Memoire Aurelien Lerda PDF

LERDA Aurlien
IAE dAix-en-Provence Master Audit et Gouvernance des Organisations Directeur du Master : Jacques Vera
Mmoire
Limpact du pilier 2 de Solvabilit 2 ( Gouvernance des risques ) sur les fonctions Audit Interne, Contrle Interne et Risk Management
Institut d'Administration des Entreprises d'Aix-en-Provence Clos Guiot Puyricard CS 30063 13089 Aix-en-Provence Cedex 2
Anne universitaire 2010/2011
REMERCIEMENTS
Je tiens tout dabord remercier Jacques Vera, Directeur du Master Audit et Gouvernance des Organisations , qui ma aid et ma permis de mener bien ce mmoire en rpondant mes questions. Je remercie galement Romain Drappier, Directeur de l'Audit Interne du Groupe Runica, qui m'a apport son soutien et a rpondu mes questions tout au long de mon apprentissage. De plus, je remercie tous les membres de la Direction de l'Audit Interne et de la Direction des Risques & de la Solvabilit de Runica pour leur aide. Enfin, je tiens remercier les professionnels qui ont eu la gentillesse de bien vouloir me recevoir et de rpondre mes questions au cours d'entretiens : -Albert Cohen, Directeur des Risques et de la Solvabilit (Groupe Runica), -David Blatter, Risk Manager (Groupe Runica), -Emil Saban, Actuaire (Groupe Runica), -Paul-Henri Mzin, Directeur de l'Audit Interne (Groupe Malakoff Mdric), -Valrie Trony, Directrice de l'Audit & du Contrle Internes (Groupe Mornay), -Pierre Crmads, Directeur de l'Audit Interne (Groupe Prmalliance). Jean-Jacques Valard, Directeur de l'Audit & de la Matrise des Risques, Groupe Novalis Taitbout, lors de son passage l'IAE, m'a galement apport des connaissances trs intressantes sur le sujet de ce mmoire. Ces Directeurs ont eu l'amabilit de m'accorder des entretiens trs instructifs, me permettant ainsi d'acqurir de nombreuses informations utiles.
Master Audit et Gouvernance des Organisations (2010 - 2011) 1/189
SOMMAIRE
Introduction____________________________________________________________________________p.6 PARTIE 1 : prsentation de Solvabilit 2 _____________________________________________________p.9 1/ Le monde de l'assurance_________________________________________________________________p.9 2/ Les buts de Solvabilit 2________________________________________________________________p.13 3/ L'accueil rserv la directive par les professionnels__________________________________________p.15 4/ Diffrences entre Solvabilit 1 et Solvabilit 2________________________________________________p.18 5/ Les divers organismes intervenant dans la dmarche Solvabilit 2_______________________________p.20 6/ Les trois piliers de Solvabilit 2___________________________________________________________p.22 PARTIE 2 : les impacts du pilier 2 sur le Risk Management ____________________________________p.25 A/ Les articles fondamentaux et leur traduction_____________________________________________p.25 1/ Article consacr la gestion des risques (article 44)___________________________________________p.25 2/ Obligation de disposer d'une fonction Risk Management ____________________________________p.26 3/ Autres exigences rglementaires de Solvabilit 2 par rapport au Risk Management__________________p.30 4/ Le volet ORSA (valuation interne des risques et de la solvabilit)____________________________p.36 5/ Exigences lies la gouvernance_________________________________________________________p.40 B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management__p.47 1/ Renforcement et amlioration de la matrise des risques_______________________________________p.47 2/ Meilleur suivi des risques par le Conseil d'Administration_______________________________________p.47 3/ Augmentation des responsabilits du Risk Management_______________________________________p.48 4/ Clarification des rles des diffrents services________________________________________________p.49 C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour le Risk Management__p.50 1/ Impact financier lev__________________________________________________________________p.50 2/ Charge en termes de reporting___________________________________________________________p.50 3/ Problme de mise niveau des administrateurs ?____________________________________________p.51 4/ Problme de gouvernance propre aux Groupes de Protection Sociale_____________________________p.52
5/ Questionnement sur lindpendance de la fonction Risk Management_____________________________p.53 6/ Disparition des conomies d'chelle?______________________________________________________p.53 Synthse sur le Risk Management_________________________________________________________p.54 PARTIE 3 : les impacts du pilier 2 sur le Contrle Interne ______________________________________p.57 A/ Les articles fondamentaux et leur traduction _____________________________________________p.57 1/ Article consacr au Contrle Interne (article 46)______________________________________________p.57 2/ Existence obligatoire d'une fonction Contrle Interne__________________________________________p.57 3/ Renforcement global des bonnes pratiques_________________________________________________p.59 4/ Cration d'une fonction Conformit________________________________________________________p.62 5/ Renforcement du contrle des dlgataires_________________________________________________p.67 6/ Contrle des dirigeants_________________________________________________________________p.70 7/ Pas de changements majeurs ?__________________________________________________________p.72 B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrle Interne___p.76 1/ Gnralisation du contrle interne_________________________________________________________p.76 2/ Renforcement des bonnes pratiques_______________________________________________________p.76 3/ Renforcement de la matrise des risques___________________________________________________p.77 4/ Lgitimit accrue de la fonction Contrle Interne_____________________________________________p.78 5/ Pas d'augmentation massive de la formalisation______________________________________________p.78 C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour le Contrle Interne ___p.80 1/ Disparition des conomies dchelle et perte de proximit entre les services ?______________________ p.80 2/ Redfinition des primtres______________________________________________________________p.81 3/ Charge en termes de livrables / reporting___________________________________________________p.81 4/ Impact financier_______________________________________________________________________p.82 Synthse sur le Contrle Interne __________________________________________________________p.83 PARTIE 4 : les impacts du pilier 2 sur lAudit Interne _________________________________________p.85 A/ Les articles fondamentaux et leur traduction _____________________________________________p.85
1/ Article consacr l'Audit Interne (article 47)_________________________________________________p.85 2/ Sparation de l'Audit Interne et des autres fonctions__________________________________________p.85 3/ Renforcement global des bonnes pratiques_________________________________________________p.87 4/ volution de la mthodologie_____________________________________________________________p.90 5/ Impact indirect de Solvabilit 2 : impact en termes de missions__________________________________p.91 6/ Solvabilit 2 s'inscrit dans une continuit___________________________________________________p.92 B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour lAudit Interne_______p.95 1/ Harmonisation du fonctionnement des services d'Audit Interne__________________________________p.95 2/ Confirmation des normes professionnelles__________________________________________________p.95 3/ Renforcement de la matrise des risques___________________________________________________p.96 4/ Lgitimit accrue de l'Audit Interne________________________________________________________p.96 5/ Clarification des rles des fonctions-cls en charge de la matrise des risques______________________ p.97 6/ volution de l'Audit Interne en termes de comptences (comptences techniques d'assurance)________p.97 7/ volution en termes de missions__________________________________________________________p.98 C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour lAudit Interne______p.105 1/ Impact financier lev ?________________________________________________________________p.105 2/ Impact ngatif pour les entreprises qui ont une fonction Audit Interne cumule avec d'autres fonctions de l'entreprise____________________________________________________________________________p.105 3/ Disparition des conomies dchelle et perte de proximit entre les services_______________________p.106 4/ Redfinition des primtres de chaque fonction_____________________________________________p.107 5/ Cot des recrutements________________________________________________________________p.108 Synthse sur l'Audit Interne_____________________________________________________________p.111
Synthse sur les parties 2, 3 & 4_________________________________________________________p.114
PARTIE 5 : Vision densemble : modalits de mise en uvre de Solvabilit 2 et difficults rencontres par les entreprises_____________________________________________________________________p.119 1/ Rle des cabinets de conseil dans la mise en conformit avec Solvabilit 2_______________________p.119 2/ Diffrences d'apprhension de Solvabilit 2 entre petits et grands groupes________________________p.123
3/ Ingalits entre assurances et Institutions de Prvoyance/mutuelles ?___________________________p.128 4/ Impacts de Solvabilit 2 sur les autres activits des Groupes de Protection Sociale ?________________p.132 5/ Impacts de Solvabilit 2 sur les recrutements ?_____________________________________________p.135 6/ Impact de Solvabilit 2 sur la rmunration des dirigeants ?___________________________________p.136 7/ Vers une vritable harmonisation des pratiques ?____________________________________________p.137 8/ Difficults lies au calendrier de mise en application de Solvabilit 2_____________________________p.139 9/ O en sont les entreprises aujourd'hui dans la dmarche de mise en conformit avec Solvabilit 2 ?___p.142 10/ L'aprs 2012 (aprs la mise en conformit)_______________________________________________p.147 Conclusion___________________________________________________________________________p.155 Lexique______________________________________________________________________________p.159 Sources_____________________________________________________________________________ p.165 Annexes_____________________________________________________________________________ p.168
Introduction
Lanne 2011 est considre par la Commission Europenne comme lanne-cl de la mise en place de la directive Solvabilit 2. Cette directive constitue une rforme rglementaire europenne du monde de l'assurance, que les
entreprises d'assurance, les Institutions de Prvoyance et les mutuelles devront mettre en place d'ici fin 2012 (la date butoir est le 1er janvier 2013). Solvabilit 2 est constitue de trois piliers : les exigences quantitatives (concernant principalement le montant de leurs fonds propres), les exigences qualitatives, et les exigences relatives l'information du public (prsentation des tats financiers, reporting etc.). Les exigences qualitatives sont quant elles relatives sept aspects : le Contrle Interne (et la Conformit), l'Audit Interne, la gouvernance (des critres Fit & Proper doivent s'appliquer aux fonctions-cls de l'entreprise), la mise en place d'un systme de gestion des risques (Risk Management), la fonction actuarielle, la sous-traitance, et enfin, le volet ORSA (valuation interne des risques et de la solvabilit). Plusieurs raisons ont pouss la Commission Europenne mettre en place Solvabilit 2 :
-Comme l'a expliqu Jos Manuel Barroso, prsident de la Commission Europenne, le 22 avril 2009, un secteur de lassurance intgr et concurrentiel faisant lobjet dune supervision cohrente est essentiel pour tous les consommateurs et toutes les entreprises europennes. Solvabilit 2 aidera protger les assurs des mauvaises pratiques. Elle sera bnfique pour les assureurs et les rassureurs eux-mmes car elle leur offrira de nouvelles opportunits et elle aidera rtablir la confiance . Le but est donc de mettre en place un rgime moderne de solvabilit ( voir lexique) bas sur le risque, qui va renforcer lintgration du march communautaire de lassurance, amliorer la protection des assurs et rendre plus comptitifs les assureurs de lUnion Europenne. Solvabilit 2 a donc pour ambition principale de donner aux assureurs les moyens de mieux garantir leur solvabilit tout en construisant un march unique europen de lassurance. -Solvabilit 2 impose notamment aux assurances, Institutions de Prvoyance et mutuelles de mettre en place un dispositif de matrise des risques avant 2013. Dans la ligne de Ble 2, son objectif est de mieux adapter les fonds propres exigs des compagnies d'assurance et de rassurance avec les risques que celles-ci encourent dans leur activit. Dans le mouvement de redfinition de la marge de solvabilit en fonction des risques pour l'ensemble des risques financiers, aprs la banque, c'est au tour de l'assurance de voir sa rglementation s'adapter pour intgrer le risque. Aprs Solvabilit 1 qui prvoyait une marge de solvabilit dtermine en fonction de pourcentages sur les primes et les sinistres, la rglementation des assurances passe des rgles plus
complexes intgrant le risque, soit par l'application d'une formule standard, soit par la prise en compte d'un modle interne. Le ratio de solvabilit est donc globalement gal au total des fonds propres ( voir lexique) divis par les exigences en fonds propres au titre des risques auxquels doit faire face l'entreprise. -La directive constitue donc une mise jour des pratiques en termes de besoin de fonds propres. En effet, suite au passage de Ble 2 dans les banques, leurs besoins en fonds propres ont d se caler sur leurs risques (adquation fonds propres/risques). Les banques se sont donc retrouves avantages par rapport aux assurances. Celles-ci ont pens que cette rglementation reprsentait une forme de concurrence dloyale car elles avaient plus de contraintes respecter, et ont donc souhait une rforme de Solvabilit 1 qui prendrait mieux en compte les actions mises en uvre par les socits d'assurance pour grer leurs risques. Ainsi, le lobby des assureurs a demand une rforme du systme financier. Solvabilit 2 rpond donc un objectif de cohrence des exigences en matire de gouvernance entre les secteurs de la banque et de l'assurance. Les objectifs majeurs de la directive sont les suivants :
-L'ide principale est d'adapter les fonds propres la matrise des risques (il y a donc des consquences dans la gestion des fonds propres, au niveau de la supervision et de la stratgie), mais galement damliorer la protection des assurs en Europe, de moderniser la supervision et de renforcer la comptitivit des organismes assureurs europens, tout en harmonisant les reportings ncessaires aux autorits de contrle. En ce qui concerne la gouvernance d'entreprise, Solvabilit 2 place la matrise des risques au cur de lactivit dune entreprise. La vision des risques doit tre prise en compte dans lactivit, et dans la gouvernance, la matrise des risques devient centrale. En effet, la Commission Europenne a jug que Solvabilit 1 ne couvrait pas tout le spectre des risques ports par un assureur. Ainsi, avec Solvabilit 2, l'ide est de lier prcisment le niveau de capital au niveau de risque support par l'entreprise (des risques forts doivent faire face des capitaux levs, et des risques faibles doivent faire face des capitaux faibles). Le niveau des capitaux propres devra tre proportionn au risque des passifs et actifs dtenus par les assurances : plus un actif sera risqu, plus les capitaux propres rglementaires ou exigence en capital correspondants devront tre levs, afin de donner la socit dassurance la possibilit de faire face ses engagements en cas dimprvu. Par exemple, une obligation dtat correspondra une exigence en capital faible, car cette obligation est trs peu risque, alors qu'une action dentreprise non cote (PME), par nature plus risque (risque de faillite de la PME), conduira avoir une exigence en capital plus importante. -L'objectif de Solvabilit 2 d'aprs l'un de mes interlocuteurs est de renforcer la gestion des risques oprationnels. Idem pour un autre interlocuteur, l'objectif de Solvabilit 2 et surtout du pilier 2 est de renforcer la
matrise des risques par les socits dassurance. -Le pilier 2 de Solvabilit 2 contraint les entreprises se structurer et tudier limpact potentiel de leurs risques sur leur marge de solvabilit. Ce pilier 2 complte les mesures (normes quantitatives) du pilier 1 avec des exigences qualitatives en termes de gouvernance et de gestion des risques. Ces normes qualitatives concernent principalement le Contrle Interne et la matrise des risques. Les entreprises doivent mettre en place un dispositif de matrise des risques et de contrle comprenant les fonctions-cls suivantes : Risk Management, Contrle Interne, Audit Interne, Actuariat, et Conformit. Le but de ce pilier 2, comme nous le verrons, est donc d'amliorer la gouvernance des risques au sein des entreprises.
Le pilier 2 de Solvabilit 2 va donc avoir un impact important sur les fonctions Audit Interne, Contrle
Interne et Risk Management. Or, ce pilier a t assez peu trait dans les textes officiels (contrairement au pilier 1) et reste donc un cadre assez ouvert, ce qui explique que j'ai choisi d'voquer ce sujet de manire approfondie dans ce mmoire. De plus, ayant ralis mon apprentissage au sein de la Direction de l'Audit Interne du Groupe Runica, j'ai t tmoin des changements provoqus par la mise en conformit avec la directive et des nombreux chantiers en cours en matire de matrise des risques, ce qui m'a fait prendre conscience des enjeux de cette rforme pour l'entreprise. Mon matre d'apprentissage a confirm l'importance que revtait Solvabilit 2 et plus particulirement le pilier 2 pour les entreprises et l'intrt que pourrait avoir un mmoire centr sur ce pilier 2. Il m'a galement inform du fait que les professionnels accepteraient de me recevoir au cours d'entretiens afin d'voquer ce sujet qui constitue un enjeu important pour eux, ce qui m'a d'autant plus convaincu de choisir ce thme. Nous allons tout d'abord prsenter brivement le monde de l'assurance et la directive, avant de nous
intresser aux thmes principaux de ce mmoire : les rpercussions concrtes du pilier 2 sur les fonctions Audit Interne, Contrle Interne et Risk Management, ainsi que les impacts positifs et ngatifs engendrs par l'application des exigences de ce pilier 2. Enfin, nous terminerons par une vision d'ensemble, qui se focalisera sur les modalits concrtes de mise en uvre des exigences de la directive, et les difficults rencontres par les entreprises, avant de conclure. Le sujet de cette cinquime et dernire partie s'loignera donc quelque peu du thme principal de ce mmoire, mais s'est impos de lui-mme au fil des entretiens que j'ai mens, car tous les interlocuteurs que j'ai pu rencontrer ont voqu ces modalits concrtes de mise en conformit avec la directive et les nombreux obstacles auxquels leurs entreprises ont d faire face. Il m'a donc sembl important d'voquer ces thmes ici afin de replacer le sujet principal du mmoire dans un contexte plus global. Cette vision d'ensemble concernera notamment le rle des cabinets de conseil dans la mise en conformit des entreprises avec Solvabilit 2, les diffrences d'apprhension de Solvabilit 2 entre petits et grands groupes, l'tat d'avancement actuel de la dmarche de mise en conformit avec Solvabilit 2, et ce qu'il adviendra aprs 2012, c'est--dire une fois que la mise en conformit sera effectue.
Partie 1 : prsentation de Solvabilit 2 La directive Solvabilit 2 a un impact sur toutes les entreprises du secteur de l'assurance. Nous allons donc commencer par une brve prsentation de ces entreprises, puis nous voquerons les buts de Solvabilit 2, l'accueil rserv la directive par les professionnels, les diffrences entre cette directive et Solvabilit 1, les acteurs impliqus et surtout les diffrents piliers constituant cette directive. 1/ Le monde de l'assurance Un contrat dassurance est un contrat par lequel une partie (le souscripteur) se fait promettre pour son
compte ou celui dun tiers par une autre partie (lassureur) une prestation gnralement pcuniaire en cas de ralisation dun risque, moyennant le paiement dune prime ou cotisation ( voir lexique pour dfinition plus complte). Lassureur est la partie qui prend lengagement dindemniser le bnficiaire du contrat dassurance en cas de sinistre. Dans le droit des assurances, il peut sagir dune socit commerciale, dune socit civile, dune socit europenne, ou bien encore dun intermdiaire dassurances (agent gnral dassurances ou courtier). Le souscripteur, nomm contractant en assurance-vie ou preneur dassurance en droit communautaire, est la partie au contrat qui signe les documents contractuels et qui sengage au paiement des primes. Lassur est la personne sur la tte (en assurance-vie) ou sur les intrts (assurance dommage) de qui pse le risque assur. Il ne sagit pas ncessairement du souscripteur du contrat, car lassurance peut tre contracte par un tiers pour son compte. Les tiers bnficiaires sont les personnes qui nont eu aucun contact direct avec lassureur avant la survenance dun sinistre, mais qui bnficient des prestations de lassureur aprs la ralisation dudit sinistre. Enfin, pour qu'un vnement puisse tre assur, il doit possder trois caractristiques : il doit tre futur (le risque ne doit pas tre dj ralis), il doit y avoir incertitude (vnement alatoire), et l'arrive de lvnement ne doit pas dpendre exclusivement de la volont de l'assur.
Lassurance est un secteur trs vaste et trs concurrentiel, parce quil regroupe non seulement de
nombreux acteurs (les trois principaux types dorganismes dassurance tant les socits dassurance, les Institutions de Prvoyance et les mutuelles), mais aussi de nombreux types de produits et de prestations :
-Une mutuelle (voir lexique) est un organisme indpendant but non-lucratif qui s'organise sur le principe de la solidarit entre ses membres. Elle s'occupe de la prise en charge de ses adhrents et des dpenses sant qui ne sont pas rembourses par la Scurit Sociale. Une mutuelle gre et distribue des garanties sant appeles complmentaires sant : c'est donc une assurance sant complmentaire la Scurit Sociale. La mutuelle se distingue cependant par son fonctionnement : solidarit entre les membres, fonctionnement interne galitaire, cotisation indpendante du risque individuel de l'adhrent, etc. Une mutuelle sant est rgie par le code de la mutualit. -Une Institution de Prvoyance (voir lexique) est une socit de personnes de droit priv. Les Institutions de Prvoyance font partie des Groupes de Protection Sociale : ils constituent l'activit Assurance de Personnes de ces Groupes (et ce titre sont donc concerns par Solvabilit 2), et grent des contrats collectifs d'assurance de personnes couvrant les risques de maladie, incapacit de travail, invalidit, dpendance et dcs. Ces garanties viennent en complment des prestations de la Scurit Sociale et prennent notamment la forme de versements d'indemnits journalires en cas d'incapacit ou d'invalidit et de capitaux dcs. Tout comme une mutuelle, une Institution de Prvoyance est but non lucratif, ce qui signifie que les excdents financiers dgags par son activit servent non pas rtribuer des actionnaires (puisquil ny en a pas), mais proposer de nouvelles garanties, amliorer les garanties dj existantes, renforcer la qualit de ses services ou la scurit de ses engagements. Enfin, une Institution de Prvoyance se caractrise par sa gestion paritaire entre les diffrents partenaires sociaux. Dirige par un Conseil dadministration, ce dernier se constitue parts gales de reprsentants de salaris et de reprsentants dentreprises. -Une compagnie d'assurance ( voir lexique) est une entreprise but lucratif qui pratique largement la slection des risques. A l'origine, les compagnies d'assurance ne proposaient que des contrats d'assurance automobile ou habitation. Une compagnie d'assurance est donc une institution financire qui offre des produits d'assurance, ainsi qu'une aide financire aux clients (assurs) pour les vnements couverts par l'assurance. En retour, les assurs paient des primes d'assurance, qui sont rgulires, souvent mensuelles. Peuvent donc effectuer des oprations d'assurance les entreprises d'assurance (socits commerciales ou socits d'assurance mutuelles) rgies par le code des assurances, les mutuelles rgies par le code de la mutualit, et enfin les Institutions de Prvoyance rgies par le code de la Scurit Sociale. Nanmoins, tous ces acteurs n'interviennent pas sur tous les marchs de l'assurance, mme si les cloisonnements ont tendance s'effacer progressivement. En effet, c'est essentiellement sur le terrain de la protection sociale complmentaire que les mutuelles et les Institutions de Prvoyance sont en concurrence avec les autres entreprises d'assurance. Les Institutions de Prvoyance interviennent essentiellement dans le domaine de la prvoyance collective, alors que l'essentiel du chiffre d'affaires des mutuelles est ralis sur le segment de la couverture
maladie complmentaire. Le march de l'assurance est donc largement domin par les socits d'assurance, ce qui est logique puisque celles-ci interviennent sur tous les segments de l'assurance (assurance vie, assurance dommages corporels et assurance dommages aux biens), alors que les mutuelles et les Institutions de Prvoyance interviennent surtout en protection sociale complmentaire.
a
Concernant la classification de l'assurance, les directives europennes distinguent deux branches
principales au sein du secteur de l'assurance : la branche vie (assurances vie, dcs, bons de capitalisation, fonds de retraite) et la branche non-vie. Cette distinction recoupe la distinction traditionnelle entre assurance-vie et assurance dommages (ou IARD pour Incendie, Accident, Risques Divers), qui concide elle-mme peu prs avec la classification habituelle de la profession entre assurance de personnes et assurance des biens. Il suffit en effet d'ajouter l'assurance sant l'assurance vie pour aboutir l'assurance de personnes. -Les Assurances IARD correspondent aux assurances dont les primes sont gres par rpartition et regroupent les assurances de choses et de responsabilit, qui font partie des assurances de dommages, ainsi que les assurances individuelles accident et les assurances de sant qui font partie des assurances de personnes. Ce sont des assurances court terme. -Les Assurances Vie correspondent aux assurances dont les primes sont gres par capitalisation. Cette branche regroupe toutes les assurances dont le risque est li la dure de vie de lassur : lassurance vie, lassurance dcs, lassurance pargne, lassurance retraite, linvalidit et lincapacit. Ce sont des assurances long terme. Les branches de lassurance peuvent galement tre classes en fonction du mode dindemnisation des sinistres : -Les Assurances de Dommages correspondent aux assurances obissant au principe indemnitaire en matire dindemnisation des sinistres, et regroupent les assurances de choses (assurances qui prviennent lassur contre les pertes financires directes quil peut subir suite aux atteintes pouvant affecter les choses ou les biens qui lui appartiennent) et les assurances de responsabilits (assurances qui garantissent lassur contre les rparations quil peut devoir aux tiers, suite aux prjudices quil leur a causs et pour lesquels sa responsabilit a t engage). Les Assurances de Dommages ont toutes pour but de garantir le patrimoine de lassur. -Les Assurances de Personnes correspondent aux assurances soumises, selon les cas, au principe forfaitaire ou indemnitaire dindemnisation des sinistres et rassemblent les Assurances Sant (accidents, maladie, invalidit, incapacit, frais mdicaux etc.) et les Assurances vie (vie, dcs, pargne, retraite, invalidit, incapacit). Les Assurances de Personnes ont pour but de garantir la personne (et non son patrimoine, comme dans le cas des assurances dommages), en couvrant des risques dtermins et en assurant le versement de
sommes en cas de la ralisation de ces risques. Le tableau suivant synthtise les diffrents segments de l'assurance :
Assurance de personnes
Assurance (dommages) des biens et des responsabilits
Assurance vie assurances en cas de dcs assurances en cas de vie assurances mixtes ou pargne capitalisation (sans assur parfois) ou " tontinire " (aprs abus des assurances mixtes) Autres assurances de personnes assurance accident assurance incapacit-invalidit assurance remboursement des frais mdicaux
Assurance automobiles Assurances de dommages aux biens des particuliers (ex : multirisques habitation, avec volet responsabilit) des professionnels (ex : multirisques commerciales) agricoles (ex : multirisques avec volet dommage et responsabilit) protection juridique Assistance
Assurances de la construction (branche gre en capitalisation ) Assurances collectives assurances couvrant les emprunteurs (souscrites par les banques) assurances souscrites par les entreprises (prvoyance et retraite) Assurances de responsabilit civile hors volet responsabilit de l'assurance-dommages, risques professionnels et d'entreprises Assurance transport maritime aronautique spatial assurance des marchandises Assurance crdit dommages l'ouvrage responsabilit civile dcennale
Les assurances ont un rle important dans le financement de l'conomie : l'ensemble des placements des compagnies d'assurances (en valeur de march) est estim 1 603 milliards d'euros fin 2009, l'quivalent de 84% du Produit Intrieur Brut (PIB). De plus, fin 2009, les titres d'entreprises reprsentaient un peu plus de la moiti (53 %) des actifs des socits d'assurances avec 18 % de l'encours directement ou indirectement investi en actions. Ceci reprsente 940 millions deuros placs en actifs dentreprises. Les assurances poursuivent galement leur engagement d'investissement dans les PME fort potentiel : les membres de la Fdration Franaise des Socits d'Assurance se sont engags auprs des pouvoirs publics, en 2004, accrotre leurs investissements dans les PME fort potentiel de croissance, notamment les PME innovantes non cotes. Enfin, en 2010, le secteur de lassurance a vu son chiffre daffaires lgrement progresser 3,8% au total pour atteindre 207,2 milliards deuros (chiffres de la Fdration Franaise des Socits d'Assurance). Le secteur de l'assurance est donc vaste, tendu, et gnre des sommes colossales, ce qui justifie la ncessit de rglementer ce secteur de faon plus stricte afin de contraindre les entreprises mieux grer leurs risques. 2/ Les buts de Solvabilit 2
Le but premier de Solvabilit 2 est qu'il y ait une chance sur deux-cents que l'entreprise ne fasse faillite,
ce qui se traduit par une augmentation du montant des fonds propres et du besoin en fonds propres, comme l'indique la directive : Afin de promouvoir une saine gestion des risques et d'aligner les exigences de fonds propres sur les pratiques du secteur, le Capital de Solvabilit Requis devrait tre dfini comme le capital conomique que doivent dtenir les entreprises d'assurance et de rassurance pour limiter la probabilit de ruine un cas sur deux-cents, ou alternativement, pour que lesdites entreprises demeurent en situation, avec une probabilit d'au moins 99,5%, d'honorer leurs engagements envers les preneurs et les bnficiaires dans les douze mois qui suivent. Ce capital conomique devrait tre calcul sur la base du profil de risque rel de l'entreprise, en tenant compte de l'incidence d'ventuelles techniques d'attnuation des risques et des effets de diversification. Le but est donc d'valuer le capital permettant d'viter la ruine un an avec une probabilit suprieure 99,5%. Solvabilit 2 a t cre sur le modle de Ble 2, avec une structure en 3 piliers ( voir annexe 1 : rsum
des trois piliers de la directive ), mais entre-temps, la crise a eu lieu (accompagne de faillites dentreprises etc.), entranant une remise en question de la matrise des risques des entreprises. Solvabilit 2 a donc t rajuste en consquence. En effet, la base, elle devait plutt constituer un avantage pour les assurances alors que finalement, elle est devenue beaucoup plus contraignante que Ble 2 : en raison de la crise financire, le CEIOPS a fortement durci les conditions dapplication de la directive, avec pour consquence majeure une augmentation du besoin en fonds propres. En effet, la crise a mis en vidence les volutions du monde de l'assurance : une internationalisation des grandes socits d'assurance, une complexit croissante des
instruments financiers, et surtout, un dveloppement rapide de nouveaux risques. Ainsi, comme l'a indiqu Jos Manuel Barroso en avril 2009, Solvabilit 2 est ncessaire en tant que premire rponse la crise financire. Il est indispensable de mettre en place une rglementation qui oblige les entreprises grer correctement leurs risques, qui rsulte en une plus grande transparence et qui garantisse que les autorits de surveillance cooprent et coordonnent plus efficacement leurs activits . Cependant, il faut prciser que les socits dassurances nont pas connu de graves problmes de solvabilit pendant la crise financire : leurs fonds propres sont en moyenne assez levs, et les politiques d'investissement des assurances sont plus prudentes et slectives que celle des tablissements bancaires, mme si elles n'ont pas t totalement pargnes par cette crise financire. Le contexte de crise bancaire et de risque systmique de 2009 a mme eu pour effet d'acclrer l'adoption de la directive par la Commission Europenne : la directive a t vote le 22 avril 2009. Les autres objectifs de la directive sont les suivants :
-Assurer la protection des assurs en renforant la solvabilit des assureurs (mutuelles, Institutions de Prvoyance, assurances). En effet, une compagnie d'assurance se doit d'tre solvable, c'est--dire suffisamment solide financirement pour respecter ses engagements envers ses assurs. -Garantir aux assurs une protection uniforme, renforce, dans toute l'Union Europenne, et renforcer la qualit et la scurit des produits auxquels les citoyens ont accs. -Exiger une meilleure allocation des fonds propres aux risques, et inciter les assurances mieux grer leurs risques, en fixant une marge de solvabilit mieux adapte aux risques rellement encourus. -Fournir aux superviseurs les outils et les pouvoirs suffisants pour assurer leur mission de contrle. -Amliorer les conditions de concurrence entre assureurs europens en imposant une rglementation harmonise. -Renforcer lintgration du march europen de lassurance. -Renforcer la comptitivit des assureurs et rassureurs europens au niveau international. -Assurer la comparabilit, la transparence et la cohrence. -viter que les cots en fonds propres ne soient inutilement levs, au risque de menacer la comptitivit globale de l'assurance europenne. -Enfin, favoriser une allocation plus efficace du capital et des risques au sein de l'conomie, ce qui devrait favoriser la stabilit financire. La directive Solvabilit 2 s'inscrit dans un contexte conomique complexe (internationalisation, crise des
marchs financiers etc.) : de nombreux bouleversements intervenus dans les annes 2000 ont faonn un nouvel environnement conomique. Pour faire face ces volutions, les dirigeants politiques (et conomiques) de nombreux pays ont mis en place de nouveaux cadres rglementaires, comme la Loi de Scurit Financire, la Loi de Modernisation de l'conomie, les normes IFRS, mais aussi Ble 2 (rglementation que doivent
appliquer les banques) et Solvabilit 2 pour les assurances. 3/ L'accueil rserv la directive par les professionnels Les buts de Solvabilit 2 sont donc nobles puisque la directive vise globalement renforcer la solvabilit des assureurs afin que les entreprises puissent mieux protger les assurs. Nanmoins, les avis des professionnels au sujet de la directive ne sont pas tous positifs, et Solvabilit 2 a fait face depuis quelques annes de nombreuses critiques. Ainsi, de nombreux assureurs europens se sont exprims pour contester la directive. Ils dsapprouvent sa complexit et la lourdeur de sa mise en place, notamment pour les petites entreprises. Certains considrent mme que Solvabilit 2 est une sanction inapproprie alors que la crise les a pargns. Solvabilit 2 provoque donc depuis quelques annes de nombreux dbats, ce qui est la preuve que les enjeux sont levs. Nous allons voir en rsum quels sont les avis des professionnels au sujet de la directive. Tout d'abord, en 2010, le PDG d'AXA a mis plusieurs rserves sur Solvabilit 2 ( voir l'article AXA : Le PDG de lassureur critique Solvabilit 2 du 1er juin 2010 sur investir.fr ), en pointant les consquences ngatives de l'application de la directive. Il a notamment jug la rforme de la rgulation des assurances bonne dans le principe, mais cest comme pour un mdicament, un mauvais dosage peut tre dangereux . De mme, il a reconnu que lobligation de fonds propres (correspondant un risque de dfaut de 1 pour 200) impose par la directive tait raisonnable , mais a nanmoins point plusieurs inconvnients : par exemple, il a jug inappropri le fait que cette rglementation oblige mesurer les risques un horizon dun an alors que [leurs] modles conomiques ont des horizons de sept ou huit ans . Ensuite, il a prvenu de la chute de la part des actions dans les portefeuilles dAXA, qui reprsentaient 20% des actifs en 2000, 10% en 2007 et moins de 5% aujourdhui. En effet, avec Solvabilit 2, les obligations ncessitent une charge en capital moindre que celle des actions. De mme, en 2010, Denis Kessler a mis des critiques sur la directive ( voir l'article Denis Kessler critique ouvertement la mise en place de Solvabilit 2 sur scor.com) : le PDG de SCOR, une grande socit de rassurance, a prdit des consquences ngatives pour la rforme Solvabilit 2. Il a averti que la mise en place de la rforme risquait de poser de srieux problmes lensemble du secteur, car la directive prvoit notamment de sanctionner les entreprises procdant des investissements couverts contre les effets de linflation tels que lachat dactions ou de biens immobiliers, en appliquant un cot demprunt de capital lev. Ainsi, les achats dactions s'accompagnent d'une charge en capital leve, contrairement aux achats dobligations revenu fixe. D'aprs lui, la version actuelle de Solvabilit 2 est le meilleur moyen pour mener le secteur de lassurance droit au mur .
De plus, certains sujets lis Solvabilit 2 posent toujours problme aux professionnels aujourd'hui : l'laboration du bilan prudentiel est juge trs complexe, car les rgles de valorisation prvalant en France sont trs loignes de la notion de valeur conomique sous Solvabilit 2 ; la formule standard pour le calcul du SCR (Solvency Capital Requirement ou Capital Cible, c'est--dire le capital requis pour assurer la solvabilit) est juge trop complexe et inadapte pour certains calculs, et concernant la dtermination des fonds propres, certains lments restent difficiles traiter. Certains acteurs s'inquitent galement de la lourdeur et de la complexit d'une mise en place d'un modle interne concernant le calcul du SCR : en effet, les entreprises pourront opter pour un mode de calcul du SCR bas sur une formule standard ou sur un modle interne complet (bas sur leur structure de risque spcifique). Selon eux, ce modle ne pourrait tre adopt que par les grandes entreprises qui disposent de moyens financiers et humains suffisants pour collecter toutes les informations disponibles et les utiliser. Ds lors, le traitement prfrentiel applicable aux socits qui adoptent le modle interne ne bnficieraient qu'aux entreprises les plus importantes, laissant de ct les plus petites entits. Le Prsident de la Fdration Franaise des Socits d'Assurance (FFSA) a en 2009 soulev une autre critique : l'hyperprudence a aussi un hypercot . Cette formule traduit l'ide que lorsque les entreprises devront se soumettre aux dispositions rglementaires de Solvabilit 2, elles verront leurs exigences en termes de fonds propres augmenter fortement et devront donc trouver des moyens de se recapitaliser, ce qui risque de poser problme de nombreuses entreprises. Des assureurs franais ont mme adress un courrier commun Christine Lagarde, fin 2009, pour lui faire part de leur inquitude sur les modalits d'application de Solvabilit 2, d'aprs la FFSA, car ils ont constat un durcissement des critres exigs par la directive en termes de solvabilit et de fonds propres. On constate donc que la complexit et le niveau d'exigence lev de la directive peut poser problme mme de grands groupes. On constate galement l'existence d'un site internet nomm www.stopsolvabilite2.com , cr par la Runion des Organismes dAssurance Mutuelle, un syndicat professionnel d'assureurs mutualistes, compos aujourd'hui de 46 socits d'assurance mutuelles de petite et moyenne taille essentiellement. Ce site explique que Solvabilit 2 sera contre-productif voire nocif pour les consommateurs (car la directive favorise les garanties courtes et pnalise la dtention par les assureurs des biens tels que les actions et l'immobilier, qui protgent les assurs contre l'inflation), pour la stabilit du systme conomique, et mme pour la dmocratie (!) car son extrme complexit rend les rsultats tributaires des valeurs retenues pour le paramtrage des modles. Il serait donc impossible de vrifier que le contrle des entreprises, et en particulier des multinationales, a t correctement effectu, avec deux consquences : un risque pour les assurs de dfaillance des entreprises et une ingalit concurrentielle entre les assureurs et entre les pays. D'aprs ce site internet, les socits sont inquites face l'extrme complexit de ce dispositif qui en rendra l'application incontrlable . Ce site propose mme une ptition signer pour exprimer son mcontentement face la directive.
Il apparat logique que les mutuelles soient rticentes vis--vis de Solvabilit 2 car contrairement aux grandes assurances, les mutuelles, de taille plus modeste, ont et auront des difficults rpondre aux exigences de la directive. Ainsi, en 2010, l'Association des assureurs mutuels et des coopratives dassurance a critiqu la directive, puisque son prsident a dclar que la finalit du nouveau rgime nest pas de restructurer le march europen de lassurance, mais cest pourtant exactement ce quil risque de se produire en ltat actuel des choses . Il a ajout que si le principe de proportionnalit ne fonctionne pas dans la pratique, nous risquons dassister une consolidation agressive du march (voir l'article Solvabilit 2 : les mutualistes europens donnent de la voix du 11 mars 2010 sur www.argusdelassurance.com). Cela signifie que si les exigences de la directive ne sont pas adaptes de faon individuelle pour chaque entreprise et ses spcificits, et sont seulement fixes au niveau global, de nombreuses mutuelles ne pourront pas rpondre ces exigences, ce qui devrait conduire des rachats de ces mutuelles par des grands groupes, voire des rapprochements/fusions entre mutuelles si elles veulent survivre, entranant donc une restructuration du march tout entier qui favoriserait uniquement les grands groupes. Nous verrons dans la cinquime partie de ce mmoire (points 2 et 10) que cet argument ne semble pas tout fait injustifi. Au-del de ces nombreuses critiques, il faut tout de mme noter que la directive n'a pas reu un accueil uniquement ngatif. Ainsi, Solvabilit 2 a t salue par bon nombre de professionnels qui voient en elle une approche modernise, raliste et prudente de la faon dont doit tre mene l'activit d'assurance. La directive constitue mme pour certains une rvolution culturelle et managriale . En effet, la culture du risque et de l'anticipation est au cur de Solvabilit 2 : l'entreprise est incite dvelopper sa propre mesure du risque par l'intermdiaire du modle interne qui servira calculer le capital de solvabilit requis. De plus, par rapport au modle standard, la mise en place d'un modle interne est lourde pour une entreprise, mais elle a l'avantage d'tre moins coteuse en termes de fonds propres puisque plus fine en valuation des risques. Nous reviendrons sur ces sujets au cours du mmoire, mais on constate en ce qui concerne l'accueil rserv la directive par les professionnels qu'il est logique que de nombreuses rticences soient exprimes. En effet, comme nous allons le voir tout au long de ce mmoire, Solvabilit 2 s'accompagne de nombreux changements importants pour les entreprises, qui doivent donc se livrer des chantiers de mise en conformit longs et complexes, s'talant sur plusieurs annes. Une fois cette phase de mise en conformit termine, on peut penser que les entreprises seront en mesure de raliser les effets positifs engendrs par la directive. Cependant, pour l'instant, les entreprises sont toujours dans cette phase chantier de mise en conformit, et ont donc l'impression que la directive se traduit pour l'instant uniquement par des exigences importantes mettre en uvre, qui ont un cot lev en termes de temps et d'argent. Ceci explique sans doute les opinions plutt ngatives exprimes par les professionnels sur la directive jusqu' aujourd'hui.
4/ Diffrences entre Solvabilit 1 et Solvabilit 2 Les diffrences majeures entre Solvabilit 1 et Solvabilit 2 sont les suivantes : Tout d'abord, le calcul de la marge de solvabilit a t modifi et intgre dsormais pleinement les
risques. Avec Solvabilit 1, tous les risques taient traits de la mme faon, et l'exigence de marge de solvabilit tait simple dterminer (par lapplication de coefficients), car les risques propres chaque entreprise n'taient pas suffisamment pris en compte. Par exemple, considrons deux socits d'assurance qui assurent le paiement d'annuits diffrentes : l'une assure un rendement aux annuits de 0% tandis que l'autre garantit hauteur de 5%. Cette dernire devrait donc tre soumise des exigences en capital suprieures afin de faire face au risque, or cela n'tait pas le cas avec Solvabilit 1. Avec Solvabilit 2, on adopte l'ide que lorsque l'entreprise a une activit dangereuse , son capital doit tre adapt en fonction (la marge de solvabilit correspond au capital ncessaire pour faire face aux vnements imprvus). De plus, Solvabilit 2 prend en compte tous les risques. Auparavant, c'tait surtout le risque de souscription q ui tait pris en compte (c'est--dire ce que l'entreprise devrait payer en dommages en assurant les clients), alors que Solvabilit 2 prend en compte les risques oprationnels, naturels, etc. et donc pas uniquement les risques lis l'activit (risques assurantiels). Ainsi, voici quelques exemples de risques qui n'taient pas intgrs dans les dterminations de fonds propres antrieurement Solvabilit 2 : -erreurs d'excution (erreurs humaines, manque ou inadquation des procdures), -dfaillances des systmes d'information (pannes matrielles et logicielles), -systmes d'information victimes de malveillance ( piratage), -dommages aux moyens d'exploitation ( locaux, catastrophes, troubles sociaux), -fraudes, -litiges commerciaux (dfaillance de conseil, c'est--dire argumentation commerciale incorrecte, incomplte ou biaise), -litiges avec les autorits (fiscalit, territorialit, conformit, etc.). Solvabilit 2 constitue donc un meilleur reflet des risques supports par les entreprises. Au niveau des Institutions de Prvoyance, la marge de solvabilit demande par Solvabilit 1 tait
matrise, puisque cette directive exigeait de disposer d'une marge gale deux fois lexigence de marge de solvabilit ncessaire pour faire face aux risques, afin davoir un matelas visant se protger du risque. Mais Solvabilit 2 entrane la cration de nouvelles contraintes financires, notamment sur la partie Gestion dActifs. Solvabilit 2 est donc une directive globalement beaucoup plus exigeante que Solvabilit 1. Le raisonnement disant si nous commettons une erreur, la marge de scurit nous protgera nest plus valable.
Solvabilit 2 comporte des rgles de solvabilit homognes, compltes, cohrentes et surtout adaptes
lactivit des entreprises. Les contraintes de solvabilit sont harmonises au niveau europen, tant sur le calcul de fonds propres ncessaires que sur les moyens et pouvoirs des autorits de tutelle. Le systme se fonde sur la prise en considration de tous les risques. Les sources de rduction des risques (couverture financire, rassurance, dispersion) devront aussi tre apprcies dans lvaluation de la solidit financire de lentreprise. Solvabilit 1 comportait des limites dues une approche non base sur les risques, l'absence de
cohrence avec l'application des normes IFRS et aux disparits rglementaires existantes entre les tats membres de l'Union Europenne, ce qui a conduit la Commission Europenne rformer l'environnement rglementaire europen du secteur de l'assurance. Solvabilit 1 tait centre uniquement sur des critres techniques, et ntait consacre qu la marge de
solvabilit, tandis que Solvabilit 2 a une porte beaucoup plus gran de. Le projet est donc plus difficile cadrer, car beaucoup plus transversal. Ainsi, le pilier 2, c'est--dire l'aspect qualitatif dans la matrise des risques, qui tait nglig dans
Solvabilit 1, est compltement nouveau. C'est la principale nouveaut apporte par Solvabilit 2, et la principale diffrence entre Solvabilit 1 et Solvabilit 2. En effet, Solvabilit 1 n'tait constitue que d'exigences quantitatives. Ce pilier 2 intgre les chantiers mener sur la gestion des risques, le Contrle Interne et l'Audit Interne, et a donc d'importantes consquences directes sur ces fonctions. Les activits de contrle dcrites dans ce pilier 2 consistent dfinir et harmoniser les activits de surveillance, au niveau des assurances et au niveau des superviseurs. Ce pilier permet donc d'accorder une attention particulire au systme de surveillance de lentreprise (gouvernance dentreprise et Contrle Interne). La directive encourage les entreprises adopter la dmarche ERM (Enterprise Risk Management),
dmarche de gestion globale des risques, car le but de Solvabilit 2 est de prendre en compte tous les risques de l'entreprise. Avec Solvabilit 1, lide gnrale tait que pour exercer le mtier dassureur, il fallait que lentreprise possde un certain niveau de fonds propres. Quand le niveau de fonds propres dpassait le seuil rglementaire, l'entreprise tait homologue. Avec Solvabilit 2, on dcide quun certain niveau de fonds propres nest plus suffisant pour exercer le mtier dassureur. Il faut galement disposer dun dispositif de Gouvernance des Risques hauteur des risques que lon porte. Sinon, le lgislateur dispose de la facult dimposer des pnalits en termes de fonds propres lentreprise. Le pilier 2 ( Gouvernance des risques ) est donc la principale nouveaut de Solvabilit 2 par rapport Solvabilit 1.
L'objectif de la directive est donc de mieux protger les assurs : Solvabilit 2 a l'ambition d'tre plus protectrice que Solvabilit 1, au moins dans l'intention. Et l'autre objectif est d'obtenir une uniformisation des rgles de calcul de la marge de solvabilit : -le MCR (Minimum Capital Requirement ou Capital Minimum Requis) est le capital minimum exig par l'autorit de rgulation dans le cadre de Solvabilit 2. Il reprsente le niveau minimum de fonds propres en-dessous duquel l'intervention de l'autorit de contrle sera systmatique, et pourra entraner le retrait de l'agrment de l'entreprise. Ce MCR repose sur un calcul linaire en pourcentage des primes, des provisions techniques, des impts diffrs, et des dpenses administratives. Il doit notamment permettre de couvrir le maximum de pertes attendues avec un niveau de confiance de 85% sur une priode d'un an. Il doit tre born entre 25 et 45% du SCR calcul selon la formule standard ou le modle interne, et doit tre calcul au moins une fois par trimestre. -le SCR (Solvency Capital Requirement ou Capital Cible) est le capital exig pour assurer la solvabilit d'une entreprise dans le cadre de la directive. Il reprsente le capital cible ncessaire pour absorber le choc provoqu par une sinistralit exceptionnelle, et donc procurer aux assurs une assurance raisonnable que l'assureur pourra honorer ses engagements. Le SCR devrait devenir l'outil principal des autorits de contrle. En effet, il est fond sur l'exposition aux risques, en incorporant tous les risques lis l'activit de l'entreprise, c'est--dire principalement les risques de souscription, de crdit, de liquidit, de march, et le risque oprationnel. Ce capital cible doit tre calibr de telle manire que si tous les risques se ralisent, seulement 0,5% d'entre eux ne pourront pas tre honors, et doit donc tre gal 99,5% du montant total des risques encourus. Dans le dtail, il n'y a donc rien de comparable entre les deux directives ( voir annexe 2 : diffrences majeures entre Solvabilit 1 et Solvabilit 2). D'ailleurs, Solvabilit 2 n'est pas une version amliore de Solvabilit 1, car la Commission Europenne est repartie de zro pour crer cette nouvelle directive, et a essay d'identifier les vritables risques ports par les assureurs, ce qui explique le fait qu'il y ait de nombreuses diffrences entre ces deux directives. Solvabilit 1 est donc aujourd'hui considre comme une solution provisoire, avant l'adoption d'une nouvelle rglementation refltant de manire plus raliste les risques auxquels les entreprises sont confrontes, permettant de rviser en profondeur les rgles de solvabilit afin de crer un cadre prudentiel harmonis au niveau europen et adapt au profil de risque de chaque entreprise. 5/ Les divers organismes intervenant dans la dmarche Solvabilit 2 f
Les organismes suivants ont chacun un rle spcifique dans l'application de la directive : Le CTIP (Centre technique des Institutions de Prvoyance) ne fait que dispenser des bonnes pratiques ;
cest le pendant des fdrations, pour les Institutions de Prvoyance. Il reprsente et dfend les intrts des
Institutions de Prvoyance (rle de porte-parole), ainsi que ceux des entreprises adhrentes et des salaris participants, et a aid mettre en place Solvabilit 2. Le CEIOPS (voir annexe 3 : les acteurs concerns par la directive ), remplac par l'Autorit Europenne
de Contrle de lAssurance (ou EIOPA pour European Insurance and Occupational Pensions Authority) depuis le 1er janvier 2011, regroupait les reprsentants des autorits de contrle des 30 tats membres de lUnion Europenne et de lEspace conomique Europen. Cest dans le cadre du CEIOPS que s'est fait lessentiel de la coopration de lACP avec les autorits de contrle europennes. La Commission Europenne a saisi le CEIOPS pour lui demander des avis techniques ou des projets de mesures dites de niveau 2 dans le cadre du processus Lamfalussy. Le CEIOPS suivait galement lapplication des directives communautaires sappliquant lassurance et aux pensions professionnelles. Cest dans le cadre du CEIOPS que lACP a travaill, en coopration avec les autres autorits de contrle de lUnion Europenne, la mise en place de Solvabilit 2. Le CEIOPS a notamment fourni la Commission Europenne une expertise technique pour la rdaction de la proposition de directive de niveau 1 , et a travaill sur les mesures de niveau 2 . La directive prvoit une cinquantaine de mesures dapplication - comparables des dcrets dapplication au niveau franais - que la Commission Europenne a adopt dbut 2011. Pour atteindre cet objectif, elle a confi au CEIOPS les travaux de prparation de ces mesures et la consultation publique auprs des organismes assureurs. L'EIOPA a pris la suite de ses missions depuis dbut 2011.
a
Lautorit de tutelle est lACP (Autorit de Contrle Prudentiel, qui comprend lACAM aujourdhui). Elle a
un pouvoir de contrle et de sanction. Solvabilit 2 a t prpare et rdige par les corps de contrle des grands pays (31 pays), dont l'ACP.
L'ACP veille la qualit de la situation financire des entits des secteurs qu'elle supervise dans le but de garantir la stabilit du systme financier et la protection de leurs clientles. Cet organisme vient de la fusion des quatre autorits de la banque et de lassurance (la Commission Bancaire, l'Autorit de Contrle des Assurances et Mutuelles, le Comit des Entreprises d'Assurance, et le Comit des tablissements de Crdit et des Entreprises d'Investissement). L'ACP peut contrler les mutuelles et les Institutions de Prvoyance, mais surtout les banques et les assurances, sur des thmes varis. Par exemple, l'ACP est venu contrler le Groupe de Protection Sociale de l'un de mes interlocuteurs en fvrier-mars 2011, et l'un des deux thmes faisant l'objet d'un contrle tait la gouvernance (mme si cela n'avait rien voir avec Solvabilit 2). L'ACP vient intervalles rguliers effectuer des contrles : cet organisme tait dj venu contrler ce Groupe de Protection Sociale en 2006, puis est revenu en fvrier-mars 2011 afin d'effectuer une mission d'audit gnrale sur la solvabilit et la gouvernance.
En ce qui concerne la solvabilit, l'ACP s'assure notamment que le Groupe de Protection Sociale dispose des fonds propres ncessaires pour respecter ses engagements sur contrats, et contrle galement les conditions gnrales des produits. En ce qui concerne la gouvernance, l'ACP contrle principalement que le Conseil d'Administration est bien inform (reporting conforme la ralit) et que la Direction Gnrale fait des choix de gouvernance adapts (par exemple, si l'assurance vend un produit dficitaire, il faut que cela soit justifi). Ainsi, partir de 2013, l'ACP contrlera des thmes lis Solvabilit 2 : par exemple, lACP viendra sassurer que le pilier 2 est bien appliqu, partir du 1er janvier 2013 en thorie. Cependant, en pratique, l'ACP attendra certainement quun exercice ne scoule, afin que les entreprises puissent leur transmettre leur reporting (bilans, comptes-rendus, descriptions des politiques de gestion des risques, et autres (nombreux) documents lis Solvabilit 2). Le but sera de sassurer que ce pilier 2 est bien compris et appropri, et que lorganisation mise en place exploite bien les dispositions du pilier 1. Le rle de l'autorit de tutelle est donc de faire en sorte que le plus grand nombre d'entreprises soient prtes et respectent les exigences de Solvabilit 2 au 1er janvier 2013, en les aidant et en les incitant se mettre en conformit avec les exigences de la directive et en organisant des confrences et des changes pour rpondre aux questions des assureurs. Enfin, prcisons que les fdrations Agirc-Arrco n'ont aucun rle jouer ici car Solvabilit 2 ne concerne pas l'activit Retraite des Groupes de Protection Sociale. Les fdrations Agirc-Arrco sont des associations grant les institutions de retraite complmentaire, or cette partie des Groupes de Protection Sociale nest pas directement impacte par Solvabilit 2 (voir le lexique pour plus de dtails). 6/ Les trois piliers de Solvabilit 2 sont les suivants :
Le pilier 1 dtermine des exigences quantitatives respecter, notamment sur l'harmonisation des
provisions et l'instauration de minima de fonds propres. Ce pilier concerne donc les calculs des provisions et du capital rglementaire, en dfinissant des seuils quantitatifs de fonds propres et de provisions techniques : les MCR et SCR. C'est donc une valuation conomique des exigences (provisions techniques, SCR, MCR) et des ressources (fonds propres). Le pilier 2 impose la mise en place de dispositifs de gouvernance des risques (processus,
responsabilits, production et suivis d'indicateurs), en dfinissant des normes qualitatives. Le pilier 3 traite de la publication des informations sur lesquels les deux prcdents piliers sont bass et
qui permettront au public (actionnaires et analystes principalement) et aux autorits de contrle de juger si
l'analyse effectue est fidle la ralit. Il fixe les exigences en termes de reporting et de transparence, en demandant aux entreprises la mise disposition dun ensemble d'informations dtailles concernant notamment la dtermination de leur exigence de capital. La transparence est donc le symbole du pilier 3, dont les obligations viennent complter le dispositif existant au niveau des piliers 2 et 3. Les entreprises devront notamment fournir aux autorits de contrle le Rapport aux Superviseurs (destin uniquement aux autorits de contrle), qui devra comprendre les informations ncessaires au contrle et permettre de prendre toute dcision approprie qu'impose l'exercice de leurs droits et obligations prudentiels , et galement le Rapport sur la Solvabilit et la Situation Financire. Ce rapport sera public et donnera les informations essentielles relatives la situation financire et la solvabilit des assureurs. La publication de ces deux rapports s'effectuera sous la responsabilit des organes de direction. Pour en revenir au pilier 2 (voir annexe 4 : prsentation gnrale du pilier 2 ), ses exigences qualitatives
sont relatives sept aspects : le Contrle Interne (et la Conformit), l'Audit Interne, la gouvernance (des critres Fit & Proper doivent s'appliquer aux fonctions-cls de l'entreprise), la mise en place d'un systme de gestion des risques (Risk Management), la fonction actuarielle, la sous-traitance, et enfin, le volet ORSA (valuation interne des risques et de la solvabilit). Ce pilier 2 met donc laccent sur les exigences qualitatives, en soulignant limportance de la bonne
gouvernance pour la gestion du risque de lassureur et pour lefficacit de la supervision. Il concerne donc le systme de gouvernance des risques, c'est--dire le Risk Management, le Contrle Interne et l'Audit Interne principalement. Nous nous attarderons ici sur ces trois fonctions et sur les impacts directs et indirects provoqus par Solvabilit 2 sur celles-ci. Le but du pilier 2 de Solvabilit 2 est de renforcer les mcanismes de Contrle Interne et la
gouvernance, et donc de valider le pilier 1 en justifiant les chiffres et en les surveillant, par le biais de la cration d'un dispositif de matrise des risques. En effet, il va permettre de garantir la matrise des activits ncessaires la mise en uvre du pilier 1, de fournir des donnes complmentaires, notamment sur le risque oprationnel, et surtout d'intgrer les rsultats obtenus dans le pilier 1 dans les modes de fonctionnement et gouvernance de lentreprise. Ce pilier 2 va donc permettre d'anticiper, connatre, organiser et administrer les risques, et de crer des politiques qui permettront de les grer. Il entrane donc logiquement une augmentation des pouvoirs confis aux Conseils d'Administration, ainsi que la cration de Comits d'Audit et de Comits des Risques. Le systme de matrise des risques mettre en place doit reposer sur quatre dispositifs que sont la gouvernance, la gestion des risques, le Contrle Interne et l'Audit Interne ( voir annexe 5 : les acteurs de la gestion des risques et leurs rles ). Ces dispositifs sont renforcs par la mise en place de fonctions-cls au sein des organisations. Les acteurs concerns par les changements provoqus par le pilier 2 en termes de matrise
des risques sont donc principalement la Direction du Contrle Interne, la fonction Risk Management, les responsables de la fonction Conformit, et la Direction de lAudit Interne. Ce mmoire va donc se centrer sur les impacts du pilier 2 sur ces fonctions, qui sont les principaux acteurs de la gouvernance des risques.
Partie 2 : les impacts du pilier 2 sur le Risk Management A/ Les articles fondamentaux et leur traduction
1/ Article consacr la gestion des risques (article 44)
L'article consacr la gestion des risques dans la directive Solvabilit 2 est le suivant :
1. Les entreprises d'assurance et de rassurance mettent en place un systme de gestion des risques efficace, qui comprenne les stratgies, processus et procdures d'information prudentielle ncessaires pour dceler, mesurer, contrler, grer et dclarer, en permanence, les risques auxquels elles sont ou pourraient tre exposes ainsi que les interdpendances entre ces risques, au niveau individuel et agrg. Ce systme de gestion des risques est efficace, parfaitement intgr la structure organisationnelle et aux procdures de prise de dcision de l'entreprise d'assurance ou de rassurance et dment pris en compte par les personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls. 2. Le systme de gestion des risques couvre les risques prendre en considration dans le calcul du Capital de Solvabilit Requis conformment l'article 101, paragraphe 4, ainsi que les risques n'entrant pas ou n'entrant pas pleinement dans ce calcul. Il couvre au moins les domaines suivants: a) b) c) d) e) la souscription et le provisionnement; la gestion actif-passif; les investissements, en particulier dans les instruments drivs et engagements similaires; la gestion du risque de liquidit et de concentration; la rassurance et les autres techniques d'attnuation du risque.
d bis) la gestion oprationnelle des risques; Les politiques crites concernant la gestion des risques vises l'article 41, paragraphe 3, comprennent des politiques concernant le deuxime alina, points a) e), du prsent paragraphe. 3. En ce qui concerne le risque d'investissement, les entreprises d'assurance et de rassurance dmontrent qu'elles satisfont aux dispositions du chapitre VI, section 6. 4. Les entreprises d'assurance et de rassurance prvoient une fonction "gestion des risques", qui est structure de faon faciliter la mise en uvre du systme de gestion des risques. 5. Pour les entreprises d'assurance et de rassurance utilisant un modle interne partiel ou intgral qui a t approuv conformment aux articles 110 et 111, la fonction "gestion des risques" recouvre les tches supplmentaires suivantes: a) b) c) d) conception et mise en uvre du modle interne; test et validation du modle interne; suivi documentaire du modle interne et de toute modification qui lui est apporte; information de l'organe d'administration ou de gestion concernant, d'une part, la performance du modle interne, avec
suggestions quant aux lments amliorer, et, d'autre part, l'tat d'avancement des efforts dploys pour remdier aux faiblesses prcdemment dtectes; e) analyse de la performance du modle interne et production de rapports de synthse concernant cette analyse.
Tout d'abord, il faut prciser que, afin que les changements provoqus par Solvabilit 2 soient progressivement mis en uvre, l'adoption de la directive s'est droule dans le respect du processus Lamfallussy , schmatis en annexe 6 (cette prcision est valable pour les parties 2, 3 et 4) : -la directive dfinit les grands principes de la rforme (niveau 1) ; -les mesures d'application spcifient les lments techniques et donnent des rgles plus prcises (niveau 2). Sur mandat de la Commission Europenne, le CEIOPS a donc rdig des avis techniques (mesures d'excution) en vue de llaboration des mesures de niveau 2 (appels Issue Papers et Consultations Papers ). En annexe 7 figurent les mesures d'application relatives aux articles cits dans ce mmoire ; -des recommandations labores par le CEIOPS sont adoptes en vue d'une application convergente au sein de l'Union Europenne (niveau 3) ; -enfin, le niveau 4 est la vrification de la conformit des droits nationaux avec le droit europen. Ainsi, d'aprs cet extrait de la directive, la mesure d'application correspondante ( voir annexe 7), mes entretiens avec des Directeurs de l'Audit Interne (mon guide d'entretien figure en annexe), et mes recherches, les changements principaux entrans au niveau du Risk Management par Solvabilit 2 sont les suivants : 2/ Obligation de disposer d'une fonction Risk Management
Le point le plus important de cet article est qu'il implique la cration (ou le renforcement) d'un systme de gestion des risques, et donc d'un service Risk Management ( voir lexique). Ce systme de gestion des risques doit tre intgr la structure organisationnelle de l'entreprise et doit constituer un dispositif d'identification, d'valuation et de gestion permanente des risques financiers, assurantiels, oprationnels etc. ( voir annexe 8 : construction d'un systme de management des risques ). Le service Risk Management, qui doit tre indpendant et donc dtach de tout autre service (y compris le Contrle Interne et l'Audit Interne) devra galement assister et conseiller le Conseil d'Administration et la Direction en ce qui concerne la gestion des risques (par le biais par exemple de reporting sur l'exposition aux risques), et globalement, prendre en charge le systme de gestion des risques. Au cours des entretiens que j'ai mens dans le cadre de ce mmoire, j'ai donc demand mes interlocuteurs les changements provoqus par l'application de la directive au sein de leur entreprise, au niveau du Risk Management. Ainsi, un premier interlocuteur m'a expliqu qu'au sein de son entreprise, un Groupe de Protection Sociale de taille moyenne, a t lanc en 2006 un projet de constitution d'une cartographie des risques dont le primtre couvrait tous les mtiers du groupe, puis a t cre en 2008 la fonction Management des risques afin de
complter le dispositif de Contrle Interne en apportant une vision globale et synthtique des risques oprationnels majeurs ports par le groupe, et de participer la prvention des risques oprationnels et la matrise des situations de crise (cration de Plans de Continuit d'Activit notamment). Cependant, cette fonction tait l'tat embryonnaire, et tait relie l'Audit Interne. La sparation de la Direction de l'Audit Interne et du ple Management des Risques a eu lieu en 2009, afin d'assurer l'indpendance de l'Audit Interne, en vue de la mise en conformit avec Solvabilit 2, comme nous le verrons dans la partie 4, consacre l'Audit Interne. Puis, toujours dans l'optique de cette mise en conformit, l'entreprise a dcid de crer une vritable fonction Risk Management. La Direction des Risques et de la Solvabilit (DRS) a donc t cre en 2010, puisque la directive demande tout organisme d'assurance de mettre en place une vision exhaustive, transverse et intgre des risques, aussi bien oprationnels qu'assurantiels. C'est pour rpondre cet objectif qu'a t cre cette DRS, initialement constitue du Management des Risques et de l'Actuariat Central. Cette Direction est compose de deux ples : un ple Management des Risques, en charge plus particulirement des risques oprationnels, des Plans de Continuit d'Activit (PCA) et de la cellule de crise du groupe, et un ple Solvabilit, en charge plus particulirement de la gestion de la base Solvabilit 2 , des reportings rglementaires, des calculs de solvabilit, et de l'ORSA. Les principales missions de cette Direction sont les suivantes : -administration et coordination du dispositif de gestion des risques sur un axe quantitatif mais aussi un axe qualitatif au sein du groupe. -consolidation de la gouvernance des risques du groupe. A cet effet, elle doit poursuivre l'identification, la mesure et la matrise des risques majeurs, en coordination avec les diffrents managers, le Contrle Interne et ses outils (cartographie, base incidents...). Afin que l'analyse des risques soit pertinente et anticipatrice, cette Direction s'appuie sur une activit de veille qui permettra de remonter les zones de vulnrabilit juges dangereuses ou inacceptables pour le groupe ; cette veille est interne (analyse des incidents et des manquements aux objectifs) et externe (anticipation des vnements politiques, sociaux, conomiques pouvant avoir des consquences sur l'organisation et l'image du groupe). Mon interlocuteur m'a prcis qu'au sein de son entreprise, l'accent est mis sur les risques informatiques, ce qui est logique puisque pour une activit d'assurance, toutes les donnes sont dmatrialises. Les risques lis aux donnes (ressource principale du mtier de l'assurance), aux applicatifs et aux ressources seront consolids et grs au travers de la cartographie des risques du groupe. -conseil en matire de matrise des risques et de pilotage de la solvabilit auprs de la Direction Gnrale, permettant ainsi de garantir le respect des quilibres financiers du groupe, notamment dans une vision
moyen/long terme. Elle contribue donc dfinir la stratgie de l'entreprise, et veille notamment au bon niveau de solvabilit de l'activit Assurances de Personnes du groupe. -prvention des risques lis aux grandes mutations de l'entreprise : en coordination avec le Dpartement Organisation, il s'agit de formaliser les risques critiques lis aux projets majeurs, aux mutations ou dcisions stratgiques et de les intgrer dans la cartographie des risques du groupe. -gestion des situations de crise : la DRS a pour mission de mettre en place des PCA, et est en charge de la gestion des crises au sein du groupe. A ce titre sont organiss des tests de crise de faon prparer le groupe faire face ces situations extrmes. Enfin, concernant la scurit des biens et des personnes, la DRS ralise chaque anne une analyse du niveau de scurit des btiments du groupe. Ses principaux objectifs sont donc les suivants : -identifier les zones de risques et apporter un conseil en matire de matrise de ces risques, -veiller ce que le systme de gestion, de prvention, de contrle, et de management des risques du groupe soit cohrent et efficient, -offrir une vision de la solvabilit sur un axe rglementaire mais aussi sur un axe de pilotage, -assurer le reporting sur la solvabilit, les risques et actionner des alertes si besoin (reporting interne et rglementaire). En effet, concernant le reporting rglementaire, la DRS est le pilote du processus d'laboration des reportings rglementaires (pilier 3 de la directive). A ce titre, elle administre la base Solvabilit 2 permettant de collecter en amont les informations ncessaires ces reportings, tablit les reportings, et est l'interlocuteur privilgi des autorits de contrle de l'assurance. Au sein de cette entreprise, cette Direction est rattache la Direction Gnrale, qui doit disposer d'une vision complte des risques du groupe et rpondre aux enjeux associs Solvabilit 2. A ce titre, la DRS couvre l'ensemble des activits de ce groupe : retraite, assurance, action sociale, gestion d'actifs, gestion directe ou pour compte de tiers. Le but est de rpondre de manire coordonne aux rglementations qui s'imposent au groupe en matire de matrise des risques, qui sont les recommandations de l'Agirc-Arrco pour les activits de retraite, le rglement gnral de l'AMF, et surtout Solvabilit 2. Cette Direction devra donc surtout prendre en charge la gestion des risques oprationnels (voir lexique), et fournir la Direction Gnrale et au Conseil d'Administration une visibilit suffisante sur des opportunits mais aussi des zones de vulnrabilit. Les enjeux concernant ces risques oprationnels sont notamment : -d'en amliorer l'analyse et la matrise via le processus d'identification, de mesure et de reporting, -de protger le patrimoine, la responsabilit et les personnes au travers du pilotage du portefeuille des contrats d'assurance du groupe, -de coordonner la mise en place et le maintien en condition oprationnelle des PCA du groupe,
-d'tre le garant du bon fonctionnement du dispositif de gestion de crise du groupe. Un second interlocuteur m'a expliqu qu'au sein de son entreprise, un groupe de taille importante, une Direction des Risques a t cre en 2008, comprenant une Direction Chantier Solvabilit 2 (ayant pour rle principal le suivi de la mise en conformit avec la directive), une Direction Conformit, une Direction des Systmes d'Information, une Direction du Contrle Interne, et un service Management des Risques. Toutes ces Directions seront impactes par la directive, et l'on constate que la cration d'un service Risk Management a t conditionne par la mise en conformit avec Solvabilit 2. Un autre Directeur m'a confirm que l'impact principal caus par Solvabilit 2 concerne les changements d'organisation, puisqu'il n'existait pas de Direction des Risques au sein de son entreprise il y a quelques annes. Il a donc fallu la crer puis sensibiliser toute l'entreprise la matrise des risques. Enfin, deux autres Directeurs m'ont indiqu que leurs entreprises, de petits Groupes de Protection Sociale, partent de zro en ce qui concerne le Risk Management, car leurs groupes ne disposent toujours pas, pour le moment, d'une fonction Gestion des Risques. tant donn que Solvabilit 2 impose l'existence d'une telle fonction, ces entreprises vont devoir la crer, en dfinissant tout d'abord en quoi cette fonction va consister, puis en lui dfinissant un primtre, des missions, et en lui assignant des collaborateurs et des comptences. Solvabilit 2 provoque donc un changement considrable pour ces entreprises. On constate donc que l'obligation de disposer d'une fonction Risk Management impacte toutes les entreprises, sans exception, mais que certaines ont t plus promptes que d'autres ragir et rpondre cette exigence. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ce sujet fait mme l'objet d'un projet stratgique identifi comme tel dans la stratgie du groupe ( mettre en place le systme de management des risques et de la qualit du groupe ). Bien sr, les grands groupes, qui disposent de plus de moyens, ont eu (et auront) plus de facilits pour rpondre aux exigences de la directive, d'autant plus que le pilier 2 de Solvabilit 2 provoque des changements plus faibles au sein de ces entreprises puisqu'elles sont dj souvent assez avances dans le domaine de la Gestion des Risques, et disposent des moyens et comptences suffisants pour s'adapter aux changements. En revanche, certaines petites entreprises vont devoir crer et structurer une fonction Risk Management en partant de zro, ce qui aura un cot financier important, mais galement un cot en termes de temps. Il faudra galement assigner des collaborateurs cette fonction, en les recrutant si les comptences ne font pas dj partie de l'entreprise, ce qui aura un cot supplmentaire. Enfin, la cration d'un nouveau service et d'une nouvelle fonction aura un impact fort sur l'organisation toute entire de ces entreprises, des oprationnels (le Risk Management devant souvent travailler avec eux afin d'identifier et d'valuer les risques grer) jusqu'aux dirigeants (les travaux du Risk Management devant tre pris en compte dans la prise de dcision).
3/ Autres exigences rglementaires de Solvabilit 2 par rapport au Risk Management
Au-del de ce changement principal, la directive comprend d'autres exigences : -Tout d'abord, la fonction Risk Management doit disposer d'une stratgie de gestion des risques prcisant notamment les objectifs de la gestion des risques et l'apptit au risque de l'organisation, d'un vritable dispositif de matrise des risques (passant souvent par l'achat d'un logiciel ddi la gestion des risques) ainsi que des cartographies des processus et des risques financiers, stratgiques, juridiques et surtout oprationnels. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, le service Risk Management a formalis une cartographie des risques compose de 2900 risques de niveau micro (risques principalement oprationnels) concernant tous les processus, mais galement une cartographie des risques macro (risques oprationnels, financiers etc.) compose d'une trentaine de risques, associs aux processus impacts par ces risques. Cette cartographie concerne surtout l'activit Assurance de Personnes du groupe, en vue de Solvabilit 2. Les risques dcoulant des dcisions stratgiques et les risques de rputation sont traits part, comme nous le verrons dans le point 4 sur le volet ORSA. De plus, Solvabilit 2 dfinit sept catgories de risques oprationnels : -malveillance intentionnelle (fraude interne), -fraude externe, -ressources humaines et environnement de travail, -clients, produits et pratiques professionnelles, -ralisation des oprations, -systmes d'information et continuit, -prils. Les risques oprationnels sont donc des risques de pertes dues une inadquation ou une dfaillance des procdures, personnels, systmes internes ou des vnements extrieurs. L'entreprise devra valuer l'exigence de fonds propres relative ces risques oprationnels. Pour cela, il faudra tout d'abord recenser ces risques, puis les mesurer (les valuer en termes de frquence et d'impact), en adoptant une approche par les processus (en dcomposant en activits chaque processus de l'entreprise). Ainsi, un chantier concernant l'identification et le traitement des risques oprationnels a t mis en place au sein de l'entreprise de l'un de mes interlocuteurs ; les Directeurs de l'Audit, du Contrle Interne et du Risk Management se runissent une fois par mois pour faire le point sur ce sujet. Cette obligation d'inclure les risques oprationnels dans les exigences de solvabilit avait t critique par certaines entreprises lors de la publication de la directive car il leur apparaissait difficile de modliser ces risques, qui sont considrs comme complexes isoler et quantifier. Cependant, les entreprises d'assurance sont directement exposes ces risques et peuvent donc retirer un avantage de leur pilotage efficace.
Il faut galement prendre en compte les risques de souscription (risques pris par un assureur lors de la distribution de contrats d'assurance auprs de personnes physiques morales), le risque de march ( risque de variation du prix dune grandeur conomique constate sur un march se traduisant par une perte), et le risque de crdit (ou risque de contrepartie, c'est--dire le risque qu'un tiers ne respecte pas ses engagements), d'aprs l'article 101. Ces risques recouvrent globalement les catgories suivantes : -risques techniques, lis la dfinition et la conception des produits dassurance, -risques lis aux quilibres de souscription, relatifs la matrise des risques sur les oprations de souscription dun contrat dassurance ou rassurance, -risques lis au versement des prestations garanties par les contrats, -risques lis au provisionnement (sur primes et sinistres), -risques lis au recours la rassurance : cessions, acceptations ou rtrocessions internes. De plus, le CEIOPS a recommand aux entreprises de mettre en place une chelle de cotation des risques cinq niveaux, en termes de probabilit de survenance (de trs faible probabilit invitable ) et d'impact (de aucune consquence consquences ngatives et impact majeur sur les oprations quotidiennes ), afin de classer ces risques. Une dmarche globale de management des risques comprend en effet les tapes suivantes, traditionnellement : recensement et valuation des risques, recensement et valuation des actions de matrise, priorisation des actions, et dfinition du plan d'action ( voir annexe 9 : les diffrentes tapes d'une approche permettant de matriser les risques de l'organisation). Quant la dmarche de cartographie des risques, elle passe gnralement par les tapes suivantes : dcomposition de chaque processus en activits, recensement des risques de chaque activit et des contrles associs, valuation des risques (valuation du risque brut, puis valuation des contrles, et valuation du risque rsiduel, c'est--dire le niveau de risque aprs prise en compte de l'efficacit des dispositifs de contrle mis en place). Le Risk Management devra galement se positionner par rapport un niveau dacceptation du risque fix par la gouvernance. -Cette fonction devra donc identifier et mesurer les risques, puis les grer, c'est--dire les prendre en compte dans la stratgie de l'entreprise. Bien sr, les entreprises d'assurance n'ont pas attendu Solvabilit 2 pour accorder une attention particulire la notion de risque, puisque l'assurance s'est construite autour du transfert et de la gestion des risques : l'assur transfre ses risques un assureur qui y fera face moyennant le paiement dune prime. Cest pour cela que les autorits de contrle des assurances sont trs attentives la solvabilit des compagnies dassurance : en effet,
lassureur ayant encaiss les primes de ses assurs doit pouvoir faire face aux engagements quil a pris envers eux. Pour cela, il devra constituer une provision technique correspondant ses engagements ainsi que des fonds propres. Le mtier des assureurs est donc bien de prendre en charge les risques, de les quantifier et de les tarifer au mieux. Ainsi, le ratio S/P (sinistres sur primes) est considr avec beaucoup d'attention par les socits d'assurance : ce ratio reprsente le rsultat technique, qui compare les encaissements (le P reprsente les encaissements de chiffre d'affaires) et la charge globale des prestations verses aux clients (le S ). Si ce ratio est infrieur 1, cela signifie donc que l'activit est bien gre. En moyenne, dans le secteur de l'assurance, ce ratio est d'environ 0,85. Solvabilit 2 ne prsente donc pas un aspect rvolutionnaire au niveau du Risk Management puisque cette directive vise surtout renforcer la gestion des risques. Par exemple, concernant l'acceptation des risques, la position du groupe devra tre la suivante afin de respecter Solvabilit 2 : l'entreprise doit faire le choix d'accepter des risques si et seulement si elle a les moyens en termes de fonds propres pour les couvrir. Solvabilit 2, et plus particulirement son pilier 1, va donc se traduire par des exigences plus leves en termes de fonds propres. Ainsi, le Directeur d'un Groupe de Protection Sociale que j'ai rencontr m'a indiqu que son entreprise dispose aujourd'hui d'une marge de solvabilit gale 8 (c'est--dire que le groupe dispose d'un capital 8 fois suprieur l'exigence en capital demande par Solvabilit 1), alors que Solvabilit 1 exige que cette marge de solvabilit soit simplement suprieure 2. En effet, la marge de solvabilit est calcule en divisant les fonds propres par l'exigence de marge de solvabilit. La plupart des assureurs disposent cependant d'une marge de solvabilit environ gale 4 en moyenne aujourd'hui. Cette entreprise qui dispose d'une marge gale 8 est donc dans une situation trs apprciable puisque largement au-dessus des exigences minimales. Or, avec les exigences revues la hausse de Solvabilit 2, ce chiffre passera 3,15 : cela signifie que l'entreprise couvre le capital cible (le SCR) environ 3 fois. Cela reste trs confortable et signifie que ce groupe dispose de fonds propres levs, car pour la majorit des entreprises, ce chiffre se situera plutt entre 1 et 2. En effet, un Groupe de Protection Sociale peut se permettre de disposer de fonds propres levs ; cependant, les socits d'assurance cherchent plutt rapprocher ce chiffre de 1 car plus le montant de leurs fonds propres est lev, plus elles doivent en distribuer leurs actionnaires. En effet, ceux-ci sont rmunrs partir des fonds propres : une augmentation de ces derniers est donc contraignante puisqu'elle entrane une augmentation de la rmunration des actionnaires. En revanche, les Groupes de Protection Sociale n'ont pas d'actionnaires, et peuvent donc se permettre d'avoir des fonds propres levs. D'autant qu'une marge de solvabilit leve constitue une scurit, et renvoie une image positive du groupe puisque c'est un gage de bonne sant financire de l'entreprise. Pour respecter Solvabilit 2, il faudra, pour chaque dmarche stratgique, identifier et surtout tenir compte des risques. Par exemple, une entreprise qui souhaite dvelopper des partenariats avec des petites mutuelles devra
prendre en compte les risques que cela comporte et donc avoir les moyens en termes de fonds propres pour les couvrir afin de respecter les exigences de Solvabilit 2. C'est en cela que le pilier 2 et ses dispositions concernant le Risk Management viennent soutenir les entreprises dans leur dmarche visant rpondre aux exigences quantitatives leves du pilier 1. -Pour prparer ces changements, les entreprises ont donc mis en place des plans d'actions, visant : -Dfinir et formaliser une politique de gestion des risques (dfinition du profil de risque du groupe et de chacune des entits, des indicateurs de risques, description des mesures prises en matire de matrise des risques et d'valuation de leur efficacit), -Dcliner la politique de gestion des risques par familles de risques (assurantiels, financiers et actif/ passif, contrepartie, oprationnels), -Mettre en cohrence les diffrentes stratgies et politiques (politique financire, assurantielle, rassurance, dveloppement, etc.) avec la politique de gestion des risques, -Dfinir une limite globale de solvabilit au regard des exigences de marge et des lments de capital entrant en couverture de ces exigences, des profils de risques, et des objectifs de dveloppement et du besoin de capital associ. -Pour cela, la directive encourage les entreprises adopter la dmarche Enterprise Risk Management (dtaille dans le rfrentiel COSO 2), afin qu'elles soient en mesure par elles-mmes d'apprcier et de mesurer leurs risques. D'aprs le COSO 2, la gestion des risques ou Enterprise Risk Management est un processus impliquant le Conseil d'Administration, le management et tout le personnel, par lequel l'entreprise identifie, value et rpond tous les risques susceptibles d'impacter les objectifs stratgiques et financiers de l'organisation. Ce processus permet de matriser les risques afin quils soient dans les limites de l'apptence au risque de lorganisation, et permet de fournir une assurance raisonnable quant la ralisation des objectifs de lorganisation (qui peuvent tre stratgiques, oprationnels, relatifs au reporting ou la conformit). La gestion des risques est dcompose en cinq lments : dfinition des objectifs, identification des vnements, valuation des risques, traitement des risques, et activits de contrle. Cette dmarche ERM ncessite donc d'identifier tous les risques importants auxquels est expose l'entreprise, tous niveaux, ce qui implique la construction d'une cartographie des risques (en utilisant les approches classiques bottom-up ou top-down), puis d'en extraire les principaux risques susceptibles d'avoir un impact rel sur l'activit. Le but est de concentrer les efforts sur les risques les plus adverses en termes de frquence et/ou d'intensit, afin de dterminer la rponse la plus adapte (acceptation, transfert, rduction ou vitement du risque). Cette dmarche est constitue des tapes suivantes : 1/ Identifier les risques, 2/ Mesurer ces risques,
3/ Essayer de les rduire, 4/ Il reste grer les risques rsiduels restants, 5/ Mettre des fonds propres en face de ces risques afin de les matriser au mieux. L'entreprise doit donc commencer par : -Formaliser une politique de gestion des risques (voir annexe 10 : les missions de la fonction Risk Management), -Dterminer son profil de risque (niveau dexposition au risque) et son apptence aux risques, -Dfinir des limites de risques permettant de grer lactivit en cohrence avec lapptence aux risques dfinie, -Mettre en place un processus visant orienter le processus budgtaire en fonction de lapptence aux risques (seuils fixs par risques), -Analyser la capacit poursuivre le dveloppement de lactivit moyen/long terme en mesurant les exigences en matire de gestion des risques et de ressources financires associes. Le pilotage de l'ERM doit tre confi une cellule indpendante des directions oprationnelles disposant d'un rapport direct avec le Conseil d'Administration : c'est donc logiquement au service Risk Management de le prendre en charge. L'implication du Conseil d'Administration est essentielle pour construire la stratgie de l'entreprise par rapport la gouvernance des risques notamment. A noter, l'Audit Interne a entres autres pour mission de fournir une assurance raisonnable quant l'efficacit et au bon fonctionnement du processus de Risk Management, et de contribuer l'amliorer, mais il peut aussi tre amen, ventuellement, avoir un rle de consultant dans la dmarche ERM. Le but est que les entreprises soient en mesure par elles-mmes d'apprcier et de mesurer leurs risques. Audel de la simple validation d'une check-list , l'autorit de contrle aura les pouvoirs de contrler la qualit des donnes, les procdures d'estimation et les systmes mis en place pour mesurer et matriser les risques au cas o ils se matrialiseraient. L'autorit de contrle aura mme le pouvoir d'imposer une marge de solvabilit complmentaire (capital add-on), sous certaines conditions, dans le cas o il aura t jug que les risques sont mal apprcis par l'entreprise. Cependant, il faut prciser que Solvabilit 2 demande avant tout d'identifier puis de manager les risques de faon rigoureuse : peu importe la dmarche, les entreprises devront le faire. Elles ne sont donc pas dans l'obligation d'utiliser une base de donnes ERM, et sont libres d'utiliser les outils souhaits. La directive demande simplement aux entreprises de connatre les risques qu'elles ont grer, de les hirarchiser et de les quantifier en fonction de leur impact et de leur probabilit, et de les grer au mieux. Les entreprises doivent donc mettre en place des mthodes pour recenser, analyser et grer les risques d'origine interne et externe auxquels elles peuvent tre confrontes, mais sont donc libres d'utiliser le rfrentiel de management des risques de leur choix. Celui-ci peut tre COSO 2 (et son cadre de rfrence de la gestion des risques appel
Enterprise Risk Management Framework ), mais galement le rfrentiel de l'AMF, la norme ISO 31000, ou encore le rfrentiel FERMA, qui classe les risques en quatre grandes catgories (financiers, oprationnels, stratgiques et risques de pril), etc. Par la suite, les techniques utilises pour rduire les risques peuvent tre : -la rassurance : par exemple, tous les Groupes de Protection Sociale sont rassurs, et un Directeur rencontr a rsum la situation en m'indiquant que l'Institution de Prvoyance est simplement prsente au client, mais qu'une grande partie du risque est en fait pris en charge par un rassureur comme AXA. -la scurit informatique. -le Contrle Interne. Le but est d'arriver un niveau de risque supportable par rapport aux fonds propres dont dispose l'entreprise. -Ainsi, Solvabilit 2 demande aux entreprises de mettre en place une vritable gestion des risques. Cela se traduit par un renforcement des fonctions Risk Management et Contrle Interne (principalement), mais aussi par un renforcement de la formalisation de la piste daudit . En effet, pour respecter les exigences du pilier 3, les entreprises devront effectuer beaucoup plus de reporting et expliquer leurs chiffres plus prcisment. Cette dmarche est plus ou moins complexe mettre en uvre selon les acteurs : -les grandes socits dassurance ont pour la plupart un service dAudit Interne indpendant, un service Contrle Interne et un service Risk Management qui appliquent des mthodologies rigoureuses, formalisent leurs travaux et travaillent en suivant un cadre prcis. L'application de cette dmarche nest donc pas une grande preuve pour elles, d'autant plus qu'elles disposent des moyens, effectifs et comptences suffisants pour la mettre en uvre. Il faudra simplement renforcer ce qui existe dj. -les Groupes de Protection Sociale disposent souvent d'un seul service, qui soccupe de lAudit Interne, du Contrle Interne et de la Qualit, voire de lAudit Interne et du Risk Management. Or Solvabilit 2 exige implicitement quune scission de ces activits soit faite, puisquelle exige que ces fonctions (notamment l'Audit Interne) soient indpendantes et qu'une fonction Risk Management existe. Ainsi, Solvabilit 2 va avoir un fort impact sur les Groupes de Protection Sociale puisqu'il faut commencer par sparer ces fonctions avant de s'intresser leurs nouvelles missions entranes par la mise en conformit avec Solvabilit 2. Si une fonction Risk Management n'existe pas, il faudra la crer, puis dfinir son primtre d'activit, ses objectifs, mthodes de travail et missions, et lui assigner des collaborateurs. Solvabilit 2 entrane donc un changement important pour ces entreprises, qui s'accompagne d'une rorganisation. -enfin, les petites mutuelles, pour la plupart, nont pas de relles fonctions Audit Interne, Contrle Interne et Risk Management. La mise en conformit avec le pilier 2 de Solvabilit 2 va donc tre trs contraignante pour elles, mme si les exigences de l'autorit de contrle seront videmment revues la baisse et moins leves
que pour les grands groupes. Le manque d'effectifs et le budget limit de ces entreprises sont les principaux obstacles leur mise en conformit avec ce pilier 2. Cependant, leur principal problme reste le pilier 1 et ses exigences en termes de fonds propres : ainsi, l'volution du monde de lassurance aprs Solvabilit 2 pourrait tre marque par le fait que de nombreuses petites mutuelles ne passeront pas le cap de Solvabilit 2 en raison d'une marge de solvabilit trop faible (nous voquerons ce sujet dans la cinquime partie de ce mmoire). 4/ Le volet ORSA (valuation interne des risques et de la solvabilit)
-L'article consacr l'ORSA est l'article 45 de la directive :

