L’assurance, avec son principe de mutualisation des risques, se veut être salvatrice et garante de la stabilité d’une économie aussi changeante qu’imprévisible. Les risques émergents, comme les risques d’interruption des services informatiques ou les risques de non-respect de la conformité, contraignent les entreprises à renforcer leurs lignes de défense. Au même titre que leurs clients, les compagnies d’assurance sont exposées à ces risques industriels. Elles doivent mettre en place une gestion des risques efficace afin d’assurer la sécurisation de leurs activités. Parmi ces risques, l’un d’eux attire particulièrement l’attention : le risque opérationnel. Notamment car complexe à identifier et évaluer, il est l’un des risques les plus difficiles à maîtriser.
Vous avez dit risque opérationnel ?
Si les assureurs ont accompli beaucoup d’efforts pour le connaître, l’exposition reste forte et la menace pressante. C’est notamment l’avis des régulateurs. Ils demandent aux entreprises d’assurance de redoubler d’efforts pour réduire au minimum le risque opérationnel. Tout l’enjeu tient dans l’allocation des ressources à la maîtrise de ce risque : elle doit être suffisante pour être efficace, mais aussi proportionnée pour éviter de mobiliser des investissements lourds susceptibles de peser sur les marges de manœuvre stratégique de l’entreprise.
Le risque opérationnel est inhérent au parcours professionnel de tous les acteurs de l’entreprise d’assurance. L’article 13 de la Directive Solvabilité 2
Un risque universel mais variable selon la taille
Tout le monde est concerné mais pas forcément de la même façon ! Le risque opérationnel croît plus que proportionnellement à la taille de l’entreprise. C’est le constat fait en juxtaposant le profil d’une grande compagnie d’assurance à la définition du risque opérationnel. En effet, il y a plus de processus divers, plus de collaborateurs, plus de systèmes informatiques et l’assureur est exposé à plus d’évènements extérieurs. Ce risque aussi revêt un caractère universel : il évolue avec les mutations sociales, numériques, écologiques ou politiques.
Aujourd’hui, par exemple, la progression de la place de l’informatique dans la vie de l’entreprise d’assurance expose aux risques dits de « cybercriminalité » classés dans la catégorie « System Security (External Fraud) » (voir encadré), un nombre croissant d’acteurs de l’assurance. Selon le Consortium ORX
Une corrélation à la résilience
Les risques de demain sont ceux qui ne se sont pas produits hier. Ce n’est pas une Lapalissade : c’est l’expression de l’extension de l’univers des risques, de la diversité des risques qui apparaissent et de l’exigence croissante de protection dans tous les domaines. L’entreprise d’assurance doit donc préparer un plan de résilience opérationnelle approfondi pour affronter les perturbations nouvelles et graves qui vont apparaître régulièrement dans les années à venir. En 2016, la Banque de France organisait un colloque sur la résilience opérationnelle : « la résilience opérationnelle est un enjeu majeur de stabilité financière, car elle a pour objectif de mettre un écosystème financier en capacité de poursuivre ses activités critiques après une crise opérationnelle extrême »
La matérialisation récente d’un risque de faible fréquence, mais d’ampleur globale a démontré toute la nécessité d’un dispositif de gestion des risques opérationnels efficace pour soutenir la résilience. La crise du Covid-19 a montré que les entreprises les plus avancées dans ce domaine ont mieux résisté à la crise. Il est reconnu que la banque et l’assurance, réglementairement contraintes de construire des Plans de Continuité d’Activité (PCA), ont été dans l’ensemble résilientes à la crise pandémique.
La gestion des risques opérationnels repose sur le déploiement et le maintien d’un dispositif de contrôle interne homogène et adapté, fondé sur trois « lignes de défense »
Le dispositif efficace de contrôle interne constitue le socle du PCA
La crise sanitaire et économique a poussé les curseurs à l’extrême et sans anticipation, les entreprises arrivent vite à la paralysie. Naturellement, aucun acteur n’avait anticipé un scénario de crise sanitaire de cette ampleur. Néanmoins, on sait que les Directions Contrôle Interne qui avaient un dispositif de gestion des risques solide et qui avaient mené des réflexions en conservant l’idée que « le pire peut arriver » ont participé efficacement à la résilience. Assurément, ces réflexions ont servi la continuité d’activité pendant la crise du Covid-19.
Comment bien se préparer ?
