1.2. Opinion de l’EIOPA sur le contrôle de l’usage de scénarios de changement climatique dans l’ORSA (EIOPA – BOS 21-127 – 19.04.2021)
Il s’agit d’une « opinion » de l’EIOPA qui traite des conditions de supervision de l’Own Risk and Solvency Assessment (ORSA) produit par les entités d’assurance.
L’EIOPA estime qu’il faut obliger les entreprises à intégrer les risques climatiques dans l’ORSA aux deux niveaux de la prise de risques : les événements climatiques au passif et les investissements (les actifs « échoués », et donc non rentables, du fait de la transition climatique : par exemple, les centrales thermiques au charbon). La prise en compte du changement climatique conduit à modifier l’horizon de l’ORSA avec quatre options : le très court terme (aujourd’hui), le terme de 5 à 10 ans, l’année 2050 et l’année 2100. Si l’on considère que les ORSA sont, en fait, des plans stratégiques à 3 ans glissants, la modification demandée est d’importance.
L’ORSA doit distinguer les risques dits de transition (technologie, prix du carbone) et les risques physiques (risques catastrophiques et risques « chroniques » tels que le manque d’eau, la biodiversité, etc.).
L’ORSA serait fondé sur deux séries de scénarios pour établir des stress-tests : le maintien d’un réchauffement climatique à 2 °C, voire 1,5 °C, et un réchauffement climatique supérieur à 2 °C. Les choix des stress-tests devront être expliqués dans le rapport ORSA, y compris le cas où l’entité exposerait qu’elle n’est pas impactée par le changement climatique (ou que ses portefeuilles au passif et à l’actif ne le sont pas).
L’EIOPA fournit des exemples de scénarios : la croissance de la fréquence-gravité des événements climatiques et la corrélation entre eux (tempêtes-inondations, sécheresse-incendies) ; la perspective d’un accroissement de la mortalité liée aux événements climatiques ; le maintien de taux d’intérêt bas dans un contexte de catastrophes climatiques ; la faillite d’un important réassureur ; la survenance de quatre tempêtes dans l’année en Europe (dont la quatrième ne serait pas réassurée). Du côté des actifs (la transition), baisse des cours des actions, interdiction des autos à moteur thermique, développement de politiques brutales de baisse de l’empreinte carbone. L’EIOPA note l’existence et la disponibilité de travaux de modélisation des mesures écologiques sur les marchés financiers.
L’annexe III de l’opinion fournit une très intéressante cartographie de passage des risques de transition aux risques prudentiels. Elle doit être étudiée en détail et dépasse, par son ampleur, le cadre de cette chronique. Cependant, on notera pour la souscription non-vie :
– le risque de transition pèse sur les risques de marché à l’actif, sur les portefeuilles d’actifs immobiliers, et sur les risques de transport maritime au passif. La technologie produit des assets dépréciés, des actifs « échoués », ou connaît des échecs coûteux pour les investisseurs. Les marchés tendent à favoriser des produits et des assureurs impliqués dans la décarbonation de l’industrie. Le risque de réputation peut être engagé ;
– les risques physiques sont très impactés par la fréquence-gravité accrue des phénomènes climatiques, les re-corrélations de risques. Cela touche l’assurance aviation, le risque auto, les risques agricoles, les risques de responsabilité environnementale, les risques industriels (notamment les industries à forte empreinte carbone), avec les mêmes effets que précédemment sur l’image, les produits et la réputation ;
– en vie, les effets de la transition sont essentiellement sensibles du côté des actifs, et du côté de la souscription, des événements dits « chroniques » se produisent, en particulier les épidémies et leurs conséquences sur les assurances vie et santé.
On note que le risque de défaut des réassureurs (faillites, mais plus souvent exclusions) revient fréquemment.
