européennes pour mener à terme l’ensemble des chantiers si elles souhaitent obtenir la validation du dispositif par le régulateur avant le 31 octobre 2012. Ce laps de temps, relativement court, doit inciter les compagnies françaises à considérer enfin tous les aspects de la réforme et combler le retard qu’elles ont pris par rapport à leurs homologues anglais, allemands ou suisses.
Introduction
Le texte final de la directive Solvabilité II a été adopté par le Parlement européen, réuni en session plénière, le 22 avril 2009. Cette approbation constitue le premier niveau du processus Lamfalussy, retenu pour mettre en œuvre la réforme ; il est désormais prévu de préciser les mesures d’application (niveau 2), de transposer la directive dans chacun des états membres (niveau 3) et, pour finir, de contrôler la correcte application du texte original (niveau 4). En juin 2009, les différentes étapes au cours desquelles seront précisées les mesures d’application ont été présentées par la Commission. La date d’entrée en vigueur de la réforme n’ayant pas été repoussée[1], les compagnies d’assurance européennes ont désormais trois ans pour non seulement se conformer au nouveau cadre législatif mais aussi démontrer au régulateur que les dispositifs mis en place sont pertinents, pérennes et maîtrisés. Ainsi, si l’on anticipe d’éventuels effets d’encombrement et de congestion, cela implique que les compagnies devront être en mesure de solliciter le régulateur dès janvier 2012 pour obtenir son assentiment.
Jusqu’à aujourd’hui, les assureurs français se sont focalisés sur le pilier I
Alors que ses préconisations faisaient jusque là l’objet d’un consensus plutôt favorable, le CEIOPS a essuyé cet été de nombreuses et vives critiques, à l’issue de la deuxième vague de Consultation papers. Les acteurs du secteur ont en particulier accusé le comité de sacrifier l’esprit de la réforme au bénéfice d’un renforcement du capital à détenir et reproché le manque de justification de cet accroissement des exigences. Les associations regroupant les compagnies d’assurance anglaises[2], allemandes[3] voire transnationales[4] ont toutes dénoncé la brusque radicalisation des positions du CEIOPS dans laquelle ils ont vu une réaction aux turbulences qui ont agité les marchés financiers plutôt qu’une réponse à une insuffisance des réserves détenues par les assureurs. L’intense lobbying déployé depuis vise essentiellement à obtenir un assouplissement des règles comptables, une évolution de la classification des actifs, une modification des pondérations intervenant dans les différents modules du SCR, etc. S’il a pour partie porté ses fruits, les relations entre le CEIOPS et les assureurs s’étant considérablement détendues, il n’en a pas moins détourné l’attention d’autres aspects de la réforme, tout aussi complexes et coûteux.
La focalisation de l’attention sur les aspects quantitatifs du texte s’explique d’autant mieux que les compagnies d’assurance sont conscientes que le traitement des risques fait partie intégrante de leur activité et qu’elles n’ont pas attendu la publication de Solvabilité II pour le faire. La gestion et la modélisation des risques auxquels elles sont confrontées sont ainsi au cœur même de leur activité, les équipes internes sont rompues et expertes tant en gestion financière qu’en risk management. En outre, ces mêmes compagnies connaissent et maîtrisent les problématiques inhérentes à la construction d’un modèle interne, qu’elles les aient rencontrées dans le cadre du calcul de l’Embedded Value ou de celui du capital économique. Pour alimenter ces modèles, pour réaliser les inventaires, elles ont dû s’assurer de la présence et de la fiabilité des données dans les systèmes financiers et comptables. Au surplus, la volonté de réduire les délais de clôture des comptes (Fast close) a conduit certaines entités à revoir les processus internes, identifier les zones d’amélioration, accroître la fiabilité des données, réduire les retraitements, etc. Enfin, la forme définitive de la réforme n’étant pas encore connu, certains préfèrent attendre de disposer de la copie finale avant de s’atteler à la mise en conformité.
Cet ensemble d’éléments permettent d’expliquer la relative sérénité des assureurs face à Solvabilité II. Pourtant, le texte adopté en avril permet d’identifier de façon détaillée les chantiers d’évolution à mettre en place et d’apprécier leur ampleur. Celle-ci sera loin d’être négligeable car les chantiers toucheront l’ensemble des fonctions des compagnies et pourront nécessiter des évolutions d’ampleur au niveau de l’organisation et des systèmes d’information. Ce périmètre très vaste nécessitera d’avoir constamment un pilotage et une coordination d’ensemble au plus haut de la compagnie. De plus, en termes de conduite de projet, la traditionnelle organisation en silos des assureurs (IARD, Vie, Santé…) devra être dépassée, que ce soit pour la constitution des dispositifs de calculs transverses des exigences en fonds propres ou pour la mise en place de l’organisation préconisée au titre du pilier II et du décret du 13 mars 2006.
