Cet article appartient au dossier : Dossier ENASS Papers 11.

Les politiques écrites sous Solvabilité 2

Des orientations de la gouvernance aux leviers d'actions pour le management

La directive Solvabilité 2 constitue, depuis le 1er janvier 2016, le nouveau cadre prudentiel et de gouvernance des organismes d’assurance. Au titre des exigences qualitatives, les assureurs doivent définir et mettre en œuvre des politiques écrites formalisant les orientations de la gouvernance sur des axes jugés structurants par la réglementation. L'objet de l'article est d'énumérer les différentes politiques écrites exigées par Solvabilité 2, leur contenu, leur déclinaison opérationnelle ainsi que les apports et limites tant pour la gouvernance politique que le management opérationnel.

1. Les politiques écrites, illustration du contenu et des objectifs poursuivis

L'auteur

  • Nicolas Dufour, ENASS
    • Docteur en gestion, Professeur affilié
      Paris School of Business

Pour en savoir plus

image
  • 2. Focus sur la politique de gestion des risques, cas du secteur mutualiste

    2. Focus sur la politique de gestion des risques, cas du secteur mutualiste

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°347

ENASS Papers 11

 

Les politiques écrites ont pour objectif de formaliser les grandes orientations fixées par la gouvernance des assureurs en matière de pilotage de leur activité.

Une logique d’autocontrôle diffusée par Solvabilité 2

Cette approche est fondée sur un principe d’autocontrôle, que l’on retrouve tant dans Bâle II que dans Solvabilité 2 : à ce titre, il revient à l’établissement financier d’établir un cadre de pilotage tenant compte des spécificités de son activité, de son appétence aux risques (quelles limites sont fixées, quels risques sont acceptés) et du champ d’action jugé souhaitable pour les directions opérationnelles.

Ces politiques ne se limitent pas à la gestion des risques, à la réassurance ou à l’actuariat, dont les orientations sont structurantes pour un assureur. Elles prennent également en compte d’autres axes de pilotage de l’entreprise pouvant avoir un impact significatif sur le profil de risque de l’assureur (soit son exposition consolidée aux différents risques) : rémunération, risque opérationnel, externalisation, continuité d’activité, compétence et honorabilité, gestion actif-passif, audit interne, ORSA [1], qualité des données. Le champ couvert par les politiques écrites est vaste, et il a vocation à inciter les assureurs à formaliser davantage leur cadre de gouvernance.

Qu’est-ce qu’une politique écrite ? Un outil à disposition de la gouvernance

Les politiques écrites, au sens de Solvabilité 2, peuvent se définir comme des documents formalisant les orientations de la gouvernance d’une société d’assurance sur un domaine précis. L’article 41 de la directive (niveau 1) précise que « les entreprises d’assurance et de réassurance disposent de politiques écrites concernant au moins leur gestion des risques, leur contrôle interne, leur audit interne et, le cas échéant, la sous-traitance ». Un tel périmètre a cependant été élargi dans le cadre de la transposition au niveau 2 [2], intégrant des éléments spécifiques, tel que le focus sur la politique de rémunération, la politique de crédit, la politique relative au modèle interne, etc.

Une politique doit pouvoir en premier lieu donner une définition précise du périmètre couvert ainsi que des thématiques abordées : par exemple quel est le périmètre du risque de souscription pris en compte dans la politique de souscription (risque de tarification, risque de provisionnement, risque faisant l’objet d’interdits de souscription, limites d’exposition du portefeuille d’assurés à un canal de distribution, fixation de critères génériques par type de risques à couvrir, etc.).

La politique doit également contenir des objectifs précis fixés par cette même gouvernance. En pratique proposés par la gouvernance opérationnelle : Comité de Direction/Direction Générale par exemple ; et approuvés par la gouvernance politique (Conseil d’Administration).

Une politique doit également prévoir le circuit de validation et de diffusion retenu par la gouvernance sur les objectifs définis : quels sont les acteurs validant ces orientations [3] ? La politique s’adresse-t-elle à tous les collaborateurs ou fait-elle l’objet d’une diffusion restreinte pour des raisons de confidentialité associées aux limites / orientations fixées ? Par exemple, il semble évident qu’une politique de contrôle interne intégrant des orientations sur les seuils de fraude impliquant des plans d’action aura un caractère confidentiel. A contrario, une politique de gestion de la conformité peut avoir un niveau de diffusion relativement étendu dès lors que la gouvernance fixe des orientations suffisamment générales et cherche à ce que ces dernières soient connues sur différents périmètres (directions des opérations, directions commerciales, direction RH, SI, etc.). Également, l’ACPR, se fondant sur les lignes directrices EIOPA relatives au système de gouvernance, a publié (en décembre 2015) une notice relative au système de gouvernance. Cette notice précise les attendus minimums quant aux différentes politiques écrites.

