memoire aurelien lerda pdf

LERDA Aurélien IAE d’Aix-en-Provence Master « Audit et Gouvernance des Organisations » Directeur du Master : Jacques Vera

Institut d'Administration des Entreprises d'Aix-en-Provence

Clos Guiot Puyricard – CS 30063

13089 Aix-en-Provence – Cedex 2

Année universitaire 2010/2011

Mémoire

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques »)

sur les fonctions Audit Interne, Contrôle Interne et Risk Management

http://www.iae-aix.com/fr/

L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management

REMERCIEMENTS

Je tiens tout d’abord à remercier Jacques Vera, Directeur du Master « Audit et Gouvernance des

Organisations », qui m’a aidé et m’a permis de mener à bien ce mémoire en répondant à mes questions.

Je remercie également Romain Drappier, Directeur de l'Audit Interne du Groupe Réunica, qui m'a apporté son

soutien et a répondu à mes questions tout au long de mon apprentissage. De plus, je remercie tous les

membres de la Direction de l'Audit Interne et de la Direction des Risques & de la Solvabilité de Réunica pour

leur aide.

Enfin, je tiens à remercier les professionnels qui ont eu la gentillesse de bien vouloir me recevoir et de répondre

à mes questions au cours d'entretiens :

-Albert Cohen, Directeur des Risques et de la Solvabilité (Groupe Réunica),

-David Blatter, Risk Manager (Groupe Réunica),

-Emil Saban, Actuaire (Groupe Réunica),

-Paul-Henri Mézin, Directeur de l'Audit Interne (Groupe Malakoff Médéric),

-Valérie Trony, Directrice de l'Audit & du Contrôle Internes (Groupe Mornay),

-Pierre Crémadès, Directeur de l'Audit Interne (Groupe Prémalliance).

Jean-Jacques Valard, Directeur de l'Audit & de la Maîtrise des Risques, Groupe Novalis Taitbout, lors de son

passage à l'IAE, m'a également apporté des connaissances très intéressantes sur le sujet de ce mémoire.

Ces Directeurs ont eu l'amabilité de m'accorder des entretiens très instructifs, me permettant ainsi d'acquérir de

nombreuses informations utiles.

Master « Audit et Gouvernance des Organisations » (2010 - 2011)1/189


SOMMAIRE

Introduction____________________________________________________________________________p.6

PARTIE 1 : présentation de Solvabilité 2_____________________________________________________p.9

1/ Le monde de l'assurance_________________________________________________________________p.9

2/ Les buts de Solvabilité 2________________________________________________________________p.13

3/ L'accueil réservé à la directive par les professionnels__________________________________________p.15

4/ Différences entre Solvabilité 1 et Solvabilité 2________________________________________________p.18

5/ Les divers organismes intervenant dans la démarche Solvabilité 2_______________________________p.20

6/ Les trois piliers de Solvabilité 2___________________________________________________________p.22

PARTIE 2 : les impacts du pilier 2 sur le Risk Management____________________________________p.25

A/ Les articles fondamentaux et leur traduction_____________________________________________p.25

1/ Article consacré à la gestion des risques (article 44)___________________________________________p.25

2/ Obligation de disposer d'une fonction « Risk Management »____________________________________p.26

3/ Autres exigences réglementaires de Solvabilité 2 par rapport au Risk Management__________________p.30

4/ Le volet « ORSA » (évaluation interne des risques et de la solvabilité)____________________________p.36

5/ Exigences liées à la gouvernance_________________________________________________________p.40

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management__p.47

1/ Renforcement et amélioration de la maîtrise des risques_______________________________________p.47

2/ Meilleur suivi des risques par le Conseil d'Administration_______________________________________p.47

3/ Augmentation des responsabilités du Risk Management_______________________________________p.48

4/ Clarification des rôles des différents services________________________________________________p.49

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Risk Management__p.50

1/ Impact financier élevé__________________________________________________________________p.50

2/ Charge en termes de reporting___________________________________________________________p.50

3/ Problème de mise à niveau des administrateurs ?____________________________________________p.51

4/ Problème de gouvernance propre aux Groupes de Protection Sociale_____________________________p.52



5/ Questionnement sur l’indépendance de la fonction Risk Management_____________________________p.53

6/ Disparition des économies d'échelle?______________________________________________________p.53

Synthèse sur le Risk Management_________________________________________________________p.54

PARTIE 3 : les impacts du pilier 2 sur le Contrôle Interne______________________________________p.57


1/ Article consacré au Contrôle Interne (article 46)______________________________________________p.57

2/ Existence obligatoire d'une fonction Contrôle Interne__________________________________________p.57

3/ Renforcement global des bonnes pratiques_________________________________________________p.59

4/ Création d'une fonction Conformité________________________________________________________p.62

5/ Renforcement du contrôle des délégataires_________________________________________________p.67

6/ Contrôle des dirigeants_________________________________________________________________p.70

7/ Pas de changements majeurs ?__________________________________________________________p.72

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrôle Interne___p.76

1/ Généralisation du contrôle interne_________________________________________________________p.76

2/ Renforcement des bonnes pratiques_______________________________________________________p.76

3/ Renforcement de la maîtrise des risques___________________________________________________p.77

4/ Légitimité accrue de la fonction Contrôle Interne_____________________________________________p.78

5/ Pas d'augmentation massive de la formalisation______________________________________________p.78

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Contrôle Interne___p.80

1/ Disparition des économies d’échelle et perte de proximité entre les services ?______________________p.80

2/ Redéfinition des périmètres______________________________________________________________p.81

3/ Charge en termes de livrables / reporting___________________________________________________p.81

4/ Impact financier_______________________________________________________________________p.82

Synthèse sur le Contrôle Interne__________________________________________________________p.83

PARTIE 4 : les impacts du pilier 2 sur l’Audit Interne_________________________________________p.85




1/ Article consacré à l'Audit Interne (article 47)_________________________________________________p.85

2/ Séparation de l'Audit Interne et des autres fonctions__________________________________________p.85

3/ Renforcement global des bonnes pratiques_________________________________________________p.87

4/ Évolution de la méthodologie_____________________________________________________________p.90

5/ Impact indirect de Solvabilité 2 : impact en termes de missions__________________________________p.91

6/ Solvabilité 2 s'inscrit dans une continuité___________________________________________________p.92

B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour l’Audit Interne_______p.95

1/ Harmonisation du fonctionnement des services d'Audit Interne__________________________________p.95

2/ Confirmation des normes professionnelles__________________________________________________p.95

3/ Renforcement de la maîtrise des risques___________________________________________________p.96

4/ Légitimité accrue de l'Audit Interne________________________________________________________p.96

5/ Clarification des rôles des fonctions-clés en charge de la maîtrise des risques______________________p.97

6/ Évolution de l'Audit Interne en termes de compétences (compétences techniques d'assurance)________p.97

7/ Évolution en termes de missions__________________________________________________________p.98

C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour l’Audit Interne______p.105

1/ Impact financier élevé ?________________________________________________________________p.105

2/ Impact « négatif » pour les entreprises qui ont une fonction Audit Interne cumulée avec d'autres fonctions de

l'entreprise____________________________________________________________________________p.105

3/ Disparition des économies d’échelle et perte de proximité entre les services_______________________p.106

4/ Redéfinition des périmètres de chaque fonction_____________________________________________p.107

5/ Coût des recrutements________________________________________________________________p.108

Synthèse sur l'Audit Interne_____________________________________________________________p.111

Synthèse sur les parties 2, 3 & 4_________________________________________________________p.114

PARTIE 5 : Vision d’ensemble : modalités de mise en œuvre de Solvabilité 2 et difficultés rencontrées par les entreprises_____________________________________________________________________p.119

1/ Rôle des cabinets de conseil dans la mise en conformité avec Solvabilité 2_______________________p.119

2/ Différences d'appréhension de Solvabilité 2 entre petits et grands groupes________________________p.123



3/ Inégalités entre assurances et Institutions de Prévoyance/mutuelles ?___________________________p.128

4/ Impacts de Solvabilité 2 sur les autres activités des Groupes de Protection Sociale ?________________p.132

5/ Impacts de Solvabilité 2 sur les recrutements ?_____________________________________________p.135

6/ Impact de Solvabilité 2 sur la rémunération des dirigeants ?___________________________________p.136

7/ Vers une véritable harmonisation des pratiques ?____________________________________________p.137

8/ Difficultés liées au calendrier de mise en application de Solvabilité 2_____________________________p.139

9/ Où en sont les entreprises aujourd'hui dans la démarche de mise en conformité avec Solvabilité 2 ?___p.142

10/ L'après 2012 (après la mise en conformité)_______________________________________________p.147

Conclusion___________________________________________________________________________p.155

Lexique______________________________________________________________________________p.159

Sources_____________________________________________________________________________ p.165

Annexes_____________________________________________________________________________ p.168



Introduction

➢ L’année 2011 est considérée par la Commission Européenne comme l’année-clé de la mise en place de

la directive Solvabilité 2.

➢ Cette directive constitue une réforme réglementaire européenne du monde de l'assurance, que les

entreprises d'assurance, les Institutions de Prévoyance et les mutuelles devront mettre en place d'ici à fin 2012

(la date butoir est le 1er janvier 2013). Solvabilité 2 est constituée de trois « piliers »: les exigences quantitatives

(concernant principalement le montant de leurs fonds propres), les exigences qualitatives, et les exigences

relatives à l'information du public (présentation des états financiers, reporting etc.).

Les exigences qualitatives sont quant à elles relatives à sept aspects : le Contrôle Interne (et la Conformité),

l'Audit Interne, la gouvernance (des critères « Fit & Proper » doivent s'appliquer aux fonctions-clés de

l'entreprise), la mise en place d'un système de gestion des risques (Risk Management), la fonction actuarielle, la

sous-traitance, et enfin, le volet « ORSA » (évaluation interne des risques et de la solvabilité).

➢ Plusieurs raisons ont poussé la Commission Européenne à mettre en place Solvabilité 2 :

-Comme l'a expliqué José Manuel Barroso, président de la Commission Européenne, le 22 avril 2009, « un

secteur de l’assurance intégré et concurrentiel faisant l’objet d’une supervision cohérente est essentiel pour tous

les consommateurs et toutes les entreprises européennes. Solvabilité 2 aidera à protéger les assurés des

mauvaises pratiques. Elle sera bénéfique pour les assureurs et les réassureurs eux-mêmes car elle leur offrira

de nouvelles opportunités et elle aidera à rétablir la confiance ». Le but est donc de mettre en place un régime

moderne de solvabilité (voir lexique) basé sur le risque, qui va renforcer l’intégration du marché communautaire

de l’assurance, améliorer la protection des assurés et rendre plus compétitifs les assureurs de l’Union

Européenne. Solvabilité 2 a donc pour ambition principale de donner aux assureurs les moyens de mieux

garantir leur solvabilité tout en construisant un marché unique européen de l’assurance.

-Solvabilité 2 impose notamment aux assurances, Institutions de Prévoyance et mutuelles de mettre en place un

dispositif de maîtrise des risques avant 2013. Dans la lignée de Bâle 2, son objectif est de mieux adapter les

fonds propres exigés des compagnies d'assurance et de réassurance avec les risques que celles-ci encourent

dans leur activité.

Dans le mouvement de redéfinition de la marge de solvabilité en fonction des risques pour l'ensemble des

risques financiers, après la banque, c'est au tour de l'assurance de voir sa réglementation s'adapter pour

intégrer le risque. Après Solvabilité 1 qui prévoyait une marge de solvabilité déterminée en fonction de

pourcentages sur les primes et les sinistres, la réglementation des assurances passe à des règles plus


http://fr.wikipedia.org/w/index.php?title=Solvabilit%C3%A9_I&action=edit&redlink=1


complexes intégrant le risque, soit par l'application d'une formule standard, soit par la prise en compte d'un

modèle interne. Le ratio de solvabilité est donc globalement égal au total des fonds propres (voir lexique) divisé

par les exigences en fonds propres au titre des risques auxquels doit faire face l'entreprise.

-La directive constitue donc une mise à jour des pratiques en termes de besoin de fonds propres. En effet, suite

au passage de Bâle 2 dans les banques, leurs besoins en fonds propres ont dû se caler sur leurs risques

(adéquation fonds propres/risques). Les banques se sont donc retrouvées « avantagées » par rapport aux

assurances. Celles-ci ont pensé que cette réglementation représentait une forme de concurrence déloyale car

elles avaient plus de contraintes à respecter, et ont donc souhaité une réforme de Solvabilité 1 qui prendrait

mieux en compte les actions mises en œuvre par les sociétés d'assurance pour gérer leurs risques. Ainsi, le

lobby des assureurs a demandé une réforme du système financier. Solvabilité 2 répond donc à un objectif de

cohérence des exigences en matière de gouvernance entre les secteurs de la banque et de l'assurance.

➢ Les objectifs majeurs de la directive sont les suivants :

-L'idée principale est d'adapter les fonds propres à la maîtrise des risques (il y a donc des conséquences dans

la gestion des fonds propres, au niveau de la supervision et de la stratégie), mais également d’améliorer la

protection des assurés en Europe, de moderniser la supervision et de renforcer la compétitivité des organismes

assureurs européens, tout en harmonisant les reportings nécessaires aux autorités de contrôle.

En ce qui concerne la gouvernance d'entreprise, Solvabilité 2 place la maîtrise des risques au cœur de l’activité

d’une entreprise. La vision des risques doit être prise en compte dans l’activité, et dans la gouvernance, la

maîtrise des risques devient centrale.

En effet, la Commission Européenne a jugé que Solvabilité 1 ne couvrait pas tout le spectre des risques portés

par un assureur. Ainsi, avec Solvabilité 2, l'idée est de lier précisément le niveau de capital au niveau de risque

supporté par l'entreprise (des risques forts doivent faire face à des capitaux élevés, et des risques faibles

doivent faire face à des capitaux faibles).

Le niveau des capitaux propres devra être proportionné au risque des passifs et actifs détenus par les

assurances : plus un actif sera risqué, plus les capitaux propres réglementaires ou exigence en capital

correspondants devront être élevés, afin de donner à la société d’assurance la possibilité de faire face à ses

engagements en cas d’imprévu. Par exemple, à une obligation d’État correspondra une exigence en capital

faible, car cette obligation est très peu risquée, alors qu'une action d’entreprise non cotée (PME), par nature plus

risquée (risque de faillite de la PME), conduira à avoir une exigence en capital plus importante.

-L'objectif de Solvabilité 2 d'après l'un de mes interlocuteurs est de renforcer la gestion des risques

opérationnels. Idem pour un autre interlocuteur, l'objectif de Solvabilité 2 et surtout du pilier 2 est de renforcer la



maîtrise des risques par les sociétés d’assurance.

-Le pilier 2 de Solvabilité 2 contraint les entreprises à se structurer et à étudier l’impact potentiel de leurs risques

sur leur marge de solvabilité. Ce pilier 2 complète les mesures (normes quantitatives) du pilier 1 avec des

exigences qualitatives en termes de gouvernance et de gestion des risques. Ces normes qualitatives concernent

principalement le Contrôle Interne et la maîtrise des risques. Les entreprises doivent mettre en place un

dispositif de maîtrise des risques et de contrôle comprenant les fonctions-clés suivantes : Risk Management,

Contrôle Interne, Audit Interne, Actuariat, et Conformité. Le but de ce pilier 2, comme nous le verrons, est donc

d'améliorer la gouvernance des risques au sein des entreprises.

➢ Le pilier 2 de Solvabilité 2 va donc avoir un impact important sur les fonctions Audit Interne, Contrôle

Interne et Risk Management. Or, ce pilier a été assez peu traité dans les textes officiels (contrairement au pilier

1) et reste donc un cadre assez ouvert, ce qui explique que j'ai choisi d'évoquer ce sujet de manière approfondie

dans ce mémoire. De plus, ayant réalisé mon apprentissage au sein de la Direction de l'Audit Interne du Groupe

Réunica, j'ai été témoin des changements provoqués par la mise en conformité avec la directive et des

nombreux chantiers en cours en matière de maîtrise des risques, ce qui m'a fait prendre conscience des enjeux

de cette réforme pour l'entreprise. Mon maître d'apprentissage a confirmé l'importance que revêtait Solvabilité 2

et plus particulièrement le pilier 2 pour les entreprises et l'intérêt que pourrait avoir un mémoire centré sur ce

pilier 2. Il m'a également informé du fait que les professionnels accepteraient de me recevoir au cours

d'entretiens afin d'évoquer ce sujet qui constitue un enjeu important pour eux, ce qui m'a d'autant plus convaincu

de choisir ce thème.

➢ Nous allons tout d'abord présenter brièvement le monde de l'assurance et la directive, avant de nous

intéresser aux thèmes principaux de ce mémoire : les répercussions concrètes du pilier 2 sur les fonctions Audit

Interne, Contrôle Interne et Risk Management, ainsi que les impacts positifs et négatifs engendrés par

l'application des exigences de ce pilier 2. Enfin, nous terminerons par une vision d'ensemble, qui se focalisera

sur les modalités concrètes de mise en œuvre des exigences de la directive, et les difficultés rencontrées par les

entreprises, avant de conclure. Le sujet de cette cinquième et dernière partie s'éloignera donc quelque peu du

thème principal de ce mémoire, mais s'est imposé de lui-même au fil des entretiens que j'ai menés, car tous les

interlocuteurs que j'ai pu rencontrer ont évoqué ces modalités concrètes de mise en conformité avec la directive

et les nombreux obstacles auxquels leurs entreprises ont dû faire face. Il m'a donc semblé important d'évoquer

ces thèmes ici afin de replacer le sujet principal du mémoire dans un contexte plus global. Cette « vision

d'ensemble » concernera notamment le rôle des cabinets de conseil dans la mise en conformité des entreprises

avec Solvabilité 2, les différences d'appréhension de Solvabilité 2 entre petits et grands groupes, l'état

d'avancement actuel de la démarche de mise en conformité avec Solvabilité 2, et ce qu'il adviendra après 2012,

c'est-à-dire une fois que la mise en conformité sera effectuée.



Partie 1 : présentation de Solvabilité 2

La directive Solvabilité 2 a un impact sur toutes les entreprises du secteur de l'assurance. Nous allons donc

commencer par une brève présentation de ces entreprises, puis nous évoquerons les buts de Solvabilité 2,

l'accueil réservé à la directive par les professionnels, les différences entre cette directive et Solvabilité 1, les

acteurs impliqués et surtout les différents piliers constituant cette directive.

1/ Le monde de l'assurance

➢ Un contrat d’assurance est un contrat par lequel une partie (le souscripteur) se fait promettre pour son

compte ou celui d’un tiers par une autre partie (l’assureur) une prestation généralement pécuniaire en cas de

réalisation d’un risque, moyennant le paiement d’une prime ou cotisation (voir lexique pour définition plus

complète).

L’assureur est la partie qui prend l’engagement d’indemniser le bénéficiaire du contrat d’assurance en cas de

sinistre. Dans le droit des assurances, il peut s’agir d’une société commerciale, d’une société civile, d’une

société européenne, ou bien encore d’un intermédiaire d’assurances (agent général d’assurances ou courtier).

Le souscripteur, nommé « contractant » en assurance-vie ou « preneur d’assurance » en droit communautaire,

est la partie au contrat qui signe les documents contractuels et qui s’engage au paiement des primes.

L’assuré est la personne sur la tête (en assurance-vie) ou sur les intérêts (assurance dommage) de qui pèse le

risque assuré. Il ne s’agit pas nécessairement du souscripteur du contrat, car l’assurance peut être contractée

par un tiers pour son compte.

Les tiers bénéficiaires sont les personnes qui n’ont eu aucun contact direct avec l’assureur avant la survenance

d’un sinistre, mais qui bénéficient des prestations de l’assureur après la réalisation dudit sinistre.

Enfin, pour qu'un événement puisse être assuré, il doit posséder trois caractéristiques : il doit être futur (le risque

ne doit pas être déjà réalisé), il doit y avoir incertitude (événement aléatoire), et l'arrivée de l’événement ne doit

pas dépendre exclusivement de la volonté de l'assuré.

➢ L’assurance est un secteur très vaste et très concurrentiel, parce qu’il regroupe non seulement de

nombreux acteurs (les trois principaux types d’organismes d’assurance étant les sociétés d’assurance, les

Institutions de Prévoyance et les mutuelles), mais aussi de nombreux types de produits et de prestations :



-Une mutuelle (voir lexique) est un organisme indépendant à but non-lucratif qui s'organise sur le principe de la

solidarité entre ses membres. Elle s'occupe de la prise en charge de ses adhérents et des dépenses santé qui

ne sont pas remboursées par la Sécurité Sociale. Une mutuelle gère et distribue des garanties santé appelées

complémentaires santé : c'est donc une assurance santé complémentaire à la Sécurité Sociale. La mutuelle se

distingue cependant par son fonctionnement : solidarité entre les membres, fonctionnement interne égalitaire,

cotisation indépendante du risque individuel de l'adhérent, etc. Une mutuelle santé est régie par le code de la

mutualité.

-Une Institution de Prévoyance (voir lexique) est une société de personnes de droit privé. Les Institutions de

Prévoyance font partie des Groupes de Protection Sociale : ils constituent l'activité Assurance de Personnes de

ces Groupes (et à ce titre sont donc concernés par Solvabilité 2), et gèrent des contrats collectifs d'assurance de

personnes couvrant les risques de maladie, incapacité de travail, invalidité, dépendance et décès. Ces garanties

viennent en complément des prestations de la Sécurité Sociale et prennent notamment la forme de versements

d'indemnités journalières en cas d'incapacité ou d'invalidité et de capitaux décès. Tout comme une mutuelle, une

Institution de Prévoyance est à but non lucratif, ce qui signifie que les excédents financiers dégagés par son

activité servent non pas à rétribuer des actionnaires (puisqu’il n’y en a pas), mais à proposer de nouvelles

garanties, à améliorer les garanties déjà existantes, à renforcer la qualité de ses services ou la sécurité de ses

engagements.

Enfin, une Institution de Prévoyance se caractérise par sa gestion paritaire entre les différents partenaires

sociaux. Dirigée par un Conseil d’administration, ce dernier se constitue à parts égales de représentants de

salariés et de représentants d’entreprises.

-Une compagnie d'assurance (voir lexique) est une entreprise à but lucratif qui pratique largement la sélection

des risques. A l'origine, les compagnies d'assurance ne proposaient que des contrats d'assurance automobile ou

habitation. Une compagnie d'assurance est donc une institution financière qui offre des produits d'assurance,

ainsi qu'une aide financière aux clients (assurés) pour les événements couverts par l'assurance. En retour, les

assurés paient des primes d'assurance, qui sont régulières, souvent mensuelles.

Peuvent donc effectuer des opérations d'assurance les entreprises d'assurance (sociétés commerciales ou

sociétés d'assurance mutuelles) régies par le code des assurances, les mutuelles régies par le code de la

mutualité, et enfin les Institutions de Prévoyance régies par le code de la Sécurité Sociale. Néanmoins, tous ces

acteurs n'interviennent pas sur tous les marchés de l'assurance, même si les cloisonnements ont tendance à

s'effacer progressivement. En effet, c'est essentiellement sur le terrain de la protection sociale complémentaire

que les mutuelles et les Institutions de Prévoyance sont en concurrence avec les autres entreprises

d'assurance. Les Institutions de Prévoyance interviennent essentiellement dans le domaine de la prévoyance

collective, alors que l'essentiel du chiffre d'affaires des mutuelles est réalisé sur le segment de la couverture



maladie complémentaire. Le marché de l'assurance est donc largement dominé par les sociétés d'assurance, ce

qui est logique puisque celles-ci interviennent sur tous les segments de l'assurance (assurance vie, assurance

dommages corporels et assurance dommages aux biens), alors que les mutuelles et les Institutions de

Prévoyance interviennent surtout en protection sociale complémentaire.

a

➢ Concernant la classification de l'assurance, les directives européennes distinguent deux branches

principales au sein du secteur de l'assurance : la branche vie (assurances vie, décès, bons de capitalisation,

fonds de retraite) et la branche non-vie. Cette distinction recoupe la distinction traditionnelle entre assurance-vie

et assurance dommages (ou IARD pour Incendie, Accident, Risques Divers), qui coïncide elle-même à peu près

avec la classification habituelle de la profession entre assurance de personnes et assurance des biens. Il suffit

en effet d'ajouter l'assurance santé à l'assurance vie pour aboutir à l'assurance de personnes.

-Les Assurances IARD correspondent aux assurances dont les primes sont gérées par répartition et regroupent

les assurances de choses et de responsabilité, qui font partie des assurances de dommages, ainsi que les

assurances individuelles accident et les assurances de santé qui font partie des assurances de personnes. Ce

sont des assurances à court terme.

-Les Assurances Vie correspondent aux assurances dont les primes sont gérées par capitalisation. Cette

branche regroupe toutes les assurances dont le risque est lié à la durée de vie de l’assuré : l’assurance vie,

l’assurance décès, l’assurance épargne, l’assurance retraite, l’invalidité et l’incapacité. Ce sont des assurances

à long terme.

Les branches de l’assurance peuvent également être classées en fonction du mode d’indemnisation des

sinistres :

-Les Assurances de Dommages correspondent aux assurances obéissant au principe indemnitaire en matière

d’indemnisation des sinistres, et regroupent les assurances de choses (assurances qui préviennent l’assuré

contre les pertes financières directes qu’il peut subir suite aux atteintes pouvant affecter les choses ou les biens

qui lui appartiennent) et les assurances de responsabilités (assurances qui garantissent l’assuré contre les

réparations qu’il peut devoir aux tiers, suite aux préjudices qu’il leur a causés et pour lesquels sa responsabilité

a été engagée). Les Assurances de Dommages ont toutes pour but de garantir le patrimoine de l’assuré.

-Les Assurances de Personnes correspondent aux assurances soumises, selon les cas, au « principe forfaitaire

ou indemnitaire » d’indemnisation des sinistres et rassemblent les Assurances Santé (accidents, maladie,

invalidité, incapacité, frais médicaux etc.) et les Assurances vie (vie, décès, épargne, retraite, invalidité,

incapacité). Les Assurances de Personnes ont pour but de garantir la personne (et non son patrimoine, comme

dans le cas des assurances dommages), en couvrant des risques déterminés et en assurant le versement de



sommes en cas de la réalisation de ces risques. Le tableau suivant synthétise les différents segments de

l'assurance :

Assurance de personnes Assurance (dommages) des biens et des responsabilités

Assurance vie

· assurances en cas de décès

· assurances en cas de vie

· assurances mixtes

· ou épargne capitalisation (sans assuré parfois) ou " tontinière " (après

abus des assurances mixtes)

Autres assurances de personnes

· assurance accident

· assurance incapacité-invalidité

· assurance remboursement des frais médicaux

Assurances collectives

· assurances couvrant les emprunteurs (souscrites par les banques)

· assurances souscrites par les entreprises (prévoyance et retraite)

Assurance automobiles

Assurances de dommages aux biens

· des particuliers (ex : multirisques habitation, avec volet responsabilité)

· des professionnels (ex : multirisques commerciales)

· agricoles (ex : multirisques avec volet dommage et responsabilité)

· protection juridique

Assistance

Assurances de la construction (branche gérée en capitalisation )

· dommages à l'ouvrage

· responsabilité civile décennale

Assurances de responsabilité civile

· hors volet responsabilité de l'assurance-dommages, risques

professionnels et d'entreprises

Assurance transport

· maritime

· aéronautique

· spatial

· assurance des marchandises

Assurance crédit



Les assurances ont un rôle important dans le financement de l'économie : l'ensemble des placements des

compagnies d'assurances (en valeur de marché) est estimé à 1 603 milliards d'euros à fin 2009, l'équivalent de

84% du Produit Intérieur Brut (PIB).

De plus, fin 2009, les titres d'entreprises représentaient un peu plus de la moitié (53 %) des actifs des sociétés

d'assurances avec 18 % de l'encours directement ou indirectement investi en actions. Ceci représente 940

millions d’euros placés en actifs d’entreprises.

Les assurances poursuivent également leur engagement d'investissement dans les PME à fort potentiel : les

membres de la Fédération Française des Sociétés d'Assurance se sont engagés auprès des pouvoirs publics,

en 2004, à accroître leurs investissements dans les PME à fort potentiel de croissance, notamment les PME

innovantes non cotées.

Enfin, en 2010, le secteur de l’assurance a vu son chiffre d’affaires légèrement progresser à 3,8% au total pour

atteindre 207,2 milliards d’euros (chiffres de la Fédération Française des Sociétés d'Assurance).

Le secteur de l'assurance est donc vaste, étendu, et génère des sommes colossales, ce qui justifie la nécessité

de réglementer ce secteur de façon plus stricte afin de contraindre les entreprises à mieux gérer leurs risques.

2/ Les buts de Solvabilité 2

➢ Le but premier de Solvabilité 2 est qu'il y ait une chance sur deux-cents que l'entreprise ne fasse faillite,

ce qui se traduit par une augmentation du montant des fonds propres et du besoin en fonds propres, comme

l'indique la directive : « Afin de promouvoir une saine gestion des risques et d'aligner les exigences de fonds

propres sur les pratiques du secteur, le Capital de Solvabilité Requis devrait être défini comme le capital

économique que doivent détenir les entreprises d'assurance et de réassurance pour limiter la probabilité de

ruine à un cas sur deux-cents, ou alternativement, pour que lesdites entreprises demeurent en situation, avec

une probabilité d'au moins 99,5%, d'honorer leurs engagements envers les preneurs et les bénéficiaires dans

les douze mois qui suivent. Ce capital économique devrait être calculé sur la base du profil de risque réel de

l'entreprise, en tenant compte de l'incidence d'éventuelles techniques d'atténuation des risques et des effets de

diversification. » Le but est donc d'évaluer le capital permettant d'éviter la ruine à un an avec une probabilité

supérieure à 99,5%.

➢ Solvabilité 2 a été créée sur le modèle de Bâle 2, avec une structure en 3 piliers (voir annexe 1 : résumé

des trois piliers de la directive), mais entre-temps, la crise a eu lieu (accompagnée de faillites d’entreprises etc.),

entraînant une remise en question de la maîtrise des risques des entreprises. Solvabilité 2 a donc été réajustée

en conséquence. En effet, à la base, elle devait plutôt constituer un avantage pour les assurances alors que

finalement, elle est devenue beaucoup plus contraignante que Bâle 2 : en raison de la crise financière, le

CEIOPS a fortement durci les conditions d’application de la directive, avec pour conséquence majeure une

augmentation du besoin en fonds propres. En effet, la crise a mis en évidence les évolutions du monde de

l'assurance : une internationalisation des grandes sociétés d'assurance, une complexité croissante des



instruments financiers, et surtout, un développement rapide de nouveaux risques. Ainsi, comme l'a indiqué José

Manuel Barroso en avril 2009, « Solvabilité 2 est nécessaire en tant que première réponse à la crise financière.

Il est indispensable de mettre en place une réglementation qui oblige les entreprises à gérer correctement leurs

risques, qui résulte en une plus grande transparence et qui garantisse que les autorités de surveillance

coopèrent et coordonnent plus efficacement leurs activités ».

Cependant, il faut préciser que les sociétés d’assurances n’ont pas connu de graves problèmes de solvabilité

pendant la crise financière : leurs fonds propres sont en moyenne assez élevés, et les politiques

d'investissement des assurances sont plus prudentes et sélectives que celle des établissements bancaires,

même si elles n'ont pas été totalement épargnées par cette crise financière.

Le contexte de crise bancaire et de risque systémique de 2009 a même eu pour effet d'accélérer l'adoption de la

directive par la Commission Européenne : la directive a été votée le 22 avril 2009.

➢ Les autres objectifs de la directive sont les suivants :

-Assurer la protection des assurés en renforçant la solvabilité des assureurs (mutuelles, Institutions de

Prévoyance, assurances). En effet, une compagnie d'assurance se doit d'être solvable, c'est-à-dire

suffisamment solide financièrement pour respecter ses engagements envers ses assurés.

-Garantir aux assurés une protection uniforme, renforcée, dans toute l'Union Européenne, et renforcer la qualité

et la sécurité des produits auxquels les citoyens ont accès.

-Exiger une meilleure allocation des fonds propres aux risques, et inciter les assurances à mieux gérer leurs

risques, en fixant une marge de solvabilité mieux adaptée aux risques réellement encourus.

-Fournir aux superviseurs les outils et les pouvoirs suffisants pour assurer leur mission de contrôle.

-Améliorer les conditions de concurrence entre assureurs européens en imposant une réglementation

harmonisée.

-Renforcer l’intégration du marché européen de l’assurance.

-Renforcer la compétitivité des assureurs et réassureurs européens au niveau international.

-Assurer la comparabilité, la transparence et la cohérence.

-Éviter que les coûts en fonds propres ne soient inutilement élevés, au risque de menacer la compétitivité

globale de l'assurance européenne.

-Enfin, favoriser une allocation plus efficace du capital et des risques au sein de l'économie, ce qui devrait

favoriser la stabilité financière.

➢ La directive Solvabilité 2 s'inscrit dans un contexte économique complexe (internationalisation, crise des

marchés financiers etc.) : de nombreux bouleversements intervenus dans les années 2000 ont façonné un

nouvel environnement économique. Pour faire face à ces évolutions, les dirigeants politiques (et économiques)

de nombreux pays ont mis en place de nouveaux cadres réglementaires, comme la Loi de Sécurité Financière,

la Loi de Modernisation de l'Économie, les normes IFRS, mais aussi Bâle 2 (réglementation que doivent



appliquer les banques) et Solvabilité 2 pour les assurances.

3/ L'accueil réservé à la directive par les professionnels

Les buts de Solvabilité 2 sont donc nobles puisque la directive vise globalement à renforcer la solvabilité des

assureurs afin que les entreprises puissent mieux protéger les assurés. Néanmoins, les avis des professionnels

au sujet de la directive ne sont pas tous positifs, et Solvabilité 2 a fait face depuis quelques années à de

nombreuses critiques.

Ainsi, de nombreux assureurs européens se sont exprimés pour contester la directive. Ils désapprouvent sa

complexité et la lourdeur de sa mise en place, notamment pour les petites entreprises. Certains considèrent

même que Solvabilité 2 est une « sanction » inappropriée alors que la crise les a épargnés. Solvabilité 2

provoque donc depuis quelques années de nombreux débats, ce qui est la preuve que les enjeux sont élevés.

Nous allons voir en résumé quels sont les avis des professionnels au sujet de la directive.

Tout d'abord, en 2010, le PDG d'AXA a émis plusieurs réserves sur Solvabilité 2 (voir l'article « AXA : Le PDG de

l’assureur critique Solvabilité 2 » du 1er juin 2010 sur investir.fr), en pointant les conséquences négatives de

l'application de la directive. Il a notamment jugé la réforme de la régulation des assurances « bonne dans le

principe, mais c’est comme pour un médicament, un mauvais dosage peut être dangereux ». De même, il a

reconnu que l’obligation de fonds propres (correspondant à un risque de défaut de 1 pour 200) imposée par la

directive était « raisonnable », mais a néanmoins pointé plusieurs inconvénients : par exemple, il a jugé

inapproprié le fait que cette réglementation oblige à mesurer « les risques à un horizon d’un an alors que [leurs]

modèles économiques ont des horizons de sept ou huit ans ». Ensuite, il a prévenu de la chute de la part des

actions dans les portefeuilles d’AXA, qui représentaient 20% des actifs en 2000, 10% en 2007 et moins de 5%

aujourd’hui. En effet, avec Solvabilité 2, les obligations nécessitent une charge en capital moindre que celle des

actions.

De même, en 2010, Denis Kessler a émis des critiques sur la directive (voir l'article « Denis Kessler critique

ouvertement la mise en place de Solvabilité 2 » sur scor.com) : le PDG de SCOR, une grande société de

réassurance, a prédit des conséquences négatives pour la réforme Solvabilité 2. Il a averti que la mise en place

de la réforme risquait de poser de sérieux problèmes à l’ensemble du secteur, car la directive prévoit notamment

de sanctionner les entreprises procédant à des investissements couverts contre les effets de l’inflation tels que

l’achat d’actions ou de biens immobiliers, en appliquant un coût d’emprunt de capital élevé. Ainsi, les achats

d’actions s'accompagnent d'une charge en capital élevée, contrairement aux achats d’obligations à revenu fixe.

D'après lui, la version actuelle de Solvabilité 2 « est le meilleur moyen pour mener le secteur de l’assurance droit

au mur ».



De plus, certains sujets liés à Solvabilité 2 posent toujours problème aux professionnels aujourd'hui :

l'élaboration du bilan prudentiel est jugée très complexe, car les règles de valorisation prévalant en France sont

très éloignées de la notion de valeur économique sous Solvabilité 2 ; la formule standard pour le calcul du SCR

(Solvency Capital Requirement ou Capital Cible, c'est-à-dire le capital requis pour assurer la solvabilité) est

jugée trop complexe et inadaptée pour certains calculs, et concernant la détermination des fonds propres,

certains éléments restent difficiles à traiter. Certains acteurs s'inquiètent également de la lourdeur et de la

complexité d'une mise en place d'un modèle interne concernant le calcul du SCR : en effet, les entreprises

pourront opter pour un mode de calcul du SCR basé sur une formule standard ou sur un modèle interne complet

(basé sur leur structure de risque spécifique). Selon eux, ce modèle ne pourrait être adopté que par les grandes

entreprises qui disposent de moyens financiers et humains suffisants pour collecter toutes les informations

disponibles et les utiliser. Dès lors, le traitement préférentiel applicable aux sociétés qui adoptent le modèle

interne ne bénéficieraient qu'aux entreprises les plus importantes, laissant de côté les plus petites entités.

Le Président de la Fédération Française des Sociétés d'Assurance (FFSA) a en 2009 soulevé une autre

critique : « l'hyperprudence a aussi un hypercoût ». Cette formule traduit l'idée que lorsque les entreprises

devront se soumettre aux dispositions réglementaires de Solvabilité 2, elles verront leurs exigences en termes

de fonds propres augmenter fortement et devront donc trouver des moyens de se recapitaliser, ce qui risque de

poser problème à de nombreuses entreprises. Des assureurs français ont même adressé un courrier commun à

Christine Lagarde, fin 2009, pour lui faire part de leur inquiétude sur les modalités d'application de Solvabilité 2,

d'après la FFSA, car ils ont constaté un durcissement des critères exigés par la directive en termes de solvabilité

et de fonds propres. On constate donc que la complexité et le niveau d'exigence élevé de la directive peut poser

problème même à de grands groupes.

On constate également l'existence d'un site internet nommé « www.stopsolvabilite2.com », créé par la Réunion

des Organismes d’Assurance Mutuelle, un syndicat professionnel d'assureurs mutualistes, composé aujourd'hui

de 46 sociétés d'assurance mutuelles de petite et moyenne taille essentiellement. Ce site explique que

Solvabilité 2 sera contre-productif voire nocif pour les consommateurs (car la directive favorise les garanties

courtes et pénalise la détention par les assureurs des biens tels que les actions et l'immobilier, qui protègent les

assurés contre l'inflation), pour la stabilité du système économique, et même pour la démocratie (!) car son

extrême complexité rend les résultats tributaires des valeurs retenues pour le paramétrage des modèles. Il serait

donc impossible de vérifier que le contrôle des entreprises, et en particulier des multinationales, a été

correctement effectué, avec deux conséquences : un risque pour les assurés de défaillance des entreprises et

une inégalité concurrentielle entre les assureurs et entre les pays.

D'après ce site internet, les sociétés sont inquiètes « face à l'extrême complexité de ce dispositif qui en rendra

l'application incontrôlable ». Ce site propose même une pétition à signer pour exprimer son mécontentement

face à la directive.



Il apparaît logique que les mutuelles soient réticentes vis-à-vis de Solvabilité 2 car contrairement aux grandes

assurances, les mutuelles, de taille plus modeste, ont et auront des difficultés à répondre aux exigences de la

directive. Ainsi, en 2010, l'Association des assureurs mutuels et des coopératives d’assurance a critiqué la

directive, puisque son président a déclaré que « la finalité du nouveau régime n’est pas de restructurer le

marché européen de l’assurance, mais c’est pourtant exactement ce qu’il risque de se produire en l’état actuel

des choses ». Il a ajouté que « si le principe de proportionnalité ne fonctionne pas dans la pratique, nous

risquons d’assister à une consolidation agressive du marché » (voir l'article « Solvabilité 2 : les mutualistes

européens donnent de la voix » du 11 mars 2010 sur www.argusdelassurance.com). Cela signifie que si les

exigences de la directive ne sont pas adaptées de façon « individuelle » pour chaque entreprise et ses

spécificités, et sont seulement fixées au niveau global, de nombreuses mutuelles ne pourront pas répondre à

ces exigences, ce qui devrait conduire à des rachats de ces mutuelles par des grands groupes, voire à des

rapprochements/fusions entre mutuelles si elles veulent survivre, entraînant donc une restructuration du marché

tout entier qui favoriserait uniquement les grands groupes. Nous verrons dans la cinquième partie de ce

mémoire (points 2 et 10) que cet argument ne semble pas tout à fait injustifié.

Au-delà de ces nombreuses critiques, il faut tout de même noter que la directive n'a pas reçu un accueil

uniquement négatif. Ainsi, Solvabilité 2 a été saluée par bon nombre de professionnels qui voient en elle une

approche modernisée, réaliste et prudente de la façon dont doit être menée l'activité d'assurance. La directive

constitue même pour certains une « révolution culturelle et managériale ». En effet, la culture du risque et de

l'anticipation est au cœur de Solvabilité 2 : l'entreprise est incitée à développer sa propre mesure du risque par

l'intermédiaire du modèle interne qui servira à calculer le capital de solvabilité requis. De plus, par rapport au

modèle standard, la mise en place d'un modèle interne est lourde pour une entreprise, mais elle a l'avantage

d'être moins coûteuse en termes de fonds propres puisque plus fine en évaluation des risques.

Nous reviendrons sur ces sujets au cours du mémoire, mais on constate en ce qui concerne l'accueil réservé à

la directive par les professionnels qu'il est logique que de nombreuses réticences soient exprimées. En effet,

comme nous allons le voir tout au long de ce mémoire, Solvabilité 2 s'accompagne de nombreux changements

importants pour les entreprises, qui doivent donc se livrer à des chantiers de mise en conformité longs et

complexes, s'étalant sur plusieurs années. Une fois cette phase de mise en conformité terminée, on peut penser

que les entreprises seront en mesure de réaliser les effets positifs engendrés par la directive. Cependant, pour

l'instant, les entreprises sont toujours dans cette phase « chantier » de mise en conformité, et ont donc

l'impression que la directive se traduit pour l'instant uniquement par des exigences importantes à mettre en

œuvre, qui ont un coût élevé en termes de temps et d'argent. Ceci explique sans doute les opinions plutôt

négatives exprimées par les professionnels sur la directive jusqu'à aujourd'hui.



4/ Différences entre Solvabilité 1 et Solvabilité 2

Les différences majeures entre Solvabilité 1 et Solvabilité 2 sont les suivantes :

➢ Tout d'abord, le calcul de la marge de solvabilité a été modifié et intègre désormais pleinement les

risques. Avec Solvabilité 1, tous les risques étaient traités de la même façon, et l'exigence de marge de

solvabilité était simple à déterminer (par l’application de coefficients), car les risques propres à chaque

entreprise n'étaient pas suffisamment pris en compte. Par exemple, considérons deux sociétés d'assurance qui

assurent le paiement d'annuités différentes : l'une assure un rendement aux annuités de 0% tandis que l'autre

garantit à hauteur de 5%. Cette dernière devrait donc être soumise à des exigences en capital supérieures afin

de faire face au risque, or cela n'était pas le cas avec Solvabilité 1. Avec Solvabilité 2, on adopte l'idée que

lorsque l'entreprise a une activité « dangereuse », son capital doit être adapté en fonction (la marge de

solvabilité correspond au capital nécessaire pour faire face aux événements imprévus). De plus, Solvabilité 2

prend en compte tous les risques. Auparavant, c'était surtout le risque de souscription qui était pris en compte

(c'est-à-dire ce que l'entreprise devrait payer en dommages en assurant les clients), alors que Solvabilité 2

prend en compte les risques opérationnels, naturels, etc. et donc pas uniquement les risques liés à l'activité

(risques assurantiels).

Ainsi, voici quelques exemples de risques qui n'étaient pas intégrés dans les déterminations de fonds propres

antérieurement à Solvabilité 2 :

-erreurs d'exécution (erreurs humaines, manque ou inadéquation des procédures),

-défaillances des systèmes d'information (pannes matérielles et logicielles),

-systèmes d'information victimes de malveillance ( piratage),

-dommages aux moyens d'exploitation ( locaux, catastrophes, troubles sociaux),

-fraudes,

-litiges commerciaux (défaillance de conseil, c'est-à-dire argumentation commerciale incorrecte, incomplète ou

biaisée),

-litiges avec les autorités (fiscalité, territorialité, conformité, etc.).

Solvabilité 2 constitue donc un meilleur reflet des risques supportés par les entreprises.

➢ Au niveau des Institutions de Prévoyance, la marge de solvabilité demandée par Solvabilité 1 était

maîtrisée, puisque cette directive exigeait de disposer d'une marge égale à deux fois l’exigence de marge de

solvabilité nécessaire pour faire face aux risques, afin d’avoir un « matelas » visant à se protéger du risque.

Mais Solvabilité 2 entraîne la création de nouvelles contraintes financières, notamment sur la partie Gestion

d’Actifs. Solvabilité 2 est donc une directive globalement beaucoup plus exigeante que Solvabilité 1. Le

raisonnement disant « si nous commettons une erreur, la marge de sécurité nous protégera » n’est plus valable.



➢ Solvabilité 2 comporte des règles de solvabilité homogènes, complètes, cohérentes et surtout adaptées

à l’activité des entreprises. Les contraintes de solvabilité sont harmonisées au niveau européen, tant sur le

calcul de fonds propres nécessaires que sur les moyens et pouvoirs des autorités de tutelle. Le système se

fonde sur la prise en considération de tous les risques. Les sources de réduction des risques (couverture

financière, réassurance, dispersion) devront aussi être appréciées dans l’évaluation de la solidité financière de

l’entreprise.

➢ Solvabilité 1 comportait des limites dues à une approche non basée sur les risques, à l'absence de

cohérence avec l'application des normes IFRS et aux disparités réglementaires existantes entre les États

membres de l'Union Européenne, ce qui a conduit la Commission Européenne à réformer l'environnement

réglementaire européen du secteur de l'assurance.

➢ Solvabilité 1 était centrée uniquement sur des critères techniques, et n’était consacrée qu’à la marge de

solvabilité, tandis que Solvabilité 2 a une portée beaucoup plus grande. Le projet est donc plus difficile à cadrer,

car beaucoup plus transversal.

➢ Ainsi, le pilier 2, c'est-à-dire l'aspect qualitatif dans la maîtrise des risques, qui était négligé dans

Solvabilité 1, est complètement nouveau. C'est la principale nouveauté apportée par Solvabilité 2, et la

principale différence entre Solvabilité 1 et Solvabilité 2. En effet, Solvabilité 1 n'était constituée que d'exigences

quantitatives. Ce pilier 2 intègre les chantiers à mener sur la gestion des risques, le Contrôle Interne et l'Audit

Interne, et a donc d'importantes conséquences directes sur ces fonctions. Les activités de contrôle décrites dans

ce pilier 2 consistent à définir et harmoniser les activités de surveillance, au niveau des assurances et au niveau

des superviseurs. Ce pilier permet donc d'accorder une attention particulière au système de surveillance de

l’entreprise (gouvernance d’entreprise et Contrôle Interne).

➢ La directive encourage les entreprises à adopter la démarche ERM (Enterprise Risk Management),

démarche de gestion globale des risques, car le but de Solvabilité 2 est de prendre en compte tous les risques

de l'entreprise. Avec Solvabilité 1, l’idée générale était que pour exercer le métier d’assureur, il fallait que

l’entreprise possède un certain niveau de fonds propres. Quand le niveau de fonds propres dépassait le seuil

réglementaire, l'entreprise était homologuée.

Avec Solvabilité 2, on décide qu’un certain niveau de fonds propres n’est plus suffisant pour exercer le métier

d’assureur. Il faut également disposer d’un dispositif de Gouvernance des Risques à hauteur des risques que

l’on porte. Sinon, le législateur dispose de la faculté d’imposer des pénalités en termes de fonds propres à

l’entreprise.

Le pilier 2 (« Gouvernance des risques ») est donc la principale nouveauté de Solvabilité 2 par rapport à

Solvabilité 1.



L'objectif de la directive est donc de mieux protéger les assurés : Solvabilité 2 a l'ambition d'être plus protectrice

que Solvabilité 1, au moins dans l'intention. Et l'autre objectif est d'obtenir une uniformisation des règles de

calcul de la marge de solvabilité :

-le MCR (Minimum Capital Requirement ou Capital Minimum Requis) est le capital minimum exigé par l'autorité

de régulation dans le cadre de Solvabilité 2. Il représente le niveau minimum de fonds propres en-dessous

duquel l'intervention de l'autorité de contrôle sera systématique, et pourra entraîner le retrait de l'agrément de

l'entreprise. Ce MCR repose sur un calcul linéaire en pourcentage des primes, des provisions techniques, des

impôts différés, et des dépenses administratives. Il doit notamment permettre de couvrir le maximum de pertes

attendues avec un niveau de confiance de 85% sur une période d'un an. Il doit être borné entre 25 et 45% du

SCR calculé selon la formule standard ou le modèle interne, et doit être calculé au moins une fois par trimestre.

-le SCR (Solvency Capital Requirement ou Capital Cible) est le capital exigé pour assurer la solvabilité d'une

entreprise dans le cadre de la directive. Il représente le capital cible nécessaire pour absorber le choc provoqué

par une sinistralité exceptionnelle, et donc procurer aux assurés une assurance raisonnable que l'assureur

pourra honorer ses engagements. Le SCR devrait devenir l'outil principal des autorités de contrôle. En effet, il

est fondé sur l'exposition aux risques, en incorporant tous les risques liés à l'activité de l'entreprise, c'est-à-dire

principalement les risques de souscription, de crédit, de liquidité, de marché, et le risque opérationnel. Ce capital

cible doit être calibré de telle manière que si tous les risques se réalisent, seulement 0,5% d'entre eux ne

pourront pas être honorés, et doit donc être égal à 99,5% du montant total des risques encourus.

Dans le détail, il n'y a donc rien de comparable entre les deux directives (voir annexe 2 : différences majeures

entre Solvabilité 1 et Solvabilité 2). D'ailleurs, Solvabilité 2 n'est pas une version « améliorée » de Solvabilité 1,

car la Commission Européenne est repartie de zéro pour créer cette nouvelle directive, et a essayé d'identifier

les véritables risques portés par les assureurs, ce qui explique le fait qu'il y ait de nombreuses différences entre

ces deux directives. Solvabilité 1 est donc aujourd'hui considérée comme une solution provisoire, avant

l'adoption d'une nouvelle réglementation reflétant de manière plus réaliste les risques auxquels les entreprises

sont confrontées, permettant de réviser en profondeur les règles de solvabilité afin de créer un cadre prudentiel

harmonisé au niveau européen et adapté au profil de risque de chaque entreprise.

5/ Les divers organismes intervenant dans la démarche Solvabilité 2f

Les organismes suivants ont chacun un rôle spécifique dans l'application de la directive :

➢ Le CTIP (Centre technique des Institutions de Prévoyance) ne fait que dispenser des bonnes pratiques ;

c’est le pendant des fédérations, pour les Institutions de Prévoyance. Il représente et défend les intérêts des



Institutions de Prévoyance (rôle de porte-parole), ainsi que ceux des entreprises adhérentes et des salariés

participants, et a aidé à mettre en place Solvabilité 2.

➢ Le CEIOPS (voir annexe 3 : les acteurs concernés par la directive), remplacé par l'Autorité Européenne

de Contrôle de l’Assurance (ou EIOPA pour European Insurance and Occupational Pensions Authority) depuis le

1er janvier 2011, regroupait les représentants des autorités de contrôle des 30 États membres de l’Union

Européenne et de l’Espace Économique Européen. C’est dans le cadre du CEIOPS que s'est fait l’essentiel de

la coopération de l’ACP avec les autorités de contrôle européennes. La Commission Européenne a saisi le

CEIOPS pour lui demander des avis techniques ou des projets de mesures dites « de niveau 2 » dans le cadre

du processus Lamfalussy. Le CEIOPS suivait également l’application des directives communautaires

s’appliquant à l’assurance et aux pensions professionnelles. C’est dans le cadre du CEIOPS que l’ACP a

travaillé, en coopération avec les autres autorités de contrôle de l’Union Européenne, à la mise en place de

Solvabilité 2. Le CEIOPS a notamment fourni à la Commission Européenne une expertise technique pour la

rédaction de la proposition de directive de « niveau 1 », et a travaillé sur les mesures de « niveau 2 ».

La directive prévoit une cinquantaine de mesures d’application - comparables à des décrets d’application au

niveau français - que la Commission Européenne a adopté début 2011. Pour atteindre cet objectif, elle a confié

au CEIOPS les travaux de préparation de ces mesures et la consultation publique auprès des organismes

assureurs. L'EIOPA a pris la suite de ses missions depuis début 2011. a

➢ L’autorité de tutelle est l’ACP (Autorité de Contrôle Prudentiel, qui comprend l’ACAM aujourd’hui). Elle a

un pouvoir de contrôle et de sanction. Solvabilité 2 a été préparée et rédigée par les corps de contrôle des

grands pays (31 pays), dont l'ACP.

L'ACP veille à la qualité de la situation financière des entités des secteurs qu'elle supervise dans le but de

garantir la stabilité du système financier et la protection de leurs clientèles.

Cet organisme vient de la fusion des quatre autorités de la banque et de l’assurance (la Commission Bancaire,

l'Autorité de Contrôle des Assurances et Mutuelles, le Comité des Entreprises d'Assurance, et le Comité des

Établissements de Crédit et des Entreprises d'Investissement).

L'ACP peut contrôler les mutuelles et les Institutions de Prévoyance, mais surtout les banques et les

assurances, sur des thèmes variés. Par exemple, l'ACP est venu contrôler le Groupe de Protection Sociale de

l'un de mes interlocuteurs en février-mars 2011, et l'un des deux thèmes faisant l'objet d'un contrôle était la

gouvernance (même si cela n'avait rien à voir avec Solvabilité 2). L'ACP vient à intervalles réguliers effectuer

des contrôles : cet organisme était déjà venu contrôler ce Groupe de Protection Sociale en 2006, puis est

revenu en février-mars 2011 afin d'effectuer une mission d'audit générale sur la solvabilité et la gouvernance.



En ce qui concerne la solvabilité, l'ACP s'assure notamment que le Groupe de Protection Sociale dispose des

fonds propres nécessaires pour respecter ses engagements sur contrats, et contrôle également les conditions

générales des produits.

En ce qui concerne la gouvernance, l'ACP contrôle principalement que le Conseil d'Administration est bien

informé (reporting conforme à la réalité) et que la Direction Générale fait des choix de gouvernance adaptés (par

exemple, si l'assurance vend un produit déficitaire, il faut que cela soit justifié).

Ainsi, à partir de 2013, l'ACP contrôlera des thèmes liés à Solvabilité 2 : par exemple, l’ACP viendra s’assurer

que le pilier 2 est bien appliqué, à partir du 1er janvier 2013 en théorie. Cependant, en pratique, l'ACP attendra

certainement qu’un exercice ne s’écoule, afin que les entreprises puissent leur transmettre leur reporting (bilans,

comptes-rendus, descriptions des politiques de gestion des risques, et autres (nombreux) documents liés à

Solvabilité 2). Le but sera de s’assurer que ce pilier 2 est bien compris et approprié, et que l’organisation mise

en place exploite bien les dispositions du pilier 1.

Le rôle de l'autorité de tutelle est donc de faire en sorte que le plus grand nombre d'entreprises soient prêtes et

respectent les exigences de Solvabilité 2 au 1er janvier 2013, en les aidant et en les incitant à se mettre en

conformité avec les exigences de la directive et en organisant des conférences et des échanges pour répondre

aux questions des assureurs.

Enfin, précisons que les fédérations Agirc-Arrco n'ont aucun rôle à jouer ici car Solvabilité 2 ne concerne pas

l'activité « Retraite » des Groupes de Protection Sociale. Les fédérations Agirc-Arrco sont des associations

gérant les institutions de retraite complémentaire, or cette partie des Groupes de Protection Sociale n’est pas

directement impactée par Solvabilité 2 (voir le lexique pour plus de détails).

6/ Les trois piliers de Solvabilité 2 sont les suivants :

➢ Le pilier 1 détermine des exigences quantitatives à respecter, notamment sur l'harmonisation des

provisions et l'instauration de minima de fonds propres. Ce pilier concerne donc les calculs des provisions et du

capital réglementaire, en définissant des seuils quantitatifs de fonds propres et de provisions techniques : les

MCR et SCR. C'est donc une évaluation économique des exigences (provisions techniques, SCR, MCR) et des

ressources (fonds propres).

➢ Le pilier 2 impose la mise en place de dispositifs de gouvernance des risques (processus,

responsabilités, production et suivis d'indicateurs…), en définissant des normes qualitatives.

➢ Le pilier 3 traite de la publication des informations sur lesquels les deux précédents piliers sont basés et

qui permettront au public (actionnaires et analystes principalement) et aux autorités de contrôle de juger si



l'analyse effectuée est fidèle à la réalité. Il fixe les exigences en termes de reporting et de transparence, en

demandant aux entreprises la mise à disposition d’un ensemble d'informations détaillées concernant notamment

la détermination de leur exigence de capital. La transparence est donc le symbole du pilier 3, dont les

obligations viennent compléter le dispositif existant au niveau des piliers 2 et 3. Les entreprises devront

notamment fournir aux autorités de contrôle le Rapport aux Superviseurs (destiné uniquement aux autorités de

contrôle), qui devra comprendre les informations nécessaires au contrôle et permettre de prendre « toute

décision appropriée qu'impose l'exercice de leurs droits et obligations prudentiels », et également le Rapport sur

la Solvabilité et la Situation Financière. Ce rapport sera public et donnera les informations essentielles relatives

à la situation financière et à la solvabilité des assureurs. La publication de ces deux rapports s'effectuera sous la

responsabilité des organes de direction.

➢ Pour en revenir au pilier 2 (voir annexe 4 : présentation générale du pilier 2), ses exigences qualitatives

sont relatives à sept aspects : le Contrôle Interne (et la Conformité), l'Audit Interne, la gouvernance (des critères

« Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise), la mise en place d'un système de gestion

des risques (Risk Management), la fonction actuarielle, la sous-traitance, et enfin, le volet « ORSA » (évaluation

interne des risques et de la solvabilité).

➢ Ce pilier 2 met donc l’accent sur les exigences qualitatives, en soulignant l’importance de la bonne

gouvernance pour la gestion du risque de l’assureur et pour l’efficacité de la supervision. Il concerne donc le

système de gouvernance des risques, c'est-à-dire le Risk Management, le Contrôle Interne et l'Audit Interne

principalement. Nous nous attarderons ici sur ces trois fonctions et sur les impacts directs et indirects provoqués

par Solvabilité 2 sur celles-ci.

➢ Le but du pilier 2 de Solvabilité 2 est de renforcer les mécanismes de Contrôle Interne et la

gouvernance, et donc de « valider » le pilier 1 en justifiant les chiffres et en les surveillant, par le biais de la

création d'un dispositif de maîtrise des risques.

En effet, il va permettre de garantir la maîtrise des activités nécessaires à la mise en œuvre du pilier 1, de fournir

des données complémentaires, notamment sur le risque opérationnel, et surtout d'intégrer les résultats obtenus

dans le pilier 1 dans les modes de fonctionnement et gouvernance de l’entreprise.

Ce pilier 2 va donc permettre d'anticiper, connaître, organiser et administrer les risques, et de créer des

politiques qui permettront de les gérer. Il entraîne donc logiquement une augmentation des pouvoirs confiés aux

Conseils d'Administration, ainsi que la création de Comités d'Audit et de Comités des Risques.

Le système de maîtrise des risques à mettre en place doit reposer sur quatre dispositifs que sont la

gouvernance, la gestion des risques, le Contrôle Interne et l'Audit Interne (voir annexe 5 : les acteurs de la

gestion des risques et leurs rôles). Ces dispositifs sont renforcés par la mise en place de fonctions-clés au sein

des organisations. Les acteurs concernés par les changements provoqués par le pilier 2 en termes de maîtrise



des risques sont donc principalement la Direction du Contrôle Interne, la fonction Risk Management, les

responsables de la fonction Conformité, et la Direction de l’Audit Interne.