A ce stade, il nous paraît intéressant de dresser un parallèle avec la réforme Bâle II : la complexité des chantiers et le niveau de transformation induits par Solvabilité II sont comparables à ceux auxquels les établissements bancaires ont dû faire face. Ce parallèle est en outre d’autant plus pertinent qu’il s’agit dans les deux cas d’une réforme réglementaire : le niveau de conformité à atteindre doit correspondre en tous points celui exigé par le régulateur. Les assureurs bénéficient ainsi d’un utile retour d’expérience de leurs confrères banquiers. Quels enseignements fournit-il ? D’une part, le coût de la mise en conformité à Bâle II a coûté aux grandes banques plusieurs dizaines de milliers de jours/homme, bien plus que les estimations chiffrées en début de projet. D’autre part, à mi-2009[5], toutes n’avaient pas finalisé leurs chantiers Bâle II. Autrement dit, les projets initiés dans le cadre de Bâle II ont été longs et coûteux. Ils ont en outre fait appel à de très nombreuses ressources.
Sans être fondamentalement alarmiste, ce constat doit inciter les compagnies d’assurance à dépasser les seules problématiques du pilier I et à envisager les volets organisationnel et opérationnel de la directive. Ces derniers ont été quelque peu négligés et relégués à un second temps, il est plus que temps, à moins de trois ans de la pleine application de la directive[6], de passer au « second temps » : comme le rappelle Patricia Plas, vice-présidente senior du groupe Aegon, l’un des points clé de la réforme est celui du respect du calendrier alors que les travaux à mener à terme sont nombreux et complexes[7].
Quel sera le coût de la réforme en Europe?
Sia Conseil estime que le coût de mise en conformité à Solvabilité II (SII) pour les cinq plus grands marchés européens, qui représentent environ 80% de l’ensemble du marché, dépassera les 4,5 milliards d’euros.
Au-delà du pilier I
Les critères de validation du régulateur
Les premiers échanges avec le régulateur soulignent que son attention s’inscrira dans le droit fil de l’esprit de la réforme. Il portera ainsi son attention sur la possibilité d’auditer et de contrôler aisément les modèles, la documentation et le degré de maîtrise des utilisateurs finaux, la qualité des données utilisées, enfin, l’appropriation de la culture risque, par tous les niveaux du management, opérationnel ou stratégique. Une sophistication extrême de la modélisation, une technicité exacerbée seront certes prises en compte lors des validations mais ne seront ni déterminantes ni attendues. Pire elles se révèleront pénalisantes si elles empêchent les compagnies de se consacrer à d’autres aspects, notamment la gouvernance des risques. Aussi l’ACAM rappelle-t-elle à ceux qui s’orienteront vers une modélisation interne que l’approbation sera donnée à l’aune de la maîtrise, l’auditabilité et la robustesse du modèle ; seront appréciés les dispositifs fiables, pérennes, robustes et autocontrôlés.
Le pilier II
Nous l’avons dit, les compagnies d’assurance ont préféré attendre de parvenir au terme de l’étape de modélisation pour envisager et structurer les chantiers ayant trait à la gouvernance des risques (gestion interne des risques, qualité de la modélisation, ORSA, etc.) Pourtant, les problématiques liées et les écueils qu’elles rencontreront seront nombreux. Au titre du pilier II, les compagnies devront notamment mettre en place une entité dans laquelle toutes les fonctions de la gestion des risques seront centralisées. Cette entité aura la charge d’édicter les principes de gestion des risques, de les préciser et les approfondir dans des chartes. Elle devra en outre mettre en place les contrôles nécessaires à l’application de ces principes et garantir leur correcte déclinaison et leur bonne implémentation dans les process.
Le régulateur attend également des compagnies qu’elles fassent la preuve l’exhaustivité du périmètre de suivi et de contrôle des risques, quitte pour cela à faire évoluer les systèmes de contrôle interne. Les compagnies sont ainsi incitées à poursuivre les efforts qu’elles mènent pour développer et instiller la culture du risque ; elles devront continuer à collecter les pertes, formaliser les processus, mettre à jour les cartographies des risques et des contrôles, etc. Il est toutefois important de noter que les modalités définitives n’ont pas encore été arrêtées, le CEIOPS n’a pas exemple pas encore annoncé le niveau de granularité qu’il recommandera pour les dispositifs de maîtrise des risques.
