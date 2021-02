French Prudential Supervisory Authority : Synthèse de l'enquête déclarative de 2019 sur la gestion des données alimentant les calculs prudentiels des organismes d'assurance 06/02/2021 | 17:21 Envoyer par e-mail :

Cette autoévaluation fait suite à celles de 2015 et 2017 qui portaient, pour la première sur la qualité des données (QDD), le système d'information (SI) et sa sécurité (SSI) et, pour la seconde, uniquement sur le volet SI/SSI. L'occurrence 2019 reprend de manière plus approfondie les thématiques de qualité des données et de sécurité des SI. Ce document présente les principaux enseignements concernant la gestion par les assureurs français des données alimentant en particulier leurs calculs prudentiels, établis sur la base de leurs déclarations. Tout d'abord, concernant la gouvernance, la politique traitant de la gestion des données alimentant les calculs prudentiels et de l'évaluation de leur qualité (nommée politique de qualité des données ou politique QDD dans la suite), quand elle existe, n'est pas encore déployée dans son intégralité dans les organismes. A minima, les organismes auraient mis en place des indicateurs objectivant la qualité des données, qui, actualisés à fréquence régulière, alimenteraient des tableaux de bord partagés avec les acteurs de l'entreprise directement intéressés à la qualité des données car impliqués dans les processus calculatoires des agrégats prudentiels (provisions techniques, bilan, capital de solvabilité requis…) : direction de l'actuariat, direction des risques et direction financière le plus souvent. Si les comités dédiés au pilotage de la qualité des données semblent s'être démocratisés au sein de près de 70 % des organismes, le sujet de la qualité des données est encore peu évoqué dans les comités des risques et dans les comités exécutifs. Pour constituer et formaliser la piste d'audit de leurs données, les organismes auraient principalement recours à deux outils : d'une part, la cartographie des flux de données et d'autre part, le répertoire des données. La criticité des données qui doit y être indiquée s'appuie principalement sur une identification à dire d'expert plutôt que par une mesure de sensibilité des résultats des calculs à leur variation. Par ailleurs, une majorité d'organismes ne recense pas les contrôles de 1er niveau (opérationnels) de manière exhaustive et les seuils d'acceptabilité associés à ces contrôles sont peu souvent précisément définis. L'intégration des données externes dans le système d'information des organismes est encore en partie manuelle et leur granularité est souvent inférieure à celle des données internes, alors même que ces données externes de gestion représentent en moyenne 10 % du volume de données utilisées notamment pour le calcul des provisions techniques. Si le risque de défaut de qualité des données est non seulement appréhendé par les organismes mais également pris en compte dans la cartographie des risques opérationnels, le risque résiduel de défaut reste toutefois élevé pour certains organismes. Pour autant, la 2ème ligne de défense ne revoit pas régulièrement le dispositif de contrôle QDD et la 3ème ligne de défense n'effectue que très peu d'audits chez les sous-traitants/délégataires de gestion. Sur la base du chiffre d'affaires du marché de l'assurance et de la réassurance en France en 2018 La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 2 Enfin, les résultats mettent en avant une différence de maturité sur la gestion de la qualité des données entre les types ayant répondu. L'attribution d'un score aux réponses individuelles permet de mesurer et visualiser la maturité moyenne du marché sur les différentes thématiques QDD abordées dans l'enquête : Graphique 1 Notation des principaux processus impliqués dans la gestion des données Source ACPR Le secrétariat général de l'ACPR a par ailleurs analysé ces résultats avec les constats qu'il est amené à faire lors de ses enquêtes sur place. Mots-clés :qualité des données, répertoire des données, gouvernance, gestion des risques, contrôle interne Étude réalisée par le Pôle Qualité des données et Systèmes d'Information de la Direction des Contrôles Spécialisés et Transversaux de l'ACPR2. Ont contribué à cette étude Aurélie ALENDA, Carole BARBAUD, Laurent COURBEYRETTE et Valérie PIQUET La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 3 SOMMAIRE TYPOLOGIE DES RÉPONDANTS.......................................................................................................... 5 RÉSULTATS DÉTAILLÉS....................................................................................................................... 