L’EIOPA propose quelques lignes directrices pour inclure ces risques nouveaux dans l’ORSA :
– choisir des scénarios existants dans le marché plutôt que développer des scénarios d’entreprise ;
– traduire, dans la modélisation, les indicateurs de climat (prix du carbone par exemple) en impact sur les actifs et sur les politiques de souscription : sensibilité de chaque secteur aux empreintes carbone, mesure des impacts en fréquence-gravité des événements extrêmes et des périls chroniques (hausse du niveau de la mer), impact des événements lointains sur les risques domestiques (dommages immatériels non consécutifs pour l’approvisionnement en puces électroniques, par exemple) ;
– problèmes liés à la projection multi-périodes (5 ans, 30 ans, 100 ans) et à très long terme : appliquer les événements (transition et physique) au bilan actuel ou modifier les résultats actuels en projetant des ratios simples (résultats techniques-rentabilité des actifs). Mais, dit l’EIOPA, il vaudrait mieux projeter globalement la totalité du bilan : ce n’est pas une mince affaire à l’horizon 2100 !
L’EIOPA propose les trois orientations du Network for greening the financial system [NGFS] (démultipliées en 43 scénarios !) : la transition ordonnée (toutes les mesures sont prises en temps et heure pour réduire le réchauffement à 1,5 °C en 2100) ; la transition désordonnée (brutale accélération des mesures vers 2050) et l’hypothèse « hothouse » (absence d’action des gouvernements sur le réchauffement climatique).
Cette réglementation nouvelle de l’ORSA n’est pas très contraignante, mais elle doit faire travailler activement les modélisateurs, sachant que les marges d’erreurs seront considérables.
1.2. Supervision de l’ORSA dans le contexte du Covid-19 (EIOPA – BOS 21-323 – 16.06.2021)
L’EIOPA estime qu’elle doit donner des orientations aux autorités de contrôle sur le contenu des Own Risk and Solvency Assessments (ORSA) des entités d’assurance, compte tenu des impacts du Covid-19 sur la solvabilité des assureurs.
L’ORSA doit tenir compte de ces impacts, en particulier les effets des clauses d’exclusion dans la relation avec les clients.
L’EIOPA suggère que les entreprises pourraient souscrire des ORSA ad hoc (ou intérimaires), mais renvoie la décision aux entreprises.
Ces ORSA ad hoc devraient analyser des scénarios fondés sur l’impact du Covid : stress-tests sur l’évolution des marchés financiers et l’augmentation des sinistres (santé, mortalité, assurance annulation et pertes d’exploitations). Il importe de considérer les contentieux à venir, le rôle des pouvoirs publics (soutien de l’économie) et… la limitation des distributions de dividendes. L’ORSA devrait mesurer l’incertitude sur le volume des primes, les sinistres, la liquidité (nouvelle passion de l’EIOPA) et les produits financiers des investissements, ainsi que l’évolution des taux de rachat et, d’une façon générale, l’attitude des clients.
L’analyse doit prendre en compte un horizon temporel de trois ans au minimum, et intégrer les effets dits de « second ordre ».
L’EIOPA rappelle que l’ORSA général doit intégrer un stress-test Covid et modifier la politique de souscription en fonction des impacts constatés dans les scénarios retenus.
Ce texte ne sert qu’à donner l’alerte aux autorités de contrôle, mais on peut imaginer que les entités ont, depuis deux ans, intégré les impacts du Covid, en particulier le fait que la pandémie est durable et que ces effets sur le comportement ne le seront pas moins. Pour l’heure, les effets macroéconomiques et macrofinanciers ont globalement démenti le catastrophisme de l’EIOPA.
1.2. Financial Stability Board (FSB) : questions relatives à l’externalisation et les relations avec les tiers (14 juin 2021) et communiqué de l’ACPR du 22 juillet 2021 sur le rappel des parties prenantes à leurs obligations
Le FSB fait état des réponses à sa consultation sur la sous-traitance et établit la liste des risques afférents à cette activité, notamment en s’appuyant sur les leçons tirées de la gestion de la pandémie de Covid.
