1. www.pwc.fr
Solvabilité 2
Le Pilier 2,
enjeux opérationnels
de la gestion des risques
Livre Blanc
Tome 1
2. Sommaire
Préface 2
Introduction 4
1. Approche normative 6
1.1 Les dispositions générales du Pilier 2 6
1.2 Que dit la Directive ? 7
1.3 Que disent les projets de mesures d’application ? 10
1.4 Le COSO 2 - ERM 13
2. Mise en œuvre opérationnelle 16
2.1 L'organisation générale de la « filière risque » 16
2.2 Mettre en place le processus de gestion des risques 25
2.3 Piloter les chantiers transverses 35
Conclusion 46
Vos contacts 47
3. Préface
Ce livre blanc est publié à un moment clé de l’agenda réglementaire de la Directive Solvabilité 2. En effet,
la mise en conformité au Pilier 2, pierre angulaire de la prévention des risques de solvabilité, se précise.
Si, depuis fin janvier, le projet de Directive Omnibus 2 prévoit la possibilité de mesures transitoires,
offrant ainsi un délai dans certaines conditions et sur quelques points, la préconsultation sur les
mesures de niveau 2 sur le système de gouvernance des risques est en cours d’achèvement et celle sur les
mesures de niveau 3 a démarré et s’accélérera au deuxième semestre 2011.
C’est donc dans ce contexte réglementaire encore incertain mais déjà bien avancé que les priorités des
entreprises d’assurance s’élargissent au Pilier 2. Or, cette étape implique l’application opérationnelle
d’une stratégie des risques répondant aux principes et aux exigences émises par le législateur dans le
second pilier de sa Directive. Ces nouvelles contraintes touchent au cœur du pilotage de vos activités, et
de votre organisation. Elles sont également une opportunité pour optimiser votre performance
opérationnelle. L’ORSA est, sur ce point, emblématique. Ce processus documenté entraîne une gestion
inédite de la solvabilité sur un horizon stratégique de trois à cinq ans.
PwC accompagne les entreprises dans leurs projets et a travaillé, à leur côté, sur la problématique de la
gestion des risques en contribuant notamment à l’élaboration du référentiel COSO 2-ERM.
Nous espérons donc, avec ce livre blanc, continuer à apporter notre expertise dans le cadre de la mise en
conformité à Solvabilité 2.
Par ailleurs, nous avons prévu de faire d'autres livres blancs au cours de 2011 et 2012 sur les sujets qui
intéressent le marché, notamment, la qualité des données, l'ORSA et les reportings financiers.
Eric Dupont Jimmy Zou
Associé Associé
Responsable du secteur Assurance Responsable de Solvabilité 2
4. Introduction
Avant dernière ligne droite pour la mise en conformité à
Solvabilité 2, 2011 est une étape importante pour les sociétés
d’assurance.
Pour leur apporter des solutions clés en main, PwC consacre un
livre blanc, « les Enjeux du Pilier 2 », exclusivement dédié à la mise
en œuvre de ces futures obligations.
Ce livre blanc propose un cadre méthodologique concret et des
points de repères dans le travail de déclinaison des principes du
Pilier 2.
5. "Ce livre blanc, par son approche pluri-disciplinaire, présente de
façon claire les points essentiels de la gestion des risques complétés
d'illustrations possibles. Ce document nous conforte dans nos
orientations antérieures et il permet de mieux cerner certaines
déclinaisons opérationnelles à conduire dans les chantiers du Pilier 2.".
MAIF
Christophe Raballan
Directeur de la Maîtrise des risques et du Contrôle interne
Sur la route de la mise en conformité C’est donc, en ce début d’année 2011, L’objectif de ce livre blanc est donc
à Solvabilité 2, les entreprises sur le Pilier 2 de Solvabilité 2 que vos de constituer une sorte de « boîte
d’assurance (sociétés d’assurance et travaux s’étendront. Clef de voûte de à outils », utilisable par tous les
de réassurance, mutuelles, IP) sont la Directive, la conformité au Pilier 2 acteurs intervenant sur les aspects
aujourd’hui arrivées à un tournant pose donc de nombreuses questions organisationnels de la conformité à
stratégique. Après avoir consacré une aux sociétés d’assurance. Cette étape Solvabilité 2. Après avoir rappelé les
part prépondérante de leurs projets de implique une interrogation sur votre spécifications de la réglementation et du
conformité aux aspects quantitatifs du culture du risque, une (re)définition référentiel ERM1, nous nous proposons
Pilier 1, elles se tournent aujourd’hui de votre stratégie et de gouvernance de décliner les enjeux opérationnels
vers les exigences, plus qualitatives des risques et, enfin, une mise en de vos chantiers de conformité
et plus complexes du Pilier 2. place opérationnelle de votre gestion (organisation et gouvernance de la
des risques.Des questions difficiles, filière risque, processus de gestion
En effet, en 2010, vous avez mobilisé qui vous mènent souvent au cœur des risques, cadrage des chantiers
vos forces autour de la capacité de du pilotage de votre activité. « transversaux » comme la qualité
votre organisation à modéliser les des données ou l’ORSA 2), de poser
risques dans un nouveau référentiel Qu’exige précisément la réglementation les questions structurantes et, enfin,
et à mesurer l’impact de ce nouveau Solvabilité 2 ? Comment ces d’apporter des pistes de réponse
régime sur le montant des fonds propres dispositions doivent-elles, ou plutôt, opérationnelles, via des exemples
nécessaire à horizon du 1er janvier 2013. peuvent-elles être appliquées à concrets de mise en œuvre.
Vous avez également finalisé l’ensemble mon organisation ? Quels sont les
des exercices liés au QIS 5. Ces exercices contraintes et déterminants me Ce document s’adresse aux pilotes
ont été l’occasion de réaliser un 1er test permettant de dimensionner un opérationnels des projets de conformité
« grandeur nature » sur vos méthodes dispositif opérationnel de gestion des à Solvabilité 2, chefs de projet ou
et processus calculatoires. Lors de risques ? Quels sont les chantiers que directeurs des risques. Toutefois, notre
cette phase, vous effectuez les tests « recouvrent les exigences du Pilier 2 au travail de réflexion et de méthodologie
grandeur nature » pour mettre en place sein de mon projet de conformité ? pourra également être utile aux
un processus de réalisation des bilans dirigeants et administrateurs des
économiques et de calcul des SCR. La difficulté majeure, partagée organismes d’assurance, dont bon
par l’ensemble de nos clients et à nombre sont aujourd’hui confrontés à
laquelle s’attaque ce livre blanc, des arbitrages difficiles sur le calibrage
est d’interpréter et de calibrer les du dispositif, entre les impératifs de
principes des textes réglementaires conformité (qui peuvent paraître lourds
aux spécificités de l’organisation pour au regard des discours de place) et les
créer un dispositif de gestion des risques ambitions de leur entreprise (approche
conforme, adapté et performant. de stricte conformité ou objectif de « best
in class » en pilotage des risques ?). Nous
espérons que vous trouverez, ici, des
axes de réflexion utiles pour vos travaux.
(1) ERM : Enterprise Risk Management
(2) RSA : Own Risk and Solvency
O
Assessment, Évaluation interne
des risques et de la solvabilité
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 3
7. Introduction
Dans le cadre de Solvabilité 2, toute organisation devra démontrer qu’elle a mis
en place un système adéquat et efficace de gestion des risques. Deux référentiels
principaux servent de guide dans cette perspective de mise en conformité.