Ce mémoire va donc se centrer sur les impacts du pilier 2 sur ces fonctions, qui sont les principaux acteurs de la

gouvernance des risques.



Partie 2 : les impacts du pilier 2 sur le Risk Management

A/ Les articles fondamentaux et leur traduction

➢ 1/ Article consacré à la gestion des risques (article 44)

L'article consacré à la gestion des risques dans la directive Solvabilité 2 est le suivant :

« 1. Les entreprises d'assurance et de réassurance mettent en place un système de gestion des risques efficace, qui comprenne les

stratégies, processus et procédures d'information prudentielle nécessaires pour déceler, mesurer, contrôler, gérer et déclarer, en

permanence, les risques auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques, au

niveau individuel et agrégé.

Ce système de gestion des risques est efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de

décision de l'entreprise d'assurance ou de réassurance et dûment pris en compte par les personnes qui dirigent effectivement

l'entreprise ou qui occupent d'autres fonctions-clés.

2. Le système de gestion des risques couvre les risques à prendre en considération dans le calcul du Capital de Solvabilité Requis

conformément à l'article 101, paragraphe 4, ainsi que les risques n'entrant pas ou n'entrant pas pleinement dans ce calcul.

Il couvre au moins les domaines suivants:

a) la souscription et le provisionnement;

b) la gestion actif-passif;

c) les investissements, en particulier dans les instruments dérivés et engagements similaires;

d) la gestion du risque de liquidité et de concentration;

d bis) la gestion opérationnelle des risques;

e) la réassurance et les autres techniques d'atténuation du risque.

Les politiques écrites concernant la gestion des risques visées à l'article 41, paragraphe 3, comprennent des politiques concernant

le deuxième alinéa, points a) à e), du présent paragraphe.

3. En ce qui concerne le risque d'investissement, les entreprises d'assurance et de réassurance démontrent qu'elles satisfont aux

dispositions du chapitre VI, section 6.

4. Les entreprises d'assurance et de réassurance prévoient une fonction "gestion des risques", qui est structurée de façon à faciliter la

mise en œuvre du système de gestion des risques.

5. Pour les entreprises d'assurance et de réassurance utilisant un modèle interne partiel ou intégral qui a été approuvé conformément

aux articles 110 et 111, la fonction "gestion des risques" recouvre les tâches supplémentaires suivantes:

a) conception et mise en œuvre du modèle interne;

b) test et validation du modèle interne;

c) suivi documentaire du modèle interne et de toute modification qui lui est apportée;

d) information de l'organe d'administration ou de gestion concernant, d'une part, la performance du modèle interne, avec

suggestions quant aux éléments à améliorer, et, d'autre part, l'état d'avancement des efforts déployés pour remédier aux

faiblesses précédemment détectées;

e) analyse de la performance du modèle interne et production de rapports de synthèse concernant cette analyse. »



Tout d'abord, il faut préciser que, afin que les changements provoqués par Solvabilité 2 soient progressivement

mis en œuvre, l'adoption de la directive s'est déroulée dans le respect du processus « Lamfallussy »,

schématisé en annexe 6 (cette précision est valable pour les parties 2, 3 et 4) :

-la directive définit les grands principes de la réforme (niveau 1) ;

-les mesures d'application spécifient les éléments techniques et donnent des règles plus précises (niveau 2).

Sur mandat de la Commission Européenne, le CEIOPS a donc rédigé des avis techniques (mesures

d'exécution) en vue de l’élaboration des mesures de niveau 2 (appelés « Issue Papers » et « Consultations

Papers »). En annexe 7 figurent les mesures d'application relatives aux articles cités dans ce mémoire ;

-des recommandations élaborées par le CEIOPS sont adoptées en vue d'une application convergente au sein

de l'Union Européenne (niveau 3) ;

-enfin, le niveau 4 est la vérification de la conformité des droits nationaux avec le droit européen.

Ainsi, d'après cet extrait de la directive, la mesure d'application correspondante (voir annexe 7), mes entretiens

avec des Directeurs de l'Audit Interne (mon guide d'entretien figure en annexe), et mes recherches, les

changements principaux entraînés au niveau du Risk Management par Solvabilité 2 sont les suivants :

➢ 2/ O bligation de disposer d'une fonction « Risk Management »

Le point le plus important de cet article est qu'il implique la création (ou le renforcement) d'un système de

gestion des risques, et donc d'un service Risk Management (voir lexique). Ce système de gestion des risques

doit être intégré à la structure organisationnelle de l'entreprise et doit constituer un dispositif d'identification,

d'évaluation et de gestion permanente des risques financiers, assurantiels, opérationnels etc. (voir annexe 8 :

construction d'un système de management des risques). Le service Risk Management, qui doit être indépendant

et donc détaché de tout autre service (y compris le Contrôle Interne et l'Audit Interne) devra également assister

et conseiller le Conseil d'Administration et la Direction en ce qui concerne la gestion des risques (par le biais par

exemple de reporting sur l'exposition aux risques), et globalement, prendre en charge le système de gestion des

risques.

Au cours des entretiens que j'ai menés dans le cadre de ce mémoire, j'ai donc demandé à mes interlocuteurs les

changements provoqués par l'application de la directive au sein de leur entreprise, au niveau du Risk

Management.

Ainsi, un premier interlocuteur m'a expliqué qu'au sein de son entreprise, un Groupe de Protection Sociale de

taille moyenne, a été lancé en 2006 un projet de constitution d'une cartographie des risques dont le périmètre

couvrait tous les métiers du groupe, puis a été créée en 2008 la fonction « Management des risques » afin de



compléter le dispositif de Contrôle Interne en apportant une vision globale et synthétique des risques

opérationnels majeurs portés par le groupe, et de participer à la prévention des risques opérationnels et à la

maîtrise des situations de crise (création de Plans de Continuité d'Activité notamment). Cependant, cette

fonction était à l'état embryonnaire, et était reliée à l'Audit Interne.

La séparation de la Direction de l'Audit Interne et du pôle Management des Risques a eu lieu en 2009, afin

d'assurer l'indépendance de l'Audit Interne, en vue de la mise en conformité avec Solvabilité 2, comme nous le

verrons dans la partie 4, consacrée à l'Audit Interne.

Puis, toujours dans l'optique de cette mise en conformité, l'entreprise a décidé de créer une véritable fonction

Risk Management. La Direction des Risques et de la Solvabilité (DRS) a donc été créée en 2010, puisque la

directive demande à tout organisme d'assurance de mettre en place une vision exhaustive, transverse et

intégrée des risques, aussi bien opérationnels qu'assurantiels. C'est pour répondre à cet objectif qu'a été créée

cette DRS, initialement constituée du Management des Risques et de l'Actuariat Central. Cette Direction est

composée de deux pôles : un pôle Management des Risques, en charge plus particulièrement des risques

opérationnels, des Plans de Continuité d'Activité (PCA) et de la cellule de crise du groupe, et un pôle Solvabilité,

en charge plus particulièrement de la gestion de la base « Solvabilité 2 », des reportings réglementaires, des

calculs de solvabilité, et de l'ORSA.

Les principales missions de cette Direction sont les suivantes :

-administration et coordination du dispositif de gestion des risques sur un axe quantitatif mais aussi un axe

qualitatif au sein du groupe.

-consolidation de la gouvernance des risques du groupe. A cet effet, elle doit poursuivre l'identification, la

mesure et la maîtrise des risques majeurs, en coordination avec les différents managers, le Contrôle Interne et

ses outils (cartographie, base incidents...). Afin que l'analyse des risques soit pertinente et anticipatrice, cette

Direction s'appuie sur une activité de veille qui permettra de remonter les zones de vulnérabilité jugées

dangereuses ou inacceptables pour le groupe ; cette veille est interne (analyse des incidents et des

manquements aux objectifs) et externe (anticipation des événements politiques, sociaux, économiques pouvant

avoir des conséquences sur l'organisation et l'image du groupe).

Mon interlocuteur m'a précisé qu'au sein de son entreprise, l'accent est mis sur les risques informatiques, ce qui

est logique puisque pour une activité d'assurance, toutes les données sont dématérialisées. Les risques liés aux

données (ressource principale du métier de l'assurance), aux applicatifs et aux ressources seront consolidés et

gérés au travers de la cartographie des risques du groupe.

-conseil en matière de maîtrise des risques et de pilotage de la solvabilité auprès de la Direction Générale,

permettant ainsi de garantir le respect des équilibres financiers du groupe, notamment dans une vision



moyen/long terme. Elle contribue donc à définir la stratégie de l'entreprise, et veille notamment au bon niveau de

solvabilité de l'activité Assurances de Personnes du groupe.

-prévention des risques liés aux grandes mutations de l'entreprise : en coordination avec le Département

Organisation, il s'agit de formaliser les risques critiques liés aux projets majeurs, aux mutations ou décisions

stratégiques et de les intégrer dans la cartographie des risques du groupe.

-gestion des situations de crise : la DRS a pour mission de mettre en place des PCA, et est en charge de la

gestion des crises au sein du groupe. A ce titre sont organisés des tests de crise de façon à préparer le groupe à

faire face à ces situations extrêmes. Enfin, concernant la sécurité des biens et des personnes, la DRS réalise

chaque année une analyse du niveau de sécurité des bâtiments du groupe.

Ses principaux objectifs sont donc les suivants :

-identifier les zones de risques et apporter un conseil en matière de maîtrise de ces risques,

-veiller à ce que le système de gestion, de prévention, de contrôle, et de management des risques du groupe

soit cohérent et efficient,

-offrir une vision de la solvabilité sur un axe réglementaire mais aussi sur un axe de pilotage,

-assurer le reporting sur la solvabilité, les risques et actionner des alertes si besoin (reporting interne et

réglementaire). En effet, concernant le reporting réglementaire, la DRS est le pilote du processus d'élaboration

des reportings « réglementaires » (pilier 3 de la directive). A ce titre, elle administre la base « Solvabilité 2 »

permettant de collecter en amont les informations nécessaires à ces reportings, établit les reportings, et est

l'interlocuteur privilégié des autorités de contrôle de l'assurance.

Au sein de cette entreprise, cette Direction est rattachée à la Direction Générale, qui doit disposer d'une vision

complète des risques du groupe et répondre aux enjeux associés à Solvabilité 2. A ce titre, la DRS couvre

l'ensemble des activités de ce groupe : retraite, assurance, action sociale, gestion d'actifs, gestion directe ou

pour compte de tiers. Le but est de répondre de manière coordonnée aux réglementations qui s'imposent au

groupe en matière de maîtrise des risques, qui sont les recommandations de l'Agirc-Arrco pour les activités de

retraite, le règlement général de l'AMF, et surtout Solvabilité 2.

Cette Direction devra donc surtout prendre en charge la gestion des risques opérationnels (voir lexique), et

fournir à la Direction Générale et au Conseil d'Administration une visibilité suffisante sur des opportunités mais

aussi des zones de vulnérabilité. Les enjeux concernant ces risques opérationnels sont notamment :

-d'en améliorer l'analyse et la maîtrise via le processus d'identification, de mesure et de reporting,

-de protéger le patrimoine, la responsabilité et les personnes au travers du pilotage du portefeuille des contrats

d'assurance du groupe,

-de coordonner la mise en place et le maintien en condition opérationnelle des PCA du groupe,



-d'être le garant du bon fonctionnement du dispositif de gestion de crise du groupe.

Un second interlocuteur m'a expliqué qu'au sein de son entreprise, un groupe de taille importante, une Direction

des Risques a été créée en 2008, comprenant une Direction « Chantier Solvabilité 2 » (ayant pour rôle principal

le suivi de la mise en conformité avec la directive), une Direction Conformité, une Direction des Systèmes

d'Information, une Direction du Contrôle Interne, et un service Management des Risques. Toutes ces Directions

seront impactées par la directive, et l'on constate que la création d'un service Risk Management a été

conditionnée par la mise en conformité avec Solvabilité 2.

Un autre Directeur m'a confirmé que l'impact principal causé par Solvabilité 2 concerne les changements

d'organisation, puisqu'il n'existait pas de Direction des Risques au sein de son entreprise il y a quelques années.

Il a donc fallu la créer puis sensibiliser toute l'entreprise à la maîtrise des risques.

Enfin, deux autres Directeurs m'ont indiqué que leurs entreprises, de « petits » Groupes de Protection Sociale,

partent de zéro en ce qui concerne le Risk Management, car leurs groupes ne disposent toujours pas, pour le

moment, d'une fonction Gestion des Risques. Étant donné que Solvabilité 2 impose l'existence d'une telle

fonction, ces entreprises vont devoir la créer, en définissant tout d'abord en quoi cette fonction va consister, puis

en lui définissant un périmètre, des missions, et en lui assignant des collaborateurs et des compétences.

Solvabilité 2 provoque donc un changement considérable pour ces entreprises.

On constate donc que l'obligation de disposer d'une fonction Risk Management impacte toutes les entreprises,

sans exception, mais que certaines ont été plus promptes que d'autres à réagir et à répondre à cette exigence.

Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ce sujet fait même l'objet d'un « projet stratégique »

identifié comme tel dans la stratégie du groupe (« mettre en place le système de management des risques et de

la qualité du groupe »). Bien sûr, les grands groupes, qui disposent de plus de moyens, ont eu (et auront) plus

de facilités pour répondre aux exigences de la directive, d'autant plus que le pilier 2 de Solvabilité 2 provoque

des changements plus faibles au sein de ces entreprises puisqu'elles sont déjà souvent assez avancées dans le

domaine de la Gestion des Risques, et disposent des moyens et compétences suffisants pour s'adapter aux

changements. En revanche, certaines petites entreprises vont devoir créer et structurer une fonction Risk

Management en partant de zéro, ce qui aura un coût financier important, mais également un coût en termes de

temps. Il faudra également assigner des collaborateurs à cette fonction, en les recrutant si les compétences ne

font pas déjà partie de l'entreprise, ce qui aura un coût supplémentaire. Enfin, la création d'un nouveau service

et d'une nouvelle fonction aura un impact fort sur l'organisation toute entière de ces entreprises, des

opérationnels (le Risk Management devant souvent travailler avec eux afin d'identifier et d'évaluer les risques à

gérer) jusqu'aux dirigeants (les travaux du Risk Management devant être pris en compte dans la prise de

décision).



➢ 3/ Autres exigences réglementaires de Solvabilité 2 par rapport au Risk Management

Au-delà de ce changement principal, la directive comprend d'autres exigences :

-Tout d'abord, la fonction Risk Management doit disposer d'une stratégie de gestion des risques précisant

notamment les objectifs de la gestion des risques et l'appétit au risque de l'organisation, d'un véritable dispositif

de maîtrise des risques (passant souvent par l'achat d'un logiciel dédié à la gestion des risques) ainsi que des

cartographies des processus et des risques financiers, stratégiques, juridiques et surtout opérationnels. Ainsi, au

sein de l'entreprise de l'un de mes interlocuteurs, le service Risk Management a formalisé une cartographie des

risques composée de 2900 risques de niveau « micro » (risques principalement opérationnels) concernant tous

les processus, mais également une cartographie des risques « macro » (risques opérationnels, financiers etc.)

composée d'une trentaine de risques, associés aux processus impactés par ces risques. Cette cartographie

concerne surtout l'activité Assurance de Personnes du groupe, en vue de Solvabilité 2. Les risques découlant

des décisions stratégiques et les risques de réputation sont traités à part, comme nous le verrons dans le point 4

sur le volet ORSA.

De plus, Solvabilité 2 définit sept catégories de risques opérationnels :

-malveillance intentionnelle (fraude interne),

-fraude externe,

-ressources humaines et environnement de travail,

-clients, produits et pratiques professionnelles,

-réalisation des opérations,

-systèmes d'information et continuité,

-périls.

Les risques opérationnels sont donc des risques de pertes dues à une inadéquation ou à une défaillance des

procédures, personnels, systèmes internes ou à des événements extérieurs. L'entreprise devra évaluer

l'exigence de fonds propres relative à ces risques opérationnels.

Pour cela, il faudra tout d'abord recenser ces risques, puis les mesurer (les évaluer en termes de fréquence et

d'impact), en adoptant une approche « par les processus » (en décomposant en activités chaque processus de

l'entreprise). Ainsi, un chantier concernant l'identification et le traitement des risques opérationnels a été mis en

place au sein de l'entreprise de l'un de mes interlocuteurs ; les Directeurs de l'Audit, du Contrôle Interne et du

Risk Management se réunissent une fois par mois pour faire le point sur ce sujet. Cette obligation d'inclure les

risques opérationnels dans les exigences de solvabilité avait été critiquée par certaines entreprises lors de la

publication de la directive car il leur apparaissait difficile de modéliser ces risques, qui sont considérés comme

complexes à isoler et à quantifier. Cependant, les entreprises d'assurance sont directement exposées à ces

risques et peuvent donc retirer un avantage de leur pilotage efficace.



Il faut également prendre en compte les risques de souscription (risques pris par un assureur lors de la

distribution de contrats d'assurance auprès de personnes physiques morales), le risque de marché ( risque de

variation du prix d’une grandeur économique constatée sur un marché se traduisant par une perte), et le risque

de crédit (ou risque de contrepartie, c'est-à-dire le risque qu'un tiers ne respecte pas ses engagements), d'après

l'article 101.

Ces risques recouvrent globalement les catégories suivantes :

-risques techniques, liés à la définition et à la conception des produits d’assurance,

-risques liés aux équilibres de souscription, relatifs à la maîtrise des risques sur les opérations de

souscription d’un contrat d’assurance ou réassurance,

-risques liés au versement des prestations garanties par les contrats,

-risques liés au provisionnement (sur primes et sinistres),

-risques liés au recours à la réassurance : cessions, acceptations ou rétrocessions internes.

De plus, le CEIOPS a recommandé aux entreprises de mettre en place une échelle de cotation des risques à

cinq niveaux, en termes de probabilité de survenance (de « très faible probabilité » à « inévitable ») et d'impact

(de « « aucune conséquence » à « conséquences négatives et impact majeur sur les opérations

quotidiennes »), afin de classer ces risques.

Une démarche globale de management des risques comprend en effet les étapes suivantes, traditionnellement :

recensement et évaluation des risques, recensement et évaluation des actions de maîtrise, priorisation des

actions, et définition du plan d'action (voir annexe 9 : les différentes étapes d'une approche permettant de

maîtriser les risques de l'organisation).

Quant à la démarche de cartographie des risques, elle passe généralement par les étapes suivantes :

décomposition de chaque processus en activités, recensement des risques de chaque activité et des contrôles

associés, évaluation des risques (évaluation du risque brut, puis évaluation des contrôles, et évaluation du

risque résiduel, c'est-à-dire le niveau de risque après prise en compte de l'efficacité des dispositifs de contrôle

mis en place).

Le Risk Management devra également se positionner par rapport à un niveau d’acceptation du risque fixé par la

gouvernance.

-Cette fonction devra donc identifier et mesurer les risques, puis les gérer, c'est-à-dire les prendre en compte

dans la stratégie de l'entreprise.

Bien sûr, les entreprises d'assurance n'ont pas attendu Solvabilité 2 pour accorder une attention particulière à la

notion de risque, puisque l'assurance s'est construite autour du transfert et de la gestion des risques : l'assuré

transfère ses risques à un assureur qui y fera face moyennant le paiement d’une prime. C’est pour cela que les

autorités de contrôle des assurances sont très attentives à la solvabilité des compagnies d’assurance : en effet,



l’assureur ayant encaissé les primes de ses assurés doit pouvoir faire face aux engagements qu’il a pris envers

eux. Pour cela, il devra constituer une provision technique correspondant à ses engagements ainsi que des

fonds propres. Le métier des assureurs est donc bien de prendre en charge les risques, de les quantifier et de

les tarifer au mieux. Ainsi, le ratio « S/P » (sinistres sur primes) est considéré avec beaucoup d'attention par les

sociétés d'assurance : ce ratio représente le résultat technique, qui compare les encaissements (le « P »

représente les encaissements de chiffre d'affaires) et la charge globale des prestations versées aux clients (le

« S »). Si ce ratio est inférieur à 1, cela signifie donc que l'activité est bien gérée. En moyenne, dans le secteur

de l'assurance, ce ratio est d'environ 0,85.

Solvabilité 2 ne présente donc pas un aspect révolutionnaire au niveau du Risk Management puisque cette

directive vise surtout à renforcer la gestion des risques. Par exemple, concernant l'acceptation des risques, la

position du groupe devra être la suivante afin de respecter Solvabilité 2 : l'entreprise doit faire le choix d'accepter

des risques si et seulement si elle a les moyens en termes de fonds propres pour les couvrir. Solvabilité 2, et

plus particulièrement son pilier 1, va donc se traduire par des exigences plus élevées en termes de fonds

propres. Ainsi, le Directeur d'un Groupe de Protection Sociale que j'ai rencontré m'a indiqué que son entreprise

dispose aujourd'hui d'une marge de solvabilité égale à 8 (c'est-à-dire que le groupe dispose d'un capital 8 fois

supérieur à l'exigence en capital demandée par Solvabilité 1), alors que Solvabilité 1 exige que cette marge de

solvabilité soit « simplement » supérieure à 2. En effet, la marge de solvabilité est calculée en divisant les fonds

propres par l'exigence de marge de solvabilité. La plupart des assureurs disposent cependant d'une marge de

solvabilité environ égale à 4 en moyenne aujourd'hui. Cette entreprise qui dispose d'une marge égale à 8 est

donc dans une situation très appréciable puisque largement au-dessus des exigences minimales.

Or, avec les exigences revues à la hausse de Solvabilité 2, ce chiffre passera à 3,15 : cela signifie que

l'entreprise couvre le capital cible (le SCR) environ 3 fois. Cela reste très confortable et signifie que ce groupe

dispose de fonds propres élevés, car pour la majorité des entreprises, ce chiffre se situera plutôt entre 1 et 2. En

effet, un Groupe de Protection Sociale peut se permettre de disposer de fonds propres élevés ; cependant, les

sociétés d'assurance cherchent plutôt à rapprocher ce chiffre de 1 car plus le montant de leurs fonds propres est

élevé, plus elles doivent en distribuer à leurs actionnaires. En effet, ceux-ci sont rémunérés à partir des fonds

propres : une augmentation de ces derniers est donc contraignante puisqu'elle entraîne une augmentation de la

rémunération des actionnaires. En revanche, les Groupes de Protection Sociale n'ont pas d'actionnaires, et

peuvent donc se permettre d'avoir des fonds propres élevés. D'autant qu'une marge de solvabilité élevée

constitue une sécurité, et renvoie une image positive du groupe puisque c'est un gage de bonne santé financière

de l'entreprise.

Pour respecter Solvabilité 2, il faudra, pour chaque démarche stratégique, identifier et surtout tenir compte des

risques. Par exemple, une entreprise qui souhaite développer des partenariats avec des petites mutuelles devra



prendre en compte les risques que cela comporte et donc avoir les moyens en termes de fonds propres pour les

couvrir afin de respecter les exigences de Solvabilité 2.

C'est en cela que le pilier 2 et ses dispositions concernant le Risk Management viennent « soutenir » les

entreprises dans leur démarche visant à répondre aux exigences quantitatives élevées du pilier 1.

-Pour préparer ces changements, les entreprises ont donc mis en place des plans d'actions, visant à :

-Définir et formaliser une politique de gestion des risques (définition du profil de risque du groupe et de

chacune des entités, des indicateurs de risques, description des mesures prises en matière de maîtrise

des risques et d'évaluation de leur efficacité),

-Décliner la politique de gestion des risques par familles de risques (assurantiels, financiers et actif/

passif, contrepartie, opérationnels),

-Mettre en cohérence les différentes stratégies et politiques (politique financière, assurantielle,

réassurance, développement, etc.…) avec la politique de gestion des risques,

-Définir une limite globale de solvabilité au regard des exigences de marge et des éléments de capital

entrant en couverture de ces exigences, des profils de risques, et des objectifs de développement et du

besoin de capital associé.

-Pour cela, la directive encourage les entreprises à adopter la démarche « Enterprise Risk Management »

(détaillée dans le référentiel COSO 2), afin qu'elles soient en mesure par elles-mêmes d'apprécier et de mesurer

leurs risques. D'après le COSO 2, la gestion des risques ou Enterprise Risk Management est un processus

impliquant le Conseil d'Administration, le management et tout le personnel, par lequel l'entreprise identifie,

évalue et répond à tous les risques susceptibles d'impacter les objectifs stratégiques et financiers de

l'organisation. Ce processus permet de maîtriser les risques afin qu’ils soient dans les limites de l'appétence au

risque de l’organisation, et permet de fournir une assurance raisonnable quant à la réalisation des objectifs de

l’organisation (qui peuvent être stratégiques, opérationnels, relatifs au reporting ou à la conformité).

La gestion des risques est décomposée en cinq éléments : définition des objectifs, identification des

événements, évaluation des risques, traitement des risques, et activités de contrôle.

Cette démarche ERM nécessite donc d'identifier tous les risques importants auxquels est exposée l'entreprise, à

tous niveaux, ce qui implique la construction d'une cartographie des risques (en utilisant les approches

classiques bottom-up ou top-down), puis d'en extraire les principaux risques susceptibles d'avoir un impact réel

sur l'activité. Le but est de concentrer les efforts sur les risques les plus adverses en termes de fréquence et/ou

d'intensité, afin de déterminer la réponse la plus adaptée (acceptation, transfert, réduction ou évitement du

risque).

Cette démarche est constituée des étapes suivantes :

1/ Identifier les risques,

2/ Mesurer ces risques,



3/ Essayer de les réduire,

4/ Il reste à gérer les risques résiduels restants,

5/ Mettre des fonds propres en face de ces risques afin de les maîtriser au mieux.

L'entreprise doit donc commencer par :

-Formaliser une politique de gestion des risques (voir annexe 10 : les missions de la fonction Risk

Management),

-Déterminer son profil de risque (niveau d’exposition au risque) et son appétence aux risques,

-Définir des limites de risques permettant de gérer l’activité en cohérence avec l’appétence aux risques

définie,

-Mettre en place un processus visant à orienter le processus budgétaire en fonction de l’appétence aux

risques (seuils fixés par risques),

-Analyser la capacité à poursuivre le développement de l’activité à moyen/long terme en mesurant les

exigences en matière de gestion des risques et de ressources financières associées.

Le pilotage de l'ERM doit être confié à une cellule indépendante des directions opérationnelles disposant d'un

rapport direct avec le Conseil d'Administration : c'est donc logiquement au service Risk Management de le

prendre en charge. L'implication du Conseil d'Administration est essentielle pour construire la stratégie de

l'entreprise par rapport à la gouvernance des risques notamment. A noter, l'Audit Interne a entres autres pour

mission de fournir une assurance raisonnable quant à l'efficacité et au bon fonctionnement du processus de Risk

Management, et de contribuer à l'améliorer, mais il peut aussi être amené, éventuellement, à avoir un rôle de

consultant dans la démarche ERM.

Le but est que les entreprises soient en mesure par elles-mêmes d'apprécier et de mesurer leurs risques. Au-

delà de la simple validation d'une « check-list », l'autorité de contrôle aura les pouvoirs de contrôler la qualité

des données, les procédures d'estimation et les systèmes mis en place pour mesurer et maîtriser les risques au

cas où ils se matérialiseraient. L'autorité de contrôle aura même le pouvoir d'imposer une marge de solvabilité

complémentaire (capital add-on), sous certaines conditions, dans le cas où il aura été jugé que les risques sont

mal appréciés par l'entreprise.

Cependant, il faut préciser que Solvabilité 2 demande avant tout d'identifier puis de manager les risques de

façon rigoureuse : peu importe la démarche, les entreprises devront le faire. Elles ne sont donc pas dans

l'obligation d'utiliser une base de données ERM, et sont libres d'utiliser les outils souhaités. La directive

demande « simplement » aux entreprises de connaître les risques qu'elles ont à gérer, de les hiérarchiser et de

les quantifier en fonction de leur impact et de leur probabilité, et de les gérer au mieux. Les entreprises doivent

donc mettre en place des méthodes pour recenser, analyser et gérer les risques d'origine interne et externe

auxquels elles peuvent être confrontées, mais sont donc libres d'utiliser le référentiel de management des

risques de leur choix. Celui-ci peut être COSO 2 (et son cadre de référence de la gestion des risques appelé



« Enterprise Risk Management Framework »), mais également le référentiel de l'AMF, la norme ISO 31000, ou

encore le référentiel FERMA, qui classe les risques en quatre grandes catégories (financiers, opérationnels,

stratégiques et risques de péril), etc.

Par la suite, les techniques utilisées pour réduire les risques peuvent être :

-la réassurance : par exemple, tous les Groupes de Protection Sociale sont réassurés, et un Directeur

rencontré a résumé la situation en m'indiquant que l'Institution de Prévoyance est simplement

« présentée » au client, mais qu'une grande partie du risque est en fait pris en charge par un réassureur

comme AXA.

-la sécurité informatique.

-le Contrôle Interne.

Le but est d'arriver à un niveau de risque supportable par rapport aux fonds propres dont dispose l'entreprise.

-Ainsi, Solvabilité 2 demande aux entreprises de mettre en place une véritable gestion des risques. Cela se

traduit par un renforcement des fonctions Risk Management et Contrôle Interne (principalement), mais aussi par

un renforcement de la formalisation de la « piste d’audit ». En effet, pour respecter les exigences du pilier 3, les

entreprises devront effectuer beaucoup plus de reporting et expliquer leurs chiffres plus précisément.

Cette démarche est plus ou moins complexe à mettre en œuvre selon les acteurs :

-les grandes sociétés d’assurance ont pour la plupart un service d’Audit Interne indépendant, un service

Contrôle Interne et un service Risk Management qui appliquent des méthodologies rigoureuses, formalisent

leurs travaux et travaillent en suivant un cadre précis. L'application de cette démarche n’est donc pas une

grande épreuve pour elles, d'autant plus qu'elles disposent des moyens, effectifs et compétences suffisants pour

la mettre en œuvre. Il faudra « simplement » renforcer ce qui existe déjà.

-les Groupes de Protection Sociale disposent souvent d'un seul service, qui s’occupe de l’Audit Interne,

du Contrôle Interne et de la Qualité, voire de l’Audit Interne et du Risk Management. Or Solvabilité 2 exige

implicitement qu’une scission de ces activités soit faite, puisqu’elle exige que ces fonctions (notamment l'Audit

Interne) soient indépendantes et qu'une fonction Risk Management existe. Ainsi, Solvabilité 2 va avoir un fort

impact sur les Groupes de Protection Sociale puisqu'il faut commencer par séparer ces fonctions avant de

s'intéresser à leurs nouvelles missions entraînées par la mise en conformité avec Solvabilité 2. Si une fonction

Risk Management n'existe pas, il faudra la créer, puis définir son périmètre d'activité, ses objectifs, méthodes de

travail et missions, et lui assigner des collaborateurs. Solvabilité 2 entraîne donc un changement important pour

ces entreprises, qui s'accompagne d'une réorganisation.

-enfin, les petites mutuelles, pour la plupart, n’ont pas de réelles fonctions Audit Interne, Contrôle Interne

et Risk Management. La mise en conformité avec le pilier 2 de Solvabilité 2 va donc être très contraignante pour

elles, même si les exigences de l'autorité de contrôle seront évidemment revues à la baisse et moins élevées



que pour les grands groupes. Le manque d'effectifs et le budget limité de ces entreprises sont les principaux

obstacles à leur mise en conformité avec ce pilier 2. Cependant, leur principal problème reste le pilier 1 et ses

exigences en termes de fonds propres : ainsi, l'évolution du monde de l’assurance après Solvabilité 2 pourrait

être marquée par le fait que de nombreuses petites mutuelles ne passeront pas le cap de Solvabilité 2 en raison

d'une marge de solvabilité trop faible (nous évoquerons ce sujet dans la cinquième partie de ce mémoire).

➢ 4/ Le volet « ORSA » (évaluation interne des risques et de la solvabilité)

-L'article consacré à l'ORSA est l'article 45 de la directive :

« 1. Dans le cadre de son système de gestion des risques, chaque entreprise d'assurance ou de réassurance procède à une évaluation

interne des risques et de la solvabilité.

Cette évaluation porte au moins sur les éléments suivants:

a) le besoin global de solvabilité, compte tenu du profil de risque spécifique, des limites approuvées de tolérance au risque

et de la stratégie commerciale de l'entreprise;

b) le respect permanent des exigences de fonds propres prévues au chapitre VI, sections 4 et 5, et des exigences

concernant les provisions techniques prévues au chapitre VI, section 2;

c) la mesure dans laquelle le profil de risque de l'entreprise s'écarte des hypothèses qui sous-tendent le Capital de

Solvabilité Requis prévu à l'article 101, paragraphe 3, calculé à l'aide de la formule standard conformément au chapitre VI,

section 4, sous-section 2, ou avec un modèle interne partiel ou intégral conformément au chapitre VI, section 4, sous-section

3.

2. Aux fins du paragraphe 1, point a), l'entreprise concernée met en place des procédures qui sont proportionnées à la nature, à

l'ampleur et à la complexité des risques inhérents à son activité et qui lui permettent d'identifier et d'évaluer adéquatement les

risques auxquels elle est exposée à court et long terme, ainsi que ceux auxquels elle est exposée, ou pourrait être exposée.

L'entreprise démontre la pertinence des méthodes qu'elle a utilisées pour cette évaluation.

3. Dans le cas visé au paragraphe 1, point c), lorsqu'un modèle interne est utilisé, l'évaluation est effectuée parallèlement au

recalibrage qui aligne les résultats du modèle interne sur la mesure de risque et le calibrage qui sous-tendent le Capital de

Solvabilité Requis.

4. L'évaluation interne du risque et de la solvabilité fait partie intégrante de la stratégie commerciale, et il en est tenu systématiquement

compte dans les décisions stratégiques de l'entreprise.

5. Les entreprises d'assurance et de réassurance procèdent à l'évaluation prévue au paragraphe 1 sur une base régulière et

immédiatement à la suite de toute évolution notable de leur profil de risque.

6. Les entreprises d'assurance et de réassurance informent les autorités de contrôle des conclusions de chaque évaluation interne du

risque et de la solvabilité, dans le cadre des informations à fournir en vertu de l'article 35.

6 bis. L'évaluation interne des risques et de la solvabilité ne sert pas à calculer un montant de capital requis. Le Capital de Solvabilité

Requis ne peut varier que conformément aux articles 37, 229, 230, 231 et 236. » f



Ce volet ORSA (« Own Risk and Solvency Assessment ») fait l'objet d'un article qui lui est propre au sein de la

directive, ce qui montre son importance. D'autant plus qu'un « Issue Paper » du CEIOPS vient le compléter (voir

annexe 7), ainsi qu'un « Feedback Statement » visant à répondre aux principales interrogations des entreprises,

et un projet de texte de niveau 3 publié en décembre 2010. C'est au service Risk Management de prendre en

charge ce travail (même si le Contrôle et l'Audit Internes pourront être amenés à participer également), ce qui

explique qu'il soit évoqué ici :

-L'ORSA (voir annexe 11 : organisation générale de l'ORSA) doit contenir l'évaluation d'un besoin global de

solvabilité, la couverture permanente des exigences de fonds propres (les fonds propres doivent être en

permanence suffisants pour couvrir les SCR et MCR), l'adéquation ou non des hypothèses de la formule

standard (ou du modèle interne, voir lexique) au profil des risques de l'entreprise, et l'identification des

principaux risques auxquels est exposée l'entreprise. L'ORSA doit faire partie intégrante du système de Risk

Management, et doit être adapté à la nature, la complexité et l'ampleur des risques pris. Chaque entreprise

devra donc analyser ses risques et évaluer ses besoins de fonds propres en tenant compte de son profil de

risque spécifique, de ses limites approuvées de tolérance au risque et de sa stratégie commerciale. Le but est

d'aller au-delà du calcul réglementaire imposé par le pilier 1 tout en le complétant, et de traduire l’analyse des

risques en termes de besoin en capital.

-L'ORSA est donc un outil de gestion des risques spécifique à Solvabilité 2, défini par le CEIOPS comme « un

processus interne faisant partie des décisions stratégiques de l'entreprise ». Il doit permettre de démontrer que

les risques de l'entreprise sont identifiés et quantifiés de façon adéquate. L'évaluation interne du risque doit

aussi permettre d'ajuster l'adéquation entre les fonds propres et les exigences de capital calculées dans le cadre

du pilier 1, et d'identifier les mesures de risques dans le modèle interne ou dans la formule standard qui

s'écartent trop de la réalité. Le but principal est donc d'aider l’entreprise à déterminer la valeur réelle des fonds

propres nécessaires pour répondre à ses engagements. La directive décrit l’ORSA comme un outil du système

de management des risques qui demande aux entreprises d’évaluer leurs risques à court et long terme ainsi que

la quantité de fonds propres nécessaires pour les couvrir. L’ORSA représente également une importante source

d’information pour les autorités de supervision.

D’un point de vue réglementaire, l’ORSA sera donc un exercice à travers lequel les entreprises devront fournir la

preuve au superviseur qu’elles appréhendent leurs risques de façon cohérente et formalisée. Il ne sera pas

nécessaire d’avoir recours à une modélisation complexe, mais l’approche retenue devra être « convaincante ».

On retrouve là l’aspect qualitatif du pilier 2, qui le différencie du pilier 1 et le rend plus « flou » et plus difficile à

appréhender, mais aussi à juger.



D'après l'un de mes interlocuteurs, au sein de son entreprise, la Direction des Risques est responsable de

l'ORSA, conformément à ce qu’indique la directive. Réalisé en coordination avec l'ensemble des services

contributeurs (technique, financier, commercial, contrôle de gestion...), ce document permet de :

-déterminer le niveau de fonds propres « économiques » disponibles (montant de fonds propres nécessaire pour

faire face à des pertes inattendues), en intégrant l'ensemble des risques, un horizon de temps en phase avec

les engagements, les stratégies de développement et les limites de tolérance aux risques approuvées par le

Conseil d'Administration.

-déterminer le niveau de fonds propres « règlementaires » disponibles (qui se caractérisent par une mesure

individualisée du risque, et notamment par une segmentation entre classes de risque).

En résumé, d'après un Directeur rencontré, l'ORSA consiste à mettre en place un processus visant à identifier

les risques, les évaluer et mettre en place un dispositif de gestion des risques adapté. Il est en train d'être étudié

par les entreprises en ce moment-même. C'est donc l'ensemble des processus, procédures et cartographies

permettant d’identifier, mesurer, gérer les risques, de réaliser un reporting sur ceux-ci et de déterminer les fonds

propres nécessaires pour couvrir ces risques. Il s'agit pour l'entreprise de démontrer sa capacité à maîtriser ses

risques.

-De plus, l’autre utilité du volet ORSA vient du fait que le pilier 1 de Solvabilité 2 permet de calculer le montant

de capital requis : les paramètres pris en compte dans ce calcul sont destinés à couvrir les risques techniques,

financiers et opérationnels par le biais d’un calcul forfaitaire. Le défaut de ce système est donc qu'il ne couvre

pas la totalité des risques que peuvent rencontrer les entreprises d’assurance, notamment les risques

stratégiques et les risques de réputation. En effet, les risques opérationnels comprennent les risques juridiques

mais pas les risques découlant des décisions stratégiques et les risques de réputation. Ces risques doivent donc

être gérés à part, afin de calculer leur impact sur la marge de solvabilité du groupe. En effet, les risques

opérationnels peuvent être quantifiés (on détermine qu'ils sont égaux à un certain pourcentage des cotisations

encaissées), à la différence du risque stratégique et du risque de réputation. Or ces risques peuvent avoir un

impact énorme sur la solvabilité du groupe. Le problème est qu’ils sont difficilement quantifiables, ce qui

explique qu'on les analyse à part, afin de tout de même essayer de calculer l’impact qu’ils pourraient avoir sur la

solvabilité du groupe. L'ORSA est donc un outil permettant de dépasser la vision réglementaire de la solvabilité

et de traduire l'opinion de l'entreprise sur l'exposition aux risques et le niveau de capital requis pour les couvrir,

et de prendre en compte les risques ignorés dans l'évaluation réglementaire de la solvabilité.

-De plus, certaines entreprises, les Institutions de Prévoyance notamment, retiennent la formule standard pour le

calcul du montant des fonds propres (pilier 1), qui consiste à appliquer des barèmes standard de détermination

des fonds propres, contrairement à l'approche interne qui consiste à définir une méthode personnalisée de

calcul des MCR et SCR. Cette formule standard est construite sur la base de modules correspondant aux

différents risques identifiés : risques de marché, de souscription, de contrepartie et risque opérationnel. L'objectif



de cette formule standard est de donner un résultat de capital réglementaire correct pour un maximum

d'entreprises.

D'après l’un de mes interlocuteurs, l'autre aspect de l’ORSA consiste ainsi à répondre à la question suivante :

est-ce que les modèles mis en œuvre pour calculer les provisions sont assez pertinents ? En effet, le pilier 1 de

la directive exige de calculer la solvabilité instantanée ou à un an : le SCR est l’équivalent de la solvabilité

instantanée, qui permet donc de répondre à la question « l'entreprise va-t-elle pouvoir résister aux chocs de

l'année ? », ce qui est différent de la solvabilité à long terme, qui va dépendre de la stratégie commerciale, de la

stratégie de développement, de la gestion des risques etc. Ainsi, d'après l’un de mes interlocuteurs, le business

plan à moyen terme et à long terme de son entreprise a été modifié afin de prendre en compte les risques dans

la stratégie de l'entreprise. Ce processus ORSA consiste donc à prendre du recul sur la partie purement

« calcul » du pilier 1 et donner un avis, propre à chaque groupe, sur le montant des capitaux propres, en

évaluant les conséquences des décisions stratégiques que le groupe envisage de prendre sur la solvabilité à

moyen terme.

-Le volet ORSA est donc un processus individualisé pour chaque groupe. La majorité des entreprises est en

train en ce moment de le découvrir et de le mettre en œuvre. Cela consiste pour le moment en un processus

d’autoévaluation par le biais de questionnements. Puis la fonction actuarielle devra donner son avis sur les

modèles mis en place par la Technique, de façon « indépendante ». Lorsqu'il sera finalisé, l'ORSA devrait en

théorie devenir un outil de gestion donnant une vision d'ensemble (au moins annuelle) sur l'ensemble des

risques pesant sur la réalisation de la stratégie au regard des besoins en fonds propres futurs.

A terme, l’ORSA offrira l’opportunité de mettre en place des tableaux de bord permettant le suivi de l’activité, des

risques et des besoins en fonds propres, de définir des procédures et des outils d’allocation du capital, et de

fixer des limites de risque en fonction d’une appétence au risque formalisée.

Globalement, l'ORSA devra comprendre une cartographie exhaustive des risques, bien sûr, mais également une

stratégie de gestion des risques (précisant notamment le niveau d'appétence au risque choisi), et un suivi

permanent de l'activité (mise à jour de l'ORSA etc.). Il conduit donc à un renforcement de la gestion des risques

de l'entreprise, et sera logiquement plus facile à mettre en œuvre pour les entreprises qui disposent déjà d'une

fonction Risk Management en charge de cartographier les risques. En effet, ces entreprises n'auront qu'à

renforcer et améliorer leurs méthodes, et pourront se baser sur leurs travaux précédents. Le service Risk

Management sera donc responsable de l'évaluation interne des risques et de la solvabilité du groupe dans une

vision à moyen/long terme au travers de l'ORSA, mais ce travail sera réalisé en coordination avec l'ensemble

des services contributeurs (technique, financier, commercial, contrôle de gestion...). En revanche, pour les

entreprises qui ne disposent pas d'un service Risk Management et qui sont peu familières avec les méthodes et

outils servant à gérer les risques, l'ORSA représente un changement majeur (peut-être l’un des plus importants

du pilier 2), et sera sans doute très compliqué et long à mettre en œuvre.



-Enfin, le Conseil d'Administration doit valider un rapport sur ce sujet, qui lui sera soumis une fois par an pour

approbation. Ce rapport présentera notamment les risques identifiés (sous formes de cartographies des

risques), l'appétit pour le risque, l'adéquation des ressources en capital au plan stratégique à x années, les

décisions prises pour réduire les risques ou augmenter le capital disponible, la description de la politique et du

processus ORSA (mise en évidence des liens entre le profil de risque, la tolérance aux risques et les exigences

de solvabilité et fréquence de l'ORSA notamment), les différents process qui contribuent à l'ORSA, ainsi que les

résultats de l'ORSA (méthodologie, conclusions).

Cela est donc utile pour le Conseil d'Administration, puisque ce document lui permettra de juger la pertinence de

la stratégie adoptée et d'en mesurer les conséquences à terme (évolutions significatives des gammes de

produits/services, évolutions organisationnelles majeures, choix de partenariats, projets de rapprochements

stratégiques...). Le Conseil d'Administration devra valider ce rapport puis l'envoyer à l'ACP : en effet, les

autorités de tutelle doivent être informées du résultat des évaluations internes des risques et de la solvabilité

menées par les entreprises. Ce rapport pourra par exemple être utile à l'ACP afin d'anticiper les situations

problématiques. Par exemple, si l'ACP constate qu'une entreprise a une mauvaise solvabilité à court terme mais

une solvabilité très ambitieuse à long terme, elle pourra alors analyser la situation et déterminer si elle est

dangereuse, ou bien si l'entreprise a vraiment les moyens de ses ambitions. En effet, l ’ORSA doit intégrer une

dimension prospective sur les événements susceptibles d’impacter la solvabilité future de l’assureur afin de

conduire à une prise de recul par rapport aux risques. Le but d'ORSA n'est pas d'empêcher l'entreprise de suivre

des stratégies risquées, mais de l'obliger à prévoir les fonds propres nécessaires afin de maîtriser au mieux les

risques qu'elle prend.

-Pour finir, l'un de mes interlocuteurs m'a indiqué que tous les groupes sont en train en ce moment de découvrir

cette nouveauté. J'ai en effet constaté que le discours des Directeurs que j'ai rencontrés n'était pas toujours très

clair sur ce sujet, et qu'ils ne semblaient pas toujours connaître les détails de ce volet. Cela s'explique sans

doute par l'originalité de cette nouveauté, d'autant que l'ORSA a fait l'objet de développements relativement

limités pour l'instant.

➢ 5/ Exigences liées à la gouvernance

-L'article consacré aux exigences générales en matière de gouvernance est l'article 41 :

« 1. Les États membres exigent des entreprises d'assurance et de réassurance qu'elles mettent en place un système de gouvernance

efficace, qui garantisse une gestion saine et prudente de l'activité.

Ce système comprend au moins une structure organisationnelle transparente adéquate, avec une répartition claire et une

séparation appropriée des responsabilités, ainsi qu'un dispositif efficace de transmission des informations. Il satisfait aux

exigences énoncées aux articles 42 à 48. Il fait l'objet d'un réexamen interne régulier.



2. Le système de gouvernance est proportionné à la nature, à la taille et à la complexité des opérations de l'entreprise d'assurance ou

de réassurance.

3. Les entreprises d'assurance et de réassurance disposent de politiques écrites concernant au moins leur gestion des risques, leur

contrôle interne, leur audit interne et, le cas échéant, la sous-traitance. Elles veillent à ce que ces politiques soient mises en

œuvre.

Ces politiques écrites sont réexaminées au mois une fois par an. Elles sont soumises à l'approbation préalable de l'organe

d'administration ou de gestion et elles sont adaptées compte tenu de tout changement important affectant le système ou le

domaine concerné.

4. Les autorités de contrôle disposent des moyens, méthodes et pouvoirs nécessaires pour contrôler le système de gouvernance des

entreprises d'assurance et de réassurance et pour évaluer les risques émergents détectés par ces entreprises et susceptibles

d'affecter leur solidité financière.

Les États membres veillent à ce que les autorités de contrôle disposent du pouvoir d'exiger que le système de gouvernance soit

amélioré et renforcé de façon à satisfaire aux exigences énoncées aux articles 42 à 48. »

-De plus, l'article 44, consacré à la gestion des risques, indique que le système de gestion des risques doit être

« efficace, parfaitement intégré à la structure organisationnelle et aux procédures de prise de décision de

l'entreprise d'assurance ou de réassurance et dûment pris en compte par les personnes qui dirigent

effectivement l'entreprise ou qui occupent d'autres fonctions-clés ».

-Afin de respecter cet article et les « Issue Papers » relatifs à la gouvernance (voir annexe 7), l'entreprise doit

disposer d'un système de gouvernance adapté à la nature et la taille de l'activité, disposer de procédures

détaillées couvrant l'ensemble des activités, et élaborer des politiques sur la gestion des risques, le Contrôle

Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer d'un système de

gouvernance efficace, d'une répartition claire des rôles et responsabilités dans la politique de gestion des

risques, d'une structure organisationnelle adéquate, ainsi que d’un dispositif efficace de transmission des

informations.

En particulier, les entreprises vont tout d'abord devoir s’assurer que les rôles et responsabilités de chacun des

acteurs partie prenante dans la gouvernance des risques (voir lexique) sont documentés et appropriés et que les

fonctions-clés comme celles de l’Actuariat, du Risk Management, de la Conformité et de l’Audit Interne existent

et sont bien prises en compte dans la stratégie, les procédures et la documentation nécessaire pour identifier,

faire le suivi, gérer, contrôler et informer en continu sur l’exposition aux risques. Pour cela, il faudra étudier le

périmètre de responsabilités et le champ d'actions de ces fonctions, puis les positionner au regard des fonctions

existantes et du périmètre d'activité à couvrir. L'article englobe donc les principaux éléments constitutifs d'un

système de gouvernance, qui sont les structures, les procédures et les comportements.



En effet, Solvabilité 2 place la maîtrise des risques au cœur de l’activité d’une entreprise. La vision des risques

doit être prise en compte dans l’activité, et la maîtrise des risques devient centrale dans la gouvernance. Ainsi,

l'un de mes interlocuteurs m'a indiqué que le service Risk Management de son entreprise est en train de réécrire

la politique de gestion des risques, ce qui a un impact sur les politiques existantes de Contrôle Interne.

-Solvabilité 2 entraîne d'autres changements en matière de gouvernances des risques, changements qui

concernent surtout le Conseil d'Administration et ses « émanations » :

● Il faudra créer des Comités des Risques, comprenant des membres de l'entreprise et de la Direction

Générale : ces Comités seront chargés d’éclairer les décisions stratégiques du Conseil d'Administration en

matière de risques assurantiels (règles de souscription, règles de provisionnement technique, définition des

cessions en réassurance…), risques financiers (politique de placements, gestion actif/passif) et risques

opérationnels. Ils présenteront donc leurs résultats aux administrateurs.

Les Comités des Risques (dont l'organisation, l'animation et le secrétariat seront assurés par le Risk

Management), rattachés à la Direction Générale, seront globalement chargés de :

-fournir à la Direction Générale l’assurance que les risques sont identifiés, mesurés et ramenés à un

niveau accepté. Ils présentent périodiquement les principales expositions aux risques actuels ou

potentiels, et proposent à la Direction Générale des politiques et actions de maîtrise des risques.

-fournir à la Direction Générale l’assurance que les actions de maîtrise des risques sont mises en œuvre

de manière adéquate, et proposer des axes d’amélioration.

● Les entreprises devront également disposer d'un Comité d'Audit (voir partie 4). En relais du Conseil

d'Administration, le Comité d’Audit :

-assure le suivi du processus d’élaboration de l’information comptable et financière,

-s’assure de l’efficacité des systèmes de gestion des risques et de Contrôle Interne,

-s’assure de l’indépendance des CAC,

-examine le plan d’audit et s’assure de la couverture des risques encourus par l’entreprise.

● Le Conseil d'Administration, lui, doit être chargé des fonctions suivantes :

-définir le niveau maximal de risque accepté (marge de solvabilité cible),

-établir des objectifs stratégiques conformes au niveau de risque maximal : les différentes stratégies en

termes de développement, de partage de risques (dont réassurance) et de prise de risques dans la

politique de placements devront être revues en fonction des niveaux de risque acceptés par la

gouvernance et du niveau de capital associé aux risques pris,

-valider des limites de risques, ces limites devant permettre de s’assurer que les opérations sont

réalisées conformément au niveau de risque accepté,



-approuver et examiner périodiquement les dispositifs de gestion des risques. A ce titre, il validera de

façon formelle la politique générale de management des risques du groupe (risques financiers,

opérationnels ou d'assurance), et les dispositifs de Contrôle Interne (Contrôle permanent/Contrôle de

Conformité) : en effet, le Risk Management devra formaliser puis présenter au Conseil d'Administration

la politique de management des risques (appétit au risque, identification, mesure et gestion des

risques...), puis un vote est censé représenter la position du Conseil d'Administration vis-à-vis de la

politique de gestion des risques de l'entreprise (approbation ou non). Le rapport que l'on présente au

Conseil d'Administration doit définir toute la gestion des risques, le pilotage etc. Il faudra également

présenter une cartographie des risques tous les trimestres aux administrateurs (à chaque Conseil

d'Administration). Le Conseil d'Administration validera ainsi le pilotage des risques du groupe au travers

des commissions spécialisées ou de ses délibérations (validation des rapports de solvabilité, des

revalorisations annuelles des tarifs, des nouveaux produits, des plans de cession).

● Concernant la Direction Générale, elle est en charge de décliner et de mettre en œuvre la stratégie et

les objectifs fixés. Elle décline aussi les limites globales de risques en limites opérationnelles et s’assure du

respect des limites fixées, et doit proposer au Conseil d'Administration le cadre de fonctionnement de la gestion

des risques et du Contrôle Interne, tout en gardant la responsabilité opérationnelle de la mise en œuvre de ce

cadre et des stratégies. Enfin, elle doit faire des propositions au Conseil d'Administration sur le niveau de risque

maximal accepté (appétence aux risques).

Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ont déjà été mises en place ces dernières années

des Comités des risques par métier ainsi qu’un Comité des risques assurantiels Groupe, chargés d’améliorer la

culture du risque à tous les niveaux. On constate donc que certaines entreprises ont fait le choix de mettre en

œuvre ces changements de manière anticipée. De plus, les grands groupes disposent pour la plupart d’ores-et-

déjà d’un Comité d’Audit et d’un Comité des Risques ; la directive n’entraîne donc pas de grands changements

pour eux, insistant surtout sur la présence de ces Comités et la formalisation de leurs travaux. En revanche, les

petits groupes sont face à un chantier important pour répondre à ces exigences.

-Pour préparer ces changements, les entreprises que j'ai rencontrées ont commencé par mettre en place des

plans d'actions, visant à :

-définir la gouvernance des risques au niveau du groupe (fixation du niveau d’intégration souhaité au

niveau du groupe, définir les rôles et responsabilités du groupe par rapport au Conseil d'Administration

en matière de gestion des risques),

-mettre en place des Comités d’Audit,

-mettre en place des Comités des Risques (avec définition des règles d'organisation et de

fonctionnement).



-A noter : on retrouve dans cet article des références à d'autres exigences de la directive : la « séparation

appropriée des responsabilités » évoque la séparation des fonctions Audit Interne, Contrôle Interne et Risk

Management ; le principe de proportionnalité est évoqué avec la phrase « le système de gouvernance est

proportionné à la nature, à la taille et à la complexité des opérations de l'entreprise d'assurance » ; la

formalisation des procédures est également évoquée (« les entreprises d'assurance disposent de politiques

écrites concernant au moins leur gestion des risques, leur contrôle interne, leur audit interne et, le cas échéant,

la sous-traitance »).

-De même, le CEIOPS a émis des recommandations venant compléter cet article, qui rappellent les principes

suivants :

-l'importance du reporting et de la communication à tous niveaux de l'organisation,

-les membres du Conseil d'Administration, et les membres de l'entreprise de manière générale, doivent

posséder les compétences nécessaires pour pouvoir effectuer leurs missions,

-le personnel doit utiliser et appliquer les procédures, qui doivent être mises à jour régulièrement,

-la confidentialité des informations doit être assurée,

-les Systèmes d’Information utilisés doivent être fiables.

Cependant, la conséquence principale entraînée par la directive en ce qui concerne la gouvernance reste la

nette augmentation des pouvoirs confiés aux organes de gouvernance que sont le Conseil d'Administration et

les Comités « émanations » du Conseil d'Administration. L'article 40 de la directive confirme cet élément, en

précisant que « les États membres veillent à ce que l'organe d'administration ou de gestion de l'entreprise

assume la responsabilité ultime du respect, par l'entreprise concernée, des dispositions législatives,

réglementaires et administratives adoptées en vertu de la présente directive ». Pour qu’il puisse être mené à

bien, ce chantier « gouvernance » requiert donc la sensibilisation et la mobilisation des membres du Conseil

d’Administration, de ses émanations et des dirigeants, puisqu'il concerne en priorité les Comités d'Audit et des

Risques, la formation/sensibilisation des administrateurs, et la définition des politiques (Risk Management,

Contrôle interne...). Pour les moyennes et grandes structures, Solvabilité 2 ne va demander qu’une phase

d’adaptation, mais pour les petites structures, Solvabilité 2 est quasiment une révolution en raison de la création

de ces Comités spécialisés (Comités d'Audit, Comités des Risques).

-Sans compter que la mise en conformité avec Solvabilité 2 entraîne d'ores-et-déjà la création de « Comités de

Pilotage » du projet Solvabilité 2, réunissant les principaux dirigeants de l'entreprise (Directeurs du Contrôle

Interne, de l'Audit Interne, de la Comptabilité etc.), comme j'ai pu le constater au cours de mes entretiens. L'un

de mes interlocuteurs m'a indiqué que ces Comités permettent de faire le point sur l'état d'avancement du projet

Solvabilité 2 au sein de l'entreprise, sur l'actualité réglementaire, le planning, le suivi des actions et des

prochaines étapes, le budget et les risques du projet. Un autre interlocuteur m'a indiqué que ces Comités, au

sein de son entreprise, sont composés d’une dizaine de membres : chacun représente une Direction du groupe



ou bien une activité concernée par Solvabilité 2, telles que la Direction Financière et Technique, la Direction

Juridique, la Direction de l’Audit Interne et le Responsable du Contrôle Interne (qui fait pour l’instant partie de

l’Audit Interne), la MOA (volet informatique), la Direction du Développement, la Direction de la Gestion

(notamment service délégataire de gestion), et l’activité Mutuelle. Dans certaines entreprises, le processus de

mise en conformité avec Solvabilité 2 a même entraîné la création d’un service entièrement dédié au suivi de

l’avancement de la mise en conformité (c’est ce qui s’est passé au sein de l'une des entreprises rencontrées

dans le cadre de ce mémoire). Ces changements rendent l’application de la directive d’autant plus difficile pour

les petits groupes.

-Il est cependant nécessaire de nuancer l'idée que la directive entraîne une forte augmentation des pouvoirs

confiés aux organes de gouvernance en précisant que de nombreux autres textes et lois qui ont précédé

Solvabilité 2 allaient déjà dans le même sens. Ainsi ;

-les recommandations de l'Association Française de la Gestion Financière sur le gouvernement

d'entreprise, en France, en 1998, et modifiées en 2001, 2004 et 2006, qui encadraient les droits et

obligations des actionnaires et du Conseil d'Administration,

-les rapports Viénot 1 (qui définissait notamment une série de bonnes pratiques pour les

administrateurs, la composition, l'organisation et le fonctionnement du Conseil d'Administration et du

Comité d'Audit, en 1995) et 2 (1999), en France,

-le rapport Marini (1996), qui étendait le pouvoir des « émanations » du Conseil d'Administration, en

France,

-la loi NRE (2001) en France, qui réglementait entre autres la notion de dirigeant d'entreprise,

l'information concernant les conventions conclues par une société avec un de ses dirigeants, les

cessions ou acquisitions d'actions cotées sur les marchés financiers, et renforçait l'indépendance des

administrateurs,

-la loi Sarbanes-Oxley aux États-Unis (qui entraînait notamment l'obligation pour les présidents et les

directeurs financiers de certifier personnellement les comptes et l'obligation de nommer des

administrateurs indépendants au Comité d'Audit) et le rapport Bouton en France (qui entraînait la

création de Comités spécialisés et une évaluation du Conseil d'Administration) en 2002,

-le rapport Bouton en France, en 2002, qui visait à améliorer le gouvernement des sociétés cotées,

-la loi sur la Sécurité Financière (France, 2003), qui entraînait notamment, comme la loi Sarbanes-Oxley,

une augmentation des responsabilités des dirigeants,

-la directive de la Commission Européenne du 16 mars 2004 portant sur les règles d'audit des

entreprises de l'Union Européenne,

-le décret du 19 mai 2008 sur le Contrôle Interne, en France,

-la loi du 3 juillet 2008 (transposant en France les quatrième et septième directives européennes), qui a

entraîné une augmentation des obligations de transparence des sociétés en matière de gouvernement

d’entreprise et de Contrôle Interne,



-ainsi que la huitième directive européenne sur le droit des sociétés (entre autres),

...entraînaient déjà une augmentation des pouvoirs confiés aux Comités « émanations » des Conseils

d'Administration et aux Conseils d'Administration, tout en fournissant un cadre au fonctionnement de ces

organes de gouvernance.

