application

Gestion des risques opérationnels : entre efficacité et efficience

Créé le

25.03.2022

Le risque opérationnel est le « parent pauvre » de la réglementation prudentielle. Les trois « lignes de défense » du contrôle interne sont définies dans la Gouvernance, mais l’évaluation et la modélisation des nombreux risques opérationnels sont en retard sur l’urgence d’améliorer l’efficacité de la maîtrise globale de ce risque. Il est temps de mettre la gestion du risque opérationnel au centre des préoccupations des dirigeants, comme les y incitent les cyber risques, les risques liés à la continuité d’activité ou encore les risques réglementaires.

L’assurance, avec son principe de mutualisation des risques, se veut être salvatrice et garante de la stabilité d’une économie aussi changeante qu’imprévisible. Les risques émergents, comme les risques d’interruption des services informatiques ou les risques de non-respect de la conformité, contraignent les entreprises à renforcer leurs lignes de défense. Au même titre que leurs clients, les compagnies d’assurance sont exposées à ces risques industriels. Elles doivent mettre en place une gestion des risques efficace afin d’assurer la sécurisation de leurs activités. Parmi ces risques, l’un d’eux attire particulièrement l’attention : le risque opérationnel. Notamment car complexe à identifier et évaluer, il est l’un des risques les plus difficiles à maîtriser.

Vous avez dit risque opérationnel ?

Si les assureurs ont accompli beaucoup d’efforts pour le connaître, l’exposition reste forte et la menace pressante. C’est notamment l’avis des régulateurs. Ils demandent aux entreprises d’assurance de redoubler d’efforts pour réduire au minimum le risque opérationnel. Tout l’enjeu tient dans l’allocation des ressources à la maîtrise de ce risque : elle doit être suffisante pour être efficace, mais aussi proportionnée pour éviter de mobiliser des investissements lourds susceptibles de peser sur les marges de manœuvre stratégique de l’entreprise.

Le risque opérationnel est inhérent au parcours professionnel de tous les acteurs de l’entreprise d’assurance. L’article 13 de la Directive Solvabilité 2 [1] donne du risque opérationnel la définition suivante : « Le risque de perte résultant de procédures internes, de membres du personnel ou de systèmes inadéquats ou défaillants, ou d'événements extérieurs ». L’ensemble de l’entreprise, y compris les prestations externalisées, est concerné par le risque opérationnel. Et ce quel que soit l’assureur, groupe mutualiste ou un leader international.

Un risque universel mais variable selon la taille

Tout le monde est concerné mais pas forcément de la même façon ! Le risque opérationnel croît plus que proportionnellement à la taille de l’entreprise. C’est le constat fait en juxtaposant le profil d’une grande compagnie d’assurance à la définition du risque opérationnel. En effet, il y a plus de processus divers, plus de collaborateurs, plus de systèmes informatiques et l’assureur est exposé à plus d’évènements extérieurs. Ce risque aussi revêt un caractère universel : il évolue avec les mutations sociales, numériques, écologiques ou politiques.

Aujourd’hui, par exemple, la progression de la place de l’informatique dans la vie de l’entreprise d’assurance expose aux risques dits de « cybercriminalité » classés dans la catégorie « System Security (External Fraud) » (voir encadré), un nombre croissant d’acteurs de l’assurance. Selon le Consortium ORX [2] (Operational Risk-Data Exchange), le taux d’incidence par déclarant ORX ne cesse de progresser pour les risques cyber. Et la survenance des incidents ayant un lien avec l’informatique va connaître un développement accéléré dans l’avenir, pour deux raisons. D’une part, l’utilisation du numérique revêt désormais un caractère global. La révolution du travail à distance (télétravail et nomadisme) augmente le risque de « cyber criminalité », mais aussi les risques répertoriés dans la catégorie « Systems failures » qui comprend les pannes logicielles, les défaillances matérielles, les interruptions des télécommunications etc.. L’exemple d’OVH [3] est significatif à cet égard. D’autre part, l’inventivité des cyber criminels se développe à un rythme plus soutenu que celui des actions préventives, curatives et correctrices développées par les assureurs. Le risque de cybercriminalité est ainsi pour beaucoup d’acteurs de l’assurance le risque opérationnel majeur.

