglementaires successifs (lutte anti-blanchiment, lutte anti-fraude,…) évoluent vers des organisations plus professionnalisées, le plus souvent structurées par types de risque (opérationnels, techniques, capital économique…).


Une fois le profil de risque arrêté, l’enjeu pour la fonction Risque est de promouvoir la mise en place d’un dispositif risque s’appuyant sur des processus de décision clairs et partagés. La fonction Risques dispose pour cela de deux leviers principaux.

La définition des rôles et responsabilités sur les principaux risques

Pour cela, la fonction Risque part de sa formalisation du profil de risque et pilote l’articulation des rôles et responsabilités pour chacun des risques qu’elle y a inscrit. La difficulté principale repose dans la diversité et l’hétérogénéité des intervenants.

Si le modèle des 3 lignes de défense illustré précédemment fournit un cadre général en ce sens, cette mise en cohérence doit être déclinée précisément pour chacun des risques du profil. Il est alors nécessaire de :

• Cartographier les fonctions légitimes dans la prise en charge d'un risque donné : métiers, support, direction ou gouvernance…

• Localiser dans l’organisation l’expertise clé en matière de gestion de ce risque (en général, il s’agit du propriétaire du risque identifié lors des phases amont de mise en place du dispositif).

• Définir précisément les rôles et responsabilités de chacun dans le processus. Un point d’attention particulier est à apporter à la capacité de blocage des fonctions support (typiquement, la fonction Risque) par rapport aux fonctions opérationnelles concernées, et définir ainsi précisément cette notion de « droit de veto » sur les décisions opérationnelles. Notons que la définition de ce droit de blocage doit s’accompagner de la mise en place d’une procédure claire d’arbitrage en cas de désaccord entre la direction des risques et la direction métier concernée.

2.1.3. L’articulation des différentes fonctions impliquées dans la gestion des risques

« La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2, va nécessiter une plus grande coordination entre tous les acteurs participant à la gestion des risques tout en s’appuyant sur les règles de gestion existantes, règles qui devront être renforcées à la marge. La discipline qui va en découler va permettre de faire émerger des opportunités de croissance et de renforcement de la relation avec nos clients tout en garantissant à tous (employés, actionnaires, clients…) un meilleur contrôle des risques et de ses impacts sur la structure de l’entreprise.

Groupe Euler Hermes Ronan Davit Directeur des risques

26 PwC

Figure 8 – Une matrice des rôles et des responsabilités pour la gestion des investissements

La mise en place d’une architecture de prise de décision

Le dispositif de gestion des risques le mieux conçu ne sera efficace et performant que s’il est accompagné d’un dispositif d’application opérationnelle des décisions. Il s’agit de garantir que d’une part, l’ensemble des informations utiles remontent à temps aux niveaux hiérarchiques appropriés et que d’autre part, ces instances examinent les problématiques et prennent les décisions nécessaires. L’entreprise est alors à même de piloter ses expositions aux risques de manière continue et de réagir rapidement en cas de déviation inattendue de son profil de risque.

L’organisation de la décision est bien entendu propre à la culture de chaque entreprise et fonction de son niveau d’avancement sur la « courbe de maturité » de l’ERM. Néanmoins, la revue ou la mise en place de l’architecture de décision passe par quelques étapes clés :

• Définir les niveaux organisationnels clés en matière de décision risques. Ces niveaux sont souvent ceux des principales strates décisionnelles de l’entreprise (comité de direction, fonctions clés dans la prise de risque, exécutants…) et sont définis en cohérence avec les rôles et responsabilités identifiés pour chaque type de risque du profil de risque.

• Prioriser les types de risque pour lesquels des instances de pilotage formelles et régulières sont nécessaires. Au regard de ces priorités, l’entreprise formalisera les responsabilités attendues de chaque niveau organisationnel (supervision globale, définition des pratiques, suivi et reporting…).

• Concevoir les instances de décision ad hoc à chaque niveau : type de comité, membres, attributions, modalités et droits de vote, fréquence de réunion.

Gestion des investissementsGestion des investissements

Responsable(responsabilité en dernier ressort)

Acteur(pilotage de la mise en œuvre opérationnelle)

Consulté(avis sollicité de façon systématique, publié et pris en compte dans la décision)

Informé(modalités de gestion communiquées régulièrement)

Conseil d’administration (via le comité des risques) : responsabilité de supervision globale

Direction générale : validation et pilotage de la politique de placements

Direction des Investissements : propose à la validation les orientations de l’allocation stratégique, dé�nit les modalités d’allocation tactique, réalise le suivi.

Direction des Risques : émet un avis au regard de l’exposition globale du Groupe et de son niveau de solvabilité selon l’exposition de l’entité considérée aux risques de marché. Si avis contraire, arbitrage en comité exécutif.

Service Trésorerie (Direction Financière) : informé de l’ensemble des évolutions de la politique de placements.

Utiliser une matrice des rôles et des responsabilités, telle que présentée dans l’exemple ci-dessous, permet de formaliser aisément cette répartition des rôles.


Figure 9 – Matrice des rôles et responsabilités

Le nécessaire lien entre la gestion et le contrôle des risques

Une des leçons principales de la crise financière est qu’une gestion des risques performante nécessite un dispositif cohérent, garantissant une articulation opérationnelle réelle entre :

• d’une part, la définition de politiques et processus risque pertinents (essentiellement du ressort de la direction des risques),

• et d’autre part, la correcte application de ces politiques et processus par les acteurs concernés (fonctions opérationnelles, contrôle interne…).

Initialement, beaucoup d’entreprises d’assurance ont engagé des démarches de cartographie des risques un peu lourdes car fondées sur un niveau de détail très granulaire. Ces démarches ont cherché à identifier et maîtriser les risques spécifiques à certains processus ou domaines opérationnels : fiabilité des processus d’information financière (projets SOX), sécurité des systèmes d’information, lutte contre la fraude ou le blanchiment d’argent…

Ces réflexions conduisent les entreprises à mener des travaux spécifiques sur la maîtrise du risque opérationnel. Il s’agit en effet de la mission première du contrôle interne (ou contrôle permanent) : assurer la correcte maîtrise des processus et opérations de l’entreprise et la fiabilité des informations produites par l’entreprise, quelles soient financières ou non. A ce

stade, ces réflexions ont été initiées mais ne semblent pas avoir été complètement arbitrées par les entreprises d’assurance : le risque opérationnel, très difficile à appréhender, est totalement spécifique à chaque organisation et ne fait pas l’objet de définitions précises dans Solvabilité 2. Les calibrations du SCR au titre du risque opérationnel aboutissent d’ailleurs à une charge minime en fonds propres, n’incitant pas ou peu à investir dans un dispositif poussé de maîtrise de ce risque.

Marché Crédit Souscription Opérationnel

Preneurs de risque

Comex

Reporting &Mitigation

Comité des risques

Comité de Souscription

Comité Contrôle Interne

Comité d’Investissement

Comité ALM Reporting Reporting

La comitologie peut ainsi s’organiser de manière cohérente au sein de l’entreprise, comme illustré dans l’exemple indicatif ci-dessous :

28 PwC

Un certain nombre d’acteurs du marché initie actuellement des démarches spécifiques à l’analyse du risque opérationnel et à l’articulation risque – contrôle. Parmi les pistes actuellement envisagées, les principales sont les suivantes :

Regroupement progressif des fonctions risque et contrôle sous une unique responsabilité (majoritairement, le directeur des risques).

• Cela permet de donner une meilleure cohérence entre des initiatives parfois déconnectées auparavant. Ces réflexions sont souvent concentrées sur la problématique de la fonction de conformité : s’agit-il d’un sujet piloté par les acteurs du juridique (réalisation de la veille réglementaires) ou du contrôle interne (diffusion des dispositions légales dans les processus opérationnels) ? Nous observons une tendance assez nette en ce sens à (i) nommer un responsable conformité, chargé de définir les principaux enjeux de la conformité pour l’entreprise et coordonner l’application des dispositions juridiques applicables en la matière tout en (ii) maintenant la responsabilité de la veille juridique au niveau de la direction juridique, mais en créant une instance de coordination à fréquence régulière entre ces deux acteurs. D’une manière générale, les entreprises tendent à mettre leur fonction de gestion des risques en mesure de superviser à la fois la pertinence de leur cadre ERM et la correcte application des dispositions qu’il met en place.

Cadrage du dispositif de risque opérationnel.

• Dans un premier temps, l’effort se porte sur ce que recouvre cette notion. Il ressort généralement de ces analyses que le risque opérationnel recouvre tout élément compromettant l’atteinte des objectifs des processus opérationnels (voir la nomenclature définie en ce sens par Bâle 2), ou encore toute élément compromettant la correcte application des politiques de risques définies par l’entreprise. Certaines organisations sont allées plus loin : face à la volumétrie trop importante des risques opérationnels, elles ont priorisé les domaines d’exposition critiques et concentré leurs efforts de déploiement des dispositifs de maîtrise sur ces quelques domaines.

Modélisation du risque opérationnel.

• Certaines entreprises ont mis en place des dispositifs de collecte de données liées aux pertes opérationnelles. Ces dispositifs permettent d’évaluer l’exposition réelle de l’entreprise aux pertes opérationnelles, de dimensionner de manière plus cohérente leur dispositif de maîtrise, voire de réaliser des économies en besoins de fonds propres. Il reste toutefois que pour être efficace, ce dispositif doit être cadré (par exemple, en définissant clairement ce qu’est une perte opérationnelle et à partir de quelle valeur de seuil on collecte les montants des pertes) et profiter d’une profondeur historique importante. On estime que les résultats deviennent significatifs au bout de trois à cinq ans de collecte. Les assureurs sont donc encore peu avancés en matière conceptuelle sur la modélisation de ce risque.


