Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2)
Le 1er janvier dernier, la directive Solvabilité II est enfin entrée en vigueur. Les compagnies d’assurance et mutuelles françaises doivent donc répondre à de nombreuses obligations imposées par le législateur européen. Pourtant, nous pointions dans la première partie de notre décryptage du 21 décembre dernier l’inégalité des acteurs devant la mise en conformité. Le bilan de l’ACPR met notamment en exergue l’insuffisance de la qualité des données fournies par les assureurs…
Comment expliquer le retard dans l’appréhension de la qualité des données ?
S’il est vrai que la gouvernance des projets de qualité des données a progressé depuis ces deux dernières années ( + 41% entre 2012 et 2015), la prise de conscience des organismes sur les questions de sécurisation de la donnée a été tardive, conduisant certaines entreprises à reconsidérer l’approche globale du projet Solvabilité II. Pourtant, le sujet de la qualité des données constitue un élément déterminant dans le processus d’évaluation des Provisions Techniques Best Estimate et dans la fiabilité du modèle interne. En effet, une qualité insuffisante des données pourrait motiver la constitution d’un capital add-on, ainsi que des réserves quant à l’approbation du modèle interne.
Pour comprendre les raisons de ce retard, il convient de se pencher quelques instants sur les mutations profondes et structurantes dans lesquelles se sont engagés les compagnies d’assurance et organismes mutualistes ces dernières décennies.
Dans un souci de rationalisation des activités et de maintien d’un avantage concurrentiel sur un marché de plus en plus concentré, le secteur a connu plusieurs fusions et transferts de portefeuilles qui se sont généralement soldés par l’absorption d’un système d’information par un autre. A la lumière de ces changements structurels et organisationnels, on imagine aisément les perturbations et erreurs qui ont pu être engendrées : incohérence des valeurs, multiplication des référentiels, transferts de données lors des migrations ayant pour conséquence de générer des erreurs de format, mais aussi d’engendrer des problèmes le plus souvent irréversibles comme la perte de données par exemple.
En outre, la mauvaise qualité des données peut survenir à la suite d’un risque opérationnel mal maîtrisé et pouvant entraîner une perte d’intégrité des données. On peut noter, par exemple, le cas d’un gestionnaire qui saisit une information erronée dans le système de gestion (adresse postale du souscripteur mal saisie ou incomplète, qui pourra avoir comme conséquence une déshérence commerciale par la suite) ou bien incomplète (clause bénéficiaire mal renseignée pouvant rendre difficile la recherche des ayants droits à la suite du décès du souscripteur d’un contrat d’assurance vie quelques années plus tard).
Au-delà des exigences accrues en matière de gouvernance de la qualité des données imposées par la directive Solvabilité II, la mise en place d’une telle démarche au sein de l’entreprise doit être perçue comme un véritable levier de performance et un élément essentiel à la bonne marche de l’entreprise. Pour preuve, Solvabilité II ne demande pas seulement aux entreprises d’assurance d’afficher des marges de solvabilité conformes mais aussi d’être en mesure de démontrer que les données utilisées pour les calculs (MCR, SCR, calcul de valeurs) et dans les reportings réglementaires (QRT’s remis au régulateur ou au public) sont pertinentes, exactes, exhaustives, auditables, traçables et conformes.
Pour mettre en exergue les difficultés rencontrées par les compagnies d’assurance, il est intéressant de reprendre les principaux constats émis par l’ACPR lors de sa conférence du 23 juin 2015 :
Gouvernance
- La direction de l’entreprise n’est pas suffisamment impliquée dans la gouvernance, qui reste trop souvent limitée aux acteurs du projet « Qualité des données » ;
- Un manque de précision dans la définition des rôles et responsabilités des acteurs de la gouvernance, et des interactions encore trop timides entre l’informatique et les métiers ;
- Un suivi des risques encore confus, notamment au travers de la mise en place d’indicateurs inopérants et ne correspondant pas aux besoins exprimés, et pouvant manquer quelquefois de prise de hauteur par rapport aux enjeux du moment ;
- Un contrôle des activités externalisées encore insuffisant.
