- Par Abdelmoumen Berjaoui
- Professeur à la FSJES de Kénitra, spécialiste du régime prudentiel des assurances
|
Les entreprises d’assurances, en tant qu’acteur incontournable de la sécurité des investissements industriels et la couverture économique et sociale des particuliers sont fortement exposées à des risques particuliers. La plupart des acteurs de l’assurance fonctionnent avec une approche de gestion des risques par silo. Chaque propriétaire de risque mène sa propre analyse et réalise un reporting pour les dirigeants. Avec solvabilité 2, l’ensemble du métier de la gestion des risques est maintenant consolidé dans une seule structure.
- Le cadre général de l’ORSA
L’article 45 de la directive Solvabilité 2 prévoit un système de gouvernance et de contrôle interne des risques s’inspirant de l’approche ERM (Entreprise Risk Management ). Ce nouveau système appelé l’ORSA (Own Risk and Solvency Assessment, évaluation interne des risques et de la solvabilité) garantit une alimentation de la réflexion stratégique par des modèles prospectifs des risques courus. Toutes les options stratégiques sont avec l’ORSA quantifiées à plus long terme selon une approche prospective sur la base de la création de valeur, des risques et de la solvabilité. Dans le cadre de l’ORSA, l’approche de la gestion des risques est transverse. Elle est définie au travers des notions de profil du risque, d’appétence aux risques, de tolérance aux risques et des limites opérationnelles des risques. Opérationnellement le processus ORSA peut être subdivisé en trois étapes clés : l’établissement du profil du risque, la définition et la mise en œuvre d’une stratégie de gestion des risques et finalement la mise en place d’un suivi systématisé du processus. Toute modification substantielle du profil du risque nécessite la mise à jour du processus ORSA.
- La détermination du profil du risque
L’établissement d’une cartographie des risques constitue la première étape dans la détermination du profil du risque. Pour alimenter la cartographie des risques, la compagnie pourrait utiliser la liste standard des risques prévue par le pilier 1. Mais dans un souci d’exhaustivité, la compagnie doit capitaliser sur l’expérience des opérationnels (approche bottom-up) et des dirigeants (approche top-down) ou faire appel aux référentiels de la profession en la matière (ORX : Operationnel Riskdata eXchange et CRO Forum). Une fois les risques identifiés, il est nécessaire de les évaluer. L’évaluation des risques peut se faire selon deux approches différentes, mais complémentaires : approche quantitative et approche qualitative. L’analyse quantitative des risques est fondamentalement probabiliste et statistique. Elle nécessite la définition d’une ou de plusieurs métriques (Value at Risk, Tail Value at Risk, etc) pour évaluer la fréquence et la sévérité du risque. Les métriques choisies doivent pouvoir être consolidées et agrégées afin de fournir une vision complète et hiérarchisée des risques du profil. Les risques difficilement quantifiables font l’objet d’une analyse qualitative. L’analyse qualitative étudie les différents scenarios possibles à travers l’étude de la chaine causale ou de l’arbre de défaillance. Finalement, des stress test doivent être effectués afin d’anticiper d’éventuelles déformations du profil du risque.
- Définition et mise en œuvre d’une stratégie de gestion des risques
Dès lors que le profil de risques a été établi, une stratégie de gestion des risques doit être définie et mise en œuvre. Le déploiement de cette dernière consiste en la définition de l’appétence aux risques et sa déclinaison en tolérance et limites opérationnelles des risques. L’appétence au risque, défini en 2002 par le COSO correspond au niveau de risque maximal qu’une entreprise accepte de prendre afin d’atteindre ses objectifs stratégiques. L’appétence au risque est prise en compte lors de la définition de la stratégie. L’appétence au risque est fixée sous contrainte d’un certain niveau de sécurité. Dans le cadre de l’ORSA, l’appétence au risque doit se définir à travers des métriques relatives au résultat (ex : le résultat IFRS doit être supérieur a X % du résultat budgété dans 19 cas sur 20 ; intervalle de confiance de 95%), de valeur (ex : Market Consistent Embedded Value : MCEV, Net Asset Value : NAV) et de solvabilité (ex : SCR ou ratio de solvabilité). Les décisions concernant la définition et la révision de l’appétence au risque doivent être prises en fonction des attentes des actionnaires, assurés et agences de notation. L’appétence au risque est déclinée en tolérances aux risques à travers une approche top–down. Les tolérances des risques doivent être compatibles avec les contraintes auxquelles sont sujettes les directions opérationnelles. À titre d’exemple, pour la tolérance « marché », la détention d’actions est très consommatrice de SCR, mais source de rentabilité potentiellement plus élevée. L’affectation d’un budget de risque de marché ne permettant pas de conserver la même part d’actions en portefeuille, peuvent conduire à des tolérances de risques entamant la capacité de la compagnie à couvrir ses engagements.
Les tolérances aux risques doivent avoir la forme d’équations sous contraintes telles les expressions ci-après :
- Le montant de pertes d’une affaire X suite à un choc de une fois tous les Y années ne doit pas consommer plus de Z % du capital réglementaire ou économique ;
- Le montant de perte du risque opérationnel ne doit pas excéder X Millions sur la base d’une Value at Risk à 90%/99%/99,5% ;
- La probabilité que le capital réglementaire ou économique d’une filiale diminue de X% doit être inférieur à Y%.
Les limites opérationnelles des risques constituent le degré le plus fin de la déclinaison de l’appétence au risque. Les tolérances aux risques sont déclinées en limites opérationnelles des risques par chaque propriétaire de risque, en collaboration avec la direction des risques. Les limites opérationnelles des risques sont matérialisées, pour chaque catégorie de risques, par des indicateurs quantifiables sur la base d’hypothèses prospectives. Il pourra s’agir d’un cours d’action, d’un taux d’intérêt, d’un ratio sinistre à prime (S/P), etc. Les limites opérationnelles définissent le niveau de risque au-delà duquel une action correctrice doit être mise en place.
Comme tout dispositif de gestion des risques, l’ORSA doit s’appliquer en continu dans l’organisation. Une mise à jour doit être réalisée au minimum une foi par an, notamment pour permettre de gérer les deux sources de modification du profil de risque de l’entreprise à savoir : les sources exogènes (survenance d’un sinistre majeur, évolution de la réglementation, dégradation du contexte économique et financier, etc.) et les sources liées aux décisions internes à l’entreprise (lancement d’un nouveau produit, évolution de l’allocation stratégique, modification du programme de réassurance, etc.). En effet, la gouvernance des risques dans le cadre de solvabilité 2 s’articule autour de deux systèmes : le système de gestion des risques et le système de contrôle interne, et de quatre fonctions : la fonction de gestion des risques, la fonction de vérification de la conformité, la fonction d’audit interne et la fonction actuarielle (Articles 44, 46,47 et 48).
Finalement, il est à signaler enfin que le Maroc n’a pas convergé vers Solvabilité 2 alors que les tractations concernant le sujet ont commencé depuis 2000. De ce fait, le secteur des assurances marocain n’est pas encore doté d’un système transverse de gestion des risques tel l’ORSA. À notre avis, cette carence au niveau de la gouvernance du secteur risque de compromettre les politiques de réallocation stratégique des compagnies marocaines.
