Solvabilité II : du Contrôle Interne aux Risques Opérationnels

Avec l’arrivée de Solvabilité II, l’Autorité de Contrôle Prudentiel (ACP) devra cependant faire appliquer un cadre supplémentaire dont la principale nouveauté est la quantification économique de ces risques. Relativement simplifiée en formule standard, cette quantification est en revanche un processus beaucoup plus impliquant dans le cadre d’un modèle interne.
Aux vues des difficultés que ce dernier peut représenter, il s’agit donc de se demander dans quelle mesure la formule standard ne serait pas plus « appropriée » aux risques opérationnels…

La nouvelle définition des risques opérationnels

Le concept de risque opérationnel, bien qu’antérieur au cadre Solvabilité II, est pour autant traité dans plusieurs articles de la nouvelle directive européenne. La définition donnée à l’article 13[1]  décrit le risque par une perte potentielle suite à un disfonctionnement des process, des sytèmes, suite à une erreur humaine, ou encore à cause d’évènements externes. En revanche, elle exclut les risques provoqués par des décisions stratégiques ainsi que les risques liés à la réputation, qui sont tous deux traités exclusivement dans l’ORSA[2] .

Les risques opérationnels sont donc désormais considérés au même titre que les risques classiques d’assurance (Vie et Non vie), de crédit, marché, etc. dans la mesure où ils contribuent tout autant à répondre aux exigences en capital économique et s’intègrent dans une culture du risque à part entière.

Trois critères permettent d’identifier et de définir un risque opérationnel :

1. La cause menant à une perte,
2. Le type d’évènement qui s’est produit,
3. L’impact provoqué.

Inspirées de Bâle II, les causes les plus fréquentes sont celles liées aux processus internes, aux personnes ou encore aux systèmes informatiques. Cette première étape de classification permet ensuite de décrire un type d’évènement plus précis auquel sera également associé un type d’impact particulier.

Une fois identifiés, ces risques doivent cependant faire l’objet d’un pilotage allant au-delà du contrôle interne existant. Sous Solvabilité II, l’avancée majeure consiste en effet à évaluer financièrement l’impact de ces risques.
C’est finalement cette étape de quantification qui s’avère être la plus délicate à intégrer dans les dispositifs actuels de Risk Management.

Les difficultés du calcul de la charge en capital

Dans la formule standard proposée par l’Autorité Européenne des Assurances (EIOPA), les risques opérationnels correspondent à 3% du montant des réserves brutes.
En développant un modèle de calul interne, les assurances ont l’opportunité d’affiner cette mesure du risque.
Pour ce faire, un modèle de calcul stocchastique s’est imposé comme référence face au modèle déterministe de la Formule Standard. Celui-ci est basé sur une approche Fréquence / Coût destinée à objectiver les multiples paramètres d’un risque  opérationnel.

Une fraude interne, par exemple, a une chance de se matérialiser 1 fois tous les 7,7 ans, en prenant compte des hypothèses suivantes :

Cependant, il n’est pas simple de définir tous ces facteurs avec certitude et objectivité. Par exemple, comment justifier d’une efficacité d’un dispositif interne de l’ordre de 70%, ou encore de la probabilité de détecter une fraude en moins d’un an ?
Les données étant généralement discutables, de nombreux échanges ont lieu pour valider ces critères entre les différentes parties prenantes. Sans disposer de données historiques, il est en effet difficile d’estimer une fréquence, surtout quand celle-ci peut atteindre 1 fois tous les 20 ou 30 ans pour certains risques.

Une fois la fréquence estimée, il s’agit ensuite d’appréhender la sévérité du risque. A nouveau, tout indicateur mesurable, tels que les montants moyens de transfert ou les coûts unitaires,  sont intégrés dans le modèle aux côtés des taux standards de recouvrement par type d’évènement.
Dans le cas d’une fraude interne, ce dernier fluctue généralement entre 20% et 50%, selon la sévérité de l’acte. Ce paramètre constitue donc un « impact driver », qui permet de définir les différents scénarios d’intensité.
L’impact total est en effet évalué selon trois scénarios :

1. Le scénario typique qui apparait le plus probable, correspondant au « mode » de la distribution : 1 fois tous les 7,7 ans dans notre exemple
2. Le scénario sérieux qui apparait toutes les 5 occurrences (80e quantile de la distribution) : 1 fois tous les 38,5 ans dans notre exemple
3. Le scénario extrème qui apparait toutes les 20 occurrences (95e quantile de la distribution) : 1 fois tous les 154 ans dans notre exemple

Enfin, après avoir estimé d’un côté la fréquence, et de l’autre la sévérité, de nombreuses lois mathématiques permettent de projeter les deux distributions afin d’aboutir à la Value-at-Risk (VaR) qui servira de référence. Encore s’agit-il de savoir lesquelles …

Projections de la fréquence et la sévérité des risques opérationnels :

L’intérêt du Modèle Interne ne se justifie pas pour tous

Cette approche en modèle interne présente donc plusieurs obstacles. Mise à part la technicité du calcul par distribution mathématique, le facteur déterminant dans le choix d’un modèle interne est de savoir si la mesure finale est plus « appropriée », selon les propres termes de la directive.
Or, le temps passé à justifier toutes les hypothèses n’est pas un indicateur de fiabilité pour autant. L’approche de quantification étant relativement nouvelle, les modélisations ne sont pas encore toutes éprouvées, et certaines pourraient avoir du mal à le devenir. La frontière du risque opérationnel est en effet tellement perméable qu’il n’est pas évident de distinguer les causes et les effets des différents évènements.

De plus, un processus aussi étoffé d’identification et de segmentation de ses risques opérationnels peut faire émerger  des redondances avec les autres risques « bilanciels ». Les impacts étant souvent similaires (e.g. mauvaise estimation des réserves, risque accru de contrepartie), la distinction avec les risques de déviation des réserves et risques de crédit est la plus délicate à justifier. Pour autant, de nouveaux risques sont sans cesse détectés lors des étapes de validation interne, tant qu’aucune limitation ne vient encadrer une imagination débordante.

Au-delà de ces difficultés, l’exercice, réalisé dans le cadre d’un modèle interne, de quantification détaillée des risques opérationnels n’aboutit pas toujours à une charge en capital significativement inférieure à celle obtenue en formule standard. En effet, dans le cas d’une compagnie de taille moyenne, le capital économique atteint rapidement des niveaux comparables à ceux de QIS 5 en formule standard. Dès lors, est-il vraiment utile de passer autant de temps à valoriser des risques aussi rares ?
L’avantage principal d’un modèle interne réside sûrement plus dans la mobilisation qu’il implique au sein de multiples équipes opérationnelles. Cela permet également de mettre en place un dispositif complet de pilotage des risques opérationnels, allant de la collecte des pertes réelles jusqu’à la définition d’indicateurs mesurables de risque. Mais pour cela, il n’y a pas besoin de modélisation particulière.
Sia Conseil

[1]DIRECTIVE 2009/138/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, Section 3, Article 13 (33): http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:335:0001:0155:EN:PDF
[2]ORSA, Own Risk and Solvency Assessment : Ce nouveau rapport exigé par la directive Solvency II regroupe tous les aspects quantatifs et qualitatifs qui permettent de démontrer la pleine maitrise et compréhension des risques portés