Gestion stratégique du risque – L’objectif passé et futur de la GRE
par Dave Ingram
Gestion du risque, décembre 2023
Il y a près de 20 ans, lorsque j’aidais S&P à créer ses premiers critères de notation pour les programmes de gestion du risque d’entreprise des assureurs, nous avons utilisé ce tableau pour illustrer notre vision de la GRE des assureurs.
Au sommet de la structure de GRE se trouvait la gestion stratégique du risque. Dans un article paru en 2006 dans le présent numéro, j’ai décrit la gestion stratégique du risque comme suit :
La gestion stratégique du risque est le processus qu’un assureur utilise pour intégrer des idées au sujet du risque, de la gestion du risque et du rendement du risque aux processus décisionnels stratégiques de l’entreprise. Le capital de risque est habituellement un concept clé de ces processus. L’analyse de la gestion stratégique du risque par Standard & Poor’s débute par la compréhension du profil de risque de l’assureur et par l’obtention d’explications de la direction sur les raisons qui motivent les changements apportés récemment au profil de risque, et sur les changements futurs prévus. Le profil de risque peut être exprimé en termes de capital pour divers risques ou pour chacun des secteurs d’activité de l’assureur. Les assureurs pourraient également être en mesure d’exprimer leur compréhension des éléments sensibles de ce profil de risque au point de vue temporel et de la tolérance aux pertes liées aux mesures utilisées. Standard & Poor’s examine la méthode utilisée pour répartir tout avantage de diversification intégré au profil de risque et l’incidence du choix de cette répartition sur les décisions stratégiques prises à l’aide du capital de risque.
Les processus stratégiques qui pourraient être touchés par la réflexion sur les risques et la gestion des risques comprennent la budgétisation des immobilisations, la répartition stratégique des actifs, les normes de risque et de récompense liées aux produits, les cibles financières ajustées en fonction des risques, la mesure du rendement, les pratiques relatives aux dividendes et la rémunération au rendement. La mesure dans laquelle le capital de risque est essentiel à ces processus et dans laquelle le risque et la gestion du risque sont pris en compte dans ces processus témoigne de la qualité de la gestion stratégique du risque.[1]
À l’époque, pour obtenir la cote de GRE Excellent de S&P, un assureur devait prouver comment il appliquait une version de la gestion stratégique du risque. Mais seulement environ 15 % des assureurs pratiquaient la gestion stratégique du risque.
Passons maintenant à 2023. Nous avons mené un sondage [2] dans lequel nous demandions aux responsables de la gestion du risque auprès d’un assureur de nous indiquer lesquels parmi les différents objectifs de GRE énoncés dans une liste étaient les plus importants pour leur société. La liste provenait de l’examen de quelque 60 énoncés de propension à prendre des risques que nous avons recueillis à la fin des années 2010.
Objectifs de la GRE |
Score[3] |
1. Cerner, mesurer et surveiller les risques |
76 |
2. Harmoniser les risques et la stratégie |
68 |
3. Maintenir la diversité de la société – éviter la concentration des risques et viser l’équilibre entre les risques |
67 |
4. Transparence de l’acceptation et de l’atténuation des risques – Rapports |
63 |
5. Cohérence de l’acceptation et de l’atténuation des risques – Gestion/contrôle |
55 |
6. Adaptabilité/résilience – préparation en vue de la prochaine crise ou du prochain sinistre majeur |
52 |
7. Assurer la conformité aux exigences des organismes de réglementation et des agences de notation |
52 |
8. Participer à la planification stratégique et à la prise de décisions |
49 |
9. Jouer un rôle important dans la gestion du capital |
47 |
10. Obtenir de meilleurs résultats pour les risques acceptés |
38 |
11. Veiller à ce que les prix de l’assurance vendue correspondent aux risques acceptés |
37 |
12. Soutenir la croissance et l’innovation |
25 |
Ce n’était pas le classement auquel je m’attendais. Mais après réflexion, j’ai décidé que ce ne devrait pas être aussi surprenant. Il convient de noter que les objectifs 9, 10 et 11 correspondent le mieux à la gestion stratégique du risque.