1. Dans le cadre de son systme de gestion des risques, chaque entreprise d'assurance ou de rassurance procde une valuation interne des risques et de la solvabilit. Cette valuation porte au moins sur les lments suivants: a) b) c) le besoin global de solvabilit, compte tenu du profil de risque spcifique, des limites approuves de tolrance au risque le respect permanent des exigences de fonds propres prvues au chapitre VI, sections 4 et 5, et des exigences la mesure dans laquelle le profil de risque de l'entreprise s'carte des hypothses qui sous-tendent le Capital de
et de la stratgie commerciale de l'entreprise; concernant les provisions techniques prvues au chapitre VI, section 2; Solvabilit Requis prvu l'article 101, paragraphe 3, calcul l'aide de la formule standard conformment au chapitre VI, section 4, sous-section 2, ou avec un modle interne partiel ou intgral conformment au chapitre VI, section 4, sous-section 3. 2. Aux fins du paragraphe 1, point a), l'entreprise concerne met en place des procdures qui sont proportionnes la nature, l'ampleur et la complexit des risques inhrents son activit et qui lui permettent d'identifier et d'valuer adquatement les risques auxquels elle est expose court et long terme, ainsi que ceux auxquels elle est expose, ou pourrait tre expose. L'entreprise dmontre la pertinence des mthodes qu'elle a utilises pour cette valuation. 3. Dans le cas vis au paragraphe 1, point c), lorsqu'un modle interne est utilis, l'valuation est effectue paralllement au recalibrage qui aligne les rsultats du modle interne sur la mesure de risque et le calibrage qui sous-tendent le Capital de Solvabilit Requis. 4. L'valuation interne du risque et de la solvabilit fait partie intgrante de la stratgie commerciale, et il en est tenu systmatiquement compte dans les dcisions stratgiques de l'entreprise. 5. Les entreprises d'assurance et de rassurance procdent l'valuation prvue au paragraphe 1 sur une base rgulire et immdiatement la suite de toute volution notable de leur profil de risque. 6. Les entreprises d'assurance et de rassurance informent les autorits de contrle des conclusions de chaque valuation interne du risque et de la solvabilit, dans le cadre des informations fournir en vertu de l'article 35. 6 bis. L'valuation interne des risques et de la solvabilit ne sert pas calculer un montant de capital requis. Le Capital de Solvabilit Requis ne peut varier que conformment aux articles 37, 229, 230, 231 et 236. f
Ce volet ORSA ( Own Risk and Solvency Assessment ) fait l'objet d'un article qui lui est propre au sein de la directive, ce qui montre son importance. D'autant plus qu'un Issue Paper du CEIOPS vient le complter ( voir annexe 7), ainsi qu'un Feedback Statement visant rpondre aux principales interrogations des entreprises, et un projet de texte de niveau 3 publi en dcembre 2010. C'est au service Risk Management de prendre en charge ce travail (mme si le Contrle et l'Audit Internes pourront tre amens participer galement), ce qui explique qu'il soit voqu ici : -L'ORSA (voir annexe 11 : organisation gnrale de l'ORSA ) doit contenir l'valuation d'un besoin global de solvabilit, la couverture permanente des exigences de fonds propres (les fonds propres doivent tre en permanence suffisants pour couvrir les SCR et MCR), l'adquation ou non des hypothses de la formule standard (ou du modle interne, voir lexique) au profil des risques de l'entreprise, et l'identification des principaux risques auxquels est expose l'entreprise. L'ORSA doit faire partie intgrante du systme de Risk Management, et doit tre adapt la nature, la complexit et l'ampleur des risques pris. Chaque entreprise devra donc analyser ses risques et valuer ses besoins de fonds propres en tenant compte de son profil de risque spcifique, de ses limites approuves de tolrance au risque et de sa stratgie commerciale. Le but est d'aller au-del du calcul rglementaire impos par le pilier 1 tout en le compltant, et de traduire lanalyse des risques en termes de besoin en capital. -L'ORSA est donc un outil de gestion des risques spcifique Solvabilit 2, dfini par le CEIOPS comme un processus interne faisant partie des dcisions stratgiques de l'entreprise . Il doit permettre de dmontrer que les risques de l'entreprise sont identifis et quantifis de faon adquate. L'valuation interne du risque doit aussi permettre d'ajuster l'adquation entre les fonds propres et les exigences de capital calcules dans le cadre du pilier 1, et d'identifier les mesures de risques dans le modle interne ou dans la formule standard qui s'cartent trop de la ralit. Le but principal est donc d'aider lentreprise dterminer la valeur relle des fonds propres ncessaires pour rpondre ses engagements. La directive dcrit lORSA comme un outil du systme de management des risques qui demande aux entreprises dvaluer leurs risques court et long terme ainsi que la quantit de fonds propres ncessaires pour les couvrir. LORSA reprsente galement une importante source dinformation pour les autorits de supervision. Dun point de vue rglementaire, lORSA sera donc un exercice travers lequel les entreprises devront fournir la preuve au superviseur quelles apprhendent leurs risques de faon cohrente et formalise. Il ne sera pas ncessaire davoir recours une modlisation complexe, mais lapproche retenue devra tre convaincante . On retrouve l laspect qualitatif du pilier 2, qui le diffrencie du pilier 1 et le rend plus flou et plus difficile apprhender, mais aussi juger.
D'aprs l'un de mes interlocuteurs, au sein de son entreprise, la Direction des Risques est responsable de l'ORSA, conformment ce quindique la directive. Ralis en coordination avec l'ensemble des services contributeurs (technique, financier, commercial, contrle de gestion...), ce document permet de : -dterminer le niveau de fonds propres conomiques disponibles (montant de fonds propres ncessaire pour faire face des pertes inattendues), en intgrant l'ensemble des risques, un horizon de temps en phase avec les engagements, les stratgies de dveloppement et les limites de tolrance aux risques approuves par le Conseil d'Administration. -dterminer le niveau de fonds propres rglementaires disponibles (qui se caractrisent par une mesure individualise du risque, et notamment par une segmentation entre classes de risque). En rsum, d'aprs un Directeur rencontr, l'ORSA consiste mettre en place un processus visant identifier les risques, les valuer et mettre en place un dispositif de gestion des risques adapt. Il est en train d'tre tudi par les entreprises en ce moment-mme. C'est donc l'ensemble des processus, procdures et cartographies permettant didentifier, mesurer, grer les risques, de raliser un reporting sur ceux-ci et de dterminer les fonds propres ncessaires pour couvrir ces risques. Il s'agit pour l'entreprise de dmontrer sa capacit matriser ses risques. -De plus, lautre utilit du volet ORSA vient du fait que le pilier 1 de Solvabilit 2 permet de calculer le montant de capital requis : les paramtres pris en compte dans ce calcul sont destins couvrir les risques techniques, financiers et oprationnels par le biais dun calcul forfaitaire. Le dfaut de ce systme est donc qu'il ne couvre pas la totalit des risques que peuvent rencontrer les entreprises dassurance, notamment les risques stratgiques et les risques de rputation. En effet, les risques oprationnels comprennent les risques juridiques mais pas les risques dcoulant des dcisions stratgiques et les risques de rputation. Ces risques doivent donc tre grs part, afin de calculer leur impact sur la marge de solvabilit du groupe. En effet, les risques oprationnels peuvent tre quantifis (on dtermine qu'ils sont gaux un certain pourcentage des cotisations encaisses), la diffrence du risque stratgique et du risque de rputation. Or ces risques peuvent avoir un impact norme sur la solvabilit du groupe. Le problme est quils sont difficilement quantifiables, ce qui explique qu'on les analyse part, afin de tout de mme essayer de calculer limpact quils pourraient avoir sur la solvabilit du groupe. L'ORSA est donc un outil permettant de dpasser la vision rglementaire de la solvabilit et de traduire l'opinion de l'entreprise sur l'exposition aux risques et le niveau de capital requis pour les couvrir, et de prendre en compte les risques ignors dans l'valuation rglementaire de la solvabilit. -De plus, certaines entreprises, les Institutions de Prvoyance notamment, retiennent la formule standard pour le calcul du montant des fonds propres (pilier 1), qui consiste appliquer des barmes standard de dtermination des fonds propres, contrairement l'approche interne qui consiste dfinir une mthode personnalise de calcul des MCR et SCR. Cette formule standard est construite sur la base de modules correspondant aux diffrents risques identifis : risques de march, de souscription, de contrepartie et risque oprationnel. L'objectif
de cette formule standard est de donner un rsultat de capital rglementaire correct pour un maximum d'entreprises. D'aprs lun de mes interlocuteurs, l'autre aspect de lORSA consiste ainsi rpondre la question suivante : est-ce que les modles mis en uvre pour calculer les provisions sont assez pertinents ? En effet, le pilier 1 de la directive exige de calculer la solvabilit instantane ou un an : le SCR est lquivalent de la solvabilit instantane, qui permet donc de rpondre la question l'entreprise va-t-elle pouvoir rsister aux chocs de l'anne ? , ce qui est diffrent de la solvabilit long terme, qui va dpendre de la stratgie commerciale, de la stratgie de dveloppement, de la gestion des risques etc. Ainsi, d'aprs lun de mes interlocuteurs, le business plan moyen terme et long terme de son entreprise a t modifi afin de prendre en compte les risques dans la stratgie de l'entreprise. Ce processus ORSA consiste donc prendre du recul sur la partie purement calcul du pilier 1 et donner un avis, propre chaque groupe, sur le montant des capitaux propres, en valuant les consquences des dcisions stratgiques que le groupe envisage de prendre sur la solvabilit moyen terme. -Le volet ORSA est donc un processus individualis pour chaque groupe. La majorit des entreprises est en train en ce moment de le dcouvrir et de le mettre en uvre. Cela consiste pour le moment en un processus dautovaluation par le biais de questionnements. Puis la fonction actuarielle devra donner son avis sur les modles mis en place par la Technique, de faon indpendante . Lorsqu'il sera finalis, l'ORSA devrait en thorie devenir un outil de gestion donnant une vision d'ensemble (au moins annuelle) sur l'ensemble des risques pesant sur la ralisation de la stratgie au regard des besoins en fonds propres futurs. A terme, lORSA offrira lopportunit de mettre en place des tableaux de bord permettant le suivi de lactivit, des risques et des besoins en fonds propres, de dfinir des procdures et des outils dallocation du capital, et de fixer des limites de risque en fonction dune apptence au risque formalise. Globalement, l'ORSA devra comprendre une cartographie exhaustive des risques, bien sr, mais galement une stratgie de gestion des risques (prcisant notamment le niveau d'apptence au risque choisi), et un suivi permanent de l'activit (mise jour de l'ORSA etc.). Il conduit donc un renforcement de la gestion des risques de l'entreprise, et sera logiquement plus facile mettre en uvre pour les entreprises qui disposent dj d'une fonction Risk Management en charge de cartographier les risques. En effet, ces entreprises n'auront qu' renforcer et amliorer leurs mthodes, et pourront se baser sur leurs travaux prcdents. Le service Risk Management sera donc responsable de l'valuation interne des risques et de la solvabilit du groupe dans une vision moyen/long terme au travers de l'ORSA, mais ce travail sera ralis en coordination avec l'ensemble des services contributeurs (technique, financier, commercial, contrle de gestion...). En revanche, pour les entreprises qui ne disposent pas d'un service Risk Management et qui sont peu familires avec les mthodes et outils servant grer les risques, l'ORSA reprsente un changement majeur (peut-tre lun des plus importants du pilier 2), et sera sans doute trs compliqu et long mettre en uvre.
-Enfin, le Conseil d'Administration doit valider un rapport sur ce sujet, qui lui sera soumis une fois par an pour approbation. Ce rapport prsentera notamment les risques identifis (sous formes de cartographies des risques), l'apptit pour le risque, l'adquation des ressources en capital au plan stratgique x annes, les dcisions prises pour rduire les risques ou augmenter le capital disponible, la description de la politique et du processus ORSA (mise en vidence des liens entre le profil de risque, la tolrance aux risques et les exigences de solvabilit et frquence de l'ORSA notamment), les diffrents process qui contribuent l'ORSA, ainsi que les rsultats de l'ORSA (mthodologie, conclusions). Cela est donc utile pour le Conseil d'Administration, puisque ce document lui permettra de juger la pertinence de la stratgie adopte et d'en mesurer les consquences terme (volutions significatives des gammes de produits/services, volutions organisationnelles majeures, choix de partenariats, projets de rapprochements stratgiques...). Le Conseil d'Administration devra valider ce rapport puis l'envoyer l'ACP : en effet, les autorits de tutelle doivent tre informes du rsultat des valuations internes des risques et de la solvabilit menes par les entreprises. Ce rapport pourra par exemple tre utile l'ACP afin d'anticiper les situations problmatiques. Par exemple, si l'ACP constate qu'une entreprise a une mauvaise solvabilit court terme mais une solvabilit trs ambitieuse long terme, elle pourra alors analyser la situation et dterminer si elle est dangereuse, ou bien si l'entreprise a vraiment les moyens de ses ambitions. En effet, l ORSA doit intgrer une dimension prospective sur les vnements susceptibles dimpacter la solvabilit future de lassureur afin de conduire une prise de recul par rapport aux risques. Le but d'ORSA n'est pas d'empcher l'entreprise de suivre des stratgies risques, mais de l'obliger prvoir les fonds propres ncessaires afin de matriser au mieux les risques qu'elle prend. -Pour finir, l'un de mes interlocuteurs m'a indiqu que tous les groupes sont en train en ce moment de dcouvrir cette nouveaut. J'ai en effet constat que le discours des Directeurs que j'ai rencontrs n'tait pas toujours trs clair sur ce sujet, et qu'ils ne semblaient pas toujours connatre les dtails de ce volet. Cela s'explique sans doute par l'originalit de cette nouveaut, d'autant que l'ORSA a fait l'objet de dveloppements relativement limits pour l'instant. 5/ Exigences lies la gouvernance
-L'article consacr aux exigences gnrales en matire de gouvernance est l'article 41 :

