French Prudential Supervisory Authority : Synthèse de l’enquête déclarative de 2019 sur la gestion des données alimentant les calculs prudentiels des organismes d’assurance

n°119 - 2021 Analyses et synthèses

Synthèse de l'enquête déclarative de 2019 sur la gestion des données alimentant les calculs prudentiels des organismes d'assurance

SYNTHÈSE GÉNÉRALE

Avertissement au lecteur : contexte et limites

Le secrétariat général de l'ACPR a lancé fin 2019 une enquête par questionnaire portant sur la qualité des données et la sécurité du système d'information auprès des acteurs opérant sur le marché français de l'assurance, sollicités soit directement soit par l'intermédiaire des fédérations professionnelles. Le questionnaire en ligne, ouvert du 16 septembre au 8 novembre, a permis de recueillir les réponses de 193 organismes représentant 84 % du chiffre d'affaires du marché de l'assurance et de la réassurance en France1.

Cette autoévaluation fait suite à celles de 2015 et 2017 qui portaient, pour la première sur la qualité des données (QDD), le système d'information (SI) et sa sécurité (SSI) et, pour la seconde, uniquement sur le volet SI/SSI. L'occurrence 2019 reprend de manière plus approfondie les thématiques de qualité des données et de sécurité des SI.

Ce document présente les principaux enseignements concernant la gestion par les assureurs français des données alimentant en particulier leurs calculs prudentiels, établis sur la base de leurs déclarations.

Tout d'abord, concernant la gouvernance, la politique traitant de la gestion des données alimentant les calculs prudentiels et de l'évaluation de leur qualité (nommée politique de qualité des données ou politique QDD dans la suite), quand elle existe, n'est pas encore déployée dans son intégralité dans les organismes. A minima, les organismes auraient mis en place des indicateurs objectivant la qualité des données, qui, actualisés à fréquence régulière, alimenteraient des tableaux de bord partagés avec les acteurs de l'entreprise directement intéressés à la qualité des données car impliqués dans les processus calculatoires des agrégats prudentiels (provisions techniques, bilan, capital de solvabilité requis…) : direction de l'actuariat, direction des risques et direction financière le plus souvent. Si les comités dédiés au pilotage de la qualité des données semblent s'être démocratisés au sein de près de 70 % des organismes, le sujet de la qualité des données est encore peu évoqué dans les comités des risques et dans les comités exécutifs. Pour constituer et formaliser la piste d'audit de leurs données, les organismes auraient principalement recours à deux outils : d'une part, la cartographie des flux de données et d'autre part, le répertoire des données. La criticité des données qui doit y être indiquée s'appuie principalement sur une identification à dire d'expert plutôt que par une mesure de sensibilité des résultats des calculs à leur variation.

Par ailleurs, une majorité d'organismes ne recense pas les contrôles de 1er niveau (opérationnels) de manière exhaustive et les seuils d'acceptabilité associés à ces contrôles sont peu souvent précisément définis.

L'intégration des données externes dans le système d'information des organismes est encore en partie manuelle et leur granularité est souvent inférieure à celle des données internes, alors même que ces données externes de gestion représentent en moyenne 10 % du volume de données utilisées notamment pour le calcul des provisions techniques.

Si le risque de défaut de qualité des données est non seulement appréhendé par les organismes mais également pris en compte dans la cartographie des risques opérationnels, le risque résiduel de défaut reste toutefois élevé pour certains organismes. Pour autant, la 2ème ligne de défense ne revoit pas régulièrement le dispositif de contrôle QDD et la 3ème ligne de défense n'effectue que très peu d'audits chez les sous-traitants/délégataires de gestion.

• Sur la base du chiffre d'affaires du marché de l'assurance et de la réassurance en France en 2018

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 2

Enfin, les résultats mettent en avant une différence de maturité sur la gestion de la qualité des données entre les types ayant répondu. L'attribution d'un score aux réponses individuelles permet de mesurer et visualiser la maturité moyenne du marché sur les différentes thématiques QDD abordées dans l'enquête :

Graphique 1 Notation des principaux processus impliqués dans la gestion des données

Source ACPR

Le secrétariat général de l'ACPR a par ailleurs analysé ces résultats avec les constats qu'il est amené à faire lors de ses enquêtes sur place.

Mots-clés :qualité des données, répertoire des données, gouvernance, gestion des risques, contrôle interne

Étude réalisée par le Pôle Qualité des données et Systèmes d'Information de la Direction des Contrôles Spécialisés et Transversaux de l'ACPR2.

• Ont contribué à cette étude Aurélie ALENDA, Carole BARBAUD, Laurent COURBEYRETTE et Valérie PIQUET

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 3

SOMMAIRE

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 4

2. Indicateurs et pilotage de la qualité des données

Les organismes ont pour une grande majorité mis en place des indicateurs de suivi de la qualité.

