chroniques
- Monsieur FALL, c’est quoi exactement le Risk management en assurance ?
Il faut savoir de prime abord que le risk management, ou la gestion des risques en français, n’est pas une conception propre à l’assurance ou attribuée à un secteur d’activité particulier, mais plutôt une identité adéquate pour toute organisation quels que soient le type et la taille. La gestion des risques est un processus continu visant à identifier, analyser, évaluer et traiter les risques de pertes et à surveiller le contrôle des risques et les ressources financières, afin d'atténuer les effets négatifs des pertes. Il s’applique aujourd’hui à des métiers très différents suivant le contexte où il est employé. Le seul point commun est la place centrale de l’incertitude dans toutes ces approches, qui visent à réduire la volatilité ou la dispersion des états futurs d’un système dans un avenir par essence incertain. La norme de l’Organisation Internationale pour la Normalisation ISO 31000 sur la gestion des risques définie le risque comme l’effet de l’incertitude sur des objectifs futurs.
Dans le secteur de l’assurance, le risque est le point névralgique des opérations d’assurance. Il caractérise l’incertitude et symbolise l’objet du contrat d’assurance. Le système de gestion des risques couvre donc l’ensemble des risques significatifs pour l’assureur. Puisque dans ce cas de figure, sont couverts la souscription, le provisionnement, la gestion actif-passif, les risques liés aux placements, le risque opérationnel, ainsi que la réassurance et les autres techniques d’atténuation du risque interne comme externe pouvant affecter l’exploitation, l’image et la réputation.
Il n’existe pas un modèle figé. Mais en cas de recours à un modèle interne, la majeure partie de la conception, du pilotage et de la maintenance du modèle revient à la fonction de risk management, qui aujourd’hui est incontournable au regard des mutations profondes et évolutions de l’environnement économique, juridique et technologique du secteur des assurances en zone CIMA.
Dans le secteur de l’assurance, le risque est le point névralgique des opérations d’assurance. Il caractérise l’incertitude et symbolise l’objet du contrat d’assurance. Le système de gestion des risques couvre donc l’ensemble des risques significatifs pour l’assureur. Puisque dans ce cas de figure, sont couverts la souscription, le provisionnement, la gestion actif-passif, les risques liés aux placements, le risque opérationnel, ainsi que la réassurance et les autres techniques d’atténuation du risque interne comme externe pouvant affecter l’exploitation, l’image et la réputation.
Il n’existe pas un modèle figé. Mais en cas de recours à un modèle interne, la majeure partie de la conception, du pilotage et de la maintenance du modèle revient à la fonction de risk management, qui aujourd’hui est incontournable au regard des mutations profondes et évolutions de l’environnement économique, juridique et technologique du secteur des assurances en zone CIMA.
- Quelle est la place et l’apport du Risk Management dans la création de valeur d’une compagnie d’assurances ?
Le risk management est un élément crucial de la stratégie à long terme de l’entreprise d’assurance, et se place au cœur du métier. La création de valeur est possible en se concentrant sur l’augmentation des bénéfices, la réalisation de la croissance, de la performance et de la gestion des risques pour préserver la réputation de l’entreprise à respecter ses engagements futurs. Une compagnie d’assurance ne peut pas atteindre ces objectifs de façon optimale et efficiente, et surtout de manière constante sans la mise en place d’un plan de gestion active des risques. La gestion des risques vise à lever le voile d’incertitude qui pèse sur le futur. C’est en améliorant l’information des décideurs qu’elle contribue donc à la création de valeur.
Mais, le responsable de cette fonction au sein de l’entreprise d’assurance doit collaborer avec les autres fonctions se situant au second niveau du dispositif de contrôle. Il ne s’agit pas de remplacer par exemple l’actuaire, mais d’apprendre à dialoguer avec lui en comprenant les contraintes et les résultats. Le risk manager élabore et met en œuvre des stratégies et des politiques pour d’une part, minimiser les incertitudes sur la fixation des primes, des franchises et des limites, et d’autre part, la création de plans d'urgence et de couverture en réassurance. Ainsi, un bon programme de gestion des risques va améliorer la fidélisation des clients, accroître la résilience opérationnelle, ou encore identifier et exploiter de nouvelles opportunités commerciales pour améliorer la rentabilité globale de l’entreprise d’assurance en créant de la valeur.
Mais, le responsable de cette fonction au sein de l’entreprise d’assurance doit collaborer avec les autres fonctions se situant au second niveau du dispositif de contrôle. Il ne s’agit pas de remplacer par exemple l’actuaire, mais d’apprendre à dialoguer avec lui en comprenant les contraintes et les résultats. Le risk manager élabore et met en œuvre des stratégies et des politiques pour d’une part, minimiser les incertitudes sur la fixation des primes, des franchises et des limites, et d’autre part, la création de plans d'urgence et de couverture en réassurance. Ainsi, un bon programme de gestion des risques va améliorer la fidélisation des clients, accroître la résilience opérationnelle, ou encore identifier et exploiter de nouvelles opportunités commerciales pour améliorer la rentabilité globale de l’entreprise d’assurance en créant de la valeur.
- Il est souvent déploré l’absence de la fonction Risk manager dans les entreprises sénégalaises et dans le secteur des assurances. Comment renverser la tendance et l’intégrer dans le processus de gestion des risques notamment en assurances ?