Ce qui n’a pas été dit jusqu’à présent, c’est que les travaux de gestion stratégique du risque constituent la partie actuarielle la plus intense de la GRE pour les assureurs. Ils dépendent dans une très grande mesure de modèles actuariels très sophistiqués. Lorsque je travaillais pour la première fois auprès de S&P sur la définition de la gestion stratégique du risque, de nombreux actuaires, s’ils avaient été interrogés, auraient déclaré que la gestion stratégique du risque ÉTAIT la GRE.
Je dirais que les priorités d’un assureur en matière de GRE sont façonnées par quatre éléments principaux :
- La mesure dans laquelle la direction générale et le personnel chargé de la gestion des risques comprennent les concepts qui sous-tendent la gestion des risques, en particulier l’importance des idées rattachées au risque statistique et à l’incertitude qui peut être appliquée aux risques lorsqu’un grand volume de données d’expérience est disponible. De plus, la connaissance des outils et des techniques mis au point pour appliquer ces concepts afin de gérer les risques d’un assureur.
- Les attentes de la direction générale et du personnel chargé de la gestion des risques quant au niveau d’incertitude à court terme. Ces attentes sont habituellement établies en fonction de l’expérience récente et de la mesure dans laquelle les choix au sujet des stratégies d’entreprise antérieures se sont révélés exacts. Les attentes relatives à la puissance des pratiques de GRE pour déterminer la réussite future (ou l’évitement de l’échec) constituent également un facteur important. La version la plus extrême de ce facteur porte sur la situation où un modélisateur constate que même lorsqu’il semble disposer d’un ensemble de données suffisamment important pour étalonner un modèle, les changements au chapitre du contexte rendent ce modèle moins prédictif que nécessaire.
- Les commentaires susmentionnés liés à des forces extérieures comme le processus de S&P pour l’évaluation de la GRE. Les attentes relatives à la réglementation font également partie de cette catégorie.
- La stratégie de l’assureur, plus particulièrement les attentes en matière de croissance.
Le nombre élevé de combinaisons des quatre éléments susmentionnés représente l’une des principales raisons pour lesquelles il existe autant d’approches différentes en matière de GRE. Réfléchissons à la façon dont l’intérêt pour la gestion stratégique du risque (GSR) pourrait être réduit pour chaque élément :
- Compréhension—De nombreuses équipes de gestion non techniques ne comprennent pas tout à fait les concepts ou les outils de la GSR et, dans la mesure où elles les comprennent, elles ne les aiment souvent pas. On répète souvent que le modèle de risque aurait préséance sur le contrôle du processus décisionnel de la direction de la société. Dans les quelques cas où cela a été permis, le modèle a poussé la société à prendre trop de risques qu’elle avait sous-estimés[4].
- Incertitude—À l’heure actuelle, les attentes sont très incertaines. La COVID a contrecarré les plans de tous les intervenants et plusieurs attendent que les choses reviennent à la normale. Mais la guerre en Ukraine et maintenant en Israël maintiennent un niveau élevé d’incertitude pour presque tous et chacun. Dans ce contexte de grande incertitude, même si elle est plus perçue que réelle, rares sont ceux et celles qui veulent s’appuyer davantage sur des projections modélisées, surtout au sujet des sinistres extrêmes habituellement un peu incertains qui représentent le point de mire habituel des modèles de risque.
- Forces extérieures—se sont toutes distancées de la GSR ou ne l’ont jamais appuyée. S&P a réduit l’importance de ses évaluations de la GRE et d’autres agences de notation et organismes de réglementation n’ont jamais appuyé le concept de la GSR. Entretemps, la pression des organismes de règlementation exercée sur la gestion du risque s’est accrue, faisant de la GRE un exercice de conformité.
- Stratégie des assureurs—Souvent, les assureurs qui s’attendent à une forte croissance ne s’intéressent pas à de grands nombres d’analyses techniques et la GSR s’inscrit dans ce courant. Au cours des quelques décennies qu’a duré la Grande modération, des approches hautement analytiques ont été élaborées et perçues comme un soutien efficace à l’élaboration de la stratégie des assureurs.[5] Les assureurs ayant des attentes élevées en matière de croissance cherchent à maximiser les profits, tandis que la GSR cherche à optimiser le rendement au plan des risques acceptés, ce qui constitue probablement une approche très différente.
Compte tenu de ces idées, examinons les 12 objectifs de la GRE.
