Construire et diffuser une culture du risque, un nouveau défi pour les assureurs

Qu’est-ce que la « culture risque » ?

« Créer une culture de conformité : la question n’est plus pourquoi mais comment ? » s’interrogeait en 2017 le secrétaire général adjoint de l’ACPR lors d’une conférence organisée devant des professionnels du secteur financier [1]. Si l’objectif est louable, cette affirmation conduit à nous interroger sur la notion de « culture » appliquée au monde de l’entreprise et plus particulièrement à la gestion des risques.

La culture d’entreprise est un concept abstrait et difficile à cerner. Il est cependant possible de tirer des nombreuses définitions qui en ont déjà été données trois éléments caractéristiques :

• La culture d’entreprise se place d’abord sur le terrain du comportement et de l’état d’esprit des collaborateurs, plutôt que sur celui du respect des normes et procédures applicables ;
• La culture est, ensuite, propre à chaque entreprise. Elle s’incarne dans les symboles et les valeurs qu’elle promeut afin de fédérer ses salariés ;
• Enfin, la culture d’une entreprise n’est pas figée et va évoluer dans le temps, en fonction de sa stratégie, de ses dirigeants, de ses succès et de ses échecs.

La notion de culture trouve tout son sens dans le domaine de la gestion des risques (techniques et financiers, opérationnels et de non-conformité), car elle va déterminer la manière dont les instances dirigeantes et les collaborateurs se comportent face à une situation de risque concrète et intègrent les risques dans leurs décisions quotidiennes : sont-ils en capacité de détecter les risques ? De les évaluer ? Ont-ils les bons réflexes pour y faire face ? …

Une attention croissante des autorités de supervision du secteur de l’assurance

Depuis quelques années, les autorités de régulation du secteur de l’assurance ont rappelé à plusieurs reprises l’importance pour les entreprises de disposer d’une culture risque solide et insisté sur la responsabilité des dirigeants dans sa bonne diffusion [2]. Cette orientation nouvelle repose sur trois constats principaux :

• Les crises financières ont toujours une cause comportementale. Du scandale des PPI [3] à la crise des subprimes, les défaillances constatées reposent d’abord sur un comportement inapproprié (Conduct Risk) d’un ou plusieurs collaborateurs, qui peuvent influencer l’entreprise dans son ensemble (Rolling bad apple), et qui ont généré des préjudices importants pour les clients et les marchés : logique de profit ou de rentabilité à tout prix, objectifs commerciaux déraisonnables, confiance excessive dans les algorithmes et les modèles, …
• Réglementer ne suffit pas : une bonne gestion des risques ne se résume pas au seul respect des procédures applicables mais repose également sur l’attitude que les dirigeants et collaborateurs vont adopter concrètement face à une situation de risque.
• Une culture des risques solide est un facteur de confiance pour les consommateurs de services financiers et va contribuer à la stabilité du système financier, objectif ultime du marché commun et des autorités de régulation.

L’évaluation de la culture risque est par ailleurs systématiquement intégrée aux contrôles de certaines autorités de régulation européennes, comme le Royaume Uni ou les Pays-Bas.

La diffusion d’une culture du risque repose sur des actions concrètes et mesurables

La culture risque ne doit pas rester un ‘buzz word’. Son déploiement repose sur l’activation progressive de plusieurs leviers concrets, dont certains correspondent à des exigences réglementaires, comme la DDA [4] :

• Une implication forte des dirigeants dans le dispositif de gestion des risques (« Tone from the top ») et une exemplarité de leur comportement, par exemple dans la bonne gestion des conflits d’intérêts potentiels ou avérés ;
• L’alignement des valeurs promues par l’entreprise avec ses objectifs et sa stratégie commerciale ;
• Une définition claire des responsabilités, des lignes de reporting et des conséquences connues et effectives en cas de manquement aux règles établies, matérialisé par un régime de sanctions disciplinaires effectif et adapté ;
• Une politique de rémunération et d’incitations commerciales raisonnables, dont l’attribution est conditionnée au respect de critères tant quantitatifs que qualitatifs ;
• Une capacité offerte aux collaborateurs de déclarer des incidents et d’alerter, et plus globalement d’engager une « discussion ouverte » sur les risques avec leur management, sans peur de représailles ;
• Le respect quotidien par les collaborateurs d’un comportement et d’un état d’esprit éthique, dans leurs relations de travail et vis-à-vis des clients, souvent encadré par un code de déontologie professionnelle.