Les compagnies devront également intégrer en amont les réflexions sur l’évolution des systèmes d’information afin d’anticiper les besoins et les demandes d’évolution (fonctions supplémentaires, montées de version, etc.) Dans le cadre de la validation, il leur sera également demandé d’assurer et de garantir la robustesse des systèmes via la mise en œuvre de dispositifs idoines. Enfin, elles devront certifier la traçabilité et l’auditabilité des données, en particulier dans le cadre des revues périodiques menées par le régulateur. Ce point sera particulièrement délicat pour les compagnies comptant différents systèmes d’information, pas toujours compatibles et issus d’un processus d’accumulation et d’empilement au fil du temps.
La qualité des données
La qualité des données constituera un point crucial pour obtenir l’approbation du régulateur, qu’il s’agisse de la validation d’un modèle standard ou de celle d’un modèle interne. Début juillet, le CEIOPS a proposé un Consultation paper dans lequel il rappelle les trois critères qu’il propose de retenir : les compagnies d’assurance devront mener leurs calculs, en particulier la détermination des provisions techniques, en s’appuyant sur des données pertinentes, exhaustives et précises. Dans le même temps, il précise les conditions qui permettront de recourir à des approximations (proxies, utilisation de données externes, approches au cas par cas, etc.) Les compagnies d’assurance vont ainsi être conduites à mettre en place des entrepôts de données voire adapter ou enrichir ceux dont elles disposent déjà. En outre, elles devront justifier que ces données sont être cohérentes avec celles utilisées par d’autres fonctions (comptabilité, contrôle de gestion, marketing, etc.) La réconciliation de données issues de sources différentes, souvent à l’origine de déconvenues, est une tâche facilement réalisable par le régulateur et peut très vite pénaliser et handicaper un dispositif, aussi sophistiqué fût-il. Les groupes souhaitant implémenter un modèle interne pour toutes les entités devront en outre s’assurer de la disponibilité et l’homogénéité des données au sein des différentes filiales. Si elles ne l’ont déjà fait, les compagnies seront conduites à mettre en place des référentiels de données et à les déployer dans les différents systèmes d’information qu’elle abrite. Selon nos estimations, le travail de collecte et de certification de la qualité des données représentera pas moins de 20% du coût total du projet. Il s’agit ainsi d’un aspect crucial du projet que le régulateur ne manquera pas d’auditer et que les compagnies d’assurance doivent s’approprier pleinement.
Alors que certains ne savent comment appréhender la problématique de qualité, il existe des méthodologies qui répondront à leurs besoins et aux attentes du régulateur. Les établissements bancaires ont par exemple adopté un processus itératif : une fois que les besoins en termes de données sont identifiés et précisés (étape 1), la qualité des données est évaluée (étape 2) sur la base de critères objectifs (complétude, niveau de granularité, pertinence, etc.), d’indicateurs de mesure et de jugements d’experts. Lorsque des problèmes sont détectés, les axes d’amélioration de la collecte, la consolidation et la validation des données sont identifiés (étape 3). Enfin, un dispositif d’évaluation et de contrôle de la qualité des données valide de manière périodique la pertinence et le caractère approprié de l’information utilisée.
Pour que ce processus soit efficace, il est nécessaire d’arrêter, fût-ce le temps de la première itération, le besoin en termes de données. Dit différemment, il ne sera pleinement efficace que si le modèle de calcul est arrêté, quitte à l’amender et le modifier ultérieurement.
Le calendrier s’accélère, les échéances se rapprochent. Les compagnies d’assurance doivent effectuer dès aujourd’hui les derniers choix structurants de modélisation et d’IT. Si elles préfèrent les remettre à plus tard, il leur sera difficile de justifier auprès du régulateur la stabilité attendue de leur dispositif. En outre, elles doivent envisager la réforme dans toute sa globalité et sa complexité afin de disposer d’une vision d’ensemble et de garantir la cohérence des dispositifs qu’elles élaborent. Elles seront alors à même de susciter la sensibilisation et l’adhésion du management, explicitement souhaitées par le régulateur. De manière globale, le marché français est en retard en termes d’avancement opérationnel par rapport aux marchés anglais, allemand ou suisse ; les différents acteurs ont maintenant deux ans pour mener à terme l’ensemble des chantiers, afin d‘obtenir la validation des dispositifs avant le 31 octobre 2012.
[7]“We didn’t realise the level of work in implementing the measures. Everyone understands the principles, but did not realise the level of detail needed to flesh these out. Getting the timing right is an important part of doing a good job with Solvency II – the industry needs to make sure the final product is as good as the founding principles” (Nous n’avons pas réalisé le travail à accomplir pour mettre en œuvre les mesures. Chacun comprend les principes mais personne n’est conscient du niveau de détail exigé. Respecter le calendrier est un élément important pour réussir un projet de type Solvabilité II – l’ensemble du secteur a besoin d’être sur que le produit final est aussi bon que les principes fondateurs). Déclaration le 7 octobre 2009 lors de la conférence Solvency II & risk management (Londres).
Tags :