La traçabilité des données Formation S épia du 17 mai 2011

La traçabilité des données

Formation SFormation Séépia du 17 pia du 17 maimai 20112011

2

Advising PartnersRachid AIT-MANSOUR

Directeur Associé

6, allée Henri Matisse92130 Issy les Moulineaux – France

Tél: +33 (0)6 26 30 51 [email protected]

3

1. Une définition

2. Le contexte réglementaire

3. Le poids du S.I.

4. Comment tracer l’information

S O M M A I R ES O M M A I R E

4

Larousse 2009Traçabilité : n.f. Possibilité de suivre un produit aux différents stades de sa production, de sa transformation et de sa commercialisation.

Deux remarques

La définition du Larousse comporte une notion de mouvement (« suivre »). En ce sens, la traçabilité constitue en soi un processus à part entière. Tracer une donnée revient à la suivre tout au long de son existence.

La définition du Larousse contient implicitement une notion de temps : la chronologie des évènements y est décrite (production / transformation / commercialisation). Tracer la donnée revient àl’identifier dans chacun des états de son existence : comment elle est générée et comment elle évolue dans le temps et dans l’espace.

Une dUne d ééfinition (1/5)finition (1/5)

5

Direction Générale de la Comptabilité Publique (lexique du contrôle interne comptable )

Traçabilité : formalisation de la réalisation des opérations et des opérations les ayant réalisées. La traçabilité repose sur un système de preuves. Un système de preuves satisfaisant est conditionné par :

� la numérotation séquentielle et continue des documents comptables et des pièces justificatives des écritures (sous support papier ou informatique) ;

� le classement (chronologique, comptable, thématique, alphabétique...), l’archivage exhaustif des documents (papiers ou informatiques), dans le respect des délais de conservation. Cette documentation doit être disponible, accessible, pertinente (adaptée à son objet et à son utilisation), vérifiable (existence des sources d’information) ;

� la preuve de l’exécution des opérations (effectuée par écrit avec la signature d’un document ou de manière informatique).


Adobe Acrobat

DocumentLien vers le lexique :http://www.performance-publique.gouv.fr/fileadmin/medias/documents/comptabilite/lexique_controle_interne.pdf

6

Quelques remarques

La DGCP parle de « formalisation ». Elle rappelle que la traçabilitéest censée laisser... des traces !!! S’assurer de la traçabilité(contrôler la traçabilité) passe donc au moins par la lecture de la documentation formalisée.

Quand la DGCP parle de « formalisation de la réalisation des opérations », elle entend ainsi la preuve de la réalisation des opérations.

Quand la DGCP parle « des opérations les ayant réalisées », elle entend la preuve de la démarche.

Selon la DGCP, la traçabilité s’appuie sur une documentation de l’information produite (disponible, accessible, pertinente, vérifiable) : on parle habituellement de « piste d’audit ».

• Disponible = existence• Accessible = claire, lisible• Pertinente = adaptée au sujet traité• Vérifiable = rejouable, c’est-à-dire qu’on peut la reproduire, la

regénérer, à l’identique.


6

La définition de la DGCP comporte une notion de « stockage » de la preuve (archivage de la documentation).

La définition de la DGCP comporte une notion de « preuve », c’est-à-dire d’audit et de validation.


7

Pierre Bonnet – Management des données de l’entreprise – coll. Management et Informatique –Ed. Hermès – 2009« Ces réglementations exigent un haut niveau de traçabilité des opérations. L’entreprise doit pouvoir, comme pour les marchandises dans le secteur agro-alimentaire, suivre précisément ses flux d’information, conserver la mémoire des données ayant contribué aux calculs de ses bilans financiers et sociaux. »

RemarquesNous verrons un peu plus loin les réglementations dont il est question.On retrouve ici la notion de « suivi », de preuve et de stockage de l’information. Il y a un aspect de « cheminement » à suivre pour comprendre comment les résultats chiffrés se forment.