De plus, le livre blanc de l'IIA dispense déjà un certain nombre de bonnes pratiques en matière de gouvernance.

Enfin, d'autres textes plus anciens s'intéressaient déjà à la gouvernance d'entreprise et visaient à mieux

encadrer et renforcer les responsabilités des administrateurs, comme le rapport Cadbury (1992), le rapport

Turnbull (1999) ou encore le rapport Smith (2003) en Angleterre. Les années 90 et 2000 sont d'ailleurs parfois

surnommées « l'ère des actionnaires », puisque de nombreux textes visant à accentuer le degré de contrôle des

dirigeants ont été votés, souvent à la suite de scandales financiers comme Enron.

Ainsi, Solvabilité 2 n'entraîne pas de révolutions dans les domaines de la gouvernance des risques et plus

globalement du gouvernement d'entreprise puisqu'elle reprend et confirme ce qui existe déjà sur de nombreux

points. Cependant, la différence majeure avec les textes qui l'ont précédée est qu'elle constitue une loi au niveau

européen : toutes les entreprises d'assurance, les Institutions de Prévoyance et les mutuelles de l'Union

Européenne devront l'appliquer, ce qui est positif puisque cela permet d'étendre et de banaliser les bonnes

pratiques qui étaient jusqu'à maintenant appliquées uniquement dans certains pays. D'autant que les

changements entraînés par la directive concernent tous les éléments constitutifs de la gouvernance, qui sont les

structures, les procédures, et les comportements (bonnes pratiques), comme le montre le schéma récapitulatif

(en annexe 12 : les exigences générales de Solvabilité 2 en matière de gouvernance).



B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Risk Management

➢ 1/ Renforcement et amélioration de la maîtrise des risques

L'entreprise doit rédiger une véritable politique de gestion des risques et disposer d'une cartographie des risques

prenant en compte les risques opérationnels, assurantiels, financiers, stratégiques. Si elle existe déjà, il faut

développer la cartographie existante et améliorer la méthodologie de recensement et d’évaluation des risques.

Le management des risques doit créer un véritable dispositif de maîtrise des risques et une politique de gestion

des risques. L'aspect positif est donc le renforcement et l'amélioration de la maîtrise des risques, puisque le

service Risk Management est chargé de l'identification, l'évaluation et la gestion permanente des risques :

-sur un axe quantitatif : mesure des fonds propres à immobiliser au regard des risques pris (formule standard) et

évaluation des différentes politiques (allocation d'actifs, réassurance...).

-sur un axe qualitatif : recensement des risques et actions d'atténuation, proposition de plans d'actions.

Le système de gestion des risques doit au moins couvrir les sujets suivants: la souscription et le

provisionnement, la gestion actif-passif et les investissements, la gestion opérationnelle des risques, la

réassurance et les autres techniques d'atténuation du risque.

Il est évident qu'une meilleure gestion des risques ne peut être que positive pour les entreprises.

De plus, le Risk Management, en raison d'un contexte législatif de plus en plus contraignant (Solvabilité 2, bien

sûr, mais aussi la NRE, la LSF etc.) prend de plus en plus d'importance au sein des entreprises, avec pour

missions premières l’analyse des vulnérabilités et la mise en place de méthodologies et d‘indicateurs afin de

protéger les engagements et prévenir tout impact négatif sur les objectifs.

Quant au volet ORSA, il vient en complément du pilier 1 afin d’aider l’entreprise à déterminer la valeur réelle des

fonds propres nécessaires pour répondre à ses engagements, en s’attardant sur les risques les plus complexes

à mesurer. Il entre donc également dans le renforcement de la maîtrise des risques.

Ce renforcement de la maîtrise des risques est positif puisqu’il permet à l'entreprise de mieux maîtriser ses

activités et les risques qui en découlent, même si cela peut avoir un coût élevé pour l'entreprise.

➢ 2/ Meilleur suivi des risques par le Conseil d'Administration

Au niveau de la gouvernance, Solvabilité 2 met l'administrateur au centre du système de pilotage des risques, et

demande un fort degré d'implication du Conseil d'Administration. Cela se traduit par de nombreux rapports à

destination du Conseil d'Administration :



-la politique de gestion des risques (équivalent du rapport sur la solvabilité),

-un rapport sur l'ORSA rédigé par le Risk Management à présenter au Conseil d'Administration,

-un rapport sur le contrôle des sous-traitants à présenter au Conseil d'Administration,

-un rapport sur l'Audit Interne à présenter au Comité d'Audit et des Risques puis au Conseil d'Administration,

-des rapports de Contrôle Interne, d'abord présentés au Conseil d'Administration, puis envoyés à l'ACP pour le

côté Assurances de Personnes.

Solvabilité 2 renforce donc fortement le reporting à présenter au Conseil d'Administration et donne donc plus de

pouvoir à ce Conseil, en charge de valider tous ces documents. Ainsi, on peut penser qu'un renforcement du

reporting entraîne un renforcement de la gestion et du suivi des risques par les administrateurs, et donc une

diminution de ces risques, ce qui est positif pour l'entreprise.

Ce point positif est cependant à nuancer car au sein des Groupes de Protection Sociale, les administrateurs ont

d’ores-et-déjà un rôle important : les Conseils d'Administration se composent de représentants des employés et

des employeurs des sociétés adhérentes (structure paritaire), afin de garantir une transparence de gestion. Ce

point positif est donc surtout valable pour les sociétés d’assurance.

Ainsi, il est clair que la directive renforce les pouvoirs des administrateurs en leur donnant l'opportunité de mieux

suivre la gestion des risques de leur entreprise. D'autant plus que l'ACP, lors de ses audits relatifs à la mise en

place des exigences de Solvabilité 2, viendra analyser le profil des administrateurs membres des Comités

« spécialisés » que sont le Comité des Risques et le Comité d'Audit, demandera leurs CV, et étudiera le nombre

de Comités ayant eu lieu dans l'année écoulée. Ce suivi réalisé par l'ACP témoigne de l'intérêt que cette Autorité

accorde aux administrateurs, et devrait achever de convaincre les entreprises de renforcer le rôle du Conseil

d'Administration et de ses émanations.

➢ 3/ Augmentation des responsabilités du Risk Management

Le changement majeur entraîné par la directive pour la fonction Gestion des Risques est que celle-ci va avoir

une contribution beaucoup plus significative dans la prise de décision, notamment à travers son rôle dans les

Comités de Direction et les comités de Direction Générale (en effet, les Comités de Direction sont amenés à

prendre des décisions sur la stratégie de l'entreprise, et doivent donc prendre en compte les risques (ORSA)

pour être en conformité avec Solvabilité 2), et ses livrables et reportings.

Ainsi, d'après l'un de mes interlocuteurs, cela va se traduire par une contribution formelle au début, c'est-à-dire

dans tout ce qui concerne la formalisation (revues de processus, comptes-rendus de Comités de Direction, les

nombreux rapports et documents évoqués précédemment, etc.) car les entreprises auront certainement besoin

d'un temps d'adaptation pour savoir comment intégrer plus concrètement cette fonction. Puis par la suite, le Risk



Management interviendra sans doute de façon plus fluide dans la prise de décisions, d'autant plus que la mise

en place d’un système de management des risques sollicite d'autres acteurs que le Risk Management, comme

les Instances Dirigeantes, le Conseil d’administration, le management, et les unités opérationnelles. Le Risk

Management peut également être amené à dialoguer avec toutes les directions du groupe comme la Direction

Technique, la Direction Financière, la Direction des Systèmes d'Information, la Direction du Contrôle Interne etc.

Le Risk Management va donc être amené à collaborer avec tous les acteurs importants de l'entreprise afin

d'identifier et d'évaluer les risques auxquels ils sont confrontés, et de mettre en place des actions de maîtrise de

ces risques, ce qui peut contribuer à diffuser dans toute l'organisation une « culture » de la maîtrise des risques.

Ceci est un point positif, toujours dans l'optique d'amélioration de la maîtrise des risques du groupe :

l’augmentation des pouvoirs et missions du Risk Management entraînés par Solvabilité 2 ne pourra pas passer

uniquement par une plus forte formalisation et une augmentation du reporting. Ce sera sans doute le cas dans

un premier temps, mais par la suite, le Risk Management sera forcément partie intégrante de la prise de

décision, à un haut niveau. Bien sûr, ceci est déjà le cas dans certaines grandes sociétés d’assurance.

➢ 4/ Clarification des rôles des différents services

La séparation des services Risk Management, Contrôle Interne et Audit Interne entraînée par la directive, en

plus de permettre à la fonction Audit Interne d'être totalement indépendante, va permettre de clarifier les rôles de

ces fonctions, notamment au sein des Groupes de Protection Sociale, qui ont souvent tendance, par manque de

moyens, à réunir ces fonctions. On trouve ainsi souvent des « Directions de l'Audit et des Risques » voire des

« Directions du Contrôle et de l'Audit Internes ». Cela n'est pas le cas chez les grandes sociétés d'assurances,

qui disposent déjà de services spécifiques dédiés à chacune de ces fonctions.

Cette séparation plus marquée peut être bénéfique pour le Risk Management, puisqu'elle devrait logiquement

permettre à chacune de ces fonctions d'avoir un périmètre et un rôle spécifiques et donc d'être plus efficaces, en

plus d'être indépendantes les unes des autres. Cela permettra aussi aux opérationnels qui seront amenés à

collaborer avec les risk managers de mieux comprendre la fonction Risk Management, qui est souvent

méconnue, voire confondue avec le Contrôle ou l'Audit Interne. Cela est d'ailleurs logique puisque certains petits

groupes ne disposent pas, pour le moment, d'une fonction Risk Management ; ainsi, c'est la fonction Contrôle

Interne qui prend en charge des missions relevant davantage du Risk Management, ce qui participe à la

confusion.

Cependant, ces fonctions devront continuer à collaborer, par le biais d'instances de coordination par exemple,

car leur domaine d'activité reste le même : la maîtrise des risques. Cette clarification des rôles est positive car

elle permet à chaque fonction d'avoir un rôle bien précis dans le dispositif de maîtrise des risques de l'entreprise.



C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Risk Management

➢ 1/ Impact financier élevé

Un premier impact négatif entraîné par Solvabilité 2 concerne l'impact financier élevé que demande la création

d'un service dédié au Risk Management, auquel il faudra ajouter le coût des recrutements éventuels. D'autant

que la redéfinition des périmètres des services entraîne également une charge financière et une charge en

termes de travail.

Ce problème concerne en priorité les petits groupes, qui devront, avant de créer cette fonction, définir en quoi

elle consiste, lui définir un périmètre, des missions, puis lui assigner des collaborateurs, ce qui aura un coût

financier important mais également un coût en termes de temps de travail : réunions de la Direction, etc.

De même, si un service Risk Management existe déjà au sein de l'entreprise mais qu'il est « couplé » à une

autre fonction, il sera nécessaire de le rendre indépendant, ce qui va engendrer des travaux de réorganisation

importants et aura un coût élevé.

Bien sûr, les grands groupes ne sont pas concernés par ce problème financier, d'autant plus que la grande

majorité de ces groupes dispose d'ores-et-déjà d'un service dédié au Risk Management.

➢ 2/ Charge en termes de reporting

La masse de reporting est en forte évolution avec la directive Solvabilité 2, qui entraîne la formalisation de

nouveaux livrables à présenter au Conseil d'Administration pour validation, comme la politique de gestion des

risques, le rapport de Contrôle Interne, le rapport sur la sous-traitance, le rapport sur l'Audit Interne, le rapport

sur l'ORSA, le rapport sur la solvabilité, le rapport aux superviseurs, etc.

Le service Risk Management devra également fournir d'autres livrables tels que les cartographies des risques,

le processus de gestion des risques, la définition et/ou le renforcement des approches méthodologiques et outils

existants, la politique groupe de risques, la mise en œuvre de bases incidents, la mise en place d’indicateurs de

risques, la définition de reportings aux différents niveaux de l’organisation, le suivi régulier des risques et plans

d’action de réduction des risques, etc.

Globalement, il est clair que Solvabilité 2 entraîne plus de reporting et de formalisme, mais c'est la fonction Risk

Management qui est concernée en priorité par ce sujet. Le Contrôle Interne et l'Audit Interne sont aussi

concernés, mais dans une bien moindre mesure. Bien que la production de ces nombreux livrables ait pour but



de faciliter le travail de suivi des dirigeants et des administrateurs et donc d'améliorer la maîtrise des risques,

elle s'accompagne d'une charge de travail élevée et d'un aspect contraignant.

➢ 3/ Problème de mise à niveau des administrateurs ?

Comme nous l'avons vu, de nombreux sujets liés à Solvabilité 2 seront présentés au Conseil d'Administration.

Or les administrateurs ne sont pas spécialistes de ces sujets. Il y a donc un problème de mise à niveau :

d'après l'un de mes interlocuteurs, les entreprises devront former leurs administrateurs afin de leur donner les

moyens de porter un jugement pertinent sur les sujets qui leur sont présentés pour validation.

En effet, Solvabilité 2 entraîne la nécessité pour les administrateurs de maîtriser de nouvelles notions

concernant la gestion des risques. De nouvelles formations sont donc à mettre en place afin de mettre les

administrateurs à niveau. Le CTIP prévoit d'ailleurs déjà des formations à cet effet.

Ce problème de compétences n'est pas nouveau, et s'est déjà présenté par le passé : ainsi, l 'ordonnance du 8

décembre 2008, qui a entraîné la création de Comités d'Audit pour la partie Assurances de Personnes des

Groupes de Protection Sociale, a indiqué qu'un des membres du Comité d'Audit devrait présenter des

connaissances financières ou comptables (un critère « Fit & Proper »).

De plus, dans le cadre de la mise en conformité avec Solvabilité 2, un Comité des Risques a été créé au sein de

l'entreprise de l'un de mes interlocuteurs il y a quelques mois (un Comité d'Audit existait déjà), animé par le

Directeurs des Risques et de la Solvabilité, et évoquait des sujets tels que la gestion des risques, la tarification

et le suivi de portefeuille. Cependant, le CTIP a demandé à cette entreprise de n'organiser qu'un Comité au lieu

de ces deux Comités : le Comité d'Audit et des Risques a donc été créé, et il a du être constitué en partie

d'experts.

En effet, d'après l'ordonnance du 8 décembre 2008, les entreprises peuvent faire appel à des experts dans tous

les Comités (mis à part le Conseil d'Administration).

Le Conseil d'Administration s'entoure donc de Comités, « émanations » du Conseil d'Administration, qui sont

chargés d'approfondir certains sujets. Par exemple, le Comité d'Audit et des Risques dispose de plus de temps

que le Conseil d'Administration pour étudier certains sujets, et peut faire appel à des experts externes.

Ce plus grand pouvoir de décision donné aux Conseils d'Administration ne semble donc pas être totalement

positif, puisque les administrateurs ne sont pas des spécialistes de ces sujets souvent très techniques, même

s'ils connaissent bien l'entreprise et ses enjeux. Ainsi, aux Conseils d'Administration s'ajoutent des

« émanations » des Conseils d'Administration, chargés d'étudier plus en détail et de façon plus experte certains

sujets. Or si les administrateurs délèguent de plus en plus leurs responsabilités, cela peut signifier qu'ils suivent

de moins près les sujets qui les concernent, alors qu'à la base, un des buts de Solvabilité 2 est justement de

permettre aux instances dirigeantes de mieux « gouverner » et d'effectuer un meilleur suivi des sujets importants



comme la maîtrise des risques. Ainsi, il y a aujourd'hui un risque que Solvabilité 2 aboutisse à un résultat inverse

au résultat souhaité, en ne permettant pas au Conseil d'Administration d'effectuer un véritable suivi de la

maîtrise des risques.

➢ 4/ Problème de gouvernance propre aux Groupes de Protection Sociale

Comme nous l'avons vu, Solvabilité 2 met l'administrateur au centre du système de pilotage des risques. Cela

se traduit par plusieurs rapports traitant de la gestion des risques à destination du Conseil d'Administration. Par

exemple, il faudra présenter au Conseil d'Administration la politique de management des risques, puis un vote

sera censé représenter la position du Conseil d'Administration vis-à-vis de cette politique. Les rapports que l'on

présente au Conseil d'Administration doivent définir en détail toute la gestion des risques, la politique de gestion

de ces risques, le pilotage, etc. Le Conseil d'Administration a donc de nouvelles responsabilités puisqu'il est

situé en haut de la pyramide de gouvernance des risques, et doit en valider tout le dispositif.

Pour les sociétés d'assurance, qui sont des sociétés privées, cela ne pose pas de problème. En revanche, les

Groupes de Protection Sociale (comme Novalis ou Réunica par exemple) sont des groupes « paritaires », ce qui

signifie que les administrateurs sont constitués de syndicalistes (représentants du personnel) à 50%. On peut

penser que ces administrateurs n'ont pas les compétences nécessaires pour apporter un jugement pertinent sur

un sujet comme la gestion des risques, car ils ne sont pas formés pour traiter un sujet comme celui-ci. Mais la

question qui se pose est : est-ce vraiment raisonnable de les former ? En effet, des sujets très techniques

comme l'ORSA, l'actuariat ou encore la gestion des fonds propres demanderaient des formations vastes et

longues, avant d'être pleinement maîtrisés.

En résumé, cet aspect de Solvabilité 2 ne pose pas de problème pour les sociétés privées, mais en ce qui

concerne les groupes paritaires, l'un de mes interlocuteurs m'a indiqué que les dispositions de Solvabilité 2 en

ce qui concerne le rôle des administrateurs représentent un choc de culture, car ces groupes ne sont pas

familiers avec ce concept de pouvoirs importants confiés au Conseil, et aux « pratiques » qui en découlent. Par

exemple, au sein des sociétés privées, il y a couramment des échanges entre les Directeurs présents dans les

Conseils d'Administration, afin de se rendre service mutuellement, ce qui est différent au sein des groupes

paritaires car le Conseil d'Administration est constitué à 50% de représentants des salariés et est à 50%

patronal.

Il est donc légitime de se demander si cette évolution vers un plus grand pouvoir confié aux Conseils

d'Administration est vraiment positive pour les entreprises, notamment pour les Groupes de Protection Sociale,

ou si elle n'est qu'une « façade ».



➢ 5/ Questionnement sur l’indépendance de la fonction Risk Management

Après la mise en conformité avec les exigences de Solvabilité 2, les Directions des Risques seront désormais

rattachées à la Direction Générale, après avoir été longtemps rattachées aux Directions Financières. Ce

rattachement aux Directions Financières pouvait s'expliquer par le fait qu'au sein des assurances, la vision des

risques est souvent très financière.

Or, après la mise en conformité avec la directive, les Directions des Risques seront rattachées à la Direction

Générale, ce qui est logique puisque Solvabilité 2 demande à l'entreprise et au Risk Management d'adopter une

vision beaucoup plus large des risques. De plus, cela devrait permettre un reporting plus direct.

Les risques pris en compte seront plus larges, ce qui est positif ; cependant, les services Risk Management

seront dorénavant plus proches de la stratégie. On peut donc supposer qu'il y a un risque d'instrumentalisation

du Risk Management par la Direction à des fins stratégiques. Il faut cependant préciser que ce changement

concernant le rattachement des services Risk Management à la Direction Générale n'est pas rendu obligatoire

par Solvabilité 2.

➢ 6/ Disparition des économies d’échelle ?

Enfin, on peut supposer que la séparation obligatoire des services Risk Management, Contrôle Interne et Audit

Interne peut entraîner une perte de proximité entre les services ainsi qu'une disparition des « économies

d’échelle » qui pouvaient exister du fait de la collaboration entre ces services. Cela est dommageable car il est

logique que le Contrôle Interne et le Risk Management aient des préoccupations similaires (détection des

risques, détermination d'actions visant à réduire ces risques etc.), par exemple.

Désormais, ces fonctions continueront à exercer des tâches assez similaires mais devront le faire de façon

séparée. Or si ces fonctions travaillent « chacune de leur côté » et sans se concerter, il y a un risque qu'elles ne

soient pas efficaces : certaines zones de risques ou certains contrôles pourraient être mal identifiées, ce qui

pourrait avoir de graves conséquences pour l'entreprise, à terme.

Il sera donc important de définir clairement les périmètres de chaque service avant de procéder à leur

séparation, puis de créer de nouvelles instances de coordination une fois les services séparés. Des comités de

coordination Audit Interne/Contrôle Interne sont organisés au sein de l'entreprise de l'un de mes interlocuteurs

par exemple. Un second interlocuteur n'est cependant pas d'accord avec l'idée de disparition des « économies

d'échelle » venant de la séparation des services, car selon lui, les fonctions concernées et leurs préoccupations

sont trop différentes, surtout au sein des grandes structures.



Synthèse sur le Risk Management

Afin de mieux gérer les risques, Solvabilité 2 demande donc aux entreprises de mettre en place un dispositif de

gestion des risques efficace, allant au-delà de la quantification et des contrôles. Les aspects organisationnels et

la responsabilisation des acteurs deviennent par exemple des éléments essentiels de la gestion des risques. La

question du pilotage et de la gouvernance est également de première importance.

Concernant le Risk Management, le point le plus important de la directive concerne la création (ou le

renforcement) d'un système de gestion des risques, et donc d'un service Risk Management. Ce système de

gestion des risques devra être intégré à la structure organisationnelle de l'entreprise et constituer un dispositif

d'identification, d'évaluation et de gestion des risques. Le service Risk Management devra apporter son

expertise au Conseil d'Administration et à la Direction en ce qui concerne la gestion des risques et prendre en

charge le système de gestion des risques. Les grands groupes auront logiquement plus de facilités pour

répondre aux exigences de la directive, d'autant plus que la directive provoque des changements relativement

faibles dans ces entreprises, qui sont déjà avancées dans le domaine de la Gestion des Risques. En revanche,

certaines petites entreprises vont devoir créer une fonction Risk Management, ce qui aura un coût financier

élevé (création, organisation, structuration de la fonction etc.). Il faudra également lui assigner des

collaborateurs, ce qui aura un coût supplémentaire. Enfin, la création d'un nouveau service et d'une nouvelle

fonction aura un impact fort sur l'organisation toute entière de l'entreprise.

En plus de ce changement principal, la directive comprend d'autres exigences : ainsi, la fonction Risk

Management devra disposer d'une véritable stratégie de gestion des risques, d'un dispositif de maîtrise des

risques, et des cartographies des processus et des risques financiers, stratégiques et surtout opérationnels. Le

CEIOPS a recommandé de mettre en place une échelle de cotation des niveaux de risques à cinq niveaux, en

termes de probabilité et d'impact, afin de classer ces risques. Cette fonction devra ainsi identifier et mesurer les

risques, puis les gérer, c'est-à-dire les prendre en compte dans la stratégie de l'entreprise.

De plus, le volet ORSA est un élément-clé de la directive : il constitue un outil de gestion des risques spécifique

à Solvabilité 2 ainsi qu'un processus interne faisant partie des décisions stratégiques de l'entreprise. Il doit

permettre de démontrer que les risques de l'entreprise sont identifiés et quantifiés de façon adéquate.

L'évaluation interne du risque doit aussi permettre d'ajuster l'adéquation entre les fonds propres et les exigences

de capital calculées dans le cadre du pilier 1, et d'identifier les mesures de risques dans le modèle interne ou

dans la formule standard qui s'écartent trop de la réalité. Le but principal est donc d'aider les entreprises à

déterminer la valeur réelle de leurs fonds propres nécessaires pour répondre à leurs engagements. Ce

document permet de déterminer le niveau de fonds propres disponibles, en intégrant l'ensemble des risques, et

permettra aux Conseils d'Administration de juger la pertinence de la stratégie adoptée et d'en mesurer les

conséquences à terme. Globalement, l'ORSA devra donc comprendre une cartographie exhaustive des risques,



une stratégie de gestion des risques, et un suivi permanent de l'activité. Il conduit donc à un renforcement de la

gestion des risques de l'entreprise, et sera logiquement plus facile à mettre en œuvre pour les entreprises qui

disposent déjà d'une fonction Risk Management. Pour les entreprises qui ne disposent pas d'un service Risk

Management et qui sont peu familières avec les méthodes et outils servant à gérer les risques, l'ORSA

représente un changement majeur, et sera très complexe et long à mettre en œuvre.

L'entreprise devra également disposer d'un système de gouvernance adapté à la nature et la taille de l'activité,

disposer de procédures détaillées couvrant l'ensemble des activités, et élaborer des politiques sur la gestion des

risques, le Contrôle Interne, l'Audit Interne et la sous-traitance. L'enjeu pour les entreprises est donc de disposer

d'un système de gouvernance efficace. Solvabilité 2 s'accompagne d'une forte augmentation des pouvoirs

confiés aux organes de gouvernance que sont le Conseil d'Administration et les Comités « émanations » du

Conseil d'Administration. Pour les grandes structures, Solvabilité 2 ne va donc demander qu’une phase

d’adaptation, mais pour les petites structures, Solvabilité 2 est quasiment une révolution en raison notamment

de la création des Comités spécialisés (Comités d'Audit, Comités des Risques etc.).

Globalement, l'application des exigences de la directive devrait entraîner une amélioration de la maîtrise des

risques, ce qui est positif, d'autant plus que la directive entraîne aussi un meilleur suivi des risques par le

Conseil d'Administration, en mettant l'administrateur au centre du système de pilotage des risques et en

demandant une forte implication du Conseil d'Administration. Le changement majeur entraîné par la directive

pour la fonction Risk Management est que celle-ci va avoir une contribution beaucoup plus significative dans la

prise de décision et va avoir plus de responsabilités, ce qui est positif, toujours dans une optique d'amélioration

de la maîtrise des risques. Enfin, la séparation des services Risk Management, Contrôle Interne et Audit Interne

entraînée par la directive va permettre de clarifier les rôles de chacune de ces fonctions, et pourra être

bénéfique pour le Risk Management en permettant à chacune de ces fonctions d'avoir un périmètre et un rôle

spécifiques et donc d'être en théorie plus efficaces.

Cependant, l'impact financier élevé que demande la création d'un service dédié au Risk Management constitue

un premier point négatif pour les entreprises. D'autant que la redéfinition des périmètres des services entraîne

également une charge financière et une charge en termes de temps de travail. Ce problème concerne en priorité

les petits groupes puisque les grands groupes disposent d'ores-et-déjà d'un service dédié au Risk Management.

De plus, la masse de reporting est en forte évolution avec la directive Solvabilité 2, ce qui entraîne la

formalisation de nombreux nouveaux livrables à présenter au Conseil d'Administration. Or, les administrateurs

n'étant pas des spécialistes de ces sujets, ils devront être formés afin de leur donner les moyens de porter un

jugement pertinent sur les sujets qui leur sont présentés. Ce problème est d'autant plus important pour les

Groupes de Protection Sociale. Il faudra aussi veiller à ce que la présence des Comités « spécialisés » comme

le Comité d'Audit ou le Comité des Risques n'entraîne pas un suivi moindre des sujets concernant le Risk



Management par les administrateurs, qui délègueraient de plus en plus de responsabilités à ces Comités et

suivraient donc de moins près les sujets qui les concernent.

Enfin, au niveau de l'organisation des services Risk Management, on constate que ces services seront

désormais plus proches de la stratégie, ce qui entraîne un risque d'instrumentalisation du Risk Management par

la Direction à des fins stratégiques. De plus, on peut supposer que la séparation des services Risk

Management, Contrôle Interne et Audit Interne demandée par la directive entraîne une disparition des

« économies d’échelle » qui pouvaient exister du fait de la collaboration entre ces services, ce qui est

dommageable car ces services ont des préoccupations similaires.



Partie 3 : les impacts du pilier 2 sur le Contrôle Interne


➢ 1/ Article consacré au Contrôle Interne (article 46)

L'article consacré au Contrôle Interne est le suivant :

« 1. Les entreprises d'assurance et de réassurance disposent d'un système de contrôle interne efficace. Ce système comprend au

minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d'information

prudentielle à tous les niveaux de l'entreprise et une fonction de conformité.

2. Dans le cadre de cette fonction de conformité, l'organe d'administration ou de gestion est conseillé sur le respect des dispositions

législatives, réglementaires et administratives adoptées en vertu de la présente directive. La fonction de conformité comprend

également l'évaluation de l'impact possible de tout changement de l'environnement législatif sur les opérations de l'entreprise

concernée, ainsi que l'identification et l'évaluation du risque de conformité. »

Ainsi, d'après la directive, les « Issue Papers » du CEIOPS (voir annexe 7), et les informations obtenues au

cours de mes entretiens, les changements majeurs entraînés par la directive au niveau du Contrôle Interne sont

les suivants :

➢ 2/ Existence obligatoire d'une fonct ion Contrôle Interne

Cet article indique qu'une fonction Contrôle Interne (ou « contrôle permanent ») doit exister au sein de

l'entreprise (voir lexique). Si cela n'est pas le cas, la directive entraîne donc la création d'un système de contrôle

permanent, sans toutefois donner de détails très précis. Le but de cette fonction doit être de contribuer à

atteindre les objectifs définis par la stratégie, en minimisant les risques, et les objectifs de cette fonction tels que

définis par le CEIOPS rappellent fortement la définition du COSO, en ce qui concerne par exemple la réalisation

et l’optimisation des opérations, la fiabilité des informations, le respect des réglementations, etc. (voir définition

du COSO dans le lexique).

Les entreprises doivent donc disposer d'un service Contrôle Interne indépendant et donc détaché de toute autre

fonction (y compris le Risk Management et l'Audit Interne), un dispositif permanent de Contrôle Interne en place

ainsi qu'une politique de Contrôle Interne et des contrôles efficaces et efficients permettant de couvrir les

risques. En effet, l'article reste vague mais définit des concepts généraux qui concernent en fait le dispositif de

Contrôle Interne dans sa globalité, ce qui entraîne les obligations suivantes pour l'entreprise :

-se conformer à un cadre de référence (comme le référentiel COSO ou le référentiel de l'AMF),

-obligation d'avoir des procédures, des règles et une stratégie de Contrôle Interne,

-obligation d'effectuer des contrôles de 1er et de 2ème niveau, les contrôles de niveau 1 étant les contrôles réalisés

par les opérationnels ou les Responsables d'Équipe (mis en place en collaboration avec le service Contrôle



Interne afin de déterminer les points de contrôle les plus pertinents), tandis que les contrôles de niveau 2

représentent le contrôle permanent et sont effectués par le service Contrôle Interne sur un échantillon de

dossiers déjà contrôlés par les opérationnels, par exemple, afin de s'assurer que les contrôles de niveau 1 ont

été correctement réalisés,

-effectuer un suivi des plans d’amélioration du Contrôle Interne des fonctions support,

-mettre en place des tableaux de bord,

-mettre en œuvre le principe de séparation des tâches,

-transmettre régulièrement des rapports sur les résultats du Contrôle Interne (fragilités, incidents) au

management,

-rédiger un rapport sur le Contrôle Interne. Les Conseils d'Administration devront approuver au moins

annuellement ce rapport sur le Contrôle Interne, qui sera ensuite transmis à l'ACP. Ce rapport devra fixer les

lignes directrices de la politique de placement concernant notamment les modalités de choix des intermédiaires

financiers et la qualité des actifs. Il devra aussi présenter le Conseil d'Administration, décrire l'organisation et le

dispositif de Contrôle Interne, et enfin la mise en œuvre du Contrôle Interne (maîtrise et gestion des risques,

contrôle permanent, sécurité financière, veille juridique et réglementaire). L'objectif de ce rapport est donc de

démontrer à l'autorité de contrôle que les méthodes de contrôle employées sont adéquates et adaptées à

l'activité et aux risques de l'entreprise.

-la Direction Générale devra approuver une stratégie de Contrôle Interne et maintenir un système de Contrôle

Interne adéquat et efficace, mener l’implémentation de mesures de contrôles préventifs, créer une culture

d’entreprise permettant de démontrer l’importance du Contrôle Interne à tous les niveaux de l’entreprise, initier le

développement, l’implémentation et le maintien du Contrôle Interne, en cohérence avec la stratégie établie, et

assurer l’efficacité des contrôles,

-créer ou renforcer une fonction Conformité (voir partie 4),

-effectuer un reporting sur le Contrôle Interne (déficiences, plans d’actions…).

Le Contrôle Interne évoqué ici concerne surtout la gestion des risques opérationnels, car il doit porter en priorité

sur ces risques, d'après Solvabilité 2. Cela doit être un dispositif permanent de Contrôle Interne, organisé, mis

en place et dirigé par la fonction Contrôle Interne, et impliquant la participation des collaborateurs à chaque

niveau de l'organisation et à chaque étape des processus-clés des entreprises d'assurance. L’importance

accordée à ce sujet par Solvabilité 2 s’explique par le fait qu’un dispositif de Contrôle Interne adapté et efficace

est un facteur de la solvabilité d'une entreprise car il contribue à sécuriser ces opérations et à maîtriser les

risques, notamment opérationnels. D'après le CEIOPS, ce système de Contrôle Interne devra être adapté à la

taille et à la structure de l'organisme, dissocié des activités opérationnelles quotidiennes, basé sur des contrôles

à tous les niveaux de l'organisation, et évalué régulièrement par l'Audit Interne (contrôle périodique).

Ainsi, pour les entreprises qui n'ont pas de fonction Contrôle Interne, la mise en conformité avec la directive

implique de mettre en place une telle fonction, ce qui constitue un changement important et une charge de



travail élevée car en plus de la création d’un service dédié, ce chantier concerne l’entreprise dans sa globalité, à

tous les niveaux, notamment à travers la mise en place des contrôles de premier et second niveau. Il entraîne

donc une réorganisation de l’entreprise. Cependant, pour les entreprises qui disposent déjà d'une fonction ou

d'un service Contrôle Interne, cet article n'entraîne pas de changements majeurs, et va surtout entraîner un

renforcement des bonnes pratiques et des pratiques déjà mises en place au sein de ces entreprises ainsi que

des restructurations, comme nous allons le voir.

➢ 3/ Renforcement global des bonnes pratiques

Les Directeurs que j'ai rencontrés travaillent majoritairement au sein de grands groupes : ainsi, ils m'ont expliqué

que pour leurs entreprises, cet article n'entraîne pas de changements majeurs (en dehors de la fonction

Conformité) car un système de Contrôle Interne est déjà mis en place et opérationnel au sein de leurs groupes.

Pour eux, l'article ne fait quasiment que confirmer les bonnes pratiques.

Par exemple, l’un de mes interlocuteurs m'a indiqué que son entreprise a déjà beaucoup travaillé sur la partie

« gestion des risques opérationnels », ce qui fait que Solvabilité 2 ne va pas entraîner une évolution énorme au

niveau du Contrôle Interne. Il faudra simplement être plus efficace au niveau de la réalisation des contrôles,

mais des contrôles trimestriels sont déjà effectués. En effet, au niveau de la Gestion Prévoyance, à l’issue des

travaux menés sur la cartographie des risques, des contrôles trimestriels ont été mis en place : chaque

trimestre, les services de gestion réalisent des contrôles en se basant sur une check-list préétablie des différents

points de contrôle à analyser, puis en rendent compte en remplissant des fiches de contrôle sur un outil dédié.

Les résultats sont captés dans un outil « business object » qui permet de générer des statistiques sur les

anomalies trouvées, en émettant des requêtes informatiques. Les contrôleurs internes cherchent ensuite à

comprendre pourquoi ces anomalies se sont produites, et mettent en œuvre les plans d’action pour que ces

anomalies ne se reproduisent pas. De plus, un Comité des Risques est déjà organisé et évoque des sujets liés

aux problématiques de Contrôle Interne.

Au sein de cette entreprise ont également été nommés des référents de Contrôle Interne, positionnés sur

chaque site de gestion, qui correspondent à 8 représentations régionales. Ces référents effectuent une analyse

locale des résultats des contrôles effectués par les opérationnels (contrôles de niveau 1), puis consolident ces

résultats dans une note envoyée au Référent National de Contrôle Interne. Celui-ci va présenter ces résultats

ainsi que les plans d’action proposés par les référents de Contrôle Interne au Comité des Risques. Ce Comité

va alors valider ces plans d’action.

Cette entreprise a mis en place cette organisation à la fin de l’année 2009. Avant cette date, le service Contrôle

Interne (composé de 2 personnes actuellement mais qui était auparavant constitué d’une seule personne) avait

« en front » tous les responsables de service, c’est-à-dire 30 personnes. Comprendre les anomalies puis



proposer des plans d’action à mettre en place pour réduire ces anomalies représentait donc un travail trop

imposant pour une seule (ou 2) personne(s).

Des représentants locaux de Contrôle Interne (qui sont des référents de Contrôle Interne, et qui ont également

une mission qualité) ont donc été désignés, et l'entreprise a fait le choix de cette vision consolidée (avec la

présence d'un Référent National de Contrôle Interne).

Le Référent National conseille, donne des directives en termes de méthodologie, mais les référents de Contrôle

Interne sont de plus en plus autonomes sur leurs travaux de Contrôle Interne et d’analyse des résultats.

De plus, en ce moment, des travaux de mise à jour de la cartographie des risques sont menés. Auparavant, la

Direction du Contrôle Interne s’en chargeait, mais la charge de travail est également trop importante pour

seulement deux personnes : en ce moment, les référents régionaux de Contrôle Interne sont en train d’être

formés à la cartographie des risques par le biais de groupes de travail, et vont se charger de la mise à jour de

cette cartographie des risques.

Ainsi, le principal changement provoqué par Solvabilité 2 pour ce groupe en matière de Contrôle Interne est la

nécessité d’étendre cette démarche aux Directions qui n’en bénéficient pas encore pour le moment (Direction du

Développement, Direction Comptable et Financière dont la Direction Technique, etc.).

Ainsi, la mise en conformité avec la directive ne provoque pas un changement énorme dans ce domaine car le

système est déjà calibré. Il ne reste plus qu’à adopter une démarche d’extension du périmètre du Contrôle

Interne, ce qui ne devrait pas poser de problèmes majeurs puisque le système est déjà en place. Cette situation

avantageuse vient du fait que cette entreprise a mis en œuvre cette démarche avec un délai suffisant, et

également parce que les exigences qualitatives du pilier 2 fixent des exigences mais laissent une marge de

manœuvre importante aux entreprises.

Un second interlocuteur m'a expliqué que le Contrôle Interne fait d’ores-et-déjà l’objet d’un service dédié au sein

de son groupe. Ses principales missions concernent la coordination centrale du dispositif de contrôle permanent,

l’animation du dispositif et le reporting sur le Contrôle Interne (déficiences relevées, plans d’actions à mettre en

place pour les améliorer…).

Concrètement, ce service met en place les procédures, les logigrammes (flow charts), et réalise les tableaux de

contrôles en collaboration avec les opérationnels afin que ceux-ci puissent ensuite réaliser leurs contrôles de

premier niveau. Les contrôleurs internes, positionnés sur chaque « secteur » de l'entreprise (prévoyance, santé

etc.) sont, eux, en charge des contrôles de second niveau, qui consistent à vérifier que les contrôles de premier

niveau ont été faits correctement (en sélectionnant un échantillon de dossiers et en refaisant les contrôles

réalisés par les opérationnels). Les autres livrables sont les diverses règles et procédures de Contrôle Interne

ainsi que le rapport annuel de Contrôle Interne à présenter au Conseil.



Les missions principales du département Contrôle Interne sont donc les suivantes :

-l'animation du dispositif de Contrôle Interne (diffusion des méthodologies applicables en matière de

cartographie des risques, d’élaboration des plans de contrôle et de la base incidents, management fonctionnel

du réseau de contrôleurs internes, suivi des plans d’amélioration du Contrôle Interne des fonctions support et

coordination du contrôle de la sous-traitance (activités déléguées/externalisées) en lien avec les départements

opérationnels,

-l'identification des contrôles « clés » au sein des processus métier en distinguant les contrôles manuels des

contrôles automatisés, puis mise en place d’un dispositif de validation de ces contrôles « clés » et d’un suivi des

plans de contrôle permanent,

-la mise en œuvre d’une méthodologie de suivi et de mesure des risques opérationnels par l’analyse des

incidents (risques avérés et quantifiables), et la fixation des modalités de fonctionnement d’une base incidents,

-la consolidation et le reporting (consolidation des résultats des contrôles et des plans d’amélioration du Contrôle

Interne, réalisation du reporting auprès de la Direction Générale, du Comité d'Audit et des Risques et du Conseil

d'Administration, élaboration des rapports sur le Contrôle Interne en collaboration avec le réseau des contrôleurs

internes),

-la sécurité informatique (participation à l’élaboration de la politique sécurité du groupe, suivi des plans d’actions

opérationnels et déclinaison de la politique sécurité, administration des outils de gestion des risques du groupe).

L'accent est mis sur les risques informatiques, car les données constituent la ressource principale du métier

d'assureur. .

Au sein de cette entreprise, le département Contrôle Interne est rattaché à la Direction de la Performance, et

travaille en étroite collaboration avec le département Qualité du groupe. Cette fonction centrale du dispositif de

Contrôle Interne est appuyée par des acteurs définis dans la charte de Contrôle Interne, que sont les pilotes de

processus, les Correspondants de Contrôle Interne, les cellules de Contrôle Interne, et les opérationnels. Ces

mêmes acteurs doivent veiller au recensement et à l’évaluation des risques de leur périmètre d’activité, en

veillant à intégrer les activités externalisées qui y sont rattachées. La directive ne provoque donc pas de

changements à ce niveau pour cette entreprise car un dispositif très complet est déjà mis en place.

Enfin, un autre interlocuteur m'a expliqué qu'au sein de son entreprise, le dispositif de Contrôle Interne est

composé de trois niveaux : le dispositif des opérationnels (contrôles de premier niveau réalisé par les

opérationnels), le dispositif hiérarchique (Contrôle Interne réalisé par les Responsables d'équipes, les Directeurs

d'une activité voire même le Contrôle de gestion), puis l'Audit Interne, qui constitue un contrôle

périodique/ponctuel. Pour ce groupe, la directive ne provoque pas non plus de changements notables au niveau

du Contrôle Interne. De même, au sein d’une autre entreprise, un dispositif de Contrôle Interne existe déjà :

Solvabilité 2 va donc seulement pousser à mieux l’organiser, à créer des structures organisationnelles, et à



renforcer les bonnes pratiques (procédures, contrôles de premier et second niveaux, correspondants de

Contrôle Interne etc).

On constate donc que cet article n'entraîne pas de révolution dans le domaine du Contrôle Interne, puisqu'il

rappelle surtout les bases. Ce système doit permettre de fournir une assurance sur la conformité avec les

réglementations et le respect des politiques et procédures internes, la fiabilité des informations, l'adéquation des

contrôles aux risques et leur efficacité. Il doit aussi garantir que les déficiences identifiées sont priorisées et

traitées sans délai, ainsi que documenter et diffuser à l'ensemble du personnel les rôles et responsabilités, les

procédures et les modes de reporting.

De même, les domaines d’intervention de la structure de Contrôle Interne, prévus par décret, n'entraînent pas de

bouleversements majeurs : ces domaines sont les placements, la gestion actif/passif, la gestion des risques et le

suivi de la gestion des sinistres, des filiales et des activités externalisées. Comme nous l’avons vu

précédemment, la mise en œuvre concrète du Contrôle Interne est ensuite à déterminer l ibrement par chaque

entreprise. On note tout de même que d'après une étude réalisée en 2010 par le cabinet Sinequa, en matière de

Contrôle Interne, la mise en œuvre de Solvabilité 2 a amené les entreprises à revoir leur dispositif en termes de

formalisation des activités de contrôle, d'adéquation avec la cartographie des risques, d'exploitation des

résultats issus des activités de contrôle, et d'adaptation des plans de contrôle.

Cette partie de Solvabilité 2 va donc entraîner de grands changements uniquement au sein des entreprises qui

sont en retard au niveau du Contrôle Interne, principalement les mutuelles et les petites Institutions de

Prévoyance. En effet, cela ne sera pas un problème pour les grands groupes, d'autant que le métier des

assureurs consiste à gérer le risque : c'est donc habituel pour eux. Cependant, pour les petites mutuelles, la

mise en œuvre de l'article sera rendue difficile en raison de leur manque d’expérience dans le domaine du

Contrôle Interne et du coût élevé de ces changements. D'autant que l'enjeu n'est pas toujours là, qu'il faut aussi

évoluer au niveau des instances dirigeantes, et que les mutuelles sont moins habituées à gérer le risque.

Les autres entreprises vont plutôt devoir renforcer ou étendre leurs bonnes pratiques ainsi que déployer le

Contrôle Interne à toute l'entreprise si ce n'est pas déjà fait. Cependant, la plupart des groupes l'ont anticipé, et il

ne reste donc plus qu'à l'améliorer. a

➢ 4/ Création d'une fonction Conformité

a

La directive impose également la création d’une fonction Conformité, qui doit être placée sous l'autorité de la

Direction du Contrôle Interne, et lui accorde une importance particulière en l'incluant dans le système de

gouvernance, puisqu'il est précisé dans la directive que « le système de gouvernance inclut la fonction de

gestion des risques, la fonction actuarielle, la fonction d'audit interne et la fonction de conformité ».



La mise en place de cette fonction permanente de conformité a pour but de s'assurer que le groupe est en

conformité avec les lois existantes (Tracfin, Informatiques & Libertés, etc.), et doit consister en une veille,

somme des veilles existantes. Son existence s'explique par le fait qu'une des finalités du Contrôle Interne est

d’assurer la conformité aux lois, règlements et politiques internes et externes.

La conformité, face au renforcement permanent du cadre législatif et réglementaire, est par définition le respect

de l’ensemble des lois et règlements propres aux activités financières, bancaires et d’assurance, des normes et

usages professionnels et des codes de conduite et procédures internes du groupe ; elle se compose de la

conformité interne et de la conformité externe. La conformité externe est le respect de la réglementation

objective ; les comportements non-conformes définis à partir de textes externes (lois, réglementations..) sont

susceptibles de sanctions judiciaires administratives et disciplinaires. La conformité interne est le respect des

textes internes et déontologiques (normes, guides, chartes, codes de bonne conduite diffusés dans le groupe).

Les comportements non-conformes sont également susceptibles de sanctions administratives et disciplinaires.

Elle consiste ainsi à s’assurer du respect des dispositions législatives, réglementaires et administratives

régissant l’activité. Elle comprend également l’évaluation de l’impact possible de tout changement de

l’environnement législatif sur les opérations de l’entreprise, et doit donc se tenir informé en permanence des

évolutions de l’environnement externe, afin de mettre en place les plans d’action adéquats. Elle est aussi

chargée d'élaborer une cartographie des risques de non-conformité et d'identifier les procédures et mesures

internes nécessaires à l’application des lois et règlements, ainsi que les règles de bonne conduite et des

principes de comportement fixés par les instances professionnelles et le groupe. Elle doit aussi contrôler le

respect des règles et procédures de « conformité » (de manière centrale ou déléguée). Le « plan de

conformité » (indiquant les activités de conformité à mettre en place pour s’assurer que tous les domaines

significatifs de l’entreprise ont été couverts correctement) doit prendre en compte tous les domaines de l'activité

qui peuvent être exposés au risque de non-conformité.

Au niveau du groupe, cette fonction doit être intégrée dans le système de Contrôle Interne et associée au

contrôle permanent et à la gestion des risques, ce qui explique qu’elle soit évoquée ici. Elle doit toutefois

posséder un statut approprié au sein de l’entreprise, afin de pouvoir communiquer de sa propre initiative avec

n’importe quel membre du personnel, obtenir l'accès à n’importe quel dossier nécessaire à l’exécution de ses

responsabilités, et signaler à la Direction tout problème majeur de conformité identifié.

J'ai pu constater au cours des entretiens que j'ai menés que la mise en place de cette fonction n'était pas chose

aisée car elle constitue une nouveauté dans le monde de l'assurance, y compris pour les grands groupes, même

si des fonctions similaires sont souvent mises en place au sein des grands groupes.

Ainsi, un premier interlocuteur m'a expliqué qu'au sein de son groupe, une fonction équivalente à la fonction



Conformité a été créée en 2008. Cette fonction appelée « Officer Compliance » remplit les missions suivantes :

-donner aux documents l'autorisation de sortir ou non de l'entreprise (car certaines informations doivent

obligatoirement figurer sur les documents liés aux assurances),

-respecter les mentions légales, et faire figurer des informations obligatoires sur les documents pré contractuels

et contractuels (ex : note d’information, conditions générales),

-effectuer une validation juridique des documents pré contractuels et contractuels.

D’après ce Directeur, c'est une fonction très importante, mais nouvelle dans le monde des assurances, alors

qu'elle existe déjà dans d'autres secteurs. Elle s'apparente à une « veille », et contrôle que tous les documents

qui sortent de cette entreprise sont bien conformes à la loi (Code des Assurances, Code de la Sécurité

Sociale...). Le premier problème est donc que cette fonction est difficile à appréhender car elle est de l'ordre du

juridique, alors que la Directive indique qu'elle doit faire partie du Contrôle Interne. Ainsi, au sein de cette

entreprise, la directive va provoquer une réorganisation sur ce point, mais ne provoquera pas de changement

fondamental dans les missions de ce service. De plus, la directive ne précise pas si ce doit être une fonction ou

un processus, d’après cet interlocuteur.

a

Un second interlocuteur m'a expliqué que son entreprise n'a pas encore complètement traité le sujet, mais

qu'une fonction équivalente à cette fonction Conformité existe déjà au sein du département Juridique. Il reste

donc du travail sur ce point, mais le responsable du Contrôle Interne pense que ce n'est pas à lui de s'en

occuper, ce qui a retardé la mise en œuvre de ce projet. KPMG, dans son diagnostic de mise en conformité

avec Solvabilité 2 visant à indiquer à l’entreprise les actions à accomplir afin de respecter la directive, a pourtant

fait la proposition suivante : « la fonction de contrôle de conformité pourrait être assurée au travers du dispositif

de Contrôle Interne, avec un rôle de coordination centrale assurée par le département Contrôle Interne et des

relais existants au niveau des métiers et du Secrétariat Général - Juridique (veille juridique) », et a expliqué que

ses missions seront les suivantes :

-élaboration d’une cartographie des risques de non-conformité et identification des procédures et mesures

internes nécessaires à l’application des lois et règlements ainsi que les règles de bonne conduite et des

principes de comportement fixés par les instances professionnelles et le groupe,

-assistance métier pour l’application des lois, règlements, procédures et normes internes,

-contrôle du respect des règles et procédures « conformité » (de manière centrale ou déléguée).



Ainsi, la Direction du Contrôle Interne de cette entreprise va sans doute se développer dans un futur proche et

accueillir de nouveaux collaborateurs afin de mettre en place cette fonction, même si cela pose problème

puisque qu'une fonction équivalente existe déjà au sein du département Juridique. Cette question n'a donc pas

encore été totalement traitée au sein de cette entreprise, et devrait provoquer des changements importants en

termes de réorganisation.

Un troisième interlocuteur m'a expliqué que cette fonction est déjà mise en place au sein de son entreprise, mais

qu'aujourd’hui, le Contrôle Interne et la Direction Juridique s’en occupent. L'organisation n'est donc pas très

claire et définie : la Direction Juridique s’occupe de la veille réglementaire et de la diffusion de l’information, et le

Contrôle Interne s’occupe en particulier de la lutte anti-blanchiment et de la lutte contre la fraude. Pour être en

conformité avec Solvabilité 2, il va être nécessaire de modifier et améliorer cette organisation. Il faudra

également améliorer l'organisation de la diffusion de l’information réglementaire. Il y a actuellement un débat sur

ce qui doit être modifié dans ce système, au sein de cette entreprise.

Un autre interlocuteur m'a précisé que cette fonction Conformité, qui consiste à s'assurer que l'entreprise

respecte bien les diverses règles auxquelles elle est soumise, existait déjà au sein de son entreprise, mais qu'il

a fallu la séparer du service Juridique afin de la « spécialiser » et donc de respecter les exigences de Solvabilité

2. D'autant qu'il y a de plus en plus de textes et d'exigences à respecter ; cette fonction aurait donc pris de

l'importance même sans les dispositions de Solvabilité 2. Afin de respecter la directive, il a fallu consolider cette

fonction et la placer au niveau de la Direction des Risques afin de la lier au Contrôle Interne, à l'Actuariat et au

Risk Management. Cela permet de regrouper au sein d'une même structure ces fonctions, qui pourront

fonctionner ensemble : des synergies pourront se mettre en place entre les services. Cette entreprise a donc

décidé de ne pas attendre et d'adopter cette organisation dès aujourd'hui.

De même, un dernier interlocuteur m'a expliqué que son entreprise a d'ores-et-déjà mis en place une fonction

Conformité. Les missions principales de la nouvelle fonction Conformité de ce groupe seront les suivantes :

-s'assurer que des veilles existent dans tous les domaines de l'entreprise. Par exemple, aujourd'hui, une veille

existe au niveau de la Retraite mais pas au niveau de l'Assurance de Personnes et de la Comptabilité, par

exemple. Les comptables suivent bien sûr l'évolution des lois, mais cela n'est pas réalisé de manière rigoureuse

et formalisée. Ainsi, lorsque ces veilles n'existent pas, la Conformité devra s'en charger.

-s'assurer que des plans d'action sont mis en place afin d'aboutir à une conformité avec la loi, si cela n'est pas

encore le cas. Ces plans d'action devront être validés par les Directeurs concernés ou les Directeurs Généraux

Adjoints. Par exemple, en ce qui concerne la fiscalité des Institutions de Prévoyance, il faudra s'assurer que la

Comptabilité a un plan d'action. De même, en ce qui concerne la troisième directive de lutte anti-blanchiment



(datant d'il y a trois ans), la fonction Conformité devra s'assurer que l'on y répond bien aujourd'hui, étant donné

que cette fonction n'existait pas à l'époque.

Cette fonction Conformité sera donc proche du Contrôle Interne car elle devra réaliser des contrôles

périodiques, mais également de l'Audit Interne, car elle sera amenée à collaborer avec les auditeurs pour

certaines missions, et du département Juridique car elle fournira à ce département tous les documents, textes et

lois auxquels est soumise l'entreprise. Elle devra également rédiger un rapport sur la Conformité qui présentera

entre autres son activité ainsi que toutes les lois auxquelles est soumis le groupe. Globalement, d'après un

interlocuteur, les missions principales de cette fonction consisteront à vérifier que les contrats vendus sont

conformes à la loi, que les contrôles entrants et sortants concernant la lutte anti-blanchiment sont bien réalisés,

et que la confidentialité des données (données médicales notamment) est respectée. Solvabilité 2 exige

également que cette fonction dispose de cartographies des risques de non-conformité.

Ainsi, la mise en place de cette fonction représente une nouveauté dans le monde de l'assurance, ce qui la rend

difficile à mettre en place. D'autant qu'elle est difficile à appréhender car de l'ordre du juridique. Ainsi, cette partie

de Solvabilité 2 a été globalement assez peu travaillée par les entreprises pour le moment, notamment pour ce

qui est des contrôles de second niveau. La veille et le déploiement des exigences réglementaires semblent avoir

bénéficié de plus d'attention. Même au sein des entreprises qui ont déjà mis en place une fonction Conformité,

celle-ci n'en est qu'à ses balbutiements.

Enfin, pour les entreprises qui disposent déjà de l'équivalent d'une telle fonction au sein d'un département

Juridique, Solvabilité 2 entraîne une réorganisation puisque désormais, cette fonction devra faire partie du

département Contrôle Interne. Les entreprises devront donc commencer par formaliser le dispositif de contrôle

de conformité : description des procédures de contrôle de conformité (veille, nouvelles activités, réglementation,

fiscalité, placements, lutte anti-blanchiment, etc..), définition du champ d’action du contrôle de la conformité et

des rôles et responsabilités en ce qui concerne la veille et le contrôle. Pour les entreprises qui ne disposent pas

encore de cette fonction, il faudra commencer par définir un cadre et une méthodologie de contrôle de la

conformité, puis mettre en œuvre la fonction en lui assignant des collaborateurs.

Cette exigence de Solvabilité 2 peut avoir un aspect contraignant à court terme, mais la mise en place d'une

telle fonction ne peut être que bénéfique à l'entreprise sur le long terme, notamment dans un environnement

aussi complexe (lois et réglementations à respecter de plus en plus nombreuses etc.). Cette fonction est

d'autant plus importante qu'en cas de non respect des dispositions légales, réglementaires et des normes

professionnelles/déontologiques, il y a un risque de « sanction judiciaire, administrative ou disciplinaire,

d'atteinte à la réputation et de pertes financières », d'après l'ACP.



➢ 5/ Renforcement du contrôle des délégataires

La directive entraîne également un renforcement du contrôle des sous-traitants (voir annexe 13 : représentation

de la sous-traitance), au travers de l'article 49 :

« 1. Les États membres veillent à ce que, lorsqu'elles sous-traitent des fonctions ou des activités d'assurance ou de réassurance, les

entreprises d'assurance et de réassurance conservent l'entière responsabilité du respect de l'ensemble des obligations qui leur

incombent en vertu de la présente directive.

2. La sous-traitance d'activités ou de fonctions opérationnelles importantes ou critiques n'est pas effectuée d'une manière susceptible

d'entraîner l'une des conséquences suivantes:

a) nuire gravement à la qualité du système de gouvernance de l'entreprise concernée;

b) accroître indûment le risque opérationnel;

c) compromettre la capacité des autorités de contrôle de vérifier que l'entreprise concernée se conforme bien à ses

obligations;

d) nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des preneurs.

3. Les entreprises d'assurance et de réassurance informent en temps utile les autorités de contrôle de leur intention de sous-traiter des

activités ou des fonctions importantes ou critiques, puis de toute évolution importante concernant ces activités ou ces fonctions. »

Solvabilité 2 et la mesure d'application correspondante (voir annexe 7) précise donc qu'il est important de

contrôler tous les délégataires et partenaires, et entraîne donc un renforcement de ces contrôles. Ainsi, la

politique de sous-traitance doit faire l’objet d’un document écrit et approuvé par les instances dirigeantes de la

société, et un dispositif de contrôle particulier doit être mis en place sur les activités déléguées/externalisées.

L’assureur déléguant ne peut se prévaloir de l’existence d’un système de maîtrise des risques chez le

délégataire pour ne pas procéder à ses propres contrôles : il doit maîtriser ses risques même lorsqu'il sous-traite

une activité, ce qui est banal dans le monde de l'assurance.

D'après l'un de mes interlocuteurs, l'application de la directive entraîne pour l'entreprise un certain nombre

d'obligations et d'interdictions :

-Le recours à la sous-traitance ne doit pas conduire à compromettre la qualité du système de gouvernance,

accroître le risque opérationnel, compromettre le contrôle par les superviseurs de l’exécution des obligations de

l’assureur, et nuire à la prestation continue d’un niveau de service satisfaisant à l’égard des clients. Outre les

sanctions de droit commun, le constat d’un de ces éléments pourrait entraîner un « capital add-on » (pénalité

imposée par l'ACP prenant la forme d'un supplément de capital ajouté au SCR calculé).

-De plus, l'entrée en affaire avec le sous-traitant devra faire l’objet d’étapes de contrôle documentées : audit des

capacités du sous-traitant, vérification des ressources financières du sous-traitant, vérification de l'efficacité des

systèmes de Risk Management et de Contrôle Interne du sous-traitant, vérifications de l'absence de conflits



d’intérêt, revue des contrats par les organismes de direction de l’assureur, etc. La procédure de sélection des

sous-traitants doit donc être fortement renforcée et formalisée, comme l'indique en détail le texte du CEIOPS.

-Le contrat de sous-traitance doit contenir des clauses permettant de sécuriser l’activité par un suivi des risques

et le maintien d’un système de contrôle satisfaisant : audits et contrôles permanents, revue des plans de

continuité d’activité du sous-traitant, critères de confidentialité des données de l'entreprise à respecter

notamment. L'entreprise doit donc connaître et maîtriser les risques de l'activité qu'elle sous-traite, en étant

réellement impliquée dans le processus de contrôle de cette activité.

-Enfin, les entreprises doivent informer préalablement les autorités de contrôle de leur intention de sous-traiter

des activités ou des fonctions importantes, et toute évolution importante ultérieure concernant ces fonctions ou

ces activités doit également faire l’objet d’une information.

