Lors de la conférence de place animée par la direction du contrôle des assurances à l’ACPR le 16 juin 2016, le sujet de la qualité de données est à l’honneur. La présentation de l’ACPR s’est appuyée évidemment sur les textes règlementaires. Nous reprendrons ces références règlementaires et essaierons autant que possible de les mentionner afin que le lecteur puisse s’appuyer sur ces références. Nous présenterons également les actions concrètes devant être conduites pour mettre en qualité les données. Nous conclurons par les écueils classiquement rencontrés.
1) Des actions concrètes à conduire pour mettre en place les dispositifs de gestion de la qualité des données dans les compagnies
a) Identifier les données utiles à la fabrication des états règlementaires et en particulier au calcul des SCR/MCR et des provisions
Cette identification doit se faire à partir des données constituant les états règlementaires. En remontant en sens inverse de celui du processus de production d’un état règlementaire, nous trouvons les données de reporting, puis plus en amont les données issues des moteurs de calcul, ensuite les données des « model points », les données comptables, les données des entrepôts de données agrégées, unitaires et enfin les données embarquées dans les systèmes de gestion front et back-office.
Les données provenant de partenaires externes doivent faire l’objet d’une même attention concernant leur qualité que les données internes à l’organisme (Articles 19, 219, 237 du règlement 2015/35 UE).
b) Définir une priorisation des travaux de mise en qualité des données utilisées en fonction de leur matérialité dans le calcul des états règlementaires
Les données utilisées sont à segmenter par module et sous module du SCR. La matérialité peut également être définie au niveau d’un ensemble de données. Le poids des données primes, paiements et provisions peut être déterminé en fonction du SCR. Pour les données CAT, par exemple, en assurance dommages, la matérialité des données descriptives de biens assurés et retenues dans le calcul du SCR CAT sera fonction des engagements.
Cette approche permet très rapidement de mettre en priorité les travaux de mise en qualité.
c) Responsabiliser les acteurs concourant à leur production
Bien sûr il est possible d’établir une gouvernance avec des responsables, des propriétaires, des « data stewards »…L’article R.354-6 du Code des Assurances précise le rôle de la fonction actuarielle « …d’apprécier la suffisance et la qualité des données utilisées dans le calcul de ces provisions… ».
L’important nous semble de s’appuyer sur le management et la gouvernance existants. Les applications de gestion, les entrepôts de données et les données ont déjà habituellement des propriétaires, des administrateurs fonctionnels et techniques. Des processus de gestion sont souvent en place comme la gestion des habilitations, la pérennité et l’archivage des données. Cela garantit la maîtrise et la pérennité des données notamment lors des évolutions fonctionnelles et techniques du système d’information. Le sujet rejoint là celui de l’urbanisation du système d’information qui s’attache à garantir la cohésion d’ensemble des systèmes mais surtout procède de la volonté de rationaliser et d’améliorer le fonctionnement global de l’entreprise, dans le respect de contraintes budgétaires et techniques.
d) Formaliser et, selon le processus, industrialiser les contrôles de qualité de ces données
La bonne documentation des processus opérationnels de collecte et des contrôles opérés par les différents acteurs au cours du chemin de collecte constitue la base indispensable. Bien sur cette documentation du processus et des contrôles devra être tenue à jour et les contrôles réalisés avec preuves et respect de la piste d’audit. Le niveau de formalisation sera celui permettant la reprise de la réalisation du processus par un autre collaborateur.
Les chemins de collecte devront utiliser autant que possible des processus opérationnels en place et donc ne pas en créer de nouveaux.
e) Définir les objectifs en s’appuyant sur des seuils relatifs à la qualité à atteindre
Autant que possible ces contrôles disposeront de seuils relatifs aux éléments contrôlés
1) Seuil sur les volumes contrôlés : S’agit-il d’un contrôle exhaustif ? Sinon s’agit-il d’un échantillon représentatif ? Que représente-t-il par rapport à la population totale ?…
2) Seuil sur le résultat du contrôle : Les critères d’exhaustivité et d’exactitude sont-ils satisfaits ? Selon quels pourcentages ? A partir de quel niveau faut-il engager une action correctrice ? ….
Les plans d’actions correctives devront être supervisés par les managers des acteurs opérationnels des processus.
Le lecteur trouvera dans les articles 219, 231, 244 et 264 du règlement 2015/35 UE et l’article R351-13 du Code des Assurances les références règlementaires. Le régulateur précise bien que ces actions sont à conduire indépendamment du choix de l’utilisation de la formule standard ou d’un modèle interne.
2) Les 4 écueils à éviter
a) Au niveau des systèmes de gestion et entrepôts de données internes, la saisie des données (contrats / sinistres) fait l’objet de peu de contrôles de qualité et les traitements sur les données effectués dans ces systèmes amonts sont souvent peu maîtrisés voire font l’objet de rupture de la piste d’audit (Article A343-1 du Code des Assurances). Les compagnies veilleront à s’appuyer sur leur dispositif de contrôle permanent et éventuellement le renforceront afin de s’assurer de la bonne qualité des données.
b) De nombreux traitements actuariels ne sont pas automatisés, que ce soit dans l’extraction des données utilisées ou dans leur manipulation (ex : construction des triangles). Le caractère manuel d’un processus représente un risque opérationnel important s’il n’est pas doté de contrôles permanents pertinents et d’une documentation complète et à jour.
c) Ces processus manuels ne sont pas toujours fiabilisés
1) Utilisation d’outils ad hoc non standardisés.
2) Gestion des habilitations lâches (droits trop larges ou attribués sans procédure ou à des absents..) sur ces outils.
3) Traitements non documentés/justifiés ce qui le risque d’exécution erronée important.
4) Non utilisation du principe des 4 yeux pour les contrôles (le manager ne vérifie pas ou le double regard n’est pas en place sur les processus sensibles).
Les articles 219, 244 et 265 du règlement 2015/35 UE constituent la base réglementaire.
d) Les données provenant de partenaires externes ne font pas toujours l’objet d’une même attention concernant leur qualité que les données internes à l’organisme.
Les articles 19, 219, 237 du règlement 2015/35 UE sont les textes de référence sur ce point.
3) Conclusion
Les exigences règlementaires de qualité viennent renforcer et réaffirmer une évidence. Ce sujet est au cœur du modèle d’affaires des assureurs. Si la parfaite maîtrise des systèmes d’information et des dispositifs de sécurité associés sont souvent des objectifs identifiés comme stratégiques. Cette maîtrise est vitale pour la bonne gestion et surtout une bonne performance dans ce domaine. Il leur permet notamment de dégager des avantages compétitifs en tarification, en gestion des risques par optimisation des couvertures et des provisions mais également dans l’approche du marché et sa bonne connaissance. Enfin, il permettra de mieux exploiter les apports du big data, de la blockchain et des objets connectés.