Graphique 4 Organismes disposant d'indicateurs relatifs à la qualité des données

Si les directions des risques, de l'actuariat et financières présentent un même niveau d'implication dans le suivi de ces indicateurs, les informations concernant la qualité des données alimentant les calculs prudentiels sont plus rarement discutées en comité des risques, en comité exécutif ou en conseil d'administration.

Graphique 5 Instances ou directions en charge du suivi des indicateurs de pilotage de la QDD

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 7

3. Répertoire des données

Un répertoire de données est mis en place dans plus de 82 % des organismes.

Graphique 6 Organismes disposant d'un répertoire des données

Toutefois son alimentation comporte des lacunes. Ainsi, les données de gestion et les données contenues dans les entrepôts de données (ou datawarehouses) sont les données les moins référencées dans le répertoire, ce qui induit une moindre traçabilité de ces données et, par conséquent, fragilise la piste d'audit des agrégats prudentiels.

Graphique 7 Données référencées dans le répertoire de données

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 8

4. Criticité des données

Si la notion de criticité des données est majoritairement présente dans le répertoire des données des sociétés relevant du code des assurances (près de 90 %), elle n'est définie que par un peu plus de la moitié des autres acteurs du marché.

Graphique 8 Parmi les organismes disposant d'un répertoire des données, part de ceux intégrant la notion de criticité

Source ACPR

Quel que soit le type d'organisme, le niveau de criticité des données est majoritairement déterminé à dire d'expert. Seul un tiers des organismes hors mutuelles s'appuie sur des tests de sensibilité pour évaluer la criticité des données (et seulement 15 % des mutuelles).

Graphique 9 Méthodes d'évaluation de la criticité des données quand la notion est définie

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 9

5. Cartographie des flux de données

Dans l'ensemble, les organismes indiquent avoir établi une cartographie des flux de données documentée. Toutefois, le niveau de maturité de cette cartographie reste faible car elle ne permet pas d'avoir une vue suffisamment fine des flux pour suivre le cycle de vie détaillé d'une donnée depuis son entrée dans le système d'information jusqu'à son utilisation finale. Le mode d'alimentation des flux (manuel/automatique) n'est pas indiqué systématiquement et le lien avec le référentiel de contrôles QDD n'est renseigné que dans la moitié des organismes.

Graphique 10 Part des organismes disposant d'une cartographie des flux de données documentée

Source ACPR

Par ailleurs, en moyenne, 35 % des organismes s'étant dotés d'une cartographie des flux de données documentée déclarent réaliser du « data lineage4 » sur une partie des flux de données.

Graphique 11 Caractéristiques de la cartographie des flux de données

Source ACPR

Enfin, plus d'un tiers des répondants indique avoir importé/migré un portefeuille de contrats dans leur Système d'Information (SI) durant ces deux dernières années.

• Data lineage : processus qui permet de visualiser le cycle de vie de la donnée depuis sa source jusqu'à sa restitution ou son usage, avec tous les éléments de ses transformations successives (normalisation, transformation, règles de calcul, agrégation, filtrage, etc.)

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 10

6. Données externes de gestion

En moyenne, environ 10 % des données de gestion utilisées dans le calcul des provisions techniques proviennent de sous-traitants externes/délégataires.

Graphique 12 Part des données externes de gestion dans le calcul des provisions à fin 2018

Source ACPR

Or, plusieurs indicateurs montrent que la gestion des données externes est insuffisante au regard de leur degré de maîtrise, inférieur à celui appliqué aux données gérées en propre par l'organisme. En effet, pour les deux tiers des organismes répondants, les données externes ne sont ni référencées dans le répertoire de données ni identifiées de manière exhaustive dans les cartographies et leur qualité ne fait pas non plus l'objet d'un suivi par des indicateurs de pilotage. De plus, les données externes sont intégrées dans le système d'information avec un niveau de détail moindre (notion de granularité) et de manière encore très manuelle.

Graphique 13 Caractéristiques du traitement des données de gestion externes

Source ACPR

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 11

7. Dispositif de contrôle visant à vérifier la qualité des données

Pour la grande majorité des organismes (82 %), le risque de défaut de qualité des données est effectivement identifié dans la cartographie des risques opérationnels. Pour autant, moins de la moitié des organismes recense de façon exhaustive les contrôles de premier niveau (opérationnels), et souvent en privilégiant les contrôles opérationnels manuels au détriment des contrôles opérationnels « techniques » embarqués dans les applications du système d'information. De plus, seule la moitié des organismes définit des seuils d'acceptabilité dans les contrôles dédiés.

Graphique 14 Caractéristiques du traitement des données de gestion externes

Source ACPR

• noter qu'une proportion importante d'organismes déclare un risque net5 de défaut de qualité des données élevé (55 % du groupe formé des institutions de prévoyance et des mutuelles), ce qui est à mettre en regard des dispositifs de contrôle visiblement moins aboutis et/ou moins développés par cette population.

• Le risque net correspond au risque évalué après la mise en place du dispositif de maîtrise des risques

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 12

L'enquête révèle également des faiblesses du système de contrôle interne déployés par les organismes à l'égard de leurs données :

• d'une part, le dispositif transverse de gestion de la QDD est couvert par la 2ème ligne de défense chez seulement 59 % des répondants en moyenne (respectivement dans 39 % des institutions de prévoyance et dans 67 % des organismes relevant du code des assurances).

Graphique 15 Caractéristiques du contrôle de 2ème niveau

• d'autre part, la 3ème ligne de défense inclut des tests avec extractions de données dans 53 % des organismes ayant participé à l'enquête (avec de fortes disparités selon le type d'organisme). Dans 27 % des organismes réalisant régulièrement des audits sur le dispositif de QDD, le périmètre des données issues de prestataires/délégataires entre également dans le champ des investigations de la 3ème ligne de défense.

Graphique 16 Caractéristiques des missions d'audit portant sur la QDD

Source ACPR

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 13

RETOUR D'EXPÉRIENCE DES CONTRÔLES SUR PLACE DILIGENTÉS PAR L'ACPR

Certains des constats précédents apparaissent optimistes au regard des situations observées lors des contrôles sur place réalisés en continu par l'Autorité de contrôle.

En premier lieu, s'agissant des outils au service de la piste d'audit des données alimentant les calculs prudentiels : la cartographie des flux ne permet pas encore d'avoir une vue transversale depuis la collecte jusqu'à l'utilisation finale des données. De plus, les contrôles visant à vérifier leur qualité aux différentes étapes de circulation et de transformation ne sont que très rarement référencés et positionnés sur cette cartographie, limitant ainsi une vision exhaustive du dispositif de maîtrise de la qualité.

Par ailleurs, la conception et l'alimentation du répertoire des données sont perfectibles : par exemple, celui-ci n'a pas vocation à recueillir les données « techniques » du point de vue IT car elles ne sont généralement pas connues des utilisateurs finaux impliqués dans la chaine de calcul. Contenant parfois trop peu de données, il arrive notamment qu'aucune donnée source (en provenance des systèmes de gestion) n'y soit recensée. Le répertoire peut également souffrir d'un nombre excessif de données sans détail discriminant indiquant leur niveau d'importance (notion de criticité des données), le rendant ainsi difficilement exploitable. Une donnée critique est une donnée dont une variation importante a un impact significatif sur les résultats des calculs prudentiels. En pratique, les données critiques sont souvent identifiées à dire d'expert, ce qui est tout à fait admis si cet avis est justifié et correctement documenté. À ce jour, rares sont les organismes qui réalisent des tests de sensibilité pour mesurer l'impact de la variation d'une donnée d'entrée sur le résultat du calcul. Cette méthode de mesure reste donc largement à développer et ce, d'autant plus quand ces organismes envisagent de demander à utiliser des paramètres propres ou un modèle interne.

Le data lineage, qui permet la visualisation du cycle de vie d'une donnée - origine, transformations subies, transmission… jusqu'à son utilisation finale ainsi que ses évolutions (raisons et procédés)-, reste une pratique à développer. Ces insuffisances nuisent à la traçabilité des données et d'autant plus dans des organisations qui résultent de fusions successives et de partenariats multiples.

En second lieu, concernant les données externes provenant de partenaires et délégataires de gestion, les exigences des assureurs quant à leur qualité apparaissent limitées :

• d'une part, sur le plan de leur granularité, souvent plus grossière que celle des donnés « internes »,
• d'autre part, sur le plan de la cohérence avec les données internes : un champ portant le même nom dans les chaines de gestion de part et d'autre, peut être alimenté de façon différente,
• enfin, sur le plan du processus de vérification de la qualité des données par le fournisseur externe, idéalement selon les standards de l'assureur, qui est rarement discuté au moment de lier ou de renégocier le partenariat.

Ces données peu contrôlées et à la granularité différente sont pourtant agrégées avec les données internes avant d'être intégrées dans la chaine de calcul. L'absence de discipline à l'égard des données

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 14

externes est également tangible au regard de leur moindre référencement dans le répertoire des données et la cartographie des flux. Ces deux éléments combinés concourent à faire porter un risque accru sur la qualité des données de l'assureur et, par conséquence, sur la fiabilité et la capacité d'auditer les provisions techniques et autres éléments du bilan prudentiel permettant d'établir le niveau de fonds propres et le capital de solvabilité requis.

En troisième et dernier lieu, le dispositif de pilotage et le dispositif de contrôle sont rarement conçus de façon à se « répondre » : ainsi, quand des indicateurs de qualité sont définis, captant par exemple des informations sur l'exhaustivité ou l'exactitude des données, ils sont rarement repris et associés à un seuil d'acceptabilité dans les contrôles opérationnels, ce qui limite la capacité de l'organisme à objectiver sa perception de la qualité à travers des tableaux de bord pertinents et réduit également sa capacité à piloter la qualité de ses données via des actions de correction.

La gestion des données alimentant les calculs prudentiels des assureurs en France en 2019 15

Pour lire la suite de ce noodl, vous pouvez consulter la version originale ici.