SOA Blog

ERM Lessons from the Masters—the Canadian Perspective

En français

by Max J. Rudolph

Everything should be made as simple as possible, but not simpler.

                                                                                —Albert Einstein


Since 2008 the Joint Risk Management Section, jointly sponsored by the Society of Actuaries (SOA), Canadian Institute of Actuaries (CIA) and Casualty Actuarial Society (CAS), has annually conducted a Survey of Emerging Risks. As the researcher for this project, I have asked open-ended questions thought to be useful to risk managers.

In this article, I will summarize one of those questions from the 2015 and 2016 surveys and provide some perspectives for Canadian actuaries: Are there lessons learned that you would like to share with risk managers developing an enterprise risk management (ERM) framework (e.g., what worked, what did not)?

The answers reflected a generally positive view of ERM, and can be split into 10 themes.

Tone at the Top

For projects requiring cooperation between line and staff functions, support from the top is mandatory. Buy-in goes beyond the CEO to include the board, C-suite and other key stakeholders. This helps to avoid those who hope to “wait it out” until a new CEO takes over.

Since the CEO may not come from a technical background, and the board rarely spends more than a few hours on any topic, it is important that the risk manager use qualitative descriptions (telling a story) and graphics when possible.


A successful ERM process often starts slow and builds credibility rather than charging full speed ahead. Firms must prioritize their efforts and set up lots of checkpoints, confirming leadership commitment before moving on from each one.


The process works best when the risk unit fully engages others, both staff and line, with diversified thoughts and methods. Respondents suggest avoiding extreme precision in quantification efforts. It is better to start with a five-point scale rather than a detailed model that promises more than it can deliver.

Role of the CRO

A titled risk officer continuously improves the ERM process, engaging others in the organization through leadership and communication as competencies and goals are developed. The chief risk officer (CRO) should keep it simple, initially focusing on education. The risk team adds value as a sounding board resource, giving honest feedback before projects are formalized. The primary purpose of the risk team is to work with the risk owners to understand how new opportunities impact the aggregate risk of the firm and overall objectives.


The risk team should build awareness of the benefits of ERM. It is the most important aspect of its existence, with honest insights relied on by leadership and rank and file alike.

Working with the Business Units

A successful ERM process involves line functions directly, not by completing templates with no feedback but by making it a regular part of their process. Risk owners, the primary decision-makers, trade their knowledge of specific risks in return for the risk team’s understanding of how the risks interact and aggregate. The risk team should maintain its independence from the business units. Both groups should contribute to emerging risk discussions. The risk team provides oversight mainly by embedding a consistent risk process that improves decision-making and allows senior management to decide between alternative options.


Experience teaches the risk team how risks interact, especially when such interaction varies by scenario. Risks that are normally independent can quickly become correlated during a crisis. This became apparent in 2008 when liquidity dried up in all asset classes simultaneously and when 2011 flooding in Thailand negatively impacted supply chains around the world due to manufacturing facilities for autos and electronics. Building resiliency into the system pays off during these infrequent events despite the up-front investment.

How to Make It Long-Lasting

Risk becomes part of the normal decision-making process, leveraging tools to meet regulatory needs and building both a top-down and a bottom-up approach. Dashboards that update frequently, in real time if possible, maintain interest and provide current information.

Risk management continues to evolve. Governance is maturing. Defining terms like risk appetite—with trigger levels, guardrail levels and leading indicators—is hard. Getting something done now and reviewing the process throughout the business cycle helps it to evolve and get better.

Don’t forget history. Just because hyperinflation, influenza pandemics or war have not happened recently does not mean they won’t happen. Current indicators related to volatility and debt levels have been contra-indicators in the past and should be monitored.

Things That Didn’t Work

Creating a risk management report solely for external stakeholders is a compliance exercise. Those who rely on market forces to price risk need to expand the discussion to include cognitive biases and incentives. Contrarians are not always right, but the discussions they start can help improve the decision-making process.


A strong culture—one that considers both risk and return, and encourages independent thought—allows the process to be embedded in the business through education, while a poor culture likely ends up with reports that no one reads and knowledge that is ignored.

Wrapping It All Up

The Canadian economy survived the financial crisis of 2008 in much better shape than most of the economies around the globe, in large part due to effective risk management. However, sustainability requires diligence, and lessons learned need not become lessons forgotten. A firm should be able to reflect on past decisions and understand any role risk management had in the direction taken.

Risk managers should also remain open to change and react to new methods and products. Further, it is important to prioritize the efforts of the risk team, favoring getting something done now rather than everything done at some point in the future. Having in-depth discussions about balancing risk and reward is more important than the reports generated. Don’t forget to communicate. Don’t assume that external parties understand your risks better than you do. Governments have biases, and so do investors and rating agencies.

