Comment définissez-vous la gestion du risque chez Scor ?

 Par définition, le métier de la réassurance vit avec le risque, vit du risque. La gestion responsable et raisonnable des risques est celle qui permettra au groupe d'être profitable dans la durée, et de pouvoir ainsi continuer de servir ses actionnaires et ses clients. La maîtrise du risque est donc impérative, et inscrite dans les gênes du groupe. Il est essentiel de bien mesurer le risque que l'on prend à chaque souscription, de souscrire avec le maximum de sécurité et au bon prix. Autre point essentiel, il faut absolument surveiller le développement positif ou négatif des risques en portefeuille, et être prêt à accélérer ou au contraire freiner, voire sortir.

Comment cela se passe dans la pratique ?

La maîtrise des risques en réassurance passe par l'allocation du capital, la vérification des cumuls, la tarification, les arbitrages, le provisionnement et la rétrocession. La totalité de ces risques font intervenir les technologies.

Par ailleurs, la gestion des risques a pris une nouvelle dimension ces dernières années. Elle est devenue un des piliers de la gouvernance d'entreprise et de la gouvernance de chacune des Directions de l'Entreprise. Et la DSI ne fait pas exception à la règle. On parle d'ERM ou d'Enterprise Risk Management.

En quoi consiste l'ERM ?

L'ERM est devenu une absolue nécessité au sein de nos entreprises, c'est un des points les plus sensibles des discussions avec les agences de notation. Cette exigence a été renforcée par la crise. L'ERM est matérialisé par une gouvernance (Comité des risques, Group CRO, Group Risk Management, CRO entités opérationnelles, Risk Officers dans les Départements et le RSSI à la DSI) et   par un process complet de risk management : identification, cartographie, évaluation, traitement, contrôle. L'ERM inclue également la gestion des risques stratégiques et le développement d'une culture risque au sein de l'entreprise :sensibilisation et responsabilisation individuelle, opportunités au-delà des contraintes.

Enfin, la responsabilisation des directions métiers est essentielle. Les structures groupe définissent les objectifs, organisent, coordonnent, assurent la transversalité de la démarche, mais en aucun cas ne doivent se substituer aux opérationnels.

Quel est le rôle du SI dans la gestion des risques ?

Le SI est au cœur du métier de réassurance. Il l'est aussi pour l'activité financière du groupe, critique dans la période de crise actuelle où une gestion prudente des investissements est aujourd'hui créatrice de valeur. Chez nous, le SI est l'élément clé du risque opérationnel. Toutes les entités dans le monde entier utilise le même outil. La priorité n°1 du groupe après ses deux acquisitions récentes a été l'intégration des deux sociétés dans le SI du groupe.

Le SI décline les processus métiers de SCOR. Il est l'usine, dans une activité où l'information est à la fois la matière première et le produit fini. Précocité, qualité, partage et  sécurité de l'information sont clés, avec une dimension nouvelle depuis la révolution Internet, l'information non-structurée.

Votre SI est-il un outil de contrôle des risques ?

Le SI est à la fois objet et instrument du contrôle des risques. C'est un objet pour les risques des activités de la DSI ; c'est un instrument pour les risques des métiers de l'entreprise puisqu'il est susceptible d'embarquer les contrôles associés. A SCOR, 12 risques IT ont été identifiés : perte de données, intrusion, malveillance, destruction d'équipements, interruption de service, accès non autorisés, erreur stratégique, défaut de partenaire, retrait de solution, incohérence groupe, contractuel, bug applicatif, échec projet. On essaie de se protéger au travers de notre gouvernance SI et de notre politique de sécurité SI. C'est un effort permanent.

Le SI irrigue tous les processus métiers de l'entreprise, il intègre toutes les règles de gestion retenues et spécifiées. Les risques associés doivent être précisément identifiés, et les moyens de s'en protéger également, traduits par des contrôles embarqués, des états de restitutions. Il est essentiel, lors de la conception d'une application, de ne pas se limiter à automatiser les processus métiers, mais de veiller à intégrer également le contrôle de leur bon fonctionnement.