1. Les tats membres exigent des entreprises d'assurance et de rassurance qu'elles mettent en place un systme de gouvernance efficace, qui garantisse une gestion saine et prudente de l'activit. Ce systme comprend au moins une structure organisationnelle transparente adquate, avec une rpartition claire et une sparation approprie des responsabilits, ainsi qu'un dispositif efficace de transmission des informations. Il satisfait aux exigences nonces aux articles 42 48. Il fait l'objet d'un rexamen interne rgulier.
Limpact du pilier 2 de Solvabilit 2 ( Gouvernance des risques ) sur les fonctions Audit Interne, Contrle Interne et Risk Management 2. Le systme de gouvernance est proportionn la nature, la taille et la complexit des oprations de l'entreprise d'assurance ou de rassurance. 3. Les entreprises d'assurance et de rassurance disposent de politiques crites concernant au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas chant, la sous-traitance. Elles veillent ce que ces politiques soient mises en uvre. Ces politiques crites sont rexamines au mois une fois par an. Elles sont soumises l'approbation pralable de l'organe d'administration ou de gestion et elles sont adaptes compte tenu de tout changement important affectant le systme ou le domaine concern. 4. Les autorits de contrle disposent des moyens, mthodes et pouvoirs ncessaires pour contrler le systme de gouvernance des entreprises d'assurance et de rassurance et pour valuer les risques mergents dtects par ces entreprises et susceptibles d'affecter leur solidit financire. Les tats membres veillent ce que les autorits de contrle disposent du pouvoir d'exiger que le systme de gouvernance soit amlior et renforc de faon satisfaire aux exigences nonces aux articles 42 48.
-De plus, l'article 44, consacr la gestion des risques, indique que le systme de gestion des risques doit tre efficace, parfaitement intgr la structure organisationnelle et aux procdures de prise de dcision de l'entreprise d'assurance ou de rassurance et dment pris en compte par les personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls . -Afin de respecter cet article et les Issue Papers relatifs la gouvernance (voir annexe 7), l'entreprise doit disposer d'un systme de gouvernance adapt la nature et la taille de l'activit, disposer de procdures dtailles couvrant l'ensemble des activits, et laborer des politiques sur la gestion des risques, le Contrle Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer d'un s ystme de gouvernance efficace, d'une rpartition claire des rles et responsabilits dans la politique de gestion des risques, d'une structure organisationnelle adquate, ainsi que dun dispositif efficace de transmission des informations. En particulier, les entreprises vont tout d'abord devoir sassurer que les rles et responsabilits de chacun des acteurs partie prenante dans la gouvernance des risques (voir lexique) sont documents et appropris et que les fonctions-cls comme celles de lActuariat, du Risk M anagement, de la Conformit et de lAudit Interne existent et sont bien prises en compte dans la stratgie, les procdures et la documentation ncessaire pour identifier, faire le suivi, grer, contrler et informer en continu sur lexposition aux risques. Pour cela, il faudra tudier le primtre de responsabilits et le champ d'actions de ces fonctions, puis les positionner au regard des fonctions existantes et du primtre d'activit couvrir. L'article englobe donc les principaux lments constitutifs d'un systme de gouvernance, qui sont les structures, les procdures et les comportements.
En effet, Solvabilit 2 place la matrise des risques au cur de lactivit dune entreprise. La vision des risques doit tre prise en compte dans lactivit, et la matrise des risques devient centrale dans la gouvernance. Ainsi, l'un de mes interlocuteurs m'a indiqu que le service Risk Management de son entreprise est en train de rcrire la politique de gestion des risques, ce qui a un impact sur les politiques existantes de Contrle Interne. -Solvabilit 2 entrane d'autres changements en matire de gouvernances des risques, changements qui concernent surtout le Conseil d'Administration et ses manations : Il faudra crer des Comits des Risques, comprenant des membres de l'entreprise et de la Direction
Gnrale : ces Comits seront chargs dclairer les dcisions stratgiques du Conseil d'Administration en matire de risques assurantiels (rgles de souscription, rgles de provisionnement technique, dfinition des cessions en rassurance), risques financiers (politique de placements, gestion actif/passif) et risques oprationnels. Ils prsenteront donc leurs rsultats aux administrateurs. Les Comits des Risques (dont l'organisation, l'animation et le secrtariat seront assurs par le Risk Management), rattachs la Direction Gnrale, seront globalement chargs de : -fournir la Direction Gnrale lassurance que les risques sont identifis, mesurs et ramens un niveau accept. Ils prsentent priodiquement les principales expositions aux risques actuels ou potentiels, et proposent la Direction Gnrale des politiques et actions de matrise des risques. -fournir la Direction Gnrale lassurance que les actions de matrise des risques sont mises en uvre de manire adquate, et proposer des axes damlioration. Les entreprises devront galement disposer d'un Comit d'Audit (voir partie 4). En relais du Conseil -assure le suivi du processus dlaboration de linformation comptable et financire, -sassure de lefficacit des systmes de gestion des risques et de Contrle Interne, -sassure de lindpendance des CAC, -examine le plan daudit et sassure de la couverture des risques encourus par lentreprise. Le Conseil d'Administration, lui, doit tre charg des fonctions suivantes : -dfinir le niveau maximal de risque accept (marge de solvabilit cible), -tablir des objectifs stratgiques conformes au niveau de risque maximal : les diffrentes stratgies en termes de dveloppement, de partage de risques (dont rassurance) et de prise de risques dans la politique de placements devront tre revues en fonction des niveaux de risque accepts par la gouvernance et du niveau de capital associ aux risques pris, -valider des limites de risques, ces limites devant permettre de sassurer que les oprations sont ralises conformment au niveau de risque accept,
d'Administration, le Comit dAudit :
-approuver et examiner priodiquement les dispositifs de gestion des risques. A ce titre, il validera de faon formelle la politique gnrale de management des risques du groupe (risques financiers, oprationnels ou d'assurance), et les dispositifs de Contrle Interne (Contrle permanent/Contrle de Conformit) : en effet, le Risk Management devra formaliser puis prsenter au Conseil d'Administration la politique de management des risques (apptit au risque, identification, mesure et gestion des risques...), puis un vote est cens reprsenter la position du Conseil d'Administration vis--vis de la politique de gestion des risques de l'entreprise (approbation ou non). Le rapport que l'on prsente au Conseil d'Administration doit dfinir toute la gestion des risques, le pilotage etc. Il faudra galement prsenter une cartographie des risques tous les trimestres aux administrateurs ( chaque Conseil d'Administration). Le Conseil d'Administration validera ainsi le pilotage des risques du groupe au travers des commissions spcialises ou de ses dlibrations (validation des rapports de solvabilit, des revalorisations annuelles des tarifs, des nouveaux produits, des plans de cession). Concernant la Direction Gnrale, elle est en charge de dcliner et de mettre en uvre la stratgie et
les objectifs fixs. Elle dcline aussi les limites globales de risques en limites oprationnelles et sassure du respect des limites fixes, et doit proposer au Conseil d'Administration le cadre de fonctionnement de la gestion des risques et du Contrle Interne, tout en gardant la responsabilit oprationnelle de la mise en uvre de ce cadre et des stratgies. Enfin, elle doit faire des propositions au Conseil d'Administration sur le niveau de risque maximal accept (apptence aux risques). Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ont dj t mises en place ces dernires annes des Comits des risques par mtier ainsi quun Comit des risques assurantiels Groupe, chargs damliorer la culture du risque tous les niveaux. On constate donc que certaines entreprises ont fait le choix de mettre en uvre ces changements de manire anticipe. De plus, les grands groupes disposent pour la plupart dores-etdj dun Comit dAudit et dun Comit des Risques ; la directive nentrane donc pas de grands changements pour eux, insistant surtout sur la prsence de ces Comits et la formalisation de leurs travaux. En revanche, les petits groupes sont face un chantier important pour rpondre ces exigences. -Pour prparer ces changements, les entreprises que j'ai rencontres ont commenc par mettre en place des plans d'actions, visant : -dfinir la gouvernance des risques au niveau du groupe (fixation du niveau dintgration souhait au niveau du groupe, dfinir les rles et responsabilits du groupe par rapport au Conseil d'Administration en matire de gestion des risques), -mettre en place des Comits dAudit, -mettre en place des Comits des Risques (avec dfinition des rgles d'organisation et de fonctionnement).
-A noter : on retrouve dans cet article des rfrences d'autres exigences de la directive : la sparation approprie des responsabilits voque la sparation des fonctions Audit Interne, Contrle Interne et Risk Management ; le principe de proportionnalit est voqu avec la phrase le systme de gouvernance est proportionn la nature, la taille et la complexit des oprations de l'entreprise d'assurance ; la formalisation des procdures est galement voque ( les entreprises d'assurance disposent de politiques crites concernant au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas chant, la sous-traitance ). -De mme, le CEIOPS a mis des recommandations venant complter cet article, qui rappellent les principes suivants : -l'importance du reporting et de la communication tous niveaux de l'organisation, -les membres du Conseil d'Administration, et les membres de l'entreprise de manire gnrale, doivent possder les comptences ncessaires pour pouvoir effectuer leurs missions, -le personnel doit utiliser et appliquer les procdures, qui doivent tre mises jour rgulirement, -la confidentialit des informations doit tre assure, -les Systmes dInformation utiliss doivent tre fiables. Cependant, la consquence principale entrane par la directive en ce qui concerne la gouvernance reste la nette augmentation des pouvoirs confis aux organes de gouvernance que sont le Conseil d'Administration et les Comits manations du Conseil d'Administration. L'article 40 de la directive confirme cet lment, en prcisant que les tats membres veillent ce que l'organe d'administration ou de gestion de l'entreprise assume la responsabilit ultime du respect, par l'entreprise concerne, des dispositions lgislatives, rglementaires et administratives adoptes en vertu de la prsente directive . Pour quil puisse tre men bien, ce chantier gouvernance requiert donc la sensibilisation et la mobilisation des membres du Conseil dAdministration, de ses manations et des dirigeants, puisqu'il concerne en priorit les Comits d'Audit et des Risques, la formation/sensibilisation des administrateurs, et la dfinition des politiques (Risk Management, Contrle interne...). Pour les moyennes et grandes structures, Solvabilit 2 ne va demander quune phase dadaptation, mais pour les petites structures, Solvabilit 2 est quasiment une rvolution en raison de la cration de ces Comits spcialiss (Comits d'Audit, Comits des Risques). -Sans compter que la mise en conformit avec Solvabilit 2 entrane d'ores-et-dj la cration de Comits de Pilotage du projet Solvabilit 2, runissant les principaux dirigeants de l'entreprise (Directeurs du Contrle Interne, de l'Audit Interne, de la Comptabilit etc.), comme j'ai pu le constater au cours de mes entretiens. L'un de mes interlocuteurs m'a indiqu que ces Comits permettent de faire le point sur l'tat d'avancement du projet Solvabilit 2 au sein de l'entreprise, sur l'actualit rglementaire, le planning, le suivi des actions et des prochaines tapes, le budget et les risques du projet. Un autre interlocuteur m'a indiqu que ces Comits, au sein de son entreprise, sont composs dune dizaine de membres : chacun reprsente une Direction du groupe
ou bien une activit concerne par Solvabilit 2, telles que la Direction Financire et Technique, la Direction Juridique, la Direction de lAudit Interne et le Responsable du Contrle Interne (qui fait pour linstant partie de lAudit Interne), la MOA (volet informatique), la Direction du Dveloppement, la Direction de la Gestion (notamment service dlgataire de gestion), et lactivit Mutuelle. Dans certaines entreprises, le processus de mise en conformit avec Solvabilit 2 a mme entran la cration dun service entirement ddi au suivi de lavancement de la mise en conformit (cest ce qui sest pass au sein de l'une des entreprises rencontres dans le cadre de ce mmoire). Ces changements rendent lapplication de la directive dautant plus difficile pour les petits groupes. -Il est cependant ncessaire de nuancer l'ide que la directive entrane une forte augmentation des pouvoirs confis aux organes de gouvernance en prcisant que de nombreux autres textes et lois qui ont prcd Solvabilit 2 allaient dj dans le mme sens. Ainsi ; -les recommandations de l'Association Franaise de la Gestion Financire sur le gouvernement d'entreprise, en France, en 1998, et modifies en 2001, 2004 et 2006, qui encadraient les droits et obligations des actionnaires et du Conseil d'Administration, -les rapports Vinot 1 (qui dfinissait notamment une srie de bonnes pratiques pour les administrateurs, la composition, l'organisation et le fonctionnement du Conseil d'Administration et du Comit d'Audit, en 1995) et 2 (1999), en France, -le rapport Marini (1996), qui tendait le pouvoir des manations du Conseil d'Administration, en France, -la loi NRE (2001) en France, qui rglementait entre autres la notion de dirigeant d'entreprise, l'information concernant les conventions conclues par une socit avec un de ses dirigeants, les cessions ou acquisitions d'actions cotes sur les marchs financiers, et renforait l'indpendance des administrateurs, -la loi Sarbanes-Oxley aux tats-Unis (qui entranait notamment l'obligation pour les prsidents et les directeurs financiers de certifier personnellement les comptes et l'obligation de nommer des administrateurs indpendants au Comit d'Audit) et le rapport Bouton en France (qui entranait la cration de Comits spcialiss et une valuation du Conseil d'Administration) en 2002, -le rapport Bouton en France, en 2002, qui visait amliorer le gouvernement des socits cotes, -la loi sur la Scurit Financire (France, 2003), qui entranait notamment, comme la loi Sarbanes-Oxley, une augmentation des responsabilits des dirigeants, -la directive de la Commission Europenne du 16 mars 2004 portant sur les rgles d'audit des entreprises de l'Union Europenne, -le dcret du 19 mai 2008 sur le Contrle Interne, en France, -la loi du 3 juillet 2008 (transposant en France les quatrime et septime directives europennes), qui a entran une augmentation des obligations de transparence des socits en matire de gouvernement dentreprise et de Contrle Interne,
-ainsi que la huitime directive europenne sur le droit des socits (entre autres), ...entranaient dj une augmentation des pouvoirs confis aux Comits manations des Conseils d'Administration et aux Conseils d'Administration, tout en fournissant un cadre au fonctionnement de ces organes de gouvernance. De plus, le livre blanc de l'IIA dispense dj un certain nombre de bonnes pratiques en matire de gouvernance. Enfin, d'autres textes plus anciens s'intressaient dj la gouvernance d'entreprise et visaient mieux encadrer et renforcer les responsabilits des administrateurs, comme le rapport Cadbury (1992), le rapport Turnbull (1999) ou encore le rapport Smith (2003) en Angleterre. Les annes 90 et 2000 sont d'ailleurs parfois surnommes l're des actionnaires , puisque de nombreux textes visant accentuer le degr de contrle des dirigeants ont t vots, souvent la suite de scandales financiers comme Enron. Ainsi, Solvabilit 2 n'entrane pas de rvolutions dans les domaines de la gouvernance des risques et plus globalement du gouvernement d'entreprise puisqu'elle reprend et confirme ce qui existe dj sur de nombreux points. Cependant, la diffrence majeure avec les textes qui l'ont prcde est qu'elle constitue une loi au niveau europen : toutes les entreprises d'assurance, les Institutions de Prvoyance et les mutuelles de l'Union Europenne devront l'appliquer, ce qui est positif puisque cela permet d'tendre et de banaliser les bonnes pratiques qui taient jusqu' maintenant appliques uniquement dans certains pays. D'autant que les changements entrans par la directive concernent tous les lments constitutifs de la gouvernance, qui sont les structures, les procdures, et les comportements (bonnes pratiques), comme le montre le schma rcapitulatif (en annexe 12 : les exigences gnrales de Solvabilit 2 en matire de gouvernance ).
B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management 1/ Renforcement et amlioration de la matrise des risques
L'entreprise doit rdiger une vritable politique de gestion des risques et disposer d'une cartographie des risques prenant en compte les risques oprationnels, assurantiels, financiers, stratgiques. Si elle existe dj, il faut dvelopper la cartographie existante et amliorer la mthodologie de recensement et dvaluation des risques. Le management des risques doit crer un vritable dispositif de matrise des risques et une politique de gestion des risques. L'aspect positif est donc le renforcement et l'amlioration de la matrise des risques, puisque le service Risk Management est charg de l'identification, l'valuation et la gestion permanente des risques : -sur un axe quantitatif : mesure des fonds propres immobiliser au regard des risques pris (formule standard) et valuation des diffrentes politiques (allocation d'actifs, rassurance...). -sur un axe qualitatif : recensement des risques et actions d'attnuation, proposition de plans d'actions. Le systme de gestion des risques doit au moins couvrir les sujets suivants: la souscription et le provisionnement, la gestion actif-passif et les investissements, la gestion oprationnelle des risques, la rassurance et les autres techniques d'attnuation du risque. Il est vident qu'une meilleure gestion des risques ne peut tre que positive pour les entreprises. De plus, le Risk Management, en raison d'un contexte lgislatif de plus en plus contraignant (Solvabilit 2, bien sr, mais aussi la NRE, la LSF etc.) prend de plus en plus d'importance au sein des entreprises, avec pour missions premires lanalyse des vulnrabilits et la mise en place de mthodologies et dindicateurs afin de protger les engagements et prvenir tout impact ngatif sur les objectifs. Quant au volet ORSA, il vient en complment du pilier 1 afin daider lentreprise dterminer la valeur relle des fonds propres ncessaires pour rpondre ses engagements, en sattardant sur les risques les plus complexes mesurer. Il entre donc galement dans le renforcement de la matrise des risques. Ce renforcement de la matrise des risques est positif puisquil permet l'entreprise de mieux matriser ses activits et les risques qui en dcoulent, mme si cela peut avoir un cot lev pour l'entreprise. 2/ Meilleur suivi des risques par le Conseil d'Administration
Au niveau de la gouvernance, Solvabilit 2 met l'administrateur au centre du systme de pilotage des risques, et demande un fort degr d'implication du Conseil d'Administration. Cela se traduit par de nombreux rapports destination du Conseil d'Administration :
-la politique de gestion des risques (quivalent du rapport sur la solvabilit), -un rapport sur l'ORSA rdig par le Risk Management prsenter au Conseil d'Administration, -un rapport sur le contrle des sous-traitants prsenter au Conseil d'Administration, -un rapport sur l'Audit Interne prsenter au Comit d'Audit et des Risques puis au Conseil d'Administration, -des rapports de Contrle Interne, d'abord prsents au Conseil d'Administration, puis envoys l'ACP pour le ct Assurances de Personnes. Solvabilit 2 renforce donc fortement le reporting prsenter au Conseil d'Administration et donne donc plus de pouvoir ce Conseil, en charge de valider tous ces documents. Ainsi, on peut penser qu'un renforcement du reporting entrane un renforcement de la gestion et du suivi des risques par les administrateurs, et donc une diminution de ces risques, ce qui est positif pour l'entreprise. Ce point positif est cependant nuancer car au sein des Groupes de Protection Sociale, les administrateurs ont dores-et-dj un rle important : les Conseils d'Administration se composent de reprsentants des employs et des employeurs des socits adhrentes (structure paritaire), afin de garantir une transparence de gestion. Ce point positif est donc surtout valable pour les socits dassurance. Ainsi, il est clair que la directive renforce les pouvoirs des administrateurs en leur donnant l'opportunit de mieux suivre la gestion des risques de leur entreprise. D'autant plus que l'ACP, lors de ses audits relatifs la mise en place des exigences de Solvabilit 2, viendra analyser le profil des administrateurs membres des Comits spcialiss que sont le Comit des Risques et le Comit d'Audit, demandera leurs CV, et tudiera le nombre de Comits ayant eu lieu dans l'anne coule. Ce suivi ralis par l'ACP tmoigne de l'intrt que cette Autorit accorde aux administrateurs, et devrait achever de convaincre les entreprises de renforcer le rle du Conseil d'Administration et de ses manations. 3/ Augmentation des responsabilits du Risk Management
Le changement majeur entran par la directive pour la fonction Gestion des Risques est que celle-ci va avoir une contribution beaucoup plus significative dans la prise de dcision, notamment travers son rle dans les Comits de Direction et les comits de Direction Gnrale (en effet, les Comits de Direction sont amens prendre des dcisions sur la stratgie de l'entreprise, et doivent donc prendre en compte les risques (ORSA) pour tre en conformit avec Solvabilit 2), et ses livrables et reportings. Ainsi, d'aprs l'un de mes interlocuteurs, cela va se traduire par une contribution formelle au dbut, c'est--dire dans tout ce qui concerne la formalisation (revues de processus, comptes-rendus de Comits de Direction, les nombreux rapports et documents voqus prcdemment, etc.) car les entreprises auront certainement besoin d'un temps d'adaptation pour savoir comment intgrer plus concrtement cette fonction. Puis par la suite, le Risk
Management interviendra sans doute de faon plus fluide dans la prise de dcisions, d'autant plus que la mise en place dun systme de management des risques sollicite d'autres acteurs que le Risk Management, comme les Instances Dirigeantes, le Conseil dadministration, le management, et les units oprationnelles. Le Risk Management peut galement tre amen dialoguer avec toutes les directions du groupe comme la Direction Technique, la Direction Financire, la Direction des Systmes d'Information, la Direction du Contrle Interne etc. Le Risk Management va donc tre amen collaborer avec tous les acteurs importants de l'entreprise afin d'identifier et d'valuer les risques auxquels ils sont confronts, et de mettre en place des actions de matrise de ces risques, ce qui peut contribuer diffuser dans toute l'organisation une culture de la matrise des risques. Ceci est un point positif, toujours dans l'optique d'amlioration de la matrise des risques du groupe : laugmentation des pouvoirs et missions du Risk Management entrans par Solvabilit 2 ne pourra pas passer uniquement par une plus forte formalisation et une augmentation du reporting. Ce sera sans doute le cas dans un premier temps, mais par la suite, le Risk Management sera forcment partie intgrante de la prise de dcision, un haut niveau. Bien sr, ceci est dj le cas dans certaines grandes socits dassurance. 4/ Clarification des rles des diffrents services
La sparation des services Risk Management, Contrle Interne et Audit Interne entrane par la directive, en plus de permettre la fonction Audit Interne d'tre totalement indpendante, va permettre de clarifier les rles de ces fonctions, notamment au sein des Groupes de Protection Sociale, qui ont souvent tendance, par manque de moyens, runir ces fonctions. On trouve ainsi souvent des Directions de l'Audit et des Risques voire des Directions du Contrle et de l'Audit Internes . Cela n'est pas le cas chez les grandes socits d'assurances, qui disposent dj de services spcifiques ddis chacune de ces fonctions. Cette sparation plus marque peut tre bnfique pour le Risk Management, puisqu'elle devrait logiquement permettre chacune de ces fonctions d'avoir un primtre et un rle spcifiques et donc d'tre plus efficaces, en plus d'tre indpendantes les unes des autres. Cela permettra aussi aux oprationnels qui seront amens collaborer avec les risk managers de mieux comprendre la fonction Risk Management, qui est souvent mconnue, voire confondue avec le Contrle ou l'Audit Interne. Cela est d'ailleurs logique puisque certains petits groupes ne disposent pas, pour le moment, d'une fonction Risk Management ; ainsi, c'est la fonction Contrle Interne qui prend en charge des missions relevant davantage du Risk Management, ce qui participe la confusion. Cependant, ces fonctions devront continuer collaborer, par le biais d'instances de coordination par exemple, car leur domaine d'activit reste le mme : la matrise des risques. Cette clarification des rles est positive car elle permet chaque fonction d'avoir un rle bien prcis dans le dispositif de matrise des risques de l'entreprise.
C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour le Risk Management 1/ Impact financier lev
Un premier impact ngatif entran par Solvabilit 2 concerne l'impact financier lev que demande la cration d'un service ddi au Risk Management, auquel il faudra ajouter le cot des recrutements ventuels. D'autant que la redfinition des primtres des services entrane galement une charge financire et une charge en termes de travail. Ce problme concerne en priorit les petits groupes, qui devront, avant de crer cette fonction, dfinir en quoi elle consiste, lui dfinir un primtre, des missions, puis lui assigner des collaborateurs, ce qui aura un cot financier important mais galement un cot en termes de temps de travail : runions de la Direction, etc. De mme, si un service Risk Management existe dj au sein de l'entreprise mais qu'il est coupl une autre fonction, il sera ncessaire de le rendre indpendant, ce qui va engendrer des travaux de rorganisation importants et aura un cot lev. Bien sr, les grands groupes ne sont pas concerns par ce problme financier, d'autant plus que la grande majorit de ces groupes dispose d'ores-et-dj d'un service ddi au Risk Management. 2/ Charge en termes de reporting
La masse de reporting est en forte volution avec la directive Solvabilit 2, qui entrane la formalisation de nouveaux livrables prsenter au Conseil d'Administration pour validation, comme la politique de gestion des risques, le rapport de Contrle Interne, le rapport sur la sous-traitance, le rapport sur l'Audit Interne, le rapport sur l'ORSA, le rapport sur la solvabilit, le rapport aux superviseurs, etc. Le service Risk Management devra galement fournir d'autres livrables tels que les cartographies des risques, le processus de gestion des risques, la dfinition et/ou le renforcement des approches mthodologiques et outils existants, la politique groupe de risques, la mise en uvre de bases incidents, la mise en place dindicateurs de risques, la dfinition de reportings aux diffrents niveaux de lorganisation, le suivi rgulier des risques et plans daction de rduction des risques, etc. Globalement, il est clair que Solvabilit 2 entrane plus de reporting et de formalisme, mais c'est la fonction Risk Management qui est concerne en priorit par ce sujet. Le Contrle Interne et l'Audit Interne sont aussi concerns, mais dans une bien moindre mesure. Bien que la production de ces nombreux livrables ait pour but
de faciliter le travail de suivi des dirigeants et des administrateurs et donc d'amliorer la matrise des risques, elle s'accompagne d'une charge de travail leve et d'un aspect contraignant. 3/ Problme de mise niveau des administrateurs ?
Comme nous l'avons vu, de nombreux sujets lis Solvabilit 2 seront prsents au Conseil d'Administration. Or les administrateurs ne sont pas spcialistes de ces sujets. Il y a donc un problme de mise niveau : d'aprs l'un de mes interlocuteurs, les entreprises devront former leurs administrateurs afin de leur donner les moyens de porter un jugement pertinent sur les sujets qui leur sont prsents pour validation. En effet, Solvabilit 2 entrane la ncessit pour les administrateurs de matriser de nouvelles notions concernant la gestion des risques. De nouvelles formations sont donc mettre en place afin de mettre les administrateurs niveau. Le CTIP prvoit d'ailleurs dj des formations cet effet. Ce problme de comptences n'est pas nouveau, et s'est dj prsent par le pass : ainsi, l'ordonnance du 8 dcembre 2008, qui a entran la cration de Comits d'Audit pour la partie Assurances de Personnes des Groupes de Protection Sociale, a indiqu qu'un des membres du Comit d'Audit devrait prsenter des connaissances financires ou comptables (un critre Fit & Proper ). De plus, dans le cadre de la mise en conformit avec Solvabilit 2, un Comit des Risques a t cr au sein de l'entreprise de l'un de mes interlocuteurs il y a quelques mois (un Comit d'Audit existait dj), anim par le Directeurs des Risques et de la Solvabilit, et voquait des sujets tels que la gestion des risques, la tarification et le suivi de portefeuille. Cependant, le CTIP a demand cette entreprise de n'organiser qu'un Comit au lieu de ces deux Comits : le Comit d'Audit et des Risques a donc t cr, et il a du tre constitu en partie d'experts. En effet, d'aprs l'ordonnance du 8 dcembre 2008, les entreprises peuvent faire appel des experts dans tous les Comits (mis part le Conseil d'Administration). Le Conseil d'Administration s'entoure donc de Comits, manations du Conseil d'Administration, qui sont chargs d'approfondir certains sujets. Par exemple, le Comit d'Audit et des Risques dispose de plus de temps que le Conseil d'Administration pour tudier certains sujets, et peut faire appel des experts externes. Ce plus grand pouvoir de dcision donn aux Conseils d'Administration ne semble donc pas tre totalement positif, puisque les administrateurs ne sont pas des spcialistes de ces sujets souvent trs techniques, mme s'ils connaissent bien l'entreprise et ses enjeux. Ainsi, aux Conseils d'Administration s'ajoutent des manations des Conseils d'Administration, chargs d'tudier plus en dtail et de faon plus experte certains sujets. Or si les administrateurs dlguent de plus en plus leurs responsabilits, cela peut signifier qu'ils suivent de moins prs les sujets qui les concernent, alors qu' la base, un des buts de Solvabilit 2 est justement de permettre aux instances dirigeantes de mieux gouverner et d'effectuer un meilleur suivi des sujets importants
comme la matrise des risques. Ainsi, il y a aujourd'hui un risque que Solvabilit 2 aboutisse un rsultat inverse au rsultat souhait, en ne permettant pas au Conseil d'Administration d'effectuer un vritable suivi de la matrise des risques. 4/ Problme de gouvernance propre aux Groupes de Protection Sociale
Comme nous l'avons vu, Solvabilit 2 met l'administrateur au centre du systme de pilotage des risques. Cela se traduit par plusieurs rapports traitant de la gestion des risques destination du Conseil d'Administration. Par exemple, il faudra prsenter au Conseil d'Administration la politique de management des risques, puis un vote sera cens reprsenter la position du Conseil d'Administration vis--vis de cette politique. Les rapports que l'on prsente au Conseil d'Administration doivent dfinir en dtail toute la gestion des risques, la politique de gestion de ces risques, le pilotage, etc. Le Conseil d'Administration a donc de nouvelles responsabilits puisqu'il est situ en haut de la pyramide de gouvernance des risques, et doit en valider tout le dispositif. Pour les socits d'assurance, qui sont des socits prives, cela ne pose pas de problme. En revanche, les Groupes de Protection Sociale (comme Novalis ou Runica par exemple) sont des groupes paritaires , ce qui signifie que les administrateurs sont constitus de syndicalistes (reprsentants du personnel) 50%. On peut penser que ces administrateurs n'ont pas les comptences ncessaires pour apporter un jugement pertinent sur un sujet comme la gestion des risques, car ils ne sont pas forms pour traiter un sujet comme celui-ci. Mais la question qui se pose est : est-ce vraiment raisonnable de les former ? En effet, des sujets trs techniques comme l'ORSA, l'actuariat ou encore la gestion des fonds propres demanderaient des formations vastes et longues, avant d'tre pleinement matriss. En rsum, cet aspect de Solvabilit 2 ne pose pas de problme pour les socits prives, mais en ce qui concerne les groupes paritaires, l'un de mes interlocuteurs m'a indiqu que les dispositions de Solvabilit 2 en ce qui concerne le rle des administrateurs reprsentent un choc de culture, car ces groupes ne sont pas familiers avec ce concept de pouvoirs importants confis au Conseil, et aux pratiques qui en dcoulent. Par exemple, au sein des socits prives, il y a couramment des changes entre les Directeurs prsents dans les Conseils d'Administration, afin de se rendre service mutuellement, ce qui est diffrent au sein des groupes paritaires car le Conseil d'Administration est constitu 50% de reprsentants des salaris et est 50% patronal. Il est donc lgitime de se demander si cette volution vers un plus grand pouvoir confi aux Conseils d'Administration est vraiment positive pour les entreprises, notamment pour les Groupes de Protection Sociale, ou si elle n'est qu'une faade .
5/ Questionnement sur lindpendance de la fonction Risk Management
Aprs la mise en conformit avec les exigences de Solvabilit 2, les Directions des Risques seront dsormais rattaches la Direction Gnrale, aprs avoir t longtemps rattaches aux Directions Financires. Ce rattachement aux Directions Financires pouvait s'expliquer par le fait qu'au sein des assurances, la vision des risques est souvent trs financire. Or, aprs la mise en conformit avec la directive, les Directions des Risques seront rattaches la Direction Gnrale, ce qui est logique puisque Solvabilit 2 demande l'entreprise et au Risk Management d'adopter une vision beaucoup plus large des risques. De plus, cela devrait permettre un reporting plus direct. Les risques pris en compte seront plus larges, ce qui est positif ; cependant, les services Risk Management seront dornavant plus proches de la stratgie. On peut donc supposer qu'il y a un risque d'instrumentalisation du Risk Management par la Direction des fins stratgiques. Il faut cependant prciser que ce changement concernant le rattachement des services Risk Management la Direction Gnrale n'est pas rendu obligatoire par Solvabilit 2. 6/ Disparition des conomies dchelle ?
Enfin, on peut supposer que la sparation obligatoire des services Risk Management, Contrle Interne et Audit Interne peut entraner une perte de proximit entre les services ainsi qu'une disparition des conomies dchelle qui pouvaient exister du fait de la collaboration entre ces services. Cela est dommageable car il est logique que le Contrle Interne et le Risk Management aient des proccupations similaires (dtection des risques, dtermination d'actions visant rduire ces risques etc.), par exemple. Dsormais, ces fonctions continueront exercer des tches assez similaires mais devront le faire de faon spare. Or si ces fonctions travaillent chacune de leur ct et sans se concerter, il y a un risque qu'elles ne soient pas efficaces : certaines zones de risques ou certains contrles pourraient tre mal identifies, ce qui pourrait avoir de graves consquences pour l'entreprise, terme. Il sera donc important de dfinir clairement les primtres de chaque service avant de procder leur sparation, puis de crer de nouvelles instances de coordination une fois les services spars. Des comits de coordination Audit Interne/Contrle Interne sont organiss au sein de l'entreprise de l'un de mes interlocuteurs par exemple. Un second interlocuteur n'est cependant pas d'accord avec l'ide de disparition des conomies d'chelle venant de la sparation des services, car selon lui, les fonctions concernes et leurs proccupations sont trop diffrentes, surtout au sein des grandes structures.
Synthse sur le Risk Management Afin de mieux grer les risques, Solvabilit 2 demande donc aux entreprises de mettre en place un dispositif de gestion des risques efficace, allant au-del de la quantification et des contrles. Les aspects organisationnels et la responsabilisation des acteurs deviennent par exemple des lments essentiels de la gestion des risques. La question du pilotage et de la gouvernance est galement de premire importance. Concernant le Risk Management, le point le plus important de la directive concerne la cration (ou le renforcement) d'un systme de gestion des risques, et donc d'un service Risk Management. Ce systme de gestion des risques devra tre intgr la structure organisationnelle de l'entreprise et constituer un dispositif d'identification, d'valuation et de gestion des risques. Le service Risk Management devra apporter son expertise au Conseil d'Administration et la Direction en ce qui concerne la gestion des risques et prendre en charge le systme de gestion des risques. Les grands groupes auront logiquement plus de facilits pour rpondre aux exigences de la directive, d'autant plus que la directive provoque des changements relativement faibles dans ces entreprises, qui sont dj avances dans le domaine de la Gestion des Risques. En revanche, certaines petites entreprises vont devoir crer une fonction Risk Management, ce qui aura un cot financier lev (cration, organisation, structuration de la fonction etc.). Il faudra galement lui assigner des collaborateurs, ce qui aura un cot supplmentaire. Enfin, la cration d'un nouveau service et d'une nouvelle fonction aura un impact fort sur l'organisation toute entire de l'entreprise.
En plus de ce changement principal, la directive comprend d'autres exigences : ainsi, la fonction Risk Management devra disposer d'une vritable stratgie de gestion des risques, d'un dispositif de matrise des risques, et des cartographies des processus et des risques financiers, stratgiques et surtout oprationnels. Le CEIOPS a recommand de mettre en place une chelle de cotation des niveaux de risques cinq niveaux, en termes de probabilit et d'impact, afin de classer ces risques. Cette fonction devra ainsi identifier et mesurer les risques, puis les grer, c'est--dire les prendre en compte dans la stratgie de l'entreprise.
De plus, le volet ORSA est un lment-cl de la directive : il constitue un outil de gestion des risques spcifique Solvabilit 2 ainsi qu'un processus interne faisant partie des dcisions stratgiques de l'entreprise. Il doit permettre de dmontrer que les risques de l'entreprise sont identifis et quantifis de faon adquate. L'valuation interne du risque doit aussi permettre d'ajuster l'adquation entre les fonds propres et les exigences de capital calcules dans le cadre du pilier 1, et d'identifier les mesures de risques dans le modle interne ou dans la formule standard qui s'cartent trop de la ralit. Le but principal est donc d'aider les entreprises dterminer la valeur relle de leurs fonds propres ncessaires pour rpondre leurs engagements. Ce document permet de dterminer le niveau de fonds propres disponibles, en intgrant l'ensemble des risques, et permettra aux Conseils d'Administration de juger la pertinence de la stratgie adopte et d'en mesurer les consquences terme. Globalement, l'ORSA devra donc comprendre une cartographie exhaustive des risques,
une stratgie de gestion des risques, et un suivi permanent de l'activit. Il conduit donc un renforcement de la gestion des risques de l'entreprise, et sera logiquement plus facile mettre en uvre pour les entreprises qui disposent dj d'une fonction Risk Management. Pour les entreprises qui ne disposent pas d'un service Risk Management et qui sont peu familires avec les mthodes et outils servant grer les risques, l'ORSA reprsente un changement majeur, et sera trs complexe et long mettre en uvre. L'entreprise devra galement disposer d'un systme de gouvernance adapt la nature et la taille de l'activit, disposer de procdures dtailles couvrant l'ensemble des activits, et laborer des politiques sur la gestion des risques, le Contrle Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer d'un systme de gouvernance efficace. Solvabilit 2 s'accompagne d'une forte augmentation des pouvoirs confis aux organes de gouvernance que sont le Conseil d'Administration et les Comits manations du Conseil d'Administration. Pour les grandes structures, Solvabilit 2 ne va donc demander quune phase dadaptation, mais pour les petites structures, Solvabilit 2 est quasiment une rvolution en raison notamment de la cration des Comits spcialiss (Comits d'Audit, Comits des Risques etc.). Globalement, l'application des exigences de la directive devrait entraner une amlioration de la matrise des risques, ce qui est positif, d'autant plus que la directive entrane aussi un meilleur suivi des risques par le Conseil d'Administration, en mettant l'administrateur au centre du systme de pilotage des risques et en demandant une forte implication du Conseil d'Administration. Le changement majeur entran par la directive pour la fonction Risk Management est que celle-ci va avoir une contribution beaucoup plus significative dans la prise de dcision et va avoir plus de responsabilits, ce qui est positif, toujours dans une optique d'amlioration de la matrise des risques. Enfin, la sparation des services Risk Management, Contrle Interne et Audit Interne entrane par la directive va permettre de clarifier les rles de chacune de ces fonctions, et pourra tre bnfique pour le Risk Management en permettant chacune de ces fonctions d'avoir un primtre et un rle spcifiques et donc d'tre en thorie plus efficaces. Cependant, l'impact financier lev que demande la cration d'un service ddi au Risk Management constitue un premier point ngatif pour les entreprises. D'autant que la redfinition des primtres des services entrane galement une charge financire et une charge en termes de temps de travail. Ce problme concerne en priorit les petits groupes puisque les grands groupes disposent d'ores-et-dj d'un service ddi au Risk Management. De plus, la masse de reporting est en forte volution avec la directive Solvabilit 2, ce qui entrane la formalisation de nombreux nouveaux livrables prsenter au Conseil d'Administration. Or, les administrateurs n'tant pas des spcialistes de ces sujets, ils devront tre forms afin de leur donner les moyens de porter un jugement pertinent sur les sujets qui leur sont prsents. Ce problme est d'autant plus important pour les Groupes de Protection Sociale. Il faudra aussi veiller ce que la prsence des Comits spcialiss comme le Comit d'Audit ou le Comit des Risques n'entrane pas un suivi moindre des sujets concernant le Risk
Management par les administrateurs, qui dlgueraient de plus en plus de responsabilits ces Comits et suivraient donc de moins prs les sujets qui les concernent. Enfin, au niveau de l'organisation des services Risk Management, on constate que ces services seront dsormais plus proches de la stratgie, ce qui entrane un risque d'instrumentalisation du Risk Management par la Direction des fins stratgiques. De plus, on peut supposer que la sparation des services Risk Management, Contrle Interne et Audit Interne demande par la directive entrane une disparition des conomies dchelle qui pouvaient exister du fait de la collaboration entre ces services, ce qui est dommageable car ces services ont des proccupations similaires.
Partie 3 : les impacts du pilier 2 sur le Contrle Interne A/ Les articles fondamentaux et leur traduction 1/ Article consacr au Contrle Interne (article 46)
L'article consacr au Contrle Interne est le suivant :