• Le référentiel réglementaire du Pilier 2 constitue la référence essen-
tielle. Ses dispositions couvrent les attentes des régulateurs en matière
d’organisation opérationnelle de la gestion des risques. Les grands prin-
cipes de la Directive y sont exprimés dans quelques articles. Des mesures
d’application, toujours en cours de discussion, viennent les préciser.
• Le référentiel technique majeur et largement admis est le COSO 23 - ERM. Il est
utilisé par la quasi-totalité des acteurs cherchant à appréhender les critères d’une
gestion des risques performante. On notera que les agences de notation ont ainsi
intégré la « performance » ERM comme un critère d’évaluation à part entière.
Nous vous proposons une synthèse des principales
dispositions et concepts de ces deux référentiels.
(3) OSO est l’acronyme abrégé de Committee Of Sponsoring Organizations
C
of the Treadway Commission, une commission à but non lucratif qui a établi
en 1992 une définition standard du contrôle interne et a créé un cadre pour
évaluer son efficacité. Par extension, ce standard s'appelle aussi COSO.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 5
8. 1.1 es dispositions
L
générales du Pilier 2
Le Pilier 2 recouvre l’ensemble des principes et pratiques attendus des organisations en matière de gestion des
risques, au regard des estimations de risque et de fonds propres couvertes par le Pilier 1. Ses principales dispositions
peuvent être schématiquement regroupées dans les quatre grandes catégories exposées ci-dessous :
Figure 1 – Les principales dispositions du Pilier 2
Nouveau processus
Gouvernance des risques Exigences du modèle interne
de supervision
(art. 41 à 49) (art.120 à 126)
(art. 27 à 39)
• Des exigences de gouvernance • Un nouveau processus de • Une utilisation effective du mo-
générale (séparation des tâches, supervision, fondé sur un dèle interne dans le pilotage (ges-
gestion des conflits d’intérêt…) dialogue permanent avec le tion opérationnelle des risques,
régulateur et où l’entreprise a allocation de capital notamment)
• Un principe de proportionna- la « charge de la preuve »
lité du dispositif risque à la • Une évaluation objectivée
complexité du profil de risque • La possibilité pour le régulateur selon 9 principes (appropria-
de sanctionner via des « capi- tion par le management, reflet
• La définition des fonctions clés tal add-on » tout écart quan- fidèle du profil de risque…)
de la gestion des risques et du titatif ou qualitatif par rapport
périmètre du dispositif risque aux standards attendus. • L'existence d’un processus in-
terne de validation du modèle…
• Des exigences de qualités « fit
and proper » pour les principaux • … et des tests de sensibilité
acteurs de la gestion des risques et de stabilité du modèle
• Des principes de bonne conduite
en termes de rémunération
L’ORSA (art.45)
• L’ORSA recouvre l’ensemble des processus et des procédures qui permettent d’identifier, évaluer, suivre, contrôler et com-
muniquer sur les risques internes et externes, à long terme et à court terme auxquels un assureur fait ou pourrait faire face
et qui permettent de déterminer le niveau de capital dont l’entreprise a besoin pour assurer sa solvabilité en permanence.
• L’ORSA doit satisfaire aux exigences règlementaires du Pilier 1 ainsi qu’à celles des Piliers 2 et 3.
Source : PwC
Lorsque l’on cherche à appréhender mettre en oeuvre. Ces principes doivent savoir les enjeux de gouvernance des
les enjeux du Pilier 2, les principales être traduits et déclinés pour s’appliquer risques couverts par les articles 41 à
difficultés viennent d’un constat à la réalité de votre organisation. 49, ainsi que les projets de mesures de
très simple : les articles et mesures niveau 2 et 3 en cours d’élaboration
d’application définissent des principes De ce fait, nous avons choisi dans ce par la Commission Européenne.
structurants, mais fournissent peu document de nous concentrer sur
d’indications concrètes sur le dispositif à l’aspect organisationnel du Pilier 2, à
6 PwC
9. 1.2 Que dit la Directive ?
La Directive européenne prévoit les bases d’une bonne gouvernance comme un système complet composé de
fonctions et règles servies par les instances et des modes de prise de décisions adéquats. Le système de gouvernance
des risques (défini dans l’article n°41) est étayé par 7 « blocs » principaux qui doivent répondre à des attentes
spécifiques. Ces « blocs » sont ensuite détaillés dans un article dédié de la Directive, tel qu’illustré ci-dessous :
Figure 2 – La gouvernance des risques
GOUVERNANCE
(Art.41)
Honorabilité et compétences (Art.42 et 43)
Gestion des risques (Art.44)
Évaluation interne des risques
et de la solvabilité - ORSA (Art. 45)
Contrôle interne (Art. 46)
Audit interne (Art. 47)
Fonction actuarielle (Art. 48)
Sous-traitance (Art. 49)
Art.41 – Exigences générales Art.42 43 – Honorabilité Art.44 – Gestion des risques
en matière de gouvernance et compétences
L’article 41 précise notamment que Ces articles 42 et 43 précisent que L’article 44 indique que « les entreprises
les entreprises d’assurance et de « toutes les personnes qui dirigent d’assurance et de réassurance doivent
réassurance doivent mettre « en effectivement l’entreprise ou qui mettre en place un système de gestion
place un système de gouvernance occupent d’autres fonctions clés doivent des risques efficace, qui comprenne
efficace, qui garantisse une gestion avoir les qualifications et compétences les stratégies, processus et procédures
saine et prudente de l'activité ». requises à l’exercice de ces fonctions d’information nécessaires pour déceler,
et que leur réputation et leur intégrité mesurer, contrôler, gérer et déclarer, en
sont de bon niveau (honorabilité) ». permanence, les risques, aux niveaux
individuel et agrégé, auxquels elles sont
Ces informations doivent en outre ou pourraient être exposées ainsi que
être communiquées aux Autorités les interdépendances entre ces risques.
de Contrôle en cas de changement
et nécessitent d’être documentées. Ce système de gestion des risques
est efficace, parfaitement intégré
à la structure organisationnelle et
aux procédures de prise de décision
de l’entreprise d’assurance ou de
réassurance et dument pris en
compte par les personnes qui dirigent
effectivement l’entreprise ou qui
occupent d’autres fonctions clés ».
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 7
10. Art.44 – suite
Il décrit également a minima le
périmètre concerné par la gestion
des risques (souscription et
provisionnement, gestion actif-
passif, investissements, risques
opérationnels, les risques d’illiquidité
et de concentration, la réassurance
et pour partie le modèle interne) et
précise que les politiques de gestion
des risques doivent être documentées.
En synthèse, retenons surtout
que la Directive :
• présente la fonction de gestion
des risques (par la suite appelée
« fonction Risque ») comme une
fonction obligatoire, efficace
et intégrée à l’organisation,
• fixe un périmètre minimal en termes
de risques couverts – à savoir les
risques entrant dans le calcul du SCR
sans nécessairement s’y limiter,
• décrit les responsabilités particulières
de cette fonction, véritable « chef
d’orchestre » global du dispositif et
pilote du modèle interne si applicable.