8

1. Une définition


3. Le poids du S.I.



9

L’administration fiscale ( CFCI)La traçabilité des données nous est imposée, en premier lieu, par l’administration fiscale qui précise le champ des contrôles exercés (art. 103 de la loi de finance pour 1990, arrêté d’ap plication du 13 sept. 1993, instruction fiscale du 14 oct. 1991, instruction fiscale du 24 déc. 1996... ).

Les divers textes portent à la fois sur les données et sur les systèmes d’information (conservation des données, documentation...).

Le contrôle porte sur l’ensemble des informations qui concourent, directement ou indirectement, à la formation des résultats comptables ou fiscaux ou à l’élaboration des déclarations.

En cas de contrôle, l’Administration fiscale peut appliquer une sanction (évaluation d’office) à laquelle s’ajoute une amende (150% de droits dus).

Le contexte rLe contexte r ééglementaire (1/5)glementaire (1/5)

10

Le Sarbanes Oxley Act (SOX)

La loi Sarbanes-Oxley est une loi fédérale de 2002 qui s’impose àtoutes les sociétés côtées au NYSE (loi extraterritoriale !).

Elle fait suite aux scandales financiers du début des années 2000 (Enron, Worldcom...) et impose de nouvelles règles sur la comptabilité des entreprises et sur la transparence financière.

Elle impose aux présidents et aux directeurs financiers de certifier personnellement les comptes (ils sont responsables en tant que personnes physiques).

Elle impose nommer des administrateurs indépendants au comitéd’audit du conseil d’administration.


11

Elle encadre les avantages particuliers des dirigeants.

Cette loi oblige à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel (dans la pratique, le COSO est le référentiel le plus utilisé).

L’assurance de la traçabilité des données découle directement de la mise en oeuvre du contrôle interne.


12

Loi de Sécurité Financière (LSF)

C’est une loi française qui s’applique, depuis le 1er janvier 2003, àtoutes les sociétés anonymes et à toutes les sociétés faisant appel à l’épargne publique.

Elle se voulait le pendant français de SOX. Dans la réalité, elle est bien plus light !!!Elle impose une responsabilité accrue des dirigeants.

Elle impose un renforcement du u contrôle interne.

Elle vise à réduire les sources de conflits d'intérêt.

L’assurance de la traçabilité des données découle directement de la mise en oeuvre du contrôle interne.


La réforme Solvabilité 2

Le pilier 3 défini l’information financière qui doit être communiquée.Le pilier 2 de la réforme en définit les aspects qualitatifs et consacre le contrôle interne.La traçabilité y trouve par conséquent toute sa place.

En assurant la traçabilité de l’information financière produite, les risques d’erreurs, de fraude... sont réduits. Incidemment, dans le cadre de Solvabilité 2, la réduction d’un risque s’accompagne d’une diminution de l’exigence d’immobilisation de fonds propres !Les articles 41 à 49 de la Directive Européenne définissent les systèmes de gouvernanceLes articles 210 à 259 définissent le contrôle des groupes

L’article 35 définit les informations aux fins de contrôle

L’article 50 définit les informations à destination du public


13

1. Une définition


3. Le poids du S.I.



14

Un S.I. souvent hétérogène

Les acteurs du marché ont souvent connu une histoire qui s’est construite au gré de rapprochements, de fusions, d’acquisitions... On s’autorise d’ailleurs à penser que Solvabilité 2 va accentuer le mouvement de concentration dans le monde de la Mutualité et des Institutions de Prévoyance.

Dès lors, le système d’information est souvent constitué d’une somme de systèmes hétérogènes (un assemblage de briques) qui ont été connectés tant bien que mal. Si les DSI ont conscience de cet état de fait, il n’empêche que l’harmonisation totale des systèmes d’information est loin d’être achevée.

Cette hétérogénéité des sources d’information rend plus complexe la traçabilité de l’information.

Le poids du S.I. (1/9)Le poids du S.I. (1/9)

15

Les limites de l’intervention humaineDans le meilleur des cas, les systèmes sont s’alimentent mutuellement, par le biais d’interfaces, sans ajouts ou retraitements.


16

Système 1 Système 2

interface

La traçabilité des données est facilitée par l’automatisation de ces échanges.

Cette situation idyllique existe rarement : très souvent, les outils ne sont pas connectés et il est nécessaire de procéder à des extractions, des retraitements et des importations de données.


17

Système 1 Système 2

Extraction

Dans ce cas de figure, les interventions humaines liées aux tâches d’extraction, de retraitements et d’importation sont de nature àajouter une source de risques sur les données manipulées.

La traçabilité impose de bien verrouiller et contrôler les zones sensibles.

RetraitementsImportation

La situation la plus fréquent est illustrée par le schéma suivant :

Un risque pesant sur les données

Les données de la compagnie peuvent être classées selon (au moins) deux catégories :

• les données « métier »• les données de type « référentiel ».

Les données « métier » sont les données issues de la production. Il s’agit par exemple de l’information qui est stockée dans les systèmes de gestion. Ces informations sont générées par l’activitéd’assurance. Ces données peuvent faire l’objet de retraitements (calculs, agrégations...). On pense intuitivement à ces données lorsqu’on évoque la traçabilité ; on pense moins naturellement au référentiel qui doit également être « sécurisé ».

Les données de référentiel sont les hypothèses, les paramètres qui sont retenus dans le cadre de la transformation des données métier.


18

Parmi les données de référentiel, on peut citer, par exemple, les tables de mortalité, les taux techniques (taux garantis, taux servis), les valeurs liquidatives...

Les données de référentiel sont utilisées par de nombreux acteurs de la compagnie et une bonne « urbanisation » de ces données doit permettre d’en garantir une bonne utilisation (adéquation àl’usage souhaité).

On peut dès lors se poser la question du type de référentiel àretenir pour ces données particulières :

• doit-on retenir un référentiel de type transactionnel, qui s’appuie sur une base de données classique ?

• doit-on retenir un référentiel de type sémantique, qui s’appuie sur un modèle riche de données ?


19

Contrairement au référentiel transactionnel, le référentiel sémantique comporte, en plus des données à proprement parler, les règles d’utilisation et de validation, les contextes d’utilisation, les versions des données... Ce sont autant d’éléments qui permettent de sécuriser l’information et d’optimiser la traçabilité.

Lorsqu’un référentiel transactionnel est retenu, dans le meilleur des cas les règles d’utilisation sont décrites séparément (fichier excel, base de données...). La non-intégration des règles d’utilisation aux données ajoute un risque de non utilisation ou de mauvaise utilisation : l’absence d’automatisation et la nécessité d’une intervention humaine ajoute un niveau de risque et peut nuire à la traçabilité de l’information.


20

L’absence de référentiel constitue un cas extrême de risque sur les données de paramétrage. En l’absence de référentiel, chacun gère, dans son coin, son propre référentiel en multipliant ainsi le risque d’erreur sur les valeurs, sur les formats... Un cas classique, parexemple, est celui des tables de mortalité qui ne sont pas centralisée et qui sont re-saisies par chaque utilisateur.


21

En résumé...

Ces deux problématiques (sans doute d’autres aspects mériteraient d’être soulignés) sont entre les mains des DSI et les actuaires y sont rarement parties prenantes.En effet, quelle légitimité aurait l’actuaire pour infléchir une décision quant à l’architecture du SI ? En ce sens, il ne peut que subir les choix qui auront été retenus.

Toutefois, lors des phases de cadrage, dans les projets de refonte de SI, les Directions Techniques peuvent peser de tout leur poids afin de limiter au maximum les solutions techniques qui reposentsur l’utilisation de retraitements intermédiaires qui ne seraient pas totalement automatisés.


22

1. Une définition


3. Le poids du S.I.



23

Une démarche top-down

La définition du Larousse (cf. p. 4) est « dynamique » (possibilité de suivre un produit aux différents stades de sa production, de sa transformation et de sa commercialisation).

