Le « principe de proportionnalité » est un principe affirmé par la directive Solvabilité II.
Que signifie-t-il ? comment l’interpréter en particulier pour la gestion du risque opérationnel ?
Que signifie « principe de proportionnalité » ?
Il est en effet souvent indiqué dans la directive, que cette dernière elle-même, ou l’une des nombreuses exigences qu’elle contient, doit être appliquée et adaptée de manière proportionnelle à la nature, à l’ampleur et à la complexité :
- des opérations de l’entreprise d’assurance
- des risques inhérents à l’activité de l’entreprise d’assurance.
Cette sage disposition protège les petites entreprises d’assurance contre une lourdeur excessive des exigences à respecter et des couts engendrés. Elle permet aux risk managers, y compris des plus grandes structures, d’adapter ou de doser différemment les ingrédients de la politique des risques en fonction de leur profil. Il s’agit d’une marge de manœuvre accordée dans la mise en conformité avec la directive, dès lors naturellement que la situation le justifie et que ces motifs sont formalisés. La liberté ne se départit pas d’un esprit de responsabilité, surtout lorsqu’on s’exonère d’une obligation qui en principe s’applique à tous.
Comment l’interpréter
Il ne s’agit pas ici de donner le mode d’emploi définitif de cette disposition, mais quelques clés de lecture pour une mise en œuvre pertinente.
Voici trois angles sous lesquels vous pouvez analyser le principe de proportionnalité : au regard de la gouvernance, des dispositifs et enfin des méthodes de gestion des risques.
Gouvernance
Un exemple pour illustrer le propos.
Une petite structure pourra, pour en limiter le coût, confier le contrôle interne et la gestion des risques à la même équipe.
Rappelons au passage que le contrôle interne ne fait pas partie des quatre fonctions clés exigées par la directive. Une compagnie d’assurance n’a pas l’obligation, même si c’est largement préférable, d’incarner son contrôle interne par une personne ou une équipe. Le contrôle interne est exigé en tant que dispositif de maitrise des risques. Mais il va de soi que pour faciliter la diffusion d’une culture de contrôle interne auprès de l’ensemble des collaborateurs, la création d’une fonction en charge de son animation est primordiale.
En tout état de cause, contrôle interne et gestion des risques opérationnels peuvent être regroupés sous une même structure. Outre l’intérêt économique, les nombreuses synergies possibles entre ces deux approches seront favorisées.
Dispositifs
En matière de risque opérationnel, la directive Solvabilité reste très générale quant aux dispositifs à mettre en place. Un ensemble de bonnes pratiques se sont imposées au fil du temps, en partie inspirées de celles des banques, comme par exemple l’établissement d’une cartographie des risques, ou la collecte des incidents. L’objectif demeure la démonstration que l’entreprise d’assurance a mis en place des processus lui permettant d’identifier, de mesurer, de maitriser et de déclarer ses risques opérationnels.
La cartographie est le socle incontournable d’une gestion des risques a minima. Et ce d’autant qu’elle permet de justifier l’importance relative de certains risques, ou tout du moins d’identifier les risques majeurs.
C’est sur cette base que l’on peut, par exemple, prétendre à ne pas déployer de dispositif très sophistiqué pour maitriser certains d’entre eux. Par exemple, Si l’assureur délègue peu de fonctions importantes ou vitales, il peut alléger son dispositif de pilotage des risques de sous-traitance. Tout sera alors une affaire de dosage en fonction du degré d’exposition au risque d’externalisation, de la nature des contrats passés et de la complexité de la situation. Toutes les techniques de pilotage des sous-traitants peuvent être ainsi passées au crible de l’analyse afin de déterminer si l’on peut les alléger.
Méthodes et outils
La gestion des risques opérationnels peut s’appuyer sur plusieurs outils informatiques pour gérer les cartographies, la collecte des incidents, l’évaluation des risques et des contrôles, les tableaux de bords, etc.
Pour ne prendre exemple que sur les outils de collecte des incidents opérationnels, le coût d’acquisition et de mise en place d’un logiciel du marché peut très vite s’avérer un investissement substantiel. Il sera vite amorti pour une structure qui subit de nombreux incidents et qui bâtira des plans de prévention efficaces grâce au recul que permet ce type d’outil.
En revanche, face à une faible volumétrie, ou en phase d’installation de la culture de déclaration des incidents, l’informatisation du suivi sur un simple tableur bureautique peut être amplement suffisant.
L’autorité de contrôle (l’ACPR) applique elle-même le principe de proportionnalité et adapte l’intensité de sa supervision au risque et à l’impact évalués pour chaque organisme ou groupe d’assurance. Notamment avec les petites mutuelles, les captives d’assurances, ou encore les Assur Tech. Pour une grande structure, mieux vaut objectiver et argumenter le plus finement possible l’application du principe pour justifier d’une gestion « adaptée à la nature, l’ampleur et la complexité » des risques.
Commenti