Les groupes d’assurance sont confrontés à une difficulté opérationnelle majeure concernant le périmètre opérationnel de la fonction Risque. Comment celle-ci intègre-t-elle dans ses analyses et processus des entités et activités diverses et non nécessairement assurantielles (gestion pour compte de régimes de retraite complémentaires ou de sécurité sociale, services de soins et d’accompagnement, participations stratégiques…) ?

Si la plupart des organisations sont encore en recherche du bon niveau d’efficacité dans l’articulation du dispositif Risque entre les différentes entités d’un groupe, quelques bonnes pratiques émergent néanmoins :

• L’organisation de la « filière risques » au sein du groupe est alignée sur la structure organisationnelle et décisionnelle en place. Dans un groupe très décentralisé, les différentes entités ou filiales disposent souvent d’une fonction Risque locale, rattachée hiérarchiquement à leur direction générale mais reliées fonctionnellement à la direction des risques du groupe. Dans un groupe plus centralisé, la direction des risques du groupe supervise les entités

juridiques. Elle définit éventuellement un principe de subsidiarité réglant les marges de manœuvre des entités, qui disposent dans ce cas d’un « correspondant risque ». Dans tous les cas, la fonction Risques est amenée à animer un fonctionnement en réseau.

• Les groupes ont tendance à imposer à l’ensemble de leurs entités assurantielles des principes et schémas de reporting cohérents, définis et pilotés centralement. Ceci est particulièrement vrai pour les groupes internationaux disposant de filiales ou entités étrangères exerçant dans des pays non soumis à Solvabilité 2. Dans ce cas, un double reporting est le plus souvent choisi : maintien du reporting inspiré des normes prudentielles locales, envoi d’un reporting risque normalisé (souvent selon un « format Solvabilité 2 ») au groupe.

2.1.4. Le degré de centralisation de la fonction Risque

30 PwC

Figure 10 – Benchmark Fonction Risque réalisé par PwC

Pour autant, il n’existe pas de schéma "standard" en ce qui concerne l’étendue de la fonction Risque. Il s’agit plutôt d’incompatibilités dans certains cas, notamment pour respecter les principes d'indépendance et d'objectivité par rapport aux fonctions opérationnelles. De nombreuses compagnies ont aussi souhaité « muscler » leur fonction Risque au-delà du strict minimum réglementaire. En effet, cette fonction a vocation à devenir davantage centrale et tous ses enjeux ne sont pas forcément perçus dans un premier

temps. Des compagnies ont donc ajouté des fonctions plus "traditionnelles" à la fonction Risque pour lui donner davantage de contenu et d'importance. Concernant les filiales, les solutions observées sont le plus souvent basées sur le principe de subsidiarité. La filiale dispose ainsi d’une importante autonomie de gestion de ses risques, le groupe ne couvrant que les quelques types de pertes maximales que l’activité de cette filiale peut générer (notion de « risque filiale »).

CRO

ERM

ALM

ActuariatCorporate

Contrôle permanent

Capital économique

75%

67%

33%

17%

17%

CEO67%

Réassurance 17%

Sur la base d’un benchmark réalisé parmi les trente plus gros acteurs du secteur de l’assurance (compagnies d’assurance, mutuelles et institutions de prévoyance)

Organigramme possible de la direction des risques Principales responsabilités du CRO

ERM

ALM

Actuariat

Reinsurance

Contrôle Permanent

Capital économique

Internal capital model

Risk management model

Capital Management

Market risk exposure

Contrôle interne

Comptabilité

Solvabilité 2

Contrôle de gestion

0% 20% 40% 60% 80%

On retrouve très fréquemment des principes assez communs sur l’organisation de la filière risque, comme illustré dans le schéma ci-après.


Dans sa discussion avec la direction générale, un des rôles les plus fondamentaux de la fonction Risque est de définir les indicateurs clés de la gestion des risques. En effet, le choix de ces indicateurs est le révélateur de l’importance accordée par l’entreprise à une gestion des risques performante.

Cette réflexion s’inscrit dans le cadre de la définition d’une stratégie risque. Toutefois, avant de se lancer dans ce chantier il est nécessaire d’en définir les indicateurs de référence. Ces indicateurs doivent avoir un certain nombre de caractéristiques :

• Elles reflètent les dimensions principales du couple risque – performance qu’entend offrir l’organisation à ses parties prenantes (ROE, qualité de service, sécurité des protections…). Elles permettent de mesurer la résilience de l’organisation dans les cas extrêmes (c’est-à-dire les queues de distribution), mais restent réalistes et intègrent toujours la notion de performance (rentabilité…) en regard.

• Elles sont aisément mesurables, c’est-à-dire le coût de mise en œuvre de l’infrastructure de calcul et de pilotage n’est pas prohibitif (notamment si celle-ci s’appuie sur des processus déjà en place) au regard de la valeur ajoutée qu’apporte son suivi.

• Elles sont compréhensibles et explicites pour les personnes en charge de leur suivi. Il est donc clé à ce stade de définir ou valider avec les instances de direction qu’elles comprennent et désirent effectivement disposer de ces indicateurs de pilotage.

Dans la majorité des cas toutefois, les organisations ont recours à un nombre très limité d’indicateurs « fondamentaux » pour leur approche ERM. Leurs approches allient en général :

• un indicateur de résultat comme le résultat avant impôts,

• une mesure de la valeur comme la MCEV,

• un indicateur de la solvabilité comme le ratio de couverture du SCR ou le capital économique.

2.1.5. Les indicateurs clés de la gestion des risques

32 PwC

2.2 Mettre en place le processus de gestion des risques

De manière simplifiée, il est possible de regrouper les différentes étapes du processus de gestion des risques selon le schéma suivant. Chacune de ces étapes se fonde sur un certain nombre de composantes. L’objectif de cette partie est d’examiner la nature de ces composantes, d’identifier les principaux enjeux et leur application opérationnelle et de fournir des exemples concrets de leur mise en œuvre.

Definir le cadre de la prise de risque

Identifier et évaluer les risques

Gérer les risques

Suivre et reporterles risques

Établir la planification

stratégique du capital

Figure 11 – Les étapes de la mise en place d’un processus de gestion des risques


Les articles 44 et 45 imposent à l'entreprise de démontrer qu’elle a mis en place un système adéquat et efficace de gestion des risques, comprenant une stratégie des risques acceptés, une procédure d'enregistrement des risques, de gouvernance de ces derniers et enfin une documentation suffisante des résultats de cette gestion. Dans le cadre de ce système, la Directive impose également, qu’au travers de cette stratégie, les liens entre objectifs de performance et de risque soient clairement établis.

Les composantes d’une stratégie des risques

C’est à travers cette stratégie des risques que l’entreprise définit le cadre « accepté » de la gestion des risques. Au préalable, il est bien entendu nécessaire d’avoir défini les indicateurs de référence de la gestion des risques, comme évoqué précédemment. Une démarche de stratégie des risques repose sur cinq concepts clés :

• L’appétit (ou appétence) au risque, qui constitue le niveau de risque agrégé (c’est-à-dire au niveau groupe) qu’une entreprise accepte de prendre en vue de la poursuite de son activité et de son développement. Il constitue une limite globale qui est déclarée par la direction de l’entreprise, et qui s’exprime sous la forme d’un niveau de déviation acceptée d’agrégats clés de l’entreprise par rapport à une situation espérée.

• La tolérance au risque représente le niveau de risque que l’entreprise accepte de prendre en vue de poursuivre son activité et son développement pour un périmètre plus restreint. C’est une répartition à un niveau plus fin de l’appétit aux risques. Cette déclinaison peut être réalisée aussi bien sur des grandes familles de risque que des entités ou périmètres géographiques.

• Les limites de risques se définissent comme les limites opérationnelles en cohérence avec le budget de risque et/ou l’appétit aux risques. Ces limites sont spécifiques au processus auquel elles se rapportent.

• Le profil de risque est déterminé par la réaction d’agrégats financiers à un choc d’une variable sous-jacente. La mesure est réalisée sur un périmètre donné, à une date fixée. Cette mesure peut être réalisée sur des périmètres très restreints comme le risque de mortalité pour un produit spécifique d’une filiale. Elle peut également être réalisée à tous les niveaux d’agrégation possibles jusqu’au périmètre intégral de l’entreprise.

• Le budget de risque est la mesure du niveau anticipé d’exposition aux risques à un horizon donné, sur un périmètre donné. Cette mesure est une mesure du profil de risque sur une projection de l’entreprise, avec des niveaux de granularité identiques

Il est important d’avoir à l’esprit que la stratégie des risques fixe non seulement le cadre de la prise de risque mais également les modalités selon lesquelles ces principes généraux doivent se diffuser au sein de l’organisation. Elle définit les enveloppes et les niveaux cibles adaptées à la volonté de prise de risque en fonction de la stratégie définie.

A travers l’articulation des différents composants de la stratégie des risques se profile une gestion totalement intégrée de l’actif et du passif. Cette stratégie est élaborée majoritairement via une approche top-down (c’est-à-dire définie par le management) mais cette réflexion est nourrie par les remontées opérationnelles (approche bottom-up) :

2.2.1. Définir le cadre de la prise de risque

34 PwC

Tolérance au risque

Risque maximal acceptableOù pouvons nous nous positionner en termes de risque ?

Profil de risque cibleOù souhaitons nous nous positionner ?