12. Soutenir la croissance et l’innovation – Il s’agit de l’objectif de GRE souvent mentionné par les chefs de la gestion du risque (CGR) dans les années qui ont précédé la crise financière mondiale. La croissance était le principal objectif de la société; pour qu’un gestionnaire de risques soit pertinent, il devait appuyer la croissance.
11. Veiller à ce que les prix de l’assurance vendue correspondent aux risques acceptés – Il s’agit d’un autre objectif de la GRE qui devrait être important dans une phase de forte croissance (rationnelle). Mais parfois, de telles phases ne sont pas tout à fait rationnelles.
10. Obtenir de meilleurs résultats pour les risques acceptés – Il s’agit de l’objectif central de la GSR. Souvent, la gestion des risques s’y emploie en aidant à trouver des moyens de réduire le risque sans nuire sensiblement aux rendements.
9. Jouer un rôle important dans la gestion du capital – Ce rôle pourrait être celui de personne-ressource dans un processus de budgétisation du capital, dans le cadre duquel les décisions finales reposent souvent sur le rendement du capital. Les affectations de capital par l’équipe de gestion des risques en sont la clé. La détermination de l’impact quantitatif de la diversification représente l’aspect le plus difficile de ce rôle, tant sur le plan de l’exécution que de l’explication.
8. Participer à la planification stratégique et à la prise de décisions – Non seulement le CGR est-il présent dans la salle, mais on s’attend à ce qu’il participe à la discussion et qu’il joue un rôle clé dans le suivi des discussions de planification dans les situations où on demande aux unités opérationnelles de modifier les plans d’une manière qui sera validée par la fonction de gestion des risques.
7. Assurer la conformité aux exigences des organismes de réglementation et des agences de notation – Il s’agit de l’objectif que nous avons le plus souvent entendu au fil des ans. Les exigences des agences de notation et des organismes de réglementation sont importantes et elles fournissent beaucoup de travaux à l’appui. Toutefois, de nombreux CGR expérimentés ont admis que l’information sur la gestion des risques créée pour satisfaire une entité extérieure est rarement utilisée par la direction pour orienter des décisions importantes.
6. Adaptabilité/résilience – Préparation en vue de la prochaine crise ou du prochain sinistre majeur – Cet objectif est nouveau pour plusieurs; il a été élaboré à la suite de la pandémie de COVID-19. Cet événement nous a tous montré comment un élément inattendu peut sembler sortir de nulle part et tout bouleverser. En rétrospective, une plus grande capacité d’adaptation et de la résilience auraient permis de se rapprocher des concurrents qui ont connu un lent départ.
5. Cohérence de l’acceptation et de l’atténuation des risques – Gestion/contrôle – Il s’agit d’un rôle important que les gestionnaires des risques n’aiment habituellement pas jouer, car cela les rend souvent impopulaires auprès des gestionnaires de la société. Le modèle des trois lignes de défense en GRE délègue cette activité aux auditeurs. Mais que les gestionnaires du risque le veuillent ou non, il s’agit d’une activité hautement prioritaire pour bien des assureurs. Si ce rôle important est confié aux auditeurs, cela finira probablement par rendre la fonction de gestion des risques moins importante aux yeux de la haute direction.
4. Transparence de l’acceptation et de l’atténuation des risques – Rapports – Il s’agit d’une autre activité fondamentale de gestion des risques qui appuie l’idée du cycle de contrôle des risques. Les rapports sur l’acceptation et l’atténuation des risques comprendraient une comparaison de l’activité réelle et du plan de gestion des risques. Ce plan énoncera clairement les intentions concernant l’acceptation et les mesures d’atténuation des risques, conformément au plan d’activités, et les rapports sur les risques permettront de faire le suivi des activités réelles au regard de ce plan. Les limites de risque fournissent une approche systématique pour cerner les situations où le gestionnaire des risques doit attirer l’attention sur la prise de risques qui approche ou qui a largement dépassé le plan.