1. Les risques sont clairement établis :
– le manque de transparence du recours à la sous-traitance, et en particulier l’absence de cartographie et la mauvaise connaissance des sous-traitances intragroupes ;
– le risque de concentration des sous-traitances sur un petit nombre de fournisseurs de services (le cloud) ;
– le risque de non-substituabilité ou de trop forte dépendance vis-à-vis d’un sous-traitant (monopoles technologiques par exemple) ;
– les divergences dans les normes de contrôle et le risque d’optimisation régulatoire (le FSB vise les Internationaly Active Insurance Entities – IAIS) ;
– la question de la localisation des données (voir les hésitations du RGPD sur la localisation des données dans l’Union européenne) ;
– la croissance du risque de cybersécurité pour les intermédiaires financiers.
2. Le FSB esquisse des solutions :
– création de standards internationaux de la sous-traitance qui devraient être « fondés sur des principes » (droit anglo-saxon), centrés sur les résultats, définissant un ensemble d’informations uniforme sur toute la planète, à exiger des fournisseurs de services sous-traitants, et un contrat type (ou des clauses types) ;
– des définitions harmonisées, en particulier en ce qui concerne les services attendus des cloud providers ;
– des conditions d’audit communes ou des normes de type ISO pour la sous-traitance ;
– une cartographie de la sous-traitance pour chaque établissement ;
– le développement de la coopération internationale.
En conclusion, le FSB souligne que la gestion de la pandémie de Covid n’a pas apporté de leçons nouvelles, mais que le recours à la sous-traitance pourrait augmenter, et qu’il faut donc réexaminer la distinction entre activités critiques (à maintenir dans l’entité) et autres activités (sous-traitables).
L’ACPR va dans le même sens en rappelant la nécessité de contrôler les sous-traitants, et maintient le principe de la pleine responsabilité de celui qui donne à sous-traiter. La sous-traitance ne doit pas affaiblir la gouvernance de l’entité dans la maîtrise du risque opérationnel. Elle rappelle, notamment à propos du cloud, la distinction entre les activités « critiques » et les autres. La nécessité d’un contrat écrit est affirmée, de même que le principe de l’accès direct des autorités de contrôle aux sous-traitants.
La conclusion de ces considérations (de bon sens, mais rendues complexes par le RGPD, le cloud, voire l’exigence de reportings lourds sur la solvabilité et les contraintes de conformité diverses et multiples) est que la sous-traitance est mise sous étroite surveillance. Elle n’est pas encore formellement réglementée, mais la tentation des autorités à cet égard est forte.
1.2. Gouvernance : Rapport EIOPA 2021 sur le peer review des modalités de contrôle des fonctions clefs
Cet examen des pratiques de contrôle sur l’exercice des fonctions clefs définies par la Directive Solvabilité 2, n’a d’intérêt qu’au regard des réponses qu’il apporte sur certains aspects de l’activité des fonctions clefs, liées à l’imprécision de la réglementation. Il s’agit de :
– l’exercice par une même personne de plusieurs fonctions clefs : il est clairement souhaitable de les séparer, mais les autorités de contrôle semblent faire preuve de compréhension et se montrer tolérantes, car la question impacte les petites structures ;
– la séparation claire de la fonction d’audit interne et son indépendance demeurent une composante majeure ;
– la combinaison de fonctions clefs avec la fonction de membre de l’AMSB est clairement bannie ;
– la combinaison de fonctions clefs de contrôle, avec les tâches opérationnelles, est considérée comme une cause de conflits d’intérêts ;
– la subordination de fonctions clefs à d’autres fonctions clefs fait l’objet des mêmes objections sauf, espérons-le, à l’intérieur des groupes ;
– la question de « la compétence » (fit) des titulaires des fonctions clefs et surtout du pouvoir des autorités de contrôle d’agréer les titulaires des fonctions clefs ne semble pas poser de question. Mais, en réalité, la preuve de la compétence demeure complexe : les fonctions Audit et Actuariat correspondent à des métiers (ou des diplômes) solidement définis et sanctionnés. C’est moins le cas pour les fonctions gestion de risque et conformité ;
– l’autorisation de la sous-traitance des fonctions clefs semble toujours poser question aux superviseurs qui cherchent continuellement des critères d’appréciation d’une sous-traitance efficace, et permettant de manifester le maintien du contrôle sur l’exercice de la fonction par le sous-traitant.