Positionnement par rapport à la concurrence, par rapport à la réglementation, par rapport aux spéci�tés business

Positionnement par rapport

aux exigences de l’actionnaire en termes de performance

Mise en perspective de l’appétence au risque dé�nie par le COMEX avec le pro�l de risque cible

Mise en perspective de la stratégie dé�nie et du réel avec une déde risque et d’activité.

Profil de risque actuel Quel est notre positionnement actuel ?

Appétence au risqueDocument intégrant la stratégie retenue

par le COMEX et sa déclinaison en termes de risques tant dans son positionnement

concurrentiel (Risk capacity, Risk appetite) que dans la prise en compte des spécifici-

tés de l’entreprise (Risk Profile)

Appétence au risque

Tolérance au risque

Risque demarché

Risque desouscription

Risque decontrepartie

Risque deopérationnel

Profil de risque actuel Quel est notre positionnement actuel ?

Opérationnels

ExécutionRègles / Procédures

Go

uver

nanc

e d

es r

isq

ues

Ap

pro

che

To

p -

Do

wn

Ap

pro

che

Bo

tto

m -

UP

Op

érat

ionn

els

– B

usin

ess

Uni

tsC

RO

- C

FOC

RO

– C

FO -

CIO

CO

ME

X

Contrôle

Méthodologies / Process / Cadre fonctionnel et

organisationnel

Supervision / Reporting

Evaluation

Risk Management

clinaison par type

aux spéci�tés business,

Figure 12 – Description de la stratégie des risques des acteurs de l'assurance


Une stratégie générale, basée seulement sur des métriques de résultat ou de solvabilité, ne peut constituer un guide opérationnel exploitable pour les preneurs de risque. L’aspect critique dans l’exécution de cette stratégie est donc sa déclinaison en limites opérationnelles de risque.

Pour cela, l’implication des dirigeants est primordiale. Il est en effet nécessaire de cartographier les différentes parties prenantes (actionnaires, marché, clients, agences de notation…) et leurs attentes respectives. C’est à partir de la compréhension de ces attentes que l’entreprise définit une stratégie des risques ainsi que sa déclinaison en un système de limites opérationnelles.

Pour parfaire l’intégration du contenu de la stratégie des risques dans les décisions, il est nécessaire de compléter ces travaux par une mise à jour du processus budgétaire, afin d’y inclure des critères d’évaluation au regard des montants de risques encourus.

Attentes des actionnaires

Pro�l d’activités Appétit aux risques(métriques sous-jacentes)

Business plan

Cadre des limites

Horizon stratégique(3-5 ans)

Horizon bugétaire(1-3 ans)

Opérationnel(année courante)

Redescente des objectifs de performance

Redescente des limites de risque

Surveillance / mesures de gestion

Interaction entre les promesses faites aux actionnaires et les limites - illustration

Co

ntra

igna

ntFl

exib

le

d

Non

Intégration de l’appétence au risque dans le processus budgétaire - illustration

Oui

Non

Fin

Business Plan SurveillanceEtablissement deslimites et de la cible

Draft business plan

Déroulement du plan dans le cadre usuel

Etablissement des limites de risque

Confrontation du pro�l de risque et

des limites

Le BP s’intègre t’il dans l’appétence au

risque?

Itérationdu

Business Plan

Le pro�l de risque est-il dans les limites dé�nies

Prendre des mesures

’ajustement

Prise en compte des engagements vis-à-

vis des assurés.

Oui

Figure 13 – La déclinaison de la stratégie de risques

Figure 14 – Le processus budgétaire

36 PwC

Le système d’identification des risques (voir schéma ci-dessous) comporte deux éléments :

• Une cartographie des risques (ou « heat map ») qui permet de classer les risques en fonction de leur impact financier potentiel et de leur probabilité de survenance. L’évaluation de l’impact financier et de leur probabilité de survenance doit s’effectuer de manière cohérente dans toutes les entités opérationnelles (même taxonomie des risques et calibration des impacts) et pour tous types de risque. Tout aussi important est l’efficacité des procédures de

2.2.2. Identifier et mesurer les risques

collecte et de mise à jour des bases de données recensant les risques (loss database).

• Une liste des risques majeurs qui doit contenir les quelques « grands » risques critiques auxquels l’organisation est exposée. Ces grands risques qui peuvent conduire à la faillite doivent être analysés en profondeur afin d’identifier les composantes clefs (causes, scenario d’occurrence, impacts…).

Identifyindividuals

withinbusiness units for ownership

of riskregister

Risk investigation:1. Using risk

categorisationmodel

2. Supplementedwith speci�c

business knowledge

Populatesofware

tool

Review and challenge by TMC

Identi�ycategoriseand score

risks

Evaluatecontrols

Identifyactions

Risk distributions for use in internal model

Conduct risk and controls assessment

(facilitated by riskmanagement)

Management attestation for key risks and

controls

Emergingrisks

Developrisk

registersoftware

tool

Prioritisation

AggregationTransfer mechanism

Risk identification process (one-off)

Riskinformation visualisation

study

Focus groups

Lessonslearnt

Risk mgt

Assedplannedcontrols

framework

Trend analysis of heat map

Internalaudit

Risk assessment process

Risk mgt

Scenario analysis of heat map

Risk mgt

Risk identification process (quaterly)

Loss databases

Record of risk events. List of losses, and near misses

Risk heat map

Risk RegisterItems

1 Capital Losses fromInvestmentPortfolio

2 InappropriateInvestmentProcesses

7 Insuf�cientWorkingCapital

1 Capital Losses fromInvestmentPortfolio

2 InappropriateInvestmentProcesses

7 Insuf�cientWorkingCapital

Plan and prepare – One off exercise

Undertake – quaterly process

Risk profile (and qualification) as at…

Risk Type BU1 BU2 BU3 BU? (DB1) Firm

Nat Cat risk Gl Pricing risk

Risk Type

Credit

DB1

Total

Risk and Control Heatmap

Gro

ss L

ikel

iho

od

5 high 5 10 15 20 25

4 Med Hight 4 8 12 16 20

3- Med 3 6 9 12 15

2- low Med 2 4 6 8 10

1- Low 1 2 3 4 5

1- Low2- low Med

3- Med4 Med Hight

5 high

Gross Likelihood

7

2 1

Figure 15 – Le système d’identification des risques

Identifier les risques applicables à l’activité

Un système efficace d’identification des risques doit permettre de recenser en amont l’exhaustivité des risques grâce à une cartographie détaillée. Ensuite, ce système doit prévoir de recouper cette vision détaillée avec les risques majeurs identifiés par une approche globale. Par la combinaison de ces deux approches, détaillée et globale, l’entreprise est en capacité d’en comprendre les causes et les interdépendances. Le système d’identification des risques doit être mis à jour régulièrement ou lors d’un changement important du profil de risque.


Systèmes de mesure des risques

Les méthodologies de mesure des risques sont couvertes par le Pilier 1 de Solvabilité 2, via la formule standard qui définit les principes de modélisation des provisions techniques en best estimate et les exigences pour le calcul du SCR (module de risque, chocs à appliquer, matrice de corrélation).

Les entreprises ont également la possibilité de recourir à un modèle interne reflétant mieux les spécificités de leur profil de risque. En effet, le modèle interne permet, à partir d’une même base, de multiples utilisations qui vont de l’exigence de solvabilité à l’ « embedded value », la gestion actif-passif, les études de profit-testing lors de la création de produits, l’appétit aux risques, ou même l’ORSA.

Bien plus qu’un outil de calculs, le modèle interne est un outil de mesure, de contrôle, de gestion et de reporting des risques. Il est ainsi au cœur de la stratégie et du pilotage des risques. Comme illustré par le graphique suivant, ce modèle est au cœur du dispositif de gestion des risques. Composé de méthodologies, d’hypothèses (endogènes et exogènes) et de données de paramétrages conçus par des experts dédiés, il reflète les politiques définies. Ainsi, le modèle interne agit dans le cadre des processus internes propres à l’activité. Il permet ainsi de produire dans un cadre délimité et sécurisé par le contrôle interne de nombreux reportings qui vont être utilisés à des fins diverses en fonction des besoins du management. Dans ce cadre il peut être utilisé pour produire des éléments de valorisation de l’entreprise (MCEV), de bilan

économique mesurant la performance économique, et bien sûr les nouvelles mesures de solvabilité de l’entreprise.

Demain, ces modèles serviront aussi aux évaluations comptables en IFRS sous IFRS 4 phase 2. Le modèle interne est en effet au centre des processus de décision de l’entreprise, à toutes les étapes, aussi bien en amont lors de la souscription des contrats que lors de la gestion et le pilotage des risques sous-jacents. Elément constitutif de la gouvernance, le modèle interne est mis en place en cohérence avec les fonctions contrôle interne, actuarielle, l’audit interne, et la gestion des risques.

Cependant sa mise en place peut s’avérer coûteuse dans un contexte où les exigences nées de la Directive Solvabilité 2 sollicitent déjà beaucoup les entreprises d’assurance et de réassurance. Dans ces cas, il peut paraître plus opportun de se tourner vers la formule standard. Le recours au modèle interne ne doit en effet pas constituer un dogme.

Enfin, il ne faut pas oublier que le modèle interne, pour être utilisé, doit faire l’objet d’une approbation par le superviseur, point abordé ci-après en partie 2.3.

38 PwC

Pro

ces.