Une corrélation à la résilience

Les risques de demain sont ceux qui ne se sont pas produits hier. Ce n’est pas une Lapalissade : c’est l’expression de l’extension de l’univers des risques, de la diversité des risques qui apparaissent et de l’exigence croissante de protection dans tous les domaines. L’entreprise d’assurance doit donc préparer un plan de résilience opérationnelle approfondi pour affronter les perturbations nouvelles et graves qui vont apparaître régulièrement dans les années à venir. En 2016, la Banque de France organisait un colloque sur la résilience opérationnelle : « la résilience opérationnelle est un enjeu majeur de stabilité financière, car elle a pour objectif de mettre un écosystème financier en capacité de poursuivre ses activités critiques après une crise opérationnelle extrême » [4] .

La matérialisation récente d’un risque de faible fréquence, mais d’ampleur globale a démontré toute la nécessité d’un dispositif de gestion des risques opérationnels efficace pour soutenir la résilience. La crise du Covid-19 a montré que les entreprises les plus avancées dans ce domaine ont mieux résisté à la crise. Il est reconnu que la banque et l’assurance, réglementairement contraintes de construire des Plans de Continuité d’Activité (PCA), ont été dans l’ensemble résilientes à la crise pandémique.

La gestion des risques opérationnels repose sur le déploiement et le maintien d’un dispositif de contrôle interne homogène et adapté, fondé sur trois « lignes de défense » [5] : hiérarchie, contrôle interne et audit. La Direction du Contrôle Interne (ou Contrôle Permanent) au second niveau du système des trois lignes de défense est garante de ce dispositif. Cette direction effectue des contrôles destinés à remettre régulièrement en cause l’efficacité des processus et des procédures ainsi que leur cohérence afin de rectifier au plus vite toute potentielle déficience.

Le dispositif efficace de contrôle interne constitue le socle du PCA [6] et, donc, de la résilience. Pendant la crise du Covid-19, on a constaté des disparités entre les entreprises quant au déploiement rapide et efficace du télétravail généralisé. Nul doute que les entreprises qui s’étaient auparavant appuyées sur le dispositif de contrôle interne pour identifier les vulnérabilités de l’entreprise se sont mieux préparé. Elles ont pu mettre en place des actions correctives bien avant cette crise et les résultats ont été pour beaucoup probants. La capacité d’adaptation en termes d’équipements et de solutions réseau a parfois été brillante.

La crise sanitaire et économique a poussé les curseurs à l’extrême et sans anticipation, les entreprises arrivent vite à la paralysie. Naturellement, aucun acteur n’avait anticipé un scénario de crise sanitaire de cette ampleur. Néanmoins, on sait que les Directions Contrôle Interne qui avaient un dispositif de gestion des risques solide et qui avaient mené des réflexions en conservant l’idée que « le pire peut arriver » ont participé efficacement à la résilience. Assurément, ces réflexions ont servi la continuité d’activité pendant la crise du Covid-19.

Comment bien se préparer ?

Ayons conscience que le risque opérationnel touche tous les postes de travail. Si l’on considère son universalité et sa globalité, il faut développer une culture du risque dans son ensemble. La gestion des risques opérationnels doit cultiver la culture de l’attention. C’est une discipline de terrain. Les risques opérationnels sont assimilés, détectés et évalués en allant au plus près des métiers. On étoffe et renforce un dispositif de contrôle interne par le dialogue et la coopération avec l’ensemble des structures de l’entreprise. Donc par la collaboration transversale dans l’entreprise. Une différence, majeure avec les risques traditionnellement couverts par l’assureur : risques d’assurance et risques financiers qui sont gérés par des spécialistes de chaque risque.