Elle sous-entend un « cheminement » dans la démarche de preuve.

Une démarche utilisable consiste à partir de la donnée inscrite dans les comptes ou dans les états de reporting et ensuite de la « détricoter » (démarche de type top-down) : on suit, à rebours, le cheminement qui a conduit à la construction de cette donnée (image de la pelote de laine qu’on déroule).

Comment tracer lComment tracer l ’’ information (1/16)information (1/16)

24

Dès lors, ce chemin prend rapidement la forme d’un arbre, chaque branche fournissant un nouvel axe d’investigation.

En effet, une donnée comptabilisée est souvent :

• issue d’un calcul entre plusieurs autres données

• ces données peuvent elles-mêmes être issues de calculs entre d’autres données.

L’activité des acteurs d’assurance étant complexe, l’arbre peut rapidement constituer à lui seul... une forêt. De la méthode et de la rigueur s’imposent donc si on veut garantir la traçabilité de l’information et faciliter le travail d’audit.


25

Partons d’un exemple

Un auditeur d’une compagnie d’assurance a pour charge de contrôler le montant d’une PSAP inscrite dans les comptes.

Il pose la question, à la Direction de la Comptabilité, de l’origine de ce montant.

La Direction de la Comptabilité lui répond qu’il s’agit d’un montant consolidé qui est la somme des PSAP du portefeuille Santé et des PSAP du portefeuille d’Incapacité. A ce stade, notre arbre possède deux branches. La Direction de la Comptabilité communique ces deux montants à l’Auditeur.

L’auditeur demande alors d’où proviennent ces deux montants.


26

La Direction de la Comptabilité répond que ces montants ont étécommuniqués par les services Santé et Prévoyance de la Direction Technique.

L’Auditeur part donc à la rencontre de la Direction Technique avec, sous le coude, les montants communiqués par la Comptabilité.

La Direction Technique explique à son tour que ces montants sont eux-mêmes des montants agrégés. Il y a plusieurs raisons à cela :

• en premier lieu, les portefeuilles ne sont pas gérés sur les mêmes systèmes d’information (le suivi de portefeuille est fait par SI) ;

• les PSAP dossier/dossier sont évaluées par les divers services de gestion ;

• les IBNR sont calculées sur des fichiers excel, les méthodes n’étant pas nécessairement les mêmes.


27

L’Auditeur va donc devoir explorer les fichiers de calculs et partir àla rencontre des services de Gestion.

Lors du contrôle l’Auditeur pourra constater que

• les hypothèses retenues ne sont pas justifiées

• les rôles (les responsabilités) ne sont pas clairement établis

• les travaux sont réalisés de manière systématique, sans prise de hauteur ni réflexion

• ...


28

La nécessité de la formalisation

L’exemple précédent nous montre la nécessité de formaliser tous les processus qui concourent à produire les résultats (sous peine de constat de déficience lors des audits).

Assurer la traçabilité passe ainsi par

• une formalisation des pratiques

• la documentation (pistes d’audit)

• la définition des rôles

• la définition des calendrier de réalisation


29

Identifier les processus

Dans un premier temps, il convient de dresser la liste des processus conduisant à la production de l’information tracée (ex. : le processus d’inventaire).

Définition de la DGCPEnsemble de tâches réalisées par différents opérationnels (voire différentes entités : postes, départements, services, pôles, secteurs...), participant d’une même activité, placée sous l’empire de normes juridiques spécifiques, rattachée à un ensemble de comptes principaux, pour produire un résultat commun.Un processus est un ensemble cohérent de procédures. Un cycle est un ensemble de processus. L’information comptable circule le long du processus.


30

Identifier les procédures

Dans un second temps, il convient de dresser la liste des procédures qui constituent chacun des processus.

Dans la pratique, on rédige, au kilomètre, l’enchaînement des actions qui composent le processus. Le regroupement d’actions constitue une procédure (ex. : la procédure de calcul des PM des rentes).