Com

mer

cial

Pro

cess

us R

isq

ues

Pro

cess

us R

isq

ues

Out

put

Co

ntro

ls

Inp

ut C

ont

rols

Hypothèses

Politiques du Modèle Interne

Variations Données Validation

Processus de validation du Modèle interne

Structure de contrôle du Modèle Interne

Business Plans

Modèle interne

Autres politiques

Test Utilisation

La vision de PwC du périmètre du modèle interne

Gestion d

es risques

Processus com

mercial

Tari�cation

Reward

RI purchase

Souscription

M & A

Stratégie

Allocation du capital

Business plan

Gestion exposition

Investissements

Pilotage Solvabilité

Innovation Produits

ALM

Pilotage stratégie

ORSA

Déroulement Processus

Processus Modèle Interne

Gouvernance

Risk Management

Finance

Actuariat

Comité Exécutif

Comité de direction

Souscription

ORSA

Pro�l de Risque

SensibilitésMo

teur

de

calc

ul

Man

agem

ent

Info

rmat

ion

Inte

rnal

Mod

el in

put

qua

lity

Con

trol

s

Exp

ert

jud

gem

ent

- as

sum

ptio

n se

ttin

g

Mod

el In

put

Dat

a S

truc

ture

Inte

rnal

Mod

el O

utp

ut D

ata

stru

ctur

e

Dis

trib

utio

n R

evie

w a

nd C

onve

rsio

n

Inte

rnal

Mod

el o

utp

ut c

ontr

ols

Gouvernance du Modèle Interne

Gestion contrats

Gestion sinistres

Gestion actifs

Données externes

Sources de Risque

Données RiskOp

Enregistr. risques

Agrégations

Données contreparties

Transferts risques

Provisionne-ment

Réassurance

Investisse-ments

Validation des sorties

Analyse de variation

Stress &Scenario,Tests de

Sensibilités

Qualité Statistiq.& Calibration

Méthodo-logies

Capital (SCR & CapEco)

Bilan (Actif & Passif)

Compte de Résultats(Cadrage Comptab.)

Figure 16 – Le périmètre du modèle interne


Une fois la stratégie de risque définie, il est possible de la décliner en politique de risque qui s’applique à toutes les entités et peut comporter des déclinaisons locales pour tenir compte de la réglementation du pays ou des spécificités du marché local.

La politique de risque s'articule autour de la mise en place d’une gouvernance qui couvre au minimum les risques de :

• souscription en non-vie,

• soucription en vie,

• soucription en santé,

• marché,

• contrepartie.

Une gouvernance est un ensemble de principes et de règles permettant grâce à un processus de décision clair et partagé et des outils adaptés de suivre et piloter les risques. Elle comporte habituellement les éléments suivants :

• Un corpus de règles : meilleures pratiques (reconnues par la profession ou internes à l’entreprise), pratiques tolérées, pratiques interdites.

• Des procédures de délégation de pouvoirs : toute décision engageant significativement la compagnie doit obtenir l’accord de deux personnes au moins, niveau de l’engagement en adéquation avec le niveau hiérarchique.

• La tarification et le provisionnement : objectif de rentabilité, bases techniques utilisées, méthodologie de tarification et de provisionnement.

• Le suivi du risque : indicateurs de risque, risques spécifiques nécessitant un suivi particulier, stress tests.

• Les outils : documentation, outils standards, outils non standards.

2.2.3. Gérer les risques

40 PwC

Un exemple d’application de la politique des risques

Nous avons vu dans la première partie de ce document les principes instaurés par la Directive en matière de gouvernance. Ces politiques de risques s’entendent par risque suivant ainsi l’approche modulaire de Solvabilité 2.

La fonction technique, par exemple, est propriétaire du risque de souscription : en cela elle est en charge de la mesure, de la gestion, du contrôle et de la communication des composantes de ce risque. C’est bien l’ensemble de ces éléments que doit refléter la politique du risque de souscription.

L’approche modulaire de la cartographie des risques sous Solvabilité 2 guide également le processus de gouvernance des risques.

La gouvernance repose sur le respect de principes ou guidelines établis conformément aux bonnes pratiques reconnus par la profession, aussi bien qu’aux pratiques internes propres à l’entreprise. Ces guidelines interviennent dès la souscription du contrat, puisqu’elles normalisent notamment les politiques tarifaires en matière de sélection des risques (lorsque cela est possible) et de mesure du prix du risque.

S’agissant du risque de longévité par exemple dans le cas des rentes viagères, la fonction actuarielle peut préférer une table d’expérience certifiée par un actuaire indépendant plutôt que les tables de mortalité réglementaires TGF05 et TGH05. En effet, la bonne connaissance du portefeuille conduit l’entreprise dans ce cas à retenir des hypothèses de mortalité plus faibles que la norme compte tenu du type de population couverte profitant d’un niveau élevé de vie et de soin.

SCR

Adj BSCR

SCRLife

SCROP

SCRDefault SCRIntang

LifeREV

LifeMORT

LifeLONG

LifeDIS

LifeLAPSE

LifeEXP

SCRMarket

LifeCAT

Figure 17 –Les modules de risque pour l’assurance vie


Sur la base des outils et processus de mesure du risque, le dispositif de gestion des risques doit produire et remonter aux responsables concernés l’ensemble des informations nécessaires à un pilotage adapté et réactif. Il doit donc générer des reportings internes et externes.

Les reportings internes

L’objectif d’un rapport de risque est de faciliter le suivi des risques en fournissant les informations nécessaires et l’analyse des risques existants et potentiels auxquels est exposée l’entreprise.

Le contenu du rapport de risque doit être adapté à son lectorat :

• La Direction générale : le rapport présente en une dizaine de pages une vue d’ensemble des risques affectant l’entreprise (la cartographie des risques, les trois ou cinq risques majeurs, la situation du marché, une comparaison avec les concurrents).

• La ligne de métier ou l’entité opéra-tionnelle : le rapport comporte une quinzaine de pages sur les risques auxquels est exposée la ligne de métier ou l’entité opérationnelle.

• Le rapport détaillé des risques : c’est un document (le plus souvent d’une centaine de pages ou plus) qui fournit tous les évaluations et plans d’ac-tion détaillés pour chaque risque.

Les reportings externes

Ces éléments sont définis dans le Pilier 3 de la Directive. Le périmètre des reportings concernés est celui décrit dans le CP58. Il comporte des parties qualitatives et quantitatives,

sur différents aspects (comptable, prudentiel, de gouvernance, etc.), qui sont détaillées dans les reportings suivants :

• Reporting To Supervisors (RTS) annuel, à destination des régula-teurs comprenant entre autre un Quantitative Reporting Template annuel (QRT) qui détaille les infor-mations fournies dans le RTS.

• Solvency and Financial Condition Report (SFCR) annuel, à destination du marché, et reprenant la struc-ture du RTS sans les informations à destination des régulateurs.

• RTS trimestriel, comprenant prin-cipalement un QRT trimestriel allégé par rapport au QRT annuel.

La nécessaire convergence Risque / Finance

On remarque que les organisations tendent de plus en plus à prévoir un chantier opérationnel spécifique sur ce sujet, et ce pour plusieurs raisons :

• C’est d’abord un enjeu technique. Les entreprises sont confrontées à une multiplication de leurs bases de reporting (SFCR et RTS en régime de croisière Solvabilité 2, MCEV, IFRS 4 Phase 2, rapports pour les agences de notation…), dont les référentiels s’avèrent partiellement divergents. Chaque entreprise devra donc s’as-surer d’une part, qu’elle maîtrise les risques d’erreur sur ses différents processus de reporting (logique de contrôle interne) et d’autre part, qu’elle est à même de réconcilier et justifier les différences entre les résultats des différentes publications (différences de méthode, de base d’évaluation…).

• C’est également un enjeu de perfor-mance opérationnelle. Du fait des impératifs cités ci-dessus, beaucoup d’entreprises vont devoir multiplier les processus de clôture et les reportings. Cela crée un souci légitime d’efficacité et de réduction des coûts de ces proces-sus. Un grand nombre d’acteurs prévoit en ce sens la mise en place d’un da-tawarehouse commun, alimenté par les systèmes sources (gestion, actifs, inven-taire…) et à partir duquel les données sont extraites de manière cohérente par les différents intervenants sur certains « univers » de traitement. En aval, ces entreprises tendent à organiser l’ensemble des communications vers le marché afin d’assurer la meilleure cohé-rence des messages délivrés ainsi que la maîtrise des calendriers de publication.

• C’est enfin un enjeu stratégique. Sous l’effet de l’incitation réglementaire, les pratiques de marché convergent vers une évaluation et un pilotage de la performance pondérée du risque. Les dispositifs de pilotage devront donc produire en plus de la perfor-mance financière et opérationnelle « classique » une vision du niveau de risque encouru par l’entreprise pour atteindre ces chiffres, voire de la « performance » spécifique de la prise de risque de l’entreprise. Cette évolution entraînera certainement des projets de convergence de ces dispositifs et de refonte des outils du pilotage de la direction générale et de la communi-cation aux actionnaires. Ces sujets sont une priorité des directions générales et instances politiques, et se matérialise-ront progressivement au fur et à mesure de la maturation des processus d’ORSA.

2.2.4. Suivre et reporter les risques

42 PwC

2.2.5. Établir la planification stratégique du capital

L’analyse prospective des fonds propres est en quelque sorte le livrable ultime du processus de gestion des risques. Mesurer et piloter les risques, dans la perspective de Solvabilité 2, doit permettre à l’organisation de garantir sa solvabilité de manière continue et de réaliser l’équilibre entre les objectifs business et le montant de risque encouru pour les atteindre. Cette évaluation prospective de l’exigence de capital ou planification stratégique du capital est au cœur du processus d’ORSA, qui doit de ce fait être mené en association étroite avec les instances de direction.