Entretenir une culture du risque opérationnel au sein de l’entreprise est essentiel. Elle se rattache au nouveau mode de management « bienveillant » qui engage davantage les employés dans la réalisation des objectifs. C’est l’occasion de faire « d’une pierre deux coups ». La gestion des risques opérationnels souffre d’un processus de déclaration d’incident qui n’est ni instinctif ni systématique, ce qui limite la connaissance et le traitement de ces risques. Inciter les collaborateurs à reconnaître leurs erreurs sans appréhender de sanction pourrait permettre d’avoir une meilleure connaissance des risques opérationnels pour mieux s’en prémunir et d’instaurer une culture de tolérance. Donc améliorer l’image de l’entreprise auprès des employés. Autre idée à remettre en cause : maîtriser les risques ne conduit pas nécessairement à réduire les rendements et les profits. La gestion des risques doit au contraire encadrer et encourager la prise de risques opérationnels. Le contrôle interne ne doit pas garder une image d’obstruction au business.

De risque de réputation devenu majeur

On l’a vu avec la crise du Covid, la maîtrise des risques opérationnels améliore la résilience même s’il est complexe d’anticiper toutes les conséquences de crises systémiques comme celle-ci. Elle permet aussi de créer de la valeur ! Les crises sont des opportunités pour se démarquer de la concurrence. S’être bien préparé à une crise, c’est maximiser ses chances d’en sortir plus fort. De plus, le risque opérationnel peut produire des effets multiplicatifs Celui-ci correspond à la réalisation successive de plusieurs scénarios de diverses natures : l’entreprise est plus exposée et peut subir des pertes plus importantes que la somme des pertes individuelles. La réalisation d’un risque opérationnel peut déclencher la survenance d’un autre risque opérationnel ou même d’un risque d’une autre nature : risque de marché, de crédit, de liquidité, de souscription, de tarification et surtout risque de réputation. L’Académie Française définit la réputation comme « avis favorable ou défavorable que l’opinion publique se fait sur une personne ou sur une chose ».

Or, le découpage du profil de risque d’une entreprise d’assurance exclut le risque de réputation des risques opérationnels. Il n’en demeure pas moins que l’enjeu réputationnel, encore négligé aujourd’hui dans certaines entreprises, a un lien fort avec les notions de résilience et de risques opérationnels. La situation évolue toutefois. Les assureurs disposant d’un dispositif de contrôle robuste évaluent maintenant l’impact réputationnel de chaque risque opérationnel.

L’étape suivante est la construction pro-active d’une réputation positive. Traditionnellement, l’entreprise se consacre à la gestion de la réputation post-incident opérationnel, dans un contexte de gestion de crise. Or, on devrait plutôt développer continuellement une réputation solide auprès des différentes parties prenantes : médias, agences de notations, actionnaires, fournisseurs, clients, employés régulateurs, etc. cela minorerait l’effet de l’incident opérationnel sur une image solide de l’entreprise, souvent construite et entretenue depuis longtemps.

La sanction, autre risque réputationnel ?

Les risques de non-respect de la conformité sont un élément majeur du risque opérationnel. La crise dite « des subprimes » a joué le rôle d’accélérateur et a donné une nouvelle dimension au contrôle et à la normalisation dans l’assurance, la pression réglementaire étant de plus en plus forte. Pourtant, la multiplication des réglementations entraîne immanquablement des défaillances dans leur respect. Les assureurs doivent donc être extrêmement vigilants, car l’attention portée sur les risques opérationnels par les superviseurs évolue. Les superviseurs y sont attentifs notamment dans le domaine de la conformité réglementaire, de la déontologie, de la conduite des affaires ou de la protection des données personnelles et la protection des consommateurs. Les assureurs sont en outre les principaux dépositaires de l’épargne des Français et le cadre légal évolutif est pensé pour protéger le client (cf. la polémique sur les frais de l’assurance vie).