Effectivement, cette fonction est absente dans le dispositif organisationnel de plusieurs entreprises. L’explication peut résulter du fait qu’elle est méconnue par la plupart d’entre elles, mais aussi du fait qu’il y’a un déficit de spécialistes en la matière. La fonction de risk management fait partie des nouvelles fonctions qui émergent et qui est en devenir. Dans d’autres secteurs d’activité par exemple, beaucoup pensent que le risk management se limite bien souvent à la gestion du programme d’assurance de l’entreprise et au transfert des risques à l’assureur. Dans le secteur de l’assurance au Sénégal et en zone CIMA, on remarque une absence de culture sur la gestion des risques et même une absence de consécration formelle dans le code CIMA. Pourtant, ailleurs en France par exemple, la fonction de gestion des risques est classée parmi les quatre Fonctions clés qui ont été identifiées par le régulateur des assurances. Ces fonctions sont la gestion des risques, l’audit interne, la conformité et la fonction actuarielle.
Le régulateur est allé plus loin en imposant aux organismes d’assurance de soumettre à l'approbation de l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) les nominations des responsables des Fonctions clés désignés par les dirigeants de l’entreprise. Au Maroc, à l’instar des obligations instaurées par Solvabilité II, l’organisme de tutelle du marché, la Direction des Assurances et de la Prévoyance Sociale (DAPS), travaille sur le chantier du contrôle interne et de la gestion des risques. La mise en place de structures, de mesure et de gestion des risques internes (risques financiers, techniques, opérationnels etc.) a été testée. Les compagnies ont été chargées de travailler à l’élaboration d’une cartographie des risques et sur un dispositif de contrôle interne. Pourtant dans le rapport annuel sur le contrôle interne prévu à l’article 331-16 du code des assurances de la CIMA, il est dit, dans la deuxième partie dudit rapport notamment, qu’il doit faire mention « des procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les risques liés aux engagements de l'entreprise, ainsi que les méthodes utilisées pour vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque, de cession en réassurance et de provisionnement des engagements réglementés aux normes de l’entreprise dans ces domaines ».
De même, le règlement relatif LBC/FTP vise notamment à renforcer le rôle des organismes d’assurances dans le financement des économies des Etats membres de la Conférence en préservant leur solidité, leur stabilité et leur crédibilité, ainsi que la fiabilité du système économique et financier en général. Cette surveillance des risques dans le cadre du LBC/FTP doit être dédiée à une structure interne, qui peut être notamment la gestion des risques, la conformité ou l’audit interne si la taille de l’entreprise le justifie. Ce qui laisse croire implicitement que le régulateur CIMA encourage les compagnies à mettre en place un dispositif interne efficace pour la réduction des incertitudes.
- A l’ère du numérique, la digitalisation des activités est aujourd’hui définie comme une priorité stratégique pour les entreprises opérant dans le secteur de l’Assurance. Comment la fonction de Risk Management pourrait contribuer à anticiper et mitiger la survenance des risques innovants liés à l’utilisation de la technologie ?
Nous vivons dans un monde virtuel et de plus en plus digitalisé. Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, particulièrement celui des assurances, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transversales et représentatifs de l’interconnexion existante entre les différents métiers et acteurs (les intermédiaires d’assurance, entreprises partenaires, assurés particuliers, fournisseurs, prestataires, Etats etc.). Les risques liés à l’utilisation de la technologie sont robustes pour l’entreprise d’assurance, qui manipule des données sensibles et juridiquement protégées. Les systèmes d’informations des compagnies d’assurance centralisent des informations juridiques, comptables et financières, qui sont exposées à des vulnérabilités et des événements perturbateurs liés notamment aux défaillances technologiques, aux pannes de systèmes et aux cyber-attaques, l’espionnage, le sabotage, l’entrave au fonctionnement, et même l’atteinte à l'image de l’entreprise pour ne citer que ceux-là. Dans ce contexte, l’enjeu pour le risk manager est d’identifier tous ces risques liés à la transformation numérique, par la réalisation d’une cartographie des risques, afin d’y intégrer les différentes problématiques concernées, et notamment l’ensemble des risques qui pèsent sur l’utilisation des données, sur la sécurité SI et ceux liés à la conduite du changement.
Par ailleurs, la norme internationale sur la Sécurité de l'information, cyber sécurité et protection de la vie privée connue sous le vocable ISO/IEC 27001 : 2022 qui décrit les exigences en matière de Systèmes de management de la sécurité de l'information, doit être utilisée comme référence par le risk manager pour l’aligner sur les principes et les lignes directrices génériques fournis dans la norme ISO 31000 : 2018. Cependant, il doit travailler de concert et en parfaite collaboration avec les responsables des Systèmes d’Informations et des fonctions opérationnelles et stratégiques pour la mise en place des mesures de traitement efficace et un plan de continuation d’activité au niveau opérationnel et de déploiement stratégique au niveau du Directoire ou du Conseil d’Administration en cas de crise résultant aux défaillances liées à l’utilisation de la technologie. Tout ce qui précède montre que le système d’assurance traditionnel doit se réinventer en intégrant cette nouvelle fonction de risk management dans le dispositif de contrôle interne des compagnies d’assurance pour pouvoir répondre à ces nouveaux enjeux et défis, notamment ceux des risques dits « émergents ».
Lejecos Magazine
Accueil
Envoyer à un ami
Version imprimable
Partager