8 PwC
11. Art.45 – Évaluation interne des Art.46 – Système de Art.49 – Sous-traitance
risques et de la solvabilité - ORSA contrôle interne
Enfin, l’article 49 déclare que «
L’article 45 indique que dans le cadre L’article 46 précise que « les entreprises les entreprises d'assurance et de
de leur système de gestion des risques, d’assurance et de réassurance réassurance conservent l'entière
les entreprises d'assurance et de disposent d’un système de contrôle responsabilité du respect de l'ensemble
réassurance doivent régulièrement « interne efficace comprenant a minima des obligations qui leur incombent
procéder à une évaluation [...] interne des procédures administratives et […] lorsqu'elles sous-traitent des
des risques et de la solvabilité ». comptables, un cadre de contrôle fonctions ou des activités d'assurance
Cette évaluation, propre au profil interne, des dispositions appropriées ou de réassurance » et pourvu que cela
de risque, conduit l’entreprise à en matière d’information à tous les n’ait pas d’incidence sur le système de
expliciter le niveau de risque qui tend niveaux de l’entreprise et une fonction gouvernance, l’activité ou le risque
le capital requis en vue d’apprécier de vérification de la conformité ». opérationnel, ni sur la capacité de
son niveau de fonds propres. surveillance des Autorités de Contrôle.
Précisons que l’ORSA doit répondre Art.47 – Audit interne En sus, l’entreprise doit informer
à trois points majeurs : le Régulateur de son intention
L’article 47 stipule que « la fonction d’externaliser toute fonction ou
• Démontrer dans les faits la pertinence d’audit interne évalue notamment activité « importante ou critique ».
des processus de gestion des risques l’adéquation et l’efficacité du système de
développés par l’organisation. contrôle interne et les autres éléments
du système de gouvernance […] de
• S'intégrer à la stratégie commerciale manière objective et indépendante
et à la définition de la stratégie des fonctions opérationnelles ».
de l’organisation : ses analyses et
productions doivent être prises Art.48 – Fonction actuarielle
en compte par les décideurs.
Au travers de l’article 48 de la Directive,
• Pouvoir être réévalué suite à toute la fonction actuarielle est décrite
modification significative du profil comme une fonction d’expertise visant
de risque de l’organisation. à « coordonner le calcul des provisions
techniques et garantir le caractère
approprié des méthodologies, des
modèles sous-jacents et des hypothèses
utilisés pour le calcul des provisions
techniques, apprécier la suffisance et
la qualité des données utilisées dans
le calcul des provisions techniques,
comparer les meilleures estimations
aux observations empiriques, informer
l'organe d'administration, de gestion
ou de contrôle de la fiabilité et du
caractère adéquat du calcul des
provisions techniques, superviser
le calcul des provisions techniques,
émettre un avis sur la politique globale
de souscription, émettre un avis sur
l'adéquation des dispositions prises
en matière de réassurance, et enfin
contribuer à la mise en œuvre effective
du système de gestion des risques ».
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 9
12. 1.3 Que disent
les projets de mesures
d’application ?
A la lecture des textes, les dispositions L’avis du CEIOPS « Advice for Level 2
de Solvabilité 2 en matière Implementing Measures on Solvency 2 :
d’organisation et de système de System of Governance » a fourni des
gouvernance des risques reposent premières précisions sur le dispositif
uniquement sur des principes. Le de gestion des risques. Les mesures
régulateur souhaite en effet laisser à de niveau 3 en cours de discussion
chaque organisation le soin de définir préciseront plus avant ce dispositif.
son propre schéma organisationnel et
n’a défini à ce titre que les fonctions clés En résumé, toute entreprise soumise à
et des attentes très générales. Toutefois, Solvabilité 2 doit, selon ce référentiel,
l’interprétation qu’il est possible de faire démontrer que dans le respect de ces
au travers de la lecture des articles 41 à principes, elle possède un dispositif
49 a conduit le Régulateur à les préciser. opérationnel de gestion et de pilotage
de ses risques qui garantit :
• Une bonne connaissance des risques
auxquels elle est exposée (profil de
risque) et une évaluation cohérente de
ses expositions à un instant t.
• Une mécanique réellement
opérationnelle de gestion de ces
risques, c’est-à-dire que les éléments
clés sont en place et chacun est en
mesure de faire ce qui est prévu.
• Une remontée des informations
nécessaires et la capacité des instances
responsables à prendre les décisions
qui s’imposent.
10 PwC
13. Figure 3 – Rappel des exigences du Pilier 2
Dispositif de gouvernance (3.29 à 3.36 ; 3.56 à 3.62)
• Un schéma robuste, clair et bien documenté afin de favoriser une organisation efficace
• Cadrage des conflits d’intérêt, principe du « 4-eyes review », « fit proper » sur les fonctions clé,
politique de rémunération
Fonction de gestion des risques (3.72 ; 3.87 à 3.89 ; 3.220 à 3.222)
• Des processus, procédures et politiques clairement documentées
• Un périmètre minimal de « zones de risque » à couvrir : souscription, provisionnement, ALM, placements,
liquidité et concentration, risque opérationnel, réassurance et autres pratiques de réduction du risque
• Responsabilités : (i) architecte et pilote du dispositif ERM, (ii) production de la vision agrégée du profil de
risques, (iii) reporting sur les expositions risque et (iv) identification et évaluation des risques émergents
Fonction de conformité - contrôle interne (3.254 à 3.258)
• Une référence aux dimensions COSO (environnement de contrôle, activités de contrôle, communication,…)
• Responsabilités : (i) conformité des opérations, (ii) maîtrise des activités opérationnelles et (iii) fiabilité
de l’information financière et non-financière émise
Fonction d’audit interne (3.276 à 3.279)
• Un acteur indépendant, impartial et autonome, compétent sur la totalité des activités et processus
• Exigence d’émission d’un rapport annuel sur son activité (plan d’audit fondé sur une approche par les risques)
Fonction actuarielle (3.328 à 3.343)
• Responsabilités : coordonner le calcul des provisions techniques, évaluer la pertinence des méthodes
et la qualité des données, back-tester les best estimates et fournir au management des avis formels le degré
de fiabilité des modélisations (rapport formel)
Dispositif de gestion de l’externalisation (3.376 à 3.382)
• Obligation de s’assurer que l’externalisation ne dégrade ni la qualité de service ni l’exposition globale
au risque opérationnel
• Existence de processus et politiques formalisés et complets sur toutes les dimensions d’un projet
d’externalisation (sélection, contractualisation, pilotage…)
La lecture de ces dispositions révèle à l’évidence qu’il s’agit d’un « socle minimal » à respecter d’un point de vue
réglementaire. Ces principes sont très généraux : chaque organisation doit les décliner de manière spécifique
en fonction de sa taille, de son expertise et de la complexité de son profil de risque : c’est ce que la Directive
appelle le « principe de proportionnalité ». Pour autant, le respect de ce principe et la latitude de « marge de
manœuvre » dont les différentes organisations pourront disposer reste aujourd’hui une question ouverte.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 11
14. Focus sur les mesures c) Les processus de gestion des Cas particulier de l’ORSA
de niveau 2 risques doivent être appropriés
et les procédures adaptées pour L’ORSA est un sujet majeur qui sera
Le point 3.72 donne l’avis du identifier, évaluer, gérer, contrôler traité dans les mesures de niveau 3 a
CEIOPS en matière d’efficacité d’un les risques ainsi qu’en matière de priori vers le troisième trimestre 2011
système de gestion des risques et reporting. par l’EIOPA4. L’ACP devrait également
préconise les points suivants : apporter sa vision lors d’une conférence
d) Les procédures de reporting des sur le Pilier 2, la gouvernance et l’ORSA
a) La stratégie de gestion des risques doivent être appropriées. prévue au second trimestre 2011.