Il n’est pas possible d’améliorer ce que l’on ne peut pas mesurer, dit l’adage. Ainsi l’atteinte de ces différents objectifs doit également pouvoir être mesurée à l’aide d’indicateurs précis et chiffrés.

Quelles actions engager en matière de culture risque ?

La culture ne se décrète pas ! Le renforcement de la culture risque constitue un véritable projet de conduite du changement, qui repose sur plusieurs étapes et autant de questionnements à initier :

• Définir le modèle cible en matière de culture risque : quels sont mes objectifs en matière de culture risque ? Quels sont les comportements attendus des collaborateurs face aux risque ?
• Bâtir le cadre normatif et définir les indicateurs : Quel cadre déployer en matière de gouvernance, de procédures et d’outils ? Quels indicateurs mettre en place pour mesurer le niveau de maturité de mon entreprise et évaluer les progrès ?
• Mesurer le niveau de culture risque, dans une démarche itérative : quel est le niveau de maturité de mon entreprise en matière de culture risque ? Quel est mon positionnement par rapport à mes pairs ?
• Remédier et conduire le changement : quelles mesures correctrices dois-je mettre en place pour combler les lacunes identifiées ? Quels sont les principaux leviers de conduite du changement ?
• Sensibiliser et former : quelles actions de formation dois-je engager prioritairement ? Comment puis-je mieux communiquer sur les risques ?

En conclusion

Dans un contexte marqué par une multiplication des risques et des attentes sociétales toujours plus fortes vis-à-vis des institutions financières, les assureurs doivent intégrer le renforcement de leur culture risque comme une priorité stratégique.

L’évaluation de la culture risque leur permettra à la fois de s’assurer que les lignes métiers ont bien assimilé les enjeux de gestion des risques, de cibler plus précisément les zones de vulnérabilité et les leviers d’amélioration et de disposer d’un cadre pérenne permettant un suivi dans le temps du niveau de culture risque par les instances dirigeantes, qui en portent la responsabilité finale.

Une culture des risques solide constituera un avantage concurrentiel, en réduisant les coûts de traitement a posteriori par les secondes lignes de certaines défaillances et en fédérant les collaborateurs autour des intérêts des clients. Elle permettra enfin de sécuriser et d’objectiver les actions de communications externes et de préserver la réputation de l’entreprise.

La question, en effet, n’est plus pourquoi mais comment…

_{[1] Intervention de Frédéric Visnovski, Club Banques, 27 avril 2017}

_{[2] Voir notamment :}

_{– International Association of Insurance Supervisor (IAIS), Issues Paper on Insurer Culture, 2021}

_{– European Insurance and Occupational Pensions Authority (EIOPA), Framework for assessing the Conduct Risk through the Product Lifecycle, 2019}

_{– Autorité de Contrôle Prudentiel et de Résolution (ACPR), Bilan sur la mise en œuvre des obligations de gouvernance dans le cadre de Solvabilité 2, 2020. Dans ce rapport, l’ACPR estime notamment que « l’efficacité de l’organe de direction dans ses composantes exécutives et de surveillance repose sur l’éthique, les valeurs, la culture et les comportements de ses membres, tant sur le plan individuel que sur le plan collectif. C’est pourquoi, l’attention, notamment celle des superviseurs, se porte de plus en plus vers ces thèmes »}

_{[3] Au Royaume-Uni, « l’affaire » des PPI (Payment Protection Insurance, équivalent de l’assurance emprunteur) a mis en lumière des pratiques de « mauvaises ventes » généralisées qui ont coûté près de £40Mds aux banques et assureurs concernés}

_{[4] Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances}