L'objet de cet article est de détailler et d'illustrer la notion de risques opérationnels sur les activités cœur de métier de l'assurance: les processus de la fonction actuariat (Houston, 1960). La spécificité de ce risque sur ces activités réside principalement dans les impacts financiers majeurs que peuvent avoir ces derniers: ainsi une erreur de tarification d'un contrat, une erreur de paramétrage d'un outil de quantification du risque de souscription, la rétention d'une marge technique par un sous-traitant, une inadéquation de modèle, peuvent se traduire par des impacts non négligeables. Ces risques, encore mal appréhendés par les dispositifs de contrôle interne classiques des compagnies d'assurance, constituent un sujet de recherche à part entière en gestion des risques.
Les processus de la fonction actuariat : quelles spécificités en termes de risques opérationnels ?
Le risque opérationnel est généralement appréhendé comme tout risque lié au dysfonctionnement d’un processus, d’une procédure ou comme étant tout incident issu d’une défaillance humaine ou d’un évènement externe. Cette définition du risque opérationnel issue du monde bancaire et adaptée au monde assurantiel avec la transposition de la directive 2009/138/CE « dite Solvabilité II » a le mérite de s’appliquer à tout type d’activité (Torre-Enciso, Barros, 2013). Elle est généralement mise en œuvre dans le cadre des démarches de contrôle interne et de maîtrise des risques sur les activités classiques des assureurs (paiements des sinistres, encaissements des cotisations, suivides processus achats, suivi des activités comptables etc.). Cependant, il existe un domaine dans lequel les démarches d’identification, d’évaluation, de priorisation et de traitement des risques opérationnels sont encore peu mises en œuvre : cela concerne les processus de la fonction actuarielle. Cela s’explique notamment par la forte technicité de ces activités. Plus difficilement auditables en interne, elles se prêtent ainsi moins à l’émission de recommandations d’audit et de renforcement d’un dispositif de
Un tel constat est d’autant plus important que le risque opérationnel sur ces activités atteint très rapidement des montants importants, hors cadre d’un risque opérationnel classique (Beck, Kropp, 2011). Ainsi, les échelles classiques de cotation des risques opérationnels paraissent peu adaptées à la réalité des cas de survenance de ces risques. Ainsi, un risque opérationnel de type défaut de qualité des données (absence de données, insuffisance d’une maille analytique dans la quantification du risque de souscription) intégrées dans les états quantitatifs servant à l’établissement des ratios de solvabilité de l’assureur pourra avoir des impacts significatifs. Egalement, des incidents opérationnels de montants significatifs pourront être des écarts entre survenance des risques (versements des prestations en assurance santé, versements des capitaux en prévoyance) et données enregistrées en comptabilité.
L’importance sur le plan financier de ces risques ainsi que la directive Solvabilité II rendent d’autant plus important la nécessité de réaliser une cartographie des risques opérationnels sur ces activités, notamment afin de :
- tenir compte dans le rapport actuariel et l’avis donné par la fonction actuariat sur le respect de la politique de réassurance et de la politique de souscription, du facteur risque opérationnel et des différents incidents survenus sur ces activités (Dufour, 2016).
- contribuer à démontrer le caractère adapté de la formule standard au regard du profil de risque de l’assureur, et notamment en ce qui concerne le risque opérationnel. Ainsi, un seuil de capital requis ne tenant pas compte du coût des incidents opérationnels sur les activités actuarielles ne donnera qu’une vision parcellaire de l’exposition à ce risque.
- permettre aux autres fonctions clés de jouer pleinement leur rôle d’alerte (Dufour, 2015) : adapter les travaux de la fonction audit interne à la réalité des risques, revoir les contrôles de vérification de la conformité compte tenu des écarts de conformité notamment interne par rapport aux politiques de gouvernance concernés (politiques de gestion des risques, politique de réassurance, politique de souscription).
Réaliser une cartographie des risques sur les activités actuarielles
La cartographie des risques opérationnels sur les périmètres actuariat doit être menée de manière transverse en intégrant les parties prenantes issues de différents périmètres sur lesquels intervient la fonction actuariat : les actuaires intervenant sur les volets prudentiels et comptables (quantification du pilier 1 en normes Solvabilité 1 et 2), les acteurs de ces fonctions contribuant sur le processus de contrôle de la qualité des données techniques et comptables, les actuaires intervenant sur l’élaboration du budget technique ainsi que sur les processus d’inventaire des contrats, les actuaires intervenant également sur les processus de tarification-majoration des contrats. Egalement, les intervenants de ces fonctions agissant sur la consolidation des business plans (plans pluriannuels d’activités) ainsi que sur le processus ORSA (évaluation interne des risques et de la solvabilité) ont un rôle essentiel dans la conduite de cet exercice. L’enjeu est double : tenir compte des historiques d’incidents opérationnels sur ces activités quand ceux-ci sont constitués et envisager les risques potentiels pouvant survenir sur ces dernières.
L’une des préconisations est d’y associer le responsable de la fonction clé actuariat ainsi que la personne ayant en charge le pilotage de la direction technique. La fonction gestion des risques doit également a minima être associée à cet exercice. Il est encore utile de disposer dans ce type d’atelier de cartographie des risques d’actuaires ayant en charge le pilotage quotidien des activités précitées. Cela permet d’avoir un niveau de détails suffisant dans les informations remontées, notamment à des fins de qualification des incidents et de quantifications de ces derniers.
Le Schéma 1 représente de manière simplifiée une restitution issue de ce type d’exercice de campagne de qualification des risques opérationnels, en reprenant une échelle usuelle de cotation du risque opérationnel sur le plan des impacts
Les risques opérationnels ainsi représentés dans ce schéma sont des cas classiques pouvant survenir sur les processus de la fonction actuariat. Leur spécificité réside dans leur impact financier rapidement critique (la zone en haut à droite de la matrice de cotation des risques). Ainsi, à titre d’exemple, la non transmission des comptes de réassurance (suivi des sinistres pour lesquels le réassureur aura un rôle dans la prise en charge au regard de la quote-part cédée à ce dernier définie dans le traité de réassurance) aux réassureurs peut avoir des conséquences financières critiques telles que la non-opposabilité du traité de réassurance et donc la non-couverture des risques cédés. La cause racine d’un tel risque sera alors l’absence de visibilité sur les équilibres techniques pour le réassureur, ne lui ayant pas permis d’apprécier de manière suffisante et en temps utile la réalité du risque accepté en réassurance. Le moyen de maîtrise adapté résidera alors par exemple dans le contrôle de la bonne réalisation et de la transmission régulière des comptes de réassurance dans les délais et dans la périodicité convenus au traité de réassurance.
Un autre exemple résidera par exemple dans l’absence de données techniques permettant un pilotage contrat par contrat ou assuré par assuré des risques en portefeuille. Ainsi, si la conséquence d’un tel risque sera bien une inadéquation entre le montants de la cotisation appliquée à un groupe d’assurés (un contrat collectif par exemple ou un contrat collectif à adhésion facultative individuelle dit « contrat groupe ouvert ») et la réalité des prestations versées, la cause est bien opérationnelle et réside dans un défaut de pilotage et de suivi du compte client : par exemple, l’assureur ne dispose des informations sur la population d’assurés présente dans une entreprise souscriptrice d’un contrat collectif santé qu’au moment de la survenance. Il n’est alors pas tenu compte des profils des salariés quittant ou intégrant l’entreprise couverte. Ainsi, dans ce cas la cotisation définie ne tient peu à peu plus compte des critères d’âge, de sexe, de localisation etc. permettant de définir un coût technique du risque. Les moyens de maîtrise alors possibles résident soit dans un meilleur suivi en contrôle permanent de premier niveau des reportings réalisés et des mises à jour de la situation du compte client. Un autre moyen de maîtrise vise à s’assurer de l’alimentation régulière de manière automatique de l’infocentre mis en place par l’assureur pour collecter ces données techniques de manière automatique à date définie de mise à disposition, étant entendu qu’il revient là-aussi à l’assureur de réaliser le contrôle de ces mises à jour et remontées d’informations avec une qualité de données suffisante. En cas de défaillance de tels dispositifs, le risque opérationnel sera alors porté par ledit assureur.
Quels plans d’action définir ?
Au-delà des plans d’actions propres à chaque incident ou à chaque type de risque opérationnel identifié, il est essentiel, dans une logique de gestion globale des risques, d’envisager les plans d’action plus globaux applicables à l’ensemble des activités de la fonction actuariat. Ces plans d’actions visent notamment à :
- doter l’assureur d’un véritable processus de contrôle de la qualité de la donnée, devant permettre de garantir une fiabilité, une disponibilité, une exhaustivité, une exactitude et une cohérence des données sur l’ensemble des processus de traitement des données : depuis les données de gestion (survenance des sinistres, encaissement des primes, avenants aux contrats) jusqu’aux données techniques (consolidation, analyse et suivi des équilibres techniques par contrat et provisionnements associés) en passant par les données comptables (détection des erreurs de traçabilité dans la comptabilisation des liquidations de prestations survenues). Cela suppose la mise en œuvre de réels projets qualité des données ainsi que le transfert du mode projet à un mode processus passant par la nomination de sponsors, de pilotes et de référents métiers de cette activité de contrôle de donnée devenue obligatoire avec la directive Solvabilité 2 ;
- mettre à jour avec une fréquence suffisante les politiques de gouvernance obligatoire, notamment les politiques de gestion des risques et de contrôle interne, en tenant compte de la réalité de ces risques opérationnels pouvant être critiques et ainsi dénaturer le profil de risque défini avant cet exercice de cartographie des risques. Cela peut amener l’assureur à redéfinir les limites de risques et les priorités allouées en termes de risques opérationnels (Braithwaite, 1989): ainsi, si des risques opérationnels jugés prioritaires étaient par exemple les risques de fraudes aux prestations ou les risques d’erreur de traitement d’opérations, la réalisation d’un atelier de cartographie des risques sur les activités actuarielles peut amener à considérer que les risques de ce processus sont bien plus impactant financièrement ;
- amener les différents pilotes de processus transverses liés à cette fonction à mettre également en œuvre des moyens de maîtrise adaptés, plus particulièrement sur les activités de suivi techniques ou de suivi de la réassurance.