Les régulateurs n’hésitent pas à utiliser la sanction comme levier pour faire appliquer les Directives et Recommandations. Comme les consommateurs sont de plus en plus connectés et au fait des actualités, une sanction réglementaire affaiblit la réputation et le business de l’entreprise. Logiquement, le consommateur peut s’interroger, au moment de souscrire un contrat d’assurance vie, sur la fiabilité de l’assureur qui vient d’être sanctionné pour manquements en matière de protection de la clientèle.

Un tryptique résilience, risque opérationnel et réputation

Il existe donc une corrélation entre la gestion des risques opérationnels, la résilience et la réputation d’une entreprise et ce lien se renforcera sans doute dans l’avenir. S’investir davantage dans la protection du client, c’est pérenniser et fidéliser l’assuré, car le client peut être le premier ambassadeur de l’entreprise, mais aussi le premier détracteur. Prioriser la gestion des risques opérationnels, notamment en matière de conformité, c’est détecter pour rectifier et ainsi offrir un meilleur produit, un meilleur service et une meilleure expérience client. Si conventionnellement, on dit que le risque opérationnel est un risque non rémunéré (il n’y a pas de gains directs pour les incidents évités et par conséquent aucune incitation financière à la vigilance), dans les faits il l’est. La limite repose évidemment dans l’évaluation du risque et l’établissement du bilan gains/pertes et coûts.

L’épineux sujet du dire d’expert

La gestion des risques consiste à mesurer la combinaison de la probabilité de survenance du risque et de l’impact sur la société d’assurance, soit la fréquence et la sévérité du sinistre possible ou probable.

La critique majeure adressée à la gestion des risques opérationnels porte sur l’évaluation qui repose sur les « dires d’experts ». Faute d’avoir des données historiques conséquentes pour construire un modèle statistique probant, les assureurs se reposent sur l’avis de professionnels expérimentés, dans le cadre de la campagne récurrente de contrôle des risques opérationnels de l’entreprise mais aussi pour la modélisation prudentielle imposée par la Directive Solvabilité II, en cas d’option de l’entreprise pour un « modèle interne » de solvabilité.

Les risques financiers sont des risques majeurs pour l’assurance et, que ce soit pour le risque de marché ou le risque de crédit, l’appétit au risque [7] est bien défini. Concernant le risque de marché, les rendements d’actifs sont identifiables et l’assureur est capable de construire des historiques sur plus de 50 ans pour anticiper les comportements des marchés financiers.

Pour les risques opérationnels, la connaissance par l’assureur de ses principaux risques repose seulement sur l’expérience et l’expertise de quelques collaborateurs ayant la capacité technique à quantifier le risque.

Une métholodogie SCR trop tournée vers le passé ?

Dans le processus de calcul du capital de solvabilité requis pour le risque opérationnel (SCR opérationnel) en modèle interne, le dire d’experts est le socle de la méthodologie. Tous les évènements extrêmes futurs plausibles ayant une faible fréquence mais une forte sévérité sont modélisés à partir d’un nombre restreint de scénarios déterminés par des experts (ScA – Scenario Analysis).

Le SCR opérationnel repose donc sur la capacité de collaborateurs à imaginer et définir des scénarios de risques extrêmes et d’y associer des paramètres de fréquence et de sévérité. Ces experts ont donc un niveau de responsabilité et de qualification élevé car il reste très difficile d’anticiper et d’évaluer un risque aussi imprévisible que le risque opérationnel.

Même si le SCR opérationnel ne dépasse jamais 10 % du SCR global, l’approximation concernant son calcul reposant sur le dire d’experts pose des questions. L’enjeu du SCR est de garantir la fiabilité de l’assureur pour les clients et la stabilité du système financier. C’est pour cela que le superviseur reste vigilant et parfois sceptique face aux argumentaires avancés dans la construction des scénarios de risques opérationnels.