Architecture
- Une rationalisation insuffisante du SI, notamment au regard des évolutions historiques (fusions, évolutions, changements de systèmes) ;
- Une industrialisation balbutiante du SI ne permettant pas une collecte fiable et rapide des données ;
- L’absence des données du reporting réglementaire dans le chantier « Qualité des données » qui privilégie les données rentrant dans la constitution des provisions mathématiques.
Contrôles
- Une faible intégration des démarches de contrôle interne et de qualité des données ;
- Un manque de robustesse du dispositif de contrôle des données de bout en bout, c’est-à-dire de la collecte jusqu’à son utilisation finale ;
- Des contrôles réalisés à un instant T uniquement.
Les facteurs clés de succès d’un dispositif efficace de contrôle de la qualité des données
Comme nous venons de le voir, les attentes du régulateur en matière de qualité des données ne sont pas totalement satisfaites, et des plans de remédiation et des plans de contrôle doivent être rapidement mis en œuvre pour combler ce retard.
Pour ce faire, nous vous proposons de dresser un premier panorama (non exhaustif) des thématiques à traiter pour disposer d’un dispositif de contrôle de la qualité des données pertinent et robuste.
Sur le thème de la Gouvernance et de la politique de qualité des données
- S’assurer de disposer d’une politique de qualité des données complète et à jour dans laquelle sont décrites les règles de gouvernance avec la description des rôles et responsabilités de chaque instance de décision et de chaque acteur qui la compose (Data owner, data steward, correspondant /référent qualité des données, opérationnels, fonctionnels, etc.).
- Constituer un dictionnaire des données, en priorisant dans un premier temps les données rentrant dans la constitution du modèle et dans les reportings réglementaires. Puis, réaliser chaque année une évaluation de la qualité de ces données, en ayant défini au préalable des indicateurs de non qualité ayant pour but de prévenir les acteurs du dispositif de l’évolution de la qualité des données en cas de dépassement d’un seuil d’acceptation. Le cas échéant, des plans de remédiation devront être mis en place pour corriger cette non qualité.
Sur le thème du contrôle interne
- Réaliser une cartographie du Système d’Information, notamment au travers de la documentation de chaque système applicatif, mais aussi en décrivant la nature des flux de données entre les différents systèmes et les éventuels retraitements qui sont réalisés (manuels, semi-automatiques ou automatiques).
- Dresser la liste des contrôles à mettre en place au regard de l’évaluation de qualité des données faite au préalable et des éventuels manquements identifiés. Documenter chaque contrôle et les étapes de réalisation de ces derniers. Les contrôles sur la qualité des données interviennent lors de la capture des données opérationnelles, lors de leur consolidation voire même sur les données calculées a posteriori : ils doivent nécessairement être intégrés dans la chaine de traitement SI.
- Industrialiser les transformations des données et les contrôles afin de :
- Garantir une piste d’audit. Cela implique l’intégration des contrôles au sein de la chaîne de chargement des données ;
- S’assurer de la cohérence de la gouvernance des données ;
- Rendre caduque voire dangereux le traitement manuel.
- S’assurer de la bonne sécurisation des données au travers notamment d’une procédure de gestion des habilitations au niveau des applications de gestion, des entrepôts de données ou des répertoires de travail, ou bien par la mise en place d’une historisation systématique des traitements réalisés (modification, suppression, etc.).
En conclusion, même si les constats dressés restent sévères, il est important pour l’ensemble des acteurs du secteur de poursuivre les actions engagées afin que la démarche sur la qualité des données s’inscrive complètement dans la stratégie de l’entreprise. Pour cela, il est essentiel de maintenir la mobilisation de tous les collaborateurs et les investissements au-delà de la date d’entrée en vigueur du nouveau régime prudentiel.
Si les acteurs du secteur étaient en retard sur la mise en conformité à Solvabilité II en juin 2015, il faudra attendre le retour de l’ACPR sur l’exercice préparatoire du mois de septembre pour établir un bilan définitif de la préparation des acteurs au lancement de la Directive. Bien que les exigences imposées aux acteurs soient importantes, elles ont un réel intérêt et ont vocation à améliorer la stabilité du secteur et à répondre à des enjeux majeurs tels que la valorisation et la sécurisation des données.