6 1. Politique QDD............................................................................................................................... 6 2. Indicateurs et pilotage de la qualité des données ........................................................................ 7 3. Répertoire des données ............................................................................................................... 8 4. Criticité des données.................................................................................................................... 9 5. Cartographie des flux de données ............................................................................................. 10 6. Données externes de gestion .................................................................................................... 11 7. Dispositif de contrôle visant à vérifier la qualité des données ................................................... 12 RETOUR D'EXPÉRIENCE DES CONTRÔLES SUR PLACE DILIGENTÉS PAR L'ACPR ................ 13 La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 4 TYPOLOGIE DES RÉPONDANTS Les résultats reposent sur les réponses apportées par 193 organismes d'assurance sur un total de 5643. Sur ces 193, 99 appartiennent aux 21 premiers groupes d'assurance et de réassurance en termes de chiffre d'affaires sur le marché français. Les analyses ont été construites en fonction de la forme juridique des répondants qui se répartissent selon les grandes catégories suivantes : 114 sociétés relevant du code des assurances (dont sociétés anonymes (S.A.) et sociétés d'assurance mutuelle (S.A.M.) nommées S.A. de façon générique dans la suite)

56 mutuelles relevant du code de la mutualité

23 institutions de prévoyance relevant du code de la sécurité sociale (nommées IP dans la suite) Graphique 2 Répartition des répondants selon leur forme juridique et leur appartenance au TOP 21 Nombre total d'organismes ayant collecté des primes en 2018 La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 5 RÉSULTATS DÉTAILLÉS 1. Politique QDD Bien que la majorité des organismes ait rédigé et validé une politique de Qualité Des Données, cette dernière est rarement déployée dans son intégralité, notamment dans les institutions de prévoyance et les mutuelles. Par ailleurs, plus des deux tiers des organismes déclarent avoir mis en place un comité interne dédié la QDD. De plus, un grand nombre d'organismes a nommé un responsable de la QDD. Cependant, seule la moitié d'entre eux exerce cette fonction à plein temps, cette proportion tombant à moins d'un tiers dans les institutions de prévoyance. Graphique 3 Caractéristiques de la politique de qualité des données La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 6 2. Indicateurs et pilotage de la qualité des données Les organismes ont pour une grande majorité mis en place des indicateurs de suivi de la qualité. Graphique 4 Organismes disposant d'indicateurs relatifs à la qualité des données Si les directions des risques, de l'actuariat et financières présentent un même niveau d'implication dans le suivi de ces indicateurs, les informations concernant la qualité des données alimentant les calculs prudentiels sont plus rarement discutées en comité des risques, en comité exécutif ou en conseil d'administration. Graphique 5 Instances ou directions en charge du suivi des indicateurs de pilotage de la QDD La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 7 3. Répertoire des données Un répertoire de données est mis en place dans plus de 82 % des organismes. Graphique 6 Organismes disposant d'un répertoire des données Toutefois son alimentation comporte des lacunes. Ainsi, les données de gestion et les données contenues dans les entrepôts de données (ou datawarehouses) sont les données les moins référencées dans le répertoire, ce qui induit une moindre traçabilité de ces données et, par conséquent, fragilise la piste d'audit des agrégats prudentiels. Graphique 7 Données référencées dans le répertoire de données La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 8 4. Criticité des données Si la notion de criticité des données est majoritairement présente dans le répertoire des données des sociétés relevant du code des assurances (près de 90 %), elle n'est définie que par un peu plus de la moitié des autres acteurs du marché. Graphique 8 Parmi les organismes disposant d'un répertoire des données, part de ceux intégrant la notion de criticité Source ACPR Quel que soit le type d'organisme, le niveau de criticité des données est majoritairement déterminé à dire d'expert. Seul un tiers des organismes hors mutuelles s'appuie sur des tests de sensibilité pour évaluer la criticité des données (et seulement 15 % des mutuelles). Graphique 