1. Les entreprises d'assurance et de rassurance disposent d'un systme de contrle interne efficace. Ce systme comprend au
minimum des procdures administratives et comptables, un cadre de contrle interne, des dispositions appropries en matire d'information prudentielle tous les niveaux de l'entreprise et une fonction de conformit. 2. Dans le cadre de cette fonction de conformit, l'organe d'administration ou de gestion est conseill sur le respect des dispositions lgislatives, rglementaires et administratives adoptes en vertu de la prsente directive. La fonction de conformit comprend galement l'valuation de l'impact possible de tout changement de l'environnement lgislatif sur les oprations de l'entreprise concerne, ainsi que l'identification et l'valuation du risque de conformit.
Ainsi, d'aprs la directive, les Issue Papers du CEIOPS (voir annexe 7), et les informations obtenues au cours de mes entretiens, les changements majeurs entrans par la directive au niveau du Contrle Interne sont les suivants : 2/ Existence obligatoire d'une fonction Contrle Interne
Cet article indique qu'une fonction Contrle Interne (ou contrle permanent ) doit exister au sein de l'entreprise (voir lexique). Si cela n'est pas le cas, la directive entrane donc la cration d'un systme de contrle permanent, sans toutefois donner de dtails trs prcis. Le but de cette fonction doit tre de contribuer atteindre les objectifs dfinis par la stratgie, en minimisant les risques, et les objectifs de cette fonction tels que dfinis par le CEIOPS rappellent fortement la dfinition du COSO, en ce qui concerne par exemple la ralisation et loptimisation des oprations, la fiabilit des informations, le respect des rglementations, etc. (voir dfinition du COSO dans le lexique). Les entreprises doivent donc disposer d'un service Contrle Interne indpendant et donc dtach de toute autre fonction (y compris le Risk Management et l'Audit Interne), un dispositif permanent de Contrle Interne en place ainsi qu'une politique de Contrle Interne et des contrles efficaces et efficients permettant de couvrir les risques. En effet, l'article reste vague mais dfinit des concepts gnraux qui concernent en fait le dispositif de Contrle Interne dans sa globalit, ce qui entrane les obligations suivantes pour l'entreprise : -se conformer un cadre de rfrence (comme le rfrentiel COSO ou le rfrentiel de l'AMF), -obligation d'avoir des procdures, des rgles et une stratgie de Contrle Interne, -obligation d'effectuer des contrles de 1er et de 2me niveau, les contrles de niveau 1 tant les contrles raliss par les oprationnels ou les Responsables d'quipe (mis en place en collaboration avec le service Contrle
Interne afin de dterminer les points de contrle les plus pertinents), tandis que les contrles de niveau 2 reprsentent le contrle permanent et sont effectus par le service Contrle Interne sur un chantillon de dossiers dj contrls par les oprationnels, par exemple, afin de s'assurer que les contrles de niveau 1 ont t correctement raliss, -effectuer un suivi des plans damlioration du Contrle Interne des fonctions support, -mettre en place des tableaux de bord, -mettre en uvre le principe de sparation des tches, -transmettre rgulirement des rapports sur les rsultats du Contrle Interne (fragilits, incidents) au management, -rdiger un rapport sur le Contrle Interne. Les Conseils d'Administration devront approuver au moins annuellement ce rapport sur le Contrle Interne, qui sera ensuite transmis l'ACP. Ce rapport devra fixer les lignes directrices de la politique de placement concernant notamment les modalits de choix des intermdiaires financiers et la qualit des actifs. Il devra aussi prsenter le Conseil d'Administration, dcrire l'organisation et le dispositif de Contrle Interne, et enfin la mise en uvre du Contrle Interne (matrise et gestion des risques, contrle permanent, scurit financire, veille juridique et rglementaire). L'objectif de ce rapport est donc de dmontrer l'autorit de contrle que les mthodes de contrle employes sont adquates et adaptes l'activit et aux risques de l'entreprise. -la Direction Gnrale devra approuver une stratgie de Contrle Interne et maintenir un systme de C ontrle Interne adquat et efficace, mener limplmentation de mesures de contrles prventifs, crer une culture dentreprise permettant de dmontrer limportance du Contrle Interne tous les niveaux de lentreprise, initier le dveloppement, limplmentation et le maintien du Contrle Interne, en cohrence avec la stratgie tablie, et assurer lefficacit des contrles, -crer ou renforcer une fonction Conformit (voir partie 4), -effectuer un reporting sur le Contrle Interne (dficiences, plans dactions). Le Contrle Interne voqu ici concerne surtout la gestion des risques oprationnels, car il doit porter en priorit sur ces risques, d'aprs Solvabilit 2. Cela doit tre un dispositif permanent de Contrle Interne, organis, mis en place et dirig par la fonction Contrle Interne, et impliquant la participation des collaborateurs chaque niveau de l'organisation et chaque tape des processus-cls des entreprises d'assurance. Limportance accorde ce sujet par Solvabilit 2 sexplique par le fait quun dispositif de Contrle Interne adapt et efficace est un facteur de la solvabilit d'une entreprise car il contribue scuriser ces oprations et matriser les risques, notamment oprationnels. D'aprs le CEIOPS, ce systme de Contrle Interne devra tre adapt la taille et la structure de l'organisme, dissoci des activits oprationnelles quotidiennes, bas sur des contrles tous les niveaux de l'organisation, et valu rgulirement par l'Audit Interne (contrle priodique). Ainsi, pour les entreprises qui n'ont pas de fonction Contrle Interne, la mise en conformit avec la directive implique de mettre en place une telle fonction, ce qui constitue un changement important et une charge de
travail leve car en plus de la cration dun service ddi, ce chantier concerne lentreprise dans sa globalit, tous les niveaux, notamment travers la mise en place des contrles de premier et second niveau. Il entrane donc une rorganisation de lentreprise. Cependant, pour les entreprises qui disposent dj d'une fonction ou d'un service Contrle Interne, cet article n'entrane pas de changements majeurs, et va surtout entraner un renforcement des bonnes pratiques et des pratiques dj mises en place au sein de ces entreprises ainsi que des restructurations, comme nous allons le voir. 3/ Renforcement global des bonnes pratiques
Les Directeurs que j'ai rencontrs travaillent majoritairement au sein de grands groupes : ainsi, ils m'ont expliqu que pour leurs entreprises, cet article n'entrane pas de changements majeurs (en dehors de la fonction Conformit) car un systme de Contrle Interne est dj mis en place et oprationnel au sein de leurs groupes. Pour eux, l'article ne fait quasiment que confirmer les bonnes pratiques. Par exemple, lun de mes interlocuteurs m'a indiqu que son entreprise a dj beaucoup travaill sur la partie gestion des risques oprationnels , ce qui fait que Solvabilit 2 ne va pas entraner une volution norme au niveau du Contrle Interne. Il faudra simplement tre plus efficace au niveau de la ralisation des contrles, mais des contrles trimestriels sont dj effectus. En effet, au niveau de la Gestion Prvoyance, lissue des travaux mens sur la cartographie des risques, des contrles trimestriels ont t mis en place : chaque trimestre, les services de gestion ralisent des contrles en se basant sur une check-list prtablie des diffrents points de contrle analyser, puis en rendent compte en remplissant des fiches de contrle sur un outil ddi. Les rsultats sont capts dans un outil business object qui permet de gnrer des statistiques sur les anomalies trouves, en mettant des requtes informatiques. Les contrleurs internes cherchent ensuite comprendre pourquoi ces anomalies se sont produites, et mettent en uvre les plans daction pour que ces anomalies ne se reproduisent pas. De plus, un Comit des Risques est dj organis et voque des sujets lis aux problmatiques de Contrle Interne. Au sein de cette entreprise ont galement t nomms des rfrents de Contrle Interne, positionns sur chaque site de gestion, qui correspondent 8 reprsentations rgionales. Ces rfrents effectuent une analyse locale des rsultats des contrles effectus par les oprationnels (contrles de niveau 1), puis consolident ces rsultats dans une note envoye au Rfrent National de Contrle Interne. Celui-ci va prsenter ces rsultats ainsi que les plans daction proposs par les rfrents de Contrle Interne au Comit des Risques. Ce Comit va alors valider ces plans daction. Cette entreprise a mis en place cette organisation la fin de lanne 2009. Avant cette date, le service Contrle Interne (compos de 2 personnes actuellement mais qui tait auparavant constitu dune seule personne) avait en front tous les responsables de service, cest--dire 30 personnes. Comprendre les anomalies puis
proposer des plans daction mettre en place pour rduire ces anomalies reprsentait donc un travail trop imposant pour une seule (ou 2) personne(s). Des reprsentants locaux de Contrle Interne (qui sont des rfrents de Contrle Interne, et qui ont galement une mission qualit) ont donc t dsigns, et l'entreprise a fait le choix de cette vision consolide (avec la prsence d'un Rfrent National de Contrle Interne). Le Rfrent National conseille, donne des directives en termes de mthodologie, mais les rfrents de Contrle Interne sont de plus en plus autonomes sur leurs travaux de Contrle Interne et danalyse des rsultats. De plus, en ce moment, des travaux de mise jour de la cartographie des risques sont mens. Auparavant, la Direction du Contrle Interne sen chargeait, mais la charge de travail est galement trop importante pour seulement deux personnes : en ce moment, les rfrents rgionaux de Contrle Interne sont en train dtre forms la cartographie des risques par le biais de groupes de travail, et vont se charger de la mise jour de cette cartographie des risques. Ainsi, le principal changement provoqu par Solvabilit 2 pour ce groupe en matire de Contrle Interne est la ncessit dtendre cette dmarche aux Directions qui nen bnficient pas encore pour le moment (Direction du Dveloppement, Direction Comptable et Financire dont la Direction Technique, etc.). Ainsi, la mise en conformit avec la directive ne provoque pas un changement norme dans ce domaine car le systme est dj calibr. Il ne reste plus qu adopter une dmarche dextension du primtre du Contrle Interne, ce qui ne devrait pas poser de problmes majeurs puisque le systme est dj en place. Cette situation avantageuse vient du fait que cette entreprise a mis en uvre cette dmarche avec un dlai suffisant, et galement parce que les exigences qualitatives du pilier 2 fixent des exigences mais laissent une marge de manuvre importante aux entreprises. Un second interlocuteur m'a expliqu que le Contrle Interne fait dores-et-dj lobjet dun service ddi au sein de son groupe. Ses principales missions concernent la coordination centrale du dispositif de contrle permanent, lanimation du dispositif et le reporting sur le Contrle Interne (dficiences releves, plans dactions mettre en place pour les amliorer). Concrtement, ce service met en place les procdures, les logigrammes (flow charts), et ralise les tableaux de contrles en collaboration avec les oprationnels afin que ceux-ci puissent ensuite raliser leurs contrles de premier niveau. Les contrleurs internes, positionns sur chaque secteur de l'entreprise (prvoyance, sant etc.) sont, eux, en charge des contrles de second niveau, qui consistent vrifier que les contrles de premier niveau ont t faits correctement (en slectionnant un chantillon de dossiers et en refaisant les contrles raliss par les oprationnels). Les autres livrables sont les diverses rgles et procdures de Contrle Interne ainsi que le rapport annuel de Contrle Interne prsenter au Conseil.
Les missions principales du dpartement Contrle Interne sont donc les suivantes : -l'animation du dispositif de Contrle Interne (diffusion des mthodologies applicables en matire de cartographie des risques, dlaboration des plans de contrle et de la base incidents, management fonctionnel du rseau de contrleurs internes, suivi des plans damlioration du Contrle Interne des fonctions support et coordination du contrle de la sous-traitance (activits dlgues/externalises) en lien avec les dpartements oprationnels, -l'identification des contrles cls au sein des processus mtier en distinguant les contrles manuels des contrles automatiss, puis mise en place dun dispositif de validation de ces contrles cls et dun suivi des plans de contrle permanent, -la mise en uvre dune mthodologie de suivi et de mesure des risques oprationnels par lanalyse des incidents (risques avrs et quantifiables), et la fixation des modalits de fonctionnement dune base incidents, -la consolidation et le reporting (consolidation des rsultats des contrles et des plans damlioration du Contrle Interne, ralisation du reporting auprs de la Direction Gnrale, du Comit d'Audit et des Risques et du Conseil d'Administration, laboration des rapports sur le Contrle Interne en collaboration avec le rseau des contrleurs internes), -la scurit informatique (participation llaboration de la politique scurit du groupe, suivi des plans dactions oprationnels et dclinaison de la politique scurit, administration des outils de gestion des risques du groupe). L'accent est mis sur les risques informatiques, car les donnes constituent la ressource principale du mtier d'assureur. .
Au sein de cette entreprise, le dpartement Contrle Interne est rattach la Direction de la Performance, et travaille en troite collaboration avec le dpartement Qualit du groupe. Cette fonction centrale du dispositif de Contrle Interne est appuye par des acteurs dfinis dans la charte de Contrle Interne, que sont les pilotes de processus, les Correspondants de Contrle Interne, les cellules de Contrle Interne, et les oprationnels. Ces mmes acteurs doivent veiller au recensement et lvaluation des risques de leur primtre dactivit, en veillant intgrer les activits externalises qui y sont rattaches. La directive ne provoque donc pas de changements ce niveau pour cette entreprise car un dispositif trs complet est dj mis en place. Enfin, un autre interlocuteur m'a expliqu qu'au sein de son entreprise, le dispositif de Contrle Interne est compos de trois niveaux : le dispositif des oprationnels (contrles de premier niveau ralis par les oprationnels), le dispositif hirarchique (Contrle Interne ralis par les Responsables d'quipes, les Directeurs d'une activit voire mme le Contrle de gestion), puis l'Audit Interne, qui constitue un contrle priodique/ponctuel. Pour ce groupe, la directive ne provoque pas non plus de changements notables au niveau du Contrle Interne. De mme, au sein dune autre entreprise, un dispositif de Contrle Interne existe dj : Solvabilit 2 va donc seulement pousser mieux lorganiser, crer des structures organisationnelles, et
renforcer les bonnes pratiques (procdures, contrles de premier et second niveaux, correspondants de Contrle Interne etc). On constate donc que cet article n'entrane pas de rvolution dans le domaine du Contrle Interne, puisqu'il rappelle surtout les bases. Ce systme doit permettre de fournir une assurance sur la conformit avec les rglementations et le respect des politiques et procdures internes, la fiabilit des informations, l'adquation des contrles aux risques et leur efficacit. Il doit aussi garantir que les dficiences identifies sont priorises et traites sans dlai, ainsi que documenter et diffuser l'ensemble du personnel les rles et responsabilits, les procdures et les modes de reporting. De mme, les domaines dintervention de la structure de Contrle Interne, prvus par dcret, n'entranent pas de bouleversements majeurs : ces domaines sont les placements, la gestion actif/passif, la gestion des risques et le suivi de la gestion des sinistres, des filiales et des activits externalises. Comme nous lavons vu prcdemment, la mise en uvre concrte du Contrle Interne est ensuite dterminer l ibrement par chaque entreprise. On note tout de mme que d'aprs une tude ralise en 2010 par le cabinet Sinequa, en matire de Contrle Interne, la mise en uvre de Solvabilit 2 a amen les entreprises revoir leur dispositif en termes de formalisation des activits de contrle, d'adquation avec la cartographie des risques, d'exploitation des rsultats issus des activits de contrle, et d'adaptation des plans de contrle.
Cette partie de Solvabilit 2 va donc entraner de grands changements uniquement au sein des entreprises qui sont en retard au niveau du Contrle Interne, principalement les mutuelles et les petites Institutions de Prvoyance. En effet, cela ne sera pas un problme pour les grands groupes, d'autant que le mtier des assureurs consiste grer le risque : c'est donc habituel pour eux. Cependant, pour les petites mutuelles, la mise en uvre de l'article sera rendue difficile en raison de leur manque dexprience dans le domaine du Contrle Interne et du cot lev de ces changements. D'autant que l'enjeu n'est pas toujours l, qu'il faut aussi voluer au niveau des instances dirigeantes, et que les mutuelles sont moins habitues grer le risque. Les autres entreprises vont plutt devoir renforcer ou tendre leurs bonnes pratiques ainsi que dployer le Contrle Interne toute l'entreprise si ce n'est pas dj fait. Cependant, la plupart des groupes l'ont anticip, et il ne reste donc plus qu' l'amliorer.
a
4/ Cration d'une fonction Conformit
La directive impose galement la cration dune fonction Conformit, qui doit tre place sous l'autorit de la Direction du Contrle Interne, et lui accorde une importance particulire en l'incluant dans le systme de gouvernance, puisqu'il est prcis dans la directive que le systme de gouvernance inclut la fonction de gestion des risques, la fonction actuarielle, la fonction d'audit interne et la fonction de conformit .
La mise en place de cette fonction permanente de conformit a pour but de s'assurer que le groupe est en conformit avec les lois existantes (Tracfin, Informatiques & Liberts, etc.), et doit consister en une veille, somme des veilles existantes. Son existence s'explique par le fait qu'une des finalits du Contrle Interne est dassurer la conformit aux lois, rglements et politiques internes et externes. La conformit, face au renforcement permanent du cadre lgislatif et rglementaire, est par dfinition le respect de lensemble des lois et rglements propres aux activits financires, bancaires et dassurance, des normes et usages professionnels et des codes de conduite et procdures internes du groupe ; elle se compose de la conformit interne et de la conformit externe. La conformit externe est le respect de la rglementation objective ; les comportements non-conformes dfinis partir de textes externes (lois, rglementations..) sont susceptibles de sanctions judiciaires administratives et disciplinaires. La conformit interne est le respect des textes internes et dontologiques (normes, guides, chartes, codes de bonne conduite diffuss dans le groupe). Les comportements non-conformes sont galement susceptibles de sanctions administratives et disciplinaires. Elle consiste ainsi sassurer du respect des dispositions lgislatives, rglementaires et administratives rgissant lactivit. Elle comprend galement lvaluation de limpact possible de tout changement de lenvironnement lgislatif sur les oprations de lentreprise, et doit donc se tenir inform en permanence des volutions de lenvironnement externe, afin de mettre en place les plans daction adquats. Elle est aussi charge d'laborer une cartographie des risques de non-conformit et d'identifier les procdures et mesures internes ncessaires lapplication des lois et rglements, ainsi que les rgles de bonne conduite et des principes de comportement fixs par les instances professionnelles et le groupe. Elle doit aussi contrler le respect des rgles et procdures de conformit (de manire centrale ou dlgue). Le plan de conformit (indiquant les activits de conformit mettre en place pour sassurer que tous les domaines significatifs de lentreprise ont t couverts correctement) doit prendre en compte tous les domaines de l'activit qui peuvent tre exposs au risque de non-conformit. Au niveau du groupe, cette fonction doit tre intgre dans le systme de Contrle Interne et associe au contrle permanent et la gestion des risques, ce qui explique quelle soit voque ici. Elle doit toutefois possder un statut appropri au sein de lentreprise, afin de pouvoir communiquer de sa propre initiative avec nimporte quel membre du personnel, obtenir l'accs nimporte quel dossier ncessaire lexcution de ses responsabilits, et signaler la Direction tout problme majeur de conformit identifi. J'ai pu constater au cours des entretiens que j'ai mens que la mise en place de cette fonction n'tait pas chose aise car elle constitue une nouveaut dans le monde de l'assurance, y compris pour les grands groupes, mme si des fonctions similaires sont souvent mises en place au sein des grands groupes. Ainsi, un premier interlocuteur m'a expliqu qu'au sein de son groupe, une fonction quivalente la fonction
Conformit a t cre en 2008. Cette fonction appele Officer Compliance remplit les missions suivantes : -donner aux documents l'autorisation de sortir ou non de l'entreprise (car certaines informations doivent obligatoirement figurer sur les documents lis aux assurances), -respecter les mentions lgales, et faire figurer des informations obligatoires sur les documents pr contractuels et contractuels (ex : note dinformation, conditions gnrales), -effectuer une validation juridique des documents pr contractuels et contractuels. Daprs ce Directeur, c'est une fonction trs importante, mais nouvelle dans le monde des assurances, alors qu'elle existe dj dans d'autres secteurs. Elle s'apparente une veille , et contrle que tous les documents qui sortent de cette entreprise sont bien conformes la loi (Code des Assurances, Code de la Scurit Sociale...). Le premier problme est donc que cette fonction est difficile apprhender car elle est de l'ordre du juridique, alors que la Directive indique qu'elle doit faire partie du Contrle Interne. Ainsi, au sein de cette entreprise, la directive va provoquer une rorganisation sur ce point, mais ne provoquera pas de changement fondamental dans les missions de ce service. De plus, la directive ne prcise pas si ce doit tre une fonction ou un processus, daprs cet interlocuteur.
a
Un second interlocuteur m'a expliqu que son entreprise n'a pas encore compltement trait le sujet, mais qu'une fonction quivalente cette fonction Conformit existe dj au sein du dpartement Juridique. Il reste donc du travail sur ce point, mais le responsable du Contrle Interne pense que ce n'est pas lui de s'en occuper, ce qui a retard la mise en uvre de ce projet. KPMG, dans son diagnostic de mise en conformit avec Solvabilit 2 visant indiquer lentreprise les actions accomplir afin de respecter la directive, a pourtant fait la proposition suivante : la fonction de contrle de conformit pourrait tre assure au travers du dispositif de Contrle Interne, avec un rle de coordination centrale assure par le dpartement Contrle Interne et des relais existants au niveau des mtiers et du Secrtariat Gnral - Juridique (veille juridique) , et a expliqu que ses missions seront les suivantes : -laboration dune cartographie des risques de non-conformit et identification des procdures et mesures internes ncessaires lapplication des lois et rglements ainsi que les rgles de bonne conduite et des principes de comportement fixs par les instances professionnelles et le groupe, -assistance mtier pour lapplication des lois, rglements, procdures et normes internes, -contrle du respect des rgles et procdures conformit (de manire centrale ou dlgue).
Ainsi, la Direction du Contrle Interne de cette entreprise va sans doute se dvelopper dans un futur proche et accueillir de nouveaux collaborateurs afin de mettre en place cette fonction, mme si cela pose problme puisque qu'une fonction quivalente existe dj au sein du dpartement Juridique. Cette question n'a donc pas encore t totalement traite au sein de cette entreprise, et devrait provoquer des changements importants en termes de rorganisation. Un troisime interlocuteur m'a expliqu que cette fonction est dj mise en place au sein de son entreprise, mais qu'aujourdhui, le Contrle Interne et la Direction Juridique sen occupent. L'organisation n'est donc pas trs claire et dfinie : la Direction Juridique soccupe de la veille rglementaire et de la diffusion de linformation, et le Contrle Interne soccupe en particulier de la lutte anti-blanchiment et de la lutte contre la fraude. Pour tre en conformit avec Solvabilit 2, il va tre ncessaire de modifier et amliorer cette organisation. Il faudra galement amliorer l'organisation de la diffusion de linformation rglementaire. Il y a actuellement un dbat sur ce qui doit tre modifi dans ce systme, au sein de cette entreprise. Un autre interlocuteur m'a prcis que cette fonction Conformit, qui consiste s'assurer que l'entreprise respecte bien les diverses rgles auxquelles elle est soumise, existait dj au sein de son entreprise, mais qu'il a fallu la sparer du service Juridique afin de la spcialiser et donc de respecter les exigences de Solvabilit 2. D'autant qu'il y a de plus en plus de textes et d'exigences respecter ; cette fonction aurait donc pris de l'importance mme sans les dispositions de Solvabilit 2. Afin de respecter la directive, il a fallu consolider cette fonction et la placer au niveau de la Direction des Risques afin de la lier au Contrle Interne, l'Actuariat et au Risk Management. Cela permet de regrouper au sein d'une mme structure ces fonctions, qui pourront fonctionner ensemble : des synergies pourront se mettre en place entre les services. Cette entreprise a donc dcid de ne pas attendre et d'adopter cette organisation ds aujourd'hui. De mme, un dernier interlocuteur m'a expliqu que son entreprise a d'ores-et-dj mis en place une fonction Conformit. Les missions principales de la nouvelle fonction Conformit de ce groupe seront les suivantes : -s'assurer que des veilles existent dans tous les domaines de l'entreprise. Par exemple, aujourd'hui, une veille existe au niveau de la Retraite mais pas au niveau de l'Assurance de Personnes et de la Comptabilit, par exemple. Les comptables suivent bien sr l'volution des lois, mais cela n'est pas ralis de manire rigoureuse et formalise. Ainsi, lorsque ces veilles n'existent pas, la Conformit devra s'en charger. -s'assurer que des plans d'action sont mis en place afin d'aboutir une conformit avec la loi, si cela n'est pas encore le cas. Ces plans d'action devront tre valids par les Directeurs concerns ou les Directeurs Gnraux Adjoints. Par exemple, en ce qui concerne la fiscalit des Institutions de Prvoyance, il faudra s'assurer que la Comptabilit a un plan d'action. De mme, en ce qui concerne la troisime directive de lutte anti-blanchiment
(datant d'il y a trois ans), la fonction Conformit devra s'assurer que l'on y rpond bien aujourd'hui, tant donn que cette fonction n'existait pas l'poque. Cette fonction Conformit sera donc proche du Contrle Interne car elle devra raliser des contrles priodiques, mais galement de l'Audit Interne, car elle sera amene collaborer avec les auditeurs pour certaines missions, et du dpartement Juridique car elle fournira ce dpartement tous les documents, textes et lois auxquels est soumise l'entreprise. Elle devra galement rdiger un rapport sur la Conformit qui prsentera entre autres son activit ainsi que toutes les lois auxquelles est soumis le groupe. Globalement, d'aprs un interlocuteur, les missions principales de cette fonction consisteront vrifier que les contrats vendus sont conformes la loi, que les contrles entrants et sortants concernant la lutte anti-blanchiment sont bien raliss, et que la confidentialit des donnes (donnes mdicales notamment) est respecte. Solvabilit 2 exige galement que cette fonction dispose de cartographies des risques de non-conformit. Ainsi, la mise en place de cette fonction reprsente une nouveaut dans le monde de l'assurance, ce qui la rend difficile mettre en place. D'autant qu'elle est difficile apprhender car de l'ordre du juridique. Ainsi, cette partie de Solvabilit 2 a t globalement assez peu travaille par les entreprises pour le moment, notamment pour ce qui est des contrles de second niveau. La veille et le dploiement des exigences rglementaires semblent avoir bnfici de plus d'attention. Mme au sein des entreprises qui ont dj mis en place une fonction Conformit, celle-ci n'en est qu' ses balbutiements. Enfin, pour les entreprises qui disposent dj de l'quivalent d'une telle fonction au sein d'un dpartement Juridique, Solvabilit 2 entrane une rorganisation puisque dsormais, cette fonction devr a faire partie du dpartement Contrle Interne. Les entreprises devront donc commencer par formaliser le dispositif de contrle de conformit : description des procdures de contrle de conformit (veille, nouvelles activits, rglementation, fiscalit, placements, lutte anti-blanchiment, etc..), dfinition du champ daction du contrle de la conformit et des rles et responsabilits en ce qui concerne la veille et le contrle. Pour les entreprises qui ne disposent pas encore de cette fonction, il faudra commencer par dfinir un cadre et une mthodologie de contrle de la conformit, puis mettre en uvre la fonction en lui assignant des collaborateurs. Cette exigence de Solvabilit 2 peut avoir un aspect contraignant court terme, mais la mise en place d'une telle fonction ne peut tre que bnfique l'entreprise sur le long terme, notamment dans un environnement aussi complexe (lois et rglementations respecter de plus en plus nombreuses etc.). Cette fonction est d'autant plus importante qu'en cas de non respect des dispositions lgales, rglementaires et des normes professionnelles/dontologiques, il y a un risque de sanction judiciaire, administrative ou disciplinaire, d'atteinte la rputation et de pertes financires , d'aprs l'ACP.
5/ Renforcement du contrle des dlgataires
La directive entrane galement un renforcement du contrle des sous-traitants ( voir annexe 13 : reprsentation de la sous-traitance), au travers de l'article 49 :
1. Les tats membres veillent ce que, lorsqu'elles sous-traitent des fonctions ou des activits d'assurance ou de rassurance, les entreprises d'assurance et de rassurance conservent l'entire responsabilit du respect de l'ensemble des obligations qui leur incombent en vertu de la prsente directive. 2. La sous-traitance d'activits ou de fonctions oprationnelles importantes ou critiques n'est pas effectue d'une manire susceptible d'entraner l'une des consquences suivantes: a) b) c) d) 3. nuire gravement la qualit du systme de gouvernance de l'entreprise concerne; accrotre indment le risque oprationnel; compromettre la capacit des autorits de contrle de vrifier que l'entreprise concerne se conforme bien ses nuire la prestation continue d'un niveau de service satisfaisant l'gard des preneurs.
obligations;
Les entreprises d'assurance et de rassurance informent en temps utile les autorits de contrle de leur intention de sous-traiter des activits ou des fonctions importantes ou critiques, puis de toute volution importante concernant ces activits ou ces fonctions.
Solvabilit 2 et la mesure d'application correspondante ( voir annexe 7) prcise donc qu'il est important de contrler tous les dlgataires et partenaires, et entrane donc un renforcement de ces contrles. Ainsi, la politique de sous-traitance doit faire lobjet dun document crit et approuv par les instances dirigeantes de la socit, et un dispositif de contrle particulier doit tre mis en place sur les activits dlgues/externalises. Lassureur dlguant ne peut se prvaloir de lexistence dun systme de matrise des risques chez le dlgataire pour ne pas procder ses propres contrles : il doit matriser ses risques mme lorsqu'il sous-traite une activit, ce qui est banal dans le monde de l'assurance. D'aprs l'un de mes interlocuteurs, l'application de la directive entrane pour l'entreprise un certain nombre d'obligations et d'interdictions : -Le recours la sous-traitance ne doit pas conduire compromettre la qualit du systme de gouvernance, accrotre le risque oprationnel, compromettre le contrle par les superviseurs de lexcution des obligations de lassureur, et nuire la prestation continue dun niveau de service satisfaisant lgard des clients. Outre les sanctions de droit commun, le constat dun de ces lments pourrait entraner un capital add-on (pnalit impose par l'ACP prenant la forme d'un supplment de capital ajout au SCR calcul). -De plus, l'entre en affaire avec le sous-traitant devra faire lobjet dtapes de contrle documentes : audit des capacits du sous-traitant, vrification des ressources financires du sous-traitant, vrification de l'efficacit des systmes de Risk Management et de Contrle Interne du sous-traitant, vrifications de l'absence de conflits
dintrt, revue des contrats par les organismes de direction de lassureur, etc. La procdure de slection des sous-traitants doit donc tre fortement renforce et formalise, comme l'indique en dtail le texte du CEIOPS. -Le contrat de sous-traitance doit contenir des clauses permettant de scuriser lactivit par un suivi des risques et le maintien dun systme de contrle satisfaisant : audits et contrles permanents, revue des plans de continuit dactivit du sous-traitant, critres de confidentialit des donnes de l'entreprise respecter notamment. L'entreprise doit donc connatre et matriser les risques de l'activit qu'elle sous-traite, en tant rellement implique dans le processus de contrle de cette activit. -Enfin, les entreprises doivent informer pralablement les autorits de contrle de leur intention de sous-traiter des activits ou des fonctions importantes, et toute volution importante ultrieure concernant ces fonctions ou ces activits doit galement faire lobjet dune information. Pour les entreprises d'assurance, il va donc falloir renforcer les fonctions qui existent, comme le Contrle Interne, afin de mieux contrler leurs dlgataires. Solvabilit 2 demande galement un reporting sur ce sujet : pour assurer un contrle efficace des fonctions ou des activits sous-traites, il est essentiel que les autorits de contrle de l'entreprise d'assurance sous-traitante aient accs toutes les donnes pertinentes dtenues par le prestataire du service externalis, qu'il s'agisse d'une entit rglemente ou non, et puissent effectuer des inspections sur place . Solvabilit 2 demande donc l'entreprise de matriser ses propres risques, mais considre juste titre que l'entreprise est galement responsable de ses risques lorsqu'elle a recours des prestataires externes : le recours la sous-traitance ne dgage pas une entreprise de ses responsabilits, et l'assureur doit matriser le processus sous-trait. Les assureurs doivent donc mesurer les risques supports par les fonctions sous-traites, en faire un rapport, et le prsenter au Conseil d'Administration pour validation. Cela concerne aussi la soustraitance l'intrieur d'un mme groupe : ainsi, pour l'un de mes interlocuteurs, le prestataire informatique de son groupe est aussi concern. Afin de matriser les activits dlgues, l'entreprise qui dlgue ses activits doit mettre en place des contrats dfinissant les exigences en matire de ralisation des oprations, exiger la mise en place de dispositifs de matrise et de contrle des risques sur les oprations dlgues, instaurer la mise en place de reporting adquats, et prvoir des clauses daudit sur les risques majeurs des oprations dlgues. En effet, Solvabilit 2 demande de contrler les sous-traitants de manire rcurrente, en priorit sur des sujets porteurs de risques importants (par exemple, mettre en place un contrle des sommes que versent les soustraitants l'entreprise). Ce contrle fera ensuite l'objet d'un rapport, ou plutt d'une note faisant partie du rapport sur le Contrle Interne, qui sera prsente par le Contrle Interne au Conseil d'Administration. Ce
contrle doit tre prvu dans le contrat pass entre l'entreprise et ses sous-traitants, qui doit videmment prciser que l'entreprise a un droit de contrle. Des audits priodiques seront donc effectus par la suite : le Contrle Interne sera en charge de ces audits, voire les oprationnels eux-mmes. Au sein de l'entreprise de l'un de mes interlocuteurs, l'une des missions officielles du dpartement Contrle Interne est d'ores-et-dj la coordination du contrle de la sous-traitance, en lien avec les dpartements oprationnels. Les pilotes de processus, les Correspondants de Contrle Interne, les cellules de Contrle Interne et les oprationnels doivent veiller au recensement et lvaluation des risques de leur primtre dactivit, en veillant intgrer les activits externalises qui y sont rattaches. Le dpartement Contrle Interne est ensuite charg de raliser un audit du dlgataire, qui se droule quasiment de la mme faon qu'une mission d'audit classique : -envoi d'une lettre de mission au dlgataire quelques semaines avant l'audit, -prparation de la mission en regroupant les documents internes, -demande effectue auprs du dlgataire afin d'obtenir la documentation relative son dispositif de Contrle Interne, -analyse des informations recueillies, -ralisation de l'audit sur place partir des lments recueillis pendant la phase de prparation, -animation du dbat contradictoire chez le dlgataire concern, -rdaction du rapport d'audit et de la lettre de fin de mission, -envoi du rapport au dlgataire pour validation, -par la suite, ralisation d'un suivi trimestriel des actions mises en place par le dlgataire suite aux recommandations formules. Ce ne sera donc pas l'Audit Interne de se charger de ce contrle des sous-traitants, mais l'Audit pourra ventuellement contrler le dispositif de contrle des sous-traitants afin de s'assurer qu'il est bien mis en place. En effet, mme si le contrle des dlgataires n'est pas du ressort de l'Audit Interne, les auditeurs pourront s'assurer au cours d'une mission que les quipes et le dpartement Contrle Interne contrlent correctement le(s) dlgataire(s) de l'entreprise. Un autre interlocuteur m'a expliqu que le contrle des dlgataires est dj mis en place dans son entreprise, et qu'il est pilot directement par les services concerns. Il existe galement un service ddi au pilotage des dlgataires, rattach la Direction Gnrale, qui est charg de sassurer que les dlgataires ont mis en place un dispositif de Contrle Interne conforme aux attentes de l'entreprise. Ce service existe depuis 6 ans. LAudit Interne peut tre amen auditer ce sujet, et un audit du contrle des dlgataires a dj eu lieu au sein de cette entreprise, mission au cours de laquelle les auditeurs sont alls rencontrer deux dlgataires (sur quarante).
Afin de se mettre en conformit avec ce point de la directive, les entreprises devront commencer par mettre en uvre les actions suivantes : -Recenser le primtre de la sous-traitance : identification des processus lis aux activits dlgues/ externalises, raliser une cartographie des protocoles existants (existence, validit etc.), -Identifier les risques lis aux activits dlgues/externalises et les objectifs de pilotage et de matrise de ces activits (qualit, dlais, exhaustivit, scurit, conformit, etc.), -valuer les actions de matrise des risques existantes et dfinir des actions complmentaires mettre en place si ncessaire afin de renforcer le contrle des dlgataires : actions de matrise mises en uvre par le groupe (indicateurs de suivi, actions de contrles/audit, etc.), actions de matrise partages avec le partenaire (dont la mise en place de protocoles ou de conventions de partenariat), actions de matrise mises en uvre par le partenaire (ralisation de contrles, qualifications et assurances professionnelles, etc.), -Dfinir une politique de sous-traitance, -Mettre en uvre les procdures de contrles et effectuer un suivi des actions de matrise des risques et indicateurs de reporting. Solvabilit 2 n'impose pas ce renforcement du contrle des dlgataires par hasard : en effet, l'une des spcificits du secteur de l'assurance est la gestion dlgue, et il est donc essentiel que l'entreprise matrise toutes ses activits, y compris celles qu'elle sous-traite. Il est donc rare qu'un tel contrle ne soit pas dj mis en place au sein des entreprises, mme sous une forme rudimentaire, ce qui est positif. Si ce n'est pas fait, la directive impose de le mettre en place. Pour les entreprises qui effectuent dj ce contrle de leurs dlgataires (c'est--dire une grande majorit d'entreprises), il va donc surtout falloir renforcer les contrles dj en place, notamment en termes de mthodologie (plus de formalisme et de reporting).
d
6/ Contrle des dirigeants
L'article consacr aux exigences d'honorabilit et de comptence applicables aux personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls est l'article 42 :
1. Les entreprises d'assurance et de rassurance veillent ce que toutes les personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls satisfassent en permanence aux exigences suivantes: a) b) 2. leurs qualifications, connaissances et exprience professionnelles sont propres permettre une gestion saine et leur rputation et leur intgrit sont de bon niveau (honorabilit).
prudente (comptence);
Les entreprises d'assurance et de rassurance communiquent aux autorits de contrle tout changement survenu dans l'identit des personnes qui dirigent effectivement l'entreprise ou qui assument la responsabilit d'autres fonctions-cls, ainsi que toute information ncessaire pour apprcier si toute personne nouvellement nomme la direction de l'entreprise satisfait aux exigences d'honorabilit et de comptence.
Limpact du pilier 2 de Solvabilit 2 ( Gouvernance des risques ) sur les fonctions Audit Interne, Contrle Interne et Risk Management 3. Les entreprises d'assurance et de rassurance informent les autorits de contrle du remplacement de toute personne vise aux paragraphes 1 et 2, parce qu'elle ne remplissait plus les exigences nonces au paragraphe 1.
Ainsi, afin de respecter cet article et les mesures d'application correspondantes ( voir annexe 7), des critres Fit & Proper doivent s'appliquer aux fonctions-cls de l'entreprise, et les responsables concerns seront dsormais plus contrls. En effet, pour rpondre aux obligations de Solvabilit 2, il convient de dfinir et rpertorier ces fonctions-cls et les comptences requises afin de les exercer, formaliser des fiches de fonction, dfinir des critres de comptences, valider ces critres lappui de pices justificatives (diplmes, formation, valuation, etc.), et concernant l'honorabilit, un extrait de casier judiciaire sera systmatiquement demand par lACP pour les personnes occupant des fonctions-cls. Ainsi, il faudra notifier l'autorit de contrle tout changement de personnes dirigeant l'entreprise (Prsident du Conseil, Directeur Gnral) ou occupant une fonction-cl, ainsi que tous les lments permettant d'apprcier leur honorabilit et leur comptence (CV, rfrences, casier judiciaire etc.). Par ailleurs, il convient de prvoir un processus dvaluation et de revue systmatique du respect de ces critres.
Les fonctions-cls usuelles identifies par la directive sont la Direction Gnrale, la Direction comptable et financire, le Contrle de Gestion, la Direction technique (actuariat), le Risk Management, le Contrle Interne et l'Audit Interne.
Ces exigences revues la hausse concernant le contrle des dirigeants s'expliquent par le fait que les compagnies d'assurance doivent tre gres de faon saine et prudente, et ce afin de mieux protger les intrts des assurs, ce qui est un des buts premiers de Solvabilit 2. cet gard, il apparat essentiel que les personnes occupant des postes-cls (les membres du Conseil d'Administration et de ses manations , le management, les principaux Directeurs) fassent preuve de comptence et ne constituent pas un risque pour les intrts de l'entreprise, par exemple par le biais de conflits d'intrts ou d'une activit criminelle. Les exigences de Solvabilit 2 concernant le contrle des dirigeants vont donc concerner l'aptitude et la probit des membres du Conseil et des personnes qui occupent des postes-cls de gestion, et l'autorit de contrle va contrler ces points. Les entreprises devront donc dmontrer que ces personnes sont qualifies et comptentes et que le Conseil a suffisamment de connaissances et de comptences pour exercer un contrle efficace ainsi quune vritable analyse et une remise en question des dcisions de la Direction. Pour exemple, l'un de mes interlocuteurs m'a prcis que pour son entreprise, les CV des personnes-cls que sont le Directeur de l'Audit Interne, le Directeur des Risques, le Directeur du Contrle Interne, et le Directeur Gnral vont tre envoys lautorit de contrle, qui va galement vrifier s'ils ont un casier judiciaire vierge. Ainsi, les personnes-cls devront satisfaire des exigences en termes de comptence (qualifications, connaissances, expriences professionnelles propres permettre une gestion saine et prudente de l'activit) et d'honorabilit (rputation et intgrit). Tous ces critres seront analyss par l'ACP.
Il faut prciser que lACP intervient dores-et-dj au sein des entreprises afin danalyser leur systme de gouvernance : ce renforcement du contrle des dirigeants nest pas une rvolution mais plutt une version plus pousse et plus formalise dun contrle qui existe dj. Ce changement est sans doute positif car les grandes assurances grent de trs nombreux clients et des capitaux levs : il apparat donc logique dobtenir lassurance que les dirigeants de ces entreprises sont comptents et peuvent assumer leurs responsabilits. On peut cependant mettre des rserves sur cette nouveaut puisqu'il apparat difficile de vritablement juger ces critres de faon objective. Que signifient par exemple une intgrit et une rputation de bon niveau ? Comment lACP peut-elle sassurer que leurs qualifications sont propres permettre une gestion saine et prudente ? Ces lments apparaissent difficiles juger, et il y a donc un risque que ce renforcement du contrle des dirigeants ne soit quun changement de faade et nait pas vraiment de fond. De plus, si lon comprend la ncessit dun tel contrle pour les grands groupes, on peut remettre en question sa pertinence pour les petites entreprises, qui seront pourtant galement soumises cette obligation. Nanmoins, lexistence de ce contrle tmoigne de l'intrt accord par la directive aux dirigeants de l'entreprise, et met en vidence le fait que les dirigeants ont un grand rle jouer dans la bonne gestion de l'activit. 7/ Pas de changements majeurs ?
Le Contrle Interne, le contrle des sous-traitants ainsi quun quivalent de la fonction Conformit existent dj dans la plupart des entreprises. Sur ces points, la directive ne fait donc que confirmer et renforcer ce qui existe dj. De plus, des volutions rglementaires (notamment la loi sur la Scurit Financire de 2003, le dcret du 19 mai 2008 sur le Contrle Interne et la loi du 3 juillet 2008) qui ont eu lieu avant Solvabilit 2 allaient dj dans le mme sens.
Solvabilit 2 n'entrane donc pas de rvolutions dans le domaine du Contrle Interne. Par exemple, la loi Sarbanes-Oxley, en 2002, entranait dj l'obligation pour les socits cotes de mettre en place un systme de Contrle Interne s'appuyant sur un cadre conceptuel comme le COSO. Cependant, cette loi ne sapplique pas en Europe mais uniquement aux tats-Unis.
De plus, le rapport sur le Contrle Interne prsenter au Conseil d'Administration pour validation vient l'origine de la LSF (1er Aot 2003), et pas de Solvabilit 2. La LSF a en effet instaur le rapport du Prsident du Conseil
d'Administration dcrivant le gouvernement d'entreprise et le dispositif de Contrle Interne, afin d'informer les actionnaires et le march sur ces sujets. De mme, en France, en 2006, la mise en place d'un dispositif permanent de Contrle Interne a t rendue obligatoire pour les entreprises d'assurance par le dcret du 13 mars. Ce dcret prvoyait galement les domaines d'intervention de ce dispositif de Contrle Interne (placements, gestion actif/passif, gestion des risques, suivi de la gestion des sinistres, des filiales et des activits externalises). De plus, ce dcret voquait aussi le rapport sur le Contrle Interne soumettre annuellement pour approbation au Conseil d'Administration, en allant plus loin que la LSF et en prcisant de manire dtaille le contenu de ce rapport. L'entreprise doit notamment y dcrire les procdures et dispositifs permettant de grer les risques lis aux engagements de l'entreprise, les procdures permettant de vrifier que les activits de l'entreprise sont menes selon les stratgies tablies par la direction et sont conformes aux dispositions rglementaires, les procdures de Contrle Interne mises en place, et la conformit des oprations d'assurance la rglementation et aux orientations internes l'entreprise.
Concernant le service Contrle Interne en lui-mme, ce rapport doit prciser ses objectifs, la mthodologie employe, le positionnement hirarchique de la structure, son organisation, les comptences et l'exprience des quipes. Ce rapport va donc au-del des informations financires et comptables en instaurant une dimension qualitative dans la gestion des risques. En ce sens, ce dcret peut tre vu a posteriori comme une opportunit pour se prparer aux exigences du pilier 2 de Solvabilit 2, d'autant plus que les domaines d'intervention du dispositif de Contrle Interne prvus par ce dcret correspondent aux domaines d'application prvus par Solvabilit 2.
Puis en 2008, la mise en place d'un dispositif permanent de Contrle Interne est aussi devenue une obligation pour les Institutions de Prvoyance et les mutuelles.
En effet, le dcret du 19 mai 2008 relatif au Contrle Interne des Institutions de Prvoyance et des mutuelles indiquait l'obligation pour celles-ci de mettre en place un dispositif permanent de Contrle Interne mais prcisait galement que le Conseil d'Administration doit approuver, au moins annuellement, un rapport sur le Contrle Interne, qui est transmis l'Autorit de contrle des assurances et des mutuelles, lACP. Le dcret dtaille aussi le contenu de ce rapport, qui doit voquer les sujets suivants : objectifs, mthodologie, position et organisation gnrale du Contrle Interne au sein de lentreprise, mesures prises pour assurer l'indpendance et l'efficacit du Contrle Interne, procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contrler les risques etc., et doit tre divis en deux parties ( description des conditions de prparation et dorganisation du Conseil dAdministration et prsentation du Contrle Interne et des mesures prises pour en assurer
lindpendance et lefficacit ).
L'objectif de ces dcrets tait donc dj de matriser lensemble des oprations concourant lactivit et porteuses de risques : -la gouvernance, avec les diffrentes instances, -l'organisation gnrale du Contrle Interne, -les procdures lies la conformit des oprations dassurance aux dispositions lgislatives et rglementaires, -le domaine des placements et la gestion actif-passif, -les procdures relatives aux risques grs et l'information financire et comptable, -les procdures de gestion (en particulier pour la gestion externalise). Cela montre donc que Solvabilit 2 n'a rien d'une rvolution en ce qui concerne le Contrle Interne et ne fait que renforcer ce qui existait dj. D'autre part, une recommandation du CTIP de 2008 sur le rle du Conseil dAdministration des Institutions de Prvoyance en matire de Contrle Interne prcise les modalits de mise en uvre du Contrle Interne dans les Institutions de Prvoyance tel quinstitu par le dcret du 19 mai 2008, et plus spcifiquement le rle dvolu au Conseil dAdministration sur ce sujet.
Cette recommandation rappelle que l'entreprise est tenue de mettre en place un dispositif permanent de Contrle Interne, puis rappelle les fonctions principales du Conseil dAdministration (assurer le suivi de lefficacit du systme de Contrle Interne et de la gestion des risques etc.), et prcise que lentreprise doit soumettre annuellement un rapport sur le Contrle Interne lapprobation du Conseil dAdministration. Ce rapport dcrit notamment les procdures de Contrle Interne mises en place, ainsi que leurs objectifs, en insistant notamment sur : -le contrle interne des placements, -la conformit des oprations dassurance la rglementation et aux orientations internes lentreprise, -les risques lis aux engagements de lentreprise, -les risques lis aux filiales, aux activits externalises et aux modes de commercialisation, ainsi que les procdures dlaboration et de vrification de linformation financire et comptable. Par la suite, la loi du 3 juillet 2008 (transposition des quatrime et septime directives europennes) a complt le rapport LSF et a entran l'obligation pour les entreprises de se conformer un cadre de rfrence de Contrle Interne comme le COSO ou le rfrentiel de l'AMF, qui doivent donc faire rfrence un code de gouvernement d'entreprise dans leur rapport LSF. Si elles ne le font pas, elles doivent le justifier. De plus, cette loi modifie le rapport LSF en demandant aux entreprises de raliser une description de leur dispositif de gestion des risques, en plus du dispositif de Contrle Interne. Cette loi concerne cependant uniquement les socits faisant appel public l'pargne.
Enfin, en ce qui concerne la Conformit, d'aprs le dcret du 13 mars 2006 relatif au Contrle Interne des entreprises dassurance, le rapport annuel doit dtailler les procdures permettant de vrifier la conformit des oprations dassurance aux dispositions lgislatives et rglementaires.
Ainsi, la directive Solvabilit 2 ne fait globalement que rappeler et renforcer ce qui existe dj sur tous ces points, en allant dans le sens des dernires rformes franaises ayant pour but de renforcer les mcanismes de Contrle Interne et la gouvernance. D'autant que les Groupes de Protection Sociale reoivent rgulirement des instructions et des recommandations provenant du CTIP ou des fdrations Agirc-Arrco en matire de Contrle Interne et de matrise des risques.
L'intrt principal de Solvabilit 2 en ce qui concerne le Contrle Interne vient donc du fait que cette directive doit tre applique par toutes les assurances, Institutions de Prvoyance et mutuelles, dans tous les pays europens, et qu'elle dpasse donc le droit national et les particularits de chaque entreprise. Elle se base donc, sur certains points, sur des lois qui l'ont prcde, afin de les globaliser l'ensemble des pays europens et de diffuser les bonnes pratiques. Ceci est un des aspects positifs principaux de la directive.
B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrle Interne 1/ Gnralisation du Contrle Interne
Afin de respecter les exigences de la directive, toutes les compagnies d'assurance, Institutions de Prvoyance et mutuelles doivent mettre en place un dispositif permanent de Contrle Interne et produire des procdures et un rapport dcrivant lactivit et les missions du Contrle Interne. Ce rapport dcrira galement les objectifs, la mthodologie employe, le positionnement hirarchique de la structure, son organisation, les comptences et l'exprience des quipes ainsi que les mesures prises pour en assurer l'indpendance. Il est donc ncessaire de disposer dun cadre dfini pour cette activit. Cependant, la directive en elle-mme reste assez vague et voque simplement la prsence ncessaire d'un systme de Contrle Interne efficace et d'un cadre de Contrle Interne, mme si des mesures dapplication viennent la complter. Cela n'apporte donc pas grand-chose pour les entreprises qui disposent dj d'une fonction Contrle Interne : tout au plus, ces entreprises devront amliorer ce quelles font dj, mme si cela peut dj constituer une charge de travail leve. En revanche, pour les entreprises qui ne possdent pas de service ddi cette fonction, la directive les contraint crer une fonction ddie : le problme vident pour les petites structures reste leur manque de moyens, mais cela sera certainement bnfique pour ces entreprises sur le long terme. La directive a donc le mrite dentraner une gnralisation du Contrle Interne dans toutes les entreprises concernes par la directive, au niveau europen. 2/ Renforcement des bonnes pratiques
En dehors de la cration de la fonction Conformit, l'article consacr au Contrle Interne, l'instar de l'article sur l'Audit Interne (voir partie 4), rappelle surtout les bonnes pratiques (type COSO). Ces bonnes pratiques sont principalement : -Possder un systme de Contrle Interne efficace, -Disposer d'un cadre et d'une mthodologie de Contrle Interne, -Disposer de procdures administratives et comptables et de modes opratoires, -Disposer de plans de contrle, -Disposer d'habilitations informatiques, -Mettre en place des sparations de tches, -Mettre en place des contrles (de premier niveau, de second niveau, contrle des dlgataires, etc.) et analyser les rsultats de ces contrles (reporting) dans tous les domaines de l'entreprise,
-Selon les rsultats des contrles, mettre en uvre des actions correctives si besoin. Ainsi, pour les moyennes et grandes entreprises qui disposent dj dune telle fonction, cet article vient seulement confirmer et renforcer les bonnes pratiques dj mises en uvre, et dveloppe le rle du Contrle Interne.
Un autre avantage vient du fait quil nexiste pas aujourd'hui de dfinition unique du Contrle Interne. En effet, diffrents cadres de rfrence existent, en France et l'tranger (rfrentiel de l'AMF, rfrentiel COSO, etc.), donnant des dfinitions assez diffrentes de ce que doit tre le Contrle Interne ( voir lexique), et pouvant crer des divergences importantes d'une entreprise l'autre. Or les activits de contrle dcrites dans le pilier 2 de Solvabilit 2 consistent dfinir et harmoniser les activits de surveillance au niveau des entreprises : Solvabilit 2 permet donc de donner une dfinition et des pratiques de Contrle Interne applicables par toutes les socits d'assurance, renforant ainsi les bonnes pratiques vues prcdemment. 3/ Renforcement de la matrise des risques
La gnralisation du Contrle Interne ainsi que le renforcement des bonnes pratiques en matire de Contrle Interne et de Conformit va obligatoirement entraner un renforcement de la matrise des risques, ce qui est positif pour les entreprises. Le service ddi devra en effet raliser des activits de contrle couvrant toutes les zones de risques majeures de lentreprise. De plus, l'un des responsables que j'ai rencontrs m'a indiqu que son entreprise, qui dispose dj d'un dispositif de Contrle Interne trois niveaux constitu du dispositif des oprationnels, du dispositif hirarchique (Contrle Interne ralis par les responsables d'quipe) et de l'Audit Interne, qui effectue un contrle priodique/ponctuel, allait tendre la dmarche Contrle Interne des Directions qui ne sont pour linstant pas concernes, comme la Direction du Dveloppement, la Direction Comptable et Financire dont la Direction Technique, etc. Une dmarche dextension du primtre du Contrle Interne est donc en cours au sein de cette entreprise. L'aspect positif principal entran par Solvabilit 2 est donc l'amlioration de la matrise des risques, puisque cette entreprise disposait dj dune fonction Contrle Interne : la directive a eu pour effet principal daugmenter son primtre de travail. Enfin, un Directeur rencontr ma prcis quau sein de son entreprise, Solvabilit 2 a pour effet positif de recentrer les fonctions Risk Management, Contrle Interne et Conformit au niveau d'une mme Direction, la Direction des Risques, alors quauparavant, le Contrle Interne pouvait tre dploy sur certains mtiers et pas sur d'autres, et la Conformit tait au niveau du Juridique, par exemple. Ce changement va donc renforcer lactivit de matrise des risques en lui donnant un cadre prcis, et favorisant la possibilit de synergies entre ces fonctions qui sont tout de mme trs similaires.
4/ Lgitimit accrue de la fonction Contrle Interne
La directive lgitime et renforce la fonction Contrle Interne car Solvabilit 2 implique de disposer de cartographies des risques et des contrles tous les niveaux. Ceci existe dj dans les grands groupes, mais cela force les petites mutuelles mettre en place un dispositif de Contrle Interne, ou le renforcer, ce qui est positif du point de vue de la matrise des risques. Pour les grands groupes, la directive n'entrane pas de grands changements car un dispositif de Contrle Interne est dj en place, mais renforce la lgitimit de cette fonction, car le COSO n'a rien d'obligatoire alors que Solvabilit 2 est une loi. Limportance leve que lui accorde la directive est donc un signe de reconnaissance de l'utilit de cette fonction. De plus, la cration de la fonction Conformit, qui sera bien sr trs lie au Contrle Interne, participe galement prouver l'importance de celui-ci au sein de l'entreprise. Cette fonction Conformit sera en effet en charge de la veille (identifier les lois et rglements sappliquant lorganisation, analyser les nouveauts rglementaires et organiser leur diffusion au sein de lentreprise, et s'assurer de leur prise en compte dans les normes et pratiques de lorganisation), de l'animation du dispositif de conformit (valider les procdures au regard de la rglementation, identifier les risques de non-conformit et intgrer la conformit dans la culture de lorganisation), du contrle (identifier et mettre en place des contrles de conformit dans lorganisation, suivre les actions de contrles et raliser des contrles) et de l'assistance juridique (assistance de la Direction Gnrale en matire danalyse juridique en cas de ralisation dun risque de non conformit). Le champ dintervention de cette fonction devrait donc tre trs large. Ainsi, on constate que cette fonction aura une influence sur l'organisation toute entire, puisque son champ d'action s'tendra des oprationnels (avec les contrles de conformit) la Direction Gnrale. Elle met donc en avant l'importance du Contrle Interne et de la Conformit dans toute l'entreprise, et aucun membre de l'entreprise ne pourra l'ignorer. 5/ Pas d'augmentation massive de la formalisation
Solvabilit 2 indique simplement que l'entreprise doit disposer de cartographies des risques, matriser ses risques en mettant en place des contrles et rdiger des procdures ainsi qu'un rapport sur le Contrle Interne, mais n'exige pas un plus grand nombre de procdures. Une fois de plus, pour les entreprises qui disposent dj d'une fonction Contrle Interne, lapplication de la directive ne va pas changer en profondeur les mthodes de travail, mme si elle risque fortement dajouter une charge de travail supplmentaire en largissant le primtre dintervention de cette fonction. Pour les autres, cela va ncessiter un travail plus lourd (rdaction de procdures, mise en place de contrles et de reporting etc.).
A noter que les Groupes de Protection Sociale reprsentent un cas particulier : en effet, en plus d'avoir pour autorit de contrle l'ACP pour leur partie Assurances de Personnes, ils ont galement des comptes rendre aux fdrations Agirc-Arrco pour leur partie Retraite Complmentaire. Celles-ci fournissent rgulirement des recommandations en matire de Contrle Interne, notamment sur les sujets suivants : rdaction de procdures et de modes opratoires, contrles mettre en uvre, nature et niveau de reporting, actions correctives mettre en uvre, et gestion des habilitations informatiques. Ceci participe la mise en uvre d'une culture du Contrle Interne au sein de ces entreprises, et, pour de nombreuses entreprises, ces pratiques sont gnralises toutes leurs activits, et non cantonnes l'activit Retraite Complmentaire. Ainsi, Solvabilit 2 n'entranera pas pour ces entreprises une forte augmentation de la formalisation, puisqu'elles sont dj assez avances ce niveau. En revanche, les plus petites entreprises qui ne seraient pas encore dotes dun cadre prcis de Contrle Interne, voire mme dune fonction Contrle Interne, feront face une charge de travail leve afin de rpondre aux exigences de la directive en termes de mise en place des contrles et de formalisation.
C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour le Contrle Interne 1/ Disparition des conomies dchelle et perte de proximit entre les services ?
On peut penser que la stricte sparation des services Audit Interne, Contrle Interne et Risk Management dcoulant de l'application de la directive risque d'entraner une disparition des conomies dchelle ainsi qu'une perte de proximit entre ces services, au sein des entreprises qui les avaient runis. Par exemple, au sein d'une entreprise rencontre, la Direction du Contrle Interne est dsormais compltement spare du Risk Management et de l'Audit Interne, alors que ces fonctions taient auparavant runies. La disparition des conomies dchelle vient du fait que ces services, notamment le Risk Management et le Contrle Interne, vont continuer raliser des tches similaires (ayant trait la matrise des risques), tout en tant dsormais spars. Le Contrle Interne sera par exemple charg d'identifier les risques et d'instaurer un dispositif permanent d'identification des risques au-del d'une photographie instantane de l'exposition aux risques pouvant tre obtenue travers une cartographie. Pour cela, il faudra affecter les risques recenss travers l'exercice de cartographie selon les segmentations proposes par les acteurs, valider l'exhaustivit des risques recenss et structurer une dmarche de mise jour rgulire d'identification des risques. Enfin, il faudra procder une affectation des risques recenss selon la segmentation des risques retenue, et proposer une liste des risques et domaines de risques enrichir par rapport la cartographie dj cre. De mme, le Contrle Interne sera charg de se livrer une apprciation des risques, c'est--dire dfinir une mesure de l'exposition aux risques bruts et rsiduels pour les risques quantifiables, et d'valuer le risque de criticit des risques non quantifiables. Pour cela, il faut identifier, pour chaque risque, des paramtres quantitatifs et des facteurs qualitatifs ayant une influence sur la probabilit de survenance et son impact potentiel, et raliser une rpartition des risques entre ceux pouvant tre couverts par des capitaux propres (risques quantifiables) et les risques non quantifiables. Pour chaque risque, le Contrle Interne devra vrifier le choix des variables retenir pour le calcul de l'exposition (risques quantifiables) ou pour l'apprciation de leur criticit (risques non quantifiables) et laborer un processus de reporting permettant d'avoir une vue synthtique sur la situation. En conclusion, le Contrle Interne devra rdiger des plans d'action afin de rduire le niveau de risque rsiduel. Ainsi, ces deux exemples de missions refltent l'ide que la stricte sparation entre les services Risk Management et Contrle Interne entrane une disparition des conomies dchelle , car des missions de ce type pourraient tout fait tre ralises par un service Risk Management : cela montre bien que ces services ralisent globalement des missions assez similaires.
Ainsi, alors qu'auparavant, un seul service pouvait tre en charge de missions de ce type, les services Risk Management et Contrle Interne devront dornavant tre spars, tout en continuant raliser des tches relativement similaires, chacun de leur ct. C'est en cela que la sparation de ces services et la perte de proximit qui en dcoule entrane une disparition des conomies d'chelle , d'autant que les travaux de ces services gagneraient en pertinence si ces services travaillaient en troite collaboration : il sera donc impratif de crer au minimum des instances de coordination entre ces services afin que leurs travaux ne se chevauchent pas et qu'il n'y ait pas de rptitions. 2/ Redfinition des primtres
La cration de la fonction Conformit ( conformit aux lois & aux rglements ), peut entraner une redfinition des primtres. En effet, si une entreprise cre cette fonction pour une seule personne (par manque de moyens), il faudra obligatoirement redfinir prcisment les primtres de chaque fonction car cela pourrait empiter sur le travail dautres personnes, notamment les membres du service Juridique, qui ralisent des tches similaires celles que cette fonction Conformit aura sa charge. Solvabilit 2 entrane galement une rorganisation pour les entreprises qui disposent dj de l'quivalent d'une fonction Conformit au sein d'un dpartement Juridique, puisque cette fonction devra dsormais faire partie du dpartement Contrle Interne. Mes interlocuteurs ont confirm que ce changement s'accompagnait de rorganisations importantes (changements de services, nouveaux collaborateurs assigns cette fonction, etc.). De mme, la cration d'une fonction Contrle Interne au sein des entreprises qui ne disposeraient pas encore d'une telle fonction va forcment entraner une dfinition pralable de son champ d'intervention et de ses missions, afin d'viter que celles-ci n'empitent sur le travail dautres personnes et qu'il y ait des doublons. 3/ Charge en termes de livrables / reporting
Comme nous l'avons dit, Solvabilit 2 indique simplement que l'entreprise doit disposer de cartographies des risques, de procdures comportant des contrles de premier et de second niveau, de reporting sur ces contrles, et d'un rapport sur le Contrle Interne (dcrivant les objectifs du Contrle Interne, la mthodologie employe, le positionnement hirarchique de la structure, son organisation et les comptences et l'exprience des quipes), mais n'exige pas explicitement un plus grand nombre de procdures. Cependant, pour les entreprises qui ne disposent pas pour le moment d'un service Contrle Interne, la cration de cartographies des risques (en particulier oprationnels) afin de lister, valuer et quantifier ces risques, de procdures, d'indicateurs de risques, de plans de contrle et de divers rapports (rapport sur le contrle des sous-traitants etc.) va demander une charge de travail consquente, notamment en termes de formalisation.
Les entreprises qui disposent d'ores-et-dj d'un service Contrle Interne ne sont pas totalement pargnes non plus par cette augmentation des exigences de formalisation. Ainsi, l'un des Directeurs rencontrs m'a par exemple indiqu que le renforcement du contrle des dlgataires au sein de son entreprise demand par la directive entranait la consquence suivante : le service va devoir se renforcer, notamment en termes de mthodologie, de formalisme et de reporting. Afin de produire le reporting et d'alimenter les calculs, il faudra notamment cartographier les donnes de manire beaucoup plus rigoureuse et documente. 4/ Impact financier
Un dernier impact ngatif de ces nouvelles dispositions concerne l'impact financier lev caus par la cration d'un service ddi au Contrle Interne. Les petites entreprises qui ne disposent pas d'une telle fonction vont certainement tre amenes recruter, et vont devoir mettre en place une structure et un vritable dispositif de Contrle Interne. Ce point ngatif concerne galement, dans une moindre mesure, les entreprises qui disposent dj d'un service ddi, mais qui n'est pas assez consquent ou organis de manire assez rigoureuse pour satisfaire aux exigences de la directive. Ces changements risquent d'avoir un cot lev, notamment en termes de Ressources Humaines et de structuration. De mme, au niveau du Contrle Interne, un impact financier li une charge de travail importante se fera sentir si rien n'est prpar en termes de cartographies des risques et de contrles, et la cration de la fonction Conformit risque galement d'avoir un impact financier important. Une fois de plus, les grands groupes ne percevront pas cet aspect ngatif, mais les entreprises de taille plus modeste devront le surmonter. D'autant qu'en cas de dfaillance avec l'une des exigences majeures du pilier 2 telle que la mise en place dun dispositif permanent de Contrle Interne, des sanctions sur les capitaux propres sont d'ores-et-dj prvues par l'ACP.
Synthse sur le Contrle Interne Les composantes du pilier 2 s'inspirent du COSO : l'impact pour les grandes socits d'assurance ayant adopt le COSO comme rfrentiel de Contrle Interne sera donc globalement assez faible. L'enjeu majeur pour ces entreprises sera surtout d'largir le primtre des activits de contrle. En revanche, la mise en place d'un service Contrle Interne afin de se conformer aux exigences de la directive peut s'avrer longue et coteuse pour les entreprises de taille plus modeste : malgr l'application du principe de proportionnalit, le systme de Contrle Interne mis en place par les petites entreprises devra comprendre au minimum des procdures couvrant toutes les activits de l'entreprise, un cadre de Contrle Interne, des dispositions appropries en matire d'information prudentielle et une fonction permanente de Conformit. Notons tout de mme que dans le cadre de l'application du principe de proportionnalit, une sparation moins stricte des pouvoirs entre Contrle Interne et Risk Management sera tolre selon certaines circonstances, et les exigences de formalisation seront galement revues la baisse. Les fonctions Contrle Interne et Risk Management pourront mme tre fusionnes au sein des petites entreprises. La mise en place d'un dispositif de Contrle Interne ncessite une forte implication de la Direction Gnrale et de s'inspirer des meilleures pratiques du march : documentation homogne, liens formaliss entre les risques et les contrles, procdures de tests et de reporting sur l'efficacit des contrles. Cette obligation est donc une difficult supplmentaire pour les petites entreprises. En rsum, la directive indique qu'une fonction Contrle Interne doit exister au sein de l'entreprise : si ce n'est pas le cas, la directive entrane la cration d'un systme de contrle permanent, sans toutefois donner de dtails prcis. Les entreprises qui n'ont pas de fonction Contrle Interne vont devoir mettre en place une telle fonction, ce qui constitue un changement important et une charge de travail leve. Cependant, pour les entreprises qui disposent dj d'un service Contrle Interne, cet article n'entrane pas de changements majeurs, et va surtout entraner un renforcement des bonnes pratiques, ainsi qu'un renforcement du contrle des dirigeants (nous avons vu que la gouvernance est un sujet voqu avec insistance par la directive) ainsi qu'un renforcement du contrle des sous-traitants. Solvabilit 2 impose ce renforcement car l'une des spcificits de l'assurance est la gestion dlgue : il est donc rare qu'un tel contrle ne soit pas dj mis en place au sein des entreprises. Toutefois, si cela n'est pas fait, la directive impose de le mettre en place. La directive impose galement la cration d'une fonction Conformit placer sous l'autorit de la Direction du Contrle Interne, et lui accorde une importance particulire, en l'incluant dans le systme de gouvernance. Cette fonction reprsente une nouveaut dans le monde de l'assurance et sa mise en place n'est donc pas aise. Ainsi, cette fonction a t assez peu travaille par les entreprises pour le moment. Celles qui disposent dj de l'quivalent d'une telle fonction au sein d'un dpartement Juridique sont galement concernes par ce sujet car Solvabilit 2 indique que dsormais, cette fonction devra faire partie du dpartement Contrle Interne, entranant
donc une rorganisation. Le Contrle Interne et un quivalent de la fonction Conformit existant dj dans la plupart des entreprises, la directive ne fait que renforcer ce qui existe dj sur ces points. De plus, nous avons vu que des lois et dcrets ayant prcd Solvabilit 2 visaient dj renforcer le Contrle Interne au sein des assurances, Institutions de Prvoyance et mutuelles. La directive s'inspire donc de ces textes, tout en devant tre applique au niveau europen : elle dpasse donc le droit national et les particularits de chaque entreprise, ce qui fait tout son intrt. o Elle permet aussi de gnraliser le Contrle Interne et de renforcer les bonnes pratiques et la matrise des risques, ce qui sera positif pour les entreprises. La directive lgitime et renforce la fonction Contrle Interne car elle demande de disposer de cartographies des risques et des contrles tous niveaux. Ceci existe dj dans les grands groupes, mais cela force les petites mutuelles mettre en place un tel dispositif, ou le renforcer, ce qui est positif du point de vue de la matrise des risques. Pour les grands groupes, la directive n'entrane pas de grands changements car un dispositif de Contrle Interne est dj en place, mais renforce la lgitimit de cette fonction, car Solvabilit 2 est une loi, contrairement aux rfrentiels de Contrle Interne comme le COSO. L'importance accorde au Contrle Interne dans la directive est donc un signe de reconnaissance de l'utilit de cette fonction. Enfin, la cration de la fonction Conformit, qui sera lie au Contrle Interne, participe galement prouver l'importance du Contrle Interne au sein de l'entreprise. Un dernier point positif est que, contrairement ce que l'on pourrait croire, la directive n'entrane pas une augmentation massive de la formalisation. Cependant, la mise en conformit avec la directive peut entraner une disparition des conomies dchelle et une perte de proximit entre les services Audit Interne, Contrle Interne et Risk Management, puisqu'elle demande de les sparer. De plus, la cration de la fonction Conformit va obligatoirement entraner une redfinition des primtres. En termes de livrables / reporting, comme nous l'avons vu, pour les entreprises qui ne disposent pas pour le moment d'un service Contrle Interne, la cration de cartographies des risques oprationnels, de procdures et documentation, d'indicateurs de risques, de plans de contrle, de contrles de niveaux 1 et 2, et de divers rapports sur son activit va demander une charge de travail consquente. Enfin, les petites entreprises qui ne disposent pas d'une fonction Contrle Interne (ou si celle-ci n'est pas assez consquente) et d'une fonction Conformit vont certainement tre amenes recruter, et vont devoir mettre en place un vritable dispositif de Contrle Interne, ce qui aura un cot financier lev (ressources humaines, temps de travail, organisation, structuration etc.).
Partie 4 : les impacts du pilier 2 sur lAudit Interne A/ Les articles fondamentaux et leur traduction 1/ Article consacr l'Audit Interne (article 47)
L'article consacr l'Audit Interne est le suivant :