Pour les entreprises d'assurance, il va donc falloir renforcer les fonctions qui existent, comme le Contrôle

Interne, afin de mieux contrôler leurs délégataires. Solvabilité 2 demande également un reporting sur ce sujet :

« pour assurer un contrôle efficace des fonctions ou des activités sous-traitées, il est essentiel que les autorités

de contrôle de l'entreprise d'assurance sous-traitante aient accès à toutes les données pertinentes détenues par

le prestataire du service externalisé, qu'il s'agisse d'une entité réglementée ou non, et puissent effectuer des

inspections sur place ».

Solvabilité 2 demande donc à l'entreprise de maîtriser ses propres risques, mais considère à juste titre que

l'entreprise est également responsable de ses risques lorsqu'elle a recours à des prestataires externes : le

recours à la sous-traitance ne dégage pas une entreprise de ses responsabilités, et l'assureur doit maîtriser le

processus sous-traité. Les assureurs doivent donc mesurer les risques supportés par les fonctions sous-traitées,

en faire un rapport, et le présenter au Conseil d'Administration pour validation. Cela concerne aussi la sous-

traitance à l'intérieur d'un même groupe : ainsi, pour l'un de mes interlocuteurs, le prestataire informatique de

son groupe est aussi concerné.

Afin de maîtriser les activités déléguées, l'entreprise qui délègue ses activités doit mettre en place des contrats

définissant les exigences en matière de réalisation des opérations, exiger la mise en place de dispositifs de

maîtrise et de contrôle des risques sur les opérations déléguées, instaurer la mise en place de reporting

adéquats, et prévoir des clauses d’audit sur les risques majeurs des opérations déléguées.

En effet, Solvabilité 2 demande de contrôler les sous-traitants de manière récurrente, en priorité sur des sujets

porteurs de risques importants (par exemple, mettre en place un contrôle des sommes que versent les sous-

traitants à l'entreprise). Ce contrôle fera ensuite l'objet d'un rapport, ou plutôt d'une « note » faisant partie du

rapport sur le Contrôle Interne, qui sera présentée par le Contrôle Interne au Conseil d'Administration. Ce



contrôle doit être prévu dans le contrat passé entre l'entreprise et ses sous-traitants, qui doit évidemment

préciser que l'entreprise a un droit de contrôle. Des « audits » périodiques seront donc effectués par la suite : le

Contrôle Interne sera en charge de ces audits, voire les opérationnels eux-mêmes.

Au sein de l'entreprise de l'un de mes interlocuteurs, l'une des missions officielles du département Contrôle

Interne est d'ores-et-déjà la coordination du contrôle de la sous-traitance, en lien avec les départements

opérationnels. Les pilotes de processus, les Correspondants de Contrôle Interne, les cellules de Contrôle

Interne et les opérationnels doivent veiller au recensement et à l’évaluation des risques de leur périmètre

d’activité, en veillant à intégrer les activités externalisées qui y sont rattachées. Le département Contrôle Interne

est ensuite chargé de réaliser un « audit » du délégataire, qui se déroule quasiment de la même façon qu'une

mission d'audit « classique » :

-envoi d'une lettre de mission au délégataire quelques semaines avant l'audit,

-préparation de la mission en regroupant les documents internes,

-demande effectuée auprès du délégataire afin d'obtenir la documentation relative à son dispositif de Contrôle

Interne,

-analyse des informations recueillies,

-réalisation de l'audit « sur place » à partir des éléments recueillis pendant la phase de préparation,

-animation du débat contradictoire chez le délégataire concerné,

-rédaction du rapport d'audit et de la lettre de fin de mission,

-envoi du rapport au délégataire pour validation,

-par la suite, réalisation d'un suivi trimestriel des actions mises en place par le délégataire suite aux

recommandations formulées.

Ce ne sera donc pas à l'Audit Interne de se charger de ce contrôle des sous-traitants, mais l'Audit pourra

éventuellement contrôler le dispositif de contrôle des sous-traitants afin de s'assurer qu'il est bien mis en place.

En effet, même si le contrôle des délégataires n'est pas du ressort de l'Audit Interne, les auditeurs pourront

s'assurer au cours d'une mission que les équipes et le département Contrôle Interne contrôlent correctement

le(s) délégataire(s) de l'entreprise.

Un autre interlocuteur m'a expliqué que le contrôle des délégataires est déjà mis en place dans son entreprise,

et qu'il est piloté directement par les services concernés. Il existe également un service dédié au pilotage des

délégataires, rattaché à la Direction Générale, qui est chargé de s’assurer que les délégataires ont mis en place

un dispositif de Contrôle Interne conforme aux attentes de l'entreprise. Ce service existe depuis 6 ans. L’Audit

Interne peut être amené à auditer ce sujet, et un audit du contrôle des délégataires a déjà eu lieu au sein de

cette entreprise, mission au cours de laquelle les auditeurs sont allés rencontrer deux délégataires (sur

quarante).



Afin de se mettre en conformité avec ce point de la directive, les entreprises devront commencer par mettre en

œuvre les actions suivantes :

-Recenser le périmètre de la sous-traitance : identification des processus liés aux activités déléguées/

externalisées, réaliser une cartographie des protocoles existants (existence, validité etc.),

-Identifier les risques liés aux activités déléguées/externalisées et les objectifs de pilotage et de maîtrise de ces

activités (qualité, délais, exhaustivité, sécurité, conformité, etc.),

-Évaluer les actions de maîtrise des risques existantes et définir des actions complémentaires à mettre en place

si nécessaire afin de renforcer le contrôle des délégataires : actions de maîtrise mises en œuvre par le groupe

(indicateurs de suivi, actions de contrôles/audit, etc.), actions de maîtrise partagées avec le partenaire (dont la

mise en place de protocoles ou de conventions de partenariat), actions de maîtrise mises en œuvre par le

partenaire (réalisation de contrôles, qualifications et assurances professionnelles, etc.),

-Définir une politique de sous-traitance,

-Mettre en œuvre les procédures de contrôles et effectuer un suivi des actions de maîtrise des risques et

indicateurs de reporting.

Solvabilité 2 n'impose pas ce renforcement du contrôle des délégataires par hasard : en effet, l'une des

spécificités du secteur de l'assurance est la gestion déléguée, et il est donc essentiel que l'entreprise maîtrise

toutes ses activités, y compris celles qu'elle sous-traite. Il est donc rare qu'un tel contrôle ne soit pas déjà mis en

place au sein des entreprises, même sous une forme rudimentaire, ce qui est positif. Si ce n'est pas fait, la

directive impose de le mettre en place. Pour les entreprises qui effectuent déjà ce contrôle de leurs délégataires

(c'est-à-dire une grande majorité d'entreprises), il va donc surtout falloir renforcer les contrôles déjà en place,

notamment en termes de méthodologie (plus de formalisme et de reporting). d

➢ 6/ Contrôle des dirigeants

L'article consacré aux exigences d'honorabilité et de compétence applicables aux personnes qui dirigent

effectivement l'entreprise ou qui occupent d'autres fonctions-clés est l'article 42 :

« 1. Les entreprises d'assurance et de réassurance veillent à ce que toutes les personnes qui dirigent effectivement l'entreprise ou qui

occupent d'autres fonctions-clés satisfassent en permanence aux exigences suivantes:

a) leurs qualifications, connaissances et expérience professionnelles sont propres à permettre une gestion saine et

prudente (compétence);

b) leur réputation et leur intégrité sont de bon niveau (honorabilité).

2. Les entreprises d'assurance et de réassurance communiquent aux autorités de contrôle tout changement survenu dans l'identité des

personnes qui dirigent effectivement l'entreprise ou qui assument la responsabilité d'autres fonctions-clés, ainsi que toute

information nécessaire pour apprécier si toute personne nouvellement nommée à la direction de l'entreprise satisfait aux

exigences d'honorabilité et de compétence.



3. Les entreprises d'assurance et de réassurance informent les autorités de contrôle du remplacement de toute personne visée aux

paragraphes 1 et 2, parce qu'elle ne remplissait plus les exigences énoncées au paragraphe 1. »

Ainsi, afin de respecter cet article et les mesures d'application correspondantes (voir annexe 7), des critères

« Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise, et les responsables concernés seront

désormais plus contrôlés. En effet, pour répondre aux obligations de Solvabilité 2, il convient de définir et

répertorier ces fonctions-clés et les compétences requises afin de les exercer, formaliser des fiches de fonction,

définir des critères de compétences, valider ces critères à l’appui de pièces justificatives (diplômes, formation,

évaluation, etc.), et concernant l'honorabilité, un extrait de casier judiciaire sera systématiquement demandé par

l’ACP pour les personnes occupant des fonctions-clés. Ainsi, il faudra notifier à l'autorité de contrôle tout

changement de personnes dirigeant l'entreprise (Président du Conseil, Directeur Général) ou occupant une

fonction-clé, ainsi que tous les éléments permettant d'apprécier leur honorabilité et leur compétence (CV,

références, casier judiciaire etc.). Par ailleurs, il convient de prévoir un processus d’évaluation et de revue

systématique du respect de ces critères.

Les fonctions-clés usuelles identifiées par la directive sont la Direction Générale, la Direction comptable et

financière, le Contrôle de Gestion, la Direction technique (actuariat), le Risk Management, le Contrôle Interne et

l'Audit Interne.

Ces exigences revues à la hausse concernant le contrôle des dirigeants s'expliquent par le fait que les

compagnies d'assurance doivent être gérées de façon saine et prudente, et ce afin de mieux protéger les

intérêts des assurés, ce qui est un des buts premiers de Solvabilité 2. À cet égard, il apparaît essentiel que les

personnes occupant des postes-clés (les membres du Conseil d'Administration et de ses « émanations », le

management, les principaux Directeurs) fassent preuve de compétence et ne constituent pas un risque pour les

intérêts de l'entreprise, par exemple par le biais de conflits d'intérêts ou d'une activité criminelle.

Les exigences de Solvabilité 2 concernant le contrôle des dirigeants vont donc concerner l'aptitude et la probité

des membres du Conseil et des personnes qui occupent des postes-clés de gestion, et l'autorité de contrôle va

contrôler ces points. Les entreprises devront donc démontrer que ces personnes sont qualifiées et compétentes

et que le Conseil a suffisamment de connaissances et de compétences pour exercer un contrôle efficace ainsi

qu’une véritable analyse et une remise en question des décisions de la Direction.

Pour exemple, l'un de mes interlocuteurs m'a précisé que pour son entreprise, les CV des « personnes-clés »

que sont le Directeur de l'Audit Interne, le Directeur des Risques, le Directeur du Contrôle Interne, et le Directeur

Général vont être envoyés à l’autorité de contrôle, qui va également vérifier s'ils ont un casier judiciaire vierge.

Ainsi, les « personnes-clés » devront satisfaire des exigences en termes de compétence (qualifications,

connaissances, expériences professionnelles propres à permettre une gestion saine et prudente de l'activité) et

d'honorabilité (réputation et intégrité). Tous ces critères seront analysés par l'ACP.



Il faut préciser que l’ACP intervient d’ores-et-déjà au sein des entreprises afin d’analyser leur système de

gouvernance : ce renforcement du contrôle des dirigeants n’est pas une révolution mais plutôt une version plus

poussée et plus formalisée d’un contrôle qui existe déjà. Ce changement est sans doute positif car les grandes

assurances gèrent de très nombreux clients et des capitaux élevés : il apparaît donc logique d’obtenir

l’assurance que les dirigeants de ces entreprises sont compétents et peuvent assumer leurs responsabilités.

On peut cependant émettre des réserves sur cette nouveauté puisqu'il apparaît difficile de véritablement juger

ces critères de façon objective. Que signifient par exemple une intégrité et une réputation « de bon niveau » ?

Comment l’ACP peut-elle s’assurer que leurs qualifications sont « propres à permettre une gestion saine et

prudente » ? Ces éléments apparaissent difficiles à juger, et il y a donc un risque que ce renforcement du

contrôle des dirigeants ne soit qu’un changement de façade et n’ait pas vraiment de fond.

De plus, si l’on comprend la nécessité d’un tel contrôle pour les grands groupes, on peut remettre en question

sa pertinence pour les petites entreprises, qui seront pourtant également soumises à cette obligation.

Néanmoins, l’existence de ce contrôle témoigne de l'intérêt accordé par la directive aux dirigeants de

l'entreprise, et met en évidence le fait que les dirigeants ont un grand rôle à jouer dans la bonne gestion de

l'activité.

➢ 7/ Pas de changements majeurs ?

Le Contrôle Interne, le contrôle des sous-traitants ainsi qu’un équivalent de la fonction Conformité existent déjà

dans la plupart des entreprises. Sur ces points, la directive ne fait donc que confirmer et renforcer ce qui existe

déjà. De plus, des évolutions réglementaires (notamment la loi sur la Sécurité Financière de 2003, le décret du

19 mai 2008 sur le Contrôle Interne et la loi du 3 juillet 2008) qui ont eu lieu avant Solvabilité 2 allaient déjà dans

le même sens.

Solvabilité 2 n'entraîne donc pas de révolutions dans le domaine du Contrôle Interne. Par exemple, la loi

Sarbanes-Oxley, en 2002, entraînait déjà l'obligation pour les sociétés cotées de mettre en place un système de

Contrôle Interne s'appuyant sur un cadre conceptuel comme le COSO. Cependant, cette loi ne s’applique pas

en Europe mais uniquement aux États-Unis.

De plus, le rapport sur le Contrôle Interne à présenter au Conseil d'Administration pour validation vient à l'origine

de la LSF (1er Août 2003), et pas de Solvabilité 2. La LSF a en effet instauré le rapport du Président du Conseil



d'Administration décrivant le gouvernement d'entreprise et le dispositif de Contrôle Interne, afin d'informer les

actionnaires et le marché sur ces sujets.

De même, en France, en 2006, la mise en place d'un dispositif permanent de Contrôle Interne a été rendue

obligatoire pour les entreprises d'assurance par le décret du 13 mars. Ce décret prévoyait également les

domaines d'intervention de ce dispositif de Contrôle Interne (placements, gestion actif/passif, gestion des

risques, suivi de la gestion des sinistres, des filiales et des activités externalisées). De plus, ce décret évoquait

aussi le rapport sur le Contrôle Interne à soumettre annuellement pour approbation au Conseil d'Administration,

en allant plus loin que la LSF et en précisant de manière détaillée le contenu de ce rapport. L'entreprise doit

notamment y décrire les procédures et dispositifs permettant de gérer les risques liés aux engagements de

l'entreprise, les procédures permettant de vérifier que les activités de l'entreprise sont menées selon les

stratégies établies par la direction et sont conformes aux dispositions réglementaires, les procédures de

Contrôle Interne mises en place, et la conformité des opérations d'assurance à la réglementation et aux

orientations internes à l'entreprise.

Concernant le service Contrôle Interne en lui-même, ce rapport doit préciser ses objectifs, la méthodologie

employée, le positionnement hiérarchique de la structure, son organisation, les compétences et l'expérience des

équipes. Ce rapport va donc au-delà des informations financières et comptables en instaurant une dimension

qualitative dans la gestion des risques. En ce sens, ce décret peut être vu a posteriori comme une opportunité

pour se préparer aux exigences du pilier 2 de Solvabilité 2, d'autant plus que les domaines d'intervention du

dispositif de Contrôle Interne prévus par ce décret correspondent aux domaines d'application prévus par

Solvabilité 2.

Puis en 2008, la mise en place d'un dispositif permanent de Contrôle Interne est aussi devenue une obligation

pour les Institutions de Prévoyance et les mutuelles.

En effet, le décret du 19 mai 2008 relatif au Contrôle Interne des Institutions de Prévoyance et des mutuelles

indiquait l'obligation pour celles-ci de mettre en place un dispositif permanent de Contrôle Interne mais précisait

également que le Conseil d'Administration doit approuver, au moins annuellement, un rapport sur le Contrôle

Interne, qui est transmis à l'Autorité de contrôle des assurances et des mutuelles, l’ACP. Le décret détaille aussi

le contenu de ce rapport, qui doit évoquer les sujets suivants : objectifs, méthodologie, position et organisation

générale du Contrôle Interne au sein de l’entreprise, mesures prises pour assurer l'indépendance et l'efficacité

du Contrôle Interne, procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler les

risques etc., et doit être divisé en deux parties (« description des conditions de préparation et d’organisation du

Conseil d’Administration » et « présentation du Contrôle Interne et des mesures prises pour en assurer



l’indépendance et l’efficacité »).

L'objectif de ces décrets était donc déjà de maîtriser l’ensemble des opérations concourant à l’activité et

porteuses de risques :

-la gouvernance, avec les différentes instances,

-l'organisation générale du Contrôle Interne,

-les procédures liées à la conformité des opérations d’assurance aux dispositions législatives et réglementaires,

-le domaine des placements et la gestion actif-passif,

-les procédures relatives aux risques gérés et à l'information financière et comptable,

-les procédures de gestion (en particulier pour la gestion externalisée).

Cela montre donc que Solvabilité 2 n'a rien d'une révolution en ce qui concerne le Contrôle Interne et ne fait que

renforcer ce qui existait déjà.

D'autre part, une recommandation du CTIP de 2008 sur le rôle du Conseil d’Administration des Institutions de

Prévoyance en matière de Contrôle Interne précise les modalités de mise en œuvre du Contrôle Interne dans

les Institutions de Prévoyance tel qu’institué par le décret du 19 mai 2008, et plus spécifiquement le rôle dévolu

au Conseil d’Administration sur ce sujet.

Cette recommandation rappelle que l'entreprise est tenue de mettre en place un dispositif permanent de

Contrôle Interne, puis rappelle les fonctions principales du Conseil d’Administration (assurer le suivi de

l’efficacité du système de Contrôle Interne et de la gestion des risques etc.), et précise que l’entreprise doit

soumettre annuellement un rapport sur le Contrôle Interne à l’approbation du Conseil d’Administration. Ce

rapport décrit notamment les procédures de Contrôle Interne mises en place, ainsi que leurs objectifs, en

insistant notamment sur :

-le contrôle interne des placements,

-la conformité des opérations d’assurance à la réglementation et aux orientations internes à l’entreprise,

-les risques liés aux engagements de l’entreprise,

-les risques liés aux filiales, aux activités externalisées et aux modes de commercialisation, ainsi que les

procédures d’élaboration et de vérification de l’information financière et comptable.

Par la suite, la loi du 3 juillet 2008 (transposition des quatrième et septième directives européennes) a complété

le rapport LSF et a entraîné l'obligation pour les entreprises de se conformer à un cadre de référence de

Contrôle Interne comme le COSO ou le référentiel de l'AMF, qui doivent donc faire référence à un code de

gouvernement d'entreprise dans leur rapport LSF. Si elles ne le font pas, elles doivent le justifier. De plus, cette

loi modifie le rapport LSF en demandant aux entreprises de réaliser une description de leur dispositif de gestion

des risques, en plus du dispositif de Contrôle Interne. Cette loi concerne cependant uniquement les sociétés

faisant appel public à l'épargne.



Enfin, en ce qui concerne la Conformité, d'après le décret du 13 mars 2006 relatif au Contrôle Interne des

entreprises d’assurance, le rapport annuel doit détailler les procédures permettant de vérifier la conformité des

opérations d’assurance aux dispositions législatives et réglementaires.

Ainsi, la directive Solvabilité 2 ne fait globalement que rappeler et renforcer ce qui existe déjà sur tous ces

points, en allant dans le sens des dernières réformes françaises ayant pour but de renforcer les mécanismes de

Contrôle Interne et la gouvernance. D'autant que les Groupes de Protection Sociale reçoivent régulièrement des

instructions et des recommandations provenant du CTIP ou des fédérations Agirc-Arrco en matière de Contrôle

Interne et de maîtrise des risques.

L'intérêt principal de Solvabilité 2 en ce qui concerne le Contrôle Interne vient donc du fait que cette directive

doit être appliquée par toutes les assurances, Institutions de Prévoyance et mutuelles, dans tous les pays

européens, et qu'elle dépasse donc le droit national et les particularités de chaque entreprise. Elle se base donc,

sur certains points, sur des lois qui l'ont précédée, afin de les globaliser à l'ensemble des pays européens et de

diffuser les bonnes pratiques. Ceci est un des aspects positifs principaux de la directive.



B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour le Contrôle Interne

➢ 1/ Généralisation du Contrôle Interne

Afin de respecter les exigences de la directive, toutes les compagnies d'assurance, Institutions de Prévoyance

et mutuelles doivent mettre en place un dispositif permanent de Contrôle Interne et produire des procédures et

un rapport décrivant l’activité et les missions du Contrôle Interne. Ce rapport décrira également les objectifs, la

méthodologie employée, le positionnement hiérarchique de la structure, son organisation, les compétences et

l'expérience des équipes ainsi que les mesures prises pour en assurer l'indépendance. Il est donc nécessaire de

disposer d’un cadre défini pour cette activité.

Cependant, la directive en elle-même reste assez vague et évoque simplement la présence nécessaire d'un

système de Contrôle Interne efficace et d'un cadre de Contrôle Interne, même si des mesures d’application

viennent la compléter. Cela n'apporte donc pas grand-chose pour les entreprises qui disposent déjà d'une

fonction Contrôle Interne : tout au plus, ces entreprises devront améliorer ce qu’elles font déjà, même si cela

peut déjà constituer une charge de travail élevée.

En revanche, pour les entreprises qui ne possèdent pas de service dédié à cette fonction, la directive les

contraint à créer une fonction dédiée : le problème évident pour les petites structures reste leur manque de

moyens, mais cela sera certainement bénéfique pour ces entreprises sur le long terme. La directive a donc le

mérite d’entraîner une généralisation du Contrôle Interne dans toutes les entreprises concernées par la

directive, au niveau européen.

➢ 2/ Renforcement des bonnes pratiques

En dehors de la création de la fonction Conformité, l'article consacré au Contrôle Interne, à l'instar de l'article sur

l'Audit Interne (voir partie 4), rappelle surtout les bonnes pratiques (type COSO). Ces bonnes pratiques sont

principalement :

-Posséder un système de Contrôle Interne efficace,

-Disposer d'un cadre et d'une méthodologie de Contrôle Interne,

-Disposer de procédures administratives et comptables et de modes opératoires,

-Disposer de plans de contrôle,

-Disposer d'habilitations informatiques,

-Mettre en place des séparations de tâches,

-Mettre en place des contrôles (de premier niveau, de second niveau, contrôle des délégataires, etc.) et

analyser les résultats de ces contrôles (reporting) dans tous les domaines de l'entreprise,



-Selon les résultats des contrôles, mettre en œuvre des actions correctives si besoin.

Ainsi, pour les moyennes et grandes entreprises qui disposent déjà d’une telle fonction, cet article vient

seulement confirmer et renforcer les bonnes pratiques déjà mises en œuvre, et développe le rôle du Contrôle

Interne.

Un autre avantage vient du fait qu’il n’existe pas aujourd'hui de définition unique du Contrôle Interne. En effet,

différents cadres de référence existent, en France et à l'étranger (référentiel de l'AMF, référentiel COSO, etc.),

donnant des définitions assez différentes de ce que doit être le Contrôle Interne (voir lexique), et pouvant créer

des divergences importantes d'une entreprise à l'autre. Or les activités de contrôle décrites dans le pilier 2 de

Solvabilité 2 consistent à définir et harmoniser les activités de surveillance au niveau des entreprises :

Solvabilité 2 permet donc de donner une définition et des pratiques de Contrôle Interne applicables par toutes

les sociétés d'assurance, renforçant ainsi les bonnes pratiques vues précédemment.

➢ 3/ Renforcement de la maîtrise des risques

La généralisation du Contrôle Interne ainsi que le renforcement des bonnes pratiques en matière de Contrôle

Interne et de Conformité va obligatoirement entraîner un renforcement de la maîtrise des risques, ce qui est

positif pour les entreprises. Le service dédié devra en effet réaliser des activités de contrôle couvrant toutes les

zones de risques majeures de l’entreprise.

De plus, l'un des responsables que j'ai rencontrés m'a indiqué que son entreprise, qui dispose déjà d'un

dispositif de Contrôle Interne à trois niveaux constitué du dispositif des opérationnels, du dispositif hiérarchique

(Contrôle Interne réalisé par les responsables d'équipe) et de l'Audit Interne, qui effectue un contrôle

périodique/ponctuel, allait étendre la démarche Contrôle Interne à des Directions qui ne sont pour l’instant pas

concernées, comme la Direction du Développement, la Direction Comptable et Financière dont la Direction

Technique, etc. Une démarche d’extension du périmètre du Contrôle Interne est donc en cours au sein de cette

entreprise. L'aspect positif principal entraîné par Solvabilité 2 est donc l'amélioration de la maîtrise des risques,

puisque cette entreprise disposait déjà d’une fonction Contrôle Interne : la directive a eu pour effet principal

d’augmenter son périmètre de travail.

Enfin, un Directeur rencontré m’a précisé qu’au sein de son entreprise, Solvabilité 2 a pour effet positif de

recentrer les fonctions Risk Management, Contrôle Interne et Conformité au niveau d'une même Direction, la

Direction des Risques, alors qu’auparavant, le Contrôle Interne pouvait être déployé sur certains métiers et pas

sur d'autres, et la Conformité était au niveau du Juridique, par exemple. Ce changement va donc renforcer

l’activité de maîtrise des risques en lui donnant un cadre précis, et favorisant la possibilité de synergies entre

ces fonctions qui sont tout de même très similaires.



➢ 4/ Légitimité accrue de la f onction Contrôle Interne

La directive légitime et renforce la fonction Contrôle Interne car Solvabilité 2 implique de disposer de

cartographies des risques et des contrôles à tous les niveaux. Ceci existe déjà dans les grands groupes, mais

cela force les petites mutuelles à mettre en place un dispositif de Contrôle Interne, ou à le renforcer, ce qui est

positif du point de vue de la maîtrise des risques. Pour les grands groupes, la directive n'entraîne pas de grands

changements car un dispositif de Contrôle Interne est déjà en place, mais renforce la légitimité de cette fonction,

car le COSO n'a rien d'obligatoire alors que Solvabilité 2 est une loi. L’importance élevée que lui accorde la

directive est donc un signe de reconnaissance de l'utilité de cette fonction.

De plus, la création de la fonction Conformité, qui sera bien sûr très liée au Contrôle Interne, participe

également à prouver l'importance de celui-ci au sein de l'entreprise. Cette fonction Conformité sera en effet en

charge de la veille (identifier les lois et règlements s’appliquant à l’organisation, analyser les nouveautés

réglementaires et organiser leur diffusion au sein de l’entreprise, et s'assurer de leur prise en compte dans les

normes et pratiques de l’organisation), de l'animation du dispositif de conformité (valider les procédures au

regard de la réglementation, identifier les risques de non-conformité et intégrer la conformité dans la culture de

l’organisation), du contrôle (identifier et mettre en place des contrôles de conformité dans l’organisation, suivre

les actions de contrôles et réaliser des contrôles) et de l'assistance juridique (assistance de la Direction

Générale en matière d’analyse juridique en cas de réalisation d’un risque de non conformité). Le champ

d’intervention de cette fonction devrait donc être très large.

Ainsi, on constate que cette fonction aura une influence sur l'organisation toute entière, puisque son champ

d'action s'étendra des opérationnels (avec les contrôles de conformité) à la Direction Générale. Elle met donc en

avant l'importance du Contrôle Interne et de la Conformité dans toute l'entreprise, et aucun membre de

l'entreprise ne pourra l'ignorer.

➢ 5/ Pas d'augmentation massive de la formalisation

Solvabilité 2 indique simplement que l'entreprise doit disposer de cartographies des risques, maîtriser ses

risques en mettant en place des contrôles et rédiger des procédures ainsi qu'un rapport sur le Contrôle Interne,

mais n'exige pas un plus grand nombre de procédures. Une fois de plus, pour les entreprises qui disposent déjà

d'une fonction Contrôle Interne, l’application de la directive ne va pas changer en profondeur les méthodes de

travail, même si elle risque fortement d’ajouter une charge de travail supplémentaire en élargissant le périmètre

d’intervention de cette fonction. Pour les autres, cela va nécessiter un travail plus lourd (rédaction de

procédures, mise en place de contrôles et de reporting etc.).



A noter que les Groupes de Protection Sociale représentent un cas particulier : en effet, en plus d'avoir pour

autorité de contrôle l'ACP pour leur partie Assurances de Personnes, ils ont également des comptes à rendre

aux fédérations Agirc-Arrco pour leur partie Retraite Complémentaire. Celles-ci fournissent régulièrement des

recommandations en matière de Contrôle Interne, notamment sur les sujets suivants : rédaction de procédures

et de modes opératoires, contrôles à mettre en œuvre, nature et niveau de reporting, actions correctives à

mettre en œuvre, et gestion des habilitations informatiques.

Ceci participe à la mise en œuvre d'une « culture » du Contrôle Interne au sein de ces entreprises, et, pour de

nombreuses entreprises, ces pratiques sont généralisées à toutes leurs activités, et non cantonnées à l'activité

Retraite Complémentaire. Ainsi, Solvabilité 2 n'entraînera pas pour ces entreprises une forte augmentation de la

formalisation, puisqu'elles sont déjà assez avancées à ce niveau.

En revanche, les plus petites entreprises qui ne seraient pas encore dotées d’un cadre précis de Contrôle

Interne, voire même d’une fonction Contrôle Interne, feront face à une charge de travail élevée afin de répondre

aux exigences de la directive en termes de mise en place des contrôles et de formalisation.



C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour le Contrôle Interne

➢ 1/ Disparition des économies d’échelle et perte de proximité entre les services ?

On peut penser que la stricte séparation des services Audit Interne, Contrôle Interne et Risk Management

découlant de l'application de la directive risque d'entraîner une disparition des « économies d’échelle » ainsi

qu'une perte de proximité entre ces services, au sein des entreprises qui les avaient réunis. Par exemple, au

sein d'une entreprise rencontrée, la Direction du Contrôle Interne est désormais complètement séparée du Risk

Management et de l'Audit Interne, alors que ces fonctions étaient auparavant réunies.

La disparition des « économies d’échelle » vient du fait que ces services, notamment le Risk Management et le

Contrôle Interne, vont continuer à réaliser des tâches similaires (ayant trait à la maîtrise des risques), tout en

étant désormais séparés.

Le Contrôle Interne sera par exemple chargé d'identifier les risques et d'instaurer un dispositif permanent

d'identification des risques au-delà d'une photographie instantanée de l'exposition aux risques pouvant être

obtenue à travers une cartographie. Pour cela, il faudra affecter les risques recensés à travers l'exercice de

cartographie selon les segmentations proposées par les acteurs, valider l'exhaustivité des risques recensés et

structurer une démarche de mise à jour régulière d'identification des risques. Enfin, il faudra procéder à une

affectation des risques recensés selon la segmentation des risques retenue, et proposer une liste des risques et

domaines de risques à enrichir par rapport à la cartographie déjà créée.

De même, le Contrôle Interne sera chargé de se livrer à une appréciation des risques, c'est-à-dire définir une

mesure de l'exposition aux risques bruts et résiduels pour les risques quantifiables, et d'évaluer le risque de

criticité des risques non quantifiables. Pour cela, il faut identifier, pour chaque risque, des paramètres

quantitatifs et des facteurs qualitatifs ayant une influence sur la probabilité de survenance et son impact

potentiel, et réaliser une répartition des risques entre ceux pouvant être couverts par des capitaux propres

(risques quantifiables) et les risques non quantifiables. Pour chaque risque, le Contrôle Interne devra vérifier le

choix des variables à retenir pour le calcul de l'exposition (risques quantifiables) ou pour l'appréciation de leur

criticité (risques non quantifiables) et élaborer un processus de reporting permettant d'avoir une vue synthétique

sur la situation. En conclusion, le Contrôle Interne devra rédiger des plans d'action afin de réduire le niveau de

risque résiduel.

Ainsi, ces deux exemples de missions reflètent l'idée que la stricte séparation entre les services Risk

Management et Contrôle Interne entraîne une disparition des « économies d’échelle », car des missions de ce

type pourraient tout à fait être réalisées par un service Risk Management : cela montre bien que ces services

réalisent globalement des missions assez similaires.



Ainsi, alors qu'auparavant, un seul service pouvait être en charge de missions de ce type, les services Risk

Management et Contrôle Interne devront dorénavant être séparés, tout en continuant à réaliser des tâches

relativement similaires, chacun de leur côté. C'est en cela que la séparation de ces services et la perte de

proximité qui en découle entraîne une disparition des « économies d'échelle », d'autant que les travaux de ces

services gagneraient en pertinence si ces services travaillaient en étroite collaboration : il sera donc impératif de

créer au minimum des instances de coordination entre ces services afin que leurs travaux ne se chevauchent

pas et qu'il n'y ait pas de répétitions.

➢ 2/ Redéfinition des périmètres

La création de la fonction Conformité (« conformité aux lois & aux règlements »), peut entraîner une redéfinition

des périmètres. En effet, si une entreprise crée cette fonction pour une seule personne (par manque de

moyens), il faudra obligatoirement redéfinir précisément les périmètres de chaque fonction car cela pourrait

empiéter sur le travail d’autres personnes, notamment les membres du service Juridique, qui réalisent des

tâches similaires à celles que cette fonction Conformité aura à sa charge.

Solvabilité 2 entraîne également une réorganisation pour les entreprises qui disposent déjà de l'équivalent d'une

fonction Conformité au sein d'un département Juridique, puisque cette fonction devra désormais faire partie du

département Contrôle Interne. Mes interlocuteurs ont confirmé que ce changement s'accompagnait de

réorganisations importantes (changements de services, nouveaux collaborateurs assignés à cette fonction, etc.).

De même, la création d'une fonction Contrôle Interne au sein des entreprises qui ne disposeraient pas encore

d'une telle fonction va forcément entraîner une définition préalable de son champ d'intervention et de ses

missions, afin d'éviter que celles-ci n'empiètent sur le travail d’autres personnes et qu'il y ait des doublons.

➢ 3/ Charge en termes de livrables / reporting

Comme nous l'avons dit, Solvabilité 2 indique simplement que l'entreprise doit disposer de cartographies des

risques, de procédures comportant des contrôles de premier et de second niveau, de reporting sur ces

contrôles, et d'un rapport sur le Contrôle Interne (décrivant les objectifs du Contrôle Interne, la méthodologie

employée, le positionnement hiérarchique de la structure, son organisation et les compétences et l'expérience

des équipes), mais n'exige pas explicitement un plus grand nombre de procédures.

Cependant, pour les entreprises qui ne disposent pas pour le moment d'un service Contrôle Interne, la création

de cartographies des risques (en particulier opérationnels) afin de lister, évaluer et quantifier ces risques, de

procédures, d'indicateurs de risques, de plans de contrôle et de divers rapports (rapport sur le contrôle des

sous-traitants etc.) va demander une charge de travail conséquente, notamment en termes de formalisation.



Les entreprises qui disposent d'ores-et-déjà d'un service Contrôle Interne ne sont pas totalement « épargnées »

non plus par cette augmentation des exigences de formalisation. Ainsi, l'un des Directeurs rencontrés m'a par

exemple indiqué que le renforcement du contrôle des délégataires au sein de son entreprise demandé par la

directive entraînait la conséquence suivante : le service va devoir se renforcer, notamment en termes de

méthodologie, de formalisme et de reporting. Afin de produire le reporting et d'alimenter les calculs, il faudra

notamment cartographier les données de manière beaucoup plus rigoureuse et documentée.

➢ 4/ Impact financier

Un dernier impact négatif de ces nouvelles dispositions concerne l'impact financier élevé causé par la création

d'un service dédié au Contrôle Interne. Les petites entreprises qui ne disposent pas d'une telle fonction vont

certainement être amenées à recruter, et vont devoir mettre en place une structure et un véritable dispositif de

Contrôle Interne. Ce point négatif concerne également, dans une moindre mesure, les entreprises qui disposent

déjà d'un service dédié, mais qui n'est pas assez « conséquent » ou organisé de manière assez rigoureuse pour

satisfaire aux exigences de la directive. Ces changements risquent d'avoir un coût élevé, notamment en termes

de Ressources Humaines et de structuration.

De même, au niveau du Contrôle Interne, un impact financier lié à une charge de travail importante se fera

sentir si rien n'est préparé en termes de cartographies des risques et de contrôles, et la création de la fonction

Conformité risque également d'avoir un impact financier important.

Une fois de plus, les grands groupes ne percevront pas cet aspect négatif, mais les entreprises de taille plus

modeste devront le surmonter.

D'autant qu'en cas de défaillance avec l'une des exigences majeures du pilier 2 telle que la mise en place d’un

dispositif permanent de Contrôle Interne, des sanctions sur les capitaux propres sont d'ores-et-déjà prévues par

l'ACP.



Synthèse sur le Contrôle Interne

Les composantes du pilier 2 s'inspirent du COSO : l'impact pour les grandes sociétés d'assurance ayant adopté

le COSO comme référentiel de Contrôle Interne sera donc globalement assez faible. L'enjeu majeur pour ces

entreprises sera surtout d'élargir le périmètre des activités de contrôle. En revanche, la mise en place d'un

service Contrôle Interne afin de se conformer aux exigences de la directive peut s'avérer longue et coûteuse

pour les entreprises de taille plus modeste : malgré l'application du principe de proportionnalité, le système de

Contrôle Interne mis en place par les petites entreprises devra comprendre au minimum des procédures

couvrant toutes les activités de l'entreprise, un cadre de Contrôle Interne, des dispositions appropriées en

matière d'information prudentielle et une fonction permanente de Conformité. Notons tout de même que dans le

cadre de l'application du principe de proportionnalité, une séparation moins stricte des pouvoirs entre Contrôle

Interne et Risk Management sera tolérée selon certaines circonstances, et les exigences de formalisation seront

également revues à la baisse. Les fonctions Contrôle Interne et Risk Management pourront même être

fusionnées au sein des petites entreprises.

La mise en place d'un dispositif de Contrôle Interne nécessite une forte implication de la Direction Générale et

de s'inspirer des meilleures pratiques du marché : documentation homogène, liens formalisés entre les risques

et les contrôles, procédures de tests et de reporting sur l'efficacité des contrôles. Cette obligation est donc une

difficulté supplémentaire pour les petites entreprises.

En résumé, la directive indique qu'une fonction Contrôle Interne doit exister au sein de l'entreprise : si ce n'est

pas le cas, la directive entraîne la création d'un système de contrôle permanent, sans toutefois donner de détails

précis. Les entreprises qui n'ont pas de fonction Contrôle Interne vont devoir mettre en place une telle fonction,

ce qui constitue un changement important et une charge de travail élevée. Cependant, pour les entreprises qui

disposent déjà d'un service Contrôle Interne, cet article n'entraîne pas de changements majeurs, et va surtout

entraîner un renforcement des bonnes pratiques, ainsi qu'un renforcement du contrôle des dirigeants (nous

avons vu que la gouvernance est un sujet évoqué avec insistance par la directive) ainsi qu'un renforcement du

contrôle des sous-traitants. Solvabilité 2 impose ce renforcement car l'une des spécificités de l'assurance est la

gestion déléguée : il est donc rare qu'un tel contrôle ne soit pas déjà mis en place au sein des entreprises.

Toutefois, si cela n'est pas fait, la directive impose de le mettre en place.

La directive impose également la création d'une fonction Conformité à placer sous l'autorité de la Direction du

Contrôle Interne, et lui accorde une importance particulière, en l'incluant dans le système de gouvernance. Cette

fonction représente une nouveauté dans le monde de l'assurance et sa mise en place n'est donc pas aisée.

Ainsi, cette fonction a été assez peu travaillée par les entreprises pour le moment. Celles qui disposent déjà de

l'équivalent d'une telle fonction au sein d'un département Juridique sont également concernées par ce sujet car

Solvabilité 2 indique que désormais, cette fonction devra faire partie du département Contrôle Interne, entraînant



donc une réorganisation.

Le Contrôle Interne et un équivalent de la fonction Conformité existant déjà dans la plupart des entreprises, la

directive ne fait que renforcer ce qui existe déjà sur ces points. De plus, nous avons vu que des lois et décrets

ayant précédé Solvabilité 2 visaient déjà à renforcer le Contrôle Interne au sein des assurances, Institutions de

Prévoyance et mutuelles. La directive s'inspire donc de ces textes, tout en devant être appliquée au niveau

européen : elle dépasse donc le droit national et les particularités de chaque entreprise, ce qui fait tout son

intérêt.

o

Elle permet aussi de généraliser le Contrôle Interne et de renforcer les bonnes pratiques et la maîtrise des

risques, ce qui sera positif pour les entreprises. La directive légitime et renforce la fonction Contrôle Interne car

elle demande de disposer de cartographies des risques et des contrôles à tous niveaux. Ceci existe déjà dans

les grands groupes, mais cela force les petites mutuelles à mettre en place un tel dispositif, ou à le renforcer, ce

qui est positif du point de vue de la maîtrise des risques. Pour les grands groupes, la directive n'entraîne pas de

grands changements car un dispositif de Contrôle Interne est déjà en place, mais renforce la légitimité de cette

fonction, car Solvabilité 2 est une loi, contrairement aux référentiels de Contrôle Interne comme le COSO.

L'importance accordée au Contrôle Interne dans la directive est donc un signe de reconnaissance de l'utilité de

cette fonction. Enfin, la création de la fonction Conformité, qui sera liée au Contrôle Interne, participe également

à prouver l'importance du Contrôle Interne au sein de l'entreprise. Un dernier point positif est que, contrairement

à ce que l'on pourrait croire, la directive n'entraîne pas une augmentation massive de la formalisation.

Cependant, la mise en conformité avec la directive peut entraîner une disparition des « économies d’échelle » et

une perte de proximité entre les services Audit Interne, Contrôle Interne et Risk Management, puisqu'elle

demande de les séparer. De plus, la création de la fonction Conformité va obligatoirement entraîner une

redéfinition des périmètres. En termes de livrables / reporting, comme nous l'avons vu, pour les entreprises qui

ne disposent pas pour le moment d'un service Contrôle Interne, la création de cartographies des risques

opérationnels, de procédures et documentation, d'indicateurs de risques, de plans de contrôle, de contrôles de

niveaux 1 et 2, et de divers rapports sur son activité va demander une charge de travail conséquente. Enfin, les

petites entreprises qui ne disposent pas d'une fonction Contrôle Interne (ou si celle-ci n'est pas assez

conséquente) et d'une fonction Conformité vont certainement être amenées à recruter, et vont devoir mettre en

place un véritable dispositif de Contrôle Interne, ce qui aura un coût financier élevé (ressources humaines,

temps de travail, organisation, structuration etc.).



Partie 4 : les impacts du pilier 2 sur l’Audit Interne


➢ 1/ Article consacré à l'Audit Interne (article 47)

L'article consacré à l'Audit Interne est le suivant :

« 1. Les entreprises d'assurance et de réassurance mettent en place une fonction d'audit interne efficace.

2. La fonction d'audit interne évalue notamment l'adéquation et l'efficacité du système de contrôle interne et d'autres éléments du

système de gouvernance.

3. La fonction d'audit interne est exercée d'une manière objective et indépendante des fonctions opérationnelles.

4. Toute conclusion et toute recommandation de l'audit interne est communiquée à l'organe d'administration ou de gestion, qui

déterminent quelles actions doivent être menées pour chacune de ces conclusions et recommandations de l'audit interne et qui

veillent à ce que ces actions soient menées à bien. »

Ainsi, pour rédiger cette partie, je me suis basé sur cet article mais aussi et surtout sur les nombreuses

informations que j'ai obtenues au cours de mes différents entretiens avec des Responsables de l’Audit Interne,

car la directive et les « Issue Papers » du CEIOPS (voir annexe 7) traitent très brièvement de la fonction Audit

Interne. Les changements entraînés par Solvabilité 2 au niveau de l'Audit Interne sont donc les suivants :

➢ 2/ Séparation de l'Audit Interne et des autres fonctions

Solvabilité 2 rappelle tout d'abord la nécessité de disposer d'une fonction Audit Interne indépendante : la

directive est claire puisqu'elle précise que l'Audit Interne (voir lexique) doit être en dehors de toutes les autres

fonctions (voir annexe 14 : le positionnement de l'Audit Interne dans l'organisation). Ceci s'explique par le fait

que les auditeurs internes peuvent être amenés à aller auditer tous les autres services de l'entreprise. L'Audit

Interne ne peut donc pas être juge et parti. Ceci n'entraîne pas de conséquences majeures puisque l'Audit

Interne est généralement séparé des fonctions opérationnelles, à l’heure actuelle (des exceptions existent

cependant puisque l’Audit Interne est parfois rattaché à la Direction Administrative et Financière de l’entreprise).

Cependant, l'article a également comme conséquence l'obligation de séparer les fonctions Contrôle Interne et

Audit Interne, ou Risk Management et Audit Interne, lorsque celles-ci sont regroupées au sein d'une même

direction, toujours dans cette optique d'indépendance de l’Audit Interne. Ce point est plus contraignant pour les

entreprises, puisque dans de nombreux cas, l'Audit Interne est rattaché à l'une de ces deux fonctions,

notamment dans les Groupes de Protection Sociale. On trouve souvent, par exemple, des « Directions de l'Audit

et du Contrôle Interne ».



L’un des Directeurs de l'Audit que j'ai rencontrés m'a notamment expliqué qu'au niveau de l'Audit Interne, son

entreprise n'est pas très éloignée de la mise en conformité avec Solvabilité 2 et que l'organisation de son service

est solide (même si ce Directeur pensait que son service n’obtiendrait pas la certification IFACI à l’heure actuelle

s'il venait à en faire la demande). L'Audit Interne de ce petit groupe de Protection Sociale existe depuis une

vingtaine d’années : pendant les 10 premières années, le service n’était composé que d’un Directeur et d’un

collaborateur mais aujourd’hui, il est composé d'un Directeur et de trois collaborateurs, qui appliquent la

méthodologie, les normes et le code de déontologie de l’IFACI, et possèdent une charte de l’Audit Interne. Ce

service est rattaché à la Direction Générale. Cependant, pour des raisons historiques, le Contrôle Interne et

l’Audit Interne sont regroupés au sein d'une même direction, et ce Directeur est donc pour l'instant « Directeur

de l'Audit et du Contrôle Interne ». Solvabilité 2 entraîne donc ici un changement important puisque, pour des

raisons d’indépendance, il est nécessaire de procéder à une séparation entre ces deux services. Cela n'a pas

encore été réalisé (en mars 2011), mais une réflexion sur ce sujet a été menée, et il a été décidé qu'un Directeur

du Contrôle Interne sera nommé (l’un des contrôleurs internes sera nommé Responsable du service), et que les

fonctions Audit Interne et Contrôle Interne seront désormais séparées.

Un autre Directeur de l'Audit Interne que j'ai rencontré m'a indiqué que son entreprise a décidé de séparer les

fonctions Audit Interne et Risk Management en 2010 et de créer une véritable fonction Risk Management, en

vue de la mise en conformité avec Solvabilité 2. Idem pour un troisième interlocuteur : la Direction de l'Audit

Interne est désormais complètement séparée du Contrôle Interne et du Risk Management.

Pour les entreprises concernées, cet article peut donc entraîner une réorganisation et un changement

importants, mais ceux-ci doivent être nuancés car dans les cas où le Directeur de l'Audit a également une autre

responsabilité (Directeur du Contrôle Interne par exemple), les deux services concernés sont souvent d’ores-et-

déjà bien distincts et ont des missions et responsabilités qu'ils ne partagent pas. On peut donc considérer que,

sur cet aspect « indépendance de l'Audit Interne », le changement provoqué par l'article 47 n'est qu'un

changement sur la forme.

Ce changement va donc concerner en priorité les Groupes de Protection Sociale et les mutuelles, qui possèdent

souvent un service d’Audit Interne couplé au Contrôle Interne, au Risk Management, voire à la Qualité. Cela

peut s'expliquer par des raisons historiques, mais aussi par une question de coût, ces entreprises n’ayant pas

forcément les moyens suffisants pour gérer plusieurs services distincts et leur attribuer des collaborateurs.

Les grandes sociétés d'assurance ainsi que les grands Groupes de Protection Sociale, eux, disposent

généralement d'un service d'Audit Interne d'ores-et-déjà indépendant et rattaché à la Direction Générale depuis

un certain temps. C'est le cas de l'un des grands Groupes de Protection Sociale (ayant une forte activité



Assurances de Personnes) que j'ai rencontrés. La directive ne provoque donc aucun changement pour ces

entreprises sur ce point.

Enfin, les petites mutuelles sont nombreuses à ne pas disposer d'un service d'Audit Interne : avant de se soucier

de cette notion d'indépendance, elles devront donc créer un service dédié et le structurer, même s'il n'est

constitué que d'une équipe réduite.

➢ 3/ Renforcement global des bonnes pratiques

Au niveau des normes, cet article ne fait que renforcer les bonnes pratiques et les rendre obligatoires, ce qui est

positif puisque aujourd'hui, il n'y a pas d'obligation pour les services d'Audit Interne de respecter les normes

professionnelles de l'IFACI, sauf s'ils souhaitent obtenir la certification IFACI. Cet article et les mesures

d'application du CEIOPS n'entraînent donc pas de « révolution » puisque ces textes se contentent de rappeler

les normes et bonnes pratiques de l’IIA et de l'IFACI, sur plusieurs points :

-Solvabilité 2 indique que l'Audit Interne est chargé d'évaluer l'efficacité du Contrôle Interne et du Risk

Management et de vérifier la conformité des activités avec la stratégie, les processus et les procédures de

l'entreprise, tout en étant indépendant des opérationnels. La directive rappelle donc les principes présents dans

la définition officielle de l'Audit Interne de l'IFACI, puisque celle-ci indique que l'Audit Interne « aide l'organisation

à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de

management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour

renforcer leur efficacité. »

-L'indépendance nécessaire de l'Audit Interne est réaffirmée, comme nous l'avons vu. On peut préciser que la

séparation des activités Audit Interne, Contrôle Interne et Risk Management n'est pas vraiment une obligation

puisqu'elle n'est pas explicitement demandée dans l'article. Cependant, la directive préconise une indépendance

totale de l'Audit Interne, qui doit constituer un département complètement séparé des autres activités et surtout

sans autre responsabilité opérationnelle. Le CEIOPS a confirmé cette position, et le texte du CEIOPS précise

également que chaque service et chaque activité de l'entreprise est dans le « champ d'action » de l'Audit

Interne. L’Audit Interne doit donc rester un acteur indépendant du système de Contrôle Interne puisqu'il est

responsable de son évaluation.

La séparation de l'Audit Interne et des fonctions Contrôle Interne et Risk Management est donc plutôt une

interprétation de la Directive, qui vise à renforcer l'indépendance de l'Audit Interne. La directive demande

d’établir une fonction Audit Interne indépendante, efficace et objective, qui répond aux besoins des parties

prenantes. Si l'Audit Interne dépend déjà de la Direction Générale et est déjà autonome, comme c'est le cas

dans plusieurs entreprises rencontrées, il n'y aura pas de changements importants. Cependant, très souvent,

l'Audit Interne est lié au Contrôle Interne ou à la Qualité, et il faudra donc séparer ces fonctions.



Par extension, il faudra aussi revoir la Charte de l'Audit Interne, afin de bien affirmer l'indépendance du service

d'Audit Interne, et d'expliquer son fonctionnement.

-De plus, on constate dans cet article de la directive et dans les textes du CEIOPS de nombreux rappels des

principes présents dans le Code de Déontologie de l'IFACI et régissant la profession, qui sont les suivants :

intégrité, objectivité, confidentialité, et compétence. On constate également un rappel des principes présents

dans les Normes Professionnelles pour la Pratique de l'Audit Interne de l'IFACI, notamment l'indépendance et

l'objectivité. Bien sûr, la directive ne vient en aucun cas remplacer ces normes, qui sont bien plus complètes et

détaillées. Elle ne fait qu'en rappeler quelques principes, notamment :

-les normes de qualification (la phrase « la fonction d'audit interne est exercée d'une manière objective

et indépendante des fonctions opérationnelles » renvoie à la norme 1100 « Indépendance et

objectivité »), qui énoncent les caractéristiques que doivent présenter les organisations et les personnes

accomplissant des activités d’Audit Interne,

-les normes de fonctionnement (la phrase « la fonction d'audit interne évalue notamment l'adéquation et

l'efficacité du système de contrôle interne et d'autres éléments du système de gouvernance » renvoie à

la norme 2100 « Nature du travail », et la phrase « toute conclusion et toute recommandation de l'audit

interne est communiquée à l'organe d'administration ou de gestion, qui déterminent quelles actions

doivent être menées pour chacune de ces conclusions et recommandations de l'audit interne et qui

veillent à ce que ces actions soient menées à bien » renvoie à la norme 2400 « Communication des

résultats »). Ces normes décrivent la nature des activités d’Audit Interne et définissent des critères de

qualité permettant d’évaluer les services fournis.

L'article de la directive fait donc référence à tous les éléments du Cadre de Référence International des

Pratiques Professionnelles, qui sont la définition de l'Audit Interne, le Code de Déontologie et les Normes.

-Le texte du CEIOPS rappelle également un principe qui est habituellement indiqué dans la Charte de l'Audit

Interne : l'accès sans aucune restriction des auditeurs aux documents, aux personnes et aux biens jugés

pertinents et nécessaires à la réalisation des missions d'Audit Interne, puisque ce texte explique que les

auditeurs doivent disposer du droit d'obtenir toute information nécessaire à leur mission.

-L'article ne fait également que rappeler les bonnes pratiques en ce qui concerne la communication des

recommandations et la nécessité d'obtenir des plans d'action et d'effectuer un suivi des recommandations. L'un

de mes interlocuteurs m'a par exemple indiqué qu'un véritable outil de suivi des recommandations a été mis en

place au sein de son entreprise en 2009 ; l'une des raisons qui ont motivé cette décision était la volonté de mise

en conformité avec Solvabilité 2. Afin de respecter la directive, le service d'Audit Interne devra également



disposer de rapports d'audit formalisés, de plans d'action, effectuer un suivi de ces plans d'actions, et, d'après le

texte du CEIOPS, rédiger un rapport sur son activité, au moins une fois par an, au Conseil. Tout ceci n'est qu'un

simple « rappel » des bases, qui va surtout être utile pour les petites mutuelles. En effet, les services d'Audit

Interne qui font partie de grands groupes appliquent déjà globalement les normes de l'IFACI. Pour eux, cet

article n'aura donc pas de conséquences majeures. Cependant, les services d'Audit Interne faisant partie de

plus petites entreprises ne respectent pas forcément ces pratiques car ils n'ont pas le temps ou les moyens

nécessaires. Cet article a donc un impact important et positif à ce niveau.

-De même, l’un des textes officiels indique la présence obligatoire d'un Comité d'Audit : cela n'est pas une

nouveauté puisqu'en France, l'obligation de mettre en place un Comité d'Audit existait déjà pour les assurances,

les Institutions de Prévoyance et les mutuelles, par le biais de l'ordonnance du 8 décembre 2008 qui a transposé

en France la huitième directive européenne (voir point 6).

-Concernant la formalisation de plans d'audits pluriannuels, l’un des Directeurs de l'Audit Interne que j'ai

rencontrés m'a expliqué que l’un des textes officiels liés à la directive notait la « nécessité » pour le service

d'Audit Interne de disposer d'un plan d'audit pluriannuel basé sur les risques. La mise en place d'un plan de ce

type fait même partie du plan d'action visant à être en conformité avec Solvabilité 2, pour cette entreprise

(« mettre en place un plan d’audit pluriannuel avec intégration des développements nécessaires pour une mise

en conformité avec Solvabilité 2 »).

Or, un autre Directeur de l'Audit Interne que j'ai rencontré m'a indiqué que la notion de plans pluriannuels n'est

pas abordée dans Solvabilité 2 : ce n'est qu'une bonne pratique, mais pas une obligation, d'après lui. Il y a donc

une divergence d'opinion sur ce point, mais on constate que l'article ne mentionne pas cet aspect et reste

beaucoup plus vague, évoquant simplement « l'efficacité » nécessaire de la fonction Audit Interne. J'ai d'ailleurs

constaté au fil de mes entretiens que, pour l'instant, la présence de plans d'audit pluriannuels n'était pas

généralisée au sein des services d'Audit Interne. Quant au texte du CEIOPS, il ne fait que préciser que le

service d'Audit Interne doit disposer d'un plan d'audit basé sur une approche par les risques, ce qui n'est une

fois de plus qu'un rappel des normes de l'IFACI, mais n'évoque pas la notion de plans pluriannuels. On peut

cependant penser que, logiquement, une approche par les risques pertinente va de pair avec un plan d'audit

s'étalant sur plusieurs années.

-Pour conclure sur ce point, l'impact du pilier 2 de Solvabilité 2 sur l'Audit Interne en termes de normes est faible.

Cela s'explique par le fait que cette fonction est déjà très encadrée : il existe déjà des normes professionnelles,

celles de l'IFACI pour l'Audit Interne (le Cadre de Référence International des Pratiques Professionnelles étant

constitué principalement de la définition de l'Audit Interne, du Code de Déontologie et des normes), auxquelles

on peut ajouter le COSO pour le Contrôle Interne.



Par exemple, l’un des Directeurs de l'Audit Interne rencontrés m'a expliqué que la directive n'entraîne pas de

changements majeurs pour son service. Le cabinet KPMG, qui a été engagé par cette entreprise afin de réaliser

un « diagnostic » de conformité (indiquant les actions restantes à mettre en place afin d'être en conformité avec

Solvabilité 2), a simplement rappelé que l'Audit Interne devait se charger de l'évaluation du fonctionnement et de

l’efficacité du dispositif de maîtrise des risques, que ses principaux livrables étaient les plans d’audits et les

rapports d’audit, et que ses missions principales étaient les suivantes : évaluation des processus de

management des risques mis en œuvre par l’organisation, évaluation des dispositifs de Contrôle Interne/maîtrise

des risques des différentes entités du groupe, évaluation de la pertinence et de l’efficacité opérationnelle des

contrôles relatifs à la fraude, évaluation des processus-clés de gouvernement d’entreprise, reporting régulier à la

Direction Générale et au Comité d’Audit, et coordination des missions d’audit externe.

Étant donné que cette fonction est déjà très encadrée et « réglementée » par un ensemble de standards bien

établis (méthodologie, charte d’audit, planification et réalisation des missions, suivi des recommandations, plan

d’audit formalisé etc.), la mise en conformité avec Solvabilité 2 ne sera pas très complexe à atteindre pour la

plupart des entreprises. Ainsi, l'Audit Interne est aujourd'hui le point d’avancement le plus abouti du pilier 2 de

Solvabilité 2 pour de nombreuses entreprises.

Ce que propose Solvabilité 2 sur ce point n'a donc rien d'original, mais il y a une différence majeure entre les

normes de l'IFACI et le contenu de la directive : Solvabilité 2 est une loi. Pour les services d'Audit Interne de

grandes entreprises, Solvabilité 2 ne va certainement pas avoir de conséquences majeures, mais pour les

entreprises de taille plus modeste, qui ont un service d'Audit Interne de taille réduite qui ne respecte pas

forcément les normes de l'IFACI, cela va provoquer un changement positif.

➢ 4/ Évolution de la méthodologie

Concernant la méthodologie de l'Audit Interne, Solvabilité 2 entraîne une évolution vers encore plus de rigueur et

de formalisme (rapports d'audit, plans d'action et suivi de ces plans d'action formalisés etc.). Le responsable du

service devra adopter une approche basée sur les risques afin de déterminer les priorités, formaliser une

politique d'Audit Interne, et produire un rapport écrit au moins une fois par an, présentant les travaux et

conclusions de l'Audit Interne. Ce rapport devra préciser les éventuels manquements concernant l'efficience

ainsi que les défauts majeurs de conformité avec les politiques et les procédures internes, et sera soumis au

Conseil d'Administration.

La directive n'entraîne donc pas de révolution en ce qui concerne la méthodologie et les livrables des auditeurs

internes, puisque, de manière générale, elle ne fait que rappeler ce qu'indiquent déjà les normes

professionnelles de l'IFACI. La différence vient du fait que les normes de l'Audit Interne ne sont pas obligatoires



mais conseillées (sauf si le service d'Audit Interne souhaite obtenir la certification de l'IFACI), alors que

Solvabilité 2 est une réglementation, et doit donc être obligatoirement appliquée.

On note d'ailleurs que cette évolution vers toujours plus de formalisme va certainement avoir un impact financier

indirect positif pour l'IFACI, puisque le nombre de services d'Audit Interne souhaitant obtenir la certification IFACI

après avoir effectué ces changements devrait certainement augmenter.