9 Méthodes d'évaluation de la criticité des données quand la notion est définie La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 9 5. Cartographie des flux de données Dans l'ensemble, les organismes indiquent avoir établi une cartographie des flux de données documentée. Toutefois, le niveau de maturité de cette cartographie reste faible car elle ne permet pas d'avoir une vue suffisamment fine des flux pour suivre le cycle de vie détaillé d'une donnée depuis son entrée dans le système d'information jusqu'à son utilisation finale. Le mode d'alimentation des flux (manuel/automatique) n'est pas indiqué systématiquement et le lien avec le référentiel de contrôles QDD n'est renseigné que dans la moitié des organismes. Graphique 10 Part des organismes disposant d'une cartographie des flux de données documentée Source ACPR Par ailleurs, en moyenne, 35 % des organismes s'étant dotés d'une cartographie des flux de données documentée déclarent réaliser du « data lineage4 » sur une partie des flux de données. Graphique 11 Caractéristiques de la cartographie des flux de données Source ACPR Enfin, plus d'un tiers des répondants indique avoir importé/migré un portefeuille de contrats dans leur Système d'Information (SI) durant ces deux dernières années. Data lineage : processus qui permet de visualiser le cycle de vie de la donnée depuis sa source jusqu'à sa restitution ou son usage, avec tous les éléments de ses transformations successives (normalisation, transformation, règles de calcul, agrégation, filtrage, etc.) La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 10 6. Données externes de gestion En moyenne, environ 10 % des données de gestion utilisées dans le calcul des provisions techniques proviennent de sous-traitants externes/délégataires. Graphique 12 Part des données externes de gestion dans le calcul des provisions à fin 2018 Source ACPR Or, plusieurs indicateurs montrent que la gestion des données externes est insuffisante au regard de leur degré de maîtrise, inférieur à celui appliqué aux données gérées en propre par l'organisme. En effet, pour les deux tiers des organismes répondants, les données externes ne sont ni référencées dans le répertoire de données ni identifiées de manière exhaustive dans les cartographies et leur qualité ne fait pas non plus l'objet d'un suivi par des indicateurs de pilotage. De plus, les données externes sont intégrées dans le système d'information avec un niveau de détail moindre (notion de granularité) et de manière encore très manuelle. Graphique 13 Caractéristiques du traitement des données de gestion externes Source ACPR La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 11 7. Dispositif de contrôle visant à vérifier la qualité des données Pour la grande majorité des organismes (82 %), le risque de défaut de qualité des données est effectivement identifié dans la cartographie des risques opérationnels. Pour autant, moins de la moitié des organismes recense de façon exhaustive les contrôles de premier niveau (opérationnels), et souvent en privilégiant les contrôles opérationnels manuels au détriment des contrôles opérationnels « techniques » embarqués dans les applications du système d'information. De plus, seule la moitié des organismes définit des seuils d'acceptabilité dans les contrôles dédiés. Graphique 14 Caractéristiques du traitement des données de gestion externes Source ACPR noter qu'une proportion importante d'organismes déclare un risque net 5 de défaut de qualité des données élevé (55 % du groupe formé des institutions de prévoyance et des mutuelles), ce qui est à mettre en regard des dispositifs de contrôle visiblement moins aboutis et/ou moins développés par cette population. Le risque net correspond au risque évalué après la mise en place du dispositif de maîtrise des risques La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 12 L'enquête révèle également des faiblesses du système de contrôle interne déployés par les organismes à l'égard de leurs données : d'une part, le dispositif transverse de gestion de la QDD est couvert par la 2 ème ligne de défense chez seulement 59 % des répondants en moyenne (respectivement dans 39 % des institutions de prévoyance et dans 67 % des organismes relevant du code des assurances). Graphique 15 Caractéristiques du contrôle de 2ème niveau d'autre part, la 3 ème ligne de défense inclut des tests avec extractions de données dans 53 % des organismes ayant participé à l'enquête (avec de fortes disparités selon le type d'organisme). Dans 27 % des organismes réalisant régulièrement des audits sur le dispositif de QDD, le périmètre des données issues de prestataires/délégataires entre également dans le champ des investigations de la 3 ème ligne de défense. Graphique 16 Caractéristiques des missions d'audit portant sur la QDD Source ACPR La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 13 RETOUR D'EXPÉRIENCE DES CONTRÔLES SUR PLACE DILIGENTÉS PAR L'ACPR Certains des constats précédents apparaissent optimistes au regard des situations observées lors des contrôles sur place réalisés en continu par l'Autorité de contrôle. En premier lieu, s'agissant des outils au service de la piste d'audit des données alimentant les calculs prudentiels : la cartographie des flux ne permet pas encore d'avoir une vue transversale depuis la collecte jusqu'à l'utilisation finale des données. De plus, les contrôles visant à vérifier leur qualité aux différentes étapes de circulation et de transformation ne sont que très rarement référencés et positionnés sur cette cartographie, limitant ainsi une vision exhaustive du dispositif de maîtrise de la qualité. Par ailleurs, la conception et l'alimentation du répertoire des données sont perfectibles : par exemple, celui-ci n'a pas vocation à recueillir les données « techniques » du point de vue IT car elles ne sont généralement pas connues des utilisateurs finaux impliqués dans la chaine de calcul. Contenant parfois trop peu de données, il arrive notamment qu'aucune donnée source (en provenance des systèmes de gestion) n'y soit recensée. Le répertoire peut également souffrir d'un nombre excessif de données sans détail discriminant indiquant leur niveau d'importance (notion de criticité des données), le rendant ainsi difficilement exploitable. Une donnée critique est une donnée dont une variation importante a un impact significatif sur les résultats des calculs prudentiels. En pratique, les données critiques sont souvent identifiées à dire d'expert, ce qui est tout à fait admis si cet avis est justifié et correctement documenté. À ce jour, rares sont les organismes qui réalisent des tests de sensibilité pour mesurer l'impact de la variation d'une donnée d'entrée sur le résultat du calcul. Cette méthode de mesure reste donc largement à développer et ce, d'autant plus quand ces organismes envisagent de demander à utiliser des paramètres propres ou un modèle interne. Le data lineage, qui permet la visualisation du cycle de vie d'une donnée - origine, transformations subies, transmission… jusqu'à son utilisation finale ainsi que ses évolutions (raisons et procédés)-, reste une pratique à développer. Ces insuffisances nuisent à la traçabilité des données et d'autant plus dans des organisations qui résultent de fusions successives et de partenariats multiples. En second lieu, concernant les données externes provenant de partenaires et délégataires de gestion, les exigences des assureurs quant à leur qualité apparaissent limitées : d'une part, sur le plan de leur granularité, souvent plus grossière que celle des donnés « internes »,

d'autre part, sur le plan de la cohérence avec les données internes : un champ portant le même nom dans les chaines de gestion de part et d'autre, peut être alimenté de façon différente,

enfin, sur le plan du processus de vérification de la qualité des données par le fournisseur externe, idéalement selon les standards de l'assureur, qui est rarement discuté au moment de lier ou de renégocier le partenariat. Ces données peu contrôlées et à la granularité différente sont pourtant agrégées avec les données internes avant d'être intégrées dans la chaine de calcul. L'absence de discipline à l'égard des données La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 14 externes est également tangible au regard de leur moindre référencement dans le répertoire des données et la cartographie des flux. Ces deux éléments combinés concourent à faire porter un risque accru sur la qualité des données de l'assureur et, par conséquence, sur la fiabilité et la capacité d'auditer les provisions techniques et autres éléments du bilan prudentiel permettant d'établir le niveau de fonds propres et le capital de solvabilité requis. En troisième et dernier lieu, le dispositif de pilotage et le dispositif de contrôle sont rarement conçus de façon à se « répondre » : ainsi, quand des indicateurs de qualité sont définis, captant par exemple des informations sur l'exhaustivité ou l'exactitude des données, ils sont rarement repris et associés à un seuil d'acceptabilité dans les contrôles opérationnels, ce qui limite la capacité de l'organisme à objectiver sa perception de la qualité à travers des tableaux de bord pertinents et réduit également sa capacité à piloter la qualité de ses données via des actions de correction. La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 15 Pour lire la suite de ce noodl, vous pouvez consulter la version originale ici. Attachments Original document