Définition de la DGCPLa procédure fait partie d’un processus dont elle constitue l’un des enchaînements.La procédure se décompose en tâches (ou fonctions).Elle est déclenchée par un fait générateur et aboutit à une ou plusieurs finalités.


31

Rédiger les procédures

Chaque procédure doit faire l’objet d’une description.

Très souvent, la description prend une forme littéraire : les actions et leurs enchaînements sont décrits par des phrases.

Si ce formalisme est nécessaire, sa lisibilité peut être améliorée: la procédure peut être « modélisée » sous la forme d’un logigramme.

Le logigramme permet de visualiser, sous la forme d’un dessin :• les différentes actions constituant la procédure• leur chronologie• les acteurs participant à sa réalisation (contributeurs, réalisateurs,

valideurs...)• les échanges d’informations• les zones de risques...


32

Quelques principes de rédaction

La procédure doit être suffisamment claire pour être lisible et compréhensible par un non-expert.

Si le logigramme est trop long, il ne faut pas hésiter à le découper (ce qui revient à découper la procédure en sous-procédures).

Lors de la rédaction, il faut considérer que le début et la fin du processus appartiennent sa propre entité (ou direction, ou service...).

Il convient de retenir un formalisme de modélisation qui soit uniforme au sein de l’ensemble de la compagnie. Il est ainsi d’usage de modéliser les actions à l’aide de rectangles ; les situations de choix se modélisent à l’aide d’un losange ; les début et fin se modélisent à l’aide d’un ovale.


33

La modélisation des procédures n’ayant pas fait l’objet d’une normalisation, il convient d’insérer une légende afin d’en faciliter la lecture à tout un chacun.


34

Exemple


Début

Fin

Dir. TechniqueDSIDir. Financière

Inventaire des produits en UC

Gestion Comptabilité

PrimesPrimes Rappro.

Ecart ?Correction. Correction.Oui Oui

Non

...

...

35

La continuité de l’information échangée

La formalisation des processus ne suffit pas à garantir la traçabilitéde l’information. Etant donné que les processus mettent en relation plusieurs acteurs, dans le cadre de l’échange des données, il est indispensable de s’assurer que ces données échangées sont celles qui sont attendues (validation de périmètre).

Des contrôles doivent donc être réalisés dès lors que des données sont échangées. Ces contrôles peuvent prendre la forme d’indicateurs :

• nombre de données transmises,• moyenne, médiane, somme,• min/max,• comparaison à l’année/trimestre précédent,• ...


36

La définition des rôles

Chaque procédure met en action un certain nombre d’acteurs. Les rôles de chacun doivent être définis afin d’éviter toute redondance ou toute déficience. Ainsi, il est d’usage d’utiliser le RACI pour attribuer les rôles.

RéaliseApprouveConsultéInformé

Dans la pratique, on définit un tableau contenant les actions contenues dans la procédure et, pour chaque acteur, on précise le rôle.

La traçabilité des données est ainsi facilité pour l’auditeur qui trouve ses interlocuteurs dans ce tableau.


37

Une règle important doit être respectée : pour une action donnée, on ne doit avoir qu’une seule personne qui approuve !!!


38

Acteur 1 Acteur 2 ... Acteur n

Action 1 R A R

Action 2 A R C

...

Action n I R R

Nom de la procédure

La centralisation de la documentationLa formalisation des processus doit s’accompagner de la documentation des pratiques et leur archivage propre : stockage sur serveur, accessibilité...

Les calendriers de réalisationLast but not least : l’enchainement des travaux doit être décrit dans des calendriers de réalisation (ex. calendrier d’inventaire). Chaque acteur sait ainsi quand il doit réaliser les tâches qui lui incombent.

Exercice pratiquePartir des reportings réglementaires de Solvabilité II (RSR et SFCR, définis dans la CP 58) et imaginer comment les données pourraient être tracées.


39

Merci

40

La traçabilité des données Formation S épia du 17 mai 2011

Documents

Transcript of La traçabilité des données Formation S épia du 17 mai 2011