➢ 5/ Impact indirect de Solvabilité 2 : impact en termes de missions

Indirectement, Solvabilité 2 va représenter un changement notable, notamment pour les petites structures, car

une fois que Solvabilité 2 sera appliquée, les auditeurs internes seront chargés d'auditer des sujets très

techniques (voir partie B point 7), qui sortent du champ des missions « classiques » (évaluation des processus

de management des risques, des dispositifs de Contrôle Interne, des processus-clés de gouvernement

d’entreprise etc.). Au niveau comptable, par exemple, il sera nécessaire d'auditer le bilan Solvabilité 2, puisque

si les Commissaires aux Comptes ne certifient pas ce bilan, ce sera aux auditeurs de le faire. En effet, avec

Solvabilité 2, les entreprises devront disposer d’un bilan « classique », ainsi que d’un bilan « façonné »

Solvabilité 2. Or la directive et les textes associés ne prévoient pas, pour l'instant, que ce dernier bilan soit

audité par les Commissaires aux Comptes : si ce n'est pas fait par les auditeurs externes, ce travail reviendra

logiquement aux auditeurs internes, nécessitant des compétences accrues en comptabilité.

Après la mise en conformité avec la directive, l'Audit Interne devra également auditer les bases de données

construites par l'entreprise pour répondre à Solvabilité 2 (en effet, le principal impact de Solvabilité 2 en termes

de Systèmes d'Information porte sur le développement de bases de données et d'outils, comme une plate-forme

de calcul pilier 1, les progiciels métiers, les indicateurs de risques et des outils de simulations actif/passif, et

l'automatisation du reporting), ainsi que d'autres éléments de Solvabilité 2. Ceci va donc provoquer un impact

global sur la gestion des compétences du service d'Audit Interne des entreprises d'assurances, et sur la

composition des auditeurs internes. On peut notamment supposer qu'une course aux compétences actuarielles

en audit va avoir lieu afin d'être en mesure de réaliser des missions d'audit actuariel (le pilier 1 de la directive

étant très porté sur l’actuariat), ce qui n'existe pas dans les petites mutuelles et Institutions de Prévoyance

aujourd'hui.

Enfin, en termes d'organisation des missions, l'impact indirect de Solvabilité 2 concerne la création de plans

d'audit pluriannuels : même si ceux-ci ne sont pas clairement évoqués dans la directive, la mise en œuvre d'une

« approche par les risques » lors de la définition du plan d'audit, qui est demandée par la directive, peut

logiquement s'accompagner d'une vision pluriannuelle, pour être véritablement efficace.



➢ 6/ Solvabilité 2 s'inscrit dans une continuité

Le peu de changements majeurs provoqués par la directive en matière d'Audit Interne peut s'expliquer, en

dehors du fait que la profession est déjà très normée et encadrée, par le fait que Solvabilité 2 s'inscrit dans une

continuité : d'autres lois et textes l'ont précédée et ont engendré des changements importants. Solvabilité 2 ne

fait pas mention de tous ces changements, ou les évoque sans donner de détails, mais s'en inspire grandement.

Par exemple, l'obligation de mettre en place un Comité d'Audit existait déjà : Solvabilité 2 ne fait donc que

confirmer l'ordonnance du 8 décembre 2008, qui transposait en France la huitième directive européenne. Cette

ordonnance, qui concerne les entités d'intérêt public (c'est-à-dire les sociétés cotées (personnes et entités dont

les titres sont admis à la négociation sur un marché réglementé), les établissements de crédit, les entreprises

régies par le code des assurances, les mutuelles régies par le livre II du Code de la mutualité, et les Institutions

de Prévoyance régies par le titre III du livre IX du Code de la sécurité sociale), était le premier texte de loi en

France qui instaurait l'obligation d'avoir un Comité d'Audit, composé des membres administrateurs (à l'exclusion

des dirigeants) et d'au moins un membre indépendant et un membre présentant des compétences en

finance/comptabilité.

Sa mission est de suivre l'efficacité du système de Contrôle Interne et de gestion des risques (suivi du

processus d'élaboration de l'information financière, suivi de l'efficacité des systèmes de Contrôle Interne, d'Audit

Interne et de gestion des risques, examens périodiques de la cartographie des risques, suivi du contrôle légal

des comptes annuels et des comptes consolidés, et suivi de l'indépendance des Commissaires Aux Comptes

notamment).

Le Comité d'Audit doit donc principalement :

-analyser les résultats du dispositif de gestion des risques, du dispositif de Contrôle Interne et des audits

réalisés,

-entendre les différents acteurs du dispositif,

-valider le plan d'audit pluriannuel,

-contrôler l'indépendance et l'objectivité des auditeurs externes.

L'ordonnance a en effet entraîné un renforcement des relations avec les Commissaires Aux Comptes : ceux-ci

doivent porter à la connaissance du Comité d'Audit les faiblesses significatives de Contrôle Interne sur le

processus d'élaboration de l'information comptable et financière, et le Comité d'Audit doit examiner les risques

pesant sur l'indépendance des Commissaires Aux Comptes et les mesures prises pour atténuer ces risques

notamment.



Cette ordonnance du 8 décembre 2008 a bien sûr entraîné la création de « bonnes pratiques » à suivre par les

Comités d'Audit vis-à-vis de la gestion des risques (revue des risques majeurs et de la gouvernance des

risques, s'assurer que le système de Contrôle Interne est adéquat et efficace, évaluer l'Audit Interne etc.) et de

leur fonctionnement (budget et temps appropriés, communication au Conseil d'Administration, agenda

s'attardant sur la gestion des risques, le Contrôle Interne et l'Audit Interne, évaluation de la performance du

Comité d'Audit et du Conseil d'Administration etc.).

A noter que l'importance du Comité d'Audit s'était déjà développée précédemment au travers de textes comme :

-le rapport Viénot 1 (1995), qui préconisait la mise en place d'un tel Comité et précisait quelles devaient être ses

principales missions,

-le rapport Marini (1996), qui étendait le pouvoir des « émanations » du Conseil d'Administration, et notamment

le Comité d'Audit,

-le rapport Bouton (2002), qui a apporté de nouvelles recommandations quant au fonctionnement souhaitable

des Comités d'Audit (composition, formation des membres, méthodes de travail etc.), et a préconisé que les

membres du Comité d'Audit aient des compétences financières ou comptables,

-la directive de la Commission Européenne du 16 mars 2004 sur les règles d'audit des entreprises de l'Union

Européenne, qui indiquait que les sociétés contrôlées devraient instituer un Comité d'Audit composé de

membres indépendants, qui superviserait le processus d'audit, en communiquant directement avec les auditeurs

externes, sans passer par le management. Ce Comité devrait aussi sélectionner les auditeurs externes et

proposerait leur désignation aux actionnaires.

-les rapports de l'AFEP et du MEDEF, qui donnent également des recommandations en la matière,

-d'autant que la présence d'un Comité d'Audit au sein de l'organisation fait partie des bonnes pratiques de

l'Institut Français des Administrateurs, qui a d’ailleurs publié en janvier 2008 un rapport appelé « Comité d'audit :

les 100 bonnes pratiques ».

Ainsi, aujourd'hui, les entreprises françaises sont déjà en conformité en ce qui concerne la présence d'un

Comité d’Audit, puisque c'est une obligation légale depuis l'ordonnance du 8 décembre 2008. Les entreprises

que j'ai pu rencontrer disposaient ainsi d'un Comité d'Audit, chargé de s’assurer de l’efficacité de

l’environnement de contrôle de l’entreprise, d’approuver les processus de contrôle interne mis en œuvre et

d’approuver la politique de gestion des risques. Il détermine également si les états financiers présentés donnent

une image fidèle de la situation de l’entreprise, les approuve, et approuve également la détermination des

méthodes comptables employées. Enfin, il entretient des relations avec les Commissaires Aux Comptes

(Contrôle Externe) et réalise un suivi du contrôle légal des comptes annuels. Le Comité d’Audit est donc une

partie prenante critique de l’environnement général de contrôle, et l'action de l'Audit Interne sera d'autant plus

efficace qu'il dispose d'un interlocuteur privilégié qu'est le Comité d'Audit. En effet, ce Comité garantit et

consacre l'indépendance de l'Audit Interne.



De plus, la directive confirme aussi que l'Audit Interne doit être une fonction indépendante et rappelle les grands

principes qui doivent régir cette fonction. Cette démarche était déjà présente dans la loi du 18 décembre 2009

relative à la profession de l’audit, transposant la directive 2006/43/CE du Parlement Européen et du Conseil du

17 mai 2006 concernant entre autres l'organisation de la profession de l’audit, ainsi que dans un texte du

CEIOPS associé à la directive de décembre 2009, et surtout dans les normes professionnelles de l'IFACI, même

si celles-ci ne constituent pas une loi. Solvabilité 2 n'apporte donc pas énormément de changements à ce

niveau-là, en ne faisant que confirmer les textes officiels sortis précédemment.

On constate donc que des évolutions réglementaires importantes qui ont eu lieu avant Solvabilité 2 allaient déjà

dans le même sens : la directive Solvabilité 2 ne fait donc que rappeler ce qui existe déjà sur ces points. Tout

comme pour le Contrôle Interne et le Risk Management, l'intérêt majeur est que Solvabilité 2 doit être appliquée

par toutes les assurances, Institutions de Prévoyance et mutuelles, dans tous les pays européens, dépassant

donc le droit national et les particularités de chaque entreprise. Elle permet donc de globaliser certaines lois

précédentes à l'ensemble des pays européens et de diffuser les bonnes pratiques associées.



B/ Commentaires sur les impacts positifs de ces nouvelles dispositions pour l’Audit Interne

➢ 1/ Harmonisation du fonctionnement des services d'Audit Interne

Solvabilité 2 va permettre d'harmoniser le fonctionnement des services d'Audit Interne au sein des entreprises

d’assurance, ainsi que leurs méthodes de travail. En effet, la directive donne (ou plutôt rappelle) des principes

communs (mais pas identiques) à toutes les Directions de l'Audit Interne. Il y a donc une volonté d'uniformiser

les pratiques entre toutes les assurances, Institutions de Prévoyance et mutuelles, ce qui est positif, car

aujourd'hui, l'écart entre l'organisation d'un service d'Audit Interne au sein d'une grande assurance et

l'organisation d'un tel service au sein d'une petite mutuelle est énorme. Cependant, malgré l'application du pilier

2 de la directive, des différences seront toujours perceptibles, car en vertu du principe de proportionnalité, les

entreprises doivent déployer des efforts proportionnels aux risques qu'elles portent : l'ACP sera donc plus

« indulgente » et moins exigeante avec les petites entreprises. Cette uniformisation des pratiques ne peut

toutefois que renforcer la profession d'Auditeur Interne, ce qui est un point positif.

De même, la présence obligatoire d'un Comité d'Audit au sein de l'entreprise renforce l'harmonisation du

fonctionnement des services d'Audit Interne, tout en renforçant également la profession d'Auditeur Interne. En

effet, l'action de l'Audit Interne sera d'autant plus efficace qu'il dispose dans l'entreprise de cet interlocuteur

qu'est le Comité d'Audit, celui-ci garantissant l'indépendance de l'Audit Interne et effectuant un suivi des

missions. L'Audit Interne doit donc apporter aux membres de ce Comité un regard impartial et professionnel sur

les risques de l'entreprise, et contribuer ainsi à améliorer l'information du Conseil d'Administration sur ce sujet.

Chaque Comité d'Audit devrait fonctionner sur la base d'une charte approuvée par le Conseil d'Administration

qui précise son rôle et ses modalités de fonctionnement.

➢ 2/ Confirmation des normes professionnelles

Comme nous l'avons vu précédemment, la directive a aussi pour effet positif de confirmer les normes

internationales d’Audit Interne (qu'on appelle aussi le Cadre de Référence International des Pratiques

Professionnelles) et vise donc à renforcer cette fonction d’Auditeur Interne, ainsi que sa légitimité au sein de

l'entreprise. De plus, les normes de l'IFACI n’ont pas un caractère obligatoire pour les services d'Audit Interne

mais seulement conseillé (sauf pour un service d'Audit Interne qui souhaiterait obtenir la certification IFACI),

alors que la directive doit obligatoirement être appliquée, sous peine de sanctions financières imposées par

l'ACP. Toutes les entreprises devront donc respecter ses dispositions concernant l'Audit Interne, et par

extension, respecter les normes professionnelles de l'IFACI, ce qui entraîne une meilleure application des

bonnes pratiques et donc une gestion plus efficace de l'activité d'Audit Interne.

Une fois de plus, ceci est surtout valable pour les mutuelles, qui disposent souvent d'un service d'Audit Interne



qui ne respecte pas forcément les normes de l'IFACI de manière rigoureuse, par manque de temps et/ou de

moyens. La directive va donc permettre une diffusion et une application des bonnes pratiques, ce qui est positif.

➢ 3/ Renforcement de la maîtrise des risques

On peut supposer que Solvabilité 2 va provoquer une meilleure prise en compte des risques ainsi qu'un

renforcement de la maîtrise de ces risques, en renforçant et en séparant les fonctions Risk Management,

Contrôle Interne et Audit Interne et en sensibilisant davantage la Direction Générale et les opérationnels à cette

problématique de gestion des risques.

Ainsi, indirectement, ceci pourrait avoir un impact positif sur l'image de l'Audit Interne, car cette fonction est

garante du bon fonctionnement du dispositif de maîtrise des risques de l'entreprise. En effet, étant donné que

les auditeurs doivent apporter un jugement indépendant et objectif, ils ont un rôle important à jouer pour aider

leurs entreprises à développer et mettre en place des systèmes de gouvernance et de gestion efficaces. L'Audit

Interne constitue en effet une « troisième ligne de défense », après le Risk Management et le Contrôle Interne

(contrôles de premier niveau réalisés par les opérationnels et contrôles de second niveau pris en charge par le

Contrôle Interne), et est en charge de s'assurer que les deux premières fonctionnent correctement. C'est donc

un instrument essentiel de la gouvernance d'entreprise puisqu'il doit vérifier l'application des procédures de

l'entreprise, relever les manquement éventuels et faire des propositions pour améliorer l'efficacité et l'efficience

des processus.

Enfin, la directive pourra modifier la culture d'entreprise, en mettant en évidence l'importance de la gestion des

risques, ce qui sera indirectement positif pour l'Audit Interne également si les opérations de l'entreprise sont

davantage maîtrisées.

➢ 4/ Légitimité accrue de l'Audit Interne

Au même titre que les normes professionnelles, le Code de Déontologie ou la Charte de l'Audit Interne,

Solvabilité 2 permet de mettre en avant la légitimité des missions, pouvoirs et responsabilités de l'Audit Interne

puisque cette réglementation indique quel doit être le positionnement de l'Audit Interne dans l'organisation, met

en valeur son indépendance nécessaire, et rappelle quelles doivent être ses principales missions et ses organes

de supervision. C'est donc un signe fort de reconnaissance de l'importance de cette fonction : le fait qu'une

directive européenne aussi importante que Solvabilité 2 place l'Audit Interne au premier plan du dispositif de

maîtrise des risques de l'entreprise met en avant le rôle crucial de cette fonction aujourd'hui.

De plus, l'Audit Interne étant centré sur la maîtrise des risques, le développement de dispositifs de contrôle et la

recherche d'efficacité et de performance, cette fonction va se retrouver au cœur du dispositif Solvabilité 2 car



elle sera chargée de garantir l'intégrité et la pertinence de l'ensemble du processus de gestion des risques.

Indirectement, l'Audit Interne va donc voir son rôle renforcé par la directive.

En effet, l'Audit Interne, de part son rôle de conseil auprès de la Direction Générale, va tenir une place

importante dans le dispositif de gestion des risques : l'intervention de la Direction de l'Audit Interne est même au

cœur du pilier 2 de la directive puisque sa mission d'évaluation des processus de management des risques, de

contrôle et de gouvernement d'entreprise revêt une importance considérable dans les fondements de Solvabilité

2. Ainsi, l'Audit Interne va voir son rôle, ses missions et sa légitimité renforcés sur tous les aspects du pilier 2.

➢ 5/ Clarification des rôles des fonctions-clés en charge de la maîtrise des risques

Afin d'obtenir une fonction Audit Interne totalement indépendante, les entreprises doivent séparer cette fonction

des fonctions Risk Management et Contrôle Interne, qui lui sont parfois rattachées. Ainsi, l'un de mes

interlocuteurs m'a expliqué que pour lui, Solvabilité 2 va permettre de clarifier les rôles, notamment au sein des

Groupes de Protection Sociale, qui disposent souvent d'une fonction Audit Interne rattachée à une autre

fonction.

Cela n'est pas le cas au sein des grandes sociétés d'assurances, qui disposent d'un service d’Audit Interne

indépendant des autres services. L'application de cette démarche n’est donc pas une grande épreuve pour elles.

Mais pour certaines entreprises, cette clarification des rôles est très positive car, d'après lui, certaines réunions

qui avaient lieu jusqu'à maintenant ne concernaient pas l'Audit Interne, par exemple. L'Audit Interne pourra donc

se consacrer pleinement à ses missions, qui sont d'apporter aux opérationnels la vision transversale « métiers »

de l'Audit, construire un cadre d'identification et de maîtrise des risques, rechercher et promouvoir les meilleures

pratiques, valider les dispositifs de contrôle et de management des risques, et conseiller sur l'élaboration et

l'amélioration des systèmes de contrôle et sur les stratégies à mettre en œuvre pour maîtriser les risques.d

➢ 6/ Évolution de l'Audit Interne en termes de compétences (compétences techniques d'assurance)

Ce même interlocuteur m'a expliqué qu'au niveau du pôle Assurances de son service d'Audit Interne, cinq

auditeurs ayant des profils d'actuaires ont été recrutés, et que l'équipe a également été renforcée en vue de

Solvabilité 2 par le biais de recrutements de spécialistes en Systèmes d'Information, comptabilité et finance.

Un second interlocuteur m'a indiqué qu'il a récemment recruté deux nouveaux auditeurs, spécialisés

respectivement dans la comptabilité et l'informatique.

La directive entraîne un renforcement nécessaire de tous ces métiers au sein des équipes d'auditeurs internes,

puisque ceux-ci devront auditer de nombreux sujets relatifs à Solvabilité 2 dans les prochaines années (voir



point suivant). Solvabilité 2 a donc une conséquence indirecte positive au niveau des Ressources Humaines

puisque de nouveaux profils d'auditeurs sont recrutés, et que les entreprises recherchent des spécialistes afin

de réaliser des audits plus poussés, entraînant ainsi un renouvellement et un renforcement des compétences

des équipes d'auditeurs (l'audit du pilier 1 et de ses exigences quantitatives en termes de fonds propres

nécessite par exemple des compétences financières et informatiques de haut niveau).

D'autant que la séparation entre les services Audit Interne, Contrôle Interne et Risk Management va

certainement provoquer de nouveaux recrutements également afin de renforcer les équipes.

Bien sûr, ceci est un point positif pour les entreprises qui ont les moyens de recruter. Ainsi, les interlocuteurs qui

m'ont indiqué que des recrutements ont été effectués récemment ou allaient être effectués sont principalement

des Directeurs de l'Audit Interne de grands Groupes de Protection Sociale. Ils disposent donc d'un budget

conséquent, leur permettant de renforcer leurs équipes en prévision de l'application de la directive et des audits

associés.

Cela est plus problématique pour les entreprises qui disposent de moyens moins élevés, comme nous le

verrons plus loin (voir partie 5, points 1, 2, 3 et 9). a

➢ 7/ Évolution en termes de missions

Solvabilité 2 va entraîner de nouvelles missions pour les auditeurs internes, notamment au sein des grands

groupes, missions visant à s’assurer que Solvabilité 2 est bien mis en place. On peut même aller jusqu'à dire

que l'intégration du périmètre Solvabilité 2 dans les plans d’audit pluriannuels est le changement principal

provoqué par Solvabilité 2 en matière d'Audit Interne (même si ce changement est une conséquence indirecte

de la directive) car il entraîne la mise en place de nombreuses nouvelles missions spécifiques liées à la mise en

œuvre des exigences de la directive. D'après la documentation fournie par certaines entreprises et les entretiens

que j'ai pu mener, les nouvelles missions de l'Audit Interne engendrées par la mise en conformité avec

Solvabilité 2 seront les suivantes, dans les mois et années à venir :

➢ Missions consacrées à l'audit du modèle interne (pilier 1) : l'ACP va demander à l'Audit Interne son

avis sur l'application du pilier 1 de Solvabilité 2.

En effet, les obligations techniques de Solvabilité 2 (notamment en termes de calculs de solvabilité) sont à

réaliser soit avec la méthode standard, soit avec un modèle interne (qui offre l'opportunité d'évaluer le capital

réglementaire selon une approche plus en lien avec les risques effectivement portés par l'entreprise,

contrairement à la formule standard qui fait intervenir un calcul sur une base forfaitaire générale), en expliquant

dans ce dernier cas pourquoi l'entreprise n'utilise pas la méthode standard (voir lexique pour plus de précisions).

Cette méthode standard exige une marge de solvabilité plus importante. Les assureurs ont donc la possibilité de



se tourner vers un modèle interne, qui leur permet de concentrer leurs efforts sur les risques qu'ils maîtrisent le

mieux ou sur lesquels ils jugent la formule standard inadaptée à leurs spécificités. L'application d'un modèle

interne est avantageuse pour les entreprises car elle entraîne une diminution de l'exigence en termes de marge

de solvabilité, si l'entreprise réussit à convaincre l'ACP que son modèle interne est approprié et lui permet de

gérer correctement les risques. Ainsi, pour les entreprises souhaitant opter pour un modèle interne, une

validation de l'autorité de contrôle sera requise préalablement à la détermination du SCR à partir de ce modèle

interne. Le papier de consultation n°37 du CEIOPS définit ces modalités de validation.

Si les entreprises font le choix d'un modèle interne, ce modèle sera validé avant 2013 par l'ACP : or, lorsque

l'ACP viendra « auditer » l'entreprise, le modèle interne sera jugé, mais pas uniquement. En effet, l'ACP vérifiera

également ce que l'Audit Interne a effectué (missions d'audit), même si ce qui intéresse en priorité l'ACP est la

présence et la qualité du modèle interne et non le jugement de l'Audit Interne.

Ce sujet fait d'ailleurs l'objet d'un point de vigilance concernant l'Audit Interne dans le diagnostic de conformité

réalisé par KPMG pour l'une des entreprises rencontrées : le point de vigilance concerne le « périmètre d’audit

étendu aux domaines quantitatifs de la gestion des risques ».

Ainsi, avant que l'entreprise n'adopte un modèle interne, une mission d'audit pourrait consister à examiner et

valider l'opportunité de déterminer l'exigence de capital (SCR) via l'utilisation d'un modèle interne existant ou à

développer, et de s'assurer de la traçabilité des méthodes de calcul du SCR. La démarche de la mission pourrait

être la suivante :

-pour les risques quantifiables identifiés, analyse des modèles internes existants pouvant permettre de mesurer

le besoin de capital,

-évaluation de la pertinence du modèle existant à partir de l'examen des enjeux et limites de la modélisation

retenue par rapport aux recommandations du CEIOPS,

-examen, pour les risques non couverts par un modèle interne, de l'opportunité de développer un modèle

spécifique, de les intégrer à un modèle existant, ou d'utiliser la formule standard,

-examen de la coordination des différentes composantes du calcul du Capital de Solvabilité Requis (formule

standard, modèles internes, voire combinaison des deux),

-appréciation des avantages et inconvénients des différents scénarios de combinaisons de modèles envisagés,

-documentation de la modélisation retenue (modèles, systèmes, hypothèses etc.) afin de répondre à l'objectif

d'auditabilité par l'autorité de contrôle (l'ACP). Ceci est un pré-requis à l'utilisation d'un modèle interne.

Cette mission de conseil devrait donc déboucher sur une présentation synthétique des avantages et

inconvénients des différents scénarios envisageables, ainsi que sur une opinion de l'Audit Interne. Cette mission

est utile car lorsque l'ACP viendra « auditer » l'entreprise qui aura choisi un modèle interne, une attention sera

accordée aux travaux de l'Audit Interne en ce qui concerne ce modèle interne.



De plus, le développement d'un tel modèle peut avoir un coût important et être contraignant pour l'entreprise (en

termes de Systèmes d'Information, de réflexions théoriques et de mise en œuvre pratique notamment) : il est

donc nécessaire de faire le choix du modèle interne ou de la formule standard de manière réfléchie, d'où l'intérêt

de cette mission d'audit.

➢ Missions consacrées à l'audit de l'ORSA (méthodologie d'analyse des risques du pilier 2) : l'ACP va

également demander à l'Audit Interne son jugement sur ce sujet. Afin de réaliser cette mission dans les

meilleures conditions, l'équipe d'auditeurs devra comprendre au minimum un auditeur au profil

« actuaire ».

En effet, à la base, ce sont les actuaires qui ont pour mission de calculer la marge de solvabilité de l'entreprise

ainsi que le MCR et le SCR. Or par la suite, le calcul de tous les risques supportés par l'entreprise doit aussi

prendre en compte les risques opérationnels, et notamment les risques informatiques pour les assurances. Il

faut donc prendre en compte ces risques en se basant sur un modèle ORSA. Un tel modèle comprend

globalement une cartographie des risques, des processus, et une base incidents, et a pour but d'aider

l’entreprise à déterminer la valeur réelle des fonds propres nécessaires pour répondre à ses engagements.

En effet, le pilier 1 de Solvabilité 2 vise à calculer le montant de capital requis pour faire face aux risques, mais il

ne couvre pas la totalité des risques auxquels sont confrontées les entreprises d’assurance, notamment les

risques stratégiques et les risques de réputation, car ces risques sont difficilement quantifiables. Ils doivent donc

être gérés à part, afin de calculer leur impact sur la marge de solvabilité du groupe, car cet impact peut être

important.

L'ORSA est donc, pour résumer, une vision à moyen et long terme des risques en fonction de la stratégie de

l'entreprise, afin de déterminer si ces risques seront critiques à l'avenir, et peut prendre la forme d'une

cartographie des risques. Son but est d'avoir une méthode commune de cartographie des risques visant à

prendre en compte tous les risques, y compris ceux qui sont « ignorés » dans l'évaluation réglementaire de la

solvabilité (pilier 1). Cet outil contribue donc à atteindre le but global de Solvabilité 2, qui est de rapprocher les

fonctionnements des compagnies d'assurance afin de pouvoir les comparer plus facilement.

L'Audit Interne va donc être amené à s'assurer de la pertinence des éléments constituant l'ORSA. Ainsi, un audit

du processus ORSA est prévu en 2015 au sein de l'une des entreprises que j'ai pu rencontrer.

➢ Missions consacrées à l'audit du Contrôle Interne et à l'audit du Management des risques (dont base

incidents, conformité, PCA etc.) prévues en 2013 chez l'une des entreprises rencontrées.



L'évaluation du système de Contrôle Interne visera à faire le point sur ce dispositif, s'assurer qu'il est efficace et

conforme aux diverses réglementations, et à identifier de possibles améliorations devant être apportés à ce

système afin de répondre aux exigences de la directive. Les axes d'investigation pourront être les suivants :

-reprise des conclusions des différents diagnostics ayant conduit à souligner des insuffisances du système de

Contrôle Interne, et des principales conclusions énoncées dans le cadre de ces missions (rapports d'Audit

Interne précédents, rapports concernant les diagnostics réalisés par des cabinets externes etc.) afin d'observer

les évolutions,

-analyse des plans d'action déjà engagés visant à améliorer le système de Contrôle Interne,

-analyse des écarts entre les attentes cibles et le dispositif existant, en s'assurant notamment que le dispositif

couvre l'ensemble des éléments pris en compte dans la gestion de la solvabilité (identification et gestion des

risques, etc.) et que les procédures de Contrôle Interne sont pertinentes et efficaces au regard des objectifs.

Concernant l'audit du Management des risques, l'un des objectifs sera par exemple de s'assurer que l'entreprise

dispose d'une politique de gestion des risques ramenant l'exposition aux risques au niveau défini par le Conseil

d'Administration. Les étapes de la démarche pourraient donc être les suivantes :

-recensement, pour chaque risque, du niveau d'exposition résiduelle accepté par le Conseil d'Administration (par

la revue des procès-verbaux de Conseil d'Administration et des différents rapports soumis à l'approbation du

Conseil d'Administration),

-vérification de l'exhaustivité des stratégies et des procédures de gestion des risques recensées dans le cadre

de la cartographie des risques, comme les stratégies de plafonnement de l'exposition aux risques (plafond de

souscription, plafond d'investissement etc.), les stratégies de transfert de risques (réassurance, etc.), les

procédures de sauvegarde, ou encore les mécanismes d'absorption des risques,

-examen de l'adéquation entre les stratégies mises en œuvre (et l'exposition résiduelle qui en découle) et le

niveau de risque résiduel défini par le Conseil d'Administration,

-identification des procédures complémentaires à prévoir pour compléter le dispositif.

L'évaluation de la politique de gestion des risques visera à faire le point sur la politique existante, et à identifier

de possibles améliorations devant lui être apportées (ou devant être apportées à l'organisation interne de la

société) afin de répondre aux exigences de la directive.

Précisons qu'il est évident que ces missions ne peuvent avoir lieu que si l'Audit Interne est totalement

indépendant et n'est pas lié au service Contrôle Interne ou au service Risk Management, ce qui prouve une fois

de plus l'intérêt de séparer ces trois fonctions.

➢ Missions consacrées à l’évaluation de la gouvernance des risques (audit d’évaluation de la

gouvernance des risques) prévues en 2015 chez l'une des entreprises rencontrées. On peut d'ailleurs se

demander si cela n'est pas trop tardif par rapport à l’impact de la démarche sur la dimension

réglementaire, l’organisation et l’Audit Interne.



Ainsi, dans le cadre d'une mise en conformité du système de gouvernance avec les exigences de Solvabilité 2,

certains services d'Audit Interne vont réaliser une mission consistant en un état des lieux du dispositif de

gouvernance, afin de faire un bilan concernant ce dispositif et dégager les axes d'amélioration possibles. Les

axes d'investigation éventuels pourront être les suivants : rôles et responsabilités du Conseil d'Administration et

de ses « émanations », relation du Conseil avec la Direction Générale, ses « émanations », et les organes de

contrôle, modalités de reporting au Conseil d'Administration, cadre d'Audit (code de déontologie et charte de

l'Audit Interne notamment), processus de fixation des objectifs, etc.

Les buts des missions de ce type seront d'effectuer une synthèse du dispositif de gouvernance des risques

actuel et de dégager des pistes d'amélioration.

➢ Mission consacrée à l'audit de la fonction Conformité prévue chez l'une des entreprises rencontrées

en 2014.

La présence de cette mission dans le plan d'audit pluriannuel s'explique par le fait que cette fonction est en train

d'être mise en place afin de répondre aux exigences de Solvabilité 2. Cet audit permettra donc de faire un bilan

une fois que cette fonction sera « installée ». D'autant que les changements de réglementation sont de plus en

plus nombreux et complexes, ce qui rend cette fonction Conformité très importante : il faudra donc s'assurer de

son efficacité par le biais de cette mission d'audit. Un tel audit est donc pleinement justifié.

D'ailleurs, précisons que de manière générale, les missions d'audit de conformité sont vouées à se multiplier

dans les prochaines années car la réglementation évolue de plus en plus rapidement, a des impacts de plus en

plus complexes, et s'accompagne d'une obligation de formalisation plus développée.

Mission consacrée à l'audit du dispositif de Contrôle Interne d'un prestataire informatique prévue

chez l'une des entreprises rencontrées en 2013. Cette mission est prévue en raison de l’importance

accordée par le pilier 2 de Solvabilité 2 au contrôle des délégataires.

Missions consacrées à un audit Groupe du contrôle des délégataires et des prestataires ainsi qu’à

un audit Groupe des entités de Contrôle Interne prévues chez l’une des entreprises rencontrées en

2013. De même, cette mission a été ajoutée au plan d’audit pluriannuel de cette entreprise car le

pilier 2 de Solvabilité 2 insiste sur le renforcement du contrôle des délégataires : l’Audit Interne doit

donc s’assurer que ce contrôle est efficace.

Missions consacrées à l'audit de la base incidents : le rôle de l'Audit Interne va être d'auditer l'ORSA

mais également la base incidents associée (par exemple, la gestion des habilitations dans ORSA).

La base incidents sert notamment à mesurer l'impact suite à l'incident inscrit dans la base. Des



informaticiens sont en charge de la gestion de cette base et calculent l'impact et la probabilité du

risque, en se basant sur des faits. L'ORSA étant une partie majeure du pilier 2, il est logique que

l'Audit Interne s'assure du bon fonctionnement et de l'efficacité de chacun des éléments qui la

composent.

Mission consacrée à l'audit du Système d'Information décisionnel/Univers Solvabilité 2 prévue chez

l'une des entreprises rencontrées en 2014. Ce sera une mission spécifique sur le contenu et le

respect des règles d’intégrité fixées.

Mission consacrée à l'audit du bilan Solvabilité 2 (notamment l'évolution des actifs sous Solvabilité

2, les fonds propres, et les provisions Solvabilité 2) prévue chez l'une des entreprises rencontrées

en 2014.

En ce qui concerne le bilan Solvabilité 2 (ou bilan prudentiel), la directive et les textes officiels ne précisent pas

qu’il doit être audité par les Commissaires aux Comptes. Indirectement, cela signifie donc que ce travail doit

revenir aux auditeurs internes. C’est pourquoi cet audit figure dans le plan d’audit pluriannuel de l'une des

entreprises rencontrées. Néanmoins, des précisions sur ce sujet seront certainement apportées dans le courant

de l’année, et l'ACP s'est déjà exprimé sur la nécessité d’un audit externe de ces bilans, même si la mesure

n’est pas, pour l'instant, inscrite dans les textes officiels.

➢ Mission consacrée à l'audit des bilans et de la marge de solvabilité prévue chez l'une des entreprises

rencontrées en 2014-2015.

➢ Mission consacrée à l'audit du processus Actif/Passif prévue chez l'une des entreprises rencontrées

en 2014.

➢ Missions consacrées à l'audit de la communication financière : l'Audit Interne va devoir contrôler ce

sujet afin de s'assurer que le reporting est conforme à la réalité et donne une image fidèle de celle-ci.

➢ Mission consacrée à l'audit des reporting Solvabilité 2 prévue chez l'une des entreprises rencontrées

en 2015.

➢ Missions consacrées à auditer l'état d'avancement du projet : ces missions sont bien sûr à réaliser

avant 2013, et auront lieu courant 2012 pour la plupart. Ensuite, l'ACP viendra contrôler ce qui a été fait.

➢ Enfin, tout au long de la mise en œuvre du projet Solvabilité 2 et compte-tenu du caractère

stratégique et transversal de celui-ci, il semble de bonne pratique que l'Audit Interne réalise un



diagnostic de l'organisation et notamment du dispositif de gouvernance existant. Dans un premier

temps, cette mission consiste à réunir toute la documentation visant à décrire les principes en vigueur

au sein de l'entreprise (les rôles des instances, la présence d'un code de déontologie, d'une charte

d'audit, de délégations de pouvoirs, d'un processus de fixation des objectifs, d'une politique de

rémunération, d'une procédure de nomination des administrateurs etc.). Il faut ensuite effectuer une

analyse/comparaison au regard des meilleures pratiques et référentiels existants puis, en fonction des

constats, définir des axes d'amélioration débouchant sur des plans d'action à mettre en œuvre.

L'évaluation du processus de gouvernement d'entreprise figure déjà dans les missions de l'Audit

Interne : la norme 2110 précise que « l'Audit Interne doit évaluer le processus de gouvernement

d'entreprise et formuler des recommandations appropriées en vue de son amélioration ». Ce n'est donc

pas une nouveauté, mais la nécessité de mise en conformité avec Solvabilité 2 devrait provoquer une

augmentation des missions d'audit portant sur ce sujet.

Ainsi, de manière indirecte, la directive entraîne la création de nouveaux plans d'audit et de nouvelles missions,

ce qui est très positif pour l'Audit Interne puisque cela va de pair avec un développement de cette fonction Audit

Interne. Ainsi, au sein de l'entreprise de l'un de mes interlocuteurs, ont eu lieu dès 2010 des réunions ayant pour

objectif, dans le cadre du plan d'audit pluriannuel, d’avoir une première vision des missions d’Audit Interne

découlant de la mise en place de la directive, afin d’identifier une première charge de travail pour l’Audit Interne

mais également les compétences nécessaires à la réalisation de ces missions. Ceci confirme l'idée de

développement de cette fonction Audit Interne. Bien sûr, cela est surtout positif pour les entreprises qui ont les

moyens de recruter de nouveaux auditeurs en conséquence.



C/ Commentaires sur les impacts négatifs de ces nouvelles dispositions pour l’Audit Interne

➢ 1/ Impact financier élevé ?

La mise en conformité avec les exigences de Solvabilité 2 relatives au fonctionnement du service d’Audit Interne

peut avoir un impact financier élevé, même si celui-ci sera surtout supporté au niveau du groupe et pas au

niveau de l'Audit Interne. La séparation entre l'Audit Interne et les autres fonctions va par exemple

s’accompagner d’un coût en termes de temps, d'argent, d'organisation, de restructuration et éventuellement de

recrutements pour les services concernés.

Pour les petites mutuelles qui ne disposeraient pas pour le moment d'un service d'Audit Interne, la mise en

conformité est rendue encore plus difficile en raison du coût élevé des changements qu'elle provoque, et de la

réorganisation massive entraînée par la création d'un nouveau service. En effet, la directive et les textes du

CEIOPS sont clairs : les entreprises doivent disposer d'une fonction Audit Interne. Néanmoins, l'Audit Interne est

une fonction qui est déjà fortement implantée dans les entreprises d'assurance. Seules les petites entreprises

(assurances ou mutuelles) sont donc concernées par ce problème.

Les entreprises qui disposent déjà d'un service d'Audit Interne indépendant auront néanmoins une charge

financière à assumer également, puisque, comme nous l'avons vu, la mise en conformité avec la directive

entraîne indirectement la création de nouvelles missions d'Audit Interne liées à Solvabilité 2, et peut donc

éventuellement être synonyme de recrutements. Ces entreprises devraient néanmoins pouvoir supporter le coût

de ces recrutements sans trop de difficultés.

➢ 2/ Impact « négatif » pour les entreprises qui ont une fonction Audit Interne cumulée avec d'autres fonctions de l'entreprise

La séparation entre ces services va entraîner un coût important. Par exemple, l'un des Directeurs que j'ai

rencontrés est actuellement Directeur de l'Audit Interne, du Contrôle Interne et de la Qualité. Les fonctions et les

services correspondants n'ont pas encore été séparés pour l'instant. Or Solvabilité 2 indique que l'Audit Interne

doit être indépendant : un changement d'organisation sera nécessaire afin de respecter la directive. Solvabilité 2

entraîne donc un changement important puisque, pour des raisons d’indépendance, il va falloir procéder à une

séparation entre ces services.

Cette exigence de la directive entraîne la mise en œuvre d’un chantier de réorganisation des fonctions

concernées qui devrait s’étaler sur plusieurs mois, ainsi qu'un coût important lié à cette réorganisation. De

même, les nouveaux recrutements éventuels venant de cette séparation entraîneront un coût pour l'entreprise.

C'est en cela que la directive a un impact « négatif » pour les entreprises qui ont une fonction Audit Interne



cumulée avec d'autres fonctions de l'entreprise (même si, bien entendu, sur le long terme, cette séparation

devrait avoir des effets positifs, comme nous l’avons vu précédemment).

Un second Directeur rencontré m'a indiqué qu'auparavant, au sein de son entreprise, l'Audit Interne et le Risk

Management étaient liés. Aujourd'hui, ces deux fonctions sont séparées, et une véritable Direction des Risques

a été créée en prévision des exigences de Solvabilité 2, ce qui s'est accompagné d'un coût élevé.

Cependant, les services d'Audit Interne qui respectent d’ores-et-déjà les normes professionnelles en ce qui

concerne l'indépendance de l'Audit Interne ne seront pas confrontés à ce problème.

➢ 3/ Disparition des économies d’échelle et perte de proximité entre les services

D'après l’un de mes interlocuteurs, on peut penser que la séparation des services Audit Interne, Contrôle Interne

et Risk Management va entraîner une disparition des « économies d’échelle » ainsi qu'une perte de proximité

entre les services, étant donné que dorénavant, la Direction de l'Audit Interne devra être complètement séparée

du Contrôle Interne et du Risk Management.

En effet, même s'il est important que l'Audit Interne reste indépendant, il serait tout de même souhaitable qu'il

conserve des points de rapprochement avec le Risk Management et le Contrôle Interne, qui seraient propices à

des synergies, notamment en matière d'identification et de traitement des risques, et permettraient donc de

faciliter certains travaux comme la mise en place des plans d'audit annuels et/ou pluriannuels. Ceux-ci seraient

en effet plus pertinents s'ils étaient créés par les auditeurs en se basant sur les travaux du Risk Management en

termes d'identification, d'évaluation et de traitement des risques. Par exemple, les cartographies des risques

créées par le Risk Management pourraient constituer une base sur laquelle s'appuieraient les auditeurs internes

pour bâtir le plan d'audit annuel, en adoptant ainsi une approche par les risques.

De même, durant la phase de planification d'une mission d’audit, les auditeurs pourraient se baser sur les

travaux du Risk Management (notamment les cartographies des risques) afin d'identifier les risques majeurs de

l'activité auditée, et donc déterminer dans le programme de travail les zones de risque qui seront examinées

avec plus d’attention au cours de la mission d’audit. Ils pourraient aussi se baser sur les travaux du Contrôle

Interne afin d'analyser les contrôles (de premier et de second niveau) mis en place au sein du service audité afin

de réduire le niveau de risque, ce qui orientera les entretiens à mener et surtout les tests à effectuer durant la

phase de réalisation de la mission : par exemple, il serait peu pertinent que des dossiers qui ont déjà été

contrôlés à deux reprises (par le biais de contrôles de premier puis de deuxième niveau) soient contrôlés une

troisième fois par l’Audit Interne au cours des tests. De même, si l’Audit Interne constate que le dispositif de

Contrôle Interne de premier et de deuxième niveau est très complet, pertinent et formalisé, la phase de test

pourra être réduite en conséquence.



Enfin, le suivi des recommandations et la gestion des plans d’action mis en place par les opérationnels pour

répondre aux recommandations des auditeurs internes pourraient être optimisés et plus pertinents s’ils étaient

traités au sein d’un outil commun de gestion des risques, mis à la disposition de tous les acteurs qui sont

concernés par ce sujet au sein de l’entreprise. Cet outil permettrait par exemple, pour un processus donné, de

répertorier toutes les actions mise en œuvre par le service concerné en termes de maîtrise des risques et de

Contrôle Interne.

Ainsi, la séparation des services Audit Interne, Contrôle Interne et Risk Management peut entraîner une

disparition des « économies d’échelle » car si chaque service travaille de manière totalement indépendante, cela

s’accompagne d’un coût élevé et ce n'est pas efficient.

Lorsque ces services ne sont pas séparés, on peut donc obtenir des « économies d’échelle » puisqu'ils réalisent

de toute façon des tâches similaires et ont les mêmes préoccupations : il est donc avantageux qu'elles ne soient

pas toutes réalisées séparément et qu’une collaboration entre ces services soit mise en place. En effet, lorsque

chaque service impliqué dans la gestion des risques travaille séparément, cela a forcément un coût plus élevé

pour l'entreprise, qui s’accompagne d’un manque d’efficacité certain (présence de doublons, puisque certains

actes comme les contrôles sont tout de même similaires). Il serait donc plus logique que ces services travaillent

en collaboration.

Cependant, un second Directeur de l'Audit Interne que j'ai interrogé n'était pas d'accord avec cette idée de

disparition des « économies d'échelle » en cas de séparation de ces fonctions car, selon lui, les fonctions

concernées sont trop différentes, surtout au sein des grandes structures. Ce point négatif est donc à relativiser,

mais on peut penser qu'en effet, cette séparation va entraîner une perte de proximité et des doublons, puisque

certains actes sont tout de même similaires (contrôles etc.).

➢ 4/ Redéfinition des périmètres de chaque fonction

Ceci est une autre conséquence de la séparation des services Audit Interne, Contrôle Interne et Risk

Management et de la perte de proximité entre ces services qui en découle : il sera forcément nécessaire de

commencer par (re)définir clairement les périmètres de chaque service, et de créer des instances de

coordination entre ceux-ci. On peut donc s'interroger : l'indépendance de l'Audit Interne est bien sûr essentielle

pour permettre aux auditeurs d'exercer leur fonction, mais ce changement entraîné par Solvabilité 2 va

provoquer une somme de travail considérable afin de définir les missions, les pouvoirs ainsi que les

responsabilités de chaque service.



D'autant que la mise en conformité avec la directive s’accompagne également d’une évolution au niveau des

instances politiques (création de Comités d'Audit etc.). Des instances de coordination devront donc être créées :

par exemple, une coordination Audit Interne/Contrôle Interne existe d’ores-et-déjà au sein de l'entreprise de l'un

de mes interlocuteurs. Ainsi, la directive pousse à séparer complètement ces services, mais ils devront

forcément continuer à travailler en collaboration. On peut donc se demander si cette séparation est bien

nécessaire.

➢ 5/ Coût des recrutements

La directive entraîne indirectement la nécessité pour les services d'Audit Interne de recruter des spécialistes,

principalement en finance-comptabilité, informatique et actuariat, afin que ces services soient en mesure d'aller

auditer les sujets relatifs à Solvabilité 2 (l'audit de l'ORSA devrait par exemple être effectué par au moins un

auditeur au profil « actuariat »), ce qui entraîne un problème financier pour certains Groupes de Protection

Sociale et certaines assurances, qui n'ont pas les moyens nécessaires pour recruter de nouveaux salariés. En

effet, l'Audit Interne, qui est « l'ACP maison », va avoir pour mission de contrôler des sujets plus complexes,

relatifs à Solvabilité 2, à partir de l’année 2013. Ces missions plus complexes vont demander de nouvelles

compétences : l'Audit Interne peut donc en ressortir fragilisé dans le cas où le service ne dispose pas du budget

nécessaire pour recruter de nouveaux auditeurs en conséquence. L'audit du pilier 1 et ses exigences

quantitatives en termes de fonds propres nécessiterait par exemple des compétences financières et

informatiques de haut niveau, dont toutes les Directions de l'Audit Interne ne disposent pas pour le moment.

Ainsi, certains services vont se tourner vers des profils généralistes lors des recrutements de nouveaux

auditeurs internes, tout en faisant appel à des prestations externes pour réaliser des audits plus « pointus », ce

qui aura un coût supplémentaire.

Par exemple, l'un des Directeurs de l'Audit Interne que j'ai rencontrés m'a expliqué qu'afin de gérer l'aspect

« technique » de certains missions liées à Solvabilité 2, il allait faire appel à un prestataire externe car certaines

missions liées à Solvabilité 2 nécessiteront un expert en actuariat et un expert informatique (afin d'auditer

notamment la base de données Solvabilité 2). L'aspect négatif est donc le coût supplémentaire causé par

Solvabilité 2, car pour ce service par exemple, le coût de « l'enveloppe Prestations » va fortement augmenter, et

sera à rajouter au budget de l'Audit Interne.

En effet, en ce qui concerne la gestion des compétences, ce Directeur de l'Audit Interne m'a indiqué qu'il

dispose d'un budget pour faire appel à des prestataires externes afin de réaliser certaines missions d'audit.

Ainsi, il ne recrutera pas un auditeur qui aurait un profil d'actuaire par manque de budget, mais également parce

que celui-ci ne serait pas occupé à temps plein.



Cependant, un second Directeur de l'Audit Interne m'a précisé qu'il n'a jamais fait appel à des prestataires

externes car il estime qu'il possède déjà les compétences nécessaires au sein de son équipe, d'autant que,

selon lui, les audits concernent avant tout le dispositif de Contrôle Interne, tandis que l'aspect « technique » des

sujets audités est plus secondaire. Solvabilité 2 ne s’accompagnera donc pas d'audits vraiment techniques,

selon lui, et il ne prévoit pas de faire appel à un cabinet externe pour réaliser des missions liées à Solvabilité 2.

On constate néanmoins que le renforcement des bonnes pratiques de gestion des risques provoqué par

Solvabilité 2 demande de nouvelles compétences techniques. Les entreprises vont donc devoir recruter de

nouveaux salariés, et former leurs salariés (nouveaux et autres).

Cela n'est pas un problème pour les grands groupes ; cependant, les entreprises qui n'ont pas les moyens de

recruter de nouveaux auditeurs vont être contraintes de se tourner vers des aides ponctuelles venant de

cabinets externes. Pour l'une des entreprises rencontrées, ceci constitue même un point de vigilance dans le

diagnostic de mise en conformité réalisé par KPMG : « le dimensionnement des équipes et le renforcement des

compétences (actuariat, gestion actif/passif, Systèmes d’Information…) » est un point à traiter avec beaucoup

d’attention par la Direction de l’Audit Interne.

De même, un autre Directeur de l'Audit Interne m'a expliqué que selon lui, le véritable changement sur le fond

provoqué par Solvabilité 2 est son impact en termes de compétences, au niveau de l'Audit Interne. En effet, il va

être nécessaire de renforcer les compétences des auditeurs en termes d’assurance, de prévoyance, de

comptabilité, de finances et d’actuariat. Ces compétences seront à répartir sur l’activité Retraite et sur l’activité

Prévoyance. En effet, dans un futur proche, il faudra renforcer le côté Assurances de Personnes car l’ACP va

venir contrôler cet aspect-là. Le point positif est que l’équipe d’auditeurs est déjà en place, au sein de cette

entreprise.

Globalement, les compétences à renforcer concernent surtout la comptabilité et l'actuariat. Il y a donc un travail

à faire de ce côté-là, et cette entreprise fera également appel à une aide venant de cabinets externes. En effet,

au sein d'un grand groupe (6000 personnes), le recrutement d’un auditeur au profil actuaire et d’un auditeur au

profil informaticien dans l’équipe pourrait être utile, mais au sein d'un plus petit groupe (2000 personnes), ces

auditeurs ne seraient pas occupés à temps plein, d'autant que l'entreprise n'a pas les moyens suffisants pour

recruter des auditeurs qui ont un profil actuaire ou comptable. Des recrutements de ces types de profils n’auront

donc pas lieu.

Au sein de cette entreprise, en plus d’une aide venant de cabinets externes, ces compétences seront renforcées

par le biais de formations. Cependant, concernant l’actuariat, cela est impossible car c'est un domaine trop

technique, et une formation complète prendrait un temps considérable. Cela explique le fait que pour certaines

missions très techniques (liées à l’actuariat ou à la comptabilité notamment), il sera fait appel à un cabinet

externe, afin d’obtenir une aide ponctuelle.



Enfin, un dernier Directeur de l'Audit Interne m'a expliqué qu'au niveau du pôle Assurances de son service

d'Audit Interne, de nouveaux profils ont été recrutés car l'entreprise, un grand Groupe de Protection Sociale,

dispose de moyens suffisants pour recruter. Ainsi, cinq auditeurs ont été embauchés (profils actuaires). L'équipe

a également été renforcée en vue de Solvabilité 2 avec le recrutement de spécialistes en Systèmes

d'Information, comptabilité et finance. Certaines entreprises comme les grandes assurances et les grands

Groupes de Protection Sociale ne sont donc pas concernées par ce point négatif puisqu'elles disposent de

moyens suffisants pour recruter de nouveaux salariés.



Synthèse sur l'Audit Interne

Solvabilité 2 insiste sur la mission de l'Audit Interne : l'intervention de la Direction de l'Audit Interne et du Comité

d'Audit dans le processus de gouvernance sera donc renforcée. L'Audit Interne tiendra une place encore plus

importante dans la gestion des risques, en raison de son rôle de « conseiller » auprès de la Direction Générale.

Son intervention est même au cœur du pilier 2 puisque sa mission d'évaluation des processus de management

des risques, de Contrôle Interne et de gouvernement d'entreprise revêt une importance considérable dans les

fondements de la directive.

En effet, l'Audit Interne est centré sur la maîtrise des risques, le développement de dispositifs de contrôle et la

recherche d'efficacité et de performance. Son approche méthodique débouche sur des conseils d'amélioration

des dispositifs, de réduction des risques et d'optimisation de l'organisation. Cette fonction se trouve donc au

cœur du dispositif Solvabilité 2, en garantissant l'intégrité et la pertinence de l'ensemble du dispositif de gestion

des risques à mettre en place. De l'audit opérationnel à l'audit des Systèmes d'Information, l'Audit Interne va

occuper une place importante dans le nouveau dispositif. Son rôle et ses missions seront renforcés sur tous les

aspects du pilier 2 de la directive.

De plus, le pilier 2 intègre les aspects relatifs à la gouvernance d'entreprise, en instaurant la responsabilité

ultime du Conseil d'Administration sur l'ensemble du dispositif de solvabilité et en augmentant fortement ses

responsabilités, comme nous l'avons vu. Ainsi, indirectement, le rôle de l'Audit Interne s'en trouve renforcé

puisque la gouvernance d'entreprise est une des préoccupations de l'Audit Interne : il est en effet chargé

d'évaluer « par une approche systématique et méthodique, [les] processus […] de gouvernement d’entreprise »

(définition officielle de l'IFACI). De plus, la norme professionnelle 2130 précise la mission exacte de l'Audit

Interne concernant le processus de gouvernement d'entreprise.

En résumé, l'application de la directive entraîne donc la création d'un service d'Audit Interne pour les entreprises

qui n'en auraient pas (notamment les petites mutuelles, qui vont devoir créer et structurer un tel service, même

s'il n'est constitué que d'une équipe réduite) mais rappelle surtout la nécessité de disposer d'une fonction Audit

Interne indépendante, séparée de toutes les autres fonctions. Ainsi, l'article a également comme conséquence

l'obligation de séparer les fonctions Contrôle Interne et Audit Interne, voire Risk Management et Audit Interne,

lorsque celles-ci sont rattachées. Ce changement concerne surtout les Groupes de Protection Sociale et les

mutuelles.

Globalement, la directive ne fait que renforcer les bonnes pratiques et les rendre obligatoires, et n'entraîne donc

pas de bouleversements majeurs dans la profession d'auditeur interne. Cela s'explique par le fait que cette

profession est déjà très normée et encadrée et par le fait que d'autres lois ont précédé cette directive,

engendrant des changements importants.



Solvabilité 2 va cependant avoir l'intérêt de permettre d'harmoniser le fonctionnement et les méthodes de travail

des services d'Audit Interne dans les entreprises d’assurance, de confirmer les normes internationales d’Audit

Interne, et de provoquer une meilleure prise en compte des risques ainsi qu'un renforcement de la maîtrise de

ces risques, en renforçant et en séparant les fonctions Risk Management, Contrôle Interne et Audit Interne et en

sensibilisant davantage la Direction Générale et les opérationnels à cette problématique de gestion des risques.

Indirectement, cela pourrait avoir un impact positif sur l'image de l'Audit Interne, car cette fonction est garante du

bon fonctionnement du dispositif de maîtrise des risques de l'entreprise. De plus, Solvabilité 2 permet de mettre

en avant la légitimité des missions, pouvoirs et responsabilités de l'Audit Interne, et entraîne une évolution de

l'Audit Interne en matière de compétences et de missions. En effet, Solvabilité 2 va entraîner de nouvelles

missions d'Audit Interne, visant à s’assurer que les exigences de la directive sont bien mises en place.

L'intégration du périmètre Solvabilité 2 dans les plans d’audit pluriannuels est en effet un changement important

provoqué par Solvabilité 2 en matière d'Audit Interne (missions d'audit consacrées à l'audit de l'ORSA, à l'audit

de la base incidents, à l'audit du Contrôle Interne et à l'audit du Management des risques, à l'audit de la fonction

Conformité, etc.).

De plus, la directive peut contribuer à la mise en place d'un Système Intégré de Contrôle Interne (voir lexique),

prenant en compte les attentes de toutes les parties prenantes, à l’intérieur comme à l’extérieur de l'entreprise.

En effet, afin que les fonctions Audit Interne, Contrôle Interne et Risk Management soient mieux intégrées, il est

nécessaire qu'elles se basent tout d'abord sur un référentiel commun. Or Solvabilité 2, sans être un référentiel à

proprement parler, pose un certain nombre de principes communs et de bonnes pratiques à respecter en

matière de gestion des risques, comme nous l'avons vu, qui pourraient entraîner un renforcement des liens

entre ces trois fonctions même si elles font l'objet de services distincts au sein de l'entreprise, et donc favoriser

l'émergence d'un Système Intégré de Contrôle Interne, qui prendra en compte les attentes des clients et des

salariés (gestion de la Qualité), des dirigeants (Audit Interne, Contrôle Interne, Risk Management), et des

actionnaires (instances comme le Comité d'Audit etc.).

De plus, la démarche Enterprise Risk Management, que nous avons évoquée, permet, d'après l'un de mes

interlocuteurs, le déploiement d’une analyse des risques, quelle que soit la taille de l’entreprise, et la mise en

place d’un cadre de référence pour une gestion intégrée des risques. La conséquence logique de la mise en

place d'un système de ce type peut donc être la plus grande proximité entre les services, ce qui est positif pour

l'entreprise. Les liens entre l’Audit Interne, le Contrôle Interne et le Risk Management sont évidents puisque ces

trois fonctions constituent les trois « lignes de défense » visant à maîtriser les risques auxquels est confrontée

l’entreprise. Une démarche globale de gestion des risques doit être mise en place au sein de l’entreprise

notamment afin de faire face à la multiplication des exigences légales et réglementaires comme Solvabilité 2, un

foisonnement de normes professionnelles, une pression croissante des parties prenantes (internes et externes)

et une responsabilité des dirigeants accrue.



Cependant, nous avons également constaté que la mise en conformité avec la directive présente quelques

aspects négatifs au niveau de l'Audit Interne : cette mise en conformité peut avoir un impact financier élevé pour

l'entreprise (en raison de la création d'un service dédié ou du recrutement de nouveaux collaborateurs par

exemple), et entraîne un impact « négatif » pour les entreprises qui ont une fonction Audit Interne cumulée avec

d'autres fonctions de l'entreprise, car la séparation entre ces services va entraîner un coût important

(restructurations, redéfinition nécessaire des périmètres de chaque service, création d'instances de coordination

entre ceux-ci, etc.). De plus, la séparation des services Audit Interne, Contrôle Interne et Risk Management peut

entraîner une disparition des « économies d’échelle » ainsi qu'une perte de proximité entre ces services, étant

donné que dorénavant, la Direction de l'Audit Interne devra être complètement séparée des autres fonctions.

Enfin, la directive entraîne la nécessité pour les services d'Audit Interne de recruter des spécialistes (notamment

en finance, comptabilité, informatique et actuariat), afin d'être capables d'auditer les sujets relatifs à Solvabilité

2, ce qui entraîne un problème financier pour certaines entreprises, qui n'ont pas les moyens nécessaires pour

recruter de nouveaux salariés. Néanmoins, malgré ces quelques réserves, on constate que de manière

générale, les impacts de Solvabilité 2 sur l’Audit Interne sont positifs.

.



Synthèse sur les parties 2, 3 & 4

En conclusion de ces parties consacrées aux impacts du pilier 2 de Solvabilité 2 (« Gouvernance des risques »)

sur les fonctions Audit Interne, Contrôle Interne et Risk Management, nous allons revenir brièvement sur les

principaux aspects positifs et négatifs causés par le pilier 2 pour ces fonctions.

- Concernant le Risk Management : la création d’une fonction Risk Management découlant de l’application de

la directive a deux impacts négatifs majeurs, un impact financier et un impact organisationnel.

L’impact financier vient principalement des recrutements entraînés par la création de cette fonction, mais aussi

du coût de la mise en place d’une structure dédiée à cette fonction (Responsables, Directeurs, équipe etc.).

L’impact organisationnel est causé par plusieurs éléments : l’adaptation nécessaire des processus Assurances

de Personnes de l’entreprise qui vont tous être touchés par la mise en œuvre de la fonction Risk Management,

le positionnement de la fonction, la définition des rôles et responsabilités des risk managers, et la coordination

entre le Risk Management et le Contrôle Interne qui doit être mise en place (puisque, pour résumer simplement,

le Risk Management doit « faire travailler » le Contrôle Interne).

La création d’une fonction Risk Management a également des impacts positifs, comme nous l’avons vu : le

renforcement de la maîtrise des risques de manière générale (et des risques autres qu’opérationnels en

particulier) et de la vision groupe des risques, principalement, ainsi que l’intégration de la démarche Risques

dans la stratégie du groupe.