Many strategies that have been used successfully still work: diversification, risk identification and management, qualitative and quantitative methods. Each firm has its own risk culture, and it is better to “nudge” it and slowly make progress rather than push faster and lose overall support for the process.


Max J. Rudolph, FSA, CFA, CERA, MAAA, is the founder of Rudolph Financial Consulting, LLC in Omaha, Nebraska, USA. He can be reached at max.rudolph@rudolph-financial.com.




Leçons des maîtres en gestion des risques pour l’entreprise—la perspective canadienne

par Max J. Rudolph

Tout devrait être rendu aussi simple que possible, mais pas plus simple.

                                                                                                      —Albert Einstein

Depuis 2008, la section conjointe de gestion de risque, commanditée conjointement par la Société des actuaires (SOA), l’Institut Canadien des Actuaires (ICA) et par la Casualty Actuarial Society (CAS), a réalisé un sondage annuel sur les risques émergents. En qualité de chercheur sur ce projet, j’ai posé des questions à développement que je croyais utiles pour les gestionnaires de risque.

Dans cet article, je vais résumer une de ces questions issues des sondages de 2015 et 2016, en plus de détailler certaines perspectives qui s’offrent aux actuaires canadiens : Auriez-vous quelques leçons apprises que vous aimeriez partager avec les gestionnaires de risque qui développement un cadre de gestion de risque (par exemple, ce qui a fonctionné et ce qui n’a pas fonctionné)?

Les réponses ont reflété une vision généralement positive de la gestion de risque, et peuvent se diviser en 10 thèmes.

L’implication de la direction

Pour les projets exigeant la coopération entre les fonctions de direction et du personnel, le soutien de la direction est obligatoire. L’implication doit dépasser celle du PDG pour inclure celle du conseil de direction, du conseil exécutif et des autres principaux partenaires. Cela contribue à éviter ceux qui espèrent « patienter » jusqu’à ce qu’un nouveau PDG soit en place.

Puisque le PDG pourrait avoir des antécédents autres que techniques, et que le conseil passe rarement plus de quelques heures sur un seul sujet, il est important que le gestionnaire de risque recoure à des descriptions qualitatives (raconter une histoire) et à des graphiques, quand cela est possible.


Un processus de gestion de risque couronné de succès débute souvent lentement et bâtit sa crédibilité, plutôt que d’effectuer une charge à pleine vitesse. Les compagnies doivent prioriser leurs efforts, et établir de nombreux points de contrôle, en plus de confirmer l’implication de leur direction, avant de passer d’un point à l’autre.


Le processus fonctionne mieux quand l’unité de gestion du risque engage entièrement les autres, tant le personnel que la direction, avec des pensées et des méthodes diversifiées. Les répondants suggèrent d’éviter une précision extrême dans les efforts de quantification. Il est préférable de commencer avec une échelle en cinq points plutôt qu’un modèle qui fait des promesses plus grandes que ce qu’il pourra livrer.

Rôle du directeur de la gestion du risque

Un directeur de la gestion du risque attitré doit constamment améliorer le processus de gestion de risque, en engageant les autres dans l’organisation par le biais de son leadership et de la communication, alors que les compétences et les objectifs se développent. Le directeur de la gestion du risque doit simplifier le processus, tout en se concentrant initialement sur l’éducation. L’équipe de gestion de risque ajoute de la valeur en qualité de ressource pour le conseil, en émettant des suivis honnêtes avant que les projets soient formalisés. L’objectif principal de l’équipe de gestion de risque consiste à travailler de concert avec les propriétaires des risques pour bien comprendre comment les nouvelles opportunités impactent le risque total de la compagnie, et les objectifs globaux.


L’équipe de gestion de risque doit créer une sensibilisation sur les avantages de la gestion de risque. C’est l’aspect le plus important de son existence, avec des opinions honnêtes auxquelles on peut se fier grâce à leur leadership, à leur rang et à leur dossier.

Travailler avec les diverses unités d’entreprise

Un processus de gestion de risque à succès doit impliquer directement les fonctions de direction, non pas par le remplissage de gabarit sans obtenir de feedback, mais plutôt en en faisant une partie régulière de leur processus. Les propriétaires du risque et les principaux décideurs doivent échanger leur connaissance des risques spécifiques, en retour de la compréhension par l’équipe de gestion de risque de comment les risques interagissent et s’accumulent. L’équipe de gestion de risque doit maintenir son indépendance des unités d’entreprise. Les deux groupes doivent contribuer aux discussions sur les risques émergents. L’équipe de gestion de risque doit fournir une supervision principalement en imbriquant un processus de gestion de risque consistant, qui améliore le processus de prise des décisions, et qui permet à la direction senior de trancher entre des options alternatives.