risques doit être clairement définie Ces procédures doivent être
et correctement documentée. Cette coordonnées et challengées par la Malgré l’importance de ce processus,
stratégie doit annoncer les objectifs fonction de gestion des risques et sont l’article 45 n’est précisé dans aucun
de gestion des risques et les principes activement contrôlées et gérées par texte relevant des mesures de niveau
de gestion des risques clés, définir le toute instance appropriée. 2. Le CEIOPS a publié un « Issues
« risk appetite » de l’entreprise, et enfin Paper » intitulé ORSA en 2008.
décrire les missions et responsabilités e) Les reportings qui sont soumis aux
de la fonction de gestion des risques instancespar la fonction de gestion Tel que présenté aujourd’hui, l’ORSA
de manière transversale à l’entreprise des risques font référence aux risques est un processus qui oblige chaque
et en accord avec la stratégie associés (potentiels ou avérés) à organisation à calculer et maîtriser ses
commerciale. l’activité de l’entreprise et à l’efficacité risques, ainsi qu'à s'assurer qu’elle est
opérationnelle du système de gestion suffisamment capitalisée. Néanmoins,
b) Les politiques de gestion des des risques. certaines caractéristiques méritent
risques doivent être écrites d’être soulignées (figure 4) :
et adaptées : elles incluent une f) Enfin, l’ORSA doit être adapté aux
définition et une nomenclature des activités de l’entreprise. • L’ORSA est de la responsabilité de la
risques portés par l’entreprise, les Direction Générale qui est en charge
classant par type et par niveau des de son pilotage et de ses résultats vis-
limites de risque acceptable. Elles à-vis du régulateur.
devront implémenter la stratégie des
risques, faciliter la mise en œuvre des
mécanismes de contrôle et prendre
en compte la nature, la portée
(périmètre) et l’horizon de temps de
l'activité et des risques associés.
(4) IOPA : European Authority for nsurance and Occupational Pensions.
E
En janvier 2011, l'EIOPA a remplacé le CEIOPS.
12 PwC
15. Figure 4 – Une représentation du système
Stratégie
de gestion des risques
• Objectifs stratégiques • Allocation straté
• Stratégie risque • Réassurance autres
• Valorisation des scénarii couvertures
stratégiques • Décisions de gestion
• Utilisation du capital et • Horizon de projection
des ressources fin.
Analyse et évaluation des risques Gestion et pilotage de la solvabilité Processus de décision
• Identification des risques • Bilan économique • Stress test scenario • Pilotage du profil de risque
• Analyses quantitatives • Best Estimates • Fongibilité du capital • Pilotage et gestion de la solvabilité
• Evaluation de la qualité des contrôles • Paramètres et • Evaluation des fonds • Tolérance appétit aux risques
• Profil de risques hypothèses risque propres • Fréquence des évaluation
• Politiques de gestion des risques • Qualification chiffrage • Réconciliation de ces • Support pour les décisions stratégiques
des fonds propres évaluations • Documentation de la gouvernance des risques
• Publications (Pilier 3)
Environnement macro-économique
• Environnement marco-économique
• Contexte business
• Risques émergents
• Risques à long terme
• Dispositif de suivi réglementaire
• Evolution de l’environnement juridique
• Tendances sociales...
• L’ORSA est un processus documenté économique, risque politique…). • ’évaluation des risques dans le
L
de la gestion des risques qui doit être L’évaluation s’inscrit sur un horizon processus d’ORSA représente la
présenté au superviseur à intervalle de trois à cinq ans et couvre tout vision « propre » de ses risques que
régulier (au moins une fois par an) et le périmètre du groupe (toutes les peut avoir une organisation, au-delà
dès lors que survient une modification entités européennes et celles hors de des modules de risque identifiés
significative du profil de risque de l’Union Européenne qui sont sous sa dans le calcul du SCR : différence
l’assureur. supervision). sur le nombre de risques retenus,
sur la mesure des risques c’est-à-dire
• Il fait partie intégrante de la • l permet à toute organisation de
I sur l’intervalle de confiance selon
gestion quotidienne de l’entreprise démontrer qu’elle est capable de lequel est calibrée la formule de
(politique commerciale, stratégie mobiliser le capital nécessaire calcul. De plus, l’organisation peut
d’investissement, gestion du capital, pour couvrir le besoin en marge utiliser une approche en formule
croissance externe…). de solvabilité sur l’horizon de la standard ou un modèle interne pour
planification stratégique (et non sur évaluer son exposition aux risques.
• l fournit une approche holistique et
I l’horizon d’un an utilisé pour le calcul La méthodologie employée doit être
prospective pour gérer les risques : les du SCR). proportionnée à la complexité de
risques servant à calculer le SCR et les l’activité de l’entreprise et à la nature
autres risques (risque de réputation, des risques auxquels elle est exposée.
risque stratégique, risque macro-
La question qui se pose est de savoir comment implémenter des fonctions clés
et un système de gouvernance qui soit conforme à la Directive Solvabilité 2 et
compatible avec les pratiques du paritarisme. La Directive est très largement
inspirée de concepts applicables au monde capitalistique : elle intègre a
priori moins bien dans la valorisation du risque les caractéristiques de la
gouvernance paritaire qui reposent plus sur des valeurs de solidarité, de
compensation et de rétrocession.
Réunica
Albert Cohen
Directeur des Risques et de la Solvabilité
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 13
16. 1.4 Le COSO 2 - ERM
Contexte la responsabilité des dirigeants ; le
but étant de mettre en place et de
Le référentiel COSO sur le contrôle maintenir une structure de contrôle
interne a été élaboré dès 1991, interne adéquate pour l'établissement
et est aujourd’hui une référence de l’information financière.
internationale utilisée par les
entreprises qui souhaitent mettre Ce référentiel a émergé suite aux
à niveau leur dispositif de contrôle scandales des années 2000 (Enron,
interne. Depuis 2002, ce référentiel Parmalat, Worldcom…). Depuis
s’est imposé comme le cadre de sa mise en place, il a évolué car les
référence utilisé par les entreprises entreprises se sont rendues compte
internationales pour évaluer que la stricte perspective du contrôle
la conformité de leur structure interne était réductrice et ne permettait
de contrôle interne avec la loi pas d’appréhender et maîtriser la
Sarbanes-Oxley. Celle-ci oblige les totalité des risques encourus. Le
dirigeants à évaluer chaque année le référentiel a donc été mis à jour en
contrôle interne de leur entreprise 2004 pour donner naissance au «
(propositions de la SEC, octobre COSO 2 – ERM ». D’une approche
2002, et de l'ASB, mars 2003). La visant à la maîtrise des opérations via
loi Sarbanes-Oxley exige en outre la sécurisation par des activités de
d’émettre un rapport engageant contrôle, le référentiel a été étendu à :
• la vision de l’ensemble des
types de risques auxquels une
organisation peut faire face,
• l’organisation des différentes
« briques » à l’œuvre dans une
gestion globale des risques,
• l’intégration des résultats de
la gestion des risques dans le
management de l’activité.