1. 2. Les entreprises d'assurance et de rassurance mettent en place une fonction d'audit interne efficace. La fonction d'audit interne value notamment l'adquation et l'efficacit du systme de contrle interne et d'autres lments du systme de gouvernance. 3. 4. La fonction d'audit interne est exerce d'une manire objective et indpendante des fonctions oprationnelles. Toute conclusion et toute recommandation de l'audit interne est communique l'organe d'administration ou de gestion, qui dterminent quelles actions doivent tre menes pour chacune de ces conclusions et recommandations de l'audit interne et qui veillent ce que ces actions soient menes bien.
Ainsi, pour rdiger cette partie, je me suis bas sur cet article mais aussi et surtout sur les nombreuses informations que j'ai obtenues au cours de mes diffrents entretiens avec des Responsables de lAudit Interne, car la directive et les Issue Papers du CEIOPS (voir annexe 7) traitent trs brivement de la fonction Audit Interne. Les changements entrans par Solvabilit 2 au niveau de l'Audit Interne sont donc les suivants : 2/ Sparation de l'Audit Interne et des autres fonctions
Solvabilit 2 rappelle tout d'abord la ncessit de disposer d'une fonction Audit Interne indpendante : la directive est claire puisqu'elle prcise que l'Audit Interne ( voir lexique) doit tre en dehors de toutes les autres fonctions (voir annexe 14 : le positionnement de l'Audit Interne dans l'organisation ). Ceci s'explique par le fait que les auditeurs internes peuvent tre amens aller auditer tous les autres services de l'entreprise. L'Audit Interne ne peut donc pas tre juge et parti. Ceci n'entrane pas de consquences majeures puisque l'Audit Interne est gnralement spar des fonctions oprationnelles, lheure actuelle (des exceptions existent cependant puisque lAudit Interne est parfois rattach la Direction Administrative et Financire de lentreprise). Cependant, l'article a galement comme consquence l'obligation de sparer les fonctions Contrle Interne et Audit Interne, ou Risk Management et Audit Interne, lorsque celles-ci sont regroupes au sein d'une mme direction, toujours dans cette optique d'indpendance de lAudit Interne. Ce point est plus contraignant pour les entreprises, puisque dans de nombreux cas, l'Audit Interne est rattach l'une de ces deux fonctions, notamment dans les Groupes de Protection Sociale. On trouve souvent, par exemple, des Directions de l'Audit et du Contrle Interne .
Lun des Directeurs de l'Audit que j'ai rencontrs m'a notamment expliqu qu'au niveau de l'Audit Interne, son entreprise n'est pas trs loigne de la mise en conformit avec Solvabilit 2 et que l'organisation de son service est solide (mme si ce Directeur pensait que son service nobtiendrait pas la certification IFACI lheure actuelle s'il venait en faire la demande). L'Audit Interne de ce petit groupe de Protection Sociale existe depuis une vingtaine dannes : pendant les 10 premires annes, le service ntait compos que dun Directeur et dun collaborateur mais aujourdhui, il est compos d'un Directeur et de trois collaborateurs, qui appliquent la mthodologie, les normes et le code de dontologie de lIFACI, et possdent une charte de lAudit Interne. Ce service est rattach la Direction Gnrale. Cependant, pour des raisons historiques, le Contrle Interne et lAudit Interne sont regroups au sein d'une mme direction, et ce Directeur est donc pour l'instant Directeur de l'Audit et du Contrle Interne . Solvabilit 2 entrane donc ici un changement important puisque, pour des raisons dindpendance, il est ncessaire de procder une sparation entre ces deux services. Cela n'a pas encore t ralis (en mars 2011), mais une rflexion sur ce sujet a t mene, et il a t dcid qu'un Directeur du Contrle Interne sera nomm (lun des contrleurs internes sera nomm Responsable du service), et que les fonctions Audit Interne et Contrle Interne seront dsormais spares. Un autre Directeur de l'Audit Interne que j'ai rencontr m'a indiqu que son entreprise a dcid de sparer les fonctions Audit Interne et Risk Management en 2010 et de crer une vritable fonction Risk Management, en vue de la mise en conformit avec Solvabilit 2. Idem pour un troisime interlocuteur : la Direction de l'Audit Interne est dsormais compltement spare du Contrle Interne et du Risk Management. Pour les entreprises concernes, cet article peut donc entraner une rorganisation et un changement importants, mais ceux-ci doivent tre nuancs car dans les cas o le Directeur de l'Audit a galement une autre responsabilit (Directeur du Contrle Interne par exemple), les deux services concerns sont souvent dores-etdj bien distincts et ont des missions et responsabilits qu'ils ne partagent pas. On peut donc considrer que, sur cet aspect indpendance de l'Audit Interne , le changement provoqu par l'article 47 n'est qu'un changement sur la forme. Ce changement va donc concerner en priorit les Groupes de Protection Sociale et les mutuelles, qui possdent souvent un service dAudit Interne coupl au Contrle Interne, au Risk Management, voire la Qualit. Cela peut s'expliquer par des raisons historiques, mais aussi par une question de cot, ces entreprises nayant pas forcment les moyens suffisants pour grer plusieurs services distincts et leur attribuer des collaborateurs. Les grandes socits d'assurance ainsi que les grands Groupes de Protection Sociale, eux, disposent gnralement d'un service d'Audit Interne d'ores-et-dj indpendant et rattach la Direction Gnrale depuis un certain temps. C'est le cas de l'un des grands Groupes de Protection Sociale (ayant une forte activit
Assurances de Personnes) que j'ai rencontrs. La directive ne provoque donc aucun changement pour ces entreprises sur ce point. Enfin, les petites mutuelles sont nombreuses ne pas disposer d'un service d'Audit Interne : avant de se soucier de cette notion d'indpendance, elles devront donc crer un service ddi et le structurer, mme s'il n'est constitu que d'une quipe rduite. 3/ Renforcement global des bonnes pratiques
Au niveau des normes, cet article ne fait que renforcer les bonnes pratiques et les rendre obligatoires, ce qui est positif puisque aujourd'hui, il n'y a pas d'obligation pour les services d'Audit Interne de respecter les normes professionnelles de l'IFACI, sauf s'ils souhaitent obtenir la certification IFACI. Cet article et les mesures d'application du CEIOPS n'entranent donc pas de rvolution puisque ces textes se contentent de rappeler les normes et bonnes pratiques de lIIA et de l'IFACI, sur plusieurs points : -Solvabilit 2 indique que l'Audit Interne est charg d'valuer l'efficacit du Contrle Interne et du Risk Management et de vrifier la conformit des activits avec la stratgie, les processus et les procdures de l'entreprise, tout en tant indpendant des oprationnels. La directive rappelle donc les principes prsents dans la dfinition officielle de l'Audit Interne de l'IFACI, puisque celle-ci indique que l'Audit Interne aide l'organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit. -L'indpendance ncessaire de l'Audit Interne est raffirme, comme nous l'avons vu. On peut prciser que la sparation des activits Audit Interne, Contrle Interne et Risk Management n'est pas vraiment une obligation puisqu'elle n'est pas explicitement demande dans l'article. Cependant, la directive prconise une indpendance totale de l'Audit Interne, qui doit constituer un dpartement compltement spar des autres activits et surtout sans autre responsabilit oprationnelle. Le CEIOPS a confirm cette position, et le texte du CEIOPS prcise galement que chaque service et chaque activit de l'entreprise est dans le champ d'action de l'Audit Interne. LAudit Interne doit donc rester un acteur indpendant du systme de Contrle Interne puisqu'il est responsable de son valuation. La sparation de l'Audit Interne et des fonctions Contrle Interne et Risk Management est donc plutt une interprtation de la Directive, qui vise renforcer l'indpendance de l'Audit Interne. La directive demande dtablir une fonction Audit Interne indpendante, efficace et objective, qui rpond aux besoins des parties prenantes. Si l'Audit Interne dpend dj de la Direction Gnrale et est dj autonome, comme c'est le cas dans plusieurs entreprises rencontres, il n'y aura pas de changements importants. Cependant, trs souvent, l'Audit Interne est li au Contrle Interne ou la Qualit, et il faudra donc sparer ces fonctions.
Par extension, il faudra aussi revoir la Charte de l'Audit Interne, afin de bien affirmer l'indpendance du service d'Audit Interne, et d'expliquer son fonctionnement. -De plus, on constate dans cet article de la directive et dans les textes du CEIOPS de nombreux rappels des principes prsents dans le Code de Dontologie de l'IFACI et rgissant la profession, qui sont les suivants : intgrit, objectivit, confidentialit, et comptence. On constate galement un rappel des principes prsents dans les Normes Professionnelles pour la Pratique de l'Audit Interne de l'IFACI, notamment l'indpendance et l'objectivit. Bien sr, la directive ne vient en aucun cas remplacer ces normes, qui sont bien plus compltes et dtailles. Elle ne fait qu'en rappeler quelques principes, notamment : -les normes de qualification (la phrase la fonction d'audit interne est exerce d'une manire objective et indpendante des fonctions oprationnelles renvoie la norme 1100 Indpendance et objectivit ), qui noncent les caractristiques que doivent prsenter les organisations et les personnes accomplissant des activits dAudit Interne, -les normes de fonctionnement (la phrase la fonction d'audit interne value notamment l'adquation et l'efficacit du systme de contrle interne et d'autres lments du systme de gouvernance renvoie la norme 2100 Nature du travail , et la phrase toute conclusion et toute recommandation de l'audit interne est communique l'organe d'administration ou de gestion, qui dterminent quelles actions doivent tre menes pour chacune de ces conclusions et recommandations de l'audit interne et qui veillent ce que ces actions soient menes bien renvoie la norme 2400 Communication des rsultats ). Ces normes dcrivent la nature des activits dAudit Interne et dfinissent des critres de qualit permettant dvaluer les services fournis. L'article de la directive fait donc rfrence tous les lments du Cadre de Rfrence International des Pratiques Professionnelles, qui sont la dfinition de l'Audit Interne, le Code de Dontologie et les Normes. -Le texte du CEIOPS rappelle galement un principe qui est habituellement indiqu dans la Charte de l'Audit Interne : l'accs sans aucune restriction des auditeurs aux documents, aux personnes et aux biens jugs pertinents et ncessaires la ralisation des missions d'Audit Interne, puisque ce texte explique que les auditeurs doivent disposer du droit d'obtenir toute information ncessaire leur mission. -L'article ne fait galement que rappeler les bonnes pratiques en ce qui concerne la communication des recommandations et la ncessit d'obtenir des plans d'action et d'effectuer un suivi des recommandations. L'un de mes interlocuteurs m'a par exemple indiqu qu'un vritable outil de suivi des recommandations a t mis en place au sein de son entreprise en 2009 ; l'une des raisons qui ont motiv cette dcision tait la volont de mise en conformit avec Solvabilit 2. Afin de respecter la directive, le service d'Audit Interne devra galement
disposer de rapports d'audit formaliss, de plans d'action, effectuer un suivi de ces plans d'actions, et, d'aprs le texte du CEIOPS, rdiger un rapport sur son activit, au moins une fois par an, au Conseil. Tout ceci n'est qu'un simple rappel des bases, qui va surtout tre utile pour les petites mutuelles. En effet, les services d'Audit Interne qui font partie de grands groupes appliquent dj globalement les normes de l'IFACI. Pour eux, cet article n'aura donc pas de consquences majeures. Cependant, les services d'Audit Interne faisant partie de plus petites entreprises ne respectent pas forcment ces pratiques car ils n'ont pas le temps ou les moyens ncessaires. Cet article a donc un impact important et positif ce niveau. -De mme, lun des textes officiels indique la prsence obligatoire d'un Comit d'Audit : cela n'est pas une nouveaut puisqu'en France, l'obligation de mettre en place un Comit d'Audit existait dj pour les assurances, les Institutions de Prvoyance et les mutuelles, par le biais de l'ordonnance du 8 dcembre 2008 qui a transpos en France la huitime directive europenne (voir point 6). -Concernant la formalisation de plans d'audits pluriannuels, lun des Directeurs de l'Audit Interne que j'ai rencontrs m'a expliqu que lun des textes officiels lis la directive notait la ncessit pour le service d'Audit Interne de disposer d'un plan d'audit pluriannuel bas sur les risques. La mise en place d'un plan de ce type fait mme partie du plan d'action visant tre en conformit avec Solvabilit 2, pour cette entreprise ( mettre en place un plan daudit pluriannuel avec intgration des dveloppements ncessaires pour une mise en conformit avec Solvabilit 2 ). Or, un autre Directeur de l'Audit Interne que j'ai rencontr m'a indiqu que la notion de plans pluriannuels n'est pas aborde dans Solvabilit 2 : ce n'est qu'une bonne pratique, mais pas une obligation, d'aprs lui. Il y a donc une divergence d'opinion sur ce point, mais on constate que l'article ne mentionne pas cet aspect et reste beaucoup plus vague, voquant simplement l'efficacit ncessaire de la fonction Audit Interne. J'ai d'ailleurs constat au fil de mes entretiens que, pour l'instant, la prsence de plans d'audit pluriannuels n'tait pas gnralise au sein des services d'Audit Interne. Quant au texte du CEIOPS, il ne fait que prciser que le service d'Audit Interne doit disposer d'un plan d'audit bas sur une approche par les risques , ce qui n'est une fois de plus qu'un rappel des normes de l'IFACI, mais n'voque pas la notion de plans pluriannuels. On peut cependant penser que, logiquement, une approche par les risques pertinente va de pair avec un plan d'audit s'talant sur plusieurs annes. -Pour conclure sur ce point, l'impact du pilier 2 de Solvabilit 2 sur l'Audit Interne en termes de normes est faible. Cela s'explique par le fait que cette fonction est dj trs encadre : il existe dj des normes professionnelles, celles de l'IFACI pour l'Audit Interne (le Cadre de Rfrence International des Pratiques Professionnelles tant constitu principalement de la dfinition de l'Audit Interne, du Code de Dontologie et des normes), auxquelles on peut ajouter le COSO pour le Contrle Interne.
Par exemple, lun des Directeurs de l'Audit Interne rencontrs m'a expliqu que la directive n'entrane pas de changements majeurs pour son service. Le cabinet KPMG, qui a t engag par cette entreprise afin de raliser un diagnostic de conformit (indiquant les actions restantes mettre en place afin d'tre en conformit avec Solvabilit 2), a simplement rappel que l'Audit Interne devait se charger de l'valuation du fonctionnement et de lefficacit du dispositif de matrise des risques, que ses principaux livrables taient les plans daudits et les rapports daudit, et que ses missions principales taient les suivantes : valuation des processus de management des risques mis en uvre par lorganisation, valuation des dispositifs de Contrle Interne/matrise des risques des diffrentes entits du groupe, valuation de la pertinence et de lefficacit oprationnelle des contrles relatifs la fraude, valuation des processus-cls de gouvernement dentreprise, reporting rgulier la Direction Gnrale et au Comit dAudit, et coordination des missions daudit externe. tant donn que cette fonction est dj trs encadre et rglemente par un ensemble de standards bien tablis (mthodologie, charte daudit, planification et ralisation des missions, suivi des recommandations, plan daudit formalis etc.), la mise en conformit avec Solvabilit 2 ne sera pas trs complexe atteindre pour la plupart des entreprises. Ainsi, l'Audit Interne est aujourd'hui le point davancement le plus abouti du pilier 2 de Solvabilit 2 pour de nombreuses entreprises. Ce que propose Solvabilit 2 sur ce point n'a donc rien d'original, mais il y a une diffrence majeure entre les normes de l'IFACI et le contenu de la directive : Solvabilit 2 est une loi. Pour les services d'Audit Interne de grandes entreprises, Solvabilit 2 ne va certainement pas avoir de consquences majeures, mais pour les entreprises de taille plus modeste, qui ont un service d'Audit Interne de taille rduite qui ne respecte pas forcment les normes de l'IFACI, cela va provoquer un changement positif. 4/ volution de la mthodologie
Concernant la mthodologie de l'Audit Interne, Solvabilit 2 entrane une volution vers encore plus de rigueur et de formalisme (rapports d'audit, plans d'action et suivi de ces plans d'action formaliss etc.). Le responsable du service devra adopter une approche base sur les risques afin de dterminer les priorits, formaliser une politique d'Audit Interne, et produire un rapport crit au moins une fois par an, prsentant les travaux et conclusions de l'Audit Interne. Ce rapport devra prciser les ventuels manquements concernant l'efficience ainsi que les dfauts majeurs de conformit avec les politiques et les procdures internes, et sera soumis au Conseil d'Administration. La directive n'entrane donc pas de rvolution en ce qui concerne la mthodologie et les livrables des auditeurs internes, puisque, de manire gnrale, elle ne fait que rappeler ce qu'indiquent dj les normes professionnelles de l'IFACI. La diffrence vient du fait que les normes de l'Audit Interne ne sont pas obligatoires
mais conseilles (sauf si le service d'Audit Interne souhaite obtenir la certification de l'IFACI), alors que Solvabilit 2 est une rglementation, et doit donc tre obligatoirement applique. On note d'ailleurs que cette volution vers toujours plus de formalisme va certainement avoir un impact financier indirect positif pour l'IFACI, puisque le nombre de services d'Audit Interne souhaitant obtenir la certification IFACI aprs avoir effectu ces changements devrait certainement augmenter. 5/ Impact indirect de Solvabilit 2 : impact en termes de missions
Indirectement, Solvabilit 2 va reprsenter un changement notable, notamment pour les petites structures, car une fois que Solvabilit 2 sera applique, les auditeurs internes seront chargs d'auditer des sujets trs techniques (voir partie B point 7), qui sortent du champ des missions classiques (valuation des processus de management des risques, des dispositifs de Contrle Interne, des processus-cls de gouvernement dentreprise etc.). Au niveau comptable, par exemple, il sera ncessaire d'auditer le bilan Solvabilit 2, puisque si les Commissaires aux Comptes ne certifient pas ce bilan, ce sera aux auditeurs de le faire. En effet, avec Solvabilit 2, les entreprises devront disposer dun bilan classique , ainsi que dun bilan faonn Solvabilit 2. Or la directive et les textes associs ne prvoient pas, pour l'instant, que ce dernier bilan soit audit par les Commissaires aux Comptes : si ce n'est pas fait par les auditeurs externes, ce travail reviendra logiquement aux auditeurs internes, ncessitant des comptences accrues en comptabilit. Aprs la mise en conformit avec la directive, l'Audit Interne devra galement auditer les bases de donnes construites par l'entreprise pour rpondre Solvabilit 2 (en effet, le principal impact de Solvabilit 2 en termes de Systmes d'Information porte sur le dveloppement de bases de donnes et d'outils, comme une plate-forme de calcul pilier 1, les progiciels mtiers, les indicateurs de risques et des outils de simulations actif/passif, et l'automatisation du reporting), ainsi que d'autres lments de Solvabilit 2. Ceci va donc provoquer un impact global sur la gestion des comptences du service d'Audit Interne des entreprises d'assurances, et sur la composition des auditeurs internes. On peut notamment supposer qu'une course aux comptences actuarielles en audit va avoir lieu afin d'tre en mesure de raliser des missions d'audit actuariel (le pilier 1 de la directive tant trs port sur lactuariat), ce qui n'existe pas dans les petites mutuelles et Institutions de Prvoyance aujourd'hui. Enfin, en termes d'organisation des missions, l'impact indirect de Solvabilit 2 concerne la cration de plans d'audit pluriannuels : mme si ceux-ci ne sont pas clairement voqus dans la directive, la mise en uvre d'une approche par les risques lors de la dfinition du plan d'audit, qui est demande par la directive, peut logiquement s'accompagner d'une vision pluriannuelle, pour tre vritablement efficace.
6/ Solvabilit 2 s'inscrit dans une continuit
Le peu de changements majeurs provoqus par la directive en matire d'Audit Interne peut s'expliquer, en dehors du fait que la profession est dj trs norme et encadre, par le fait que Solvabilit 2 s'inscrit dans une continuit : d'autres lois et textes l'ont prcde et ont engendr des changements importants. Solvabilit 2 ne fait pas mention de tous ces changements, ou les voque sans donner de dtails, mais s'en inspire grandement. Par exemple, l'obligation de mettre en place un Comit d'Audit existait dj : Solvabilit 2 ne fait donc que confirmer l'ordonnance du 8 dcembre 2008, qui transposait en France la huitime directive europenne. Cette ordonnance, qui concerne les entits d'intrt public (c'est--dire les socits cotes (personnes et entits dont les titres sont admis la ngociation sur un march rglement), les tablissements de crdit, les entreprises rgies par le code des assurances, les mutuelles rgies par le livre II du Code de la mutualit, et les Institutions de Prvoyance rgies par le titre III du livre IX du Code de la scurit sociale), tait le premier texte de loi en France qui instaurait l'obligation d'avoir un Comit d'Audit, compos des membres administrateurs ( l'exclusion des dirigeants) et d'au moins un membre indpendant et un membre prsentant des comptences en finance/comptabilit. Sa mission est de suivre l'efficacit du systme de Contrle Interne et de gestion des risques (suivi du processus d'laboration de l'information financire, suivi de l'efficacit des systmes de Contrle Interne, d'Audit Interne et de gestion des risques, examens priodiques de la cartographie des risques, suivi du contrle lgal des comptes annuels et des comptes consolids, et suivi de l'indpendance des Commissaires Aux Comptes notamment). Le Comit d'Audit doit donc principalement : -analyser les rsultats du dispositif de gestion des risques, du dispositif de Contrle Interne et des audits raliss, -entendre les diffrents acteurs du dispositif, -valider le plan d'audit pluriannuel, -contrler l'indpendance et l'objectivit des auditeurs externes. L'ordonnance a en effet entran un renforcement des relations avec les Commissaires Aux Comptes : ceux-ci doivent porter la connaissance du Comit d'Audit les faiblesses significatives de Contrle Interne sur le processus d'laboration de l'information comptable et financire, et le Comit d'Audit doit examiner les risques pesant sur l'indpendance des Commissaires Aux Comptes et les mesures prises pour attnuer ces risques notamment.
Cette ordonnance du 8 dcembre 2008 a bien sr entran la cration de bonnes pratiques suivre par les Comits d'Audit vis--vis de la gestion des risques (revue des risques majeurs et de la gouvernance des risques, s'assurer que le systme de Contrle Interne est adquat et efficace, valuer l'Audit Interne etc.) et de leur fonctionnement (budget et temps appropris, communication au Conseil d'Administration, agenda s'attardant sur la gestion des risques, le Contrle Interne et l'Audit Interne, valuation de la performance du Comit d'Audit et du Conseil d'Administration etc.). A noter que l'importance du Comit d'Audit s'tait dj dveloppe prcdemment au travers de textes comme : -le rapport Vinot 1 (1995), qui prconisait la mise en place d'un tel Comit et prcisait quelles devaient tre ses principales missions, -le rapport Marini (1996), qui tendait le pouvoir des manations du Conseil d'Administration, et notamment le Comit d'Audit, -le rapport Bouton (2002), qui a apport de nouvelles recommandations quant au fonctionnement souhaitable des Comits d'Audit (composition, formation des membres, mthodes de travail etc.), et a prconis que les membres du Comit d'Audit aient des comptences financires ou comptables, -la directive de la Commission Europenne du 16 mars 2004 sur les rgles d'audit des entreprises de l'Union Europenne, qui indiquait que les socits contrles devraient instituer un Comit d'Audit compos de membres indpendants, qui superviserait le processus d'audit, en communiquant directement avec les auditeurs externes, sans passer par le management. Ce Comit devrait aussi slectionner les auditeurs externes et proposerait leur dsignation aux actionnaires. -les rapports de l'AFEP et du MEDEF, qui donnent galement des recommandations en la matire, -d'autant que la prsence d'un Comit d'Audit au sein de l'organisation fait partie des bonnes pratiques de l'Institut Franais des Administrateurs, qui a dailleurs publi en janvier 2008 un rapport appel Comit d'audit : les 100 bonnes pratiques . Ainsi, aujourd'hui, les entreprises franaises sont dj en conformit en ce qui concerne la prsence d'un Comit dAudit, puisque c'est une obligation lgale depuis l'ordonnance du 8 dcembre 2008. Les entreprises que j'ai pu rencontrer disposaient ainsi d'un Comit d'Audit, charg de sassurer de lefficacit de lenvironnement de contrle de lentreprise, dapprouver les processus de contrle interne mis en uvre et dapprouver la politique de gestion des risques. Il dtermine galement si les tats financiers prsents donnent une image fidle de la situation de lentreprise, les approuve, et approuve galement la dtermination des mthodes comptables employes. Enfin, il entretient des relations avec les Commissaires Aux Comptes (Contrle Externe) et ralise un suivi du contrle lgal des comptes annuels. Le Comit dAudit est donc une partie prenante critique de lenvironnement gnral de contrle, et l'action de l'Audit Interne sera d'autant plus efficace qu'il dispose d'un interlocuteur privilgi qu'est le Comit d'Audit. En effet, ce Comit garantit et consacre l'indpendance de l'Audit Interne.
De plus, la directive confirme aussi que l'Audit Interne doit tre une fonction indpendante et rappelle les grands principes qui doivent rgir cette fonction. Cette dmarche tait dj prsente dans la loi du 18 dcembre 2009 relative la profession de laudit, transposant la directive 2006/43/CE du Parlement Europen et du Conseil du 17 mai 2006 concernant entre autres l'organisation de la profession de laudit, ainsi que dans un texte du CEIOPS associ la directive de dcembre 2009, et surtout dans les normes professionnelles de l'IFACI, mme si celles-ci ne constituent pas une loi. Solvabilit 2 n'apporte donc pas normment de changements ce niveau-l, en ne faisant que confirmer les textes officiels sortis prcdemment. On constate donc que des volutions rglementaires importantes qui ont eu lieu avant Solvabilit 2 allaient dj dans le mme sens : la directive Solvabilit 2 ne fait donc que rappeler ce qui existe dj sur ces points. Tout comme pour le Contrle Interne et le Risk Management, l'intrt majeur est que Solvabilit 2 doit tre applique par toutes les assurances, Institutions de Prvoyance et mutuelles, dans tous les pays europens, dpassant donc le droit national et les particularits de chaque entreprise. Elle permet donc de globaliser certaines lois prcdentes l'ensemble des pays europens et de diffuser les bonnes pratiques associes.
B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour lAudit Interne 1/ Harmonisation du fonctionnement des services d'Audit Interne
Solvabilit 2 va permettre d'harmoniser le fonctionnement des services d'Audit Interne au sein des entreprises dassurance, ainsi que leurs mthodes de travail. En effet, la directive donne (ou plutt rappelle) des principes communs (mais pas identiques) toutes les Directions de l'Audit Interne. Il y a donc une volont d'uniformiser les pratiques entre toutes les assurances, Institutions de Prvoyance et mutuelles, ce qui est positif, car aujourd'hui, l'cart entre l'organisation d'un service d'Audit Interne au sein d'une grande assurance et l'organisation d'un tel service au sein d'une petite mutuelle est norme. Cependant, malgr l'application du pilier 2 de la directive, des diffrences seront toujours perceptibles, car en vertu du principe de proportionnalit, les entreprises doivent dployer des efforts proportionnels aux risques qu'elles portent : l'ACP sera donc plus indulgente et moins exigeante avec les petites entreprises. Cette uniformisation des pratiques ne peut toutefois que renforcer la profession d'Auditeur Interne, ce qui est un point positif. De mme, la prsence obligatoire d'un Comit d'Audit au sein de l'entreprise renforce l'harmonisation du fonctionnement des services d'Audit Interne, tout en renforant galement la profession d'Auditeur Interne. En effet, l'action de l'Audit Interne sera d'autant plus efficace qu'il dispose dans l'entreprise de cet interlocuteur qu'est le Comit d'Audit, celui-ci garantissant l'indpendance de l'Audit Interne et effectuant un suivi des missions. L'Audit Interne doit donc apporter aux membres de ce Comit un regard impartial et professionnel sur les risques de l'entreprise, et contribuer ainsi amliorer l'information du Conseil d'Administration sur ce sujet. Chaque Comit d'Audit devrait fonctionner sur la base d'une charte approuve par le Conseil d'Administration qui prcise son rle et ses modalits de fonctionnement. 2/ Confirmation des normes professionnelles
Comme nous l'avons vu prcdemment, la directive a aussi pour effet positif de confirmer les normes internationales dAudit Interne (qu'on appelle aussi le Cadre de Rfrence International des Pratiques Professionnelles) et vise donc renforcer cette fonction dAuditeur Interne, ainsi que sa lgitimit au sein de l'entreprise. De plus, les normes de l'IFACI nont pas un caractre obligatoire pour les services d'Audit Interne mais seulement conseill (sauf pour un service d'Audit Interne qui souhaiterait obtenir la certification IFACI), alors que la directive doit obligatoirement tre applique, sous peine de sanctions financires imposes par l'ACP. Toutes les entreprises devront donc respecter ses dispositions concernant l'Audit Interne, et par extension, respecter les normes professionnelles de l'IFACI, ce qui entrane une meilleure application des bonnes pratiques et donc une gestion plus efficace de l'activit d'Audit Interne. Une fois de plus, ceci est surtout valable pour les mutuelles, qui disposent souvent d'un service d'Audit Interne
qui ne respecte pas forcment les normes de l'IFACI de manire rigoureuse, par manque de temps et/ou de moyens. La directive va donc permettre une diffusion et une application des bonnes pratiques, ce qui est positif. 3/ Renforcement de la matrise des risques
On peut supposer que Solvabilit 2 va provoquer une meilleure prise en compte des risques ainsi qu'un renforcement de la matrise de ces risques, en renforant et en sparant les fonctions Risk Management, Contrle Interne et Audit Interne et en sensibilisant davantage la Direction Gnrale et les oprationnels cette problmatique de gestion des risques. Ainsi, indirectement, ceci pourrait avoir un impact positif sur l'image de l'Audit Interne, car cette fonction est garante du bon fonctionnement du dispositif de matrise des risques de l'entreprise. En effet, tant donn que les auditeurs doivent apporter un jugement indpendant et objectif, ils ont un rle important jouer pour aider leurs entreprises dvelopper et mettre en place des systmes de gouvernance et de gestion efficaces. L'Audit Interne constitue en effet une troisime ligne de dfense , aprs le Risk Management et le Contrle Interne (contrles de premier niveau raliss par les oprationnels et contrles de second niveau pris en charge par le Contrle Interne), et est en charge de s'assurer que les deux premires fonctionnent correctement. C'est donc un instrument essentiel de la gouvernance d'entreprise puisqu'il doit vrifier l'application des procdures de l'entreprise, relever les manquement ventuels et faire des propositions pour amliorer l'efficacit et l'efficience des processus. Enfin, la directive pourra modifier la culture d'entreprise, en mettant en vidence l'importance de la gestion des risques, ce qui sera indirectement positif pour l'Audit Interne galement si les oprations de l'entreprise sont davantage matrises. 4/ Lgitimit accrue de l'Audit Interne
Au mme titre que les normes professionnelles, le Code de Dontologie ou la Charte de l'Audit Interne, Solvabilit 2 permet de mettre en avant la lgitimit des missions, pouvoirs et responsabilits de l'Audit Interne puisque cette rglementation indique quel doit tre le positionnement de l'Audit Interne dans l'organisation, met en valeur son indpendance ncessaire, et rappelle quelles doivent tre ses principales missions et ses organes de supervision. C'est donc un signe fort de reconnaissance de l'importance de cette fonction : le fait qu'une directive europenne aussi importante que Solvabilit 2 place l'Audit Interne au premier plan du dispositif de matrise des risques de l'entreprise met en avant le rle crucial de cette fonction aujourd'hui. De plus, l'Audit Interne tant centr sur la matrise des risques, le dveloppement de dispositifs de contrle et la recherche d'efficacit et de performance, cette fonction va se retrouver au cur du dispositif Solvabilit 2 car
elle sera charge de garantir l'intgrit et la pertinence de l'ensemble du processus de gestion des risques. Indirectement, l'Audit Interne va donc voir son rle renforc par la directive. En effet, l'Audit Interne, de part son rle de conseil auprs de la Direction Gnrale, va tenir une place importante dans le dispositif de gestion des risques : l'intervention de la Direction de l'Audit Interne est mme au cur du pilier 2 de la directive puisque sa mission d'valuation des processus de management des risques, de contrle et de gouvernement d'entreprise revt une importance considrable dans les fondements de Solvabilit 2. Ainsi, l'Audit Interne va voir son rle, ses missions et sa lgitimit renforcs sur tous les aspects du pilier 2.
5/ Clarification des rles des fonctions-cls en charge de la matrise des risques
Afin d'obtenir une fonction Audit Interne totalement indpendante, les entreprises doivent sparer cette fonction des fonctions Risk Management et Contrle Interne, qui lui sont parfois rattaches. Ainsi, l'un de mes interlocuteurs m'a expliqu que pour lui, Solvabilit 2 va permettre de clarifier les rles, notamment au sein des Groupes de Protection Sociale, qui disposent souvent d'une fonction Audit Interne rattache une autre fonction. Cela n'est pas le cas au sein des grandes socits d'assurances, qui disposent d'un service dAudit Interne indpendant des autres services. L'application de cette dmarche nest donc pas une grande preuve pour elles. Mais pour certaines entreprises, cette clarification des rles est trs positive car, d'aprs lui, certaines runions qui avaient lieu jusqu' maintenant ne concernaient pas l'Audit Interne, par exemple. L'Audit Interne pourra donc se consacrer pleinement ses missions, qui sont d'apporter aux oprationnels la vision transversale mtiers de l'Audit, construire un cadre d'identification et de matrise des risques, rechercher et promouvoir les meilleures pratiques, valider les dispositifs de contrle et de management des risques, et conseiller sur l'laboration et l'amlioration des systmes de contrle et sur les stratgies mettre en uvre pour matriser les risques.
d
6/ volution de l'Audit Interne en termes de comptences (comptences techniques d'assurance)
Ce mme interlocuteur m'a expliqu qu'au niveau du ple Assurances de son service d'Audit Interne, cinq auditeurs ayant des profils d'actuaires ont t recruts, et que l'quipe a galement t renforce en vue de Solvabilit 2 par le biais de recrutements de spcialistes en Systmes d'Information, comptabilit et finance. Un second interlocuteur m'a indiqu qu'il a rcemment recrut deux nouveaux auditeurs, spcialiss respectivement dans la comptabilit et l'informatique. La directive entrane un renforcement ncessaire de tous ces mtiers au sein des quipes d'auditeurs internes, puisque ceux-ci devront auditer de nombreux sujets relatifs Solvabilit 2 dans les prochaines annes (voir
point suivant). Solvabilit 2 a donc une consquence indirecte positive au niveau des Ressources Humaines puisque de nouveaux profils d'auditeurs sont recruts, et que les entreprises recherchent des spcialistes afin de raliser des audits plus pousss, entranant ainsi un renouvellement et un renforcement des comptences des quipes d'auditeurs (l'audit du pilier 1 et de ses exigences quantitatives en termes de fonds propres ncessite par exemple des comptences financires et informatiques de haut niveau). D'autant que la sparation entre les services Audit Interne, Contrle Interne et Risk Management va certainement provoquer de nouveaux recrutements galement afin de renforcer les quipes. Bien sr, ceci est un point positif pour les entreprises qui ont les moyens de recruter. Ainsi, les interlocuteurs qui m'ont indiqu que des recrutements ont t effectus rcemment ou allaient tre effectus sont principalement des Directeurs de l'Audit Interne de grands Groupes de Protection Sociale. Ils disposent donc d'un budget consquent, leur permettant de renforcer leurs quipes en prvision de l'application de la directive et des audits associs. Cela est plus problmatique pour les entreprises qui disposent de moyens moins levs, comme nous le verrons plus loin (voir partie 5, points 1, 2, 3 et 9).
a
7/ volution en termes de missions
Solvabilit 2 va entraner de nouvelles missions pour les auditeurs internes, notamment au sein des grands groupes, missions visant sassurer que Solvabilit 2 est bien mis en place. On peut mme aller jusqu' dire que l'intgration du primtre Solvabilit 2 dans les plans daudit pluriannuels est le changement principal provoqu par Solvabilit 2 en matire d'Audit Interne (mme si ce changement est une consquence indirecte de la directive) car il entrane la mise en place de nombreuses nouvelles missions spcifiques lies la mise en uvre des exigences de la directive. D'aprs la documentation fournie par certaines entreprises et les entretiens que j'ai pu mener, les nouvelles missions de l'Audit Interne engendres par la mise en conformit avec Solvabilit 2 seront les suivantes, dans les mois et annes venir : Missions consacres l'audit du modle interne (pilier 1) : l'ACP va demander l'Audit Interne son avis sur l'application du pilier 1 de Solvabilit 2. En effet, les obligations techniques de Solvabilit 2 (notamment en termes de calculs de solvabilit) sont raliser soit avec la mthode standard, soit avec un modle interne (qui offre l'opportunit d'valuer le capital rglementaire selon une approche plus en lien avec les risques effectivement ports par l'entreprise, contrairement la formule standard qui fait intervenir un calcul sur une base forfaitaire gnrale), en expliquant dans ce dernier cas pourquoi l'entreprise n'utilise pas la mthode standard ( voir lexique pour plus de prcisions). Cette mthode standard exige une marge de solvabilit plus importante. Les assureurs ont donc la possibilit de
se tourner vers un modle interne, qui leur permet de concentrer leurs efforts sur les risques qu'ils matrisent le mieux ou sur lesquels ils jugent la formule standard inadapte leurs spcificits. L'application d'un modle interne est avantageuse pour les entreprises car elle entrane une diminution de l'exigence en termes de marge de solvabilit, si l'entreprise russit convaincre l'ACP que son modle interne est appropri et lui permet de grer correctement les risques. Ainsi, pour les entreprises souhaitant opter pour un modle interne, une validation de l'autorit de contrle sera requise pralablement la dtermination du SCR partir de ce modle interne. Le papier de consultation n37 du CEIOPS dfinit ces modalits de validation. Si les entreprises font le choix d'un modle interne, ce modle sera valid avant 2013 par l'ACP : or, lorsque l'ACP viendra auditer l'entreprise, le modle interne sera jug, mais pas uniquement. En effet, l'ACP vrifiera galement ce que l'Audit Interne a effectu (missions d'audit), mme si ce qui intresse en priorit l'ACP est la prsence et la qualit du modle interne et non le jugement de l'Audit Interne. Ce sujet fait d'ailleurs l'objet d'un point de vigilance concernant l'Audit Interne dans le diagnostic de conformit ralis par KPMG pour l'une des entreprises rencontres : le point de vigilance concerne le primtre daudit tendu aux domaines quantitatifs de la gestion des risques . Ainsi, avant que l'entreprise n'adopte un modle interne, une mission d'audit pourrait consister examiner et valider l'opportunit de dterminer l'exigence de capital (SCR) via l'utilisation d'un modle interne existant ou dvelopper, et de s'assurer de la traabilit des mthodes de calcul du SCR. La dmarche de la mission pourrait tre la suivante : -pour les risques quantifiables identifis, analyse des modles internes existants pouvant permettre de mesurer le besoin de capital, -valuation de la pertinence du modle existant partir de l'examen des enjeux et limites de la modlisation retenue par rapport aux recommandations du CEIOPS, -examen, pour les risques non couverts par un modle interne, de l'opportunit de dvelopper un modle spcifique, de les intgrer un modle existant, ou d'utiliser la formule standard, -examen de la coordination des diffrentes composantes du calcul du Capital de Solvabilit Requis (formule standard, modles internes, voire combinaison des deux), -apprciation des avantages et inconvnients des diffrents scnarios de combinaisons de modles envisags, -documentation de la modlisation retenue (modles, systmes, hypothses etc.) afin de rpondre l'objectif d'auditabilit par l'autorit de contrle (l'ACP). Ceci est un pr-requis l'utilisation d'un modle interne. Cette mission de conseil devrait donc dboucher sur une prsentation synthtique des avantages et inconvnients des diffrents scnarios envisageables, ainsi que sur une opinion de l'Audit Interne. Cette mission est utile car lorsque l'ACP viendra auditer l'entreprise qui aura choisi un modle interne, une attention sera accorde aux travaux de l'Audit Interne en ce qui concerne ce modle interne.
De plus, le dveloppement d'un tel modle peut avoir un cot important et tre contraignant pour l'entreprise (en termes de Systmes d'Information, de rflexions thoriques et de mise en uvre pratique notamment) : il est donc ncessaire de faire le choix du modle interne ou de la formule standard de manire rflchie, d'o l'intrt de cette mission d'audit. Missions consacres l'audit de l'ORSA (mthodologie d'analyse des risques du pilier 2) : l'ACP va galement demander l'Audit Interne son jugement sur ce sujet. Afin de raliser cette mission dans les meilleures conditions, l'quipe d'auditeurs devra comprendre au minimum un auditeur au profil actuaire . En effet, la base, ce sont les actuaires qui ont pour mission de calculer la marge de solvabilit de l'entreprise ainsi que le MCR et le SCR. Or par la suite, le calcul de tous les risques supports par l'entreprise doit aussi prendre en compte les risques oprationnels, et notamment les risques informatiques pour les assurances. Il faut donc prendre en compte ces risques en se basant sur un modle ORSA. Un tel modle comprend globalement une cartographie des risques, des processus, et une base incidents, et a pour but d'aider lentreprise dterminer la valeur relle des fonds propres ncessaires pour rpondre ses engagements. En effet, le pilier 1 de Solvabilit 2 vise calculer le montant de capital requis pour faire face aux risques, mais il ne couvre pas la totalit des risques auxquels sont confrontes les entreprises dassurance, notamment les risques stratgiques et les risques de rputation, car ces risques sont difficilement quantifiables. Ils doivent donc tre grs part, afin de calculer leur impact sur la marge de solvabilit du groupe, car cet impact peut tre important. L'ORSA est donc, pour rsumer, une vision moyen et long terme des risques en fonction de la stratgie de l'entreprise, afin de dterminer si ces risques seront critiques l'avenir, et peut prendre la forme d'une cartographie des risques. Son but est d'avoir une mthode commune de cartographie des risques visant prendre en compte tous les risques, y compris ceux qui sont ignors dans l'valuation rglementaire de la solvabilit (pilier 1). Cet outil contribue donc atteindre le but global de Solvabilit 2, qui est de rapprocher les fonctionnements des compagnies d'assurance afin de pouvoir les comparer plus facilement. L'Audit Interne va donc tre amen s'assurer de la pertinence des lments constituant l'ORSA. Ainsi, un audit du processus ORSA est prvu en 2015 au sein de l'une des entreprises que j'ai pu rencontrer. Missions consacres l'audit du Contrle Interne et l'audit du Management des risques (dont base incidents, conformit, PCA etc.) prvues en 2013 chez l'une des entreprises rencontres.
L'valuation du systme de Contrle Interne visera faire le point sur ce dispositif, s'assurer qu'il est efficace et conforme aux diverses rglementations, et identifier de possibles amliorations devant tre apports ce systme afin de rpondre aux exigences de la directive. Les axes d'investigation pourront tre les suivants : -reprise des conclusions des diffrents diagnostics ayant conduit souligner des insuffisances du systme de Contrle Interne, et des principales conclusions nonces dans le cadre de ces missions (rapports d'Audit Interne prcdents, rapports concernant les diagnostics raliss par des cabinets externes etc.) afin d'observer les volutions, -analyse des plans d'action dj engags visant amliorer le systme de Contrle Interne, -analyse des carts entre les attentes cibles et le dispositif existant, en s'assurant notamment que le dispositif couvre l'ensemble des lments pris en compte dans la gestion de la solvabilit (identification et gestion des risques, etc.) et que les procdures de Contrle Interne sont pertinentes et efficaces au regard des objectifs. Concernant l'audit du Management des risques, l'un des objectifs sera par exemple de s'assurer que l'entreprise dispose d'une politique de gestion des risques ramenant l'exposition aux risques au niveau dfini par le Conseil d'Administration. Les tapes de la dmarche pourraient donc tre les suivantes : -recensement, pour chaque risque, du niveau d'exposition rsiduelle accept par le Conseil d'Administration (par la revue des procs-verbaux de Conseil d'Administration et des diffrents rapports soumis l'approbation du Conseil d'Administration), -vrification de l'exhaustivit des stratgies et des procdures de gestion des risques recenses dans le cadre de la cartographie des risques, comme les stratgies de plafonnement de l'exposition aux risques (plafond de souscription, plafond d'investissement etc.), les stratgies de transfert de risques (rassurance, etc.), les procdures de sauvegarde, ou encore les mcanismes d'absorption des risques, -examen de l'adquation entre les stratgies mises en uvre (et l'exposition rsiduelle qui en dcoule) et le niveau de risque rsiduel dfini par le Conseil d'Administration, -identification des procdures complmentaires prvoir pour complter le dispositif. L'valuation de la politique de gestion des risques visera faire le point sur la politique existante, et identifier de possibles amliorations devant lui tre apportes (ou devant tre apportes l'organisation interne de la socit) afin de rpondre aux exigences de la directive. Prcisons qu'il est vident que ces missions ne peuvent avoir lieu que si l'Audit Interne est totalement indpendant et n'est pas li au service Contrle Interne ou au service Risk Management, ce qui prouve une fois de plus l'intrt de sparer ces trois fonctions. Missions consacres lvaluation de la gouvernance des risques (audit dvaluation de la
gouvernance des risques) prvues en 2015 chez l'une des entreprises rencontres. On peut d'ailleurs se demander si cela n'est pas trop tardif par rapport limpact de la dmarche sur la dimension rglementaire, lorganisation et lAudit Interne.
Ainsi, dans le cadre d'une mise en conformit du systme de gouvernance avec les exigences de Solvabilit 2, certains services d'Audit Interne vont raliser une mission consistant en un tat des lieux du dispositif de gouvernance, afin de faire un bilan concernant ce dispositif et dgager les axes d'amlioration possibles. Les axes d'investigation ventuels pourront tre les suivants : rles et responsabilits du Conseil d'Administration et de ses manations , relation du Conseil avec la Direction Gnrale, ses manations , et les organes de contrle, modalits de reporting au Conseil d'Administration, cadre d'Audit (code de dontologie et charte de l'Audit Interne notamment), processus de fixation des objectifs, etc. Les buts des missions de ce type seront d'effectuer une synthse du dispositif de gouvernance des risques actuel et de dgager des pistes d'amlioration. Mission consacre l'audit de la fonction Conformit prvue chez l'une des entreprises rencontres en 2014. La prsence de cette mission dans le plan d'audit pluriannuel s'explique par le fait que cette fonction est en train d'tre mise en place afin de rpondre aux exigences de Solvabilit 2. Cet audit permettra donc de faire un bilan une fois que cette fonction sera installe . D'autant que les changements de rglementation sont de plus en plus nombreux et complexes, ce qui rend cette fonction Conformit trs importante : il faudra donc s'assurer de son efficacit par le biais de cette mission d'audit. Un tel audit est donc pleinement justifi. D'ailleurs, prcisons que de manire gnrale, les missions d'audit de conformit sont voues se multiplier dans les prochaines annes car la rglementation volue de plus en plus rapidement, a des impacts de plus en plus complexes, et s'accompagne d'une obligation de formalisation plus dveloppe. Mission consacre l'audit du dispositif de Contrle Interne d'un prestataire informatique prvue chez l'une des entreprises rencontres en 2013. Cette mission est prvue en raison de limportance accorde par le pilier 2 de Solvabilit 2 au contrle des dlgataires. Missions consacres un audit Groupe du contrle des dlgataires et des prestataires ainsi qu un audit Groupe des entits de Contrle Interne prvues chez lune des entreprises rencontres en 2013. De mme, cette mission a t ajoute au plan daudit pluriannuel de cette entreprise car le pilier 2 de Solvabilit 2 insiste sur le renforcement du contrle des dlgataires : lAudit Interne doit donc sassurer que ce contrle est efficace. Missions consacres l'audit de la base incidents : le rle de l'Audit Interne va tre d'auditer l'ORSA mais galement la base incidents associe (par exemple, la gestion des habilitations dans ORSA). La base incidents sert notamment mesurer l'impact suite l'incident inscrit dans la base. Des
informaticiens sont en charge de la gestion de cette base et calculent l'impact et la probabilit du risque, en se basant sur des faits. L'ORSA tant une partie majeure du pilier 2, il est logique que l'Audit Interne s'assure du bon fonctionnement et de l'efficacit de chacun des lments qui la composent. Mission consacre l'audit du Systme d'Information dcisionnel/Univers Solvabilit 2 prvue chez l'une des entreprises rencontres en 2014. Ce sera une mission spcifique sur le contenu et le respect des rgles dintgrit fixes. Mission consacre l'audit du bilan Solvabilit 2 (notamment l'volution des actifs sous Solvabilit 2, les fonds propres, et les provisions Solvabilit 2) prvue chez l'une des entreprises rencontres en 2014. En ce qui concerne le bilan Solvabilit 2 (ou bilan prudentiel), la directive et les textes officiels ne prcisent pas quil doit tre audit par les Commissaires aux Comptes. Indirectement, cela signifie donc que ce travail doit revenir aux auditeurs internes. Cest pourquoi cet audit figure dans le plan daudit pluriannuel de l'une des entreprises rencontres. Nanmoins, des prcisions sur ce sujet seront certainement apportes dans le courant de lanne, et l'ACP s'est dj exprim sur la ncessit dun audit externe de ces bilans, mme si la mesure nest pas, pour l'instant, inscrite dans les textes officiels. Mission consacre l'audit des bilans et de la marge de solvabilit prvue chez l'une des entreprises rencontres en 2014-2015. Mission consacre l'audit du processus Actif/Passif prvue chez l'une des entreprises rencontres en 2014. Missions consacres l'audit de la communication financire : l'Audit Interne va devoir contrler ce sujet afin de s'assurer que le reporting est conforme la ralit et donne une image fidle de celle-ci. Mission consacre l'audit des reporting Solvabilit 2 prvue chez l'une des entreprises rencontres en 2015. Missions consacres auditer l'tat d'avancement du projet : ces missions sont bien sr raliser avant 2013, et auront lieu courant 2012 pour la plupart. Ensuite, l'ACP viendra contrler ce qui a t fait. Enfin, tout au long de la mise en uvre du projet Solvabilit 2 et compte-tenu du caractre
stratgique et transversal de celui-ci, il semble de bonne pratique que l'Audit Interne ralise un
diagnostic de l'organisation et notamment du dispositif de gouvernance existant. Dans un premier temps, cette mission consiste runir toute la documentation visant dcrire les principes en vigueur au sein de l'entreprise (les rles des instances, la prsence d'un code de dontologie, d'une charte d'audit, de dlgations de pouvoirs, d'un processus de fixation des objectifs, d'une politique de rmunration, d'une procdure de nomination des administrateurs etc.). Il faut ensuite effectuer une analyse/comparaison au regard des meilleures pratiques et rfrentiels existants puis, en fonction des constats, dfinir des axes d'amlioration dbouchant sur des plans d'action mettre en uvre. L'valuation du processus de gouvernement d'entreprise figure dj dans les missions de l'Audit Interne : la norme 2110 prcise que l'Audit Interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son amlioration . Ce n'est donc pas une nouveaut, mais la ncessit de mise en conformit avec Solvabilit 2 devrait provoquer une augmentation des missions d'audit portant sur ce sujet. Ainsi, de manire indirecte, la directive entrane la cration de nouveaux plans d'audit et de nouvelles missions, ce qui est trs positif pour l'Audit Interne puisque cela va de pair avec un dveloppement de cette fonction Audit Interne. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ont eu lieu ds 2010 des runions ayant pour objectif, dans le cadre du plan d'audit pluriannuel, davoir une premire vision des missions dAudit Interne dcoulant de la mise en place de la directive, afin didentifier une premire charge de travail pour lAudit Interne mais galement les comptences ncessaires la ralisation de ces missions. Ceci confirme l'ide de dveloppement de cette fonction Audit Interne. Bien sr, cela est surtout positif pour les entreprises qui ont les moyens de recruter de nouveaux auditeurs en consquence.
C/ Commentaires sur les impacts ngatifs de ces nouvelles dispositions pour lAudit Interne 1/ Impact financier lev ?
La mise en conformit avec les exigences de Solvabilit 2 relatives au fonctionnement du service dAudit Interne peut avoir un impact financier lev, mme si celui-ci sera surtout support au niveau du groupe et pas au niveau de l'Audit Interne. La sparation entre l'Audit Interne et les autres fonctions va par exemple saccompagner dun cot en termes de temps, d'argent, d'organisation, de restructuration et ventuellement de recrutements pour les services concerns. Pour les petites mutuelles qui ne disposeraient pas pour le moment d'un service d'Audit Interne, la mise en conformit est rendue encore plus difficile en raison du cot lev des changements qu'elle provoque, et de la rorganisation massive entrane par la cration d'un nouveau service. En effet, la directive et les textes du CEIOPS sont clairs : les entreprises doivent disposer d'une fonction Audit Interne. Nanmoins, l'Audit Interne est une fonction qui est dj fortement implante dans les entreprises d'assurance. Seules les petites entreprises (assurances ou mutuelles) sont donc concernes par ce problme. Les entreprises qui disposent dj d'un service d'Audit Interne indpendant auront nanmoins une charge financire assumer galement, puisque, comme nous l'avons vu, la mise en conformit avec la directive entrane indirectement la cration de nouvelles missions d'Audit Interne lies Solvabilit 2, et peut donc ventuellement tre synonyme de recrutements. Ces entreprises devraient nanmoins pouvoir supporter le cot de ces recrutements sans trop de difficults. 2/ Impact ngatif pour les entreprises qui ont une fonction Audit Interne cumule avec d'autres fonctions de l'entreprise La sparation entre ces services va entraner un cot important. Par exemple, l'un des Directeurs que j'ai rencontrs est actuellement Directeur de l'Audit Interne, du Contrle Interne et de la Qualit. Les fonctions et les services correspondants n'ont pas encore t spars pour l'instant. Or Solvabilit 2 indique que l'Audit Interne doit tre indpendant : un changement d'organisation sera ncessaire afin de respecter la directive. Solvabilit 2 entrane donc un changement important puisque, pour des raisons dindpendance, il va falloir procder une sparation entre ces services. Cette exigence de la directive entrane la mise en uvre dun chantier de rorganisation des fonctions concernes qui devrait staler sur plusieurs mois, ainsi qu'un cot important li cette rorganisation. De mme, les nouveaux recrutements ventuels venant de cette sparation entraneront un cot pour l'entreprise. C'est en cela que la directive a un impact ngatif pour les entreprises qui ont une fonction Audit Interne
cumule avec d'autres fonctions de l'entreprise (mme si, bien entendu, sur le long terme, cette sparation devrait avoir des effets positifs, comme nous lavons vu prcdemment). Un second Directeur rencontr m'a indiqu qu'auparavant, au sein de son entreprise, l'Audit Interne et le Risk Management taient lis. Aujourd'hui, ces deux fonctions sont spares, et une vritable Direction des Risques a t cre en prvision des exigences de Solvabilit 2, ce qui s'est accompagn d'un cot lev. Cependant, les services d'Audit Interne qui respectent dores-et-dj les normes professionnelles en ce qui concerne l'indpendance de l'Audit Interne ne seront pas confronts ce problme. 3/ Disparition des conomies dchelle et perte de proximit entre les services
D'aprs lun de mes interlocuteurs, on peut penser que la sparation des services Audit Interne, Contrle Interne et Risk Management va entraner une disparition des conomies dchelle ainsi qu'une perte de proximit entre les services, tant donn que dornavant, la Direction de l'Audit Interne devra tre compltement spare du Contrle Interne et du Risk Management. En effet, mme s'il est important que l'Audit Interne reste indpendant, il serait tout de mme souhaitable qu'il conserve des points de rapprochement avec le Risk Management et le Contrle Interne, qui seraient propices des synergies, notamment en matire d'identification et de traitement des risques, et permettraient donc de faciliter certains travaux comme la mise en place des plans d'audit annuels et/ou pluriannuels. Ceux-ci seraient en effet plus pertinents s'ils taient crs par les auditeurs en se basant sur les travaux du Risk Management en termes d'identification, d'valuation et de traitement des risques. Par exemple, les cartographies des risques cres par le Risk Management pourraient constituer une base sur laquelle s'appuieraient les auditeurs internes pour btir le plan d'audit annuel, en adoptant ainsi une approche par les risques. De mme, durant la phase de planification d'une mission daudit, les auditeurs pourraient se baser sur les travaux du Risk Management (notamment les cartographies des risques) afin d'identifier les risques majeurs de l'activit audite, et donc dterminer dans le programme de travail les zones de risque qui seront examines avec plus dattention au cours de la mission daudit. Ils pourraient aussi se baser sur les travaux du Contrle Interne afin d'analyser les contrles (de premier et de second niveau) mis en place au sein du service audit afin de rduire le niveau de risque, ce qui orientera les entretiens mener et surtout les tests effectuer durant la phase de ralisation de la mission : par exemple, il serait peu pertinent que des dossiers qui ont dj t contrls deux reprises (par le biais de contrles de premier puis de deuxime niveau) soient contrls une troisime fois par lAudit Interne au cours des tests. De mme, si lAudit Interne constate que le dispositif de Contrle Interne de premier et de deuxime niveau est trs complet, pertinent et formalis, la phase de test pourra tre rduite en consquence.
Enfin, le suivi des recommandations et la gestion des plans daction mis en place par les oprationnels pour rpondre aux recommandations des auditeurs internes pourraient tre optimiss et plus pertinents sils taient traits au sein dun outil commun de gestion des risques, mis la disposition de tous les acteurs qui sont concerns par ce sujet au sein de lentreprise. Cet outil permettrait par exemple, pour un processus donn, de rpertorier toutes les actions mise en uvre par le service concern en termes de matrise des risques et de Contrle Interne. Ainsi, la sparation des services Audit Interne, Contrle Interne et Risk Management peut entraner une disparition des conomies dchelle car si chaque service travaille de manire totalement indpendante, cela saccompagne dun cot lev et ce n'est pas efficient. Lorsque ces services ne sont pas spars, on peut donc obtenir des conomies dchelle puisqu'ils ralisent de toute faon des tches similaires et ont les mmes proccupations : il est donc avantageux qu'elles ne soient pas toutes ralises sparment et quune collaboration entre ces services soit mise en place. En effet, lorsque chaque service impliqu dans la gestion des risques travaille sparment, cela a forcment un cot plus lev pour l'entreprise, qui saccompagne dun manque defficacit certain (prsence de doublons, puisque certains actes comme les contrles sont tout de mme similaires). Il serait donc plus logique que ces services travaillent en collaboration. Cependant, un second Directeur de l'Audit Interne que j'ai interrog n'tait pas d'accord avec cette ide de disparition des conomies d'chelle en cas de sparation de ces fonctions car, selon lui, les fonctions concernes sont trop diffrentes, surtout au sein des grandes structures. Ce point ngatif est donc relativiser, mais on peut penser qu'en effet, cette sparation va entraner une perte de proximit et des doublons, puisque certains actes sont tout de mme similaires (contrles etc.). 4/ Redfinition des primtres de chaque fonction
Ceci est une autre consquence de la sparation des services Audit Interne, Contrle Interne et Risk Management et de la perte de proximit entre ces services qui en dcoule : il sera forcment ncessaire de commencer par (re)dfinir clairement les primtres de chaque service, et de crer des instances de coordination entre ceux-ci. On peut donc s'interroger : l'indpendance de l'Audit Interne est bien sr essentielle pour permettre aux auditeurs d'exercer leur fonction, mais ce changement entran par Solvabilit 2 va provoquer une somme de travail considrable afin de dfinir les missions, les pouvoirs ainsi que les responsabilits de chaque service.
D'autant que la mise en conformit avec la directive saccompagne galement dune volution au niveau des instances politiques (cration de Comits d'Audit etc.). Des instances de coordination devront donc tre cres : par exemple, une coordination Audit Interne/Contrle Interne existe dores-et-dj au sein de l'entreprise de l'un de mes interlocuteurs. Ainsi, la directive pousse sparer compltement ces services, mais ils devront forcment continuer travailler en collaboration. On peut donc se demander si cette sparation est bien ncessaire. 5/ Cot des recrutements
La directive entrane indirectement la ncessit pour les services d'Audit Interne de recruter des spcialistes, principalement en finance-comptabilit, informatique et actuariat, afin que ces services soient en mesure d'aller auditer les sujets relatifs Solvabilit 2 (l'audit de l'ORSA devrait par exemple tre effectu par au moins un auditeur au profil actuariat ), ce qui entrane un problme financier pour certains Groupes de Protection Sociale et certaines assurances, qui n'ont pas les moyens ncessaires pour recruter de nouveaux salaris. En effet, l'Audit Interne, qui est l'ACP maison , va avoir pour mission de contrler des sujets plus complexes, relatifs Solvabilit 2, partir de lanne 2013. Ces missions plus complexes vont demander de nouvelles comptences : l'Audit Interne peut donc en ressortir fragilis dans le cas o le service ne dispose pas du budget ncessaire pour recruter de nouveaux auditeurs en consquence. L'audit du pilier 1 et ses exigences quantitatives en termes de fonds propres ncessiterait par exemple des comptences financires et informatiques de haut niveau, dont toutes les Directions de l'Audit Interne ne disposent pas pour le moment. Ainsi, certains services vont se tourner vers des profils gnralistes lors des recrutements de nouveaux auditeurs internes, tout en faisant appel des prestations externes pour raliser des audits plus pointus , ce qui aura un cot supplmentaire. Par exemple, l'un des Directeurs de l'Audit Interne que j'ai rencontrs m'a expliqu qu'afin de grer l'aspect technique de certains missions lies Solvabilit 2, il allait faire appel un prestataire externe car certaines missions lies Solvabilit 2 ncessiteront un expert en actuariat et un expert informatique (afin d'auditer notamment la base de donnes Solvabilit 2). L'aspect ngatif est donc le cot supplmentaire caus par Solvabilit 2, car pour ce service par exemple, le cot de l'enveloppe Prestations va fortement augmenter, et sera rajouter au budget de l'Audit Interne. En effet, en ce qui concerne la gestion des comptences, ce Directeur de l'Audit Interne m'a indiqu qu'il dispose d'un budget pour faire appel des prestataires externes afin de raliser certaines missions d'audit. Ainsi, il ne recrutera pas un auditeur qui aurait un profil d'actuaire par manque de budget, mais galement parce que celui-ci ne serait pas occup temps plein.
Cependant, un second Directeur de l'Audit Interne m'a prcis qu'il n'a jamais fait appel des prestataires externes car il estime qu'il possde dj les comptences ncessaires au sein de son quipe, d'autant que, selon lui, les audits concernent avant tout le dispositif de Contrle Interne, tandis que l'aspect technique des sujets audits est plus secondaire. Solvabilit 2 ne saccompagnera donc pas d'audits vraiment techniques, selon lui, et il ne prvoit pas de faire appel un cabinet externe pour raliser des missions lies Solvabilit 2. On constate nanmoins que le renforcement des bonnes pratiques de gestion des risques provoqu par Solvabilit 2 demande de nouvelles comptences techniques. Les entreprises vont donc devoir recruter de nouveaux salaris, et former leurs salaris (nouveaux et autres). Cela n'est pas un problme pour les grands groupes ; cependant, les entreprises qui n'ont pas les moyens de recruter de nouveaux auditeurs vont tre contraintes de se tourner vers des aides ponctuelles venant de cabinets externes. Pour l'une des entreprises rencontres, ceci constitue mme un point de vigilance dans le diagnostic de mise en conformit ralis par KPMG : le dimensionnement des quipes et le renforcement des comptences (actuariat, gestion actif/passif, Systmes dInformation) est un point traiter avec beaucoup dattention par la Direction de lAudit Interne. De mme, un autre Directeur de l'Audit Interne m'a expliqu que selon lui, le vritable changement sur le fond provoqu par Solvabilit 2 est son impact en termes de comptences, au niveau de l'Audit Interne. En effet, il va tre ncessaire de renforcer les comptences des auditeurs en termes dassurance, de prvoyance, de comptabilit, de finances et dactuariat. Ces comptences seront rpartir sur lactivit Retraite et sur lactivit Prvoyance. En effet, dans un futur proche, il faudra renforcer le ct Assurances de Personnes car lACP va venir contrler cet aspect-l. Le point positif est que lquipe dauditeurs est dj en place, au sein de cette entreprise. Globalement, les comptences renforcer concernent surtout la comptabilit et l'actuariat. Il y a donc un travail faire de ce ct-l, et cette entreprise fera galement appel une aide venant de cabinets externes. En effet, au sein d'un grand groupe (6000 personnes), le recrutement dun auditeur au profil actuaire et dun auditeur au profil informaticien dans lquipe pourrait tre utile, mais au sein d'un plus petit groupe (2000 personnes), ces auditeurs ne seraient pas occups temps plein, d'autant que l'entreprise n'a pas les moyens suffisants pour recruter des auditeurs qui ont un profil actuaire ou comptable. Des recrutements de ces types de profils nauront donc pas lieu. Au sein de cette entreprise, en plus dune aide venant de cabinets externes, ces comptences seront renforces par le biais de formations. Cependant, concernant lactuariat, cela est impossible car c'est un domaine trop technique, et une formation complte prendrait un temps considrable. Cela explique le fait que pour certaines missions trs techniques (lies lactuariat ou la comptabilit notamment), il sera fait appel un cabinet externe, afin dobtenir une aide ponctuelle.
Enfin, un dernier Directeur de l'Audit Interne m'a expliqu qu'au niveau du ple Assurances de son service d'Audit Interne, de nouveaux profils ont t recruts car l'entreprise, un grand Groupe de Protection Sociale, dispose de moyens suffisants pour recruter. Ainsi, cinq auditeurs ont t embauchs (profils actuaires). L'quipe a galement t renforce en vue de Solvabilit 2 avec le recrutement de spcialistes en Systmes d'Information, comptabilit et finance. Certaines entreprises comme les grandes assurances et les grands Groupes de Protection Sociale ne sont donc pas concernes par ce point ngatif puisqu'elles disposent de moyens suffisants pour recruter de nouveaux salaris.
Synthse sur l'Audit Interne
Solvabilit 2 insiste sur la mission de l'Audit Interne : l'intervention de la Direction de l'Audit Interne et du Comit d'Audit dans le processus de gouvernance sera donc renforce. L'Audit Interne tiendra une place encore plus importante dans la gestion des risques, en raison de son rle de conseiller auprs de la Direction Gnrale. Son intervention est mme au cur du pilier 2 puisque sa mission d'valuation des processus de management des risques, de Contrle Interne et de gouvernement d'entreprise revt une importance considrable dans les fondements de la directive. En effet, l'Audit Interne est centr sur la matrise des risques, le dveloppement de dispositifs de contrle et la recherche d'efficacit et de performance. Son approche mthodique dbouche sur des conseils d'amlioration des dispositifs, de rduction des risques et d'optimisation de l'organisation. Cette fonction se trouve donc au cur du dispositif Solvabilit 2, en garantissant l'intgrit et la pertinence de l'ensemble du dispositif de gestion des risques mettre en place. De l'audit oprationnel l'audit des Systmes d'Information, l'Audit Interne va occuper une place importante dans le nouveau dispositif. Son rle et ses missions seront renforcs sur tous les aspects du pilier 2 de la directive. De plus, le pilier 2 intgre les aspects relatifs la gouvernance d'entreprise, en instaurant la responsabilit ultime du Conseil d'Administration sur l'ensemble du dispositif de solvabilit et en augmentant fortement ses responsabilits, comme nous l'avons vu. Ainsi, indirectement, le rle de l'Audit Interne s'en trouve renforc puisque la gouvernance d'entreprise est une des proccupations de l'Audit Interne : il est en effet charg d'valuer par une approche systmatique et mthodique, [les] processus [] de gouvernement dentreprise (dfinition officielle de l'IFACI). De plus, la norme professionnelle 2130 prcise la mission exacte de l'Audit Interne concernant le processus de gouvernement d'entreprise. En rsum, l'application de la directive entrane donc la cration d'un service d'Audit Interne pour les entreprises qui n'en auraient pas (notamment les petites mutuelles, qui vont devoir crer et structurer un tel service, mme s'il n'est constitu que d'une quipe rduite) mais rappelle surtout la ncessit de disposer d'une fonction Audit Interne indpendante, spare de toutes les autres fonctions. Ainsi, l'article a galement comme consquence l'obligation de sparer les fonctions Contrle Interne et Audit Interne, voire Risk Management et Audit Interne, lorsque celles-ci sont rattaches. Ce changement concerne surtout les Groupes de Protection Sociale et les mutuelles. Globalement, la directive ne fait que renforcer les bonnes pratiques et les rendre obligatoires, et n'entrane donc pas de bouleversements majeurs dans la profession d'auditeur interne. Cela s'explique par le fait que cette profession est dj trs norme et encadre et par le fait que d'autres lois ont prcd cette directive, engendrant des changements importants.
Solvabilit 2 va cependant avoir l'intrt de permettre d'harmoniser le fonctionnement et les mthodes de travail des services d'Audit Interne dans les entreprises dassurance, de confirmer les normes internationales dAudit Interne, et de provoquer une meilleure prise en compte des risques ainsi qu'un renforcement de la matrise de ces risques, en renforant et en sparant les fonctions Risk Management, Contrle Interne et Audit Interne et en sensibilisant davantage la Direction Gnrale et les oprationnels cette problmatique de gestion des risques. Indirectement, cela pourrait avoir un impact positif sur l'image de l'Audit Interne, car cette fonction est garante du bon fonctionnement du dispositif de matrise des risques de l'entreprise. De plus, Solvabilit 2 permet de mettre en avant la lgitimit des missions, pouvoirs et responsabilits de l'Audit Interne, et entrane une volution de l'Audit Interne en matire de comptences et de missions. En effet, Solvabilit 2 va entraner de nouvelles missions d'Audit Interne, visant sassurer que les exigences de la directive sont bien mises en place. L'intgration du primtre Solvabilit 2 dans les plans daudit pluriannuels est en effet un changement important provoqu par Solvabilit 2 en matire d'Audit Interne (missions d'audit consacres l'audit de l'ORSA, l'audit de la base incidents, l'audit du Contrle Interne et l'audit du Management des risques, l'audit de la fonction Conformit, etc.). De plus, la directive peut contribuer la mise en place d'un Systme Intgr de Contrle Interne (voir lexique), prenant en compte les attentes de toutes les parties prenantes, lintrieur comme lextrieur de l'entreprise. En effet, afin que les fonctions Audit Interne, Contrle Interne et Risk Management soient mieux intgres, il est ncessaire qu'elles se basent tout d'abord sur un rfrentiel commun. Or Solvabilit 2, sans tre un rfrentiel proprement parler, pose un certain nombre de principes communs et de bonnes pratiques respecter en matire de gestion des risques, comme nous l'avons vu, qui pourraient entraner un renforcement des liens entre ces trois fonctions mme si elles font l'objet de services distincts au sein de l'entreprise, et donc favoriser l'mergence d'un Systme Intgr de Contrle Interne, qui prendra en compte les attentes des clients et des salaris (gestion de la Qualit), des dirigeants (Audit Interne, Contrle Interne, Risk Management), et des actionnaires (instances comme le Comit d'Audit etc.). De plus, la dmarche Enterprise Risk Management, que nous avons voque, permet, d'aprs l'un de mes interlocuteurs, le dploiement dune analyse des risques, quelle que soit la taille de lentreprise, et la mise en place dun cadre de rfrence pour une gestion intgre des risques. La consquence logique de la mise en place d'un systme de ce type peut donc tre la plus grande proximit entre les services, ce qui est positif pour l'entreprise. Les liens entre lAudit Interne, le Contrle Interne et le Risk Management sont vidents puisque ces trois fonctions constituent les trois lignes de dfense visant matriser les risques auxquels est confronte lentreprise. Une dmarche globale de gestion des risques doit tre mise en place au sein de lentreprise notamment afin de faire face la multiplication des exigences lgales et rglementaires comme Solvabilit 2, un foisonnement de normes professionnelles, une pression croissante des parties prenantes (internes et externes) et une responsabilit des dirigeants accrue.
Cependant, nous avons galement constat que la mise en conformit avec la directive prsente quelques aspects ngatifs au niveau de l'Audit Interne : cette mise en conformit peut avoir un impact financier lev pour l'entreprise (en raison de la cration d'un service ddi ou du recrutement de nouveaux collaborateurs par exemple), et entrane un impact ngatif pour les entreprises qui ont une fonction Audit Interne cumule avec d'autres fonctions de l'entreprise, car la sparation entre ces services va entraner un cot important (restructurations, redfinition ncessaire des primtres de chaque service, cration d'instances de coordination entre ceux-ci, etc.). De plus, la sparation des services Audit Interne, Contrle Interne et Risk Management peut entraner une disparition des conomies dchelle ainsi qu'une perte de proximit entre ces services, tant donn que dornavant, la Direction de l'Audit Interne devra tre compltement spare des autres fonctions. Enfin, la directive entrane la ncessit pour les services d'Audit Interne de recruter des spcialistes (notamment en finance, comptabilit, informatique et actuariat), afin d'tre capables d'auditer les sujets relatifs Solvabilit 2, ce qui entrane un problme financier pour certaines entreprises, qui n'ont pas les moyens ncessaires pour recruter de nouveaux salaris. Nanmoins, malgr ces quelques rserves, on constate que de manire gnrale, les impacts de Solvabilit 2 sur lAudit Interne sont positifs. .
Synthse sur les parties 2, 3 & 4 En conclusion de ces parties consacres aux impacts du pilier 2 de Solvabilit 2 ( Gouvernance des risques ) sur les fonctions Audit Interne, Contrle Interne et Risk Management, nous allons revenir brivement sur les principaux aspects positifs et ngatifs causs par le pilier 2 pour ces fonctions.
- Concernant le Risk Management : la cration dune fonction Risk Management dcoulant de lapplication de
la directive a deux impacts ngatifs majeurs, un impact financier et un impact organisationnel. Limpact financier vient principalement des recrutements entrans par la cration de cette fonction, mais aussi du cot de la mise en place dune structure ddie cette fonction (Responsables, Directeurs, quipe etc.). Limpact organisationnel est caus par plusieurs lments : ladaptation ncessaire des processus Assurances de Personnes de lentreprise qui vont tous tre touchs par la mise en uvre de la fonction Risk Management, le positionnement de la fonction, la dfinition des rles et responsabilits des risk managers, et la coordination entre le Risk Management et le Contrle Interne qui doit tre mise en place (puisque, pour rsumer simplement, le Risk Management doit faire travailler le Contrle Interne). La cration dune fonction Risk Management a galement des impacts positifs, comme nous lavons vu : le renforcement de la matrise des risques de manire gnrale (et des risques autres quoprationnels en particulier) et de la vision groupe des risques, principalement, ainsi que lintgration de la dmarche Risques dans la stratgie du groupe. - Concernant le Contrle Interne : la cration dune fonction Contrle Interne, voire la sparation de lAudit Interne et du Contrle Interne demandes par la directive ont galement plusieurs impacts ngatifs, notamment un impact financier et un impact organisationnel. Limpact financier vient principalement du cot en termes de Ressources Humaines engendr par cette cration ou cette sparation (effectuer des recrutements, nommer des Responsables pour chaque fonction etc.). Limpact organisationnel majeur est bien sr la sparation de ces services, qui engendre des nouvelles mthodes de travail et entrane la ncessit de crer des instances de coordination entre ces services. La cration dun service ddi au Contrle Interne, si un tel service nexiste pas encore au sein de lentreprise, saccompagne bien sr dun impact organisationnel galement. Le dernier impact ngatif principal concerne la perte des conomies dchelle qui dcoule de la sparation de ces services.
La sparation de lAudit Interne et du Contrle Interne a cependant des impacts positifs, notamment en termes de renforcement de lindpendance de chacune de ces fonctions, ce qui est bien sr important pour lAudit Interne en priorit. De plus, la cration dun service Contrle Interne, dans le cas o un tel service nexiste pas encore au sein de lentreprise, a pour impact positif principal de renforcer la matrise des risques. - Enfin, concernant l'Audit Interne : les impacts ngatifs provoqus par la directive au niveau de lAudit Interne sont les suivants : -La sparation de lAudit Interne et des autres fonctions demande par la directive peut tre complexe mettre en uvre car elle demande des restructurations importantes. -Cette sparation engendre aussi un impact financier lev pour lentreprise. -Cette sparation peut galement provoquer une baisse du nombre dauditeurs (la moyenne au sein des assurances, Institutions de Prvoyance et mutuelles est d'environ 3 auditeurs pour 1000 salaris), ce qui a un impact ngatif sur limage de lAudit Interne, moins de recruter, ce qui a un cot financier important. -La mise en uvre de la directive peut entraner un dsintrt pour les audits portant sur les risques oprationnels purs car la directive insiste beaucoup sur laspect actuariel. Le risque est donc que la Direction Gnrale se dtourne de laspect oprationnel. -La cration dun service Audit Interne, lorsquun tel service nexiste pas au sein de lentreprise, saccompagne dun cot financier lev. Les impacts ngatifs de la directive sur lAudit Interne sont donc relativement faibles et trs indirects. En revanche, les principaux impacts positifs provoqus par la directive pour lAudit Interne sont les suivants : -Le positionnement de la fonction Audit Interne sen trouve renforc. -La fonction est rendue plus lgitime. -Les auditeurs ont une responsabilit accrue. -Les plans daudit sont impacts par la mise en uvre des exigences de la directive, puisquelle provoque de nouvelles missions daudit dans les mois et les annes venir. La directive entrane donc indirectement une augmentation de la charge de travail pour lAudit Interne, et donc un renforcement du rle et de limportance de cette fonction. -Les dispositions de Solvabilit 2 vont dans le sens des recommandations de lAudit Interne, en insistant sur limportance de la formalisation des procdures, des contrles et du suivi/pilotage de lactivit. Ainsi, globalement, les principaux impacts ngatifs de Solvabilit 2 et plus particulirement du pilier 2 sont les suivants :
-La directive entrane un alourdissement des mthodes de travail et une forte augmentation de la formalisation et du reporting pour ces fonctions, ce qui sera assez contraignant et consommateur de temps. -Solvabilit 2 a un cot lev pour la Direction Gnrale, en termes de mise en conformit et de recrutements notamment, pour un retour que lon a encore du mal cerner. Mme si de nombreuses prsentations de la directive poussent les entreprises ne pas voir Solvabilit 2 seulement comme un chantier de conformit, mais aussi comme une opportunit , et transformer cette contrainte en avantage concurrentiel durable , les entreprises n'ont pas, pour l'instant, une vision claire des bnfices que pourrait leur apporter l'application de Solvabilit 2, et celle-ci est aujourd'hui encore perue par les Directeurs Gnraux uniquement comme une rglementation qui va alourdir les process, sans vritable valeur ajoute. D'autant plus que l'application de la directive ne se traduira pas par un bnfice en termes de chiffre d'affaires. -La directive et surtout son deuxime pilier restent problmatiques pour les petites structures, malgr la prsence du principe de proportionnalit : le pilier 2 est surtout adapt aux grands groupes, avec des enjeux la fois techniques et organisationnels, et concernant toutes les dimensions de lentreprise. Or il faut que toutes les entreprises l'appliquent. L'enjeu est diffrent pour les petites structures, qui ont un minimum mettre en place, mais cela est dj difficile. En effet, les exigences qualitatives de Solvabilit 2 en matire de Risk Management, Contrle Interne, Audit Interne et gouvernance ncessitent la mise en place de chantiers importants : les travaux de mise en conformit avec les exigences de la directive vont donc tre dlicats pour les petites mutuelles, ce qui va les pousser au rapprochement, tout comme le pilier 1 et ses exigences en termes de fonds propres difficiles atteindre pour les petits groupes. -Solvabilit 2 pousse donc indirectement au rapprochement des petites structures, et porte donc atteinte la concurrence. Il y a cependant un ct positif cela : seules les entreprises les plus solides resteront prsentes sur le march, et les assurs seront donc mieux protgs. Enfin, en rsum, les impacts positifs de Solvabilit 2 et plus particulirement du pilier 2 sont les suivants : -La directive entrane une meilleure matrise des risques en imposant la mise en place d'un systme de matrise des risques efficace, couvrant de manire transverse l'ensemble des risques de l'entreprise afin de garantir une gestion saine et prudente de l'activit, avec un renforcement du Risk Management et du Contrle Interne, fonctions qui taient (et sont encore) souvent ltat embryonnaire dans les petites structures. Dimportants efforts ont donc t accomplis pour renforcer les rgles de gouvernance, le Contrle Interne et la matrise des risques au sein de ces petites entreprises (mutuelles notamment). De
plus, l'Audit Interne, la Conformit et le contrle de la gestion externalise (contrle des dlgataires) se trouvent aussi renforcs par Solvabilit 2. -De plus, une dmarche globale de management des risques devient ncessaire et utile mettre en uvre pour les entreprises, en raison d'un environnement professionnel de plus en plus complexe (multiplication des exigences lgales et rglementaires, foisonnement de normes professionnelles), la ncessit de partager une culture commune entre le management et les salaris, et une responsabilit du dirigeant accrue. De plus, ce type de dmarche permet de couvrir lensemble des risques de quelque nature quils soient, et d'impliquer lensemble de la filire de management. -Auparavant, les Directions lies la matrise des risques pouvaient tre dilues et parpilles dans toute l'organisation. Solvabilit 2 recentre ces fonctions au niveau d'une mme Direction. Par exemple, auparavant, dans l'entreprise de l'un de mes interlocuteurs, le Contrle Interne tait dploy sur certains mtiers et pas sur d'autres, et la Conformit tait situe au niveau du Juridique. Solvabilit 2 pousse runir ces fonctions au sein d'une Direction des Risques (Risk Management, Contrle Interne, Conformit etc.) tout en assurant l'indpendance de l'Audit Interne, avant le 1er janvier 2013. La matrise des risques s'en trouve donc renforce, et des synergies peuvent se crer entre ces fonctions. Solvabilit 2 pousse les structures mieux s'organiser. -La directive entrane la mise en place d'un nouveau mode de travail intgr entre les acteurs de la gestion des risques de lentreprise. Solvabilit 2 apparat comme structurant pour les entreprises, en entranant la cration de fonctions nouvelles ddies la gestion des risques, ou la sparation des fonctions. -Le pilier 2 concerne en priorit les fonctions Risk Management et Contrle Interne, ce qui va dynamiser ces fonctions et renforcer leur position dans l'entreprise. Il y a donc des bnfices tirs de la dmarche Solvabilit 2 en termes de connaissance des risques, de gouvernance et d'optimisation du fonctionnement de l'organisation. -La directive confirme, voire renforce les bonnes pratiques en termes de gestion de risques, de Contrle et d'Audit Internes. -Les exigences de qualit et de scurit des piliers 1 et 2 vont permettre de conforter les organismes, d'augmenter la scurit, et d'viter des dsagrments, mme si certains risques sont impossibles matriser. Solvabilit 2 a un niveau d'exigence plus lev que Solvabilit 1, et protge donc plus l'entreprise (la marge de solvabilit calcule auparavant ne garantissait pas contre le risque de faillite de l'entreprise).
-L'application de la directive entranera une vue clarifie des risques de lentreprise et de leurs effets sur sa comptitivit. -La directive pourra conduire a une amlioration de lefficacit des capitaux propres, par une meilleure prise en compte des risques dans les dcisions commerciales. -Enfin, plus gnralement, si la directive permet d' assainir le march et de faire disparatre les acteurs les plus faibles, on peut penser que les assurs ne seront que mieux protgs. D'autant que les fusions et rapprochements provoqus par la directive permettent de profiter de synergies commerciales par complmentarit des produits et de raliser des conomies d'chelle par la mise en commun d'un certain nombre de services administratifs, financiers ou informatiques, ce qui pourra tre positif pour les entreprises et leurs clients.