Ayons conscience que le risque opérationnel touche tous les postes de travail. Si l’on considère son universalité et sa globalité, il faut développer une culture du risque dans son ensemble. La gestion des risques opérationnels doit cultiver la culture de l’attention. C’est une discipline de terrain. Les risques opérationnels sont assimilés, détectés et évalués en allant au plus près des métiers. On étoffe et renforce un dispositif de contrôle interne par le dialogue et la coopération avec l’ensemble des structures de l’entreprise. Donc par la collaboration transversale dans l’entreprise. Une différence, majeure avec les risques traditionnellement couverts par l’assureur : risques d’assurance et risques financiers qui sont gérés par des spécialistes de chaque risque.
Entretenir une culture du risque opérationnel au sein de l’entreprise est essentiel. Elle se rattache au nouveau mode de management « bienveillant » qui engage davantage les employés dans la réalisation des objectifs. C’est l’occasion de faire « d’une pierre deux coups ». La gestion des risques opérationnels souffre d’un processus de déclaration d’incident qui n’est ni instinctif ni systématique, ce qui limite la connaissance et le traitement de ces risques. Inciter les collaborateurs à reconnaître leurs erreurs sans appréhender de sanction pourrait permettre d’avoir une meilleure connaissance des risques opérationnels pour mieux s’en prémunir et d’instaurer une culture de tolérance. Donc améliorer l’image de l’entreprise auprès des employés. Autre idée à remettre en cause : maîtriser les risques ne conduit pas nécessairement à réduire les rendements et les profits. La gestion des risques doit au contraire encadrer et encourager la prise de risques opérationnels. Le contrôle interne ne doit pas garder une image d’obstruction au business.
De risque de réputation devenu majeur
On l’a vu avec la crise du Covid, la maîtrise des risques opérationnels améliore la résilience même s’il est complexe d’anticiper toutes les conséquences de crises systémiques comme celle-ci. Elle permet aussi de créer de la valeur ! Les crises sont des opportunités pour se démarquer de la concurrence. S’être bien préparé à une crise, c’est maximiser ses chances d’en sortir plus fort. De plus, le risque opérationnel peut produire des effets multiplicatifs Celui-ci correspond à la réalisation successive de plusieurs scénarios de diverses natures : l’entreprise est plus exposée et peut subir des pertes plus importantes que la somme des pertes individuelles. La réalisation d’un risque opérationnel peut déclencher la survenance d’un autre risque opérationnel ou même d’un risque d’une autre nature : risque de marché, de crédit, de liquidité, de souscription, de tarification et surtout risque de réputation. L’Académie Française définit la réputation comme « avis favorable ou défavorable que l’opinion publique se fait sur une personne ou sur une chose ».
Or, le découpage du profil de risque d’une entreprise d’assurance exclut le risque de réputation des risques opérationnels. Il n’en demeure pas moins que l’enjeu réputationnel, encore négligé aujourd’hui dans certaines entreprises, a un lien fort avec les notions de résilience et de risques opérationnels. La situation évolue toutefois. Les assureurs disposant d’un dispositif de contrôle robuste évaluent maintenant l’impact réputationnel de chaque risque opérationnel.
L’étape suivante est la construction pro-active d’une réputation positive. Traditionnellement, l’entreprise se consacre à la gestion de la réputation post-incident opérationnel, dans un contexte de gestion de crise. Or, on devrait plutôt développer continuellement une réputation solide auprès des différentes parties prenantes : médias, agences de notations, actionnaires, fournisseurs, clients, employés régulateurs, etc. cela minorerait l’effet de l’incident opérationnel sur une image solide de l’entreprise, souvent construite et entretenue depuis longtemps.
La sanction, autre risque réputationnel ?
Les risques de non-respect de la conformité sont un élément majeur du risque opérationnel. La crise dite « des subprimes » a joué le rôle d’accélérateur et a donné une nouvelle dimension au contrôle et à la normalisation dans l’assurance, la pression réglementaire étant de plus en plus forte. Pourtant, la multiplication des réglementations entraîne immanquablement des défaillances dans leur respect. Les assureurs doivent donc être extrêmement vigilants, car l’attention portée sur les risques opérationnels par les superviseurs évolue. Les superviseurs y sont attentifs notamment dans le domaine de la conformité réglementaire, de la déontologie, de la conduite des affaires ou de la protection des données personnelles et la protection des consommateurs. Les assureurs sont en outre les principaux dépositaires de l’épargne des Français et le cadre légal évolutif est pensé pour protéger le client (cf. la polémique sur les frais de l’assurance vie).
Les régulateurs n’hésitent pas à utiliser la sanction comme levier pour faire appliquer les Directives et Recommandations. Comme les consommateurs sont de plus en plus connectés et au fait des actualités, une sanction réglementaire affaiblit la réputation et le business de l’entreprise. Logiquement, le consommateur peut s’interroger, au moment de souscrire un contrat d’assurance vie, sur la fiabilité de l’assureur qui vient d’être sanctionné pour manquements en matière de protection de la clientèle.