Pour la gestion des risques, on est contraint de se tourner vers le passé pour essayer de prédire le futur. Mais la profondeur historique est trop faible en matière de gestion des risques opérationnels pour pouvoir prétendre à une évaluation reposant uniquement sur des lois statistiques. Cette incomplétude au niveau de la donnée va plus loin. Un choc de marché est un incident connu pour l’assureur, un contexte de taux bas également. Si l’assureur peut être mis en péril, face à la réalisation de ces risques financiers, il n’en demeure pas moins qu’il a la capacité, grâce à la modélisation statistique et l’historique de données, de se prémunir a minima contre ces chocs. Malgré la volatilité, il est possible de contrôler et d’anticiper un risque de marché.

Les risques dangereux sont devant nous

Le risque opérationnel en revanche, selon Solvabilité II, est un risque composé de 7 catégories et de 21 sous-catégories, qui se rapprochent autant qu’elles se différencient. La diversité est telle qu’il est très difficile de rattacher une perte opérationnelle à une catégorie de risque ce qui cantonne la discipline d’évaluation des risques opérationnels à un niveau encore très exploratoire.

Ainsi, les hypothèses émises en gestion des risques opérationnels sont très souvent influencées par les incidents précédents alors que les risques les plus dangereux pour l’entreprise sont ceux qui ne se sont jamais produits et que la majorité des spécialistes n’ont pas anticipé.

Il importe donc d’imaginer des scénarios en intégrant le maximum de variables pour anticiper les conséquences d’un risque, afin de mettre en place des mesures d’atténuation.

Cette pratique courante peut-être discutable. Étoffer un dispositif de contrôle par la multiplication des critères et des variables ne rend pas nécessairement l’analyse exhaustive, surtout quand les variables sont fortement hypothétiques. De plus, on traite des données qualitatives avec des données quantitatives et il est difficile de porter un regard simultané sur l’ensemble ainsi constitué.

L’évaluation du risque opérationnel est nécessaire pour le provisionnement prudentiel ou pour les décisions stratégiques. Outre cela, les entreprises doivent proportionner leurs investissements en fonction d’une quantification fragile du risque. La priorité reste l’amélioration du dispositif de maîtrise des risques et de contrôle interne dont l’évaluation globale du risque opérationnel n’est qu’un sous-produit.

Une légitimité à bâtir

La gestion des risques opérationnels est une discipline jeune qui n’a pas encore la légitimité suffisante auprès des gestionnaires des risques et des dirigeants. L’entreprise tend à se contenter du niveau de maturité actuel et des progrès louables accomplis ces dernières années. Les acteurs estiment souvent que la valeur ajoutée de la gestion des risques opérationnels est limitée. Globalement, les assureurs sont réactifs et non proactifs en matière de gestion des risques opérationnels. On réagit à une sanction du régulateur, à une cyberattaque, à une perte financière à la suite d’un dommage immobilier, etc.

Aujourd’hui, la robustesse d’un dispositif de gestion des risques opérationnels ne repose plus seulement sur son étendue, mais sur l’amélioration des techniques de détection, de réduction, d’évaluation du risque opérationnel et surtout dans la démonstration d’une création de valeur mesurable. La maîtrise de ce risque devrait en effet être considérée comme un facteur décisif permettant de servir le résultat et la performance de l’entreprise à long terme. L’assurance a un rôle économique majeur, lié au principe de mutualisation des risques, mais comme toute entreprise à but lucratif, sa finalité reste le résultat financier. C’est bien sous cet angle que le Comité Exécutif porte une attention particulière aux risques opérationnels.

Le risque opérationnel créateur de valeur ?

Le contexte imprévisible actuel doit pousser les acteurs à franchir une étape nouvelle. Les assureurs doivent reconsidérer le risque opérationnel en ne le traitant plus uniquement comme un risque proprement dit, mais aussi comme un accélérateur de performance.Cette étape comporte l’intégration complète des nouvelles technologies et la concentration des efforts sur les bénéfices connexes d’une maîtrise des risques liés à celle-ci.

