WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La conformité dans l'activité d'assurance. Une question d'intégrité et/ou de bonne gouvernance d'entreprise.


par Lotfi FRIDHI
Ecole supérieure privée d'assurance et de finance - Master Professionnel 2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

B : L'élaboration de la cartographie des risques

Sachant que l'élaboration de la cartographie des risques est une démarche qui se compose d'un ensemble d'étapes, nous estimons qu'un passage obligé ou non par toutes ces étapes n'est pas un objectif en soi. Toutefois, la cartographie des risques, de par sa nature de document descriptif, doit ressortir les risques (I) et les éléments de maîtrise (II) pour pouvoir donner par la suite une cotation objective (III).

I. Identification des risques

Généralement les entreprises d'assurances ou de réassurance sont exposées à quatre grandes familles de risques : les risques financiers, les risques d'assurances, les risques opérationnels et les risques stratégiques, de réputation et environnementaux. S'agissant des risques de non-conformité, il est à préciser qu'il s'agit principalement d'un sous-ensemble des risques opérationnels.

Considérée comme la première étape, l'identification des risques cherche à définir les risques « brut »60 c'est-à-dire les risques intrinsèques ou inhérents aux processus indépendamment des mesures de mitigation et de contrôle mis en place. Et pour être efficace, l'identification des risques nécessite deux prérequis, à savoir, le référentiel des processus61 et le référentiel réglementaire.

Pour son objet, l'identification des risques consiste à recenser l'ensemble des risques de non-conformité inhérents à différentes activités de l'entreprise, définir leurs foyers et localiser les points de vulnérabilité de l'entreprise.

Dans la pratique, il s'agit de dresser une liste de tous les risques de non-conformité aux quels l'entreprise fait ou peut faire face. L'architecture de cette liste doit révéler un nombre de niveaux pouvant aller à cinq ou même à six, avec chaque niveau exprime la déclinaison du niveau précédent. L'ensemble de ces niveaux reflète le niveau de la granularité retenu par l'entreprise.

Le premier niveau ce n'est que la famille des risques opérationnels, il est donc commun à toutes les entreprises, tandis que les autres niveaux expriment en quelque sorte les spécificités de chaque entreprise.

60 Par opposition à la notion du risque « Net » qui correspond au niveau du risque après avoir être traité en mettant en place les mesures d'atténuation et de contrôle adéquates.

61 (Processus métiers, processus supports et processus managériaux).

Après avoir listé les risques d'une manière arborescente, il est nécessaire de les qualifier62 et de détailler leurs causes et conséquences63, puis enfin, les rattacher aux processus pour pouvoir déployer au mieux les éléments de maîtrise.

L'ensemble des risques recensés doivent faire l'objet d'une évaluation en mesurant le niveau de leur criticité en terme d'impact (perte éventuelle en unités de valeur) et le niveau de leur criticité en terme de fréquence (l'occurrence possible en une année) (moyen, élevé et certain)

II. Evaluation des éléments de maîtrise de risques

La deuxième phase de la démarche de l'élaboration de la cartographie des risques consiste à identifier les composants du dispositif de contrôle interne dans son globalité et évaluer les éléments dédiés aux risques de non-conformité afin de déterminer les risques nets ou résiduels.

En fait, le dispositif de maîtrise des risques regroupe plusieurs éléments qui visent à réduire l'exposition aux risques et qui sont soit de nature préventive agissant sur les causes pour réduire la probabilité d'occurrence soit de nature curative agissant sur les conséquences pour réduire l'impact.

Parmi les éléments composants du dispositif de maîtrise de risque on peut citer : > Le manuel de procédures, méthodes, normes et règles de gestion.

> Les structures de contrôle permanent de premier et de deuxième niveau.

> Les outils de pilotage et de reporting comme les indicateurs de risques, les tableaux de bord...

> Audit interne et externe.

> Habilitation, qualification et formation des ressources humaines. > L'organigramme, fiche de poste.

Dans la pratique la rigidité/flexibilité du dispositif de maîtrise de risques reflète l'appétence pour le risque (généralement formulée quantitativement et qualitativement) comme elle est définie par les organes de gouvernance et de direction.

Le rôle des éléments de maîtrise se manifeste pratiquement dans la gestion quotidienne de l'entreprise64 et consiste dans l'encadrement de la prise de risque en fixant les seuils de tolérance

Une fois listés dans un document référentiel, les éléments de maîtrise doivent faire l'objet d'une évaluation rigoureuse, il faut interroger le dispositif de contrôle mis en place et vérifier s'il est formalisé65 ? S'il est supervisé66 ? S'il est pertinent67 ? S'il est efficace68 ?

62 Attribuer à chaque risque une nomenclature adéquate.

63 Définir les causes et déterminer les conséquences ça va servir de base pour quantifier la fréquence et l'impact et construire les matrices inhérentes.

64Exemple : La politique de souscription définie les produits autorisés à la vente, ou les conditions de souscriptions acceptables, ou les engagements maximaux.

57

Bien que le dispositif de contrôle doit être formalisé, supervisé, pertinent et efficace, il est à noter que seules l'efficacité et la pertinence sont considérées comme échelles pour l'évaluation de sa performance.

L'évaluation du dispositif de contrôle et les éléments qu'ils le composent et au coeur de l'élaboration de la cartographie des risque dans la mesure où elle permet le profilage des risques nets.

Figure 5 : Matrice d'évaluation des éléments de maîtrise des risques

65 La formalisation consiste à élaborer un plan de contrôle détaillant l'objet de contrôle et son étendue ainsi que son niveau, sa périodicité et les personnes en charge.