La mise en œuvre de politiques relatives aux orientations de la gouvernance sur des domaines spécifiques est loin d’être un sujet récent. Les accords de Bâle et Bâle II, en banque, intègrent ce type d’obligations, notamment en matière de gestion des risques de marché, de risque de crédit et de risque opérationnel. D’autres secteurs (industries, services, défense) se sont historiquement dotés de politique de gouvernance et de gestion des risques (Froot et Stein, 1998 ; Fehle et Tsypakov, 2005 ; Dufour, 2015), notamment en ce qui concerne les politiques de sécurité et de sûreté ou encore en matière d’allocation du capital (Ai et al., 2011 ; Guillon, 2014).

Fournir un cadre de décision pour le management

L’enjeu des politiques de gouvernance sous Solvabilité 2 s’inscrit dans une logique d’autocontrôle aujourd’hui prégnante en Europe. Les organismes du secteur financier fixent eux-mêmes les limites dans la déclinaison opérationnelle de leur stratégie et doivent être capables de démontrer qu’ils suivent ces mêmes limites ; quitte à pouvoir réviser ces dernières (a minima annuellement) en fonction de l’évolution de leurs activités, de l’évolution de la stratégie, compte tenu des tendances de marchés et ruptures pressenties. On retrouve également, et cela est flagrant avec la politique de gestion des risques ou encore la politique ORSA (évaluation prospective des risques et de la solvabilité), la logique de gestion globale des risques/ERM [4] dans laquelle la stratégie fixe des risques acceptés en l’état, d’autres sous conditions de mise en œuvre de moyens et d’autres risques étant non acceptés et ne devant survenir en aucun cas.

L’enjeu des politiques écrites est donc de dire ce qui est permis, ce qui est de l’ordre du souhaitable et ce qui ne l’est pas. Pour ce qui est souhaitable, en particulier, on précise sous quelles conditions et dans quelles limites. Le Tableau 1 fournit des exemples d’orientations pour différentes politiques écrites [5].

xxxmettre ici tableau 1xxx

L’un des enjeux, toujours dans cette perspective d’autocontrôle, est de pouvoir démontrer qu’au sein de l’organisme et en lien avec ses partenaires (réassureurs, courtiers, délégataires de gestion, réseaux de prestataires tels que les réseaux de tiers-payant, de garagistes, etc.), la gouvernance opérationnelle s’est assurée du respect de ces orientations. Cela vaut dans le temps, mais aussi de manière consolidée pour l’ensemble des décisions prises. La déclinaison opérationnelle des politiques implique donc de réels processus et procédures de contrôle pour pouvoir en démontrer la réalité.

Au-delà de la dimension contrôle, d’autres enjeux également à prendre en compte consistent à veiller à la cohérence entre politiques dans l’absolu mais aussi dans le temps – au fil des décisions et évolutions des politiques –, ce qui implique d’anticiper sur la maintenabilité de ces orientations.

La mise en œuvre des politiques écrites

La mise en œuvre des politiques écrites suppose en premier d’établir un lien clair avec la stratégie de l’organisme d’assurance, ce qui peut être un exercice difficile dans certaines occurrences : lorsque la mise en œuvre des politiques écrites est perçue comme un exercice réglementaire avant tout ; ou lorsque la stratégie est jugée trop confidentielle pour être écrite/formalisée au travers d’orientations écrites.

Outre cette difficulté, l’un des enjeux est de faire émerger un consensus au sein des comités de direction et des conseils d’administration sur la définition et, respectivement, l’approbation, d’orientations claires, suffisamment précises et bien formulées pour les rendre applicables.

Un autre écueil pouvant être rencontré, notamment dans des politiques telles que les politiques de contrôle interne, de conformité, ou de gestion des risques consiste en une confusion méthodologique pouvant amener les organismes à passer à côté du véritable enjeu de la directive Solvabilité 2. Cela est notamment le cas lorsque la politique, censée prendre en compte des orientations – un cap – fixées par la gouvernance, comprend avant tout des points de procédure, des descriptifs d’un existant (organisation) ou encore le détail de méthodologies de contrôle et d’analyse de risque. Ce type de démarche ne répond pas nécessairement aux attentes du législateur. En conséquence, les véritables limites de risques peuvent alors être trop vagues, en l’absence d’éléments chiffrés sur des politiques d’actuariat, de gestion des risques ou encore en matière d’allocation des fonds propres. L’une des raisons de cette difficulté à promouvoir de véritables limites, à la fois qualitatives mais aussi chiffrées, réside dans une incompréhension partielle de cet exercice de formalisation. Si on peut penser qu’écrire une limite entraîne un engagement – il s’agit bien entendu de l’objectif poursuivi –, il n’est pas nécessaire que cet objectif soit irrévocable. Les orientations peuvent être révisées ou revalidées en l’état, a minima annuellement, pour tenir compte des changements dans la stratégie d’entreprise, de sa nouvelle organisation, de l’évolution dans son exposition aux risques.