a
Ainsi, globalement, pour les fonctions Risk Management, Contrle Interne et Audit Interne, la mise en conformit avec la directive devrait permettre de renforcer la matrise des risques de manire gnrale et de renforcer ces fonctions et leur positionnement au sein de lentreprise. La mise en conformit se traduit cependant par un impact financier lev et des restructurations ncessaires au sein des entreprises, et impacte donc fortement les petites entreprises en priorit. La mise en place du projet ncessite galement une rorganisation des rles et des comptences attendus au sein de l'entreprise. D'autant plus qu' cet impact sajoute limpact du pilier 1, qui est galement trs fort pour les petites et moyennes entreprises et implique un changement de culture. Cest dailleurs pour ces raisons que de si nombreuses entreprises se tournent vers une aide venant des cabinets de conseil, comme nous allons le voir.
Partie 5 : Vision densemble : modalits de mise en uvre de Solvabilit 2 et difficults rencontres par les entreprises Cette vision d'ensemble concerne principalement le rle des cabinets de conseil dans la mise en conformit des entreprises avec Solvabilit 2 et plus particulirement le deuxime pilier (ces cabinets sont sollicits par de nombreuses entreprises afin de raliser un diagnostic de conformit puis d'aider l'entreprise mettre en uvre les exigences de la directive), les diffrences d'apprhension de Solvabilit 2 entre petits et grands groupes, l'tat d'avancement actuel de la dmarche de mise en conformit avec Solvabilit 2, et ce qu'il adviendra aprs 2012, c'est--dire une fois que la phase de mise en conformit sera termine. Il m'a sembl important de traiter ces sujets ici, mme s'ils s'loignent du thme principal de ce mmoire, car tous mes interlocuteurs les ont voqus au fil des entretiens. Ces sujets se sont donc imposs d'eux-mmes, ce qui montre qu'ils constituent des proccupations majeures pour les entreprises l'heure actuelle, un peu plus d'un an de la date butoir de mise en conformit avec la directive (le 1er janvier 2013). 1/ Rle des cabinets de conseil dans la mise en conformit avec Solvabilit 2
Au cours des entretiens, j'ai pos la question suivante mes interlocuteurs : afin de mettre en place les exigences requises par Solvabilit 2, votre entreprise s'est-elle tourne vers l'aide d'un cabinet de conseil ? . La rponse est qu'un grand nombre d'entreprises se tournent vers des cabinets de conseil, qui les aident mettre en place les changements lis Solvabilit 2 et dfinir leurs politiques de gestion des risques, de Contrle Interne et dAudit Interne. Ces cabinets ralisent notamment de nombreux diagnostics de conformit pour les entreprises, qui sont des analyses visant faire un tat des lieux et prsenter les changements restants apporter au niveau des fonctions-cls prenant part la matrise des risques, afin d'tre totalement en conformit avec la directive. En effet, concernant le pilier 2, tout l'en jeu pour les entreprises consiste trouver un modle organisationnel qui assure une bonne articulation entre les domaines/fonctions suivantes : gouvernance, Gestion des Risques, Contrle Interne et Audit Interne ( voir annexe 15 : schma d'organisation : les articulations entre les diffrents acteurs intervenant dans le dispositif de matrise des risques mettre en place pour rpondre aux exigences de la directive Solvabilit 2 ), tout en rpondant aux nombreuses exigences que nous avons voques dans ce mmoire. Pour cela, elles font trs souvent appel des cabinets de conseil. Ainsi, on peut rsumer les tapes-cls de l'intervention de ces cabinets, visant notamment tablir un diagnostic du dispositif existant (identification des carts entre l'organisation existante et l'organisation cible) et proposer des amliorations pour tre en conformit avec la directive, de la faon suivante :
1/ Identification des risques ; analyser la capacit du dispositif recenser de manire prcoce l'exhaustivit des risques et les mettre jour sur une base rgulire, et valuer la qualit du reporting effectu. 2/ Mesure de l'exposition aux risques ; valider le choix des variables retenues pour le calcul de l'exposition aux risques quantifiables et pour l'valuation du degr de criticit des risques non quantifiables. 3/ Gestion des risques ; recenser l'ensemble des stratgies et des procdures de gestion des risques mises en uvre et examiner l'adquation de l'exposition rsiduelle qui en dcoule au niveau du risque rsiduel dfini par le Conseil. 4/ Conception et mise en uvre ; dfinir les axes d'amlioration du dispositif en fonction des constats du diagnostic et les dcliner en plans d'action (complter les procdures d'identification des risques en crant une base incidents, documenter l'ensemble des stratgies de gestion des risques, etc.). Comme me l'a indiqu un Directeur rencontr, Solvabilit 2 est donc une aubaine pour les cabinets de conseil puisqu'elle est gnratrice de nouveaux contrats et de nouvelles missions pour eux. On trouve d'ailleurs, sur les sites internet des cabinets de conseil, de nombreuses brochures dtaillant le contenu de leurs offres concernant Solvabilit 2 : diagnostics de conformit afin d'valuer la capacit de l'organisation rpondre aux exigences de la directive et d'identifier les actions ncessaires en vue d'tre en conformit (plans d'action), mise en place ou amlioration de la Gestion des Risques, du Contrle Interne et de l'Audit Interne, accompagnement dans la mise en conformit avec les exigences rglementaires comme Solvabilit 2 en mode gestion de projet, ralisation de procdures formalises et conformes la directive Solvabilit 2 etc. Le cabinet PricewaterhouseCoopers a mme publi un livre blanc consacr aux enjeux de Solvabilit 2, preuve de l'intrt que les cabinets accordent la directive, ainsi qu'une brochure prsentant leur offre destination des acteurs intermdiaires qui ne disposent que dun budget rduit pour mettre en place une gouvernance des risques adapte, calculer leur SCR avec la formule standard, avoir une documentation complte et des donnes fiables, mais aussi pour respecter les nouvelles obligations rglementaires de reporting . En effet, les grandes socits dassurance telles que AXA ou Allianz disposent de ples de comptence et de moyens importants (et font partie du lobbying qui a fait appliquer Solvabilit 2), et peuvent donc prendre en charge la mise en place de Solvabilit 2 de faon indpendante, en interne. Cependant, le recours quasi-systmatique aux cabinets de conseil peut s'expliquer par le fait que les groupes de taille plus modeste (petites assurances, mutuelles, et Institutions de Prvoyance), mme s'ils disposent bien sr de comptences en interne (quil va falloir former), ne disposent pas des moyens financiers qui leur permettraient de recruter en nombre important les profils concerns, tels que des comptables, actuaires, informaticiens etc. Il est donc plus avantageux pour eux de faire appel ponctuellement des cabinets de conseil
qui vont commencer par faire un tat des lieux pour dterminer quels changements doivent tre faits afin d'tre en conformit avec la directive, puis qui vont ensuite aider lentreprise mettre en place ces changements. Les cabinets de conseil sont donc souvent sollicits pour mettre un diagnostic sur la situation de l'entreprise car ils peuvent donner un avis objectif et extrieur, et disposent de spcialistes qui ont une bonne connaissance des lois au niveau europen. Concernant Solvabilit 2, le diagnostic consiste en une valuation de la capacit de l'organisation rpondre aux exigences de Solvabilit 2, une valuation des actions ncessaires en vue de se conformer Solvabilit 2 (analyse des carts entre situation actuelle et situation cible, estimation des cots d'implmentation du projet Solvabilit 2), et en un dveloppement de plans d'action adapts l'organisation. L'un des Directeurs de l'Audit Interne que j'ai rencontrs m'a expliqu que son entreprise a fait appel au cabinet KPMG afin d'effectuer un tat des lieux indiquant ce quil fallait mettre en place afin d'tre en conformit avec la directive. Ce diagnostic a permis de dmontrer o en tait l'entreprise dans la mise en place du projet Solvabilit 2, et ce quil restait accomplir. KPMG a fait un compte-rendu sur cet tat des lieux. Puis, par la suite, des chefs de projets internes ont mis en place les indications de KPMG (qui a pu raliser cette mission de conseil car ce cabinet nest pas Commissaire aux Comptes de l'entreprise concerne). Les changements d'organisation sont jugs au fur et mesure par KPMG. Pour cette entreprise, la collaboration avec KPMG a une dure de trois ans : elle a commenc en 2009 et devrait se terminer en 2012. KPMG a apport une aide sur les aspects techniques de Solvabilit 2, et donc sur les 3 piliers de la Directive, mme si l'entreprise va galement recruter des comptables, des actuaires (Pilier 1) ainsi que des spcialistes du Contrle Interne afin de renforcer le Contrle Interne et le Management des Risques (Pilier 2). Ce cabinet a surtout eu un rle d' arbitre pour l'entreprise, et a aid mettre en place les exigences de Solvabilit 2. Par exemple, le cabinet a aid appliquer le principe de proportionnalit voqu dans Solvabilit 2, qui indique qu'il faut dployer des efforts proportionnels aux risques que l'entreprise porte. Pour des activits complexes, sophistiques , il faut tre en mesure de matriser les risques, tandis que les petites entreprises devraient tre soumises des exigences plus modestes. Ce principe est difficile appliquer : pour l'instant, chacun l'interprte sa faon, d'aprs l'un de mes interlocuteurs. En effet, ce principe de proportionnalit ntant pour l'instant pas dfini de manire oprationnelle, et ntant probablement pas destin ltre plus dans les mesures de niveau 3, son application fait largement appel lapprciation de lentreprise. Il reste donc mettre en application cette partie de la directive, qui pour linstant est le parent pauvre des textes. Les petites et moyennes socits ne savent donc toujours pas comment les simplifications induites par ce principe de proportionnalit leur seront appliques. Une aide d'un cabinet est donc la bienvenue. De plus, au sein de cette entreprise, les grand projets stratgiques aussi complexes que Solvabilit 2 sont traits par le ple Organisation, qui regroupe tous les chefs de projet. Cela concerne des projets transverses plusieurs directions, ainsi que des projets stratgiques comme Solvabilit 2. Ces projets sont dcoups , puis
des responsables sont nomms pour chaque tranche . Ainsi, pour le projet Solvabilit 2, les sous-projets concernent la gouvernance et les piliers 1, 2 et 3. Chaque pilier est dirig par un responsable, et concerne bien sr plusieurs services diffrents. Le sous-projet consacr au pilier 2 est compos des sujets suivants : -Audit Interne, -Contrle Interne, -Conformit, -Gestion des risques, -Cartographies des risques, -ORSA, -PCA, -Sous-traitance, -Base Incidents. Le Dpartement Organisation accompagne la mise en place de ces chantiers, puis KPMG arbitre car, d'aprs mon interlocuteur, il est plus pertinent que certaines choses soient dites par un intervenant extrieur l'entreprise. Concernant la gestion du projet Solvabilit 2 au sein de cette entreprise, les projets de gouvernance ont t mens en premier, puis les projets informatiques ont suivi (ils sont toujours en cours), malgr un problme de ressources. En effet, l'quipe Projet Solvabilit 2 en interne est constitue de seulement trois personnes, qui ne travaillent pas temps plein sur ce sujet. Ceci tait suffisant dans la phase de lancement du projet, mais cela va tre difficile dans la phase de mise en uvre. Le problme est toujours le mme : les changements provoqus par la directive ont un cot lev, qui n'est pas facile prendre en charge pour les entreprises de taille moyenne et les petits groupes. Le cot de Solvabilit 2 pour l'entreprise est donc constitu d'un cot interne (dveloppements informatiques ncessaires, charge de travail importante etc.) et d'un cot externe (paiement de la prestation du cabinet de conseil). Ainsi, pour cette entreprise, le chef de projet, KPMG, est externe pour une question de comptence, tandis qu'une quipe dirige par un chef de projet est galement consacre au projet Solvabilit 2 en interne. Ses missions principales sont les suivantes : fixer un planning de mise en conformit avec Solvabilit 2, dfinir les personnes qui vont intervenir, et respecter la mthodologie de gestion de projet de l'entreprise. Le chef de projet est galement garant du respect du budget. Enfin, un Comit de Pilotage est form et se runit environ une fois par mois (le premier Comit de Pilotage a eu lieu en juin 2010) afin de faire le point sur l'tat d'avancement du projet Solvabilit 2. Il runit tous les Directeurs concerns par le projet ( voir annexe 15). De mme, un autre Directeur m'a expliqu que fin 2010-dbut 2011, son entreprise, aide par un cabinet externe, a ralis un diagnostic afin de constater o en tait l'entreprise par rapport aux exigences de Solvabilit 2, et les actions restantes accomplir afin de se mettre en conformit avec la directive. Ce cabinet, en plus de la ralisation du diagnostic, va galement aider piloter le projet. Par la suite, l'entreprise grera le projet sans
aide extrieure afin de se lapproprier. Ainsi, un Comit de Pilotage est dj en place, et est compos dune dizaine de membres : chacun reprsente une Direction du groupe, ou bien une activit concerne par Solvabilit 2, telles que la Direction Financire et Technique, la Direction Juridique, la Direction de lAudit Interne et le Responsable du Contrle Interne (qui fait pour linstant partie de lAudit Interne), la MOA (volet informatique), la Direction du Dveloppement, la Direction de la Gestion (notamment service dlgataire de gestion), et lactivit Mutuelle. Ce recours a un cabinet de conseil semble donc tre une pratique gnralise, puisque tous les responsables que j'ai rencontrs ont voqu le recours un cabinet comme une tape importante, voire quasiment obligatoire, dans leur dmarche de mise en conformit. D'autant plus que Solvabilit 2 est une rforme indicative base sur des principes plutt que sur des rgles claires et prcises, ce qui rend le recours un cabinet de conseil encore plus vident pour les entreprises, qui ont besoin d'un diagnostic fiable puis d'une aide en termes de gestion de projet, notamment en ce qui concerne les exigences qualitatives du pilier 2. Solvabilit 2 et les nouveauts entranes par l'application de la directive sont donc gnratrices de business pour les cabinets de conseil. Seuls les trs grands groupes, qui disposent dj de comptences en interne et peuvent se permettre d'assigner de nombreux salaris temps plein sur le projet Solvabilit 2 peuvent se passer de l'aide d'un cabinet. La majorit des autres entreprises fait appel une aide ponctuelle d'un cabinet externe, mme si cela a un cot pour elles. Cela explique notamment le fait que les sites internet des cabinets de conseil visent particulirement ces entreprises, comme le montre cette phrase venant du site de PricewaterhouseCoopers : quelques mois de la mise en uvre de Solvabilit 2, les acteurs intermdiaires d'assurance doivent se mettre en conformit avec la directive qui prendra effet au 1er janvier 2013. Cependant, l'instar des grands acteurs, ils ne disposent que d'un budget rduit pour mettre en place par exemple une gouvernance des risques adapte . Toutes les entreprises ne sont donc pas armes gales devant la complexit et l'ampleur du projet Solvabilit 2, et la mise en conformit avec la directive reprsente donc une grande opportunit pour les cabinets de conseil. 2/ Diffrences d'apprhension de Solvabilit 2 entre petits et grands groupes
Il apparat assez clairement que Solvabilit 2 provoque des changements majeurs pour les petites et moyennes assurances, les Institutions de Prvoyance et les mutuelles principalement, et peut tre mis en uvre bien plus facilement par les grands groupes. La complexit du systme et la lourdeur de sa mise en place expliquent que les exigences de la directive soient plus difficiles mettre en place pour les petites entreprises. Par exemple, en ce qui concerne le pilier 1, nous avons vu que les entreprises peuvent choisir d'adopter un mode de calcul du SCR bas sur une formule standard ou sur un modle interne. Or, d'aprs de nombreux professionnels, ce modle ne pourra tre adopt que par les grandes entreprises car elles seules disposent des moyens financiers et humains suffisants pour le mettre en place. Ds lors, les avantages dcoulant de l'application d'un modle
interne (fonds propres moins levs notamment) ne bnficieraient qu'aux entreprises les plus importantes, laissant de ct les plus petites entits. En ce qui concerne le pilier 2, nous avons constat que ses exigences n'entranent pas de changements importants au sein des grands groupes (qui sont dores-et-dj avancs en ce qui concerne la gestion des risques) alors qu'elles provoquent quasiment une rvolution au sein des petites entreprises en ce qui concerne tout leur dispositif de matrise des risques. Ainsi, au cours d'une confrence consacre Solvabilit 2 laquelle j'ai assist, le Responsable des Systmes d'Information d'une grande assurance (Generali Assurances) a expliqu que pour son entreprise, Solvabilit 2 ne reprsente pas un changement norme car cette directive se situe dans la continuit de leur systme de gestion des risques et constitue surtout une mise en conformit rglementaire (tout comme Solvabilit 1 et Sarbanes-Oxley). D'aprs lui, le but de cette directive est dassocier vision rglementaire et oprationnelle, car la matrise des risques vient concrtement d'une bonne connaissance des donnes : Solvabilit 2 doit donc aider tre plus efficace au niveau oprationnel en permettant une meilleure matrise des donnes et des risques. Son entreprise a donc dfini deux secteurs (vie et non vie) puis a list les donnes et les risques correspondants. Cette dmarche n'a d'aprs lui pas eu dimpact sur leurs gestionnaires : leur contribution a simplement t de rendre disponibles ces donnes (enrichissement des systmes actuels, des procdures de gestion des risques etc.) par construction en parallle. Au niveau de la gouvernance, il a fallu dterminer les responsables de ces donnes, les modalits de mises jour, etc. : la gouvernance fait un suivi rgulier de lavancement des travaux. Un Comit de Suivi Solvabilit 2 a t cr, et se runit une fois par mois. Il existe galement une dlgation auprs des oprationnels. L'enjeu majeur pour cette entreprise est donc d'articuler Solvabilit 2 avec tous les autres projets en cours, et de raliser des arbitrages. En effet, la planification est ralise, mais ladaptation du planning est semestrielle. Le but est d' accrocher Solvabilit 2 loprationnel en dfinissant les produits et en enregistrant les donnes dans le systme. L'enjeu pour laprs 2012 est donc d'intgrer Solvabilit 2 dans le quotidien de lentreprise, tout comme Solvabilit 1 est entr dans le quotidien (au niveau du reporting rglementaire surtout). Pour cette entreprise, Solvabilit 2 reprsente 40 ETP (salaris) sur 3 ans au niveau des Systmes d'Information : ce chiffre doivent sajouter les recrutements effectus dans dautres secteurs (Actuariat, Contrle Interne, Audit Interne principalement). On constate donc que Solvabilit 2 est une des priorits de lentreprise, mais surtout que celle-ci dispose d'un budget lev et des comptences ncessaires lui permettant de mettre en uvre les exigences de la directive sans que cela ne bouleverse son activit.
De plus, le Responsable Solvabilit 2 du Groupe AXA a expliqu au cours de cette mme confrence que la problmatique actuelle pour son entreprise concerne l'approbation de son modle interne par les autorits de contrle (lACP et ses homologues europens), ce qui savre complexe car AXA dispose de nombreuses filiales dans le monde. On constate nanmoins que cette entreprise dispose des moyens ncessaires la mise en uvre d'un modle interne. Afin de rpondre aux exigences de Solvabilit 2, cette entreprise s'est organise de la faon suivante : une quipe projet centrale constitue d'une dizaine de personnes soccupe de la vision globale, temps plein, tandis qu'un responsable de projet est prsent dans chaque pays, avec une quipe dimension variable. Il y a 5 ans, bien avant la phase finale du projet Solvabilit 2, plus de cent personnes travaillaient dj la mise en place de Solvabilit 2 au sein de cette entreprise, s'occupant notamment de la modlisation des risques et de la construction d'un modle interne (pilier 1). Les autres grands groupes d'assurances ont adopt des dmarches similaires. Cela s'explique galement par le fait que cette entreprise souhaite faire partie de la premire vague de groupes qui verra son modle interne valid par les autorits de contrle. Ainsi, en 2001, la Direction Financire du groupe a commenc dvelopper un modle pour grer la consommation du capital. Ceci constituait les prmices de la cration dune fonction Risk Management. Cela s'explique notamment par les vnements ayant eu lieu cette anne-l (attentats du World Trade Center, faillite dEnron, etc.). La Direction Gnrale sest rendu compte cette occasion qu'il lui tait difficile de disposer d'une vision globale des risques. Ainsi, une vritable fonction Gestion des Risques a t cre, afin de disposer de tableaux de bord pertinents et de crer un modle interne (outil de mesure de lexposition au risque, vue sur les fonds propres, etc.). Cela a vritablement t mis en place partir de 2003/2004. Pour ce groupe, Solvabilit 2 change donc vraiment la matrise des risques car Solvabilit 1 n'tait qu'une contrainte administrative et adoptait une approche statique : elle ne constituait pas un critre de gestion ou de prise de dcision mtier, contrairement Solvabilit 2, daprs ce responsable. En effet, afin de respecter les exigences de Solvabilit 2, pour chaque produit, chaque dcision stratgique et chaque dcision dinvestissement, il faut dterminer le montant qui va tre consomm en termes de fonds propres conomiques et rglementaires, ce qui change compltement la prise de dcision. De plus, la directive va constituer un changement pour la fonction Gestion des Risques de cette entreprise, qui va apporter une contribution beaucoup plus significative dans les Comits de Direction et dans la prise de dcision de manire gnrale, ce qui va se traduire par une contribution formelle, du moins au dbut (processus, revues de processus, comptes-rendus etc.). Cependant, par la suite, le Risk Management devrait intervenir de faon plus fluide dans les dcisions.
Enfin, au sein d'une autre grande socit d'assurance, Allianz, les travaux de mise en conformit avec la directive ont commenc en 2007, et sont termins aujourd'hui. A l'heure actuelle, cette entreprise cherche plutt optimiser les changements effectus en vue de la directive, afin de disposer des fonds propres les plus bas possibles, tout en respectant les exigences de Solvabilit 2. On constate donc que la dmarche Solvabilit 2 est plus ou moins difficile mettre en uvre selon les acteurs. Les grands groupes disposent de moyens humains et financiers levs, et se prparent au changement depuis plusieurs annes, alors que les autres s'y sont pris (ou vont s'y prendre) bien plus tard, tout en disposant de moyens bien moins levs. On peut donc rsumer la situation de la faon suivante : -Les grands groupes comme AXA sont dj quasiment prts aujourdhui, mme si certaines adaptations restent effectuer. Ils ont en majorit mis en place un pilotage par pilier pour assurer le suivi des travaux lis Solvabilit 2, alors que les plus petits groupes ont adopt le pilotage par un projet global (dans ce cas, les directions concernes sont la direction de lAudit Interne, la direction du Contrle Interne ou la direction financire). Le seul risque pour les grands groupes concerne la dmultiplication des chantiers mens en parallle, qui peut tre difficile coordonner et piloter, avec un risque de perte defficacit et un manque de visibilit. -Les Groupes de Protection Sociale et les assurances de taille moyenne pourront se mettre en conformit avec Solvabilit 2, mais il leur faut encore du temps. Ils sont par exemple encore nombreux disposer d'un seul service, qui soccupe de lAudit Interne, du Contrle Interne et de la Qualit. Or Solvabilit 2 exige implicitement quune scission de ces activits soit ralise, puisquelle indique que la fonction Audit Interne doit tre indpendante. De plus, toutes les autres exigences du pilier 2 et du pilier 1 entranent des changements importants pour ces groupes. Ainsi, Solvabilit 2 va provoquer un impact fort sur leurs activits, alors qu'ils ont des ressources humaines et financires infrieures celles des grands groupes. -Les petites mutuelles, assurances et Institutions de Prvoyance, pour la plupart, nont pas de relles fonctions Audit Interne et Contrle Interne. La mise en conformit avec le pilier 2 de Solvabilit 2 va donc tre trs contraignante. Dautant plus que certaines petites mutuelles n'ont pas encore commenc le chantier de mise en conformit (par manque de moyens principalement) et sont donc dans une situation dlicate, mme si ce chantier sera beaucoup plus rapide mettre en place que pour les grands groupes. On peut donc dire qu' l'heure actuelle, les petites mutuelles sont en retard par rapport aux grands groupes. Par exemple, j'ai contact en mars 2011 le Directeur de l'Audit Interne d'une petite Institution de Prvoyance qui m'a rpondu que le sujet Solvabilit 2 n'avait pas encore t trait au sein de son entreprise. Pour certaines mutuelles, Solvabilit 2 constitue donc une vritable rvolution culturelle car elles vont devoir se mettre l'unisson des grandes entreprises et se familiariser avec des notions quasiment inconnues jusqu'ici comme la gouvernance, la gestion des risques, le Contrle Interne, et l'Audit Interne, qui taient jusqu' aujourd'hui rserves aux grands groupes.
Les mutuelles vont donc devoir mettre en place et optimiser leur gestion des risques et leur dispositif de Contrle Interne, voire repenser totalement leur gouvernance des risques. Les chantiers de mise en conformit avec les exigences de la directive vont donc s'avrer longs et coteux pour ces entreprises. D'autant qu'il faut prciser que d'autres lois taient dj exigeantes envers les petites mutuelles, notamment en ce qui concerne la lutte antiblanchiment, mettre en place au sein des banques, assurances, Institutions de Prvoyance et mutuelles. On en demande donc beaucoup aux petites entreprises (notamment les mutuelles), pour qui ces exigences sont trs contraignantes mettre en place. Ainsi, Solvabilit 2 avantage les grands assureurs car ils disposent dun savoir-faire et des forces vives ncessaires pour se mettre en conformit avec Solvabilit 2. Ils ont aussi une culture du risque dveloppe, et sont cts en bourse : ils sont donc habitus traiter ces questions. Ainsi, de nombreux concepts voqus dans Solvabilit 2 sont dores-et-dj appliqus au sein de ces groupes. Tous les autres (notamment les groupes de taille moyenne) se feront aider par des prestataires externes, et auront besoin de plus de temps pour tre en conformit avec Solvabilit 2. Le problme qui se pose lorsqu'une entreprise est assiste par un intervenant externe concerne le transfert de savoir-faire : partir de quel moment l'entreprise devient autonome et n'a plus besoin de l'aide d'un cabinet de conseil pour tre en conformit avec Solvabilit 2 ? Cependant, ce recours aux cabinets de conseil est logique car ils apportent une aide bienvenue. Solvabilit 2 pose donc problme aux petites assurances. Lun de mes interlocuteurs pense mme qu'elles sont condamnes, et que Solvabilit 2 est fait pour. En effet, si lon veut amliorer la scurit des assurs, il ne faut pas qu'ils soient couverts par des petites assurances. La directive Solvabilit 2 le prcise : le principal objectif de la rglementation et du contrle en matire d'assurance est de garantir la protection adquate des preneurs et des bnficiaires. Le terme "bnficiaire" entend dsigner toute personne physique ou morale titulaire d'un droit en vertu d'un contrat d'assurance. D'autres objectifs tels que la stabilit financire ou la stabilit et l'quit des marchs devraient tre galement pris en compte, sans dtourner cependant du principal objectif . Ainsi, les exigences de Solvabilit 2 en termes de fonds propres ne permettent pas certaines structures de continuer exister lorsque leurs fonds propres ne sont pas assez levs, dautant plus lorsque l'activit concerne des contrats risqus (puisque dans ce cas, Solvabilit 2 exige des fonds propres encore plus levs). Pour ces structures, il faudra soit augmenter le niveau de fonds propres, soit cesser l'activit. De plus, afin de prparer les mesures dapplication de la directive, qui staleront jusqu fin 2011, la Commission Europenne a confi lAutorit Europenne de Contrle de lAssurance (EIOPA) le soin de raliser des tudes dimpact, ou QIS, auprs des organismes dassurance volontaires : d'aprs le QIS 5, 4,6 % d'entreprises ne passent pas le cap de Solvabilit 2. Elles vont donc devoir soit chercher de nouveaux actionnaires (socits capitalistiques) soit se rapprocher pour survivre (par le biais de fusions ou dabsorptions
par exemple). On a cependant constat avec le QIS 5 que les entreprises franaises s'en sortent mieux que prvu au niveau financier. A noter, les trs petites assurances sont exclues de Solvabilit 2, comme l'indique la directive : de trs petites entreprises d'assurance sont, sous certaines conditions, notamment un encaissement annuel de primes brutes infrieur 5.000.000 d'euros, exclues du champ d'application de la prsente directive. Toutefois, toutes les entreprises d'assurance ou de rassurance qui sont dj agres au titre des directives actuelles devraient continuer de l'tre quand la prsente directive sera mise en uvre. Les entreprises qui sont exclues du champ d'application de la prsente directive devraient avoir la possibilit d'user des liberts fondamentales garanties par le trait. Elles ont le choix de solliciter l'agrment au titre de la prsente directive, afin de tirer avantage de l'agrment unique qu'elle prvoit . Pour rsumer la situation, on peut voquer une tude ralise en 2010 ( voir annexe 16 : extrait d'une tude ralise en 2010 par Optimind) sur lavancement des projets Solvabilit 2, qui a indiqu un rapport de 1 1000 sur les budgets estims, des carts lis la diversit de taille des acteurs consults, et une diversit dapprhension des enjeux et des difficults de Solvabilit 2. On constate donc les importantes diffrences d'apprhension du projet qui existent entre ces entreprises ; ces diffrences dpendent bien sr du budget et des ressources propres chaque entreprise, et entranent logiquement des facilits mettre en place les exigences de la directive pour les grandes entreprises, qui disposent des budgets les plus levs et des ressources humaines appropries.
d
3/ Ingalits entre assurances et Institutions de Prvoyance/mutuelles?
Les acteurs intermdiaires que sont les Institutions de Prvoyance (intermdiaires car situes entre les grandes assurances et les mutuelles, en termes d'activits et de moyens) ont commenc leur programme de mise en conformit avec Solvabilit 2 il y a 18 mois en moyenne (les mutuelles ont suivi il y a peu). De manire gnrale, en ce qui concerne Solvabilit 2, ces Institutions de Prvoyance font face aux changements et difficults suivants : -De nombreux regroupements sont en cours, phnomne accentu par Solvabilit 2 et ses exigences leves en termes de fonds propres, -Le calendrier rglementaire est riche (Solvabilit 2, mais aussi fiscalit, rforme des retraites, sant), -La gouvernance est plus longue se mettre en place (en raison de la structure paritaire de ces groupes notamment), -Il est ncessaire de raliser des arbitrages svres entre la rglementation et le dveloppement commercial, -Il faut appliquer et dployer le principe de proportionnalit (voir l'article 3 bis de la directive : La Commission veille ce que les mesures d'excution prennent en compte le principe de proportionnalit, garantissant ainsi
l'application proportionne de la prsente directive, en particulier aux trs petites entreprises d'assurance et l'article 14 bis : Le nouveau rgime de solvabilit ne devrait pas reprsenter une charge trop lourde pour les entreprises d'assurance de petite et de moyenne taille. Cet objectif passe notamment par le respect du principe de proportionnalit. Ledit principe devrait s'appliquer en ce qui concerne tant les exigences l'gard des entreprises d'assurance et de rassurance, que l'exercice des pouvoirs de contrle ). Les priorits actuelles de ces groupes sont donc globalement les suivantes : -Se mettre niveau en termes de Risk Management, Contrle Interne et Audit Interne, -Se mettre niveau en termes de Systmes dinformation, -Effectuer une revue complte des portefeuilles dactifs, -Donner une vision agrge et prospective des risques aux dcisionnaires, - Industrialiser les processus de reporting (puisque la directive doit saccompagner dune augmentation des informations mises disposition des dirigeants), -Mobiliser les diffrentes instances qui pilotent l'entreprise (puisque la directive exige une plus grande implication des organes dirigeants), -Mobiliser globalement plus de fonds propres, ce qui passera soit par des leves de fonds supplmentaires auprs des socitaires ou adhrents, soit par des regroupements, soit encore par un plus fort recours la rassurance, -Et enfin, traiter simultanment les trois piliers de la directive. Pour rpondre ces priorits, de nombreuses actions sont mises en place : -Nommer un chef du projet Solvabilit 2 et des quipes ddies, -Identifier les chantiers et leurs priorits, -Dvelopper les indicateurs de suivi davancement pour chaque chantier, -Structurer la politique de Risk Management et de Contrle Interne, -Mettre en place une mthodologie partager par tous, y compris le Conseil dAdministration et la Direction Gnrale, -Impliquer toutes les directions mtiers : dvelopper la culture de la gestion du risque, -Dvelopper la communication interne sur le projet et ses enjeux, -Amliorer la communication vers les autorits de contrle. Au sein des grandes socits dassurance, le projet Solvabilit 2 est globalement bien plus mature, avec un pilotage du programme Solvabilit 2 par le groupe, malgr lexistence de sujets pouvant amener des difficults : -Validation du modle interne Groupe, -Harmonisation du modle ORSA Groupe, -Modle de gouvernance des risques pas totalement finalis, -Augmentation des contraintes lies au reporting.
Les priorits de ces groupes sont les suivantes, lheure actuelle : -Gestion des donnes (les trois piliers sont concerns), -Constitution des quipes en termes de ressources et de comptences (les trois piliers sont concerns), -Dveloppement du modle interne (pilier 1), -ORSA, gouvernance des risques et Contrle Interne (pilier 2), -Communication financire et reporting (pilier 3). On constate donc que, par manque de temps et de moyens, les Institutions de Prvoyance et les mutuelles ont commenc leur travail de mise en conformit plus tardivement que les assurances : de nombreux chantiers importants sont donc toujours en cours aujourdhui. Dimportants efforts ont t accomplis ces dernires annes pour renforcer les rgles de gouvernance, le Contrle Interne et la matrise des risques au sein de ces entreprises, mais il est clair que les Institutions de Prvoyance et les mutuelles sont moins avances que les assurances dans le processus de mise en conformit avec la directive, en raison de leur relative inexprience dans le domaine de la gestion des risques et d'un manque de ressources humaines et financires. De plus, les spcificits du secteur de la protection sociale sont prendre en compte et expliquent ce dcalage : -le cot relatif de la mise en uvre est plus lev que pour les socits cotes (Contrle Interne, reporting public tendu mettre en place), -les fusions devenues ncessaires pour les petites entits incapables de mettre leurs fonds propres niveau pourraient malgr tout, gnrer des cots trs importants, -la sensibilisation des instances gouvernantes des entreprises de lconomie sociale est plus difficile, du fait de la vision trs conomique de lactivit, -globalement, le saut culturel pour les Institutions de Prvoyance et les mutuelles est plus important que pour les socits d'assurance, car ces dernires sont souvent plus avances en ce qui concerne la gestion des risques et le Contrle Interne de manire gnrale. Cependant, peu importe l'entreprise, pour que la mise en conformit avec Solvabilit 2 se droule correctement, des facteurs classiques entrent en jeu (ressources et comptences, moyens financiers et organisationnels, gestion de projet, etc.), mais pas seulement. Il faut aussi : -prendre des dcisions adaptes : il faut commencer par identifier les grands carts entre l'organisation existante et l'organisation cible dicte par la rforme et adapte l'entreprise, mettre en uvre les changements de manire progressive, mutualiser les moyens informatiques pour les calculs du MCR et du SCR, consolider les rfrentiels, et surtout dterminer une solution qui couvre lensemble du primtre des trois piliers tout en dterminant une vritable politique de gestion des risques ainsi qu'une politique de Contrle Interne ( voir annexe 17 : la gestion du projet Solvabilit 2).
-mettre en uvre une dmarche structure : par exemple, mettre en place des bases de donnes centrales, laborer des outils spcifiques et un reporting harmonis et centralis. -les ressources humaines adquates : des comptences expertes et transverses sont ncessaires (mtiers, organisationnel et Systmes d'Information notamment), ainsi quune mthodologie claire et partage par tous. Les comptences les plus mises en avant par la directive sont la Comptabilit, l'Actuariat, le Contrle Interne et la Gestion des Risques. D'autant que tous les services de l'entreprise sont susceptibles d'tre sollicits puisque la directive impose une analyse de toutes les catgories de risques. L'implication du management et des oprationnels ds le dbut du projet est donc importante. -la gouvernance mettre en place selon le principe de proportionnalit, qui comprend la gestion des risques (systme de gestion des risques efficace, vision globale ERM , et autres indications de l'article 44), le Contrle Interne, l'Audit Interne, les organes de direction et un systme de gouvernance efficace, les Comits spcialiss (Comit des Risques, Comit d'Audit, Comit des Rmunrations etc), et la fonction actuarielle, et qui devra grer le projet et le faire voluer. De mme, en termes de gouvernance de projet, il est important que le Comit de Pilotage du projet Solvabilit 2 intgre un reprsentant de toutes les Directions, qui soit la fois en mesure dapprhender les impacts du projet pour son activit, mais galement capable de valoriser et de piloter la contribution des ressources de sa Direction au projet Solvabilit 2. Ces Comits de Pilotage composs de reprsentants de toutes les Directions concernes par la directive ont t mis en place dans les entreprises que j'ai rencontres. -centraliser au plus haut niveau de gouvernance des groupes lanimation de la mise en place de Solvabilit 2, ce qui est le cas dans les entreprises de mes interlocuteurs. Les dirigeants doivent dfinir une vision globale de la gestion des risques, fixer des chances et donner les moyens leurs quipes. Il y a galement une ncessit de mettre en place des entits spcialises (pilotage, quipe et moyen) sur les chantiers majeurs. -mettre en place une vritable conduite du changement. Par exemple, au sein de l'entreprise de l'un de mes interlocuteurs, il a fallu du temps pour faire accepter certains changements (arrts trimestriels, etc.), mais ils ont fini par tre accepts. Il ne reste donc plus qu' agir, ce qui peut galement entraner des difficults. De mme, le Responsable du Contrle Interne au sein de cette entreprise ne souhaite pas prendre en charge la fonction Conformit car il estime que cela n'est pas lui de le faire (alors que la directive indique que cette fonction doit faire partie du dispositif de Contrle Interne). Idem pour le contrle des dlgataires. Il est donc vident que des difficults humaines sont prendre en compte lors de la mise en place des exigences de Solvabilit 2. C'est pour cette raison qu'un plan d'accompagnement du changement a t mis en place au sein de l'entreprise de l'un de mes interlocuteurs, visant impliquer, responsabiliser, former voire mme assister les
acteurs des Directions concernes par Solvabilit 2 ainsi que les administrateurs (par le biais de runions et de formations principalement). -mettre en place une quipe interne ddie au projet Solvabilit 2. Cependant, une mobilisation complte de l'entreprise, ainsi quune implication de la Direction Gnrale et des oprationnels sont galement ncessaires, car Solvabilit 2 entrane une rvision globale des process et des moyens de l'ensemble de l'organisation. ventuellement, comme nous l'avons vu, il peut tre ncessaire de faire appel des acteurs externes capables de fournir des comptences exprimentes. -proportionner les budgets et rpartir le travail dans le temps et dans les structures, et utiliser au mieux les projets existants et le calendrier de la rforme. En effet, la mise en conformit avec la directive demande un budget important. Le cot de Solvabilit 2 est lev en termes dnergie et en termes financiers (temps de travail des salaris mais aussi des consultants externes l'entreprise). Ainsi, le cot (interne et externe) de Solvabilit 2 pour l'une des entreprises que j'ai rencontres est d'environ 10 millions d'euros de budget total. Ce budget a t rajust au fur et mesure de l'avancement des sous-projets, et le cot du projet a t mis en cohrence avec les demandes budgtaires ralises par les directions. Un second Directeur rencontr m'a confi que Solvabilit 2 reprsente pour son entreprise un investissement d'environ 1,5 million d'euros par an, entre 2009 et 2012 (soit environ 6 millions deuros au total). A noter, la question Pourriez-vous me donner une estimation du cot global de Solvabilit 2 pour votre entreprise ? , tous mes autres interlocuteurs ont rpondu qu'ils ne connaissaient pas la rponse cette question. On peut supposer quen ralit, ils ne souhaitaient pas rpondre, mais il est clair que la mise en conformit avec la directive reprsente un projet coteux, les moyens mobiliss tant la hauteur des enjeux importants de la directive. Ces moyens sont bien sr extrmement variables d'une entreprise l'autre, en fonction de leur budget, ce qui complexifie la mise en conformit pour les mutuelles et les Institutions de Prvoyance, qui ne disposent pas des mmes moyens financiers que les grandes assurances. Globalement, les cots de mise en uvre sont trs levs, puisqu'ils sont estims entre 2 et 3 milliards d'euros pour l'ensemble de l'Europe (assureurs et autorits de contrle), d'aprs le cabinet Sinequa. -enfin, collaborer avec les autorits de contrle : rflchir, avec le rgulateur et avec les instances reprsentatives, la bonne prise en compte des particularits de chaque entreprise. Et il faudra galement dfinir des reportings pertinents. 4/ Impacts de Solvabilit 2 sur les autres activits des Groupes de Protection Sociale?
Solvabilit 2 concerne les entreprises d'assurance, mais galement les mutuelles et les Groupes de Protection Sociale. Ces derniers ont une activit Retraite Complmentaire ainsi quune activit Assurance de Personnes ; seule cette activit Assurance de Personnes (prise en charge par leur Institution de Prvoyance) est concerne par Solvabilit 2. Or, en ralit, la directive pourrait avoir un impact indirect sur
toutes les activits de ces groupes. Les impacts du pilier 2 concernant la matrise des risques vont bien sr toucher lentreprise dans son ensemble, mais les dispositions du pilier 1 pourraient galement impacter les autres activits de ces groupes. En effet, mon matre dapprentissage m'a conseill de poser la question suivante au cours de mes entretiens : Seule la partie Assurance de Personnes de votre groupe est directement impacte par Solvabilit 2, mais la directive aura-t-elle galement une influence sur les autres activits du groupe ? De plus, la Direction compte-t-elle tendre les bonnes pratiques issues de la mise en conformit avec Solvabilit 2 au niveau du groupe ? . J'ai pu obtenir les rponses suivantes : -L'un de mes interlocuteurs, Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale, m'a expliqu que la mise en conformit avec Solvabilit 2 n'aura pas une norme influence sur l'activit Retraite de son entreprise, mais que la Direction a fait le choix d'inclure cette activit Retraite dans le renforcement de la matrise des risques, mme si elle n'est pas concerne par les problmatiques lies la marge de solvabilit. De plus, l'arrt des comptes au sein de ce Groupe de Protection Sociale se fait tous les 5 mois, avant d'tre audit par les Commissaires aux Comptes. Or au sein des assurances, les arrts des comptes sont trimestriels, et sont audits par les Commissaires aux Comptes 2 fois par an. Avec Solvabilit 2, les arrts des comptes seront trimestriels pour les assurances, les mutuelles et les Institutions de Prvoyance. Ceci constitue un changement important car les entreprises ne disposeront pas de toutes les donnes ncessaires : il faudra donc effectuer des prvisions, puis les corriger/ajuster par la suite. Ce changement concerne donc les comptables mais aussi les actuaires, car aujourd'hui les provisions mathmatiques sont calcules une fois par an. Cela va dsormais passer quatre fois par an, ce qui explique en partie la recherche de comptences et de ressources dans le domaine de l'actuariat. Or ce Groupe de Protection Sociale n'a pas de comptes trimestriels pour le moment. La question qui va donc se poser pour ce groupe est donc la suivante : puisque Solvabilit 2 oblige effectuer des arrts des comptes trimestriels, pourquoi le faire uniquement pour la partie Assurance de Personnes et pas pour la partie Retraite ? D'aprs mon interlocuteur, une dcision n'a pas encore t prise par la Direction, mais cette question est tudie actuellement. Enfin, ce groupe doit mettre en place la fonction Actif/Passif afin de respecter une des exigences du pilier 1 de la directive. Une fois que cette fonction sera mise en place pour l'Assurance de Personnes, ces concepts pourront tre utiliss dans la gestion financire de lactivit Retraite. De mme, la Retraite pourra bnficier du Fast Close, dmarche ayant pour but d'acclrer la production des comptes, qui doit tre mis en place pour l'activit Assurance de Personnes. Le Fast Close est un projet qui se dfinit comme la capacit dune entreprise raliser rapidement en central une clture comptable (annuelle, semestrielle, trimestrielle ou mensuelle), tout en sinscrivant dans un processus damlioration continue de la qualit des informations comptables et financires produites.
-Un second interlocuteur, galement Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale, m'a indiqu que le dveloppement du dispositif de Contrle Interne ainsi que le contrle des dlgataires entrans par Solvabilit 2 pourraient stendre l'activit Retraite de son entreprise. En effet, comme nous l'avons vu, Solvabilit 2 impose un renforcement du contrle des dlgataires, car une des spcificits de l'assurance est la gestion dlgue. Ce contrle n'est pas du ressort du service d'Audit Interne de cette entreprise, mais lAudit Interne va cependant tre amen s'assurer, au cours d'une mission, que les quipes contrlent bien leurs dlgataires ( contrle du contrle ). Ce contrle des dlgataires va certainement augmenter galement dans d'autres secteurs que celui de l'Assurance de Personnes, pour certains Groupes de Protection Sociale. De plus, selon cet interlocuteur, la rglementation au niveau de la Retraite pourrait voluer suite Solvabilit 2 car les entreprises n'apprcient pas le fait que leurs concurrents soient plus exigeants ou avancs qu'elles. En effet, en termes de gouvernance, Solvabilit 2 augmente le niveau d'exigence. On peut penser que l'AgircArrco s'inspirera de cet exemple pour galement faire voluer la rglementation, au niveau de la Retraite. Par exemple, les Comits d'Audit ne sont pas obligatoires pour l'activit Retraite aujourd'hui, mais cela sera bientt le cas, d'aprs cet interlocuteur. La dernire consquence esquisse de Solvabilit 2 sur les autres domaines de l'entreprise, selon lui, concerne galement les arrts des comptes. Solvabilit 2 demande de calculer la solvabilit (par le biais du SCR) tous les trimestres. Les fonctions actuarielle et comptable des Institutions de Prvoyance et des mutuelles vont donc tre contraintes d'adapter leurs modles de calcul car pour les socits d'assurance, les arrts des comptes sont trimestriels, alors que pour les Institutions de Prvoyance et les mutuelles, ils sont annuels. Or, avec Solvabilit 2, ces arrts vont devenir trimestriels pour toutes les entreprises, entranant donc un changement pour les comptables et les actuaires. -Un troisime Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale m'a indiqu que si les membres de l'entreprise prennent la peine deffectuer tous ces changements, autant les mettre en uvre une bonne fois pour toutes , car si lon ne change pas lorganisation gnrale, la mise en uvre des changements provoqus par Solvabilit 2 ne sera que plus difficile. De plus, aujourdhui, des volutions importantes impactent lactivit Retraite, notamment la mise en uvre de l Usine Retraite et le projet Dsimbrication . Ainsi, le dveloppement du dispositif de Contrle Interne et le contrle des dlgataires pourraient stendre lactivit Retraite, mais ceci reste une ventualit pour l'instant. Daprs cet interlocuteur, cela reprsente une question importante, mais qui ne saccompagne pas dune rponse dfinitive pour linstant. Aujourdhui, ce groupe prfre se concentrer sur les consquences de Solvabilit 2 sur leur activit Assurance de Personnes, qui sont dj
nombreuses. -Enfin, un dernier Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale m'a indiqu qu'au sein de son entreprise, Solvabilit 2 toucherait uniquement l'activit concurrentielle , c'est--dire tout ce qui ne concerne pas la Retraite Complmentaire (activits Assurance et Sant), mais que le contrle des dlgataires allait tre tendu aux autres activits du groupe. Ainsi, nous constatons qu'en dehors des aspects rglementaires et donc obligatoires comme les arrts des comptes trimestriels, la directive ne semble pas avoir un impact majeur sur les autres activits des Groupes de Protection Sociale. Les entreprises de taille modeste, notamment, sont dores-et-dj confrontes une masse de travail importante afin de rpondre aux strictes exigences de la directive, et ne peuvent donc pas se permettre d'augmenter leur charge de travail. Pour d'autres groupes, il est simplement trop tt pour voquer ce sujet car ils se concentrent uniquement, pour le moment, sur les changements que Solvabilit 2 provoque sur leur activit Assurance de Personnes.
d
5/ Impacts de Solvabilit 2 sur les recrutements?
Le dveloppement des Ressources Humaines n'est pas explicite dans Solvabilit 2 : c'est une interprtation de la directive. Solvabilit 2, et surtout le pilier 2, laisse l'entreprise libre d'appliquer les exigences de la directive comme elle le souhaite, mais exige une grande matrise de ses activits. Les recrutements sont donc une consquence indirecte de l'application de la directive. En effet, les exigences de Solvabilit 2 ont tendance tirer vers le haut certaines fonctions, notamment car elles s'accompagnent d'un niveau de reporting en forte augmentation. La charge de travail augmentant en qualit et en quantit, elle entrane une hausse des recrutements. De nombreuses compagnies dassurance revoient donc actuellement en profondeur leurs politiques de Ressources Humaines, en termes de recrutements et de renforcement de la politique de gestion des comptences notamment. Dans la pratique, la conduite du projet Solvabilit 2 se fait avec des ressources internes et externes: e n interne, il faut prendre en charge ce qui sera prenne comme la fonction de gouvernance, car celle-ci doit s'installer dans la dure mais est galement facile mettre en uvre, et a peu de consquences informatiques. Cependant, la conduite du projet Solvabilit 2 entrane aussi un recrutement externe, ce qui peut poser problme car toutes les entreprises recherchent des comptences similaires au mme moment (actuariat, comptabilit, Systmes d'Information, MOA, MOE). En effet, Solvabilit 2 est un projet multiformes et entrane donc des recrutements dans divers secteurs (actuariat, informatique, comptabilit/calculs, Contrle Interne etc.). Il est notamment ncessaire de recruter ou former des spcialistes du Contrle Interne, des informaticiens et des auditeurs afin d'analyser l'existant et de mettre en place le Contrle Interne.
Cependant, il est ncessaire de nuancer cette ide car l'un de mes interlocuteurs m'a indiqu que la directive ne provoquerait pas le recrutement de nouveaux auditeurs au sein de son entreprise, et qu'elle n'aurait pas vraiment d'impact sur le profil des auditeurs embauchs. Des profils plus techniques seront peut-tre recherchs lors de futurs recrutements, cependant. Globalement, on constate que les actuaires sont trs demands : il y a mme un risque de pnurie d'actuaires terme, puisque l'offre de travail va devenir infrieure la demande. Les entreprises sont donc d'ores-et-dj en train de recruter des actuaires afin de ne pas tre prises de court dans les mois venir : la demande augmente fortement, tandis que l'offre a du mal suivre. En consquence, les salaires proposs aux actuaires augmentent de faon importante. Ce phnomne s'explique par le fait que le pilier 1 de la directive s'accompagne de nombreuses exigences en termes de calculs de fonds propres et de marges de solvabilit, ncessitant une intervention renforce des actuaires. L'un de mes interlocuteurs m'a mme dit que, pour lui, Solvabilit 2 est de manire gnrale une directive cre par des actuaires, pour des actuaires . Ceci concerne bien sr le pilier 1 en priorit. De plus, le renforcement des bonnes pratiques de gestion des risques demande de nouvelles comptences. Il devient donc ncessaire de recruter de nouveaux salaris et de former les salaris, qu'ils soient nouveaux au sein de l'entreprise ou non. Des recrutements se feront au niveau des fonctions suivantes, principalement : Actuariat, Audit Interne, Risk Management, Contrle Interne, Conformit, informatique, comptabilit. En effet, Solvabilit 2, en mettant en vidence l'importance de ces fonctions-cls, entrane indirectement un dveloppement des Ressources Humaines dans ces domaines. Solvabilit 2 va aussi provoquer des changements pour ces fonctions car cette directive est trs inspire des concepts anglo-saxons et libraux selon lesquels les marchs financiers sont efficients. La directive pousse donc crer un dispositif de matrise des risques inspir de l'efficience des marchs : les risques financiers sont calculs partir du march, et les provisions sont galement calcules selon un concept financier. D'ailleurs, aprs la publication des premiers rsultats de la cinquime tude dimpact (QIS 5), le Comit Europen des assureurs et rassureurs est revenu sur plusieurs points de vigilance, dont la trop grande sensibilit de lapproche Solvabilit 2 la volatilit des marchs. En effet, Solvabilit 2 parle d'un march qui n'existe pas, le march d'changes d'engagements entre assureurs. En France, le code dfinit les rgles du jeu : or, avec Solvabilit 2, il n'y a pas de rgles du jeu, tout est permis . Charge l'entreprise de montrer qu'elle a les capitaux propres ncessaires pour grer ses risques. 6/ Impact de Solvabilit 2 sur la rmunration des dirigeants?
De faon assez indirecte, il est possible que la directive impacte galement les salaires des dirigeants :
-Tout d'abord, au sein des Groupes de Protection Sociale, le salaire du Directeur Gnral est valid en Conseil d'Administration. tant donn que Solvabilit 2 oblige les dirigeants prendre en compte les risques et respecter de nombreuses obligations lies ce sujet, dans le cas o les administrateurs jugent que le Directeur Gnral ne pousse pas respecter les exigences de Solvabilit 2, le Conseil d'Administration pourrait dcider (en thorie) de le pnaliser. Cependant, il est clair que cette hypothse reste assez improbable. -L'ACP prvoit galement des sanctions financires en cas de non respect des obligations relatives Solvabilit 2, comme des sanctions sur les capitaux propres. Ainsi, concernant les obligations relatives au pilier 2 obligeant notamment les entreprises crer, voire restructurer les services Risk Management, Contrle Interne, Audit Interne et Conformit et recruter des collaborateurs en consquence, des sanctions financires pourront tre appliques par l'ACP si ces obligations ne sont pas respectes par les entreprises, ou bien si ces services sont crs mais qu'ils ne disposent pas des effectifs suffisants ncessaires la bonne ralisation de leurs missions. -De plus, des sanctions pourront galement tre appliques dans d'autres cas : par exemple, si une entreprise dcide de ne pas respecter la directive en laissant son service d'Audit Interne coupl un autre service sous la responsabilit d'un mme Directeur, et donc porter atteinte l'indpendance de l'Audit Interne, l'ACP pourrait dcider de sanctionner l'entreprise, par le biais de sanctions sur les capitaux propres. Bien sr, il est peu probable que l'on en arrive de telles extrmits, les entreprises tant toutes disposes respecter les exigences de la directive. Nanmoins, ces sanctions restent une possibilit. -Enfin, Solvabilit 2 entrane une augmentation du niveau des fonds propres, afin d'assurer la solvabilit des entreprises. Or, plus les fonds propres de l'entreprise sont levs, plus les rmunrations des actionnaires augmentent en consquence. Ainsi, si l'entreprise augmente le niveau de ses fonds propres en immobilisant plus de capitaux, afin de se mettre en conformit avec Solvabilit 2, elle devra galement rmunrer les actionnaires sur ces capitaux. Ceux-ci verront donc leurs rmunrations augmenter. Bien sr, cela est valable uniquement pour les assurances, puisque les Institutions de Prvoyance et les mutuelles ne disposent pas d'actionnaires. 7/ Vers une vritable harmonisation des pratiques ?
Solvabilit 2 s'accompagne d'une volont d'harmoniser les pratiques, afin de pouvoir comparer les entreprises entre elles de faon plus raliste et pertinente, au niveau europen. En effet, l'un des buts de Solvabilit 2 est de permettre de mieux comparer les entreprises dassurance, en leur imposant de nouvelles rgles communes respecter, comme nous l'avons vu, mais galement en augmentant la transparence afin de mieux informer les parties prenantes et le public de manire gnrale sur la situation de l'entreprise. Ainsi, la communication financire est fortement dveloppe (voir les rapports destins au public sur l'ORSA, le Contrle Interne, la Solvabilit et la Situation Financire, le rapport aux superviseurs etc.).
Le Consultation Paper n58 du CEIOPS donne le rcapitulatif de tous ces rapports : les entreprises devront les transmettre lautorit de contrle, ce qui est logique, mais galement les diffuser au public. Ceci va donc demander un travail de vulgarisation afin que le contenu de ces rapports soit comprhensible pour le grand public. De plus, la consquence majeure est que les clients vont tre de plus en plus informs et donc exigeants en matire d'offres assurantielles et de performance : les entreprises vont donc se situer dans un contexte de professionnalisation accrue de l'ensemble de leurs acteurs, avec une concurrence de plus en plus affirme. De plus, Solvabilit 2 va permettre de mieux comparer les entreprises dassurance car celles-ci vont devoir appliquer les mmes rgles (piliers 1 et 2), mais galement, et cela est plus surprenant, parce que les intervenants externes (les cabinets de conseil tels que les Big Four , et quelques autres) vont accompagner des milliers dassurances dans leur processus de mise en conformit avec Solvabilit 2 (diagnostic de mise en conformit, conseil, cration des cartographies des processus et des risques, etc.), ce qui va forcment uniformiser leurs mthodes de travail. D'aprs l'un de mes interlocuteurs, ce phnomne s'est dj produit au dbut des annes 2000, lorsque de nombreuses entreprises ont souhait mettre en place des cartographies des risques au mme moment : certains cabinets tels que les Big Four (et quelques autres) sont intervenus auprs de nombreuses entreprises. Ainsi, on trouve dsormais de nombreux points communs entre les cartographies des risques de toutes ces entreprises. Il faut tout de mme prciser que, concernant Solvabilit 2, leffet taille va introduire des diffrences (voir le principe de proportionnalit), puisque les exigences imposes aux plus petites assurances seront allges.
Cependant, j'ai pu constater l'existence de divergences d'opinion et de divergences d'interprtation de Solvabilit 2, qui peuvent entraner la cration de nouvelles diffrences entre les assurances. Voici quelques exemples que j'ai pu relever au cours de mes entretiens :
-La notion de sparation entre les fonctions n'est pas directement aborde dans Solvabilit 2, c'est donc une bonne pratique mais pas une obligation directe. Certaines entreprises vont donc peut-tre faire le choix de prendre le risque de ne pas sparer leurs fonctions Audit Interne, Contrle Interne et Risk Management, alors que beaucoup d'autres les ont dj spares, ou sont en train de le faire. Les entreprises que j'ai rencontres disposaient cependant toutes d'un service d'Audit Interne indpendant, ou qui tait en cours de sparation avec d'autres services.
-La notion de plans pluriannuels n'est pas aborde dans Solvabilit 2, ce n'est qu'une bonne pratique mais pas une obligation d'aprs l'un de mes interlocuteurs. Or un autre interlocuteur pense que c'est une obligation : il y a donc une divergence d'opinion sur ce point. De plus, un troisime Directeur rencontr m'a indiqu que son service d'Audit Interne ne dispose pas d'un plan daudit pluriannuel formalis, mme si des missions relatives
Solvabilit 2 sont prvues en 2013-2014. Idem pour un quatrime Directeur : son service ne ralise pas de plan d'audit pluriannuel, et des missions relatives Solvabilit 2 n'ont pas encore t programmes car l'Audit Interne intervient une fois qu'un processus est dploy, pas avant. Les missions relatives Solvabilit 2 auront donc lieu en 2013-2014 dans cette entreprise, galement. D'aprs mes recherches, la formalisation de plans d'audit pluriannuels n'est pas une obligation explicite contenue dans la directive ou dans les textes du CEIOPS ; elle constitue plutt une bonne pratique allant de pair avec une laboration du plan d'audit base sur une approche par les risques.
-Enfin, le bilan Solvabilit 2 doit-il tre audit par les Commissaires aux Comptes ou par les auditeurs internes ? Solvabilit 2 ne le prcise pas pour l'instant ; chaque entreprise interprtera donc la directive sa manire. Il y a donc un problme d'harmonisation puisque chaque assurance sera libre de faire un choix (soit faire appel aux Commissaires aux Comptes mme si cela n'est pas obligatoire, soit faire appel l'Audit Interne). Cependant, lACP pourrait exiger que ce bilan Solvabilit 2 soit audit par les Commissaires aux Comptes, mme si la Commission Europenne ne le fait pas. En effet, lACP s'est d'ores-et-dj exprim sur la ncessit dun audit externe de ces bilans. Cependant, cette mesure nest pas encore inscrite dans les textes officiels pour l'instant. Ainsi, nous constatons, malgr la volont d'uniformiser les pratiques, l'existence de divergences d'interprtation de Solvabilit 2 pouvant entraner la cration de nouvelles diffrences entre les entreprises. Ce problme vient principalement du fait que Solvabilit 2 est une rforme indicative base sur des grands principes et non sur des rgles claires et prcises, notamment en ce qui concerne le pilier 2 et ses exigences qualitatives (forcment plus subjectives et floues que les exigences quantitatives du pilier 1). Les entreprises disposent donc d'une marge de manuvre relativement importante, ce qui pourrait entraner la mise en uvre de pratiques diffrentes. L'objectif sous-jacent de Solvabilit 2 (atteindre une uniformisation des pratiques entre les groupes) serait donc perverti. Cependant, le nombre de textes publis concernant les exigences de la directive est trs lev (notamment les mesures d'application), ce qui rduit le risque de divergences trop importantes entre les entreprises. 8/ Difficults lies au calendrier de mise en application de Solvabilit 2
Les tapes principales du calendrier de mise en application de Solvabilit 2 peuvent tre rsumes de la faon suivante (voir annexe 18 : calendrier gnral du projet Solvabilit 2 ) : -2005-2007 : lensemble des acteurs du monde de l'assurance a t consult. -10 juillet 2007 : un projet de directive-cadre a t publi. -2008 : le CEIOPS a fourni un avis final la Commission Europenne, puis celle-ci a publi une proposition de
directive. Des dbats au Parlement Europen ont commenc avoir lieu. -En avril-mai 2009 (le 22 avril 2009 exactement) : la directive-cadre Solvabilit 2 a t adopte par le Parlement Europen, puis est entre en vigueur et a t transpose dans les diffrents droits nationaux. -Tout au long de l'anne 2009, le CEIOPS a ralis des travaux sur les mesures dimplmentation de la directive (niveaux 2 et 3), publis sous forme de Consultation Papers , suivis en 2010 par des travaux du Parlement et du Conseil Europens sur ces mesures dimplmentation. -Au cours de cette anne 2010, le CEIOPS a finalis ses travaux sur les mesures de niveau 3. -A la fin du mois de janvier 2010, le CEIOPS a remis son avis final sur les mesures dexcution de niveau 2 la Commission Europenne, en prvision de la cinquime et dernire tude dimpact (QIS 5) ; ces avis formulent des propositions de paramtres pour le QIS 5. -Juin 2010 : les paramtres dfinitifs du QIS 5 ont t publis par la Commission Europenne. -Aot 2010 : le QIS 5 a t lanc. En effet, afin de mesurer les impacts de la rforme en vue d'en adapter ventuellement le contenu et les exigences, mais aussi dans le but d'inciter les entreprises en valuer l'impact sur leur organisation, Solvabilit 2 s'est appuye sur la ralisation d'tudes quantitatives d'impact, les QIS, qui ont surtout permis didentifier les principales difficults de mise en uvre du pilier 1 pour les entreprises. Le pilier 2 de la directive n'est pas concern par ces QIS, ce qui est logique puisqu'il concerne des exigences qualitatives, et n'est donc pas mesurable proprement parler. Ce QIS 5 a toutefois t l'opportunit dvaluer ladaptation des processus Solvabilit 2, et de mesurer les impacts quantitatifs de Solvabilit 2 (et plus particulirement de lintroduction des futures mesures techniques de niveau 2) sur le bilan. -Novembre 2011 : sur la base des rsultats de QIS 5, se fera l'adoption dfinitive des mesures dapplication (mesures de niveau 2) de la directive-cadre au niveau europen, par la Commission Europenne. -Fin 2011 : le CEIOPS finalisera la premire vague de mesures de niveau 3. -Courant 2012 : la directive et les mesures de niveau 2 seront transposes en droit franais. -Enfin, en octobre 2012 devait avoir lieu l'entre en vigueur de lensemble de la rforme Solvabilit 2 et le dploiement dans les entreprises des tats-membres, mais cela a finalement t report dbut 2013. Aujourd'hui, un peu plus d'un an du dmarrage, le calibrage des risques n'est pas finalis, et en ce qui concerne le pilier 3, certains projets de texte sont sortis en fvrier 2011. Ils devraient tre vots fin 2011, mais cela va srement tre dcal. Il sera donc difficile pour les assurances d'tre prtes dbut 2013. Jusqu' aujourd'hui, ce calendrier a globalement t respect. L'application de la directive a t repousse au dbut de l'anne 2013 pour des raisons pratiques : les tats financiers des entreprises sont annuels, et,
tant donn que l'application de la directive (et principalement son pilier 1) entrane de nouvelles mthodes de calcul, de reporting etc., il est plus logique de commencer appliquer ces mthodes en 2013, en se basant sur les chiffres de 2012. De plus, pour les experts, on devait passer directement de Solvabilit 1 Solvabilit 2, mais les assureurs de taille moyenne ont tellement protest que la date butoir de mise en conformit a t dcale et qu'un nouveau projet de directive est sorti fin janvier 2011 afin de modifier certains aspects de Solvabilit 2. On parle dsormais de priode de transition , priode qui va permettre aux assureurs de taille moyenne qui ne souhaitent pas fusionner avec d'autres assurances de se mettre en conformit avec Solvabilit 2. En effet, une nouvelle directive a t publie en janvier 2011 afin de complter Solvabilit 2 : Omnibus 2. Elle sous-entend que les entreprises ont dsormais un dlai de 3 ans pour se mettre en conformit avec le pilier 2, et 10 ans pour tre en conformit avec le pilier 1. Omnibus 2 fixe des dures maximales par pilier pour de potentielles mesures transitoires (dont un talement des obligations qualitatives du pilier 2 sur trois cinq ans) et une mise en place progressive sur les publications et calculs fournir lACP sur les exercices 2013 et suivants, mais lide est toujours dtre en conformit dici 2013 (les dlais de conformit restent identiques). Ainsi, ce texte propose que, pour un certain nombre de dispositions, la date du 1er janvier 2013, laquelle la nouvelle rglementation prudentielle entrera officiellement en application, ne constitue par un couperet , afin de permettre aux assureurs de passer progressivement Solvabilit 2. Ces mesures de transition pour le passage Solvabilit 2 ont de fortes chances dtre adoptes. Toutefois, ce texte ne sera pas adopt avant lautomne 2011 : restera encore la Commission fixer la dure exacte des dlais. Ces derniers ne seront donc connus que tardivement. Omnibus 2 reprsente tout de mme une avance, dans la mesure o il traduit une ouverture de la part de la Commission, et laisse donc esprer d'autres inflexions, ce qui est positif pour les entreprises qui auraient pris du retard dans le processus de mise en conformit. D'autant que les mesures dapplication de Solvabilit 2 sont encore susceptibles dvoluer. Ceci est galement positif pour certains organismes, notamment les mutuelles, qui s'taient mobiliss en vue dobtenir une priode de transition et donc de disposer d'un laps de temps supplmentaire pour se mettre en conformit avec les exigences de la directive. L'ide du big-bang a donc t abandonne car elle pouvait tre dangereuse pour les assureurs. En effet, daprs lun de mes interlocuteurs, Solvabilit 2 gnre des concepts nouveaux, dont on ne connat pas encore la robustesse en cas de crise majeure, ce qui ajoute de l'incertitude la situation. Des crises pourraient mme tre provoques cause de Solvabilit 2 car les managers perdent leurs repres et pourraient prendre des dcisions inappropries, d'aprs un autre interlocuteur. D'aprs celui-ci, le risque majeur entran par Solvabilit 2 est un risque de rupture intellectuelle.ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
D'autant que pour les moyennes et grandes structures, Solvabilit 2 ne va demander quune phase dadaptation, alors que pour les petites structures, Solvabilit 2 constitue une quasi-rvolution. Cette priode de transition est donc une bonne nouvelle pour ces entreprises. On constate donc que le calendrier relatif Solvabilit 2 a t riche en vnements, et a entran de nombreuses difficults pour les entreprises, notamment les petits groupes. Il semble cependant que les nouveaux dlais de mise en conformit soient leur avantage, et leur permettent de respecter les exigences de la directive. Dautant plus quen juillet 2011, mon matre dapprentissage ma indiqu que des discussions taient en cours au sujet dun nouveau report ventuel de la date butoir de mise en conformit avec Solvabilit 2. Cette date ne serait donc plus le 1 er janvier 2013 : la date butoir serait dcale dun an. Cependant, cette information nest pas encore officielle lheure actuelle.
9/ O en sont les entreprises aujourd'hui dans la dmarche de mise en conformit avec Solvabilit 2 ?
A l'heure actuelle (septembre 2011), les entreprises ont un peu plus d'un an devant elles afin de poursuivre et finaliser leur dmarche de mise en conformit avec la directive. Ce dlai sera certainement utile car selon les situations, les exigences de la directive peuvent engendrer des modifications considrables sur l'organisation des entreprises. Nous pouvons ainsi faire le constat suivant concernant l'tat d'avancement de la mise en conformit avec la directive : -Comme nous l'avons vu prcdemment (voir point 2 sur les diffrences d'apprhension de Solvabilit 2 entre petits et grands groupes), les grands groupes sont dj quasiment prts, mme s'il reste certaines adaptations effectuer, et sont les plus avancs, en raison notamment de leurs moyens levs (financiers et humains). -Lun des Directeurs que j'ai rencontrs m'a indiqu que son entreprise, un des premiers Groupes de Protection Sociale, tait assez avance dans la dmarche de mise en conformit. Ce travail a commenc l't 2009, avec un diagnostic ralis par un cabinet externe (qui a galement aid piloter le projet). La nouvelle organisation autour des fonctions-cls de gouvernance des risques a t mise en place compter de novembre 2010. De plus, une Direction des Risques et de la Solvabilit a t cre en dcembre 2010, en vue de Solvabilit 2 principalement. Concernant les diverses chances, les chantiers Audit Interne, Contrle Interne et Cartographie des Risques sont avancs et les chantiers Base Incidents, ORSA et Sous-traitance sont initis, tandis que les chantiers Contrle de Conformit et PCA n'ont pas encore dbut. Un Comit de Pilotage est en place, runissant les Directeurs concerns par le projet Solvabilit 2 (Directeur des Risques et de la Solvabilit, Directeur du Contrle Interne, Directeur de l'Audit etc.), et se runit environ une fois par mois afin de faire le point sur l'tat d'avancement des chantiers et de suivre le budget et les risques du projet. Enfin, le projet Solvabilit 2 est considr comme tant l'un des projets stratgiques du groupe, et est identifi comme tel dans la stratgie ; il est pilot par le Directeur Gnral du groupe et gr par le ple Organisation. Ce projet a t dcoup , puis des responsables ont t nomms pour chaque tranche . Ainsi, les sous-projets concernent la gouvernance et les piliers 1, 2 et 3 (chacun dirig par un responsable diffrent). Enfin, le groupe a
particip aux cinq QIS. Tous ces lments tmoignent de l'importance particulire accorde ce projet, d'autant plus que le Comit des Risques de ce groupe a identifi le risque de non respect des exigences de Solvabilit 2 comme tant l'un des dix risques majeurs grer. Ce risque est en premier lieu relatif la conformit du groupe vis--vis des trois piliers, et son impact, principalement rglementaire, est valu 5 (soit le niveau maximum). D'aprs ce Comit des Risques, la non conformit avec la directive aurait galement des consquences graves sur l'image du groupe, et ce risque de ne pas tre en capacit d'atteindre la cible (soit la mise en conformit avec Solvabilit 2) existe bel et bien aujourd'hui, malgr toutes les actions entreprises. -Un autre Directeur m'a indiqu qu'au sein de son entreprise, un autre grand Groupe de Protection Sociale, la dmarche de mise en conformit en est toujours dans la phase projet (phase de construction), mme si l'entreprise a rpondu tous les QIS. Le groupe en est donc peu prs au milieu de la dmarche de mise en conformit. Ainsi, une Direction des Risques a t constitue en 2008, comprenant une Direction Chantier Solvabilit 2, une Direction de la Conformit, une Direction des Systmes d'Information, une Direction Management des Risques, et une Direction du Contrle Interne. La Direction Chantier Solvabilit 2 est compose d'un Directeur et d'une quipe de direction du projet, au sein de la Direction des Risques, et est en charge du suivi du projet. De plus, de nombreux sous-projets comme le calcul de la solvabilit, lORSA, ou encore le Contrle Interne ont t mis en uvre au sein de l'entreprise et sont bien sr dirigs par des directions diffrentes, car le projet Solvabilit 2 est logiquement considr comme un projet transverse. -Un autre Directeur m'a indiqu qu'au sein de son entreprise, un grand Groupe de Protection Sociale, le projet Solvabilit 2 tait assez avanc, mais que les 18 mois restants allaient tre ncessaires afin de continuer et finaliser le processus de mise en conformit avec la directive, notamment en ce qui concerne le dispositif de Contrle Interne tendre au sein de toute l'organisation, qui demande un temps considrable. Au sein de cette entreprise, un collaborateur a t nomm Directeur du Projet Solvabilit 2, et environ 80 membres de l'entreprise sont des contributeurs au projet. Celui-ci fait partie des six projets stratgiques du groupe : ainsi, au niveau de la Direction des Risques, une quipe suit l'avance de la mise en conformit avec la directive. L'entreprise a rpondu l'ensemble des 5 QIS, et est toujours dans la phase projet. La dmarche est cependant dj termine pour l'Audit Interne. -Un autre Directeur m'a expliqu que son entreprise, un Groupe de Protection Sociale de taille plus modeste, tait en retard dans le processus de mise en conformit, puisque le groupe n'est qu'au dbut de ce processus aujourdhui. Cette entreprise a repouss plusieurs reprises le commencement de la mise en conformit ; or, mme si Omnibus 2 a mis en place des mesures de transition , Solvabilit 2 doit toujours entrer en vigueur le 1er janvier 2013. Solvabilit 2 fait tout de mme lobjet dun projet au sein de cette entreprise, mme si ce projet n'en est qu' sa phase initiale. Ainsi, un diagnostic a t ralis par un cabinet externe dbut 2011 ; ce cabinet va galement aider piloter le projet. Par la suite, l'entreprise devrait grer le projet sans aide extrieure afin de
se lapproprier. Cependant, il ne lui reste qu'un peu plus d'un an pour effectuer toute la phase de mise en conformit avec les exigences de la directive, ce qui devrait tre dlicat. Un Comit de Pilotage compos dune dizaine de membres est tout de mme en place. Chacun reprsente une Direction du groupe voire une activit concerne par Solvabilit 2, telles que la Direction Financire et Technique, la Direction Juridique, la Direction de lAudit Interne et le Responsable du Contrle Interne (qui fait pour linstant partie de lAudit Interne), la MOA (volet informatique), la Direction du Dveloppement, la Direction de la Gestion (notamment le service dlgata ire de gestion), et lactivit Mutuelle. Le problme pour ce groupe reste le manque de moyens. Ainsi, les responsables qui soccupent du projet Solvabilit 2 en interne sont en nombre rduit, et ne sont pas en mesure de travailler sur ce sujet temps plein puisquils sont dj occups par leurs fonctions initiales. Il serait donc ncessaire de recruter des salaris qui travailleraient temps plein sur la mise en conformit avec Solvabilit 2, ce qui nest pas le cas aujourdhui. Cependant, cela va peut-tre changer, car des recrutements sont envisageables, malgr le manque de moyens. -Enfin, de nombreuses petites mutuelles et Institutions de Prvoyance n'ont pas encore commenc le cha ntier de mise en conformit (laboration d'un plan d'action pour se conformer aux exigences de la directive) et n'ont pas les moyens de recruter des experts pouvant grer le projet Solvabilit 2. Cependant, les changements seront plus rapides mettre en place au sein de ces groupes, et des efforts ont dj t accomplis pour renforcer dans lunivers mutualiste les rgles de gouvernance, le Contrle Interne et la matrise des risques. Ces petites structures semblent cependant avoir le plus d'efforts fournir, les mutuelles en particulier devant s'atteler crer un dispositif de Contrle Interne. Cela vient du fait que le dcret du 13 mars 2006 avait rendu le Contrle Interne obligatoire uniquement pour les entreprises d'assurance. Les mutuelles et Institutions de Prvoyance n'taient donc pas concernes jusqu' aujourd'hui, et dmarrent donc dans ce domaine avec un dcalage par rapport aux assurances. Ainsi, des donnes de 2008 indiquaient qu' l'poque, 100% des assurances avaient mis en place un dispositif de Contrle Interne, contre seulement 50% des mutuelles et 25% des Institutions de Prvoyance. J'ai dailleurs pu constater le retard pris par certaines entreprises dans le processus de mise en conformit puisque lorsque jai contact en mars 2011 un Directeur de l'Audit Interne d'une petite Institution de Prvoyance afin de lui proposer un entretien dans le cadre de ce mmoire, ce Directeur m'a rpondu que le sujet Solvabilit 2 n'avait pas encore t trait au sein de son groupe. Certaines petites entreprises sont donc en retard et n'ont pas encore commenc le travail de mise en conformit, mais il est certain quil sera impossible d'appliquer Solvabilit 2 au dernier moment. Toutes les entreprises prvoient donc un chantier important afin d'tre en conformit, mais toutes ne vont pas le faire au mme moment : certaines vont s'y prendre beaucoup plus tard que d'autres, par manque de temps, dexprience et de moyens. Un grand nombre dentreprises qui appartiennent un groupe centralisent la problmatique Solvabilit 2 au niveau de ce groupe, tandis que les structures hors groupe mutualisent le sujet au sein dun groupement ou d'une fdration.
Les entreprises qui attendent que ces mesures deviennent des contraintes rglementaires pour les adopter ne font certainement pas le bon choix, car leur mise en uvre demande du temps. En effet, il ne s'agit pas seulement d'une rflexion en termes de calculs, mme si le principal impact pour ces entreprises est la ncessit de mobiliser globalement plus de fonds propres (ce qui passera soit par des leves des fonds supplmentaires auprs des socitaires ou adhrents, soit par des regroupements, soit encore par un plus fort recours la rassurance), mais aussi d'une refonte du mode d'organisation de l'entreprise, qui doit placer la gestion du risque au centre de ses proccupations, quel que soit le rsultat du calcul en lui-mme. La mise en place des structures et des process de suivi des risques devra donc tre planifie suffisamment l'avance pour tre oprationnelle au 1er janvier 2013, d'autant que, concernant le pilier 2, il parat plus efficace d'intgrer les problmatiques de gestion des risques et de Contrle Interne ds la mise en uvre du projet plutt que de les apprhender dans un second temps. Nanmoins, ces entreprises retardataires semblent tre peu nombreuses puisque, d'aprs une tude ralise en 2010 sur un chantillon d'entreprises (tude ralise en 2010 par Optimind, dont est extrait l'annexe 16), indiquant les montants des budgets accords au projet Solvabilit 2 par les entreprises, 90% des rpondants se dclaraient directement concerns et impliqus dans la dmarche, et concernant lavancement global des projets Solvabilit 2, le taux dachvement tait d'environ 55%. De plus, les rpondants ont dclar qu'ils avaient une visibilit leve sur le contenu des exigences du pilier 2 de la directive, pour environ 65% d'entre eux. Ces chiffres taient bien diffrents il y a quelques annes, et de nombreuses entreprises se disaient peu ou pas concernes par Solvabilit 2. Les mutuelles notamment montraient une inquitude face au projet et n'y accordaient pas une grande attention. La situation a donc volu positivement au fil des annes. En dehors d'un problme de budget, on peut penser que certaines entreprises sont plus rticentes mettre en place les exigences lies Solvabilit 2 car les mesures prises restent pour beaucoup parcellaires et ne sont pas encore oprationnelles, et que les effets de la rforme ne se font pas encore sentir. Il n'y a donc pas de sentiment d'urgence pour l'instant. La mise en uvre anticipe des principes de base de la directive constitue cependant une saine pratique de gestion, qui contribue obtenir une activit plus stable avec une meilleure utilisation des fonds propres. Des avantages concurrentiels pourraient donc soffrir aux entreprises qui seront le mieux prpares cette rforme. En rsum, l'heure actuelle, la grande majorit des entreprises d'assurance est toujours en phase projet dans le processus de mise en conformit de leur organisation avec les exigences de la directive. De nombreux lancements de projets ont eu lieu en 2009 et 2010, mais les grandes socits dassurance (socits capitalistiques et internationales) ont gnralement lanc leur chantier Solvabilit 2 il y a plusieurs annes, et sont donc prtes aujourd'hui. Quant aux Institutions de Prvoyance et aux mutuelles, elles sont de manire gnrale moins avances dans le processus de mise en conformit. Ce n'est pas vraiment problmatique pour les Institutions de Prvoyance, qui devraient tre en mesure de faire face aux exigences de la directive.
Cependant, de nombreuses mutuelles auront sans doute des difficults se mettre en conformit avec la directive, ce qui va entraner des regroupements et autres fusions (voir point 10). -Concernant plus prcisment le pilier 2, un fort taux d'entreprises a mis en place des actions concernant lvolution du Risk Management, du Contrle Interne et de lAudit Interne, mais d'autres actions, touchant dautres fonctions, semblent bien moins avances en termes oprationnels, notamment la gestion de crise, le pilotage des incidents (rdaction de procdures de gestion des incidents notamment), le pilotage des risques ( travers un Comit des Risques), et le pilotage des rponses aux risques. De manire gnrale, le pilier 2 n'est donc pas encore suffisamment intgr au niveau oprationnel, notamment en ce qui concerne le Contrle Interne et le Risk Management. Le pilier 1 a, lui, t trait en priorit, ce qui est logique puisqu'il constitue le cur de la directive. Enfin, le pilier 3 semble tre relativement ignor pour l'instant ; un interlocuteur m'a par exemple indiqu que son entreprise n'a pas encore commenc travailler sur ce pilier, qui demande plus de reporting. Ce pilier 3 n'apportera rien de nouveau au niveau de l'Audit Interne, mais au niveau du Contrle Interne, de nouveaux tableaux de bord et des statistiques seront exigs par lACP, ce qui rejoint les exigences du pilier 2 que nous avons voques plus haut. -L'tat d'avancement actuel de la mise en conformit avec la directive peut donc tre rsum par le tableau suivant, en prenant l'exemple de quatre entreprises que j'ai pu rencontrer au cours de mes recherches, et globalement, pour tous les types d'entreprises :
Premire entreprise rencontre Chantier de mise en conformit avec le pilier 1 Chantier de mise en conformit avec le pilier 2 Chantier de mise en conformit avec le pilier 3 Quasiment termin Deuxime entreprise rencontre Quasiment termin Troisime entreprise rencontre Assez avanc (75%) Quatrime entreprise rencontre Assez avanc (75%) Grands groupes Globalement, chantiers trs avancs, voire termins. Assez avanc (75%) Avanc (50%) Assez avanc (75%) Peu avanc Entreprises de taille moyenne Globalement, chantiers avancs, mais ncessitant encore plusieurs mois de travail. Peu avanc Peu avanc Peu avanc Peu avanc Petites entreprises Globalement, chantiers peu avancs voire non commencs au sein de certaines entreprises.
-Ainsi, de manire gnrale, le march franais passe Solvabilit 2 sans trop de problmes. D'aprs la FFSA, il satisfait aux nouveaux critres prudentiels de Solvabilit 2 tels que tests dans le QIS 5, et les deux niveaux dexigence de solvabilit (SCR et MCR) sont largement couverts. Seulement 4,6% des entreprises ayant particip au QIS 5 ne passeraient pas Solvabilit 2 dans ltat actuel des choses. Les besoins en capitaux, lun des points sensibles de la mise en place de Solvabilit 2, montrent donc des rsultats assez optimistes puisque seulement 4,6% des socits qui ont rpondu se situent en dessous des exigences de fonds propres minimum
(MCR). Cependant, 15% des entreprises ne satisfont pas aux ratios de solvabilit (SCR) imposs lors du test. Ces entreprises vont donc devoir soit chercher de nouveaux actionnaires (socits capitalistiques) soit se rapprocher pour survivre. Globalement, les entreprises franaises s'en sortent mieux que prvu et les conclusions de ce QIS 5 montrent que les entreprises se sont suffisamment prpares. Il est nanmoins ncessaire de nuancer ces rsultats positifs car de nombreux lments sont encore en cours, comme Omnibus 2 et les mesures de niveau 2 et 3 (non finalises pour le moment). D'autant plus que le risque de non respect des exigences de Solvabilit 2 est encore bien prsent pour de nombreuses entreprises, venant principalement de comptences insuffisantes, d'un manque de disponibilit des acteurs du projet et de ressources adaptes (qualitativement et quantitativement) au projet, de processus inadapts, ainsi que d'une mauvaise gestion des ressources. Ainsi, d'aprs l'ACP, 2 011 est une anne cruciale pour Solvabilit 2 .
a
10/ L'aprs 2012 (aprs la mise en conformit)