L’expérience enseigne à l’équipe de gestion de risque comment les risques interagissent, spécialement lorsque l’interaction varie selon le scénario. Des risques qui sont normalement indépendants peuvent devenir rapidement en corrélation lors d’une crise. Cela est devenu plus évident en 2008 alors que les liquidités se sont épuisées simultanément dans toutes les classes d’actifs, et quand les inondations de 2011 en Thaïlande ont eu un impact négatif sur les chaînes d’approvisionnement autour du monde, en raison des installations manufacturières pour les autos et les équipements électroniques. La création d’une meilleure résilience dans le système est payante lors des évènements peu fréquents, en dépit de l’investissement initial.

Comment lui conférer une longue durée

Le risque doit devenir une partie intégrante du processus normal de prise des décisions, en mettant à profit le respect des besoins réglementaires, et en bâtissant une approche du haut vers le bas, et de bas en haut. Des tableaux de bord mis à jour fréquemment, en temps réel si possible, doivent aussi entretenir l’intérêt et fournir de l’information à jour.

La gestion de risque doit continuer à évoluer. La gouvernance doit prendre plus de maturité. Il est ardu de créer une définition des termes comme l’appétit pour le risque—avec des niveaux déclencheurs, des niveaux de sauvegarde et des indicateurs précurseurs. Faire quelque chose dès maintenant et revoir le processus au cours du cycle des affaires peuvent largement contribuer à le faire évoluer et à l’améliorer.

Il ne faut pas oublier l’histoire. Le fait que l’hyperinflation, les pandémies d’influenza ou la guerre ne se sont pas produits récemment ne signifie pas qu’ils ne se surviendront plus. Les indicateurs présents en relation avec la volatilité et les niveaux d’endettement ont été des contre-indicateurs par le passé, et ils devraient aussi être surveillés.

Ces choses qui n’ont pas bien marchées

La création d’un rapport de gestion de risque uniquement pour les partenaires externes est un exercice de conformité. Ceux qui se fient sur les forces du marché pour mettre un prix sur le risque doivent élargir la discussion afin d’inclure des incitatifs et des distorsions cognitives. Les opinions contraires n’ont pas toujours raison, mais les discussions qu’elles lancent peuvent aider à améliorer les processus de prise des décisions.


Une culture forte—une qui considère tant le risque que le retour, et qui encourage la pensée indépendante—permet d’imbriquer le processus dans les affaires par le biais de l’éducation, alors qu’une culture faible se terminera probablement par des rapports que personne ne lit et par des connaissances qui resteront ignorées.

Finaliser le tout

L’économie canadienne a survécu à la crise financière de 2008 en meilleur état que la plupart des autres économies dans le monde, en grande partie en raison d’une gestion de risque plus efficace. Cependant, la soutenabilité requiert la diligence, et que les leçons apprises ne doivent pas devenir des leçons oubliées. Une compagnie doit être capable de refléter les décisions du passé et de bien comprendre le rôle que la gestion de risque a tenu dans la direction qui a été prise.

Les gestionnaires de risque doivent aussi rester ouverts au changement et réagir aux nouvelles méthodes et produits. De plus, il est important de prioriser les efforts de l’équipe de gestion de risque, en favorisant de faire quelque chose dès maintenant plutôt que de tout faire à un certain point dans le futur. Tenir des discussions approfondies sur l’équilibre entre le risque et la récompense est plus important que les rapports qui sont générés. N’oubliez pas de bien communiquer. N’assumez pas que les parties externes comprennent vos risques mieux que vous-même. Les gouvernements sont biaisés, tout comme les investisseurs et les agences de cotation.

Plusieurs stratégies qui ont été utilisées avec succès par le passé fonctionnent encore : Notamment, la diversification, l’identification et la gestion de risque, ainsi que les méthodes qualitatives et quantitatives. Chaque compagnie a sa propre culture du risque, et il est mieux de « jouer du coude » et de faire des progrès lents, que de pousser plus rapidement et de perdre le soutien global envers le processus.


Max J. Rudolph, FSA, AFA, CERA, MAAA, est le fondateur de Rudolph Financial Consulting, LLC à Omaha, Nebraska aux États-Unis. Vous pouvez le joindre à l’adresse max.rudolph@rudolph-financial.com.

Sharing is caring.
  • Subscribe to our feed
  • Tweet about this post
  • Share this post on Facebook
  • Share this post on Google
  • Share this post on LinkedIn


No responses to "ERM Lessons from the Masters—the Canadian Perspective"

There are no comments yet, add one below.

Leave a Comment