L’objectif de ce processus est de démontrer que l’assureur est capable de mobiliser le capital nécessaire pour couvrir le besoin en marge de solvabilité (BMS) sur l’horizon de la planification stratégique. Pour chaque stratégie commerciale, l’assureur va simuler un grand nombre de scénarios dans lesquels il fait évoluer les paramètres de risque afin de comparer les BMS et les capitaux disponibles. Une telle analyse est réalisée avant chaque décision stratégique majeure (fusion, acquisition, lancement d’une nouvelle activité…).

Si l’analyse révèle une sous-capitalisation, l’assureur doit pouvoir montrer l’existence d’un plan de sauvegarde réaliste :

• plan de recapitalisation,

• transfert de risque (réassurance, couverture par des dérivés, titrisation…),

• limitation de l’exposition brute (plafond de souscription, plafond d’investissement,…) via par exemple un amendement du schéma stratégique retenu (joint venture plutôt que nouvelle société…),

• mécanismes d’absorption des pertes (participation aux bénéfices, rappel de cotisations…).

Par ailleurs, l’organisation doit également être à même de mesurer la sensibilité de ces analyses à des dégradations de son environnement concurrentiel ou macro-économique. Les analyses de planification du capital sont donc complétées par l’utilisation des scénarii de stress, afin de comprendre les hypothèses sous-jacentes, les déterminants de cette planification et ses sensibilités aux risques. En particulier, les scénarii de stress permettent d’identifier les

menaces potentielles et de préparer les plans de sauvegarde pour diminuer leurs impacts sur le bilan. Les scenarii de stress sont clairement explicités, comme par exemple ceux utilisés par l’EIOPA en 2009 pour évaluer la solvabilité du secteur européen des assurances :

• scénario adverse : diminution de 15% à 50% en valeur relative des taux en fonction de leur maturité, élargissement des spreads de crédit, baisse de 10% à 20% des actions, baisse de 15% de l’immobilier concomitante à une vague de rachats massifs,

• scénario de profonde récession : diminution de 40% à 60% en valeur relative des taux en fonction de leur maturité, élargissement des spreads de crédit, baisse de 40% à 55% des actions, baisse de 25% de l’immobilier concomitante à une vague de rachats massifs,

• scénario d’inflation : hausse de 40% à 500% en valeur relative des taux en fonction de leur maturité concomitante à une vague de rachats massifs.


2.3. Piloter les chantiers transverses

Au sein de votre projet de conformité à Solvabilité 2, les aspects liés au Pilier 2 nécessitent de prévoir des chantiers transverses qui, s’ils ne résultent pas directement d’exigences des textes réglementaires, sont néanmoins indispensables d’un point de vue opérationnel. Nous avons choisi de nous attarder ici sur un nombre limité de ces chantiers, étroitement liés aux aspects du Pilier 2 :

• La qualité des données - mesurer et piloter les risques puis les traduire en planifications stratégiques de capital nécessite de disposer d’un niveau important de confiance sur la fiabilité des données utilisées et des processus de calcul afférents.

• La validation du modèle interne -les organisations ayant opté pour son utilisation dès le 1er janvier 2013 doivent prendre en compte les nombreuses contraintes liées au processus de pré-validation puis approbation finale par le superviseur.

• La conduite du changement - les exigences réglementaires nécessitent la plupart du temps des transformations organisationnelles importantes ainsi que des changements de pratiques significatifs, que vous avez besoin de comprendre, calibrer et accompagner.

• La mise en place de l’ORSA - ce processus doit démontrer la capacité de l’organisation à intégrer effectivement ses risques dans son pilotage et sa stratégie. Le processus ORSA est à ce jour peu formalisé. Bien souvent, les organisations doivent assembler les briques existantes et en faire sens au regard des exigences réglementaires.

44 PwC

2.3.1. Garantir la qualité des données

Les exigences de maîtrise des données

La qualité des données est une problématique centrale de la Directive Solvabilité 2. A l’instar de Bâle 2, le point concerne l’exhaustivité, la pertinence et la précision des données exploitées dans le cadre de la production des indicateurs réglementaires de Solvabilité.

L’alternative entre modèle interne et approche standard ne change finalement pas les choses, en termes de gestion de la qualité des données. Certes, l’homologation par le régulateur ne concerne que le seul modèle interne : à cet égard, elle demandera les efforts les plus significatifs en termes de mise en conformité de la part des acteurs qui ont fait ce choix. Il est ici question d’un niveau de qualité certifiable et vérifiable ; autrement dit, le niveau d’exigence est comparable avec celui du monde comptable d’une part, enfin la charge de la preuve incombe à l’assureur.

Deux aspects doivent être distingués pour bien couvrir le champ des exigences réglementaires :

• Un aspect statique, strictement circonscrit à la donnée qui alimente le modèle, quelle que soit son origine et sa provenance.

• Un aspect dynamique, traitant de la mise sous contrôle des processus d’extraction, d’acheminement et de transformation des données depuis les applications de gestion jusqu’aux moteurs actuariels de calculs et de projection des cash-flows et aux composants de reporting pour la « publication » des indicateurs réglementaires de solvabilité.

Ces deux aspects sont à croiser avec ce qui fait l’ADN de Solvabilité 2 par rapport au régime actuel forfaitaire de solvabilité : il s’agit d’un régime qui introduit la sensibilité aux portefeuilles de risques des assureurs ; chaque ligne métier est traitée de façon distincte, en considérant que pour une même prime, le niveau d’exposition et donc la consommation en fond propre varie en fonction de la nature du risque souscrit. Le calcul de l’exigence réglementaire en capital (SCR) est spécifique à chaque ligne métier. Par conséquent, les outils, les contrôles et les données sont également spécifiques à chaque ligne métier : Vie, Non Vie, etc.

Les enjeux « statiques » : maîtriser la donnée

D’un point de vue statique, on retrouve dans la Directive et dans plusieurs « consultation papers » la mention des trois axes d’analyse pour la qualité des données :

• Exhaustivité : les données mises à disposition couvrent avec le même niveau de granularité, de profondeur d’historique tous les risques en portefeuille, que ce soit en gestion directe, en gestion déléguée, en coassurance ou en réassurance.

• Précision : les données exploitées pour le calcul réglementaire sont exemptes de tout biais d’origine informatique, technique ou humaine qui les rendrait impropres à leur exploitation pour le calcul d’un indicateur réglementaire.

• Pertinence : les données sont effectivement exploitées de façon appropriée dans le cadre du calcul réglementaire. En cas de déficience ou de manque, le « proxy » utilisé est explicitement documenté et justifié pour la bonne compréhension du régulateur.

Il convient de préciser enfin que ces principes couvrent toutes les données qui sont utilisées dans le cadre du calcul réglementaire, qu’elles soient issues des applications de gestion (description des contrats, sinistres, primes), de la gestion actif-passif ou de la comptabilité (frais, commissions...) ou externes (données d’hypothèses, données marketing, chocs, ratings, scénarios économiques, données macro-économiques, etc.)


Cette problématique s’aborde via trois livrables principaux :

• le dictionnaire des données, recensant l’ensemble des données exploitées au titre du modèle interne ou de la formule standard. C’est sur ce périmètre précis de données que l’organisation devra démontrer sa maîtrise sur les trois critères cités précédemment. Les autorités de contrôle s’attendent à ce que chaque assureur s’approprie ces trois concepts et les déclinent en critères mesurables de la qualité des données ; c’est le travail prioritaire à mener parallèlement à la construction du dictionnaire des données utilisées par les filières risques. La conception de ces critères de mesure de la qualité des données combinée à la constitution du dictionnaire des données risques par ligne métier et par filière/système source est la pierre angulaire de deux livrables majeurs que sont la charte ou la Politique qualité des données de l’assureur et le modèle de gouvernance des données.

• la politique qualité des données risques est un document clé établissant précisément :

- les objectifs, enjeux périmètre, moyens…

- les critères de mesure de la qualité des données, alignés sur les trois axes de la Directive (Exhaustivité, Précision et Pertinence) pour chacune des lignes métiers de l’assureur,

- les principes de revue de la qualité des données (fréquence, profondeur, périmètre, restitution, responsabilité),

- le tableau de bord de suivi de la qualité des données par lignes métiers, selon notamment : · la sécurité des données

et des réseaux, · l’intégrité des données, · la disponibilité des données, · la constitution des historiques.

• Le modèle de gouvernance des données risques établit quant à lui :

- les principes de revues et de contrôles de la qualité des données,

- les rôles et responsabilités des différents profils impliqués,

- la comitologie (Instances, périmètre de décision, fréquence…),

- les moyens et notamment la politique Qualité des données, le guide de procédures (timing, sign-off),

- les plans de remédiation et leur suivi,

- les liens avec les autres instances comme l’audit interne et le contrôle permanent,

- les modalités d’intégration dans l’organisation existante.

Les enjeux « dynamiques » : sécuriser les filières d’acheminement

Sur le plan dynamique, les travaux à mener concernent la mise sous contrôle de l’infrastructure et des processus de gestion des données risques. Dans la plupart des cas, les acteurs du marché ont mis en œuvre des environnements de type entrepôts de données dans lesquels se déversent les données métiers et à partir desquels sont calculés des indicateurs (Capital économique, MCEV…), les provisions techniques, des indicateurs de pilotage opérationnel

et financier. Ils permettent aussi en général d’alimenter les tableaux de bord de direction ainsi que les rapprochements comptabilité – gestion.

Les assureurs doivent concentrer tous leurs efforts sur le traitement des filières d’acheminement des données ; une filière de donnée Solvabilité 2 prend sa source dans une application de gestion, elle intègre une succession de composants d’infrastructures et d’opérations de transformation, d’agrégation et de calculs des données, jusqu’à l’intégration des hypothèses, des chocs , la projection des cash flows, le calcul des différents SCR et la production des différents reportings internes et réglementaires. Il s’agit d’une filière de bout en bout qui doit impérativement comporter une piste d’audit complète et documentée. Il y a pratiquement autant de filières de données que de systèmes sources ; les infocentres ou entrepôts de données jouent un rôle de concentrateur de données, le dictionnaire des données permet d’aligner les flux issus des systèmes sources et de redresser les données issues de tels ou tels systèmes le cas échéant afin de garantir la parfaite cohérence des portefeuilles entre eux indépendamment de leurs systèmes d’origine.

L’autre conséquence positive est d’éviter de propager dans l’entrepôt de données la logique métier de l’application de gestion d’origine (logique relationnelle, terminologie, etc) les données ainsi extraites et transformées sont disponibles pour un plus grand nombre de « clients » et satisfont plus facilement aux exigences du « Use tests » comme le demande la Directive.

46 PwC

2.3.2. Obtenir la validation du modèle interne

Nous l’avons vu précédemment, le modèle interne est plus qu’un simple moteur de calcul, il est un élément clé dans les processus de décision de l’entreprise. Ce modèle, qu’il soit total ou partiel, doit pouvoir être approuvé par le superviseur. Pour ce faire, une documentation assez dense doit être établie de manière à prouver que les exigences de la Directive sont bien respectées.

Les conditions de validation

Pour rappel, la Directive fixe huit conditions qu’une organisation candidate à l’utilisation d’un modèle interne doit entretenir pour envisager une validation de son modèle interne :

1. Test d’utilisation ou « Use test » - l’organe de gestion doit comprendre et considérer les évaluations du risque et du capital à partir du modèle interne comme moteur fondamental de la mise en place de son plan commercial et de ses processus décisionnels stratégiques.

2. Test de qualité statistique des données - les évaluations doivent se baser sur des facteurs de risques opportuns, fiables, cohérents et compréhensibles ; elles doivent être fondées sur des hypothèses de risques réalistes, crédibles et vérifiables.

3. Test de calibration : les résultats doivent être calibrés à une valeur à risque (VaR) de 99,5% à un an

4. Test d’attribution des profits et pertes - Les entreprises doivent vérifier régulièrement si la classification du risque et l’attribution des profits et pertes dans leurs modèles reflète fidèlement les origines et les causes de ces profits/pertes au sein des unités opérationnelles.

5. Test de validation - la pertinence des évaluations et des hypothèses sous-jacentes doit être régulièrement confrontée aux données tirées de l’expérience. Les entreprises doivent également jauger la sensibilité des résultats aux changements des hypothèses clés.

6. Test de documentation - les entreprises doivent garder des traces écrites mises à jour régulièrement de la conception, des opérations, des fondements mathématiques et des hypothèses sous-jacentes de leur modèle.

7. Test de gouvernance - le modèle interne ne sera approuvé que si l’assureur a une gouvernance satisfaisante et des contrôles internes bien mis en place.

8. Test sur les modèles et données externes - les tests spécifiés s’appliquent également aux données ou aux modèles provenant d’un tiers (sous-traitance).

Organisation du processus de validation

Il est important notamment de pouvoir démontrer que le modèle est approprié en interne par les instances de décision, qu’il est compris et effectivement utilisé, en somme qu’il joue tout son rôle dans le système de gouvernance. Les méthodes de calcul utilisées par le modèle doivent être adéquates et fondées sur des hypothèses crédibles. L’entreprise doit pouvoir expliquer les écarts éventuels entre les hypothèses sous-jacentes du modèle et celles de la formule standard. Le modèle doit bien entendu couvrir tous les risques auxquels l’entreprise est exposée.

Le modèle doit par ailleurs permettre d’analyser annuellement les pertes et profits de l’activité, en ventilant ces derniers par catégorie de risques pris en compte par le modèle de manière à restituer le réel profil de risque de l’entreprise. L’entreprise doit en outre se doter d’une politique de suivi et validation régulière du modèle afin de s’assurer de la permanente adéquation entre le modèle et le profil de risque. Ce processus de validation, illustré ci-dessous, doit permettre de démontrer au superviseur que les exigences de capital résultant du modèle sont bien adéquates au profil de risque réel de l’entreprise.


L’homologation du modèle se fait pour le régulateur par l’analyse du dossier constitué par l’entreprise. Ce dossier doit comprendre l’ensemble des éléments cités et permettre de démontrer que le modèle interne est le résultat d’une démarche structurée, qu’il est parfaitement intégré et documenté. Cette étape de constitution du dossier d’homologation peut être assez lourde en pratique et doit donc être planifiée avec soin. Dans sa conférence du 22 novembre 2010, l’ACP a apporté d’utiles précisions sur ses attentes quant à la documentation du dossier d’homologation :

• Au-delà du dossier qui servira de base à son appréciation, l’ACP attend une disponibilité de la totalité des documentations de support, qui doivent être regroupées dans un sommaire détaillé.

• Pour les groupes internationaux, la langue de travail est l’anglais mais il sera nécessaire de prévoir une traduction au moins partielle du dossier en français.

• Les méthodologies mathématiques utilisées (hypothèses, traduction opérationnelle, paramétrage, fréquence des réévaluations) doivent être clairement décrites.

• Le dossier contient une description précise des processus de gouvernance du modèle, notamment en ce qui concerne l’articulation entre les filiales et le groupe.

• Les politiques de validation interne du modèle, de gestion des données et d’évolution du modèle interne sont à joindre au dossier.

Le régulateur prévoit un processus de validation du modèle interne inscrit dans les contraintes de timing fixées par la directive. Ce processus prévoit notamment une phase de préparation des entreprises concernées, ainsi qu’une phase de pré homologation. L’ACP a donné dans cette même conférence des indications sur les principaux jalons de son calendrier de validation :

• Les discussions préalables avec les organisations candidates à la validation de leur modèle s’achèveront avant le 31 mars 2011 pour les entreprises qui souhaitent un modèle interne validé avant le 1er janvier 2013.

• Pour cette première vague de demande d’utilisation d’un modèle interne, le calendrier de livraison doit prévoir une remise complète de tous les composants du modèle interne échelonnée jusqu’au plus tard le 31 mars 2012.

Outils de validation

quence

Périm tre de validation

rialit

Rôles et Responsabilit

Reporting

Politiques de changement du

Modè

Validation Indépendante

Do

cum

enta

tio

n au

fil d

e l’e

au d

u p

roce

ssus

de

valid

atio

n

Fré

Maté

le

é

è

és

La sécurisation du processus se fait par consolidations successives dans une approche par étages. Pour cela, doivent être clairement définis : - les modalités de reporting des résultats du processus de validation (comprenant notamment la revue indépendante) - le format standard de reporting.

Il est important à ce stade de bien identifier : - les intervenants clés « valideurs » des politiques et règles - les rôles et responsabilités dans le processus de validation du modèle interne : notamment la répartition entre les acteurs centraux et locaux, comme les modalités de la revue indépendante qui sera menée dès 2013.

Les règles de validation doivent bien entendu prévoir la fréquence à laquelle les étapes du processus de validation seront menées. A nouveau, une différenciation est possible en fonction des modules et/ou des pays concernés.Il faut également identifier les faits déclencheurs du « OK » de validation ainsi que ceux déclencheurs d’une modification du modèle.

Cette partie concerne l’inventaire des outils fondamentaux utilisés pour les tests de validation, ainsi que la cartographie de leur zone de couverture respective.Il est notamment important de considérer : - les approches locales des filiales le cas échéant - les éventuelles réserves ou limitations identifiées dans la validation.

En outre, il convient de déterminer le niveau de matérialité requis par le management dans sa politique de validation. Fonction des parties (fonctionnelles et/ou géographiques) concernées, il pourrait y avoir des exigences différenciées en matière de seuil de matérialité.

En amont de la démarche de validation, il est nécessaire de définir : - le périmètre du modèle interne : comment le modèle a-t-il été défini, selon quels processus ? - le périmètre des principes de validation : le modèle est-il couvert de façon exhaustive ? - la proportionnalité retenue : quelles parties du modèle pourraient être éventuellement exclues ?

Figure 18 – Le périmètre de validation du modèle interne

48 PwC

2.3.3. Accompagner le changement

Au sens large, le projet de conformité à Solvabilité 2 est un réel projet d’entreprise structurant, impactant la grande majorité des strates de l’entreprise : processus stratégiques et décisionnels, organisation, gouvernance, systèmes d’information… mais également et surtout la culture de l’entreprise ! L’adoption de ces nouveaux modes de fonctionnement nécessite une adhésion forte de tous les collaborateurs car Solvabilité 2 implique des changements dans les comportements (notamment à l’égard des risques) et dans la façon de travailler. Il est crucial de prévoir, planifier et mettre en place les moyens d’agir sur la diffusion de la culture « Solvabilité 2 » dès le démarrage du projet.

Une nécessaire discipline dans la gestion du programme

On parle de programme lorsqu’il y a plusieurs chantiers complexes à coordonner. Etant donné l’étendue, la complexité et la multiplicité des contributeurs pour l’ensemble des chantiers du programme Solvabilité 2, la mise en place d’une structure performante et transversale de gestion de programme est un

facteur de succès incontournable. Sa mise en place constitue un des préalables du lancement des travaux opérationnels, avec pour perspective la totalité de ses responsabilités :

• coordonner les différents chantiers liés aux trois piliers, ainsi que les autres projets contributeurs ou adhérents (ex : projet d’évolution des SI déjà en cours, évolution du dispositif de contrôle interne…),

• coordonner la communication et la formation sur le programme,

• favoriser la diffusion d’une « culture Solvabilité 2 » au sein de l’organisation.