Il existe une relation directe entre
les objectifs que cherche à atteindre
une organisation et les éléments
du dispositif de management des
14 PwC
17. Figure 5 – Représentation du référentiel COSO 2
ns
gie
s tio res ité
t ion a m
té ra rm ciè or
ra é fo n nf
St Op In ina Co
F
Environnement de contrôle
Stratégie des risques
Définition des objectifs
UNITE DE GESTION
FILIALE
FILIALE
Profil de risque Identification des événements
ENTREPRISE
DIVISION
Système de mesure Evaluation des risques
Politique processus Traitements des risques
Contrôle des risques Activités de contrôles
Système de reporting Information et communication
Décisions Pilotage
risques qui représentent ce qui est Ainsi bâti, le référentiel COSO 2 – Il est désormais possible d’appréhender
nécessaire à leur réalisation. La relation ERM est la structure qui supporte les l’ERM comme un processus
est illustrée par une matrice en trois grands concepts utilisés par la totalité opérationnel, établi à partir du COSO 2,
dimensions, le fameux « cube COSO ». des acteurs de la gestion des risques : fournissant aux décideurs (managers,
stratégie risque, appétit aux risques, administrateurs) une assurance
Présentation profil de risque, dispositifs de mesure raisonnable sur la maîtrise des risques
des risques, reporting des expositions… effectivement pris au regard des
Les quatre grandes catégories d’objectifs objectifs stratégiques, dans le cadre
de l’organisation – stratégiques, Le référentiel a pour objectif principal d’une appétence globalement définie.
opérationnels, reporting et conformité de permettre une intégration Il facilite la gestion des incertitudes
– sont représentées par les colonnes, des informations émanant de la des activités, la gestion des risques et
les huit « blocs » de la gestion des gestion des risques aux processus des opportunités, l’identification des
risques par les lignes et les unités décisionnels et stratégiques de événements pouvant être à l’origine
de l’organisation par la troisième l’entreprise. Toute entreprise est à de risques, ainsi que la définition des
dimension. Cette représentation illustre même, en suivant ces préconisations, solutions de contrôle interne adaptées.
la façon d’appréhender la gestion des de piloter sa performance (selon les
risques dans sa globalité ou bien par critères qu’elle définit de manière
catégorie d’objectifs, par élément, autonome et spécifique) au regard
par unité ou en les combinant. du niveau de risque qu’elle prend
pour atteindre ses objectifs.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 15
18. Le risque étant l’essence même • la dimension stratégique : comment
du métier de l’assurance, on les instances de décision intègrent-
comprend immédiatement l’utilité elles le risque dans leur processus,
d’un tel référentiel qui intègre : comment fixent-elles le cadre de prise
de risque de l’entreprise (ce qui est
• la définition des objectifs stratégiques autorisé dans la poursuite des objectifs
par les instances de décision, / ce qui est redouté voire interdit) ?
• l’identification des risques résultant • la dimension organisationnelle : quelles
des efforts de l’organisation pour sont les fonctions intervenant dans
atteindre ces objectifs – le risque la gestion des risques, quels sont les
s’entendant aussi bien par menace processus permettant cette gestion,
sur l’atteinte des objectifs que comme et pour les entreprises d’assurance
opportunité à poursuivre pour en comment ces analyses sont liées aux
faciliter leur réalisation, exigences de solvabilité,
• la mise en place d’un dispositif • la dimension opérationnelle :
performant de pilotage des comment l’organisation se dote-t-elle
expositions à ces risques, des outils de mesure des risques, des
ressources à même d‘exploiter ces
• l’information et le reporting des outils de manière satisfaisante, et
expositions aux responsables ad hoc. quels sont les circuits de remontée de
ces informations ?
Cette intégration du risque dans
les processus de pilotage passe par
une « diffusion » de la gestion des
risques dans l’ensemble des niveaux
hiérarchiques et processus de
l’entreprise. Le dispositif sera donc
aligné avec le modèle organisationnel
de l’entreprise, et distinguera des
composantes liées à :
16 PwC
19. Conclusion de
l’approche normative
Le COSO 2 – ERM, conçu comme un Mais comment interpréter, adapter et
référentiel standard et opérationnel, appliquer d’une manière opérationnelle
fournit donc les éléments et la démarche ces référentiels au sein de chaque
globale d’un processus de gestion des organisation ? C’est le grand défi
risques. La réglementation Solvabilité du Pilier 2 que d’affiner, calibrer et
2, et plus particulièrement le Pilier 2, décliner en fonction des spécificités
va obliger les assureurs à préciser les de chaque business, de chaque
fonctions impliquées dans leur gestion entreprise et de chaque culture le
des risques et intégrer l’évaluation des dispositif de gestion des risques.
risques et de la solvabilité au pilotage
de leur entreprise sur un horizon de
trois à cinq ans au travers de l'ORSA.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 17
21. Introduction
Toutes les organisations n’attribuent Nous allons identifier les facteurs
pas la même importance à la gestion clés pour les trois dimensions du
des risques. Il est donc naturel que leurs programme de mise en conformité :
choix divergent face à l’investissement
important que représente aujourd’hui • ’organisation générale de
l
la mise en place d’une « filière la « filière risque »,
risque » conforme aux principes et
aux contraintes réglementaires de • la mise en place du processus
Solvabilité 2. Or c’est bien cet arbitrage, de gestion des risques,
réalisé au niveau de la direction
générale et en lien avec la stratégie • le pilotage des chantiers
globale de l’entreprise, qui est très transversaux les plus importants.
difficile à réaliser et à objectiver.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 19
22. 2.1 L'organisation générale
de la « filière risque »
Organiser une filière risque au sein sa conception toute l’attention de tous pour toute la « filière risque », étant
d’une entreprise disposant d’un long les acteurs concernés, et en premier entendue comme l’ensemble des
historique en matière de processus, lieu celle de la direction générale. fonctions, processus et instances
d’expertises, d’habitudes, de cultures concourant au pilotage des risques.
et d’instances de décision constitue un Si la « nouveauté » principale consiste
projet complexe de transformation. la plupart du temps à mettre en Organiser une telle filière nécessite de
Compte-tenu de l’étendue des place ou développer une fonction répondre à cinq questions majeures :
changements qu’il implique et de de gestion des risques, les projets
l’ancienneté de certaines pratiques qu’il Solvabilité 2 conduisent aujourd’hui à
conduit à faire évoluer, il demande dès définir des schémas organisationnels
Figure 6 – La mise en place de la « filière risque »
• Quels sont les «blocs» organisationnels regroupés sous le périmètre
Quels blocs organisationnels de la fonction de gestion des risques : risk management ? Actuariat ?
1 dans le dispositif ? Conformité ? Sécurité des SI ?...
• Quelles sont les fonctions ayant un rôle clé dans la gestion des risques ?
Quel périmètre pour
2 • Quelles sont leurs responsabilités (contrôle, pilotage, reporting…) ?
la fonction Risque ?
• Quelle est l’articulation des prérogatives entre les fonctions Risque
Quelle articulation entre centrales et locales, notamment dans les implantations à l’étranger ?
3 les différentes fonctions ? • Quelles sont les règles de délégation à mettre en place ?
• Comment répartir concrètement les responsabilités entre la fonction
Quel niveau de centralisation de gestion des risques et les fonctions métier sur les risques clés
4 pour la fonction Risque ? (ALM, investissements, technique…) ?
• Quels sont les indicateurs fondamentaux guidant le pilotage du
5 Quels indicateurs ? couple performance / risque (ROE, SCR, MCEV…) ?
Quels sont les critères d’objectivation du risk appetite ?