Un tryptique résilience, risque opérationnel et réputation
Il existe donc une corrélation entre la gestion des risques opérationnels, la résilience et la réputation d’une entreprise et ce lien se renforcera sans doute dans l’avenir. S’investir davantage dans la protection du client, c’est pérenniser et fidéliser l’assuré, car le client peut être le premier ambassadeur de l’entreprise, mais aussi le premier détracteur. Prioriser la gestion des risques opérationnels, notamment en matière de conformité, c’est détecter pour rectifier et ainsi offrir un meilleur produit, un meilleur service et une meilleure expérience client. Si conventionnellement, on dit que le risque opérationnel est un risque non rémunéré (il n’y a pas de gains directs pour les incidents évités et par conséquent aucune incitation financière à la vigilance), dans les faits il l’est. La limite repose évidemment dans l’évaluation du risque et l’établissement du bilan gains/pertes et coûts.
L’épineux sujet du dire d’expert
La gestion des risques consiste à mesurer la combinaison de la probabilité de survenance du risque et de l’impact sur la société d’assurance, soit la fréquence et la sévérité du sinistre possible ou probable.
La critique majeure adressée à la gestion des risques opérationnels porte sur l’évaluation qui repose sur les « dires d’experts ». Faute d’avoir des données historiques conséquentes pour construire un modèle statistique probant, les assureurs se reposent sur l’avis de professionnels expérimentés, dans le cadre de la campagne récurrente de contrôle des risques opérationnels de l’entreprise mais aussi pour la modélisation prudentielle imposée par la Directive Solvabilité II, en cas d’option de l’entreprise pour un « modèle interne » de solvabilité.
Les risques financiers sont des risques majeurs pour l’assurance et, que ce soit pour le risque de marché ou le risque de crédit, l’appétit au
Pour les risques opérationnels, la connaissance par l’assureur de ses principaux risques repose seulement sur l’expérience et l’expertise de quelques collaborateurs ayant la capacité technique à quantifier le risque.
Une métholodogie SCR trop tournée vers le passé ?
Dans le processus de calcul du capital de solvabilité requis pour le risque opérationnel (SCR opérationnel) en modèle interne, le dire d’experts est le socle de la méthodologie. Tous les évènements extrêmes futurs plausibles ayant une faible fréquence mais une forte sévérité sont modélisés à partir d’un nombre restreint de scénarios déterminés par des experts (ScA – Scenario Analysis).
Le SCR opérationnel repose donc sur la capacité de collaborateurs à imaginer et définir des scénarios de risques extrêmes et d’y associer des paramètres de fréquence et de sévérité. Ces experts ont donc un niveau de responsabilité et de qualification élevé car il reste très difficile d’anticiper et d’évaluer un risque aussi imprévisible que le risque opérationnel.
Même si le SCR opérationnel ne dépasse jamais 10 % du SCR global, l’approximation concernant son calcul reposant sur le dire d’experts pose des questions. L’enjeu du SCR est de garantir la fiabilité de l’assureur pour les clients et la stabilité du système financier. C’est pour cela que le superviseur reste vigilant et parfois sceptique face aux argumentaires avancés dans la construction des scénarios de risques opérationnels.
Pour la gestion des risques, on est contraint de se tourner vers le passé pour essayer de prédire le futur. Mais la profondeur historique est trop faible en matière de gestion des risques opérationnels pour pouvoir prétendre à une évaluation reposant uniquement sur des lois statistiques. Cette incomplétude au niveau de la donnée va plus loin. Un choc de marché est un incident connu pour l’assureur, un contexte de taux bas également. Si l’assureur peut être mis en péril, face à la réalisation de ces risques financiers, il n’en demeure pas moins qu’il a la capacité, grâce à la modélisation statistique et l’historique de données, de se prémunir a minima contre ces chocs. Malgré la volatilité, il est possible de contrôler et d’anticiper un risque de marché.
Les risques dangereux sont devant nous
Le risque opérationnel en revanche, selon Solvabilité II, est un risque composé de 7 catégories et de 21 sous-catégories, qui se rapprochent autant qu’elles se différencient. La diversité est telle qu’il est très difficile de rattacher une perte opérationnelle à une catégorie de risque ce qui cantonne la discipline d’évaluation des risques opérationnels à un niveau encore très exploratoire.
Ainsi, les hypothèses émises en gestion des risques opérationnels sont très souvent influencées par les incidents précédents alors que les risques les plus dangereux pour l’entreprise sont ceux qui ne se sont jamais produits et que la majorité des spécialistes n’ont pas anticipé.