« La gouvernance Solvabilité 2 impose un engagement formel de la part de tous les responsables d'entités opérationnelles : l'accompagnement au changement sera déterminant pour les faire adhérer à des modalités qui les engagent bien au delà de ce à quoi certains ont pu être confrontés jusqu'alors. »

Allianz France Philippe Léglise Directeur des risques


La création dans cette structure d’une cellule dédiée à la conduite du changement est souhaitable : elle aura en charge de gérer la communication interne du programme et le déploiement de la culture risque. Elle pourra aussi

prendre en charge, en coordination avec la fonction RH, la gestion des besoins de formation et de ressources supplémentaires qui émergent dans le cadre de la mise en œuvre des différents chantiers. Le périmètre de la conduite du

changement ne se limite pas uniquement au programme mais concerne tous les collaborateurs de l’entreprise.

Pilote filiale 1 Pilote filiale 3Pilote filiale 2 Pilote filiale 4

Niveau Groupe

Niveau Local

Sponsor

Direction du Programme Solvabilité 2

Pilote de chantier

Contributeurs

1. Calculs de Solvabilité

Pilote de chantier

3. Stratégie des

risques

Pilote de chantier

Contributeurs

2. Modèles internes

Pilote de chantier

Contributeurs

5. Evolution des référentiels et

normes internes

Pilote de chantier

Contributeurs

6. Mise en place de l’ORSA

Contributeurs

Pilote de chantier

Contributeurs

7. Reporting et communication

financière

Pilote de chantier

Contributeurs

4. Organisation / Gouvernancedes risques

Conduite du changement

Gestion des risques projet

Pilote de chantier

Contributeurs

8. Industrialisation des processus

d’arrêtés

9. Déploiement

Pilier 1 Pilier 2 Pilier 3

Il n’existe pas de structure idéale, chaque organisation définit les modalités de gestion de programme en fonction de contraintes, objectifs et calendrier qui lui sont propres. Nous proposons un exemple générique d’une telle structure ci-dessous.

Nous soulignons toutefois deux éléments à notre sens majeurs dans la calibration de cette structure :

• Elle doit être à même de piloter simultanément les divers chantiers du programme, mais également leurs interactions (mutualisation de ressources, impacts croisés des choix structurants pris sur un chantier précis…).

• Elle doit refléter assez finement la structure organisationnelle en place, afin de diffuser à l’échelle de l’ensemble des entités du groupe les chantiers et évolutions de culture nécessaires.

Figure 19 – Un exemple de structure projet pour la mise en place du Pilier 2

50 PwC

Définir une stratégie de communication

La communication est un élément fondamental du changement, permettant l’émergence d’une nouvelle culture. L’approche de cette problématique doit prendre en compte les différents niveaux de communication, correspondant à des publics et des attentes différents :

1. Communication interne au programme

Solvabilité 2

2. Communication interne Groupe

3. Communication externe

Communication institutionnelle et grand public : communiqués de presse, rapport annuel, information du public…

Communication réglementaire : ACP, reportings réglementaires

Communication aux collaborateurs : newsletters programme Solvabilité 2, information à caractère général de l’ensemble des collaborateurs via l’Intranet ou autre media…

Communication interne au programme Solvabilité 2 : Points d’avancement, Comités de pilotage, Comités de programme, Comités de chantiers à l’initiative des responsables de chantier, base documentaire…

Figure 20 – La stratégie de communication


Dans le cadre de la gestion du programme, il est utile de définir une stratégie globale de communication. Celle-ci a un objectif majeur, à savoir mobiliser et faire s'engager les acteurs

clés du programme Solvabilité 2 par la mise en place d'actions de mobilisation autour des enjeux du programme (compréhension des exigences des 3 piliers, appropriation de leur déclinaison

au niveau des opérations). La stratégie de communication est généralement déclinée en plans de communication. Le tableau ci-dessous est un exemple qui en synthétise les principaux aspects

Niveau de communication

Destinataires / Cibles Canal ou media de communication

Rôle de la direction du programme Solvabilité 2 / de la cellule de conduite du changement

Rôle de la Direction de la communication

1. Communication interne

au programme Solvabilité 2

• TouslesacteursduprogrammeSolvabilité2

• LesmembresduCOPIL,

• LesmembresduCOPRO

• Lesinstancespropresàchaquechantier

• Réunionsd’équipe,groupesdetravail,Comités…

• Documentationinterne(supportdeprésenta-tion,formation,compterendusderéunionetc.)

• Estresponsableetgèrelacommunicationinterneauprogrammedemanièreautonome

• Conseille/etmetàdispositionduprojetlesoutilsdecommunicationlecaséchéant

2. Communication interne

Groupe

• Lesadministrateurs

• LesmembresduCOMEX

• LesmembresduCODIR

• LesmanagersduGroupe

• Pointsd’avancementduprogramme,informationàcaractèregénéralet/outechnique(ex:supportdeformation)

• Possibilitéd’unespace/portaildédiésurl’intranet

• Proposeleformat

• Validelecontenuetlesmessages

• Estresponsabledeladiffusion

• Vérifieetvalidelacohérencedesmes-sagesetduformat

• Gèrelesoutilsdecommunication

• TouslescollaborateursduGroupeausenslarge

• Newslettersdupro-grammeS2,informationàcaractèregénéraldel’ensembledescollabo-rateursvial’intranet…

• Proposelecontenuetaideàlaformalisa-tiondesmessages

• Vérifieetvalidelacohérencedesmes-sagesetduformat


3. Communication

externe

• Legrandpublic

• LesclientsduGroupe

• Communiquésdepresse,rapportannuel,informationaupublicvialesiteInternetduGroupe,conférences

• Proposelecontenuetaideàlaformalisa-tiondesmessages

• Validelecontenu,lesmessages,leformataveclaDG


• L’ACP

• Lesinstanceseuro-péennes(CEIOPS…)

• Reportingssurl’avancementdestravaux,demandesdel’ACP,participationauxtravauxdeplaceetc.

• Validelecontenu,lesmessagesaveclesautresdirectionsconcernées(Directiontechnique,Direc-tionfinancière…)

• Estresponsabledeladiffusionviale

• Estinformésystématique-mentavanttoutediffusion

Figure 21 – Un exemple de plan de communication

52 PwC

Piloter l’évolution des ressources humaines

Les Ressources Humaines constituent le deuxième volet clé de la conduite du changement. La direction des Ressources Humaines est un interlocuteur majeur dans la conduite et la réussite de ce programme. Celui-ci nécessite en effet de mobiliser une grande majorité des attributions de cette direction :

• Formation : faire évoluer les compétences métier des salariés et leur fournir les bases techniques pour remplir leurs missions en « environnement Solvabilité 2 ».

• Recrutement : attirer et fidéliser à l’extérieur les compétences dont ne dispose pas actuellement l’organisation, dans un contexte de tension sur certains profils (actuaires, spécialistes de la gestion des risques…).

• Gestion des compétences : identifier les attentes en matière d’évolution des capacités techniques et managériales en environnement Solvabilité 2 et piloter la transition.

• Gestion de la performance individuelle : accompagner les changements au niveau le plus fin de l’organisation.

La formation contribuera fortement à la montée en compétences des collaborateurs durant la phase projet mais aussi après la mise en œuvre de la Directive. Il s’agit de dispenser des formations sur le contenu de la réglementation elle-même (par exemple, les trois piliers de la Directive, les CP, le QIS 5), mais aussi des formations sur la gestion des risques. On s’attend à ce

que les formations sur les nouveaux risques à prendre en compte par les assureurs soient particulièrement demandées (risques de marché, risques de crédit, risques opérationnels…).

De même, les formations liées aux techniques financières et aux produits devraient connaître une forte demande de la part des collaborateurs qui appartiennent à la filière technique, à la filière risque, à la filière finance ou encore aux autres lignes métiers.

Afin de diffuser une culture risque, enjeu clé du Pilier 2, il est important de prévoir bien sûr des formations avec un contenu technique pour les professionnels mais aussi des formations dites de « sensibilisation », qui s’adressent à tous les collaborateurs de l’entreprise. Dans ce cas, elles doivent mettre l’accent sur la présentation des principaux concepts présents dans la Directive, mais surtout sur ses enjeux pour l’entreprise et pour le secteur de l’assurance, de même que sur les changements attendus au niveau du métier d’assureur.

Par ailleurs, un des leviers permettant d’accélérer la diffusion des connaissances sur Solvabilité 2 dans l’entreprise, est d’en favoriser l’appropriation rapide par les managers opérationnels. Pour cela, ils doivent être le vecteur de la formation et à ce titre faire partie de la première population (in)formée, puis à leur tour, être capable au moins sur les sujets les concernant de former leurs équipes. C’est le principe du « train the trainer » (former les formateurs). L’effort de formation lié à Solvabilité 2 sera particulièrement important en 2011 et 2012. Les DRH doivent d’ores et déjà recueillir les besoins et anticiper leurs impacts sur les budgets de formation.

En termes de gestion des compétences, les entreprises qui disposent d’une GPEC (Gestion Prévisionnelle de l’Emploi et des Compétences) devront également prendre en compte très tôt les évolutions attendues au niveau des compétences des collaborateurs. Il y a un important travail de cartographie des compétences (actuelles vs cibles) à réaliser. Les écarts devront être gérés à la fois par un effort de formation et par des recrutements. Pour cette raison, les besoins de recrutements sur la période 2011-2013 doivent être identifiés rapidement, certains profils (comme des actuaires ou des gestionnaires actif-passif) étant particulièrement difficiles à trouver.