Les réponses à ces questions sont déterminées par un ensemble complexe de contraintes, qu’elles soient réglementaires
(Solvabilité 2), externes (notation…) ou internes (ambitions, organisation…).
20 PwC
23. 2.1.1. Les « blocs
organisationnels »
du dispositif
Il est primordial de reconnaître Le modèle des « 3 lignes de défense
et de délimiter le périmètre des » fournit un référentiel utile pour
fonctions impliquées dans la gestion l’articulation de ces différentes
des risques. En effet, celle-ci n’est fonctions et prérogatives.
pas uniquement une affaire de
spécialistes et sa gestion concerne • Ce modèle considère que les risques
tous les niveaux de l’entreprise. Le sont pris en premier lieu par les
dispositif doit reconnaître qu’à ces opérationnels et leur hiérarchie sur le
différents niveaux correspondent terrain, dont les pratiques et processus
des prérogatives différentes : de maîtrise des risques constituent
donc la « 1ère ligne de défense ».
• rise de risque opérationnelle
p
• coordination de la prise de risque
• La « 2nde ligne de défense » est tenue
• upervision de la prise de risque.
s par les fonctions spécialisées en
gestion des risques, qui ont pour but
de concevoir, coordonner et piloter un
cadre cohérent pour la prise de risque,
sans être toutefois exposées
directement aux activités à risque.
Cela recouvre les « fonctions clés » de
la gestion des risques au sens du Pilier
2 (gestion des risques, contrôle
interne et conformité).
• L’audit interne, par ses missions
indépendantes, périodiques et dont la
priorisation est fondée par une
analyse des risques de l’entreprise
fournit une « assurance raisonnable »
sur la pertinence et le correct
fonctionnement de ce dispositif. Il
constitue ainsi la « 3ème ligne de
défense ».
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 21
24. Figure 7 – Les trois lignes de défense
1° ligne de défense 2° ligne de défense 3° ligne de défense
- ctuariat / Dir.
A
Toutes fonctions (SI, RH, Technique - ALM / Dir. - Gestion des risques
Périmètre Finance, Production,…) Investissements - ontrôle interne,
C Audit interne
- utres
A conformité…
(s uscription,…)
o
Principes et N/A Propose Revoit et valide / Propose
normes
Mise en œuvre Applique Propose / Applique Coordonne / Applique
Réalise des revues
indépendantes et a
Contrôles Applique / Propose Applique / Propose Supervise, consolide, posteriori sur :
analyse - a pertinence des
L
dispositifs
Reportings Produit Produit / Analyse Consolide, analyse, pilote - Leur correcte application
Plans d’action Applique Propose / Applique Valide et pilote / Applique
rôle de coordination / rôle opérationnel
Sur cette base, les entreprises La mise en œuvre de ces principes • L’audit interne a un rôle particulier
définissent généralement des grands se heurte souvent à 2 difficultés : dans le dispositif, et s’avère souvent
principes d’articulation entre les difficile à positionner. Les textes de
différentes « strates » de la prise de • La fonction de gestion des risques peut Solvabilité 2 insistent fortement sur le
risque, comme illustré ci-dessus. avoir des responsabilités différentes caractère indépendant de cette
Le schéma organisationnel définit en fonction des types de risque : fonction. Ses ressources doivent être
le plus souvent les responsabilités généralement coordinateur, elle peut déchargées de toute autre
tout au long des étapes du processus prendre une responsabilité directe sur responsabilité opérationnelle. Par
de gestion des risques. certains domaines, comme le risque ailleurs, selon les normes de l’IIA 5 son
opérationnel. Ces spécificités sont objectif est de fournir de manière
Ces principes serviront ultérieurement abordées dans l’analyse du indépendante une « assurance
de référence dans les attributions positionnement de cette fonction raisonnable » au management quant à
précises des rôles et responsabilités dans (cf. infra). la pertinence, la qualité et la correcte
la gestion des risques du profil de risque. application du dispositif de gestion des
risques. On comprend bien alors
pourquoi cette fonction doit être
indépendante afin de pouvoir spécifier
sa propre approche (basée sur sa
perception des risques) ainsi que de
formuler des recommandations libres
de toute influence extérieure.
(5) IIA : Institute of Internal Auditors
22 PwC
25. 2.1.2. Le périmètre
de la fonction Risque
Nous l’avons vu, Solvabilité 2 fait La première concerne le périmètre • De ce fait, elle élabore un véritable
de la fonction Risque le pivot et le des risques que doit identifier outil de management en alliant la
chef d’orchestre du dispositif risque. ce profil des risques : vision « risque » des intervenants
La réglementation fixe en effet des opérationnels (approche « Bottom-up »
responsabilités et un périmètre de • Il doit couvrir a minima les modules visant à l’exhaustivité du
risques minimaux sur lesquels cette de risque structurant les calculs de recensement) et celle des dirigeants
fonction est référent. Dans le cas où besoins de fonds propres, que ceux-ci (approche « top-down » visant à la
l’entreprise utilise un modèle interne, soient évalués via la formule standard pertinence et à la priorisation des
elle a en charge la conception, les ou un modèle interne : souscription, investissements en matière de risque).
tests, la mise en œuvre et le suivi de marché, taux, opérationnel…
la performance du modèle retenu, Pour finir, elle s’assure pour l’ensemble
qu’il soit partiel ou total. Il est donc • Il ne se limite cependant pas à ces des éléments de ce profil de risque
naturel que la plupart des entreprises seuls risques, trop réducteurs pour priorisé qu’un dispositif opérationnel de
commencent les chantiers du Pilier restituer une image fidèle du profil de gestion et de pilotage est effectivement
2 par la mise en place ou la revue du risques réel. La fonction Risque doit en place. Chacun de ces risques doit
positionnement de cette fonction. donc identifier les autres risques qui être attribué à un propriétaire de
Cette fonction prend donc en charge sont propres à l’organisation, en risque, porteur de l’expertise la plus
le pilotage de l’ensemble du processus prenant en compte l’ensemble de ses poussée disponible dans l’organisation
de gestion des risques (cf. supra), filiales et métiers (non nécessairement sur ce sujet : l’actuariat pour les risques
même si elle ne réalise pas directement assurantiels). de souscription, de contrepartie au
l’ensemble des opérations, analyses ou passif et de réassurance, la gestion
calculs nécessaires à ce processus. La fonction Risque doit par ailleurs d’actifs pour les risques de marché
garder à l’esprit que le profil de risque ne et de crédit… Cette attribution est
Le référent pour l’élaboration du peut consister en un simple inventaire la première brique pour permettre
profil de risque de la totalité des risques avérés ou la mise en place d’un dispositif de
potentiels : gestion des risques effectivement
Lorsqu’elle se met en place, une fonction opérationnel. Les composantes du
Risque a pour première tâche d’identifier • A partir de ses analyses et des points processus de gestion des risques sont
les risques auxquels l’organisation est de vue qu’elle collecte, elle priorise les reprises en partie 2 ci-dessous.
exposée. Cette identification constitue le risques devant faire l’objet d’un suivi.