- Concernant le Contrôle Interne : la création d’une fonction Contrôle Interne, voire la séparation de l’Audit

Interne et du Contrôle Interne demandées par la directive ont également plusieurs impacts négatifs, notamment

un impact financier et un impact organisationnel.

L’impact financier vient principalement du coût en termes de Ressources Humaines engendré par cette création

ou cette séparation (effectuer des recrutements, nommer des Responsables pour chaque fonction etc.).

L’impact organisationnel majeur est bien sûr la séparation de ces services, qui engendre des nouvelles

méthodes de travail et entraîne la nécessité de créer des instances de coordination entre ces services. La

création d’un service dédié au Contrôle Interne, si un tel service n’existe pas encore au sein de l’entreprise,

s’accompagne bien sûr d’un impact organisationnel également.

Le dernier impact négatif principal concerne la perte des économies d’échelle qui découle de la séparation de

ces services.



La séparation de l’Audit Interne et du Contrôle Interne a cependant des impacts positifs, notamment en termes

de renforcement de l’indépendance de chacune de ces fonctions, ce qui est bien sûr important pour l’Audit

Interne en priorité. De plus, la création d’un service Contrôle Interne, dans le cas où un tel service n’existe pas

encore au sein de l’entreprise, a pour impact positif principal de renforcer la maîtrise des risques.

- Enfin, concernant l'Audit Interne : les impacts négatifs provoqués par la directive au niveau de l’Audit Interne

sont les suivants :

-La séparation de l’Audit Interne et des autres fonctions demandée par la directive peut être complexe à

mettre en œuvre car elle demande des restructurations importantes.

-Cette séparation engendre aussi un impact financier élevé pour l’entreprise.

-Cette séparation peut également provoquer une baisse du nombre d’auditeurs (la moyenne au sein des

assurances, Institutions de Prévoyance et mutuelles est d'environ 3 auditeurs pour 1000 salariés), ce qui

a un impact négatif sur l’image de l’Audit Interne, à moins de recruter, ce qui a un coût financier

important.

-La mise en œuvre de la directive peut entraîner un désintérêt pour les audits portant sur les risques

opérationnels « purs » car la directive insiste beaucoup sur l’aspect actuariel. Le risque est donc que la

Direction Générale se détourne de l’aspect opérationnel.

-La création d’un service Audit Interne, lorsqu’un tel service n’existe pas au sein de l’entreprise,

s’accompagne d’un coût financier élevé.

Les impacts négatifs de la directive sur l’Audit Interne sont donc relativement faibles et très indirects.

En revanche, les principaux impacts positifs provoqués par la directive pour l’Audit Interne sont les suivants :

-Le positionnement de la fonction Audit Interne s’en trouve renforcé.

-La fonction est rendue plus légitime.

-Les auditeurs ont une responsabilité accrue.

-Les plans d’audit sont impactés par la mise en œuvre des exigences de la directive, puisqu’elle

provoque de nouvelles missions d’audit dans les mois et les années à venir. La directive entraîne donc

indirectement une augmentation de la charge de travail pour l’Audit Interne, et donc un renforcement du

rôle et de l’importance de cette fonction.

-Les dispositions de Solvabilité 2 vont dans le sens des recommandations de l’Audit Interne, en insistant

sur l’importance de la formalisation des procédures, des contrôles et du suivi/pilotage de l’activité.

Ainsi, globalement, les principaux impacts négatifs de Solvabilité 2 et plus particulièrement du pilier 2 sont les

suivants :



-La directive entraîne un alourdissement des méthodes de travail et une forte augmentation de la

formalisation et du reporting pour ces fonctions, ce qui sera assez contraignant et consommateur de

temps.

-Solvabilité 2 a un coût élevé pour la Direction Générale, en termes de mise en conformité et de

recrutements notamment, pour un retour que l’on a encore du mal à cerner. Même si de nombreuses

présentations de la directive poussent les entreprises à « ne pas voir Solvabilité 2 seulement comme un

chantier de conformité, mais aussi comme une opportunité », et à « transformer cette contrainte en

avantage concurrentiel durable », les entreprises n'ont pas, pour l'instant, une vision claire des

bénéfices que pourrait leur apporter l'application de Solvabilité 2, et celle-ci est aujourd'hui encore

perçue par les Directeurs Généraux uniquement comme une réglementation qui va alourdir les process,

sans véritable valeur ajoutée. D'autant plus que l'application de la directive ne se traduira pas par un

bénéfice en termes de chiffre d'affaires.

-La directive et surtout son deuxième pilier restent problématiques pour les petites structures, malgré la

présence du principe de proportionnalité : le pilier 2 est surtout adapté aux grands groupes, avec des

enjeux à la fois techniques et organisationnels, et concernant toutes les dimensions de l’entreprise. Or il

faut que toutes les entreprises l'appliquent. L'enjeu est différent pour les petites structures, qui ont un

« minimum » à mettre en place, mais cela est déjà difficile. En effet, les exigences qualitatives de

Solvabilité 2 en matière de Risk Management, Contrôle Interne, Audit Interne et gouvernance

nécessitent la mise en place de chantiers importants : les travaux de mise en conformité avec les

exigences de la directive vont donc être délicats pour les petites mutuelles, ce qui va les pousser au

rapprochement, tout comme le pilier 1 et ses exigences en termes de fonds propres difficiles à atteindre

pour les petits groupes.

-Solvabilité 2 pousse donc indirectement au rapprochement des petites structures, et porte donc atteinte

à la concurrence. Il y a cependant un côté positif à cela : seules les entreprises les plus solides resteront

présentes sur le marché, et les assurés seront donc mieux protégés.

Enfin, en résumé, les impacts positifs de Solvabilité 2 et plus particulièrement du pilier 2 sont les suivants :

-La directive entraîne une meilleure maîtrise des risques en imposant la mise en place d'un système de

maîtrise des risques efficace, couvrant de manière transverse l'ensemble des risques de l'entreprise afin

de garantir une gestion saine et prudente de l'activité, avec un renforcement du Risk Management et du

Contrôle Interne, fonctions qui étaient (et sont encore) souvent à l’état embryonnaire dans les petites

structures. D’importants efforts ont donc été accomplis pour renforcer les règles de gouvernance, le

Contrôle Interne et la maîtrise des risques au sein de ces petites entreprises (mutuelles notamment). De



plus, l'Audit Interne, la Conformité et le contrôle de la gestion externalisée (contrôle des délégataires) se

trouvent aussi renforcés par Solvabilité 2.

-De plus, une démarche globale de management des risques devient nécessaire et utile à mettre en

œuvre pour les entreprises, en raison d'un environnement professionnel de plus en plus complexe

(multiplication des exigences légales et réglementaires, foisonnement de normes professionnelles), la

nécessité de partager une culture commune entre le management et les salariés, et une responsabilité

du dirigeant accrue. De plus, ce type de démarche permet de couvrir l’ensemble des risques de quelque

nature qu’ils soient, et d'impliquer l’ensemble de la filière de management.

-Auparavant, les Directions liées à la maîtrise des risques pouvaient être « diluées » et éparpillées dans

toute l'organisation. Solvabilité 2 recentre ces fonctions au niveau d'une même Direction. Par exemple,

auparavant, dans l'entreprise de l'un de mes interlocuteurs, le Contrôle Interne était déployé sur certains

métiers et pas sur d'autres, et la Conformité était située au niveau du Juridique. Solvabilité 2 pousse à

réunir ces fonctions au sein d'une Direction des Risques (Risk Management, Contrôle Interne,

Conformité etc.) tout en assurant l'indépendance de l'Audit Interne, avant le 1er janvier 2013. La maîtrise

des risques s'en trouve donc renforcée, et des synergies peuvent se créer entre ces fonctions.

Solvabilité 2 pousse les structures à mieux s'organiser.

-La directive entraîne la mise en place d'un nouveau mode de travail intégré entre les acteurs de la

gestion des risques de l’entreprise. Solvabilité 2 apparaît comme structurant pour les entreprises, en

entraînant la création de fonctions nouvelles dédiées à la gestion des risques, ou la séparation des

fonctions.

-Le pilier 2 concerne en priorité les fonctions Risk Management et Contrôle Interne, ce qui va dynamiser

ces fonctions et renforcer leur position dans l'entreprise. Il y a donc des bénéfices tirés de la démarche

Solvabilité 2 en termes de connaissance des risques, de gouvernance et d'optimisation du

fonctionnement de l'organisation.

-La directive confirme, voire renforce les bonnes pratiques en termes de gestion de risques, de Contrôle

et d'Audit Internes.

-Les exigences de qualité et de sécurité des piliers 1 et 2 vont permettre de conforter les organismes,

d'augmenter la sécurité, et d'éviter des désagréments, même si certains risques sont impossibles à

maîtriser. Solvabilité 2 a un niveau d'exigence plus élevé que Solvabilité 1, et protège donc plus

l'entreprise (la marge de solvabilité calculée auparavant ne garantissait pas contre le risque de faillite de

l'entreprise).



-L'application de la directive entraînera une vue clarifiée des risques de l’entreprise et de leurs effets sur

sa compétitivité.

-La directive pourra conduire a une amélioration de l’efficacité des capitaux propres, par une meilleure

prise en compte des risques dans les décisions commerciales.

-Enfin, plus généralement, si la directive permet d'« assainir » le marché et de faire disparaître les

acteurs les plus faibles, on peut penser que les assurés ne seront que mieux protégés. D'autant que les

fusions et rapprochements provoqués par la directive permettent de profiter de synergies commerciales

par complémentarité des produits et de réaliser des économies d'échelle par la mise en commun d'un

certain nombre de services administratifs, financiers ou informatiques, ce qui pourra être positif pour les

entreprises et leurs clients. a

Ainsi, globalement, pour les fonctions Risk Management, Contrôle Interne et Audit Interne, la mise en conformité

avec la directive devrait permettre de renforcer la maîtrise des risques de manière générale et de renforcer ces

fonctions et leur positionnement au sein de l’entreprise. La mise en conformité se traduit cependant par un

impact financier élevé et des restructurations nécessaires au sein des entreprises, et impacte donc fortement les

petites entreprises en priorité. La mise en place du projet nécessite également une réorganisation des rôles et

des compétences attendus au sein de l'entreprise. D'autant plus qu'à cet impact s’ajoute l’impact du pilier 1, qui

est également très fort pour les petites et moyennes entreprises et implique un changement de culture. C’est

d’ailleurs pour ces raisons que de si nombreuses entreprises se tournent vers une aide venant des cabinets de

conseil, comme nous allons le voir.



Partie 5 : Vision d’ensemble : modalités de mise en œuvre de Solvabilité 2 et difficultés rencontrées par les entreprises

Cette « vision d'ensemble » concerne principalement le rôle des cabinets de conseil dans la mise en conformité

des entreprises avec Solvabilité 2 et plus particulièrement le deuxième pilier (ces cabinets sont sollicités par de

nombreuses entreprises afin de réaliser un diagnostic de conformité puis d'aider l'entreprise à mettre en œuvre

les exigences de la directive), les différences d'appréhension de Solvabilité 2 entre petits et grands groupes,

l'état d'avancement actuel de la démarche de mise en conformité avec Solvabilité 2, et ce qu'il adviendra après

2012, c'est-à-dire une fois que la phase de mise en conformité sera terminée. Il m'a semblé important de traiter

ces sujets ici, même s'ils s'éloignent du thème principal de ce mémoire, car tous mes interlocuteurs les ont

évoqués au fil des entretiens. Ces sujets se sont donc imposés d'eux-mêmes, ce qui montre qu'ils constituent

des préoccupations majeures pour les entreprises à l'heure actuelle, à un peu plus d'un an de la date butoir de

mise en conformité avec la directive (le 1er janvier 2013).

➢ 1/ Rôle des cabinets de conseil dans la mise en conformité avec Solvabilité 2

Au cours des entretiens, j'ai posé la question suivante à mes interlocuteurs : « afin de mettre en place les

exigences requises par Solvabilité 2, votre entreprise s'est-elle tournée vers l'aide d'un cabinet de conseil ? ».

La réponse est qu'un grand nombre d'entreprises se tournent vers des cabinets de conseil, qui les aident à

mettre en place les changements liés à Solvabilité 2 et à définir leurs politiques de gestion des risques, de

Contrôle Interne et d’Audit Interne. Ces cabinets réalisent notamment de nombreux « diagnostics de

conformité » pour les entreprises, qui sont des analyses visant à faire un état des lieux et à présenter les

changements restants à apporter au niveau des fonctions-clés prenant part à la maîtrise des risques, afin d'être

totalement en conformité avec la directive. En effet, concernant le pilier 2, tout l'en jeu pour les entreprises

consiste à trouver un modèle organisationnel qui assure une bonne articulation entre les domaines/fonctions

suivantes : gouvernance, Gestion des Risques, Contrôle Interne et Audit Interne (voir annexe 15 : schéma

d'organisation : les articulations entre les différents acteurs intervenant dans le dispositif de maîtrise des risques

à mettre en place pour répondre aux exigences de la directive Solvabilité 2), tout en répondant aux nombreuses

exigences que nous avons évoquées dans ce mémoire. Pour cela, elles font très souvent appel à des cabinets

de conseil.

Ainsi, on peut résumer les étapes-clés de l'intervention de ces cabinets, visant notamment à établir un diagnostic

du dispositif existant (identification des écarts entre l'organisation existante et l'organisation cible) et à proposer

des améliorations pour être en conformité avec la directive, de la façon suivante :



1/ Identification des risques ; analyser la capacité du dispositif à recenser de manière précoce l'exhaustivité des

risques et à les mettre à jour sur une base régulière, et évaluer la qualité du reporting effectué.

2/ Mesure de l'exposition aux risques ; valider le choix des variables retenues pour le calcul de l'exposition aux

risques quantifiables et pour l'évaluation du degré de criticité des risques non quantifiables.

3/ Gestion des risques ; recenser l'ensemble des stratégies et des procédures de gestion des risques mises en

œuvre et examiner l'adéquation de l'exposition résiduelle qui en découle au niveau du risque résiduel défini par

le Conseil.

4/ Conception et mise en œuvre ; définir les axes d'amélioration du dispositif en fonction des constats du

diagnostic et les décliner en plans d'action (compléter les procédures d'identification des risques en créant une

base incidents, documenter l'ensemble des stratégies de gestion des risques, etc.).

Comme me l'a indiqué un Directeur rencontré, Solvabilité 2 est donc une aubaine pour les cabinets de conseil

puisqu'elle est génératrice de nouveaux contrats et de nouvelles missions pour eux. On trouve d'ailleurs, sur les

sites internet des cabinets de conseil, de nombreuses brochures détaillant le contenu de leurs offres concernant

Solvabilité 2 : diagnostics de conformité afin d'évaluer la capacité de l'organisation à répondre aux exigences de

la directive et d'identifier les actions nécessaires en vue d'être en conformité (plans d'action), mise en place ou

amélioration de la Gestion des Risques, du Contrôle Interne et de l'Audit Interne, accompagnement dans la mise

en conformité avec les exigences réglementaires comme Solvabilité 2 en mode gestion de projet, réalisation de

procédures formalisées et conformes à la directive Solvabilité 2 etc. Le cabinet PricewaterhouseCoopers a

même publié un « livre blanc » consacré aux enjeux de Solvabilité 2, preuve de l'intérêt que les cabinets

accordent à la directive, ainsi qu'une brochure présentant leur offre à destination des « acteurs intermédiaires »

qui « ne disposent que d’un budget réduit pour mettre en place une gouvernance des risques adaptée, calculer

leur SCR avec la formule standard, avoir une documentation complète et des données fiables, mais aussi pour

respecter les nouvelles obligations réglementaires de reporting ».

En effet, les grandes sociétés d’assurance telles que AXA ou Allianz disposent de pôles de compétence et de

moyens importants (et font partie du lobbying qui a fait appliquer Solvabilité 2), et peuvent donc prendre en

charge la mise en place de Solvabilité 2 de façon indépendante, en interne.

Cependant, le recours quasi-systématique aux cabinets de conseil peut s'expliquer par le fait que les groupes de

taille plus modeste (petites assurances, mutuelles, et Institutions de Prévoyance), même s'ils disposent bien sûr

de compétences en interne (qu’il va falloir former), ne disposent pas des moyens financiers qui leur

permettraient de recruter en nombre important les profils concernés, tels que des comptables, actuaires,

informaticiens etc. Il est donc plus avantageux pour eux de faire appel ponctuellement à des cabinets de conseil



qui vont commencer par faire un état des lieux pour déterminer quels changements doivent être faits afin d'être

en conformité avec la directive, puis qui vont ensuite aider l’entreprise à mettre en place ces changements. Les

cabinets de conseil sont donc souvent sollicités pour émettre un diagnostic sur la situation de l'entreprise car ils

peuvent donner un avis objectif et extérieur, et disposent de spécialistes qui ont une bonne connaissance des

lois au niveau européen. Concernant Solvabilité 2, le diagnostic consiste en une évaluation de la capacité de

l'organisation à répondre aux exigences de Solvabilité 2, à une évaluation des actions nécessaires en vue de se

conformer à Solvabilité 2 (analyse des écarts entre situation actuelle et situation cible, estimation des coûts

d'implémentation du projet Solvabilité 2), et en un développement de plans d'action adaptés à l'organisation.

L'un des Directeurs de l'Audit Interne que j'ai rencontrés m'a expliqué que son entreprise a fait appel au cabinet

KPMG afin d'effectuer un état des lieux indiquant ce qu’il fallait mettre en place afin d'être en conformité avec la

directive. Ce diagnostic a permis de démontrer où en était l'entreprise dans la mise en place du projet Solvabilité

2, et ce qu’il restait à accomplir. KPMG a fait un compte-rendu sur cet état des lieux.

Puis, par la suite, des chefs de projets internes ont mis en place les indications de KPMG (qui a pu réaliser cette

mission de conseil car ce cabinet n’est pas Commissaire aux Comptes de l'entreprise concernée). Les

changements d'organisation sont jugés au fur et à mesure par KPMG. Pour cette entreprise, la collaboration

avec KPMG a une durée de trois ans : elle a commencé en 2009 et devrait se terminer en 2012. KPMG a

apporté une aide sur les aspects techniques de Solvabilité 2, et donc sur les 3 piliers de la Directive, même si

l'entreprise va également recruter des comptables, des actuaires (Pilier 1) ainsi que des spécialistes du Contrôle

Interne afin de renforcer le Contrôle Interne et le Management des Risques (Pilier 2).

Ce cabinet a surtout eu un rôle d'« arbitre » pour l'entreprise, et a aidé à mettre en place les exigences de

Solvabilité 2. Par exemple, le cabinet a aidé à appliquer le principe de proportionnalité évoqué dans Solvabilité

2, qui indique qu'il faut déployer des efforts proportionnels aux risques que l'entreprise porte. Pour des activités

complexes, « sophistiquées », il faut être en mesure de maîtriser les risques, tandis que les petites entreprises

devraient être soumises à des exigences plus modestes. Ce principe est difficile à appliquer : pour l'instant,

chacun l'interprète à sa façon, d'après l'un de mes interlocuteurs. En effet, ce principe de proportionnalité n’étant

pour l'instant pas défini de manière opérationnelle, et n’étant probablement pas destiné à l’être plus dans les

mesures de niveau 3, son application fait largement appel à l’appréciation de l’entreprise. Il reste donc à mettre

en application cette partie de la directive, qui pour l’instant est le « parent pauvre » des textes. Les petites et

moyennes sociétés ne savent donc toujours pas comment les simplifications induites par ce principe de

proportionnalité leur seront appliquées. Une aide d'un cabinet est donc la bienvenue.

De plus, au sein de cette entreprise, les grand projets stratégiques aussi complexes que Solvabilité 2 sont traités

par le pôle Organisation, qui regroupe tous les chefs de projet. Cela concerne des projets transverses à

plusieurs directions, ainsi que des projets stratégiques comme Solvabilité 2. Ces projets sont « découpés », puis



des responsables sont nommés pour chaque « tranche ». Ainsi, pour le projet Solvabilité 2, les sous-projets

concernent la gouvernance et les piliers 1, 2 et 3. Chaque pilier est dirigé par un responsable, et concerne bien

sûr plusieurs services différents. Le sous-projet consacré au pilier 2 est composé des sujets suivants :

-Audit Interne,

-Contrôle Interne,

-Conformité,

-Gestion des risques,

-Cartographies des risques,

-ORSA,

-PCA,

-Sous-traitance,

-Base Incidents.

Le Département Organisation accompagne la mise en place de ces chantiers, puis KPMG « arbitre » car,

d'après mon interlocuteur, il est plus pertinent que certaines choses soient dites par un intervenant extérieur à

l'entreprise. Concernant la gestion du projet Solvabilité 2 au sein de cette entreprise, les projets de gouvernance

ont été menés en premier, puis les projets informatiques ont suivi (ils sont toujours en cours), malgré un

problème de ressources. En effet, l'équipe « Projet Solvabilité 2 » en interne est constituée de seulement trois

personnes, qui ne travaillent pas à temps plein sur ce sujet. Ceci était suffisant dans la phase de lancement du

projet, mais cela va être difficile dans la phase de mise en œuvre. Le problème est toujours le même : les

changements provoqués par la directive ont un coût élevé, qui n'est pas facile à prendre en charge pour les

entreprises de taille moyenne et les petits groupes. Le coût de Solvabilité 2 pour l'entreprise est donc constitué

d'un coût interne (développements informatiques nécessaires, charge de travail importante etc.) et d'un coût

externe (paiement de la prestation du cabinet de conseil).

Ainsi, pour cette entreprise, le chef de projet, KPMG, est externe pour une question de compétence, tandis

qu'une équipe dirigée par un chef de projet est également consacrée au projet Solvabilité 2 en interne. Ses

missions principales sont les suivantes : fixer un planning de mise en conformité avec Solvabilité 2, définir les

personnes qui vont intervenir, et respecter la méthodologie de gestion de projet de l'entreprise. Le chef de projet

est également garant du respect du budget. Enfin, un Comité de Pilotage est formé et se réunit environ une fois

par mois (le premier Comité de Pilotage a eu lieu en juin 2010) afin de faire le point sur l'état d'avancement du

projet Solvabilité 2. Il réunit tous les Directeurs concernés par le projet (voir annexe 15).

De même, un autre Directeur m'a expliqué que fin 2010-début 2011, son entreprise, aidée par un cabinet

externe, a réalisé un diagnostic afin de constater où en était l'entreprise par rapport aux exigences de Solvabilité

2, et les actions restantes à accomplir afin de se mettre en conformité avec la directive. Ce cabinet, en plus de la

réalisation du diagnostic, va également aider à piloter le projet. Par la suite, l'entreprise gérera le projet sans



aide extérieure afin de se l’approprier. Ainsi, un Comité de Pilotage est déjà en place, et est composé d’une

dizaine de membres : chacun représente une Direction du groupe, ou bien une activité concernée par Solvabilité

2, telles que la Direction Financière et Technique, la Direction Juridique, la Direction de l’Audit Interne et le

Responsable du Contrôle Interne (qui fait pour l’instant partie de l’Audit Interne), la MOA (volet informatique), la

Direction du Développement, la Direction de la Gestion (notamment service délégataire de gestion), et l’activité

Mutuelle.

Ce recours a un cabinet de conseil semble donc être une pratique généralisée, puisque tous les responsables

que j'ai rencontrés ont évoqué le recours à un cabinet comme une étape importante, voire quasiment obligatoire,

dans leur démarche de mise en conformité. D'autant plus que Solvabilité 2 est une réforme « indicative » basée

sur des principes plutôt que sur des règles claires et précises, ce qui rend le recours à un cabinet de conseil

encore plus évident pour les entreprises, qui ont besoin d'un diagnostic fiable puis d'une aide en termes de

gestion de projet, notamment en ce qui concerne les exigences qualitatives du pilier 2. Solvabilité 2 et les

nouveautés entraînées par l'application de la directive sont donc génératrices de « business » pour les cabinets

de conseil. Seuls les très grands groupes, qui disposent déjà de compétences en interne et peuvent se

permettre d'assigner de nombreux salariés à temps plein sur le projet Solvabilité 2 peuvent se passer de l'aide

d'un cabinet.

La majorité des autres entreprises fait appel à une aide ponctuelle d'un cabinet externe, même si cela a un coût

pour elles. Cela explique notamment le fait que les sites internet des cabinets de conseil visent particulièrement

ces entreprises, comme le montre cette phrase venant du site de PricewaterhouseCoopers : « à quelques mois

de la mise en œuvre de Solvabilité 2, les acteurs intermédiaires d'assurance doivent se mettre en conformité

avec la directive qui prendra effet au 1er janvier 2013. Cependant, à l'instar des grands acteurs, ils ne disposent

que d'un budget réduit pour mettre en place par exemple une gouvernance des risques adaptée ». Toutes les

entreprises ne sont donc pas à armes égales devant la complexité et l'ampleur du projet Solvabilité 2, et la mise

en conformité avec la directive représente donc une grande opportunité pour les cabinets de conseil.

➢ 2/ Différences d'appréhension de Solvabilité 2 entre petits et grands groupes

Il apparaît assez clairement que Solvabilité 2 provoque des changements majeurs pour les petites et moyennes

assurances, les Institutions de Prévoyance et les mutuelles principalement, et peut être mis en œuvre bien plus

facilement par les grands groupes. La complexité du système et la lourdeur de sa mise en place expliquent que

les exigences de la directive soient plus difficiles à mettre en place pour les petites entreprises. Par exemple, en

ce qui concerne le pilier 1, nous avons vu que les entreprises peuvent choisir d'adopter un mode de calcul du

SCR basé sur une formule standard ou sur un modèle interne. Or, d'après de nombreux professionnels, ce

modèle ne pourra être adopté que par les grandes entreprises car elles seules disposent des moyens financiers

et humains suffisants pour le mettre en place. Dès lors, les avantages découlant de l'application d'un modèle



interne (fonds propres moins élevés notamment) ne bénéficieraient qu'aux entreprises les plus importantes,

laissant de côté les plus petites entités. En ce qui concerne le pilier 2, nous avons constaté que ses exigences

n'entraînent pas de changements importants au sein des grands groupes (qui sont d’ores-et-déjà avancés en ce

qui concerne la gestion des risques) alors qu'elles provoquent quasiment une révolution au sein des petites

entreprises en ce qui concerne tout leur dispositif de maîtrise des risques.

Ainsi, au cours d'une conférence consacrée à Solvabilité 2 à laquelle j'ai assisté, le Responsable des Systèmes

d'Information d'une grande assurance (Generali Assurances) a expliqué que pour son entreprise, Solvabilité 2

ne représente pas un changement énorme car cette directive se situe dans la continuité de leur système de

gestion des risques et constitue surtout une mise en conformité réglementaire (tout comme Solvabilité 1 et

Sarbanes-Oxley).

D'après lui, le but de cette directive est d’associer vision réglementaire et opérationnelle, car la maîtrise des

risques vient concrètement d'une bonne connaissance des données : Solvabilité 2 doit donc aider à être plus

efficace au niveau opérationnel en permettant une meilleure maîtrise des données et des risques. Son

entreprise a donc défini deux secteurs (vie et non vie) puis a listé les données et les risques correspondants.

Cette démarche n'a d'après lui pas eu d’impact sur leurs gestionnaires : leur contribution a simplement été de

rendre disponibles ces données (enrichissement des systèmes actuels, des procédures de gestion des risques

etc.) par construction en parallèle.

Au niveau de la gouvernance, il a fallu déterminer les responsables de ces données, les modalités de mises à

jour, etc. : la gouvernance fait un suivi régulier de l’avancement des travaux. Un Comité de Suivi Solvabilité 2 a

été créé, et se réunit une fois par mois. Il existe également une délégation auprès des opérationnels.

L'enjeu majeur pour cette entreprise est donc d'articuler Solvabilité 2 avec tous les autres projets en cours, et de

réaliser des arbitrages. En effet, la planification est réalisée, mais l’adaptation du planning est semestrielle. Le

but est d'« accrocher » Solvabilité 2 à l’opérationnel en définissant les produits et en enregistrant les données

dans le système. L'enjeu pour l’après 2012 est donc d'intégrer Solvabilité 2 dans le quotidien de l’entreprise, tout

comme Solvabilité 1 est entré dans le quotidien (au niveau du reporting réglementaire surtout).

Pour cette entreprise, Solvabilité 2 représente 40 ETP (salariés) sur 3 ans au niveau des Systèmes

d'Information : à ce chiffre doivent s’ajouter les recrutements effectués dans d’autres secteurs (Actuariat,

Contrôle Interne, Audit Interne principalement). On constate donc que Solvabilité 2 est une des priorités de

l’entreprise, mais surtout que celle-ci dispose d'un budget élevé et des compétences nécessaires lui permettant

de mettre en œuvre les exigences de la directive sans que cela ne bouleverse son activité.



De plus, le Responsable Solvabilité 2 du Groupe AXA a expliqué au cours de cette même conférence que la

problématique actuelle pour son entreprise concerne l'approbation de son modèle interne par les autorités de

contrôle (l’ACP et ses homologues européens), ce qui s’avère complexe car AXA dispose de nombreuses filiales

dans le monde. On constate néanmoins que cette entreprise dispose des moyens nécessaires à la mise en

œuvre d'un modèle interne.

Afin de répondre aux exigences de Solvabilité 2, cette entreprise s'est organisée de la façon suivante : une

équipe projet centrale constituée d'une dizaine de personnes s’occupe de la vision globale, à temps plein, tandis

qu'un responsable de projet est présent dans chaque pays, avec une équipe à dimension variable. Il y a 5 ans,

bien avant la phase finale du projet Solvabilité 2, plus de cent personnes travaillaient déjà à la mise en place de

Solvabilité 2 au sein de cette entreprise, s'occupant notamment de la modélisation des risques et de la

construction d'un modèle interne (pilier 1). Les autres grands groupes d'assurances ont adopté des démarches

similaires. Cela s'explique également par le fait que cette entreprise souhaite faire partie de la première vague

de groupes qui verra son modèle interne validé par les autorités de contrôle.

Ainsi, en 2001, la Direction Financière du groupe a commencé à développer un modèle pour gérer la

consommation du capital. Ceci constituait les prémices de la création d’une fonction Risk Management. Cela

s'explique notamment par les événements ayant eu lieu cette année-là (attentats du World Trade Center, faillite

d’Enron, etc.). La Direction Générale s’est rendu compte à cette occasion qu'il lui était difficile de disposer d'une

vision globale des risques. Ainsi, une véritable fonction Gestion des Risques a été créée, afin de disposer de

tableaux de bord pertinents et de créer un modèle interne (outil de mesure de l’exposition au risque, vue sur les

fonds propres, etc.). Cela a véritablement été mis en place à partir de 2003/2004.

Pour ce groupe, Solvabilité 2 change donc vraiment la maîtrise des risques car Solvabilité 1 n'était qu'une

contrainte administrative et adoptait une approche statique : elle ne constituait pas un critère de gestion ou de

prise de décision métier, contrairement à Solvabilité 2, d’après ce responsable. En effet, afin de respecter les

exigences de Solvabilité 2, pour chaque produit, chaque décision stratégique et chaque décision

d’investissement, il faut déterminer le montant qui va être « consommé » en termes de fonds propres

économiques et réglementaires, ce qui change complètement la prise de décision.

De plus, la directive va constituer un changement pour la fonction Gestion des Risques de cette entreprise, qui

va apporter une contribution beaucoup plus significative dans les Comités de Direction et dans la prise de

décision de manière générale, ce qui va se traduire par une contribution formelle, du moins au début (processus,

revues de processus, comptes-rendus etc.). Cependant, par la suite, le Risk Management devrait intervenir de

façon plus fluide dans les décisions.



Enfin, au sein d'une autre grande société d'assurance, Allianz, les travaux de mise en conformité avec la

directive ont commencé en 2007, et sont terminés aujourd'hui. A l'heure actuelle, cette entreprise cherche plutôt

à optimiser les changements effectués en vue de la directive, afin de disposer des fonds propres les plus bas

possibles, tout en respectant les exigences de Solvabilité 2.

On constate donc que la démarche Solvabilité 2 est plus ou moins difficile à mettre en œuvre selon les acteurs.

Les grands groupes disposent de moyens humains et financiers élevés, et se préparent au changement depuis

plusieurs années, alors que les autres s'y sont pris (ou vont s'y prendre) bien plus tard, tout en disposant de

moyens bien moins élevés. On peut donc résumer la situation de la façon suivante :

-Les grands groupes comme AXA sont déjà quasiment prêts aujourd’hui, même si certaines adaptations restent

à effectuer. Ils ont en majorité mis en place un pilotage « par pilier » pour assurer le suivi des travaux liés à

Solvabilité 2, alors que les plus petits groupes ont adopté le pilotage par un projet global (dans ce cas, les

directions concernées sont la direction de l’Audit Interne, la direction du Contrôle Interne ou la direction

financière). Le seul risque pour les grands groupes concerne la démultiplication des chantiers menés en

parallèle, qui peut être difficile à coordonner et piloter, avec un risque de perte d’efficacité et un manque de

visibilité.

-Les Groupes de Protection Sociale et les assurances de taille moyenne pourront se mettre en conformité avec

Solvabilité 2, mais il leur faut encore du temps. Ils sont par exemple encore nombreux à disposer d'un seul

service, qui s’occupe de l’Audit Interne, du Contrôle Interne et de la Qualité. Or Solvabilité 2 exige implicitement

qu’une scission de ces activités soit réalisée, puisqu’elle indique que la fonction Audit Interne doit être

indépendante. De plus, toutes les autres exigences du pilier 2 et du pilier 1 entraînent des changements

importants pour ces groupes. Ainsi, Solvabilité 2 va provoquer un impact fort sur leurs activités, alors qu'ils ont

des ressources humaines et financières inférieures à celles des grands groupes.

-Les petites mutuelles, assurances et Institutions de Prévoyance, pour la plupart, n’ont pas de réelles fonctions

Audit Interne et Contrôle Interne. La mise en conformité avec le pilier 2 de Solvabilité 2 va donc être très

contraignante. D’autant plus que certaines petites mutuelles n'ont pas encore commencé le chantier de mise en

conformité (par manque de moyens principalement) et sont donc dans une situation délicate, même si ce

chantier sera beaucoup plus rapide à mettre en place que pour les grands groupes. On peut donc dire qu'à

l'heure actuelle, les petites mutuelles sont en retard par rapport aux grands groupes. Par exemple, j'ai contacté

en mars 2011 le Directeur de l'Audit Interne d'une petite Institution de Prévoyance qui m'a répondu que le sujet

Solvabilité 2 n'avait pas encore été traité au sein de son entreprise. Pour certaines mutuelles, Solvabilité 2

constitue donc une véritable révolution culturelle car elles vont devoir se mettre à l'unisson des grandes

entreprises et se familiariser avec des notions quasiment inconnues jusqu'ici comme la gouvernance, la gestion

des risques, le Contrôle Interne, et l'Audit Interne, qui étaient jusqu'à aujourd'hui réservées aux grands groupes.



Les mutuelles vont donc devoir mettre en place et optimiser leur gestion des risques et leur dispositif de

Contrôle Interne, voire repenser totalement leur gouvernance des risques. Les chantiers de mise en conformité

avec les exigences de la directive vont donc s'avérer longs et coûteux pour ces entreprises.

D'autant qu'il faut préciser que d'autres lois étaient déjà exigeantes envers les petites mutuelles, notamment en

ce qui concerne la lutte antiblanchiment, à mettre en place au sein des banques, assurances, Institutions de

Prévoyance et mutuelles. On en demande donc beaucoup aux petites entreprises (notamment les mutuelles),

pour qui ces exigences sont très contraignantes à mettre en place.

Ainsi, Solvabilité 2 avantage les grands assureurs car ils disposent d’un savoir-faire et des forces vives

nécessaires pour se mettre en conformité avec Solvabilité 2. Ils ont aussi une culture du risque développée, et

sont côtés en bourse : ils sont donc habitués à traiter ces questions. Ainsi, de nombreux concepts évoqués dans

Solvabilité 2 sont d’ores-et-déjà appliqués au sein de ces groupes.

Tous les autres (notamment les groupes de taille moyenne) se feront aider par des prestataires externes, et

auront besoin de plus de temps pour être en conformité avec Solvabilité 2. Le problème qui se pose lorsqu'une

entreprise est assistée par un intervenant externe concerne le transfert de savoir-faire : à partir de quel moment

l'entreprise devient autonome et n'a plus besoin de l'aide d'un cabinet de conseil pour être en conformité avec

Solvabilité 2 ? Cependant, ce recours aux cabinets de conseil est logique car ils apportent une aide bienvenue.

Solvabilité 2 pose donc problème aux petites assurances. L’un de mes interlocuteurs pense même qu'elles sont

condamnées, et que Solvabilité 2 est fait pour. En effet, si l’on veut améliorer la sécurité des assurés, il ne faut

pas qu'ils soient couverts par des petites assurances. La directive Solvabilité 2 le précise : « le principal objectif

de la réglementation et du contrôle en matière d'assurance est de garantir la protection adéquate des preneurs

et des bénéficiaires. Le terme "bénéficiaire" entend désigner toute personne physique ou morale titulaire d'un

droit en vertu d'un contrat d'assurance. D'autres objectifs tels que la stabilité financière ou la stabilité et l'équité

des marchés devraient être également pris en compte, sans détourner cependant du principal objectif ».

Ainsi, les exigences de Solvabilité 2 en termes de fonds propres ne permettent pas à certaines structures de

continuer à exister lorsque leurs fonds propres ne sont pas assez élevés, d’autant plus lorsque l'activité

concerne des contrats risqués (puisque dans ce cas, Solvabilité 2 exige des fonds propres encore plus élevés).

Pour ces structures, il faudra soit augmenter le niveau de fonds propres, soit cesser l'activité.

De plus, afin de préparer les mesures d’application de la directive, qui s’étaleront jusqu’à fin 2011, la

Commission Européenne a confié à l’Autorité Européenne de Contrôle de l’Assurance (EIOPA) le soin de

réaliser des études d’impact, ou QIS, auprès des organismes d’assurance volontaires : d'après le QIS 5, 4,6 %

d'entreprises ne passent pas le cap de Solvabilité 2. Elles vont donc devoir soit chercher de nouveaux

actionnaires (sociétés capitalistiques) soit se rapprocher pour survivre (par le biais de fusions ou d’absorptions



par exemple). On a cependant constaté avec le QIS 5 que les entreprises françaises s'en sortent mieux que

prévu au niveau financier.

A noter, les très petites assurances sont exclues de Solvabilité 2, comme l'indique la directive : « de très petites

entreprises d'assurance sont, sous certaines conditions, notamment un encaissement annuel de primes brutes

inférieur à 5.000.000 d'euros, exclues du champ d'application de la présente directive. Toutefois, toutes les

entreprises d'assurance ou de réassurance qui sont déjà agréées au titre des directives actuelles devraient

continuer de l'être quand la présente directive sera mise en œuvre. Les entreprises qui sont exclues du champ

d'application de la présente directive devraient avoir la possibilité d'user des libertés fondamentales garanties

par le traité. Elles ont le choix de solliciter l'agrément au titre de la présente directive, afin de tirer avantage de

l'agrément unique qu'elle prévoit ».

Pour résumer la situation, on peut évoquer une étude réalisée en 2010 (voir annexe 16 : extrait d'une étude

réalisée en 2010 par Optimind) sur l’avancement des projets Solvabilité 2, qui a indiqué un rapport de 1 à 1000

sur les budgets estimés, des écarts liés à la diversité de taille des acteurs consultés, et une diversité

d’appréhension des enjeux et des difficultés de Solvabilité 2. On constate donc les importantes différences

d'appréhension du projet qui existent entre ces entreprises ; ces différences dépendent bien sûr du budget et

des ressources propres à chaque entreprise, et entraînent logiquement des facilités à mettre en place les

exigences de la directive pour les grandes entreprises, qui disposent des budgets les plus élevés et des

ressources humaines appropriées. d

➢ 3/ Inégalités entre assurances et Institutions de Prévoyance/mutuelles?

Les acteurs « intermédiaires » que sont les Institutions de Prévoyance (intermédiaires car situées entre les

grandes assurances et les mutuelles, en termes d'activités et de moyens) ont commencé leur programme de

mise en conformité avec Solvabilité 2 il y a 18 mois en moyenne (les mutuelles ont suivi il y a peu).

De manière générale, en ce qui concerne Solvabilité 2, ces Institutions de Prévoyance font face aux

changements et difficultés suivants :

-De nombreux regroupements sont en cours, phénomène accentué par Solvabilité 2 et ses exigences élevées

en termes de fonds propres,

-Le calendrier réglementaire est riche (Solvabilité 2, mais aussi fiscalité, réforme des retraites, santé),

-La gouvernance est plus longue à se mettre en place (en raison de la structure paritaire de ces groupes

notamment),

-Il est nécessaire de réaliser des arbitrages sévères entre la réglementation et le développement commercial,

-Il faut appliquer et déployer le principe de proportionnalité (voir l'article 3 bis de la directive : « La Commission

veille à ce que les mesures d'exécution prennent en compte le principe de proportionnalité, garantissant ainsi



l'application proportionnée de la présente directive, en particulier aux très petites entreprises d'assurance » et

l'article 14 bis : « Le nouveau régime de solvabilité ne devrait pas représenter une charge trop lourde pour les

entreprises d'assurance de petite et de moyenne taille. Cet objectif passe notamment par le respect du principe

de proportionnalité. Ledit principe devrait s'appliquer en ce qui concerne tant les exigences à l'égard des

entreprises d'assurance et de réassurance, que l'exercice des pouvoirs de contrôle »).

Les priorités actuelles de ces groupes sont donc globalement les suivantes :

-Se mettre à niveau en termes de Risk Management, Contrôle Interne et Audit Interne,

-Se mettre à niveau en termes de Systèmes d’information,

-Effectuer une revue complète des portefeuilles d’actifs,

-Donner une vision agrégée et prospective des risques aux décisionnaires,

-« Industrialiser » les processus de reporting (puisque la directive doit s’accompagner d’une augmentation des

informations mises à disposition des dirigeants),

-Mobiliser les différentes instances qui pilotent l'entreprise (puisque la directive exige une plus grande implication

des organes dirigeants),

-Mobiliser globalement plus de fonds propres, ce qui passera soit par des levées de fonds supplémentaires

auprès des sociétaires ou adhérents, soit par des regroupements, soit encore par un plus fort recours à la

réassurance,

-Et enfin, traiter simultanément les trois piliers de la directive.

Pour répondre à ces priorités, de nombreuses actions sont mises en place :

-Nommer un chef du projet Solvabilité 2 et des équipes dédiées,

-Identifier les chantiers et leurs priorités,

-Développer les indicateurs de suivi d’avancement pour chaque chantier,

-Structurer la politique de Risk Management et de Contrôle Interne,

-Mettre en place une méthodologie à partager par tous, y compris le Conseil d’Administration et la Direction

Générale,

-Impliquer toutes les directions métiers : développer la culture de la gestion du risque,

-Développer la communication interne sur le projet et ses enjeux,

-Améliorer la communication vers les autorités de contrôle.

Au sein des grandes sociétés d’assurance, le projet Solvabilité 2 est globalement bien plus mature, avec un

pilotage du programme Solvabilité 2 par le groupe, malgré l’existence de sujets pouvant amener des difficultés :

-Validation du modèle interne Groupe,

-Harmonisation du modèle ORSA Groupe,

-Modèle de gouvernance des risques pas totalement finalisé,

-Augmentation des contraintes liées au reporting.



Les priorités de ces groupes sont les suivantes, à l’heure actuelle :

-Gestion des données (les trois piliers sont concernés),

-Constitution des équipes en termes de ressources et de compétences (les trois piliers sont concernés),

-Développement du modèle interne (pilier 1),

-ORSA, gouvernance des risques et Contrôle Interne (pilier 2),

-Communication financière et reporting (pilier 3).

On constate donc que, par manque de temps et de moyens, les Institutions de Prévoyance et les mutuelles ont

commencé leur travail de mise en conformité plus tardivement que les assurances : de nombreux chantiers

importants sont donc toujours en cours aujourd’hui. D’importants efforts ont été accomplis ces dernières années

pour renforcer les règles de gouvernance, le Contrôle Interne et la maîtrise des risques au sein de ces

entreprises, mais il est clair que les Institutions de Prévoyance et les mutuelles sont moins avancées que les

assurances dans le processus de mise en conformité avec la directive, en raison de leur relative inexpérience

dans le domaine de la gestion des risques et d'un manque de ressources humaines et financières.

De plus, les spécificités du secteur de la protection sociale sont à prendre en compte et expliquent ce décalage :

-le coût relatif de la mise en œuvre est plus élevé que pour les sociétés cotées (Contrôle Interne, reporting

public étendu à mettre en place),

-les fusions devenues nécessaires pour les petites entités incapables de mettre leurs fonds propres à niveau

pourraient malgré tout, générer des coûts très importants,

-la sensibilisation des instances gouvernantes des entreprises de l’économie sociale est plus difficile, du fait de

la vision très économique de l’activité,

-globalement, le « saut culturel » pour les Institutions de Prévoyance et les mutuelles est plus important que

pour les sociétés d'assurance, car ces dernières sont souvent plus avancées en ce qui concerne la gestion des

risques et le Contrôle Interne de manière générale.

Cependant, peu importe l'entreprise, pour que la mise en conformité avec Solvabilité 2 se déroule correctement,

des facteurs classiques entrent en jeu (ressources et compétences, moyens financiers et organisationnels,

gestion de projet, etc.), mais pas seulement. Il faut aussi :

-prendre des décisions adaptées : il faut commencer par identifier les grands écarts entre l'organisation existante

et l'organisation cible dictée par la réforme et adaptée à l'entreprise, mettre en œuvre les changements de

manière progressive, mutualiser les moyens informatiques pour les calculs du MCR et du SCR, consolider les

référentiels, et surtout déterminer une solution qui couvre l’ensemble du périmètre des trois piliers tout en

déterminant une véritable politique de gestion des risques ainsi qu'une politique de Contrôle Interne (voir annexe

17 : la gestion du projet Solvabilité 2).



-mettre en œuvre une démarche structurée : par exemple, mettre en place des bases de données centrales,

élaborer des outils spécifiques et un reporting harmonisé et centralisé.

-les ressources humaines adéquates : des compétences expertes et transverses sont nécessaires (métiers,

organisationnel et Systèmes d'Information notamment), ainsi qu’une méthodologie claire et partagée par tous.

Les compétences les plus mises en avant par la directive sont la Comptabilité, l'Actuariat, le Contrôle Interne et

la Gestion des Risques. D'autant que tous les services de l'entreprise sont susceptibles d'être sollicités puisque

la directive impose une analyse de toutes les catégories de risques. L'implication du management et des

opérationnels dès le début du projet est donc importante.

-la gouvernance à mettre en place selon le principe de proportionnalité, qui comprend la gestion des risques

(système de gestion des risques efficace, vision globale « ERM », et autres indications de l'article 44), le

Contrôle Interne, l'Audit Interne, les organes de direction et un système de gouvernance efficace, les Comités

spécialisés (Comité des Risques, Comité d'Audit, Comité des Rémunérations etc), et la fonction actuarielle, et

qui devra gérer le projet et le faire évoluer.

De même, en termes de gouvernance de projet, il est important que le Comité de Pilotage du projet Solvabilité 2

intègre un représentant de toutes les Directions, qui soit à la fois en mesure d’appréhender les impacts du projet

pour son activité, mais également capable de valoriser et de piloter la contribution des ressources de sa

Direction au projet Solvabilité 2. Ces Comités de Pilotage composés de représentants de toutes les Directions

concernées par la directive ont été mis en place dans les entreprises que j'ai rencontrées.

-centraliser au plus haut niveau de gouvernance des groupes l’animation de la mise en place de Solvabilité 2, ce

qui est le cas dans les entreprises de mes interlocuteurs. Les dirigeants doivent définir une vision globale de la

gestion des risques, fixer des échéances et donner les moyens à leurs équipes. Il y a également une nécessité

de mettre en place des entités spécialisées (pilotage, équipe et moyen) sur les chantiers majeurs.

-mettre en place une véritable conduite du changement. Par exemple, au sein de l'entreprise de l'un de mes

interlocuteurs, il a fallu du temps pour faire accepter certains changements (arrêtés trimestriels, etc.), mais ils

ont fini par être acceptés. Il ne reste donc plus qu'à agir, ce qui peut également entraîner des difficultés.

De même, le Responsable du Contrôle Interne au sein de cette entreprise ne souhaite pas prendre en charge la

fonction Conformité car il estime que cela n'est pas à lui de le faire (alors que la directive indique que cette

fonction doit faire partie du dispositif de Contrôle Interne). Idem pour le contrôle des délégataires. Il est donc

évident que des difficultés humaines sont à prendre en compte lors de la mise en place des exigences de

Solvabilité 2.

C'est pour cette raison qu'un « plan d'accompagnement du changement » a été mis en place au sein de

l'entreprise de l'un de mes interlocuteurs, visant à impliquer, responsabiliser, former voire même assister les



acteurs des Directions concernées par Solvabilité 2 ainsi que les administrateurs (par le biais de réunions et de

formations principalement).

-mettre en place une équipe interne dédiée au projet Solvabilité 2. Cependant, une mobilisation complète de

l'entreprise, ainsi qu’une implication de la Direction Générale et des opérationnels sont également nécessaires,

car Solvabilité 2 entraîne une révision globale des process et des moyens de l'ensemble de l'organisation.

Éventuellement, comme nous l'avons vu, il peut être nécessaire de faire appel à des acteurs externes capables

de fournir des compétences expérimentées.

-proportionner les budgets et répartir le travail dans le temps et dans les structures, et utiliser au mieux les

projets existants et le calendrier de la réforme. En effet, la mise en conformité avec la directive demande un

budget important. Le coût de Solvabilité 2 est élevé en termes d’énergie et en termes financiers (temps de travail

des salariés mais aussi des consultants externes à l'entreprise). Ainsi, le coût (interne et externe) de Solvabilité

2 pour l'une des entreprises que j'ai rencontrées est d'environ 10 millions d'euros de budget total. Ce budget a

été réajusté au fur et à mesure de l'avancement des sous-projets, et le coût du projet a été mis en cohérence

avec les demandes budgétaires réalisées par les directions. Un second Directeur rencontré m'a confié que

Solvabilité 2 représente pour son entreprise un investissement d'environ 1,5 million d'euros par an, entre 2009 et

2012 (soit environ 6 millions d’euros au total). A noter, à la question « Pourriez-vous me donner une estimation

du coût global de Solvabilité 2 pour votre entreprise ? », tous mes autres interlocuteurs ont répondu qu'ils ne

connaissaient pas la réponse à cette question. On peut supposer qu’en réalité, ils ne souhaitaient pas répondre,

mais il est clair que la mise en conformité avec la directive représente un projet coûteux, les moyens mobilisés

étant à la hauteur des enjeux importants de la directive. Ces moyens sont bien sûr extrêmement variables d'une

entreprise à l'autre, en fonction de leur budget, ce qui complexifie la mise en conformité pour les mutuelles et les

Institutions de Prévoyance, qui ne disposent pas des mêmes moyens financiers que les grandes assurances.

Globalement, les coûts de mise en œuvre sont très élevés, puisqu'ils sont estimés entre 2 et 3 milliards d'euros

pour l'ensemble de l'Europe (assureurs et autorités de contrôle), d'après le cabinet Sinequa.

-enfin, collaborer avec les autorités de contrôle : réfléchir, avec le régulateur et avec les instances

représentatives, à la bonne prise en compte des particularités de chaque entreprise. Et il faudra également

définir des reportings pertinents.

➢ 4/ Impacts de Solvabilité 2 sur les autres activités des Groupes de Protection Sociale?

Solvabilité 2 concerne les entreprises d'assurance, mais également les mutuelles et les Groupes de Protection

Sociale. Ces derniers ont une activité « Retraite Complémentaire » ainsi qu’une activité « Assurance de

Personnes » ; seule cette activité « Assurance de Personnes » (prise en charge par leur Institution de

Prévoyance) est concernée par Solvabilité 2. Or, en réalité, la directive pourrait avoir un impact indirect sur



toutes les activités de ces groupes. Les impacts du pilier 2 concernant la maîtrise des risques vont bien sûr

toucher l’entreprise dans son ensemble, mais les dispositions du pilier 1 pourraient également impacter les

autres activités de ces groupes. En effet, mon maître d’apprentissage m'a conseillé de poser la question

suivante au cours de mes entretiens : « Seule la partie Assurance de Personnes de votre groupe est

directement impactée par Solvabilité 2, mais la directive aura-t-elle également une influence sur les autres

activités du groupe ? De plus, la Direction compte-t-elle étendre les bonnes pratiques issues de la mise en

conformité avec Solvabilité 2 au niveau du groupe ? ». J'ai pu obtenir les réponses suivantes :

-L'un de mes interlocuteurs, Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale, m'a expliqué

que la mise en conformité avec Solvabilité 2 n'aura pas une énorme influence sur l'activité Retraite de son

entreprise, mais que la Direction a fait le choix d'inclure cette activité Retraite dans le renforcement de la

maîtrise des risques, même si elle n'est pas concernée par les problématiques liées à la marge de solvabilité.

De plus, l'arrêté des comptes au sein de ce Groupe de Protection Sociale se fait tous les 5 mois, avant d'être

audité par les Commissaires aux Comptes. Or au sein des assurances, les arrêtés des comptes sont

trimestriels, et sont audités par les Commissaires aux Comptes 2 fois par an. Avec Solvabilité 2, les arrêtés des

comptes seront trimestriels pour les assurances, les mutuelles et les Institutions de Prévoyance. Ceci constitue

un changement important car les entreprises ne disposeront pas de toutes les données nécessaires : il faudra

donc effectuer des prévisions, puis les corriger/ajuster par la suite. Ce changement concerne donc les

comptables mais aussi les actuaires, car aujourd'hui les provisions mathématiques sont calculées une fois par

an. Cela va désormais passer à quatre fois par an, ce qui explique en partie la recherche de compétences et de

ressources dans le domaine de l'actuariat.

Or ce Groupe de Protection Sociale n'a pas de comptes trimestriels pour le moment. La question qui va donc se

poser pour ce groupe est donc la suivante : puisque Solvabilité 2 oblige à effectuer des arrêtés des comptes

trimestriels, pourquoi le faire uniquement pour la partie Assurance de Personnes et pas pour la partie Retraite ?

D'après mon interlocuteur, une décision n'a pas encore été prise par la Direction, mais cette question est étudiée

actuellement.

Enfin, ce groupe doit mettre en place la fonction Actif/Passif afin de respecter une des exigences du pilier 1 de la

directive. Une fois que cette fonction sera mise en place pour l'Assurance de Personnes, ces concepts pourront

être utilisés dans la gestion financière de l’activité Retraite.

De même, la Retraite pourra bénéficier du Fast Close, démarche ayant pour but d'accélérer la production des

comptes, qui doit être mis en place pour l'activité Assurance de Personnes. Le Fast Close est un projet qui se

définit comme la capacité d’une entreprise à réaliser rapidement en central une clôture comptable (annuelle,

semestrielle, trimestrielle ou mensuelle), tout en s’inscrivant dans un processus d’amélioration continue de la

qualité des informations comptables et financières produites.



-Un second interlocuteur, également Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale, m'a

indiqué que le développement du dispositif de Contrôle Interne ainsi que le contrôle des délégataires entraînés

par Solvabilité 2 pourraient s’étendre à l'activité Retraite de son entreprise.

En effet, comme nous l'avons vu, Solvabilité 2 impose un renforcement du contrôle des délégataires, car une

des spécificités de l'assurance est la gestion déléguée. Ce contrôle n'est pas du ressort du service d’'Audit

Interne de cette entreprise, mais l’Audit Interne va cependant être amené à s'assurer, au cours d'une mission,

que les équipes contrôlent bien leurs délégataires (« contrôle du contrôle »). Ce contrôle des délégataires va

certainement augmenter également dans d'autres secteurs que celui de l'Assurance de Personnes, pour

certains Groupes de Protection Sociale.

De plus, selon cet interlocuteur, la réglementation au niveau de la Retraite pourrait évoluer suite à Solvabilité 2

car les entreprises n'apprécient pas le fait que leurs concurrents soient plus exigeants ou avancés qu'elles.

En effet, en termes de gouvernance, Solvabilité 2 augmente le niveau d'exigence. On peut penser que l'Agirc-

Arrco s'inspirera de cet exemple pour également faire évoluer la réglementation, au niveau de la Retraite. Par

exemple, les Comités d'Audit ne sont pas obligatoires pour l'activité Retraite aujourd'hui, mais cela sera bientôt

le cas, d'après cet interlocuteur.

La dernière conséquence esquissée de Solvabilité 2 sur les autres domaines de l'entreprise, selon lui, concerne

également les arrêtés des comptes. Solvabilité 2 demande de calculer la solvabilité (par le biais du SCR) tous

les trimestres. Les fonctions actuarielle et comptable des Institutions de Prévoyance et des mutuelles vont donc

être contraintes d'adapter leurs modèles de calcul car pour les sociétés d'assurance, les arrêtés des comptes

sont trimestriels, alors que pour les Institutions de Prévoyance et les mutuelles, ils sont annuels. Or, avec

Solvabilité 2, ces arrêtés vont devenir trimestriels pour toutes les entreprises, entraînant donc un changement

pour les comptables et les actuaires.

-Un troisième Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale m'a indiqué que si les

membres de l'entreprise prennent la peine d’effectuer tous ces changements, autant les mettre en œuvre « une

bonne fois pour toutes », car si l’on ne change pas l’organisation générale, la mise en œuvre des changements

provoqués par Solvabilité 2 ne sera que plus difficile. De plus, aujourd’hui, des évolutions importantes impactent

l’activité Retraite, notamment la mise en œuvre de l’ « Usine Retraite » et le projet « Désimbrication ». Ainsi, le

développement du dispositif de Contrôle Interne et le contrôle des délégataires pourraient s’étendre à l’activité

Retraite, mais ceci reste une éventualité pour l'instant. D’après cet interlocuteur, cela représente une question

importante, mais qui ne s’accompagne pas d’une réponse définitive pour l’instant. Aujourd’hui, ce groupe préfère

se concentrer sur les conséquences de Solvabilité 2 sur leur activité Assurance de Personnes, qui sont déjà



nombreuses.

-Enfin, un dernier Directeur de l'Audit Interne au sein d'un Groupe de Protection Sociale m'a indiqué qu'au sein

de son entreprise, Solvabilité 2 toucherait uniquement l'activité « concurrentielle », c'est-à-dire tout ce qui ne

concerne pas la Retraite Complémentaire (activités Assurance et Santé), mais que le contrôle des délégataires

allait être étendu aux autres activités du groupe.

Ainsi, nous constatons qu'en dehors des aspects réglementaires et donc obligatoires comme les arrêtés des

comptes trimestriels, la directive ne semble pas avoir un impact majeur sur les autres activités des Groupes de

Protection Sociale. Les entreprises de taille modeste, notamment, sont d’ores-et-déjà confrontées à une masse

de travail importante afin de répondre aux strictes exigences de la directive, et ne peuvent donc pas se

permettre d'augmenter leur charge de travail. Pour d'autres groupes, il est simplement trop tôt pour évoquer ce

sujet car ils se concentrent uniquement, pour le moment, sur les changements que Solvabilité 2 provoque sur

leur activité Assurance de Personnes. d

➢ 5/ Impacts de Solvabilité 2 sur les recrutements?

Le développement des Ressources Humaines n'est pas explicite dans Solvabilité 2 : c'est une interprétation de

la directive. Solvabilité 2, et surtout le pilier 2, laisse l'entreprise libre d'appliquer les exigences de la directive

comme elle le souhaite, mais exige une grande maîtrise de ses activités. Les recrutements sont donc une

conséquence indirecte de l'application de la directive.

En effet, les exigences de Solvabilité 2 ont tendance à « tirer vers le haut » certaines fonctions, notamment car

elles s'accompagnent d'un niveau de reporting en forte augmentation. La charge de travail augmentant en

qualité et en quantité, elle entraîne une hausse des recrutements. De nombreuses compagnies d’assurance

revoient donc actuellement en profondeur leurs politiques de Ressources Humaines, en termes de recrutements

et de renforcement de la politique de gestion des compétences notamment.

Dans la pratique, la conduite du projet Solvabilité 2 se fait avec des ressources internes et externes: en interne,

il faut prendre en charge ce qui sera pérenne comme la fonction de gouvernance, car celle-ci doit s'installer

dans la durée mais est également facile à mettre en œuvre, et a peu de conséquences informatiques.