3. Maintenir la diversité complète de l’entreprise – éviter la concentration des risques et viser l’équilibre entre les risques – Bien que la diversification constitue la pierre angulaire du secteur des assurances, elle devient un impératif stratégique en période de chaos lorsque l’avenir semble moins prévisible. De nos jours, en attribuant une note si élevée à cet objectif, les assureurs semblent davantage se préoccuper de survivre à leurs risques que de les exploiter. L’intérêt pour cet objectif pourrait s’estomper lorsque l’environnement commencera à sembler plus stable.
2. Harmoniser les risques et la stratégie—Au moins la moitié des assureurs affirmeront qu’ils souhaitent que cette harmonisation figure explicitement dans leur énoncé de la propension à prendre des risques. Dans le cas d’un programme de GRE qui produit une mesure fiable et cohérente du risque, un assureur peut créer un profil de risque qui permet ensuite aux planificateurs de la société de voir si les priorités du groupe correspondent au profil de risque et si la croissance du risque appuie les priorités les plus élevées ou des projets à risque élevé et peu prioritaires.
1. Cerner, mesurer et surveiller les risques – Tout doit commencer quelque part et ce trio de pratiques de gestion des risques représente, à bien des égards, la meilleure façon de lancer un programme de GRE. Ces trois pratiques peuvent être ajoutées presque entièrement sans incidence sur les activités existantes de l’assureur. Toutefois, elles auront peu d’effet sur la prise de risque de la société; on ne pourra parler d’échec de la GRE si une société a choisi ces éléments comme principal objectif de GRE et subit encore des pertes à la fois démesurées et imprévues. Si vous choisissez cet élément comme principal motif/objectif/autre justification d’un nouveau programme de GRE, vous devez continuer d’examiner les éléments ci-dessus pour déterminer si un facteur que vous auriez pu songer ajouter à votre liste de priorités en matière de GRE aurait pu avoir une incidence plus importante.
Je vous conseille de demeurer aux aguets. Bien que la situation actuelle avec des niveaux élevés d’incertitude ne soit peut-être pas favorable, les choses changeront, probablement sans avertissement.[6] Le changement au chapitre des objectifs ne sera probablement pas entièrement précisé avant de devenir nécessaire. Le programme de gestion des risques doit être prêt pour une prochaine période où ces priorités devront changer et les activités devront suivre rapidement ce changement.
La gestion stratégique du risque reprendra de nouveau sa place.
Les faits énoncés et les opinions formulées dans le présent document sont ceux de chaque auteur et ne correspondent pas nécessairement à ceux de la Society of Actuaries, des rédacteurs du bulletin ou des employeurs des auteurs..
David N. Ingram, CERA, FRM, PRM, FSA, MAAA, est conseiller principal, rédacteur et expert-conseil à temps partiel en matière de risque et de gestion du risque. Il rédige et fait fréquemment des présentations sur la GRE lors de programmes actuariels et du secteur de l’assurance. Dave est également membre élu du Conseil de la SOA. On peut le joindre à dingram@actrisk.com.
Note en fin de texte
[1] Standard & Poor’s Enterprise Risk Management Evaluation of Insurers. Risk Management, Mars 2006 https://www.soa.org/globalassets/assets/library/newsletters/risk-management-newsletter/2006/march/rmn0603.pdf
[2] Why Insurers Do ERM, Strategies & Risk Solutions for Executives, 3Q2303 Issue 7. https://www.actrisk.com/wp-content/uploads/2023/08/ARM-SRSE-Issue7.pdf
[3] Le sondage présente deux des 13 objectifs de GRE à la fois et demande au répondant de préciser celui qui était le plus important. La note est déterminée en fonction du pourcentage de fois où chaque objectif individuel est choisi comme étant le plus important. Cette question du sondage a fait l’objet de plus de 1 200 réponses de la part de 70 répondants.
[4] Risk and Light, Risk Management. Mars 2010 https://www.soa.org/493555/globalassets/assets/library/newsletters/risk-management-newsletter/2010/march/jrm-2010-iss18-ingram.pdf
[5] The Fabric of ERM, The Actuary. Décembre 2010 https://www.soa.org/493564/globalassets/assets/library/newsletters/risk-management-newsletter/2011/march/jrm-2011-iss21-ingram.pdf
[6] Changing Seasons of Risk Attitudes, The Actuary. Février 2011 https://www.soa.org/globalassets/assets/library/newsletters/the-actuary-magazine/2011/february/act-2011-vol8-iss1-ingram.pdf