préalable à tous ses travaux. Si la réalité Sa valeur ajoutée à ce stade repose sur
des risques effectivement encourus sa capacité à proposer une liste réduite
est spécifique à chaque entreprise, de risques pour lesquels
l’élaboration du profil de risque obéit l’investissement dans un dispositif de
néanmoins à quelques bonnes pratiques. mesure, suivi et pilotage permanent se
justifie au regard des objectifs
business.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 23
26. Une fonction en pleine évolution Les entreprises évoluent
sous l’influence de Solvabilité 2 progressivement sur la courbe
de maturité de l’ERM entre ces 2
Au-delà de cet aspect technique, les pôles. Au fur et à mesure de cette
organisations positionnent d’abord la progression, la fonction Risque
fonction Risque en faisant évoluer son évolue dans son positionnement :
« droit de regard » sur les décisions
opérationnelles. Cette notion • Son rattachement hiérarchique tend à
recouvre l’étendue des prérogatives remonter. On observe actuellement
de cette fonction sur les processus, une vague très cohérente de
politiques et opérations de prise de repositionnements des fonctions
risque pour lesquels elle ne constitue Risque, rattachées de plus en plus
pas l’expert de référence. Dans les systématiquement à la direction
faits, les interventions de la fonction générale, marquant la prise en compte
Risque sont en ligne avec la priorité croissante des enjeux de risque dans le
stratégique accordée au risque : pilotage des entreprises d’assurance.
• Une entreprise peut avoir une
approche conservatrice du risque : sa • Le rôle du directeur des risques
priorité est alors de ne pas évolue. Souvent perçu initialement
compromettre les protections offertes comme un cadre à orientation
aux assurés et sécuriser la conservatrice et technique, il a
performance. Dans ce cas, la fonction vocation à se positionner de plus en
Risque aura généralement pour plus comme un « Business Advisor »
fonction de conseiller les responsables auprès des instances de décision. Sa
opérationnels sur la maîtrise de leurs compréhension unique des risques
processus et des risques associés. Elle pris par l’entreprise et de leurs
n’aura pas (ou peu) de latitude pour interactions lui permettent de fournir
bloquer les processus de décision. un conseil pertinent sur les modalités
de création de valeur.
• Une entreprise peut aussi décider de
fonder sa création de valeur sur le • Les fonctions Risques, initiées autour
pilotage des risques qu’elle prend et de des impératifs réglementaires
leur impact sur ses variables successifs (lutte anti-blanchiment,
stratégiques : MCEV, capitalisation lutte anti-fraude,…) évoluent vers des
boursière, capital économique… Dans organisations plus professionnalisées,
ce cas, la fonction Risques devient un le plus souvent structurées par types
acteur clé dans les décisions de risque (opérationnels, techniques,
opérationnelles : elle est partie capital économique…).
prenante intégrale de ces processus,
est consultée pour toute décision
importante et émet alors un avis
formel. Elle dispose éventuellement
d’une possibilité de blocage (qui
nécessite de prévoir un processus
d’arbitrage). Ces entreprises utilisent
quasi systématiquement un modèle
interne, qui est intégré dans les
processus de décision stratégiques et
opérationnels.
24 PwC
27. « La mise en place de Solvabilité 2, et tout particulièrement le Pilier 2,
va nécessiter une plus grande coordination entre tous les acteurs
participant à la gestion des risques tout en s’appuyant sur les règles
de gestion existantes, règles qui devront être renforcées à la marge.
La discipline qui va en découler va permettre de faire émerger des
opportunités de croissance et de renforcement de la relation avec nos
clients tout en garantissant à tous (employés, actionnaires, clients…)
un meilleur contrôle des risques et de ses impacts sur la structure de
l’entreprise.
Groupe Euler Hermes
Ronan Davit
Directeur des risques
2.1.3. L’articulation
des différentes fonctions
impliquées dans la gestion
des risques
Une fois le profil de risque arrêté, Si le modèle des 3 lignes de défense • Définir précisément les rôles et
l’enjeu pour la fonction Risque est illustré précédemment fournit un responsabilités de chacun dans le
de promouvoir la mise en place d’un cadre général en ce sens, cette mise processus. Un point d’attention
dispositif risque s’appuyant sur des en cohérence doit être déclinée particulier est à apporter à la capacité
processus de décision clairs et partagés. précisément pour chacun des risques de blocage des fonctions support
La fonction Risques dispose pour du profil. Il est alors nécessaire de : (typiquement, la fonction Risque) par
cela de deux leviers principaux. rapport aux fonctions opérationnelles
• Cartographier les fonctions légitimes concernées, et définir ainsi
La définition des rôles et dans la prise en charge d'un risque précisément cette notion de « droit de
responsabilités sur les principaux donné : métiers, support, direction ou veto » sur les décisions
risques gouvernance… opérationnelles. Notons que la
définition de ce droit de blocage doit
Pour cela, la fonction Risque part de • Localiser dans l’organisation s’accompagner de la mise en place
sa formalisation du profil de risque l’expertise clé en matière de gestion de d’une procédure claire d’arbitrage en
et pilote l’articulation des rôles et ce risque (en général, il s’agit du cas de désaccord entre la direction des
responsabilités pour chacun des propriétaire du risque identifié lors risques et la direction métier
risques qu’elle y a inscrit. La difficulté des phases amont de mise en place du concernée.
principale repose dans la diversité et dispositif).
l’hétérogénéité des intervenants.
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 25
28. Utiliser une matrice des rôles et des responsabilités, telle que présentée dans
l’exemple ci-dessous, permet de formaliser aisément cette répartition des rôles.
Figure 8 – Une matrice des rôles et des responsabilités pour la gestion des
investissements
Gestion des investissements
Conseil d’administration (via le comité des risques) : responsabilité de supervision
Responsable globale
(responsabilité en dernier ressort) Direction générale : validation et pilotage de la politique de placements
Acteur Direction des Investissements : propose à la validation les orientations de
(pilotage de la mise en œuvre l’allocation stratégique, définit les modalités d’allocation tactique, réalise le suivi.
opérationnelle)
Consulté Direction des Risques : émet un avis au regard de l’exposition globale du Groupe
(avis sollicité de façon et de son niveau de solvabilité selon l’exposition de l’entité considérée aux risques de
systématique, publié et pris en marché. Si avis contraire, arbitrage en comité exécutif.
compte dans la décision)
Informé Service Trésorerie (Direction Financière) : informé de l’ensemble des évolutions de
(modalités de gestion la politique de placements.
communiquées régulièrement)
La mise en place d’une L’organisation de la décision est • Prioriser les types de risque pour
architecture de prise de décision bien entendu propre à la culture lesquels des instances de pilotage
de chaque entreprise et fonction formelles et régulières sont
Le dispositif de gestion des risques de son niveau d’avancement sur la nécessaires. Au regard de ces priorités,
le mieux conçu ne sera efficace et « courbe de maturité » de l’ERM. l’entreprise formalisera les
performant que s’il est accompagné d’un Néanmoins, la revue ou la mise en responsabilités attendues de chaque
dispositif d’application opérationnelle place de l’architecture de décision niveau organisationnel (supervision
des décisions. Il s’agit de garantir que passe par quelques étapes clés : globale, définition des pratiques, suivi
d’une part, l’ensemble des informations et reporting…).
utiles remontent à temps aux niveaux • Définir les niveaux organisationnels
hiérarchiques appropriés et que clés en matière de décision risques. • Concevoir les instances de décision ad
d’autre part, ces instances examinent Ces niveaux sont souvent ceux des hoc à chaque niveau : type de comité,
les problématiques et prennent les principales strates décisionnelles de membres, attributions, modalités et
décisions nécessaires. L’entreprise est l’entreprise (comité de direction, droits de vote, fréquence de réunion.
alors à même de piloter ses expositions fonctions clés dans la prise de risque,
aux risques de manière continue et de exécutants…) et sont définis en
réagir rapidement en cas de déviation cohérence avec les rôles et
inattendue de son profil de risque. responsabilités identifiés pour chaque
type de risque du profil de risque.