Au-del de la simple mise en conformit et des consquences directes majeures de Solvabilit 2 que nous avons voques tout au long de ce mmoire, la directive va galement avoir d'autres impacts, plus dtourns et imprvisibles mais non moins importants, sur les entreprises : -Tout d'abord, on peut supposer que cette directive va modifier durablement les projets, les objectifs stratgiques et les stratgies d'investissement des entreprises d'assurance. Solvabilit 2 a un impact sur les stratgies d'investissement puisque la solvabilit dpend des actifs dtenus par les assurances. La solvabilit dpend donc aussi directement des investissements que les entreprises ralisent : achats dobligations, dactions, dimmobilier, etc. En modifiant les rgles de solvabilit des assurances, on influence les stratgies dinvestissement des assureurs, car plus un actif sera risqu, plus les capitaux propres rglementaires (exigences en capital) devront tre levs. Ainsi, il est clair que les entreprises devront d iversifier davantage leurs investissements : de manire indirecte, Solvabilit 2 obligera les socits revoir l'affectation de leurs fonds propres, car toute concentration sur un petit nombre d'actifs se traduira par un cot du risque plus lev. Les socits dont les fonds propres sont concentrs sur quelques lignes devront donc diversifier plus largement leurs investissements pour ne pas dgrader leurs ratios de solvabilit, ou pour ne pas mobiliser davantage de fonds propres. Cependant, sur ce point, l'un de mes interlocuteurs m'a indiqu que Solvabilit 2 reprsente surtout une formalisation de ce que les entreprises font dj et leur demande de prendre conscience de leurs risques ; la directive ne change donc pas totalement leur politique. Il a cependant confirm qu'une des consquences de la directive sur la politique d'investissement de son entreprise serait une baisse des achats d'actions car plus un
actif est risqu, plus les capitaux propres devront tre levs, afin d'tre toujours en mesure de faire face aux engagements en cas dimprvu. Ainsi, pour cette entreprise, le SCR (capital cible) de Solvabilit 2 est gal au moins deux fois la marge exige par Solvabilit 1. Solvabilit 2 demande de piloter au moins 1,25 SCR ; il faut donc immobiliser plus de capitaux, et rmunrer les actionnaires sur ces capitaux. Il faudra ainsi abandonner les produits trop consommateurs de fonds propres, se recentrer sur les produits qui ont les marges les plus leves afin d'augmenter celles-ci, et rduire les frais gnraux, mme si cette entreprise est dj sur-capitalise. Les fonds propres immobiliser lis au passif ne changent pas beaucoup entre Solvabilit 1 et Solvabilit 2. Par contre, les fonds propres immobiliser du fait de l'actif passent de 0 (Solvabilit 1) environ la moiti du SCR total (Solvabilit 2). Pour certaines entreprises, cela pourrait avoir des consquences sur la politique de gestion financire ; ces groupes vont devoir grer leur activit en prenant moins de risques, afin d'optimiser le couple rendement/risque. Pour un niveau de risque donn, on cherchera le rendement maximum, ce qui reprsente une nouvelle faon de grer. La question qui se posera pour les entreprises sera donc : a-t-on t assez rmunr pour le risque que l'on a pris ? Cependant, il est ncessaire de nuancer ces changements en prcisant que ces questions n'en sont qu' leurs balbutiements aujourd'hui. Ainsi, les Groupes de Protection Sociale vendront toujours les mmes produits, mme si leur gestion financire est amene changer : leurs offres ne changeront pas du tout au tout car ces groupes vendent des prestations complmentaires celles de la Scurit Sociale, et ne peuvent pas vendre d'autres produits. -D'aprs la Fdration Franaise des Socits d'Assurance, les consquences conomiques potentielles de cette rforme pour lconomie dans son ensemble pourraient tre une baisse des investissements de long terme en actions et en obligations, et donc moins de croissance, mais galement une hausse des prix des assurances (pouvant mme concerner des assurances de la vie quotidienne comme l'assurance habitation, l'assurance automobile, etc.). On peut donc penser qu'en consquence, de nombreux Franais choisiraient d'tre moins protgs, afin de payer des primes dassurance moins leves. -D'aprs l'un de mes interlocuteurs, Solvabilit 2 va apporter un carcan de contrle et de matrise des risques qui va finalement conduire diminuer la performance. Par exemple, lorsqu'une entreprise achtera des actions, le niveau de fonds propres ncessaires afin de faire face au risque sera beaucoup plus lev qu'il ne l'est aujourd'hui. Ceci entrane une tendance prendre moins de risques, et donc une baisse potentielle des rendements. Or si la rentabilit est en baisse, il faudra augmenter les tarifs des produits proposs aux clients, ce qui pourrait ralentir la croissance du nombre de clients de l'entreprise. -De plus, l'volution du monde de lassurance aprs Solvabilit 2 pourrait tre marque par le fait que certaines mutuelles et Institutions de Prvoyance, voire mme certains assureurs, ne passeront pas le cap de Solvabilit 2 car ils disposeront d'une marge de solvabilit trop faible.
C'est le cas de l'une des structures faisant partie de l'entreprise de l'un de mes interlocuteurs : les exigences de Solvabilit 2 en termes de fonds propres ne lui permettent pas de continuer exister. En effet, les fonds propres de cette structure ne sont pas assez levs, dautant plus qu'elle propose des contrats risqus. Il faudra soit augmenter les fonds propres soit mettre fin cette activit. La proposition qui va tre faite au Conseil sera de l'arrter. Ainsi, la mise en place de Solvabilit 2 entrane pour certaines entreprises un renoncement certaines activits marginales . Les entreprises qui risqueraient de ne pas passer le cap de Solvabilit 2 en raison d'une marge de solvabilit trop faible vont donc soit chercher se rapprocher d'autres groupes (fusions, absorptions etc.), soit chercher de nouveaux fonds propres venant de nouveaux actionnaires. Solvabilit 2 est donc propice des rapprochements entre mutuelles, et dfavorise ainsi les petites structures au profit des moyennes et grosses structures, puisque celles-ci vont profiter de l'occasion pour absorber des structures de taille plus modeste. Il y a donc un risque de moindre concurrence entre assureurs. Solvabilit 2 pourrait donc entraner une concentration du march, marque par des rapprochements, fusions et partenariats. Ainsi, d'aprs l'agence de notation Moody's, une phase de consolidation du secteur est prvoir, avec de grands acteurs absorbant leurs concurrents de petite taille, consquence des difficults que pourront rencontrer les petites entreprises. En effet, Solvabilit 2 a un fort impact en termes de cot et de ressources sur les grandes structures, mais principalement sur les petites. L'un de mes interlocuteurs est mme all jusqu' dire que, selon lui, Solvabilit 2 va dtruire les petites structures (les petites mutuelles notamment), qui vont tre obliges de fusionner avec de grands groupes pour survivre, sous peine de disparatre car elles n'auront pas les ressources suffisantes pour augmenter leurs fonds propres. Les petites structures ont des risques plus faibles grer, mais ont pour la plupart pris des engagements trop levs pour elles, en passant des contrats avec de nombreux assurs : elles ne pourraient donc pas faire face certaines situations (par exemple, si tous les assurs tombaient malades au mme moment, les mutuelles n'auraient pas les ressources ncessaires pour financer le remboursement de leurs frais de sant). La seule solution si elles veulent survivre est donc de s'allier des moyens/grands groupes. Solvabilit 2 pousse galement au rapprochement : des mutuelles vont se rapprocher au sein d'unions de mutuelles par exemple, afin de dupliquer leurs procdures, et d'avoir un Comit d'Audit situ au niveau de ces unions de mutuelles (niveau consolid). En effet, le pilier 1 pousse au rapprochement, mais c'est galement le cas du pilier 2 car il est coteux mettre en place. Il y a donc des mouvements de concentration du march, visibles ds aujourd'hui :
-des unions de mutuelles voient le jour : ainsi, en juin 2011 par exemple, qu atre mutuelles ont finalis leur regroupement au sein dune Union de Groupement Mutualiste. Cette nouvelle structure a principalement pour but d'engager des chantiers de mise en commun de services et de fonctions (informatique, technique, marketing) en vue de rduire les cots. -des mutuelles se rapprochent de Groupes de Protection Sociale afin d'atteindre la taille critique. Solvabilit 2 va donc refondre compltement le march des assurances, des Institutions de Prvoyance et des mutuelles, en permettant d'assainir le march et donc, en thorie, de mieux protger les assurs, ce qui est d'ailleurs le but depuis le dbut : assurer la protection des assurs en renforant la solvabilit des assureurs . Ainsi, le 22 avril 2009, jour de lapprobation par le Parlement Europen de la proposition de directive, Jos Manuel Barroso, prsident de la Commission Europenne, a dclar : Solvabilit 2 aidera protger les assurs des mauvaises pratiques. Elle aidera empcher que les tablissements financiers, et notamment certains assureurs, ne se livrent nouveau la dsastreuse prise de risque excessive qui a contribu la crise. D'autant que de nombreuses alliances et rapprochements ont dj eu lieu ces dernires annes, et d'autres sont en cours. Ainsi, un Directeur de l'Audit Interne que j'ai rencontr m'a indiqu que son entreprise, un Groupe de Protection Sociale ayant pour activits la Retraite Complmentaire, la Prvoyance, la Sant (mutuelle) et l'pargne salariale, au chiffre d'affaires de 1,4 milliards d'euros, tait en cours de rapprochement avec un autre Groupe de Protection Sociale. Ce rapprochement a commenc en 2005 : certaines structures ont dj fusionn, et les quipes d'audit sont en train de se rapprocher. Deux autres Directeurs de l'Audit Interne que j'ai rencontrs m'ont donn des informations similaires : leurs Groupes de Protection Sociale vont fusionner avec un autre groupe dans les mois venir. De mme, plusieurs autres Groupes de Protection Sociale sont en cours de rapprochement. En effet, un grand mouvement de concentration a commenc en 2004 en raison de l'Agirc-Arrco : cet organisme fdrateur des institutions de retraite a impuls depuis plusieurs annes un mouvement de concentration des Groupes de Protection Sociale afin de rduire les cots de gestion tout en amliorant la qualit de service aux participants et aux entreprises. Ainsi, les fusions de caisses de retraite se sont multiplies. Les Groupes de Protection Sociale sont passs de 66 en 2000 17 en 2008, et le mouvement se poursuit aujourd'hui. Aujourd'hui, il reste environ 6 grands groupes. Et avec le dploiement de l'Usine Retraite (outil de gestion pour les activits de Retraite Complmentaire), il est probable que ce chiffre passe environ 4 ou 5 grands groupes. C es mouvements de concentration se retrouvent sur le champ du concurrentiel (Prvoyance et Sant) en raison de la rglementation et de Solvabilit 2, car les exigences en termes de solvabilit sont plus difficiles tenir pour les petites mutuelles, qui ont donc d'ores-et-dj commenc se rapprocher. Solvabilit 2, en raison de ses exigences en termes de fonds propres et ses exigences qualitatives, va donc renforcer ce phnomne de concentration des acteurs du march, qui a dj lieu aujourd'hui. D'autant plus que, d'aprs l'un de mes interlocuteurs, aprs le 1er
janvier 2013, si une entreprise est dans l'impossibilit de respecter les exigences de la directive, l'ACP pourra aller jusqu' lui imposer un rapprochement avec un autre groupe. La directive va donc sans doute avoir pour effet d'accentuer encore la concentration du secteur de lassurance, qui est dj leve au niveau europen, puisque les cinq premiers groupes d'assurance reprsentent prs de 50 % du march (76 % pour les dix premiers), d'aprs les chiffres de la FFSA. Cependant, les interlocuteurs que j'ai rencontrs ne sont pas unanimes sur le fait que les grands groupes d'assurance aient fait du lobbying pour faire passer Solvabilit 2. On peut penser que dans un premier temps, ces grands groupes ont voulu profiter de la directive pour provoquer une rgulation du march en s'appropriant des petites structures et donc avoir moins de concurrence, mais il est clair que la directive Solvabilit 2 est devenue plus stricte que prvu en raison de la crise conomique. Cette augmentation des exigences de la directive n'avait bien sr pas t prvue par les grands groupes. -Une relation avec les autorits de contrle (lACP et ses homologues europens) est en train de se construire et devrait continuer bien aprs 2012. En effet, la dtermination du SCR repose sur une apprciation subjective par chaque entreprise de son niveau de risque : un dialogue approfondi avec les autorits de contrle est donc ncessaire afin que l'entreprise puisse apporter la preuve que son processus dcisionnel intgre correctement la dimension du risque, et que les autorits de contrle puissent s'assurer de la qualit des modlisations et des hypothses retenues, ainsi que de l'efficience des processus de Contrle Interne de de matrise des risques. A l'issue de ce dialogue, l'autorit de contrle aura la possibilit de requrir un "capital add-on" au titre du pilier 2, pour couvrir les manquements de la modlisation : l'ACP aura le pouvoir d'augmenter les exigences de fonds propres si elle juge que le systme de Contrle Interne n'est pas adquat, par exemple. De plus, les entreprises peuvent opter pour une mthode personnalise de calcul des MCR et SCR : l'approche interne est plus complexe mettre en uvre que la formule standard, mais peut permettre de diminuer le niveau de fonds propres obligatoires. D'autant que les simplifications adoptes pour rendre la formule standard la plus universelle possible induisent certaines limites dans l'apprciation quantitative de la situation financire des entreprises. Pour les entreprises voulant opter pour le modle interne, un accord de l'autorit de contrle sera requis pralablement la dtermination effective du SCR partir de ce modle interne. Cependant, la validation de l'approche interne par l'autorit de contrle ne se fera que lorsque des simulations compltes des rsultats obtenus par ces modles pourront tre prsentes au rgulateur. Bien qu'il soit possible d'organiser des visites intermdiaires, pour chaque entreprise, le rgulateur ne validera l'approche interne qu'une fois le projet termin. C'est donc une validation a posteriori.
Enfin, l'ACP va venir, entre autres, s'assurer que le pilier 2 est bien mis en place, car le thme de la gouvernance va prendre de l'importance et s'inscrire au cur de ses contrles dans les annes venir. En effet, avec la crise de 2008, on s'est aperu que la gouvernance tait au cur du problme. Dsormais, l'ACP contrle donc le processus de gouvernance plus en dtail : cela revient s'assurer que toutes les informations ncessaires sont bien transmises au Conseil d'Administration, que le reporting et les bilans sont fiables et pertinents, et valuer la capacit des dirigeants piloter le risque. Pour l'ACP galement, Solvabilit 2 reprsente un enjeu monumental car les changements entrans par cette directive sont trs difficiles contrler, surtout au sein des grandes assurances. L'ACP va notamment venir contrler le processus de gestion des risques et l'application du pilier 2. Ainsi, si une entreprise ne respecte pas les exigences de Solvabilit 2 et que l'ACP s'en aperoit au cours d'un de ses audits, l'entreprise sera mise sous tutelle pendant un an, et si aprs cette priode, elle ne rpond toujours pas aux exigences de la directive, elle perdra son agrment et devra donc cesser son activit. Bien sr, il est quasiment impossible que cette situation se produise puisque, concrtement, si une entreprise est dans l'impossibilit de respecter la directive, l'ACP pourra aller jusqu' lui imposer un rapprochement avec une autre entreprise. -D'aprs un Directeur de l'Audit que j'ai rencontr, il y aura l'avenir une sparation beaucoup plus forte entre les mtiers de l'Assurance de Personnes et de la Retraite Complmentaire : certains Groupes de Protection Sociale vont se spcialiser dans l'activit Retraite Complmentaire (que l'on peut rsumer comme tant une activit de sous-traitant de l'Agirc-Arrco) et d'autres dans l'Assurance. En effet, Solvabilit 2 ne concerne que la partie Assurance de Personnes des Groupes de Protection Sociale, ce qui va peut-tre crer une distorsion entre cette activit et l'activit Retraite Complmentaire de ces groupes, qui n'aura pas les mmes besoins et ne sera pas soumise aux mmes rglementations. -La crise financire dbute en 2008 a mis mal l'image du monde de l'assurance aux yeux du grand public. Or Solvabilit 2 va donner au march de l'assurance les moyens de mieux matriser la solvabilit des entreprises. La directive influe non seulement sur les mcanismes de gouvernance des entreprises mais elle place aussi le client au cur d'un dispositif destin lui garantir la solvabilit de l'assureur qu'il a choisi. Les entreprises vont donc se situer dans un contexte de professionnalisation accrue de l'ensemble des acteurs, qui sera marqu par une concurrence de plus en plus affirme, face des clients de plus en plus informs et exigeants en matire d'offres assurantielles et de performance. -La date du 1er janvier 2013 ne constituera pas une fin en soi : les assureurs devront poursuivre leurs travaux dans lide de parfaire leur dispositif de matrise des risques aprs cette date, qui a donc surtout une valeur symbolique . En effet, les entreprises ne peuvent pas se cantonner une simple mise en conformit avec
la directive ; il faudra exploiter et faire voluer le dispositif de matrise des risques une fois qu'il sera mis en place. Les mesures de transition rcemment voques par la Commission Europenne (directive Omnibus 2) vont dans ce sens. Les prochaines annes vont ainsi tre importantes, et les entreprises devront continuer se mobiliser afin que Solvabilit 2 soit une russite pour elles, c'est--dire une mise en conformit russie mais galement une valeur ajoute apporte par le respect des exigences de la directive. Enfin, nous constatons que Solvabilit 2 s'inscrit dans un contexte global et n'est finalement qu'un changement parmi tant d'autres qui se profilent dans les annes venir et qui impacteront les assurances, les Groupes de Protection Sociale et les mutuelles : -D'aprs l'un de mes interlocuteurs, aprs 2013, les Groupes de Protection Sociale vont tre dans une logique de monte en puissance , et ne souhaiteront plus tre considrs comme des caisses de retraite qui ont aussi une activit assurance. On constate d'ailleurs que les Groupes de Protection Sociale manifestent aujourd'hui un intrt pour tous les mtiers de l'assurance. C'tait dj le cas pour certains, avec l'intgration de mutuelles, mais ce phnomne a rcemment pris de l'ampleur avec l'attaque de nouveaux marchs, comme l'pargne retraite, via le dveloppement de nouvelles structures (gnralement avec de nouveaux partenaires). De plus, on constate qu'actuellement, la plupart des Groupes de Protection Sociale sont dj plus puissants que les plus importantes mutuelles : leur monte en puissance dans le domaine de lassurance constitue une volution majeure de ces dernires annes. Cependant, l'atteinte d'une taille critique sera indispensable pour jouer dans la mme cour que leurs grands concurrents. -Un autre changement possible venir en France concerne un rapport rcent de Franois Fillon, qui a indiqu que seuls les organismes de Scurit Sociale devraient s'occuper du versement des retraites l'avenir. Ce changement annonce-t-il la fin de l'Agirc et de l'Arrco (institutions qui grent les rgimes de retraite complmentaire des cadres et des salaris, en collaboration avec les Groupes de Protection Sociale) ? La raison principale de cette proposition de changement est que les frais de gestion de l'A girc-Arrco sont de 20%, un chiffre suprieur aux frais de gestion de la Caisse Nationale d'Assurance Vieillesse (CNAV), qui est une branche de la Scurit sociale. La CNAV souhaiterait donc prendre en charge la retraite de base mais galement la retraite complmentaire, mme si les Groupes de Protection Sociale s'occuperaient toujours du versement des retraites complmentaires. Cette possibilit a t carte de la rforme des retraites pour l'instant ; nanmoins, il est clair que la Retraite Complmentaire va voluer dans un environnement particulirement riche dans les prochaines annes. De plus, la rforme des retraites va avoir un autre impact important sur les Groupes de Protection Sociale, puisque le recul de lge lgal de la retraite 62 ans, en plus d'avoir un impact sur le rgime de retraite complmentaire, a un impact fort sur le rgime de prvoyance des entreprises. En effet, les Institutions de Prvoyance devront verser les prestations complmentaires dincapacit de travail et dinvalidit aux salaris couverts par le rgime des entreprises clientes pendant deux annes supplmentaires, puisqu'elles sont tenues
de couvrir les assurs en arrt de travail jusqu leur dpart en retraite. Cet allongement de la dure de paiement des prestations, qui reprsente environ 20% de charges supplmentaires, a conduit augmenter les cotisations verses par les entreprises au 1er janvier 2011. -En plus des changements lis Solvabilit 2 viendront s'ajouter en France ainsi que dans dautres pays europens les consquences des rformes de l'tat visant rduire les dficits publics. Pour le secteur de l'assurance de personnes, elles se traduiront forcment par la poursuite du dsengagement de l'tat en matire de dpenses de protection sociale, et le transfert vers les assurances complmentaires. Ainsi, la rorganisation du systme de protection sociale en France et dans dautres pays europens est un grand sujet qui impactera les Groupes de Protection Sociale l'avenir, avec notamment le d-remboursement des mdicaments par la Scurit Sociale (abaissement 15% du taux de remboursement par la Scurit Sociale, contre 35% jusque-l, pour de nombreux mdicaments).
Conclusion
Jusqu prsent, lattention des entreprises sest surtout porte sur le premier pilier de la directive, qui va
permettre de mettre en place des mthodes d'valuation des risques efficaces et fiables afin de mieux adapter le niveau de fonds propres avec la ralit des risques encourus. Le but de ce pilier est d'inciter les entreprises mieux grer leurs risques et par consquent accrotre leur solvabilit. Cependant, il est important que les entreprises ne ngligent pas le deuxime pilier, qui est tout aussi
important que le premier et le complte : les dispositions sur la gouvernance, la gestion des risques, le Contrle et lAudit Internes ont pour but de conduire un pilotage plus efficace des entreprises. En effet, l'application des aspects qualitatifs du pilier 2 offre l'opportunit l'entreprise d'acqurir une matrise plus complte de ses risques et d'optimiser le processus de pilotage des risques, d'autant que les superviseurs porteront une attention particulire ce pilier 2, dans la mesure o il se situe au cur de la philosophie de Solvabilit 2, qui est d'assurer la matrise par les socits de leurs risques. Sans compter que la rcente crise financire a sans doute renforc limportance qui sera accorde ce deuxime pilier puisquen exposant les limites de lapproche quantitative, elle a soulign la ncessit de renforcer les exigences qualitatives. Au-del de la contrainte rglementaire, les lments constitutifs du pilier 2 peuvent conduire une
amlioration de la gouvernance des entreprises ; les outils que sont le Contrle Interne, l'ORSA ou encore l'ERM devraient permettre au Conseil d'Administration de mieux suivre la gestion des risques, de connatre tout moment le positionnement en termes de couple rendement/risque et de fixer un niveau cible en ligne avec les objectifs stratgiques. Ainsi, comme nous l'avons vu, les principaux enjeux du pilier 2 sont le renforcement du rle et du fonctionnement du Conseil dAdministration, la mise en place dun systme de Gestion des risques et de Contrle Interne, et la mise en place voire le renforcement de fonctions-cls telles que l'Audit Interne, le Risk Management et le Contrle Interne. Nous avons constat que le pilier 2 n'entranera pas de changements majeurs pour la fonction Audit
Interne car cette fonction existe depuis plusieurs dizaines d'annes, et est par nature trs normalise et standardise. La directive entrane des changements bien plus importants au niveau du Contrle Interne, du Risk Management et de la Conformit, ce qui est logique car ces fonctions sont beaucoup plus rcentes, et peuvent donc encore voluer de faon importante. En effet, le Contrle Interne existe vritablement depuis le dbut des annes 2000 seulement (avec la loi Sarbanes-Oxley en 2002 et la LSF en 2003), et le Risk Management tel quon le connat aujourdhui est encore plus rcent. Ble 2 a plac le Risk Management au centre du dispositif de gouvernance des banques, et Solvabilit 2 dcline ceci pour les assurances. La directive a donc une influence importante sur ces deux dernires fonctions, en les renforant et en leur dfinissant un cadre prcis et des exigences respecter.
L'impact global du pilier 2 de Solvabilit 2 concerne donc le renforcement des dispositifs de gouvernance d'entreprise, de Risk Management, de Contrle Interne et d'Audit Interne, et les lments-cls sont les suivants : -concernant la gouvernance : le rle et le fonctionnement du Conseil dAdministration et de ses manations sont renforcs. En effet, les organes dirigeants se voient attribuer de nouvelles responsabilits et portent la responsabilit de tout le dispositif de matrise des risques mettre en place, -concernant le Risk Management : un Systme de Gestion des Risques doit tre mis en place, -concernant le Contrle Interne : cette fonction doit tre mise en place ou optimise afin de matriser les activits et les processus, accompagne d'une fonction Conformit, -concernant l'Audit Interne : de mme, il faut mettre en place ou optimiser cette fonction, qui sera d'ailleurs charge de conduire des missions spcifiques Solvabilit 2 dans les annes venir. d Lapplication de la directive entranera ainsi une refonte de l'organisation interne des entreprises, avec l'apparition de nouvelles fonctions, un impact sur les fonctions actuelles et sur l'organigramme, et l'obligation de pilotage permanent de la solvabilit au plus haut niveau. La mise en place de Solvabilit 2 reprsente donc une transformation de lentreprise, impactant aussi bien son modle dorganisation que sa stratgie. Le pilier 2 est compos de nombreuses dispositions mettre en uvre par les entreprises, ce qui peut
avoir un aspect contraignant pour elles. Cependant, il faut noter que relativement peu de dtails sont donns sur ce pilier par les textes officiels, laissant la possibilit chaque entreprise d'adopter une vritable rflexion et d'appliquer les exigences de la directive sur-mesure . On constate notamment que la section 2 de la directive, appele Systme de Gouvernance et entirement ddie au pilier 2, s'tale seulement sur une vingtaine de pages (la directive en comprend environ 600 au total), et que l'essentiel des dbats concernant Solvabilit 2 s'est centr sur la dimension quantitative de la directive. D'autant plus que l'identification d'une fonction donne comme le Contrle Interne ou lAudit Interne n'empche pas les entreprises de dcider librement de la faon d'organiser cette fonction en pratique, sauf indication contraire donne par la directive. Cela est bien sr li l'aspect qualitatif de ce pilier 2, qui rend les modalits d'application bien plus
floues que celles accompagnant les exigences quantitatives du pilier 1 (celles-ci font l'objet d'articles beaucoup plus longs et dtaills dans la directive) : ainsi, le pilier 2 est bas sur des principes et non des rgles prcises, et ncessite donc une approche sur-mesure pour chaque entreprise. Le problme est que le manque de visibilit actuel sur les exigences concernant ce pilier 2 peut reprsenter un frein la progression du niveau de prparation des entreprises, car les dirigeants mettent gnralement des rserves se lancer dans des projets aussi ambitieux lorsque la cible nest pas clairement dfinie, avec une incertitude sur lapprciation finale de la conformit par le superviseur. D'autant plus que le pilier 2 reste complexe mettre en uvre et que la mise en conformit avec ses exigences a de fortes chances d'engendrer un cot lev.
L'enjeu pour laprs 2012 est donc de sextraire de la simple mise en conformit rglementaire, et
dessayer de transformer Solvabilit 2 en atout pour lentreprise. Une approche mthodique, harmonise dans lensemble de la structure et sous-tendue par des objectifs clairs (pilotage par le top management, responsabilisation des diffrents chelons de dcision face au risque etc.) sera le moyen de se mettre en conformit avec la rglementation, mais surtout de gnrer de la valeur, en mettant en place une organisation cohrente et efficace. En conclusion, Solvabilit 2 va sans doute gnrer une rgulation du march car il y a une volont
implicite d'assainir celui-ci afin que seules les entreprises les plus solides perdurent et soient en mesure de protger leurs assurs. Bien sr, cette volont n'est pas clairement revendique par la directive, mais en tudiant objectivement les exigences du pilier 2 (comme celles du pilier 1), on constate que, globalement, elles ne font que reprendre les pratiques qui sont d'ores-et-dj banalises au sein de la plupart des grands groupes, alors que ces pratiques seront quasiment impossibles mettre en place au sein des petites entreprises. D'autant plus que la mise en uvre de ces exigences s'accompagne d'un impact financier important ainsi que d'un impact organisationnel, en provoquant des restructurations au sein de l'entreprise. Ces impacts seront difficilement grables par les petites entreprises. On constate galement que le principe de proportionnalit voqu dans la directive, et visant justement adapter les exigences de Solvabilit 2 en fonction de la taille de l'entreprise, reste trs peu dtaill, et n'a toujours pas fait l'objet, l'heure actuelle, d'une dfinition plus rigoureuse et prcise de la part de la Commission Europenne, du CEIOPS ou de l'EIOPA. Chaque entreprise l'interprte donc sa faon pour l'instant, ce qui pourrait entraner des drives : les petites entreprises ne savent pas comment les simplifications induites par ce principe de proportionnalit leur seront appliques, alors qu'il ne reste qu'un peu plus d'un an avant la date butoir. La directive va entraner des changements importants dans le droit franais, tant au niveau du Code des
Assurances, du Code de la Scurit Sociale que du Code de la Mutualit. Cependant, Solvabilit 2 n'est qu'un lment parmi tous les autres changements qui vont toucher les assurances et les Groupes de Protection Sociale moyen et long terme (on peut citer notamment les mouvements de concentration des Groupes de Protection Sociale, mais aussi l'volution des lgislations etc.). D'autant plus que nous avons constat que le pilier 2 de Solvabilit 2, sur de nombreux points, ne fait que rappeler les bonnes pratiques en matire de gestion des risques, qui sont dj appliques dans les groupes de taille moyenne et les grands groupes, et reprend certaines volutions dj amorces par d'autres lois et directives. La logique du pilier 2 sinscrit en effet dans un mouvement plus global et initi depuis un certain temps en France, qui vise renforcer les mcanismes de Contrle Interne et la gouvernance. Ce mouvement implique pour les entreprises de garantir un pilotage des risques permanent et, par consquent, dadapter leurs organisations et leurs processus. Ainsi, des volutions rglementaires comme celles apportes par le dcret du 19 mai 2008 sur le Contrle Interne et l'ordonnance du 8 dcembre 2008 sont relier aux changements entrans par le pilier 2, et relativisent son impact. De mme, on peut supposer que les entreprises vont, tout en respectant les exigences de la directive, essayer d'avoir le
niveau de fonds propres obligatoires le plus bas possible. Cela amne se demander quelle est la morale de la rforme Solvabilit 2 par les modles internes, puisque, en se basant sur ces modles, les grandes assurances qui disposent des moyens et des comptences ncessaires pour les mettre en uvre peuvent choisir elles-mmes leur besoin en capitaux propres, la condition qu'elles puissent justifier des mthodes utilises. Or, les entreprises auraient plutt intrt aller au plus prs de la ralit des risques qu'elles portent, et non au plus bas de lexigence en capital en matire de solvabilit. Dautant plus que ces modles internes ne pourront pas tre appliqus par les petits groupes, ne disposant pas des ressources humaines et financires ncessaires pour les mettre en uvre. La diffrence avec toutes les lois qui l'ont prcde est que Solvabilit 2 est une rglementation
europenne, et entrane donc de nombreux changements si tous les lments la constituant navaient pas t mis en place auparavant. Mme s'il est donc ncessaire de relativiser l'importance de Solvabilit 2, cette directive va tout de mme entraner des rpercussions majeures en permettant de globaliser les bonnes pratiques en matire de matrise des risques et de gouvernance au niveau europen, et va aussi avoir d'autres impacts, plus imprvisibles , sur les entreprises, comme une modification de leurs objectifs stratgiques et stratgies d'investissement (avec une baisse des investissements en actions et en obligations), une hausse possible des prix des assurances, voire mme une diminution de la performance (entrane par un carcan excessif de contrle et de matrise des risques) et la disparition de certaines mutuelles, Institutions de Prvoyance et assureurs qui ne passeront pas le cap de Solvabilit 2. Solvabilit 2 divise la marge de solvabilit des entreprises : ainsi, ses exigences revues la hausse ont
conduit rflchir Ble 3, qui serait le pendant de Solvabilit 2 pour les banques. Dans les annes venir, Ble 3 sera donc mis en place dans le but de rquilibrer le march entre les banques et les assurances, en tant bien plus strict que Ble 2. Les travaux de la Commission Europenne concernant Ble 3 ont d'ailleurs dj commenc. On peut donc se demander jusqu'o iront ces directives et si cet enchanement de rglementations n'est pas excessif.
Lexique :
Assurance : Le contrat d'assurance est un contrat alatoire par lequel un organisme dit "l'assureur", qui pour pratiquer l'assurance doit tre autoris par le Ministre des Finances exercer ce type d'activit, s'engage envers une ou plusieurs personnes dtermines ou un groupe de personnes dites les "assures", couvrir, moyennant le paiement d'une somme d'argent dite "prime d'assurance", une catgorie de risques dtermins par le contrat que dans la pratique on appelle "police d'assurance". Les conventions additionnelles qui sont destines modifier le contrat initial prennent le nom d'"avena nts". Cette activit s'exerce dans de trs nombreux secteurs (assurance de dommages, assurance de responsabilit, assurance vie, assurance crdit notamment). Concernant l'assurance vie, la Cour de cassation a jug, au visa des articles 1121 du code civil et L. 132-9 du code des assurances que, sauf manifestation contraire de volont du stipulant, si le bnficiaire vient dcder aprs le stipulant, le contrat d'assurance vie profite aux hritiers de ce bnficiaire. Cette transmission s'effectue alors, de droit, alors mme que, de son vivant, la personne avantage n'aurait pas accept le bnfice de lassurance-vie.
Protection sociale : La protection sociale dsigne tous les mcanismes de prvoyance collective, permettant aux individus de faire face aux consquences financires des "risques sociaux". Il sagit de situations susceptibles de compromettre la scurit conomique de lindividu ou de sa famille, en provoquant une baisse de ses ressources ou une hausse de ses dpenses (vieillesse, maladie, invalidit, chmage, maternit, charges de famille, etc.). Elle peut fonctionner selon trois logiques : -une logique dassurance sociale, dont lobjectif est de prmunir contre un risque de perte de revenu (chmage, maladie, vieillesse, accident du travail). Les prestations sociales sont finances par des cotisations sur les salaires (comme dans une assurance prive) et sont donc rserves ceux qui cotisent ; -une logique dassistance, qui a pour objectif dinstaurer une solidarit entre les individus pour lutter contre les formes de pauvret. Elle consiste assurer un revenu minimum, qui ne couvre pas forcment un risque spcifique. Il est vers sous condition de ressources, mais non de cotisations pralables (revenu minimum dinsertion, allocation adulte handicap) ; -une logique de protection universelle, qui a pour but de couvrir certaines catgories de dpenses pour tous les individus. Les prestations sont donc accordes sans conditions de cotisations ni de ressources, mais sont les mmes pour tous (prestations familiales). Les systmes les plus dvelopps de protection sociale sont surtout le fait des pays europens. Leurs ressources sont constitues principalement par les impts et les cotisations sociales. En France, le systme de protection sociale reprsente environ 500 milliards deuros chaque anne, soit plus de 30% du PIB. Les Groupes de Protection Sociale sont souvent constitus de 4 branches : la Retraite Complmentaire (avec une Institution de Retraite Complmentaire Agirc et une Institution de Retraite Complmentaire Arrco), la Prvoyance, la Sant (mutuelle) et l'pargne. Solvabilit 2 concerne uniquement les activits Prvoyance et Sant des Groupes de Protection Sociale. Auparavant, seules les socits d'assurance taient contrles par l'ACP, car les Groupes de Protection Sociale
n'avaient qu'une activit Retraite Complmentaire. Puis ils ont dvelopp des activits Prvoyance et Sant ; c'est l qu'ils ont commenc tre contrls.
Mutuelle : Selon la dfinition qui en est donne par le Code de la Mutualit, la mutuelle est un groupement ayant la capacit civile, dont la cration est soumise dclaration. Le statut de la mutuelle relve du principe de l'autogestion. Elle poursuit un but non lucratif menant dans l'intrt de ses membres, moyennant le versement d'une cotisation, des actions de prvoyance, de solidarit et d'entraide. A l'exception des cas o elles participent, en qualit d'organisme social, la gestion d'un rgime obligatoire de scurit sociale, les mutuelles font partie de ce qui est convenu d'appeler le droit de la scurit sociale complmentaire . Elles sont alors gouvernes par le principe de l'adhsion contractuelle individuelle ou collective, et contrairement aux mutuelles qui grent un rgime obligatoire, les difficults relatives leur fonctionnement comme celles qui naissent de leurs rapports avec leurs adhrents restent de la comptence des juridictions de droit commun et non de la comptence des tribunaux des affaires de scurit sociale.
Rassurance : La rassurance est un contrat aux termes duquel une socit, le rassureur, s'engage garantir une socit d'assurance, la cdante, contre tout ou partie du ou des risques qu'elle a souscrits aux termes d'une ou plusieurs polices d'assurance. La rassurance diffre de l'assurance notamment en raison de sa plus grande complexit inhrente la diversit plus importante de ses activits et son caractre international. La rassurance permet une cdante d'obtenir certains avantages, notamment une rduction de son engagement net sur des risques individuels et une protection contre des pertes multiples ou importantes. La rassurance fournit aux cdantes le capital ncessaire pour augmenter leurs capacits de souscription tant en termes de nombre que dampleur des risques. La rassurance ne dcharge cependant pas la cdante de ses engagements face aux assurs. Par ailleurs, un rassureur peut cder son tour d'autres rassureurs (appels rtrocessionnaires) une partie des risques en question.
Gouvernement d'entreprise : D'aprs le Cadre de Rfrence International des Pratiques Professionnelles de l'IIA, le gouvernement d'entreprise est un dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer, de diriger, de grer et de piloter les activits de l'organisation en vue de raliser ses objectifs . D'aprs l'OCDE, le gouvernement d'entreprise fait rfrence aux relations entre la Direction d'une entreprise, son Conseil d'Administration, ses actionnaires et autres parties prenantes. Il dtermine galement la structure par laquelle sont dfinis les objectifs d'une entreprise, ainsi que les moyens de les atteindre et d'assurer une surveillance des rsultats obtenus . C'est aussi un ensemble de rgles permettant aux actionnaires de s'assurer que les entreprises dont ils dtiennent des parts sont diriges en conformit avec leurs propres intrts. Ces rgles s'organisent autour d'un schma trois tages : les actionnaires, le Conseil d'Administration, et la Direction Gnrale.
Risque : Dfinition du risque selon les assurances : vnement incertain contre la ralisation duquel on s'assure. Par extension, les assureurs appellent "risque" le bien sur lequel porte l'assurance : risque locatif, ou la personne assure (un conducteur avec un malus important est appel risque aggrav).
D'aprs le COSO 2, c'est la possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Il se mesure en termes de consquences et de probabilit . Les diffrentes consquences peuvent tre une perte financire, une responsabilit civile ou pnale, des sanctions lgales et/ou professionnelles, et une dgradation de l'image du groupe.
Risk Management : Processus administratif et dcisionnel qui a comme fonction de minimiser un cot raisonnable les consquences dvnements dfavorables mettant en danger les objectifs de lorganisation. Processus de dcision et de gestion permettant de planifier, dorganiser, de diriger et de contrler les activits dune organisation de faon minimiser pour un cot raisonnable les consquences dfavorables des risques auxquels est expose cette organisation. D'aprs le COSO 2, Le management des risques est un processus mis en oeuvre par le Conseil dAdministration, la direction gnrale, le management et lensemble des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la stratgie ainsi que dans toutes les activits de lorganisation. Il est conu pour identifier les vnements potentiels susceptibles daffecter lorganisation et pour grer les risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant latteinte des objectifs de lorganisation . Le COSO 2 rsume le processus de Risk Management de la faon suivante :
Risques oprationnels : Risques de pertes directes ou indirectes venant dune inadquation ou dune dfaillance attribuables des procdures, des personnes, des systmes internes, ou des vnements extrieurs.
Contrle Interne : Pour l'Autorit des Marchs Financiers, le Contrle Interne est un dispositif de la socit, dfini et mis en uvre sous sa responsabilit, contribuant la matrise de ses activits, l'efficacit de ses oprations et l'utilisation efficiente de ses ressources. Il vise assurer la conformit rglementaire, l'application des dcisions fixes par la Direction Gnrale, le bon fonctionnement des processus internes de la socit et la fiabilit des informations financires..
COSO : Rfrentiel de Contrle Interne qui propose une structure type d'un dispositif de Contrle Interne pour atteindre les objectifs dfinis, selon 5 composantes : l'environnement de contrle, l'valuation des risques, les activits de contrle, l'information et la communication, et le pilotage.
Le COSO dfinit le Contrle Interne comme un processus mis en uvre par le Conseil d'Administration, les dirigeants et le personnel d'une organisation destin fournir une assurance raisonnable quant la ralisation des objectifs suivants : ralisation et optimisation des oprations, fiabilit des informations, respect des rglementations. Le COSO dtermine cinq composantes au Contrle Interne : l'environnement de contrle, l'valuation des risques, les activits de contrle, l'information et la communication, et le pilotage.
Audit interne : Dfinition officielle de l'IFACI : Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit.
Systme Intgr de Gestion des Risques : Certaines entreprises se tournent vers un systme intgr de gestion des risques, que l'on peut dfinir comme tant un dispositif de matrise des risques unique , qui englobe principalement le Risk Management, le Contrle Interne, l'Audit Interne, la Conformit, le management de la Qualit, et la scurit des systmes d'information. Le but principal est de faire face laccumulation des rglementations, systmes et rfrentiels respecter au sein de l'entreprise, qui peuvent entraner une confusion ainsi quune perte de temps, d'efficacit, et de cohrence entre les diffrentes fonctions en charge de la matrise des risques et leurs missions. Un systme intgr de gestion des risques est donc un outil de gestion des risques mis disposition de tous les acteurs qui sont concerns par ce sujet au sein de lentreprise : cet outil est un facteur de cohsion, de rapidit dinformation (ascendante et descendante), et facilite la remonte des alertes et llaboration des synthses. Il amliore donc le pilotage
du dispositif, et peut mme tre considr comme indispensable dans un groupe complexe et multi-mtiers, qui se doit d'tre coordonn. Son efficience dpend trs largement de sa conception, dont le Risk Manager doit tre le matre douvrage.
Solvabilit : D'aprs la Fdration Franaise des Socits d'Assurance, la solvabilit est la capacit pour un assureur respecter les engagements de long terme quil prend auprs de ses clients. Elle dpend de limportance de ces engagements (les garanties et protections offertes aux assurs) et des ressources dont dispose la socit dassurance pour y faire face, notamment sous la forme des fonds propres et des actifs quelle dtient (actions, obligations, etc.). Les contrats dassurance vie reprsentent une partie importante de ces engagements, aux cts des autres garanties et protections offertes aux assurs: les contrats de responsabilits civiles et professionnelles, les contrats de protections des biens, etc. La solvabilit dpend aussi de la valeur des actifs dtenus par les socits dassurances (actions, obligations, immobilier) dans lesquels elles investissent les fonds confis par les assurs. Si leur valeur diminue, alors la solvabilit est fragilise. Linsolvabilit est le principal risque financier auquel sont confrontes les socits dassurances. Afin de garantir leur solvabilit, les socits dassurances doivent disposer, au-del des rserves qui couvrent dj lintgralit des engagements souscrits vis--vis des assurs, de fonds propres en quantit suffisante pour faire face des vnements imprvus pouvant affecter le respect de leurs engagements : ce sont les capitaux propres rglementaires.
Fonds propres : Les fonds propres (ou capitaux propres) correspondent aux ressources stables de l'entreprise. Ils sont composs du capital social, des rserves, du report nouveau et du rsultat de l'exercice. Il ne faut donc pas confondre actif et capitaux propres . En effet, ce sont les capitaux propres et les dettes d'une entreprise (autrement dit les ressources, runies au bilan dans la catgorie passif ) qui financent son actif, tant immobilis (terrains, usines, titres de participation..) que circulant (crances, stocks, valeurs mobilires ou banque).
Modle interne (prcisions de l'ACP sur le modle interne) : La proposition de directive Solvabilit 2 introduit la possibilit pour les organismes dassurance dvaluer leur SCR (Capital de Solvabilit Requis) laide dun modle interne et prcise les conditions sous lesquelles les autorits de supervision seraient en mesure dapprouver les modles utiliss. Solvabilit 2 met laccent sur la connaissance par lentreprise de son profil de risque et sur ladaptation des exigences de capital ce profil de risque spcifique. Or la formule standard, par essence, ne donnera toujours quune vision imparfaite du profil de risque de lorganisme. Un modle interne peut, quant lui, tre dvelopp dune manire cohrente avec les caractristiques propres lactivit exerce et avec lorganisation mise en place. Les modles internes nont pas vocation tre de simples modles mathmatiques mais doivent galement sintgrer dans la gestion des risques de lentit. Les modles actuariels sont des outils de pilotage et daide la dcision pour les dirigeants. Les vnements rcents ont dailleurs dmontr limportance des dispositifs de gestion des risques adquats. Daprs la proposition de directive, un modle interne ne pourra tre utilis des fins rglementaires que si lorganisme dmontre quil lutilise largement par ailleurs, au niveau stratgique et au niveau des services. Le test relatif lutilisation tmoigne de la confiance accorde par lorganisme son modle interne. Cette confiance est une condition ncessaire mais non suffisante pour que le superviseur son tour autorise lorganisme valuer son SCR laide du modle.
Lvaluation du modle seffectuera donc selon de nombreux critres tels que la prcision des outils mathmatiques, la qualit des donnes, la documentation, la gouvernance ou le contrle interne. Une des difficults de la modlisation pourrait tre de russir quantifier, et justifier le calcul, des pertes supposes se raliser dans des situations extrmement dfavorables malgr des historiques limits pour ce type dvnement. A cet gard, lanne 2008 a montr le manque de robustesse de certaines hypothses supposes valides en temps normal. Une rponse ces sources dincertitude peut tre le dveloppement, et la correcte prise en compte, de tests de sensibilit et de contrles des hypothses destins mesurer les impacts possibles des erreurs de modle. Le dveloppement dun modle interne qui aurait vocation tre approuv par lAutorit de contrle est donc un processus important et potentiellement coteux. Cest aux organismes dassurance danalyser les cots et les bnfices induits par celui-ci. Notamment, lutilisation dun modle interne pourrait conduire une exigence de capital plus faible. Cette diminution ne serait cependant que la traduction dune exposition au risque plus faible que celle prsume par la formule standard et la reconnaissance dune gestion des risques plus efficace. In fine, les organismes qui bnficieront de la prise en compte des modles internes au niveau rglementaire pourraient tre ceux qui en tireront parti pour toffer leur dispositif de gestion des risques.
Sources :
a
Mes sources d'informations principales sont les entretiens que j'ai raliss auprs de Directeurs de
l'Audit Interne, une confrence ayant pour thme Solvabilit 2 laquelle j'ai pu assister, et bien sr la directive Solvabilit 2 en elle-mme et les Consultation Papers du CEIOPS. Mes autres sources sont les suivantes : Sites Internet :
-Site de la FFSA : www.ffsa.fr -Site de l'ACP : www.banque-france.fr/acp/index.html -Site du CEIOPS : www.acam-france.fr/CEIOPS/ -Site du CTIP (notamment les rapports annuels) : www.ctip.asso.fr -Site de la Commission Europenne : ec.europa.eu/index_fr.htm -Site du Parlement Europen : http://europa.eu/institutions/inst/parliament/index_fr.htm -Site de l'Argus de l'Assurance : www.argusdelassurance.com -www.solvabilite2.com -www.assurance-et-mutuelle.com -www.empruntis.com -www.senat.fr -www.investir.fr -www.scor.com/index.php -www.lesechos.fr -www.stopsolvabilite2.com/index.php -http://lexpansion.lexpress.fr -www.stopsolvabilite2.com/index.php -Sites des cabinets de conseil proposant leurs services aux entreprises en ce qui concerne la mise en conformit avec la directive (Sinequa, PWC etc.) -Sites des assurances et des Groupes de Protection Sociale Articles de presse :
- Solvabilit 2 : un calendrier intenable ? , publi en mars 2011 - Auditing Insurance Companies and Solvency II , publi en mars 2011 - Comits daudit et directeurs financiers : une relation cl , publi en janvier 2010 - Financial Services Authority : Insurance Risk Management : The Path To Solvency II - Solvabilit 2 et les modles internes , publi en 2010 - Solvabilit 2 : la mobilisation gnrale du march , publi en janvier 2011 - Solvency II : detailed guidance notes , publi en mars 2010 - Solvabilit 2 : lACP veut des audits des bilans prudentiels , publi en mars 2011
- SOLVABILIT II : Un enjeu la porte de tous - Comment Solvabilit II impacte les mutuelles et les IP - Assurances et mutuelles : rapport sur le contrle interne, premire tape de solvabilit II -Dossier Regroupement des mutuelles , Journal des Socits - N 83 - Janvier 2011 -Revue changes de juin 2010 - SOLVABILITE II : DERNIERES ORIENTATIONS de Charles Vincensini - Solvabilit 2 : les assureurs avancent sans enthousiasme - AXA : Le PDG de lassureur critique Solvency II du 1er juin 2010 - Denis Kessler critique ouvertement la mise en place de Solvabilit II , 2010 Prsentations diverses trouves sur Internet :
- Solvabilit 2 : ce qui a t obtenu Bruxelles du cabinet Actuaris - Ordonnance du 8 dcembre 2008 : enjeux pour les cabinets d'audit de KPMG - Baromtre national Solvabilit 2 dition 2010 , publi en juin 2010 - Solvency II : contexte et enjeux de la rforme , du cabinet SIA Conseil - Solvabilit 2 : une approche pragmatique et proportionne la taille de votre entreprise , du cabinet PWC - Solvabilit 2 : les assureurs lpreuve du deuxime pilier et de lORSA , du cabinet Aon Global Risk Consulting -Recommandations du CTIP sur le rle du conseil dadministration des institutions de prvoyance en matire de contrle interne -Prsentation Runion dinformation des Commissions de contrle , mai 2010 -Prsentation MISE EN UVRE DU CONTRLE INTERNE DANS LES GROUPES de l'Agirc-Arrco, juin 2010 -Prsentation La Conformit en Assurances de Groupama -Prsentation de l'IFACI sur l'Audit Interne, du 15 octobre 2010 -Prsentation OBLIGATION DINFORMATION ET DEVOIR DE CONSEIL , Groupe IFACI Groupes de Protection Sociale -Prsentation LA PROTECTION DE LA CLIENTELE , runion IFACI du 15 octobre 2010 -Prsentation Feuille de route Solvabilit 2 pour les mutuelles et lP , juin 2010, et prsentation Solvabilit 2 : limites et opportunits de la rforme , janvier 2010, du cabinet Optimind -Prsentation sur le COSO 2 de Jean-Jacques Gillot et Virginie Morreeuw, novembre 2009 -Prsentation Solvabilit 2 du groupe Tuillet, octobre 2010 -Prsentation 8me directive et comit d'audit : volution ou rvolution ? , du groupe Tuillet, mars 2009 -Prsentation Le projet Solvabilit 2 de l'ESA, 2010 -Prsentation Solvabilit 2 : vers une approche globale et cohrente de la solvabilit de KPMG Audit -Prsentation Solvency 2 in a box : offre intgre pour les acteurs intermdiaires , de PWC -Prsentation Solvabillit 2 ORSA et systme de gouvernance , de Mazars, 24 mai 2011
Documents internes Runica :
-Supports des Comits de Pilotage 2010 et 2011 -Comptes-rendus de runions relatives Solvabilit 2 -Plans d'action Solvabilit 2 Gouvernance -Plans d'action Solvabilit 2 Pilier 2 Risques et Contrles -tude portant sur les relations de l'Audit Interne avec les CAC et sur la protection de la clientle -Document Enjeux et approche de mise en uvre de l'ORSA , juin 2011 Ouvrage :
- La cartographie : un outil de gestion des risques , de l'AMRAE
Annexes : Guide d'entretien m'ayant permis de recueillir des informations auprs de mes interlocuteurs. Selon vous, quels sont les objectifs de Solvabilit 2 et surtout du pilier 2 ? En pratique, comment cela se dcline dans votre entreprise ? Est-ce que Solvabilit 2 a fait lobjet dun projet dans votre entreprise ? Si oui, comment a-t-il t mis en place dans votre entreprise (organisation, quipe ddie, fonctions, objectifs, taille de lquipe) ? Afin de mettre en place les exigences requises par Solvabilit 2, votre entreprise s'est-elle tourne vers l'aide d'un cabinet de conseil ? Quels sont les principaux impacts du pilier 2 de Solvabilit 2 dans votre entreprise, court terme et long terme ? Solvabilit 2 entrane un renforcement du Management des Risques. Pour vous, quels sont les changements majeurs provoqus par Solvabilit 2 en matire de gestion des risques ? Quels sont les changements/consquences majeurs entrans par les exigences qualitatives (relatives 7 aspects) du pilier 2 ? Les 7 aspects sont : -le Contrle Interne (et la conformit), -l'Audit Interne, -la gouvernance (des critres Fit & Proper doivent s'appliquer aux fonctions-cls de l'entreprise), -la mise en place d'un systme de gestion des risques (Risk Management), -la fonction actuarielle, -la sous-traitance, -le volet ORSA (valuation interne des risques et de la solvabilit). Quels sont les autres changements provoqus par Solvabilit 2 (pilier 2) dans les mtiers du Risk Management, de lAudit Interne et du Contrle Interne ? Exemples : Obligation pour les entreprises davoir un service Risk Management, un service Contrle Interne et un service Audit Interne afin que l'Audit Interne soit compltement indpendant ; quest-ce que vous en
pensez ? Nouvelles embauches venant de cette sparation ? Disparition des conomies dchelle, et pertes de proximit entre les services ? Cration de la fonction Conformit ; Exigences rglementaires de Solvabilit 2 par rapport au Risk Management : disposer d'un vritable dispositif de matrise des risques, de cartographies des risques oprationnels, financiers et stratgiques => Comment cela sest pass chez vous ? Solvency 2 concerne les assurances, Institutions de Prvoyance et mutuelles, mais en fait, elle peut aussi avoir un impact sur les autres activits de lentreprise. Dans quelle mesure ? Seule la partie Assurances de Personnes des Groupes de Protection Sociale est impacte par S2 => Comptezvous tendre ces bonnes pratiques au niveau du groupe ? Exemples : le dispositif de Contrle Interne, contrle des dlgataires etc pourraient stendre la Retraite par exemple. Traduction concrte des articles de Solvabilit 2 relatifs au Contrle Interne/Audit Interne/Risk Management/Gouvernance : Article 40 (Responsabilit de l'organe d'administration, de gestion ou de contrle) Article 41 (Exigences gnrales en matire de gouvernance) Article 42 (Exigences de comptence et d'honorabilit applicables aux personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls) Article 44 (Gestion des risques) Article 45 (valuation interne des risques et de la solvabilit) Article 46 (Contrle interne) Article 47 (Audit interne) Article 49 (Sous-traitance) => Quelle est la traduction concrte de ces articles?
Selon vous : -Impacts positifs (avantages) de Solvabilit 2 au niveau de lAudit Interne, du Contrle Interne et du Risk Management?fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff -Impacts ngatifs (inconvnients) au niveau de lAudit Interne, du Contrle Interne et du Risk Management? Est-ce que Solvabilit 2 a cr plus de travail, des objectifs/missions supplmentaires ? Au niveau de laudit : ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff - Embauches de nouveaux auditeurs ? La directive a-t-elle un impact sur le profil des auditeurs que vous embauchez ?ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff - Si vous avez un plan daudit pluriannuel, avez-vous dj pris en compte des missions relatives Solvabilit 2 ? La masse de reporting est-elle en forte volution avec Solvabilit 2 ? Nouveaux livrables ? Lesquels ? Exemples : rapport sur le Contrle Interne, rapport sur la solvabilit etc. Estimation du cot global de Solvabilit 2 pour votre entreprise ? Ramener ce chiffre au nombre de salaris Aujourd'hui, o en tes-vous dans la dmarche de mise en conformit avec Solvabilt 2 (il reste 1 an et 10 mois pour tre en conformit) ? Comment voyez-vous laprs 2013 (aprs la mise en conformit)?
Annexe 1 : Rsum des trois piliers de la directive (1/2).
Source : Solvabilit 2 : Vers une approche globale et cohrente de la solvabilit , KPMG Audit Annexe 1 : Rsum des trois piliers de la directive (2/2).
Source : document Formation Solvabilit 2 , Groupe Tuillet
Annexe 2 : Diffrences majeures entre Solvabilit 1 et Solvabilit 2.
Source : Solvabilit 2 : Vers une approche globale et cohrente de la solvabilit , KPMG Audit Annexe 3 : Les acteurs concerns par la directive (1/2).
Annexe 3 : Les acteurs concerns par la directive (2/2).
Source : Solvabilit 2 : Vers une approche globale et cohrente de la solvabilit , KPMG Audit
Annexe 4 : Prsentation gnrale du pilier 2.
Annexe 5 : Les acteurs de la gestion des risques et leurs rles (1/2).
Annexe 5 : Les acteurs de la gestion des risques et leurs rles (2/2).
Annexe 6 : Le processus Lamfalussy (architecture lgislative de la directive).
Source : document interne Runica Annexe 7 : Mesures d'application du CEIOPS (mesures de niveau 2), prcisant certains lments voqus dans les articles de la directive Solvabilit 2.
Mesure d'application consacre aux exigences gnrales en matire de gouvernance (complment de l'article 41 de la directive) :
A managing agent must establish and maintain an effective system of governance, such that: internal reporting is effective at all levels of the business and there is cooperation and effective communication, as relevant, between all levels of the business. there is a clear and well-defined organisational structure with clear, consistent and documented lines of responsibility. board members possess sufficient relevant professional qualifications, knowledge and experience to give adequate assurance that collectively they provide sound and prudent management. personnel have the skills, knowledge and expertise to fulfil their allocated responsibilities. personnel are aware of the procedures to follow in order to discharge their responsibilities properly. decision-making procedures are established and maintained. where an individual performs multiple tasks there is not, and is not likely to be, any circumstance that prevents that individual from performing those tasks soundly, honestly and professionally. information systems produce sufficient, reliable, consistent, timely and relevant information on all business activities, commitments assumed and risk exposures. adequate and orderly records are kept.
the security, integrity and confidentiality of information is safeguarded, taking into account the nature of the information in question. reporting lines ensure prompt and appropriate escalation of issues and proportionate action. adequate risk management, compliance, internal audit and actuarial functions are established and maintained. A managing agent should also address the following as part of its governance framework : it must identify potential conflicts of interest and establish procedures to ensure personnel can understand where conflicts of interest could arise and how these should be addressed. personnel who are responsible for key functions (see fit and proper section) should have direct access to the managing agents board. it must have written policies on risk management, internal control, internal audit and outsourcing which clearly set out responsibilities, goals, processes and reporting procedures and are aligned to the managing agent's and syndicate's business strategy. These policies should be reviewed at least annually. it must have processes to ensure regular identification of risks for which contingency plans should be in place, particularly those to which the business is especially vulnerable. Contingency plans should be regularly tested and updated, and must be communicated to relevant personnel.
Mesure d'application consacre aux exigences d'honorabilit et de comptence applicables aux personnes qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-cls (complment de l'article 42 de la directive) :
A managing agent must ensure that all board members and key function holders meet the 'fit and proper' criteria. Key functions include those prescribed by the FSA or Lloyd's, as well as any others that the managing agent considers important in its system of governance. Lloyds expects this to include, as a minimum, the chairman, chairman of the risk committee, chairman of the audit committee, senior independent director, finance function, risk management function, compliance function, internal audit function and actuarial function. Fitness for a role is based on assessment of management competence and technical competence. Managing agents must base their assessments on previous experience, knowledge and professional qualifications, and demonstration of due skill, care, diligence and compliance with the relevant standards of the sector the person has worked in. Assessment of propriety of an individual should be based on their reputation, reflecting past conduct, criminal record, financial record and supervisory experience. In addition to fitness with regard to their duties in their specific areas of responsibility, the board of the managing agent must, collectively, be able to provide for the sound and prudent management of the business. A managing agent must notify Lloyd's and the FSA of those persons who run the business and other key function holders.
Mesure d'application consacre au Risk Management (complment de l'article 44 de la directive) :
A managing agent must have an effective risk management system. This requires the following, as a minimum : A clear, defined and documented risk management strategy that is consistent with the agents business strategy and includes : risk management objectives, key principles, risk appetite and assignment of risk management responsibilities across all the agents activities.
Written policies that implement the risk strategy and facilitate control mechanisms. They must include a definition and categorisation of the material risks faced by the agent, by type and the levels of acceptable risk limits for each risk type. These policies must reflect the nature, scope and time horizon of the business and the risks associated with it. Processes and procedures to enable identification, assessment, management, monitoring and reporting of risks the agent is, or may be, exposed to. Reporting procedures and feedback loops to ensure that information on the risk management system is coordinated and challenged by the risk management function and actively monitored and managed by all relevant staff and the managing agents board. Reports by the risk management function submitted to the board, covering the material risks faced by the business and the effectiveness of its risk management system. A suitable ORSA process. A managing agent must have a risk management function in place, which must be embedded in the managing agent's organisational structure. Its reporting lines must ensure objectivity, whilst leaving it free from influence from other functions and from the agents board. The risk management function must do the following : Assist the board and other management in the effective operation of the risk management system, particularly through specialist analysis and quality review. Monitor the risk management system. Maintain an aggregated view of the risk profile of the business. Report risk exposures to the board and advise the board on the risk aspects of strategic affairs. Identify and assess emerging risks. The risk management function must also be responsible for the following tasks in relation to an internal model : Integration of the internal model into the risk management system and its day-to-day operations. Assessment of the internal model as a risk management tool and as a means of calculating the SCR.
Extrait de la mesure d'application consacre l'ORSA (complment de l'article 45 de la directive) :
ORSA Requirements 20. This part of the paper aims at broadly explaining CEIOPS views on the ORSA requirements according to the Framework Directive Proposal. 21. It is up to an undertaking to decide how it designs its ORSA process, but it has to ensure that the process meets the requirements set out in Article 44 of the Framework Directive Proposal, and is also proportionate to the nature, scale and complexity of its risks. 22. Although the execution of the ORSA as such can be outsourced, the administrative or management body remains responsible for the compliance with the requirements of the ORSA and with Article 48 of the Framework Directive Proposal, as well as for the management decisions required as part of the risk and capital management to which the ORSA relates. 23. Article 44 (1) of the Framework Directive Proposal identifies what an undertaking is required to determine in the ORSA process: 1. As part of its risk management system every insurance or reinsurance undertaking shall conduct its own risk and solvency assessment. That assessment shall include at least the following:
(a) the overall solvency needs taking into account the specific riskprofile, approved risk tolerance limits and the business strategy of the undertaking; (b) the compliance, on a continuous basis, with the capital requirements, as laid down in Chapters VI, Sections 4 and 5 and with the requirements regarding technical provisions, as laid down in Chapter VI, Section 2. (c) the extent to which the risk profile of the undertaking concerned deviates significantly from the assumptions underlying the Solvency Capital Requirement as laid down in Article 101 (3), calculated with the standard formula in accordance with Chapter VI, Section 4, Subsection 2 or with its partial or full internal model in accordance with Chapter VI, Section 4, Subsection 3. 24. The purpose of the ORSA is to ensure that undertakings have robust processes for assessing and monitoring their overall solvency needs, not to duplicate, validate or analyse in detail the parameterisation of the SCR calculation. 25. The ORSA is part of the risk management system. The written policy on risk management as referred to in Article 41 (3) of the Framework Directive Proposal should include a policy concerning the ORSA process. 26. The following sections include certain aspects that should be taken into account in the ORSA, but are not meant to be an exhaustive list. The overall solvency needs 27. As mentioned before, the term overall solvency needs includes the assets necessary to cover the liabilities including technical provisions, the regulatory capital requirements SCR and MCR as well as the internal capital needs. Whereas the regulatory capital requirements can only be covered by eligible own funds, other elements of capital may be taken into account to cover an undertakings internal capital needs. 28. Furthermore, Article 44 (2) of the Framework Directive Proposal states that: 2. For the purposes of point (a) of paragraph 1, the undertaking concerned shall have in place processes which enable it to properly identify and measure the risks it faces in the short and the long term and also to identify possible events or future changes in economic conditions that could have unfavourable effects on its overall financial standing. The undertaking shall demonstrate the methods used to determine its overall solvency needs. 29. An undertaking should not only assess its current risks but also the risks it faces in the long term. That means that long term projections of the business which are a key part of any undertakings financial planning, such as projections of business plans, economic balance sheet and profit and loss account, are required. These projections should feed into the ORSA in order to enable the undertaking to form an opinion on the future overall solvency needs and own funds. Suitable capital planning should include projections of capital requirement and own funds (e.g. raising new own funds). It is up to the undertakings to decide on reasonable assumptions, parameters, correlations or levels of confidence to be used in the projections. However, Level 3 may provide some guidance on the minimum contents supervisors should expect from the ORSA in this respect. 30. An undertaking should also identify and take into account external factors that could have an adverse effect on its overall solvency needs or its own funds. These external factors can be: changes in the economic conditions, changes in the legal environment, changes in the insurance market, technical developments that have an impact on the underwriting risk or any other event the crystallisation of which is sufficiently probable that it be considered by a prudent person. 31. When assessing its overall solvency needs, an undertaking should also take into account management actions that may be adopted by the undertaking in unfavourable economic conditions. Particular consideration should be given to whether these management actions will operate as planned under such unfavourable economic conditions.
32. In the SRP, supervisors may also challenge the bases for the projections and an undertaking should be prepared to explain the rationale for selecting them and demonstrate that its methods and practices are appropriate. Compliance on a continuous basis 33. The undertaking is responsible for having sufficient eligible own funds to cover the MCR and the SCR on a continuous basis. The ORSA should include an assessment as to whether the undertaking holds sufficient eligible own funds determined in accordance with the Directive at any time over the business planning time horizon. 34. CEIOPS interpretation of on a continuous basis in Article 44 (1) (b) of the Framework Directive Proposal is that it refers to compliance and not to the required assessment, i.e. the paragraph does not constitute an obligation to constantly recalculate the SCR and MCR. In order to ensure that the capital requirements are met at all times, the undertaking needs to have processes in place that enable it to estimate the changes in its capital requirements and eligible own funds level since the last full solvency calculation. How often such a full calculation is to be performed will depend particularly on the volatility of the capital requirements and the own funds, as well as on the level of solvency. The undertaking should be able to justify the adequacy of the frequency of the calculation taking into account its risk profile. A full calculation is in any case required if the risk profile changes significantly. 35. The assessment of the overall solvency needs should not only focus on the amount of own funds needed going forward, but also on the quality of the own funds, especially those needed to comply with the capital requirements, and the ability to raise more own funds. Assessment of the risk profile 36. The assessment includes an analysis of the differences, if any, between the amount of own funds which the undertaking considers necessary for its business needs and the capital requirement the SCR generates. 37. There are a number of reasons why differences between internal capital needs and regulatory solvency capital requirement may exist, such as: a) The undertaking may operate at a different confidence level for business purposes compared to the regulatory assumptions on which the SCR calculation is based. For instance, it may choose to hold own funds for rating purposes, which represents a higher confidence level than that used to calibrate the SCR. b) The undertakings risk profile may differ from the one implicit in the SCR. For instance, the undertakings assessment of the capital needed to back a particular insurance risk might be different from the assessment on which the parameters of the SCR calculation are based or the undertakings risk profile may include risks which are not covered by the SCR. c) In the ORSA the undertaking may use a time horizon for its business planning purposes that differs from the time horizon underlying the SCR. d) In the ORSA the undertaking may consider any agreed management actions that could influence the risk profile. 38. Although an undertaking, in performing its ORSA, may for its own business purposes use a confidence level or a time horizon that differs from that of the SCR calculation, it is also required to perform the internal calculation on the basis of a 99.5% confidence level and a one-year time horizon, in order to assess the deviation of its risk profile from the assumptions underlying the SCR calculation, as required by Article 44 (1) (c). 39. Under the ORSA an undertaking should use the parameters that in its opinion best reflect its individual risk situation. 40. Where the undertaking is using internal models, Article 44 (3) of the Framework Directive Proposal states that: 3. In the case referred to in point (c) of paragraph 1 when an internal model is used, the assessment shall be performed together with
the recalibration that transforms the internal risk numbers into the Solvency Capital Requirement risk measure and calibration. 41. An internal model is in itself a tool for the ORSA. For an undertaking using an internal model to calculate the SCR, the ORSA should include a description of the role of the internal model in the integrated management of risk and capital needs. An undertaking should be able to justify the continued adequacy of the model compared with the risk profile of the undertaking. 42. When the internal model is calibrated for a different time horizon and/or a different level of confidence from the SCR standard formula, the ORSA should give information both on the internal capital needs identified for the undertakings internal purposes and on the regulatory capital requirements. The outcome of the ORSA 43. If the outcome of the ORSA is that the internal capital needs differ in either direction from the amount resulting from the SCR, the undertaking should explain the reasons and individually identify any impact on the calculation of the solvency capital requirement. 44. If the outcome from the ORSA is that the internal capital needs are higher than the regulatory capital, this does not automatically mean that the undertaking will have a capital add-on imposed by the supervisor. Supervisors will look into the reasons for the differences and discuss their views with the undertaking concerned before taking any decisions. For example, the use of a different time horizon or a different confidence level would not result in an add-on. Any changes the undertaking plans to introduce in order to reduce its risk profile as a consequence of the ORSA process would also be duly considered by supervisors. Before setting a capital add-on, supervisors would moreover not only take into account the ORSA results but also the full results of the SRP. Details on capital add-ons will be covered by a forthcoming CEIOPS Issue Paper. 45. Supervisors are not empowered to allow a reduction of the SCR as calculated in accordance with the standard formula if an undertaking demonstrates in its ORSA that the SCR calculation overestimates its risks. If the outcome from the ORSA is that the internal capital needs are considerably lower than the SCR, the undertaking may wish to consider whether it is appropriate to develop a partial or a full internal model and seek supervisory approval for its use in the calculation of the SCR. Integration of the ORSA 46. Article 44 (4) of the Framework Directive Proposal states that: 4. The own risk and solvency assessment shall be an integral part of the business strategy and shall be taken into account on an ongoing basis in the strategic decisions of the undertaking. 47. As an integral part of the overall business strategy, an undertaking is required to have in place its own strategies for internal capital needs and all material risks to which it is exposed (such as underwriting, credit, market, liquidity, concentration and operational risks), as well as an appropriate policy for the use of risk mitigation and transfer arrangements (e.g. reinsurance and derivatives) that together manage and address overall solvency needs. The ORSA and the business strategy affect each other. When performing the ORSA, the undertaking should take into account the business strategy and any strategic decisions influencing the risk and overall solvency needs. In reverse, the administrative or management body needs to be aware of the implications strategic decisions have on the risk and overall solvency needs of the undertaking and to consider whether these effects are desirable and affordable. Any strategic decision that may affect the risk and/or own funds position of the undertaking should be considered through the ORSA process before such a decision is taken.
Frequency of the ORSA 48. Article 44 (5) of the Framework Directive Proposal states that: 5. Insurance and reinsurance undertakings shall perform the assessment referred to in paragraph 1 regularly and without any delay following any significant change in their risk profile. 49. CEIOPS interprets the word regularly to mean at least annually in this context. The ORSA would also need to be performed within that period if an undertaking experiences a change in the risk and solvency profile that may impact the ORSA result in a way that the undertaking should be aware of. The undertaking should establish its own frequency of the assessment taking into account its own risk profile. It should be able to justify the adequacy of the frequency of the assessment. Information on the result of the ORSA to supervisory authorities 50. Article 44 (6) of the Framework Directive Proposal states that: 6. The insurance and reinsurance undertakings shall inform the supervisory authorities of the results of each own risk and solvency assessment as part of the information reported under Article 35. 51. Information about the ORSA process and the outcome of the ORSA is also a supervisory tool that will be used, together with other items of the supervisory reporting, as part of the SRP, to enable supervisors to: a) Assess the ability of the undertaking to assess its overall solvency needs; and b) To better understand the risks to which the undertaking is or may be exposed. 52. CEIOPS will give information on how it envisages supervisory reporting on the ORSA in its Level 2 advice/Level 3 measures on supervisory reporting which it will publish in a forthcoming Issues Paper.
Mesure d'application consacre au Contrle Interne (complment l'article 46 de la directive) :
A managing agents internal control system must secure its compliance with applicable laws, regulations and administrative processes and the effectiveness and efficiency of operations in view of its objectives, as well as the availability and reliability of financial and non-financial information. The managing agent must have in place a suitable control environment, appropriate control activities, effective information and communication procedures and adequate monitoring mechanisms. The agents compliance function must be able to communicate directly with any staff member on its own initiative and be able to access any records necessary for it to fulfil its role. Intended compliance activities must be set out in a compliance plan. The plan must ensure all areas of the business are covered to a depth proportionate to their exposure to compliance risk. The compliance function must promptly report any major compliance issues identified to the board.
Mesure d'application consacre l'Audit Interne (complment l'article 47 de la directive) :
The internal audit function is an independent function within the organisation which examines and evaluates the functioning of the internal controls and all other elements of the system of governance, as well as the compliance of activities with internal strategies, policies, processes and reporting procedures. A managing agent must have an internal audit function. The internal audit function must : Carry out its assignments with impartiality. Be able to exercise its assignments on its own initiative in all areas of the undertaking. Be free to express its opinions and present its findings to the whole board. Have the complete and unrestricted right to obtain information, which includes the prompt provision of allnecessary information, the availability of all essential documentation and the ability to look into all the agents activities and processes, as necessary to discharge its responsibilities, as well as having direct communication with any member of staff. Every activity and unit of the managing agent is within the internal audit functions scope. Internal audits will take place according to a risk-based internal audit plan, drawn up by the function itself. At least annually, the internal audit function must produce a written report of its findings for the agents board. This report must cover issues identified with the internal control system and failures observed in following internal processes and procedures. It must include recommendations on how to remedy inadequacies and follow up on the actions taken by the managing agent in response to issues raised in previous reports.
Mesure d'application consacre au contrle des sous-traitants (complment l'article 49 de la directive) :
A managing agent must have an outsourcing policy which includes consideration of the impact of outsourcing on its business and the reporting and monitoring arrangements to be implemented in case of outsourcing. The policy must be assessed and updated regularly. If a function is outsourced to an undertaking within the same group, the managing agent may take account of the extent to which it controls, or has influence over, the service provider. When choosing a service provider for any critical or important functions (i.e. functions that are fundamental to carrying out the core business), the managing agent must ensure that : a detailed review is performed of the potential service provider's ability to deliver the required functions satisfactorily; the service provider has ensured that no actual or potential conflicts of interest with the managing agent will impair its ability to deliver to the standard required; it enters into a written agreement with the service provider which clearly allocates the respective rights and obligations of the managing agent and the service provider; the terms of the outsourcing agreement are authorised and understood by the managing agent's board; the outsourcing does not breach data protection regulation or any other laws; and the service provider applies equivalent provisions to those the managing agent would have to apply in respect of the confidentiality of client data.
The managing agent is responsible for ensuring that the terms of the outsourcing agreement are consistent with its obligations under the Solvency II Framework Directive. To this end, the written agreement between the managing agent and the service provider should clearly state the following requirements : the duties and responsibilities of each party; the service providers commitment to comply with all applicable laws and regulations and to cooperate with the FSA in connection with the outsourced function or activity; that the service provider discloses any developments that may have a material impact on its ability to carry out the outsourcing; that the service provider can only terminate the contract under a notice period that is sufficiently long to enable the managing agent to find an alternative solution; that the managing agent can terminate the outsourcing arrangement, with a reasonable notice period, should the service provided prove to be inadequate; that the managing agent reserves the right to information on the outsourced activities and the service provider's performance of them, as well as the right to issue guidelines or instructions as to what is taken into account when performing the outsourced activities; that the service provider protects any confidential information relating to the managing agent or its clients; that the managing agent, its external auditor, and the FSA can access all information relating to the outsourced activities, and are able to access the service provider's premises if an on-site inspection is to be performed; and that the FSA has the right to question the service provider directly. To ensure that outsourcing of any critical or important activities does not materially impair the managing agent's governance system : the managing agent must ensure that the service provider has an adequate risk management and internal control system; the outsourced activities must be adequately included in the managing agent's risk management and internal control system; and the managing agent must establish a contractual right to information about the outsourced activities and a contractual right to issue instructions about the activities. In order to ensure against an undue increase of operational risk when outsourcing critical or important functions or activities, the managing agent shall: verify that the service provider has adequate financial resources to take on the tasks to be outsourced and to properly and reliably perform its duties towards the managing agent, and that the service providers staff is chosen on the basis of criteria that give reasonable assurance that they are sufficiently qualified and reliable; verify that the service provider properly isolates and identifies the information, documentation and assets belonging to the managing agent and its clients in order to protect their confidentiality; and make sure the service provider has adequate contingency plans in place to deal with emergency situations or business disruptions and has periodic testing of backup facilities where that is necessary having regard to the activity outsourced.
Annexe 8 : Construction d'un systme de management des risques.
Source : document Formation Solvabilit 2 , Groupe Tuillet Annexe 9 : Les diffrentes tapes d'une approche permettant de matriser les risques de l'organisation.
Approche Bottom up
Les diffrentes tapes dune dmarche Bottom up
Identification des risques inhrents, rattachement une typologie de risques et valuation des risques Classification et description des processus / sous processus
Formalisation des processus
Identification et valuation des lments de matrise existants (organisation, documentation, contrles humains et informatiques, pilotage)
Adquation risque brut / matrise afin didentifier les risques prioritaires
Risqu Risqu e e
Plan de contrles
Elaboration des plan dactions afin de traiter les risques prioritaires
Arbitrage
Elaboration des plans de contrles
Source : document sur les dmarches de gestion des risques, Sinequa Risk & Management
Annexe 10 : Les missions de la fonction Risk Management.
Source : document Formation Solvabilit 2 , Groupe Tuillet Annexe 11 : Organisation gnrale de l'ORSA.
Source : document Solvabilit 2 - ORSA et systme de gouvernance , Mazars