L’avènement du Big Data représente un véritable tournant pour la maîtrise des risques opérationnels. L’ensemble des réflexions ci-dessus relève de l’enjeu stratégique de la donnée. Celle-ci doit prendre place au cœur de la gestion des risques opérationnels, car le Big Data et le développement des nouvelles technologies de l’information font pressentir une maîtrise des risques opérationnels future beaucoup plus efficiente que les évaluations actuelles à dire d’expert.

L’ensemble des spécialistes s’accorde à dire que mettre les nouvelles technologies au service de la maîtrise des risques opérationnels fera basculer la discipline dans une dimension supérieure. Le plus explicite des exemples est celui de la lutte contre la fraude à l’assurance, dite dans la nomenclature des risques opérationnels « fraude externe ».          Pour faire face à des fraudes fréquentes et plus importantes, les assureurs s’arment de technologies comme la blockchain, l’intelligence artificielle et le machine learning. Ces nouvelles technologies permettent une analyse accrue des données, une gestion des alertes plus rigoureuse et une amélioration du traitement de l’information ce qui soutient fortement la lutte contre la fraude à l’assurance et réduit d’autant le risque opérationnel.

La gestion des risques opérationnels doit donc rechercher l’efficience et la création de valeur en captant les bénéfices connexes au processus de maîtrise des risques opérationnels.

Dans ce sens, le risque opérationnel pourrait tenir une position stratégique prépondérante au sein des compagnies d’assurance.

Être une force à la fois centrifuge et centripète.

En physique, la force centrifuge tend à déporter l’objet vers l’extérieur quand la force centripète le maintien dans un mouvement circulaire. Nous dessinons ici les contours de la place de la gestion des risques opérationnels dans l’entreprise d’assurance de demain.

Par sa transversalité et sa proximité avec l’ensemble des métiers de l’entreprise, elle serait centrifuge en repoussant le risque et centripète en concentrant les bénéfices de la gestion des risques opérationnels pour servir la performance et le résultat de l’entreprise.

 

1 Solvabilité 2 est une réforme réglementaire encadrant les activités d’assurance et réassurance au niveau européen.
2 Organisme à but non lucratif entre les acteurs des services financiers (banques et assurances) entretenant une base de données contenant des informations sur les risques opérationnels.
3 En mars 2021, un incendie a ravagé un Data Center d’OVH (qui est un fournisseur d’informatique en « nuage » - cloud computing) à Strasbourg. L’activité de quelques assureurs a été perturbée, sans fâcheuses conséquences.
4 Communiqué du service de presse de la Banque de France, Octobre 2016.
5 Modèle de gestion des risques, largement utilisé par les assureurs
6  Le Plan de continuité d’activité permet de définir les actions prioritaires à maintenir en cas de crise et ainsi garantir la continuité d’activité.

7 L’appétit au risque est le niveau de risque qu’une entreprise est prête à prendre dans la perspective d’atteindre ses objectifs.

À retrouver dans la revue
Image
Revue Banque NºHS-STRAT-Enass-1-2022
Notes :
1 Solvabilité 2 est une réforme réglementaire encadrant les activités d’assurance et réassurance au niveau européen.
2 Organisme à but non lucratif entre les acteurs des services financiers (banques et assurances) entretenant une base de données contenant des informations sur les risques opérationnels.
3 En mars 2021, un incendie a ravagé un Data Center d’OVH (qui est un fournisseur d’informatique en « nuage » - cloud computing) à Strasbourg. L’activité de quelques assureurs a été perturbée, sans fâcheuses conséquences.
4 Communiqué du service de presse de la Banque de France, Octobre 2016.
5 Modèle de gestion des risques, largement utilisé par les assureurs
7 L’appétit au risque est le niveau de risque qu’une entreprise est prête à prendre dans la perspective d’atteindre ses objectifs.