26 PwC
29. La comitologie peut ainsi s’organiser de manière cohérente au sein de
l’entreprise, comme illustré dans l’exemple indicatif ci-dessous :
Figure 9 – Matrice des rôles et responsabilités
Marché Crédit Souscription Opérationnel
Comex Comité des risques
Comité d’Investissement Comité
Preneurs Contrôle
de risque Comité de Souscription Interne
Reporting Comité ALM Reporting Reporting
Mitigation
Le nécessaire lien entre la gestion Initialement, beaucoup d’entreprises stade, ces réflexions ont été initiées mais
et le contrôle des risques d’assurance ont engagé des démarches ne semblent pas avoir été complètement
de cartographie des risques un peu arbitrées par les entreprises d’assurance :
Une des leçons principales de la crise lourdes car fondées sur un niveau de le risque opérationnel, très difficile à
financière est qu’une gestion des risques détail très granulaire. Ces démarches appréhender, est totalement spécifique à
performante nécessite un dispositif ont cherché à identifier et maîtriser chaque organisation et ne fait pas l’objet
cohérent, garantissant une articulation les risques spécifiques à certains de définitions précises dans Solvabilité
opérationnelle réelle entre : processus ou domaines opérationnels 2. Les calibrations du SCR au titre du
: fiabilité des processus d’information risque opérationnel aboutissent d’ailleurs
• d’une part, la définition de politiques financière (projets SOX), sécurité des à une charge minime en fonds propres,
et processus risque pertinents systèmes d’information, lutte contre la n’incitant pas ou peu à investir dans un
(essentiellement du ressort de la fraude ou le blanchiment d’argent… dispositif poussé de maîtrise de ce risque.
direction des risques),
Ces réflexions conduisent les entreprises
• et d’autre part, la correcte application à mener des travaux spécifiques sur la
de ces politiques et processus par les maîtrise du risque opérationnel. Il s’agit
acteurs concernés (fonctions en effet de la mission première du contrôle
opérationnelles, contrôle interne…). interne (ou contrôle permanent) : assurer
la correcte maîtrise des processus et
opérations de l’entreprise et la fiabilité des
informations produites par l’entreprise,
quelles soient financières ou non. A ce
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 27
30. Un certain nombre d’acteurs du Cadrage du dispositif de
marché initie actuellement des risque opérationnel.
démarches spécifiques à l’analyse du
risque opérationnel et à l’articulation • Dans un premier temps, l’effort se
risque – contrôle. Parmi les pistes porte sur ce que recouvre cette notion.
actuellement envisagées, les Il ressort généralement de ces
principales sont les suivantes : analyses que le risque opérationnel
recouvre tout élément compromettant
Regroupement progressif des l’atteinte des objectifs des processus
fonctions risque et contrôle opérationnels (voir la nomenclature
sous une unique responsabilité définie en ce sens par Bâle 2), ou
(majoritairement, le encore toute élément compromettant
directeur des risques). la correcte application des politiques
de risques définies par l’entreprise.
• Cela permet de donner une meilleure Certaines organisations sont allées
cohérence entre des initiatives parfois plus loin : face à la volumétrie trop
déconnectées auparavant. Ces importante des risques opérationnels,
réflexions sont souvent concentrées elles ont priorisé les domaines
sur la problématique de la fonction de d’exposition critiques et concentré
conformité : s’agit-il d’un sujet piloté leurs efforts de déploiement des
par les acteurs du juridique dispositifs de maîtrise sur ces quelques
(réalisation de la veille domaines.
réglementaires) ou du contrôle interne
(diffusion des dispositions légales Modélisation du risque
dans les processus opérationnels) ? opérationnel.
Nous observons une tendance assez
nette en ce sens à (i) nommer un • Certaines entreprises ont mis en place
responsable conformité, chargé de des dispositifs de collecte de données
définir les principaux enjeux de la liées aux pertes opérationnelles. Ces
conformité pour l’entreprise et dispositifs permettent d’évaluer
coordonner l’application des l’exposition réelle de l’entreprise aux
dispositions juridiques applicables en pertes opérationnelles, de
la matière tout en (ii) maintenant la dimensionner de manière plus
responsabilité de la veille juridique au cohérente leur dispositif de maîtrise,
niveau de la direction juridique, mais voire de réaliser des économies en
en créant une instance de besoins de fonds propres. Il reste
coordination à fréquence régulière toutefois que pour être efficace, ce
entre ces deux acteurs. D’une manière dispositif doit être cadré (par exemple,
générale, les entreprises tendent à en définissant clairement ce qu’est une
mettre leur fonction de gestion des perte opérationnelle et à partir de
risques en mesure de superviser à la quelle valeur de seuil on collecte les
fois la pertinence de leur cadre ERM et montants des pertes) et profiter d’une
la correcte application des dispositions profondeur historique importante. On
qu’il met en place. estime que les résultats deviennent
significatifs au bout de trois à cinq ans
de collecte. Les assureurs sont donc
encore peu avancés en matière
conceptuelle sur la modélisation de ce
risque.
28 PwC
31. 2.1.4. Le degré
de centralisation
de la fonction Risque
Les groupes d’assurance sont confrontés juridiques. Elle définit éventuellement
à une difficulté opérationnelle majeure un principe de subsidiarité réglant les
concernant le périmètre opérationnel marges de manœuvre des entités, qui
de la fonction Risque. Comment celle- disposent dans ce cas d’un
ci intègre-t-elle dans ses analyses « correspondant risque ». Dans tous les
et processus des entités et activités cas, la fonction Risques est amenée à
diverses et non nécessairement animer un fonctionnement en réseau.
assurantielles (gestion pour compte de
régimes de retraite complémentaires • Les groupes ont tendance à imposer à
ou de sécurité sociale, services l’ensemble de leurs entités
de soins et d’accompagnement, assurantielles des principes et
participations stratégiques…) ? schémas de reporting cohérents,
définis et pilotés centralement. Ceci
Si la plupart des organisations sont est particulièrement vrai pour les
encore en recherche du bon niveau groupes internationaux disposant de
d’efficacité dans l’articulation du filiales ou entités étrangères exerçant
dispositif Risque entre les différentes dans des pays non soumis à Solvabilité
entités d’un groupe, quelques bonnes 2. Dans ce cas, un double reporting est
pratiques émergent néanmoins : le plus souvent choisi : maintien du
reporting inspiré des normes
• L’organisation de la « filière risques » prudentielles locales, envoi d’un
au sein du groupe est alignée sur la reporting risque normalisé (souvent
structure organisationnelle et selon un « format Solvabilité 2 ») au
décisionnelle en place. Dans un groupe.
groupe très décentralisé, les
différentes entités ou filiales disposent
souvent d’une fonction Risque locale,
rattachée hiérarchiquement à leur
direction générale mais reliées
fonctionnellement à la direction des
risques du groupe. Dans un groupe
plus centralisé, la direction des risques
du groupe supervise les entités
Le Pilier 2 de Solvabilité 2, enjeux opérationnels de la gestion des risques 29