Annexe 12 : Les exigences gnrales de Solvabilit 2 en matire de gouvernance.
Source : document Solvabilit 2 -ORSA et systme de gouvernance , Mazars Annexe 13 : Reprsentation de la sous-traitance.
Annexe 14 : Le positionnement de l'Audit Interne dans l'organisation.
Source : document Formation Solvabilit 2 , Groupe Tuillet Annexe 15 : Schma d'organisation : les articulations entre les diffrents acteurs intervenant dans le dispositif de matrise des risques mettre en place pour rpondre aux exigences de la directive Solvabilit 2 (exemple de l'une des entreprises rencontres).
Annexe 16 : Extrait d'une tude ralise en 2010 par Optimind, indiquant les montants des budgets accords au projet Solvabilit 2 par les entreprises.
Source : document Les dossiers techniques dinformation Optimind , cabinet Optimind Annexe 17 : La gestion du projet Solvabilit 2.
Annexe 18 : Calendrier gnral du projet Solvabilit 2 (1/2).
Source : document Offre intgre pour les acteurs intermdiaires , PWC Annexe 18 : Calendrier gnral du projet Solvabilit 2 (2/2).

Memoire Aurelien Lerda PDF

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Memoire Aurelien Lerda PDF

Hochgeladen von

Copyright:

Verfügbare Formate

LERDA Aurlien

Anne universitaire 2010/2011

Master Audit et Gouvernance des Organisations (2010 - 2011) 1/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 2/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 3/189

Synthse sur les parties 2, 3 & 4_________________________________________________________p.114

Master Audit et Gouvernance des Organisations (2010 - 2011) 5/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 6/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 8/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 9/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 10/189

Concernant la classification de l'assurance, les directives europennes distinguent deux branches

Master Audit et Gouvernance des Organisations (2010 - 2011) 11/189

Assurance (dommages) des biens et des responsabilits

Master Audit et Gouvernance des Organisations (2010 - 2011) 12/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 14/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 15/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 16/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 17/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 18/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 19/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 20/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 21/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 24/189

1/ Article consacr la gestion des risques (article 44)

Master Audit et Gouvernance des Organisations (2010 - 2011) 25/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 27/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 28/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 29/189

3/ Autres exigences rglementaires de Solvabilit 2 par rapport au Risk Management

Master Audit et Gouvernance des Organisations (2010 - 2011) 31/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 32/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 33/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 35/189

-L'article consacr l'ORSA est l'article 45 de la directive :

Master Audit et Gouvernance des Organisations (2010 - 2011) 36/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 37/189

-L'article consacr aux exigences gnrales en matire de gouvernance est l'article 41 :

Master Audit et Gouvernance des Organisations (2010 - 2011) 40/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 41/189

d'Administration, le Comit dAudit :

Master Audit et Gouvernance des Organisations (2010 - 2011) 42/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 43/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 44/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 45/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 46/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 50/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 52/189

5/ Questionnement sur lindpendance de la fonction Risk Management

Master Audit et Gouvernance des Organisations (2010 - 2011) 53/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 55/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 56/189

L'article consacr au Contrle Interne est le suivant :

Master Audit et Gouvernance des Organisations (2010 - 2011) 58/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 60/189

4/ Cration d'une fonction Conformit

Master Audit et Gouvernance des Organisations (2010 - 2011) 64/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 65/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 66/189

5/ Renforcement du contrle des dlgataires

Master Audit et Gouvernance des Organisations (2010 - 2011) 68/189

Master Audit et Gouvernance des Organisations (2010 - 2011) 69/189

6/ Contrle des dirigeants

Master Audit et Gouvernance des Organisations (2010 - 2011) 70/189