Les régulateurs forcent les assureurs à revoir l’évaluation de leurs risques

Les contraintes nouvelles imposées aux institutions financières en matière de gestion de capital forcent les assureurs à revoir leur processus d’évaluation du risque. Deux gestionnaires de risque affirment leur nécessaire indépendance à l’égard des activités quotidiennes au sein de leur entreprise.

Lors d’un récent panel tenu à Québec et organisé par la firme de consultation KPMG, Marthe Lacroix, vice-présidente principale aux affaires financières, immobilières et infrastructures à La Capitale, et Jean-François Lafond, directeur principal, gestion de risques en assurances au Groupe Desjardins, ont présenté les particularités de leur organisation en matière de gestion de risque. Ils ont aussi fait le point sur l’implantation des nouvelles règles.

À la suite de la crise financière de 2008, les autorités règlementaires ont ajouté des contraintes plus sévères aux assureurs en matière de gestion de risque et de solvabilité. La ligne directrice sur l’évaluation interne des risques et de la solvabilité (processus ORSA, pour Own Risk and Solvency Assessment) a été publiée à la fin de 2012 par le Bureau de surintendant des institutions financières (BSIF).

Les assureurs canadiens à charte fédérale y sont soumis depuis 2014. Au Québec, les assureurs doivent produire leur rapport ORSA en 2015. Tous les risques doivent être évalués, incluant ceux liés aux assurances, au marché, au crédit, aux opérations. Le rapport doit aussi présenter les contrôles internes qui correspondent à chacun de ces risques. Jean-François Lafond précise que Desjardins Groupe d’assurances générales (DGAG) et Desjardins Sécurité financière (DSF) sont deux entités propres depuis 2009, lesquelles impartissent leur gestion de risque au Groupe. M. Lafond se rapporte au chef de la gestion de risque du Mouvement Desjardins. Un officier est nommé par le Groupe au sein des conseils d’administration des filiales en assurance. Son rôle est double. Il doit travailler avec les spécialistes en gestion de risques des différentes filiales, en fonction de leurs lignes d’affaires respectives. Il doit aussi fournir au Groupe une évaluation du niveau de risque d’assurance associé aux activités des filiales.

Le processus ORSA nécessite la participation de plusieurs fonctions en gestion de risques, en actuariat et en finances, précise M. Lafond. Le régulateur impose aux assureurs de faire cet exercice à l’interne des besoins en capitalisation, et cette évaluation doit aussi être faite par segments afin de mesurer la totalité du risque, en incluant les simulations de crise.

M.  Lafond note que le modèle de gestion de risque chez Desjardins est celui des « trois lignes de défense ». Chaque segment est responsable des risques associés à ses activités. La ligne directrice de l’Autorité des marchés financiers est claire à cet égard, dit-il. Chez DSF, on prévoit publier un premier rapport ORSA en 2015. Dans le cas de DGAG, trois de ses filiales sont déjà couvertes par la ligne directrice du BSIF.

Chez Desjardins, l’évaluation interne des besoins en capitaux est en cours. La compréhension des besoins en capitaux pour bien couvrir le risque associé aux divers segments d’affaires est un exercice en soi, indique M. Lafond. L’harmonisation de cette évaluation des risques avec l’approche du BSIF permet d’évaluer le degré de maturité des produits et des modes de gestion. Pour M. Lafond, la valeur ajoutée du processus ORSA viendra avec l’état d’avancement des travaux et l’énumération des améliorations requises.

Jean-François Lafond exprime de l’inquiétude à propos de la cybersécurité. Selon lui, celle-ci doit s’étendre aux fournisseurs des assureurs. « Il faut savoir quel sera l’impact sur nos activités si ce sont nos fournisseurs qui sont attaqués et se trouvent dans l’impossibilité de faire leur travail », dit-il.

Gérer les risques pour localiser les problèmes

Marthe Lacroix présente les six filiales de la Capitale, trois en assurance de personnes et trois en assurance de dommages, lesquelles partagent des services à l’échelle du groupe. Le modèle de gestion de risque permet de localiser les problèmes tout en évitant de les dupliquer lors de la compilation des risques par segments. L’équipe responsable s’occupe de la préparation des rapports et de la formation des gestionnaires et administrateurs.

Les risques sont subdivisés en neuf catégories et l’approche de gestion est distincte pour chacun d’eux, précise M^me Lacroix. Les risques opérationnels et la capacité de mise en œuvre de la stratégie sont évalués à l’interne, et l’on s’assure que les mesures de contrôle sont adéquates.

Depuis 2009, le comité consultatif était au sommet de la hiérarchie chez La Capitale, précise M^me Lacroix. Ce comité permettait au conseil d’administration d’assurer l’adéquation entre la gestion de risques et la gouvernance de l’assureur. En 2014, le comité a évolué pour devenir un véritable comité de gestion de risques classique chez les entités mutualistes.

Selon elle, le comité consultatif peut désormais aller plus en profondeur, sans être tenu de suivre un ordre du jour structuré. En 2014, on y a discuté de l’impact des réseaux sociaux sur le risque de réputation et de la surveillance du risque cybernétique. Le comité rend des comptes au conseil d’administration, dans le respect du cadre règlementaire, et il peut aussi former les membres du conseil. M^me Lacroix précise que les pratiques commerciales relèvent du comité de déontologie.

Le comité de gestion de risque a établi une politique d’indépendance et un code d’éthique. La gestion des conflits d’intérêts est aussi l’objet d’une politique distincte dans l’organigramme de l’assureur. S’il y a conflit d’intérêts, M^me Lacroix a accès au conseil d’administration et peut discuter à huis clos, en l’absence des directeurs concernés, pour présenter son point de vue. 

La direction doit avoir le recul nécessaire à l’égard des enjeux opérationnels, dit-elle. À l’échelle décisionnelle, l’équipe responsable de la gestion de risque n’est pas mêlée aux questions touchant les opérations financières et les activités quotidiennes.

M^me Lacroix répète que les responsables de la gestion de risque doivent avoir un accès privilégié au conseil d’administration. « Nous ne sommes pas là pour répéter ce que dit la direction ou l’actuaire en chef. » La quantification du risque est un exercice compliqué, même pour un assureur de taille moyenne, dit-elle.