Enfin, il faut aussi noter l’importance de la gestion de la performance comme accélérateur du changement. En effet les entreprises souhaitant faciliter leur mise en conformité par rapport à Solvabilité 2 peuvent prévoir de fixer des objectifs spécifiques aux managers, soit dans les lettres de mission, soit dans le cadre de leurs entretiens annuels de fixation des objectifs. Il s’agit par exemple d’objectifs relatifs à la mise en œuvre du Pilier 2 (mise en place du dispositif d’ORSA, formalisation des processus, d’identification des risques et des contrôles etc.).


2.3.4. Mettre en placele processus d’ORSA

« L'ORSA constituera un outil de pilotage stratégique de l'activité assurance dont les bénéfices sont étroitement liés à la flexibilité de sa mise en œuvre opérationnelle ».

Société Générale Insurance Sébastien Simon Directeur du Programme Solvabilité 2

L’implémentation de l’ORSA suit un processus en cinq étapes qui est intégré dans le cadre de la gestion des risques de l’entreprise :

• Identification et évaluation du risque,

• Appétit au risque,

• Planification stratégique,

• Stress testing,

• Allocation du capital.

L’exécution de ce processus mobilise tous les niveaux de l’entreprise suivant une approche top-down et bottom-up :

• La Direction Générale vers les unités opérationnelles : définition de la stratégie d’entreprise, définition de l’appétit au risque, allocation du capital aux lignes de métiers.

• Des unités opérationnelles vers la Direction Générale : identification des risques, mesure du profil de risque, reporting des risques.

54 PwC

Articulation et industrialisation du rapport ORSA avec les rapports de risque du Pilier 3

Top-down risk ID

Top Tierrisks agreed

Risktemplate

Riskaggregation

and priorisation

ProposedTop Tier

risks

‘Deep dive’risk

assessment

AgreedadoptPolicy

Bottom - up risk ID

Redefine Risk controllingmitigation plan processreporting requirement

Day to operational

implementation

Board

and Risk

, and

day

RiskAppetiteVision

RiskAppetite

Statement

RiskAppetite

assessment

Strategicaspiration

Facilitatestrategicfinancial

plan

Agree plan

Sign-off

Agree stress scenarios

Reviewstress

scenarios

RiskAppetite

monitoring

Quarterlyreporting /

steeting

Quarterlyreporting /

steeting

M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M1 M2 M3M1 M2 M3 M4 M5 M6 M7 M9 M10 M11 M12 M1 M2 M3

- Illustrative -

ExecutiveCommittee

RiskCommittee

RiskFunction

Finance Function

BU 1

BU 2

BU 3

BU 4

BU 5

FunctionFacilitate

Decision-make

ExecuteIterative process

Strategic planning

Risk Appetite

Quarterly steering

Risk identi�cation

Stress testing

Legend

Proposed top-down

risk ID.

Risk identification

(ID)

Risk identification

(ID)

3-yr strategic

target setting

Define stress scenarios

(input from Bus)

Bottom-up strategic financial

plan

Stress-test of plan / capital planning

Capital allocation

to BUs

Capital allocation

to BUs

BUs stress-testing

Risk-adjusted

performance measures -

tools and techniques

Risk-adjusted

performance measures - aggregation

Risk-adjusted

performance measures - calculations

M8

Les articles 35 et 50 de la Directive ainsi que le CP 58 stipulent que le rapport ORSA remis au régulateur comporte des éléments quantitatifs et qualitatifs qu’il partage avec les rapports réglementaires (RTS et SFCR) du Pilier 3.

Figure 22 – Une vision dynamique du processus ORSA durant l’exercice budgétaire

Le graphique suivant donne une vision dynamique du processus ORSA durant l’exercice budgétaire :


Conclusion de la mise en œuvre opérationnelle

La mise en œuvre opérationnelle de la gestion des risques implique de profonds changements au niveau de l’organisation mais aussi au niveau du pilotage de l’activité de l’entreprise. Le lancement de tels projets nécessite une réflexion autour de quelques concepts clés sous-tendus par la Directive.

L’ « appétit au risque », doit ainsi être défini et formalisé au regard des ambitions en termes de business et des moyens disponibles, économiques, humains, techniques... Tout comme la « culture risque » de l’entreprise, c’est à dire l’adhésion des collaborateurs à

un profil et une stratégie des risques clairement identifiée. Troisième clé de la conduite opérationnelle de la mise en conformité, les choix d’organisation et de gouvernance de la « filière risque ». Quel système de décision choisir ? A qui attribuer les pouvoirs de décisions et de contrôle ? Quel périmètre pour la fonction Risque ?

Autant de décisions nécessaires pour appliquer les principes du Pilier 2 selon les spécificités de chaque organisation.

56 PwC

Conclusion


Des trois piliers de la Directive, le Pilier 2 est sans doute le plus important et le plus complexe à mettre en œuvre. En effet, il conduit l’entreprise à placer la gestion des risques au cœur du pilotage de son activité. Il implique, comme nous l’avons développé à travers ce livre blanc, la mise en place d’un nouveau cadre de référence en matière de gestion des risques qui doit désormais faire partie intégrante de la fonction managériale. Il nécessite surtout des travaux de cadrage et de dimensionnement difficile au regard de sa déclinaison opérationnelle à tous les niveaux de l’entreprise : de l’organisation en passant par les fonctions de contrôle, la gouvernance ou encore les relations avec les « fournisseurs ».

Les outils et référentiels, comme la démarche ERM, permettent de lier la stratégie de l’entreprise avec un niveau de prise de risque accepté et assumé par les dirigeants et par les opérationnels. Les spécifications du Pilier 2 positionnent ainsi la fonction risque comme la « pierre angulaire » du dispositif de gestion des risques.

La mise en place d’une culture du risque constitue un élément majeur du Pilier 2. Au regard d’un dispositif opérationnel et performant, il s’agit d’un des éléments majeurs pour atteindre l’objectif de mise en conformité. Pour cela, les entreprises auront recours aux deux leviers principaux qui sont la communication et la gestion des ressources humaines.

Mais le Pilier 2 représente surtout un changement radical pour beaucoup d’acteurs du secteur de l’assurance. En effet, le degré de mise en œuvre de Solvabilité 2 est inégal suivant les entreprises. La Directive Solvabilité 2 constitue donc une opportunité, notamment dans un contexte de crise économique. Une opportunité pour optimiser la gestion de l’entreprise et gagner en efficacité opérationnelle dans toutes les fonctions, grâce à une formalisation et une rationalisation des processus, une évolution du système d’information et des outils utilisés ou encore un renforcement des compétences des collaborateurs. De la même manière, la mise en œuvre de l’ORSA invite les assureurs à maîtriser leur profil de risques sur un horizon « stratégique » (de trois

à cinq ans), à mettre en adéquation le capital de l’entreprise et leurs aspirations commerciales. L’ORSA est ainsi destiné à devenir un instrument de pilotage stratégique.

Cette performance opérationnelle attendue devrait, à terme, compenser les importants coûts de mise en œuvre des chantiers de mise en conformité avec la Directive et en particulier le Pilier 2.

Selon les résultats de l’étude pan-européenne PwC 2010 sur la préparation à Solvabilité 2, les assureurs semblent bien avoir pris la juste mesure des enjeux d’une réglementation qui place la gouvernance des risques au cœur de leur activité.

58 PwC

Vos interlocuteurs

Eric Dupont

Associé

Responsable du Secteur Assurance

01 56 57 80 39

06 08 90 64 52

[email protected]

Jimmy ZouAssocié

Responsable de Solvabilité 2

01 56 57 72 13

06 74 27 34 79

[email protected]

Quoc Nguyen Dao

Senior Manager

Spécialiste réglementation prudentielle et gestion de projets

01 56 57 57 14

06 74 32 19 33

[email protected]

Antoine de la Bretesche

Directeur

Qualité des données et gestion de projets

01 56 57 82 92

06 85 08 93 20

[email protected]

Merci pour leur contribution

• Sébastien de la Lande

• Dominique Daijardin

• Pierre-Antoine Duez

• Stéphanie Artigaud

• Benoît Germain

• Eric Demerlé

Votre contact marketing

• Elodie Coquerel 01 56 57 85 56 [email protected]

Stéphane Kuypers

Associé

Actuariat

01 56 57 12 83

06 03 80 56 97

stephane.kuypers @fr.pwc.com

« Les informations contenues dans cette publication ne peuvent en aucun cas être assimilées à des prestations de services ou de conseil rendues par leurs auteurs ou éditeurs. Aussi, elles ne peuvent être utilisées comme un substitut à une consultation rendue par une personne professionnellement compétente. Cette publication est la propriété de PricewaterhouseCoopers Audit. Toute reproduction et /ou diffusion, en tout ou partie, par quelque moyen que ce soit est interdite sans autorisation préalable.

© PricewaterhouseCoopers Audit (2011). Tous droits réservés ».

© PricewaterhouseCoopers 2011. Tous droits réservés.

« PwC » est la marque sous laquelle les entités membres de PricewaterhouseCoopers International Limited (PwCIL) opèrent et rendent leurs services. Ces entités forment ensemble le réseau PwC. Chaque entité membre du réseau est juridiquement autonome et n’agit pas en tant qu’agent de PwCIL ni d’aucune autre entité membre. PwCIL ne fournit aucun service aux clients.Elle n’est pas responsable des actes et omissions de ses membres et n’a ni le droit ni la capacité juridique d’en contrôler l’exercice professionnel ou de les engager d’une quelconque façon.

www.pwc.fr