Une autre difficulté à anticiper consiste à s’assurer de la cohérence entre les différentes politiques écrites (par exemple, prêter attention à la cohérence entre politique de gestion des risques opérationnels et politique de contrôle interne – voir Tableau 2). Cette cohérence s’envisage lors de la définition des orientations mais aussi dans le temps, lors de chaque révision des politiques. Il faut enfin prêter attention à la cohérence entre les politiques et leurs déclinaisons opérationnelles au travers des processus et procédures permettant de vérifier leur application. Par exemple si une politique de contrôle interne fixe un seuil de contrôle du risque de fraude et que les procédures de contrôle interne ont un seuil plus élevé, cela remet en cause l’application pratique de la politique. Si de tels éléments peuvent sembler de prime abord relever du simple bon sens, leur mise en œuvre pratique nécessite une réelle réflexion de fond et implique de ne pas voir uniquement ces sujets comme des livrables réglementaires à produire, en pensant à les enrichir à l’appui de débats internes solidement préparés pour ne pas rendre la démarche théorique.

xxxmettre ici tableau 2xxx

Conclusion : regard critique sur une régulation faite d’autocontrôle

Les politiques écrites sous Solvabilité 2 procèdent d’une nouvelle logique, visant davantage à formaliser un cadre de fonctionnement qu’à contraindre l’exécution de la stratégie d’entreprise. La directive Solvabilité 2, tout comme pour l’évaluation prospective des risques et de la solvabilité, contribue à institutionnaliser la logique de gestion globale des risques. En fixant un cadre de fonctionnement sur de nombreux axes (risques, contrôle, conformité, rémunération, sous-traitance, etc.), la directive rend obligatoire le fait de se doter d’une véritable approche de type Enterprise Risk Management, partant de la stratégie d’entreprise, la déclinant au travers de politiques écrites, dont les orientations doivent transparaître dans les processus (organisation /qui fait quoi ?) et procédures de l’entreprise (règles de fonctionnement / comment ?). En cela les politiques écrites peuvent permettre de donner une vraie visibilité sur ce que souhaite ou ne souhaite pas la gouvernance dans la déclinaison de sa stratégie.

Toutefois, tout comme dans le secteur bancaire au sortir de Bâle II, force est de constater que de telles exigences sont principalement orientées vers un pilotage de la stratégie d’entreprise dédié à la sécurisation de la solvabilité et au traitement des conséquences du risque. Même avec des politiques donnant un cadre d’appétence au risque, de telles orientations peuvent avoir à évoluer plus vite que le rythme donné par une politique de gestion des risques. En outre, tout comme en économie, en matière de stratégie il y a ce qui se voit et ce qui ne se voit pas. Les vraies décisions sont-elles prises en se référant systématiquement à des politiques écrites ? Cette question reste ouverte mais appelle le doute sur une régulation fondée sur la capacité des assureurs à s’autocontrôler.

Au regard des nombreux cas médiatiques dans le secteur financier, la littérature sur le Risk Management alerte sur les limites de telles démarches (Mikes, 2008 ; Stulz, 2009), qui peuvent cependant constituer un outil de contrôle efficace à condition que la gouvernance veuille véitablement en faire un cadre de référence dans le pilotage stratégique.

 

 

 

[1] Own Risk and Solvency Assessment ou Évaluation interne des risques et de la solvabilité.

[2] Règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014.

[3] L’assureur entend-il préciser un circuit de validation plus étoffé que l’approbation par l’Organe d’administration, de gestion et de contrôle (OAGC) : comité de direction, comité d’audit, commissions spécialisées, comités d’experts internes, etc. ?

[4] Enterprise Risk Management.

[5] Les éléments des présents tableaux ont été consolidés sur la base de différents retours d’expériences dans le cadre d’échanges avec des Risk Managers, directeurs des risques, responsables du contrôle interne, directeurs conformité de plusieurs assureurs généralistes et mutuelles. Données collectées par l’auteur en 2015.

 

Sommaire du dossier

Dossier ENASS Papers 11

Articles du(des) même(s) auteur(s)

Sur le même sujet