66 La supervision désigne la nomination d'un responsable pour assurer l'exécution et la continuité du contrôle et par conséquent la fiabilité des résultats à remonter.

67 La pertinence réside dans l'application stricte des directives du plan de contrôle d'une part et dans la mobilisation des moyens adéquats pour l'exercice du contrôle d'autre part, la pertinence renvoie à l'adéquation du contrôle par rapport son objet.

68 L'efficacité désigne la capacité du dispositif de contrôle à détecter les incidents, à filtrer les risques et rejeter ceux qui dépassent les seuils de tolérance acceptés par l'entreprise, l'efficacité renvoie à la bonne application du contrôle.

58

III. La cotation des risques

Au départ, l'évaluation des risques consiste en une analyse qualitative dont l'objet est d'identifier et de décrire les trois facteurs suivant : les causes des risques, le dispositif de maîtrise et les conséquences.

Comme expliqué plus haut, en entend par cause, l'élément générateur direct de l'évènement nuisible et par dispositif de maîtrise, l'ensemble des éléments (procédures, systèmes, indicateurs de suivi et autres) mis en place afin de réduire l'occurrence de l'évènement de risque et de limiter les impacts en cas d'occurrence.

La conséquence est un effet consécutif à l'occurrence de l'évènement générateur de risque. Elle peut être définie quantitativement ou qualitativement.

Une fois ces trois facteurs sont bien identifiés et analysés, des échelles d'évaluation doivent être établies et mises en place pour pouvoir concevoir par la suite les matrices relatives à :

? La criticité : les deux paramètres de la criticité sont la fréquence et la gravité des risques. D'habitude chaque paramètre se manifeste sur quatre à cinq niveaux comme illustrée dans la matrice suivante :

Figure 6 : Matrice de criticité

59

? L'évaluation des risques bruts : Il s'agit de hiérarchiser les risques et de les classer dans des catégories selon les degrés de leur criticité (voir la matrice de criticité)

? La performance du dispositif de contrôle et les éléments de maîtrise de risques afférents : c'est-à-dire la capacité du dispositif à contrôler et à maîtriser les risques (voir la matrice d'évaluation des éléments de maîtrise)

? L'évaluation des risques nets : il s'agit mesurer les risques résiduels ou les risques persistants après mise en oeuvre des éléments de maîtrise, cette évaluation consiste dans la combinaison de la performance du dispositif de maîtrise et le risque brut.

Figure 7 : Matrice d'évaluation du risque net

Bien que ces matrices visent au final à quantifier l'impact des risques sur l'activité de l'entreprise et à évaluer la perte financière qui en résulte, il importe de souligner que la cotation des risques d'image semble difficile voire même impossible, c'est un risque non quantifiable notamment pour le paramètre « impact ». Face à cette limite, nous qualifions d'indispensable l'enrichissement de la cartographie en signalant chaque risque présentant en plus de l'impact financier un risque de réputation.

Relevant de la démarche de gestion des risques, la cartographie des risques est un outil indispensable pour mener au mieux la gouvernance de l'entreprise d'assurances. Elle permet d'une part le partage d'un même référentiel de risques afin d'unifier la perception des risques et leur évaluation par l'ensemble du personnel et d'autre part l'amélioration du reporting et de la communication en donnant la possibilité de visualiser en temps réel des risques. En tant que

60

telle, la cartographie des risques est un outil de mise en conformité qui peut agir positivement sur la perception de l'image de l'entreprise par l'ensemble des parties prenantes. Son intérêt est loin d'être un simple recensement et évaluation d'un ensemble d'évènements préjudiciables, son rôle de levier de performance doit être appréhendé et confirmé dans la prise des décisions stratégiques et dans la gestion quotidienne des activités de l'entreprise.

En conclusion de ce chapitre nous tenons à rappeler que la conformité est définie comme l'ensemble des processus qui permettent d'assurer le respect des normes applicables à l'entreprise par ses parties prenantes, mais aussi des valeurs et d'un esprit éthique insufflé par les dirigeants. C'est aussi, et surtout, une action proactive qui vise à organiser les procédures et les moyens nécessaires au respect de la réglementation par l'entreprise d'assurances ou de réassurance. Elle est donc un sujet multidimensionnel.

Ce sujet soulève ainsi de nombreuses interrogations chez les dirigeants. Comment les nouvelles obligations vont-elles impacter les entreprises dans leur organisation, leur gouvernance et leur business model ? Comment faire de la compliance un outil de performance économique et de compétitivité ? Quels rôles le responsable conformité et son équipe vont-ils endosser pour accompagner cette évolution et comment doivent-ils s'y préparer ? Comment concilier transparence et secret des affaires ?

Au plan business et opérationnel, c'est en effet, la conformité est un outil incomparable en matière d'organisation et de développement interne et externe de l'entreprise, qui assure la cohésion des parties prenantes autour de valeurs communes. On estime qu'arriver à démontrer l'efficacité du dispositif de conformité est un véritable avantage compétitif.

On pense que la question est de savoir comment être conforme demain, comment établir un plan d'action efficace et se questionner à nouveau sur la façon d'organiser sa conformité. les bons plans de conformité contribuent à préserver une image positive de l'entreprise, facteur de confiance pour les clients et les fournisseurs et gage de bon fonctionnement et de bonne gouvernance pour les actionnaires, tout en limitant les risques auxquels l'entreprise peut être exposée.

61

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Soit réservé sans ostentation pour éviter de t'attirer l'incompréhension haineuse des ignorants"   Pythagore