Cependant, la conduite du projet Solvabilité 2 entraîne aussi un recrutement externe, ce qui peut poser

problème car toutes les entreprises recherchent des compétences similaires au même moment (actuariat,

comptabilité, Systèmes d'Information, MOA, MOE). En effet, Solvabilité 2 est un projet multiformes et entraîne

donc des recrutements dans divers secteurs (actuariat, informatique, comptabilité/calculs, Contrôle Interne etc.).

Il est notamment nécessaire de recruter ou former des spécialistes du Contrôle Interne, des informaticiens et

des auditeurs afin d'analyser l'existant et de mettre en place le Contrôle Interne.



Cependant, il est nécessaire de nuancer cette idée car l'un de mes interlocuteurs m'a indiqué que la directive ne

provoquerait pas le recrutement de nouveaux auditeurs au sein de son entreprise, et qu'elle n'aurait pas

vraiment d'impact sur le profil des auditeurs embauchés. Des profils plus « techniques » seront peut-être

recherchés lors de futurs recrutements, cependant.

Globalement, on constate que les actuaires sont très demandés : il y a même un risque de « pénurie »

d'actuaires à terme, puisque l'offre de travail va devenir inférieure à la demande. Les entreprises sont donc

d'ores-et-déjà en train de recruter des actuaires afin de ne pas être « prises de court » dans les mois à venir : la

demande augmente fortement, tandis que l'offre a du mal à suivre. En conséquence, les salaires proposés aux

actuaires augmentent de façon importante. Ce phénomène s'explique par le fait que le pilier 1 de la directive

s'accompagne de nombreuses exigences en termes de calculs de fonds propres et de marges de solvabilité,

nécessitant une intervention renforcée des actuaires. L'un de mes interlocuteurs m'a même dit que, pour lui,

Solvabilité 2 est de manière générale une directive créée « par des actuaires, pour des actuaires ». Ceci

concerne bien sûr le pilier 1 en priorité.

De plus, le renforcement des bonnes pratiques de gestion des risques demande de nouvelles compétences. Il

devient donc nécessaire de recruter de nouveaux salariés et de former les salariés, qu'ils soient nouveaux au

sein de l'entreprise ou non. Des recrutements se feront au niveau des fonctions suivantes, principalement :

Actuariat, Audit Interne, Risk Management, Contrôle Interne, Conformité, informatique, comptabilité. En effet,

Solvabilité 2, en mettant en évidence l'importance de ces fonctions-clés, entraîne indirectement un

développement des Ressources Humaines dans ces domaines.

Solvabilité 2 va aussi provoquer des changements pour ces fonctions car cette directive est très inspirée des

concepts anglo-saxons et libéraux selon lesquels les marchés financiers sont efficients. La directive pousse

donc à créer un dispositif de maîtrise des risques inspiré de l'efficience des marchés : les risques financiers sont

calculés à partir du marché, et les provisions sont également calculées selon un concept financier.

D'ailleurs, après la publication des premiers résultats de la cinquième étude d’impact (QIS 5), le Comité

Européen des assureurs et réassureurs est revenu sur plusieurs points de vigilance, dont la trop grande

sensibilité de l’approche Solvabilité 2 à la volatilité des marchés.

En effet, Solvabilité 2 parle d'un marché qui n'existe pas, le marché d'échanges d'engagements entre assureurs.

En France, le code définit les règles du jeu : or, avec Solvabilité 2, il n'y a pas de règles du jeu, « tout est

permis ». Charge à l'entreprise de montrer qu'elle a les capitaux propres nécessaires pour gérer ses risques.

➢ 6/ Impact de Solvabilité 2 sur la rémunération des dirigeants?

De façon assez indirecte, il est possible que la directive impacte également les salaires des dirigeants :



-Tout d'abord, au sein des Groupes de Protection Sociale, le salaire du Directeur Général est validé en Conseil

d'Administration. Étant donné que Solvabilité 2 oblige les dirigeants à prendre en compte les risques et à

respecter de nombreuses obligations liées à ce sujet, dans le cas où les administrateurs jugent que le Directeur

Général ne pousse pas à respecter les exigences de Solvabilité 2, le Conseil d'Administration pourrait décider

(en théorie) de le pénaliser. Cependant, il est clair que cette hypothèse reste assez improbable.

-L'ACP prévoit également des sanctions financières en cas de non respect des obligations relatives à Solvabilité

2, comme des sanctions sur les capitaux propres. Ainsi, concernant les obligations relatives au pilier 2 obligeant

notamment les entreprises à créer, voire restructurer les services Risk Management, Contrôle Interne, Audit

Interne et Conformité et recruter des collaborateurs en conséquence, des sanctions financières pourront être

appliquées par l'ACP si ces obligations ne sont pas respectées par les entreprises, ou bien si ces services sont

créés mais qu'ils ne disposent pas des effectifs suffisants nécessaires à la bonne réalisation de leurs missions.

-De plus, des sanctions pourront également être appliquées dans d'autres cas : par exemple, si une entreprise

décide de ne pas respecter la directive en laissant son service d'Audit Interne « couplé » à un autre service sous

la responsabilité d'un même Directeur, et donc porter atteinte à l'indépendance de l'Audit Interne, l'ACP pourrait

décider de sanctionner l'entreprise, par le biais de sanctions sur les capitaux propres. Bien sûr, il est peu

probable que l'on en arrive à de telles extrémités, les entreprises étant toutes disposées à respecter les

exigences de la directive. Néanmoins, ces sanctions restent une possibilité.

-Enfin, Solvabilité 2 entraîne une augmentation du niveau des fonds propres, afin d'assurer la solvabilité des

entreprises. Or, plus les fonds propres de l'entreprise sont élevés, plus les rémunérations des actionnaires

augmentent en conséquence. Ainsi, si l'entreprise augmente le niveau de ses fonds propres en immobilisant

plus de capitaux, afin de se mettre en conformité avec Solvabilité 2, elle devra également rémunérer les

actionnaires sur ces capitaux. Ceux-ci verront donc leurs rémunérations augmenter. Bien sûr, cela est valable

uniquement pour les assurances, puisque les Institutions de Prévoyance et les mutuelles ne disposent pas

d'actionnaires.

➢ 7/ Vers une véritable harmonisation des pratiques ?

Solvabilité 2 s'accompagne d'une volonté d'harmoniser les pratiques, afin de pouvoir comparer les entreprises

entre elles de façon plus réaliste et pertinente, au niveau européen. En effet, l'un des buts de Solvabilité 2 est de

permettre de mieux comparer les entreprises d’assurance, en leur imposant de nouvelles règles communes à

respecter, comme nous l'avons vu, mais également en augmentant la transparence afin de mieux informer les

parties prenantes et le public de manière générale sur la situation de l'entreprise. Ainsi, la communication

financière est fortement développée (voir les rapports destinés au public sur l'ORSA, le Contrôle Interne, la

Solvabilité et la Situation Financière, le rapport aux superviseurs etc.).



Le Consultation Paper n°58 du CEIOPS donne le récapitulatif de tous ces rapports : les entreprises devront les

transmettre à l’autorité de contrôle, ce qui est logique, mais également les diffuser au public. Ceci va donc

demander un travail de vulgarisation afin que le contenu de ces rapports soit compréhensible pour le grand

public. De plus, la conséquence majeure est que les clients vont être de plus en plus informés et donc exigeants

en matière d'offres assurantielles et de performance : les entreprises vont donc se situer dans un contexte de

professionnalisation accrue de l'ensemble de leurs acteurs, avec une concurrence de plus en plus affirmée.

De plus, Solvabilité 2 va permettre de mieux comparer les entreprises d’assurance car celles-ci vont devoir

appliquer les mêmes règles (piliers 1 et 2), mais également, et cela est plus surprenant, parce que les

intervenants externes (les cabinets de conseil tels que les « Big Four », et quelques autres) vont accompagner

des milliers d’assurances dans leur processus de mise en conformité avec Solvabilité 2 (diagnostic de mise en

conformité, conseil, création des cartographies des processus et des risques, etc.), ce qui va forcément

uniformiser leurs méthodes de travail.

D'après l'un de mes interlocuteurs, ce phénomène s'est déjà produit au début des années 2000, lorsque de

nombreuses entreprises ont souhaité mettre en place des cartographies des risques au même moment :

certains cabinets tels que les « Big Four » (et quelques autres) sont intervenus auprès de nombreuses

entreprises. Ainsi, on trouve désormais de nombreux points communs entre les cartographies des risques de

toutes ces entreprises.

Il faut tout de même préciser que, concernant Solvabilité 2, l’effet « taille » va introduire des différences (voir le

principe de proportionnalité), puisque les exigences imposées aux plus petites assurances seront allégées.

Cependant, j'ai pu constater l'existence de divergences d'opinion et de divergences d'interprétation de Solvabilité

2, qui peuvent entraîner la création de nouvelles différences entre les assurances. Voici quelques exemples que

j'ai pu relever au cours de mes entretiens :

-La notion de séparation entre les fonctions n'est pas directement abordée dans Solvabilité 2, c'est donc une

bonne pratique mais pas une obligation directe. Certaines entreprises vont donc peut-être faire le choix de

« prendre le risque » de ne pas séparer leurs fonctions Audit Interne, Contrôle Interne et Risk Management,

alors que beaucoup d'autres les ont déjà séparées, ou sont en train de le faire. Les entreprises que j'ai

rencontrées disposaient cependant toutes d'un service d'Audit Interne indépendant, ou qui était en cours de

séparation avec d'autres services.

-La notion de plans pluriannuels n'est pas abordée dans Solvabilité 2, ce n'est qu'une bonne pratique mais pas

une obligation d'après l'un de mes interlocuteurs. Or un autre interlocuteur pense que c'est une obligation : il y a

donc une divergence d'opinion sur ce point. De plus, un troisième Directeur rencontré m'a indiqué que son

service d'Audit Interne ne dispose pas d'un plan d’audit pluriannuel formalisé, même si des missions relatives à



Solvabilité 2 sont prévues en 2013-2014. Idem pour un quatrième Directeur : son service ne réalise pas de plan

d'audit pluriannuel, et des missions relatives à Solvabilité 2 n'ont pas encore été programmées car l'Audit Interne

intervient une fois qu'un processus est déployé, pas avant. Les missions relatives à Solvabilité 2 auront donc lieu

en 2013-2014 dans cette entreprise, également. D'après mes recherches, la formalisation de plans d'audit

pluriannuels n'est pas une obligation explicite contenue dans la directive ou dans les textes du CEIOPS ; elle

constitue plutôt une bonne pratique allant de pair avec une élaboration du plan d'audit basée sur une approche

par les risques.

-Enfin, le bilan Solvabilité 2 doit-il être audité par les Commissaires aux Comptes ou par les auditeurs internes ?

Solvabilité 2 ne le précise pas pour l'instant ; chaque entreprise interprétera donc la directive à sa manière. Il y a

donc un problème d'harmonisation puisque chaque assurance sera libre de faire un choix (soit faire appel aux

Commissaires aux Comptes même si cela n'est pas obligatoire, soit faire appel à l'Audit Interne).

Cependant, l’ACP pourrait exiger que ce bilan Solvabilité 2 soit audité par les Commissaires aux Comptes,

même si la Commission Européenne ne le fait pas. En effet, l’ACP s'est d'ores-et-déjà exprimé sur la nécessité

d’un audit externe de ces bilans. Cependant, cette mesure n’est pas encore inscrite dans les textes officiels pour

l'instant.

Ainsi, nous constatons, malgré la volonté d'uniformiser les pratiques, l'existence de divergences d'interprétation

de Solvabilité 2 pouvant entraîner la création de nouvelles différences entre les entreprises. Ce problème vient

principalement du fait que Solvabilité 2 est une réforme « indicative » basée sur des grands principes et non sur

des règles claires et précises, notamment en ce qui concerne le pilier 2 et ses exigences qualitatives (forcément

plus « subjectives » et « floues » que les exigences quantitatives du pilier 1). Les entreprises disposent donc

d'une marge de manœuvre relativement importante, ce qui pourrait entraîner la mise en œuvre de pratiques

différentes. L'objectif sous-jacent de Solvabilité 2 (atteindre une uniformisation des pratiques entre les groupes)

serait donc perverti. Cependant, le nombre de textes publiés concernant les exigences de la directive est très

élevé (notamment les mesures d'application), ce qui réduit le risque de divergences trop importantes entre les

entreprises.

➢ 8/ Difficultés liées au calendrier de mise en application de Solvabilité 2

Les étapes principales du calendrier de mise en application de Solvabilité 2 peuvent être résumées de la façon

suivante (voir annexe 18 : calendrier général du projet Solvabilité 2) :

-2005-2007 : l’ensemble des acteurs du monde de l'assurance a été consulté.

-10 juillet 2007 : un projet de directive-cadre a été publié.

-2008 : le CEIOPS a fourni un avis final à la Commission Européenne, puis celle-ci a publié une proposition de



directive. Des débats au Parlement Européen ont commencé à avoir lieu.

-En avril-mai 2009 (le 22 avril 2009 exactement) : la directive-cadre Solvabilité 2 a été adoptée par le Parlement

Européen, puis est entrée en vigueur et a été transposée dans les différents droits nationaux.

-Tout au long de l'année 2009, le CEIOPS a réalisé des travaux sur les mesures d’implémentation de la directive

(niveaux 2 et 3), publiés sous forme de « Consultation Papers », suivis en 2010 par des travaux du Parlement et

du Conseil Européens sur ces mesures d’implémentation.

-Au cours de cette année 2010, le CEIOPS a finalisé ses travaux sur les mesures de niveau 3.

-A la fin du mois de janvier 2010, le CEIOPS a remis son avis final sur les mesures d’exécution de niveau 2 à la

Commission Européenne, en prévision de la cinquième et dernière étude d’impact (QIS 5) ; ces avis formulent

des propositions de paramètres pour le QIS 5.

-Juin 2010 : les paramètres définitifs du QIS 5 ont été publiés par la Commission Européenne.

-Août 2010 : le QIS 5 a été lancé.

En effet, afin de mesurer les impacts de la réforme en vue d'en adapter éventuellement le contenu et les

exigences, mais aussi dans le but d'inciter les entreprises à en évaluer l'impact sur leur organisation, Solvabilité

2 s'est appuyée sur la réalisation d'études quantitatives d'impact, les QIS, qui ont surtout permis d’identifier les

principales difficultés de mise en œuvre du pilier 1 pour les entreprises. Le pilier 2 de la directive n'est pas

concerné par ces QIS, ce qui est logique puisqu'il concerne des exigences qualitatives, et n'est donc pas

« mesurable » à proprement parler. Ce QIS 5 a toutefois été l'opportunité d’évaluer l’adaptation des processus à

Solvabilité 2, et de mesurer les impacts quantitatifs de Solvabilité 2 (et plus particulièrement de l’introduction des

futures mesures techniques de niveau 2) sur le bilan.

-Novembre 2011 : sur la base des résultats de QIS 5, se fera l'adoption définitive des mesures d’application

(mesures de niveau 2) de la directive-cadre au niveau européen, par la Commission Européenne.

-Fin 2011 : le CEIOPS finalisera la première vague de mesures de niveau 3.

-Courant 2012 : la directive et les mesures de niveau 2 seront transposées en droit français.

-Enfin, en octobre 2012 devait avoir lieu l'entrée en vigueur de l’ensemble de la réforme Solvabilité 2 et le

déploiement dans les entreprises des États-membres, mais cela a finalement été reporté à début 2013.

Aujourd'hui, à un peu plus d'un an du démarrage, le calibrage des risques n'est pas finalisé, et en ce qui

concerne le pilier 3, certains projets de texte sont sortis en février 2011. Ils devraient être votés fin 2011, mais

cela va sûrement être décalé. Il sera donc difficile pour les assurances d'être prêtes début 2013.

Jusqu'à aujourd'hui, ce calendrier a globalement été respecté. L'application de la directive a été repoussée au

début de l'année 2013 pour des raisons « pratiques » : les états financiers des entreprises sont annuels, et,



étant donné que l'application de la directive (et principalement son pilier 1) entraîne de nouvelles méthodes de

calcul, de reporting etc., il est plus logique de commencer à appliquer ces méthodes en 2013, en se basant sur

les chiffres de 2012.

De plus, pour les experts, on devait passer directement de Solvabilité 1 à Solvabilité 2, mais les assureurs de

taille moyenne ont tellement protesté que la date butoir de mise en conformité a été décalée et qu'un nouveau

projet de directive est sorti fin janvier 2011 afin de modifier certains aspects de Solvabilité 2. On parle désormais

de « période de transition », période qui va permettre aux assureurs de taille moyenne qui ne souhaitent pas

fusionner avec d'autres assurances de se mettre en conformité avec Solvabilité 2.

En effet, une nouvelle directive a été publiée en janvier 2011 afin de compléter Solvabilité 2 : Omnibus 2. Elle

sous-entend que les entreprises ont désormais un délai de 3 ans pour se mettre en conformité avec le pilier 2, et

10 ans pour être en conformité avec le pilier 1. Omnibus 2 fixe des durées maximales par pilier pour de

potentielles mesures transitoires (dont un étalement des obligations qualitatives du pilier 2 sur trois à cinq ans)

et une mise en place progressive sur les publications et calculs à fournir à l’ACP sur les exercices 2013 et

suivants, mais l’idée est toujours d’être en conformité d’ici à 2013 (les délais de conformité restent identiques).

Ainsi, ce texte propose que, pour un certain nombre de dispositions, la date du 1er janvier 2013, à laquelle la

nouvelle réglementation prudentielle entrera officiellement en application, ne constitue par un « couperet », afin

de permettre aux assureurs de passer progressivement à Solvabilité 2. Ces mesures de transition pour le

passage à Solvabilité 2 ont de fortes chances d’être adoptées.

Toutefois, ce texte ne sera pas adopté avant l’automne 2011 : restera encore à la Commission à fixer la durée

exacte des délais. Ces derniers ne seront donc connus que tardivement. Omnibus 2 représente tout de même

une avancée, dans la mesure où il traduit une ouverture de la part de la Commission, et laisse donc espérer

d'autres inflexions, ce qui est positif pour les entreprises qui auraient pris du retard dans le processus de mise

en conformité. D'autant que les mesures d’application de Solvabilité 2 sont encore susceptibles d’évoluer. Ceci

est également positif pour certains organismes, notamment les mutuelles, qui s'étaient mobilisés en vue

d’obtenir une période de transition et donc de disposer d'un laps de temps supplémentaire pour se mettre en

conformité avec les exigences de la directive.

L'idée du « big-bang » a donc été abandonnée car elle pouvait être dangereuse pour les assureurs. En effet,

d’après l’un de mes interlocuteurs, Solvabilité 2 génère des concepts nouveaux, dont on ne connaît pas encore

la robustesse en cas de crise majeure, ce qui ajoute de l'incertitude à la situation. Des crises pourraient même

être provoquées à cause de Solvabilité 2 car les managers perdent leurs repères et pourraient prendre des

décisions inappropriées, d'après un autre interlocuteur. D'après celui-ci, le risque majeur entraîné par Solvabilité

2 est un risque de rupture intellectuelle.ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff



D'autant que pour les moyennes et grandes structures, Solvabilité 2 ne va demander qu’une phase d’adaptation,

alors que pour les petites structures, Solvabilité 2 constitue une quasi-révolution. Cette période de transition est

donc une bonne nouvelle pour ces entreprises. On constate donc que le calendrier relatif à Solvabilité 2 a été

riche en événements, et a entraîné de nombreuses difficultés pour les entreprises, notamment les petits

groupes. Il semble cependant que les nouveaux délais de mise en conformité soient à leur avantage, et leur

permettent de respecter les exigences de la directive. D’autant plus qu’en juillet 2011, mon maître

d’apprentissage m’a indiqué que des discussions étaient en cours au sujet d’un nouveau report éventuel de la

date butoir de mise en conformité avec Solvabilité 2. Cette date ne serait donc plus le 1er janvier 2013 : la date

butoir serait décalée d’un an. Cependant, cette information n’est pas encore officielle à l’heure actuelle.

➢ 9/ Où en sont les entreprises aujourd'hui dans la démarche de mise en conformité avec Solvabilité 2 ?

A l'heure actuelle (septembre 2011), les entreprises ont un peu plus d'un an devant elles afin de poursuivre et

finaliser leur démarche de mise en conformité avec la directive. Ce délai sera certainement utile car selon les

situations, les exigences de la directive peuvent engendrer des modifications considérables sur l'organisation

des entreprises. Nous pouvons ainsi faire le constat suivant concernant l'état d'avancement de la mise en

conformité avec la directive :

-Comme nous l'avons vu précédemment (voir point 2 sur les différences d'appréhension de Solvabilité 2 entre

petits et grands groupes), les grands groupes sont déjà quasiment prêts, même s'il reste certaines adaptations à

effectuer, et sont les plus avancés, en raison notamment de leurs moyens élevés (financiers et humains).

-L’un des Directeurs que j'ai rencontrés m'a indiqué que son entreprise, un des premiers Groupes de Protection

Sociale, était assez avancée dans la démarche de mise en conformité. Ce travail a commencé à l'été 2009, avec

un diagnostic réalisé par un cabinet externe (qui a également aidé à piloter le projet). La nouvelle organisation

autour des fonctions-clés de gouvernance des risques a été mise en place à compter de novembre 2010. De

plus, une Direction des Risques et de la Solvabilité a été créée en décembre 2010, en vue de Solvabilité 2

principalement. Concernant les diverses échéances, les chantiers Audit Interne, Contrôle Interne et Cartographie

des Risques sont avancés et les chantiers Base Incidents, ORSA et Sous-traitance sont initiés, tandis que les

chantiers Contrôle de Conformité et PCA n'ont pas encore débuté. Un Comité de Pilotage est en place,

réunissant les Directeurs concernés par le projet Solvabilité 2 (Directeur des Risques et de la Solvabilité,

Directeur du Contrôle Interne, Directeur de l'Audit etc.), et se réunit environ une fois par mois afin de faire le

point sur l'état d'avancement des chantiers et de suivre le budget et les risques du projet. Enfin, le projet

Solvabilité 2 est considéré comme étant l'un des projets stratégiques du groupe, et est identifié comme tel dans

la stratégie ; il est piloté par le Directeur Général du groupe et géré par le pôle Organisation. Ce projet a été

« découpé », puis des responsables ont été nommés pour chaque « tranche ». Ainsi, les sous-projets

concernent la gouvernance et les piliers 1, 2 et 3 (chacun dirigé par un responsable différent). Enfin, le groupe a



participé aux cinq QIS. Tous ces éléments témoignent de l'importance particulière accordée à ce projet, d'autant

plus que le Comité des Risques de ce groupe a identifié le risque de non respect des exigences de Solvabilité 2

comme étant l'un des dix risques majeurs à gérer. Ce risque est en premier lieu relatif à la conformité du groupe

vis-à-vis des trois piliers, et son impact, principalement réglementaire, est évalué à 5 (soit le niveau maximum).

D'après ce Comité des Risques, la non conformité avec la directive aurait également des conséquences graves

sur l'image du groupe, et ce risque de ne pas être en capacité d'atteindre la cible (soit la mise en conformité

avec Solvabilité 2) existe bel et bien aujourd'hui, malgré toutes les actions entreprises.

-Un autre Directeur m'a indiqué qu'au sein de son entreprise, un autre grand Groupe de Protection Sociale, la

démarche de mise en conformité en est toujours dans la phase « projet » (phase de construction), même si

l'entreprise a répondu à tous les QIS. Le groupe en est donc à peu près au milieu de la démarche de mise en

conformité. Ainsi, une Direction des Risques a été constituée en 2008, comprenant une Direction Chantier

Solvabilité 2, une Direction de la Conformité, une Direction des Systèmes d'Information, une Direction

Management des Risques, et une Direction du Contrôle Interne.

La Direction Chantier Solvabilité 2 est composée d'un Directeur et d'une équipe de direction du projet, au sein

de la Direction des Risques, et est en charge du suivi du projet. De plus, de nombreux sous-projets comme le

calcul de la solvabilité, l’ORSA, ou encore le Contrôle Interne ont été mis en œuvre au sein de l'entreprise et

sont bien sûr dirigés par des directions différentes, car le projet Solvabilité 2 est logiquement considéré comme

un projet transverse.

-Un autre Directeur m'a indiqué qu'au sein de son entreprise, un grand Groupe de Protection Sociale, le projet

Solvabilité 2 était assez avancé, mais que les 18 mois restants allaient être nécessaires afin de continuer et

finaliser le processus de mise en conformité avec la directive, notamment en ce qui concerne le dispositif de

Contrôle Interne à étendre au sein de toute l'organisation, qui demande un temps considérable. Au sein de cette

entreprise, un collaborateur a été nommé Directeur du Projet Solvabilité 2, et environ 80 membres de l'entreprise

sont des « contributeurs » au projet. Celui-ci fait partie des six projets stratégiques du groupe : ainsi, au niveau

de la Direction des Risques, une équipe suit l'avancée de la mise en conformité avec la directive. L'entreprise a

répondu à l'ensemble des 5 QIS, et est toujours dans la phase projet. La démarche est cependant déjà terminée

pour l'Audit Interne.

-Un autre Directeur m'a expliqué que son entreprise, un Groupe de Protection Sociale de taille plus modeste,

était en retard dans le processus de mise en conformité, puisque le groupe n'est qu'au début de ce processus

aujourd’hui. Cette entreprise a repoussé à plusieurs reprises le commencement de la mise en conformité ; or,

même si Omnibus 2 a mis en place des mesures de « transition », Solvabilité 2 doit toujours entrer en vigueur le

1er janvier 2013. Solvabilité 2 fait tout de même l’objet d’un projet au sein de cette entreprise, même si ce projet

n'en est qu'à sa phase initiale. Ainsi, un diagnostic a été réalisé par un cabinet externe début 2011 ; ce cabinet

va également aider à piloter le projet. Par la suite, l'entreprise devrait gérer le projet sans aide extérieure afin de



se l’approprier. Cependant, il ne lui reste qu'un peu plus d'un an pour effectuer toute la phase de mise en

conformité avec les exigences de la directive, ce qui devrait être délicat. Un Comité de Pilotage composé d’une

dizaine de membres est tout de même en place. Chacun représente une Direction du groupe voire une activité

concernée par Solvabilité 2, telles que la Direction Financière et Technique, la Direction Juridique, la Direction de

l’Audit Interne et le Responsable du Contrôle Interne (qui fait pour l’instant partie de l’Audit Interne), la MOA

(volet informatique), la Direction du Développement, la Direction de la Gestion (notamment le service délégataire

de gestion), et l’activité Mutuelle. Le problème pour ce groupe reste le manque de moyens. Ainsi, les

responsables qui s’occupent du projet Solvabilité 2 en interne sont en nombre réduit, et ne sont pas en mesure

de travailler sur ce sujet à temps plein puisqu’ils sont déjà occupés par leurs fonctions initiales. Il serait donc

nécessaire de recruter des salariés qui travailleraient à temps plein sur la mise en conformité avec Solvabilité 2,

ce qui n’est pas le cas aujourd’hui. Cependant, cela va peut-être changer, car des recrutements sont

envisageables, malgré le manque de moyens.

-Enfin, de nombreuses petites mutuelles et Institutions de Prévoyance n'ont pas encore commencé le chantier

de mise en conformité (élaboration d'un plan d'action pour se conformer aux exigences de la directive) et n'ont

pas les moyens de recruter des experts pouvant gérer le projet Solvabilité 2. Cependant, les changements

seront plus rapides à mettre en place au sein de ces groupes, et des efforts ont déjà été accomplis pour

renforcer dans l’univers mutualiste les règles de gouvernance, le Contrôle Interne et la maîtrise des risques. Ces

petites structures semblent cependant avoir le plus d'efforts à fournir, les mutuelles en particulier devant s'atteler

à créer un dispositif de Contrôle Interne. Cela vient du fait que le décret du 13 mars 2006 avait rendu le Contrôle

Interne obligatoire uniquement pour les entreprises d'assurance. Les mutuelles et Institutions de Prévoyance

n'étaient donc pas concernées jusqu'à aujourd'hui, et démarrent donc dans ce domaine avec un décalage par

rapport aux assurances.

Ainsi, des données de 2008 indiquaient qu'à l'époque, 100% des assurances avaient mis en place un dispositif

de Contrôle Interne, contre seulement 50% des mutuelles et 25% des Institutions de Prévoyance.

J'ai d’ailleurs pu constater le retard pris par certaines entreprises dans le processus de mise en

conformité puisque lorsque j’ai contacté en mars 2011 un Directeur de l'Audit Interne d'une petite Institution de

Prévoyance afin de lui proposer un entretien dans le cadre de ce mémoire, ce Directeur m'a répondu que le

sujet Solvabilité 2 n'avait pas encore été traité au sein de son groupe. Certaines petites entreprises sont donc en

retard et n'ont pas encore commencé le travail de mise en conformité, mais il est certain qu’il sera impossible

d'appliquer Solvabilité 2 au dernier moment. Toutes les entreprises prévoient donc un chantier important afin

d'être en conformité, mais toutes ne vont pas le faire au même moment : certaines vont s'y prendre beaucoup

plus tard que d'autres, par manque de temps, d’expérience et de moyens. Un grand nombre d’entreprises qui

appartiennent à un groupe centralisent la problématique Solvabilité 2 au niveau de ce groupe, tandis que les

structures hors groupe mutualisent le sujet au sein d’un groupement ou d'une fédération.



Les entreprises qui attendent que ces mesures deviennent des contraintes réglementaires pour les adopter ne

font certainement pas le bon choix, car leur mise en œuvre demande du temps. En effet, il ne s'agit pas

seulement d'une réflexion en termes de calculs, même si le principal impact pour ces entreprises est la

nécessité de mobiliser globalement plus de fonds propres (ce qui passera soit par des levées des fonds

supplémentaires auprès des sociétaires ou adhérents, soit par des regroupements, soit encore par un plus fort

recours à la réassurance), mais aussi d'une refonte du mode d'organisation de l'entreprise, qui doit placer la

gestion du risque au centre de ses préoccupations, quel que soit le résultat du calcul en lui-même. La mise en

place des structures et des process de suivi des risques devra donc être planifiée suffisamment à l'avance pour

être opérationnelle au 1er janvier 2013, d'autant que, concernant le pilier 2, il paraît plus efficace d'intégrer les

problématiques de gestion des risques et de Contrôle Interne dès la mise en œuvre du projet plutôt que de les

appréhender dans un second temps.

Néanmoins, ces entreprises « retardataires » semblent être peu nombreuses puisque, d'après une étude

réalisée en 2010 sur un échantillon d'entreprises (étude réalisée en 2010 par Optimind, dont est extrait l'annexe

16), indiquant les montants des budgets accordés au projet Solvabilité 2 par les entreprises, 90% des

répondants se déclaraient directement concernés et impliqués dans la démarche, et concernant l’avancement

global des projets Solvabilité 2, le taux d’achèvement était d'environ 55%. De plus, les répondants ont déclaré

qu'ils avaient une « visibilité » élevée sur le contenu des exigences du pilier 2 de la directive, pour environ 65%

d'entre eux. Ces chiffres étaient bien différents il y a quelques années, et de nombreuses entreprises se disaient

peu ou pas concernées par Solvabilité 2. Les mutuelles notamment montraient une inquiétude face au projet et

n'y accordaient pas une grande attention. La situation a donc évolué positivement au fil des années.

En dehors d'un problème de budget, on peut penser que certaines entreprises sont plus réticentes à mettre en

place les exigences liées à Solvabilité 2 car les mesures prises restent pour beaucoup parcellaires et ne sont

pas encore opérationnelles, et que les effets de la réforme ne se font pas encore sentir. Il n'y a donc pas de

sentiment d'urgence pour l'instant.

La mise en œuvre anticipée des principes de base de la directive constitue cependant une saine pratique de

gestion, qui contribue à obtenir une activité plus stable avec une meilleure utilisation des fonds propres. Des

avantages concurrentiels pourraient donc s’offrir aux entreprises qui seront le mieux préparées à cette réforme.

En résumé, à l'heure actuelle, la grande majorité des entreprises d'assurance est toujours en phase « projet »

dans le processus de mise en conformité de leur organisation avec les exigences de la directive. De nombreux

lancements de projets ont eu lieu en 2009 et 2010, mais les grandes sociétés d’assurance (sociétés

capitalistiques et internationales) ont généralement lancé leur chantier Solvabilité 2 il y a plusieurs années, et

sont donc prêtes aujourd'hui. Quant aux Institutions de Prévoyance et aux mutuelles, elles sont de manière

générale moins avancées dans le processus de mise en conformité. Ce n'est pas vraiment problématique pour

les Institutions de Prévoyance, qui devraient être en mesure de faire face aux exigences de la directive.



Cependant, de nombreuses mutuelles auront sans doute des difficultés à se mettre en conformité avec la

directive, ce qui va entraîner des regroupements et autres fusions (voir point 10).

-Concernant plus précisément le pilier 2, un fort taux d'entreprises a mis en place des actions concernant

l’évolution du Risk Management, du Contrôle Interne et de l’Audit Interne, mais d'autres actions, touchant

d’autres fonctions, semblent bien moins avancées en termes opérationnels, notamment la gestion de crise, le

pilotage des incidents (rédaction de procédures de gestion des incidents notamment), le pilotage des risques (à

travers un Comité des Risques), et le pilotage des réponses aux risques. De manière générale, le pilier 2 n'est

donc pas encore suffisamment intégré au niveau opérationnel, notamment en ce qui concerne le Contrôle

Interne et le Risk Management. Le pilier 1 a, lui, été traité en priorité, ce qui est logique puisqu'il constitue le

« cœur » de la directive. Enfin, le pilier 3 semble être relativement ignoré pour l'instant ; un interlocuteur m'a par

exemple indiqué que son entreprise n'a pas encore commencé à travailler sur ce pilier, qui demande plus de

reporting. Ce pilier 3 n'apportera rien de nouveau au niveau de l'Audit Interne, mais au niveau du Contrôle

Interne, de nouveaux tableaux de bord et des statistiques seront exigés par l’ACP, ce qui rejoint les exigences

du pilier 2 que nous avons évoquées plus haut.

-L'état d'avancement actuel de la mise en conformité avec la directive peut donc être résumé par le tableau

suivant, en prenant l'exemple de quatre entreprises que j'ai pu rencontrer au cours de mes recherches, et

globalement, pour tous les types d'entreprises :

Première entreprise rencontrée

Deuxième entreprise rencontrée

Troisième entreprise rencontrée

Quatrième entreprise rencontrée

Grands groupes

Entreprises de taille

moyenne

Petites entreprises

Chantier de mise en

conformité avec le pilier

1

Quasiment

terminé

Quasiment

terminé

Assez avancé

(75%)

Assez avancé

(75%)

Globalement,

chantiers très

avancés, voire

terminés.

Globalement,

chantiers

avancés, mais

nécessitant

encore

plusieurs mois

de travail.

Globalement,

chantiers peu

avancés voire

non

commencés au

sein de

certaines

entreprises.

Chantier de mise en


2

Assez avancé

(75%)

Avancé (50%) Assez avancé

(75%)

Peu avancé

Chantier de mise en


3

Peu avancé Peu avancé Peu avancé Peu avancé

-Ainsi, de manière générale, le marché français passe à Solvabilité 2 sans trop de problèmes. D'après la FFSA,

il satisfait aux nouveaux critères prudentiels de Solvabilité 2 tels que testés dans le QIS 5, et les deux niveaux

d’exigence de solvabilité (SCR et MCR) sont largement couverts. Seulement 4,6% des entreprises ayant

participé au QIS 5 ne passeraient pas Solvabilité 2 dans l’état actuel des choses. Les besoins en capitaux, l’un

des points sensibles de la mise en place de Solvabilité 2, montrent donc des résultats assez optimistes puisque

seulement 4,6% des sociétés qui ont répondu se situent en dessous des exigences de fonds propres minimum



(MCR). Cependant, 15% des entreprises ne satisfont pas aux ratios de solvabilité (SCR) imposés lors du test.

Ces entreprises vont donc devoir soit chercher de nouveaux actionnaires (sociétés capitalistiques) soit se

rapprocher pour survivre.

Globalement, les entreprises françaises s'en sortent mieux que prévu et les conclusions de ce QIS 5 montrent

que les entreprises se sont suffisamment préparées. Il est néanmoins nécessaire de nuancer ces résultats

positifs car de nombreux éléments sont encore en cours, comme Omnibus 2 et les mesures de niveau 2 et 3

(non finalisées pour le moment). D'autant plus que le risque de non respect des exigences de Solvabilité 2 est

encore bien présent pour de nombreuses entreprises, venant principalement de compétences insuffisantes, d'un

manque de disponibilité des acteurs du projet et de ressources adaptées (qualitativement et quantitativement)

au projet, de processus inadaptés, ainsi que d'une mauvaise gestion des ressources. Ainsi, d'après l'ACP, 2011

est « une année cruciale pour Solvabilité 2 ».

a

➢ 10/ L'après 2012 (après la mise en conformité)

Au-delà de la « simple » mise en conformité et des conséquences directes majeures de Solvabilité 2 que nous

avons évoquées tout au long de ce mémoire, la directive va également avoir d'autres impacts, plus détournés et

imprévisibles mais non moins importants, sur les entreprises :

-Tout d'abord, on peut supposer que cette directive va modifier durablement les projets, les objectifs stratégiques

et les stratégies d'investissement des entreprises d'assurance.

Solvabilité 2 a un impact sur les stratégies d'investissement puisque la solvabilité dépend des actifs détenus par

les assurances. La solvabilité dépend donc aussi directement des investissements que les entreprises réalisent :

achats d’obligations, d’actions, d’immobilier, etc. En modifiant les règles de solvabilité des assurances, on

influence les stratégies d’investissement des assureurs, car plus un actif sera risqué, plus les capitaux propres

réglementaires (exigences en capital) devront être élevés. Ainsi, il est clair que les entreprises devront d iversifier

davantage leurs investissements : de manière indirecte, Solvabilité 2 obligera les sociétés à revoir l'affectation

de leurs fonds propres, car toute concentration sur un petit nombre d'actifs se traduira par un coût du risque plus

élevé. Les sociétés dont les fonds propres sont concentrés sur quelques lignes devront donc diversifier plus

largement leurs investissements pour ne pas dégrader leurs ratios de solvabilité, ou pour ne pas mobiliser

davantage de fonds propres.

Cependant, sur ce point, l'un de mes interlocuteurs m'a indiqué que Solvabilité 2 représente surtout une

formalisation de ce que les entreprises font déjà et leur demande de prendre conscience de leurs risques ; la

directive ne change donc pas totalement leur politique. Il a cependant confirmé qu'une des conséquences de la

directive sur la politique d'investissement de son entreprise serait une baisse des achats d'actions car plus un



actif est risqué, plus les capitaux propres devront être élevés, afin d'être toujours en mesure de faire face aux

engagements en cas d’imprévu.

Ainsi, pour cette entreprise, le SCR (capital cible) de Solvabilité 2 est égal à au moins deux fois la marge exigée

par Solvabilité 1. Solvabilité 2 demande de piloter au moins 1,25 SCR ; il faut donc immobiliser plus de capitaux,

et rémunérer les actionnaires sur ces capitaux. Il faudra ainsi abandonner les produits trop consommateurs de

fonds propres, se recentrer sur les produits qui ont les marges les plus élevées afin d'augmenter celles-ci, et

réduire les frais généraux, même si cette entreprise est déjà sur-capitalisée. Les fonds propres à immobiliser liés

au passif ne changent pas beaucoup entre Solvabilité 1 et Solvabilité 2. Par contre, les fonds propres à

immobiliser du fait de l'actif passent de 0 (Solvabilité 1) à environ la moitié du SCR total (Solvabilité 2).

Pour certaines entreprises, cela pourrait avoir des conséquences sur la politique de gestion financière ; ces

groupes vont devoir gérer leur activité en prenant moins de risques, afin d'optimiser le couple rendement/risque.

Pour un niveau de risque donné, on cherchera le rendement maximum, ce qui représente une nouvelle façon de

gérer. La question qui se posera pour les entreprises sera donc : a-t-on été assez rémunéré pour le risque que

l'on a pris ? Cependant, il est nécessaire de nuancer ces changements en précisant que ces questions n'en sont

qu'à leurs balbutiements aujourd'hui. Ainsi, les Groupes de Protection Sociale vendront toujours les mêmes

produits, même si leur gestion financière est amenée à changer : leurs offres ne changeront pas du tout au tout

car ces groupes vendent des prestations complémentaires à celles de la Sécurité Sociale, et ne peuvent pas

vendre d'autres produits.

-D'après la Fédération Française des Sociétés d'Assurance, les conséquences économiques potentielles de

cette réforme pour l’économie dans son ensemble pourraient être une baisse des investissements de long terme

en actions et en obligations, et donc moins de croissance, mais également une hausse des prix des assurances

(pouvant même concerner des assurances de la vie quotidienne comme l'assurance habitation, l'assurance

automobile, etc.). On peut donc penser qu'en conséquence, de nombreux Français choisiraient d'être moins

protégés, afin de payer des primes d’assurance moins élevées.

-D'après l'un de mes interlocuteurs, Solvabilité 2 va apporter un carcan de contrôle et de maîtrise des risques

qui va finalement conduire à diminuer la performance. Par exemple, lorsqu'une entreprise achètera des actions,

le niveau de fonds propres nécessaires afin de faire face au risque sera beaucoup plus élevé qu'il ne l'est

aujourd'hui. Ceci entraîne une tendance à prendre moins de risques, et donc une baisse potentielle des

rendements. Or si la rentabilité est en baisse, il faudra augmenter les tarifs des produits proposés aux clients, ce

qui pourrait ralentir la croissance du nombre de clients de l'entreprise.

-De plus, l'évolution du monde de l’assurance après Solvabilité 2 pourrait être marquée par le fait que certaines

mutuelles et Institutions de Prévoyance, voire même certains assureurs, ne passeront pas le cap de Solvabilité 2

car ils disposeront d'une marge de solvabilité trop faible.



C'est le cas de l'une des structures faisant partie de l'entreprise de l'un de mes interlocuteurs : les exigences de

Solvabilité 2 en termes de fonds propres ne lui permettent pas de continuer à exister. En effet, les fonds propres

de cette structure ne sont pas assez élevés, d’autant plus qu'elle propose des contrats risqués. Il faudra soit

augmenter les fonds propres soit mettre fin à cette activité. La proposition qui va être faite au Conseil sera de

l'arrêter. Ainsi, la mise en place de Solvabilité 2 entraîne pour certaines entreprises un renoncement à certaines

activités « marginales ».

Les entreprises qui risqueraient de ne pas passer le cap de Solvabilité 2 en raison d'une marge de solvabilité

trop faible vont donc soit chercher à se rapprocher d'autres groupes (fusions, absorptions etc.), soit chercher de

nouveaux fonds propres venant de nouveaux actionnaires.

Solvabilité 2 est donc propice à des rapprochements entre mutuelles, et défavorise ainsi les petites structures au

profit des moyennes et grosses structures, puisque celles-ci vont profiter de l'occasion pour absorber des

structures de taille plus modeste. Il y a donc un risque de moindre concurrence entre assureurs.

Solvabilité 2 pourrait donc entraîner une concentration du marché, marquée par des rapprochements, fusions et

partenariats. Ainsi, d'après l'agence de notation Moody's, une phase de consolidation du secteur est à prévoir,

avec de grands acteurs absorbant leurs concurrents de petite taille, conséquence des difficultés que pourront

rencontrer les petites entreprises.

En effet, Solvabilité 2 a un fort impact en termes de coût et de ressources sur les grandes structures, mais

principalement sur les petites. L'un de mes interlocuteurs est même allé jusqu'à dire que, selon lui, Solvabilité 2

va « détruire » les petites structures (les petites mutuelles notamment), qui vont être obligées de fusionner avec

de grands groupes pour survivre, sous peine de disparaître car elles n'auront pas les ressources suffisantes

pour augmenter leurs fonds propres. Les petites structures ont des risques plus faibles à gérer, mais ont pour la

plupart pris des engagements trop élevés pour elles, en passant des contrats avec de nombreux assurés : elles

ne pourraient donc pas faire face à certaines situations (par exemple, si tous les assurés tombaient malades au

même moment, les mutuelles n'auraient pas les ressources nécessaires pour financer le remboursement de

leurs frais de santé).

La seule solution si elles veulent survivre est donc de s'allier à des moyens/grands groupes.

Solvabilité 2 pousse également au rapprochement : des mutuelles vont se rapprocher au sein d'unions de

mutuelles par exemple, afin de dupliquer leurs procédures, et d'avoir un Comité d'Audit situé au niveau de ces

unions de mutuelles (niveau consolidé). En effet, le pilier 1 pousse au rapprochement, mais c'est également le

cas du pilier 2 car il est coûteux à mettre en place. Il y a donc des mouvements de concentration du marché,

visibles dès aujourd'hui :



-des unions de mutuelles voient le jour : ainsi, en juin 2011 par exemple, quatre mutuelles ont finalisé

leur regroupement au sein d’une Union de Groupement Mutualiste. Cette nouvelle structure a

principalement pour but d'engager des chantiers de mise en commun de services et de fonctions

(informatique, technique, marketing…) en vue de réduire les coûts.

-des mutuelles se rapprochent de Groupes de Protection Sociale afin d'atteindre la taille critique.

Solvabilité 2 va donc refondre complètement le marché des assurances, des Institutions de Prévoyance et des

mutuelles, en permettant d'assainir le marché et donc, en théorie, de mieux protéger les assurés, ce qui est

d'ailleurs le but depuis le début : « assurer la protection des assurés en renforçant la solvabilité des assureurs ».

Ainsi, le 22 avril 2009, jour de l’approbation par le Parlement Européen de la proposition de directive, José

Manuel Barroso, président de la Commission Européenne, a déclaré : « Solvabilité 2 aidera à protéger les

assurés des mauvaises pratiques. Elle aidera à empêcher que les établissements financiers, et notamment

certains assureurs, ne se livrent à nouveau à la désastreuse prise de risque excessive qui a contribué à la

crise. »

D'autant que de nombreuses alliances et rapprochements ont déjà eu lieu ces dernières années, et d'autres sont

en cours. Ainsi, un Directeur de l'Audit Interne que j'ai rencontré m'a indiqué que son entreprise, un Groupe de

Protection Sociale ayant pour activités la Retraite Complémentaire, la Prévoyance, la Santé (mutuelle) et

l'épargne salariale, au chiffre d'affaires de 1,4 milliards d'euros, était en cours de rapprochement avec un autre

Groupe de Protection Sociale. Ce rapprochement a commencé en 2005 : certaines structures ont déjà fusionné,

et les équipes d'audit sont en train de se rapprocher.

Deux autres Directeurs de l'Audit Interne que j'ai rencontrés m'ont donné des informations similaires : leurs

Groupes de Protection Sociale vont fusionner avec un autre groupe dans les mois à venir.

De même, plusieurs autres Groupes de Protection Sociale sont en cours de rapprochement. En effet, un grand

mouvement de concentration a commencé en 2004 en raison de l'Agirc-Arrco : cet organisme fédérateur des

institutions de retraite a impulsé depuis plusieurs années un mouvement de concentration des Groupes de

Protection Sociale afin de réduire les coûts de gestion tout en améliorant la qualité de service aux participants et

aux entreprises. Ainsi, les fusions de caisses de retraite se sont multipliées. Les Groupes de Protection Sociale

sont passés de 66 en 2000 à 17 en 2008, et le mouvement se poursuit aujourd'hui. Aujourd'hui, il reste environ 6

grands groupes. Et avec le déploiement de l'Usine Retraite (outil de gestion pour les activités de Retraite

Complémentaire), il est probable que ce chiffre passe à environ 4 ou 5 grands groupes. Ces mouvements de

concentration se retrouvent sur le champ du concurrentiel (Prévoyance et Santé) en raison de la réglementation

et de Solvabilité 2, car les exigences en termes de solvabilité sont plus difficiles à tenir pour les petites

mutuelles, qui ont donc d'ores-et-déjà commencé à se rapprocher. Solvabilité 2, en raison de ses exigences en

termes de fonds propres et ses exigences qualitatives, va donc renforcer ce phénomène de concentration des

acteurs du marché, qui a déjà lieu aujourd'hui. D'autant plus que, d'après l'un de mes interlocuteurs, après le 1er



janvier 2013, si une entreprise est dans l'impossibilité de respecter les exigences de la directive, l'ACP pourra

aller jusqu'à lui imposer un rapprochement avec un autre groupe.

La directive va donc sans doute avoir pour effet d'accentuer encore la concentration du secteur de l’assurance,

qui est déjà élevée au niveau européen, puisque les cinq premiers groupes d'assurance représentent près de 50

% du marché (76 % pour les dix premiers), d'après les chiffres de la FFSA.

Cependant, les interlocuteurs que j'ai rencontrés ne sont pas unanimes sur le fait que les grands groupes

d'assurance aient fait du lobbying pour faire passer Solvabilité 2. On peut penser que dans un premier temps,

ces grands groupes ont voulu profiter de la directive pour provoquer une régulation du marché en s'appropriant

des petites structures et donc avoir moins de concurrence, mais il est clair que la directive Solvabilité 2 est

devenue plus stricte que prévu en raison de la crise économique. Cette augmentation des exigences de la

directive n'avait bien sûr pas été prévue par les grands groupes.

-Une relation avec les autorités de contrôle (l’ACP et ses homologues européens) est en train de se construire et

devrait continuer bien après 2012. En effet, la détermination du SCR repose sur une appréciation subjective par

chaque entreprise de son niveau de risque : un dialogue approfondi avec les autorités de contrôle est donc

nécessaire afin que l'entreprise puisse apporter la preuve que son processus décisionnel intègre correctement la

dimension du risque, et que les autorités de contrôle puissent s'assurer de la qualité des modélisations et des

hypothèses retenues, ainsi que de l'efficience des processus de Contrôle Interne de de maîtrise des risques. A

l'issue de ce dialogue, l'autorité de contrôle aura la possibilité de requérir un "capital add-on" au titre du pilier 2,

pour couvrir les manquements de la modélisation : l'ACP aura le pouvoir d'augmenter les exigences de fonds

propres si elle juge que le système de Contrôle Interne n'est pas adéquat, par exemple.

De plus, les entreprises peuvent opter pour une méthode personnalisée de calcul des MCR et SCR : l'approche

interne est plus complexe à mettre en œuvre que la formule standard, mais peut permettre de diminuer le niveau

de fonds propres obligatoires. D'autant que les simplifications adoptées pour rendre la formule standard la plus

universelle possible induisent certaines limites dans l'appréciation quantitative de la situation financière des

entreprises. Pour les entreprises voulant opter pour le modèle interne, un accord de l'autorité de contrôle sera

requis préalablement à la détermination effective du SCR à partir de ce modèle interne.

Cependant, la validation de l'approche interne par l'autorité de contrôle ne se fera que lorsque des simulations

complètes des résultats obtenus par ces modèles pourront être présentées au régulateur. Bien qu'il soit possible

d'organiser des visites intermédiaires, pour chaque entreprise, le régulateur ne validera l'approche interne

qu'une fois le projet terminé. C'est donc une validation a posteriori.



Enfin, l'ACP va venir, entre autres, s'assurer que le pilier 2 est bien mis en place, car le thème de la

gouvernance va prendre de l'importance et s'inscrire au cœur de ses contrôles dans les années à venir. En effet,

avec la crise de 2008, on s'est aperçu que la gouvernance était au cœur du problème. Désormais, l'ACP

contrôle donc le processus de gouvernance plus en détail : cela revient à s'assurer que toutes les informations

nécessaires sont bien transmises au Conseil d'Administration, que le reporting et les bilans sont fiables et

pertinents, et à évaluer la capacité des dirigeants à piloter le risque.

Pour l'ACP également, Solvabilité 2 représente un enjeu monumental car les changements entraînés par cette

directive sont très difficiles à contrôler, surtout au sein des grandes assurances. L'ACP va notamment venir

contrôler le processus de gestion des risques et l'application du pilier 2.

Ainsi, si une entreprise ne respecte pas les exigences de Solvabilité 2 et que l'ACP s'en aperçoit au cours d'un

de ses audits, l'entreprise sera mise sous tutelle pendant un an, et si après cette période, elle ne répond toujours

pas aux exigences de la directive, elle perdra son agrément et devra donc cesser son activité. Bien sûr, il est

quasiment impossible que cette situation se produise puisque, concrètement, si une entreprise est dans

l'impossibilité de respecter la directive, l'ACP pourra aller jusqu'à lui imposer un rapprochement avec une autre

entreprise.

-D'après un Directeur de l'Audit que j'ai rencontré, il y aura à l'avenir une séparation beaucoup plus forte entre

les métiers de l'Assurance de Personnes et de la Retraite Complémentaire : certains Groupes de Protection

Sociale vont se spécialiser dans l'activité Retraite Complémentaire (que l'on peut résumer comme étant une

activité de « sous-traitant » de l'Agirc-Arrco) et d'autres dans l'Assurance.

En effet, Solvabilité 2 ne concerne que la partie Assurance de Personnes des Groupes de Protection Sociale, ce

qui va peut-être créer une distorsion entre cette activité et l'activité Retraite Complémentaire de ces groupes, qui

n'aura pas les mêmes besoins et ne sera pas soumise aux mêmes réglementations.

-La crise financière débutée en 2008 a mis à mal l'image du monde de l'assurance aux yeux du grand public. Or

Solvabilité 2 va donner au marché de l'assurance les moyens de mieux maîtriser la solvabilité des entreprises.

La directive influe non seulement sur les mécanismes de gouvernance des entreprises mais elle place aussi le

client au cœur d'un dispositif destiné à lui garantir la solvabilité de l'assureur qu'il a choisi. Les entreprises vont

donc se situer dans un contexte de professionnalisation accrue de l'ensemble des acteurs, qui sera marqué par

une concurrence de plus en plus affirmée, face à des clients de plus en plus informés et exigeants en matière

d'offres assurantielles et de performance.

-La date du 1er janvier 2013 ne constituera pas une fin en soi : les assureurs devront poursuivre leurs travaux

dans l’idée de parfaire leur dispositif de maîtrise des risques après cette date, qui a donc surtout une valeur

« symbolique ». En effet, les entreprises ne peuvent pas se cantonner à une « simple » mise en conformité avec



la directive ; il faudra exploiter et faire évoluer le dispositif de maîtrise des risques une fois qu'il sera mis en

place. Les mesures de transition récemment évoquées par la Commission Européenne (directive Omnibus 2)

vont dans ce sens. Les prochaines années vont ainsi être importantes, et les entreprises devront continuer à se

mobiliser afin que Solvabilité 2 soit une réussite pour elles, c'est-à-dire une mise en conformité réussie mais

également une valeur ajoutée apportée par le respect des exigences de la directive.

Enfin, nous constatons que Solvabilité 2 s'inscrit dans un contexte global et n'est finalement qu'un changement

parmi tant d'autres qui se profilent dans les années à venir et qui impacteront les assurances, les Groupes de

Protection Sociale et les mutuelles :

-D'après l'un de mes interlocuteurs, après 2013, les Groupes de Protection Sociale vont être dans une logique

de « montée en puissance », et ne souhaiteront plus être considérés comme des caisses de retraite qui ont

aussi une activité assurance. On constate d'ailleurs que les Groupes de Protection Sociale manifestent

aujourd'hui un intérêt pour tous les métiers de l'assurance. C'était déjà le cas pour certains, avec l'intégration de

mutuelles, mais ce phénomène a récemment pris de l'ampleur avec « l'attaque » de nouveaux marchés, comme

l'épargne retraite, via le développement de nouvelles structures (généralement avec de nouveaux partenaires).

De plus, on constate qu'actuellement, la plupart des Groupes de Protection Sociale sont déjà plus puissants que

les plus importantes mutuelles : leur montée en puissance dans le domaine de l’assurance constitue une

évolution majeure de ces dernières années. Cependant, l'atteinte d'une taille critique sera indispensable pour

jouer « dans la même cour » que leurs grands concurrents.

-Un autre changement possible à venir en France concerne un rapport récent de François Fillon, qui a indiqué

que seuls les organismes de Sécurité Sociale devraient s'occuper du versement des retraites à l'avenir. Ce

changement annonce-t-il la fin de l'Agirc et de l'Arrco (institutions qui gèrent les régimes de retraite

complémentaire des cadres et des salariés, en collaboration avec les Groupes de Protection Sociale) ? La

raison principale de cette proposition de changement est que les frais de gestion de l'Agirc-Arrco sont de 20%,

un chiffre supérieur aux frais de gestion de la Caisse Nationale d'Assurance Vieillesse (CNAV), qui est une

branche de la Sécurité sociale. La CNAV souhaiterait donc prendre en charge la retraite de base mais

également la retraite complémentaire, même si les Groupes de Protection Sociale s'occuperaient toujours du

versement des retraites complémentaires. Cette possibilité a été écartée de la réforme des retraites pour

l'instant ; néanmoins, il est clair que la Retraite Complémentaire va évoluer dans un environnement

particulièrement riche dans les prochaines années.

De plus, la réforme des retraites va avoir un autre impact important sur les Groupes de Protection Sociale,

puisque le recul de l’âge légal de la retraite à 62 ans, en plus d'avoir un impact sur le régime de retraite

complémentaire, a un impact fort sur le régime de prévoyance des entreprises. En effet, les Institutions de

Prévoyance devront verser les prestations complémentaires d’incapacité de travail et d’invalidité aux salariés

couverts par le régime des entreprises clientes pendant deux années supplémentaires, puisqu'elles sont tenues



de couvrir les assurés en arrêt de travail jusqu’à leur départ en retraite. Cet allongement de la durée de

paiement des prestations, qui représente environ 20% de charges supplémentaires, a conduit à augmenter les

cotisations versées par les entreprises au 1er janvier 2011.

-En plus des changements liés à Solvabilité 2 viendront s'ajouter en France ainsi que dans d’autres pays

européens les conséquences des réformes de l'État visant à réduire les déficits publics. Pour le secteur de

l'assurance de personnes, elles se traduiront forcément par la poursuite du désengagement de l'État en matière

de dépenses de protection sociale, et le transfert vers les assurances complémentaires. Ainsi, la réorganisation

du système de protection sociale en France et dans d’autres pays européens est un grand sujet qui impactera

les Groupes de Protection Sociale à l'avenir, avec notamment le dé-remboursement des médicaments par la

Sécurité Sociale (abaissement à 15% du taux de remboursement par la Sécurité Sociale, contre 35% jusque-là,

pour de nombreux médicaments).



Conclusion

➢ Jusqu’à présent, l’attention des entreprises s’est surtout portée sur le premier pilier de la directive, qui va

permettre de mettre en place des méthodes d'évaluation des risques efficaces et fiables afin de mieux adapter le

niveau de fonds propres avec la réalité des risques encourus. Le but de ce pilier est d'inciter les entreprises à

mieux gérer leurs risques et par conséquent accroître leur solvabilité.

➢ Cependant, il est important que les entreprises ne négligent pas le deuxième pilier, qui est tout aussi

important que le premier et le complète : les dispositions sur la gouvernance, la gestion des risques, le Contrôle

et l’Audit Internes ont pour but de conduire à un pilotage plus efficace des entreprises. En effet, l'application des

aspects qualitatifs du pilier 2 offre l'opportunité à l'entreprise d'acquérir une maîtrise plus complète de ses

risques et d'optimiser le processus de pilotage des risques, d'autant que les superviseurs porteront une attention

particulière à ce pilier 2, dans la mesure où il se situe au cœur de la « philosophie » de Solvabilité 2, qui est

d'assurer la maîtrise par les sociétés de leurs risques. Sans compter que la récente crise financière a sans

doute renforcé l’importance qui sera accordée à ce deuxième pilier puisqu’en exposant les limites de l’approche

quantitative, elle a souligné la nécessité de renforcer les exigences qualitatives.

➢ Au-delà de la contrainte réglementaire, les éléments constitutifs du pilier 2 peuvent conduire à une

amélioration de la gouvernance des entreprises ; les outils que sont le Contrôle Interne, l'ORSA ou encore l'ERM

devraient permettre au Conseil d'Administration de mieux suivre la gestion des risques, de connaître à tout

moment le positionnement en termes de couple rendement/risque et de fixer un niveau cible en ligne avec les

objectifs stratégiques. Ainsi, comme nous l'avons vu, les principaux enjeux du pilier 2 sont le renforcement du

rôle et du fonctionnement du Conseil d’Administration, la mise en place d’un système de Gestion des risques et

de Contrôle Interne, et la mise en place voire le renforcement de fonctions-clés telles que l'Audit Interne, le Risk

Management et le Contrôle Interne.