Il importe donc d’imaginer des scénarios en intégrant le maximum de variables pour anticiper les conséquences d’un risque, afin de mettre en place des mesures d’atténuation.
Cette pratique courante peut-être discutable. Étoffer un dispositif de contrôle par la multiplication des critères et des variables ne rend pas nécessairement l’analyse exhaustive, surtout quand les variables sont fortement hypothétiques. De plus, on traite des données qualitatives avec des données quantitatives et il est difficile de porter un regard simultané sur l’ensemble ainsi constitué.
L’évaluation du risque opérationnel est nécessaire pour le provisionnement prudentiel ou pour les décisions stratégiques. Outre cela, les entreprises doivent proportionner leurs investissements en fonction d’une quantification fragile du risque. La priorité reste l’amélioration du dispositif de maîtrise des risques et de contrôle interne dont l’évaluation globale du risque opérationnel n’est qu’un sous-produit.
Une légitimité à bâtir
La gestion des risques opérationnels est une discipline jeune qui n’a pas encore la légitimité suffisante auprès des gestionnaires des risques et des dirigeants. L’entreprise tend à se contenter du niveau de maturité actuel et des progrès louables accomplis ces dernières années. Les acteurs estiment souvent que la valeur ajoutée de la gestion des risques opérationnels est limitée. Globalement, les assureurs sont réactifs et non proactifs en matière de gestion des risques opérationnels. On réagit à une sanction du régulateur, à une cyberattaque, à une perte financière à la suite d’un dommage immobilier, etc.
Aujourd’hui, la robustesse d’un dispositif de gestion des risques opérationnels ne repose plus seulement sur son étendue, mais sur l’amélioration des techniques de détection, de réduction, d’évaluation du risque opérationnel et surtout dans la démonstration d’une création de valeur mesurable. La maîtrise de ce risque devrait en effet être considérée comme un facteur décisif permettant de servir le résultat et la performance de l’entreprise à long terme. L’assurance a un rôle économique majeur, lié au principe de mutualisation des risques, mais comme toute entreprise à but lucratif, sa finalité reste le résultat financier. C’est bien sous cet angle que le Comité Exécutif porte une attention particulière aux risques opérationnels.
Le risque opérationnel créateur de valeur ?
Le contexte imprévisible actuel doit pousser les acteurs à franchir une étape nouvelle. Les assureurs doivent reconsidérer le risque opérationnel en ne le traitant plus uniquement comme un risque proprement dit, mais aussi comme un accélérateur de performance.Cette étape comporte l’intégration complète des nouvelles technologies et la concentration des efforts sur les bénéfices connexes d’une maîtrise des risques liés à celle-ci.
L’avènement du Big Data représente un véritable tournant pour la maîtrise des risques opérationnels. L’ensemble des réflexions ci-dessus relève de l’enjeu stratégique de la donnée. Celle-ci doit prendre place au cœur de la gestion des risques opérationnels, car le Big Data et le développement des nouvelles technologies de l’information font pressentir une maîtrise des risques opérationnels future beaucoup plus efficiente que les évaluations actuelles à dire d’expert.
L’ensemble des spécialistes s’accorde à dire que mettre les nouvelles technologies au service de la maîtrise des risques opérationnels fera basculer la discipline dans une dimension supérieure. Le plus explicite des exemples est celui de la lutte contre la fraude à l’assurance, dite dans la nomenclature des risques opérationnels « fraude externe ». Pour faire face à des fraudes fréquentes et plus importantes, les assureurs s’arment de technologies comme la blockchain, l’intelligence artificielle et le machine learning. Ces nouvelles technologies permettent une analyse accrue des données, une gestion des alertes plus rigoureuse et une amélioration du traitement de l’information ce qui soutient fortement la lutte contre la fraude à l’assurance et réduit d’autant le risque opérationnel.
La gestion des risques opérationnels doit donc rechercher l’efficience et la création de valeur en captant les bénéfices connexes au processus de maîtrise des risques opérationnels.
Dans ce sens, le risque opérationnel pourrait tenir une position stratégique prépondérante au sein des compagnies d’assurance.
Être une force à la fois centrifuge et centripète.
En physique, la force centrifuge tend à déporter l’objet vers l’extérieur quand la force centripète le maintien dans un mouvement circulaire. Nous dessinons ici les contours de la place de la gestion des risques opérationnels dans l’entreprise d’assurance de demain.
Par sa transversalité et sa proximité avec l’ensemble des métiers de l’entreprise, elle serait centrifuge en repoussant le risque et centripète en concentrant les bénéfices de la gestion des risques opérationnels pour servir la performance et le résultat de l’entreprise.