➢ Nous avons constaté que le pilier 2 n'entraînera pas de changements majeurs pour la fonction Audit

Interne car cette fonction existe depuis plusieurs dizaines d'années, et est par nature très normalisée et

standardisée. La directive entraîne des changements bien plus importants au niveau du Contrôle Interne, du

Risk Management et de la Conformité, ce qui est logique car ces fonctions sont beaucoup plus récentes, et

peuvent donc encore évoluer de façon importante. En effet, le Contrôle Interne existe véritablement depuis le

début des années 2000 seulement (avec la loi Sarbanes-Oxley en 2002 et la LSF en 2003), et le Risk

Management tel qu’on le connaît aujourd’hui est encore plus récent. Bâle 2 a placé le Risk Management au

centre du dispositif de gouvernance des banques, et Solvabilité 2 décline ceci pour les assurances. La directive

a donc une influence importante sur ces deux dernières fonctions, en les renforçant et en leur définissant un

cadre précis et des exigences à respecter.



L'impact global du pilier 2 de Solvabilité 2 concerne donc le renforcement des dispositifs de gouvernance

d'entreprise, de Risk Management, de Contrôle Interne et d'Audit Interne, et les éléments-clés sont les suivants :

-concernant la gouvernance : le rôle et le fonctionnement du Conseil d’Administration et de ses émanations sont

renforcés. En effet, les organes dirigeants se voient attribuer de nouvelles responsabilités et portent la

responsabilité de tout le dispositif de maîtrise des risques à mettre en place,

-concernant le Risk Management : un Système de Gestion des Risques doit être mis en place,

-concernant le Contrôle Interne : cette fonction doit être mise en place ou optimisée afin de maîtriser les activités

et les processus, accompagnée d'une fonction Conformité,

-concernant l'Audit Interne : de même, il faut mettre en place ou optimiser cette fonction, qui sera d'ailleurs

chargée de conduire des missions spécifiques à Solvabilité 2 dans les années à venir.

d

➢ L’application de la directive entraînera ainsi une refonte de l'organisation interne des entreprises, avec

l'apparition de nouvelles fonctions, un impact sur les fonctions actuelles et sur l'organigramme, et l'obligation de

pilotage permanent de la solvabilité au plus haut niveau. La mise en place de Solvabilité 2 représente donc une

transformation de l’entreprise, impactant aussi bien son modèle d’organisation que sa stratégie.

➢ Le pilier 2 est composé de nombreuses dispositions à mettre en œuvre par les entreprises, ce qui peut

avoir un aspect contraignant pour elles. Cependant, il faut noter que relativement peu de détails sont donnés sur

ce pilier par les textes officiels, laissant la possibilité à chaque entreprise d'adopter une véritable réflexion et

d'appliquer les exigences de la directive « sur-mesure ». On constate notamment que la section 2 de la directive,

appelée « Système de Gouvernance » et entièrement dédiée au pilier 2, s'étale seulement sur une vingtaine de

pages (la directive en comprend environ 600 au total), et que l'essentiel des débats concernant Solvabilité 2

s'est centré sur la dimension quantitative de la directive. D'autant plus que l'identification d'une fonction donnée

comme le Contrôle Interne ou l’Audit Interne n'empêche pas les entreprises de décider librement de la façon

d'organiser cette fonction en pratique, sauf indication contraire donnée par la directive.

➢ Cela est bien sûr lié à l'aspect qualitatif de ce pilier 2, qui rend les modalités d'application bien plus

« floues » que celles accompagnant les exigences quantitatives du pilier 1 (celles-ci font l'objet d'articles

beaucoup plus longs et détaillés dans la directive) : ainsi, le pilier 2 est basé sur des principes et non des règles

précises, et nécessite donc une approche sur-mesure pour chaque entreprise. Le problème est que le manque

de visibilité actuel sur les exigences concernant ce pilier 2 peut représenter un frein à la progression du niveau

de préparation des entreprises, car les dirigeants émettent généralement des réserves à se lancer dans des

projets aussi ambitieux lorsque la cible n’est pas clairement définie, avec une incertitude sur l’appréciation finale

de la conformité par le superviseur. D'autant plus que le pilier 2 reste complexe à mettre en œuvre et que la

mise en conformité avec ses exigences a de fortes chances d'engendrer un coût élevé.



➢ L'enjeu pour l’après 2012 est donc de s’extraire de la « simple » mise en conformité réglementaire, et

d’essayer de transformer Solvabilité 2 en atout pour l’entreprise. Une approche méthodique, harmonisée dans

l’ensemble de la structure et sous-tendue par des objectifs clairs (pilotage par le top management,

responsabilisation des différents échelons de décision face au risque etc.) sera le moyen de se mettre en

conformité avec la réglementation, mais surtout de générer de la valeur, en mettant en place une organisation

cohérente et efficace.

➢ En conclusion, Solvabilité 2 va sans doute générer une régulation du marché car il y a une volonté

implicite d'assainir celui-ci afin que seules les entreprises les plus « solides » perdurent et soient en mesure de

protéger leurs assurés. Bien sûr, cette volonté n'est pas clairement revendiquée par la directive, mais en

étudiant objectivement les exigences du pilier 2 (comme celles du pilier 1), on constate que, globalement, elles

ne font que reprendre les pratiques qui sont d'ores-et-déjà banalisées au sein de la plupart des grands groupes,

alors que ces pratiques seront quasiment impossibles à mettre en place au sein des petites entreprises. D'autant

plus que la mise en œuvre de ces exigences s'accompagne d'un impact financier important ainsi que d'un

impact organisationnel, en provoquant des restructurations au sein de l'entreprise. Ces impacts seront

difficilement gérables par les petites entreprises. On constate également que le principe de proportionnalité

évoqué dans la directive, et visant justement à adapter les exigences de Solvabilité 2 en fonction de la taille de

l'entreprise, reste très peu détaillé, et n'a toujours pas fait l'objet, à l'heure actuelle, d'une définition plus

rigoureuse et précise de la part de la Commission Européenne, du CEIOPS ou de l'EIOPA. Chaque entreprise

l'interprète donc à sa façon pour l'instant, ce qui pourrait entraîner des dérives : les petites entreprises ne savent

pas comment les simplifications induites par ce principe de proportionnalité leur seront appliquées, alors qu'il ne

reste qu'un peu plus d'un an avant la date butoir.

➢ La directive va entraîner des changements importants dans le droit français, tant au niveau du Code des

Assurances, du Code de la Sécurité Sociale que du Code de la Mutualité. Cependant, Solvabilité 2 n'est qu'un

élément parmi tous les autres changements qui vont toucher les assurances et les Groupes de Protection

Sociale à moyen et long terme (on peut citer notamment les mouvements de concentration des Groupes de

Protection Sociale, mais aussi l'évolution des législations etc.). D'autant plus que nous avons constaté que le

pilier 2 de Solvabilité 2, sur de nombreux points, ne fait que rappeler les bonnes pratiques en matière de gestion

des risques, qui sont déjà appliquées dans les groupes de taille moyenne et les grands groupes, et reprend

certaines évolutions déjà amorcées par d'autres lois et directives. La logique du pilier 2 s’inscrit en effet dans un

mouvement plus global et initié depuis un certain temps en France, qui vise à renforcer les mécanismes de

Contrôle Interne et la gouvernance. Ce mouvement implique pour les entreprises de garantir un pilotage des

risques permanent et, par conséquent, d’adapter leurs organisations et leurs processus. Ainsi, des évolutions

réglementaires comme celles apportées par le décret du 19 mai 2008 sur le Contrôle Interne et l'ordonnance du

8 décembre 2008 sont à relier aux changements entraînés par le pilier 2, et relativisent son impact. De même,

on peut supposer que les entreprises vont, tout en respectant les exigences de la directive, essayer d'avoir le



niveau de fonds propres obligatoires le plus bas possible. Cela amène à se demander quelle est la « morale »

de la réforme Solvabilité 2 par les modèles internes, puisque, en se basant sur ces modèles, les grandes

assurances qui disposent des moyens et des compétences nécessaires pour les mettre en œuvre peuvent

choisir elles-mêmes leur besoin en capitaux propres, à la condition qu'elles puissent justifier des méthodes

utilisées. Or, les entreprises auraient plutôt intérêt à aller au plus prés de la réalité des risques qu'elles portent,

et non au plus bas de l’exigence en capital en matière de solvabilité. D’autant plus que ces modèles internes ne

pourront pas être appliqués par les petits groupes, ne disposant pas des ressources humaines et financières

nécessaires pour les mettre en œuvre.

➢ La différence avec toutes les lois qui l'ont précédée est que Solvabilité 2 est une réglementation

européenne, et entraîne donc de nombreux changements si tous les éléments la constituant n’avaient pas été

mis en place auparavant. Même s'il est donc nécessaire de relativiser l'importance de Solvabilité 2, cette

directive va tout de même entraîner des répercussions majeures en permettant de globaliser les bonnes

pratiques en matière de maîtrise des risques et de gouvernance au niveau européen, et va aussi avoir d'autres

impacts, plus « imprévisibles », sur les entreprises, comme une modification de leurs objectifs stratégiques et

stratégies d'investissement (avec une baisse des investissements en actions et en obligations), une hausse

possible des prix des assurances, voire même une diminution de la performance (entraînée par un « carcan »

excessif de contrôle et de maîtrise des risques) et la disparition de certaines mutuelles, Institutions de

Prévoyance et assureurs qui ne passeront pas le cap de Solvabilité 2.

➢ Solvabilité 2 divise la marge de solvabilité des entreprises : ainsi, ses exigences revues à la hausse ont

conduit à réfléchir à Bâle 3, qui serait le pendant de Solvabilité 2 pour les banques. Dans les années à venir,

Bâle 3 sera donc mis en place dans le but de rééquilibrer le marché entre les banques et les assurances, en

étant bien plus strict que Bâle 2. Les travaux de la Commission Européenne concernant Bâle 3 ont d'ailleurs

déjà commencé. On peut donc se demander jusqu'où iront ces directives et si cet enchaînement de

réglementations n'est pas excessif.



Lexique :

Assurance : Le contrat d'assurance est un contrat aléatoire par lequel un organisme dit "l'assureur", qui pour pratiquer

l'assurance doit être autorisé par le Ministère des Finances à exercer ce type d'activité, s'engage envers une ou plusieurs

personnes déterminées ou un groupe de personnes dites les "assurées", à couvrir, moyennant le paiement d'une somme

d'argent dite "prime d'assurance", une catégorie de risques déterminés par le contrat que dans la pratique on appelle "police

d'assurance". Les conventions additionnelles qui sont destinées à modifier le contrat initial prennent le nom d'"avenants".

Cette activité s'exerce dans de très nombreux secteurs (assurance de dommages, assurance de responsabilité, assurance

vie, assurance crédit notamment).

Concernant l'assurance vie, la Cour de cassation a jugé, au visa des articles 1121 du code civil et L. 132-9 du code des

assurances que, sauf manifestation contraire de volonté du stipulant, si le bénéficiaire vient à décéder après le stipulant, le

contrat d'assurance vie profite aux héritiers de ce bénéficiaire. Cette transmission s'effectue alors, de droit, alors même que,

de son vivant, la personne avantagée n'aurait pas accepté le bénéfice de l’assurance-vie.

Protection sociale : La protection sociale désigne tous les mécanismes de prévoyance collective, permettant aux individus

de faire face aux conséquences financières des "risques sociaux". Il s’agit de situations susceptibles de compromettre la

sécurité économique de l’individu ou de sa famille, en provoquant une baisse de ses ressources ou une hausse de ses

dépenses (vieillesse, maladie, invalidité, chômage, maternité, charges de famille, etc.).

Elle peut fonctionner selon trois logiques :

-une logique d’assurance sociale, dont l’objectif est de prémunir contre un risque de perte de revenu (chômage, maladie,

vieillesse, accident du travail). Les prestations sociales sont financées par des cotisations sur les salaires (comme dans une

assurance privée) et sont donc réservées à ceux qui cotisent ;

-une logique d’assistance, qui a pour objectif d’instaurer une solidarité entre les individus pour lutter contre les formes de

pauvreté. Elle consiste à assurer un revenu minimum, qui ne couvre pas forcément un risque spécifique. Il est versé sous

condition de ressources, mais non de cotisations préalables (revenu minimum d’insertion, allocation adulte handicapé) ;

-une logique de protection universelle, qui a pour but de couvrir certaines catégories de dépenses pour tous les individus.

Les prestations sont donc accordées sans conditions de cotisations ni de ressources, mais sont les mêmes pour tous

(prestations familiales).

Les systèmes les plus développés de protection sociale sont surtout le fait des pays européens. Leurs ressources sont

constituées principalement par les impôts et les cotisations sociales. En France, le système de protection sociale représente

environ 500 milliards d’euros chaque année, soit plus de 30% du PIB.

Les Groupes de Protection Sociale sont souvent constitués de 4 « branches » : la Retraite Complémentaire (avec une

Institution de Retraite Complémentaire Agirc et une Institution de Retraite Complémentaire Arrco), la Prévoyance, la Santé

(mutuelle) et l'Épargne. Solvabilité 2 concerne uniquement les activités Prévoyance et Santé des Groupes de Protection

Sociale. Auparavant, seules les sociétés d'assurance étaient contrôlées par l'ACP, car les Groupes de Protection Sociale



n'avaient qu'une activité Retraite Complémentaire. Puis ils ont développé des activités Prévoyance et Santé ; c'est là qu'ils

ont commencé à être contrôlés.

Mutuelle : Selon la définition qui en est donnée par le Code de la Mutualité, la mutuelle est un groupement ayant la capacité

civile, dont la création est soumise à déclaration. Le statut de la mutuelle relève du principe de l'autogestion. Elle poursuit un

but non lucratif menant dans l'intérêt de ses membres, moyennant le versement d'une cotisation, à des actions de

prévoyance, de solidarité et d'entraide.

A l'exception des cas où elles participent, en qualité d'organisme social, à la gestion d'un régime obligatoire de sécurité

sociale, les mutuelles font partie de ce qui est convenu d'appeler « le droit de la sécurité sociale complémentaire ». Elles

sont alors gouvernées par le principe de l'adhésion contractuelle individuelle ou collective, et contrairement aux mutuelles

qui gèrent un régime obligatoire, les difficultés relatives à leur fonctionnement comme celles qui naissent de leurs rapports

avec leurs adhérents restent de la compétence des juridictions de droit commun et non de la compétence des tribunaux des

affaires de sécurité sociale.

Réassurance : La réassurance est un contrat aux termes duquel une société, le réassureur, s'engage à garantir une société

d'assurance, la cédante, contre tout ou partie du ou des risques qu'elle a souscrits aux termes d'une ou plusieurs polices

d'assurance. La réassurance diffère de l'assurance notamment en raison de sa plus grande complexité inhérente à la

diversité plus importante de ses activités et à son caractère international. La réassurance permet à une cédante d'obtenir

certains avantages, notamment une réduction de son engagement net sur des risques individuels et une protection contre

des pertes multiples ou importantes. La réassurance fournit aux cédantes le capital nécessaire pour augmenter leurs

capacités de souscription tant en termes de nombre que d’ampleur des risques. La réassurance ne décharge cependant pas

la cédante de ses engagements face aux assurés. Par ailleurs, un réassureur peut céder à son tour à d'autres réassureurs

(appelés rétrocessionnaires) une partie des risques en question.

Gouvernement d'entreprise : D'après le Cadre de Référence International des Pratiques Professionnelles de l'IIA, le

gouvernement d'entreprise est « un dispositif comprenant les processus et les structures mis en place par le Conseil afin

d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs ».

D'après l'OCDE, le gouvernement d'entreprise « fait référence aux relations entre la Direction d'une entreprise, son Conseil

d'Administration, ses actionnaires et autres parties prenantes. Il détermine également la structure par laquelle sont définis les

objectifs d'une entreprise, ainsi que les moyens de les atteindre et d'assurer une surveillance des résultats obtenus ».

C'est aussi un ensemble de règles permettant aux actionnaires de s'assurer que les entreprises dont ils détiennent des parts

sont dirigées en conformité avec leurs propres intérêts. Ces règles s'organisent autour d'un schéma à trois étages : les

actionnaires, le Conseil d'Administration, et la Direction Générale.

Risque : Définition du risque selon les assurances : événement incertain contre la réalisation duquel on s'assure. Par

extension, les assureurs appellent "risque" le bien sur lequel porte l'assurance : risque locatif, ou la personne assurée (un

conducteur avec un malus important est appelé risque aggravé).



D'après le COSO 2, c'est « la possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Il

se mesure en termes de conséquences et de probabilité ». Les différentes conséquences peuvent être une perte financière,

une responsabilité civile ou pénale, des sanctions légales et/ou professionnelles, et une dégradation de l'image du groupe.

Risk Management : Processus administratif et décisionnel qui a comme fonction de minimiser à un coût raisonnable les

conséquences d’événements défavorables mettant en danger les objectifs de l’organisation. Processus de décision et de

gestion permettant de planifier, d’organiser, de diriger et de contrôler les activités d’une organisation de façon à minimiser

pour un coût raisonnable les conséquences défavorables des risques auxquels est exposée cette organisation.

D'après le COSO 2, « Le management des risques est un processus mis en oeuvre par le Conseil d’Administration, la

direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration

de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels

susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à

fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation ».

Le COSO 2 résume le processus de Risk Management de la façon suivante :

Risques opérationnels : Risques de pertes directes ou indirectes venant d’une inadéquation ou d’une défaillance attribuables

à des procédures, des personnes, des systèmes internes, ou des événements extérieurs.

Contrôle Interne : Pour l'Autorité des Marchés Financiers, le Contrôle Interne est un dispositif de la société, défini et mis en

œuvre sous sa responsabilité, contribuant à la maîtrise de ses activités, à l'efficacité de ses opérations et à l'utilisation

efficiente de ses ressources. Il vise à assurer la conformité réglementaire, l'application des décisions fixées par la Direction

Générale, le bon fonctionnement des processus internes de la société et la fiabilité des informations financières..



COSO : Référentiel de Contrôle Interne qui propose une structure type d'un dispositif de Contrôle Interne pour atteindre les

objectifs définis, selon 5 composantes : l'environnement de contrôle, l'évaluation des risques, les activités de contrôle,

l'information et la communication, et le pilotage.

Le COSO définit le Contrôle Interne comme un processus mis en œuvre par le Conseil d'Administration, les dirigeants et le

personnel d'une organisation destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

réalisation et optimisation des opérations, fiabilité des informations, respect des réglementations. Le COSO détermine cinq

composantes au Contrôle Interne : l'environnement de contrôle, l'évaluation des risques, les activités de contrôle,

l'information et la communication, et le pilotage.

Audit interne : Définition officielle de l'IFACI : « L’audit interne est une activité indépendante et objective qui donne à une

organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et

contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche

systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et

en faisant des propositions pour renforcer leur efficacité. »

Système Intégré de Gestion des Risques : Certaines entreprises se tournent vers un système intégré de gestion des

risques, que l'on peut définir comme étant un dispositif de maîtrise des risques « unique », qui englobe principalement le

Risk Management, le Contrôle Interne, l'Audit Interne, la Conformité, le management de la Qualité, et la sécurité des

systèmes d'information. Le but principal est de faire face à l’accumulation des réglementations, systèmes et référentiels à

respecter au sein de l'entreprise, qui peuvent entraîner une confusion ainsi qu’une perte de temps, d'efficacité, et de

cohérence entre les différentes fonctions en charge de la maîtrise des risques et leurs missions.

Un système intégré de gestion des risques est donc un outil de gestion des risques mis à disposition de tous les acteurs qui

sont concernés par ce sujet au sein de l’entreprise : cet outil est un facteur de cohésion, de rapidité d’information

(ascendante et descendante), et facilite la remontée des alertes et l’élaboration des synthèses. Il améliore donc le pilotage



du dispositif, et peut même être considéré comme indispensable dans un groupe complexe et multi-métiers, qui se doit d'être

coordonné. Son efficience dépend très largement de sa conception, dont le Risk Manager doit être le maître d’ouvrage.

Solvabilité : D'après la Fédération Française des Sociétés d'Assurance, la solvabilité est la capacité pour un assureur à

respecter les engagements de long terme qu’il prend auprès de ses clients. Elle dépend de l’importance de ces

engagements (les garanties et protections offertes aux assurés) et des ressources dont dispose la société d’assurance pour

y faire face, notamment sous la forme des fonds propres et des actifs qu’elle détient (actions, obligations, etc.).

Les contrats d’assurance vie représentent une partie importante de ces engagements, aux côtés des autres garanties et

protections offertes aux assurés: les contrats de responsabilités civiles et professionnelles, les contrats de protections des

biens, etc.

La solvabilité dépend aussi de la valeur des actifs détenus par les sociétés d’assurances (actions, obligations, immobilier)

dans lesquels elles investissent les fonds confiés par les assurés. Si leur valeur diminue, alors la solvabilité est fragilisée.

L’insolvabilité est le principal risque financier auquel sont confrontées les sociétés d’assurances. Afin de garantir leur

solvabilité, les sociétés d’assurances doivent disposer, au-delà des réserves qui couvrent déjà l’intégralité des engagements

souscrits vis-à-vis des assurés, de fonds propres en quantité suffisante pour faire face à des événements imprévus pouvant

affecter le respect de leurs engagements : ce sont les capitaux propres réglementaires.

Fonds propres : Les fonds propres (ou capitaux propres) correspondent aux ressources stables de l'entreprise. Ils sont

composés du capital social, des réserves, du report à nouveau et du résultat de l'exercice. Il ne faut donc pas confondre

« actif » et « capitaux propres ». En effet, ce sont les capitaux propres et les dettes d'une entreprise (autrement dit les

ressources, réunies au bilan dans la catégorie « passif ») qui financent son actif, tant immobilisé (terrains, usines, titres de

participation..) que circulant (créances, stocks, valeurs mobilières ou banque).

Modèle interne (précisions de l'ACP sur le modèle interne) : « La proposition de directive Solvabilité 2 introduit la possibilité

pour les organismes d’assurance d’évaluer leur SCR (Capital de Solvabilité Requis) à l’aide d’un modèle interne et précise

les conditions sous lesquelles les autorités de supervision seraient en mesure d’approuver les modèles utilisés. Solvabilité 2

met l’accent sur la connaissance par l’entreprise de son profil de risque et sur l’adaptation des exigences de capital à ce

profil de risque spécifique. Or la formule standard, par essence, ne donnera toujours qu’une vision imparfaite du profil de

risque de l’organisme. Un modèle interne peut, quant à lui, être développé d’une manière cohérente avec les caractéristiques

propres à l’activité exercée et avec l’organisation mise en place.

Les modèles internes n’ont pas vocation à être de simples modèles mathématiques mais doivent également s’intégrer dans

la gestion des risques de l’entité. Les modèles actuariels sont des outils de pilotage et d’aide à la décision pour les

dirigeants. Les événements récents ont d’ailleurs démontré l’importance des dispositifs de gestion des risques adéquats.

D’après la proposition de directive, un modèle interne ne pourra être utilisé à des fins réglementaires que si l’organisme

démontre qu’il l’utilise largement par ailleurs, au niveau stratégique et au niveau des services. Le test relatif à l’utilisation

témoigne de la confiance accordée par l’organisme à son modèle interne. Cette confiance est une condition nécessaire mais

non suffisante pour que le superviseur à son tour autorise l’organisme à évaluer son SCR à l’aide du modèle.



L’évaluation du modèle s’effectuera donc selon de nombreux critères tels que la précision des outils mathématiques, la

qualité des données, la documentation, la gouvernance ou le contrôle interne. Une des difficultés de la modélisation pourrait

être de réussir à quantifier, et à justifier le calcul, des pertes supposées se réaliser dans des situations extrêmement

défavorables malgré des historiques limités pour ce type d’événement. A cet égard, l’année 2008 a montré le manque de

robustesse de certaines hypothèses supposées valides en temps normal. Une réponse à ces sources d’incertitude peut être

le développement, et la correcte prise en compte, de tests de sensibilité et de contrôles des hypothèses destinés à mesurer

les impacts possibles des erreurs de modèle. Le développement d’un modèle interne qui aurait vocation à être approuvé par

l’Autorité de contrôle est donc un processus important et potentiellement coûteux. C’est aux organismes d’assurance

d’analyser les coûts et les bénéfices induits par celui-ci. Notamment, l’utilisation d’un modèle interne pourrait conduire à une

exigence de capital plus faible. Cette diminution ne serait cependant que la traduction d’une exposition au risque plus faible

que celle présumée par la formule standard et la reconnaissance d’une gestion des risques plus efficace. In fine, les

organismes qui bénéficieront de la prise en compte des modèles internes au niveau réglementaire pourraient être ceux qui

en tireront parti pour étoffer leur dispositif de gestion des risques. »



Sources :a

➢ Mes sources d'informations principales sont les entretiens que j'ai réalisés auprès de Directeurs de

l'Audit Interne, une conférence ayant pour thème Solvabilité 2 à laquelle j'ai pu assister, et bien sûr la directive

Solvabilité 2 en elle-même et les Consultation Papers du CEIOPS. Mes autres sources sont les suivantes :

➢ Sites Internet :

-Site de la FFSA : www.ffsa.fr

-Site de l'ACP : www.banque-france.fr/acp/index.html

-Site du CEIOPS : www.acam-france.fr/CEIOPS/

-Site du CTIP (notamment les rapports annuels) : www.ctip.asso.fr

-Site de la Commission Européenne : ec.europa.eu/index_fr.htm

-Site du Parlement Européen : http://europa.eu/institutions/inst/parliament/index_fr.htm

-Site de l'Argus de l'Assurance : www.argusdelassurance.com

-www.solvabilite2.com

-www.assurance-et-mutuelle.com

-www.empruntis.com

-www.senat.fr

-www.investir.fr

-www.scor.com/index.php

-www.lesechos.fr

-www.stopsolvabilite2.com/index.php

-http://lexpansion.lexpress.fr

-www.stopsolvabilite2.com/index.php

-Sites des cabinets de conseil proposant leurs services aux entreprises en ce qui concerne la mise en

conformité avec la directive (Sinequa, PWC etc.)

-Sites des assurances et des Groupes de Protection Sociale

➢ Articles de presse :

- « Solvabilité 2 : un calendrier intenable ? », publié en mars 2011

- « Auditing Insurance Companies and Solvency II », publié en mars 2011

- « Comités d’audit et directeurs financiers : une relation clé », publié en janvier 2010

- « Financial Services Authority : Insurance Risk Management : The Path To Solvency II »

- « Solvabilité 2 et les modèles internes », publié en 2010

- « Solvabilité 2 : la mobilisation générale du marché », publié en janvier 2011

- « Solvency II : detailed guidance notes », publié en mars 2010

- « Solvabilité 2 : l’ACP veut des audits des bilans prudentiels », publié en mars 2011


http://www.ctip.asso.fr/


- « SOLVABILITÉ II : Un enjeu à la portée de tous »

- « Comment Solvabilité II impacte les mutuelles et les IP »

- « Assurances et mutuelles : rapport sur le contrôle interne, première étape de solvabilité II »

-Dossier « Regroupement des mutuelles », Journal des Sociétés - N° 83 - Janvier 2011

-Revue « Échanges » de juin 2010

- « SOLVABILITE II : DERNIERES ORIENTATIONS » de Charles Vincensini

- « Solvabilité 2 : les assureurs avancent sans enthousiasme »

- « AXA : Le PDG de l’assureur critique Solvency II » du 1er juin 2010

- « Denis Kessler critique ouvertement la mise en place de Solvabilité II », 2010

➢ Présentations diverses trouvées sur Internet :

- « Solvabilité 2 : ce qui a été obtenu à Bruxelles » du cabinet Actuaris

- « Ordonnance du 8 décembre 2008 : enjeux pour les cabinets d'audit » de KPMG

- « Baromètre national Solvabilité 2 Édition 2010 », publié en juin 2010

- « Solvency II : contexte et enjeux de la réforme », du cabinet SIA Conseil

- « Solvabilité 2 : une approche pragmatique et proportionnée à la taille de votre entreprise », du cabinet PWC

- « Solvabilité 2 : les assureurs à l’épreuve du deuxième pilier et de l’ORSA », du cabinet Aon Global Risk

Consulting

-Recommandations du CTIP sur le rôle du conseil d’administration des institutions de prévoyance en matière de

contrôle interne

-Présentation « Réunion d’information des Commissions de contrôle », mai 2010

-Présentation « MISE EN ŒUVRE DU CONTRÔLE INTERNE DANS LES GROUPES » de l'Agirc-Arrco, juin

2010

-Présentation « La Conformité en Assurances » de Groupama

-Présentation de l'IFACI sur l'Audit Interne, du 15 octobre 2010

-Présentation « OBLIGATION D’INFORMATION ET DEVOIR DE CONSEIL », Groupe IFACI Groupes de

Protection Sociale

-Présentation « LA PROTECTION DE LA CLIENTELE », réunion IFACI du 15 octobre 2010

-Présentation « Feuille de route Solvabilité 2 pour les mutuelles et lP », juin 2010, et présentation « Solvabilité

2 : limites et opportunités de la réforme », janvier 2010, du cabinet Optimind

-Présentation sur le COSO 2 de Jean-Jacques Gillot et Virginie Morreeuw, novembre 2009

-Présentation « Solvabilité 2 » du groupe Tuillet, octobre 2010

-Présentation « 8ème directive et comité d'audit : évolution ou révolution ? », du groupe Tuillet, mars 2009

-Présentation « Le projet Solvabilité 2 » de l'ESA, 2010

-Présentation « Solvabilité 2 : vers une approche globale et cohérente de la solvabilité » de KPMG Audit

-Présentation « Solvency 2 in a box : offre intégrée pour les acteurs intermédiaires », de PWC

-Présentation « Solvabillité 2 – ORSA et système de gouvernance », de Mazars, 24 mai 2011



➢ Documents internes Réunica :

-Supports des Comités de Pilotage 2010 et 2011

-Comptes-rendus de réunions relatives à Solvabilité 2

-Plans d'action Solvabilité 2 Gouvernance

-Plans d'action Solvabilité 2 Pilier 2 Risques et Contrôles

-Étude portant sur les relations de l'Audit Interne avec les CAC et sur la protection de la clientèle

-Document « Enjeux et approche de mise en œuvre de l'ORSA », juin 2011

➢ Ouvrage :

- « La cartographie : un outil de gestion des risques », de l'AMRAE



Annexes :

Guide d'entretien m'ayant permis de recueillir des informations auprès de mes interlocuteurs.

➢Selon vous, quels sont les objectifs de Solvabilité 2 et surtout du pilier 2 ? En pratique, comment cela se

décline dans votre entreprise ?

➢Est-ce que Solvabilité 2 a fait l’objet d’un projet dans votre entreprise ? Si oui, comment a-t-il été mis en place

dans votre entreprise (organisation, équipe dédiée, fonctions, objectifs, taille de l’équipe) ?

➢Afin de mettre en place les exigences requises par Solvabilité 2, votre entreprise s'est-elle tournée vers l'aide

d'un cabinet de conseil ?

➢Quels sont les principaux impacts du pilier 2 de Solvabilité 2 dans votre entreprise, à court terme et long

terme ?

➢Solvabilité 2 entraîne un renforcement du Management des Risques. Pour vous, quels sont les changements

majeurs provoqués par Solvabilité 2 en matière de gestion des risques ?

➢Quels sont les changements/conséquences majeurs entraînés par les exigences qualitatives (relatives à 7

aspects) du pilier 2 ?

Les 7 aspects sont :

-le Contrôle Interne (et la conformité),

-l'Audit Interne,

-la gouvernance (des critères « Fit & Proper » doivent s'appliquer aux fonctions-clés de l'entreprise),

-la mise en place d'un système de gestion des risques (Risk Management),

-la fonction actuarielle,

-la sous-traitance,

-le volet « ORSA » (évaluation interne des risques et de la solvabilité).

➢Quels sont les autres changements provoqués par Solvabilité 2 (pilier 2) dans les métiers du Risk

Management, de l’Audit Interne et du Contrôle Interne ? Exemples :

- « Obligation » pour les entreprises d’avoir un service Risk Management, un service Contrôle Interne et

un service Audit Interne afin que l'Audit Interne soit complètement indépendant ; qu’est-ce que vous en



pensez ? Nouvelles embauches venant de cette séparation ? Disparition des économies d’échelle, et

pertes de proximité entre les services ?

- Création de la fonction Conformité ;

- Exigences règlementaires de Solvabilité 2 par rapport au Risk Management : disposer d'un véritable

dispositif de maîtrise des risques, de cartographies des risques opérationnels, financiers et stratégiques

=> Comment cela s’est passé chez vous ?

➢Solvency 2 concerne les assurances, Institutions de Prévoyance et mutuelles, mais en fait, elle peut aussi

avoir un impact sur les autres activités de l’entreprise. Dans quelle mesure ?

Seule la partie Assurances de Personnes des Groupes de Protection Sociale est impactée par S2 => Comptez-

vous étendre ces bonnes pratiques au niveau du groupe ? Exemples : le dispositif de Contrôle Interne, contrôle

des délégataires etc… pourraient s’étendre à la Retraite par exemple.

➢Traduction concrète des articles de Solvabilité 2 relatifs au Contrôle Interne/Audit Interne/Risk

Management/Gouvernance :

Article 40 (Responsabilité de l'organe d'administration, de gestion ou de contrôle)

Article 41 (Exigences générales en matière de gouvernance)

Article 42 (Exigences de compétence et d'honorabilité applicables aux personnes qui dirigent effectivement

l'entreprise ou qui occupent d'autres fonctions-clés)

Article 44 (Gestion des risques)

Article 45 (Évaluation interne des risques et de la solvabilité)

Article 46 (Contrôle interne)

Article 47 (Audit interne)

Article 49 (Sous-traitance)

=> Quelle est la traduction concrète de ces articles?



➢Selon vous :

-Impacts positifs (avantages) de Solvabilité 2 au niveau de l’Audit Interne, du Contrôle Interne et du Risk

Management?fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

-Impacts négatifs (inconvénients) au niveau de l’Audit Interne, du Contrôle Interne et du Risk Management?

➢Est-ce que Solvabilité 2 a créé plus de travail, des objectifs/missions supplémentaires ?

Au niveau de l’audit :

ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

- Embauches de nouveaux auditeurs ? La directive a-t-elle un impact sur le profil des auditeurs que vous

embauchez ?ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

- Si vous avez un plan d’audit pluriannuel, avez-vous déjà pris en compte des missions relatives à Solvabilité 2 ?

➢La masse de reporting est-elle en forte évolution avec Solvabilité 2 ? Nouveaux livrables ? Lesquels ?

Exemples : rapport sur le Contrôle Interne, rapport sur la solvabilité etc.

➢Estimation du coût global de Solvabilité 2 pour votre entreprise ? Ramener ce chiffre au nombre de salariés

➢Aujourd'hui, où en êtes-vous dans la démarche de mise en conformité avec Solvabilté 2 (il reste 1 an et 10

mois pour être en conformité) ?

➢Comment voyez-vous l’après 2013 (après la mise en conformité)?



Annexe 1 : Résumé des trois piliers de la directive (1/2).

Source : « Solvabilité 2 : Vers une approche globale et cohérente de la solvabilité », KPMG Audit

Annexe 1 : Résumé des trois piliers de la directive (2/2).

Source : document « Formation Solvabilité 2 », Groupe Tuillet



Annexe 2 : Différences majeures entre Solvabilité 1 et Solvabilité 2.


Annexe 3 : Les acteurs concernés par la directive (1/2).




Annexe 3 : Les acteurs concernés par la directive (2/2).


Annexe 4 : Présentation générale du pilier 2.




Annexe 5 : Les acteurs de la gestion des risques et leurs rôles (1/2).


Annexe 5 : Les acteurs de la gestion des risques et leurs rôles (2/2).




Annexe 6 : Le processus Lamfalussy (architecture législative de la directive).

Source : document interne Réunica

Annexe 7 : Mesures d'application du CEIOPS (mesures de niveau 2), précisant certains éléments évoqués dans les articles de la directive Solvabilité 2.

● Mesure d'application consacrée aux exigences générales en matière de gouvernance (complément de

l'article 41 de la directive) :

A managing agent must establish and maintain an effective system of governance, such that:

• internal reporting is effective at all levels of the business and there is cooperation and effective communication, as relevant,

between all levels of the business.

• there is a clear and well-defined organisational structure with clear, consistent and documented lines of responsibility.

• board members possess sufficient relevant professional qualifications, knowledge and experience to give adequate

assurance that collectively they provide sound and prudent management.

• personnel have the skills, knowledge and expertise to fulfil their allocated responsibilities.

• personnel are aware of the procedures to follow in order to discharge their responsibilities properly.

• decision-making procedures are established and maintained.

• where an individual performs multiple tasks there is not, and is not likely to be, any circumstance that prevents that

individual from performing those tasks soundly, honestly and professionally.

• information systems produce sufficient, reliable, consistent, timely and relevant information on all business activities,

commitments assumed and risk exposures.

• adequate and orderly records are kept.



• the security, integrity and confidentiality of information is safeguarded, taking into account the nature of the information in

question.

• reporting lines ensure prompt and appropriate escalation of issues and proportionate action.

• adequate risk management, compliance, internal audit and actuarial functions are established and maintained.

A managing agent should also address the following as part of its governance framework :

• it must identify potential conflicts of interest and establish procedures to ensure personnel can understand where conflicts of

interest could arise and how these should be addressed.

• personnel who are responsible for key functions (see fit and proper section) should have direct access to the managing

agent’s board.

• it must have written policies on risk management, internal control, internal audit and outsourcing which clearly set out

responsibilities, goals, processes and reporting procedures and are aligned to the managing agent's and syndicate's

business strategy. These policies should be reviewed at least annually.

• it must have processes to ensure regular identification of risks for which contingency plans should be in place, particularly

those to which the business is especially vulnerable. Contingency plans should be regularly tested and updated, and must be

communicated to relevant personnel.

● Mesure d'application consacrée aux exigences d'honorabilité et de compétence applicables aux personnes

qui dirigent effectivement l'entreprise ou qui occupent d'autres fonctions-clés (complément de l'article 42

de la directive) :

A managing agent must ensure that all board members and key function holders meet the 'fit and proper' criteria. Key

functions include those prescribed by the FSA or Lloyd's, as well as any others that the managing agent considers important

in its system of governance. Lloyd’s expects this to include, as a minimum, the chairman, chairman of the risk committee,

chairman of the audit committee, senior independent director, finance function, risk management function, compliance

function, internal audit function and actuarial function.

Fitness for a role is based on assessment of management competence and technical competence. Managing agents must

base their assessments on previous experience, knowledge and professional qualifications, and demonstration of due skill,

care, diligence and compliance with the relevant standards of the sector the person has worked in. Assessment of propriety

of an individual should be based on their reputation, reflecting past conduct, criminal record, financial record and supervisory

experience.

In addition to fitness with regard to their duties in their specific areas of responsibility, the board of the managing agent must,

collectively, be able to provide for the sound and prudent management of the business.

A managing agent must notify Lloyd's and the FSA of those persons who run the business and other key function holders.

● Mesure d'application consacrée au Risk Management (complément de l'article 44 de la directive) :

A managing agent must have an effective risk management system. This requires the following, as a minimum :

• A clear, defined and documented risk management strategy that is consistent with the agent’s business strategy and

includes : risk management objectives, key principles, risk appetite and assignment of risk management responsibilities

across all the agent’s activities.



• Written policies that implement the risk strategy and facilitate control mechanisms. They must include a definition and

categorisation of the material risks faced by the agent, by type and the levels of acceptable risk limits for each risk type.

These policies must reflect the nature, scope and time horizon of the business and the risks associated with it.

• Processes and procedures to enable identification, assessment, management, monitoring and reporting of risks the agent

is, or may be, exposed to.

• Reporting procedures and feedback loops to ensure that information on the risk management system is coordinated and

challenged by the risk management function and actively monitored and managed by all relevant staff and the managing

agent’s board.

• Reports by the risk management function submitted to the board, covering the material risks faced by the business and the

effectiveness of its risk management system.

• A suitable ORSA process.

A managing agent must have a risk management function in place, which must be embedded in the managing agent's

organisational structure. Its reporting lines must ensure objectivity, whilst leaving it free from influence from other functions

and from the agent’s board.

The risk management function must do the following :

• Assist the board and other management in the effective operation of the risk management system, particularly through

specialist analysis and quality review.

• Monitor the risk management system.

• Maintain an aggregated view of the risk profile of the business.

• Report risk exposures to the board and advise the board on the risk aspects of strategic affairs.

• Identify and assess emerging risks.

The risk management function must also be responsible for the following tasks in relation to an internal model :

• Integration of the internal model into the risk management system and its day-to-day operations.

• Assessment of the internal model as a risk management tool and as a means of calculating the SCR.

● Extrait de la mesure d'application consacrée à l'ORSA (complément de l'article 45 de la directive) :

ORSA Requirements20. This part of the paper aims at broadly explaining CEIOPS’ views on the ORSA requirements according to the Framework

Directive Proposal.

21. It is up to an undertaking to decide how it designs its ORSA process, but it has to ensure that the process meets the

requirements set out in Article 44 of the Framework Directive Proposal, and is also proportionate to the nature, scale and

complexity of its risks.

22. Although the execution of the ORSA as such can be outsourced, the administrative or management body remains

responsible for the compliance with the requirements of the ORSA and with Article 48 of the Framework Directive Proposal,

as well as for the management decisions required as part of the risk and capital management to which the ORSA relates.

23. Article 44 (1) of the Framework Directive Proposal identifies what an undertaking is required to determine in the ORSA

process: “1. As part of its risk management system every insurance or reinsurance undertaking shall conduct its own risk and

solvency assessment.

That assessment shall include at least the following:



(a) the overall solvency needs taking into account the specific riskprofile, approved risk tolerance limits and the business

strategy of the undertaking;

(b) the compliance, on a continuous basis, with the capital requirements, as laid down in Chapters VI, Sections 4 and 5 and

with the requirements regarding technical provisions, as laid down in Chapter VI, Section 2.

(c) the extent to which the risk profile of the undertaking concerned deviates significantly from the assumptions underlying

the Solvency Capital Requirement as laid down in Article 101 (3), calculated with the standard formula in accordance with

Chapter VI, Section 4, Subsection 2 or with its partial or full internal model in accordance with Chapter VI, Section 4,

Subsection 3.

24. The purpose of the ORSA is to ensure that undertakings have robust processes for assessing and monitoring their overall

solvency needs, not to duplicate, validate or analyse in detail the parameterisation of the SCR calculation.

25. The ORSA is part of the risk management system. The written policy on risk management as referred to in Article 41 (3)

of the Framework Directive Proposal should include a policy concerning the ORSA process.

26. The following sections include certain aspects that should be taken into account in the ORSA, but are not meant to be an

exhaustive list.

The overall solvency needs

27. As mentioned before, the term “overall solvency needs” includes the assets necessary to cover the liabilities including

technical provisions, the regulatory capital requirements – SCR and MCR – as well as the internal capital needs. Whereas

the regulatory capital requirements can only be covered by eligible own funds, other elements of capital may be taken into

account to cover an undertaking’s internal capital needs.

28. Furthermore, Article 44 (2) of the Framework Directive Proposal states that:

2. For the purposes of point (a) of paragraph 1, the undertaking concerned shall have in place processes which enable it to

properly identify and measure the risks it faces in the short and the long term and also to identify possible events or future

changes in economic conditions that could have unfavourable effects on its overall financial standing. The undertaking shall

demonstrate the methods used to determine its overall solvency needs.

29. An undertaking should not only assess its current risks but also the risks it faces in the long term. That means that long

term projections of the business which are a key part of any undertaking’s financial planning, such as projections of business

plans, economic balance sheet and profit and loss account, are required. These projections should feed into the ORSA in

order to enable the undertaking to form an opinion on the future overall solvency needs and own funds. Suitable capital

planning should include projections of capital requirement and own funds (e.g. raising new own funds). It is up to the

undertakings to decide on reasonable assumptions, parameters, correlations or levels of confidence to be used in the

projections. However, Level 3 may provide some guidance on the minimum contents supervisors should expect from the

ORSA in this respect.

30. An undertaking should also identify and take into account external factors that could have an adverse effect on its overall

solvency needs or its own funds. These external factors can be: changes in the economic conditions, changes in the legal

environment, changes in the insurance market, technical developments that have an impact on the underwriting risk or any

other event the crystallisation of which is sufficiently probable that it be considered by a prudent person.

31. When assessing its overall solvency needs, an undertaking should also take into account management actions that may

be adopted by the undertaking in unfavourable economic conditions. Particular consideration should be given to whether

these management actions will operate as planned under such unfavourable economic conditions.



32. In the SRP, supervisors may also challenge the bases for the projections and an undertaking should be prepared to

explain the rationale for selecting them and demonstrate that its methods and practices are appropriate.

Compliance on a continuous basis

33. The undertaking is responsible for having sufficient eligible own funds to cover the MCR and the SCR on a continuous

basis. The ORSA should include an assessment as to whether the undertaking holds sufficient eligible own funds determined

in accordance with the Directive at any time over the business planning time horizon.

34. CEIOPS’ interpretation of “on a continuous basis” in Article 44 (1) (b) of the Framework Directive Proposal is that it refers

to compliance and not to the required assessment, i.e. the paragraph does not constitute an obligation to constantly

recalculate the SCR and MCR. In order to ensure that the capital requirements are met at all times, the undertaking needs to

have processes in place that enable it to estimate the changes in its capital requirements and eligible own funds’ level since

the last full solvency calculation. How often such a full calculation is to be performed will depend particularly on the volatility

of the capital requirements and the own funds, as well as on the level of solvency. The undertaking should be able to justify

the adequacy of the frequency of the calculation taking into account its risk profile. A full calculation is in any case required if

the risk profile changes significantly.

35. The assessment of the overall solvency needs should not only focus on the amount of own funds needed going forward,

but also on the quality of the own funds, especially those needed to comply with the capital requirements, and the ability to

raise more own funds.

Assessment of the risk profile

36. The assessment includes an analysis of the differences, if any, between the amount of own funds which the undertaking

considers necessary for its business needs and the capital requirement the SCR generates.

37. There are a number of reasons why differences between internal capital needs and regulatory solvency capital

requirement may exist, such as:

a) The undertaking may operate at a different confidence level for business purposes compared to the regulatory

assumptions on which the SCR calculation is based. For instance, it may choose to hold own funds for rating purposes,

which represents a higher confidence level than that used to calibrate the SCR.

b) The undertaking’s risk profile may differ from the one implicit in the SCR. For instance, the undertaking’s assessment of

the capital needed to back a particular insurance risk might be different from the assessment on which the parameters of the

SCR calculation are based or the undertaking’s risk profile may include risks which are not covered by the SCR.

c) In the ORSA the undertaking may use a time horizon for its business planning purposes that differs from the time horizon

underlying the SCR.

d) In the ORSA the undertaking may consider any agreed management actions that could influence the risk profile.

38. Although an undertaking, in performing its ORSA, may for its own business purposes use a confidence level or a time

horizon that differs from that of the SCR calculation, it is also required to perform the internal calculation on the basis of a

99.5% confidence level and a one-year time horizon, in order to assess the deviation of its risk profile from the assumptions

underlying the SCR calculation, as required by Article 44 (1) (c).

39. Under the ORSA an undertaking should use the parameters that in its opinion best reflect its individual risk situation.

40. Where the undertaking is using internal models, Article 44 (3) of the Framework Directive Proposal states that: 3. In the

case referred to in point (c) of paragraph 1 when an internal model is used, the assessment shall be performed together with



the recalibration that transforms the internal risk numbers into the Solvency Capital Requirement risk measure and

calibration.

41. An internal model is in itself a tool for the ORSA. For an undertaking using an internal model to calculate the SCR, the

ORSA should include a description of the role of the internal model in the integrated management of risk and capital needs.

An undertaking should be able to justify the continued adequacy of the model compared with the risk profile of the

undertaking.

42. When the internal model is calibrated for a different time horizon and/or a different level of confidence from the SCR

standard formula, the ORSA should give information both on the internal capital needs identified for the undertaking’s internal

purposes and on the regulatory capital requirements.

The outcome of the ORSA

43. If the outcome of the ORSA is that the internal capital needs differ in either direction from the amount resulting from the

SCR, the undertaking should explain the reasons and individually identify any impact on the calculation of the solvency

capital requirement.

44. If the outcome from the ORSA is that the internal capital needs are higher than the regulatory capital, this does not

automatically mean that the undertaking will have a capital add-on imposed by the supervisor. Supervisors will look into the

reasons for the differences and discuss their views with the undertaking concerned before taking any decisions. For example,

the use of a different time horizon or a different confidence level would not result in an add-on. Any changes the undertaking

plans to introduce in order to reduce its risk profile as a consequence of the ORSA process would also be duly considered by

supervisors. Before setting a capital add-on, supervisors would moreover not only take into account the ORSA results but

also the full results of the SRP. Details on capital add-ons will be covered by a forthcoming CEIOPS Issue Paper.

45. Supervisors are not empowered to allow a reduction of the SCR as calculated in accordance with the standard formula if

an undertaking demonstrates in its ORSA that the SCR calculation overestimates its risks. If the outcome from the ORSA is

that the internal capital needs are considerably lower than the SCR, the undertaking may wish to consider whether it is

appropriate to develop a partial or a full internal model and seek supervisory approval for its use in the calculation of the

SCR.

Integration of the ORSA

46. Article 44 (4) of the Framework Directive Proposal states that: 4. The own risk and solvency assessment shall be an

integral part of the business strategy and shall be taken into account on an ongoing basis in the strategic decisions of the

undertaking.

47. As an integral part of the overall business strategy, an undertaking is required to have in place its own strategies for

internal capital needs and all material risks to which it is exposed (such as underwriting, credit, market, liquidity, concentration

and operational risks), as well as an appropriate policy for the use of risk mitigation and transfer arrangements (e.g.

reinsurance and derivatives) that together manage and address overall solvency needs. The ORSA and the business

strategy affect each other. When performing the ORSA, the undertaking should take into account the business strategy and

any strategic decisions influencing the risk and overall solvency needs. In reverse, the administrative or management body

needs to be aware of the implications strategic decisions have on the risk and overall solvency needs of the undertaking and

to consider whether these effects are desirable and affordable. Any strategic decision that may affect the risk and/or own

funds’ position of the undertaking should be considered through the ORSA process before such a decision is taken.



Frequency of the ORSA

48. Article 44 (5) of the Framework Directive Proposal states that: 5. Insurance and reinsurance undertakings shall perform

the assessment referred to in paragraph 1 regularly and without any delay following any significant change in their risk

profile.

49. CEIOPS interprets the word “regularly” to mean at least annually in this context. The ORSA would also need to be

performed within that period if an undertaking experiences a change in the risk and solvency profile that may impact the

ORSA result in a way that the undertaking should be aware of. The undertaking should establish its own frequency of the

assessment taking into account its own risk profile. It should be able to justify the adequacy of the frequency of the

assessment.

Information on the result of the ORSA to supervisory authorities

50. Article 44 (6) of the Framework Directive Proposal states that: 6. The insurance and reinsurance undertakings shall

inform the supervisory authorities of the results of each own risk and solvency assessment as part of the information reported

under Article 35.

51. Information about the ORSA process and the outcome of the ORSA is also a supervisory tool that will be used, together

with other items of the supervisory reporting, as part of the SRP, to enable supervisors to:

a) Assess the ability of the undertaking to assess its overall solvency

needs; and

b) To better understand the risks to which the undertaking is or may be exposed.

52. CEIOPS will give information on how it envisages supervisory reporting on the ORSA in its Level 2 advice/Level 3

measures on supervisory reporting which it will publish in a forthcoming Issues Paper.

● Mesure d'application consacrée au Contrôle Interne (complément à l'article 46 de la directive) :

A managing agent’s internal control system must secure its compliance with applicable laws, regulations and administrative

processes and the effectiveness and efficiency of operations in view of its objectives, as well as the availability and reliability

of financial and non-financial information.

The managing agent must have in place a suitable control environment, appropriate control activities, effective information

and communication procedures and adequate monitoring mechanisms.

The agent’s compliance function must be able to communicate directly with any staff member on its own initiative and be able

to access any records necessary for it to fulfil its role.

Intended compliance activities must be set out in a compliance plan. The plan must ensure all areas of the business are

covered to a depth proportionate to their exposure to compliance risk.

The compliance function must promptly report any major compliance issues identified to the board.



● Mesure d'application consacrée à l'Audit Interne (complément à l'article 47 de la directive) :

The internal audit function is an independent function within the organisation which examines and evaluates the functioning

of the internal controls and all other elements of the system of governance, as well as the compliance of activities with

internal strategies, policies, processes and reporting procedures.

A managing agent must have an internal audit function. The internal audit function must :

• Carry out its assignments with impartiality.

• Be able to exercise its assignments on its own initiative in all areas of the undertaking.

• Be free to express its opinions and present its findings to the whole board.

• Have the complete and unrestricted right to obtain information, which includes the prompt provision of allnecessary

information, the availability of all essential documentation and the ability to look into all the agent’s activities and processes,

as necessary to discharge its responsibilities, as well as having direct communication with any member of staff.

Every activity and unit of the managing agent is within the internal audit function’s scope. Internal audits will take place

according to a risk-based internal audit plan, drawn up by the function itself.

At least annually, the internal audit function must produce a written report of its findings for the agent’s board. This report

must cover issues identified with the internal control system and failures observed in following internal processes and

procedures. It must include recommendations on how to remedy inadequacies and follow up on the actions taken by the

managing agent in response to issues raised in previous reports.

● Mesure d'application consacrée au contrôle des sous-traitants (complément à l'article 49 de la directive) :

A managing agent must have an outsourcing policy which includes consideration of the impact of outsourcing on its business

and the reporting and monitoring arrangements to be implemented in case of outsourcing. The policy must be assessed and

updated regularly.

If a function is outsourced to an undertaking within the same group, the managing agent may take account of the extent to

which it controls, or has influence over, the service provider.

When choosing a service provider for any critical or important functions (i.e. functions that are fundamental to carrying out the

core business), the managing agent must ensure that :

• a detailed review is performed of the potential service provider's ability to deliver the required functions satisfactorily;

• the service provider has ensured that no actual or potential conflicts of interest with the managing agent will impair its ability

to deliver to the standard required;

• it enters into a written agreement with the service provider which clearly allocates the respective rights and obligations of

the managing agent and the service provider;

• the terms of the outsourcing agreement are authorised and understood by the managing agent's board;

• the outsourcing does not breach data protection regulation or any other laws; and

• the service provider applies equivalent provisions to those the managing agent would have to apply in respect of the

confidentiality of client data.



The managing agent is responsible for ensuring that the terms of the outsourcing agreement are consistent with its

obligations under the Solvency II Framework Directive. To this end, the written agreement between the managing agent and

the service provider should clearly state the following requirements :

• the duties and responsibilities of each party;

• the service provider’s commitment to comply with all applicable laws and regulations and to cooperate with the FSA in

connection with the outsourced function or activity;

• that the service provider discloses any developments that may have a material impact on its ability to carry out the

outsourcing;

• that the service provider can only terminate the contract under a notice period that is sufficiently long to enable the

managing agent to find an alternative solution;

• that the managing agent can terminate the outsourcing arrangement, with a reasonable notice period, should the service

provided prove to be inadequate;

• that the managing agent reserves the right to information on the outsourced activities and the service provider's

performance of them, as well as the right to issue guidelines or instructions as to what is taken into account when performing

the outsourced activities;

• that the service provider protects any confidential information relating to the managing agent or its clients;

• that the managing agent, its external auditor, and the FSA can access all information relating to the outsourced activities,

and are able to access the service provider's premises if an on-site inspection is to be performed; and

• that the FSA has the right to question the service provider directly.

To ensure that outsourcing of any critical or important activities does not materially impair the managing agent's governance

system :

• the managing agent must ensure that the service provider has an adequate risk management and internal control system;

• the outsourced activities must be adequately included in the managing agent's risk management and internal control

system; and

• the managing agent must establish a contractual right to information about the outsourced activities and a contractual right

to issue instructions about the activities.

In order to ensure against an undue increase of operational risk when outsourcing critical or important functions or activities,

the managing agent shall:

• verify that the service provider has adequate financial resources to take on the tasks to be outsourced and to properly and

reliably perform its duties towards the managing agent, and that the service provider’s staff is chosen on the basis of criteria

that give reasonable assurance that they are sufficiently qualified and reliable;

• verify that the service provider properly isolates and identifies the information, documentation and assets belonging to the

managing agent and its clients in order to protect their confidentiality; and

• make sure the service provider has adequate contingency plans in place to deal with emergency situations or business

disruptions and has periodic testing of backup facilities where that is necessary having regard to the activity outsourced.



Annexe 8 : Construction d'un système de management des risques.


Annexe 9 : Les différentes étapes d'une approche permettant de maîtriser les risques de l'organisation.

9

Plan de contrôlesRisqueRisque

Formalisation des processus

Classification et descriptiondes processus / sous processus

Identification des risquesinhérents, rattachement àune typologie de risques et évaluation des risques

Elaboration des plan d’actions afin de traiter les risques prioritaires

Arbitrage Elaboration des plans de contrôles

Adéquation risque brut / maîtrise afin

d’identifier les risques prioritaires

Identification et évaluation des éléments de maîtrise existants (organisation, documentation, contrôles humains et informatiques, pilotage)

Approche « Bottom up »

Gerer les demandes (CICAS) - Logigramme

Co ns e il le r Retr aite C ICASe

Clie nts

eOr ga nis m e de

tute lle (UDA F, e tc. )

Appelparticipantvers CICAS

Demandec ourrier

Demandecoordonnée

(CRAM, etc.)

Demandedématérialisée

(Inte rnet, Carrièrelongue, chom eur 58

ans)

Compterendud'appelPFT

Dem ande provenantde la PF T

S i d ema nd e de do ssier Si d emand e i nf o rmat ion

?Inform ation oude m ande dedos s ie r ?

Si ouiSi non

?Ré pons eim m é diatepos s ible ?

Si o ui

Informationdél ivrée audemandeur

Date et lieude RDV fixés

Si ouiSi n on

?Pe r io dedé te c té e ?

S i nonS i ou i

Proposi tion deRDV + Dossier +liste de piècesjusti ficatives

Form ule r uner é po nse

S i oui

Si no n?

De m a nded'i nfo rm ati onpa r té l éphone ?

Si n on

Propositionde rendez

vousS i n on

S i o ui

?Dem ande urjoignab le ?

?Ré po ns eim mé diatepo ss ibl e ?

Demandecomplémentaire par

courrier et/ouproposi t ion de rendez

vousAna ly s e r la de m ande

Ré dige r le ttr ed' ac com pagne me nt

P ropos er unr e ndez vo us

De mande r le spi è ce s à fourni r

?Be s oi n dediffér e r ?

Enr e gistr e rpe ri od e I RCANTEC

Diffe re r

Dé tec ter pe r io deAGIRC / IRCANT EC

Enre gis tre r l edos si e r (ARRCO)

Appe le r lede ma nd eu r

P ropos er unr e nd ez vous

Ger e r les doss ie rs parvis ite s

Les différentes étapes d’une démarche Bottom up

Source : document sur les démarches de gestion des risques, Sinequa Risk & Management



Annexe 10 : Les missions de la fonction Risk Management.


Annexe 11 : Organisation générale de l'ORSA.

Source : document « Solvabilité 2 - ORSA et système de gouvernance », Mazars



Annexe 12 : Les exigences générales de Solvabilité 2 en matière de gouvernance.

Source : document « Solvabilité 2 -ORSA et système de gouvernance », Mazars

Annexe 13 : Représentation de la sous-traitance.




Annexe 14 : Le positionnement de l'Audit Interne dans l'organisation.


Annexe 15 : Schéma d'organisation : les articulations entre les différents acteurs intervenant dans le

dispositif de maîtrise des risques à mettre en place pour répondre aux exigences de la directive Solvabilité 2 (exemple de l'une des entreprises rencontrées).



Annexe 16 : Extrait d'une étude réalisée en 2010 par Optimind, indiquant les montants des budgets

accordés au projet Solvabilité 2 par les entreprises.

Source : document « Les dossiers techniques d’information Optimind », cabinet Optimind

Annexe 17 : La gestion du projet Solvabilité 2.




Annexe 18 : Calendrier général du projet Solvabilité 2 (1/2).

Source : document « Offre intégrée pour les acteurs intermédiaires », PWC

Annexe 18 : Calendrier général du projet Solvabilité 2 (2/2).

